TW448387B - Generalized policy server - Google Patents
Generalized policy server Download PDFInfo
- Publication number
- TW448387B TW448387B TW088110985A TW88110985A TW448387B TW 448387 B TW448387 B TW 448387B TW 088110985 A TW088110985 A TW 088110985A TW 88110985 A TW88110985 A TW 88110985A TW 448387 B TW448387 B TW 448387B
- Authority
- TW
- Taiwan
- Prior art keywords
- access
- decision
- information
- user
- database
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6236—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
經濟部智慧財產局員工消費合作社印製 4483 87 A7 ______B7 五、發明說明(1 ) 1網路中資訊之安全遞送 交又參看有關專利申請案 2交又參看有關專利申請案 本專利申請案對:在1998年6月29曰,由韓纳爾(Hanne!), 皇il_M_(Lipstone) ’及史耐德(Schneider)楛出申請,標題爲 通用決策飼服器”的美國臨時專利申請案第60/091,130號 享有優先權》本專利申請案並且是:在1998年3月4曰, 由主衛·史耐德(David Schneider)等人提出申請,標題爲"存 取資訊之分佈型管理"的美國專利申請案(U.S.S.N)第 09/034,507號之一續篇部份;因而包含該專利申請案的整 個闡述和附圖。本專利申請案中的新資料始於標題爲,,使 用在存取過濾器203中的諸多技術之通則I,的章節,並包括 一些新附圖2 6到3 7。 發明背景 2發明背景1 .發明領域 3 1 .發明領域 本發明通常與存取資料之控制有關:且説得更明確些, 與存取在分佈型環境中的存取資料之控制有關。 2 ,有關技藝之描述 3 2 ·有關技藝之描述 網際網路(Internet)已革新了資料通信。已經藉由提供諸 多通信協定(protocols)和定址方案來達成,不論:電腦系 統的實體硬體(physical hardware),被連接到的實體網路種 類’或者被用來將資訊從一個電腦系統發送到另—個電腦 -4- 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公餐) ------t I----I --------訂·--------i ------ (請先Μίί背面之注意事項再填寫本頁) 448387 A7 經濟部智慧財產局員工消費合作社印製 ---------B7_____五、發明說明(2 ) 系’先的諸多貫體網路種類如何,該方案使得世界上任何地 方的任何電腦系統和世界上任何地方的任何其它電腦系統 父換資訊成爲可能。使得兩個電腦系統交換資訊的一切要 求疋:每個電腦系統都要有一個網際網路位址及針對通信 k定所需的軟體;並且,藉由許多實體網路的某種組合, 兩個機器之間會有一條路由(route),它可能用來載送根據 通信協定而構築的訊息。 然而’電腦系统可能經由網際網路來交換訊息之如此容 易已赵造成諸多問題。在—方面,它已經使存取資訊變得 前所未有之容易和低廉;在另—方面,它已經使它更難保 護資訊。網際網路在兩方面已經使它較難保護資訊: • 較難限制存取操作。假如可能經由網際網路來存取資 訊’就有可能隨著存取網際網路資訊而存取任何人的 資訊。一旦有經由網際網路而存取資訊,阻擋熟練入 侵者就會變成一種困難的技術問題。 • 經由網際網路,在途中(en route)較難維護安全性"將 網際網路建構作爲一種分包資訊交換網路(packet switching network)。不可能預測訊息由網路將會採取 什麼路由。更不可能保證所有資訊交換(switches)的安 全性,或保證包括那些載明其來源或目標的訊息部 份:在途中都未曾被讀取或改變。 圖1顯示:目前用來增加可經由網際網路存取資訊之網 路安全性的技^。圖1顯示:網路101,它由兩個分離内部 網路103(A)和103 (B)組成,該内部網路皆由網際網路111所 -5- 本纸張尺度適用中囤國家標準(CNS)M規格(210x297公a ) (請先閱筇背面之it意事項再填寫本頁) '1----- — 丁____ I言 線丨 4483 87 經濟部智慧財產局員工消費合作社印*]衣 Α7 Β7 五、發明說明(3 ) 連接。雖然兩個網路丨〇3(A)和丨〇3(β) 一般説來都不可存取 資訊’但是從某種意義説來,它們都是網際網路的—部 份:在這些網路中的電腦系統都有網際網路位址,並且都 會使用網f祭網路通信協定來交換資訊。兩個這樣的電腦系 統出現在圖1中,就像在網路1 03(A)中的請求者(requestor) 105以及在網路103(b)中的伺服器113那樣。請求者105正在 請求存取能夠由伺服器U3提供的資料。附接到伺服器113 的是一種大量儲存裝置115,該裝置包含正由請求者1〇5請 求的資料1 17。當然,對於其它資料而言,伺服器U3可能 是請求者’而請求者丨05則可能是伺服器。而且,在目前 上下文中,存取操作被認爲是:能夠讀取或改變儲存在伺 服器1 13上之資料或者能夠改變伺服器113之狀態的任何操 作。在提出請求方面,請求者105正在使用諸多標準 TCP/IP(傳輸控制通信協定/網際網路通信協定)協定中的 一種協定。如此處所使用的,通信協定是能夠被用來交換 諸多電腦系統之間的資訊之一訊息集的—種描述。 知根據一種通信協定而正在通信的諸多電腦系統之間所 發送的些貫際訊息集體稱爲:對話(s e s s i ο η)。在對話期 間,清求者1 0 5根據通信協定將訊息發送到伺服器η 3的網 際網路位址,而伺服器丨13則根據通信協定將訊息發送到 請求者1 05的網際網路位址。請求及回應兩者將會藉由網 際網路111而在兩個内部網路1〇3(Α)和〗〇3(Β)之間運行。土 伺服器113允許請求者105存取資料,則在對話中從伺服器 113流到請求者1〇5的一些訊息將包括被請求資料1丨7 ^將 本紙張尺度適用中囷Θ家標準(CNS)AJ規格 (210 X 297公釐) (請先闇讀背面之注意事項再填寫衣頁) ,4------- 線> 4483 8 7 A7 B7 五、發明說明(4 ) 必要時藉由網際網路而回應訊息之伺服器1丨3的諸多多軟 體组件稱爲:服務(service) 9 若兩個内部網路103 ( A和B )之擁有者想要確信:只有直 接連接到網路103(A和B )之諸電腦系統的使用者才能夠存 取資料Π 7,以及請求及回應之内容在那些網路之外皆不 爲人所知:則該擁有者必須解決兩項問題:確信何服器 113並不會回應來自與連接到内部網路之那些電腦系統不 同的電腦系統之請求;以及確信:雖然都是經由網際網路 1 1 1轉接中(in transit),可是存取網際網路! 11資訊的人都 無法存取或修改請求及回應。有可能達成這些目標的兩種 技術爲:防火牆(firewalls)及使用加密的鑿隧道操作 (tunneling) ° 概念上,防火牆是内部網路與其餘的網際網路n 1之間 的一道障壁(barrier)。防止牆出現在109(A)和(B)處。防火 牆109(A)保護内部網路103(A),而防火牆109(B)則保護内 部網路103(B)。藉由一種在電腦系統中運作的通路(gate way)來建構防火牆,該電腦系統被安裝在内部網路被連接 到網際網路的地方。包括在通路中的是一種存取過濾器: 它是電腦系統中的一套軟體和硬體組件,會針對儲存在内 部網路之内的資訊而核對來自内部網路之外的所有請求: 並且,若它來自有權存取資訊的來源,則只會將請求發送 在内部網路上。在其它方面,它會捨棄該請求。兩個這樣 的存取過濾器:存取過濾器107(A)存取過濾器107(B)則出 現在圖1中。 本紙張尺度適用令0國家標準<CNS)A4規格(210 X 297公釐) (請先Λ3讀背面之注意事項再填窵本頁) k--------訂---------線 ' 、 經濟部智慧財產局員工消費合作社印製 ;3 3 8 7 A7 _____B7 五、發明說明(5 ) 若能夠肯定答復兩個問題,則來源有權存取被請求資 訊:
(fr先閱tf背面之注意事項再填寫本FC •來源實際上就是亨有權利人或物嗎? • 來源有權存取資料嗎? 將找到第一問題之答案的過程稱爲:鑑定。藉著將資訊 提供到識別使用者的防火牆,使用者親自對防火牆加以鑑 定。在這種資訊中有下列幾項。 由 種爲使用者所有的鑑定令牌(authentication token) (有時候稱爲智慧卡(smartcard))所提供的資訊; •使用者機器的作業系統識別;以及 *使用者機器的I P位址和網際網路網域名稱(domain name) 0 防火牆用於鑑定的資訊可能是在頻帶内(in band),那就 是:它是通信協定的一部份;或者,它可能是在頻帶外 (out of band),那就是:它是由—分離通信協定所提供。 線- 經濟部智"財產局員工消費合作社印製 像從上述識別資訊列表中顯而易見的那樣,防火牆能夠 馆賴識別資訊以鑑定使用者達到的程度,端視識別資訊的 種類而定。譬如説,在—分包資訊中的丨P位址就能夠由能 夠截取分包資訊的任何人所改變;因此,防火牆能夠對它 賦予少許的信賴,故而將藉由丨p位址來鑑定稱爲具宥^種 很低的信賴等級。在另一方面,當識別資訊來自一種令牌 時’防火牆就能夠给予該識別資訊一種更高的信賴等級’ 此乃因爲:唯若令牌已經爲別人所有,則它應該不會識別 使用者。通常,就一項關於鑑定的討論而言’請參看由儿 本纸張尺度適用中國固家標準(CNS〉A4規格(210 x 297公Μ ) 3387 Α7 Β7 五、發明說明(6 ) ilL^(S. Bellovin)和 Cheswkk)合著:,,防火牆 (請先閱讀背面v;it事項再填寫本I) 與網際網路安全性·_ 一書,該書由^ ^_± -^^(Addison Wesley)圖書公司印行,美國廠州_,1994年版s 線. 經濟部智慧財產局員工消費合作社印裂 在現代存取過濾器中,在兩個層級處來核對存取操作: 網際網路分包資訊或簡稱丨p層級,以及應用層級。就從 IP層級開始,用於網際網路中的訊息都以分包方式載送, 稱之爲資料級(datagram)。每一個這樣的分包都有—個標 題(header),它包含指示著分包之來源和目標的資訊。來 源和目;^各自依據I P位址和痒號(p〇rt number)來表示。埠 號是用來將電腦内多重業務流(Streams 〇f traffic)各個加以 分別的一個從i到65535的數字。將針對一些爲人所熟知的 網際網路通信協定(諸如:Ηττρ(超本文傳送協定)或FTP (樓案傳送協定))的服務加以指定它們”傾聽"(丨isten t〇)的 諸多爲人所熟知的埠號s存取過濾器具有指示著哪些目標 可能會接收來自哪些來源之〖p分包資訊的一套規則:且若 載明於標題中的來源和目標並未遵從這些规則,則將分包 資訊捨棄》譬如説,該規則可能容許或不容許所有從—部 電腦到另一部電腦的存取操作;或者,根據j p分包資訊之 來源而限制存取—項特定服務(由埠號所載明)。然而,在 I P分包資訊之標題中,並沒有關於正在被存取之個別資訊 片長的資訊’而關於使用者的唯一資訊則是來源資訊。於 是’存取核對是無法在丨p層級處完成的,而必須換成是在 資訊協定層級處完成的,該存取核對涉及:不是鑑定不可 能使用來源資訊之使用者,就是決定使用者是否有權存取 -9- 不砥掁尺度適用中0國家標準(CNS)AJ格(2J〇 κ 297公釐) 448387 經濟部智慧財產局員工消費合作社印製 Λ7 B7 五、發明說明(7 ) 一個別資訊片段。 在應用層級處的存取核對通常是在防火牆中由代理伺服 器(proxies)來完成。