专利名称:使用主动化身保护资源的系统和方法
技术领域:
本公开总体上涉及在诸如交易处理环境之类的分布式计算环境中使资源!,resource)女全。
背景技术:
设计与复杂的、多组件计算环境相关联的安全系统以允许主动(active)实体(如,用户)对于静态实体(如,数据源)的选择性和受控的访问。组件协同地一起工作以形成更大系统的这种类型的代表性多组件系统是IBMvHTTP (HyperText Transfer Protocol,超文本传输协议)和Web服务处理环境,其可以使用诸如IBM zl96系列的计算机器的IBM大型机计算机加以实施。这种环境通常包括IBM的WAS (WebSphere* App lication Server, Web Sphere 应用服务器)中间件平台软件产品, 其与一个或多个诸如IBM(J丨C"SR)(Customer Information Control System,客户信息控制系统)和/或IBMIMS (Information Management System,信息管理系统)之类的交易处理产品、诸如IBM WebSphere MQ之类的消息处理产品和诸如IBM DB2 数据库之类的关系数据库结合地工作。多组件环境的目的是要提供对于客户端终端用户而言可使用HTTP或其它Web服务经由因特网浏览器访问的高性能交易处理计算系统或环境。在这种环境中,做出HTTP或Web服务请求的客户端终端用户直接与应用服务器通信。通常,为了履行来自分布式客户端终端用户的交易请求,应用服务器调用环境中一个或多个其它组件的服务。这些组件中的ー个或多个通常在IBM Z/(_)S、R操作系统(其经常称为“大型机”操作系统平台)之类的操作系统上运行。在这种环境中,交易处理、消息发送和数据库组件通常在包括用于管理环境内安全的框架(framework)的大型机计算机内运行。框架包括安全服务器。在代表性的z/0S实施方案中,安全框架由z/OS安全服务器提供,其包括IBM RACFk (Resource AccessControl Facility,资源访问控制设施)作为其安全引擎。RACF允许管理员通过定义以什么级别保护什么并且确定谁可以访问受保护资源来设置规则以用于控制对于资源的访问。在典型的大型机操作环境(例如,ζ/OS)中,RACF用于标识和验证用户访问数据和使用系统设施的权力。上面描述的产品和技术掲示了可以由受许可实体(如,管理员)用于监视和管理正在受系统保护的资源的界面。然而,这些方法通常将控制赋予了中心安全管理员。期望提供这样的技术通过该技术,此类型的计算系统上的数据资源的拥有者可以保护该数据源,而不需要中心安全管理员对于监视和报告与数据源相关联的活动的主动參与。本公开解决这种需求。
发明内容
根据本公开,计算系统中的数据源(例如,静态受保护资源)的拥有者经由“虚拟”或代理实体或“化身(avatar)”来保护此源。实体是其在系统中的存在是像人一样的对象,并且其被给予为拥有者保护数据源的特定任务。尤其是,化身与非人用户标识符(userid)相关联(或者由非人用户标识符限定),所述非人用户标识符具有有权访问受保护的数据源的所有(或限定的)用户、用户组和其它资源的相同访问权和特权。在初始设置期间,指定在一旦发生关于数据源的可动作事件时要由非人userid执行的ー个或多个动作,并且确定与数据源相关联的“基线”。所述基线包括标识关于所述数据源的许可访问的数据的数据、以及受许可访问所述数据源的所有(或限定的)用户、用户组和其它资源的列表。接着设置,在非人userid下运行监视处理,并且此处理记录对于数据源的ー个或多个访问。定期地,或者一旦有给定发生的事情时,监视处理产生一个或多个辅助处理以确定是否已经触发了可动作事件。这些辅助处理包括以下中的ー个或多个捜索处理(例如,用以确定数据源的副本是否存在于系统中别的地方)、审核处理(例如,用以确定动作或动作的集合是否指示对于数据源的威胁)以及动作任务处理(例如,用以响应针对数据源的特定消息)。如果化身的监视努力指示可动作事件(诸如,访问违规),则采取如动作矩阵中限定的动作。动作通常包括报告给数据源拥有者以及可选择地安全管理员。系统也可以响应于可动作事件以禁止对于正在受保护的资源的访问。在可替换的实施方式中,在装置中进行上面描述的方法。所述装置执行所述方法。 在另一可替换的实施方式中,由计算机可读介质中的用于数据处理系统中的计算机程序产品执行上面描述的方法。所述计算机程序产品保存计算机程序指令,所述计算机程序指令在由所述数据处理系统运行时进行所述方法。以上已经概述了所公开主题的某些更加有关联的特征。这些特征应当解释为只是说明性的。如将在下面描述的,通过以不同的方式应用所公开的主题或者通过修改主题,可以得到许多其它的有益結果。
