[发明专利]用于管理安全对象的方法和系统

说明书

技术领域

本发明涉及一种用于在计算机系统中管理安全对象的方法和系统。

背景技术

现代交易环境包括专用安全模块来管理用户对资源的访问。由于此类系统中的用户和资源数量可能非常大，因此，相关的复杂性变得不可能由人类管理。已经构想出便利安全规则的管理的系统和方法，这些安全规则用于控制在此类系统上仅执行授权操作。

由Harrison和Kitov提出的公开号为US2009/0138938的美国专利申请描述了一种用于审计安全策略的系统和方法，并具体描述了如何可使用包含有关已记录安全规则使用的信息的日志记录来获取有关已记录安全对象的所述规则的信息。

Platt等人提出的公开号为US2009/0249440的美国专利申请描述了一种用于管理跨网络资源访问的系统和方法，并具体描述了如何在网络环境中使用中央管理服务器、数据库服务器和控制器拦截访问请求以及如何准许或拒绝请求。

发明内容

根据本发明的第一方面，提供了根据权利要求1的一种用于管理用户对计算机系统中的资源的访问的方法。

此方面的一个优点是记录不同访问请求的日志非常简单，因此在处理大量同时请求时，最小化了对系统性能的影响。另一优点是此方法可以容易地检测不使用或很少使用的安全对象，其中包括诸如组之类的经常被安全规则管理方法忽视的身份对象。

在第一方面的第一发展中，计数器在用户每次请求访问资源时递增。

一个优点是该值将允许针对很少使用的安全对象进行更精确的决定。

在第一方面的第二发展中，进一步记录访问请求的时间戳；并设置安全对象标志以进一步包括所述时间戳。

一个优点是该时间戳将允许对于很久之前但不是近期使用的对象进行更复杂的决定，而不考虑尚未使用的对象。

在第一方面的第三发展中，检测冲突的访问路径，并且将被否决路径的标志设置为表示它未被使用的值。

根据本发明的第二方面，提供了一种包括适合于执行根据本发明第一方面的方法的每个步骤的装置的装置。

一个优点是此装置可以容易地获取，因此使该方法容易执行。

根据本发明的第三方面，提供了一种包括指令的计算机程序，所述指令用于当所述计算机程序在计算机上执行时，执行根据本发明第一方面的方法的步骤。

一个优点是本发明可以容易地再现并在不同的计算机系统上运行。

根据本发明的第四方面，提供了一种上面编码有根据本发明第三方面的计算机程序的计算机可读介质。

一个优点是可使用该介质在各种装置上容易地安装所述方法。

通过参考附图和详细描述，本发明的进一步优点对于本领域的技术人员来说将是清楚的。此处旨在包含其他任何优点。

附图说明

现在参考附图作为示例描述本发明的实施例，在所述附图中，相似的标号表示相似的元素，并且其中：

图1示出其中可实现本发明的系统的高级视图。

图2示出用户和资源之间不同访问路径的示例。

图3示出用于管理安全对象的高级过程。

图4示出本发明实施方式的活动图。

具体实施方式

图1示出系统的高级视图，该系统包括：

-用户（100）；

-应用（110）；

-资源对象（120）；

-访问请求拦截组件（130）

-用户认证组件（140），用于验证用户身份，例如通过验证用户名和密码；

-用于存储用户身份和组层次结构的数据库（150）；

-用户授权组件（160），用于准许或拒绝对资源对象（120）的访问；

-访问控制描述符（也称为访问控制列表）数据库（170）；

-安全监视组件（180），用于在审计数据库（190）中记录访问请求参数。

当被认证用户（100）尝试访问资源对象（120）以执行需要特定访问级别的操作（例如，用于查看操作的读取或用于更新操作的写入）时，首先必须由授权组件（160）授权用户访问。这种组件通常依赖于访问控制描述符数据库（170）来判定谁对特定资源具有何种访问权限。所述授权可由尝试访问资源的应用（110）直接请求，也可由访问请求拦截组件（130）请求，因为经常的情形是应用并不总是了解其被执行的环境，因此会无法直接调用授权组件（160）。