用於確定用戶組對數據元素組的數據訪問權限的方法及裝置與流程
2023-06-03 01:34:37 1
本發明涉及數據安全領域,尤其涉及在大型組織中的大量資源和用戶的數據安全。
背景技術:
以下的美國專利被認為是代表本領域的當前狀態:美國專利號6772350、美國專利號6308173和美國專利號5889952。
技術實現要素:
本發明的目的在於提供一種用於確定用戶對具有大量資源和用戶的一大型組織中的計算機資源的訪問權限的方法和系統。
因此,根據本發明的一較佳實施例,提供一種確定一第一多重用戶對至少一存儲單元內的一第二多重計算機資源的訪問權限的方法,所述方法包括:
將所述第一多重用戶中的用戶分組成一第一多個組,其中第一多個組的至少一組的所有組員對至少一個存儲單元的所述第二多重計算機資源具有至少幾乎相同的用戶/資源訪問權限;
將所述第二多重計算機資源中的資源分組成一第二多個組,其中第二多個組的至少一組的所有部分具有至少幾乎相同的資源/用戶訪問權限;
確定一給定的用戶是否是所述第一多個組的其中一組的一組員;
若所述給定的用戶是所述第一多個組的所述其中一組的一組員,則將所述第一多個組的所述其中一組的用戶/資源訪問權限歸於所述給定的用戶,
確定一給定的資源是否是所述第二多個組的其中一組的一部分,以及
若所述給定的資源是所述第二多個組的所述其中一組的一部分,則將所述第二多個組的所述其中一組的資源/用戶訪問權限歸於所述給定的資源。
根據本發明一較佳實施例,所述分組用戶步驟包括確認一組用戶安全組,每一所述用戶安全組對至少一存儲單元的至少一所述第二多重計算機資源具有訪問權限;針對所述第一多重用戶的每一用戶,確認所述用戶安全組的一子集,其中在所述用戶安全組的子集中,所述用戶為一組員;以及若所述用戶安全組的一第一子集相同於所述用戶安全組的一第二子集,那麼相對於所述至少一存儲單元,在所述第一多個組中的一單個組內,將一第一用戶和一第二用戶進行分組;其中,在所述用戶安全組的一第一子集中,所述第一多重用戶的第一用戶為一組員;在所述用戶安全組的一第二子集中,所述第一多重用戶的第二用戶為一組員。
根據本發明的一較佳實施例,所述分組用戶步驟包括將所述第二多重計算機資源劃分成至少兩個部分,且在所述第一多重用戶中將所述用戶分組成所述第一多個組,其中所述第一多個組的其中一組的所有組員對包括在至少兩部分中其中一部分的計算機資源具有至少幾乎相同的用戶/資源訪問權限。
根據本發明的另一較佳實施例,所述劃分步驟包括對所述第一多重用戶的每一用戶,計算出所述用戶具有訪問權限的所述第二多重計算機資源的一小部分資源,並比較所述小部分資源與一閾值;將所述小部分資源小於所述閾值的每一用戶,以一降級安全組來表示;以及定義所述第二多重計算機資源的一第一部分為所有計算機資源的集合,其中所述計算機資源包括任意一降級安全組的訪問權限。
根據本發明的另一較佳實施例,在所述第二多重計算機資源內的計算機資源被安排在一計算機資源分層中。較佳地,所述分組資源步驟包括針對計算機資源分層中的每一資源,檢索在所述計算機資源分層中的所述資源的資源/用戶訪問權限,以及在所述計算機資源分層中的所述資源的一直系始源(immediate ancestor)的資源/用戶訪問權限;以及若所述直系始源的資源/用戶訪問權限相同於所述資源的資源/用戶訪問權限,在所述第二多個組中的一單個組中,將所述資源和所述直系始源進行分組。附加地或替換地,所述分組資源步驟包括提供一指針,由所述資源指向所述直系始源,並延伸指向所述資源的指針至指向所述直系始源。
根據本發明另一較佳實施例,附加地提供一種用於確定一第一多重用戶對至少一存儲單元的一第二多重計算機資源的訪問權限的方法,所述方法包括:將所述第一多重用戶中的用戶分組為一第一多個組,其中所述第一多個組的至少一組的所有組員對所述至少一存儲單元的所述第二多重計算機資源具有至少幾乎相同的用戶/資源訪問權限;確定一給定用戶是否是所述第一多個組的其中一組的一組員,以及若所述給定的用戶是所述第一多個組的所述其中一組的一組員,將所述第一多個組的所述其中一組的用戶/資源歸於所述給定的用戶。
