專利名稱:使用主動化身保護資源的系統和方法
技術領域:
本公開總體上涉及在諸如交易處理環境之類的分布式計算環境中使資源!,resource)女全。
背景技術:
設計與復雜的、多組件計算環境相關聯的安全系統以允許主動(active)實體(如,用戶)對于靜態實體(如,數據源)的選擇性和受控的訪問。組件協同地一起工作以形成更大系統的這種類型的代表性多組件系統是IBMvHTTP (HyperText Transfer Protocol,超文本傳輸協議)和Web服務處理環境,其可以使用諸如IBM zl96系列的計算機器的IBM大型機計算機加以實施。這種環境通常包括IBM的WAS (WebSphere* App lication Server, Web Sphere 應用服務器)中間件平臺軟件產品, 其與一個或多個諸如IBM(J丨C"SR)(Customer Information Control System,客戶信息控制系統)和/或IBMIMS (Information Management System,信息管理系統)之類的交易處理產品、諸如IBM WebSphere MQ之類的消息處理產品和諸如IBM DB2 數據庫之類的關系數據庫結合地工作。多組件環境的目的是要提供對于客戶端終端用戶而言可使用HTTP或其它Web服務經由因特網瀏覽器訪問的高性能交易處理計算系統或環境。在這種環境中,做出HTTP或Web服務請求的客戶端終端用戶直接與應用服務器通信。通常,為了履行來自分布式客戶端終端用戶的交易請求,應用服務器調用環境中一個或多個其它組件的服務。這些組件中的ー個或多個通常在IBM Z/(_)S、R操作系統(其經常稱為“大型機”操作系統平臺)之類的操作系統上運行。在這種環境中,交易處理、消息發送和數據庫組件通常在包括用于管理環境內安全的框架(framework)的大型機計算機內運行。框架包括安全服務器。在代表性的z/0S實施方案中,安全框架由z/OS安全服務器提供,其包括IBM RACFk (Resource AccessControl Facility,資源訪問控制設施)作為其安全引擎。RACF允許管理員通過定義以什么級別保護什么并且確定誰可以訪問受保護資源來設置規則以用于控制對于資源的訪問。在典型的大型機操作環境(例如,ζ/OS)中,RACF用于標識和驗證用戶訪問數據和使用系統設施的權力。上面描述的產品和技術掲示了可以由受許可實體(如,管理員)用于監視和管理正在受系統保護的資源的界面。然而,這些方法通常將控制賦予了中心安全管理員。期望提供這樣的技術通過該技術,此類型的計算系統上的數據資源的擁有者可以保護該數據源,而不需要中心安全管理員對于監視和報告與數據源相關聯的活動的主動參與。本公開解決這種需求。
發明內容
根據本公開,計算系統中的數據源(例如,靜態受保護資源)的擁有者經由“虛擬”或代理實體或“化身(avatar)”來保護此源。實體是其在系統中的存在是像人一樣的對象,并且其被給予為擁有者保護數據源的特定任務。尤其是,化身與非人用戶標識符(userid)相關聯(或者由非人用戶標識符限定),所述非人用戶標識符具有有權訪問受保護的數據源的所有(或限定的)用戶、用戶組和其它資源的相同訪問權和特權。在初始設置期間,指定在一旦發生關于數據源的可動作事件時要由非人userid執行的ー個或多個動作,并且確定與數據源相關聯的“基線”。所述基線包括標識關于所述數據源的許可訪問的數據的數據、以及受許可訪問所述數據源的所有(或限定的)用戶、用戶組和其它資源的列表。接著設置,在非人userid下運行監視處理,并且此處理記錄對于數據源的ー個或多個訪問。定期地,或者一旦有給定發生的事情時,監視處理產生一個或多個輔助處理以確定是否已經觸發了可動作事件。這些輔助處理包括以下中的ー個或多個捜索處理(例如,用以確定數據源的副本是否存在于系統中別的地方)、審核處理(例如,用以確定動作或動作的集合是否指示對于數據源的威脅)以及動作任務處理(例如,用以響應針對數據源的特定消息)。如果化身的監視努力指示可動作事件(諸如,訪問違規),則采取如動作矩陣中限定的動作。動作通常包括報告給數據源擁有者以及可選擇地安全管理員。系統也可以響應于可動作事件以禁止對于正在受保護的資源的訪問。在可替換的實施方式中,在裝置中進行上面描述的方法。所述裝置執行所述方法。 在另一可替換的實施方式中,由計算機可讀介質中的用于數據處理系統中的計算機程序產品執行上面描述的方法。所述計算機程序產品保存計算機程序指令,所述計算機程序指令在由所述數據處理系統運行時進行所述方法。以上已經概述了所公開主題的某些更加有關聯的特征。這些特征應當解釋為只是說明性的。如將在下面描述的,通過以不同的方式應用所公開的主題或者通過修改主題,可以得到許多其它的有益結果。