代理伺服器是一種存取過濾器的軟體 組件。I所以稱爲代理伺服器,是因爲:它可作爲存取過 滤器中的通信協定之替身(stand_in)用,爲了實現關於使用 者已經請求之資訊片段的使用者鑑定及/或存取核對。譬 如説’一種常用的TCP/IP協定就是超本文傳送協定(hypertext transfer protocol , 或簡稱 http) , 它被用 來將全 球資訊 網(World-Wide Web)網頁(pages)從一個電腦系統傳送到另 一個這樣的電腦系統。若需要個別網頁的存取控制,則必 須檢視協定内容’以便決定哪個特定網頁要求被請求。就 防火牆的詳細討論而言,請參看貝洛文和柴斯維克之前面 參考文獻。 雖然正確執行之存取過濾器操作能夠預防經由網際網路 U 1而未經授權就存取儲存在内部網路中的資料,可是它 無法預防經由網際網路1丨1而未經授權就存取轉接中的資 料。此事藉由使用加密的鑿隧道操作加以預防。這種鑿隧 道操作運作如下:當存取過濾器1 07(A)接收具有内部網路 103(B)中之目標位址的一種來自内部網路i〇3(A)中之一電 腦系統的I P分包資訊時,它會對I P分包資訊,包括其標 題加以加密;進而增加一項新標題,該標題載明:將存取 過渡器107(A)的I P位址當作分包資訊的來源位址,而將存 取過濾器1 07(B)的I P位址當作目標位址。新標題也可能包 含:將存取過濾器107(A)識別爲已加密分包資訊之來源的 -10- 本紙張尺度適用中國舀家標準(CNS)A-l規格(210 X 297公爱〉 --------------4^--------訂---------I ' (請先Μΐ*背面之注意事項再填寫本頁> 448387 A7 B7 五、發明說明(8 ) 鑑定資訊;以及存取過濾器丨〇7(B)能夠從其中決定已加密 分包資訊是否已經被干預的資訊。 因爲原始I P分包資訊已經被加密:所以,當它正在通尚 網際網路1 1 1時,標題和原始Z P分包資訊的内容兩者都無 法被續取,而標題或原始I p分包資訊的資料則也無法沒有 檢測下被修改。當存取過濾器1〇7(B)接收Ip分包資訊時, 它就使用任何識別資訊來決定分包資訊是否的確來自存取 過濾器1 07(A)。如果是的話,它會將由存取過濾器丨〇7(a) 增加到分包資訊的標題加以去除,並決定分包資訊是否被 干預;如果不是的話’就對分包資訊加以解密(decrypt), 並執行關於原始標題的I p層級存取核對。如果標題通過的 話’存取過濾器107(B)就將分包資訊轉遞(f0rward)到載明 於原始標逆中之内邵網路中的I p位址;或者轉遞到針對通 信協定層級存取控制之一代理伺服器。原始I P分包資訊被 稱爲鑿隧道通過網際網路1 1 1 ^在圖1中,一個這樣的隧道 112被顯示在兩個存取過濾器1〇7(八)和1〇7(8)之間。鑿隧道 操作之一附加優點是:它會隱藏來自只有從網際網路m 中有權存取資訊的那些人的内部網路之結構,此乃因爲只 有未加在、I P位址才是存取過渡器的I P位址。 兩個内部網路103(A)和103(B)的擁有者也能夠使用鑿隧 道操作,連同網際網路11 1 ;因而使兩個内部網路1 03(A和 B)成爲單一虛擬專用網路(VPN)l 19。藉由隧道1 12,在網 路103(A)和103(B)中的電腦系統能夠彼此安全地通信,並 且適用於其它電腦;好像網路103(A)和103(B)都是由一種 -11 - 本纸張尺度適用中固舀家標準(CNS)A4規格(210 X 297公窆) ί锖先閱讀背面之汶意事項再填寫本頁) I ί 經濟部智慧財產局員工消費合作社印製 4483^7 A/ B7 五、發明說明(9 專用實體鏈路(physical link)而不是由網際網路1 1 1加以U 接的。的確,可能將虚擬專用網路1 1 9加以擴充’以便I? 括存取網際網路I 1 1資訊的任何使用者,進而能夠執行下 列各項: * 以一種允許存取過濾器107對分包資訊加以解密的方 式,將被定址到内部網路103中之一電腦系統的網際 網路分包資訊加以加密; * 將一標題增加到被定址到存取過濾器107的已加密分 包資訊:以及 ’ 親自對存取過濾器1 07加以鑑定。 誓如説,一位具有連接到網際網路11 1之一可攜式電腦 並具有必要的加密和鑑定能力的雇員能夠使用虛擬專用網 路,以便安全地檢索(retrieve)來自諸多内部網路其中之一 網路中之一電腦系統的資料。 —旦諸多内部網路開始使用網際網路定址操作和網際網 路通信協定,並且被連接進入虚擬專用網路中:針對網際 網路已經發展出的-些劇覽器(brc)wsers)也能夠使用在: 部網路103中:並且從使用者的觀點看來,在網際網路⑴ 中存取資料與在内部網路1 03中存取杳拉士 經濟部智慧紂產局員工消費合作社印製 伃取貧科疋間並沒有差 別。於是,内部網路103已經變成—秭人 、 裡止業内部網路 (intranet),那就是:一種具有和網際 「坑丹路U丨相同的使用 者界面的内部網路。當然,一旦屬於—
' I植的所有内部培I 路都已經被組合成爲單-虛掇專用企業内部網路卢 發生屬於網際網路之特性的存取护制 賞丹又 別閂4…此時,除了有 -12- 本纸張尺度適用中0 0家標準(CNS)A4規格(210 X 297公爱) 4483 8 7 A7 B7 經涪部智祛財產局員工消費合作社印製 五、發明說明(1(3) 關内邵存取資料之外。雖然在内部網路被連接到網際網路 1 1 1的地方的諸多防火牆都完美地足以使局外人(0Uts丨ders) 無法在内部網路中存取資料,可是它們不能使局中人 (insiders)無法存取該資料。譬如説,可能就像公司防備其 人事資料不受其雇員影響與防備該資料不受局外人影響一 樣重要。同時’公司可能想要使有權存取網際網路n丨資 訊的任何人可以很谷易地存取:在諸多内部網路丨〇 3其中 之一網路中之一電腦系統上’它的全球資訊網網站。 一種針對由虛擬專用企業内部網路所引起諸多安全性問 題的解決方法是:使用防火牆將諸多内部網路加以細分, 以及防備内部網路不受經由網際網路而未經授權就存取資 訊的影響。現代存取過濾器107皆被設計用來防備内部網 路之周界(perimeter)不受未經授權就存取資訊的影響:並 且,一般説來,每個網際網路連接才只有一個存取過濾器 10 7。若打其將諸多存取過據器使用内部網路内;則將會 有它們更多的存取過濾器,因而使用多重現代存取過濾器 1 07的虛擬專用網路並不容易規模可伸縮性,那就是:在 具有小量存取過濾器的虚擬專用網路中,諸多存取過濾器 並不是一項嚴重的負擔:而在具有大量存取過濾器的網路 中,它們則是一項負擔。在標題爲”使用在存取過濾器2〇3 中的諸多技術之通則"章節之前的本專利申請案之一部份 中所描述的存取過濾器,實際上解決了先前技藝存取過濾 器的規模可伸縮性(scalability)問題;於是,建構具有大量 存取過濾器的網路就變得更爲容易。 -13- 本纸張尺度適用中舀國家標準(CMS)A4規格(210 x 297公发) (請先閱讀背面之注意事項再填寫本頁} --------訂--------*線丨 經濟部智慧財產局員工消費合作社印製 4 ^83 8 7
AT B7 五、發明說明(11 ) 在關於本專利申請案之第—部份中所描述的存取過渡器 之進一步運作中,已經變得顯而易見的是,若能將技術通 用化’則執行存取過濾器2〇3中之存取核對所發展出的諸 多技術應該更爲有用:若它們能夠使用在與正在丨p層級或 網際網路通信協定層級處操作之存取過濾器不同的上下文 中’且若使它們能夠加以擴充:則使得決策能夠加以制 定,不但針對存取資訊集,並且針對可能針對可經由一電 腦系統存取資訊的一種實體而執行的任何行動;使得使用 者群組能夠包括可經由一電腦系統而執行一項行動的任何 種類之實體;並且使得資訊集能夠變成資源集(res〇urce sets),其中一項資源是能夠經由—電腦系統而控制的任何 實體。進-步變得顯而易見的是:若允許決策包括一種時 間组件(temp〇ra丨component),譬如説,—種只有在非工 時間期間才允許某-使用者群組存取某些資源的組件,^ 決策應該更爲有用;並且,對能夠使諸多屬性與—項揾汰 打怎樣執行決策之行動的決策有關聯也應該是有益的。处 如,一項決策可能不但載明能夠存取一已知資源之一已= 使用者群組的成員,並且載明打算用於存取操作之網路: 務的類別(class)。於是,此處所披露的本發明之—目 是:提供針對通用化存取核對的技術,以及進一步提供2 中時間組件和屬性都可能與決策有關聯的決策。疋^、其 發明概要 本發明藉由一種決策施行系統來達到前述目的,在該 統中,在以下兩個組件之間共享決策施行之工作 -14- 本紙張尺度適用巾S國豕標準(CNS)A4規格(9】〇 x 297公发) f __丁 I__I__ — III — I---I I 1 I * I i . — I I I I - — — ll — ιί» I (請先閲讀背面之注音?事項再填鸾本頁} 4483 8 7 A7 B7五、發明說明(12 ) 經濟部智慧財產局員工消費合作社印" 包括可擴允決策資料庫之_決策伺服器,α及—決策施行 器(poIicy enforcer)。當決策施行器接收由第一實體所提出 (-請求以執行針對第二實體的一項行動時,;夹策施行器 就將該請求傳達到決策伺服器;並且,准若來自決策词服 器之-回應指示:在資料庫中的決策容許行動,才會允許 行動。可能將可擴充決策資料庫加以擴充,以便包^不是 由決策施行器所執行的諸多類塑之行動。因爲如此,所以 決策施行系統能夠藉由以τ方法來處理諸多新行動㈣: 擴充決策資料庫以提供針對那些㈣之決策,以及增加針 對諸多類型之行動的決策施行器。的確,只要行動是由電 腦系統中(-決策施行器所控制,電腦系統就沒有必要執 行該行動。 ‘將決策評估和決策施行加以分離,也有可能使得:決策 施行系統會在決策施行系統所屬之電腦系統的諸多不同層 級處很容易地處理決策施行;並且使得:》策施行器都被 定位遠離決策伺服器。 在另j點中’依據:第一實體之集合,第二實體之集 合,以及$ —集合之—實體可能針對第二集合之-實體執 :的一項行動;將諸多決策加以定義在決策施行系統之-貫施例中。在本實施例中,"行動類型之外,第一實體 類型和第二實體類型都是可擴充的。 在本實施例中,行動屬性可能附屬於第-實體之集合或 f二實體之集合’該行動屬性會決定打算怎樣執行就是決 策之主體(subject)的行動。譬如説,可能將優先級(_出力 -15- <請先閱筇背面之--意事項再填寫本頁) -1'.--- ----線 本纸張尺度適用中國國家標準 297公发) 483 8 7 A7 B7 五、發明說明(13 使之集合’或者將頻寬(―)指定給服務 ,以便包括諸 之蕖合。本實施例的決策資科庫是可擴充的 經潑部智慧財產局員工消費合作社印车 多新行動屬性類型 在本發明的H財,可能將條相屬於決 統之決策資料庫中料h即使當m之行動在^ 情況應該被允許時,若未履行附屬於決策的條件,.則 動也將不被充許。這些條件之一類別是時間條件。例如 能制定一項定義存取資訊的決策,而關於決策之—時間條 件則可旎將決策之有效性(val丨dity)限制於正常營業時間。 