根據本發明另一較佳實施例,所述分組用戶步驟包括:確認一組用戶安全組,每一所述用戶安全組對所述至少一存儲單元的至少一所述第二多重計算機資源具有訪問權限;針對所述第一多重用戶的每一用戶,確認所述用戶安全組的一子集,其中在所述用戶安全組的子集中,所述用戶為一組員;以及若所述用戶安全組的一第一子集相同於所述用戶安全組的一第二子集,那麼相對於所述至少一存儲單元,在所述第一多個組中的一單個組內,將一第一用戶和一第二用戶進行分組;其中在所述用戶安全組的一第一子集中,所述第一多重用戶的第一用戶為一組員;在所述用戶安全組的一第二子集中,所述第一多重用戶的第二用戶為一組員。
根據本發明的另一較佳實施例,所述分組用戶步驟包括將所述第二多重計算機資源劃分成至少兩部分,且在所述第一多重用戶中將所述用戶分組成所述第一多個組,其中所述第一多個組的其中一組的所有組員對包括在所述至少兩部分中的其中一部分的計算機資源具有至少幾乎相同的用戶/資源訪問資源。較佳地,所述劃分步驟包括:對所述第一多重用戶的每一用戶,計算出所述用戶具有訪問權限的所述第二多重計算機資源的一小部分資源,並比較所述小部分資源與一閾值;將所述小部分資源小於所述閾值的每一用戶,以一降級安全組來表示;以及定義所述第二多重計算機資源的一第一部分為所有計算機資源的集合,其中所述計算機資源包括任意一降級安全組的訪問權限。
根據本發明的另一較佳實施例,附加地提供一種用於確定一第一多重用戶對至少一存儲單元的一第二多重計算機資源的訪問權限的方法,所述方法包括:將所述第二多重計算機資源中的資源分組為一多個組,其中所述多個組中的至少一組的所有部分具有至少幾乎相同的資源/用戶訪問權限;確定一給定資源是否是所述多個組的其中一組的一部分;以及若所述給定的資源是所述多個組的所述其中一組的一部分,則將所述多個組的所述其中一組的資源/用戶訪問權限歸於所述給定的資源。
根據本發明的另一較佳實施例,在所述第二多重計算機資源內的計算機資源被安排在一計算機資源分層中。較佳地,所述分組資源步驟包括:針對所述計算機資源分層中的每一資源,檢索在所述計算機資源分層中的所述資源的資源/用戶訪問權限,以及在所述計算機資源分層中的所述資源的一直系始源的資源/用戶訪問權限;以及若所述直系始源的資源/用戶訪問權限相同於對所述資源的資源/用戶訪問權限,在所述第二多個組中一單個組中,將所述資源和所述直系始源進行分組。
根據本發明的一較佳實施例,所述分組資源步驟包括:提供一指針,由所述資源指向所述直系始源,並延伸指向所述資源的指針至指向所述直系始源。
根據本發明的另一較佳實施例,提供一種用於確定一第一多重用戶對至少一存儲單元內的一第二多重計算機資源的訪問權限的裝置,所述裝置包括:
用戶分組功能,用以將在所述第一多重用戶分組為一第一多個組,其中所述第一多個組中的至少一組的所有組員對所述至少一存儲單元的所述第二多重計算機資源具有至少幾乎相同的用戶/資源訪問權限;
計算機資源分組功能,用以將所述第二多重計算機資源中的計算機資源分組為一第二多個組,其中所述第二多個組中的至少一個組的所有部分具有至少幾乎相同的資源/用戶訪問權限;
用戶訪問權限歸屬功能,用以確定一給定的用戶是否是所述第一多個組的其中一組的一組員,若所述給定的用戶為所述第一多個組的所述其中一組的一組員,則將所述第一多個組中的所述其中一組的用戶/資源訪問權限歸於所述給定的用戶;以及
計算機資源訪問權限歸屬功能,用於確定一給定的計算機資源是否是所述第二多個組的其中一組的一部分,若所述給定的計算機資源是所述第二多個組的所述其中一組的一部分,則將所述第二多個組中的所述其中一組的資源/用戶訪問權限歸於所述給定的計算機資源。
根據本發明的一較佳實施例,所述用戶分組功能包括:用戶安全組確認功能,用以確認一多個用戶安全組,每一所述用戶安全組對所述至少一存儲單元的至少一所述第二多重計算機資源具有訪問權限;用戶安全組子集確認功能,用以針對所述第一多重用戶的每一用戶,確認所述用戶安全組的一子集,其中在所述用戶安全組的子集中,所述用戶為一組員;以及用戶子集比較功能,用以若所述用戶安全組的一第一子集相同於所述用戶安全組的一第二子集,那麼相對於所述至少一存儲單元,在所述第一多個組的一單個組內,將一第一用戶和一第二用戶進行分組;其中,在所述用戶安全組的一第一子集中,所述第一用戶為一組員;在所述用戶安全組的一第二子集中,所述第二用戶為一組員。