為了更加完整的理解本發明和其優點,現在對結合附圖采取的以下描述進行參照,在附圖中圖I描繪可以實施說明性實施方式的示例性方面的分布式數據處理環境的示例性框圖;圖2是可以實施說明性實施方式的示例性方面的數據處理系統的示例性框圖;圖3描繪包括分布式和大型機計算組件兩者并且其中可以實施本公開的主題的多組件交易處理環境的一個實施方案;圖4是圖示根據此公開的數據源化身(DSA)的初始設置的處理流程圖;圖5圖示根據此公開的可以實施DSA功能的安全服務器;圖6是圖示根據本公開的監視處理和其如何用于產生捜索的處理流程圖;圖7是圖示根據此公開的監視處理如何用于產生審核處理的處理流程圖;圖8是圖示根據本公開的監視處理如何產生動作任務以響應于來自數據源擁有者的請求的處理流程圖;以及圖9圖示由監視處理使用的代表性動作矩陣(AM, action matrix)。
具體實施方式
現在參照附圖,尤其是參照圖1-2,提供可以實施本公開的說明性實施方式的數據處理環境的示例性圖。應當領會,關于可以實施所公開主題的方面或實施方式的環境,圖1-2只是示例性的,而并非g在斷定或者暗示任何限制。可以在不脫離本發明的精神和范圍的情況下進行對于所描繪環境的許多修正。現在參照附圖,圖I描繪可以實施說明性實施方式的方面的示例性分布式數據處理系統的圖解表示。分布式數據處理系統100可以包括可以實施說明性實施方式的方面的計算機的網絡。分布式數據處理系統100含有至少ー個網絡102,其是用以提供分布式數據處理系統100內連接在一起的各種設備和計算機之間的通信鏈路的介質。網絡102可以包括諸如有線、無線通信鏈路或纖維光學線纜之類的連接。在所描繪的示例中,服務器104和服務器106連同存儲單元108 —起連接至網絡102。另外,客戶端110、112和114也連接至網絡102。這些客戶端110、112和114例如可以是個人計算機、網絡計算機等。在所描繪的示例中,服務器104將諸如啟動文件、操作系統圖像和應用程序之類的數據提供給客戶端110、112和114。在所描繪的示例中,客戶端110、112和114是服務器104的客戶端。分布式數據處理系統100可以包括另外的服務器、客戶端和其它設備(未示出)。在所描繪的示例中,分布式數據處理系統100是具有網絡102和網關的因特網,所述網絡102表示全世界網絡的集合,所述網關使用協議的TCP/IP (Transmission ControlProtocol/Internet Protocol,傳輸控制協議/因特網協議)族相互通信。在因特網中心是主節點或主機計算機之間高速數據通信線路的骨干(backbone),其由數以千計的路由數據和消息的商業、政府、教育或其它計算機系統組成。當然,分布式數據處理系統100也可以實施為包括許多不同類型的網絡,如內部網、局域網(LAN)、廣域網(WAN)等。如上面聲明的,圖I g在作為示例,而并非作為對于所公開主題的不同實施方式的架構上的限制,因此,關于可以實施本發明的說明性實施方式的環境,圖I中所示的特定元件不應當認為是限制。現在參照圖2,示出可以實施說明性實施方式的方面的示例性數據處理系統的框圖。數據處理系統200是其中實施本公開說明性實施方式的處理的計算機可用代碼或指令可以位于的計算機(如圖I中的客戶端110)的示例。現在參照圖2,示出可以實施說明性實施方式的數據處理系統的框圖。數據處理系統200是其中對于說明性實施方式,實施處理的計算機可用代碼或指令可以位于的計算機(如圖I中的服務器104或客戶端110)的示例。在此說明性示例中,數據處理系統200包括通信光纖202,其提供處理器單元204、存儲器206、永久存儲208、通信單元210、輸入/輸出(1/0)單元212和顯示器214之間的通信。 處理器単元204用于運行可被加載至存儲器206中的軟件的指令。取決于特定的實施方案,處理器単元204可以是ー個或多個處理器的集合,或者可以是多處理器核心。進一歩,可以使用其中主處理器與輔助處理器一起存在于單個芯片上的ー個或多個異構處理器系統來實施處理器単元204。作為另ー說明性示例,處理器単元204可以是含有相同類型的多個處理器的對稱多處理器(SMP, symmetric multi-processor)系統。存儲器206和永久存儲208是存儲設備的示例。存儲設備是能夠在暫時的基礎上和/或永久的基礎上存儲信息的任何ー個硬件。在這些示例中,存儲器206例如可以是隨機存取存儲器或者任何其它可適用的易失性或非易失性存儲設備。依據特定的實施方案,永久存儲208可以采取各種形式。例如,永久存儲208可以含有一個或多個組件或設備。例如,永久存儲208可以是硬盤驅動器、閃速存儲器、可重寫光盤、可重寫磁帶或者以上的某些組合。永久存儲208使用的介質也可以是可移除的。例如,可以將可移除硬盤驅動器用于永久存儲208。在這些示例中,通信単元210提供與其它的數據處理系統或設備的通信。在這些示例中,通信単元210是網絡接ロ卡。通信単元210可以通過物理和無線通信鏈路中任一或兩者的使用來提供通信。對于可連接至數據處理系統200的其它設備,輸入/輸出單元212允許數據的輸入和輸出。例如,輸入/輸出單元212可以通過鍵盤和鼠標提供用于用戶輸入的連接。進一歩,輸入/輸出單元212可以將輸出發送至打印機。顯示器214將用以顯示信息的機制提供給用戶。用于操作系統和應用程序的指令或程序位于永久存儲208上。