TW448387B - Generalized policy server - Google Patents

Generalized policy server Download PDF

Info

Publication number
TW448387B
TW448387B TW088110985A TW88110985A TW448387B TW 448387 B TW448387 B TW 448387B TW 088110985 A TW088110985 A TW 088110985A TW 88110985 A TW88110985 A TW 88110985A TW 448387 B TW448387 B TW 448387B
Authority
TW
Taiwan
Prior art keywords
access
decision
information
user
database
Prior art date
Application number
TW088110985A
Other languages
English (en)
Inventor
Clifford L Hannel
Laurence R Lipstone
Davis S Schneider
Original Assignee
Internet Dynamics Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Internet Dynamics Inc filed Critical Internet Dynamics Inc
Application granted granted Critical
Publication of TW448387B publication Critical patent/TW448387B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6236Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

經濟部智慧財產局員工消費合作社印製 4483 87 A7 ______B7 五、發明說明(1 ) 1網路中資訊之安全遞送 交又參看有關專利申請案 2交又參看有關專利申請案 本專利申請案對:在1998年6月29曰,由韓纳爾(Hanne!), 皇il_M_(Lipstone) ’及史耐德(Schneider)楛出申請,標題爲 通用決策飼服器”的美國臨時專利申請案第60/091,130號 享有優先權》本專利申請案並且是:在1998年3月4曰, 由主衛·史耐德(David Schneider)等人提出申請,標題爲"存 取資訊之分佈型管理"的美國專利申請案(U.S.S.N)第 09/034,507號之一續篇部份;因而包含該專利申請案的整 個闡述和附圖。本專利申請案中的新資料始於標題爲,,使 用在存取過濾器203中的諸多技術之通則I,的章節,並包括 一些新附圖2 6到3 7。 發明背景 2發明背景1 .發明領域 3 1 .發明領域 本發明通常與存取資料之控制有關:且説得更明確些, 與存取在分佈型環境中的存取資料之控制有關。 2 ,有關技藝之描述 3 2 ·有關技藝之描述 網際網路(Internet)已革新了資料通信。已經藉由提供諸 多通信協定(protocols)和定址方案來達成,不論:電腦系 統的實體硬體(physical hardware),被連接到的實體網路種 類’或者被用來將資訊從一個電腦系統發送到另—個電腦 -4- 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公餐) ------t I----I --------訂·--------i ------ (請先Μίί背面之注意事項再填寫本頁) 448387 A7 經濟部智慧財產局員工消費合作社印製 ---------B7_____五、發明說明(2 ) 系’先的諸多貫體網路種類如何,該方案使得世界上任何地 方的任何電腦系統和世界上任何地方的任何其它電腦系統 父換資訊成爲可能。使得兩個電腦系統交換資訊的一切要 求疋:每個電腦系統都要有一個網際網路位址及針對通信 k定所需的軟體;並且,藉由許多實體網路的某種組合, 兩個機器之間會有一條路由(route),它可能用來載送根據 通信協定而構築的訊息。 然而’電腦系统可能經由網際網路來交換訊息之如此容 易已赵造成諸多問題。在—方面,它已經使存取資訊變得 前所未有之容易和低廉;在另—方面,它已經使它更難保 護資訊。網際網路在兩方面已經使它較難保護資訊: • 較難限制存取操作。假如可能經由網際網路來存取資 訊’就有可能隨著存取網際網路資訊而存取任何人的 資訊。一旦有經由網際網路而存取資訊,阻擋熟練入 侵者就會變成一種困難的技術問題。 • 經由網際網路,在途中(en route)較難維護安全性"將 網際網路建構作爲一種分包資訊交換網路(packet switching network)。不可能預測訊息由網路將會採取 什麼路由。更不可能保證所有資訊交換(switches)的安 全性,或保證包括那些載明其來源或目標的訊息部 份:在途中都未曾被讀取或改變。 圖1顯示:目前用來增加可經由網際網路存取資訊之網 路安全性的技^。圖1顯示:網路101,它由兩個分離内部 網路103(A)和103 (B)組成,該内部網路皆由網際網路111所 -5- 本纸張尺度適用中囤國家標準(CNS)M規格(210x297公a ) (請先閱筇背面之it意事項再填寫本頁) '1----- — 丁____ I言 線丨 4483 87 經濟部智慧財產局員工消費合作社印*]衣 Α7 Β7 五、發明說明(3 ) 連接。雖然兩個網路丨〇3(A)和丨〇3(β) 一般説來都不可存取 資訊’但是從某種意義説來,它們都是網際網路的—部 份:在這些網路中的電腦系統都有網際網路位址,並且都 會使用網f祭網路通信協定來交換資訊。兩個這樣的電腦系 統出現在圖1中,就像在網路1 03(A)中的請求者(requestor) 105以及在網路103(b)中的伺服器113那樣。請求者105正在 請求存取能夠由伺服器U3提供的資料。附接到伺服器113 的是一種大量儲存裝置115,該裝置包含正由請求者1〇5請 求的資料1 17。當然,對於其它資料而言,伺服器U3可能 是請求者’而請求者丨05則可能是伺服器。而且,在目前 上下文中,存取操作被認爲是:能夠讀取或改變儲存在伺 服器1 13上之資料或者能夠改變伺服器113之狀態的任何操 作。在提出請求方面,請求者105正在使用諸多標準 TCP/IP(傳輸控制通信協定/網際網路通信協定)協定中的 一種協定。如此處所使用的,通信協定是能夠被用來交換 諸多電腦系統之間的資訊之一訊息集的—種描述。 知根據一種通信協定而正在通信的諸多電腦系統之間所 發送的些貫際訊息集體稱爲:對話(s e s s i ο η)。在對話期 間,清求者1 0 5根據通信協定將訊息發送到伺服器η 3的網 際網路位址,而伺服器丨13則根據通信協定將訊息發送到 請求者1 05的網際網路位址。請求及回應兩者將會藉由網 際網路111而在兩個内部網路1〇3(Α)和〗〇3(Β)之間運行。土 伺服器113允許請求者105存取資料,則在對話中從伺服器 113流到請求者1〇5的一些訊息將包括被請求資料1丨7 ^將 本紙張尺度適用中囷Θ家標準(CNS)AJ規格 (210 X 297公釐) (請先闇讀背面之注意事項再填寫衣頁) ,4------- 線> 4483 8 7 A7 B7 五、發明說明(4 ) 必要時藉由網際網路而回應訊息之伺服器1丨3的諸多多軟 體组件稱爲:服務(service) 9 若兩個内部網路103 ( A和B )之擁有者想要確信:只有直 接連接到網路103(A和B )之諸電腦系統的使用者才能夠存 取資料Π 7,以及請求及回應之内容在那些網路之外皆不 爲人所知:則該擁有者必須解決兩項問題:確信何服器 113並不會回應來自與連接到内部網路之那些電腦系統不 同的電腦系統之請求;以及確信:雖然都是經由網際網路 1 1 1轉接中(in transit),可是存取網際網路! 11資訊的人都 無法存取或修改請求及回應。有可能達成這些目標的兩種 技術爲:防火牆(firewalls)及使用加密的鑿隧道操作 (tunneling) ° 概念上,防火牆是内部網路與其餘的網際網路n 1之間 的一道障壁(barrier)。防止牆出現在109(A)和(B)處。防火 牆109(A)保護内部網路103(A),而防火牆109(B)則保護内 部網路103(B)。藉由一種在電腦系統中運作的通路(gate way)來建構防火牆,該電腦系統被安裝在内部網路被連接 到網際網路的地方。包括在通路中的是一種存取過濾器: 它是電腦系統中的一套軟體和硬體組件,會針對儲存在内 部網路之内的資訊而核對來自内部網路之外的所有請求: 並且,若它來自有權存取資訊的來源,則只會將請求發送 在内部網路上。在其它方面,它會捨棄該請求。兩個這樣 的存取過濾器:存取過濾器107(A)存取過濾器107(B)則出 現在圖1中。 本紙張尺度適用令0國家標準<CNS)A4規格(210 X 297公釐) (請先Λ3讀背面之注意事項再填窵本頁) k--------訂---------線 ' 、 經濟部智慧財產局員工消費合作社印製 ;3 3 8 7 A7 _____B7 五、發明說明(5 ) 若能夠肯定答復兩個問題,則來源有權存取被請求資 訊:
(fr先閱tf背面之注意事項再填寫本FC •來源實際上就是亨有權利人或物嗎? • 來源有權存取資料嗎? 將找到第一問題之答案的過程稱爲:鑑定。藉著將資訊 提供到識別使用者的防火牆,使用者親自對防火牆加以鑑 定。在這種資訊中有下列幾項。 由 種爲使用者所有的鑑定令牌(authentication token) (有時候稱爲智慧卡(smartcard))所提供的資訊; •使用者機器的作業系統識別;以及 *使用者機器的I P位址和網際網路網域名稱(domain name) 0 防火牆用於鑑定的資訊可能是在頻帶内(in band),那就 是:它是通信協定的一部份;或者,它可能是在頻帶外 (out of band),那就是:它是由—分離通信協定所提供。 線- 經濟部智"財產局員工消費合作社印製 像從上述識別資訊列表中顯而易見的那樣,防火牆能夠 馆賴識別資訊以鑑定使用者達到的程度,端視識別資訊的 種類而定。譬如説,在—分包資訊中的丨P位址就能夠由能 夠截取分包資訊的任何人所改變;因此,防火牆能夠對它 賦予少許的信賴,故而將藉由丨p位址來鑑定稱爲具宥^種 很低的信賴等級。在另一方面,當識別資訊來自一種令牌 時’防火牆就能夠给予該識別資訊一種更高的信賴等級’ 此乃因爲:唯若令牌已經爲別人所有,則它應該不會識別 使用者。通常,就一項關於鑑定的討論而言’請參看由儿 本纸張尺度適用中國固家標準(CNS〉A4規格(210 x 297公Μ ) 3387 Α7 Β7 五、發明說明(6 ) ilL^(S. Bellovin)和 Cheswkk)合著:,,防火牆 (請先閱讀背面v;it事項再填寫本I) 與網際網路安全性·_ 一書,該書由^ ^_± -^^(Addison Wesley)圖書公司印行,美國廠州_,1994年版s 線. 經濟部智慧財產局員工消費合作社印裂 在現代存取過濾器中,在兩個層級處來核對存取操作: 網際網路分包資訊或簡稱丨p層級,以及應用層級。就從 IP層級開始,用於網際網路中的訊息都以分包方式載送, 稱之爲資料級(datagram)。每一個這樣的分包都有—個標 題(header),它包含指示著分包之來源和目標的資訊。來 源和目;^各自依據I P位址和痒號(p〇rt number)來表示。埠 號是用來將電腦内多重業務流(Streams 〇f traffic)各個加以 分別的一個從i到65535的數字。將針對一些爲人所熟知的 網際網路通信協定(諸如:Ηττρ(超本文傳送協定)或FTP (樓案傳送協定))的服務加以指定它們”傾聽"(丨isten t〇)的 諸多爲人所熟知的埠號s存取過濾器具有指示著哪些目標 可能會接收來自哪些來源之〖p分包資訊的一套規則:且若 載明於標題中的來源和目標並未遵從這些规則,則將分包 資訊捨棄》譬如説,該規則可能容許或不容許所有從—部 電腦到另一部電腦的存取操作;或者,根據j p分包資訊之 來源而限制存取—項特定服務(由埠號所載明)。然而,在 I P分包資訊之標題中,並沒有關於正在被存取之個別資訊 片長的資訊’而關於使用者的唯一資訊則是來源資訊。於 是’存取核對是無法在丨p層級處完成的,而必須換成是在 資訊協定層級處完成的,該存取核對涉及:不是鑑定不可 能使用來源資訊之使用者,就是決定使用者是否有權存取 -9- 不砥掁尺度適用中0國家標準(CNS)AJ格(2J〇 κ 297公釐) 448387 經濟部智慧財產局員工消費合作社印製 Λ7 B7 五、發明說明(7 ) 一個別資訊片段。 在應用層級處的存取核對通常是在防火牆中由代理伺服 器(proxies)來完成。代理伺服器是一種存取過濾器的軟體 組件。I所以稱爲代理伺服器,是因爲:它可作爲存取過 滤器中的通信協定之替身(stand_in)用,爲了實現關於使用 者已經請求之資訊片段的使用者鑑定及/或存取核對。譬 如説’一種常用的TCP/IP協定就是超本文傳送協定(hypertext transfer protocol , 或簡稱 http) , 它被用 來將全 球資訊 網(World-Wide Web)網頁(pages)從一個電腦系統傳送到另 一個這樣的電腦系統。若需要個別網頁的存取控制,則必 須檢視協定内容’以便決定哪個特定網頁要求被請求。就 防火牆的詳細討論而言,請參看貝洛文和柴斯維克之前面 參考文獻。 雖然正確執行之存取過濾器操作能夠預防經由網際網路 U 1而未經授權就存取儲存在内部網路中的資料,可是它 無法預防經由網際網路1丨1而未經授權就存取轉接中的資 料。此事藉由使用加密的鑿隧道操作加以預防。這種鑿隧 道操作運作如下:當存取過濾器1 07(A)接收具有内部網路 103(B)中之目標位址的一種來自内部網路i〇3(A)中之一電 腦系統的I P分包資訊時,它會對I P分包資訊,包括其標 題加以加密;進而增加一項新標題,該標題載明:將存取 過渡器107(A)的I P位址當作分包資訊的來源位址,而將存 取過濾器1 07(B)的I P位址當作目標位址。新標題也可能包 含:將存取過濾器107(A)識別爲已加密分包資訊之來源的 -10- 本紙張尺度適用中國舀家標準(CNS)A-l規格(210 X 297公爱〉 --------------4^--------訂---------I ' (請先Μΐ*背面之注意事項再填寫本頁> 448387 A7 B7 五、發明說明(8 ) 鑑定資訊;以及存取過濾器丨〇7(B)能夠從其中決定已加密 分包資訊是否已經被干預的資訊。 因爲原始I P分包資訊已經被加密:所以,當它正在通尚 網際網路1 1 1時,標題和原始Z P分包資訊的内容兩者都無 法被續取,而標題或原始I p分包資訊的資料則也無法沒有 檢測下被修改。當存取過濾器1〇7(B)接收Ip分包資訊時, 它就使用任何識別資訊來決定分包資訊是否的確來自存取 過濾器1 07(A)。如果是的話,它會將由存取過濾器丨〇7(a) 增加到分包資訊的標題加以去除,並決定分包資訊是否被 干預;如果不是的話’就對分包資訊加以解密(decrypt), 並執行關於原始標題的I p層級存取核對。如果標題通過的 話’存取過濾器107(B)就將分包資訊轉遞(f0rward)到載明 於原始標逆中之内邵網路中的I p位址;或者轉遞到針對通 信協定層級存取控制之一代理伺服器。原始I P分包資訊被 稱爲鑿隧道通過網際網路1 1 1 ^在圖1中,一個這樣的隧道 112被顯示在兩個存取過濾器1〇7(八)和1〇7(8)之間。鑿隧道 操作之一附加優點是:它會隱藏來自只有從網際網路m 中有權存取資訊的那些人的内部網路之結構,此乃因爲只 有未加在、I P位址才是存取過渡器的I P位址。 兩個内部網路103(A)和103(B)的擁有者也能夠使用鑿隧 道操作,連同網際網路11 1 ;因而使兩個内部網路1 03(A和 B)成爲單一虛擬專用網路(VPN)l 19。藉由隧道1 12,在網 路103(A)和103(B)中的電腦系統能夠彼此安全地通信,並 且適用於其它電腦;好像網路103(A)和103(B)都是由一種 -11 - 本纸張尺度適用中固舀家標準(CNS)A4規格(210 X 297公窆) ί锖先閱讀背面之汶意事項再填寫本頁) I ί 經濟部智慧財產局員工消費合作社印製 4483^7 A/ B7 五、發明說明(9 專用實體鏈路(physical link)而不是由網際網路1 1 1加以U 接的。的確,可能將虚擬專用網路1 1 9加以擴充’以便I? 括存取網際網路I 1 1資訊的任何使用者,進而能夠執行下 列各項: * 以一種允許存取過濾器107對分包資訊加以解密的方 式,將被定址到内部網路103中之一電腦系統的網際 網路分包資訊加以加密; * 將一標題增加到被定址到存取過濾器107的已加密分 包資訊:以及 ’ 親自對存取過濾器1 07加以鑑定。 誓如説,一位具有連接到網際網路11 1之一可攜式電腦 並具有必要的加密和鑑定能力的雇員能夠使用虛擬專用網 路,以便安全地檢索(retrieve)來自諸多内部網路其中之一 網路中之一電腦系統的資料。 —旦諸多内部網路開始使用網際網路定址操作和網際網 路通信協定,並且被連接進入虚擬專用網路中:針對網際 網路已經發展出的-些劇覽器(brc)wsers)也能夠使用在: 部網路103中:並且從使用者的觀點看來,在網際網路⑴ 中存取資料與在内部網路1 03中存取杳拉士 經濟部智慧紂產局員工消費合作社印製 伃取貧科疋間並沒有差 別。於是,内部網路103已經變成—秭人 、 裡止業内部網路 (intranet),那就是:一種具有和網際 「坑丹路U丨相同的使用 者界面的内部網路。當然,一旦屬於—
' I植的所有内部培I 路都已經被組合成爲單-虛掇專用企業内部網路卢 發生屬於網際網路之特性的存取护制 賞丹又 別閂4…此時,除了有 -12- 本纸張尺度適用中0 0家標準(CNS)A4規格(210 X 297公爱) 4483 8 7 A7 B7 經涪部智祛財產局員工消費合作社印製 五、發明說明(1(3) 關内邵存取資料之外。雖然在内部網路被連接到網際網路 1 1 1的地方的諸多防火牆都完美地足以使局外人(0Uts丨ders) 無法在内部網路中存取資料,可是它們不能使局中人 (insiders)無法存取該資料。譬如説,可能就像公司防備其 人事資料不受其雇員影響與防備該資料不受局外人影響一 樣重要。同時’公司可能想要使有權存取網際網路n丨資 訊的任何人可以很谷易地存取:在諸多内部網路丨〇 3其中 之一網路中之一電腦系統上’它的全球資訊網網站。 一種針對由虛擬專用企業内部網路所引起諸多安全性問 題的解決方法是:使用防火牆將諸多内部網路加以細分, 以及防備内部網路不受經由網際網路而未經授權就存取資 訊的影響。現代存取過濾器107皆被設計用來防備内部網 路之周界(perimeter)不受未經授權就存取資訊的影響:並 且,一般説來,每個網際網路連接才只有一個存取過濾器 10 7。若打其將諸多存取過據器使用内部網路内;則將會 有它們更多的存取過濾器,因而使用多重現代存取過濾器 1 07的虛擬專用網路並不容易規模可伸縮性,那就是:在 具有小量存取過濾器的虚擬專用網路中,諸多存取過濾器 並不是一項嚴重的負擔:而在具有大量存取過濾器的網路 中,它們則是一項負擔。在標題爲”使用在存取過濾器2〇3 中的諸多技術之通則"章節之前的本專利申請案之一部份 中所描述的存取過濾器,實際上解決了先前技藝存取過濾 器的規模可伸縮性(scalability)問題;於是,建構具有大量 存取過濾器的網路就變得更爲容易。 -13- 本纸張尺度適用中舀國家標準(CMS)A4規格(210 x 297公发) (請先閱讀背面之注意事項再填寫本頁} --------訂--------*線丨 經濟部智慧財產局員工消費合作社印製 4 ^83 8 7
AT B7 五、發明說明(11 ) 在關於本專利申請案之第—部份中所描述的存取過渡器 之進一步運作中,已經變得顯而易見的是,若能將技術通 用化’則執行存取過濾器2〇3中之存取核對所發展出的諸 多技術應該更爲有用:若它們能夠使用在與正在丨p層級或 網際網路通信協定層級處操作之存取過濾器不同的上下文 中’且若使它們能夠加以擴充:則使得決策能夠加以制 定,不但針對存取資訊集,並且針對可能針對可經由一電 腦系統存取資訊的一種實體而執行的任何行動;使得使用 者群組能夠包括可經由一電腦系統而執行一項行動的任何 種類之實體;並且使得資訊集能夠變成資源集(res〇urce sets),其中一項資源是能夠經由—電腦系統而控制的任何 實體。進-步變得顯而易見的是:若允許決策包括一種時 間组件(temp〇ra丨component),譬如説,—種只有在非工 時間期間才允許某-使用者群組存取某些資源的組件,^ 決策應該更爲有用;並且,對能夠使諸多屬性與—項揾汰 打怎樣執行決策之行動的決策有關聯也應該是有益的。处 如,一項決策可能不但載明能夠存取一已知資源之一已= 使用者群組的成員,並且載明打算用於存取操作之網路: 務的類別(class)。於是,此處所披露的本發明之—目 是:提供針對通用化存取核對的技術,以及進一步提供2 中時間組件和屬性都可能與決策有關聯的決策。疋^、其 發明概要 本發明藉由一種決策施行系統來達到前述目的,在該 統中,在以下兩個組件之間共享決策施行之工作 -14- 本紙張尺度適用巾S國豕標準(CNS)A4規格(9】〇 x 297公发) f __丁 I__I__ — III — I---I I 1 I * I i . — I I I I - — — ll — ιί» I (請先閲讀背面之注音?事項再填鸾本頁} 4483 8 7 A7 B7五、發明說明(12 ) 經濟部智慧財產局員工消費合作社印" 包括可擴允決策資料庫之_決策伺服器,α及—決策施行 器(poIicy enforcer)。當決策施行器接收由第一實體所提出 (-請求以執行針對第二實體的一項行動時,;夹策施行器 就將該請求傳達到決策伺服器;並且,准若來自決策词服 器之-回應指示:在資料庫中的決策容許行動,才會允許 行動。可能將可擴充決策資料庫加以擴充,以便包^不是 由決策施行器所執行的諸多類塑之行動。因爲如此,所以 決策施行系統能夠藉由以τ方法來處理諸多新行動㈣: 擴充決策資料庫以提供針對那些㈣之決策,以及增加針 對諸多類型之行動的決策施行器。的確,只要行動是由電 腦系統中(-決策施行器所控制,電腦系統就沒有必要執 行該行動。 ‘將決策評估和決策施行加以分離,也有可能使得:決策 施行系統會在決策施行系統所屬之電腦系統的諸多不同層 級處很容易地處理決策施行;並且使得:》策施行器都被 定位遠離決策伺服器。 在另j點中’依據:第一實體之集合,第二實體之集 合,以及$ —集合之—實體可能針對第二集合之-實體執 :的一項行動;將諸多決策加以定義在決策施行系統之-貫施例中。在本實施例中,"行動類型之外,第一實體 類型和第二實體類型都是可擴充的。 在本實施例中,行動屬性可能附屬於第-實體之集合或 f二實體之集合’該行動屬性會決定打算怎樣執行就是決 策之主體(subject)的行動。譬如説,可能將優先級(_出力 -15- <請先閱筇背面之--意事項再填寫本頁) -1'.--- ----線 本纸張尺度適用中國國家標準 297公发) 483 8 7 A7 B7 五、發明說明(13 使之集合’或者將頻寬(―)指定給服務 ,以便包括諸 之蕖合。本實施例的決策資科庫是可擴充的 經潑部智慧財產局員工消費合作社印车 多新行動屬性類型 在本發明的H財,可能將條相屬於決 統之決策資料庫中料h即使當m之行動在^ 情況應該被允許時,若未履行附屬於決策的條件,.則 動也將不被充許。這些條件之一類別是時間條件。例如 能制定一項定義存取資訊的決策,而關於決策之—時間條 件則可旎將決策之有效性(val丨dity)限制於正常營業時間。 追隨著下列闡述和附圖,與本發明有關的本發明之其它 目的及優點對那些熟習於此技藝者而言將是顯而易見的, 其中’· 附圖概述 2附圖概述 圖1是:經由網際網路,用來控制資訊之存取的諸多技 術之總覽(overview); 圖2是:使用納入此處所披露之技術的諸多存取過濾器 之一VPN(虛擬專用網路)之總覽; 圖3是:使用在存取過濾器中的一種存取控制資科康之 總纜; 圖4顯示:在使用納入此處所披露之技術的諸多存取過 濾器之一 VPN中的存取核對和鑿隧道操作; 圖5顯示:由一,·漫遊者"(roamer)存取在VPN中的資訊; 圖6是:使用在定義靈敏度和信賴等級與諸多鑑定和加 1 ! I u I ί I I I j/ ^·-- (請先Μ讀背面之;i意事項再填寫本頁) ί--- -- ^ D1 · I - 1 ti - 1— n I 4 16- ^纸張尺度_巾Θ @家標準(CNS)A4規格(210^297公楚) 448387 A7 經濟部智慧財產局員工消費合作社印製 ____B7__·___五、發明說明(14 ) 密技術之間的關係中的一種表; 圖7是:應用SEND(安全加密網路遞送)技術之一實例; 圖8是:決策建立過程之一流程圖: 圖9顯示:用來定義使用者群組之一顯示圖; 圖1 0顯示:用來定義資訊集之一顯示圖; 圖11顯示:用來定義存取決策之一顯示圖; 圖1 2顯示:用來定義存取過濾器2〇3之一顯示圖: 圖13 A和B都是:定義使用者群組之存取控制資料庫3〇 1 的一部份之一圖表(schema); 圖1 4是:定義資訊集之存取控制資料庫3〇1的一部份之 一圖表: 圖1 5是:定義在VPN中的網站(sites)以及在每個網站處 的伺服器’服務’及資源之存取控制資料庫3 〇 I的一部份 之一圖表; 圖16A和B都是:定義決策之存取控制資料庫3〇1的—部 份之一圖表; 圖1 7A,B,及C都是:定義伺服器之存取控制資料庫3 〇} 的一部份之一圖表; 圖1 8顯示:使用在intraMap(映像内)界面中的顯示圖; 圖1 9顯示:怎樣針對存取控制資料庫3〇丨做出改變; 圖2 0是··存取過濾器203的架構之一詳細方塊圖; 圖2 1是:一種MMF(記憶體映射檔案)檔案2303的結構之 一示意圖; 圖22 :是一種使用SKIP(網際網路通信協定之簡單密翁 -17- 本紙張尺度適用令國國家標準(CNS)A4規格(210 X 297公釐) ~~~ ______- ______ I ί 卜__I___«IT i ____' I ___ — I I i I [ I i · I I I I I I I 4-0 - i- I -厶 ί'·νI (靖先閱t5背面之注意事項再填寫本頁) 4483 87 A7 B7 五、發明說明(15 ) 經濟部智慧財產局員工消f合作社印*·'^ 管理)ii;2疋所發送的訊息之一示意圖; 圖23A,B ’及C都是·使用在—較佳實袍例中之陳f樓 案的一種表; 圖24是:IntraMap界面之—建構例之一示意圖: 圖25是:圖解説明在VPN2〇1中的委託權限_以_) 之一示意圖; 圖26是:一種已經將決策核對和決策施行加以分離的行 動控制系統之一方塊圖; 圖27是:—種具有種種的決策致能(p〇Hcyenab_裝置 的行動控制系統之一方塊圖; 圖28顯示:-種用來定義通用化決策的語法㈣叫· 圖29顯示:在—較佳實施例中的決策資料庫“ο!之總纜; 圖30顯示:決策資料庫测中的諸多屬性和時間間隔之 一建構例: 圖3 1顯示:列示所有已定義時程安排(仏^ 之一視窗:二3、2顯示:*用在一較佳實施例中,用來定義時程安排 規則(一視窗; 圖33顯示:使用在—較佳實施例中,用來將時 用到決策之一視窗; ned schedules) 間間隔應 圖34顯示:使用在―較佳實施例中,用來 性 '一視窗: 圖3 5顯 -------------- 1------訂·--------'線 I、 (請先Μ讀背面之注意事項再填寫本頁) 之 示:使用在—較佳實施财,用來將屬性指定到 -18 - 泰纸張尺度適用中國囵家標準(CNS)A4規格(210 X 297公爱) A7 448387 ____B7_____ 五、發明說明(16 ) 主體之一視窗; 圖3 6顯示:用來顯示和修改在一較佳實施例中之一屬性 定義之一視窗;以及 圖3 7顯示:用來顯示和修改在一較佳實施例中之一特點 定義之一視窗。 在諸多附圖中的參考數字至少都有三個數字。兩個最右 側數字都是在圖内的參考數字;而在那些數字左侧的數字 則都是圖號,在圖中‘·由參考數字所識別的項目最先出 現。譬如說,在圖2中,具有參考數字203之項0最先出現。 闡述 2闡述 下列闡述將首先提供:一些容易規模可伸縮性的存取過 濾器,它們怎樣被用來控制在企業内部網路中的存取操 作,以及它們怎樣能夠用來構築虛擬專用網路之總纜。因 此,闡述將提供:使用在存取過濾器中的存取控制資料 庫;將它改變,進而將那些改變分佈在諸多存取過遽器中 所用的方式;以及個別存取過濾器控制存取操作所用的方 式之細節。 一種具有不會妨礙規模可伸縮性之諸存取過濾器的網路: 圖2 3 A —種具有不會妨礙規模可伸縮性之諸存取過滤器的網 路:圖2 圖2顯示一種虚擬專用網路(VPN)20 1,其中:存取資料 是由被設計用來避免因多重存取過濾器而引起問題的存取 -19 - 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) <請先閱讀背面之注意事項再填寫本頁)
I 訂---------線, 經濟部智慧財產局員工消費合作社印4·1^ 經濟部智¾財產局員工消費合作社印製 ^4 8,3 8 7 A7 β: 五、發明說明(17) 過濾器所控制。VPN 201是由四個内部網路1 〇3所組成,藉 由網際網路1 2 1將它們彼此連接。也經由網際網路121連接 到VPN 20 I的是:一漫遊者2 1 7,那就是一種電腦系統,該 系統雖然正在由可能存取在企業内部網路20 I中之資料的 人使用者,但是只會藉由網際網路1 2丨連接到諸多内部網 路。每個内部網路I 03都有:許多電腦系統或屬於使用者 的終端機209 ’以及許多伺服器2 1 1 :該伺服器包含:可能 由在諸多電腦系統或終端機209處之使用者,或可能由在 漫遊者2 17處之一使用者所存取的資料。然而,並沒有將 電腦系統或終端機2 0 9 ’或者漫遊者2 1 7直接連接到一伺服 器2 II ;換成是’各自經由一存取過濾器203而加以連接, 使得:由在使用者系統處之使用者所提出針對伺服器上之 資料項的所有查詢(references)至少都會通過一個存取過遽 器203。於是,使用者系統2〇9(i)被連接到網路2i3(i),該 網路被連接到存取過濾器203(a);而词服器2 u (丨)則被連接 到網路215(i) ’該網路也被連接到存取過濾器2〇3(a),因而 由在使用者系統209(i)處之使用者所做出針對存取飼服器 2 1 1⑴上之另料的任何嘗試都會通過存取過遽器2〇3(a),在 該處,若使用者無權存取資料,就會被拒絕。 既然VPN 20 I具有任何规模的大小,就會有—相當數目 的存取過濾器203 :因此,將會立即發生按規模伸縮 (scaling)問題。存取過濾器2〇3會避免這些問題,是因爲它 們都是根據下列原理加以設計的: •分佈型存取控制資料庫。每個存取過濾器2〇3都有它 -20- 本纸張尺度滷用中固國家標準(CNS)A4規格(210 * 297公釐) ---------------------訂·--------線 t l· (請先閱讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 448387 A7
---~~~-II 五、發明說明(18)
自己的存取控制資科庫拷貝,用來控制存取在VPN 中的負料。將在資料庫之-拷貝中所做的改變傳 播到所有其它的拷貝s =:^管理。可能委託任何數目的管理員對系統之諸 子$ σ負有貴任。所有管理員可能會同時執行他們的 工作。 刀佈J存取杻制。存取控制功能都是在近端 存取過濾益203處加以執行的。那就是,在客戶機與 飼服备又間的路徑中的第一存取過濾器2〇3會決定; 存取操作是否被容許;而在路徑中的諸多隨後存取過 遽益則不會重複由第—存取過濾器所執行的存取核對。 端對端加密(end-to-end encryption)。加密發生在近端存 取過/慮器與可能的最遠加密端點(endp〇int)之間。此端 點不是資訊伺服器本身,就是遠端(far_end)存取過濾 器203-最後在從客戶機到伺服器之路由中的那個。動 態隧道都是根據目前網路路由選擇(routing)條件加以 建立的。 可適性加密和鑑定。根據正在被傳送的資訊靈敏度, 將可變加密等級和鑑定要求應用到通過VPN的通信量 (traffic) ° 將所有的這些設計觀點更加詳細地討論於下。 此時應該指出的是,可能以任何方式來建構存取過遽4 203,該方式保證:由可能未經授權就存取該資料的諸多 使用者所提出針對在VPN 20 1中之資料的所有查詢都會通 -21 - 本纸張尺度適用中國國家標準(CNS)A4規格(21〇χ297公 ^-----------------4 J (请先閱讀背面之注急事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 ^48387 A7 五、發明說明(19 ) 過-存取過滅器203。在-較佳實施例中,存取過;慮器2〇3 被建構在一词服器上’並且在由邀_^公司(Micr〇s〇ft Corporation)所製造的Windows NT®(新科技版本的視窗軟 體)作業系統下運作。在其它實施例中,存取過濾器2们可 能被建構作爲一種作業系統之組件,及/或可能被建構在 VPN 201中之一路由器(router)中。 分佈型決策資料庫:圖3 3分佈型決策資料庫:圖3 每個存取過濾器203都有存取控制資料庫3(Μ之—拷貝, 它保時了與在VPN 2〇1中之存取控制有關的所有資料。如 圖2中之存取過濾器203(a)所顯示的一個存取過滤器,它 具有存取控制資料庫301之一主拷貝205。因爲如此,所以 將存取過濾器203(a)稱爲:主決策管理程式(Master ρ〇ι_ Manager)。主拷貝2〇5是:被用來初始化(initiaUze)—些新 存取過濾器203或替換已受損存取控制資料庫3〇1的那個。 主決策管理程式電腦的備用裝置是存取過濾器2〇3(b)。備 份拷貝(backup) 207是主拷貝205之一鏡像。最後,報表管 理&式209包括用來產生報表的軟體:該報表係來自存取 控制資料庫301中的資訊,以及來自從所有其它存取過濾 器203中所獲得的記綠(丨〇gs)。存取控制資料庫3〇丨的任何 拷貝可能會被必須這麼執行存取操作的任何使用者所改 變:就像稍後將要更加詳細描述的那樣,將任何這樣的改 變,首先傳播到主決策管理程式2〇5,然後再到虛擬專用 網路20 1中的所有其它存取過濾器2〇3。 -22- 本紙括尺度適財® @家標準(CNS)Ai}規格伽x 297公爱) 7 ---------訂--------- (請先閱讀背面之注意事項再填寫本頁) ^48 3 8 7 經濟部智慧財產局員工消費合作社印製 Λ7 B7 五 '發明說明(2〇 ) 圖3是:存取控制資料庫3〇1 —概念性總覽^資料庫的主 要功能是對來自存取過濾器2〇3之一存取請求3〇9作回應, 破存取過濾器利用一種該請求是否將被准許或拒絕的指示 3 11來識別使用者和資訊資源。若下列兩者都成立,則該 請求將被准許: •使用者屬於一使用者群組,其中資料庫3 〇 1指示:可 存取資訊資源所屬之―資訊集;以及 •該請求具有一種至少是與屬於資訊資源之靈敏度等級 一樣鬲的信賴等級。 每位使用者均屬於一個或更多使用者群組,而每個資訊 資源則均屬於一個或更多資訊集:若使用者所屬的—些使 用者群組中沒有一個被拒絕存取資訊資源所屬之—資訊 木,以及使用者所屬的任何使用者群组被容許存取資訊資 源所屬的任何資訊集;則使用者可能存取資訊資源,假若 iS請求具有必要之信賴等級的話。 資源之靈敏度等級只是指示著用來存取資源所需的作賴 等級之一數値。就大體而論,需要保護資訊資源 、 靈敏度等級愈高。請求之信賴等級具有許多組成部份··、 *用來識別使用者之識別技術的信賴等級:譬如却 _ ^ * ^fc. 由令牌來識別使用者具有一種比藉由I p位址來識别B 用者還高的信賴等級。 使 •由經由網路之存取請求所採取路徑的信賴等級;兹』 T如 説’包括網際網路的路徑具有一種比只有包括—收内 部網路的路徑還低的信賴等級。 -23- 本纸張尺度適用中國國家標準(CNS〉A4規格(2^x297公发) ------------- I * I---1----*1-11· i ----------- 1 V t請先閱讀背面之庄意事項再填寫本頁) A7 448387 ____B7 五、發明說明(21 ) 若對存取請求加以加t,則使用加密技術的信 級;加密技術愈強,信賴等級愈高。 ' 將識別技術的信賴等級和路徑的信賴等級各別考慮。然 而,路徑的信賴等級可能會受用來加密存取請求之加宓; 術的信賴等級所影響。若利用一種其信賴等級高於路 一部份的信賴等級的加密技術而對請求加以加密,則路栌 之一部份的信賴等級被增加到加密技術的信賴等級。= 是,若路徑之一部份的信賴等級小於資源之靈敏度等級所 需要的;則藉著利用一種具有必要之信賴等級的加密技銜 來加密存取請求,就能夠解決問題。 可能將包含於資料庫30 1中的資訊分成六大類: 使用者識別資訊3 13,它會識別使用者; 使用者群组3丨5,它會定義使用者所屬的群组; 貝訊貪源3 2 0 ’匕會疋義蒙受保護的一些個別資訊 項’並且載明在何處找到它們; 資訊集3 2 1 ’它會定義資訊資源之群組; 信賴等級資訊323,它會載明資訊資源之靈敏度等級 以及使用者識別和網路路徑的信賴等級;以及 決策資訊303,它會依據使用者群組和在VPN 201中的 諸多物件(objects)來定義存取權利。 將決策資訊進一步分成:存取決策307,管理決策305, 以決策制定者決策306。 存取決策307會定義由使用者群组存取資訊集的權 利, -24- ^紙張尺度適用令國國家標準(CNS)A4規格⑵〇 X 297公爱) ------------------------訂·--------t ί » rrsp先閱璜背面"达意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印裳 448387 經濟部智慧財產局員工消費合作社印*''《 A; B7 五、發明說明(22 ) .官理決策305會足義使用者群組定義/则除/修改在咖 加:之諸多物件的權利β在諸多物件中則有:存取 決策,資訊集,使用者群組,在νρΝ 2〇1中的位置, 伺服器,及服務:以及 决策制定者決策306會定義使用者群组制定針對資訊 集之存取決策的權利。 載明在資料庫3CH之管理決策和決策制定者決策兩個部 份中的使用者群组都是管理員之使用者群组。在νρΝ2〇ι 中,藉著定義管理員群组以及在資料庫3〇丨中他們管轄的 物件來委託管理權限(administrative auth〇rity)。當然,一 既定使用者可能是一般使用者群组3 17和管理使用者群组 319兩者中之一成員。 使用者識別 3使用者識別 使用者群组利用使用者識別資訊3丨3來識別他們的成 員。識別資訊藉由一套可擴充識別技術來識別它的使用 者。目別’這些識別技術包括:X.509號證書(certificates), Windows NT網域識別,鑑定令牌,以及丨p位址/網域名 稱。用來識別使用者之識別技術種類會決定識別之信賴等 級。 在需要強有力識別使用者或與存取過濾器203通信之其 它實體的地方’ VPN 2〇1就會使用:由昇陽微系統公司 (Sun Microsystem,Inc.)所發展出的"網際網路通信協定之 簡單密输管理"(Simple Key Management for Internet -25- 本纸張尺度適用中固國家標準(CNS)A4規格(210 X 297公发) I I ____II____ 」 ______ I I T______ .?4J I —-*5°· Ϊ I ί (請先閱讀背面之注意事項再填寫本頁) 448387 A7 B? 五、發明說明(23 )