为了更加完整的理解本发明和其优点,现在对结合附图采取的以下描述进行參照,在附图中图I描绘可以实施说明性实施方式的示例性方面的分布式数据处理环境的示例性框图;图2是可以实施说明性实施方式的示例性方面的数据处理系统的示例性框图;图3描绘包括分布式和大型机计算组件两者并且其中可以实施本公开的主题的多组件交易处理环境的一个实施方案;图4是图示根据此公开的数据源化身(DSA)的初始设置的处理流程图;图5图示根据此公开的可以实施DSA功能的安全服务器;图6是图示根据本公开的监视处理和其如何用于产生捜索的处理流程图;图7是图示根据此公开的监视处理如何用于产生审核处理的处理流程图;图8是图示根据本公开的监视处理如何产生动作任务以响应于来自数据源拥有者的请求的处理流程图;以及图9图示由监视处理使用的代表性动作矩阵(AM, action matrix)。
具体实施方式
现在參照附图,尤其是參照图1-2,提供可以实施本公开的说明性实施方式的数据处理环境的示例性图。应当领会,关于可以实施所公开主题的方面或实施方式的环境,图1-2只是示例性的,而并非g在断定或者暗示任何限制。可以在不脱离本发明的精神和范围的情况下进行对于所描绘环境的许多修正。现在參照附图,图I描绘可以实施说明性实施方式的方面的示例性分布式数据处理系统的图解表示。分布式数据处理系统100可以包括可以实施说明性实施方式的方面的计算机的网络。分布式数据处理系统100含有至少ー个网络102,其是用以提供分布式数据处理系统100内连接在一起的各种设备和计算机之间的通信链路的介质。网络102可以包括诸如有线、无线通信链路或纤维光学线缆之类的连接。在所描绘的示例中,服务器104和服务器106连同存储单元108 —起连接至网络102。另外,客户端110、112和114也连接至网络102。这些客户端110、112和114例如可以是个人计算机、网络计算机等。在所描绘的示例中,服务器104将诸如启动文件、操作系统图像和应用程序之类的数据提供给客户端110、112和114。在所描绘的示例中,客户端110、112和114是服务器104的客户端。分布式数据处理系统100可以包括另外的服务器、客户端和其它设备(未示出)。在所描绘的示例中,分布式数据处理系统100是具有网络102和网关的因特网,所述网络102表示全世界网络的集合,所述网关使用协议的TCP/IP (Transmission ControlProtocol/Internet Protocol,传输控制协议/因特网协议)族相互通信。在因特网中心是主节点或主机计算机之间高速数据通信线路的骨干(backbone),其由数以千计的路由数据和消息的商业、政府、教育或其它计算机系统组成。当然,分布式数据处理系统100也可以实施为包括许多不同类型的网络,如内部网、局域网(LAN)、广域网(WAN)等。如上面声明的,图I g在作为示例,而并非作为对于所公开主题的不同实施方式的架构上的限制,因此,关于可以实施本发明的说明性实施方式的环境,图I中所示的特定元件不应当认为是限制。现在參照图2,示出可以实施说明性实施方式的方面的示例性数据处理系统的框图。数据处理系统200是其中实施本公开说明性实施方式的处理的计算机可用代码或指令可以位于的计算机(如图I中的客户端110)的示例。现在參照图2,示出可以实施说明性实施方式的数据处理系统的框图。数据处理系统200是其中对于说明性实施方式,实施处理的计算机可用代码或指令可以位于的计算机(如图I中的服务器104或客户端110)的示例。在此说明性示例中,数据处理系统200包括通信光纤202,其提供处理器单元204、存储器206、永久存储208、通信单元210、输入/输出(1/0)单元212和显示器214之间的通信。 处理器単元204用于运行可被加载至存储器206中的软件的指令。取决于特定的实施方案,处理器単元204可以是ー个或多个处理器的集合,或者可以是多处理器核心。进一歩,可以使用其中主处理器与辅助处理器一起存在于单个芯片上的ー个或多个异构处理器系统来实施处理器単元204。作为另ー说明性示例,处理器単元204可以是含有相同类型的多个处理器的对称多处理器(SMP, symmetric multi-processor)系统。存储器206和永久存储208是存储设备的示例。存储设备是能够在暂时的基础上和/或永久的基础上存储信息的任何ー个硬件。在这些示例中,存储器206例如可以是随机存取存储器或者任何其它可适用的易失性或非易失性存储设备。依据特定的实施方案,永久存储208可以采取各种形式。例如,永久存储208可以含有一个或多个组件或设备。例如,永久存储208可以是硬盘驱动器、闪速存储器、可重写光盘、可重写磁带或者以上的某些组合。永久存储208使用的介质也可以是可移除的。例如,可以将可移除硬盘驱动器用于永久存储208。在这些示例中,通信単元210提供与其它的数据处理系统或设备的通信。在这些示例中,通信単元210是网络接ロ卡。通信単元210可以通过物理和无线通信链路中任一或两者的使用来提供通信。对于可连接至数据处理系统200的其它设备,输入/输出单元212允许数据的输入和输出。例如,输入/输出单元212可以通过键盘和鼠标提供用于用户输入的连接。进一歩,输入/输出单元212可以将输出发送至打印机。显示器214将用以显示信息的机制提供给用户。用于操作系统和应用程序的指令或程序位于永久存储208上。