一种通过基于角色的访问控制模型管理对资源的访问的方法、系统、设备以及计算机程序产品,基于角色的访问控制模型包括使用角色过滤器和能力过滤器的动态更新功能。为每个角色定义一个角色过滤器,而不是直接将每个用户与某个角色联系起来。通过评价角色过滤器确定与给定角色匹配的用户,并且将匹配的用户自动与给定的角色联系起来。除角色过滤器之外,每个命名的角色均包含一组能力。每种能力包括一组访问条件和一个能力过滤器。每个访问条件包括一组权限。管理员可以定义每种能力的能力过滤器,而不是直接将每种资源与一种能力联系起来。当添加、删除或更改目标实例时,重新评价能力过滤器以保持适当的关系集合。(*该技术在2022年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术涉及经过改进的数据处理系统,确切地说,涉及使用数据库的方法和系统。更确切地说,本专利技术提供根据特定数据模型管理对资源的访问的方法和系统。
技术介绍
分布式系统内部的安全管理一直是令人头痛的问题。公司职员需要以安全方式访问应用和资源。然而,在任何给定时间段内,应用的安装、删除;公司内员工的流动导致了人员(包括临时雇员)的增加、解雇或内部调动;资源的增加、删除或组织内的移动,包括逻辑上或物理上的移动;以及项目的外包,要求承包商对组织的数据系统具有有限的访问权限;所有这些都增加了安全风险。此外,网络的互操作性也增加了安全风险,因此安全管理上的失误代价非常大。传统安全管理是依赖平台的—不同类型的计算机系统遵循不同的管理和实施规则。分布式系统的早期网络管理工具试图罗列出所有需要安全策略定义的资源和权限。传统访问控制列表(ACL)管理模型在企业内部的各个资源上做出安全性设置。在某些组织中,安全管理员的职责就是管理资源、权限和职员之间的每个允许或禁止关系列表,即,某个列表上的各要素与其他各列表上的各要素之间的关系。由于信息技术(IT)的不断变化,IT管理员的负担越来越沉重。在过去十年中,人们开发了一种可伸缩的、能够避免错误的、可审核的安全管理方法,并被许多企业采用基于角色的访问控制(RBAC),也称为基于角色的管理或基于角色的授权。在该方法中,采用与传统安全解决方案类似的方式,将用户分成组。然而,在使用安全数据处理系统的组织内部,将资源和访问权限也分成角色,以反映在组织内部通用的各种业务过程和业务职责集合。这样,为各组分配能够反映企业活动的多重角色。在使用基于角色的访问控制的管理系统中,管理员的职责归纳如下定义每个角色;定义该角色对有关资源的能力;将用户同一个或多个角色联系起来;将资源同一个或多个能力联系起来。一旦定义,就能在追加或更新数据库时自动实现安全策略,以便根据基于角色的访问控制关系改变人员或资源。这种角色定义提供了一个额外的抽象层,从而改善安全管理员的可伸缩性、审计能力和质量。通过使用许多不同类型的角色,能够管理雇员与承包人之间的差异。总的来说,基于角色的访问控制系统能够改善最终用户的安全性和服务,同时降低安全管理成长型企业的管理成本。尽管安全管理得到改善,但是基于角色的访问控制系统在管理和费用上做了很多的考虑。大多数企业是动态实体,当企业的组织和商业目标随着时间改变时,也希望相关的IT系统能迅速无误地迁移。当组织变更或壮大时,更加难以管理、更新用户和角色之间的关系,以及资源和能力之间的关系。因此,提供自动协助管理带有基于角色的访问控制的安全管理系统之方法和系统是有利的。每当组织内的人员和资源变化时,总能自动、有效地更新安全管理系统将是非常有利的。
技术实现思路
一种通过基于角色的访问控制模型来管理对资源的访问的方法、系统、设备以及计算机程序产品,基于角色的访问控制模型包括使用角色过滤器和能力过滤器(也称为“活动角色”)的动态更新功能。为每个角色定义一个角色过滤器,而不是由安全管理员明确将各个用户与某个角色联系起来。通过评价角色过滤器确定与给定角色匹配的用户,并且将匹配的用户自动与给定的角色联系起来。通过使用角色过滤器,管理员能够按照雇员职务、组织、工作状态或项目分配情况,为基于角色的资源访问创建业务规则。除角色过滤器之外,每个命名的角色均包含一组的访问能力。每种能力包括一组访问条件和能力过滤器,每个访问条件包括一组权限以及此类权限的资格和条件。与角色过滤器的操作类似,能力过滤器用于描述将要应用的特定能力的实例集合。