追隨著下列闡述和附圖,與本發明有關的本發明之其它 目的及優點對那些熟習於此技藝者而言將是顯而易見的, 其中’· 附圖概述 2附圖概述 圖1是:經由網際網路,用來控制資訊之存取的諸多技 術之總覽(overview); 圖2是:使用納入此處所披露之技術的諸多存取過濾器 之一VPN(虛擬專用網路)之總覽; 圖3是:使用在存取過濾器中的一種存取控制資科康之 總纜; 圖4顯示:在使用納入此處所披露之技術的諸多存取過 濾器之一 VPN中的存取核對和鑿隧道操作; 圖5顯示:由一,·漫遊者"(roamer)存取在VPN中的資訊; 圖6是:使用在定義靈敏度和信賴等級與諸多鑑定和加 1 ! I u I ί I I I j/ ^·-- (請先Μ讀背面之;i意事項再填寫本頁) ί--- -- ^ D1 · I - 1 ti - 1— n I 4 16- ^纸張尺度_巾Θ @家標準(CNS)A4規格(210^297公楚) 448387 A7 經濟部智慧財產局員工消費合作社印製 ____B7__·___五、發明說明(14 ) 密技術之間的關係中的一種表; 圖7是:應用SEND(安全加密網路遞送)技術之一實例; 圖8是:決策建立過程之一流程圖: 圖9顯示:用來定義使用者群組之一顯示圖; 圖1 0顯示:用來定義資訊集之一顯示圖; 圖11顯示:用來定義存取決策之一顯示圖; 圖1 2顯示:用來定義存取過濾器2〇3之一顯示圖: 圖13 A和B都是:定義使用者群組之存取控制資料庫3〇 1 的一部份之一圖表(schema); 圖1 4是:定義資訊集之存取控制資料庫3〇1的一部份之 一圖表: 圖1 5是:定義在VPN中的網站(sites)以及在每個網站處 的伺服器’服務’及資源之存取控制資料庫3 〇 I的一部份 之一圖表; 圖16A和B都是:定義決策之存取控制資料庫3〇1的—部 份之一圖表; 圖1 7A,B,及C都是:定義伺服器之存取控制資料庫3 〇} 的一部份之一圖表; 圖1 8顯示:使用在intraMap(映像内)界面中的顯示圖; 圖1 9顯示:怎樣針對存取控制資料庫3〇丨做出改變; 圖2 0是··存取過濾器203的架構之一詳細方塊圖; 圖2 1是:一種MMF(記憶體映射檔案)檔案2303的結構之 一示意圖; 圖22 :是一種使用SKIP(網際網路通信協定之簡單密翁 -17- 本紙張尺度適用令國國家標準(CNS)A4規格(210 X 297公釐) ~~~ ______- ______ I ί 卜__I___«IT i ____' I ___ — I I i I [ I i · I I I I I I I 4-0 - i- I -厶 ί'·νI (靖先閱t5背面之注意事項再填寫本頁) 4483 87 A7 B7 五、發明說明(15 ) 經濟部智慧財產局員工消f合作社印*·'^ 管理)ii;2疋所發送的訊息之一示意圖; 圖23A,B ’及C都是·使用在—較佳實袍例中之陳f樓 案的一種表; 圖24是:IntraMap界面之—建構例之一示意圖: 圖25是:圖解説明在VPN2〇1中的委託權限_以_) 之一示意圖; 圖26是:一種已經將決策核對和決策施行加以分離的行 動控制系統之一方塊圖; 圖27是:—種具有種種的決策致能(p〇Hcyenab_裝置 的行動控制系統之一方塊圖; 圖28顯示:-種用來定義通用化決策的語法㈣叫· 圖29顯示:在—較佳實施例中的決策資料庫“ο!之總纜; 圖30顯示:決策資料庫测中的諸多屬性和時間間隔之 一建構例: 圖3 1顯示:列示所有已定義時程安排(仏^ 之一視窗:二3、2顯示:*用在一較佳實施例中,用來定義時程安排 規則(一視窗; 圖33顯示:使用在—較佳實施例中,用來將時 用到決策之一視窗; ned schedules) 間間隔應 圖34顯示:使用在―較佳實施例中,用來 性 '一視窗: 圖3 5顯 -------------- 1------訂·--------'線 I、 (請先Μ讀背面之注意事項再填寫本頁) 之 示:使用在—較佳實施财,用來將屬性指定到 -18 - 泰纸張尺度適用中國囵家標準(CNS)A4規格(210 X 297公爱) A7 448387 ____B7_____ 五、發明說明(16 ) 主體之一視窗; 圖3 6顯示:用來顯示和修改在一較佳實施例中之一屬性 定義之一視窗;以及 圖3 7顯示:用來顯示和修改在一較佳實施例中之一特點 定義之一視窗。 在諸多附圖中的參考數字至少都有三個數字。兩個最右 側數字都是在圖内的參考數字;而在那些數字左侧的數字 則都是圖號,在圖中‘·由參考數字所識別的項目最先出 現。譬如說,在圖2中,具有參考數字203之項0最先出現。 闡述 2闡述 下列闡述將首先提供:一些容易規模可伸縮性的存取過 濾器,它們怎樣被用來控制在企業内部網路中的存取操 作,以及它們怎樣能夠用來構築虛擬專用網路之總纜。因 此,闡述將提供:使用在存取過濾器中的存取控制資料 庫;將它改變,進而將那些改變分佈在諸多存取過遽器中 所用的方式;以及個別存取過濾器控制存取操作所用的方 式之細節。 一種具有不會妨礙規模可伸縮性之諸存取過濾器的網路: 圖2 3 A —種具有不會妨礙規模可伸縮性之諸存取過滤器的網 路:圖2 圖2顯示一種虚擬專用網路(VPN)20 1,其中:存取資料 是由被設計用來避免因多重存取過濾器而引起問題的存取 -19 - 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) <請先閱讀背面之注意事項再填寫本頁)
I 訂---------線, 經濟部智慧財產局員工消費合作社印4·1^ 經濟部智¾財產局員工消費合作社印製 ^4 8,3 8 7 A7 β: 五、發明說明(17) 過濾器所控制。VPN 201是由四個内部網路1 〇3所組成,藉 由網際網路1 2 1將它們彼此連接。也經由網際網路121連接 到VPN 20 I的是:一漫遊者2 1 7,那就是一種電腦系統,該 系統雖然正在由可能存取在企業内部網路20 I中之資料的 人使用者,但是只會藉由網際網路1 2丨連接到諸多内部網 路。每個内部網路I 03都有:許多電腦系統或屬於使用者 的終端機209 ’以及許多伺服器2 1 1 :該伺服器包含:可能 由在諸多電腦系統或終端機209處之使用者,或可能由在 漫遊者2 17處之一使用者所存取的資料。然而,並沒有將 電腦系統或終端機2 0 9 ’或者漫遊者2 1 7直接連接到一伺服 器2 II ;換成是’各自經由一存取過濾器203而加以連接, 使得:由在使用者系統處之使用者所提出針對伺服器上之 資料項的所有查詢(references)至少都會通過一個存取過遽 器203。於是,使用者系統2〇9(i)被連接到網路2i3(i),該 網路被連接到存取過濾器203(a);而词服器2 u (丨)則被連接 到網路215(i) ’該網路也被連接到存取過濾器2〇3(a),因而 由在使用者系統209(i)處之使用者所做出針對存取飼服器 2 1 1⑴上之另料的任何嘗試都會通過存取過遽器2〇3(a),在 該處,若使用者無權存取資料,就會被拒絕。 既然VPN 20 I具有任何规模的大小,就會有—相當數目 的存取過濾器203 :因此,將會立即發生按規模伸縮 (scaling)問題。存取過濾器2〇3會避免這些問題,是因爲它 們都是根據下列原理加以設計的: •分佈型存取控制資料庫。每個存取過濾器2〇3都有它 -20- 本纸張尺度滷用中固國家標準(CNS)A4規格(210 * 297公釐) ---------------------訂·--------線 t l· (請先閱讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 448387 A7
---~~~-II 五、發明說明(18)
自己的存取控制資科庫拷貝,用來控制存取在VPN 中的負料。將在資料庫之-拷貝中所做的改變傳 播到所有其它的拷貝s =:^管理。可能委託任何數目的管理員對系統之諸 子$ σ負有貴任。所有管理員可能會同時執行他們的 工作。 刀佈J存取杻制。存取控制功能都是在近端 存取過濾益203處加以執行的。那就是,在客戶機與 飼服备又間的路徑中的第一存取過濾器2〇3會決定; 存取操作是否被容許;而在路徑中的諸多隨後存取過 遽益則不會重複由第—存取過濾器所執行的存取核對。 端對端加密(end-to-end encryption)。加密發生在近端存 取過/慮器與可能的最遠加密端點(endp〇int)之間。此端 點不是資訊伺服器本身,就是遠端(far_end)存取過濾 器203-最後在從客戶機到伺服器之路由中的那個。動 態隧道都是根據目前網路路由選擇(routing)條件加以 建立的。 可適性加密和鑑定。根據正在被傳送的資訊靈敏度, 將可變加密等級和鑑定要求應用到通過VPN的通信量 (traffic) ° 將所有的這些設計觀點更加詳細地討論於下。 此時應該指出的是,可能以任何方式來建構存取過遽4 203,該方式保證:由可能未經授權就存取該資料的諸多 使用者所提出針對在VPN 20 1中之資料的所有查詢都會通 -21 - 本纸張尺度適用中國國家標準(CNS)A4規格(21〇χ297公 ^-----------------4 J (请先閱讀背面之注急事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 ^48387 A7 五、發明說明(19 ) 過-存取過滅器203。在-較佳實施例中,存取過;慮器2〇3 被建構在一词服器上’並且在由邀_^公司(Micr〇s〇ft Corporation)所製造的Windows NT®(新科技版本的視窗軟 體)作業系統下運作。在其它實施例中,存取過濾器2们可 能被建構作爲一種作業系統之組件,及/或可能被建構在 VPN 201中之一路由器(router)中。 分佈型決策資料庫:圖3 3分佈型決策資料庫:圖3 每個存取過濾器203都有存取控制資料庫3(Μ之—拷貝, 它保時了與在VPN 2〇1中之存取控制有關的所有資料。如 圖2中之存取過濾器203(a)所顯示的一個存取過滤器,它 具有存取控制資料庫301之一主拷貝205。因爲如此,所以 將存取過濾器203(a)稱爲:主決策管理程式(Master ρ〇ι_ Manager)。主拷貝2〇5是:被用來初始化(initiaUze)—些新 存取過濾器203或替換已受損存取控制資料庫3〇1的那個。 主決策管理程式電腦的備用裝置是存取過濾器2〇3(b)。備 份拷貝(backup) 207是主拷貝205之一鏡像。最後,報表管 理&式209包括用來產生報表的軟體:該報表係來自存取 控制資料庫301中的資訊,以及來自從所有其它存取過濾 器203中所獲得的記綠(丨〇gs)。存取控制資料庫3〇丨的任何 拷貝可能會被必須這麼執行存取操作的任何使用者所改 變:就像稍後將要更加詳細描述的那樣,將任何這樣的改 變,首先傳播到主決策管理程式2〇5,然後再到虛擬專用 網路20 1中的所有其它存取過濾器2〇3。 -22- 本紙括尺度適財® @家標準(CNS)Ai}規格伽x 297公爱) 7 ---------訂--------- (請先閱讀背面之注意事項再填寫本頁) ^48 3 8 7 經濟部智慧財產局員工消費合作社印製 Λ7 B7 五 '發明說明(2〇 ) 圖3是:存取控制資料庫3〇1 —概念性總覽^資料庫的主 要功能是對來自存取過濾器2〇3之一存取請求3〇9作回應, 破存取過濾器利用一種該請求是否將被准許或拒絕的指示 3 11來識別使用者和資訊資源。若下列兩者都成立,則該 請求將被准許: •使用者屬於一使用者群組,其中資料庫3 〇 1指示:可 存取資訊資源所屬之―資訊集;以及 •該請求具有一種至少是與屬於資訊資源之靈敏度等級 一樣鬲的信賴等級。 每位使用者均屬於一個或更多使用者群組,而每個資訊 資源則均屬於一個或更多資訊集:若使用者所屬的—些使 用者群組中沒有一個被拒絕存取資訊資源所屬之—資訊 木,以及使用者所屬的任何使用者群组被容許存取資訊資 源所屬的任何資訊集;則使用者可能存取資訊資源,假若 iS請求具有必要之信賴等級的話。 資源之靈敏度等級只是指示著用來存取資源所需的作賴 等級之一數値。就大體而論,需要保護資訊資源 、 靈敏度等級愈高。請求之信賴等級具有許多組成部份··、 *用來識別使用者之識別技術的信賴等級:譬如却 _ ^ * ^fc. 由令牌來識別使用者具有一種比藉由I p位址來識别B 用者還高的信賴等級。 使 •由經由網路之存取請求所採取路徑的信賴等級;兹』 T如 説’包括網際網路的路徑具有一種比只有包括—收内 部網路的路徑還低的信賴等級。 -23- 本纸張尺度適用中國國家標準(CNS〉A4規格(2^x297公发) ------------- I * I---1----*1-11· i ----------- 1 V t請先閱讀背面之庄意事項再填寫本頁) A7 448387 ____B7 五、發明說明(21 ) 若對存取請求加以加t,則使用加密技術的信 級;加密技術愈強,信賴等級愈高。 ' 將識別技術的信賴等級和路徑的信賴等級各別考慮。然 而,路徑的信賴等級可能會受用來加密存取請求之加宓; 術的信賴等級所影響。