可以将这些指令加 载在存储器206中以供处理器单元204运行。可以由处理器单元204使用计算机实施的指令(其可以位于诸如存储器206之类的存储器中)执行不同实施方式的处理。这些指令称为程序代码、计算机可用程序代码或者计算机可读程序代码,其可由处理器単元204中的处理器读取和运行。可以将不同实施方式中的程序代码体现在不同的物理或者有形计算机可读介质上,如存储器206或永久存储208。程序代码216以功能形式位于可选择地可移除的计算机可读介质218上,并且可以加载或者传输至数据处理系统200用于处理器単元204运行。在这些示例中,程序代码216和计算机可读介质218形成计算机程序产品220。在一个示例中,计算机可读介质218可以处于有形的形式,如例如光盘或磁盘,其被插入或放入作为永久存储208的一部分的驱动器或其它设备中,以用于传输到诸如作为永久存储208的一部分的硬盘驱动器之类的存储设备上。以有形的形式,计算机可读介质218也可以采用与数据处理系统200连接的硬盘、拇指驱动器或闪存之类的永久存储的形式。计算机可读介质218的有形形式也称为计算机可记录存储介质。在某些实例中,计算机可读介质218可以不是可移除的。可替代地,程序代码216可以经由到通信単元210的通信链路和/或经由到输入/输出单元212的连接而从计算机可读介质218传输至数据处理系统200。在说明性的示例中,通信链路和/或连接可以是物理的或者无线的。计算机可读介质也可以采用非有形介质的形式,如包含程序代码的通信链路或者无线传输。针对数据处理系统200图示的不同组件并非意在提供对于可以实施不同实施方式的方式的架构上的限制。不同的说明性实施方式可以在这样的数据处理系统中实施该数据处理系统除了包括针对数据处理系统200图示的那些组件之外还包括组件,或者包括取代针对数据处理系统200图示的那些组件的组件。图2中所示的其它组件可以相对于所示出的说明性示例改变。作为ー个示例,数据处理系统200中的存储设备是可以存储数据的任何硬件装置。存储器206、永久存储208和计算机可读介质218是处于有形形式的存储设备的示例。在另ー示例中,总线系统可用于实施通信光纤202,并且可以由诸如系统总线或输入/输出总线之类的ー个或多个总线组成。当然,可以使用提供用于附接至总线系统的设备或不同组件之间数据传送的任何适当类型的架构来实施总线系统。另外,通信単元可以包括用于发送和接收数据的一个或多个设备,如调制解调器或网络适配器。进ー步,存储器例如可以是诸如可以在通信光纤202中出现的接口和存储器控制器集线器中发现的存储器206或高速缓存。可以以ー个或多个编程语言的任何组合的方式编写用于执行本发明的操作的计算机程序代码,所述编程语言包括诸如Java 、Smalltalk、C++之类的面向对象编程语言和诸如“C”编程语言或类似编程语言之类的传统过程性编程语言。程序代码可以完全在用户的计算机上运行,部分在计算机上运行,作为孤立的软件封包,部分地在用户的计算机上并且部分地在远程计算机上运行,或者完全地在远程计算机或服务 器上运行。在后ー场景下,远程计算机可以通过任何类型的网络(包括局域网、(LAN)或广域网(WAN))连接至用户的计算机,或者可以(例如,使用因特网服务提供商经由因特网)对外部计算机进行连接。本领域普通技术人员将领会的是,图1-2中的硬件可以依据实施方案而改变。除了或者代替图1-2中描绘的硬件,可以使用诸如闪存、等同的非易失性存储器或者光盘驱动器等之类的其它内部硬件或外围设备。此外,可以在不脱离所公开主题的精神和范围的情况下将说明性实施方式的处理应用于除之前提到的对称多处理(SMP)系统以外的微处理器数据处理系统。如将会看到的,这里描述的技术可以结合地在诸如图I中图示的标准客户端服务器范例内工作,其中客户端机器与在一个或多个机器的集合上运行的因特网可访问的基于Web的门户进行通信。終端用户操作能够访问门户(portal)并且与之交互的因特网可连接的设备(例如,台式计算机、笔记本型计算机、因特网使能的移动设备等)。通常,每个客户端或服务器是诸如图2中图示的包括硬件和软件的数据处理系统,并且这些实体经由网络(如,因特网、内部网、外部网、专用网络或者任何其它的通信介质或链路)相互通信。数据处理系统通常包括一个或多个处理器、操作系统、一个或多个应用程序和ー个或多个公共设施。数据处理系统上的应用提供对于Web服务的本地支持,其不加以限制地包括对于HTTP、SOAP、XML、WSDL、UDDI和WSFL等等的支持。关于SOAP、WSDL、UDDI和WSFL的信息可从负责开发和维护这些标准的W3C (World Wide Web Consortium,万维网同盟)得到;进一步,关于HTTP和XML的信息可从IETF (Internet Engineering Task Force,因特网工程任务组)得到。假定熟悉这些标准。在代表性的但非限制性的实施方案中,在包括协同工作以响应于HTTP和Web服务客户端终端用户或交易请求的分布式和大型机组件的交易处理系统或环境的上下文中描述这里的技木。这种系统或环境通常包括以分布的方式配置的多个组件。