根據本發明的一優選實施例,所述裝置還包括一計算機資源劃分功能,用以將所述第二多重計算機資源劃分成至少兩部分,其中所述用戶分組功能用以在所述第一多重用戶中將用戶分組成所述第一多個組,其中所述第一多個組的其中一組的所有組員對包括在所述至少兩部分中的其中一部分的計算機資源具有至少幾乎相同的用戶/資源訪問權限。
根據本發明的一優選實施例,所述計算機資源劃分功能包括:小部分資源計算功能,用以對所述第一多重用戶的每一用戶,計算出所述用戶具有訪問權限的所述第二多重計算機資源的一小部分資源,並比較所述小部分資源與一閾值;用戶表示功能,用以將所述小部分資源小於閾值的每一用戶,以一降級安全組來表示;以及部分定義功能,用以定義所述第二多重計算機資源的一第一部分為所有計算機資源的集合,其中所述計算機資源包括任意一降級安全組的訪問權限。較佳地,在所述第二多重計算機資源內的計算機資源被安排在一計算機資源分層中。
根據本發明的另一優選實施例,所述計算機資源分組功能包括:資源/用戶訪問權限檢索功能,用以針對所述計算機資源分層中的每一資源,檢索在所述計算機資源分層中的所述資源的資源/用戶訪問權限,以及在所述計算機資源分層中的所述資源的一直系始源的資源/用戶訪問權限;資源/用戶訪問權限比較功能,用以比較所述資源的資源/用戶訪問權限與所述直系始源的資源/用戶訪問權限,若所述直系始源的資源/用戶的訪問資源相同於所述給定資源的資源/用戶的訪問權限,在所述第二多個組中的一單個組中,將所述資源和所述直系始源進行分組。
根據本發明的另一較佳實施例,所述資源/用戶訪問權限比較功能,用以提供一指針,由所述資源指向所述直系始源,並延伸指向所述資源的指針至指向所述直系始源。
根據本發明的另一較佳實施例,附加地提供一種用於確定一第一多重用戶對至少一存儲單元的一第二多重計算機資源的訪問權限的裝置,所述裝置包括用戶分組功能,用以將所述第一多重用戶中的用戶分組為一第一多個組,其中所述第一多個組中的至少一組的所有組員對所述至少一存儲單元的所述第二多重計算機資源具有至少幾乎相同的用戶/資源的訪問權限;以及用戶訪問權限歸屬功能,用以確定一給定的用戶是否是所述第一多個組的其中一組的一組員,若所述給定的用戶是所述第一多個組的所述其中一組的一組員,將所述第一多個組的所述其中一組的用戶/資源訪問權限歸於所述給定的用戶。
根據本發明的一較佳實施例,所述用戶分組功能包括:用戶安全組確認功能,用以確認一多個用戶安全組,每一所述用戶安全組對所述至少一存儲單元的至少一所述第二多重計算機資源具有訪問權限;用戶安全組子集確認功能,用以針對所述第一多重用戶的每一用戶,確認所述用戶安全組的一子集,其中在所述用戶安全組的子集中,所述用戶為一組員;用戶子集比較功能,用以若所述用戶安全組的一第一子集相同於所述用戶安全組的一第二子集,那麼相對於所述至少一存儲單元,在所述第一多個組的一單個組內,將一第一用戶和一第二用戶進行分組,其中在所述用戶安全組的一第一子集中,所述第一用戶為一組員;在所述用戶安全組的一第二子集中,所述第二用戶為一組員。
根據本發明的另一較佳實施例,所述裝置也包括一計算機資源劃分功能,用以將所述第二多重計算機資源劃分成至少兩部分,其中所述用戶分組功能用以在所述第一多重用戶中將用戶分組成所述第一多個組,其中所述第一多個組的其中一組的所有組員對包括在所述至少兩部分中的其中一部分的計算機資源具有至少幾乎相同的用戶/資源訪問權限。較佳地,所述計算機資源劃分功能包括小部分資源計算功能,用以對所述第一多重用戶的每一用戶,計算出所述用戶具有訪問權限的所述第二多重計算機資源的小部分資源,並比較所述小部分資源與一閾值;用戶表示功能,用以將所述小部分資源小於所述閾值的每一用戶,以一降級安全組來表示;以及部分定義功能,用以定義所述第二多重計算機資源的一第一部分為所有計算機資源的集合,其中所述計算機資源包括任意一降級安全組的訪問權限。
