发明名称 |
用于同时定义和实行访问控制和完整性策略的系统、方法和装置 |
摘要 |
通过在用于在计算系统上运行的应用的软件代码中检测安全性敏感汇点、并且从对计算系统可访问的数据库获取访问控制策略来在计算系统中实行访问控制和信息流完整性策略。访问控制策略将计算系统内的访问权限集映射到多个参与方中的每个参与方。针对每个检测到的安全性敏感汇点,检测影响该安全性敏感汇点的所有参与方,并且通过取得每个安全性敏感汇点的所有有影响的参与方的访问权限集的交集,向该安全性敏感汇点分配总访问权限。如果这一权限集不充分,则报告完整性违规。此外,向在安全性敏感汇点中使用的变量的每个值分配权限标签。每个权限标签为权限集。 |
申请公布号 |
CN102667712B |
申请公布日期 |
2015.07.22 |
申请号 |
CN201080052825.8 |
申请日期 |
2010.09.14 |
申请人 |
国际商业机器公司 |
发明人 |
P·森通泽;Y·A·哈维;R·海;M·皮斯托亚;A·沙拉巴尼;O·特里普 |
分类号 |
G06F9/00(2006.01)I;G06F15/16(2006.01)I |
主分类号 |
G06F9/00(2006.01)I |
代理机构 |
北京市金杜律师事务所 11256 |
代理人 |
酆迅 |
主权项 |
一种用于在计算系统中实行访问控制和完整性策略的方法,所述方法包括:在用于在所述计算系统上运行的应用的软件代码中检测安全性敏感汇点;从对所述计算系统可访问的数据库获取访问控制策略,所述访问控制策略将所述计算系统内的访问权限集映射到多个参与方中的每个参与方;针对每个检测到的安全性敏感汇点,确定影响该安全性敏感汇点的所有参与方,所述参与方包括当前调用栈中的参与方和当前调用栈以外的参与方,并从所述当前调用栈中的参与方和当前调用栈以外的参与方获得值,所述值被读取到所述安全性敏感汇点;通过取得每个安全性敏感汇点的所有有影响的参与方的所述访问权限集的交集,向所述安全性敏感汇点分配总访问权限;以及当给定安全性敏感汇点的总访问权限不足以满足来自所述计算系统内的资源的所需权限时,报告完整性违规。 |
地址 |
美国纽约阿芒克 |