更大的多组件交易处理环境的分布式组件通常至少包括计算机、操作系统平台、应用程序、联网和在HTTP和Web服务场景中提供分布式交易处理功能(如,与客户端终端用户的联网交互)以及标识和认证功能的相关联安全引擎。这种类型的交易处理系统或环境通常还包括这样的大型机组件其至少包括计算机、操作系统平台、应用程序、联网和提供高性能后端交易处理和大数据库功能的相关联安全引擎。图3中示出了实施这里的主题的多组件计算环境的ー个特定实施方式。此环境包括初始认证组件305和后续大型机处理组件315。每个组件包括其自身的安全引擎和用户注册表(registry) 306、308。用户注册表(这里也称为本地用户注册表或安全注册表)含有关于具有对于各个组件的访问权的用户的信息,如用户ID和密码。在一个示例中,初始认证组件可以是在Linux操作系统上运行的、在zl96计算机(由IBM商业提供)内的LPAR(Logical Partition,逻辑分区)内运行的WAS(WebSphere Application Server,WebSphere应用服务器),并且后续处理组件可以是在大型机操作系统(如,IBM z/OS操作系统)内运行的、在相同或者可能不同的zl96计算机上执行的CICS (Customer Information ControlSystem,客户信息控制系统)(其也由IBM提供)的实施方案。初始认证服务器包括标识和认证组件或服务以标识和认证做出请求310的客户端终端用户300。在一个实施方式中,通过例如在Linux环境中实施适当的可插接认证模块的操作系统来完成标识和认证。在另ー实施方式中,通过客户端认证的SSL完成客户端终端用户标识和认证,其中客户端终端用户具有由受认证分布式组件信任的证书授权签署的数字证书。
在初始认证组件和后续处理组件的安全引擎之间建立信任关系。信任关系基于秘密加密数据签名密钥的安全交換,所述密钥用于验证分布式安全信息交易处理消息部分内传输的分布式客户端终端用户标识和其它信息。实际的安全交换可以通过多个已知的方法完成。通常,初始认证组件例如使用由IBM z/OS操作系统内的公钥基础设施(PublicKey Infrastructure)功倉^:支持的 SCEP(SCEP, Simple Certificate Enrollment Protocol,简单证书注册协议)来获取作为其安装处理一部分的数字证书。作为其初始化处理的一部分,初始认证组件305用交易处理环境的大型机组件315的大型机安全引擎308建立客户端认证的SSL会话。在此“初始化会话”期间,初始化认证组件将向大型机安全引擎“注册”自身作为用户,并且使得其凭据(包括共享的秘密数据签名密钥)记录在大型机安全引擎(例如,RACF)内、大型机安全引擎针对所选择的用户保留的“密钥环”内的大型机安全引擎用户注册表内,由此建立信任关系。这种信任关系意味着,在分布式和大型机组件使用的安全用户标识和认证服务之中,在一个组件内执行的用户标识和认证受到多组件交易处理环境内的另ー组件理解和信任。这种安全信任关系在此也称为信任域,其中域301是ー个示例。信任域301建立为包括初始认证组件305和至少ー个后续处理组件315。在操作中,在多组件交易处理环境301的分布式组件305内运行的作为其处理一部分的交易303向相同环境的大型机组件发起后续交易请求316。在到大型机组件315的交易请求消息流程中,分布式组件305包括分布式安全认证信息317。大型机组件315连同后续交易请求316—起接收分布式安全认证信息317,并且利用安装管理地限定的映射功能319以确定与什么本地大型机组件用户身份执行后续交易312。所利用的映射功能可以是将给定的分布式客户端终端用户与特定大型机用户身份相关联的简单编程编码的表格,或者其可以是更加管理友好的和功能的程序产品,如IBM EIM(Enterprise Identity Mapping,企业身份映射)产品。使用主动的化身监视、捭索、审核和报告,主动地保护数据源上面用作背景的情况下,现在描述此公开的主題。优选地在诸如上面描述的多组件计算环境内运行的安全服务器中实施这里的技木。在代表性实施方式中,安全服务器是具有对于RACF (Resource Access Control Facility,资源访问控制设施)或其等效物的支持的ζ/OS安全服务器。描述的技术不限于利用这样的特定产品