若利用一種其信賴等級高於路 一部份的信賴等級的加密技術而對請求加以加密,則路栌 之一部份的信賴等級被增加到加密技術的信賴等級。= 是,若路徑之一部份的信賴等級小於資源之靈敏度等級所 需要的;則藉著利用一種具有必要之信賴等級的加密技銜 來加密存取請求,就能夠解決問題。 可能將包含於資料庫30 1中的資訊分成六大類: 使用者識別資訊3 13,它會識別使用者; 使用者群组3丨5,它會定義使用者所屬的群组; 貝訊貪源3 2 0 ’匕會疋義蒙受保護的一些個別資訊 項’並且載明在何處找到它們; 資訊集3 2 1 ’它會定義資訊資源之群組; 信賴等級資訊323,它會載明資訊資源之靈敏度等級 以及使用者識別和網路路徑的信賴等級;以及 決策資訊303,它會依據使用者群組和在VPN 201中的 諸多物件(objects)來定義存取權利。 將決策資訊進一步分成:存取決策307,管理決策305, 以決策制定者決策306。 存取決策307會定義由使用者群组存取資訊集的權 利, -24- ^紙張尺度適用令國國家標準(CNS)A4規格⑵〇 X 297公爱) ------------------------訂·--------t ί » rrsp先閱璜背面"达意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印裳 448387 經濟部智慧財產局員工消費合作社印*''《 A; B7 五、發明說明(22 ) .官理決策305會足義使用者群組定義/则除/修改在咖 加:之諸多物件的權利β在諸多物件中則有:存取 決策,資訊集,使用者群組,在νρΝ 2〇1中的位置, 伺服器,及服務:以及 决策制定者決策306會定義使用者群组制定針對資訊 集之存取決策的權利。 載明在資料庫3CH之管理決策和決策制定者決策兩個部 份中的使用者群组都是管理員之使用者群组。在νρΝ2〇ι 中,藉著定義管理員群组以及在資料庫3〇丨中他們管轄的 物件來委託管理權限(administrative auth〇rity)。當然,一 既定使用者可能是一般使用者群组3 17和管理使用者群组 319兩者中之一成員。 使用者識別 3使用者識別 使用者群组利用使用者識別資訊3丨3來識別他們的成 員。識別資訊藉由一套可擴充識別技術來識別它的使用 者。目別’這些識別技術包括:X.509號證書(certificates), Windows NT網域識別,鑑定令牌,以及丨p位址/網域名 稱。用來識別使用者之識別技術種類會決定識別之信賴等 級。 在需要強有力識別使用者或與存取過濾器203通信之其 它實體的地方’ VPN 2〇1就會使用:由昇陽微系統公司 (Sun Microsystem,Inc.)所發展出的"網際網路通信協定之 簡單密输管理"(Simple Key Management for Internet -25- 本纸張尺度適用中固國家標準(CNS)A4規格(210 X 297公发) I I ____II____ 」 ______ I I T______ .?4J I —-*5°· Ϊ I ί (請先閱讀背面之注意事項再填寫本頁) 448387 A7 B? 五、發明說明(23 )
Protocols’簡稱SKIP)軟體通信協定3該通信協定會管理: 公用密鑰(public key)交換,密鑰鑑定,以及對話二^。藉 由-種從正在交換資料之各方的公用和專用密鑰中所產: 的傳送密鑰(transport key)來執行對話加密。公用密鑰都包 括在X.509號證書中,該證書都是在佶用捕 己 |疋仕便州通%爲"證書發現 通信協定"(Certificate Discovery Pr〇t〇c〇1,簡稱 CD門之一 分離通信協定的㈣各方之間交換的。除了已加密訊息之 外,一種使用SKIP來加密的訊息還包括:針對訊息之—已 加密傳运密鑰,以及針對資料之來源和目標之證書的識別 符(identifiers;^訊息接受者使用針對訊息來源之證書的識 別符來指出針對來源之公用密鑰的位置;並使用其密鑰和 來源之公用在·餘’對傳送密餘加以解密:進而使用傳送密 鑰,對訊息加以解密。SKIP訊息是有自行鑑定性(self_ authenticating) ’從某種意義説來,它包含一種包括分包資 訊内容之密碼摘要(cryptographic digest)的鑑定標題,而任 何種類的修改將會使得摘要不正確。就關於SKIP的細節而 言,請參看由ϋ沙·阿濟芝(Ashar Aziz)和馬丁·斐特森 (Martin Patterson)所發表的”網際網路通信協定之簡單密鑰 管理(SKIP)’’專文,該專文能夠上網獲知:丨99g年2月28曰,網 址爲 http://www.skip.org/inet-95.html。就關於 X.509 號證書 的細節而言’請參看能夠上網獲知的描述:丨997年9月2日, 網址爲http://www.rnbo.eom/PROD/rmadiUo/p/pdoc2.htm.。 在VPN 201中,SKIP也會被諸多存取過濾器203所使用, 以便識別它們自己和在VPN中的其它存取過遽器203 ;進 -26- 本纸張尺度適用中國國家標準(CNS)A‘i規格(210x 297公釐) (請先閱續背面之注意事項再填寫本頁) *k 烴濟部智慧財產局員工消費合作社印製 4483 8 7 A7 __ B7 經濟部智慧財產局員工消費合作社印ic? 五、發明說明(24 ) 而在需要加密的地方,對TCP/IP對話加以加密。當它們正 在執行存取核對時,諸多存取過濾器203也能夠使用針對 SKIP密鑰之證書來識別使用者。這樣一種識別方法是特別 値得信賴的’因而具有一種相當高的信賴等級β這種藉由 證書的識別方法之一用途是:針對,,漫遊者,> 2 17之値得信 賴的識別方法。Χ.509號證書能夠被使用於使用者識別, 是因爲:它們使密鑰資訊與關於使用者的資訊有關係。 存取過濾器203使用下列來自證書的資訊撋位: 屆滿日期在此日期之後,證書就無效。 • 公用密鑰:一種公用一專用密鑰對的公用半對密鑰, 就像使用在Conclave(秘密會議客户軟體)所使用之基 於 SKIP 密碼術(SKIP-based cryptography)中的那樣。 • 證書當局(Certificate Authority)簽字:與發行證書之當 局有關聯的區別名稱。 • 證書序號。 ’ 主體名稱:發行證書到達之實體名稱。 主體名稱包括下列子糊位(在括孤内的代表字是獨位之 一般縮寫): ’共用名稱(CN):主體之既定名稱,譬如説是J〇hn & Public 0 •國家(C):主體所在之國家。國家代碼都是載明於 X.509號規範(specification)中的2個字母代碼。 •所存地(L):主體所在之位置。此櫊位通常是主體所在 之城市,但可能被使用任何與位置有關的數値。 -27- 本紙張尺度適用中國國家標準(CNS>A4規格(210 X 297公釐) ^^1 I - ϋ4 i^i ^^1 ^^1 I n- r t— 1^1 ^^1 ^^1 n ^^1 .,I ^^1 »n —fl— ^^1 _ (請先閱讀背面之注意事項再填寫本頁) 448387 經濟部智慧財產局員工消費合作社印製 A7 _________B7___ 五、發明說明(25 ) •组織(〇):主體所屬之組群。此攔位通常是組織之名 稱。 •组織單位(ου):主體之组織單位,此欄位通常是主體 之郅門,譬如説,業務部|,。Χ·5〇9號證書容許這些 欄位中高達四個攔位存在。 和諸多存取過濾器203 —起使用的證書當局會發行具有 所有’這些櫚位的證書〇並且,四個〇 U欄位可能被用來定 義附加分類。在證書中用來描述使用者的資訊皆可供資料 庫30 1之管理員利用,當定義使用者群組時就加以使用。 若證書中的資訊正確地反映企業的組織結構:則證書將不 但會識別使用者,而JL會顯巾使用者㉟合於企業組織的所 在;進而達到的程度是,在資料庫301中的使用者群組會 反映:組織結構,使用者所屬之使用者群組。 就像稍後將要更加詳細説明的那樣,其中可能定義諸多 使用者群組之成員的—個方法是:藉由”證書匹配準則,, (certificate matching criteria),該準則定義屬於一既定使用 者群组之成員的證書必須具有的欄位數値。證書匹配準則 可能是基於與所需一樣少或一樣多的上述襴位。譬如說二 針對工程使用者群组的證書匹配準則可能是:組織櫚位和 載明工程部的组織單位欄位。識別使用者之其它資訊也可 能被使用來定義諸多使用者群組之成員D 資訊集 3資訊集 貧訊集保持諸多個別資訊資源的收集資訊。一項資源可 -28- '仏尺夜適用中國國家標準(CNS)A4規格(210 X 297公爱) ---- ^---------k.--------訂---------線—— (锖先Μίί背&之ii意事項再填寫本頁) 48387 A7 B7 五、發明說明(26 ) 能與一個別www(全球資訊網)網頁或新聞群组(newsgro叩) —樣小’但它最常是由··網路目綠樹(Web directory tree) 及其内谷,FTP帳户,或主要Usenet(新聞網)新聞分類所 组成。在圖2之諸多伺服器其中之一伺服器中,顯示有兩 個資訊集:2 19⑴和(k)。雖然存取控制資料庫3〇 1之管理員 理應芫全決定:何種資訊被包括在一資訊集中:可是,在 一既定集合中的資訊通常就是:與課題和有意收看者 (audience)兩者都有關係的資訊。針對公司之資訊集實例
可能是:HR policies(HR決策),HR Personnel Records( HR 人事&己錄)’以及Public In form at ion(公用資訊)。 存取決策307 3存取決策307 概念上’存取決策307由以下格式之簡單陳述所组成: Engineers allowed access to 工程師 被容許存取 engineering data 工程資料
Internet allowed access to 網際網路 被容許存取 public web site 公用網路 首欄載明使用者群组:末欄載明資訊集。中間那欄則是 存取決策-容許或拒絕。 資料庫301允許使用者群組和資訊集的分層定義 (hierarchical definition)。譬如説,可能將工程師使用者群 組足義成包括:硬體工程師使用者群组,軟體工程師使用 者群组,以及銷售工程師使用者群组。同樣地,可能將工 程資料資訊集定義成包括:硬體工裎資料資訊集,軟體工 -29- 本纸張尺度適用中囤囿家標準(CNS)A4規格(210x 297公发) {請先閉讀背面之iit事項再填寫本頁) 訂---------線 經濟部智慧財產局員工消費合作社印5衣 ¥觀%77 A7 經濟部智慧財產局員工消費合作社印- --------- B7_五、發明說明(27) 程資料資訊集,以及销售工程資料資訊集。在使用者群組 (層次内,由繼承而獲得存取權利。於是,爲了存取核 對,屬於硬體工程師使用者群組之一使用者也會自動地屬 於工程師使用者群组。在資訊集之層次内,同樣地由繼承 而獲得存取權利。爲了存取核對,屬於硬體工程資料資訊集 (一資訊資源也會自動地屬於工程資料資訊集。於是,若 有—項赋予工程師存取工程資料的存取決策,則成爲组成 工程師的三個使用者群组其中之一使用者群組之一成員的 任何使用者都可能存取:屬於組成工程資料的三個資訊集 其中任何資訊集的任何資訊資源。在使用者群组和資訊集之 定義中使用繼承權(inheritance)會大大地減少在存取控制資 料庫301中所需的存取決策3〇7之數目。例如,在上述實例 中,單一存取決策就賦予所有的工程師存取所有的工程資 料。繼承權也會使得:實際上依據容許存取操作來定義所 有的存取決策是有可能的。繼續上述實例,若有一個不屬 於工私師”的”推銷員"(SaieSpe〇pie)使用者群组,但有一 項賦予该使用者群组存取銷售工程資料的存取決策:則成 爲"推銷員"之一成員的使用者將能夠存取銷售工程資料, 但不是軟體工程資料或硬體工程資料。 . 當然’一位使用者可能屬於一個以上的使用者群組,而 一項資訊資源則可能屬於一個以上的資訊集。也可能會有針 對使用者所屬之各種使用者群组以及資訊資源所屬之各種資 訊集的不同存取決策。