本发明专利技术提供了角色信息存储单元(11),存储包括指示主体集合的信息在内的角色信息、以及能够指定主体集合之间的包含关系的信息;策略描述存储单元(12),存储策略描述,所述策略描述包括指示策略的信息以及用于标识策略所要应用的主体集合的信息;策略分层单元(13),产生策略层级,在所述策略层级中,基于每个策略所要应用的主体集合之间的包含关系,对两个或更多策略进行分层;策略排序单元(14),基于指示策略层级的信息,对由要进行总体排序的两个或更多策略构成的策略集合进行总体排序,同时维持层级中的高/低关系。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种策略管理设备、策略管理系统和用于策略管理的方法和程序,具体地,涉及一种策略管理设备、策略管理系统和用于策略管理的方法和程序,能够对具有部分排序结构的策略描述进行总体排序,以产生策略列表或将策略转换为访问控制规则。
技术介绍
随着近年来一致性意识的增长,许多公司在其自身的工作系统中提供完全的访问控制。从如Unix(商标)文件系统之类的OS访问机制中可以看到,典型的访问控制规则由 3项信息的组合来描述,这些信息包括“主体”如使用工作系统的雇员;“对象”,如工作系统提供的文件;以及“动作”,如读/写,为用于访问对象的方法,该访问控制规则应用于访问控制机制。存在以下问题,随着雇员和工作文件的数目增加,管理者描述和管理访问控制规则的负担也增加。众所周知,基于角色的访问控制系统(RBAC)是上述问题的解决方案之一。RBAC访问控制规则描述了由雇员的“角色”构成的集合,如部门和职责,并将对象/动作描述为所许可的对角色的访问权。由于可以通过以角色为单位来描述规则而不是以主体为单位来描述规则以进一步防止规则的增加,因此管理者的负担减轻。为了避免混乱,将由“主体”、“对象”和“动作” 构成的访问控制规则称为ACL(访问控制列表),而将RBAC访问控制规则称为“RBAC策略” 或简称策略。为了将RBAC策略集合应用于访问机制,需要将策略集合转换为单一 ACL描述。由于在传统RBAC系统中仅描述肯定策略,即针对预定角色“所许可的访问权”,因此可以通过仅仅计算具有和每个策略相关联的角色的主体集合S与对象/动作的集合OA的直接乘积 SXOA并以任意描述顺序将其链接,可以将RBAC策略转换为单一 ACL。然而,在策略管理的工作中,可以想要一起描述否定策略,即针对预定角色的“所禁止的访问权”。例如,可能期望描述针对较大主体集合的肯定策略(如“会计部门的人可以访问公共服务器上的会计文件(策略1)”),还描述针对较小主体集合的否定策略(如“兼为另一部门的人不能访问会计文件(策略幻”)作为例外策略。转换至单一 ACL仅仅标识了根据同时包括肯定策略和否定策略的策略集合要许可或拒绝的主体、对象和动作的组合。专利文献1描述了一种对策略集合进行分层,并基于层级结构来决定要许可或拒绝的主体、对象和动作的组合。相关文献专利文献日本专利申请未审公开No.2006-155104(第0071段)
技术实现思路
为了将同时包括肯定策略和否定策略的策略集合正确转换为单一 ACL,需要根据主体集合之间的包含关系,针对策略集合中的每个元素确定ACL描述顺序。例如,为了将策略集合转换为单一 ACL,如果从策略1导出的ACL描述不是链接在从策略2导出的ACL描述之后,则不能正确反映策略之间的原则/例外关系。如果从策略 1导出的ACL描述链接在前,则访问控制机制将根据从策略1导出的ACL描述,许可兼为会计部门的人访问会计文件。用于本专利技术的术语定义如下。假定存在两个策略pi和p2,与其相对应的主体集合分别为Sl和S2。当且仅当 81当给定策略集合P= {pl,p2,…,pN}时,满足以下性质的P中元素的序列O称为总体顺序。·(性质)“如果对于任意P中的元素pi和pj,满足pi <pj,则在O中pi必定出现在Pj之前。”单一 ACL的正确描述顺序与以上定义的策略集合的总体顺序相对应。换言之, 假定与满足Pi < Pj的策略Pi和Pj相对应的ACL描述分别为A(pi)和A(pj),则通过以 A (pi IA (pj))的顺序来链接ACL描述,从而获得单一 ACL。例如,如果假定针对任意P = {pi, p2,p3,04,p5},与相应策略相对应的主体集合 Si、S2、S3、S4、S5具有图18所示的包含关系。