根据此公开,并且如上所述,计算系统中数据资源的拥有者经由“虚拟”实体或对象(这里有时称为“化身”)保护此数据源。如这里使用的,期望受保护的“数据源”或“资源”应当广义地解释为指代以下之一数据对象、数据集合或合集、文件、目录内文件的集合、目录的内容、多个目录、驱动程序的内容、ー个或多个标识的对象、驱动程序、数据存储、处理或程序、机器、或者机器的集合。虚拟实体在系统中具有像人一祥的呈现。其在系统中被分配了特定的任务,即,用于代表此数据源的拥有者保护数据源。为此目的,化身与非人用户标识符(例如,“ userid”或者其它的这种标签)相关联(或者由非人用户标识符限定)。安全服务器向此userid给予有权访问受保护数据源的所有(或,限定的)用户、用户的组以及其他资源的相同访问权和特权(许可)。为了方便起见,在此将访问权和特权的这种合成集合称为关于数据源的“访问权利和特权的总集合”。由此,实际上,userid标识作为可以另外访问数据源的所有(或限定的)用户、用户的组和其它资源的合成的虚拟“用户”。这样,对于拥有者期望保护的数据源,虚拟的用户是拥有者的另ー个自我,或者更常见的,拥有者的化身。如将会看到的,安全服务器然后使得化身主动地自动和自主地监视和保护数据源,如同拥有者直接执行那些活 动一祥。在初始设置期间,指定在一旦发生关于数据源的可动作(actionable)事件时要由非人userid执行的ー个或多个动作,并且确定与数据源相关联的“基线(baseline)”。基线包括标识关于数据源的许可访问的数据,以及受许可访问该数据源的所有(或限定的)用户、用户组和其它资源的列表。在设置完成后,运行时间操作开始。尤其是,在非人的userid下执行监视处理,并且此处理记录对于数据源的ー个或多个访问。定期地,或者在给定的发生的事情时,监视处理产生一个或多个辅助地处理以确定可动作事件是否被触发。这些辅助的处理包括以下中的ー个或多个捜索处理(例如,用以确定数据源的副本是否存在于系统中别的地方)、审核处理(例如,用以确定动作或动作的集合是否指示对于数据源的威胁)以及动作任务处理(例如,用以响应针对数据源的特定消息)。如果化身的监视努力指示可动作事件(诸如,访问违规),则采取如动作矩阵中限定的动作。动作通常包括报告给数据源拥有者以及可选择地安全管理员。系统也可以响应于可动作事件以禁止对于正在受保护的资源的访问。由此,根据这里的技术,创建非人的userid (数据源化身),优选地具有有权访问受保护数据源的任何userid或userid组的所有访问权和特权。化身然后监视对于数据源的任何访问,例如以核对用于后续审核的数据访问,以主动地捜索副本(部分或全部)等。在有疑问访问发生的情况下,化身可以发起访问去除。该操作优选地独立于安全管理员,并且优选地将任何的动作直接报告给数据源拥有者。由此,此功能提供这样的方法凭借该方法,计算机或计算机系统上数据源的拥有者可以在不參照安全管理员的情况下使得此数据源主动地受到保护。上面的描述总结了本公开的数据源化身(DSA)的基本功能。下面提供优选实施方案的额外细节。在一个实施方式中,在安全服务器(或者,更一般地,“装置”)中功能实施为一个或多个计算机程序,其包括由一个或多个处理器运行的计算机程序指令的集合。安全服务器可以包括或是共同定位或是整体地或部分地相对于彼此分布的一个或多个处理或程序。在替换方案中,可以在不限制地包括云计算环境的其它计算环境中执行这些功能中的ー个或多个。图4是图示初始设置操作的处理流程。在一个实施方式中,数据拥有者通过由安全服务器显示的一个或多个显示面板或屏幕执行此处理。可以相对于安全服务器本地或远程地执行配置。可替换地,可以可编程地配置初始设置(或者其步骤)。在步骤400,处理开始于数据源拥有者请求数据源化身(DSA)。优选地,要保护的给定数据源具有其自身相关联的DSA,尽管可以由多个数据源或者在多个数据源之中共享特定的DSA。与此步骤相关联地,数据源的拥有者(例如向数据 源驻于的系统上的安全管理员)做出请求以创建非人userid。在替换方案中,系统可以自动地或者可编程地提供非人userid,在此情况下未涉及安全管理员。如上描述的,然后DSA被授予当前可受许可对此数据源做动作(例如,读或者修改)的所有userid (用户)、userid的组(用户的组)和其他资源(如,程序)的相同访问权和许可。如这里使用的,“所有”指代userid、组等中的每ー个,或者其被限定的或可配置的子集。在步骤402,万一遇到可动作事件(AE),数据源的拥有者指定要由DSA执行的动作的一个或多个并且优选是其矩阵。优选地,存在与每个DSA/数据源相关联的动作矩阵。可以共享动作矩阵。如矩阵中限定的这种动作可以是主动的或者被动的,或者其某些组合。由此,被动动作可以是将发生报告给数据源拥有者、报告给安全管理员、报告给某些其它实体或者其ー些组合。主动动作的示例是禁止对于关于可疑userid或userid的组等的数据源的动作。在步骤404,在数据源驻于的计算机系统上创建DSA。通过在安全服务器框架中举例说明化身处理实例来执行此步骤。然后,例程在步骤406继续,以创建关于所有许可访问的数据源和用户、用户的组和其它资源(如程序)的列表的快照(snapshot)。然后将此数据存储为“基线”。可以定期地或者可编程地更新基线。这完成了关于期望要受拥有者保护的数据源的DSA的初始设置。图5图示安全服务器500,其包括处理器502 ;以及计算机存储器504,其保持计算机程序指令506,用于创建和管理供主动地监视数据源510所使用的DSA处理实例508 (每个DSA)。如注明的那样,优选地,安全服务器在运行时间操作期间激活每个DSA实例,其现在加以描述。一般地,DSA实例针对数据源进行监视,并且现在针对图6和图7中的处理流程图描述这种监视。