當面對既適用於使用者又適用於使用 者正試圖存取之資訊資源的多重存取決策時,存取過濾器2〇3 -30- 本纸張尺度適用t S國家標準(CNS)A4規格(2]0 X 297公釐) ^^1 ϋΈ ^^1 in d 1^1 m I 1·Λ I— 1 1 ' I J— ^^1 i^i I , 1 ΙΛ 言 矣 (請先閉讀背面之注t事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 4483 8 7 A7 B7 五、發明說明(28) 會以一種限制性’而非允許性方式來應用決策: • 若多重決策容許或拒絕一使用者群組存取一·資訊集, 則拒絕存取操作的決策佔優勢。 •若一特定使用者是多重使用者群組之一成員,並且, 多重決策容許或拒絕存取資訊集;則拒絕存取操作的 決策佔優勢。 一使用者屬於何種使用者群組可能會根據用來識別使用 者的識別模式而改變。於是,若根據到當時爲止使用者已 經提供給存取過濾器203之識別模式,並沒有存取決策適 用於使用者所屬之諸使用者群组:則存取過;慮器2〇3可能 嘗識獲得附加識別資訊,並決定:附加識別資訊是否將使 用者安置在有一項關於資源的決策所針對之一使用者群组 中。存取過濾器203可能獲得附加識別資訊,如果: •使用者已經安裝使用者識別客户軟體(User Identification Client,簡稱UIC)(—種會在使用者機器上執 行並將關於使用者的識別資訊提供給存取過濾器2〇3的軟 體)。 • UIC目前正在使用者機器上執行。 .使用者已經使得他的UIC彈出(pop-up),以供進一步鑑 定之用(使用者具有一種致能這項特點的圈選框(check box) ° 若所有這些要求都成立,則存取過;慮器203將會追使使 用者之UIC彈出,並請求另外的識別資訊。將使用者供應 的任何識別資訊加以儲存。在每個新的使用者識別資訊片 -31 - 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公发) 一_____II 丁 I___ I It If 1 I I f ΙΛ. . I , I I · I I 1 I _ 矣, {請先閱讀背面之注意事項再填寫本頁) ^4838 經濟部智慧財產局員工消費合作社印製 Α7 Β7 五、發明說明(29) 段又後,存取過濾器203會執行相同的評估處理過程:直 到獲得將使用者安置在有一項允許或拒絕存取操作決策所 針對之一使用者群组中的識別資訊爲止;或者,直到使用 者放棄其請求爲止,將UIC視窗彈出。 管理決策305 3管理決策305 官理決策3〇5會落實(丨—^咖叫在vpN 2〇丨之存取控制系 统中的諸多物件之管理。包括在物件中的有:使用者群 組,資訊集,存取決策,以及此處所稱的可用資源 (available resources);那就是:服務,伺服器,存取過濾 益,以及组成VPN 201的網路硬體。物件是被—個或更多 《管理使用者群組所管理。管理―既定物件的f理使用者群 組之一成員可能會修改該物件以及它與其它物件的關係, 並可能會制定針對該物件的管理決策。就像稍後將要更加 評細説明的那樣,管理物件的管理使用者群組之一成員可 能會制?針對該物件的管理決策之事實會使得:該成員委 七妆件官理根是可能的。譬如説,管理"硬體工程師"使用 者群組的管理使用者群组之一成員可能會制定:一項將”硬 體工^師"管理權賦予,,硬體工程管理員”使用者群组的管 理決策,藉以將”硬體工程師”管理權委託給”硬體工程管 1男"。應該注意的是:管理資訊集的權利是與制定針對 資訊集之存取決策的權利分開的。—使用者群組有權制定 關於資訊集的存取決策之事實,並不會賦予使用者群組制 疋針對資訊集之管理決策的權利;反之亦然。當一存取過 _ -32- 本紙張尺度適用中關家標準(CNS)A4規格⑵Q χ视 ) I _ 〆《111.------訂·--------1 V 〈靖先閱if背面之注意事項再填寫本頁) ^48387 經濟部智慧財產局員工消費合作社印裂 A7 B? 五、發明說明(3〇 ) ’慮器203首先被建工時,單—内建安全官員(security 〇汀icer) 使用者群組就具有:管轄所有在VPN 201中的物件以及管 轄決策制定者決策306的管理權限。 著官理決策的繼承權 3 -隨著管理決策的繼承權 詹承柢隨著官理決策而運作,相同方法則是:繼承權隨 著存取決策而運作。將諸多使用者群組,資訊集,以及管 理決策所指的可用資源加以分層組織。在使用者群組内, 都是一既定使用者群組的子集合的使用者群组:都在來自 -¾既疋使用者群组的諸多使用者群组之層次中 向下的下-層級處。關於資訊集的情形相同。用與關於存 取決策相同的方式,將繼承權應用在層次内。於是,在使 用者群組層次内,管轄(conir〇丨)一使用者群组之一管理使 用者也會管轄所有的附屬者(subsidiary),包含一些使用者 群組在内。同樣地,關於資訊集層次,管轄資訊集之一管 理使用者也會管轄所有的附屬者,包含一資訊集在内;而 e轄針對--貝況集的管理決策之—管理使用者也會管轄針 對所有已包含資訊集的存取決策。 還有一種可用資源的自然層次。譬如説,層次中之一層 級是:位置。在-既定位置内,在該位置處的諸多词服器 形成向下的下-層級:而在一伺服器内,由伺服器所提供 的諸多服務則形成下一層級。具有可用資源樹之任何層級 之管轄權的管理使用者群組也會管轄所用的較低層級。譬 如説,管理決策將存取過濾器203之管轄權賦予的(諸多) -33- 本紙張尺度適用中固@家浮準(CMS)A4規格(210 X 297公釐) (锖先閱?r背面之泼音?事項再填寫本I > ,--------訂----------線, 448387 A7 B7 經濟部智慧財產局員工消費合作社印製 五、發明說明(31 ) =理貝具有針對:在在網站下之所有㈣器 =執行之所有服務,以及由那些服務所支援艮 的管理權利。 $貝原 委託權限:圖2 5 3委託權限:圖2 5 在VPN 201中|託權限是挺容易的,因爲·管理物件 之管理使用者群组的成貝都可能修改該物件 對它的管理決策。譬如說,若—管理使用者群組 訊集1它能夠將資訊集分成兩個子集合,並且制定—此 新的官理決策,該決策賦予兩個其它使用者群组中的每個 使用料組管轄兩個子集合中的—個子集合之管理權限。 圖25顯示委託權限之-擴充實例。在圖25中,使用者 _組和其㈣件都以圓圈表示;決策㈣者決策則以方塊 表:;而決鼓關係則以不同種類的箭頭表示:實線箭頭代 表管理決^點線箭頭代表決策料決策,而虛線箭頭則 代表存取決策。k不25G1之附圖的—部份顯示當正在建立 存取過滤器203時的情形:内建,,安全官員"使用,群组 2503具有管轄所有内建物件25〇5和管轄決策制定者決策 2507之管理權限。"安全官員"使用者群組則的成員都會 使用他們的管理權限,以便:组成物件25〇5之子集合,重 新安排物件層次,以及建立決策制定者決策25〇7。 在標示2508之圖2 5的部、份中,可看出:,,安全官員,,使用 者群組2503之活動的-個活動結果。_,安全官員,,使用者群 組2503之一成員已經建立:―”工程管理員,,管理使用者群 -34- 本纸張尺度適用中®國家標準(CNS)A4規格(210 X 297公釐) -i.·---.----訂,—♦ —.— 線* (請先閱讀背面之注意事項再填寫本頁) 4483 87 經濟部智慧財產局員工消費合作社印製 Α7 Β7 五、發明說明(32) 組2509,一”工程師”使用者群組25 U,以及—”工程資料” 資訊集2 5 1 3 ·’並且已經賦予•,工程管理員"管轄”工程師” ”工程"資料的管理權限。,,安全官員"之成員也已經建立和 策制定者決策2507,使得:”工程管理員”有權制定=針對 程資料"之存取決策,如點線箭頭25 1 0所示。,,工程管理 ”之一成員已經使用該權利來制定:允許工程師25II之成 員存取在”工程資料,·2513中之資訊的存取決策,如虛線箭 頭25 12所示。於是,”安全官員”之成員已經將管轄工程坤 2511 ’工程資料2513 ’以及管轄存取工程資料的管理權限 委託給工程管理員2509。
當然’安全官員2503仍然具有管轄工程管理員2509的管 理權限;因而能夠使用該權限,以供進一步委託權限之 用。將一實例顯示在2517處。"安全官員,,2503之一成員已 經將”工程管理員"分成兩個子集合:”工程人員管理員U (Engineering Personnel Administrators,簡構 ΕΡΑ)25 19和"工 程資料管理員 ’’(Engineerng Data Administrators,簡稱 ED A)252 1。這些子集合之成員都是從工程管理員2509中繼 承而得管轄工程師” 25 11和”工程資料',25 1 3的管理權利。 EPA 251 9和EDA 2521的成員會使用這些管理權利來將管轄 "工程師” 25 11的管理權限委託給"工程人員管理員"25 19, 並將管轄11工程資料"25 13的管理權限委託給"工程資料管 理員"2521。EPA 25 19和EDA 2521的成員已經進一步使用 他們的權利來制定針對"工程資料"25丨3的存取決策以改變 存取決策,使得:針對"工程資料"的存取決策是由"工程 -35- 本紙張尺度適用中®國家標準(CNS)A4規格(210* 297公釐) • I____I / 了氣 I _ i _· — 11 I — 1^1 ^^1 - I ft^i If-l · n u n I V 1 Φ *^1 I-'^1^ 丨 · fu先閱頊背do之注ΦΡ事項再填寫本頁) 7 4 48 3$
五、發明說明(33 經濟部智祛財產局員工消費合作社印製 s理貝" 252 1所制定的,如¥占咱总 工y u泉对頭2523所示,而不是由, 工奴官理員” 25〇9所制定的, 4疋田 資料管理員"252 1。 d將該項功能委託給”工卷 現在,工程人員管理員和 用他們^ , 和工程資料管理員之成員能夠使 州他們官轄工程師,工程資料 .V ., ^ T貧料,以及針對工程資料存取決 朿的f理權利來細加區分( 作•刀(ref咖)針對工程資料之存取操 作。言如說,"工程人員管理員 .. 男又一成員可能將•,工程師', ,.田刀成:"软體工程師”和"硬體 . 定吐工私師"·,而"工程資料管 料:一成貝則可能將”工程資科,細分成”硬體工程資 料和”軟體工程資料〃。這栉 、樣做,工程資料管理員"之一 :員就可能會以賦予”軟體工程師,,存取”軟體工程資料"和 秘…“ / 缸工牙呈資料"的存取決策來替換 賦丁"工程師存取,,工程資料"的存取決策。 。簡要而t ’可説是:具有管轄—使用者群組的諸多管理 =皆對正確較義在使料群組巾之“資格(membership 負有貴任;他們可能將此貴任的任何部份委託給其它管理 員。同樣地’具有管轄一資訊集的諸多管理員皆對正確地 將資訊資源包括在資訊集内負有責任;他們可能將此責任 的任何部份委託給其它管理員。後者的管理員當然也必释 是針對某種可用資源的管理員,從該資源中可能獲得:正 在被増加到資訊集的資訊。可用資源之管理員皆對整體網 路和安全性操作負有貴任。同樣地,他們可能委託他制 貴任。最後’決策制定者管理貝都會掌握管轄存取資訊的 最後管轄權。他們可㈣自建立與特定資訊集有關的存取 -36- 本紙張尺度適用中固國家標準(CNS)A4規格(210 X 297公发) _ . ^---------^ > » (^先閱讀背面之江意事項再填寫本頁) 448387 A? _____B7 五、發明說明(34 ) 決策。從某種意義説來,決策制定者決定針對企業的整禮 資έΗ·共享決策。針對使用者群組’資訊集,以及可用資源 的管理員然後會決定建構細節。 使用諸多存取過濾器203和資料庫301的存取控制:圖4 2使用諸多存取過濾器203和資料庫301的存取控制:圖4 如圖2中所示,存取過濾器203在VPN 201中有一位置, 將它安置在使用者正在從其中請求存取資訊資源的客户機 與資訊資源存在其上的伺服器之間。於是,藉由在一使用 者與能夠提供使用者存取資訊資源的一項在伺服器上的服 務之間的通信中居間調停(interceciing),存取過滤器203能 夠控制由使用者存取資源。