[发明专利]用于确定用户组对数据元素组的数据访问权限的方法及装置

说明书

技术领域

本发明涉及数据安全领域，尤其涉及在大型组织中的大量资源和用户的数据安全。

背景技术

以下的美国专利被认为是代表本领域的当前状态：美国专利号6772350、美国专利号6308173和美国专利号5889952。

发明内容

本发明的目的在于提供一种用于确定用户对具有大量资源和用户的一大型组织中的计算机资源的访问权限的方法和系统。

因此，根据本发明的一较佳实施例，提供一种确定一第一多重用户对至少一存储单元内的一第二多重计算机资源的访问权限的方法，所述方法包括：

将所述第一多重用户中的用户分组成一第一多个组，其中第一多个组的至少一组的所有组员对至少一个存储单元的所述第二多重计算机资源具有至少几乎相同的用户/资源访问权限；

将所述第二多重计算机资源中的资源分组成一第二多个组，其中第二多个组的至少一组的所有部分具有至少几乎相同的资源/用户访问权限；

确定一给定的用户是否是所述第一多个组的其中一组的一组员；

若所述给定的用户是所述第一多个组的所述其中一组的一组员，则将所述第一多个组的所述其中一组的用户/资源访问权限归于所述给定的用户，

确定一给定的资源是否是所述第二多个组的其中一组的一部分，以及

若所述给定的资源是所述第二多个组的所述其中一组的一部分，则将所述第二多个组的所述其中一组的资源/用户访问权限归于所述给定的资源。

根据本发明一较佳实施例，所述分组用户步骤包括确认一组用户安全组，每一所述用户安全组对至少一存储单元的至少一所述第二多重计算机资源具有访问权限；针对所述第一多重用户的每一用户，确认所述用户安全组的一子集，其中在所述用户安全组的子集中，所述用户为一组员；以及若所述用户安全组的一第一子集相同于所述用户安全组的一第二子集，那么相对于所述至少一存储单元，在所述第一多个组中的一单个组内，将一第一用户和一第二用户进行分组；其中，在所述用户安全组的一第一子集中，所述第一多重用户的第一用户为一组员；在所述用户安全组的一第二子集中，所述第一多重用户的第二用户为一组员。

根据本发明的一较佳实施例，所述分组用户步骤包括将所述第二多重计算机资源划分成至少两个部分，且在所述第一多重用户中将所述用户分组成所述第一多个组，其中所述第一多个组的其中一组的所有组员对包括在至少两部分中其中一部分的计算机资源具有至少几乎相同的用户/资源访问权限。

根据本发明的另一较佳实施例，所述划分步骤包括对所述第一多重用户的每一用户，计算出所述用户具有访问权限的所述第二多重计算机资源的一小部分资源，并比较所述小部分资源与一阈值；将所述小部分资源小于所述阈值的每一用户，以一降级安全组来表示；以及定义所述第二多重计算机资源的一第一部分为所有计算机资源的集合，其中所述计算机资源包括任意一降级安全组的访问权限。

根据本发明的另一较佳实施例，在所述第二多重计算机资源内的计算机资源被安排在一计算机资源分层中。较佳地，所述分组资源步骤包括针对计算机资源分层中的每一资源，检索在所述计算机资源分层中的所述资源的资源/用户访问权限，以及在所述计算机资源分层中的所述资源的一直系始源(immediate ancestor)的资源/用户访问权限；以及若所述直系始源的资源/用户访问权限相同于所述资源的资源/用户访问权限，在所述第二多个组中的一单个组中，将所述资源和所述直系始源进行分组。附加地或替换地，所述分组资源步骤包括提供一指针，由所述资源指向所述直系始源，并延伸指向所述资源的指针至指向所述直系始源。

根据本发明另一较佳实施例，附加地提供一种用于确定一第一多重用户对至少一存储单元的一第二多重计算机资源的访问权限的方法，所述方法包括：将所述第一多重用户中的用户分组为一第一多个组，其中所述第一多个组的至少一组的所有组员对所述至少一存储单元的所述第二多重计算机资源具有至少几乎相同的用户/资源访问权限；确定一给定用户是否是所述第一多个组的其中一组的一组员，以及若所述给定的用户是所述第一多个组的所述其中一组的一组员，将所述第一多个组的所述其中一组的用户/资源归于所述给定的用户。