图8中的处理流程示可以如何使用监视处理以响应来自数据源拥有者的请求。图6图示如何通过DSA的监视产生搜索处理。如上面描述的,优选地,在DSAuserid下运行监视处理。这是步骤600。监视处理被分配任务以记录对于数据源的所有(或限定的)访问,并且保持这些访问的累积总结(summary)0通常地,这种监视是被动的记录任务。在定期的基础上,或者一旦有可配置的事件,则DSA产生处理以搜索此数据源的副本。这是步骤602。特别地,并且使用DSA的许可范围,捜索处理(其可以认为是监视处理的子处理,其自身是DSA处理实例的子处理)捜索其它的数据源(在许可的情况下)以例如确定是否存在数据源的任何完全或部分副本正被保护在这些其它的位置中。这些全部或部分副本的存在可以指示对于数据源的潜在危险,由于其可能由某些未授权的复制而导致。作为搜索的结果,如果定位了任何这种副本,则监视处理參照动作矩阵(AM),然后执行(或者促使某些其它相关联处理执行)针对这种发生的事情启用(与这种发生有夫)的任何动作。如动作矩阵中限定的,并且如上面注明的,系统可以被动地报告发现部分或完全的副本,(通过限制对于此用户或用户组的访问)执行主动的响应,或诸如此类。
存在由捜索处理执行的其它“搜索”(除了查找完全或部分副本之外),由此上面描述的“捜索”功能不应该用来限制此公开。由此,例如,“捜索”处理可以是可配置的,并且其可以基于ー个或多个属性或參数,如一天的时间、位置、访问类型、内容类型、内容元数据
坐寸ο图7图示监视处理可以如何产生审核检查处理或子处理。在步骤700中,如已经描述的那样在DSA userid下运行监视处理。监视处理被分配任务以将所有(或某些限定的)访问记录至数据存储源并且保持这些访问的累积总结。通常地,这是被动的记录任务。在定期的基础上,或者一旦有给定发生时,在步骤702,监视处理就产生处理以分析审核功能的結果。审核功能的类型可以有点改变,并且可以通过其它的系统或处理执行实际的审核操作。一般地,审核标识系统已经确定出的动作或者动作的组合可能用信号通知对于数据源的真实或潜在的威胁。步骤702进行审核(或者某些审核結果)的分析,然后其在需要的 情况下发起动作。如上面注明的,通常动作以动作矩阵的方式加以限定,并且其可以是主动的、被动的或者其某些组合。—个审核示例提供有关这样的用户的数据该用户另行具有对于数据源的有效访问权,但是试图使用不允许的程序(例如,FTP客户端)。另ー示例是将许可的用户的访问权从READ (读)更新至UPDATE (更新)并且在短的时间间隔中再次退回到READ (读)的情況。又一示例是这样的报告特征其将特定用户、用户的组和其它资源的当前状态与原始基线快照相比较以示出任何改变。这种场景向数据源拥有者提供关于自从已经发起数据源的保护起(在访问权方面)已经发生了什么变化的信息。这些示例只是代表性的场景,由于步骤702可以在改变的可配置或程序化的条件下应用于进行审核分析。如注明的,优选地,通知数据源拥有者。如果(如审核分析标识的)变化不是由拥有者认可的变化,则拥有者(或系统,程序化地)可以例如通过请求用以去除访问权的监视处理、建议安全管理员等来适当地响应。根据另一方面,DSA处理实例可以将多个事件关联在一起,以形成合成的事件,然后针对基线估计该合成的事件以确定是否已经发生可动作的事件。可以响应于通过数据源拥有者、通过程序或者系统等发出的请求将(图6的)捜索处理和(图7的)审核处理发起为“动作任务”,或相反。由此,如图8中所示,在步骤802,监视处理800可以在ー个或多个条件或发生下产生动作任务。例如,可以响应于发起对于包括数据源的数据的任何副本(完全或局部)的捜索的请求(如图6中所描述),通过监视处理发起步骤802处的动作任务。可以响应于发起审核检查的请求(如图7中所描述),通过监视处理发起步骤802处的动作任务。作为另ー替代方案,可以响应于数据源拥有者进行的、用以去除用户、用户的组和其它资源(如,程序)(对于数据源)的访问权的请求来发起动作任务。又ー替换方案是对于动作矩阵(AM)的更新。当然,这些示例只是说明性的,并且监视处理发起的动作任务可以具有改变的特性。作为特定的示例,在DSA userid下运行监视处理800,这是因为其被配置(供应)为监视用于任何到来的某种类型(例如,SMTP、SOAP等)的消息,或用于具有某种特性的消息等等。如此,监视处理然后可以对从数据源拥有者向它分派的用于动作的消息作出反应。一旦接收到这种消息,就产生动作任务(AT) 802。这完成了该处理。图6、图7和图8中所示的处理可以并发地、依次地或者以其它方式执行。它们可以是单个整合的处理或子处理。如上面注明的,尽管已经在具有RACF的z/OS安全服务器的上下文中描述了所公开的技术,然而这并非限制。图9中示出了代表性的动作矩阵900。其包括按行和列格式的数据的阵列。每个行902定义特定情况编号。第一列904定义情况编号。第二列906定义如已经描述的可以由监视处理标识的可动作事件(或“发生的事情”)。第三列908定义在一旦发生可动作事件时要采取的动作。第四列910指示是否要将发生报告给数据源拥有者,而第五列912指示是否应当将发生报告给拥有者和安全管理员。这些仅是代表性的数据类型、格式和布局。可以将额外的数据类型和字段并入至动作矩阵中。优选地,如上面注明的,针对每个DSA/数据源配对,存在动作矩阵900。这里描述的主题具有许多优点。通过建立“虚拟”用户,数据源拥有者无需回复任