根據本發明的另一較佳實施例,附加地提供一種用於確定一第一多重用戶對至少一存儲單元的一第二多重計算機資源的訪問權限的裝置,所述裝置包括計算機資源分組功能,用以將所述第二多重計算機資源中的資源分組為一第二多個組,其中所述第二多個組中的至少一組的所有部分具有至少幾乎相同資源/用戶訪問權限;以及計算機資源訪問權限歸屬功能,用以確定一給定的計算機資源是否是所述第二多個組的其中一組的一部分,若所述給定的計算機資源是所述第二多個組的所述其中一組的一部分,將所述第二多個組的所述其中一組的資源/用戶訪問權限歸於所述給定的計算機資源。較佳地,在所述第二多重計算機資源內的計算機資源被安排在一計算機資源分層中。
根據本發明的另一較佳實施例,所述計算機資源分組功能包括:資源/用戶訪問權限檢索功能,用以針對所述計算機資源分層中的每一資源,檢索在所述計算機資源分層中的資源/用戶訪問權限,以及在所述計算機資源分層中的所述資源的一直系始源的資源/用戶訪問權限;以及資源/用戶訪問權限比較功能,用以比較所述資源的資源/用戶訪問權限和所述直系始源的資源/用戶訪問權限,若所述直系始源的資源/用戶訪問權限相同於所述資源的資源/用戶訪問權限,在所述第二多個組的一單個組中,將所述資源和所述直系始源進行分組。
根據本發明的另一較佳實施例,所述資源/用戶訪問權限比較功能,用以提供一指針,由所述資源指向所述直系始源,並延伸指向所述資源的指針至指向所述直系始源。
附圖說明
結合參考以下的附圖和詳細說明將更充分地理解和明白本發明,其中:
圖1是本發明一較佳實施例表示在一大型組織中具有大量的資源和用戶的簡要示意圖;
圖2是本發明一較佳實施例表示一種用於確定在一具有大量的資源和用戶的大型組織中用戶對資源的訪問權限的方法的簡要流程示意圖;
圖3A和圖3B為圖2所述方法的部分方法,一起表示用於在一大型組織中基於用戶的訪問權限以對用戶進行分組的方法的簡要流程示意圖;
圖4A和圖4B為圖2所述方法的部分方法,一起表示用於在一大型組織中基於資源的訪問權限以對資源進行分組的方法的簡要流程示意圖;以及
圖5A、5B和5C為圖2所述方法的部分方法,一起表示用於計算一訪問權限的查詢響應的方法的簡要流程示意圖。
具體實施方式
數據安全策略通常決定誰能夠訪問一組織的數據,該數據通常是存儲在不同的計算機系統內。這些策略很少是靜態的,其部分原因是來自於所述組織的用戶,例如僱員、合伙人或承包人能夠對敏感數據造成的威脅與來自組織外部的威脅一樣的嚴重。因此,作為構成組織變革的結構和人員,應該對安全策略作相應的調整。信息技術部門經常發現在保護企業敏感數據的同時,管理用戶數據的訪問權限及確保方便獲得所需信息是困難的。
大型企業組織所操作的計算機系統包括大量伺服器,所述伺服器通常是地域分布的。大量用戶可以訪問計算機系統中的存儲元件。與數據訪問授權相關聯的不同人群包括信息技術人員、操作人員例如帳戶管理者,以及第三方評論員例如法律顧問,對特定數據的用戶訪問權限需要作日常查詢。
一傳統的本地或分布式資料庫的維護(maintenance)能夠壓倒(overwhelm)現存有的最複雜的數據管理程序能力,其中本地或分布式資料庫適用於對任何特別用戶或用戶組的訪問權限的查詢響應,或相反地,用於對相對於一特別存儲元件或存儲元件組的訪問權限的查詢響應。存儲並檢索像查詢服務所需數據,可能會對不同伺服器的存儲容量有著負面影響。另外,執行這樣的查詢可能會影響伺服器的性能,於是可能會降低計算機系統的整個效率。更進一步,由於處理查詢響應通常需要通過多個文件伺服器的目錄及其訪問控制列表以進行一個全面的迭代搜索,因此對於像這樣的查詢響應的時間變得不可接受的長。
訪問控制技術並未在利用多種訪問控制模型的系統中最佳地實施。對系統管理員而言,想要知道像這樣的環境下哪個用戶被授權而可以訪問每一特定數據項,在現有技術情況下還不存在簡單的方法。因此,在許多組織中,有不恰當的訪問權限的用戶數量多得令人無法接受。同時也缺乏一種用於對冗餘訪問權限和不再屬於組織的人員的孤立帳戶的相關問題的解決方案。因此,需要在控制用戶訪問權限上加以改進,以使數據安全,防止欺詐行為及改善公司的生產效率。更進一步,那些負責系統安全性的簡單化和自動化的人員會關注誤用數據訪問權限,甚至是被授權的用戶所誤用的。
參考圖1所示,表示一具有一第一多重用戶和一第二多重計算機資源的大型組織,所述計算機資源例如計算機文件可能存在多個文件伺服器中。所述用戶和文件伺服器可能獨立於他們的職能被地域地分布。