可以將這些指令加 載在存儲器206中以供處理器單元204運行。可以由處理器單元204使用計算機實施的指令(其可以位于諸如存儲器206之類的存儲器中)執行不同實施方式的處理。這些指令稱為程序代碼、計算機可用程序代碼或者計算機可讀程序代碼,其可由處理器単元204中的處理器讀取和運行。可以將不同實施方式中的程序代碼體現在不同的物理或者有形計算機可讀介質上,如存儲器206或永久存儲208。程序代碼216以功能形式位于可選擇地可移除的計算機可讀介質218上,并且可以加載或者傳輸至數據處理系統200用于處理器単元204運行。在這些示例中,程序代碼216和計算機可讀介質218形成計算機程序產品220。在一個示例中,計算機可讀介質218可以處于有形的形式,如例如光盤或磁盤,其被插入或放入作為永久存儲208的一部分的驅動器或其它設備中,以用于傳輸到諸如作為永久存儲208的一部分的硬盤驅動器之類的存儲設備上。以有形的形式,計算機可讀介質218也可以采用與數據處理系統200連接的硬盤、拇指驅動器或閃存之類的永久存儲的形式。計算機可讀介質218的有形形式也稱為計算機可記錄存儲介質。在某些實例中,計算機可讀介質218可以不是可移除的。可替代地,程序代碼216可以經由到通信単元210的通信鏈路和/或經由到輸入/輸出單元212的連接而從計算機可讀介質218傳輸至數據處理系統200。在說明性的示例中,通信鏈路和/或連接可以是物理的或者無線的。計算機可讀介質也可以采用非有形介質的形式,如包含程序代碼的通信鏈路或者無線傳輸。針對數據處理系統200圖示的不同組件并非意在提供對于可以實施不同實施方式的方式的架構上的限制。不同的說明性實施方式可以在這樣的數據處理系統中實施該數據處理系統除了包括針對數據處理系統200圖示的那些組件之外還包括組件,或者包括取代針對數據處理系統200圖示的那些組件的組件。圖2中所示的其它組件可以相對于所示出的說明性示例改變。作為ー個示例,數據處理系統200中的存儲設備是可以存儲數據的任何硬件裝置。存儲器206、永久存儲208和計算機可讀介質218是處于有形形式的存儲設備的示例。在另ー示例中,總線系統可用于實施通信光纖202,并且可以由諸如系統總線或輸入/輸出總線之類的ー個或多個總線組成。當然,可以使用提供用于附接至總線系統的設備或不同組件之間數據傳送的任何適當類型的架構來實施總線系統。另外,通信単元可以包括用于發送和接收數據的一個或多個設備,如調制解調器或網絡適配器。進ー步,存儲器例如可以是諸如可以在通信光纖202中出現的接口和存儲器控制器集線器中發現的存儲器206或高速緩存。可以以ー個或多個編程語言的任何組合的方式編寫用于執行本發明的操作的計算機程序代碼,所述編程語言包括諸如Java 、Smalltalk、C++之類的面向對象編程語言和諸如“C”編程語言或類似編程語言之類的傳統過程性編程語言。程序代碼可以完全在用戶的計算機上運行,部分在計算機上運行,作為孤立的軟件封包,部分地在用戶的計算機上并且部分地在遠程計算機上運行,或者完全地在遠程計算機或服務 器上運行。在后ー場景下,遠程計算機可以通過任何類型的網絡(包括局域網、(LAN)或廣域網(WAN))連接至用戶的計算機,或者可以(例如,使用因特網服務提供商經由因特網)對外部計算機進行連接。本領域普通技術人員將領會的是,圖1-2中的硬件可以依據實施方案而改變。除了或者代替圖1-2中描繪的硬件,可以使用諸如閃存、等同的非易失性存儲器或者光盤驅動器等之類的其它內部硬件或外圍設備。此外,可以在不脫離所公開主題的精神和范圍的情況下將說明性實施方式的處理應用于除之前提到的對稱多處理(SMP)系統以外的微處理器數據處理系統。如將會看到的,這里描述的技術可以結合地在諸如圖I中圖示的標準客戶端服務器范例內工作,其中客戶端機器與在一個或多個機器的集合上運行的因特網可訪問的基于Web的門戶進行通信。終端用戶操作能夠訪問門戶(portal)并且與之交互的因特網可連接的設備(例如,臺式計算機、筆記本型計算機、因特網使能的移動設備等)。通常,每個客戶端或服務器是諸如圖2中圖示的包括硬件和軟件的數據處理系統,并且這些實體經由網絡(如,因特網、內部網、外部網、專用網絡或者任何其它的通信介質或鏈路)相互通信。數據處理系統通常包括一個或多個處理器、操作系統、一個或多個應用程序和ー個或多個公共設施。數據處理系統上的應用提供對于Web服務的本地支持,其不加以限制地包括對于HTTP、SOAP、XML、WSDL、UDDI和WSFL等等的支持。關于SOAP、WSDL、UDDI和WSFL的信息可從負責開發和維護這些標準的W3C (World Wide Web Consortium,萬維網同盟)得到;進一步,關于HTTP和XML的信息可從IETF (Internet Engineering Task Force,因特網工程任務組)得到。假定熟悉這些標準。在代表性的但非限制性的實施方案中,在包括協同工作以響應于HTTP和Web服務客戶端終端用戶或交易請求的分布式和大型機組件的交易處理系統或環境的上下文中描述這里的技木。這種系統或環境通常包括以分布的方式配置的多個組件。