Protocols’簡稱SKIP)軟體通信協定3該通信協定會管理: 公用密鑰(public key)交換,密鑰鑑定,以及對話二^。藉 由-種從正在交換資料之各方的公用和專用密鑰中所產: 的傳送密鑰(transport key)來執行對話加密。公用密鑰都包 括在X.509號證書中,該證書都是在佶用捕 己 |疋仕便州通%爲"證書發現 通信協定"(Certificate Discovery Pr〇t〇c〇1,簡稱 CD門之一 分離通信協定的㈣各方之間交換的。除了已加密訊息之 外,一種使用SKIP來加密的訊息還包括:針對訊息之—已 加密傳运密鑰,以及針對資料之來源和目標之證書的識別 符(identifiers;^訊息接受者使用針對訊息來源之證書的識 別符來指出針對來源之公用密鑰的位置;並使用其密鑰和 來源之公用在·餘’對傳送密餘加以解密:進而使用傳送密 鑰,對訊息加以解密。SKIP訊息是有自行鑑定性(self_ authenticating) ’從某種意義説來,它包含一種包括分包資 訊内容之密碼摘要(cryptographic digest)的鑑定標題,而任 何種類的修改將會使得摘要不正確。就關於SKIP的細節而 言,請參看由ϋ沙·阿濟芝(Ashar Aziz)和馬丁·斐特森 (Martin Patterson)所發表的”網際網路通信協定之簡單密鑰 管理(SKIP)’’專文,該專文能夠上網獲知:丨99g年2月28曰,網 址爲 http://www.skip.org/inet-95.html。就關於 X.509 號證書 的細節而言’請參看能夠上網獲知的描述:丨997年9月2日, 網址爲http://www.rnbo.eom/PROD/rmadiUo/p/pdoc2.htm.。 在VPN 201中,SKIP也會被諸多存取過濾器203所使用, 以便識別它們自己和在VPN中的其它存取過遽器203 ;進 -26- 本纸張尺度適用中國國家標準(CNS)A‘i規格(210x 297公釐) (請先閱續背面之注意事項再填寫本頁) *k 烴濟部智慧財產局員工消費合作社印製 4483 8 7 A7 __ B7 經濟部智慧財產局員工消費合作社印ic? 五、發明說明(24 ) 而在需要加密的地方,對TCP/IP對話加以加密。當它們正 在執行存取核對時,諸多存取過濾器203也能夠使用針對 SKIP密鑰之證書來識別使用者。這樣一種識別方法是特別 値得信賴的’因而具有一種相當高的信賴等級β這種藉由 證書的識別方法之一用途是:針對,,漫遊者,> 2 17之値得信 賴的識別方法。Χ.509號證書能夠被使用於使用者識別, 是因爲:它們使密鑰資訊與關於使用者的資訊有關係。 存取過濾器203使用下列來自證書的資訊撋位: 屆滿日期在此日期之後,證書就無效。 • 公用密鑰:一種公用一專用密鑰對的公用半對密鑰, 就像使用在Conclave(秘密會議客户軟體)所使用之基 於 SKIP 密碼術(SKIP-based cryptography)中的那樣。 • 證書當局(Certificate Authority)簽字:與發行證書之當 局有關聯的區別名稱。 • 證書序號。 ’ 主體名稱:發行證書到達之實體名稱。 主體名稱包括下列子糊位(在括孤内的代表字是獨位之 一般縮寫): ’共用名稱(CN):主體之既定名稱,譬如説是J〇hn & Public 0 •國家(C):主體所在之國家。國家代碼都是載明於 X.509號規範(specification)中的2個字母代碼。 •所存地(L):主體所在之位置。此櫊位通常是主體所在 之城市,但可能被使用任何與位置有關的數値。 -27- 本紙張尺度適用中國國家標準(CNS>A4規格(210 X 297公釐) ^^1 I - ϋ4 i^i ^^1 ^^1 I n- r t— 1^1 ^^1 ^^1 n ^^1 .,I ^^1 »n —fl— ^^1 _ (請先閱讀背面之注意事項再填寫本頁) 448387 經濟部智慧財產局員工消費合作社印製 A7 _________B7___ 五、發明說明(25 ) •组織(〇):主體所屬之組群。此攔位通常是組織之名 稱。 •组織單位(ου):主體之组織單位,此欄位通常是主體 之郅門,譬如説,業務部|,。Χ·5〇9號證書容許這些 欄位中高達四個攔位存在。 和諸多存取過濾器203 —起使用的證書當局會發行具有 所有’這些櫚位的證書〇並且,四個〇 U欄位可能被用來定 義附加分類。在證書中用來描述使用者的資訊皆可供資料 庫30 1之管理員利用,當定義使用者群組時就加以使用。 若證書中的資訊正確地反映企業的組織結構:則證書將不 但會識別使用者,而JL會顯巾使用者㉟合於企業組織的所 在;進而達到的程度是,在資料庫301中的使用者群組會 反映:組織結構,使用者所屬之使用者群組。 就像稍後將要更加詳細説明的那樣,其中可能定義諸多 使用者群組之成員的—個方法是:藉由”證書匹配準則,, (certificate matching criteria),該準則定義屬於一既定使用 者群组之成員的證書必須具有的欄位數値。證書匹配準則 可能是基於與所需一樣少或一樣多的上述襴位。譬如說二 針對工程使用者群组的證書匹配準則可能是:組織櫚位和 載明工程部的组織單位欄位。識別使用者之其它資訊也可 能被使用來定義諸多使用者群組之成員D 資訊集 3資訊集 貧訊集保持諸多個別資訊資源的收集資訊。一項資源可 -28- '仏尺夜適用中國國家標準(CNS)A4規格(210 X 297公爱) ---- ^---------k.--------訂---------線—— (锖先Μίί背&之ii意事項再填寫本頁) 48387 A7 B7 五、發明說明(26 ) 能與一個別www(全球資訊網)網頁或新聞群组(newsgro叩) —樣小’但它最常是由··網路目綠樹(Web directory tree) 及其内谷,FTP帳户,或主要Usenet(新聞網)新聞分類所 组成。在圖2之諸多伺服器其中之一伺服器中,顯示有兩 個資訊集:2 19⑴和(k)。雖然存取控制資料庫3〇 1之管理員 理應芫全決定:何種資訊被包括在一資訊集中:可是,在 一既定集合中的資訊通常就是:與課題和有意收看者 (audience)兩者都有關係的資訊。針對公司之資訊集實例
可能是:HR policies(HR決策),HR Personnel Records( HR 人事&己錄)’以及Public In form at ion(公用資訊)。 存取決策307 3存取決策307 概念上’存取決策307由以下格式之簡單陳述所组成: Engineers allowed access to 工程師 被容許存取 engineering data 工程資料
Internet allowed access to 網際網路 被容許存取 public web site 公用網路 首欄載明使用者群组:末欄載明資訊集。中間那欄則是 存取決策-容許或拒絕。 資料庫301允許使用者群組和資訊集的分層定義 (hierarchical definition)。譬如説,可能將工程師使用者群 組足義成包括:硬體工程師使用者群组,軟體工程師使用 者群组,以及銷售工程師使用者群组。同樣地,可能將工 程資料資訊集定義成包括:硬體工裎資料資訊集,軟體工 -29- 本纸張尺度適用中囤囿家標準(CNS)A4規格(210x 297公发) {請先閉讀背面之iit事項再填寫本頁) 訂---------線 經濟部智慧財產局員工消費合作社印5衣 ¥觀%77 A7 經濟部智慧財產局員工消費合作社印- --------- B7_五、發明說明(27) 程資料資訊集,以及销售工程資料資訊集。在使用者群組 (層次内,由繼承而獲得存取權利。於是,爲了存取核 對,屬於硬體工程師使用者群組之一使用者也會自動地屬 於工程師使用者群组。在資訊集之層次内,同樣地由繼承 而獲得存取權利。爲了存取核對,屬於硬體工程資料資訊集 (一資訊資源也會自動地屬於工程資料資訊集。於是,若 有—項赋予工程師存取工程資料的存取決策,則成爲组成 工程師的三個使用者群组其中之一使用者群組之一成員的 任何使用者都可能存取:屬於組成工程資料的三個資訊集 其中任何資訊集的任何資訊資源。在使用者群组和資訊集之 定義中使用繼承權(inheritance)會大大地減少在存取控制資 料庫301中所需的存取決策3〇7之數目。例如,在上述實例 中,單一存取決策就賦予所有的工程師存取所有的工程資 料。繼承權也會使得:實際上依據容許存取操作來定義所 有的存取決策是有可能的。繼續上述實例,若有一個不屬 於工私師”的”推銷員"(SaieSpe〇pie)使用者群组,但有一 項賦予该使用者群组存取銷售工程資料的存取決策:則成 爲"推銷員"之一成員的使用者將能夠存取銷售工程資料, 但不是軟體工程資料或硬體工程資料。 . 當然’一位使用者可能屬於一個以上的使用者群組,而 一項資訊資源則可能屬於一個以上的資訊集。也可能會有針 對使用者所屬之各種使用者群组以及資訊資源所屬之各種資 訊集的不同存取決策。當面對既適用於使用者又適用於使用 者正試圖存取之資訊資源的多重存取決策時,存取過濾器2〇3 -30- 本纸張尺度適用t S國家標準(CNS)A4規格(2]0 X 297公釐) ^^1 ϋΈ ^^1 in d 1^1 m I 1·Λ I— 1 1 ' I J— ^^1 i^i I , 1 ΙΛ 言 矣 (請先閉讀背面之注t事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 4483 8 7 A7 B7 五、發明說明(28) 會以一種限制性’而非允許性方式來應用決策: • 若多重決策容許或拒絕一使用者群組存取一·資訊集, 則拒絕存取操作的決策佔優勢。 •若一特定使用者是多重使用者群組之一成員,並且, 多重決策容許或拒絕存取資訊集;則拒絕存取操作的 決策佔優勢。 一使用者屬於何種使用者群組可能會根據用來識別使用 者的識別模式而改變。於是,若根據到當時爲止使用者已 經提供給存取過濾器203之識別模式,並沒有存取決策適 用於使用者所屬之諸使用者群组:則存取過;慮器2〇3可能 嘗識獲得附加識別資訊,並決定:附加識別資訊是否將使 用者安置在有一項關於資源的決策所針對之一使用者群组 中。存取過濾器203可能獲得附加識別資訊,如果: •使用者已經安裝使用者識別客户軟體(User Identification Client,簡稱UIC)(—種會在使用者機器上執 行並將關於使用者的識別資訊提供給存取過濾器2〇3的軟 體)。 • UIC目前正在使用者機器上執行。 .使用者已經使得他的UIC彈出(pop-up),以供進一步鑑 定之用(使用者具有一種致能這項特點的圈選框(check box) ° 若所有這些要求都成立,則存取過;慮器203將會追使使 用者之UIC彈出,並請求另外的識別資訊。將使用者供應 的任何識別資訊加以儲存。在每個新的使用者識別資訊片 -31 - 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公发) 一_____II 丁 I___ I It If 1 I I f ΙΛ. . I , I I · I I 1 I _ 矣, {請先閱讀背面之注意事項再填寫本頁) ^4838 經濟部智慧財產局員工消費合作社印製 Α7 Β7 五、發明說明(29) 段又後,存取過濾器203會執行相同的評估處理過程:直 到獲得將使用者安置在有一項允許或拒絕存取操作決策所 針對之一使用者群组中的識別資訊爲止;或者,直到使用 者放棄其請求爲止,將UIC視窗彈出。 管理決策305 3管理決策305 官理決策3〇5會落實(丨—^咖叫在vpN 2〇丨之存取控制系 统中的諸多物件之管理。包括在物件中的有:使用者群 組,資訊集,存取決策,以及此處所稱的可用資源 (available resources);那就是:服務,伺服器,存取過濾 益,以及组成VPN 201的網路硬體。物件是被—個或更多 《管理使用者群組所管理。管理―既定物件的f理使用者群 組之一成員可能會修改該物件以及它與其它物件的關係, 並可能會制定針對該物件的管理決策。就像稍後將要更加 評細説明的那樣,管理物件的管理使用者群組之一成員可 能會制?針對該物件的管理決策之事實會使得:該成員委 七妆件官理根是可能的。譬如説,管理"硬體工程師"使用 者群組的管理使用者群组之一成員可能會制定:一項將”硬 體工^師"管理權賦予,,硬體工程管理員”使用者群组的管 理決策,藉以將”硬體工程師”管理權委託給”硬體工程管 1男"。應該注意的是:管理資訊集的權利是與制定針對 資訊集之存取決策的權利分開的。—使用者群組有權制定 關於資訊集的存取決策之事實,並不會賦予使用者群組制 疋針對資訊集之管理決策的權利;反之亦然。當一存取過 _ -32- 本紙張尺度適用中關家標準(CNS)A4規格⑵Q χ视 ) I _ 〆《111.------訂·--------1 V 〈靖先閱if背面之注意事項再填寫本頁) ^48387 經濟部智慧財產局員工消費合作社印裂 A7 B? 五、發明說明(3〇 ) ’慮器203首先被建工時,單—内建安全官員(security 〇汀icer) 使用者群組就具有:管轄所有在VPN 201中的物件以及管 轄決策制定者決策306的管理權限。 著官理決策的繼承權 3 -隨著管理決策的繼承權 詹承柢隨著官理決策而運作,相同方法則是:繼承權隨 著存取決策而運作。將諸多使用者群組,資訊集,以及管 理決策所指的可用資源加以分層組織。在使用者群組内, 都是一既定使用者群組的子集合的使用者群组:都在來自 -¾既疋使用者群组的諸多使用者群组之層次中 向下的下-層級處。關於資訊集的情形相同。用與關於存 取決策相同的方式,將繼承權應用在層次内。於是,在使 用者群組層次内,管轄(conir〇丨)一使用者群组之一管理使 用者也會管轄所有的附屬者(subsidiary),包含一些使用者 群組在内。同樣地,關於資訊集層次,管轄資訊集之一管 理使用者也會管轄所有的附屬者,包含一資訊集在内;而 e轄針對--貝況集的管理決策之—管理使用者也會管轄針 對所有已包含資訊集的存取決策。 還有一種可用資源的自然層次。譬如説,層次中之一層 級是:位置。在-既定位置内,在該位置處的諸多词服器 形成向下的下-層級:而在一伺服器内,由伺服器所提供 的諸多服務則形成下一層級。具有可用資源樹之任何層級 之管轄權的管理使用者群組也會管轄所用的較低層級。譬 如説,管理決策將存取過濾器203之管轄權賦予的(諸多) -33- 本紙張尺度適用中固@家浮準(CMS)A4規格(210 X 297公釐) (锖先閱?r背面之泼音?事項再填寫本I > ,--------訂----------線, 448387 A7 B7 經濟部智慧財產局員工消費合作社印製 五、發明說明(31 ) =理貝具有針對:在在網站下之所有㈣器 =執行之所有服務,以及由那些服務所支援艮 的管理權利。 $貝原 委託權限:圖2 5 3委託權限:圖2 5 在VPN 201中|託權限是挺容易的,因爲·管理物件 之管理使用者群组的成貝都可能修改該物件 對它的管理決策。譬如說,若—管理使用者群組 訊集1它能夠將資訊集分成兩個子集合,並且制定—此 新的官理決策,該決策賦予兩個其它使用者群组中的每個 使用料組管轄兩個子集合中的—個子集合之管理權限。 圖25顯示委託權限之-擴充實例。在圖25中,使用者 _組和其㈣件都以圓圈表示;決策㈣者決策則以方塊 表:;而決鼓關係則以不同種類的箭頭表示:實線箭頭代 表管理決^點線箭頭代表決策料決策,而虛線箭頭則 代表存取決策。k不25G1之附圖的—部份顯示當正在建立 存取過滤器203時的情形:内建,,安全官員"使用,群组 2503具有管轄所有内建物件25〇5和管轄決策制定者決策 2507之管理權限。"安全官員"使用者群組則的成員都會 使用他們的管理權限,以便:组成物件25〇5之子集合,重 新安排物件層次,以及建立決策制定者決策25〇7。 在標示2508之圖2 5的部、份中,可看出:,,安全官員,,使用 者群組2503之活動的-個活動結果。_,安全官員,,使用者群 組2503之一成員已經建立:―”工程管理員,,管理使用者群 -34- 本纸張尺度適用中®國家標準(CNS)A4規格(210 X 297公釐) -i.·---.----訂,—♦ —.— 線* (請先閱讀背面之注意事項再填寫本頁) 4483 87 經濟部智慧財產局員工消費合作社印製 Α7 Β7 五、發明說明(32) 組2509,一”工程師”使用者群組25 U,以及—”工程資料” 資訊集2 5 1 3 ·’並且已經賦予•,工程管理員"管轄”工程師” ”工程"資料的管理權限。,,安全官員"之成員也已經建立和 策制定者決策2507,使得:”工程管理員”有權制定=針對 程資料"之存取決策,如點線箭頭25 1 0所示。,,工程管理 ”之一成員已經使用該權利來制定:允許工程師25II之成 員存取在”工程資料,·2513中之資訊的存取決策,如虛線箭 頭25 12所示。於是,”安全官員”之成員已經將管轄工程坤 2511 ’工程資料2513 ’以及管轄存取工程資料的管理權限 委託給工程管理員2509。
當然’安全官員2503仍然具有管轄工程管理員2509的管 理權限;因而能夠使用該權限,以供進一步委託權限之 用。將一實例顯示在2517處。"安全官員,,2503之一成員已 經將”工程管理員"分成兩個子集合:”工程人員管理員U (Engineering Personnel Administrators,簡構 ΕΡΑ)25 19和"工 程資料管理員 ’’(Engineerng Data Administrators,簡稱 ED A)252 1。這些子集合之成員都是從工程管理員2509中繼 承而得管轄工程師” 25 11和”工程資料',25 1 3的管理權利。 EPA 251 9和EDA 2521的成員會使用這些管理權利來將管轄 "工程師” 25 11的管理權限委託給"工程人員管理員"25 19, 並將管轄11工程資料"25 13的管理權限委託給"工程資料管 理員"2521。EPA 25 19和EDA 2521的成員已經進一步使用 他們的權利來制定針對"工程資料"25丨3的存取決策以改變 存取決策,使得:針對"工程資料"的存取決策是由"工程 -35- 本紙張尺度適用中®國家標準(CNS)A4規格(210* 297公釐) • I____I / 了氣 I _ i _· — 11 I — 1^1 ^^1 - I ft^i If-l · n u n I V 1 Φ *^1 I-'^1^ 丨 · fu先閱頊背do之注ΦΡ事項再填寫本頁) 7 4 48 3$
五、發明說明(33 經濟部智祛財產局員工消費合作社印製 s理貝" 252 1所制定的,如¥占咱总 工y u泉对頭2523所示,而不是由, 工奴官理員” 25〇9所制定的, 4疋田 資料管理員"252 1。 d將該項功能委託給”工卷 現在,工程人員管理員和 用他們^ , 和工程資料管理員之成員能夠使 州他們官轄工程師,工程資料 .V ., ^ T貧料,以及針對工程資料存取決 朿的f理權利來細加區分( 作•刀(ref咖)針對工程資料之存取操 作。言如說,"工程人員管理員 .. 男又一成員可能將•,工程師', ,.田刀成:"软體工程師”和"硬體 . 定吐工私師"·,而"工程資料管 料:一成貝則可能將”工程資科,細分成”硬體工程資 料和”軟體工程資料〃。這栉 、樣做,工程資料管理員"之一 :員就可能會以賦予”軟體工程師,,存取”軟體工程資料"和 秘…“ / 缸工牙呈資料"的存取決策來替換 賦丁"工程師存取,,工程資料"的存取決策。 。簡要而t ’可説是:具有管轄—使用者群組的諸多管理 =皆對正確較義在使料群組巾之“資格(membership 負有貴任;他們可能將此貴任的任何部份委託給其它管理 員。同樣地’具有管轄一資訊集的諸多管理員皆對正確地 將資訊資源包括在資訊集内負有責任;他們可能將此責任 的任何部份委託給其它管理員。後者的管理員當然也必释 是針對某種可用資源的管理員,從該資源中可能獲得:正 在被増加到資訊集的資訊。可用資源之管理員皆對整體網 路和安全性操作負有貴任。同樣地,他們可能委託他制 貴任。最後’決策制定者管理貝都會掌握管轄存取資訊的 最後管轄權。他們可㈣自建立與特定資訊集有關的存取 -36- 本紙張尺度適用中固國家標準(CNS)A4規格(210 X 297公发) _ . ^---------^ > » (^先閱讀背面之江意事項再填寫本頁) 448387 A? _____B7 五、發明說明(34 ) 決策。從某種意義説來,決策制定者決定針對企業的整禮 資έΗ·共享決策。針對使用者群組’資訊集,以及可用資源 的管理員然後會決定建構細節。 使用諸多存取過濾器203和資料庫301的存取控制:圖4 2使用諸多存取過濾器203和資料庫301的存取控制:圖4 如圖2中所示,存取過濾器203在VPN 201中有一位置, 將它安置在使用者正在從其中請求存取資訊資源的客户機 與資訊資源存在其上的伺服器之間。於是,藉由在一使用 者與能夠提供使用者存取資訊資源的一項在伺服器上的服 務之間的通信中居間調停(interceciing),存取過滤器203能 夠控制由使用者存取資源。爲了使使用者獲得存取資訊資 源’在使用者與服務之間必須建立對話。在目前上下文 中’將術語”對話”加以廣義地定義,以便包括一些正派 (well-behaved)無連接通信協定(connectionless protocols)。 當存取過濾器203發覺使用者嘗試初啓一項具有服務的對 話時,它會決定存取操作是否應該被允許。這麼做是根 據:使用者的已知身份;資訊正在被存取的資訊資源;資 訊的靈敏度等級;以及使用者識別方法,使用者與服務之 間路徑,及所使用之任何加密技術的信賴等級。 圖4顯示:一項對話如何能夠涉及一個以上的存取過濾 器203。顯示於圖4中的對話402涉及在圖中編號爲403 (1,…5)的五個存取過濾爭203。存取過濾器203皆被設計而 使得:只需要在諸多存取過濾器203中的一個存取過濾器 中’制定是否准許使用者存取資訊資源的決策。諸多存取 -37- 本纸張尺度適用中0 0家標準(CNS)A4規格(2i0 X 297公发) (請先閱讀背面之注意事項再填寫本頁) I ί * 1^1 1 n f i t flu I I t . &Λ-45么·>-v 經濟部智慧財產局員工消費合作社印製 ^48307 Λ7 B7 五、發明說明(35 ) 過濾器203的這種特點之關鍵是它們對它們自己彼此鑑 定的能力。skip被用來做這件事。每一個存取過濾器203 都有:使存取過濾器203之密鑰與存取過濾器之名稱相結 合’並且由VPN的證書當局所簽署的一種χ.509號證書。 在資料庫301中,每個存取過濾器都具有:在νρΝ 2〇丨中的 所有其它存取過濾器的名稱和I P位址:並且,一項使用 SKIP來加密的對話一到達,每個存取過濾器就使用來自在 skip之討論中如上所述之證書的.•主體名稱"(Subject Name) 來決定:使用SKIP加密的(SKIP-encrypted)網路通信量是否 來自在VPN 2〇1中的另一個存取過濾器2〇3。 若存取過濾器接收中的對話並不是對話的目標(那就 是’存取過濾器只是執行像沿著路徑之一〗p路由器那樣的 功能而已),則存取過濾器只會從資料庫3〇1中加以驗證 (verify):目標I p位址就是在vpN 2〇丨中的某個其它存取過 濾fe 203的I P位址。如果就是這種情形,就容許對話通過 而不必附加核對。當請求來到最後存取過濾器203時,最 後存取過濾器203就使用SKIP對該請求加以解密,以便證 實:孩請求的確被第—存取過濾器2〇3所核對,進而證 實:該請求在轉接中未曾被修改。 於是,在圖4中,存取過濾器4〇3 (丨)使用它自己的存取 控制資料庫301之拷貝來決定:發起對話的使用者是否已 經存取針對該對話所載明的資訊資源。若存取過濾器 403(〇如此決定;則它會鑑定對話的—些輸出訊息,並且 必要時對它們加以加密',以便達到適當信賴等級。然後, -38- 本紙張尺度綱中家彳(CNS)A^l祕c 297公^7 (請先閱讀背面之注意事項再填寫本頁) -----^*1--------,線-* 經濟部智慧財產局員工消費合作社印製 448387 經濟邨智慧財產局員工消費合作社印袈 A7 ______ B7__ 五、發明說明(36 ) 諸如存取過遽器403(2,...,5)會允許對話繼續進行,此乃因 爲迓對活是來自存取過濾器4〇3(〇並已經利用SK][p加密; 迫而既不會使用芯們自己的存取控制資料庫3〇丨之拷貝來 對訊息加以解密,也不會對訊息加以核對。然後,存取過 濾器403(5)會對訊息加以解密,並證實:它們都被加密’ 因此皆由存取過濾器4〇3( 1)所核對:且若訊息都是原封不 動的,則將它們轉遞到包含所需資源的伺服器4〇7。在伺 服器407與使用者系統4〇 1之間傳遞之對話中的諸多訊息都 用相同方式加以處理:必要時,利用存取過濾器4〇3(5)對 它們加以加密:諸存取過濾器4〇3(2,…,4)會基於由存取過 濾器403(5)所執行的鑑定而將它們加以傳遞通過:而存取 過應器403( 1)到基於鑑定而將訊息傳遞到系統4〇 ^,並且必 要時’對該訊息加以解密0 这種技術所有效執行的是:爲存取過濾器4〇3(1)與存取 過濾器403(5)之間的對話而開關一隧道4〇5 ;因爲隧道,所 以只有最接近客户機的存取過濾器4〇3才需要執行:解 抬,存取核對,以及重新加密。而且,在諸多内部網路和 在網際網路1 2 1中,隧道都是同樣安全的。在一種大型 VPN中’存取過濾器4〇3(1)處在最佳位置中以核對存取操 作,此乃因爲:它有權存取關於發起對話之使用者的最詳 細資讯。執行在第—存取過濾器4〇1處之存取核對的技術 會進一步將存取控制責任均均分佈遍及VPN,因而容許 VPN按規模伸縮到任何规模的大小。 端對端加密:圖5 -39- 冬.·氏沧尺度過用宁圉國家標準(CNS)A4規格(21〇 χ视公 -----------1----------r--------J \ c (請先Μ讀背面之;£意事項再填寫本頁) 4483 8 7 A7 B7 經濟部智慧財產局員工消費合作社印*'ϊί 五、發明說明(37 3端對端加密:圖5 圖4之隨道只是從存取過濾器4〇3(1)延仲到存取過遽器 403(5)而已:對話之訊息在使用者所使用的系統4〇〖與存取 過遽器403(1)之間都未加密,又在存取過濾器4〇3(5)與伺 服器407之間都未加密。在極爲靈敏之資訊的情形下,從 近端存取過濾器到經由網路之路徑末端,即:在系統 403(1)與伺服器4〇7之間,可能需要鑑定和加密。 圖5顯示··怎樣使用一些存取過濾器2〇3來達成此目的。 在VPN内’除了一些存取過濾器203之外,可能和任何客 户端系統40 1或503 ’或任何伺服器系統407使用鑑定和加密 技術。當一客户端電腦利用加密技術時,它會使用$匕11?來 鑑定對話,並使用一種在客户端電腦與一被選擇存取過濾 器203之間所共享的共享機密(sharecj secret),對該對話加 以加密’然後會將已加密訊息發送到被選擇存取過濾器 203 ;藉以有效地闢建客户端與被選擇存取過濾器2〇3之 間的随道,進而使被選擇存取過濾器2〇3和第一存取過濾 器203可作存取核對之用。在第一存取過濾器2〇3處,對 訊息加以解密並執行存取核對。由於使用者之證書 和已加密訊息可供利用,故而使用者之已鑑定身份能夠被 用於存取核對。若存取操作被允許;則對訊息再加密一 次’並發送到最接近伺服器4〇7的存取過濾器4〇3(5),它會 對該訊息加以解密。若資料庫30 1包含一種針對伺服器407 的skip名稱和加密演算法(algorithrns);則必要時,存取過 遽器403(5)檢索針對伺服器4〇7的證書,並使用SKIP,以便 -40- 本紙張尺度適財關家標準iCNS)A4規格⑵〇 x 297公发) . _ . *-------^ ---------i i (請先閱ί4背面之;i意事項再填寫本頁) 448387 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(38 ) 必要時爲伺服器407而對該對話重新加密。在其它情況, 存取過濾器403(5)只是以明碼方式the clear)將訊息發送 到伺服器407。若爲伺服器407而對訊息重新加密,則伺服 器407最後會接收已加密訊息並對它加以解密。位居第一 存取過濾器203與最後存取過濾器2〇3中間的一些存取過 濾器203 ’都只是注意到該訊息是來自另一存取過濾器並 利用SKIP加密’以及將該訊息傳遞而已,如上所述。當词 服器407檢索資訊資源時,它不是以明碼方式將它發送到 存取過濾器4〇3(5),就是利用針對存取過濾器4〇3(5)的密 輪而對包含資源的訊息加以加密。然後,依相反順序,成 對地執行上述的解密和加密處理過程:從伺服器4〇7到存 取過濾器403(5);從存取過濾器4〇3(5)到存取過濾器 403(1):以及最後從存取過濾器4〇3(1;)到原始客户端系統 40 1,它會對訊息加以解密。 這種技術的效應是:在客户機與伺服器之間的路徑上構 築隧道,該随道從在最接近客户機之路徑上的存取過滤器 203延伸到在最接近伺服器之路徑上的存取過減器如。若 客户機能夠加密和解密,則隨道能夠從最接近客户機的存 取過遽器延伸到客户機;且若词服器能夠加密和解密,s!] 隨道同樣地能夠從最接近何服器的存取過渡器延伸到词服 。—旦在路徑中的第-存取過遽器2〇3已經被觸及,並 已經鑑定對話;就不需要進—步 歹加抗或解密,直到最接近 飼服器的存取過滅器203已經被觸及爲止。而且,在 存取過遽器203中的存取控制資料庫3Ql都會Μ針對:客 41 - 本纸張尺度適用中固固家標準(CNS)A4規格 ----r---I------坤衣--------訂·--------1 ir {請先閱讀背面之江意事項再填寫本頁) ^483 8 7 經濟部智慧財產局員工消費合作社印Λ,,π A7 B7 五、發明說明(39 ) 户機,伺服器,以及在路由中的諸多存取過濾器203之所 有必要的識別和認證(certiHcation)資訊。剛才描述的端對 端加密枝術之一優點是:與其集中注意力於用來連接VPN 到網際網路的諸多存取過濾器,不如將加密負擔分佈遍及 網路,藉以增強規模可伸縮性。 圖5顯示:該技術如何隨著對話5〇 1而運作,該對話隨著 漫遊者而發起,那就是:客户機503連接到VPN是經由網 際網路12 1。漫遊者503配備有SKIP,就像在一内部網路上 的目標伺服器407那樣。當SKIP被配置在漫遊者中時,就 將針對存取過濾器403 (3)的證書賦予漫遊者,並將針對漫 遊者的證書賦予存取過濾器403(3)。當漫遊者503發送一項 屬於對話的訊息時,它會將訊息定址到伺服器4〇7,並使 用它和存取過濾器403(3)共享之傳送密鑰,對該訊息加 以加密。於是,經由隧道505而將訊息鑿隧道傳送到存取 過濾器403(3)。在那裏,存取過濾器403(3)會對該對話加 以解密’執行存取核對,進而使用針對存取過濾器4〇3(5) 之一傳送密输而對該對話重新加密。在路徑中的諸多隨後 存取過濾器403容許對話通過,此乃因爲:該對話是由存 取過濾器403(3)加以鑑定;於是,至少提供隧道5〇7到存 取過濾器4〇3(5)。若目標伺服器407配備有SKIP,則存取 過濾器403(5)會將隧道延伸到目標伺服器407,如上所 述0 基於資料靈敏度的可適性加密和鑑定:圖6和7 3基於資料靈敏度的可適性加密和鑑定:圖6和7 -42- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) 4^ . 訂---------,線 (諦先間請背面之注意事項再填寫本頁) 4483 8 7 A7 B7 經 濟 部 智 慧 財 產 局 員 工 消 費 合 作 社 印 五、發明說明(4〇 ) 在VPN中,在存取控制方面的一項重要工作是:決定對 話所需安全性的最小量。這挺重要的,第一是因爲:至少 必須保證該最小量;第二則是因爲:比需要還多的安全性 會浪費資源。將用來決定最小而在存取過濾器203中所使 用的諸多技術集體稱爲安全加密網路遞送(Secure
Encrypted Network Delivery,簡稱 SEND)。在 SEND 中,存 取控制資料庫301包含針對每個資訊資源的資料靈敏度等 級β資料靈敏度等級會指示與資訊資源有關聯的保密等級 (the level 〇f secrecy),並由對資源負有貴任的安全管理員 加以指定給資訊資源。諸多等級之一模範集合是:最高機 密(Top Secret),機密(Seeret),專用(private),以及公用 (Public)。 用來指示資料靈敏度的等級也都被用來指示針對存取請 求所品的仏賴等級。如前面所描述的,唯若從下列信賴等 級中所決定的信賴等級至少與該資訊之資料靈敏度等級一 樣大,才會允許存取操作;該信賴等級有:用來識別使用 者=技術的信賴等級,存取請求經由vpN 2〇丨之路徑的信 賴辛級’或用來對在路徑上所發送的訊息加以加密之任何 加密技術的信賴等級。針對:使用者識別方法,路徑,以 力达演算的u等級都被包含在存取控制冑料庫如1 中。關於路的信賴等級’將VPN分成—些網路 個網路组件都是諸多Ip 呼 ^ 峪又連接集合,由存取過濾器 二、匕组件加以分離。每個網路组件都有—個名 賴守級。譬如說’ '網際網路組件將會有”公 -----------版-------—訂---------線 (請先閱讀背面之注意事項再填寫本頁) -43- 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(41 ) 用"信顇等級,而一内部網路組件則可能有”專用”信賴等 級。一既疋組件的信賴等級可能是基於它的實體安全性, 或者是基於组件中之加密硬體的使用。因爲將每個存取過 濾器203增加到vpN,所以將一種它與VpN之諸組件連接 的描述増加到資料庫3〇1。包括在這種描述中的都是:諸 多網路的信賴等級。因此’任何存取過濾器203都能夠使 用i的資料庫3 〇 1之拷貝來決定路校之每個組件的信賴等 級;而在一客户機與一伺服器之間,將會藉由該路徑來載 送一項對話。 使用者的信賴等級是從存取請求識別使用者所依照的方 式中所決定的。在存取控制資料庫3 0 1中,每個使用者群 组都有一種或更多與它有關聯的識別技術,而每種識別技 術則都有一種最小信賴等級。諸多基本技術爲: •經由SKIP的證書。使用者藉由在其X.509號證書中的 名稱來加以識別,該證書則和SKIP通信協定一起使 用,以便鑑定和加密通信量。 * 經由使用者識別客户軟體的證書。使用者藉由在其 x’5〇9號證書中的名稱來加以識別,該證書則經由一 種稱爲使用者識別客户軟體的特殊Conclave(秘密會議) 客户軟體模組而傳送到一些附屬存取過濾器203。使 用—種口令 / 回應機制(challenge/response mechanism), 很安全地完成這項傳送。 • 經由使用者識別客户軟體的Windows Domain ID(視窗 網域識別符)。對Microsoft Windows Domain(微軟視窗 -44 - 尽·认㈣用中國國家標準(CNS)A4規格(210 X 297公沒) II Ji .k*-------訂·--------線 (請先Μ讀背面之注意事項再填寫本1^} 483 8 7 A7 B7 經濟部智慧財產局員工消費合作社印矣 五、發明說明(42 ) 網域)註册(log in)且已經安裝使用者識別客户軟體的 使用者自動地具有其Windows身份’包括群組成員資 格,並且傳送到一些附屬存取過濾器2〇3 ^在NetBi〇s (網路基本輸入/輸出系統)通信協定的機制内,很安 全地完成網路登錄(丨ogon)。 •鑑定令牌。可能以下列兩種方式來利用鑑定令牌(諸 如:由安..免i车動力公司(security 〇ynamics Inc.)和亞贊 1公司(Axent Corp.)所製造的那些令牌):經由使用者 識別客户軟體,以在頻帶外的方式;或者,在 Telnet(遠距通信網路)和FTP(檔案傳送協定)通信協定 内,以在頻帶内的方式。 • 1 p位址及/或網域名稱。使用者之電腦的I p位址或全 限定(fully qualified)網域名稱。 在SEND之一較佳建構例中,諸多識別技術都有一種從 最高安全到最低安全的預定次序。應該將剛才列示的諸多 技術加以排列/入序,就像它們在上述列表中的那樣:最高 安全的技術都是在列表的上端。雖然識別技術的排列次序 (ordering)是有些主觀,但是卻反映了 :識別技術的通用安 全性’以及應用到使用者身份之分佈和確認的嚴密性 (ngor)。在VPN 201中的管理員隨後會使有序(〇rdered)信賴 等級與有序識別技術有關係。譬如説,若管理員使,,專用M 仏賴等級與藉由艦足令牌的識別技術有關係;則想要存取 具有"專用”靈敏度等級之一資源的使用者必須親自識別, 其方法是藉由··一種鑑定令牌,或者高於識別技術之順序 -45 - 本紙張尺度適用中0國家標準(CNS)A4規格(210 x 297公髮) (請先閱請背面之注意事項再填寫本頁) -_k·-------訂·--------'線 _ ^48387 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(43 ) 中的鑑定技術的另一種識別技術。存取過濾器的管理員同 樣地會:將在VPN中可供利用的諸多密碼演算法,從最高 安全到最低安全加以排列次序;使有序信賴等級與有序密 碼演算法有關係;將在VPN 20 1中所使用的諸多網路路徑 加以排列次序;以及使有序信賴等級與有序網路路徑有關 係s在信賴等級與關於安全性的排列次序之問的這些關係 都包括在存取控制資料庫3〇丨中,然後,構築一種信賴及 靈敏度等級與識別及加密技術有關係的SEND表。圖6是: 這樣一種SEND表之一概念性表示法。 SEND表601有三欄:一欄是表示信賴/靈敏度等級的 603 ’ 一欄是表示最小加密方法的6〇5,以及—欄是表示最 小識別方法的607。就關於欄605之諸加密方法的細節而 I ’請參看由布魯斯·史尼爾(Rr„ce Schneier)所著:”應 用在碼術”—書,該書由約翰·威利及後裔(John Wiley & Sons)圖書公司印行,美國紐約,1994年版。表中的每一列 609使信賴/靈敏度等級與連接著存取過濾器’客户機,及 词服器1路徑的最小加密等級和使用者之最小識別等級有 關聯。於是’列609(1)使”最高機密”信賴/靈敏度等級與 3DES加密演算法和經由SKIp而獲得的使用者證書有關 係。希望獲得存取具有靈敏度等級爲,,最高機密之一資源 的使用者,因此必須具有一種由Skip所認證的識別等 級:且若路徑並不具有”最高機密"信賴等級,則必須利用 3DESM法、演算法對該對話加以加密。在另一方面,如列 609(4)所示,希望獲得存取具有靈敏度等級爲„公用,,之一 -46· 本纸張尺度適用中固S家標準(CNS)A4規格(2l〇x 297公釐) f—. .—k-------1,訂·-------* 線 l ' (請先閱?F背面之注意#·項再填寫本頁) A7 #38 7 ___Βί______ 五、發明說明(44 ) 資源的使用者可能藉由任何方法加以識別’因而不必要對 該對話加以加密。 當初啓一項新對話時,在針對該對話所使用之路徑中的 第一存取過濾器203會繼續進行如下: 1 .存取過濾器203會決定正在被存取的資訊資源;並且, 在資料庫301中查出(looks up)它的靈敏度等級。 根據SEND表601,針對該靈敏度等級的最小鑑定方法會載 明:哪些識別機制可能被存取過濾器所使用,以便識 別和鑑定執行存取操作的使用者。 第一存取過ί慮器203然後會查閲(consults)資料庫30 1,以便 根據使用者所屬的使用者群组和資源所屬之資訊集來 決定:使用者是否可存取資源。 第一步驟是根據存取控制資料庫來決定:用來識別使 用者的諸多識別方法中,哪些方法具有對該資源 之靈敏度等級而言是夠高的信賴等級。 然後,第一存取過濾器203根據具有夠高的信賴等級的 每一種識別方法,使用使用者之識別資訊來查閲 資料庫301 ’以便決定:使用者所屬的使用者群 組。 第一存取過濾器203也會查閱資料庫30丨,以便決定: 資源屬於哪些資訊集。 已決定了有關的使用者群組和資訊集,第—存取過濾 器2 0 3就會查閱資料庫3 0 1,以便指出—收存取決 朿的位置’該決策決定:是否打算容許或拒絕存 -47- 本纸張尺度剌 t a i iji (CNS)A4 ^ (210 X 297 ) -------------k--------訂---------線-> (請先閱Ϊ3背面之注意事項再填寫本頁) 經 濟 部 智 慧 財 產 局 員 工 消 費 、合 作 社 印 製 A7 448387 _____B7_.________ 五、發明說明(45 ) 取對話資訊8若發覺到至少—個容許存取操作的 決策以及發覺到沒有一個拒絕存取操作的決策’ 則容許使用者存取操作:在其它情況,則是拒絕 存取操作。將步騍b ’ c及d的細節加以描述於下。 4 .若不拒絕存取操作’則第一存取過濾器203隨後會 查閲資料庫3 ΟI,以便決定組成路由的一些網路組 件,該路由是·•經由VPN ’從客户機到包含資訊資 源的伺服器。 將路由加以考慮成爲具有高達三個的邏輯分段 (logical segments); 1 ·分段(a),從客户機到第一存取過濾器203 »此分段 可能已經加密或可能未曾加密,端視客户機是否 使用SKIP而定。 2,分段(b) ’從第一存取過遽器203到最接近伺服器而 在路徑中的存取過遽器2 0 3 ;以及 3 .分段(c),從最接近伺服器的存取過濾器2〇3到伺服 器,此分段也可能已加密或可能未加密。 若分段(a)和分段(c)存在,則每個分段將由單一網路組 件组成。若客户機在第—存取過濾器上,則分段⑷將 不存在,若伺服器在最接近伺服器的存取過濾器上, 則分段(c)將不存在。若分段(b)存在,則它將由—個或 更多網路组件组成。若在客户機與伺服器之間只有— 個存取過濾器,則分段將不存在。 就每個分段而言: (请·元閱讀背面之;i意事項再填寫本頁) k·--------訂----------線 ^濟部智#1財產局員工消費合作社印製 -48- 448387 B7 烴濟部智慧財產局員工消費合作社印繁 五、發明說明(46 ) .就分,⑷而言,必須由客户機執行任何加密方 法9若分段(a)的信賴等級至少不是與資源之資料 靈,度-樣強有力:或者,若由客户機所執行的 加密方法义信賴等級至少不是與資源之資料靈敏 度一樣強有力;則拒絕存取操作^ 说刀/又(b)而g,若在路徑中之任何網路组件的最 弱信賴等級大於或等於資源之資料靈敏度,則發 达通k量而不必加密。這對應於網路本來就夠安 全用來傳送資料的情形。在上表之實例中,可能 =任何網路上傳送具有"公用"資料靈敏度等級的 ^訊資源’如列_⑷所示。,然而,諸多存取過遽 器203將會使用SKIp來鑑定對話,因而容許諸多隨 後存取過滅器通過對話而不會招致:解密,存取 核對,以及重新加密的較大開銷(overheads)。若針 對路k的最弱信賴等級小於資源之資料靈敏度, 則爲針對靈敏度等級所需之最小加密演算法而查 閲SEND表,進而使用該演算丨,_胃❼ 在力在使通4鍵路(1 ink)的安全性升級(upgra‘des), 使Έ適合於載送該既定靈敏度之資料,因而允許 由使用者存取資源。 6.就分段⑷而言,從最接近伺服器的存取過濾器203 到词服器的路徑部分,第一存取過濾器203根據資 料庫301中的資訊而決定:分段(c)以及在分段(c)中 所使用之任何加密方法的信賴等級。若路徑的這 _ -49- t Ξ1 297 ^T) J ^ --------訂---------線-I (請先Μ讀背面之注意事項再填寫本頁) 4483 8 A7 B7 五、發明說明(47 ) 個分段之信賴等級小於資訊 、貪机貝原又靈敏度等級, 並且在那種情形下,若在分p 、^ 右在刀*又(C)中所使用的加密