管理员可以为每种能力定义能力过滤器,而不是由安全管理员明确将每种资源与某种能力联系起来。当添加、删除或更改目标实例时,重新评价能力过滤器以保持适当的关系集合。附图说明附属权利要求书阐述被认为是本专利技术之特征的全新功能。通过连同附图一起阅读以下详细说明书,将更加了解本专利技术,其目的以及其优点,其中附图为图1A表示可以实施本专利技术的典型分布式数据处理系统;图1B表示可以实施本专利技术的数据处理系统中使用的典型计算机体系结构;图2的方块图表示典型的基于角色的访问控制系统;图3的方块图表示对象及对象间的关系,包括根据本专利技术之最佳实施方式的基于角色的访问控制模型中的角色过滤器和能力过滤器功能;以及图4是一个流程图,表示更新图3所示的根据本专利技术之最佳实施方式的数据关系组织的数据库时,出现的活动角色处理。具体实施例方式本专利技术的目的在于,通过基于角色的访问控制模型来管理对资源的访问的系统和方法,基于角色的访问控制模型包括“活动角色”,而后者是一种动态更新机制。在详细论述本专利技术前,首先介绍可以实施本专利技术的分布式数据处理系统的组织结构的背景信息。现在参照附图,图1A表示典型的数据处理系统网络,每个系统均能实施本专利技术或本专利技术的一部分。分布式数据处理系统100包含网络101,网络101是一种介质,为连接在分布式数据处理系统100内的各种设备和计算机之间提供通信链路。网络101可以包括永久连接,如电缆或光缆,或通过电话或无线通信建立的临时连接。在所示示例中,将服务器102和103和存储器104连接到网络101。此外,将客户机105-107也连接到网络101。客户机105-107和服务器102-103代表各种计算设备,如大型机、个人计算机、个人数字助理(PDA)等。分布式数据处理系统100可以包括附加服务器、客户机、路由器和其他设备,以及对等体系结构(未示出)。在所示示例中,分布式数据处理系统100包括因特网,其中网络101表示遍布世界的彼此使用各种协议进行通信的网络和网关集合,通信协议如轻量目录访问协议(LADP)、传输控制协议/网际协议(TCP/IP),超文本传输协议(HTTP)。当然,分布式数据处理系统100还包括不同类型的网络,如内联网、局域网(LAN)或广域网(WAN)。例如,服务器102直接支持采用无线通信链路的客户机109和网络110。网络电话111通过无线链路112连接到网络110,PDA 113通过无线链路114连接到网络110。通过使用诸如蓝牙TM无线技术之类的适当技术创建所谓的个人局域网或个人专用网,电话111和PDA113能够通过它们之间的无线链路115直接传输数据。同样,PDA113能够通过无线通信链路116向PDA117传输数据。可以在各种硬件平台上实施本专利技术;图1A只是作为异构计算环境的示例,并不作为本专利技术的体系结构限制。现在参照图1B,正如在图1A中说明的那样,该图表示可以实施本专利技术的数据处理系统的典型计算机体系结构。数据处理系统120包含一个或多个与内部系统总线123相连的中央处理器(CPU)122,系统总线123互连随机存取存储器(RAM)124、只读存储器126以及支持各种I/O设备的输入/输出适配器128,I/O设备如打印机130、磁盘机132或诸如音响系统之类的其他设备(未示出)等。同时,系统总线123与通信适配器134相连,后者提供对通信链路136的访问。用户接口适配器148连接各种用户设备,如键盘140和鼠标142,以及诸如触屏、触笔、麦克之类其他设备(未示出)。显示适配器144将系统总线123连接到显示设备146。一般技术人员可以理解,图1B所示的硬件随系统实现变化本文档来自技高网...
【技术保护点】
一种对请求计算机系统中的受保护的资源的主体的访问权限进行控制的方法,其中将主体与至少一个角色联系起来,该方法包括:将角色过滤器和角色联系起来;将一种或多种能力的集合与角色联系起来;将能力过滤器与一种或多种能力的集合中的一种能力联系起来;以及根据请求主体和角色之间的联系以及受保护的资源和角色的能力之间的联系,授权请求主体对受保护的资源的访问。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:PD格里芬,G科莱,GA威尔逊,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。