专利名称:为单一登录计算机网络提供访问控制的方法
技术领域:
本发明与计算机安全有关,具体地说,与为计算机网络提供访问控制的方法有关,特别是,与为单一登录计算机网络(single sign-on computernetwork)提供访问控制的方法有关。
背景技术:
对于一个诸如公司、大学之类的大机构来说,计算机安全方面所关注的主要问题是防止来自于外部的威胁。然而,据估计,对大机构计算机网络的所有侵入中有70%以上的是源自于其内部。也就是说,对大机构计算机网络的安全威胁大部分来自于其自己的雇员。无论侵入计算机网络是否是故意的,对抗这样的侵入可能要使机构耗费高达数百万美元。
就外部黑客来说,网络管理员可以利用防火墙和/或其他计算机安全工具来检测和制止对计算机网络的侵入。但是对于内部“黑客”,网络管理员没有任何有用的工具来对抗侵入问题,因为防火墙和其他计算机安全工具在攻击者是在机构内部时是无效的。此外,网络管理员必须在访问控制与访问计算机网络方便之间维持一种精细的平衡。为此,设计了一种单一登录(single sign-on)方法,在保持对计算机网络的访问控制的同时简化访问计算机网络内的资源的过程。对于单一登录计算机网络,一个雇员为了使用计算机网络内大多数资源(即使不是所有资源)通过简单地向计算机网络登录一次而不是分别向诸如邮件服务器、文件服务器、Web服务器之类的各个资源登录就可以验证自己。
采用单一登录方法,网络管理员仍然必须首先为每个雇员规定对计算机网络内每个资源的访问权限。这样的操作规程就网络管理和可用性来说是极其乏味的。为了减少建立时间,可以将雇员分成一些组,以便授予网络访问权限。然而,一个机构内的每个雇员通常是独特的,为每个雇员授予具体访问权限通常要考虑个人情况,这实质上消除了分组的优点。此外,组权限的限制往往是很严,通常限制了雇员高效完成他们的工作的能力。由于为单一登录系统提供访问控制的现行方法限制性强,效率又低,因此所希望的是有一种改进的为单一登录计算机系统提供访问控制的方法。
发明内容
按照本发明的一个优选实施例,将一个用户分配到一个计算机网络内的多个组。响应这个用户的访问请求,计算机网络根据这个用户的用户简表(user profile)确定一个组通行计数(group pass count)。组通行计数是这些组中访问请求满足所有它们的访问要求的组的个数。如果组通行计数大于一个预定的高的组通行门限值,计算机网络就允许这个访问请求。
本发明的所有目的、特征和优点可以从下面的详细说明中清楚地看出。
本发明本身及其使用的优选模式以及本发明的其他目的和优点从以下结合附图对一个例示性的实施例所作的详细说明中可以得到很好的理解。在这些附图中图1为一个采用本发明的一个优选实施例的计算机网络的方框图;图2为一个按照本发明优选实施例的图1中的计算机网络内的简表检验器的详细方框图;以及图3为按照本发明优选实施例的为单一登录计算机网络提供访问控制的方法的高层逻辑流程图。
具体实施例方式
现在来看这些附图,特别是图1,图中示出了采用本发明的优选实施例的计算机网络的方框图。如图所示,计算机网络10包括多个计算机系统15a-15n,耦合到一个授权系统11上。授权系统11考虑了对计算机网络10的单一登录措施。从一个用户接收到登录信息(诸如一个用户名和一个口令之类)后,授权系统11通过调用简表检验器12查明这个用户是否允许访问计算机网络10。如果简表检验器12得出的结果是肯定的,授权系统11内的会话管理器(未示出)就为这个用户建立一个会话。每当用户与计算机系统15a-15n交互或请求访问计算机网络10内一个新的资源时,授权系统11内的会话管理器通过调用简表检验器12检查它的访问控制,以保证所请求的资源没有明确拒绝这个用户访问。