更大的多組件交易處理環境的分布式組件通常至少包括計算機、操作系統平臺、應用程序、聯網和在HTTP和Web服務場景中提供分布式交易處理功能(如,與客戶端終端用戶的聯網交互)以及標識和認證功能的相關聯安全引擎。這種類型的交易處理系統或環境通常還包括這樣的大型機組件其至少包括計算機、操作系統平臺、應用程序、聯網和提供高性能后端交易處理和大數據庫功能的相關聯安全引擎。圖3中示出了實施這里的主題的多組件計算環境的ー個特定實施方式。此環境包括初始認證組件305和后續大型機處理組件315。每個組件包括其自身的安全引擎和用戶注冊表(registry) 306、308。用戶注冊表(這里也稱為本地用戶注冊表或安全注冊表)含有關于具有對于各個組件的訪問權的用戶的信息,如用戶ID和密碼。在一個示例中,初始認證組件可以是在Linux操作系統上運行的、在zl96計算機(由IBM商業提供)內的LPAR(Logical Partition,邏輯分區)內運行的WAS(WebSphere Application Server,WebSphere應用服務器),并且后續處理組件可以是在大型機操作系統(如,IBM z/OS操作系統)內運行的、在相同或者可能不同的zl96計算機上執行的CICS (Customer Information ControlSystem,客戶信息控制系統)(其也由IBM提供)的實施方案。初始認證服務器包括標識和認證組件或服務以標識和認證做出請求310的客戶端終端用戶300。在一個實施方式中,通過例如在Linux環境中實施適當的可插接認證模塊的操作系統來完成標識和認證。在另ー實施方式中,通過客戶端認證的SSL完成客戶端終端用戶標識和認證,其中客戶端終端用戶具有由受認證分布式組件信任的證書授權簽署的數字證書。
在初始認證組件和后續處理組件的安全引擎之間建立信任關系。信任關系基于秘密加密數據簽名密鑰的安全交換,所述密鑰用于驗證分布式安全信息交易處理消息部分內傳輸的分布式客戶端終端用戶標識和其它信息。實際的安全交換可以通過多個已知的方法完成。通常,初始認證組件例如使用由IBM z/OS操作系統內的公鑰基礎設施(PublicKey Infrastructure)功倉^:支持的 SCEP(SCEP, Simple Certificate Enrollment Protocol,簡單證書注冊協議)來獲取作為其安裝處理一部分的數字證書。作為其初始化處理的一部分,初始認證組件305用交易處理環境的大型機組件315的大型機安全引擎308建立客戶端認證的SSL會話。在此“初始化會話”期間,初始化認證組件將向大型機安全引擎“注冊”自身作為用戶,并且使得其憑據(包括共享的秘密數據簽名密鑰)記錄在大型機安全引擎(例如,RACF)內、大型機安全引擎針對所選擇的用戶保留的“密鑰環”內的大型機安全引擎用戶注冊表內,由此建立信任關系。這種信任關系意味著,在分布式和大型機組件使用的安全用戶標識和認證服務之中,在一個組件內執行的用戶標識和認證受到多組件交易處理環境內的另ー組件理解和信任。這種安全信任關系在此也稱為信任域,其中域301是ー個示例。信任域301建立為包括初始認證組件305和至少ー個后續處理組件315。在操作中,在多組件交易處理環境301的分布式組件305內運行的作為其處理一部分的交易303向相同環境的大型機組件發起后續交易請求316。在到大型機組件315的交易請求消息流程中,分布式組件305包括分布式安全認證信息317。大型機組件315連同后續交易請求316—起接收分布式安全認證信息317,并且利用安裝管理地限定的映射功能319以確定與什么本地大型機組件用戶身份執行后續交易312。所利用的映射功能可以是將給定的分布式客戶端終端用戶與特定大型機用戶身份相關聯的簡單編程編碼的表格,或者其可以是更加管理友好的和功能的程序產品,如IBM EIM(Enterprise Identity Mapping,企業身份映射)產品。使用主動的化身監視、捭索、審核和報告,主動地保護數據源上面用作背景的情況下,現在描述此公開的主題。優選地在諸如上面描述的多組件計算環境內運行的安全服務器中實施這里的技木。在代表性實施方式中,安全服務器是具有對于RACF (Resource Access Control Facility,資源訪問控制設施)或其等效物的支持的ζ/OS安全服務器。描述的技術不限于利用這樣的特定產品
