[发明专利]用于在数据处理系统中将安全信息与信息对象关联起来的系统和方法

说明书

技术领域

本发明一般地涉及改进的数据处理系统和方法。更具体地，本发明涉及用于在数据处理系统中将安全信息与信息对象关联起来的系统和方法。

背景技术

引用监控机是一种对源进行授权以对目标执行特定动作的授权和实行机制。很多引用监控机使用访问控制列表(ACL)来执行此类授权。针对每个源，这些ACL标识源可以访问的目标以及该源被授权拥有的特定类型的访问，即该源可以对目标执行何种动作。

大多数现代引用监控机和安全系统通过将“主体(subject)”安全属性以及“目标”安全属性与安全策略规则集合相比较来做出授权决定。经常将不同的数据类型分配给主体和目标安全属性。在www.opengroup.org/onlinepubs/009609199/chap3.htm#tagfcjh_2处描述的ISO 10181-3 Access Control Framework中提供了示出这些不同数据类型的一个示例。在该示例架构中，提供了四个不同的角色或数据类型，即发起者(源)、目标、访问控制实行功能以及访问控制决定功能。主体安全属性和目标安全属性之间的这种差异将不必要的复杂性添加到安全策略评估过程中，在该过程中，主体和目标安全属性的每个可能组合必须配备安全策略规则，从而在运行时间期间得到正确的评估。

此外，目标安全属性数据类型通常基于可以在目标资源上执行的操作集合。因此，目标安全属性类型在管理目标资源的应用结构和安全策略评估子系统的结构之间造成了不必要的联系。这继而在安全策略评估子系统中造成了不必要的复杂性，因为安全策略现在必须考虑由应用进行的数据操纵的语义以及安全策略评估的语义。

而且，区分主体安全属性和目标安全属性的数据类型在安全策略中造成了不对称，其将安全评估子系统限制于控制从主体(源)到目标(即，将接收信息的对象)的传输，但是不允许它控制从目标到源的传输。换言之，必须针对每对主体和目标之间的每个传输类型建立独立的策略，从而导致安全策略评估子系统更高的复杂性。

例如，假设存在两个对象A和B。为了覆盖对象A和B之间的所有可能的传输，在控制信息的传输时必须建立和评估四个策略：(1)A可以(或不可以)向B写入，(2)A可以(或不可以)从B读取，(3)B可以(或不可以)从A读取，以及(4)B可以(或不可以)向A写入。

已经针对控制数据处理系统的元素间的信息传输设计了很多不同的机制。例如，在授予Rodney Burnett的、名称为“Method forAttachment and Recognition of External Authorization Policy on FileSystem Resources”的美国专利No.6,766,314中，在文件系统中生成了包含对象的辅助属性的外部安全数据库。在文件访问尝试期间，将文件的标识符与安全数据库中保护文件的集合进行匹配。如果文件不在数据库中，那么不存在对该文件的保护，并且允许请求方访问该文件。如果在数据库中存在匹配，则保护该文件并且基于在外部安全属性中定义的安全规则集合来做出关于是否将允许请求方访问该文件的确定。

根据美国专利No.6,766,314的机制，资源管理器包括用于检索安全策略的组件，用于介入对保护文件的访问的组件，以及收集诸如访问用户和尝试动作之类的访问条件的组件。基于该安全策略、被访问的文件以及访问条件，提交有关于对文件访问的授权的决定。

因此，在美国专利No.6,766,314的机制中，将对文件访问的授权与用户身份和正在尝试的动作绑定。从而，将正在执行的动作与执行该动作的实体和正在被访问的文件绑定。如上所述，这在管理文件的应用结构和安全策略评估子系统的结构之间造成了不必要的联系。

在美国专利No.5,765,153中描述了类似机制。在美国专利No.5,765,153中，提供一种引用监控机，其基于主体身份、对象名称和由保护对象的接口定义的动作来实行策略。而且，通过使授权决定基于实体的身份以及在一个已识别实体上由另一已识别实体正在执行的动作类型，生成了不必要的联系，该联系使得安全策略评估子系统的实现复杂化。

发明内容

按照上述内容，有益的是，就数据处理系统元素之间的信息传输来提供一种用于简化安全结构的实现的机制。特别地，有益的是具有一种系统和方法，用于通过将安全策略应用于公共安全属性类型来控制信息流，从而信息传输中包括的动作不会使安全策略的应用复杂化。说明性实施方式提供此类系统和方法。