现在来看图2,图中示出了按照本发明优选实施例的简表检验器12的详细方框图。如图所示,简表检验器12包括一个耦合到简表数据库24上的简表引擎25。简表引擎25包括事务处理器21、简表构造器22和参数检验器23。接收到一个访问请求后,事务处理器12从存储组策略和用户简表的简表数据库24装入一个用户简表。简表构造器22可以将来自一个访问请求的信息添加到一个现有的用户简表上。参数检验器23根据相应的组策略和用户简表确定一个访问请求是否违背某些预定参数。
按照本发明的一个优选实施例,计算机网络10的每个用户被分配到至少一个组。每个组具有一组规定用户为了访问在这个组内的任何资源必须符合的参数(或者准则)的策略。策略可以包括一些参数,诸如星期几、几点钟、要访问的资源、发起访问请求的互联网协议(IP)地址、发起访问请求的端口地址之类。为了相对一个组来服务于一个访问请求,发起这个访问请求的用户的用户简表必须满足由这个组规定的参数的某个百分比。
在一个大机构内,每个用户很可能属于一个以上的组。优选的是,每个用户可以动态地分配到不同的组。由于大机构通常机构复杂,因此每个用户势必具有特殊要求以满足他的计算需要。因此,一个网络管理员可以具有对计算机网络的选项,建议一个用户应该与哪些组关联。动态组关联可以通过由计算机网络内每个组运行一些用户请求一段规定长度的时间来实现。然后,计算机网络追踪每个用户作出的所有访问请求和访问请求得到许可的组。根据观察,对于一个用户发现有些组较频繁地受到请求和得到许可,于是就向网络管理员建议将这些组与这个用户关联。因而,网络管理员可以利用计算机系统跟踪的统计信息自动地为一个用户进行组分配。
此外,简表检验器12通过跟踪一个组内的用户的动作得出这个组的组简表。例如,一个市场运作组简表由只属于这个市场运作组的用户确定。简表检验器12还通过跟踪每个用户的所有动作为每个用户得出一个用户简表。通过跟踪计算机网络10内多个组的多个用户,简表检验器12可以得出多个级别的用户简表和组简表。
简表检验器12监视一个用户对计算机网络10内任何资源的访问请求。在接收到来自一个用户的一个访问请求后,事务处理器12从简表数据库24装入这个用户的用户简表。简表构造器22将来自这个访问请求的信息添加到这个现有的用户简表上。然后,将访问请求传送给参数检验器23,确定访问请求是否违背某些预定参数。简表检验的结果只是表明访问请求是正常的还是反常的。这个结果接着传送回授权系统11(见图1)。
如果简表检验的结果表明这个访问请求是正常的,就允许这个访问请求,而没有任何其他动作。如果简表检验的结果表明访问请求是反常的,于是可以采取各种动作。首先,向一个网络管理员(或一个数据库)发送一个警报,确保将这反常情况向某方报警。其次,计算机网络10或者拒绝这个访问请求,或者允许这个访问请求但对这个访问请求进行跟踪。如果计算机网络10拒绝这个访问请求,这拒绝可以是只对于这个特定的资源或者对于计算机网络10内的所有资源,从而要求用户调用帮助桌面清除这拒绝。虽然在另一个途径中给用户较多的权利(即,允许用户访问而监视所有由用户对任何资源所作的访问请求),但产生详细列出所有受影响的部分的核查踪迹,如果必要的话这样的信息就可以用作执行的证据。
例如,一旦授权系统11(见图1)中的会话管理器已经对一个用户作了验证,会话管理器于是进行检验,根据用户简表确定是否允许一个来自这个用户的访问请求。如果结果为“是”,会话管理器就同意这个访问请求而没有任何进一步的动作。如果结果为“否”,会话管理器就发送一个严重程度信号。这个严重程度信号表示访问请求偏离正常访问模式的程度。如果偏离足够严重,授权系统11就拒绝用户访问所有的资源。如果偏离不是足够严重,授权系统11就只拒绝访问这个资源。也可以不是拒绝访问这个资源,而是向网络管理员发送一个警报,指出这个用户的使用模式脱离了正常状态。在网络管理员看到这个警报时,他就可以停止从报警以来用户所执行的所有动作。