方法之彳0賴寺級至*』/ T Y _ 主y不是與所需等級一樣強有 力’遠所需寺級就像在老虑杳叫.之 1豕彺芩愿貝巩資源之靈敏度等 級的SEND表中的最,丨、葚纽抓样 J瑕小f級那樣:則第—存取過濾 器2 0 3將會拒絕存取操作。 上述決定靈敏度和信賴等級的方法保證:只有當需要達 到必要的信賴等級時,存取過滤器2〇3才會使用加密方 法。在使資料庫301中之網路配置的描述保持既簡單又可 苔理的時候,此方法會減少將被加密之對話的數目。結果 是.關於VPN中的管理和效能方面,會有較好的規模可伸 縮性。 圖7提供:資訊資源的靈敏度等級,使用者識別方法的 信賴等級,以及和客户機與伺服器之間的路徑有關聯的信 賴等級是怎樣影響由使用者存取資訊資源之一實例。在圖 7中,在客户端703處一配備有SKIP的使用者初啓一項對 話701,以便獲得儲存在配備有SKIP的伺服器705處之一資 訊資源723。上述討論的分段(a)出現在圖7中的707處;分 段(b)出現在709(1 ^.,4)處;分段(c)出現在711處。資訊資 源723具有"機密"之靈敏度等級。該對話遭遇的第一存取 過濾器203是存取過濾器203 (1)。存取過濾器203 (1)使用它 的存取控制資料庫之拷貝決定資源723的靈敏度等級。此 處,使用者已經使用SKIP證書,而檢視資料庫30 1中之 SEND表601則對存取過濾器203 (1)顯示:因爲這種使用者 -50- 本紙張尺度適用中國國家標準(CNS)A4規格(21〇χ 297公爱) (請先閱讀背面之注意事項再填寫本頁) k--------訂---------線. 經濟部智慧財產局員工消費合作社印*·1^ " 448387 A7 ____ B7__ 五、發明說明(48 ) 識別方法滿足具有"機密”靈敏度等級之資訊資源的要求, 所以在707處的分段(a)具有所需信賴等級。因此’第—存 取過濾器繼續決定:在VPN中,在存取過濾器203 (1)與词 服器705之間位在709(1,,,,,4)處之分段(b)和位在711處之分 段(c)的信賴等級。分段7〇9具有—些子分段:7〇9〇), 709(2),709(3),709(4),以及 709(5) ‘·而第一存取過濾器 203 (1)會核對在資料庫3 〇 1中的這些分子分段中的每個子 分段之信賴等級。分段709(2)是網際網路12 1,所以它的信 賴等級是:"公用"’它在分段709中是最小等級。然後, 存取過滤器203 (1)使用存取控制資料庫3〇丨來核對分段7 j j 之信賴等級。它的信賴等級是:_,機密"。於是,在7〇9處 之分段(b)只是具有一種對正在存取一"機密"資訊資源7〇3 疋一對話的路徑而言是太低的信賴等級而已。要處理這個 問題,存取過濾器203 (1)必須對該話加密,以便將它提升
到必要的k賴等級。第一存取過濾器2〇3 (丨)會查閲SEND 表601 ’以便決定需要何種加密方法;而列609(2)則指示: DES加岔方法是足夠的。於是,第一存取過濾器203 (1)會 使用忒演算法來對該對話加密’進而將它發送到存取過濾 器 203 (5)。 在圖7中’連接著客户機7〇3到存取過濾器刊”丨)的分段 707具有一種對資源之靈敏度等級而言是夠高的信賴等 級,於是客户機703不必對其請求加以加密。當不是這種 馅況時’唯右客户機7〇3已經使用一種其信賴等級資源之 靈敏度等級而言是足夠的加密方法來對請求加密,存取過 -51 - 本纸張尺度刺中Θ國家標規格<2K) x 297公g {請先閱筇背面之注意事項再填寫衣頁) hr ] !— - -1 · -"--h· - ^ - I - Jn — __I --- — ' 經濟部智慧財產局員工消費合作社印製 48387 A7 B7 五、發明說明(49 ) 濾器203 (1)才會賦予客户機·^3存取操作。爲此緣故’在 圖5中的漫遊者503必須是配備有SKIP的。由於漫遊者5们 經由網際網路121來存取•存取過濾器4〇3(3)的資訊;故而 漫遊者503的諸多請求可能從未具有高於,,公用,,的信賴等 級,除非將它們加以加密;並且,爲了完全存取在 中的資源,漫遊者503就必須使用一種加密方法,諸如:由 SKIP所提供的一種方法,其信賴等級對最高靈敏度等級 而言是足夠的。在存取過濾器2〇3的一些實施例中,存取 過遽器可能以-種與它在較佳實施例中使用來協商使用者 識別模式類似的方式’和客户機協商打算使用在請求中的 加密技術。 針對存取控制資料庫301之管理員界面的總覽:圖8到12 3針對存取控制資料庫3〇1之管理員界面的總覽:圖8到12 存取決策依據使用者群组和資訊集來定義存取操作;因 此,在可能定義存取決策之前,管理員必須定義使用者群 組和資訊集1争怎樣完成此事顯示於圖8中。定義使用者 群組涉及了步骤803到807 :首先定義使用者,然後 用者群組,然後再將使用者指定料#使用者料。定^ 資訊集涉及了步秘_到813:首先定義資源,然後定^ 訊集,然後再將資源指定到資訊集。當針對在一項決;中 所涉及的使用者群组和資訊集而已經完成此事時,、^夠 建立存取決策,如在815處所示。如前面㈣“^ p針對諸多使用者㈣和資訊集之存取決策的權利都由 決東制定者決策所決定的;可是用來定義和夹定使用者群 52- 參紙張尺度適用中國國家標準(CNS)A4規格(2】〇 X 297公爱 (請先閱讀背面之注意事項再填寫本頁) 『A + I -- 1 a^i I * 1^1 I-1 *1 ^^1 線 經濟部智慧財產局員工消費合作社印製 448387 經濟部智慧財產局員工消費合作社印5λ A7 ----------B7_____ 五、發明說明(50 ) 组〈成員資格和資訊集,以及用來爲它們而制定管理決策 的權利卻都是由管理決策所決定的。 ::像從削述中能夠看出的那樣,使用者界面通常被用來 疋義在兩個實體或關於它們的集合之間的關係。針對存取 控制貝料&庫301之圖形使用者界面(graphical user
InterfaCe ’簡稱GUI)的通用形式對應於該工作。顯示圖包 括兩個視窗,每個視窗都包含打算使彼此有關係的一些實 體之表示〉去’而冑係則㈣選擇實體和需要之所在來定義 的’因而定義關係。 定義使用者群組:圖9 3定義使用者群组:圖9 圖9 α示用來殖民(populating)和定義使用者群組的顯 不圖901。在顯示圖中的視窗9〇3包含目前定義的使用者群 組之一分層顯示圖;視窗903與那些用來顯示由微軟公司 (Microsoft C〇rporati〇n)所製造的Wind〇ws %商標之作業系 ,·先中的ia案層次之視窗相似。在視窗9〇3中,使用著顯示 圖灿之管理使用者具有管理權所針對的諸技用者群組 都王現黑色;而其它使用者群组則都呈現灰色。在兩個視 ® :上的是兩個按鈕帶(butt〇n bars) : 91 i和915。按鈕帶 91〗列示:用來修改存取控制資料庫3〇1的一些可利用顯示 圖,而按鈕帶915則列示:可能在那些顯示圖上執行的— 些杈作。於是,在按鈕帶911中標示”使用者群组"的按鈕 被凸顯出,因而指示:顯示圖9〇1是用來殖民和定義使用 者群组的一個顯示圖。關於按鈕帶915,當視窗9〇3是現用 -53- 本纸張尺度適用中國國家標牟(CNS)A‘l規格(21G X 297公爱y ------------------------訂.--------線 > (請先間讀貨面之注意事項再填寫本頁) 4 48387 A7 B7 經濟部智慧財產局員工消費合作社印" 五、發明說明(51 ) 狀態時’有權管理一使用者群組之一管理使用者可能會修 改使用者群組,其方法是:在視窗903中選擇使用者群 組:並使用在按鈕帶9 1 5中的"刪除”(delete)按鈕來删除使 使用者群組;或者’使用"新増”(new)按紐來增加並命名 位在層次中的被選擇使用者群组之下的一個新使用者群 組。當管理使用者點按(clicks):應用"(appiy)按鈕921時, 存取過濾器2 0 3就會修改它的存取控制資料庫3 〇 1之拷貝, 以便證實何種東西在顯示圖901上;並且將修改資訊傳播 到:在VPN中的所有存取控制資料庫3〇 1之拷貝。 視窗909顯示使用者。藉由識別在集合中之使用者所依 照的方式’將使用者之一集合指示於顯示圖中。在此情形 下,使用者都是藉由I P位址來識別,而他們則都會以j p 位址之範圍出現在顯示圖中。按鈕帶913指示:能夠顯示 在視窗909中之其它種類的識別方法。就像利用視窗9〇3那 樣’當視窗是現用狀態時,能夠使用"新增"和"刪除"兩個 按鈕來增加和刪除使用者。要將由使用者識別資訊所載明 的(諸多)使用者指定給一使用者群组,GUI之使用就會選 擇:一使用者群组,如在917處所顯示的,以及識別資訊 之一集合,如在919處所顯示的;然後再使用在按鈕帶913 中的”增加到使用者群组_,(add to group)按鈕,將識別資訊 之集合增加到使用者群组,就像由以下事實所顯示的那 樣:在919處之被選擇I p位址之範圍現在會出現在位於9 i 7 處之被選擇使用者群組之下的層次中。本操作之效應是: 使諸多使用者成爲”研發"(R&D)使用者群组的成員,該使 -54- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) --------------1 I ^--------訂·--------線"、 ^閱讀背面之注音?事項再填寫本頁} 44838 7 經濟部智慧財產局員工消費合作社印^ί A7 B7 五、發明說明(52 ) 用者的對話都具有列示在9 17處的來源I P位址;並且,當 使用者點按:"應用"按鈕時,於是所有存取控制資料庫 301之拷貝都被修改。 圖10顯示:用來定義資訊集的顯示圖1001,此處,視窗 1003包含—種資訊集的分層列表,而視窗1005則包含一種 可用資源的分層列表。用與使用者群组之列表相同的方法 來制定:資訊集的分層列表,以及可用使用者群组的分層 列表。再者’顯示圖丨〇〇丨之使用者有管理權限加以管轄的 資訊集和可用資源都呈現黑色;而在列表上的其它項目則 都呈現灰色。在視窗100丨中,可用資源爲:網際網路和組 成VPN 201的兩個位置。在一種更加開發的VpN 2〇1中, 可用資源的列表應該指示:在位置處的伺服器,在伺服器 中的服務,以及由服務所提供的資訊項。譬如説,若服務 提供一種目錄樹,則應該藉由—個路徑名稱(pathname)來 指示包含在目綠樹中的資訊項;該路徑名稱會載明目錄樹 之根部(root),並且會使用通配字元(wiidcard仏“扣匕⑷來 載明在目錄樹之根部以上的一些檔案。當將一資源增加到 一伺服器時,可能經由視窗1〇〇5來定義資源。於是,已經 疋義了資源,可能用與一使用者識別資訊被指定给一使用 者群組相㈣方式來將—資源指定给—資訊集。再者,點 m㈣會使顯示@1QQI中的改變傳播到所有存取 控制資料庫3 0 1之拷貝。 圖1丨顯不:用來定義決策的顯示圖丨1〇i。將哪一類型的 決策正在被定義加以載明於按鈕帶m3中;如在那裏所指 -55- 本纸張尺度過用中國园家標準(CNS)A4規格(210 297公釐) — .11 —---------- *------—訂·--------1 \ {請先閱讀背面之注意事項再填寫本頁) 4483 8 經濟部智慧財產局員工消費合作社印*'《 A7 B7 五、發明說明(53 ) 示的,顯示圖110丨正在定義存取決策3所有的決策顯示圖 都具有相同的通用格式:一視窗丨丨03,它包含使用者群組 之一分層顯示圖:一視窗U05,它包含可能定義決策所針 對的物件層次之一顯示圖:以及—決策定義視窗丨1〇7,它 包含一些存取決策定義1108。在物件層次中,顯示圖u〇 1 之使用者有權定義決策所針對的物件都呈現黑色;而其它 的則呈現灰色β在顯示圖1 101中,正在被定義的是存取決 策,所以物件都是資訊集。 每個存取決策定義都有四個部份: .一現用(active)圈選框1117,它指示由決策定義所定義 的存取決策是否現用的,即:正在被用來控制存取操 作: •存取決策正在被定義所針對的使用者群组1 119 ; *存取決策正在被定義所針對旳資訊集1 12 3 :以及 ,存取操作櫚位Η 2 1,它指示存取操作是否被容許或拒 絕,藉以定義存取決策。 選單帶(menu bar)1109和按鈕帶ms允許決策制定者決策 容許如此做的那些管理員加以編輯,增加,刪除,以及啓 動(activate)或撤除(deactivate)—種被選擇決策定義丨1〇8。 每個決策定義1108的現用圈選框1Π7允許管理員啓動或撤 除選擇決策定義Π 08 ;存取操作欄位丨1 2 1允許管理員選擇 容許或拒絕作爲決策。在按鈕帶π丨5中的|,硎除”按鈕允許 管理員刪除一項被選擇決策:而,,新增,.按鈕則允許管理員 刎定一種新決策定義11 〇 8 ;要執行此事,管理員會選擇· ---- ^ ---------Jtr· ---------I » (請先閱請背面之注意事項再填寫本頁) -56 - 44838 7 經濟部智慧財產局具工消費合作社印製 A7 B7 五、發明說明(54 ) 在視窗Π 03中之一使用者群組以及在視窗丨丨〇5中之一資訊 集:然後會按”新增"按鈕。新的存取決策定義1 1〇8出現在 顯TF圖I 1 〇7中:並且’管理員能夠编輯新的存取決策定 義,如剛才所描述的。要將改變應用到存取控制資料庫 301,並將它傳播到所有的存取過濾器2〇3 ;管理員會點按 在"應用”按鈕1125上。 顯示圖ποι也包含一種決策評估者工具程式(p〇Hcy evaluatortoo丨),它讓管理員看出:存取決策定義的目前集 合怎樣決定針對一既定使用者群組或資源集的存取操作。 當管理員點按:按知帶1113中的”決策評估,,(p〇ncy evaluation)按鈕,並從顯示圖n〇3中選擇一使用者群组 時·’該工具程式就會顯示:被選擇使用者群组呈現藍色: 決策定義允許使用者群组存取而在顯示圖UQ5中的所有資 訊集呈現綠色:而其餘的則呈現紅色:與哪些資訊集可能 被使用者群組存取之決定有β㈣所有決策定義都被凸^ 相同的顏色集合中》若管理員選擇一資訊集1 ' 的:情;然後,評估者工具程式會顯示:被選擇資訊集。 現篮色,能夠存取資訊集的所有使用者群組呈現綠色= f餘:則呈現紅色,因而也會凸顯出1有 我。使用者也能夠選擇-項決策。在那種情形了 = ,現藍色’而受決策影響的使用者群組和資訊集= 主現監色或紅色,就像由決策所決定的 ' Γ> 另外選擇-個以上的:使用者群組,資#。使用者能夠 那種情形下,評估者工具程式對每項 $ ,朿。在 、穴東顯示:應用到所 57- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公发 ί碎-^閱^背面之注意事項再填寫木頁)
經濟部智慧財產局員工消費合作社印製 .44838 7 Α7 Β7 五、發明说明(55 ) 有的被選項,以及那些決策的效應。評估者工具程式能夠 藉由點按在按鈕帶1113中的決策許估"按鈕來關斷(truned off) ’而顏色和凸顯功能(highlights)則能夠藉由點按在按 紅帶1115申的11重新設定評估"(reset evaiuati〇n)按紅來關 斷,以便針對一項新的決策評估而準備。 圖12顯示:顯示圖1201被使用來將關於一存取過遽器 203的資訊輸入到存取控制資料庫301。視窗1203顯示:存 取過遽器203之一分層列表;當視窗是現用狀態時,可能 使用在按鈕帶1209中的"新增"和"刪除"兩個按鈕來增加或 刪除存取過濾器。視窗1205被用來輸入或顯示關於存取過 濾器203的資訊。在視窗Π07中的顯示圖是藉由點按在按 紅帶1207中之一按4s來決定的;如按紅所顯示的,能夠使 用在$見窗1207中的顯示圖,以便:輸入並檢视關於諸多存 取過漉器203之網路連接的資訊,輸入並檢視關於那些連 接之信賴等級的資訊,針對可用伺服器和服務而掃描網 路,針對存取過濾器203中所檢測的問題而建立警戒資訊 (alerts) ’載明針對軟體的可選擇參數,以及載明存取控制 資料庫301改變的分配順序。》警戒資訊建立"(alert setup:( 的凸顯功能指.示·顯示於圖1 2中的顯示圖1205是用來顯示 並建立警戒資訊的顯示圖》· 用來發明資源的使用者界面:圖1 8和2 4 3用來發明資源的使用者界面:圖1 8和2 4 VPN 201的使用者都有一種用來察看在VPN 201内何種資 源可供他們利用的界面。在此處稱為IntraMap(映像内)界 _____- 58- 本紙張尺度適用中國國家標準(CNS)A4規格(210 χ 297公釐) I ------------4%^.--------訂---------線 (請先閱讀背面之注意事項再填寫本頁) 44838 7 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(56) 面(IrmaMap 是 罔路立力—公司(Internet Dynamics,
Incorporated)之一商標)的界面,至少會對每位使用者顯 示··屬於使用者可能根據針對使用者所屬之使用者集合的 存取決策來存取之資訊集的資源。在其它一些實施例中, intraMap也可能將資源的靈敏度等級以及使用者之識別方 法的信賴等級加以考慮。 藉由一種小爪哇程式(JaVaTM appiet)來建構界 面,該程式是在任何配備有java的全球資訊網(www)瀏覽 器上執行的。使用網路瀏覽器,使用者能夠掃描圖形顯示 圖,以便:尋找並存取可供使用者利用的資源:或者,請 求存取目前不是可供使用者利用的資源。由使用者存取資 源是由應用到使用者和資源的諸多存取決策所決定。圖 1 8顯示:由IntraMap界面所產生顯示圖18〇1。IntraMap顯 示圖1801的左侧顯示:資源列表18〇3 :而顯示圖的右側則 顯示:尋找(Find)攔位1807,排序(Sort)區段18〇9,服務 (Services)區段 1811,以及描述(Descripti〇n)欄位 1813。藉 由點按"輔助"(Help)按鈕1815而使使用intraMap的線上輔 助程式(on-line help可供利用)。 資源列表1 803顯示:針對正在使用IntraMap界面的使用 者而言’在VPN 20 1中之可供利用的資源和資訊。這種列 表疋分層的。使用者能夠藉由點按在分支上的„ + "和"_ „ 標記來擴展(expand)或縮減(collapse)”樹"的分支。在列表 中的每個登載項(entry)1804都會包括資源名稱。用來顯示 登載項之顏色則指示:使用者具有何種存取操作D若登載 -59- 本紙張尺度適用中國國家標準(CNS)A4規柊(210 X 297公发) 裝--------訂---------線 (請先閱讀背面之注意事項再填寫本頁) 44838 經濟部智慧財產局員工消費合作社印$Λ A7 B7 五、發明說明(57 ) 項I 804被顯示呈現藍色:則使用者具有—種針對資源的現 用超通信鏈路(hyperlink) ’並可能點按資源兩次,以便將 它顯不出來《若資源被顯示呈現黑色,則雖然它也可供使 用者利用,但卻沒有超通信鏈路可供利用,所以必須使用 一種分離應用程式來檢索資源。雖然被.顯示呈現灰色的資 源都不是直接地可供使用者利用,但是如果使用者選擇一 項資源’ IntraMap界面就會開啓一對話盒(dialog box):允 許使用者將请求存取操作的電子郵件(e_mail)發送給管理 員’該管理員對資源所屬之資訊集的存取決策負有貴任。 然後’管理員必要時可能修改存取及/或管理決策,以便 賦予使用者存取操作。管理員可能進一步賦予資源,,隱藏„ 特性(hidden property)。當資源具有該特性時,唯若使用者 屬於存取決策允許存取資源所屬之一資訊集之一使用者群 組’資源才會出現在IntraMap界面1801中。若資源不具有 隱藏特性’則它總會出現在IntraMap界面1801中。在其它 情況,它不會出現。資源可能具有一項比包含在它的登載 項1 804中的描述還要詳細的描述。當使用者選擇資源時, 該項描述就被顯示於描述欄位181 3中。 除了資源列表1803之外,IntraMap顯示圖丨丨還奋顯示 兩個專業化(specia丨ized)資源列表在1805處。 • M何者最新’’(What’s New) 1806顯示:來自企業内之其 它部門的最近資訊告示(postings)。若管j里員已經賦予 使用者存取”何者最新”之網頁,則使用者可能將一項 新資源之URL(共通資源指標)公告在那裏。 -60 * 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公发^ ---Λ衣·-------訂·--------'線 * t (請先閱is背面之注意事項再填寫本頁> 448387 A7 B7 五、發明說明(58 ) •"何者最受歡迎"(What's Hot) 1 808基於資源多久才被 存取’顯示出企業之最受歡迎的資訊資源。 在18 11處的服務類型控制表會讓使用者過濾一些按照提 供'k源的服務類型而打算顯示在資源列表1 g〇3中的資源, 在服務類型控制表1 811中,每種服務類型都有一個圈選 框。若該框被圈選,則包括該服務類型且與此服務有關聯 的資源都會出現在資源列表中。在其它情況,與此服務有 關聯的資源都不會出現在資源列表中。 intraMap界面讓使用者按照:資訊集,位置,或服務來 排序資源列表1803。要執行這件事,使用者會選擇他想要 的方式來排序在排序欄位1 8 〇 9中的資源列表。使用者也可 能會載明資源種類(categories)被使用在排序欄位中的順 序。該界面還具有一種搜尋功能。要執行搜尋功能,使用 者會將一搜尋字串(search string)輸入"尋找"欄位1 807中。 然後依照載明於排序攔位1 8〇9中的順序,加以搜尋針對關 於字串之諸資源的資源列表和資源描述。搜尋功能只是找 尋全邵或邵份的字组匹配(worci matches)而已。情形不是 挺靈敏的’顯示出第一次匹,就可能使用一些功能鍵,以 便指引(navigate)到其它的匹配。當然,若使用者尚未核對 在服務類型欄位1811中之一服務類型,則該服務類型的諸 多資源在排序或搜尋操作中都未涉及。 圖2 4顯示:IntraMap界面之一建構例2401。對於VPN 201 的使用者,IntraMap界面以網頁出現,該網頁是由正在圖 2之存取過濾器203 (c)上執行的報表管理程式209所提供的 -61 - 本纸張尺度適用中固@家標準(CNS)A4規格(210 * 297公发) (請先閱讀背面之注意事項再填寫本頁)
I i 1 * n I— ! - I I 經濟部智慧財產局員工消費合作社印製 4483 8 7 A7 ---- B7 一· 一 五、發明說明(59 ) (請先sals背面之注意事項再填寫本頁) 諸多資源中的一種資源。在VPN 20{中之—使用者;或 者’甚至於一般大眾(那就是:成爲網際網路使用者群組 足一成員的某人)都可能用與他可能被賦予存取任何其它 資源相同的方式,被賦予存取IntraMap界面。就像從下列 描述中將會顯而易見的那樣,針對IntraMap的網頁可能是 在VPN 201中的任何伺服器上。建構例24〇丨具有:在工作 站(workstation)2403中’由使用者所使用以便審視(look at)
IntraMap的組件;在對工作站24〇3而言是局部的存取過濾 器203(1 )中的组件;以及在存取過濾器2〇3 (c)中的组件, 該存取過濾器是報表管理程式2〇9會在其上執行的存取過 濾器。當然’存取過濾器203(c)也可能執行一種局部存取 過濾器那樣的功能《局部存取過濾器203 (I)是藉由VPN 201而連接到報表存取過濾器203 (c),而工作站2403則是藉 由區域網路(LAN)2 13而連接到局部存取過濾器203 (I)。 線· 經濟部智慧財產局員^-消費合作社印製 就像稍後將要更加詳細説明的那樣,所有的存取過濾器 203都具有一種分層架構(layered architecture)。最底層級 是一種網際網路分包資訊(IP)過濾器24 1 9,它只是處理網 際網路分包資訊標題而已。分包資訊過濾器24 19讀取在網 際網路分包資訊標題中的來源和目標位址,並將一套規則 應用到分包資訊。就像由規則所決定的那樣,I P過濾器不 是接受它們,捨棄它們;就是進一步在VPN 20 1中路由指 引著它們。該規則也會決定:在存取過瀘器203内,打算 怎樣路由指引諸多被接受分包資訊。架構中的下一層級是 _ 服務代理伺服器(service proxies)2427。服務代表伺服器會 -62- 本紙張尺度適用中囷國家標準(CNS)A4規格(210 X 297公釐) 448387 A7 B7 經濟部智Μ財產局員工消費合作社印製 五、發明說明(6〇 取針對諸如全球資訊網(WWW)之服務的通信量,並執行 關於通彳&量的存取核對。若存取過濾器203提供服務本身 或執行針對提供服務之一伺服器的存取核對,則IP過濾器 2 419會將針對服務的分包資訊發送到針對服務之一服務代 理伺服器2427。服務代理伺服器使用存取控制資料庫301 來執行針對服務的通信協定層級之存取核對。譬如説,針 對網路(Web)服務的服務代理伺服器可能檢查:正在提出 一項針對既定網頁的請求之使用者是否有權存取該網頁。 下一個更南層級是服務層級2425 ;若有關的服務代理伺服 器允許一项請求且存取過濾器也是針對該服務的伺服器, 則打算處ί里前往在服務層級2425處之服務的請求。在網頁 之情形中,該服務應該指出網頁的位置,並將它轉回給請 求者。在IntraMap中,涉及兩種服務:web(網路)服務和 IntraMap服務。在圖2401中’ Web服務以WebS 2423出現。 針對WebS 2423的代理伺服器是WebP 242 1 ;爲了在下列描 述中將會變得顯而易見的諸多理由,IntraMap服務只有一 個代理伺服器:IntraMap 2417 »此外,存取控制資料庫 301包括IntraMap資訊2422,它是一種在存取控制資料庫 301中之資訊的最佳化版本(optimized version),可作 IntraMap顯示圖的基礎用β 關於在存取過濾器203 (c)與存取過濾器203 (I)之間的 IntraMap建構例的主要差異是:存取過濾器203 (c)包括一 種具有IntraMap小爪哇程式2411之拷貝的全球資訊網網頁 241 0。當從存取過滤器203 (I)下載(downloaded)到工作站 -63- 本紙張尺度適用中國國家標準(CNS)A4規格(210 * 297公爱) --------- f I ! -----------1 訂·--------*線— I {請先閱請背面之江意事項再填寫本頁) 4483 8 7 A7 B7 五、發明說明(61 ) 2403中的網路瀏覽器2429時,小爪哇程式24 11會產生指向 IntraMap词服器2425的請求,進而使用由intraMap伺服器 2425所轉回的結果來產生intraMap顯示圖I 801 〇 操作如下對於工作站2403的使用者,IntraMap可能以 針對網頁之一通信鏈路出現。於是,要使用IntraMap,使 用都會啓動針對1:1的以30網頁241〇之一通信鍵路。在工作 站2403中的網路/劉覽器2429會對啓動通信鏈路作回應,就 像它應該對啓動針對網頁之任何其它通信鏈路作回應那 樣:它提出一項針對網頁的請求,並將該請求發送到通信 鍵路中所和示的词服器。在針對IntraMap之通信鏈路的情 形中’因爲通仏鏈路載明在存取過遽器203 (c)中的網路伺 服器2423 ’所以請求會經由局部存取過濾器2〇3⑴和vpN 201而前往存取過濾器2〇3 (c)。就像對於VPN 201中之一資 源的任何其它存取操作那樣,局部存取過濾器2〇3 (1)會執 行針對IntraMap網頁請求的存取核對。由於該請是針對網 頁’故而由網路代理伺服器242 1來完全存取核對。在大多 數的VPN 201中,對於在VPN 201中的任何使用者而言, IntraMap網頁2410將是可存取的;於是,存取控制資料庫 3 0 1指示:具有一有效I p來源位址的任何使用者都可能存 取 IntraMap網頁 24 10。 當存存取過遽器203 (c)中收到請求時,I p過渡器2419就 會將它轉遞到網路代表伺服器2421,它依序地將請求轉遞 到網路词服器2423 ’它藉著將IntraMap小爪唾程式2411下 載到工作站2403中的網路瀏覽器2429而對該請求作回應, -64- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公g ) (請先閱is背面之泫意事項再填寫本頁) 1 n I—r n 一°JI (^1 I I I I '^'^rKr . 烴濟部智慧財產局員工消費合作社印製 4483 8 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(62 ) 其中:IntraMap小爪哇程式24丨1開始在網路潮皆 φ 執行。在執行期間,它會將一項請求發送到針對論⑽叩 資訊2422的IntraMap代理伺服器2427。像所有的小爪哇程 式一樣,IrmaMap小爪哇程式2411會將請求發送到它所處 的伺服器’在這種情形下,就是存取過濾器⑽⑷。然 而,就像對於來自工作站2403的任何其它存取操作那樣’ 請求會藉由局部存取過濾器203⑴而前進。瞧,intraMap 代理词服器2427會檢測出請求被定址料取過遽器2〇3⑷ 中的IrmaMap代理伺服器2427 ’而不是將請求發送到存取 過遽器203 (c);從局部存取過遽器2〇3⑴中的存取控制資 料庫301之局部拷貝中獲得IntraMap資訊2422 ;過濾該資 訊,使得它載明:只會存取那些屬於使用者所屬的諸多使 用者群組所針對的資訊集之資源來產生列表243 1 ;進而經 由LAN 213,將它轉回給IntraMap小爪哇程式2411,該程 式隨後使用列表2431來產生IntraMap顯示圖18〇1。在產生 顯示圖方面,小爪哇程式2411會應用載明於請求中的任何 存取過濾器,也會排序如請求中所載明的列表。列表243 i 不但指π可供利用的資源,而且包含需要用來提取诉沈⑴ :貝源的訊。於疋,若資源具有—種超通信鏈路’則將超 通信链路包括在列表中;若它是一種雖然使用者目前不會 存取,但是使用者卻可能請求存取所針對的資源,則列表 包括:針對資源之管理員的名字和電子郵件地址。 存取控制資料庫3 〇 1之細節:圖1 3到1 7 3存取控制資料庫3〇1之細節:圖I 3到i 7 -65- 本紙張尺度適用中國國家標準(CNS)A4規格(210 x 297公釐) I I I I ^^1 __ _ 1— τ^ρ -Γ I * f— HI I I ^^1 ^~· II 11 ^^1 ^^1 --- I_I - . I I. (請先閱讀背面之注意事項再填寫本頁) 448387 A7 B7 五、發明說明(63 ) 在存取過漉器203之一較佳實施例中,在兩個層級處加 以建構存取控制資料庫30 1 : —個層級是由圖形使用者界 面所使用,以便操縱存取控制資料庫30i ;而另一個層級 則是使用在實際存取核對中。使用由微軟公司所發展出的 Microsoft Jet商標之資料庫系統來建構第一層級。第二層 級則是使用一些根據第一層級資料庫所編譯的記憶體映射 檔案(memory mapped files,簡稱MMF)加以建構的。下列 討論將會描述第一層級建構例’並且說明包含在其中的資 訊怎樣被使用在存取核對中。在研讀這項討論中,應該記 得:實際存取核對是使用MMF加以完成的,就像稍後將要 詳細描述的那樣。 經 濟 部 智 慧 財 產 局 員 工 消 費 合 作 社 印 製 就像對於大多數資料庫系統的情形那樣,Microsoft jet 商標之資料庫系統具有一種圖表,那就是:資料庫之遝輯 結構的一種描述。圖1 3到1 7都是:由針對存取控制資料 庫301之圖表的Microsoft Jet商標之資料庫系統所產生的顯 示圖。圖1 3顯示:針對定義諸多使用者群组之資料庫的 一部份的圖表1301。顯示圖由兩種要素组成:在資料庫中 的表之類別"(classes of tables) 1303的表示法,以及顯示 屬於表之某些類別的兩種表之間關係的"通信鏈路"丨3〇5的 表π法。表之類別的表示法顯示:在13 1〇處的類別名稱; 以及在1308處,將被包含在屬於該類別的每一種表中的,資 料欄位。每一種表的實例都有一種由資料庫系統所指定的 識別符(ID)。在表中的其它資料會隨著表之類別而變化。 藉著使用在第一表中之第二表的ID來建立一種在屬於表 -66 -
44838 7 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(64 ) 之第一類別的第一表與屬於表之第二類別的第二表之間的 通信鏈路,反之亦然。於是,通信鏈路1 305顯示:能夠將,' 使用者群组樹"類別表1307中的一些表和"使用者群組,,類 別表1 309中的一些表加以鏈接。某些通信鏈路在它們的兩 個未端處都有數字。該數字指示:在數字所在之末端處, ;亥表可能具有的通信鍵路數目°於是,連接著類別表13 〇 9 和類別表13 0 7的通信鏈路具有:在針對類別表13 〇 9之末端 處的數字1,以及在針對類別表1 307之末端處的數字①; 因而指示:類別表1309之諸實例中的任何數目的id都可 能出現在類別表1 307之一實例中:但是,類別表13〇7之一 實例中的只有一個I D才可能出現在類別表1309之一實例 中。 使用者群组表:圖1 3 3使用者群组表:圖1 3 使用者群組表1301包含針對資料庫301中的每個使用者 群組之使用者群組類別表1309。在、使用者群組"類別表 1 3 09中’特別有興趣的資料包括:群組名稱,它是群組之 字元串(character-string)名稱;群组描述,它是群组之字元 串描述;以及預先定義的資訊,它指示其中成爲群组之一 成員的使用者是否爲:一位管理員,即,能夠制定管理決 策;一位安全官員,即’能夠制定決策制定者決策;或者 一位單純的資訊使用者。使用者群組表13〇 1會進—步將諸 多使用者群组组織成一種層次列表--不但爲了繼承權,而 且爲了顯示於圖9之視窗903中的使用者群組之分層顯示 -67- 本紙張尺度適用中i國家標準(CNS〉A4規格(210 X 297公t ) ------------— * x^·-------^ I--------,線 r、 (請先閱讀背面之注意事項再填寫本頁) 44838 7 經濟部智慧財產局員工消費合作社印製 A7 ------B7____ 五、發明說明(65 ) 圖’因而使使用者之識別方法與使用者群組有關聯,以及 使警戒貧訊與使用者群組有關聯,組織成層次列表是藉由 使用者群組樹"類別表1 3〇7中的一些表來完成的。”使用 者群組樹"類別表中的每一種表都會將"使用者群组"類別 表中之一表鏈接到一種母(parent)使用者群組(也是u使用 者群組"之類型)。對於一種特定"使用者群組"表而言,多 重"使用者群组樹,,表可能存在,端視一特定使用者群组出 現在其中之位置的數目而定。 就像已經提及的那樣,有五種不同的方式用來識別至一 存取過濾器203之使用者:藉由丨口位址範圍,藉由一種全 限疋網際網路網域名稱’藉由在Microsoft Wind〇ws商標之 作業系統中的使用者身份,藉由一種鑑定令牌,以及藉由 證書。針對藉由證書來識別使用者之表的類別表(table classes)被顯示在1321處。針對藉由I P位址範圍來識別使 用者之表的類別表被顯示在13 17處;針對藉由I p網域來識 別使用者之表的那些類別表被顯示在13 19處;針對藉由 Microsoft Windows商標之作業系統I D (識別符)來識別使用 者之表的那些類別表被顯示在13 15處;以及針對藉由鐘定 令牌(在圖中’標示為智慧卡)來識別使用者之表的那地ι類 別表被顯示在1323處。最後,類別表Π25會定義:針對與 使用者群組有關而用於警戒之資訊的一些表。"使用者群 组••類別表1309中之一表,可能使它與針對用來識別使用 者之任何方式的任何數目的表有關聯。就像此事音謂著那 樣*可能同時用很多不同的方式來識別—既定使用者。 -68 - 本紙張尺度適用中國國家標準(CNS)A4規格(210 x 297公复) (請先Μ讀背面之注意事項再填寫本頁) ^·-------^----------疲' 4483 8 7 Α7 -—-__ Β7 五、發明說明(66 ) 經濟部智慧对產局員工消贄合作社印製 爲了執行存取核對,存取過濾器203必須決定:正在提 出请求之使用者屬於哪些使用者群组。該請求包括使用者 識別方法’因而識別方法是決定之起點。在使用者群組表 1301中的一些表都會允許存取過濾器203 :根據識別方法 來決定使用者屬於哪些使用者群组,並且根據那些使用者 群组來決定一些決定使用者所屬之其它使用者群組的分層 關係。假定使用者是藉由IP位址加以識別,存取過濾器 203藉由尋找"Ip位址範圍定義,,類別表(在13 17中)中的— 個或更多的表而開始運作’該類別表定義:包括使用者之 I P位址在内的I P位址之範圍。這些表中的每一種表都有 一條指向"I P位址範圍”類別表(在13丨7中)的通信鏈路,該 類別表使” I P位址範圍定義"類別表中所定義的範圍與— 使用者群組I D有關係,就對應於I p位址範圍的使用者群 組而T,它依序地可作爲一條指向"使用者群組類別表 1 309的通信鏈路之用。"使用者群組"類別表13〇9中的每_ 種表都有一條指向”使用者群組樹_,類別表! 3〇7的通信缝 路’因此能夠順著一些通信鏈路而指向針對—些使用者鮮 组的"使用者群組,,類別表,因而由j p位址所載明的—些 使用者群組都會繼承存取權利。於是,在處理過程結東 時’ I P過濾器203已經指出所有使用者群組的位置,它們 都與決定使用者是否可能存取資源有關。而且,I p過渡器 203根據請求而瞭解:怎樣識別使用者;並根據請求而能 夠決定:應該指定何種等級給用於請求中的使用者識別方 法β將使用者群組表1301中的資訊加以編譯進入mmf(記 -69- 本紙張尺度適用中國國家標準(CNS)A4規格(210 * 297公发) 483 8 7 A7 B7 經 濟 部 智 慧 貝才 產 局 員 工 消 費 合 社 印 η 五、發明說明(67 憶體映射檔案)中。當使用者初啓對話時,使用者會 提供-種使用者識別方法给在對話路徑上的第一存取過淚 器2〇3 ;存取過遽器203使用具有_F的使用者識別方 法,以便作出-項等效於以上所説明之—決定的決定。於 是,存取過遽器2〇3能夠決定:對於-既定使用者識別方 法而言,它是否識別有權存取資訊之一使用者;它是何種 使用者識別方法;因此它具有何種信賴等級;以及使用者 屬於哪些使用者群,组。於是,使用者群组表咖包含了·· 針對-項存取決策1108之使用者部份所需的所有資訊。 資訊集表:圖1 4 3資訊集表:圖1 4 圖14顯示:針對定義資訊集的_些表之圖表剛。這些 :會使諸多資訊集(在圖14中的資源群組)與组成它們的 s源有關係’並與資源之網路位置有關係;並且也會將諸 多資訊集组織成:在圖丨〇中之1〇〇3處所顯示之資訊集的 分層列表。在存取控制資料庫3〇i中的每個資訊集都是由” 資源群組”類別表丨4G3所表示。藉由表M19而將資源群组 滷別表中的些表加以組織成一種針對繼承權和顯示目的 勺層w >訊集與掌握中組成它的—些資源之間,以及虚 ,儲存它們在其中而在v p N中的—些位置之間的關係都是: 資匕源群组單元(resource group elements)類別表14〇7中的 _ ’斤建立的。可此將"資源群組"類別表鏈接到It資源 ^組早’’類別表中的任何數目的表。將資源群组單元” 颂引表中之—表鏈接到諸多類別表:’,網站單元”(Site (請先閱璜背面之iiti項再填寫本頁) -~k--------訂---------線.