根據此公開,并且如上所述,計算系統中數據資源的擁有者經由“虛擬”實體或對象(這里有時稱為“化身”)保護此數據源。如這里使用的,期望受保護的“數據源”或“資源”應當廣義地解釋為指代以下之一數據對象、數據集合或合集、文件、目錄內文件的集合、目錄的內容、多個目錄、驅動程序的內容、ー個或多個標識的對象、驅動程序、數據存儲、處理或程序、機器、或者機器的集合。虛擬實體在系統中具有像人一祥的呈現。其在系統中被分配了特定的任務,即,用于代表此數據源的擁有者保護數據源。為此目的,化身與非人用戶標識符(例如,“ userid”或者其它的這種標簽)相關聯(或者由非人用戶標識符限定)。安全服務器向此userid給予有權訪問受保護數據源的所有(或,限定的)用戶、用戶的組以及其他資源的相同訪問權和特權(許可)。為了方便起見,在此將訪問權和特權的這種合成集合稱為關于數據源的“訪問權利和特權的總集合”。由此,實際上,userid標識作為可以另外訪問數據源的所有(或限定的)用戶、用戶的組和其它資源的合成的虛擬“用戶”。這樣,對于擁有者期望保護的數據源,虛擬的用戶是擁有者的另ー個自我,或者更常見的,擁有者的化身。如將會看到的,安全服務器然后使得化身主動地自動和自主地監視和保護數據源,如同擁有者直接執行那些活 動一祥。在初始設置期間,指定在一旦發生關于數據源的可動作(actionable)事件時要由非人userid執行的ー個或多個動作,并且確定與數據源相關聯的“基線(baseline)”。基線包括標識關于數據源的許可訪問的數據,以及受許可訪問該數據源的所有(或限定的)用戶、用戶組和其它資源的列表。在設置完成后,運行時間操作開始。尤其是,在非人的userid下執行監視處理,并且此處理記錄對于數據源的ー個或多個訪問。定期地,或者在給定的發生的事情時,監視處理產生一個或多個輔助地處理以確定可動作事件是否被觸發。這些輔助的處理包括以下中的ー個或多個捜索處理(例如,用以確定數據源的副本是否存在于系統中別的地方)、審核處理(例如,用以確定動作或動作的集合是否指示對于數據源的威脅)以及動作任務處理(例如,用以響應針對數據源的特定消息)。如果化身的監視努力指示可動作事件(諸如,訪問違規),則采取如動作矩陣中限定的動作。動作通常包括報告給數據源擁有者以及可選擇地安全管理員。系統也可以響應于可動作事件以禁止對于正在受保護的資源的訪問。由此,根據這里的技術,創建非人的userid (數據源化身),優選地具有有權訪問受保護數據源的任何userid或userid組的所有訪問權和特權。化身然后監視對于數據源的任何訪問,例如以核對用于后續審核的數據訪問,以主動地捜索副本(部分或全部)等。在有疑問訪問發生的情況下,化身可以發起訪問去除。該操作優選地獨立于安全管理員,并且優選地將任何的動作直接報告給數據源擁有者。由此,此功能提供這樣的方法憑借該方法,計算機或計算機系統上數據源的擁有者可以在不參照安全管理員的情況下使得此數據源主動地受到保護。上面的描述總結了本公開的數據源化身(DSA)的基本功能。下面提供優選實施方案的額外細節。在一個實施方式中,在安全服務器(或者,更一般地,“裝置”)中功能實施為一個或多個計算機程序,其包括由一個或多個處理器運行的計算機程序指令的集合。安全服務器可以包括或是共同定位或是整體地或部分地相對于彼此分布的一個或多個處理或程序。在替換方案中,可以在不限制地包括云計算環境的其它計算環境中執行這些功能中的ー個或多個。圖4是圖示初始設置操作的處理流程。在一個實施方式中,數據擁有者通過由安全服務器顯示的一個或多個顯示面板或屏幕執行此處理。可以相對于安全服務器本地或遠程地執行配置。可替換地,可以可編程地配置初始設置(或者其步驟)。在步驟400,處理開始于數據源擁有者請求數據源化身(DSA)。優選地,要保護的給定數據源具有其自身相關聯的DSA,盡管可以由多個數據源或者在多個數據源之中共享特定的DSA。與此步驟相關聯地,數據源的擁有者(例如向數據 源駐于的系統上的安全管理員)做出請求以創建非人userid。在替換方案中,系統可以自動地或者可編程地提供非人userid,在此情況下未涉及安全管理員。如上描述的,然后DSA被授予當前可受許可對此數據源做動作(例如,讀或者修改)的所有userid (用戶)、userid的組(用戶的組)和其他資源(如,程序)的相同訪問權和許可。如這里使用的,“所有”指代userid、組等中的每ー個,或者其被限定的或可配置的子集。在步驟402,萬一遇到可動作事件(AE),數據源的擁有者指定要由DSA執行的動作的一個或多個并且優選是其矩陣。優選地,存在與每個DSA/數據源相關聯的動作矩陣。可以共享動作矩陣。如矩陣中限定的這種動作可以是主動的或者被動的,或者其某些組合。由此,被動動作可以是將發生報告給數據源擁有者、報告給安全管理員、報告給某些其它實體或者其ー些組合。主動動作的示例是禁止對于關于可疑userid或userid的組等的數據源的動作。在步驟404,在數據源駐于的計算機系統上創建DSA。通過在安全服務器框架中舉例說明化身處理實例來執行此步驟。然后,例程在步驟406繼續,以創建關于所有許可訪問的數據源和用戶、用戶的組和其它資源(如程序)的列表的快照(snapshot)。然后將此數據存儲為“基線”。可以定期地或者可編程地更新基線。這完成了關于期望要受擁有者保護的數據源的DSA的初始設置。圖5圖示安全服務器500,其包括處理器502 ;以及計算機存儲器504,其保持計算機程序指令506,用于創建和管理供主動地監視數據源510所使用的DSA處理實例508 (每個DSA)。如注明的那樣,優選地,安全服務器在運行時間操作期間激活每個DSA實例,其現在加以描述。一般地,DSA實例針對數據源進行監視,并且現在針對圖6和圖7中的處理流程圖描述這種監視。