爲了使使用者獲得存取資訊資 源’在使用者與服務之間必須建立對話。在目前上下文 中’將術語”對話”加以廣義地定義,以便包括一些正派 (well-behaved)無連接通信協定(connectionless protocols)。 當存取過濾器203發覺使用者嘗試初啓一項具有服務的對 話時,它會決定存取操作是否應該被允許。這麼做是根 據:使用者的已知身份;資訊正在被存取的資訊資源;資 訊的靈敏度等級;以及使用者識別方法,使用者與服務之 間路徑,及所使用之任何加密技術的信賴等級。 圖4顯示:一項對話如何能夠涉及一個以上的存取過濾 器203。顯示於圖4中的對話402涉及在圖中編號爲403 (1,…5)的五個存取過濾爭203。存取過濾器203皆被設計而 使得:只需要在諸多存取過濾器203中的一個存取過濾器 中’制定是否准許使用者存取資訊資源的決策。諸多存取 -37- 本纸張尺度適用中0 0家標準(CNS)A4規格(2i0 X 297公发) (請先閱讀背面之注意事項再填寫本頁) I ί * 1^1 1 n f i t flu I I t . &Λ-45么·>-v 經濟部智慧財產局員工消費合作社印製 ^48307 Λ7 B7 五、發明說明(35 ) 過濾器203的這種特點之關鍵是它們對它們自己彼此鑑 定的能力。skip被用來做這件事。每一個存取過濾器203 都有:使存取過濾器203之密鑰與存取過濾器之名稱相結 合’並且由VPN的證書當局所簽署的一種χ.509號證書。 在資料庫301中,每個存取過濾器都具有:在νρΝ 2〇丨中的 所有其它存取過濾器的名稱和I P位址:並且,一項使用 SKIP來加密的對話一到達,每個存取過濾器就使用來自在 skip之討論中如上所述之證書的.•主體名稱"(Subject Name) 來決定:使用SKIP加密的(SKIP-encrypted)網路通信量是否 來自在VPN 2〇1中的另一個存取過濾器2〇3。 若存取過濾器接收中的對話並不是對話的目標(那就 是’存取過濾器只是執行像沿著路徑之一〗p路由器那樣的 功能而已),則存取過濾器只會從資料庫3〇1中加以驗證 (verify):目標I p位址就是在vpN 2〇丨中的某個其它存取過 濾fe 203的I P位址。如果就是這種情形,就容許對話通過 而不必附加核對。當請求來到最後存取過濾器203時,最 後存取過濾器203就使用SKIP對該請求加以解密,以便證 實:孩請求的確被第—存取過濾器2〇3所核對,進而證 實:該請求在轉接中未曾被修改。 於是,在圖4中,存取過濾器4〇3 (丨)使用它自己的存取 控制資料庫301之拷貝來決定:發起對話的使用者是否已 經存取針對該對話所載明的資訊資源。若存取過濾器 403(〇如此決定;則它會鑑定對話的—些輸出訊息,並且 必要時對它們加以加密',以便達到適當信賴等級。然後, -38- 本紙張尺度綱中家彳(CNS)A^l祕c 297公^7 (請先閱讀背面之注意事項再填寫本頁) -----^*1--------,線-* 經濟部智慧財產局員工消費合作社印製 448387 經濟邨智慧財產局員工消費合作社印袈 A7 ______ B7__ 五、發明說明(36 ) 諸如存取過遽器403(2,...,5)會允許對話繼續進行,此乃因 爲迓對活是來自存取過濾器4〇3(〇並已經利用SK][p加密; 迫而既不會使用芯們自己的存取控制資料庫3〇丨之拷貝來 對訊息加以解密,也不會對訊息加以核對。然後,存取過 濾器403(5)會對訊息加以解密,並證實:它們都被加密’ 因此皆由存取過濾器4〇3( 1)所核對:且若訊息都是原封不 動的,則將它們轉遞到包含所需資源的伺服器4〇7。在伺 服器407與使用者系統4〇 1之間傳遞之對話中的諸多訊息都 用相同方式加以處理:必要時,利用存取過濾器4〇3(5)對 它們加以加密:諸存取過濾器4〇3(2,…,4)會基於由存取過 濾器403(5)所執行的鑑定而將它們加以傳遞通過:而存取 過應器403( 1)到基於鑑定而將訊息傳遞到系統4〇 ^,並且必 要時’對該訊息加以解密0 这種技術所有效執行的是:爲存取過濾器4〇3(1)與存取 過濾器403(5)之間的對話而開關一隧道4〇5 ;因爲隧道,所 以只有最接近客户機的存取過濾器4〇3才需要執行:解 抬,存取核對,以及重新加密。而且,在諸多内部網路和 在網際網路1 2 1中,隧道都是同樣安全的。在一種大型 VPN中’存取過濾器4〇3(1)處在最佳位置中以核對存取操 作,此乃因爲:它有權存取關於發起對話之使用者的最詳 細資讯。執行在第—存取過濾器4〇1處之存取核對的技術 會進一步將存取控制責任均均分佈遍及VPN,因而容許 VPN按規模伸縮到任何规模的大小。 端對端加密:圖5 -39- 冬.·氏沧尺度過用宁圉國家標準(CNS)A4規格(21〇 χ视公 -----------1----------r--------J \ c (請先Μ讀背面之;£意事項再填寫本頁) 4483 8 7 A7 B7 經濟部智慧財產局員工消費合作社印*'ϊί 五、發明說明(37 3端對端加密:圖5 圖4之隨道只是從存取過濾器4〇3(1)延仲到存取過遽器 403(5)而已:對話之訊息在使用者所使用的系統4〇〖與存取 過遽器403(1)之間都未加密,又在存取過濾器4〇3(5)與伺 服器407之間都未加密。在極爲靈敏之資訊的情形下,從 近端存取過濾器到經由網路之路徑末端,即:在系統 403(1)與伺服器4〇7之間,可能需要鑑定和加密。 圖5顯示··怎樣使用一些存取過濾器2〇3來達成此目的。 在VPN内’除了一些存取過濾器203之外,可能和任何客 户端系統40 1或503 ’或任何伺服器系統407使用鑑定和加密 技術。當一客户端電腦利用加密技術時,它會使用$匕11?來 鑑定對話,並使用一種在客户端電腦與一被選擇存取過濾 器203之間所共享的共享機密(sharecj secret),對該對話加 以加密’然後會將已加密訊息發送到被選擇存取過濾器 203 ;藉以有效地闢建客户端與被選擇存取過濾器2〇3之 間的随道,進而使被選擇存取過濾器2〇3和第一存取過濾 器203可作存取核對之用。在第一存取過濾器2〇3處,對 訊息加以解密並執行存取核對。由於使用者之證書 和已加密訊息可供利用,故而使用者之已鑑定身份能夠被 用於存取核對。若存取操作被允許;則對訊息再加密一 次’並發送到最接近伺服器4〇7的存取過濾器4〇3(5),它會 對該訊息加以解密。若資料庫30 1包含一種針對伺服器407 的skip名稱和加密演算法(algorithrns);則必要時,存取過 遽器403(5)檢索針對伺服器4〇7的證書,並使用SKIP,以便 -40- 本紙張尺度適財關家標準iCNS)A4規格⑵〇 x 297公发) . _ . *-------^ ---------i i (請先閱ί4背面之;i意事項再填寫本頁) 448387 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(38 ) 必要時爲伺服器407而對該對話重新加密。在其它情況, 存取過濾器403(5)只是以明碼方式the clear)將訊息發送 到伺服器407。若爲伺服器407而對訊息重新加密,則伺服 器407最後會接收已加密訊息並對它加以解密。位居第一 存取過濾器203與最後存取過濾器2〇3中間的一些存取過 濾器203 ’都只是注意到該訊息是來自另一存取過濾器並 利用SKIP加密’以及將該訊息傳遞而已,如上所述。當词 服器407檢索資訊資源時,它不是以明碼方式將它發送到 存取過濾器4〇3(5),就是利用針對存取過濾器4〇3(5)的密 輪而對包含資源的訊息加以加密。然後,依相反順序,成 對地執行上述的解密和加密處理過程:從伺服器4〇7到存 取過濾器403(5);從存取過濾器4〇3(5)到存取過濾器 403(1):以及最後從存取過濾器4〇3(1;)到原始客户端系統 40 1,它會對訊息加以解密。 這種技術的效應是:在客户機與伺服器之間的路徑上構 築隧道,該随道從在最接近客户機之路徑上的存取過滤器 203延伸到在最接近伺服器之路徑上的存取過減器如。若 客户機能夠加密和解密,則隨道能夠從最接近客户機的存 取過遽器延伸到客户機;且若词服器能夠加密和解密,s!] 隨道同樣地能夠從最接近何服器的存取過渡器延伸到词服 。—旦在路徑中的第-存取過遽器2〇3已經被觸及,並 已經鑑定對話;就不需要進—步 歹加抗或解密,直到最接近 飼服器的存取過滅器203已經被觸及爲止。而且,在 存取過遽器203中的存取控制資料庫3Ql都會Μ針對:客 41 - 本纸張尺度適用中固固家標準(CNS)A4規格 ----r---I------坤衣--------訂·--------1 ir {請先閱讀背面之江意事項再填寫本頁) ^483 8 7 經濟部智慧財產局員工消費合作社印Λ,,π A7 B7 五、發明說明(39 ) 户機,伺服器,以及在路由中的諸多存取過濾器203之所 有必要的識別和認證(certiHcation)資訊。剛才描述的端對 端加密枝術之一優點是:與其集中注意力於用來連接VPN 到網際網路的諸多存取過濾器,不如將加密負擔分佈遍及 網路,藉以增強規模可伸縮性。 圖5顯示:該技術如何隨著對話5〇 1而運作,該對話隨著 漫遊者而發起,那就是:客户機503連接到VPN是經由網 際網路12 1。漫遊者503配備有SKIP,就像在一内部網路上 的目標伺服器407那樣。當SKIP被配置在漫遊者中時,就 將針對存取過濾器403 (3)的證書賦予漫遊者,並將針對漫 遊者的證書賦予存取過濾器403(3)。當漫遊者503發送一項 屬於對話的訊息時,它會將訊息定址到伺服器4〇7,並使 用它和存取過濾器403(3)共享之傳送密鑰,對該訊息加 以加密。於是,經由隧道505而將訊息鑿隧道傳送到存取 過濾器403(3)。在那裏,存取過濾器403(3)會對該對話加 以解密’執行存取核對,進而使用針對存取過濾器4〇3(5) 之一傳送密输而對該對話重新加密。在路徑中的諸多隨後 存取過濾器403容許對話通過,此乃因爲:該對話是由存 取過濾器403(3)加以鑑定;於是,至少提供隧道5〇7到存 取過濾器4〇3(5)。若目標伺服器407配備有SKIP,則存取 過濾器403(5)會將隧道延伸到目標伺服器407,如上所 述0 基於資料靈敏度的可適性加密和鑑定:圖6和7 3基於資料靈敏度的可適性加密和鑑定:圖6和7 -42- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) 4^ . 訂---------,線 (諦先間請背面之注意事項再填寫本頁) 4483 8 7 A7 B7 經 濟 部 智 慧 財 產 局 員 工 消 費 合 作 社 印 五、發明說明(4〇 ) 在VPN中,在存取控制方面的一項重要工作是:決定對 話所需安全性的最小量。這挺重要的,第一是因爲:至少 必須保證該最小量;第二則是因爲:比需要還多的安全性 會浪費資源。將用來決定最小而在存取過濾器203中所使 用的諸多技術集體稱爲安全加密網路遞送(Secure