297公釐) 4 483 8 7 A? B7 經濟部智慧財產局員工消費合作社印*'农 五、發明說明(68 ^鳴)⑷1,,!服務"1413,以及”資源” 1409"中的任何 =表。針對資料庫30丨中所表示的每一項資源都會有” 源通別表。包括在該表中的有:資源之i D :其名稱; 針對提供資源的服務之ID ;針對定義資源的靈敏度等級 心:冑源描述;資源管理員的電子郵件地址;以及一 種隐藏旗標(hidden flag),它指示著IntraMap是否應該將資 源顯不給不屬於一些有權存取資源之使用者群组的使用 者IntraMap界面會獲得它需要的資訊,該資訊關於來自 針對資源之"資源"表的—項資源。 兩種類別表:"網站單元"和"服務"中的一些表,以及兩 種類別表:網站”415和,,词服器"丨417中的一些表都是屬 於描述著在VPN中之資訊位置的類別表1421。針對在 中的每一個實體位置都會有"網站"類別表:針對在vpN中 的每一個词服器都會有”飼服器"類別表:以及針對在vpN 中的每一項服務都會有"服務”類別表。在,,網站單元,,類別 表中的些表中的通仏鏈路都會使諸多網站與諸多伺服器 有關係:在"伺服器”類別表中的—些表中的通信鏈路都會 使諸多伺服器與它們提供的諸多服務有關係:以及在”服 務"類別表中的一些表中的通信鏈路都會使諸多服務與它 們寄宿(host)的諸多資源有關係。 在決定被請求資源屬於何種資訊集方面,存取過濾器 203就從請求中的資訊開始。該請求被包含在一種1?分包 資訊中,因此具有:一標題和一主體(b〇dy)。在標題中, 有:一IP位址,它載明在虚擬專用網路2〇1中之一位置, -71 - 本纸張尺度適用中國國家標準(CNS)A4規格(210x297公发) -------------^·-------^ ---------•線· I (請先閱讀背面之注意事項再填寫本頁) 44838 7 A7 經 濟 郤 智 慧 財 產 局 消 費 合 作 社 印 製 五、發明說明(的) 以及在該位置處之一词服器;一埠號,它載明關於伺服器 之-項服務。而在本體中,财:以通信協定所規定的形 式呈現之資源描述。譬如説,若請求是針對一網頁,則資 源描述將是資源之URL。存取過濾器2〇3使用丨p位址來指 出"網站"類別表的位置,使用在該表中的通信鍵路來指出 "網站單元"類別表I4U的位I。該表使網站與針對網站處 之諸伺服器的何服器ID(識別符)有關係;並且,存取過 遽器203會使用飼服器ID來指出針對網站之諸词服器…词 服器”類別表1417中的一些表的位t。然後,它能夠再使 用IP位址來指出對應於載明在請求中之词服器的,,飼服器" 類別表的位置;並且能夠順著從,,词服器,,表到釺對服務之 =務]別表中的一些表的諸多通信鏈路:進而能夠使用 來自π求的埠號來尋找適當的”服務"表。—旦它已經發與 適當的,,服務,,表,它就能夠順著指向"資源"類別表^9 = 的-些表的諸多通信鏈路’並指出對應於請求中之 ”資源,’表的位置。從那裏,會有—條指向"資源群组單元" 類別表Η07的通信鍵路,該表使諸多資源與針對它 之資訊集的-些資源群组織別符有關係。諸多資 ^ 別符依序地載明”資源群組"類別表U03中的—此表,而ί =表都有指向"資源群組樹”類別表中的一些表的諸多通= 鏈路,因而能夠決定:載明力枝+· ; ^ 取Λ在印求中之資源所屬的諸多 源群組的層次。已經完成那些事,存取過遽器如 發覺:與決定該請求是否應該被准許有關的―: 組。針對資源的”資源"表還包含針對資源之靈敏i等級 請先Μΐί背面之注S事項再填寫本頁) --------訂----- 線 本纸張尺度適用中國國家標準(CNS)A4規輅 -72- 4 4 8 3 8 7 _____B7_____ 五、發明說明(70 ) 再者,將資訊集表1401中的資訊加以編輯進入MMF中。當 請求來到在使用者與提供資源的伺服器之間路徑中的第一 存取過濾器203時,第一存取過濾器203就會使用MMF樓 案’以便作出一項邏輯上等效於剛才所描述之一決定的決 定。於是’在檢視包含來自使用者群組表丨3〇1和資訊集表 1401之資訊的MMF檔案之後,代理伺服器就已經決定:使用 者識別方法的信賴等級,資訊資源的靈敏度等級,使用者所 屬的一些使用者群組,以及資訊資源所屬的一些資訊集。 決策表:圖1 6 3決策表:圖1 6 圖1 6顯示:使用於存取控制資料庫30丨中,用來定義存 取決策的一些表;包括在這些決策中的有:存取決策,管 理決策,以及決策制定者決策: •存取決策使使用者群组與資源群组有關係; •管理決策使其成員都是管理員之一使用者群組與下列 其中之一有關係: 1.另一使用者群组 2 . —資訊集 3 . —資源 · 經濟部智慧財產局員工消費合作社印製 -« --------訂---------線' r . 4 在VPN中之一位置(網站) 5 . —存取過濾器203或其它伺服器 6 . —項服務 •決策制定者決策使管理員之使用者群組與資訊集有關 係。 * 73 - 本纸張尺度適用中國國家標準(CNS)A4規格(2〗0 x 297公发) ί 483 8 7 五、發明說明(71 ) 每項決策都會使"左侧,’與”右側"有關係,左側總是”使 用者群組,,類別表1309,而右側則端視決策種類而定,可 能是•”資源”類別表1409, ”資源群組”類別表14〇3(表示 ,訊集)’"網站"類別表1415,"服務"類別表1413,u词服 器’,類別表14Π,或者·,使用者群組,,類別表13〇9。於是, 決策諸表1601分成三太群組:左側諸表16〇3,決策諸表 1605,以及右側諸表16〇9,改變決策的權利是分層性的: 一使用者群組之成員能夠改變存取決策,就像由針對該群 组之官理決策所決定的那樣,該群纽之”使用者群组”表指 示著^它是諸多管理員中之一類型的—種群組。依序地, 那些#理員可能載明與他們的子網域(sub d〇main)有關的 其他管理決策。 對應於二種決策,在決策諸表丨6〇5中有三個類別表:屬 存取決策_’(P0丨丨cies Access)類別表161 1,"管理員決策” (Policies AdmimSter)類別表]613 ,以及,’決策制定者決策" (Policies P〇ncy Maker)類別表1691的一些表。所有的這些 類別表共享很多特點;它們都包含:針對決策之左側的使 用者群组表之ID,針對表示載明在決策之右側中項目的 表(Ϊ 〇 ’決策(存取操作被容許或被拒絕)的一種指示, 決策是否預先定義的且無法被删除的一種指示,以及決策 疋σ'爲目如現用的一種指示。類別表之間的差異是:何者 可能在決策之右側上,因而就是指向在右側上諸多實體的 通L鍵路’在存取決策和決策制定者決策的情形下,右側 實體都只是資訊集而已,因此,,,存取決策Μ和”決策制定 _____ -74- 本纸張尺度賴中_家標準(CNS)A4規 χ 297公爱) (請先閱讀背面之注意事項再填寫本頁) -版--------訂·--------線, 經濟部智慧財產局員工消費合作社印製 4 483 8 7 Α7 Β7 五、發明說明(72 ’夬爪兩種類別表中的一些表都只包含指向資源群組》 類別表中的一些表的諸多右側通信鏈路而已;而,,管理員 決策_類別表中的一些表則可能包含指向下列替換性的:|· 使用者群組"類別表,”資源群组,,類別表,,,網站"類別 表’ ”词服器"類別表,,,服務”類別表,以及Κ資源"類別 表中的一些表的諸多右側通信鏈路。 賦予由管理決策右側上的使用者群组所載明的使用者群 組管轄由右側所載明的諸多實體之集合的權利會有所變 化,體種類而定,如下表中所顯示的: 左側 右側 使用者 群組 任何一個 1被容許"存取操作的意義 使用者群组的成貝都能夠建立針對目標或已包 括項目的管理決策。這樣會容許責任之委託權 (請先閱讀背面之注意事項再填寫本頁) 使用者 群組 使用者群 组 經 濟 部 智 慧 財 產 局 貝 工 消 費 合 作 社 印 η 使用者 群組 資訊集 使用者群組的成員都能夠管理目標使用者群 组,包括一些套疊式(nested)使用者群組。被 容許的管理,包括:將目標使用者群組加以删 除,移動,及拷貝;將它套疊在另一使用者群 组中;增加成員給它:以及將其它—些使用者 群組套疊在其中 使用者群组的成員都能夠管理資訊集,包括 些套疊式資訊集。被容許的管理,包括:將 目標資訊集加以刪除,移動,及拷貝;將它套 叠在另-資訊集中;增加㈣给它; 它一些資訊集套疊在其中。 ’、 本紙張尺度剌 (CNS)A4 (2J0 X 297^7 k--------訂---------線 448387 A7 B7 五、發明說明(73) 經濟部智慧財產局員工消費合作社印製 使用者 群组 網站 使用者群組成員都能夠管理網站,包括:來 f可用資源”列表(所有的存取過遽器,侦服 器,服務,以及資源)’在網站之下的一些單 元。被谷沣的官理,包括:將網站加以刪除和 移動;將它增加到資訊集;以及增加一些位置 和存取過濾器给它β爲了定義一些新的存取過 濾器’管轄企業内部網路位置的管轄權是必需 的。 使用者 群组 存取過滤 器 使用者群組的成員都能管理存取過濾器,包 括:來自"可用資源,,列表(所有的伺服器,服 務,以及資源),在存取過濾器之下的一些單 元。被容許的管理,包括:將存取過濾器加以 刪除和移動;將它増加到資訊集;以及增加一 些伺服器或服務給它。 使用者 群組 伺服器 使用者群組的成員都能夠管理伺服器,包括: 來自可用資源”列表(所有的服務和資源在伺 服器之下的一些單元。被容許的管理,包括: 將伺服器加以刪除和移動;將它增加到資訊 集;以及增加一些伺服器或服務給它。 使用者 群组 服務 使用者群組的成員都能夠管理服務,包括:來 自'•可用資源"列表(所有的資源),在服務之下 的一些資源。被容許的管理,包括:將服務加 以删除,移動,及拷貝;將它增加到資訊集; 以及增加一些資源给它。 使用者 群组 資源 使用者群組的成員都能夠管理資源。被容許的 管理,包括:將資源加以刪除,移動,及拷 貝;以及將它增加到資訊集。 I I I·-------------- (靖先閱讀背面之注意事項再填寫本頁) · ,線 76- 本紙張尺度適用中固固家標準(CNS>A4規格(210 X 297公釐) 448387 A7 B7 五、發明說明(74 ) 下表描述:各0 05 &理使用者群组出現在決策制定者決策左 側上時,賦子& —-----理使用者群组的權利。 左側 右側 使用者 群组 資訊集 ”被容許"存取操作的意義 使用者群Μ的成員都能夠管理•用來控制由任 何使用者群組包括一些套疊式資訊集在内的資 訊集的諸多存取決策。他們也可能將資訊集和 其後裔(descendants)中的任何資訊集包括在 決策制定者決策中。 經濟部智慧財產局具工消費合作社印製 如上述資訊集表之討論中所指出的,正在執行存取枝對 的代理伺服器能夠使用,,使用者群组”表和”資訊集”表來尋 找:在正在提出存取請求之使用者所屬的使用者群组,以 =在被存取之資訊資源所屬的資訊集:並且也能夠使用 ^ 來夫疋·使用者識別方法的信賴等級,以及資訊資 源靈敏度等級。代理伺服器隨即能夠使用"存取決策”表來 尋我使用者所屬的任何一個使用者群組是否可能存取資 訊資源所屬的任何一個資訊集。若發覺任何—個這樣的使 用者群组;則使用者可能存取資訊集,如果請求之信賴等 級與資訊資源之t敏度等級-樣高的話。要決定請求之信 賴等級’代理词服器就必須決定:正在被使用之任何加密 技術的信賴等級,及/或正在被用於存取操作而在VPN201 中之路徑的信賴等級。這項資訊可在顯示於圖! 7中的存 取過濾器諸表1 701中加以獲得,並描述於下。若存取決策 或存取請求之靈敏度等級不允許存取操作:則該訊息不予 理會,因而將它所屬的任何對話加以棄置^當請求是由成 -77- 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) ---:---------r --------1r*---------,線 (請先Mla背面之注意事項再填S本頁) ^48387 A7 B7 五、發明說明(75) 爲存取資料庫30 1之一管理使用者群组之一成員的使用者 所提出的一項請求時,存取核對處理過程實質上是相同 的:只可惜:當存取操作被允許時,根據以上所宣示的規 則,它可能會導致修改資料庫。該項修改隨後將被傳播到 VPN 201中之所有其它的存取過濾器203。 伺服器表:圖1 7 3伺服器表:圖1 7 圖1 7顯示:針對對在VPN中的諸多伺服器之操作而言都 是特別重要的一些表之圖表。在VPN中,有三種伺服器: • 陽春伺服器(plain servers) 這些是:有資源儲存在其 上並藉由執行服務來存取資源的伺服器。 • 存取過濾器203。 • 決策管理程式飼服器。這些是··會附帶地統合 (coordinate)和分配資料庫301,及/或產生關於VPN的 操作和狀態的一些報表的存取過濾器2〇3。 存取過濾器203可能附帶地執行像一種陽春伺服器那樣 的功能。 針對在VPN中的每一個伺服器都會有”伺服器"類別表 141 7。在針對每個飼服器之表中的資訊,包括:词服器之 I D,名稱,在Windows NT商標之作業系統中的網域,其 網際網路名稱,它是否爲—存取過濾器2〇3且附帶地爲一 決策伺服器’存取資訊是否只有經由存取過濾器2〇3才可 以獲得,以及它是否在VPN之内。若伺服器爲一存取過遽 器203,它會附帶地具有一種存取過濾器203提供給在vpn -78- 本纸張尺度適用中舀國家標準(CNS)A4規格(210 X 297公芨) (請先ΜΪ5背面之注意事項再填寫本頁) _k--------訂---------線. 經濟部智慧財產局員工消費合作社印製 經濟部智慧財產局員工消費合作社印制尽 父概8 7 A7 _ B7 五、發明說明(76 ) 201中之其它實體的身份識別(identity),以供鑑定和加密 之用。在一較佳實施例中,該身份識別是:由SKIP所使 用之針對存取過濾器的X.509號證書。X.509號證書也包 括:針對存取過濾器203的公用密鑰。公用密鑰可能屬於 很多個名稱空問(name space)中的一個;名稱空間識別符 (name space ID,簡稱NSID)是一種針對公用密錄·之名稱空 間的識別符:而主密输識別符(mester key ID,簡稱MKID) 則是識別在名稱空間内的公用密鑰。也包括在表中的是: 一條指向”證書當局”類別表1 711的通信鏈路,該義別表會 指示發行針對存取過濾器之X.509號證書的證書當局。當 然’與存取過遽器不同的一些词服器也都有X,5〇9號證 書·’並且,在那種情形下’它們的”伺服器’’表將會具有词 月良器之NSID和MKID。 在VPN中的每一個陽春伺服器都會有一項或更多服務在 其上執行。譬如説’一項FTP(檔案傳送協定)服務會根據 TCP/IP成套協定(protocol suite)中的檔案傳送協定來存取 在伺服器上的檔案(資源)。針對陽春词服器的"伺服器"類 別表14 17中的每一種表都有:指向定義在伺服器上可供利 用的服務和資源之一群表的諸多通信鏈路。如在1719處所 顯示的,這些表包括:"服務”類別表1413,它表示服務; "資源11類別表1409 ’它表示經由服務而供利用的資源:以及 _·服務定義π類別表1715,它會定義服務。 +針對圖1 7諸表中的其餘部份則顯示:包含存取過遽器 203所用之資訊的一些圖表。其類別表均顯示在17〇5處的 -79- 本纸張尺度適用中因國家標準(CNS)A4規格(210 X 297公爱) ^i— b^i— Λ in A·^— t I k (靖先wtf背Sr之注音?事項再填寫本頁) 448387 經濟部智慧財產局員工消費合作社印製 A: B7 五、發明說明(77 ) 一些表都會包含:都是一些用來分配資料庫3〇ι及/或用來 產生報表的決策管理程式而由存取過濾器2〇3所使用的資 訊:其類別表均顯示在17 17處的一些表都會包含:關於針 對正在被一既定存取過濾器203執行之軟體的諸多可選擇 參數的資訊:其類別表均顯示在丨709處的那些表都會包 含:關於代理伺服器及其它軟體模組的資訊,諸多存取過 德器203都會使用該模組來執行在存取過濾器2〇3中的通 信協定層級之存取核對:而在Π〇7處的—些表則都會包 含:關於針對使用者識別方法和加密種類的信賴和靈敏度 定義的資訊。 由參考數字1 7〇8所指示的一些表都會包含:關於存取過 撼器203所屬之vpn的資訊。存取過濾器2〇3使用此資訊來 路由指引對話:並且也會用來決定:針對—既定對話,正 在被使用之路徑的信賴等級。”路由選擇表"(R0uting table) 類別表1 72 1會定義:列示指向可從存取過濾器2〇3存取資 訊之所有網路的諸多目前路由的一些表。當那些路由改變 時’ Θ表就會被自動地更新。11附屬網路"(Attached Network) 類別表Π23會定義一些表,該表指示··對每個存取過濾器 203而言’存取過濾器2〇3目前所附屬的一些網路;該類 別表中的一些表都會包含指向”網路定義”類別表丨723中的 一些表的諸多通信鏈路,該類別表依序地包含指向"信賴 等級定義(trust definitions)類別表1707中之一定義之一通 信鏈路’而該類別表則會指示網路的信賴等級=在此群組 中的最後類別表是"點對點連接”(p〇int t0 Point Connection) -80- 本纸張尺度適用中0舀家標準(CNS)A^^j1〇x 297公发^ ~ I-' (I I I t— - - I—. 1 . - ί > ) I n - ] \^t __________ _ __ J f {碕先Mis背面之沍意事項再填寫本頁) 448387 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(78 ) 類別表1713,它會定義:描述可經由VpN存取資訊的兩個 存取過;慮器2 〇 3之間連接的一些表。有針對來源和目標存 取過濾器203的每種組合的一種表,以及指向一種載明在 來源和目標兩個存取過濾器2〇3之間路徑之信賴等級的信 賴等級定義之一通信鏈路。在此表中的信賴等級是基於針 對橫過路徑之訊息所使用的加密技術。 如前面所説明的’"使用者群組"表1301和,,資訊集,,表 1401會提供存取過濾器203所需的資訊,以便決定:決策 諸表1 60 1中的存取決策是否允許存取操作;並且,也會提 供:關於正在被存取之資源的靈敏度等級的資訊。存取過 濾器諸表170 1會附帶地提供存取過濾器203所需的資訊, 以便決定:正在由對話所採取而在VPN中之路徑的最小信 賴等級’以及一些可用加密演算法的信賴等級。於是,若 存取過濾器203決定:正想要存取一既定資源之一既定使 用者屬於有權存取該既定資源所屬的資訊集之一使用者群 組,並且決定:用於使用者之識別方法的鑑定等級並不低 於針對資源之靈敏度等級所需的鑑定等級•則存取過濾器 203能夠進一步決定:路徑之信賴等級是否夠高;且若信 賴等級不夠高,則存取過濾器203藉由選擇一種具有所需 信賴等級的加密演算法並對該對話加以加密,就能夠將信 賴辛級彳疋升舄需要量。 可用資訊表:圖15 3可用資訊表:圖15 圖1 5顯示針對可用資訊諸表1501的圖表。該表皆由存取 -81 - 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公茇 (請先閱ti背面之注音?事項再填寫.各頁) -1— ] d n Γ * _ SI m I- - -- u I - -V6兔 448387 A7 ______B7 五、發明說明(79 ) ίίτ先閱讀背面之注意事項再填寫本頁) 過濾器203所使用,以便產生可用資源顯示圖丨〇〇5,如圖 1 0中所示。在1502處所顯示的一些類別表都會使每個词 服器與Έ的服務有關係,並與由服務所提供的資源有關 係。在1504處所顯示的—些類別表會將諸多可用資源加以 组織成一種針對繼承權目的的層次:並且也會被使用來產 生在1005處所顯示的分層列表;進而藉由順著從,,網站單 元"表到伺服器"表的諸多通信鏈路,存取過濾器2〇3就 能夠決定:網站,伺服器,服務,以及資源的層次。在 1 503處的一些類別表,最後會建立—種存取過濾器2〇3的 分配樹(distribution tree)。就像稍後將要更加詳細說明的 那樣,當存取控制資料庫30 I被修改時,由那些表所定義 的樹就會決定:修改被分配到一些存取過滹器所依照的順 序β 修改存取控制資料庫30 1 :圖1 9' 3修改存取控制資料庫301 :圖1 9 經濟部智慧財產局員工消費合作社印 如前面所提及的’每個存取過濾器203都會有一種屬於 在圖2之存取過濾器203 (a)中之主決策管理程式2〇5的存取 控Μ資料庫301之拷貝的精確gi丨本(exact duplicate)。圖1 9 顯示:怎樣修改存取控制資料庫3 0 1的那份拷貝,以及,乍、 樣將修改資訊從存取過濾器203 (a)分配到其它存取過減器 203。圖19顯示:具有主決策管理程式205的存取過淚器 203 (a);以及另一個存取過濾器2〇3⑴,在該處,使用工 作站之一管理員正在修改存取控制資料庫3 〇 1。需要用來 分配和同步修改資訊的訊息1909都是使用SKIP加以加密 -82- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公t ) 4483 8 7 經濟部智慧財產局員工消货合作社印製 A7 B7 五、發明說明(8〇 ) 的,並且經由V P N 2 0 1,使用一種稱爲”專用通信服務,, (private communications service,簡稱 PCS)的通信協定加以 發送。每個存取過濾器都會有很多存取控制資料庫〖的 拷貝。任何存取過遽器203最少限度都有兩種拷貝:活資 料庫(live database,簡稱LDB)1907,它是目前正在被用來 執行存取核對的資料庫;以及鏡像資料庫(mirr〇r, 簡稱MDB)1 905 ’它是:能夠被切換入内,打算用來代替 活資料庫1907的資料庫之一拷貝。於是,存取過遽器 203 (a)具有:一 MDB 1905(a)和一LDB 1907(a);而存取過減 器 203 (i)則具有:MDB 1905⑴和LDB 1907⑴。 若一存取過濾器203正在被管理員使用來修改存取控制 資料庫301,則它將會附帶地具有至少一個工作資料庫 (working database,簡稱WDB)1903。工作資料庫是:不是 正在被用來控制存取操作的資料庫之一拷貝,因而能夠由 管理員加以修改。管理員會使用—種經由網路而連接到存 取過遽器之一工作站或p C (個人電腦)而這麼做。工作站 或P C會顯示上述的管理圖形使用者界面,進而管理員使 用GUI(圖形使用者界面)來做出像由一些管理決策所致能 那樣的諸多改變。這些改變可能影響到儲存在存取控制資 料庫3 01中的任何方面的資訊。如以上所指示的,其中货 多改變都是在存取或管理決策方面的改變,因而管理員能 夠使用決策評估特點來察看改變之效應。當管理員對變^ 感到滿意時,他就會點按:”應用"桉鈕:因而將諸多改热 刀配到所有的存取過滤器’並納入每個存取過;慮器的活資 -83- 本紙張尺度適用中國國家標準(CNS)A4規格(210 χ 297公釐) J [ 1 .-’V I . — . . t ίίΓ先閱讀背面之注意事項再填寫本頁) 448387
經濟部智慧財產局員工消f合作社印5 五、發明說明(81 ) 料庫中。 將更新所有活資料庫的處理過程稱爲:資料庫同步和分 配。该處理過程有三個階段: .首先’將修改資訊從產生它們之所在的存取過遽器 2〇3(此處,就是存取過濾器2〇3(i))發送到主資料庫所 屬的存取過濾器203 (此處,就是存取過濾器2〇3(a))。 •在那種情況,將諸多改變納入主資料庫中。完成此事 的方法是:將諸多改變納入鏡像資料庫i 9〇5(a)中,然後 將活資料庫1907(a)和鏡像資料庫丨9〇5〇)交換 (swapping) ’然後再改變新鏡像資料庫1 9〇5(a)。 •然後’將諸多改變從主決策管理程式分配到其它存取 過遽器。 在每個存取過濾器2〇3處,用與利用存取過濾器2〇3 (a) 相同的方式來完成同步。在VPN 201之存取過濾器203中 做出改變所依照的順序是由分配樹丨5丨丨所決定,使用存取 過濾器顯示圖120 1依序地將它建立起來。具有主決策管理 程式205的存取過濾器203總是樹的根部。依照預設方式 (default) ’安裝在VPN 201中的第一存取過濾器203具有主 決策管理程式205。當安装了其它存取過濾器203時,就會 將它們増加到樹中,作爲主決策管理程式的孩子們 (children)。 主決策管理程式會將諸多改變循序地分配給它的孩子 們β當每個子(child)存取過濾器203都收到它的分配資訊 時,它隨後就再分配給它的孩子們》這意謂著:一種自頂 -84- 本纸張尺度適用中國國家標準(CNS)A4規格(210 * 297公发) 先閱讀背面之注音?事項再填寫本頁) T___ ^6 線 經濟部智竑財產局員工消費合作社印製 448387 A7 ---------B7 五、發明說明(¾ ) 層分又出很多分支(branches)的淺型(sha丨丨ow)分配樹完成一 個分配周期將會比一種自頂層分又出很少分支的深型 (deep)分配樹還快。適當存取資訊的管理員能夠重新配置 分配樹’以使分配更加有效。 若兩位管理員已經修改在不同的工作資料庫〖9〇3中的相 同資訊段(譬如説’存取過濾器定義),則會發生同步衝 突。當此事發生時,主決策管理程式205就會決定:要將 哪個修改資訊納入存取控制資料庫3〇1中β 使存取控制資料庫3 〇 1最佳化:圖2 1和2 3 3使存取控制資料庫301最佳化•圖2丨和2 3 雖然藉由管理圖形使用者界面(GUI) 1915適合於持續儲 存和使用;但是對於使用在即時存取核對中而言,資料庫 301並不是最佳化的。就像將要更加詳細説明於下那樣, 存取過濾器203會使資料庫301中的資料最佳化,那是運 轉時間(run-time)存取核對所需的,進而用來產生針對 IntraMap的顯示圖。每次在存取過濾器203中收到資料庫 301之一新拷貝的時候,它都會執行最佳化(〇ptimiZati〇n)。 依照它們的最佳化形式,資料庫3 01是諸多記憶體映射標 案(MMF)之一集合,其中以一種允許快速存取的形式來儲 存存取決策資訊。之所以如此稱爲MMF,是因爲:雖然它 們都被當作正常檔案來產生,但是隨後卻都附屬於一程式 的記憶體空間,並且都是藉由一些記憶體操作,而不是擋 案操作加以存取的。藉由使用MMF檔案來達成進一步最佳 化,以便產生一些規則:藉由I P來源和目標位址以及針對 -85- (請先Μ讀背面之注意事項再填寫本頁) — II-----線
本纸張尺度適用中國國家標準(CNS)A4規格(21〇χ 297公釐) 'J 448387 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(Μ ) 存取操作被容許或拒絕的埠號,使用該規則來執行訊息之 低層級過濾操作β 圖顯示:MMF檔案23〇3之一實例。正被談論的 檔案是:DBCertifiCatesbyUSerGr〇uP(藉由使用者群組來識 別的資料庫"證書,·)檔案2丨〇1,它將用來識別屬於諸多特 定使用者群組的證書之證書匹配準則加以映射到:針對由 證書匹配準則所載明的諸多使用者群組的記錄,在資料庫 3W中的一些識別符。於是,樓案21〇1允許具有會識別已 經使用SKIP加以加密之一訊息之來源的證書之一代理伺 服器快迷決定:由證書加以識別之使用者所屬的諸多使用 者群組。在較佳實施例中,證書匹配準則是:x.509號證 書中的〇(組織)’ 0U(组織單位),及(:八(證書當局)欄位。 所有的MMF檔案2303都有相同的通用形式,有兩個主要 部份:標題部份2103,它包含正被峡射所根據的資訊:以 及資料部份2105,它包含正被映射所指向的資訊。標題 21〇3包含諸多登載項(entries)21〇7之一列表。每個登載項 ,會包含:正被映射所根據之一數値(在這種情形下,就 疋澄書匹配準則(CMC)21〇9):以及指向在資料部份21〇5中 =-記錄的指標(pc)inter)21 i i,它包含正被映射所指向的 β Λ (在這種情形下,就是:針對由CMC 2丨〇9加以識別之 使用者所屬的諸多使用者群组,在資料庫3〇丨中的諸多識 別符2U3之一列表21丨5)。在標題2 1〇3中的諸多登載項都 是依照正被映射所根據的資訊(此處,就*CMC 21〇9)加以 排序的,使得:可能使用諸多標準快速搜尋演算法來 n J - H ^1 ¢ .- 1^— ^^1 I II · 1 - * - I I I . 1 ^^1 一 I l I - - - -I n ft t 、 (請先閱讀背面之;i意事項再填寫本頁) -86 - 448387 經濟部智慧財產局員工消f合作社印製 A7 B7 五、發明說明(84 ) 對應於一既定if書匹配準則集合之一登載項2丨〇7的位置a 圖23 A,B及C提供:被使用在存取過濾器2〇3之一建構 例中的諸多MMF檔案2301之一完整列表β根據表中所提供 之諸檔案内容的描述’這些檔案與資料庫中的一些表 之間的關係將會顯而易見的。每個MMF檔案2303都是由表 中之一登載項所表示,該表指示檔案名稱及其内容。將諸 多檔案細分成下列群組:23 11,23 13,23 19,232 1,2323, 以及2422。特別感興趣的一些檔案有:DBUsers(資料庫1'使 用者")樓案2307和DBResources(資料庫"資源’’)樓案2309, 它們都描述決策;DBCertificatesByUserGroup(藉由使用者 群组來識別的資料庫”證書,,)檔案21〇1,它是詳細顯示於 圖 2 1 中的 MMF捨案;DBResourcelDbyServicelD(藉由 IP 名 稱來識別的資料庫"資源識別符")檔案23 15,它會使資源的 URL (共通資源指標)與資源ID (識別符)有關係: 08尺680111'0655>^16 5 0111^61〇(藉由資源1〇來識別的資料庫"資 源")擋案23 17,它會使資源與資源群組有關係;以及 DBTrustTable(資料庫_’信賴等級表”)檔案2325,它會建構 SEND表 601。 而且,下列檔案都被用來編譯規則: DBServerlDByNameFile(藉由I P名稱來識別的資料庫"伺服 器I D "檔案) DBIPAndTypeByServerlDFile(藉由伺服器ID來識別的資料 庫"I P位址和類型”) DBServicePortToProxyPortFile(資料庫"服務埠對代理词服 -87- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) .Γ r I --------訂---------,線' I. (請先閱讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 4 48 3 ; 7 A7 __ B7 五、發明說明(85 ) 器埠"檔案) DB AttachedNetworksByServerIDFile(藉由词服器 I D 來識別 的資料庫"附屬網路"擋案) DBRoutingTab丨eFile(資料庫11路由選擇表”檔案) DBRoutingTablebyServerlDFile(藉由伺服器 I D 來識別的資 料庫”路由選擇表”檔案) 在IntraMap資訊2422中的諸多檔案,最後被被過濾,以 便產生列表243 1,然後再利用intraMap小爪哇程式2411將 它下載到客户端以供使用。 存取過濾器203之細節:圖20 3存取過濾器203之細節:圖2 0 圖20是一種存取過濾器203的架構2001之一方塊圖。在 顯示於圖2 0中的建構例中,與一些NIC(網路界面卡)卡 2013不同的所有存取過濾器2〇3组件都是以軟體方式來建 構的建構例中的軟體會在微軟公司所製造的windows N丁商標之作業系統下執行。軟體组件分爲兩大類:在作 業系统之使用者層級2003處’當作應用程式執行的那些組 件’以及在作業系統之核心層級(kernel level)2〇〇5處所執 行的那些組件。就大體而論,在核心層級處所執行的程式 會執行:I P層級存取核對,以及加密和鑑定;而在使用者 層級處所執行的那些程式則會執行應用層級存取核對。也 包括在使用者層級組件中的是:管理存取控制資料庫3〇1 的軟體,以及根據存取控制資料庫3〇i而產生針對丨p層級 存取核對之諸MMF和規則的軟體。下列討論將從核心層級 -88- - tA--------訂---------線 (請先閱讀背面之注意事項再填寫本頁) 本'紙張尺度適a中阁闭宕 ^ ^ r C / 0 r 5 \ 丁 ^ Ί I - Μ 公 4483 8 A7 B7 五、發明說明(86 ) 且件h is ’繼續討論與存取控制資料庫3 〇 1有關的使用者 層級組件,然後將會討論針對通信協定層級存取核對的 件。 核心層級组件 3核心層級組件 網路界面卡(Network Interface Card,簡稱NIC)2013 :這 些是安裝在存取過濾器203中的乙太網路(ethernet)和令牌 環卡(token ring card)。一般說來,配置((;〇1^41^^)有三種 網路卡。一種是爲:針對網際網路,針對一種廣域網路 (wide area network,簡稱WAN)201 1,或者針對連接到另— 存取過濾器203之一網路的界面而配置的。另一種是爲針 對所有客户端電腦的界面2 0 0 7而配置的;而第三種則是爲 針對提供TCP/IP服務之諸伺服器的界面2009而配置的。若 不必要將一存取過濾器203置於諸多客户機與伺服器之 間’則可能只有兩種NIC 20 13 : —種針對WAN 20 1 1,而另 一種則針對LAN(區域網路)。若在存取過濾器2〇3之位置 處並沒有伺服器存在,或者’若所有的局部客户機都有權 存取所有的局部資訊資源是可接受的;則不必要將存取過 濾器置於其間。 經濟部智慧財產局員工消費合作社印製 塡隙軟體(SHIM)2017 :在安裝時,將一種填隙(士⑻軟 體模組插入Windows NT商標之作業系統的兩個層級(NDIs 和TDIS層級)之間。這樣會造成針對特定通信協定的所有 通信量都會通過S ΗIΜ 2 01 7。在建構例中,針對τ c P /1P通 信協定的所有通信量都會通過SHIM 201 7,而非TCP/IP通 -89- 本纸張尺度適f中舀國家標準(CNS)A4規格(210 X 297公窆) 448387 經濟部智慧財產局員工消f合作社印製 A7 ___B7____ 五、發明說明(87 ) 信協定之通信量則從NIC直接前往一些適當的其它核心模 組。SHIH 2017必要時會調用(invoke) SKIP模组來處理 tcp/ip通信協定之通信量。 SKIP模組2〇21 :經由SKIP 2 02 1來發送所有的I p網路通 信量。若輸入分包資訊不是SKIP類型,即··不需要由 SKIP來執行鑑定和解密服務;則SKIP模组202 1會將它傳 遞到I P過濾器模組2 0 1 9。同樣地,若不打算對輸出分包資 訊加以加密,則SKIP模組2021會將它直接發送到適當的 NIC 2013,以供傳輸之用。雖有SKIP類型之分包資訊,但 在SKIP模组2021中的鑑定符(authenticat〇r)2024可作爲鑑定 一項對話之用;而加密器/解密器2022則可作爲對在一種 對話層級處的資訊加以加密和解密之用。可能利用:任意 數目的其它存取過濾器203,使用SKIP的一些伺服器,以 及使用SKIP的一些客户機來完成鑑定以及加密/解密。鑑 定和加密演算法都是基於SEND參數,針對輸出分包資 訊’由I P過濾器模組2019加以設定的;或者,都是在輸入 分包資訊内加以載明的。 SKIP模组202 1會爲與它對談的每個其它網站維持足夠的 狀態資訊,使得:對於大多數的SKIP類型之分包資訊而 言,它能夠維持高速操作。分包資訊有時候會,•被停留·· (parked) ’而附加處理(共享機密及暫時密鑰(teinporary key) 計算)則會被執行。在使用者空間2003中的"skipd_,模组 2037會執行這種額外處理。 I P過濾器2019 : I P過濾器根據一套規則而操作,該規則 -90- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公发) 1 _ ^1 - - I 1^1 I - - - I —I JA · I I 1 - .- ---- or , li t— - - - 1 i (請先閱讀背面之注意事項再填寫本頁) 448387 A7