圖8中的處理流程示可以如何使用監視處理以響應來自數據源擁有者的請求。圖6圖示如何通過DSA的監視產生搜索處理。如上面描述的,優選地,在DSAuserid下運行監視處理。這是步驟600。監視處理被分配任務以記錄對于數據源的所有(或限定的)訪問,并且保持這些訪問的累積總結(summary)0通常地,這種監視是被動的記錄任務。在定期的基礎上,或者一旦有可配置的事件,則DSA產生處理以搜索此數據源的副本。這是步驟602。特別地,并且使用DSA的許可范圍,捜索處理(其可以認為是監視處理的子處理,其自身是DSA處理實例的子處理)捜索其它的數據源(在許可的情況下)以例如確定是否存在數據源的任何完全或部分副本正被保護在這些其它的位置中。這些全部或部分副本的存在可以指示對于數據源的潛在危險,由于其可能由某些未授權的復制而導致。作為搜索的結果,如果定位了任何這種副本,則監視處理參照動作矩陣(AM),然后執行(或者促使某些其它相關聯處理執行)針對這種發生的事情啟用(與這種發生有夫)的任何動作。如動作矩陣中限定的,并且如上面注明的,系統可以被動地報告發現部分或完全的副本,(通過限制對于此用戶或用戶組的訪問)執行主動的響應,或諸如此類。
存在由捜索處理執行的其它“搜索”(除了查找完全或部分副本之外),由此上面描述的“捜索”功能不應該用來限制此公開。由此,例如,“捜索”處理可以是可配置的,并且其可以基于ー個或多個屬性或參數,如一天的時間、位置、訪問類型、內容類型、內容元數據
坐寸ο圖7圖示監視處理可以如何產生審核檢查處理或子處理。在步驟700中,如已經描述的那樣在DSA userid下運行監視處理。監視處理被分配任務以將所有(或某些限定的)訪問記錄至數據存儲源并且保持這些訪問的累積總結。通常地,這是被動的記錄任務。在定期的基礎上,或者一旦有給定發生時,在步驟702,監視處理就產生處理以分析審核功能的結果。審核功能的類型可以有點改變,并且可以通過其它的系統或處理執行實際的審核操作。一般地,審核標識系統已經確定出的動作或者動作的組合可能用信號通知對于數據源的真實或潛在的威脅。步驟702進行審核(或者某些審核結果)的分析,然后其在需要的 情況下發起動作。如上面注明的,通常動作以動作矩陣的方式加以限定,并且其可以是主動的、被動的或者其某些組合。—個審核示例提供有關這樣的用戶的數據該用戶另行具有對于數據源的有效訪問權,但是試圖使用不允許的程序(例如,FTP客戶端)。另ー示例是將許可的用戶的訪問權從READ (讀)更新至UPDATE (更新)并且在短的時間間隔中再次退回到READ (讀)的情況。又一示例是這樣的報告特征其將特定用戶、用戶的組和其它資源的當前狀態與原始基線快照相比較以示出任何改變。這種場景向數據源擁有者提供關于自從已經發起數據源的保護起(在訪問權方面)已經發生了什么變化的信息。這些示例只是代表性的場景,由于步驟702可以在改變的可配置或程序化的條件下應用于進行審核分析。如注明的,優選地,通知數據源擁有者。如果(如審核分析標識的)變化不是由擁有者認可的變化,則擁有者(或系統,程序化地)可以例如通過請求用以去除訪問權的監視處理、建議安全管理員等來適當地響應。根據另一方面,DSA處理實例可以將多個事件關聯在一起,以形成合成的事件,然后針對基線估計該合成的事件以確定是否已經發生可動作的事件。可以響應于通過數據源擁有者、通過程序或者系統等發出的請求將(圖6的)捜索處理和(圖7的)審核處理發起為“動作任務”,或相反。由此,如圖8中所示,在步驟802,監視處理800可以在ー個或多個條件或發生下產生動作任務。例如,可以響應于發起對于包括數據源的數據的任何副本(完全或局部)的捜索的請求(如圖6中所描述),通過監視處理發起步驟802處的動作任務。可以響應于發起審核檢查的請求(如圖7中所描述),通過監視處理發起步驟802處的動作任務。作為另ー替代方案,可以響應于數據源擁有者進行的、用以去除用戶、用戶的組和其它資源(如,程序)(對于數據源)的訪問權的請求來發起動作任務。又ー替換方案是對于動作矩陣(AM)的更新。當然,這些示例只是說明性的,并且監視處理發起的動作任務可以具有改變的特性。作為特定的示例,在DSA userid下運行監視處理800,這是因為其被配置(供應)為監視用于任何到來的某種類型(例如,SMTP、SOAP等)的消息,或用于具有某種特性的消息等等。如此,監視處理然后可以對從數據源擁有者向它分派的用于動作的消息作出反應。一旦接收到這種消息,就產生動作任務(AT) 802。這完成了該處理。圖6、圖7和圖8中所示的處理可以并發地、依次地或者以其它方式執行。它們可以是單個整合的處理或子處理。如上面注明的,盡管已經在具有RACF的z/OS安全服務器的上下文中描述了所公開的技術,然而這并非限制。圖9中示出了代表性的動作矩陣900。其包括按行和列格式的數據的陣列。每個行902定義特定情況編號。第一列904定義情況編號。第二列906定義如已經描述的可以由監視處理標識的可動作事件(或“發生的事情”)。第三列908定義在一旦發生可動作事件時要采取的動作。第四列910指示是否要將發生報告給數據源擁有者,而第五列912指示是否應當將發生報告給擁有者和安全管理員。這些僅是代表性的數據類型、格式和布局。可以將額外的數據類型和字段并入至動作矩陣中。優選地,如上面注明的,針對每個DSA/數據源配對,存在動作矩陣900。這里描述的主題具有許多優點。通過建立“虛擬”用戶,數據源擁有者無需回復任