Encrypted Network Delivery,簡稱 SEND)。在 SEND 中,存 取控制資料庫301包含針對每個資訊資源的資料靈敏度等 級β資料靈敏度等級會指示與資訊資源有關聯的保密等級 (the level 〇f secrecy),並由對資源負有貴任的安全管理員 加以指定給資訊資源。諸多等級之一模範集合是:最高機 密(Top Secret),機密(Seeret),專用(private),以及公用 (Public)。 用來指示資料靈敏度的等級也都被用來指示針對存取請 求所品的仏賴等級。如前面所描述的,唯若從下列信賴等 級中所決定的信賴等級至少與該資訊之資料靈敏度等級一 樣大,才會允許存取操作;該信賴等級有:用來識別使用 者=技術的信賴等級,存取請求經由vpN 2〇丨之路徑的信 賴辛級’或用來對在路徑上所發送的訊息加以加密之任何 加密技術的信賴等級。針對:使用者識別方法,路徑,以 力达演算的u等級都被包含在存取控制冑料庫如1 中。關於路的信賴等級’將VPN分成—些網路 個網路组件都是諸多Ip 呼 ^ 峪又連接集合,由存取過濾器 二、匕组件加以分離。每個網路组件都有—個名 賴守級。譬如說’ '網際網路組件將會有”公 -----------版-------—訂---------線 (請先閱讀背面之注意事項再填寫本頁) -43- 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(41 ) 用"信顇等級,而一内部網路組件則可能有”專用”信賴等 級。一既疋組件的信賴等級可能是基於它的實體安全性, 或者是基於组件中之加密硬體的使用。因爲將每個存取過 濾器203增加到vpN,所以將一種它與VpN之諸組件連接 的描述増加到資料庫3〇1。包括在這種描述中的都是:諸 多網路的信賴等級。因此’任何存取過濾器203都能夠使 用i的資料庫3 〇 1之拷貝來決定路校之每個組件的信賴等 級;而在一客户機與一伺服器之間,將會藉由該路徑來載 送一項對話。 使用者的信賴等級是從存取請求識別使用者所依照的方 式中所決定的。在存取控制資料庫3 0 1中,每個使用者群 组都有一種或更多與它有關聯的識別技術,而每種識別技 術則都有一種最小信賴等級。諸多基本技術爲: •經由SKIP的證書。使用者藉由在其X.509號證書中的 名稱來加以識別,該證書則和SKIP通信協定一起使 用,以便鑑定和加密通信量。 * 經由使用者識別客户軟體的證書。使用者藉由在其 x’5〇9號證書中的名稱來加以識別,該證書則經由一 種稱爲使用者識別客户軟體的特殊Conclave(秘密會議) 客户軟體模組而傳送到一些附屬存取過濾器203。使 用—種口令 / 回應機制(challenge/response mechanism), 很安全地完成這項傳送。 • 經由使用者識別客户軟體的Windows Domain ID(視窗 網域識別符)。對Microsoft Windows Domain(微軟視窗 -44 - 尽·认㈣用中國國家標準(CNS)A4規格(210 X 297公沒) II Ji .k*-------訂·--------線 (請先Μ讀背面之注意事項再填寫本1^} 483 8 7 A7 B7 經濟部智慧財產局員工消費合作社印矣 五、發明說明(42 ) 網域)註册(log in)且已經安裝使用者識別客户軟體的 使用者自動地具有其Windows身份’包括群組成員資 格,並且傳送到一些附屬存取過濾器2〇3 ^在NetBi〇s (網路基本輸入/輸出系統)通信協定的機制内,很安 全地完成網路登錄(丨ogon)。 •鑑定令牌。可能以下列兩種方式來利用鑑定令牌(諸 如:由安..免i车動力公司(security 〇ynamics Inc.)和亞贊 1公司(Axent Corp.)所製造的那些令牌):經由使用者 識別客户軟體,以在頻帶外的方式;或者,在 Telnet(遠距通信網路)和FTP(檔案傳送協定)通信協定 内,以在頻帶内的方式。 • 1 p位址及/或網域名稱。使用者之電腦的I p位址或全 限定(fully qualified)網域名稱。 在SEND之一較佳建構例中,諸多識別技術都有一種從 最高安全到最低安全的預定次序。應該將剛才列示的諸多 技術加以排列/入序,就像它們在上述列表中的那樣:最高 安全的技術都是在列表的上端。雖然識別技術的排列次序 (ordering)是有些主觀,但是卻反映了 :識別技術的通用安 全性’以及應用到使用者身份之分佈和確認的嚴密性 (ngor)。在VPN 201中的管理員隨後會使有序(〇rdered)信賴 等級與有序識別技術有關係。譬如説,若管理員使,,專用M 仏賴等級與藉由艦足令牌的識別技術有關係;則想要存取 具有"專用”靈敏度等級之一資源的使用者必須親自識別, 其方法是藉由··一種鑑定令牌,或者高於識別技術之順序 -45 - 本紙張尺度適用中0國家標準(CNS)A4規格(210 x 297公髮) (請先閱請背面之注意事項再填寫本頁) -_k·-------訂·--------'線 _ ^48387 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(43 ) 中的鑑定技術的另一種識別技術。存取過濾器的管理員同 樣地會:將在VPN中可供利用的諸多密碼演算法,從最高 安全到最低安全加以排列次序;使有序信賴等級與有序密 碼演算法有關係;將在VPN 20 1中所使用的諸多網路路徑 加以排列次序;以及使有序信賴等級與有序網路路徑有關 係s在信賴等級與關於安全性的排列次序之問的這些關係 都包括在存取控制資料庫3〇丨中,然後,構築一種信賴及 靈敏度等級與識別及加密技術有關係的SEND表。圖6是: 這樣一種SEND表之一概念性表示法。 SEND表601有三欄:一欄是表示信賴/靈敏度等級的 603 ’ 一欄是表示最小加密方法的6〇5,以及—欄是表示最 小識別方法的607。就關於欄605之諸加密方法的細節而 I ’請參看由布魯斯·史尼爾(Rr„ce Schneier)所著:”應 用在碼術”—書,該書由約翰·威利及後裔(John Wiley & Sons)圖書公司印行,美國紐約,1994年版。表中的每一列 609使信賴/靈敏度等級與連接著存取過濾器’客户機,及 词服器1路徑的最小加密等級和使用者之最小識別等級有 關聯。於是’列609(1)使”最高機密”信賴/靈敏度等級與 3DES加密演算法和經由SKIp而獲得的使用者證書有關 係。希望獲得存取具有靈敏度等級爲,,最高機密之一資源 的使用者,因此必須具有一種由Skip所認證的識別等 級:且若路徑並不具有”最高機密"信賴等級,則必須利用 3DESM法、演算法對該對話加以加密。在另一方面,如列 609(4)所示,希望獲得存取具有靈敏度等級爲„公用,,之一 -46· 本纸張尺度適用中固S家標準(CNS)A4規格(2l〇x 297公釐) f—. .—k-------1,訂·-------* 線 l ' (請先閱?F背面之注意#·項再填寫本頁) A7 #38 7 ___Βί______ 五、發明說明(44 ) 資源的使用者可能藉由任何方法加以識別’因而不必要對 該對話加以加密。 當初啓一項新對話時,在針對該對話所使用之路徑中的 第一存取過濾器203會繼續進行如下: 1 .存取過濾器203會決定正在被存取的資訊資源;並且, 在資料庫301中查出(looks up)它的靈敏度等級。 根據SEND表601,針對該靈敏度等級的最小鑑定方法會載 明:哪些識別機制可能被存取過濾器所使用,以便識 別和鑑定執行存取操作的使用者。 第一存取過ί慮器203然後會查閲(consults)資料庫30 1,以便 根據使用者所屬的使用者群组和資源所屬之資訊集來 決定:使用者是否可存取資源。 第一步驟是根據存取控制資料庫來決定:用來識別使 用者的諸多識別方法中,哪些方法具有對該資源 之靈敏度等級而言是夠高的信賴等級。 然後,第一存取過濾器203根據具有夠高的信賴等級的 每一種識別方法,使用使用者之識別資訊來查閲 資料庫301 ’以便決定:使用者所屬的使用者群 組。 第一存取過濾器203也會查閱資料庫30丨,以便決定: 資源屬於哪些資訊集。 已決定了有關的使用者群組和資訊集,第—存取過濾 器2 0 3就會查閱資料庫3 0 1,以便指出—收存取決 朿的位置’該決策決定:是否打算容許或拒絕存 -47- 本纸張尺度剌 t a i iji (CNS)A4 ^ (210 X 297 ) -------------k--------訂---------線-> (請先閱Ϊ3背面之注意事項再填寫本頁) 經 濟 部 智 慧 財 產 局 員 工 消 費 、合 作 社 印 製 A7 448387 _____B7_.________ 五、發明說明(45 ) 取對話資訊8若發覺到至少—個容許存取操作的 決策以及發覺到沒有一個拒絕存取操作的決策’ 則容許使用者存取操作:在其它情況,則是拒絕 存取操作。將步騍b ’ c及d的細節加以描述於下。 4 .若不拒絕存取操作’則第一存取過濾器203隨後會 查閲資料庫3 ΟI,以便決定組成路由的一些網路組 件,該路由是·•經由VPN ’從客户機到包含資訊資 源的伺服器。 將路由加以考慮成爲具有高達三個的邏輯分段 (logical segments); 1 ·分段(a),從客户機到第一存取過濾器203 »此分段 可能已經加密或可能未曾加密,端視客户機是否 使用SKIP而定。 2,分段(b) ’從第一存取過遽器203到最接近伺服器而 在路徑中的存取過遽器2 0 3 ;以及 3 .分段(c),從最接近伺服器的存取過濾器2〇3到伺服 器,此分段也可能已加密或可能未加密。 若分段(a)和分段(c)存在,則每個分段將由單一網路組 件组成。若客户機在第—存取過濾器上,則分段⑷將 不存在,若伺服器在最接近伺服器的存取過濾器上, 則分段(c)將不存在。若分段(b)存在,則它將由—個或 更多網路组件组成。若在客户機與伺服器之間只有— 個存取過濾器,則分段將不存在。 就每個分段而言: (请·元閱讀背面之;i意事項再填寫本頁) k·--------訂----------線 ^濟部智#1財產局員工消費合作社印製 -48- 448387 B7 烴濟部智慧財產局員工消費合作社印繁 五、發明說明(46 ) .就分,⑷而言,必須由客户機執行任何加密方 法9若分段(a)的信賴等級至少不是與資源之資料 靈,度-樣強有力:或者,若由客户機所執行的 加密方法义信賴等級至少不是與資源之資料靈敏 度一樣強有力;則拒絕存取操作^ 说刀/又(b)而g,若在路徑中之任何網路组件的最 弱信賴等級大於或等於資源之資料靈敏度,則發 达通k量而不必加密。這對應於網路本來就夠安 全用來傳送資料的情形。在上表之實例中,可能 =任何網路上傳送具有"公用"資料靈敏度等級的 ^訊資源’如列_⑷所示。,然而,諸多存取過遽 器203將會使用SKIp來鑑定對話,因而容許諸多隨 後存取過滅器通過對話而不會招致:解密,存取 核對,以及重新加密的較大開銷(overheads)。若針 對路k的最弱信賴等級小於資源之資料靈敏度, 則爲針對靈敏度等級所需之最小加密演算法而查 閲SEND表,進而使用該演算丨,_胃❼ 在力在使通4鍵路(1 ink)的安全性升級(upgra‘des), 使Έ適合於載送該既定靈敏度之資料,因而允許 由使用者存取資源。 6.就分段⑷而言,從最接近伺服器的存取過濾器203 到词服器的路徑部分,第一存取過濾器203根據資 料庫301中的資訊而決定:分段(c)以及在分段(c)中 所使用之任何加密方法的信賴等級。若路徑的這 _ -49- t Ξ1 297 ^T) J ^ --------訂---------線-I (請先Μ讀背面之注意事項再填寫本頁) 4483 8 A7 B7 五、發明說明(47 ) 個分段之信賴等級小於資訊 、貪机貝原又靈敏度等級, 並且在那種情形下,若在分p 、^ 右在刀*又(C)中所使用的加密
方法之彳0賴寺級至*』/ T Y _ 主y不是與所需等級一樣強有 力’遠所需寺級就像在老虑杳叫.之 1豕彺芩愿貝巩資源之靈敏度等 級的SEND表中的最,丨、葚纽抓样 J瑕小f級那樣:則第—存取過濾 器2 0 3將會拒絕存取操作。 上述決定靈敏度和信賴等級的方法保證:只有當需要達 到必要的信賴等級時,存取過滤器2〇3才會使用加密方 法。在使資料庫301中之網路配置的描述保持既簡單又可 苔理的時候,此方法會減少將被加密之對話的數目。結果 是.關於VPN中的管理和效能方面,會有較好的規模可伸 縮性。 圖7提供:資訊資源的靈敏度等級,使用者識別方法的 信賴等級,以及和客户機與伺服器之間的路徑有關聯的信 賴等級是怎樣影響由使用者存取資訊資源之一實例。在圖 7中,在客户端703處一配備有SKIP的使用者初啓一項對 話701,以便獲得儲存在配備有SKIP的伺服器705處之一資 訊資源723。上述討論的分段(a)出現在圖7中的707處;分 段(b)出現在709(1 ^.,4)處;分段(c)出現在711處。資訊資 源723具有"機密"之靈敏度等級。該對話遭遇的第一存取 過濾器203是存取過濾器203 (1)。存取過濾器203 (1)使用它 的存取控制資料庫之拷貝決定資源723的靈敏度等級。此 處,使用者已經使用SKIP證書,而檢視資料庫30 1中之 SEND表601則對存取過濾器203 (1)顯示:因爲這種使用者 -50- 本紙張尺度適用中國國家標準(CNS)A4規格(21〇χ 297公爱) (請先閱讀背面之注意事項再填寫本頁) k--------訂---------線. 經濟部智慧財產局員工消費合作社印*·1^ " 448387 A7 ____ B7__ 五、發明說明(48 ) 識別方法滿足具有"機密”靈敏度等級之資訊資源的要求, 所以在707處的分段(a)具有所需信賴等級。因此’第—存 取過濾器繼續決定:在VPN中,在存取過濾器203 (1)與词 服器705之間位在709(1,,,,,4)處之分段(b)和位在711處之分 段(c)的信賴等級。分段7〇9具有—些子分段:7〇9〇), 709(2),709(3),709(4),以及 709(5) ‘·而第一存取過濾器 203 (1)會核對在資料庫3 〇 1中的這些分子分段中的每個子 分段之信賴等級。分段709(2)是網際網路12 1,所以它的信 賴等級是:"公用"’它在分段709中是最小等級。然後, 存取過滤器203 (1)使用存取控制資料庫3〇丨來核對分段7 j j 之信賴等級。它的信賴等級是:_,機密"。於是,在7〇9處 之分段(b)只是具有一種對正在存取一"機密"資訊資源7〇3 疋一對話的路徑而言是太低的信賴等級而已。要處理這個 問題,存取過濾器203 (1)必須對該話加密,以便將它提升