P中包含的策略包含关系为pi > p2,pi > p3,pi > p4,pi > p5,p2 > p4,p2 > p5,p3 > p4,满足顺序(部分顺序)的总体顺序σ 为 <pl, ρ2, ρ3,ρ4,ρ5> 或 <pl, ρ2, ρ3,ρ5,ρ4>。然而,针对RBAC策略管理系统,未公开基于与策略相对应的主体集合之间的包含关系来找到策略集合的总体顺序的具体方法,因此,不能将包括肯定策略和否定策略的策略集合的ACL描述顺序呈现给策略管理者或者正确转换为单一 ACL。例如,对于在专利文献1中描绘的方法,描述了基于对象集合的层级(控制路径) 来分析目标资源重叠的访问控制设置是否矛盾,当检测到矛盾时,根据给定矛盾解决规则 (访问效果值是否等于或大于预定访问效果值)来校正矛盾的访问控制设置中的任一个。然而,专利文献1中描述的方法未考虑以下事实根据主体集合之间的包含关系, 在策略之间出现原则/例外关系。例如,如果由于先前注册的例外而检测到矛盾,即使在正确应用顺序中不出现矛盾,也可以将策略管理者设置的策略检测为违规。因此,本专利技术的目的是提供一种策略管理系统、策略管理方法和策略管理程序,能够将同时包括肯定策略和否定策略的策略集合正确转换为单一访问控制规则。根据本专利技术的策略管理设备包括角色信息存储单元,存储包括指示策略所要应用的主体集合的信息在内的角色信息以及能够指定角色信息中包含的主体集合之间的包含关系的信息;策略描述存储单元,存储策略描述,所述策略描述包括指示策略的信息以及用于标识策略所要应用于的主体集合的信息;策略分层单元,针对策略描述存储单元中存储的两个或更多策略,产生策略层级,在所述策略层级中,通过假定每个策略是一节点,基于每个策略所要应用的主体集合之间的包含关系,对两个或更多策略进行分层;以及策略排序单元,基于指示由策略分层单元所产生的策略层级的信息,对由要进行总体排序的两个或更多策略构成的策略集合进行总体排序,同时维持层级中的高/低关系。根据本专利技术的策略管理系统包括角色存储设备,包括角色信息存储单元,存储包括指示策略所要应用的主体集合的信息在内的角色信息以及能够指定角色信息中包含的主体集合之间的包含关系的信息;策略描述存储设备,包括策略描述存储单元,存储策略描述,所述策略描述包括指示策略的信息以及用于标识策略所要应用的主体集合的信息;策略总体排序设备,包括策略分层单元,针对策略描述存储单元中存储的两个或更多策略,产生策略层级,所述策略层级包括通过假定每个策略是一节点,基于每个策略所应用的主体集合之间的包含关系,由应用于不处于包含关系中的主体集合的策略构成的层;以及策略排序单元,基于指示由策略分层单元所产生的策略层级的信息,对由要进行总体排序的两个或更多策略构成的策略集合进行总体排序,同时维持不同层中的策略之间的层级关系。根据本专利技术的策略排序方法,用于能够指定主体集合之间的包含关系的给定主体集合以及指示所要应用的主体集合的策略集合,针对策略集合中包含的两个或更多策略, 所述方法包括策略分层步骤,产生策略层级,所述策略层级包括通过假定每个策略是一节点,基于每个策略所应用的主体集合之间的包含关系,由应用于不处于包含关系中的主体集合的策略构成的层;以及策略排序步骤,基于指示策略分层步骤中产生的策略层级的信息,对由要进行总体排序的两个或更多策略构成的策略集合进行总体排序,同时维持本文档来自技高网...
【技术保护点】
1.一种策略管理设备,包括:角色信息存储单元,存储包括指示策略所要应用的主体集合的信息在内的角色信息、以及能够指定所述角色信息中所包含的主体集合之间的包含关系的信息;策略描述存储单元,存储策略描述,所述策略描述包括指示策略的信息、以及用于标识所述策略所要应用的主体集合的信息;策略分层单元,针对所述策略描述存储单元中存储的两个或更多个策略,产生策略层级,在所述策略层级中,通过假定每个策略是一节点,基于每个策略所要应用的主体集合之间的包含关系,对两个或更多个策略进行分层;以及策略排序单元,基于指示由所述策略分层单元所产生的策略层级的信息,对策略集合进行总体排序,同时维持层级中的高/低关系,所述策略集合由要进行总体排序的所述两个或更多个策略构成。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:中江政行,
申请(专利权)人:日本电气株式会社,
类型:发明
国别省市:JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。