經濟部智慧財產局員工消費合作社印" 五、發明說明(88 ) 是:資料庫服務2029之一组件的規則編譯程式,根據存取 控制資料庫3 01中的存取決策加以制定的。I p過濾器的— 些基本功能都是用來: 1 將通信量傳遞到TCP/IP堆叠。 2 阻擋通信量-將針對特定I P位址的通信量明確地棄 置’並且是根據針對緊急情沉的諸多特別規則。 3 棄置通信量-將既不和任何規則匹配又不被任何決策 所容許的通信量明確地棄置β 4 代理處理通信量-不是將通信量遞送到被指示目標, 而是將它路由指引到在目前機器上之一代理伺服器應 用程式。 5 執行網路位址轉換-將可能是非法的内部I ρ位址改變 成合法的I Ρ位址9 6 . 一建立典法由規則嚴格地決定存取控制操作所針針的 一項新對話,就會將決策遞給p.r Jpf(被討論於下)。一 般說來,迈是針對可能被決策或被前述之νρΝ鑿隧道 操作特點所容許的對話。 IP過濾器2019基於下列資訊而執行這些功能: 由規則編譯程式所產生的規則; 來源和目標I P位址和i阜號; 關於輸入分包資訊的加密,或者不加密;以及 關於輸出分包資訊的所需加密和鑑定。 與資料庫3 0 1有關的組件 3與資料庫301有關的组件 •91 - 本纸fe尺度遇用中囵囿豕標準(CNS)A4規格(210 X 297公爱) - ------ ^ *-------訂--------» rr f (请先閱讀背面之注意事項再填寫本頁) 448387 A7 B7 五、發明說明(89 ) 共享目錄(Shared Directory)2028 : VPN 201使用什麼存取 過/慮器2 0 3都會保持駐留其中的單一存取控制資料庫3 〇 1。 在一既定存取過濾器203中之資料庫30 1的所有版本都被 維持在共享目錄2028中。共享目錄2028也包含每個存取過 :慮器203的登綠樓案(丨0g f丨丨。 專用連接服務(Private Connect Service,簡稱pcs)模组 2025 , PCS模组2025提供在VPN 201中的"存取過渡器對存 取過滅器通«所有這樣的'通信都會通過具有 ^自己的I p埠號’而其訊息則必須被加密。藉由pcs訊息 來實行的一些特定功能有: • 分配樹管理; • 資料庫3 0 1之分配.和同步; • 路由選擇表1721之檢索和分配; • Windows網域和使用者資訊之檢索; • 網路掃描; • 登錄内容之檢索;以及 •由報表及其它子系統所使用之諸樓案的傳送。 ISDB管理程式2027 : ISDB管理程式207會管理資料庫 301 °它和pcs都是唯一針對在每個存取過濾器203中的資 料庫301之諸拷貝的界面。它包含用來讀寫在資料庫301 之諸拷貝中之所有表的軟體。 赏料庫(DB)服務和規則编譯程式2〇29 :資料庫服務模組 2029會產生諸多MMF檔案2301。每次在存取過濾器2〇3中 收到資料庫301之一新拷貝的時候,它都會這麼做。它利 -92- 本纸張尺度適用中S國家標準(CNS)A4規格(210 x 297公釐) (琦先^详背面之注意事項再填寫本頁^ 丨^i-------訂·---- 線 經濟部智慧財產局員工消費合作社印*'< 4483 8 經濟部智慧財產局員工消費合作社印袈 A7 B7 五、發明說明(9〇 ) 用由ISDB管理程式2027所提供的功能來讀取針對一既定存 取過濾器203 (I)的活資料庫1907(1)並產生諸多MMF 2301。 資料庫服務模組2〇29之一组件是規則编譯程式,它會根據 諸多MMF 2301中的一些有關MMF來產生使用在IP過濾器 模组201 9中的一些規則。該規則會載明存取操作被容許或 拒絕所針對的:I P來源’目標,以及埠號。規則编譯程式 存在’充當一種DLL以及一種只是調用DLL中之諸常式 (routines)的應用程式。在正常操作中,每當在存取過濾器 203⑴中’從主決策管理程式2〇5中收到已修改資料庫3〇1 時’在DLL中之諸常式都是由資料庫服務模組2029加以調 用的。在安裝和啓動程式(bootstrapping)處理過程期問, 應用程式被使用在一些特別模式中。 s己憶體映射楼案(MMF)2301 :像已經説明的那樣,mmF 2301都是由資料庫服務模组2029所產生的資料樓案,並且 都被存取過濾器203中的很多其它模组所利用。設計樓案 以使下列操作儘可能有效的: •從使用者識別方法映射到(諸多)使用者群组; • 從資訊資源映射到(諸多)資訊集; •尋找與諸多使用者群組有關聯的決策;以及 •.尋找與諸多資訊集有關聯的決策p 與鑑定有關的组件 3與鑑定有關的组件 評估程式(Evaluator)2〇36 :評估程式2〇36是由諸多代理 伺服器203 1中的每個代理伺服器所使用的諸多之一隹 93- 本紙張尺度適用中關家標準(CNS)A4規格(21G)<297公爱) (請先閱讀背面之注意事項再填寫本頁) 、κ--------訂----- 線 經濟部智慧財產局員工消費合作社印製 44838 A7 一 B7 五、發明說明(91 ) 合。評估程式2036會提供下列功能給諸多代理伺服器: • 提示(Prompting)使用者另外的"在頻帶内•,或"在頻帶 外”識別資訊; • 從鑑定工具程式服務(Authentication Tool Service,簡 稱ATS)中獲得"在頻帶外”鑑定資訊: • 從SKIPd中獲得與目前使用者有關聯的證書; • 讀取諸多MMF 2301 ’並決定:存取決策是否允許使用 者存取資源:以及 . 若在其它情況下存取操作被容許,則建構針對路徑之 信賴/靈敏度等級計算,包括決定存取操作是否可能 經由路徑而被容許,如果這樣;則需要何種加密和鏗 定方法’以及哪個存取過濾器最接近伺服器。這些功 能都是由稱爲VPN管理程式的評估程式2036之一組件 加以執行的。 銀定工具程式服務/使用者識別客户軟體(ats/uic)2〇39 和2041 ·· ATS 2039是在一種會搜集和鑑定使用者資訊的客 户機一伺服器應用程式中的伺服器。ATS 2039會在電腦上 執行,而在其上則有存取過濾器203之其它組件正在執 行。客户機部份是〜UIC 2041,它會在基於windows之客户 機上執行。ATS 2039和UIC 2041都是機制,存取過濾器 203會藉由遠機制來獲得_ι在頻帶外鑑定資訊^ a丁g 2039 和UIC 204 1會藉由一項與正在被鑑定之對話分離的對話而 通信0 ATS 2039會收集並快速存取(caches)它從諸多^⑴客 户機中獲得的鑑定資訊’進而提供該資訊給評估程式 -94- 本紙張尺度適用中國國家標準(CNSM4規格(210 X 297公爱) l.k.-------訂.--------·線 ^待先閱讀背面之注意事項再填寫本頁) 44838 經濟部智慧財產局具工消費合作社印製 Α7 Β7 五、發明說明(92 ) 2046。來自諸客户機的被快速存取資訊包括: • Windows ID ; •身份識別證書:以及 • 鑑定令牌I D。 SKIPd 2037 : 大多數的SFCIP'd功能都是支援SKIP模組202 1。那些功能 包括: • 與其它通信夥伴們交換證書資訊。藉由使用證書發現 通信協定(CDP)來完成此事。 • 計算狄菲-黑爾曼f Diffie_Hellman)其享機密方法。這 種共享機密方法是SKIP操作的關鍵。這種計算可能花 上一段可觀的時間,並且以一種加密形式將它儲存到 磁碟。 • 計算用來加密對話的傳送密鑰。這些密鑰會延續一段 時間或資料量。 • 此外,SKIPd將會提供證書匹配準則給(諸多)評估程 式,以便使用在使用者識別方法中。 代理伺服器203 1 3代理伺服器2031 如前面所説明的’代理伺服器是:在截取針對特定通信 足之通信量的存取過渡器2 0 3中的軟體。代理飼服μ瞭 解通信協定的是:它正在載取資訊,因而能夠獲得用來 識別正在被存取的資源及/或從對話期間正在被交換的訊 息中加以鑑定使用者所需的資訊。隨著I Ρ過濾器將一些使 -95- 本紙張丈度適用中固國家標準(CNS)A4規格(210x297公窆) L I _ ' fk· -------訂·-------- (請先閱讀背面之注意事項再填寫本頁) 4483 8 7 A7 B7 ----- 經濟部智慧財產局員工湞費合作社印製 五、發明說明(93 ) 用一既疋通信協定的訊息從其標準埠重新指引到其非標準 埠,除SMTP外的所有代理伺服器都會接收:針對它們的 通仏k疋,在與標準埠不同的一些埠上的訊息。代理伺服 器提供i已經k斜話中獲得的資訊給評估程式2〇36,以便 決定:使用者是否有權存取資訊資源。若使用者有權存 取’則存取過濾器2〇3會將輸入訊息轉遞到它們被定址到 的伺服器’並且藉由針對該通信協定的服務,在伺服器中 將Λ息進一步處理。在下列描述中,使用在一較佳實施例 中的每個通信協定都會被討論;當然,其它實施例則可能 包括針對其它通信協定的代理伺服器。
Pr_ipf( I Ρ過濾器代理伺服器):大多數的網路通信量會 在少數通信協定上發生,而在存取過濾器2〇3中則會有針 對該協定的諸多代理伺服器。然而,甚至在沒有代理伺服 器的地方’也必須制定一項存取決策。在某些情形下,可 能在核心層級處由I P過濾器2〇19來制定決策·,當它不會制 定決策時,I P過濾器2〇丨9就提供通信量給pr—ipf,它會歿 得任何它能夠從通信量中獲得與使用者識別方法和資訊資 源有關的資訊,進而將該資訊傳遞到評估程式2〇36,以便 決定存取操作是否應該被准許。pr_ipf事實上並不是—種 代理伺服器,由於它只是做出一項針對IP過濾器2〇19的存 取決定而已’故而不會將任何通信量傳遞到標準通信協定 软體。 FTP(檔案傳送協定):ftp代理伺服器會處理針對樓案傳 送協定的TCP/IP分包資訊。在VPN 201之一當前實绝例 -96- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) . t >衣 --------訂--------",線 (请先闇讀背面之注意事項再填寫本頁) 448387 經濟部智慧財產局員工消費合作社印製 A7 __________B7__ 五、發明說明(94 ) 中’只是將存取控制施行到帳户(登錄)層級;而在其它實 施例中’則可能將存取操作控制到檔案存取層級。在通信 協定之FTP登綠部份期間’代理伺服器會決定正在被存取 的詞服器及帳户(account) ’並且將此資訊提供給評估程式 2036,以便決定:使用者是否屬於一使用者群組,該群組 的諸多成員可能存取對應於該帳户的資訊集。代理词服器 使用載明於FTP通信協定中與使用者互相作用的令牌來進 一步處理"在頻帶内”鑑定資訊。 FTP實際上是一種非常複雜的通信協定,涉及主動 (active)和被動(passive)模式(被使用在網路瀏覽器及某些 自動FTP客户軟體中)》此外,FTP資料傳送是利用一種第 二動態決定式TCP(傳輸控制通信協定)對話。這就需要一 種FTP代理伺服器與I p過濾器20丨9之間的特殊界面,使得 FTP代理伺服器能夠對IP過濾器2〇19指示:它應該會容許 第二對話》 HTTP(超本文傳送協定):對於http之公用網域 CERN(歡洲起子物理研究所)建構例而言,' HTTP代理词服 器是根據來源碼(source code)而,構築的,並丑包含所有它 的快速存取邏輯(caching logic)。代理伺服器使用評估程式 2036來核對指向一 URL的每項存取操作。沒有”在頻帶内,_ 鑑定資訊是利用HTTP執行的。
Telnet(遠距通信網路):Telnet資源由於Telnet註册的非 標準化性質而只被控制到伺服器層級。只是了提供附加的 "在頻帶内”鑑定資訊才會使用Telnet代理伺服器。它是諸 -97- 本紙張尺度遇用中舀國家標準<cns)a4^77】0 x 297公发) L I I k*--------訂--------- (請先閱讀背面之注意事項再填寫本頁> 44838 7 A7
五、發明說明(95 ) 經濟部智慧財產局員工消費合作社印製 多眞實代理伺服器中最簡單的, NNTP :網路新聞傳送協定 ^ ^ ^ (Network News Transfer ⑽㈣01 ’簡稱簡TP)被使用來控制新聞傳送(_s feed)和 新聞讀取兩種操作。在新聞傳送操作期間,顔”代理词 服器注視著未編碼m些訊息都是已經被轉換 資訊交換標準碼本文(ASCIItex⑽供傳輸之用的二進^ 息(binary messages)。這種訊息常被解散成爲多重部产 (multi-part)訊息,以便將它們保持達到—種合理的尺寸刀 _戈理词服器會快速存取二進制訊息的;有部份。訧 每個這樣的訊息而t ’若該訊息是將要完成—項多重部产 訊息的最後部份’則將整個多重部份訊息加以組合,進: 抗病毒(aim-virus)模組2033會針對諸多病毒加以核對該訊 息,就像更加詳細描述於下的那樣。在新聞讀取操作期 間,將存取操作保護到新聞群组層級。就像在其它代理伺 服器中那樣,評估程式2036被使用來決定:目前使用者是 否可能存取新聞群組。 眞實聲頻通信(Real Audio):眞實聲頻通信代理伺服器容 許客户機存取只有在伺服器層級處才受到保護的眞實聲頻 通信伺服器。眞實聲頻通信協定雖然利用一種標準Tcp套 接通信連接(socket connection)來建立一項對話,但是隨後 就使用一種轉回U P頻道。就像對於FTP那樣,眞實聲頻通 信代理伺服器具有一種針對I P過濾器2〇丨9的界面,該界面 允許它對I P過濾器20 I 9指示:轉回U P頻道是被容許的。 SMTP ·‘簡單郵件傳送協定(simpie Mail Transfer Protocol, 98 本纸張尺度適用中國國家標準(CNS)A4規格(2】0 X 297公釐) nt· ^^1· I u 1^— ! · n n I _ · fc I t 1 n · 1 11 ^^1 ^^1 - 1^1 t (請先閱ir背面之注音?事項再填寫本Ϊ 4838 7 A7 B7 經濟部智慧財產局員工消費合作社印製 五、發明說明(96 ) 簡稱SMTP)代理伺服器與其它代理伺服器不同處在於:】p 過遽器之代理伺服器的諸多規則都不是被使用來重新指引 通信量到SMTP代理伺服器。其實其它代理伺服器會在„ 個非標準埠上"傾聽";而SMTP代理伺服器則會在標準埠 (25)上傾聽,隨後會執行它自己與標準sMTp伺服器軟體的 通信連接。在資料庫30 1中的存取決策必須明確地容許此 存取操作。 IntraMap :當使用者載明針對lntraMap之URL時,報表管 理程式209會下載IntraMap小瓜哇程式,而被下載之小爪哇 程式則嘗試執行一種接回到具有報表管理程式2〇9的存取 過滤器203之一套接口(socket)的通信連接=局部存取過遽 器203 (I)的I P過濾器201 9會截取嘗試執行通信連接資訊, 進而和b彳疋供給局环存取過遽β 1 〇3 (I)上的IntraMap代理 伺服器》藉由尋找在資料庫30丨之局部拷貝中的回答 (answers)並將回答轉回給小爪哇程式,代理伺服器會對來 自小爪哇程式的查詢(query)作回應。隨著所有的回答正在 被過濾而反映使用者之存取權利。IntraMap代理伺服器並 非一種眞實代理伺服器是因爲:整個通信連接總是由截取 通信連接之IntraMap代理伺服器的實例加以完全服務的。 抗病毒模组2033 3抗病毒模組2033 在·—較佳貫施例中的抗病毒模组2 0 3 3是由位於美國加州 古柏提諾市(Cupertino,CA·)的趨勢微_ .晉公司(Trend Micro Devices, Inc,)所提供的諸多DLL之一集合。在其它實 -99- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐〉 (請先閱讀背面之ii意事項再填寫本頁) ^ ----
I T ______ I ^-0 « J [ I I 線 4483 8 7 A7 --------------------- 五、發明說明(97 ) 施例中,可能使用來自其它來源的抗病毒模組51抗病毒模 ,-且2033會針對病毒加以檢查所有進入2〇 1的資料。爲 了提供使用者關於資料轉移進行的回授功能(feedback)並 預防使用者之客户软體程式時間暫停(timing out),將資料 轉移到客户機並在同時間内加以拷貝進入一種用於病毒檢 查的暫時樓案中。然而,並未將資料的最後部份發送到客 户機’直到完成病毒檢查後爲止。該最後部份一處在暫時 榼茱中说會針對諸多病毒加以檢查暫時檔案。若未偵測出 病毒’則將資料的其餘部份發送到客户機。若發覺病毒, 則中止資料轉移。在本實施例中,使用者被通知傳輸失 效。若管理員已經這樣载明,則可能將—種警戒資訊發送 到管理員。 啓動(launck) ’登錄,警戒以及報表模組2 〇 2 7 : 此模组的一些組件會執行下列功能 •啓動控制起動(startup)工作之初始順序;當達立VPN 20 1時’該初始順序就會在一存取過濾器2〇3上發生。 *登錄-一種提供已標準化登綠界面的dll。 •警戒-一種注視著所有NT登錄的獨立(standalone)程 式,因而找尋載明於資料庫3〇1的警戒條件。使用GU:[ 來載明遞送警戒資訊所利用的方法,以供定義警戒資 訊之用。 .報表-將諸多登錄之一子集合轉遞到一種特別報表登 綠,加以▲縮成資料庫,稍後再轉遞到報表管理程式 209 〇 -100- 本紙張尺度適用争舀國家標準(CNS)A4規格(210x297公发) (請先閱讀背面之注意事項再填寫本頁) *^·-------訂〃-------1 *5^ ^濟部智餐財產局員工消費合作社印制界 4483 8 / A7 B7 經濟部智慧財產局員工消費合作社印製 五、發明說明(98 ) 管理圖形使用者界面1 9 1 5 : GUI(圖形使用者界面)可p , )j把在存取過濾器203上,或者在 附屬於存取過減2ΓΠ而 ^ ''有一種3 2位元Windows商標之 作業系統的任何電腦上執行。⑽不論是在存取過據器 203上還疋在附屬系統上執行,它都會利用管理程式 2〇27來讀出或寫入在存取控制資料庫π丨中之一工作資料 庫 1903。經由 GUI 1915,料 A % a丨义 μ — °對存取控制貧料庫3 〇丨做出所有 的必要修改。在GUI中之應用"操作,被當作一種信號 發送到PCS 2〇25 ’它會藉.由起動前述的分配和同步操作來 對信號作回應。 存取過/慮器2 0 3之操作的詳細實例:圖$和2 2 3存取過濾器2 0 3之操作的詳細實例:圖5和2 2 在下列描述中,將要詳細説明圖5之端對端加密實例。 在該實例中,其P C配備有Skip之一漫遊者503正在存取: 在VPN 201上之一網站之内,一種配備有SKIp的何服器 407。當漫遊者503被建立來存取VPN 201時,它是經由使 用一種特別加密類型的存取過濾器4〇3(3)而被這樣建立 的。此處’將會假定:正在被漫遊者503所使用的加密類 型具有"機密”之信賴等級:並且假定:使用者想要存取在 伺服器407上之網頁,該網頁具有"機密"之靈敏度等钗。 由於正在被存取的是網頁,故而漫遊者503正在使用針對 它與伺服器407上之HTTP服務之對話的HTTP通信協定。由 於漫遊者503,在VPN 201中的諸多存取過濾器203,以及 伺服器407全部配備有SKIP ;故而它們全部備有它們自己 -101 - 本纸張尺度適用中國國家標準(CNS)A4規格(2】0 X 297公发) --^ I ·------------------A^l--------'S界 A請先閱讀背面之注音?事項再填寫本頁) 448387 經濟部智.€財產局員Η消費合作社印製 A7 B7 五、發明說明(99 ) 的公用和專用密鑰=最小限度下,漫遊者503也具有針對 存取過濾器403(3)的證書和公用密鑰,它會將針對VPN 201内部之諸伺服器的訊息指引到存取過濾器403(3);存取 過濾器403(3)具有針對漫遊者503的證書和公用密鑰(或者 使用證書發現通信協定來獲得它們);在VPN 201中的所 有存取過濾器203具有或能夠得到:彼此的公用密鑰,以 及針對在VPN 201中配備有SKIP的諸多伺服器之公用密 鑰。此外,在VPN 201中的每個存取過濾器203都會知 道:在VPN 20 1中的所有其它的存取過濾器203及諸多伺 服器之I P位址。 被當作漫遊者503與伺服器407之間的HTTP對話之一部份 加以發送和接收的所有訊息都是由SKIP加以加密和鑑定 的。圖2 2顯示:由這樣一種SKIP訊息220 1所採用的格 式。SKIP訊息是由SKIP軟體加以製作在訧是SKIP訊息之 來源的系統上。此處所顯示的SKIP訊息220 1是來自漫遊者 5 0 3。它的主要组成部份是: 外IP標題2203 :外IP標題2203被使用來將SKIP訊息遞送 到存取過濾器403 ( 3) »包含在I P標題2203中的有:針對漫 遊者503之來源IP位址2209,以及針對存取過遽器403(3) 之目標IP位址2206。當漫遊者503被建立來存取VPN 201 時,由漫遊者503所使用的目標位址2206就被設立來載明 存取過濾器403 (3)。來源I P位址2209可能由網際網路服務 提供者(Internet service provider)以動態方式指定給漫遊者 503 ;而漫遊者503則加以使用,以便連接到網際網路 -102- 本紙張尺度適用中固國家標準(CNS)A4規格(210 X 297公发) (請先閱請背面+/;1音?事項再填寫木Fc \_______丁 If "ν I t 丨兮0 * l f 線 4 483 8 7 經濟部智慧財產局員工消費合作社印5衣 Α7 Β7 五、發明說明(100) 121。外IP標題2203還包含一個訊息類別(message type,簡 稱Μ T )欄位2208,它會載明:訊息是一種SKIP訊息。 SKIP標題2205 : SKIP標題2205包含當收到SKIP訊息時 就用來解密SKIP訊息2201所需的資訊。SKIP標題2205至 少包含·針對目標之證書,那就是,針對存取過濾器 403 (3)之證書的目標NSID(名稱空間識別符)2215和目標 MKID(主密鑰識別符)22 1 3 ;以及針對來源之證書,那就 是,針對漫遊者503之證書的來源!^1〇2219和來源%1<:1〇 2217。此外’ SKIP標題2205包含:針對用來鑑定訊息之演 算法(MAC ALG 2226)和用來加密訊息之演算法(crypt ALG 222:5)的識別符;以及用來解密訊息的一種已加密傳 送密鑰(Kp 2223)和針對用來解密傳送密鑰之演算法的識別 符 2224 » 鑑定標題22 Π :鑑定標題22 U包含一種訊息鑑定碼 (message authentication code,簡稱MAC)222 卜它是根據在 欄位2226中所識別的MAC演算法加以計算出的;並且它被 存取過濾器403 (3)使用,以便驗證:訊息在沒有干預下抵 達。 已加密有效負載(payload)2227 :已加密有效負載2227包 含度遊者5 0 3正在發送到词服器4 〇 7的已知加密訊息,它包 括·針對該訊息的I P標題233 1 ’以及已加密訊息2229。I P ^題233 1具有:針對伺服器407的Ip位址,以及針對http 通信協定服務的埠號。藉著使用具有由CRYpT ALg(加密 演算法識別符)2225所載明之解密演算法的傳送密鑰Kp -103- 本紙張尺度適用中固國家標準(CNS)A4規格(2丨〇 X 297公釐) (請先閱讀背面之注惠事項再填寫本頁) ν^--------訂---------線 4483 8 經濟部智慧財產局員工消費合作社印*'衣 A7 B7 五、發明說明(1〇1) 2223,就能夠對已加密有效負載2227加以解密。 處理SKIP訊息2201 3處理SKIP訊息2201 SKIP訊息220 1抵達在存取過濾器403 (3)的網際網路界面 2〇11上。訊息之處理始於核心層級2005中的SHIM層級 處。SHIM 2017會將所有輸入通信量發送到SKIP 2021,它 依序地根據Μ T欄位2208而察覺到:該訊息是一種SKIP訊 息。要解密並鑑定訊息,SKIP需要解密傳送密鑰Κρ 2223,並且要做的是:它會將SNSID 2219,SMKID 22Π, DNSID 2215,以及DMKID 2213 提供給 SKIPd 2037,SKIPd 會用這些ID,以便從SKIPd 2037之證書快速存取儲存器 (cache)中檢索針對漫遊者503和存取過濾器403 (3)的證 書。若證書不在那裏,則SKIPd 2037使用CDP通信協定來 提取證書。然後,將證書中的資訊和存取過濾器4〇3 (3)之 專用密鑰一起使用;以便產生一種共享機密數値,然後使 用遠數値來解达傳送密論Kp 2223,進而產生兩個内部密 鑰:Akp和Ekp » SKIP會安全地儲存共享機密數値,以便和 未來成息一起使用’此乃因爲該數値之計算要花費可觀的 時間量。其次’爲整個已收到訊息計算出mac,並且將 Akp和MAC 2221及MAC ALG 2226 —起使用,以便驗證: 整個S BCIP sfl息2 2 0 I未曾被干預。如果就是這種情形,就使 用内邵密輪Ekp來解密已加密有效負載2227,以便恢復來 自漫遊者503的原始訊息。然後將已解密有效負載2227提 供給I P過遽器2 01 9 ’它會將它的一些規則應用到:來源 -104- 本紙張尺度述用中國國家標準(CNS)A4規格(210 X 297公发) t請先加讀背面之法意事項再填窵本頁) ,^'-------訂---------線 448387 A7
五、發明說明(1〇2) 經濟部智慧財產局員工消費合作社印則^ I P位址,目標I p位址,以及丨P標題223丨的埠號。若没有 規則拒絕存取操作;則〗p過濾器2〇丨9遵從另一規則,並將 未加密訊息連同SNSID2219和SMKID2217重新指引到針對 HTTP代理伺服器之埠。ίρ過濾器2〇19使用mmf 2301中的 DBServicePortToProxyPort檔案來尋找正被談論之埠。 在作業系統之使用者層級2〇〇3中的應用層級處繼續訊息 之處理。HTTP代理伺服器能掌握的有:伺服器之〗p位 址’服務之埠號,針對網頁之URL,屬於漫遊者503的使 用者之證書’以及用來加密訊息的加密方法。它會使用許 估程式203 6,以便根據MMF 230 1來決定下列各項: • 由證書所表示之使用者所屬的諸多使用者群組; • 網頁所屬的諸多資訊集; • 是否有一項存取決策會允許諸多使用者群组中的至少 一個使用者群組存取諸多資訊集中的至少一個資訊 集:以及 • 訊息之信賴等級是否至少等於網頁之靈敏度等級。 就從這些工作中的第一項工作開始,評估程式2 0 3 6會接 收針對證書的NSID和MKID,並且使用來具有 DBCertificatesByUserGroup樓案之證書的證書匹配準則來 獲得:正在發送訊息之使用者所屬的諸多使用者群组之識 別符。 評估程式2036藉由採由:伺服器之I P位址,服務之埠 號,以及針對網頁之URL來決定資訊集;並且使用:具有 DBServerlDByIP(藉由ί P位址來識別的資料庫"伺服器I D ") -105- 本紙張尺度適用中國國家標準(CNS)A4規格(2〗0 X 297公爱) f Sr先閱ti背面之注意事項再填寫本頁) ;^
_____丁 *____ III I 十0 « i I I I 線 4483 8 7 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(1〇3 ) 案之IP位址來決定包含網頁之伺服器,具有 DBServicelDByPort(藉由埠號來識別的資料庫.,服務j D ”)檔 案心埠號來決定關於提供服務之伺服器的服務,以及具有 DBHes〇urceiDbyName(藉由IP名稱來識別的資料庫”資源 I D )榼案之URL來得到針對網頁所屬之資訊集的識別符。 隨著能掌握:針對使用者群组和資訊集,在資料庫3 〇 ^ 中的識別符··評估程式2036使用DBRes〇urceHf案來決 定:是否有一項存取決策會允許使用者所屬的任何使用者 群組存取網頁所屬的任何資訊集。這樣做,它可能只會考 慮一些其成員資格都是使用識別模式加以決定的使用者群 组,而遠識別模式的信賴等級對資源之靈敏度等級而言是 足夠的。DBResources檔案會將每個資訊集識別符映射 到,會有一些涉及菘資源集的存取決策所針對的諸多使用 者群组之一列表。對於每個使用者群組而言,DBRes〇町eu 檔案會進一步指示:決策是否容許或拒絕存取操作。評估 叙式2036使用DBResources檔案,依序地爲網頁所屬的每 個資訊集而決定:會有一些關於資訊集的存取決策所針對 的諸多.使用者群組之列表是否包括使用者所屬的諸多使用 者群組中的一個使用者群组。若有一項針對任何使用者群 组的存取決策拒絕存取操作,則評估程式對Ηττρ代埋伺 服器指示:存取操作被拒絕;若沒有釺對任何使用者群组 的存取決策拒絕存取操作且至少有—項決策容許存取^ 作,則評估程式對HTTP代理伺服器指示:存取操作被= 許;若沒有針對任何使用者群组的任何種類之存取決策, -106 - 本纸張尺度適用中國國家標準(CNS)A4規格(210x297公爱) K I-----------'k·-------訂 ---------線 (請先閱讀背面^-注意事項再填寫本頁> 4483 8 經濟部智^財崖局員工消費合作社印*'"1 A7 B7 五、發明說明(1〇4 ) 則評估程式會決定:是否至少會有—個基於證書或令牌之 使用者群組具有一項針對資源的容許決策。如果這樣,並 且請求客户機有UIC(使用者識別客户軟體)正在執行:= 聯繫UIC來對使用者要求附加身份證別資訊。若有附加身 份識別資訊回來,則重複上述處理過程。在其它情況,呷 估程式對HTTP代理伺服器指示:存取操作被拒絕。 口 當然,若存取請求並不具有一種等於網頁之靈敏度等級 的信賴等級,則評估程式2036也會拒絕存取操作。評估程 式2036從DBResourcesByResourcelD檔案中獲得網頁之靈敏 度等級’從DBTrustAuthentications(資料庫,'信賴等級鑑定,·) 檔案中獲得使用者識別方法之信賴等級,以及從 DBTmstEncryptions(資料庫"信賴等級加密";)擋案中獲得加 密方法之信賴等級。由於SKIP已經利用一種具有,,機密,, 之彳έ賴等級的方法來加密訊息’故而經由網路之路徑的信 賴等級與本實例無關。要決定··針對使用者識別和加密方 法的信賴等級是否對網頁之靈敏度等級而言是足夠的;評 估程式2036就會使用有效地建構SEND表601的DBTrustTable 檔案。若信賴等級是足夠的,則評估程式2〇36對代理伺服 器指示:存取操作被容許。 一旦代理伺服器已經確認:打算容許存取載明於訊息中 的資訊資源:代理伺服器就會發起一項新對話,針對實際 服務:關於伺服器407之HTTP服務。代理伺服器203丨會將 —項特別訊息發送到I P過濾器2019,因而告訴它:容許特 定對話通過;此乃因爲:在其它情況,此對話可能會被一 -107- 本纸張尺度過用中國Θ家標準(CNS)A4規格(210x 297公发) J I !.[ -----—0^ -----------------'绿 Γ清先閱讀背面<注音?事項再填寫本1) 4483 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(1〇5) 些規則所阻擋,或者再度被發送到代理伺服器。針對I p過 滅器20 1 9的訊息也包括關於新對話所需的加密方法之資 訊,在本實例中,該資訊是:針對最後存取過濾器4〇3 (5), 應該對該對話加以加密;並且應該使用適合於資料靈敏度 等級就是機密的加密方法。當Ip過濾器2〇19遭遇新對話 時,Έ:會發覺到:因爲該對話與代理伺服器2〇3丨所載明的 準則匹配’所以它會將該對話傳遞到SKIP模组。由於訧 此對話而言加密是必要的,故而訊息將會被重新加密。除 了下列各項之外’ SKIP模组2021會以如上所述的相同方式 來產生一種SKIP訊息2201 : •針對訊息的外IP標題2203載明:將存取過濾器403 (3)當 作訊息之來源’而將存取過濾器4〇3(5)當作訊息之目標; • 3〖115標題2205具有:針對存取過濾器4〇3(3)的5則10 2219和SMKiD 2217 ;以及針對存取過濾器403 (5)的 0則10 2215和01^1<:10 2213:並且,在標題2205中的其 它數値也都是:由訊息之來源和目標現在就是存取過 濾器403 (3)和存取過濾器403 (5)之事實所需的那些數 値; • 已加密有效負載2227與以前相同(除了使用一種不同 的密鑰而已經將它加密之外;並且必要時爲整個新訊 息2201而產生MAC 2221。 當代理何服器正在轉發(relaying)訊息時,它也正在注視 著可能包含病毒的檔案傳送類型。當它遭遇病毒時,它會 將抗病毒敕體2033應用到這些檔案。若檔案包含病毒,則 -108 - 本紙張尺度述用中國國家標準(CNS)A4規格(210 χ 297公发) ------In If -- I -- - .—J n ----〆 k^· In I - - ----- I -- 一01, » i - 1 I I--11 1 t y (請先/!3tt背面之注意事項再填駕本頁) 44838 7 經濟部智慧財產局員工消貲合作社印製 A7 B7 五、發明說明(1〇6) 代理伺服器未能遞送完整樓案,藉以使病毒不致於造成傷 害。若存取控制資料庫3 0 1這樣指示’則當抗病毒軟體 2033檢測出病毒時,代理伺服器就會發送一項警戒資訊, 當SKIP訊息2201在存取過濾器403 (5)處被接收時,就將 它傳遞到SKIP模組202 1,在該處,如前面所描述的,將它 鑑定和解密。關於存取過;慮器403 (3),藉由如上所述的相 同機制,在存取過濾器403 (5)上的I P過濾器20 1 9察覺到: 因爲訊息是指定給HTTP應用通信協定的,所以它會將訊 息指引到HTTP代理伺服器203 1。該代理伺服器會接受訊 息:然後將來自外I P標題2203和SKIP標題2205,它能夠獲 得關於訊息之發起者(存取過濾器403 (3))的資訊發送到評 估程式2036,以便決定:正在被此訊息鼓動的對話是否應 該被容許繼續進行。評估程式2036會檢視訊息之來源丨p位 址以及其它身份識別資訊;並且藉由查出在MMF擋案之 DBServerlDByIP檔案中的來源IP位址來決定:針對存取過 濾器403 (3),在資料庫30 1中的識別符;使用該識別符來 指出存取過丨慮备4 0 3 (3)之證書的位置;以及發覺到:證書 資訊與被檢索證書匹配,該被檢索證書與正在被處理的存 取過濾器4〇3 (3)之訊息有關聯。訊息之來源的存取過滤器 403 (3)因此而被認爲在VPN 201中之一存取過濾器403,所 以評估程式2036作出回應是:該對話應該被容許,理由是 它是一種已經被在相同VPN 201内之另一存取過渡器4〇3 所允許的訊息。將容許訊息的這項決策轉回給HTTP代理 伺服器203 1。評估程式2〇36會指導在存取過濾器403 (5)上 -109- 本纸張尺度適用中Θ國家標準(CNS)A4規格(2]0 >= 297公釐) (請先閲讀背面之注意事項再填寫本頁>
It衣·--- 訂---------線 44838 7 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(1〇7 ) 的HTTP代理伺服器203 1 :爲了相同的理田,容許從相同 對話傳來的任何請求。當HTTP請求被處理時,代理伺服 器就用與輸出對話被建立在存取過濾器403 (3)上相同的方 式來建立一種與在伺服器407上之HTTP服務的輸出通信連 接。 當初啓與伺服器407的通信連接時*評估程式203 6會查 出在MMF棺案之DBServerlDByIP樓案中的伺服器407之IP 位址,以便決定:針對伺服器4 〇 7,在資料庫3〇丨中的識 別符:使用該識別符來指出伺服器表的位置;進而使用來 自遠表之澄書識別和DBCertificates(資料庫"證書”)植案來 尋找針對伺服器407之證書》然後它使用針對存取過濾器 4〇3 (3)的岔鑰以及針對词服器407的公用密鑰(從坪書中獲 得)來構築一項SKIP對話,如前面所描述的。將實際訊息 加以加密和鑑定,增加SKIP標題2205,並且增加外ίρ標題 2203,因而將訊息指引到伺服器4〇7。 當訊息觸及伺服器407時,在伺服器4〇7中的SK〖p就會: 核對關於訊息的鑑定資訊,對它解密,進而將已解密訊息 轉遞到HTTP服務;該服務會執行存取:由包含於有效負 載中之訊息所請求的網頁。已經獲得網頁’ ^τρ服務會 產生一種具有載明將漫遊者503當作目標之〗ρ標題的轉回 訊息(return message)。然後,將此轉回訊息加以封裝在一 種SKIP訊息2201中,如前面所描述的。此如心息被指 引到存取過滤器4〇3(5),並且包含在外標題22〇3fpSKIp標 題2205中的資訊,該資訊對那些實體之間的訊息而言是必 -110· 本紙張尺度適用中固國家標準(CNS)A4規格(2】〇 x 297公爱) L—-----------h.--------訂---------線 (請先閱讀背面之注意事項再填寫本頁) 4 4 8 3 8 7 經濟部智慧时產局員工消費合作社印- A7 B7 五、發明說明(108) 要的。 當回答(reply)訊息觸及存取過濾器403 (5)時,在那裏的 SKIP模組2〇2 1就會對它加以鑑定和解密,並傳送到丨p過 濾器20 19。該訊息被發覺與一現存對話匹配,所以不必要 評估;因而將它直接轉遞到HTTP代理伺服器2〇3 1。在那 裏,將它當作一種HTTP通信協定回答訊息加以核對有效 性,進而將它重新傳送回到就是存取過濾器403 (3)之HTTP 對話的發起者。由於瞭解此對話的發起者可能是在VPN 201中的另一存取過濾器403 ’故而不會執行抗病毒模組 203 3的核對操作,就像瞭解必要時存取過濾器會執行核對 操作那樣。使用對存取過濾器403 (3)與存取過濾器403 (5) 之間的訊息交換而言是必要的諸多SKIP參數,經由SKIP 模組202 1,再度處理回答訊息之重新傳輸,並且對它加以 加密,如上述。
當此回答訊息來到存取過據器403 (3)時,恰好發生相同 的事情’那就是,訊息通過SKIP模組202 1和I P過濾器 20 I 9,來到HTTP代理伺服器203 1。在那裏,將它當作一種 HTTP通信協定回答訊息加以核對有效性;可能通過抗病 毒模組2033 (如果訊息内容類型對它保證的話);進而將它 重新傳送回到就是漫遊者503之HTTP對話的發起者。對於 正在將一項訊息從存取過濾器403 (3)發送到漫遊者503而 言’使用如上所宣示的SKIP參數,經由SKIP模組2021, 再度處理回答訊息之傳輸,進而如上述般對它加以加密。 然後’在漫遊者503處接收回答訊息;在該處:利用SKIP 本纸張尺度適用中舀國家標準(CNS)A4規格(210 X 297公楚) L I ----------l*k*-------訂'--------線 .1 (請先閱讀背面之注t事項再填寫本頁) 經濟部智慧財產局員工消货合作社印製 4483 b A7 _____B7 五、發明說明(1〇9) 對该戒息鑑疋和%岔’提供訊息给使用者之濁覽笑,並 爲使用者而顯示出來。 使用在存取過濾器203中的諸多技術之通則 使用在存取過濾器203中的諸多技術已經用兩種方式加 以通用化: .將決策評估和決策施行分離,它會允許與存取過濾器 不同的實體加以施行決策:以及 •決策資料庫現在不但允許定義:使用者,使用者群 组,資源,以及資源群組;而且允許定義:諸多新使 用者識別類型,可能定義決策所針對的諸多新行動類 型,以及諸多新資源類墊。 ’ 下列时淪將首先描述:可能怎樣將決策評估和決策施行 分離,然後再描述:可能怎樣擴充用來定義決策的諸多^ 型。 ’ 將決策評估和決策施行分離:圖2〇,26,及27 圖26是一種決策施行系統26〇1之—方塊圖,其中:已經 將決策評估和決策施行分離。在系統26〇丨中,決策的觀念 (notion)已經加以通用化,不但包括:存取決策,管理決 策’以及決策制定決策;而且包括:使用者可能對一資訊 資源執行的任何行動β譬如説,一項決策可能陳述:一特 定使用者群組可能印出屬於一特定資訊集的一些文件。 系統2 6 0 1具有五個主要組件: •請求實體2603,它會請求要對資訊資源執行的行動, 並且它可能是能夠屬於一使用者群組的任何實體; -112- 本纸張尺度適用中固國家標準(CNS)A4規格(210x297公楚) LI;----------· · I -------訂·--------線 (请先閱該背面之;t意事項再填寫本頁)
44S3S 經濟部智慧財產局員工消費合作社印" Α7 ΒΤ 五、發明說明(11〇) • 決策施行器2609,它能夠控制被請求行動的效能; • 諸多資源261 1 (0,...,η),它可能是:可由決策施行器 2609存取的或裝置控制的任何資訊; • 決策伺服器2617,它會決定:行動是否被允許;以及 • 決策資料庫2619,它包含諸多決策,決策伺服器2617 根據該決策來決定:行動是否被允許。 請求實體2603,決策施行器2609,以及決策伺服器26 1 7 能夠各自被定位在任何地方。唯一的要求是:在請求實體 2603與決策施行器2609之間以及在決策施行器2609與決策 伺服器26 17之間都會有訊息傳輸媒體〇>在請求實體26〇3與 決策施行器2609之間的媒體允許請求實體2603 :將一種請 求要對一資源R26 1 1⑴執行一項行動的訊息2605發送到決 策施行器2619 ;並且接收一種來自決策施行器26〇9的行動 回應訊息2607,它指示著:是否要採取行動,以及如果這 樣的結果。在決策施行器2609與決策伺服器2617之間的媒 體允許決策施行器2609 :將一項決策請求2613,發送到決 策伺服器2617,因而請求決策伺服器2617指示:在決策伺 服器資料庫2619中的諸多決策是否允許一既定請求實體採 取相對於一既定資源之-既定行動:並且請求決策词服器 26丨7用一種決策回應2615來對決策請求26门作回應,該回 應指示:諸多決策是否會允許載明於決策請求中的行動。 應孩進-步注意的是:受決策施行器26〇9控制的行動甚至 不需要被電腦系統之-組件所執行。例如,在決策資料庫 中的諸多決策可能被圖書館主顧們加以控制存取書本,而 -113 參纸張尺度財關家標準(CNS)A4 (210 X 29Γ^ϊ" _ n J I I - - —J I I * . - 1 I n - - οι I l— - - - _I n ---t , (請先閉讀背面之江意事項再填寫本!) 4 4838 7 A7 B7 五、發明說明(111) 載明於決策中的行動則可能是具有一種從書架中提取一本 書的圖書館網頁。 決策請求訊息26 1 3以及決策回應訊息26 15的格式都是藉 由一種決策通信協定加以定義的。目前正在被研發的一些 標準決策通信協定之實例是:公用開放決策系統(C〇mm〇n Open Po丨icy System ’簡稱COPS),該系統可上網獲知:就 像1999年6月2 1日所描述的,網址爲:http://wwv/.jf;tf ηΓσ/ internet-drafts/draft-ietf-rap-cops-06.txt ;以及在使用者服 務中的遠程鑑定撥號(Remote Authentication Dial In User Service,簡稱RADIUS ;參考:網際網路標準第RFC:2 138 號)。 決策伺服器26 1 7獲得產生決策回應26 15所需的資訊,然 後提供回應給決策施行器2609。決策伺服器26丨7包括一種 包含諸多決策的決策伺服器資料庫2619,該決策包括:針 對請求貫體2603已經請求決策施行器2609要對一項資源 R26 1 1⑴執行行動的一項或更多決策。決策伺服器26} 7會 查詢決策伺服器資料庫2 61 9,以便指出一些有關決策的位 置’然後再將它們應用到決策請求2613。做這件事情可能 會要求決策伺服器26 1 7要從可由決策伺服器26 17存取的任 何位置中獲得其它與決策有關的資訊2623。這種處理過程 之一實例是:在存取過濾器203之討論中所描述的技術; 藉由該技術’存取過濾器203獲得關於使用者的附加識別 資訊。若決策伺服器2617從決策伺服器資料庫2619以及其 它資源中獲得的資訊指示著行動被允許,則決策词服器 -114- 本紙張尺度適用中固國家標準(CNS)A4規格(210 X 297公釐) (請先閱請背面之注意事項再填寫本頁) --------訂----- 線 經濟部智慧財產局員工消費合作社印*'衣 448387 經濟部智慧財產局員工消費合作社印製