现在来看图3,图中例示了按照本发明一个优选实施例的为单一登录计算机网络提供访问控制的方法的高层逻辑流程图。接收到来自一个用户的一个访问请求(方框31)后,确定请求是否违背网络管理员明确规定的一定访问规则,如方框32所示。如果请求违背这些明确的访问规则,就拒绝这个请求,产生一个警报,如方框40所示。如果请求没有违背明确的访问规则,于是对于每个与这个用户关联的(或者说为这个用户分配的)组,确定这个用户的用户简表是否满足这个组的访问要求,如方框33所示。如果这个用户的用户简表满足这个组的访问要求,一个跟踪组通行计数的计数器加1,如方框34所示。
用户所属的所有的组都得到检验后,确定组通行计数是否大于一个高的组通行门限,如方框35所示。如果组通行计数大于高的组通行门限,就允许这个请求,如方框36所示。如果通行计数小于高的组通行门限,就确定组通行计数是否小于一个低的组通行门限,如方框37所示。如果通行计数小于低的组通行门限,就拒绝这个请求,产生一个警报,如方框40所示。然而,如果组通行计数大于低的组通行门限,就按用户简表对这个请求进行检验,如方框38所示。如果这个请求在用户简表的正常参数范围之内,就允许这个请求,如方框36所示。否则,如果这个请求违背用户简表,就向网络管理员发送一个警报,如方框38所示,但仍然允许这个请求,如方框36所示。
如已说明的那样,本发明提供了一种改进的为单一登录计算机网络提供访问控制的方法。采用本发明,网络管理员可以建立对计算机网络内的所有资源的访问控制,容易得就象对一个资源那样。本发明允许一个用户可以访问所有没有被严格地禁止的资源。
根据网络管理员的选择,计算机网络的组策略可以通过添加或删除简表内的一些专用参数加以细化。采用本发明,用户简表和组简表是高度动态的,可以适应每个用户的需要。随着时间的增长,计算机网络可以更全面地了解每个用户的动作,而这样的了解可以随时间改善,从而形成一个所谓的正常访问模式。拒绝用户的访问只有在用户过分偏离他的正常访问模式时才发生。
同样重要是,虽然本发明在一个功能完全的数据处理系统的环境下进行说明的,但熟悉该技术领域的人员可以理解,本发明的这些机制能以各种形式的程序产品来分配,无论实际用来实现分配的信号承载媒体具体是什么类型,本发明同样适用。信号承载媒体的例子有(但并不局限于)诸如软盘或CD ROM之类的可记录型媒体和诸如模拟或数字通信链路之类的传送型媒体。
虽然本发明是具体结合一个优选实施例示出和说明的,但熟悉该技术领域的人员可以理解,其中无论在形式上还是在细节上都可以作出各种改变,这并不背离本发明的精神实质和专利保护范围。
权利要求
1.一种为单一登录计算机网络提供访问控制的方法,所述方法包括使一个用户与多个组关联;响应所述用户的访问请求,根据所述用户的用户简表确定一个组通行计数,其中所述组通行计数是所述多个组中所述访问请求满足它们的访问要求的组的个数;以及如果所述组通行计数大于一个预定的高的组通行门限值,允许所述访问请求。
2.权利要求1的方法,其中所述方法还包括如果所述组通行计数低于一个预定的低的组通行门限值就拒绝所述访问请求。
3.权利要求2的方法,其中所述方法还包括在拒绝所述访问请求后根据偏离正常访问的程度向网络管理员发送严重程度信号。
4.权利要求1的方法,其中所述方法还包括如果所述组通行计数高于一个预定的低的组通行门限值但是低于所述预定的高的组通行门限值就检验所述访问请求是否在如所述用户简表内所规定的正常参数范围内。
5.权利要求4的方法,其中所述方法还包括如果所述访问请求在如所述用户简表内所规定的正常参数范围内就允许所述访问请求。