根據本發明的一較佳實施例,當響應訪問權限的查詢時,所述第二多重計算機資源的一分層結構,和/或所述第一多重用戶的一組根據它們相對存於一特定伺服器內的計算機資源的訪問權限而被部署,於是對像這樣的查詢有著更好的響應時間。
關於一給定用戶,術語「用戶/資源訪問權限」涉及位於在一特定伺服器或存儲單元內的一系列計算機資源,其中所給定的用戶對所述計算機資源具有訪問權限。因此,相對於一特定的伺服器或存儲單元,若兩個用戶具有相同的用戶/資源訪問權限,那麼所述兩個用戶對存於上述伺服器或存儲單元內的計算機資源列表具有相同的訪問權限。
進一步需理解的是,在本發明的上下文中,術語「訪問權限」涉及讀取權限、寫入權限以及執行權限,或其中任意一種組合。例如,若一給定的用戶對所給定的資源具有讀取權限,即使該用戶對所給定的資源不具有寫入權限或執行權限,那麼該給定的用戶仍具有訪問權限。
根據本發明的一較佳實施例,如圖1所示,提供一種用於確定所述第一多重用戶對至少一存儲單元的第二多重計算機資源的訪問權限的方法,其中,第一多重用戶用參考數字102予以表示,第二多重計算機資源用參考數字104予以表示,存儲單元用參考數字106予以表示,所述存儲單元較佳地為多個文件伺服器。
較佳地,在第一多重用戶102中定義一第一多個用戶組,其中所述第一多個用戶組中的每一用戶組的所有組員對一給定文件伺服器106的計算機資源具有至少幾乎相同的用戶/資源訪問權限。
例如,如圖1所示,在會計部門的人員,無論是在印度、巴西或加拿大,他們可能是同一用戶組的組員,此處被指定為字母A。類似地,在研發部門的人員,無論是在西班牙、巴西或印度,他們可能是同一用戶組的組員,此處被指定為字母D。
類似地,在所述第二多重計算機資源中定義一第二多個計算機資源,其中所述第二多重計算機資源中的每一計算機資源的所有部分具有至少幾乎相同的資源/用戶訪問權限,例如一相同的用戶組或幾乎相同的用戶組可以訪問在一給定組內的每一計算機文件。
例如,如圖1所示,涉及應付帳款的所有文件可以為同一計算機資源組的部分,此處被指定為字母「a」。類似地,開發一扇門的所有文件可以為同一計算機資源組的部分,此處被指定為字母「d」。
應該可以理解的是每一用戶組的所有組員具有至少幾乎相同的用戶/資源訪問權限。例如,用戶組A的所有組員可以訪問公司的帳戶,用戶組D的所有組員可以訪問工程文件。
類似地,應該可以理解的是每一計算機資源組的所有部分具有至少幾乎相同的資源/用戶訪問權限,例如,記帳員可以訪問計算機資源組「a」的所有部分,設計工程師可以訪問計算機資源組「d」的所有部分。
為了響應一查詢或相反地為了準備一以表明特定用戶或計算機資源的訪問權限概況的報告,有可能要快速確認一給定的用戶是否是所述第一多個用戶組中的其中一組的一組員,若是的話,快速將所述第一多個用戶組中的其中一組的用戶/資源訪問權限歸於所述給定的用戶。類似地,有可能要快速確認一給定的計算機資源是否是所述第二多個計算機資源組中的其中一組的一部分,若是的話,快速將所述第二多個計算機資源組中的其中一組的資源/用戶訪問權限歸於所述給定的計算機資源。
因此,可避免現有技術中所採用的耗時的迭代處理。
應該可以理解的是,本發明的實施例僅是分成了用戶組或是計算機資源組,但不會用戶組和計算機資源組都在本發明的保護範圍之內。
參考圖2所示,將說明根據本發明的一較佳實施例,用以執行以下步驟的方法。
現在參考圖2,其表示根據本發明的一較佳實施例,在一具有大量資源和用戶的大型組織中,確定用戶對計算機資源的訪問權限的普通方法的簡要流程示意圖。
如圖2所示,在一第一預備階段,在所述組織內的用戶根據其相對於在組織中一給定的伺服器的訪問權限而被分組,如步驟200所示。尤其是,對於每一伺服器,在所述組織中的用戶被劃分成多個用戶組,其中在每一組中的用戶相對伺服器中的文件具有類似的或最好相同的訪問權限。結合參考圖3所示,以下將更具體地說明對用戶進行分組的方法。
如步驟202所示,在一第二預備階段,在所述組織內的計算機資源根據對其的訪問權限而被分組。尤其是,在一分層伺服器系統中,除非有其他指明,一計算機資源應與其直系始源一樣具有相同的訪問權限。因此,計算機資源可以被分組,以至每一子級計算機資源指向其父級計算機資源的訪問控制列表,而不是複製訪問控制列表,其中每一子級計算機資源所具有的訪問權限相同於父級計算機資源的訪問權限。結合參考圖4所示,以下將更具體地說明對計算機資源進行分組的方法。