何中心安全管理员(或,集中化的策略)来保护数据源。化身为了唯一地保护数据源的目的而用作拥有者的代理者。可以在每数据源的基础上,如拥有者期望的那样自主地和自动地限定和履行特定的安全策略。另外,系统使得数据源拥有者能够限定和履行他或她自身唯一的动作集合,如在动作矩阵中阐述的那样。上面描述的功能可以实施为单独的方法,例如由处理器运行的基于软件的功能,或者其可用作受管理的服务(包括作为经由S0AP/XML接ロ的web服务)。这里描述的特定硬件和软件实施方案细节只是为了说明性的目的,而并非意在限制所描述主题的范围。更一般地,所公开发明上下文中的计算设备每ー个均是包括硬件和软件的数据处理系统(如图2中所示),并且这些实体通过网络(如,因特网、内部网、外部网、专用网络或者任何其它的通信介质或链路)相互通信。数据处理系统上的应用程序提供对于Web和其它已知服务和协议的本地支持,其不加以限制地包括对于HTTP、FTP、SMTP、SOAP、XML、WSDL、UDDI和WSFL等等的支持。关于SOAP、WSDL、UDDI和WSFL的信息可从负责开发和维护这些标准的 W3C (World Wide Web Consortium,万维网同盟)得到;进ー步,关于 HTTP、FTP、SMTP和XML的信息可从IETF (Internet Engineering Task Force,因特网工程任务组)得到。假定熟悉这些已知的标准和协议。可以在各种服务器侧架构中或者与各种服务器侧架构结合地实施这里描述的机制,所述服务器侧架构包括简单的η层架构、门户网站、联合系统等。如注明的,可以在松弛耦合的服务器(包括基干“云”的)环境中实践这里的技木。可以在云中主管安全服务器自身(或者其功能,如监视处理)。又更一般地,这里描述的主题可以采用完全硬件实施例、完全软件实施例或者包括硬件和软件元素的实施例的形式。在优选的实施方式中,以软件实施功能,所述软件包括但不限于固件、常驻软件、微代码等。进而,如上面注明的,分析引擎功能可以采用可从计算机可用的或计算机可读的介质得到的计算机程序产品的形式,所述介质提供由计算机或任何指令运行系统使用或者与计算机或任何指令运行系统相关的程序代码。为了这种描述的目的,计算机可用或计算机可读介质可以是可包括或存储由指令运行系统、装置或设备使用的或者与指令运行系统、装置或设备相关的程序的任何装置。介质可以是电、磁、光学、电磁、红外或者半导体系统(或者装置或设备)。计算机可读介质的示例包括半导体或固态存储器、磁带、可移除计算机软磁盘、随机存取存储器(RAM)、只读存储器(ROM)、刚性磁盘和光盘。光盘的当前示例包括致密盘-只读存储器(⑶-ROM)、致密盘-读/写(⑶-R/W)和DVD。计算机可读介质是有形的物品。计算机程序产品可以是具有用以实施一个或多个所描述功能的程序指令(或者程序代码)的产品。这些指令或代码在经由网络从远程数据处理系统下载后可以存储在数据处理系统中的计算机可读存储介质中。或者,这些指令或代码可以存储在服务器数据处理系统中的计算机可读存储介质中,并且可以适配为经由网络下载至远程数据处理系统以用于远程系统内的计算机可读存储介质中。在代表性实施方式中,在专用计算机中,最好以供一个或多个处理器运行的软件实施安全服务器组件。将软件保持在与一个或多个处理器相关联的一个或多个数据存储部分或存储器中,并且可以将软件实施为一个或多个计算机程序。共同地,这种专用硬件和软件包括上面描述的化身框架(avatar framework)。可以将安全服务器提供的安全功能实施为对于现有访问管理器或策略管理解决方案的助手或扩展。 尽管上面描述了由本发明的特定实施方式执行的特定顺序的操作,然而应当理解,这些顺序是示例性的,这是由于可替换的实施方式可以以不同的顺序进行操作、组合某些操作、重叠某些操作等。说明书中对于给定实施方式的參照指示所描述的实施方式可以包括特定的特征、结构或特性,但是每个实施方式可能不一定包括该特定的特征、结构或特性。最后,尽管已经单独地描述了系统的给定组件,本领域普通技术人员应当理解,可以在给定的指令、程序序列、代码部分等中组合或共享所述功能中的ー些。如这里使用的,“客户端侧”应用程序应当广泛地解释为指代应用程序、与此应用程序相关联的页面、或者由对于应用程序的客户端侧请求所调用的某些其它资源或功能。这里使用的“浏览器”并非_在指代任何特定的浏览器(例如,IE、Safari, FireFox, Chrome等),而是应当广泛地解释为指代可访问或显示因特网可访问资源的任何客户端侧呈现引擎。进ー步,尽管通常使用HTTP发生客户端服务器交互,然而这也不是限制。