AT B7 五、發明說明(112) 2617會發送一種這樣指示的決策回應2615,而決策施行器 2609會執行如2㈣處所指示的行動4且經由行動回應 2607 ’將結果轉回給請求實體26〇3 ;若決策回應2615指 示:行動未被允許,則決策施行器26〇9會發送一種指示著 行動未被允許的行動回應2607。 將決策施行器2609和決策伺服器261 7分離之—重要優點 是:可能在系統内的很多不同層級處建構決策施行器 2609,其中瞭解到該系統包括一些由網路所連接的諸多裝 I组成的系統《決策伺服器26 17可能包含針對任何決策施 行器的決策;因此,可能受該決策支配的行動不再受限於 在系統之一個或更多層級處所採取的行動。 圖2 7顯示:一種具有諸多组件的系統27〇1,該組件都是 藉由包括一公用網路2702及一内部網路! 03的網路加以連 接的。在最高層級處,系統2701具有:一個或更多決策決 策點(policy decision p〇ints)2723,它會決定決策是否允許 一項行動;以及一個或更多決策施行點2721,其中諸多決 策決策點的決策都會被施行。決策決策點將會包括決策词 服器2617 ;而決策施行點則會包括決策致能裝置,那就 是:一種能夠執行如決策施行器2609般之功能的裝置。在 決策決策點與決策施行點之間的通信是藉由決策訊息 2725 ’該訊息則包括:決策請求26 1 3以及決策回應2615。 ® 只體2 6 0 3清求要使用_資源R 2 6 1 1來執行一喝行動時, 將會由一種受決策施行點2721所控制的裝置來執行該行 動,決策施行點2721將會和決策決策點2723交換決策訊息 -115- 本紙張尺度適用中國國家標準(CNS)A4規格(210x 297公发) 1.ki-------訂---------線 {靖先閱讀背面之注意事項再填寫本頁) 44838 經濟部智慧財產局員工消費合作社印*''机 A7 B7 五、發明說明(113) 2725,以便決定:該行動是否被允許:如果是的話,決策 施行點272 1就會使該行動被執行。 包括在系統2701内的諸多決策致能裝置中有: .決策致能路由器2713,它會施行在實體網路中的路由 指引通信量之層級處的決策; •決策致能附屬裝置2719,它會執行在一裝置之層級處 的決策,該裝置附屬於系統27〇1的網路。—個實例就 是印表機,ΈΓ能夠查閲決策伺服器26丨7,以便決定: 是否要接受一項來自某一實體26〇3的印出請求。 •決策致能應用私式27 Π,它會執行在應用程式之層級 處的決策。 每個決策致能裝置都會用像針對決策.施行器26〇9所描述 那樣的相同方式來處理決策:當決策致能裝置收到它必須 決定菘行動請求是否遵從建立在決策伺服器資料庫26丨9中 的諸多存取決策所針對的—項行動請求27〇3時,它就會將 一種決策訊息2725發送到決策伺服器2617 ;並且當它收到 決策訊息時就會作出回應,允許或拒絕如決策訊息所指示 的行動。 繼續更加詳細地討論關於圖27之諸決策致能裝置運作所 處的層級’決策致能路由器2713可能保持針對它所路由指 引的諸多分包資訊之被允許來源和目標的—此表;當路由 器2713被初始化時,這些表都是根據由決“服㈣_ 提供的資訊加以建立的:從當時起,當路由器2713^__ 種具有來源或目標不在其表中的分包資訊時,它就會將— ____ -116- 本紙張尺度_中_家辟(CNS)A4 11.k--------訂.------—線 {琦先閱讀背面之注意事項再填寫本頁) 44838 7 A7 B7 五、發明說明(114) 種決朿汛息2 72 5發送到指示著來源或目標的決策伺服器 261 7,而決策伺服器2617則會藉由指示著是否打算將來源 或目標包括在一些表中來對該訊息作回應。當然,當決策 伺服器資料庫2 6 1 9改變時,路由器2 71 3的一些表可能也會 由決策词服器26 17發送到路由器2"7 1 3的訊息來保持更新。 就像從前述中能夠看出的那樣,路由器2713會在存取過濾 器203之建構例2001中的IP過濾器2019之層級處執行決策 核對。 決策致能附屬裝置27 19是一種諸如附屬於網路之—印表 機的裝置。該裝置能夠對一項由一實體提出的請求作回 應’以便隨著決策伺服器26 1 7所發送之一決策訊息而使用 它,並且能夠根據它從決策伺服器2617中收到的資訊而繼 續進行。這種決策致能附屬裝置2*719會允許管轄這些裝置 的管轄詳細程度(granularity of control)比在存取過淚器203 之層級處的存取核對可能允許的還更加精細。 最後,決策致能應用程式2717會允許:在一種比存取過 ;慮器2 0 3可能允許的還要高之層級處的決策施行。只要決 策祠服器資料庫2 619包含與正在被應用程式存取的諸多資 源有關的決策資訊,決策致能應用程式2 7 17就能夠和決策 伺服器2617交換決策訊息2725,因而能夠藉以決定·•是否 要允許或拒絕決策致能應用程式27 17之使用者正在請求的 行動。決策致能應用程式27 17之一實例是:一種建構諸如 FTP,HTTP,或SMTP之一網際網路服務的應用程式。這是 由圖2 0中的諸多代理伺服器203 1所處理的層級。因爲服 本紙張&度適用中舀國家標準(CNS)A4規格(210 X 297公釐) (請先閱tf背面之注意事項再填寫本頁)
· -- J- 1 - I : I— 一 pi I n u m - u I 經濟部智慧財產局員工消費合作社印製 44838 7 A7 B7 五、發明說明(M5) 務現在可能都是決策致能的,所以代理词服器不再是必要 的;換成是,只能夠將網際網通信協定傳遞到服務存在的 系統上,該服務將會提供由通信協定所請求的存取操作。 如圖2 7中所示,該服務隨後能夠親自和決策词服=2617 叉換決策訊息2725 ’以便決定:被請求存取操作是否應該 被允許。 一 決策致能應用程式2717之另一實例是:一種文件處理程 式。在這種情形下,決策伺服器資料庫26丨9可能包含一些 決策,該決策載明:有權修改諸多文件之集合的諸多使用 者之集合。當使用者使用程式來選擇一份文件以供編輯之 用時,文件處理程式就能夠和決策伺服器2617交換決策訊 息2725 ;且若來自決策伺服器26 1 7的決策回應指示:使用 者可能不會修改文件;則文件處理程式可能對使用者這樣 指示,並且拒絕允許使用者修改文件。 就像從前述中能夠看出的那樣,將決策評估和決策施行 分離以及決策定義的可擴充性質實際上共同允許:程式能 夠對一項資源執行的任何操作成爲決策之主體;於是,使 得存取控制系統就像圖2 7中所顯示的那些系統:不但規 模可伸縮性又容易管理,而且很容易地適應任何現在或未 來的裝置或程式〇 此處應該要指出的是:在存取過濾器203中,將決策評 估和決策施行加以合乎邏輯地分離,縱使兩者都被包含在 相同的裝置中。當依據圖26來審視圖20時,顯而易見的 是:GUI 1915 :啓動,登綠,警戒以及報表模组2027 :資 -118- 本纸張尺度適用中國國家標準(CNS)A4規格(210 =< 297公发) (請先閱讀背面之注意事項再填寫本頁) ---------訂--------〔線 經濟部智慧財產局員工消費合作社印製 經濟部智慧財產局員工消費合作社印^ 44S387 A7 ______ B7 五、發明說明(116) 料庫共于目錄2028 ; ISDB管理程式2027 ; PCS 2025 ;以及 MMF 2301會建構決策例服器2617 ;而其餘的組件則會建 構在IP_II及網際網路通信協定層級處操作的決策施行 器 2609。 決策之通則:圖2 8 在存取過遽器203中,適當存取資訊的管理員;能夠定 義新U W使用者_ ’能夠定義新資源和資訊集,並 且能夠增加服務和伺服器。管理貝並不能夠定義與存取資 訊不同的行動。並I,任何人能夠用來定義新使用者群组 的方法都是固定的’而資源則皆受限於資訊之來源。在較 佳實施例的通用化決策伺服器中,這些限制都已經被解 除。現在’管理員要定義:新行動’用來定義使用者群組 的新方法’以及不是資訊集的資源是有可能的。當然,制 定這些定義的權利本身就是由決策伺服器資料庫2 6丨9中的 決策加以決定的,就像關於存取過濾器2〇3中的管理決策 及決策制定者決策所説明的那樣。在大多數的系統中,定 義’省多貫體類型’資源類型’以及行動類型應該只限於 屬於”安全官員”使用者群组的那些人。 將這些新的可能性圖解説明於針對顯示於圖28中之決策 陳述的通用化決策語法2801中。通用化決策語法28〇1描 述:在可能操縱決策所針對的视窗中,怎樣將決策呈現給 官理員。在圖2 8中,用斜體字表示的項目部是可能被決 策伺服器26 17之官理員所定義的諸多決策陳述的組成部 份,该管理員有權必需存取決策伺服器資料庫2 6丨9。在方 -119- 本纸張尺度適用中國囿家標準(CNS)A4規格(210 * 297公发> -J· ! ^--------- ^--------訂---------線 (請先閱讀背面之注t事項再填寫本頁) 44838 7
經 濟 部 智 慧 財 產 局 員 工 消 費 合 社 印 U A7 Β7 五、發明說明(117) 括弧·中的項目都是使以斜體字表示的項目與定義一項決策 有關係的字紐。譬如説,,
Employees are allowed to Access the HR Web Site (雇員們都被容許存取H R網站資訊) 其中.Emp丨oyees(雇員們)是一使用者群組,Access(存取) 是一項彳亍動,而HR Web Site(HR網站)則是一資訊集;該 決策陳述允許:屬於|,雇員們"使用者群組的任何使用者存 取屬於” H R網站11資訊集的任何資源。 繼續更加詳細地討論關於通用化決策語法28〇〖,£ntity (實體)表示一使用者群组,其成員都是:由使用在存取過 濾器203中的諸多技術中的一種技術;或者由決策伺服器 2617之官理員所定義的一種技術加以定義的。針對實體的 唯一要求是:它必須是可由決策施行器26〇9辨識的。 Action(行動)表示:可能只是像存取過濾器2〇3中之存取操 作那樣的一項仃動而已,或者是由決策词服器%门之1$ 員所定義的-項行動。針對行動的唯—要求是:使決策 器2609能夠對-項資源執行行動。細⑽叫資源)表示— 資訊集。然而’在通用化決策词服器中,一資訊集可能H 如:印表機或樓案伺服器的諸多裝置之—集合。針= 的唯-要求是:使決策施行器26〇9能夠對資源執行:’ Timelntervals (時間問隔)28〇9允許管理 — 使用通用化決策語法2801而正在被載明之= (temP〇ral restriction) β當決策正在被評估用 —艮制 使用者是否有權存取-既定資源時 =一既定 隹右干估時間在時間 -120- 本紙張尺度剌巾_家辟(心⑷ i I ,1 Κ 广衣--------訂---------線 ί請先閱讀背面之it事項再填寫本頁) 7 蛵濟部知 3慧財產局員工消費合作社印製 A7 B7 五、發明說明(118) 間隔内’才會考慮一項具有時問間隔的決策。譬如說: Employees are allowed to Access the HR Web Site from 9:00 am-5:00 pm weekdays (雇員們都被容許存取H R網站資訊 平曰:從上午9時到下午5時) 它會將由雇員們存取H R網站的時間限制為正常營業時 間》在一較佳實施例中,可能將時間間隔定義如下: 每天工作時間之始末的範圍; 工作曰期之始末的範圍; 對於每周之工作曰及休假日的限制:可選擇將每周的 特Λ工作曰’及/或被列示為休假日的日期包括在内 或排除在外; 對於母月之工作周的限制:容許將每周,從參考曰期 起的每隔X周(其中X是從2到1 2的一個數字),或者 在每一適用月份内的周數表加以規範; 每年之適用月份表。 ACti〇nAttribute(S)(行動屬性)2S 11都是可能實行被決策陳 述允許之行動所用方法的一些由管理員定義的定義。再 者’唯一的要求是:決策施行器2609能夠實行如行動屬性 所載明的行動。譬如說:
Marketing is allowed to print to the Marketing Printer with type=color (行销員被容許使用具有列印類型為彩色的行銷員之印 表機來列印) -121 - 本紙張足度適用令國國家標準(CNS)A4規格(210^ 297公釐) t J - -I H - I - —-II - . i—. — I ―I- I I I . I - I - - I I_ I (請先聞讀背面之注意事項再填寫本頁) 44838 7 A7 B7 經濟部智慧財產局員工消費合作社印製 五、發明說明(m) 這員夫策包含行動屬性type = color(列印類刑_ ~ 、 東九許屬於,|行銷員·_( Marketing)使用者群知, 4-r 4ii Et · r.之使用者# 仃Μ員疋印表機的資源來執行彩色列印。 行動屬性的諸多附加實例有: *針對網路通信連接所需的服務類別; •打算使用的路由或媒體類型; *打算適用的結帳費率; *這項交易的最大數量: •完成交易所容許的最大時間。 就像由語法[with I whenK具有丨每逢)所指示的那樣,『 夠將時間間隔和行動屬性,以及和整個決策陳述二起= 用。例如,對服務類別設下時間限制的—項決策看起來像 這樣: (Everyone is allowed to access the World Wide Web with bandwidth=90% when weekends (每個人都被容許每逢周末就存取具有頻寬=90%的全球 資訊網資訊) 這項決策允冷在每個人”之使用者群組中的實體每逢周末 就存取具有頻寬=90%的全球資訊網資訊。當已經將時間 間隔應用到行動屬性時,雖若在應用到行動屬性之時間間 隔内提出執行行動之請求,才會像載明於行動屬性中那樣 地執行載明於決策中的行動。 通用化決策的建構例:圖2 9和3 0 圖2 9顯示決策資料庫290 1。決策資料庫290 1是決策資料 該決 (請先閱讀背面之注意事項再填窵本頁) Η 訂---------線 -122 私紙張尺度適用中國國家標準(CNS)A4規格(2〗〇 x 297公餐) 44838 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(120) 庫3〇1的—種修改;以便適應用語法28〇1所定義的通用化 決策,並且在一種已經將決策評估和決策施行分離的環境 T運作。於是,在圖29中,決策查詢2939是來自決策伺服 器地17而不是存取過濾器2〇3,因而包括:一種打算執行 疋仃動的說明符(specifier),以及一種資訊來源或打算執 行行動所針對的其它資源的規範(specif丨cati〇n)。將決策杳 詢的結果294丨轉回給決策伺服器2617。除了決策是否允許 該行動的一種指示外,該結果現在還包括與行動有關的屬 性數值。在圖2 9中而其功能維持不變的諸多圖3中的單元 都具有Έ:們在圖3中所具備的參考數字。就從存取決策 開始,資訊之第一附加項目是存取類型定義2929,它會定 義··諸多附加行動類別,可能針對它而將決策定義在存取 決策307中。其次,會有屬性資訊2927,它會定義:可能 附屬於涉及實行一項決策的諸多實體之屬性。包括在屬性 資訊2937内的則有下列各種資訊: 屬性指定2S>37,它會載明打算和屬性一起使用的是何 種,使用者群组,資訊集,網站,或服務; 屬性標記294 1,它會定義;在使用者界面中,為人所 熟知的諸多屬性名稱;以及 屬性特點2939,它實際上會定義.:屬性怎樣影響被它 才曰足的諸多使用者群組等等。 時程安排(schedules)資訊2925會定義:可能附屬於決策 或屬性的時間間隔。在時程安排資訊2925内,時程安排規 則293 1貫際上會定義時間間隔;而体假日表2们3則是—種 123 本紙張尺度_中關家標準X 297公g ) t IL .— I—-------- I^-灰.I I ------*151·____I I Ϊ I (請先閱讀背面之冱旮?事項再填寫本頁) 448387 Λ7 ------—--- Β7 五、發明說明(121) 使用在時程安排規則中的休假日表。資源類型5會定 義:可能定義決策所釺對的資源之類型’而使用者㈣ 土 2937貝| s定代.針對可能定義決策所針對的實體所需的 識別方法之類型。 在—較佳實施例中,使用公司之爲人熟知的: Microsoft®存取資料庫軟體來建構資料庫29〇1。存取軟體 是一種關係資料庫(relati〇nal database),那就是:將資料 庫中的資訊儲存在-些表中。在存取軟體中的—種公用程 式(utUity)會提供:一些表的圖像以及它們彼此的關係。 本申π案的圖1 3到1 7以及圖3 〇都是源自那些圖像。在圖 3 0中,出現在圖1 3到1 7中的一些表都具有它們在那些圖 中所具備的參考數字;而一些新的表則具有開頭是"3〇||的 參考數字。在圖3 0中的一些表3〇〇丨顯示:怎樣將用來定 義時間間隔和屬性的一些表加以整合進入決策資料庫29〇1 中。更籠統地説,它們顯示:怎樣藉由增加另外—些單元 而可能修改一項決策,以及怎樣針對決策而可能定義諸多 新單元類型。 時間間隔的詳細建構例 就k時間間隔開始,將這些時間間隔加以定義在時間間 隔表3025中。該表包括:一時程安排定義表3〇23,它會定 我可flti出現在通用化決策語法2801内的Timelnterval⑷ 2809中的名稱;以及一時程安排規則表3〇25,它會定義可 能與定義在”時程安排定義•,表3023中的名稱有關聯的時程 安排規則。一個以上的時程安排規則可能與一既定名稱有 -124- 本纸張尺度適用中國囡家標準(CNS)A4規格(2】〇χ 297公釐) (请先閱讀背面之注意事項再填寫本頁) ^--------訂---------線 .經濟部智慧財產局員工消費合作社印製 4483 8 7
AT B7 經濟部智慧財產局員工消貲合作社印製 五、發明說明(122 關聨。ScheduleDefm(時間安排定義〗D )使定義在表3〇25中 的每g時程安排規則都與使用表3〇23中之規則的時間排程 有關係,k Day Mask(工作日掩蔽)到Encj 〇ate(結束日期) 勺諸夕棚會足義時間安排規則。,,Descript丨⑽”(描述)糊 位則載示規則及其目的之描述。 如以下所提及的,可能針對整個決策以及針對決策中的 屬性而定義時間間隔。於是,定義在"存取決策"表Μ Η中 的每项決策現在都包括一個Schedu丨eDefID襴位。每個這樣 的欄位、都會包含:針對打算應用到決策之一時間間隔而在 表3〇23中之一定義的—個Schedu〖eDefiD識別符。於是’當 決策词服器2617正在決定一項決策是否可適用於一項行動 请求時,經由:在針對決策之表丨6 n内的登載項中,針對 時間間隔的ScheduleDefID欄位;它就能夠指出應用到—项 決策之時間間隔的位置。同樣地,"屬性指定"表3〇〇7,它 會使屬性與:使用者群組,資源集,網站,或服務有關 係,遠表包括:針對可適用於該特定屬性指定的任何時間 間隔的一個ScheduleDefID欄位。最後,用來定義時間間隔 的機制也被使用在用來時程安排警戒資訊之—較佳實袍例 中:於是,在表3023中的諸多登載項也都可以從 ,AlertSchedules"(警戒資訊時程安排)表3〇2 1中指出位置。 .屬性的詳細建構例 將用來定義諸多屬性並使它們與可能被應用的:使用者 群组,資源群组,網站,以及服務有關係的一些表顯示; 圖3 0中的屬性表3003中。一既定屬性是由三種表:”屬性 -125- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公髮 1--' I.---------裝.-------訂---------结 (請先閱讀背面之;i意事項再填寫本頁} 44838 經濟部智慧財產局員工消費合作社印*'^ A7 B7 -----^ 五、發明說明(123) 標記”表3005 屬性"表3011,以及11屬性特定,,表3009中的 登載項所定義的。"屬性標記"表3005會定義:用於針對在 決策定義語法2801内的ActionAttribute(s)中之諸屬性的標 1己。每個這樣的標1己都會有一個登載項,該登載項包括: 才尹6己本身’屬性之托;述’標§己之優先次序(precedence),以 及屬性之類型。標記之優先次序會定義:當一個以上的屬 性與決策評估連接時,將會應用哪些屬性。當一項指定具 有一種比另一項指定還高的優先次序時,就會將具有較低 優先次序的那一項指定不予理會。每個屬性標記登載項都 是由一個"AttributeLabellD"(屬性標記ID)加以識別的。 在"屬性"表3 0 11中的每個登載都會載示屬性之目前定 義。該定義可能具有用來識別”屬性標記,,表3〇〇5中之諸登 載項的一個或更多•'屬性標記ID "攔位。由屬性標記”表 3 0〇5中的那個登載項所定義的標記表示由,,屬性,,表3〇丨〖中 的登載項所定義的屬性。屬性的目前意義是由表3〇π中的 一些攔位加以定義的。包括有:屬性之描述,其類型,它 應用到的伺服器之I D ’以及關於伺服器的裝置類型。三 個欄位:"AttributeFeaturelD"(屬性特點 ID) , "valuel"(數 値1 ) ’以及’’Value2”(數値2 )都是特別感興趣的攔位。在那 裏,必須至少有一個"AttributeFeaturelD"欄位。該攔位會 識別"屬性特點"表3009中之一登載項,該表則會定義使; 在屬性中的諸多數値之種類和範圍。,,Vaiue^o,, VaIue2” 會定義:單一數値(Valuel)之目前範圍,或者兩種數値 (Valuel和Value2兩者)之目前範圍;該數値係選擇自針對"屬 -126- 本紙張尺度適用中國國家標準(CNS>A4規格(210 * 297公爱) 1 Ί I.---------'裝--------訂---------姨 (請先閲讀背面之;1帝?事項再填寫本頁) 4838 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(124) 性特點"表3009中之屬性而定義的諸多數値之種類和範 圍。 就像從前述中將會顯而易見的那樣,"屬性特點"表300ί 能夠被用來定義諸多新屬性種類。在表3〇〇9中的每個登載 項都會包括用來指出登載項之位置的,,屬性特點丨d ,,識別 付及一些搁位如下: •類別7屬性所屬的類.別之名稱(譬如說:服務品質, 結帳費率,或交易之最大數量): •特點I D :唯一定義在其類別内之特點的數字; .名稱:使用者藉由它來瞭解特點的名稱: • 描述:特點的一種描述; .數値類型:定義屬性的諸多數値之類型的—種定義 (譬如説:需要單一數値還是一對數値,以及資料類 型資訊); .特點優先次序:次序的一種指示,依照該次序將諸多 特點應用在評估屬性中; •數値優先次序:打算選擇範圍中的最高數 數値的一種指示;以及 .限制··對於數値之限制的—種指示。 要定義新屬性類別,被決策伺服器2617之決策 :的管理員只是定義針對”屬性特點"表3_中之二二 特4,然後再開始定義使用那些特點的屬#。 能是:對將要施行決策的決策施行器26〇9而言是很:’音: 的任何事物。此處應該要注意的是:可能將用來定= 127- 本紙張尺度Ϊ用中國國家標準(CNS)A4規公f f- -----------Μ--------IT---------線 (請先閲讀背面之法意事項再填寫本頁) 4 483Γ A7 B7 經 濟 部 智 .¾ 財 產 局 Μ 工 消 費 合 ii 社 印 製 五、發明說明(125) 新屬丨生&類的—些上述通用技術使用在決策資料庫2901中 的Λ·!處α便足義諸多:新行動,用來識別使用者的新方 法,以及新資源類型。 了屬性已經藉由三種表:3〇〇5,301 1及3009中的資訊 加=疋義’它就會與一個屬性可能應用到的實體有關係。將 此實體稱為:屬性之主體。·,屬性指定"(At—ment) 表j〇〇7會載明這些關係。在表“ο?中的每個登載項都會使 載月在ί:的AttributeLabellD”(屬性標記I d )中的屬性與單 :王體有關係;料,它可能使屬性與—使用者群组有關 係,而該使用者群組的成員則可能執行—項涉及主體的行 動。右登載項未載明一使用者群組,則屬性應用到主體之 任何用途,在其它情況,只有當被載明使用者群组使用主 禮時屬〖生才會應用,主體可能是:使用者群組,資源集, 網站,或服務;就像藉由諸多欄位B "使用者群组1D",,,資 源群组I D ”網站丨D .,,以及"伺服器丨D "的數值加以載 明的那樣。在表3〇07中的另外一些欄位會指示:屬性是否 為現用的(即:打算目前應用的),應用程式應該何時開 始,它何時滿期’以及屬性是否涉及時間間隔,針對時間 間隔的ScheduleDefID”數值。"優先次序”欄位則指示:在 指定給一既定實體的諸多屬性中,屬性將會具有的優先次 序。 在決定將哪些屬性應用在制定一項決策方面中,失策飼 服器26Π繼續進行如下:當完成決策評估時,針對指向與 決東汗估有關的使用者群组,資源群組,網站,或服 -128 本紙張尺度翻中國國家標準(CNS)A4規格(210x 297公爱 _ ^-------------------媒 (請先閲讀背面之注意事項再填寫本頁) 44838 7 ΑΓ B7 經濟部智竑財產局員工消費合作社印製 五、發明說明(126 ) 務"中任何—個的諸多通信鏈路,加以搜尋在 屬性W資m。若執行行動之實體屬於屬性應用所針對的 」吏用者群組,則順著來自表3007中之屬性指定的諸々: h鏈路走,就會來到表则5中的屬性標記,依序 : 3011中的屬性’最後來到表则9t的屬性特點。這 接表中的每一種轰1 ~匕4 徑衣(除了表3011外)都會包含優先次序^ 訊’使用琢資訊來決定:針對那些順著所有通信鍵路而 發現的屬性,在表3011中有哪些屬性實際上將會庳 策評估。 j决 一針對每個類別的屬性而各別地考慮這些優先次序,就像 藉由表3〇09中的屬性特點加以定義的那樣。在每個類別 内,首先考慮:在表3007中的屬性指定中的優先次序。雖 然共享相同優先次序的所有指定都會被考慮,但是只有那 些具有最咼優先次序數値的指定才會進一步被考慮。其 次,考慮:針對其餘的已鏈接屬性,在表3 〇〇5中的屬性標 記中的標記優先次序。雖然共享相同標記優先次序的所有 標記都會被考慮,但是只有那些具有最高優先次序數値的 標記才會進一步被考慮D其次,考慮:針對其餘的已鏈接 屬性,在•,屬性特點”表3009中的登載項中的特點優先次 序。只有那些共享最高特點優先次序的屬性才會被保留。 最後,對於在表301 1中的每個屬性而言,該屬性被鏈接到 "屬性特點”表3009中的相同登載項:在,,屬性特點”表3009 中的數値優先次序,藉著指示打算選擇的是最高數値還是 最低數値而被用來決定:要使用來自表3011中的哪個屬 129- 本紙張尺度適用中0國家標準(CNS)A4規格(210 x 297公发) ^訂---------線 ί請先閱磧背面之注音?事項再壤寫本頁} 448387 A7 B7 五、發明說明(127 這時候’對於在表30λ 言,定義在表30U中最?中的諸多有關屬性特點登栽,而 登載項中的㈣和會保持原狀,而在這些 ...^ ^都和會被轉回,以便用於評估決 朿。在某些情形下,社本 τ 1石决 叫木可旎指示需要何種屬性數値. 且,若Έ:們與載明在唼笛 豆,並 可能被拒絕:在其它掊形丁 々 則“求 开/下,將諸多屬性數値提供給決g 施行2609,以便用於執行行動。 。决朿 使屬性表3003和時間間隔表3025最佳化 就像在上述存取過遽器2Q3的討論中所描逑的以及在圖 21 中所圖解說明的那樣,在-較佳實施例中的決策 词服器2617,藉菩你甘士* …孝仗其中產生諸多MMF檔案2303而使決策 貧料庫2901最佳化。在較佳實施例中,已經增加兩個新 麵檔案,以使表扇3和3()25中的資訊最佳化。兩 MMF檔案如下: • DBPn>perties(資料庫”特性")擋案:包含能夠應用到其 ^件的所有,,特性、屬性及時程安排。此索引(index) 疋藉由在那些其它物件中的”特性I D ”加以编製索引 的。 • DBPropertiesMetaData(資料庫,,特性元資料“)檔案所 有特性都有一個名稱。此檔案是藉由特性類型名稱加 以编製索引的(對於包含在DBpr〇perties檔案中的每個 1争性名稱而言,在索引中具有一個登載項);並且將 一些名稱映射到諸多特性I D之一列表,以使它們在 -130- 本纸張尺度適用t國0家標準(CNS)A4規格(210 X 297公发) (請先閱續背面之注意事項再填寫本頁) ^---------訂---------線 經濟部智慧財產局員工消費合作社印製 448387 經濟部智慧財產局員工消費合作社印*·1^ A7 B7 五、發明說明(128) DBProperties樓案中很快地被查出2 針對時間間隔的使用者界面:圖3 1到3 3
圖3 1到3 3顯示:使用在一較佳實施例中,A T在圖形使用 者界面中所使用的視窗;用來:察看何,時間間隔(气時 程安排)已經被定義,定義針對一時間間隔的—項切—_ 只現則, 以及使用一時間間隔與一項決策有關聯。就闽 ' 坑坆圖3 1開 始,該圖顯示:一種用來顯示已定義時程安排的見^ 3 102。子視窗(subwindow)3 103會依照名稱列示阱古 "丨匁的已定 義時程安排;而子視窗3 106則會依照名稱列示所有的已定 義规則。被顯示資訊是來自·· ”時程安排定義"表3〇?3和” 時程安排規則”表3025。 要察看一時程安排名稱表示何種規則,使用者會選擇在 子視窗3 1 03中的名稱,如3 1 05處所顯示的,在該處,已 選擇"非工作時間"。此時程安排具有兩個组成規則:_個 表示每周之工作曰,顯示在3107處:一個表示周六,周 曰’及休假曰’顯示在3 109處。當選擇時程安排名稱時, 屬於它的(諸多)規則都會被凸顯在視窗3 1 06中。相反地, 當選擇規則時,針對使用該規則的諸多時程安排的時程安 排名稱都會被凸顯出來。在子視窗3 1 06中的3 1 1 1處顯示: 針對營業時間的規則:而在子視窗3 103中則顯示:另外一 些時程安排名稱。 要產生一項新時程安排,當子視窗3 1 03處在現用狀態時 就點按"新增"桉鈕,並輸入新時程安排名稱:然後再選擇 新時程安排,並將屬於它的一些规則凸顯在子視窗3 102 -131 - 本紙張尺度適用中固國家標準(CNS)A4規格(210 X 297公釐) ------------^*-------訂-----------線 (請先閱讀背面之注意事項再填寫本頁) 448387 A7 五、發明說明(129 ) 中。要改變指定給一時程安排的一些規則,先選擇時程安 排名稱,然後在子視窗3丨〇6中選擇針對該名稱的不同規 則。要產生針對一現存時程安排的一項新規則,先選擇時 程安排之名稱並點按,’新增”按鈕,在當時就可能產生新規 則,如以下描述的。當處於子視窗3 1〇6中時,也能夠點按 "新增’’按鈕,產生新規則,然後再使新規則與一時程安排 名%有關係,如以上描述的。藉著將規則拖曳(draggiM) 到時程安排名稱,並且將它棄置在時程安排名稱上,也^ 夠使一項規則與一時程安排名稱有關係^ 知用來產生一項新規則的視窗顯示在圖3 2中的32〇 1處。 化疋用來修改一現存規則或產生一項新規則的視窗。要修 改現存規則,就對它點按二次。在视窗中的輸入資訊會 允許使用者:依據時程安排之時間的有效性來定義正在被 應用到決策或屬性的時間間隔(32〇3),定義被選擇時間都 有效的每周之工作曰(32〇5),定義時程安排有效的工作周 (3207),以及定義時程安排有效的每年的一部份(32〇9)。 如圖示,視窗3 2 0丨將顯示於圖3 1中的時程安排定義在3 π 1 處。該時程安排是由"營業時間"所表示。顯示於視窗32〇 i 中的資訊是來自"時程安排規則,,表3〇25,而使用視窗32〇1 所做出的諸多修改則被應用到該表β 圖3 3顯示:用來將時間間隔增加到一項決策之定義的視 a »視窗3301將由屬於_,社囷”(c〇rp〇rate)使用者群组諸多 使用者存取”社團"資訊集限定爲:在33〇3處所指示的,,營 業時間”之時程安排。當使用者點按方框33〇3時,就會顯 132 •紙張尺度適用中固因家標準(CNS)A4規格(21〇χ297公爱〉 f锖先閱1#背面之注意事項再填窵本頁) X- --------線 經濟部智¾財產局員工消費合作社印製 4483 8 經濟部智慧財產局員工消費合作社印製 A7 B7 五 '發明說明(13〇) 示諸多已定義時程安排的整個列表’因而使用者可能選擇 其中一個或增加一項新名稱。當使用者點按,,定義"按紐 3305時,就會顯示針對被選擇決策的視窗32〇丨。若~正在增 加-項新名肖,則必要時使用者會針對新時程安排而填^ 視窗3 2 01 ^依據圖3 〇 ,選擇在圖3 3中之—時程安排會使,、存 取決策表161 1中之一"ScheduleDefID"欄位被填寫:針對,,時 程安排定義表3023中之登載項的識別符;而表3〇23則將 時程安排名稱包含在它的"名稱"攔位中。若時程安排名稱 是新的,則針對新名稱而將一新登載項增加到表3〇23。若 增加或修改一項規則,則”時程安排規則,,表3〇25也會被修 改。 針對屬性的使用者界面:圖3 4到3 7 針對屬性定義和指定的使用者界面是相似的。圖34顯示: —種列示服務品質(quality of service,簡稱Q〇s)類型的諸 多目别已定義屬性的視窗3 4 01。這些屬性決定:有多少頻 寬(bandwidth)可供一種根據既定決策而正在執行的存取操 作利用°在3401處’列示有一些屬性標記或名稱。此處,定 義四種QoS屬性:三種表示頻寬數量("高”,"中",,,低"),一 種(”最高優先級")表示若有衝突時的優先級(Priority)。所 有的這些屬性都有一種。的優先次序,如在3405處所顯示 的。諸多頻寬屬性全部都由”頻寬"特點加以定義,如在 3407處所顯示的。針對每個屬性的"數値"則被定義在3409 處。只有"最高優先級”才會有"數値2 ”。就像載明於視窗 3401中的那樣,QoS頻寬屬性中的:11高"會接收512000的 -133- 本紙張尺度適用中國國家標準(CNS)A4規格(210 « 297公釐) i— J I.----— — 111 ---I----訂 * ---11*'^ (請先Μ讀背面之d意事項再填寫本頁) 448387 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(131) 最大頻寬’"中·'會接收64000的最大頻寬,而"低”則合接 收3 2000的最大頻寬。關於”最高優先級",針對屬性所載 明的優先級必須位在針對"數値1 "和”數値2,,所栽明的兩 個數値之間。在視窗3401中的資訊當然是來自三種表: 3005,3011,以及 3009。 圖3 5顯示:用來將一種Q〇S屬性指定給使用者群组,資 訊集’網站,或服務的視窗350 1。在予視窗3503中,顯 示:對於所有使用者群組(3507)而言,已經怎樣將,•中", "高”,以及低"三種QoS頻寬屬性(35〇9)分別指定給全球 資訊網服務’檔案傳送服務,以及遠距存取服務三種主體 (35 1 1 ),以及已經怎樣將”高"q〇s優先級屬性指定給"財務" (Finance).使用者群組主體。諸多不同的指定會反映以下事 實:頻寬是一種通信服務的屬性,而優先級則是通信服務 之一使用者的屬性。於是,在可供網路服務利用的頻寬 内’,,財務"使用者群组的諸多成員都具有高優先級。就像 由本實例所顯示的那樣,一個以上的行動屬性可能應用到 一項決策。若能夠藉著從兩個子視窗3 5 13和3 5 1 5中分別選 擇些使用者群組和主題來產生針對主題的屬性,則會促 進屬性指定。在此視窗中所做的選擇當然都會被應用到Μ屬 性指定"表3007。用與視窗3 102觸及諸多用來定義屬性標 δ己和特點的視窗相同的通用方式,就能夠進一步使用视窗 3 5 03 ° 圖3 6顯示:用來讀取,修改,或產生,,屬性標記,,表3〇1 [ 中·^一登載項的視窗360i。此處,正在讀取的登載項是針 -134- 本A張尺度關家標kcns…規格⑵㈤π公爱) (請先fiati背面之注音?事項再填驾本頁) ^-0 ------结
4483S A7 B7 經濟部智慧財產局員工消費合作社印製 五、發明說明(132) 對_,中’’QoS頻寬屬性。在3603處,顯示有:登載項之,,標 記”,"描述",及"標記優先次序"襴位的數値。具有適當 存取權利的管理員當然能夠經由視窗3 6 〇丨而改變這些攔: 的數値。在3605處,顯示:針對與標記有關聯的屬性,來 自,,屬性1_表301丨中之登載項的資訊。在那裏顯示有:在登 載項中之數値1 的目前數値’以及特點之名稱。特點名 稱當然疋來自針對該屬性之"屬性特點"表3 〇 〇 9。再者,可 能經由視窗3601而編輯這些數値》按鈕36〇7被用來檢視一 種視窗,琢視窗會顯示:在”屬性特點,,表3〇〇9中之特點登 載項的完整内容。 圖37顯示該視窗。視窗3701是用來定義針對一既定屬性 類別及诸^新屬性類別的諸多新屬性_的視窗◊視窗當然會 依照"屬性特點"表3009中之一登載項的數値而運作。方框 3703是諸多屬性類別之一列表;可能藉由增加到列表來定 義新類別。方框3705是目前特點之名稱;在它們(類別與 名稱)之間會唯一地識別一登載項,而類別與名稱則對應 於表3009内的諸多登載項中的"類別"與,,名稱,,兩個欄位。 在這種情形下’登載項是針對qoS"優先級屬性"(Pri〇dty attribute)。”描述,•方框3707會包含:在正在被檢視之登載 項中的"描述"之數値。3709指示:特點具有哪種數値類 型’此處疋一對數値’如圖3 4中所指示的。在3 7 Π處, 顯示有:”特點優先次序”和"數値優先次序兩個欄位的目 前設定値:而在3 7 1 3處,則會出現任何限制資訊。 結論 -135- 本紙張尺度適用中囷國家標準(CNS)A4規格(210 X 297公釐) <請先閱讀背面之注意事項再填寫本頁) 裝 —-,I nl· i— n i^i 镍
44838 J 經濟部智慧財產局員工消費合作社印製 A7 ________B7______ 五、發明說明(133 ) 3結論 +前面的閣述已經對那些熟習於與閣述有關之技藝的人披 露:用來建構通用以決策伺服器的最佳模式,該模式目前 疋此處所披露之通用決策伺服器的諸多開發者所熟知的。 如以上描述的,通用決策伺服器的兩項基本特點是:將決 策評估與決策施行分離,以及關於能夠制定決策所針對的 諸多行動類型的可擴充性 關於將決策評估與決策施行分 離,諸多決策施行组件可能被定位在決策應用到之系統中 的不同層級處;而諸多決策評估組件則可能是在遠離諸多 決策組件之位置的位置處。 雖然用來將決策評估與決策施行分離的技術,以及關於 能夠執行諸多行動種類而使決策可擴充的技術都可能被應 用到用來定義的任何機制;可是當該技術使用在依據一些 行動和諸多實體之集合來定義決策的一些決策施行系統^ 時,它們都是特別有用的。在這些系統中,也可能使得可 ,執行行動的諸多實體之類型以及執行行動所針對的諸多 實體之類型都是可擴充的。 會增加系統之有用性而在此處所披露之決策施行系统的 1外一些特點是:行動屬性,它會定義打算執行由決策授 權又一仃動所依照的方式以及時間間隔;該時間間隔則會 疋義:決策有效時或一屬性被應用到一項行動時的時間: 一,圖形使用者界面會提供:諸多決策及其組成部份的簡 易定義和操縱方法。 s 就像對那些熟習於有關技藝者而言將會立即顯而易見的 -136- 本灰張尺度翻令圏國家標準(CNS)A4規格(210 x 2g7公发) 1-----------K--------訂--------- (請先闓讀背面之注意事瑣存填寫本頁〕 4*483 8 " A7 _____B7_ 五、發明說明(134) 那樣,此處所描述的很多技術都可能被應用在任何種類的 決策施行系統中:並且,甚至是在一種以此處所描述的方 式來定義決策的決策施行系統中最有用的那些技術,也可 能用很多不同的方式加以建構。譬如說,可能使用不同的 圖形使用者界面’可能使用不同的資料庫系統來建構決 策:並且在一既定資料庫系統内,可能使用諸多不同的表 安排。於是,此處披露的諸多原理的無限多個其它實施例 都有可能;並且,爲此緣故’在各方面,打算將"闡述"視 爲範例而不具限制性;因而決定此處披露之本發明的函蓋 範圍(breadth)並不是來自"闡述",而是來自像利用被專利 法律允許的完全涵蓋範圍所解釋那樣的申請專利範圍。 L-r--,----------裝--------訂---- (請先閱讀背面之注意事項再填寫本頁} 、续 經濟部智慧財產局員工消費合作社印製 -137- 本紙張尺度適用中國國家標準(CNS)A4規格(210 χ 297公釐)