何中心安全管理員(或,集中化的策略)來保護數據源。化身為了唯一地保護數據源的目的而用作擁有者的代理者。可以在每數據源的基礎上,如擁有者期望的那樣自主地和自動地限定和履行特定的安全策略。另外,系統使得數據源擁有者能夠限定和履行他或她自身唯一的動作集合,如在動作矩陣中闡述的那樣。上面描述的功能可以實施為單獨的方法,例如由處理器運行的基于軟件的功能,或者其可用作受管理的服務(包括作為經由S0AP/XML接ロ的web服務)。這里描述的特定硬件和軟件實施方案細節只是為了說明性的目的,而并非意在限制所描述主題的范圍。更一般地,所公開發明上下文中的計算設備每ー個均是包括硬件和軟件的數據處理系統(如圖2中所示),并且這些實體通過網絡(如,因特網、內部網、外部網、專用網絡或者任何其它的通信介質或鏈路)相互通信。數據處理系統上的應用程序提供對于Web和其它已知服務和協議的本地支持,其不加以限制地包括對于HTTP、FTP、SMTP、SOAP、XML、WSDL、UDDI和WSFL等等的支持。關于SOAP、WSDL、UDDI和WSFL的信息可從負責開發和維護這些標準的 W3C (World Wide Web Consortium,萬維網同盟)得到;進ー步,關于 HTTP、FTP、SMTP和XML的信息可從IETF (Internet Engineering Task Force,因特網工程任務組)得到。假定熟悉這些已知的標準和協議。可以在各種服務器側架構中或者與各種服務器側架構結合地實施這里描述的機制,所述服務器側架構包括簡單的η層架構、門戶網站、聯合系統等。如注明的,可以在松弛耦合的服務器(包括基干“云”的)環境中實踐這里的技木。可以在云中主管安全服務器自身(或者其功能,如監視處理)。又更一般地,這里描述的主題可以采用完全硬件實施例、完全軟件實施例或者包括硬件和軟件元素的實施例的形式。在優選的實施方式中,以軟件實施功能,所述軟件包括但不限于固件、常駐軟件、微代碼等。進而,如上面注明的,分析引擎功能可以采用可從計算機可用的或計算機可讀的介質得到的計算機程序產品的形式,所述介質提供由計算機或任何指令運行系統使用或者與計算機或任何指令運行系統相關的程序代碼。為了這種描述的目的,計算機可用或計算機可讀介質可以是可包括或存儲由指令運行系統、裝置或設備使用的或者與指令運行系統、裝置或設備相關的程序的任何裝置。介質可以是電、磁、光學、電磁、紅外或者半導體系統(或者裝置或設備)。計算機可讀介質的示例包括半導體或固態存儲器、磁帶、可移除計算機軟磁盤、隨機存取存儲器(RAM)、只讀存儲器(ROM)、剛性磁盤和光盤。光盤的當前示例包括致密盤-只讀存儲器(⑶-ROM)、致密盤-讀/寫(⑶-R/W)和DVD。計算機可讀介質是有形的物品。計算機程序產品可以是具有用以實施一個或多個所描述功能的程序指令(或者程序代碼)的產品。這些指令或代碼在經由網絡從遠程數據處理系統下載后可以存儲在數據處理系統中的計算機可讀存儲介質中。或者,這些指令或代碼可以存儲在服務器數據處理系統中的計算機可讀存儲介質中,并且可以適配為經由網絡下載至遠程數據處理系統以用于遠程系統內的計算機可讀存儲介質中。在代表性實施方式中,在專用計算機中,最好以供一個或多個處理器運行的軟件實施安全服務器組件。將軟件保持在與一個或多個處理器相關聯的一個或多個數據存儲部分或存儲器中,并且可以將軟件實施為一個或多個計算機程序。共同地,這種專用硬件和軟件包括上面描述的化身框架(avatar framework)。可以將安全服務器提供的安全功能實施為對于現有訪問管理器或策略管理解決方案的助手或擴展。 盡管上面描述了由本發明的特定實施方式執行的特定順序的操作,然而應當理解,這些順序是示例性的,這是由于可替換的實施方式可以以不同的順序進行操作、組合某些操作、重疊某些操作等。說明書中對于給定實施方式的參照指示所描述的實施方式可以包括特定的特征、結構或特性,但是每個實施方式可能不一定包括該特定的特征、結構或特性。最后,盡管已經單獨地描述了系統的給定組件,本領域普通技術人員應當理解,可以在給定的指令、程序序列、代碼部分等中組合或共享所述功能中的ー些。如這里使用的,“客戶端側”應用程序應當廣泛地解釋為指代應用程序、與此應用程序相關聯的頁面、或者由對于應用程序的客戶端側請求所調用的某些其它資源或功能。這里使用的“瀏覽器”并非_在指代任何特定的瀏覽器(例如,IE、Safari, FireFox, Chrome等),而是應當廣泛地解釋為指代可訪問或顯示因特網可訪問資源的任何客戶端側呈現引擎。進ー步,盡管通常使用HTTP發生客戶端服務器交互,然而這也不是限制。