客户端服务器交互可以被格式化为符合SOAP (Simple Object Access Protocol,简单对象访问协议),并且可以使用经由HTTP (经由公共因特网)、FTP或者任何其它的可信赖传输机制(如,IBM MQSeries'K技术和C0RBA,用于经由企业内部网的传输)的行迸。此外,术语“web站点”或“服务提供商”应当广泛地解释为覆盖web站点(链接的web页面的集合)、给定web站点或服务器处的域、与服务器或服务器的集合相关联的信任域等。“服务提供商域”可以包括web站点或者web站点的一部分。可以通过将钩子(hook)提供至另ー应用中、通过方便作为插件的机制的使用、通过链接至该机制等,将这里描述的任何应用或功能实施为本地代码。这里公开的技术不限于多组件交易处理环境,而是这将是典型的实施方案。如注明的,上面描述的功能可以用在任何的系统、设备、门户、站点等中,其中可经由相同客户端浏览器(或是由原始用户在不同会话中或是另ー用户)重新使用服务器集合会话管理数据。已经描述了我的发明,现在我请求保护的如下。
权利要求
1.一种用于在计算环境中保护数据源的方法,包括 将化身与所述数据源相关联,所述化身具有访问权利和特权的总集合; 关联在一旦发生关于所述数据源的可动作事件时要执行的一个或多个动作; 使用所述化身以针对与所述数据源相关联的许可事件的集合监视所述数据源;以及 一旦确定可动作事件,就使用所述化身发起关于所述数据源的动作。
2.如权利要求I所述的方法,其中,所述化身由非人的用户标识符限定。
3.如权利要求I所述的方法,其中,通过将关于所述数据源的实体的集合的访问权利和特权组合至合成的集合,创建访问权利和特权的总集合。
4.如权利要求3所述的方法,其中,实体的集合包括以下之一受许可的用户、受许可的用户组、受许可的其它资源、以及其组合。
5.如权利要求I所述的方法,其中,所述化身发起的动作是以下之一将通知发给数据源的拥有者、将通知发给管理员、以及其组合。
6.如权利要求I所述的方法,其中,在动作矩阵中指定所述ー个或多个动作,其中对于与数据源相关联的每个化身指定动作矩阵。
7.如权利要求I所述的方法,其中,所述化身相对于集中化的安全功能自主地工作。
8.如权利要求I所述的方法,还包括如果可动作事件指示所述数据源处于危险,则所述化身限制对于所述数据源的访问。
9.一种用于在计算环境中保护数据源的装置,其包括 配置为将化身与所述数据源相关联的部件,所述化身具有访问权利和特权的总集合; 配置为关联在一旦发生关于所述数据源的可动作事件时要执行的一个或多个动作的部件; 配置为使用所述化身以针对与所述数据源相关联的许可事件的集合监视所述数据源的部件;以及 配置为一旦确定可动作事件,就使用所述化身发起关于所述数据源的动作的部件。
10.如权利要求9所述的装置,其中,所述化身由非人的用户标识符限定。
11.如权利要求9所述的装置,其中,通过将关于所述数据源的实体的集合的访问权利和特权组合至合成的集合,创建访问权利和特权的总集合。
12.如权利要求11所述的装置,其中,实体的集合包括以下之一受许可的用户、受许可的用户组、受许可的其它资源、以及其组合。
13.如权利要求9所述的装置,其中,所述化身发起的动作是以下之一将通知发给数据源的拥有者、将通知发给管理员、以及其组合。
14.如权利要求9所述的装置,其中,在动作矩阵中指定所述ー个或多个动作,其中对干与数据源相关联的每个化身指定动作矩阵。
15.如权利要求9所述的装置,其中,所述化身相对于集中化的安全功能自主地工作。
16.如权利要求9所述的装置,其中所述装置还包括配置为如果可动作事件指示所述数据源处于危险,则使用所述化身限制对于所述数据源的访问的部件。
17.—种在包括大型机操作系统的多组件计算系统中运作的安全服务器,包括 处理器; 计算机存储器,其保存由所述处理器运行的用以根据以下操作保护与拥有者相关联的数据源的计算机程序指令 接收用以创建与所述数据源相关联的非人用户标识符的请求,所述非人用户标识符具有访问权利和特权的总集合; 关联在一旦发生关于所述数据源的可动作事件时要执行的一个或多个动作; 生成与所述数据源相关联的许可事件的基线; 使用化身针对所述基线监视所述数据源;以及 一旦确定可动作事件,就使用所述化身发起关于所述数据源的动作。
全文摘要
计算系统中的数据源拥有者经由“虚拟”或代理实体或“化身”保护该源。在初始设置期间,指定在一旦发生关于数据源的可动作事件时要由非人userid执行的一个或多个动作,并且确定与数据源相关联的“基线”。接着设置,在非人userid下运行监视处理,并且此处理记录对于数据源的一个或多个访问。定期地,或者一旦有给定发生的事情时,监视处理产生一个或多个辅助处理以确定是否已经触发了可动作事件。如果化身的监视努力指示可动作事件(如,访问违规),则采用如动作矩阵中限定的动作。动作通常包括报告给数据源拥有者以及可选择地报告给安全管理员,并且限制对于该数据源的访问。
文档编号G06F12/14GK102867152SQ20121020026
公开日2013年1月9日 申请日期2012年6月14日 优先权日2011年6月14日
发明者R.J.麦科马克 申请人:国际商业机器公司