Claims (1)

  1. 經濟部智慧財產局員工消費合作社印製 448387 A7 ------- B7 五、發明說明() 1. -種用來施行決策的決策施行系統,該決策會克義:在 7腦系,中所定義的諸多第—實趙可能針對在電腦系 統中所足義的諸多第二實體執行哪些屬於其中第一麵 型的行動,該決策施行系^所屬的類型,包括:' :決策词服器’它包括諸多決策之一決策資料庫;以及 一決策施行器;它會控制第—行動類型之執行 (performance),並且能夠將一項用來執行第—類型之行 動的請求傳達給決策伺服器;唯若來自決策伺:器之 =回應指示:決策允許該行動,決策施行器才舍允許 盯動疋執行,而該決策施行系統則具有特微為: 決策資料庫是可以擴充的,以便包括釺對屬於其中 附加類型之諸行動的決策;因此,可能將—種會控制 附加類型之朽·動之勃_行的附加》策施行器増加到決策 施行系統。 2 .根據申請專利範圍第i項之決策施行系統’進一 特徵為: 決策資料庫是屬於依據第一實體之集合和第二實體之 集合來定義決策的類別;以及 、 ”決策資料庫是可以進—步擴充的,以便包括:—附加 第一贯體類型及/或一附加第二實體類型。 3 .根據申請專利範圍第2項之決策施行系統,進—步具有 特徵為: 〃 一項行動屬性可能在資料庫中與第一實體之集合及/或 第二實體之集合有關聯,該行動屬性會載明:打算執行 -138· 本紙張尺度適用中國國家標準(CNS)A4規格(210 x297公楚) 4 ,---------.裝--------訂·--------^ (請先閱讀背面之注意事項再填寫本頁) 448387 A8 B8 C8 D8 六、申請專利範圍 第—’體々集合中的諸多實體及,或在第二實-i 不δ中的諸多實體而載明在― 、 依照的一種方式。 弋決策中的—項行動所 4.根據中請專利範園第3項之決 特徵爲: 仃系..无’堪一步具有 決策資料庫是可以進一步撼一。 齡’… 5 ·根據申請專利範圍第 有特徵爲: 附加決策施行器會在電腦系 執行,該層級與決策施行器控層級處㈣行動之 不同。 之執行所處的層級 6·根據申請專利範圍第 有特徵爲: & 電中至少有—個是在遠離決策词服器之 4系統中的一個位置 7-根據申請專利範園第 有特徵爲: fk 行系統,進一步具 行系統,進一步具 行系統,進一步具 k--------訂---------線. ί請先閲讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印M 決策施行器會控制不是電腦系統之—部份的第二實 體。 、 8.種屬於依據第一實體之集合,第二實體之集合,以及 著多行動來定義決策之類別的決策資料庫,—既定決 朿會疋義:屬於既定第一實體之集合之—實體可能針 對屬於既定於第二實體之集合之—實體執行的一項既 -139- 本纸張尺度適用中國國家標準(CNS)A4規格(21〇 x 297公釐) 448387 A7 ---------B7 五、發明說明() 定行動;該決策資料庫具有特徵為: 一項另加條件可能在資料庫中與既定決策有關聯,該 另加條件會在屬於既定第一實體之集合之一請求實體 提出一項詩求以執行針對屬於既定第二實體之集合之 -實體的既定行動之時決定:請求實體是否可能執行 該行動。 9.根據申請專利範圍第8項之決策資料庫,進一步具有特 徵為: —另加條件是一種與既定決策有關聯的時間間隔規 範’時間間隔規範會載明時間之間㈤;在#問間隔期 間,屬於載明在既定決策中的既定第一實體之集合的 諸多實體可能執行:針對屬於其中所載明的既定第二 實體之集合的諸多實體,其中所載明的既定行動。 Π)‘-種屬於依據第一實體之集合,第二實體之集合,以及 諸多行動來定義決策之類別的決策資料庫一既定決策 會定義:屬於既定第—實體之集合之—實體可能針對屬 於既^二實體之集合之—實體執行的—項既定行動; 該決策資料庫具有特徵為: -項行Μ性可能在資料庫中與既定第—實體之集合 及/或既定第二實體之集合有關聯,該行動屬性會載明: 打算執行載明在既定決策中之既定行動所依照的一種方 式。 η.根據申請專利範圍第10項之決策資料庫, 徵為: -140 表紙張尺度適用中國國家標準(CNS)A4規格(210x297公发 (請先閱讀背面之注意事項再填寫本頁) .si---------訂---------,¾ 經濟部智慧財產局員工消費合作社印製 44838 7 0088¾ ABCS 六 經濟部智慧財產局員工消費合作社印製 圍 々孝專 青 =° 申 ㈣策資科庫是可《擴充的,《便包括諸多新行動屬性⑽线州庫卞步具有特 -種行動屬性條件可能在資料庫 -行動屬性有關聯,該行動屬性條件會在十::決策之 請求之時決定:屬於既定第—實請求貫證提出 是否能夠執行針對在既定第二實體二=-請求實體 既定行動’該行動是如行動屬性中所:二-艾體的 -141 - 本纸張尺度適用中固國家標準(CNS)A4規格(210 X 297公釐) ------ ( -I I n I I I-- - 1« n - - 一。,* It - - I f[ I f (請先閱讀背面之注意事項再填寫<頁)
TW088110985A 1998-06-29 1999-09-06 Generalized policy server TW448387B (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US9113098P 1998-06-29 1998-06-29

