[发明专利]用于实行信息流策略的引用监控机系统和方法

说明书

技术领域

本发明一般地涉及改进的数据处理系统和方法。更具体地，本 发明涉及用于实行信息流策略的引用监控机系统和方法。

背景技术

引用监控机是一种对源进行授权以对目标执行特定动作的授权 和实行机制。很多引用监控机使用访问控制列表(ACL)来执行此 类授权。针对每个源，这些ACL标识源可以访问的目标以及该源被 授权拥有的特定类型的访问，即该源可以对目标执行何种动作。

大多数现代引用监控机和安全系统通过将“主体(subject)”安 全属性以及“目标”安全属性与安全策略规则集合相比较来做出授 权决定。经常将不同的数据类型分配给主体和目标安全属性。在 www.opengroup.org/onlinepubs/009609199/chap3.htm#tagfcjh_2处描 述的ISO 10181-3 Access Control Framework中提供了示出这些不同 数据类型的一个示例。在该示例架构中，提供了四个不同的角色或 数据类型，即发起者(源)、目标、访问控制实行功能以及访问控 制决定功能。主体安全属性和目标安全属性之间的这种差异将不必 要的复杂性添加到安全策略评估过程中，在该过程中，主体和目标 安全属性的每个可能组合必须配备安全策略规则，从而在运行时间 期间得到正确的评估。

此外，目标安全属性数据类型通常基于可以在目标资源上执行 的操作集合。因此，目标安全属性类型在管理目标资源的应用结构 和安全策略评估子系统的结构之间造成了不必要的联系。这继而在 安全策略评估子系统中造成了不必要的复杂性，因为安全策略现在 必须考虑由应用进行的数据操纵的语义以及安全策略评估的语义。

而且，区分主体安全属性和目标安全属性的数据类型在安全策 略中造成了不对称，其将安全评估子系统限制于控制从主体(源) 到目标(即，将接收信息的对象)的传输，但是不允许它控制从目 标到源的传输。换言之，必须针对每对主体和目标之间的每个传输 类型建立独立的策略，从而导致安全策略评估子系统更高的复杂性。

例如，假设存在两个对象A和B。为了覆盖对象A和B之间的 所有可能的传输，在控制信息的传输时必须建立和评估四个策略： (1)A可以(或不可以)向B写入，(2)A可以(或不可以)从B 读取，(3)B可以(或不可以)从A读取，以及(4)B可以(或 不可以)向A写入。

已经针对控制数据处理系统的元素间的信息传输设计了很多不 同的机制。例如，在授予Rodney Burnett的、名称为“Method for Attachment and Recognition of External Authorization Policy on File System Resources”的美国专利No.6,766,314中，在文件系统中生成 了包含对象的辅助属性的外部安全数据库。在文件访问尝试期间， 将文件的标识符与安全数据库中保护文件的集合进行匹配。如果文 件不在数据库中，那么不存在对该文件的保护，并且允许请求方访 问该文件。如果在数据库中存在匹配，则保护该文件并且基于在外 部安全属性中定义的安全规则集合来做出关于是否将允许请求方访 问该文件的确定。

根据美国专利No.6,766,314的机制，资源管理器包括用于检索 安全策略的组件，用于介入对保护文件的访问的组件，以及收集诸 如访问用户和尝试动作之类的访问条件的组件。基于该安全策略、 被访问的文件以及访问条件，提交有关于对文件访问的授权的决定。

因此，在美国专利No.6,766,314的机制中，将对文件访问的授 权与用户身份和正在尝试的动作绑定。从而，将正在执行的动作与 执行该动作的实体和正在被访问的文件绑定。如上所述，这在管理 文件的应用结构和安全策略评估子系统的结构之间造成了不必要的 联系。

在美国专利No.5,765,153中描述了类似机制。在美国专利No. 5,765,153中，提供一种引用监控机，其基于主体身份、对象名称和 由保护对象的接口定义的动作来实行策略。而且，通过使授权决定 基于实体的身份以及在一个已识别实体上由另一已识别实体正在执 行的动作类型，生成了不必要的联系，该联系使得安全策略评估子 系统的实现复杂化。

发明内容