應該可以理解的是,對用戶進行分組的步驟200和對計算機資源進行分組的步驟202可以以任意一順序而執行,或並行執行,或是最好是定期執行,以便在所述組織中對用戶訪問權限和/或的計算機資源的層次結構的變化做出解釋。
在一第一處理階段,其在上述準備階段之後,典型地通過所述組織的一組員或所述組織的一部門提出一訪問權限的查詢,如步驟204所示。一典型的查詢可能包括一用戶子集和一存儲元件子集。像這樣的一查詢響應將會列出針對所述用戶子集中的每一用戶對所述存儲元件子集中的每一存儲元件的訪問權限。
例如,一查詢可以包括將所述組織內的所有用戶作為所述用戶子集,將一給定的計算機資源作為所述存儲元件子集。該查詢響應將會確定所有用戶中哪一用戶具有訪問所述給定計算機資源的權限。在另一例子中,所述查詢可以包括將所述組織的所有計算機資源作為所述存儲元件子集,以及將一給定的用戶作為所述用戶子集。該查詢響應將會確定所有存儲元件中哪一存儲元件可以被所述給定的用戶訪問。
如步驟206所示,處理查詢,並計算其響應。典型地,針對列在查詢中的每一用戶,查詢響應包括所述用戶可訪問列在查詢中的計算機資源的一子組的列表。結合參考圖5所示,以下將更具體地說明計算對查詢響應的方法。接著,所述查詢響應被轉至提出訪問權限查詢的個人或團隊,如步驟208所示。
現參考圖3A和圖3B所示的,其一起表示用於在一大型組織中基於用戶的訪問權限以對用戶進行分組的方法的簡要流程示意圖,而且該方法構成圖2所示方法的第一籌備階段200。這樣分組的目的是為了創建用戶組,其中在單一用戶組內的用戶相對存儲於一給定的伺服器內的計算機資源具有類似的或最好相同的訪問權限。
創建這樣的用戶組的先決條件是定義用戶安全組,其優先執行於圖3A所示的第一步驟300。系統管理員預先定義用戶安全組。典型地,用戶安全組與所述組織中的不同部門相對應。用戶安全組可以包括例如一會計用戶安全組,一研發用戶安全組等。每一各自用戶安全組包括那些屬於所述用戶安全組相對應部門的用戶。用戶可以屬於至少一個以上的用戶安全組。例如,一研發部門的秘書可以屬於一管理用戶安全組和一研發用戶安全組。
每一用戶安全組對於一給定伺服器的計算機資源具有預分配的訪問權限。一給定計算機資源的訪問控制列表為一用戶安全組對所述計算機資源的訪問權限的列表。
如圖3A所示,選中一伺服器,如步驟300所示。應該可以理解是,僅相對存於所述被選中的伺服器內的計算機資源的用戶訪問權限而對用戶進行分組。
隨後,存於所述被選中的伺服器內的計算機資源的訪問控制列表將被審核,以便抽取(extract)那些用戶安全組,因此那些屬於其用戶安全組的用戶對至少一些計算機資源具有訪問權限,其中計算機資源存於伺服器中,如步驟302所示。
對於任意給定的一對用戶列在其所屬的任意一所述被抽取的用戶安全組,比較其存儲在所述被選中的伺服器內的計算機資源的用戶訪問權限,以檢查他們相對於所有存儲在所述被選中的伺服器內的計算機資源是否相同,如判斷步驟304所示。若該對用戶對存儲在所述被選中的伺服器內的計算機資源均具有相同的訪問權限,相對於所述被選中的伺服器,他們被分配至相同的初始用戶組,如步驟306所示。否則,相對於所述被選中的伺服器,他們被分配至兩個不同的初始用戶組,如步驟308所示。
這些初始用戶組是所述方法旨在創建用戶組的前導者。所述初始用戶組可能需要進一步細化,如下文所描述的,以得到想要的最後用戶組。應該理解的是,兩個用戶可以對所述被選中的伺服器具有非常類似的訪問權限,除了一個或兩個特定的計算機資源的訪問權限是不同的。這可能會發生,例如,當所述伺服器包括一些用戶的根目錄,在這種情況下,兩個用戶可能對除了所述根目錄之外的所述伺服器內的所有計算機資源具有相同的訪問權限,其中每一用戶可能對他或她自己的特定根目錄具有訪問權限,但是可能通常對其他用戶的根目錄不具有訪問權限。
即使存在具有儘管不相同但非常相似訪問權限的更大的潛在初始用戶組,這種情況可能會導致所述伺服器被分組成多個小型初始用戶組甚至是單個(singletons)。如下文所描述的,通過虛擬地將所述伺服器內的計算機資源劃分為至少兩個的虛擬伺服器,以解決該情況。