Publications (1)

Publication Number Publication Date
TW448387B true TW448387B (en) 2001-08-01

Family

ID=22226237

Family Applications (1)

Application Number Title Priority Date Filing Date
TW088110985A TW448387B (en) 1998-06-29 1999-09-06 Generalized policy server

Country Status (3)

Country Link
EP (1) EP1105809A4 (zh)
AU (1) AU762061B2 (zh)
TW (1) TW448387B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7561530B2 (en) 2005-12-30 2009-07-14 Industrial Technology Research Institute Executing system and executing method of intelligent rule base service
TWI493367B (zh) * 2009-08-17 2015-07-21 微軟公司 搜尋結果之先進過濾方法

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110198248B (zh) * 2018-02-26 2022-04-26 北京京东尚科信息技术有限公司 检测ip地址的方法和装置
CN115865683B (zh) * 2023-03-02 2023-05-23 山东创安交通预警工程有限公司 智慧社区设备管理系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1997000471A2 (en) * 1993-12-15 1997-01-03 Check Point Software Technologies Ltd. A system for securing the flow of and selectively modifying packets in a computer network
US5720023A (en) * 1994-03-28 1998-02-17 British Telecommnications Public Limited Company Appartus and method for storing diagram data
US5752245A (en) * 1994-12-09 1998-05-12 Object Technology Licensing Corporation Object-oriented system for configuration history management with a project workspace and project history database for draft identification
US6035399A (en) * 1995-04-07 2000-03-07 Hewlett-Packard Company Checkpoint object
US5721908A (en) * 1995-06-07 1998-02-24 International Business Machines Corporation Computer network for WWW server data access over internet
GB2317539B (en) * 1996-09-18 2001-03-28 Secure Computing Corp Generalized security policy management system and method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7561530B2 (en) 2005-12-30 2009-07-14 Industrial Technology Research Institute Executing system and executing method of intelligent rule base service
TWI493367B (zh) * 2009-08-17 2015-07-21 微軟公司 搜尋結果之先進過濾方法

Also Published As

Publication number Publication date
AU4838699A (en) 2000-01-17
EP1105809A2 (en) 2001-06-13
AU762061B2 (en) 2003-06-19
EP1105809A4 (en) 2005-10-05

Similar Documents

Publication Publication Date Title
US9154489B2 (en) Query interface to policy server
US7912856B2 (en) Adaptive encryption
US7821926B2 (en) Generalized policy server
US7580919B1 (en) Query interface to policy server
US7272625B1 (en) Generalized policy server
USRE46439E1 (en) Distributed administration of access to information and interface for same
Fernandez-Buglioni Security patterns in practice: designing secure architectures using software patterns
US6105027A (en) Techniques for eliminating redundant access checking by access filters
US6178505B1 (en) Secure delivery of information in a network
AU733109B2 (en) Methods and apparatus for controlling access to information
JP2011044178A (ja) バイオメトリックデバイスを用いて企業リソースへのアクセスを可能にするシステム、方法およびコンピュータプログラム製品
WO2000000879A2 (en) Generalized policy server
JP2003271560A (ja) 分散ネットワークサービスにおけるアクセス制御装置およびポリシー実施装置
WO2000079434A1 (en) Query interface to policy server
TW448387B (en) Generalized policy server
Lynch The changing role in a networked information environment
TW464812B (en) Query interface to policy server
Babu et al. A Survey on Blockchain for Access Control Models: Security, Transparency, and Challenges
JP2001318889A (ja) ディレクトリシステム
Wu Adaptive privacy management for distributed applications
Seamons et al. Trust negotiation in dynamic coalitions
Rosenhamer What AMANDA offers
Kuehnhauser A classification of interdomain actions
Pluta et al. Identity & Access Control Management Infrastructure Blueprint—Design Principles for True Informational Self-Determination
Eidson Additional Security Considerations for Grid Management

Legal Events

Date Code Title Description
GD4A Issue of patent certificate for granted invention patent
MM4A Annulment or lapse of patent due to non-payment of fees