6.权利要求4的方法,其中所述方法还包括如果所述访问请求不在如所述用户简表内所规定的正常参数范围内就在允许所述访问请求前发送一个警报。
7.一种驻留在计算机可用媒体上的为单一登录计算机网络提供访问控制的计算机程序产品,所述计算机程序产品包括使一个用户与多个组关联的程序代码单元;响应所述用户的访问请求根据所述用户的用户简表确定一个组通行计数的程序代码单元,其中所述组通行计数是所述多个组中所述访问请求满足它们的访问要求的组的个数;以及如果所述组通行计数大于一个预定的高的组通行门限值就允许所述访问请求的程序代码单元。
8.权利要求7的计算机程序产品,其中所述计算机程序产品还包括如果所述组通行计数低于一个预定的低的组通行门限值就拒绝所述访问请求的程序代码单元。
9.权利要求8的计算机程序产品,其中所述计算机程序产品还包括在拒绝所述访问请求后根据偏离正常访问的程度向网络管理员发送严重程度信号的程序代码单元。
10.权利要求7的计算机程序产品,其中所述计算机程序产品还包括如果所述组通行计数高于一个预定的低的组通行门限值但是低于所述预定的高的组通行门限值就检验所述访问请求是否在如所述用户简表内所规定的正常参数范围内的程序代码单元。
11.权利要求10的计算机程序产品,其中所述计算机程序产品还包括如果所述访问请求在如所述用户简表内所规定的正常参数范围内就允许所述访问请求的程序代码单元。
12.权利要求10的计算机程序产品,其中所述计算机程序产品还包括如果所述访问请求不在如所述用户简表内所规定的正常参数范围之内就在允许所述访问请求前发送一个警报的程序代码单元。
13.一种能为单一登录计算机网络提供访问控制的数据处理系统,所述数据处理系统包括使一个用户与多个组关联的装置;响应所述用户的访问请求根据所述用户的用户简表确定一个组通行计数的装置,其中所述组通行计数为所述多个组中所述访问请求满足它们的访问要求的组的个数;以及如果所述组通行计数大于一个预定的高的组通行门限值就允许所述访问请求的装置。
14.权利要求13的数据处理系统,其中所述数据处理系统还包括如果所述组通行计数低于一个预定的低的组通行门限值就拒绝所述访问请求的装置。
15.权利要求14的数据处理系统,其中所述数据处理系统还包括在拒绝所述访问请求后根据偏离正常访问的程度向网络管理员发送严重程度信号的装置。
16.权利要求13的数据处理系统,其中所述数据处理系统还包括如果所述组通行计数高于一个预定的低的组通行门限值但是低于所述预定的高的组通行门限值就检验所述访问请求是否在如所述用户简表内所规定的正常参数范围内的装置。
17.权利要求16的数据处理系统,其中所述数据处理系统还包括如果所述访问请求在如所述用户简表内所规定的正常参数范围内就允许所述访问请求的装置。
18.权利要求16的数据处理系统,其中所述数据处理系统还包括如果所述访问请求不在如所述用户简表内所规定的正常参数范围内就在允许所述访问请求前发送一个警报的装置。
全文摘要
本发明揭示了一种为单一登录计算机网络提供访问控制的方法。将一个用户分配到一个计算机网络内的多个组。响应这个用户的访问请求,计算机网络根据这个用户的用户简表确定一个组通行计数。组通行计数是这些组中访问请求满足所有它们的访问要求的组的个数。如果组通行计数大于一个预定的高的组通行门限值,计算机网络就允许这个访问请求。
文档编号H04L29/06GK1505357SQ200310103870
公开日2004年6月16日 申请日期2003年11月18日 优先权日2002年12月5日
发明者P·T·巴费斯, J·M·加里森, M·吉尔费克斯, A·许, T·J·斯塔丁, P T 巴费斯, 加里森, 斯塔丁, 芽怂 申请人:国际商业机器公司