因此,以下將用戶分配至初始用戶組,如步驟304、步驟306和步驟308所示,並審核所產生的初始用戶組數量和初始用戶組大小。較佳地,初始用戶組的數量與一第一預設定的閾值相比較,如判斷步驟310所示,單個初始用戶組的數量與一第二預設定的閾值相比較,如判斷步驟312所示。若所述初始用戶組的數量未超過所述第一閾值,且所述單個初始用戶組的數量未超過第二閾值,則所述用戶分配結束。目前,所述初始用戶組和單個初始用戶組構成了用戶組,可參考上述內容,尤其是圖2中的步驟200。
轉至圖3B,可以看出若初始用戶組的數量超過所述第一閾值,和/或若單個初始用戶組的數量超過所述第二閾值,那麼所述伺服器被劃分為兩個虛擬伺服器,如步驟314所示。根據一實施例,執行所述伺服器的一虛擬劃分,針對每一特定用戶或用戶安全組,存儲在所述伺服器內的計算機資源的數量被確定,其中特定用戶或用戶安全組允許訪問所述伺服器,如步驟316所示。接著,計算出所述特定用戶或用戶安全組所允許訪問的計算機資源的一小部分資源,並與一小部分資源閾值比較,例如1%,如判斷步驟318。
若一特定用戶或用戶安全組所允許訪問的計算機資源的小部分資源小於所述小部分資源閾值,所述用戶或用戶安全組以一降級安全組來表示,如步驟320所示。否則,所述用戶或用戶安全組以一重要安全組來表示,如步驟322所示。
包含所述降級安全組的訪問權限的計算機資源的集合被定義為一虛擬伺服器,並以一無組織虛擬伺服器來表示,如步驟324所示。所述無組織虛擬伺服器被認為包括少量具有類似訪問控制列表的計算機資源,和/或少量具有相同訪問權限的用戶。基於所述無組織虛擬伺服器內的計算機資源,將用戶分配至初始用戶組,這有可能會產生大量的初始用戶組和/或單個初始用戶組,是無效率的,因此是非必要的。
將不屬於所述無組織虛擬伺服器的伺服器內的計算機資源定義為一第二虛擬伺服器,並以一組織虛擬伺服器來表示,如步驟326所示。所述組織虛擬伺服器被認為包括具有類似訪問控制列表的文件,以至基於計算機資源的訪問權限,將用戶分配至初始用戶組,這有可能產生一少量的組織初始用戶組。
接著,將所述伺服器劃分為兩個虛擬伺服器,所述組織虛擬伺服器被選中,並作為相對於用戶會被分配至初始用戶組的伺服器,如步驟328所示。隨後,基於對存儲在所述組織虛擬伺服器內的計算機資源的訪問權限,再次將用戶分配至初始用戶組,結合參考上述步驟302至步驟308。目前,這些初始用戶組和單個初始用戶組構成用戶組,參考上述內容,尤其是圖2所示的步驟200。
現參考圖4A和圖4B所示的,其一起表示用於在一大型組織中基於資源的訪問權限以對計算機資源進行分組的方法的簡要流程示意圖,而且該方法構成圖2所示方法的第二籌備階段202。
如圖4A所示,選中所述計算機資源分層的節點,用以處理,如步驟400所示。較佳地,所述計算機資源分層由葉子至根進行處理,在這種情況下,選中用於處理的第一節點是葉子,或所述計算機資源分層中最底層的節點。
對於被選中的節點,檢查一直系始源是否存於分層中,如判斷步驟402所示。若被選中的節點不存在一直系始源,可推導出其為所述分層中的根。該節點被指定為一相異節點,如步驟404所示,且處理結束。否則,將抽取該節點的訪問控制列表,如步驟405所示,抽取被選中的節點的直系始源的訪問控制列表,如步驟406所示。隨後,比較被選中的節點的訪問控制列表與被選中節點的直系始源的訪問控制列表,如判斷步驟408所示。
應該可以理解的是,若沒有明確的訪問控制列表與正被處理的節點相關聯,正被處理的節點繼承與所述直系始源相關聯的訪問控制列表,所述處理繼續進行,如步驟410所示。
轉至圖4B,可以看出若被選中的節點的訪問控制列表和被選中的節點的直系始源的訪問控制列表是相同,一指針被加至所述分層中,其中該指針由被選中的節點指向被選中節點的直系始源的訪問控制列表,如步驟410所示。另外,指向被選中節點的訪問控制列表的所有指針移至指向被選中節點的直系始源的訪問控制列表,如步驟412所示。一表示所述節點已被處理的處理指示被加至被選中的節點,如步驟414所示。
若被選中的節點的訪問控制列表不同於被選中的節點的直系始源的訪問控制列表,該節點被指定為一相異節點,如步驟416所示,一表示所述節點已被處理的處理表示被加至被選中的節點,如步驟418所示。