客戶端服務器交互可以被格式化為符合SOAP (Simple Object Access Protocol,簡單對象訪問協議),并且可以使用經由HTTP (經由公共因特網)、FTP或者任何其它的可信賴傳輸機制(如,IBM MQSeries'K技術和C0RBA,用于經由企業內部網的傳輸)的行迸。此外,術語“web站點”或“服務提供商”應當廣泛地解釋為覆蓋web站點(鏈接的web頁面的集合)、給定web站點或服務器處的域、與服務器或服務器的集合相關聯的信任域等。“服務提供商域”可以包括web站點或者web站點的一部分。可以通過將鉤子(hook)提供至另ー應用中、通過方便作為插件的機制的使用、通過鏈接至該機制等,將這里描述的任何應用或功能實施為本地代碼。這里公開的技術不限于多組件交易處理環境,而是這將是典型的實施方案。如注明的,上面描述的功能可以用在任何的系統、設備、門戶、站點等中,其中可經由相同客戶端瀏覽器(或是由原始用戶在不同會話中或是另ー用戶)重新使用服務器集合會話管理數據。已經描述了我的發明,現在我請求保護的如下。
權利要求
1.一種用于在計算環境中保護數據源的方法,包括 將化身與所述數據源相關聯,所述化身具有訪問權利和特權的總集合; 關聯在一旦發生關于所述數據源的可動作事件時要執行的一個或多個動作; 使用所述化身以針對與所述數據源相關聯的許可事件的集合監視所述數據源;以及 一旦確定可動作事件,就使用所述化身發起關于所述數據源的動作。
2.如權利要求I所述的方法,其中,所述化身由非人的用戶標識符限定。
3.如權利要求I所述的方法,其中,通過將關于所述數據源的實體的集合的訪問權利和特權組合至合成的集合,創建訪問權利和特權的總集合。
4.如權利要求3所述的方法,其中,實體的集合包括以下之一受許可的用戶、受許可的用戶組、受許可的其它資源、以及其組合。
5.如權利要求I所述的方法,其中,所述化身發起的動作是以下之一將通知發給數據源的擁有者、將通知發給管理員、以及其組合。
6.如權利要求I所述的方法,其中,在動作矩陣中指定所述ー個或多個動作,其中對于與數據源相關聯的每個化身指定動作矩陣。
7.如權利要求I所述的方法,其中,所述化身相對于集中化的安全功能自主地工作。
8.如權利要求I所述的方法,還包括如果可動作事件指示所述數據源處于危險,則所述化身限制對于所述數據源的訪問。
9.一種用于在計算環境中保護數據源的裝置,其包括 配置為將化身與所述數據源相關聯的部件,所述化身具有訪問權利和特權的總集合; 配置為關聯在一旦發生關于所述數據源的可動作事件時要執行的一個或多個動作的部件; 配置為使用所述化身以針對與所述數據源相關聯的許可事件的集合監視所述數據源的部件;以及 配置為一旦確定可動作事件,就使用所述化身發起關于所述數據源的動作的部件。
10.如權利要求9所述的裝置,其中,所述化身由非人的用戶標識符限定。
11.如權利要求9所述的裝置,其中,通過將關于所述數據源的實體的集合的訪問權利和特權組合至合成的集合,創建訪問權利和特權的總集合。
12.如權利要求11所述的裝置,其中,實體的集合包括以下之一受許可的用戶、受許可的用戶組、受許可的其它資源、以及其組合。
13.如權利要求9所述的裝置,其中,所述化身發起的動作是以下之一將通知發給數據源的擁有者、將通知發給管理員、以及其組合。
14.如權利要求9所述的裝置,其中,在動作矩陣中指定所述ー個或多個動作,其中對干與數據源相關聯的每個化身指定動作矩陣。
15.如權利要求9所述的裝置,其中,所述化身相對于集中化的安全功能自主地工作。
16.如權利要求9所述的裝置,其中所述裝置還包括配置為如果可動作事件指示所述數據源處于危險,則使用所述化身限制對于所述數據源的訪問的部件。
17.—種在包括大型機操作系統的多組件計算系統中運作的安全服務器,包括 處理器; 計算機存儲器,其保存由所述處理器運行的用以根據以下操作保護與擁有者相關聯的數據源的計算機程序指令 接收用以創建與所述數據源相關聯的非人用戶標識符的請求,所述非人用戶標識符具有訪問權利和特權的總集合; 關聯在一旦發生關于所述數據源的可動作事件時要執行的一個或多個動作; 生成與所述數據源相關聯的許可事件的基線; 使用化身針對所述基線監視所述數據源;以及 一旦確定可動作事件,就使用所述化身發起關于所述數據源的動作。
全文摘要
計算系統中的數據源擁有者經由“虛擬”或代理實體或“化身”保護該源。在初始設置期間,指定在一旦發生關于數據源的可動作事件時要由非人userid執行的一個或多個動作,并且確定與數據源相關聯的“基線”。接著設置,在非人userid下運行監視處理,并且此處理記錄對于數據源的一個或多個訪問。定期地,或者一旦有給定發生的事情時,監視處理產生一個或多個輔助處理以確定是否已經觸發了可動作事件。如果化身的監視努力指示可動作事件(如,訪問違規),則采用如動作矩陣中限定的動作。動作通常包括報告給數據源擁有者以及可選擇地報告給安全管理員,并且限制對于該數據源的訪問。
文檔編號G06F12/14GK102867152SQ20121020026
公開日2013年1月9日 申請日期2012年6月14日 優先權日2011年6月14日
發明者R.J.麥科馬克 申請人:國際商業機器公司