公开了确保安全访问计算机系统(1000)所用的方法和装置。所述方法可以开始于在所述计算机系统中(使用1002)从某个实体接收请求的步骤。所述实体可以具有预定的访问授权级别,用于对表示信息类型(102)或计算机系统功能(104)的第一基本节点(110)进行访问。所述系统判断所述访问请求是否完成了所述实体的禁止的时间访问模式。所述系统还对比为所述第一基本节点建立的最低访问级别和分配给所述实体的所述预定访问授权级别。然后,只有在所述第一基本节点的所述最低访问级别不超过所述预定访问授权级别时,所述系统才准许所述访问请求。
【技术实现步骤摘要】
本专利技术涉及确保安全访问计算机系统所用的方法。
技术实现思路
所述方法可以包括若干步骤。所述方法可以开始于在所述计算机系统中从某个实体接收请求的步骤。所述实体可以是用户或过程,并且可以具有预定的访问授权级别,用于对表示信息类型或计算机系统功能的第一基本节点进行访问。所述计算机系统判断所述访问请求是否完成了所述实体的禁止的时间访问模式。如果是,就拒绝所述请求。否则,所述系统可以对比为所述第一基本节点建立的最低访问级别和分配给所述实体的所述预定访问授权级别。然后,只有在所述第一基本节点的所述最低访问级别不超过所述预定访问授权级别时,所述系统才准许所述访问请求。所述方法也可以包括以下步骤如果所述第一基本节点的所述最低访问级别超过了分配给所述实体的所述预定访问授权级别,就拒绝所述请求。所述方法也可以包括把所述计算机系统逻辑地组织为具有多个叶节点和更高级别节点的树状层次的形式。多个所述基本节点可以定义为各自包含所述树状层次的多个叶节点。更高级别节点可以定义为所述基本节点的聚集。另外,所述方法可以包括以下步骤在所述层次之内识别任何更高级别节点,所述更高级别节点是包含所述第一基本节点的聚集。所述方法也可以包括在所述层次之内识别直接或间接包含以下子节点的任何节点,所述子节点是包含所述第一基本节点的聚集的任何所述更高级别节点的子节点。然后对于直接或间接包含以下子节点的任何基本节点,可以更新所需的所述最低访问级别,所述子节点是包含所述第一基本节点的聚集的任何所述更高级别节点的子节点。例如所述更新步骤可以包括对比所述实体的预定访问授权级别与作为包含所述第一基本节点的聚集的所述更高级别节点的所需的所述最低访问级别。然后,如果包含所述聚集的所述更高级别节点的所需最低访问级别具有高于所述实体的预定访问级别的所需访问级别,对于也是包含所述第一基本节点的任何聚集的成员的任何所述基本节点,也可以更新其所需的最低访问级别。附图简要说明附图说明图1是数据基本要素和层次图的表达,用于理解本专利技术;图2A和图2B是带有传递闭包表的部分排序后集合的实例;图3是时间次序表的实例;图4A是过程/用户访问表的实例;图4B是时间访问表的实例;图5是组合分类表的实例;图6是一幅流程图,用于理解本专利技术;图7是一幅流程图,用于理解本专利技术;图8A至图8E显示了一系列表格,用于理解在一个实例中如何运行本专利技术的过程;图9A至图9H显示了一系列表格,用于理解在第二个实例中如何运行本专利技术的过程;图10是一幅计算机系统图,用于理解本专利技术布局的实施。具体实施例方式本专利技术涉及的方法和系统使用自适应格机制来加强计算机安全。数据和功能访问安全级别构成了控制访问的最初基础。这些安全访问基本要素可以组织在部分排序后集合(POSET)之内,以便定义分层次的有向图。所述安全访问基本要素可以构成所述分层次的有向图中的基本节点。所述图之内的更高级别节点表示信息聚集集合和/或访问的时间模式。所述图之内的每个所述节点都可以具有相关联的安全级别,它表示所述具体的聚集或模式所用的强制安全级别。对于每个用户/过程都动态地维持访问授权,从而能够根据每个用户的访问历史,使系统对象具有多个访问分类级别。现在参考图1,安全的计算机系统可以包含多个对象类型1021-1024和系统功能1041-1043。所述对象类型可以包括一种或多种信息类型A、B、C、D。对象类型的示例106可以包括多种类型的实例108,如图所示。另外,每种对象类型都可以具有与之相关联的所需的最低安全访问级别。在图1中,对于每个对象类型1021-1024,所需的所述最低安全访问级别表示在与标识所述信息类型的字母一起的在括号中。例如,图1中的对象1024标注为“D(2)”。括号中的所述数字2表明,信息类型D具有的所需的最低安全访问级别为2。请求访问对象类型D的任何示例的任何过程或用户具有的安全访问级别必须高于或等于2。同样,访问对象1022——显示为B(1)——需要的安全访问级别为1或更高。系统功能1041-1043表示过程或用户能够访问的功能。在图1中,所述功能显示为包括目录(dir)、执行(exec)和删除(del)。不过应当理解,这些仅仅是为了说明计算机系统功能的某些实例,而本专利技术不限于计算机系统功能的任何具体类型。类似于以上关于对象类型1021-1024介绍的所述记法,图1中每个系统功能1041-1043之后也跟随着括号中的数字。所述数字表示访问该具体功能的任何过程或用户需要的最低安全访问级别。