隨後,被選中的節點所屬分層的級別被審核,以便確定是否在那級別有未處理的節點,如判斷步驟420所示。若在被選中的節點的級別有未處理的節點,選中在那一級別的新節點,如步驟422所示,那節點的處理如上文所述並結合參考步驟402-418繼續進行。否則,選中一節點,其在所述分層中的級別比被選中的節點的級別高,該節點例如為被選中的節點的直系始源,如步驟424所示,該節點的處理如上文所述並結合參考步驟402-418繼續進行。
現參考圖5A、圖5B和圖5C所示,其一起表示計算一訪問權限的查詢響應的方法的簡要流程示意圖,該方法構成圖2所述方法的步驟206。
參見圖5A所示,定義一要被處理的計算機資源組,如步驟500所示。當開始處理一查詢,該計算機資源組通常是空的,並且在處理該查詢時才被填充。
如圖5A所示,對於包含在查詢中的每一計算機資源,執行步驟501,以檢查包含在查詢中所有相異的計算機資源節點。
步驟502所示,對於包含在查詢中的每一計算機資源,檢測是否包括所述計算機資源分層的一相異節點。
若計算機資源確實包括一計算機資源分層的相異節點,那麼其被加至要被處理的計算機資源組,如步驟504所示,若計算機資源不包括一相異節點,與其相關聯的指針跟著一始源節點,其中該始源節點包括一相異節點,如步驟506所示。
在判斷步驟508中,確定包括始源節點的計算機資源是否先前被加至要被處理的計算機資源組,其中該始源節點包括一相異節點。若包括始源節點的計算機資源先前未被加至要被處理的計算機資源組,那麼現在將其加入該計算機資源組,如步驟510所示。若包括始源節點的計算機資源先前被加至要被處理的計算機資源組,這就不會再次將其加至該組,但是在要被處理的計算機資源組內,會與當前處理的計算機資源相關聯,以便能夠提供一完整的查詢響應,如步驟512所示。這通常是通過定義一指針來完成的,該指針由當前處理的計算機資源指向直系始源的實體,其中所述直系始源包含在要被處理的計算機資源組內。
如步驟513所示,選中一包含在查詢內的用戶,該用戶的訪問權限將要被處理。
轉至圖5B所示,如步驟514所示,選中一計算機資源,其包含在要被處理的資源組內,並確定其存在哪一物理伺服器內,如步驟515所示。隨後,相對於計算機資源所存在的伺服器,確定所述用戶所屬的特定用戶組,如步驟516所示。接著,在處理該計算機資源的過程中,檢查是否計算出屬於相同的特定用戶組的另一用戶的訪問權限,如判斷步驟518。
若先前已計算出另一用戶對所給定的計算機資源的訪問權限,且該另一用戶屬於相同的特定用戶組,那麼所計算出的訪問權限被分配至該當前用戶,如步驟520所示。否則,從訪問控制列表中抽取該用戶對計算機資源的訪問權限,和/或該用戶所屬的用戶組對計算機資源的訪問權限,其中所述訪問控制列表與所述計算機資源相關聯,如步驟522所示。
隨後,檢查任何包含在所述組內的計算機資源是否存在,其中包含在所述組內的計算機資源相對於被選中的用戶尚未被處理,如判斷步驟524。
參見圖5C所示,若存在像這樣的一計算機資源,選中該計算機資源,如步驟526所示。相對於被選中的用戶,該計算機資源的處理如上文所述並結合步驟512至步驟522而進行。若不存在像這樣的一計算機資源,將檢查是否有包含在查詢中的任何用戶,其中用戶的訪問權限尚未被計算出,參見判斷步驟528所示。若存在像這樣的一用戶,選中該用戶,如步驟530所示,用戶的訪問權限如上文所述並結合步驟514至步驟522而被處理。
參見步驟532所示,相對於包含在要被處理的計算機資源組內的每一計算機資源,當已計算出查詢中的所有用戶的訪問權限時,生成一查詢響應,其包括一成對列表,該列表包括一成對,用於包含在原始查詢中的用戶和計算機資源。應該可以理解的是,當生成像這樣的一查詢響應時,多次提供每一計算機資源的結果,以便對包含在查詢中的每一計算機資源提供一查詢響應,其中每一計算機資源包括一相異始源節點,用於至少一個且包含在查詢內的計算機資源。
本技術領域的普通技術人員應該可以理解本發明不是僅限於上文特別所表示和描述的。本發明的範圍不僅包括上文不同特徵的集合和次集合,也包括普通技術人員在閱讀上述描述後對特徵所做的改進,且該改進的特徵並未出現在現有技術中。