因此例如,标注为exec(2)的所述“exec”系统功能需要过程或用户具有的安全级别至少为2才能访问该功能。所述多种对象类型1021-1024和系统功能1041-1043能够表示在图1所示的层次树状图中。根据本专利技术的一个方面,所述多种对象类型和系统功能能够定义为所述层次树100中的多个叶或基本节点110。另外,还可以构建更高级别的节点110,以便表示基本节点110的聚集。如图1所示,更高级别的节点112可以包括基本节点110的聚集,以及更高层次的聚集,即过去构建的聚集的聚集。根据本专利技术的一个实施例,通过把所述对象类型1021-1024和系统功能1041-1043组织在部分排序集合(POSET)之内,可以实施图1中的所述分层次的有向图。POSET定义了在元素的集合之内,元素对之间存在的关系,如x→R→y。在元素的所述集合之内,存在着若干元素对,如m和n,对于它们,关系R不存在。因此,所述集合是部分排序的。所以,POSET可以具有多个根和叶节点,与树结构不同,它具有单一的根节点和多个叶节点。因为表示信息访问和操作功能(要对其强化所述安全操作)之根节点的所述多重性,所述POSET用于表示安全关系的多重性。图2A是带有传递闭包表202的这种POSET200的实例,对于图1中的所述层次树100可以产生这种POSET。再次参考图1,可见对于时间访问模式可以产生若干关系。在这幅图中标注着T1的弯曲箭头指明了项目1141和1142所定义的所述访问之间的时间次序。因此,对于项目1142,在项目1041和1042之间产生了时间次序,如1041→1042。因此,节点d(3)不仅标识由1041和1042注明之所述基本要素功能的聚集,而且指定了存在着明显的时间次序在1042之前访问1041。所以,要启动与项目1142相关联的所述安全策略,不仅1041和1042都必须访问,而且必须以所述时间关系指明的所述次序访问它们。除了指定对于单一节点访问活动的时间次序以外,还可以通过聚集把时间关系归入其他节点之内。图1中的项目1141展示了这一点。项目1141具有与所述节点相关联的三个访问项目,项目1024、1142和1043。如图所示,已经确认的时间次序指明1024→1142→1043。不过,项目1142是访问操作的聚集。因此项目1142标识的所述操作变为归入项目1141的整体时间次序中,完全的时间次序为1024→1041→1042→1043,其中原始时间次序中的项目1142已经被替换为其组成部分,1041→1042。图3是所述时间次序表(TOT),它锁定了上述关系。所述TOT用于锁定若干动作的所述相对时间次序,允许相对的或近似的时间模式匹配,以便识别不利的动作。所以,对本文档来自技高网...
【技术保护点】
一种用于安全访问计算机系统的方法,包括以下步骤:在所述计算机系统中从具有预定的访问级别的实体接收要对表示信息类型和计算机系统功能至少其中之一的第一基本节点进行访问的请求;判断所述访问请求是否完成所述实体的禁止的时间访问模式;以及对比为所述第一基本节点建立的最低访问级别和所述预定访问级别;以及只有在所述访问请求没有完成所述实体的禁止的时间访问模式,而且所述第一基本节点的所述最低访问级别不超过所述预定访问级别时,才准许所述访问请求。
【技术特征摘要】
US 2004-3-11 10/798,0741.一种用于安全访问计算机系统的方法,包括以下步骤在所述计算机系统中从具有预定的访问级别的实体接收要对表示信息类型和计算机系统功能至少其中之一的第一基本节点进行访问的请求;判断所述访问请求是否完成所述实体的禁止的时间访问模式;以及对比为所述第一基本节点建立的最低访问级别和所述预定访问级别;以及只有在所述访问请求没有完成所述实体的禁止的时间访问模式,而且所述第一基本节点的所述最低访问级别不超过所述预定访问级别时,才准许所述访问请求。2.根据权利要求1的方法,进一步包括以下步骤如果所述访问请求完成所述实体的禁止的时间访问模式,就拒绝所述请求。3.根据权利要求1的方法,进一步包括以下步骤如果所述第一基本节点的所述最低访问级别超过了所述实体的所述预定访问级别,就拒绝所述请求。4.根据权利要求1的方法,进一步包括以下步骤把所述计算机系统逻辑地组织为具有多个叶节点和更高级别节点的树状层次的形式;把多个所述基本节点定义为各自包含所述树状层次的多个叶节点;以及把所述更高级别节点定义为所述基本节点的聚集。5.根据权利要求1的方法,进一步包括以下步骤对比所述实体的预定访问级别与作为包含所述第一基本节点的基本节点聚集的至少一个更高级别节点的所需的所述最低访问级别;以及如果包含所述聚集的所述更高级别节点的所需的最低访问级别具有高于所述实体的预定访问级别的所需访问级别,则对于也是包含所述第一基本节点的任何聚集的成员的任何所述基本节点,更新其...
【专利技术属性】
技术研发人员:小文森特J科瓦里克,
申请(专利权)人:哈里公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。