到必要的k賴等級。第一存取過濾器2〇3 (丨)會查閲SEND 表601 ’以便決定需要何種加密方法;而列609(2)則指示: DES加岔方法是足夠的。於是,第一存取過濾器203 (1)會 使用忒演算法來對該對話加密’進而將它發送到存取過濾 器 203 (5)。 在圖7中’連接著客户機7〇3到存取過濾器刊”丨)的分段 707具有一種對資源之靈敏度等級而言是夠高的信賴等 級,於是客户機703不必對其請求加以加密。當不是這種 馅況時’唯右客户機7〇3已經使用一種其信賴等級資源之 靈敏度等級而言是足夠的加密方法來對請求加密,存取過 -51 - 本纸張尺度刺中Θ國家標規格<2K) x 297公g {請先閱筇背面之注意事項再填寫衣頁) hr ] !— - -1 · -"--h· - ^ - I - Jn — __I --- — ' 經濟部智慧財產局員工消費合作社印製 48387 A7 B7 五、發明說明(49 ) 濾器203 (1)才會賦予客户機·^3存取操作。爲此緣故’在 圖5中的漫遊者503必須是配備有SKIP的。由於漫遊者5们 經由網際網路121來存取•存取過濾器4〇3(3)的資訊;故而 漫遊者503的諸多請求可能從未具有高於,,公用,,的信賴等 級,除非將它們加以加密;並且,爲了完全存取在 中的資源,漫遊者503就必須使用一種加密方法,諸如:由 SKIP所提供的一種方法,其信賴等級對最高靈敏度等級 而言是足夠的。在存取過濾器2〇3的一些實施例中,存取 過遽器可能以-種與它在較佳實施例中使用來協商使用者 識別模式類似的方式’和客户機協商打算使用在請求中的 加密技術。 針對存取控制資料庫301之管理員界面的總覽:圖8到12 3針對存取控制資料庫3〇1之管理員界面的總覽:圖8到12 存取決策依據使用者群组和資訊集來定義存取操作;因 此,在可能定義存取決策之前,管理員必須定義使用者群 組和資訊集1争怎樣完成此事顯示於圖8中。定義使用者 群組涉及了步骤803到807 :首先定義使用者,然後 用者群組,然後再將使用者指定料#使用者料。定^ 資訊集涉及了步秘_到813:首先定義資源,然後定^ 訊集,然後再將資源指定到資訊集。當針對在一項決;中 所涉及的使用者群组和資訊集而已經完成此事時,、^夠 建立存取決策,如在815處所示。如前面㈣“^ p針對諸多使用者㈣和資訊集之存取決策的權利都由 決東制定者決策所決定的;可是用來定義和夹定使用者群 52- 參紙張尺度適用中國國家標準(CNS)A4規格(2】〇 X 297公爱 (請先閱讀背面之注意事項再填寫本頁) 『A + I -- 1 a^i I * 1^1 I-1 *1 ^^1 線 經濟部智慧財產局員工消費合作社印製 448387 經濟部智慧財產局員工消費合作社印5λ A7 ----------B7_____ 五、發明說明(50 ) 组〈成員資格和資訊集,以及用來爲它們而制定管理決策 的權利卻都是由管理決策所決定的。 ::像從削述中能夠看出的那樣,使用者界面通常被用來 疋義在兩個實體或關於它們的集合之間的關係。針對存取 控制貝料&庫301之圖形使用者界面(graphical user
InterfaCe ’簡稱GUI)的通用形式對應於該工作。顯示圖包 括兩個視窗,每個視窗都包含打算使彼此有關係的一些實 體之表示〉去’而冑係則㈣選擇實體和需要之所在來定義 的’因而定義關係。 定義使用者群組:圖9 3定義使用者群组:圖9 圖9 α示用來殖民(populating)和定義使用者群組的顯 不圖901。在顯示圖中的視窗9〇3包含目前定義的使用者群 組之一分層顯示圖;視窗903與那些用來顯示由微軟公司 (Microsoft C〇rporati〇n)所製造的Wind〇ws %商標之作業系 ,·先中的ia案層次之視窗相似。在視窗9〇3中,使用著顯示 圖灿之管理使用者具有管理權所針對的諸技用者群組 都王現黑色;而其它使用者群组則都呈現灰色。在兩個視 ® :上的是兩個按鈕帶(butt〇n bars) : 91 i和915。按鈕帶 91〗列示:用來修改存取控制資料庫3〇1的一些可利用顯示 圖,而按鈕帶915則列示:可能在那些顯示圖上執行的— 些杈作。於是,在按鈕帶911中標示”使用者群组"的按鈕 被凸顯出,因而指示:顯示圖9〇1是用來殖民和定義使用 者群组的一個顯示圖。關於按鈕帶915,當視窗9〇3是現用 -53- 本纸張尺度適用中國國家標牟(CNS)A‘l規格(21G X 297公爱y ------------------------訂.--------線 > (請先間讀貨面之注意事項再填寫本頁) 4 48387 A7 B7 經濟部智慧財產局員工消費合作社印" 五、發明說明(51 ) 狀態時’有權管理一使用者群組之一管理使用者可能會修 改使用者群組,其方法是:在視窗903中選擇使用者群 組:並使用在按鈕帶9 1 5中的"刪除”(delete)按鈕來删除使 使用者群組;或者’使用"新増”(new)按紐來增加並命名 位在層次中的被選擇使用者群组之下的一個新使用者群 組。當管理使用者點按(clicks):應用"(appiy)按鈕921時, 存取過濾器2 0 3就會修改它的存取控制資料庫3 〇 1之拷貝, 以便證實何種東西在顯示圖901上;並且將修改資訊傳播 到:在VPN中的所有存取控制資料庫3〇 1之拷貝。 視窗909顯示使用者。藉由識別在集合中之使用者所依 照的方式’將使用者之一集合指示於顯示圖中。在此情形 下,使用者都是藉由I P位址來識別,而他們則都會以j p 位址之範圍出現在顯示圖中。按鈕帶913指示:能夠顯示 在視窗909中之其它種類的識別方法。就像利用視窗9〇3那 樣’當視窗是現用狀態時,能夠使用"新增"和"刪除"兩個 按鈕來增加和刪除使用者。要將由使用者識別資訊所載明 的(諸多)使用者指定給一使用者群组,GUI之使用就會選 擇:一使用者群组,如在917處所顯示的,以及識別資訊 之一集合,如在919處所顯示的;然後再使用在按鈕帶913 中的”增加到使用者群组_,(add to group)按鈕,將識別資訊 之集合增加到使用者群组,就像由以下事實所顯示的那 樣:在919處之被選擇I p位址之範圍現在會出現在位於9 i 7 處之被選擇使用者群組之下的層次中。本操作之效應是: 使諸多使用者成爲”研發"(R&D)使用者群组的成員,該使 -54- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) --------------1 I ^--------訂·--------線"、 ^閱讀背面之注音?事項再填寫本頁} 44838 7 經濟部智慧財產局員工消費合作社印^ί A7 B7 五、發明說明(52 ) 用者的對話都具有列示在9 17處的來源I P位址;並且,當 使用者點按:"應用"按鈕時,於是所有存取控制資料庫 301之拷貝都被修改。 圖10顯示:用來定義資訊集的顯示圖1001,此處,視窗 1003包含—種資訊集的分層列表,而視窗1005則包含一種 可用資源的分層列表。用與使用者群组之列表相同的方法 來制定:資訊集的分層列表,以及可用使用者群组的分層 列表。再者’顯示圖丨〇〇丨之使用者有管理權限加以管轄的 資訊集和可用資源都呈現黑色;而在列表上的其它項目則 都呈現灰色。在視窗100丨中,可用資源爲:網際網路和組 成VPN 201的兩個位置。在一種更加開發的VpN 2〇1中, 可用資源的列表應該指示:在位置處的伺服器,在伺服器 中的服務,以及由服務所提供的資訊項。譬如説,若服務 提供一種目錄樹,則應該藉由—個路徑名稱(pathname)來 指示包含在目綠樹中的資訊項;該路徑名稱會載明目錄樹 之根部(root),並且會使用通配字元(wiidcard仏“扣匕⑷來 載明在目錄樹之根部以上的一些檔案。當將一資源增加到 一伺服器時,可能經由視窗1〇〇5來定義資源。於是,已經 疋義了資源,可能用與一使用者識別資訊被指定给一使用 者群組相㈣方式來將—資源指定给—資訊集。再者,點 m㈣會使顯示@1QQI中的改變傳播到所有存取 控制資料庫3 0 1之拷貝。 圖1丨顯不:用來定義決策的顯示圖丨1〇i。將哪一類型的 決策正在被定義加以載明於按鈕帶m3中;如在那裏所指 -55- 本纸張尺度過用中國园家標準(CNS)A4規格(210 297公釐) — .11 —---------- *------—訂·--------1 \ {請先閱讀背面之注意事項再填寫本頁) 4483 8 經濟部智慧財產局員工消費合作社印*'《 A7 B7 五、發明說明(53 ) 示的,顯示圖110丨正在定義存取決策3所有的決策顯示圖 都具有相同的通用格式:一視窗丨丨03,它包含使用者群組 之一分層顯示圖:一視窗U05,它包含可能定義決策所針 對的物件層次之一顯示圖:以及—決策定義視窗丨1〇7,它 包含一些存取決策定義1108。在物件層次中,顯示圖u〇 1 之使用者有權定義決策所針對的物件都呈現黑色;而其它 的則呈現灰色β在顯示圖1 101中,正在被定義的是存取決 策,所以物件都是資訊集。 每個存取決策定義都有四個部份: .一現用(active)圈選框1117,它指示由決策定義所定義 的存取決策是否現用的,即:正在被用來控制存取操 作: •存取決策正在被定義所針對的使用者群组1 119 ; *存取決策正在被定義所針對旳資訊集1 12 3 :以及 ,存取操作櫚位Η 2 1,它指示存取操作是否被容許或拒 絕,藉以定義存取決策。 選單帶(menu bar)1109和按鈕帶ms允許決策制定者決策 容許如此做的那些管理員加以編輯,增加,刪除,以及啓 動(activate)或撤除(deactivate)—種被選擇決策定義丨1〇8。 每個決策定義1108的現用圈選框1Π7允許管理員啓動或撤 除選擇決策定義Π 08 ;存取操作欄位丨1 2 1允許管理員選擇 容許或拒絕作爲決策。在按鈕帶π丨5中的|,硎除”按鈕允許 管理員刪除一項被選擇決策:而,,新增,.按鈕則允許管理員 刎定一種新決策定義11 〇 8 ;要執行此事,管理員會選擇· ---- ^ ---------Jtr· ---------I » (請先閱請背面之注意事項再填寫本頁) -56 - 44838 7 經濟部智慧財產局具工消費合作社印製 A7 B7 五、發明說明(54 ) 在視窗Π 03中之一使用者群組以及在視窗丨丨〇5中之一資訊 集:然後會按”新增"按鈕。新的存取決策定義1 1〇8出現在 顯TF圖I 1 〇7中:並且’管理員能夠编輯新的存取決策定 義,如剛才所描述的。要將改變應用到存取控制資料庫 301,並將它傳播到所有的存取過濾器2〇3 ;管理員會點按 在"應用”按鈕1125上。 顯示圖ποι也包含一種決策評估者工具程式(p〇Hcy evaluatortoo丨),它讓管理員看出:存取決策定義的目前集 合怎樣決定針對一既定使用者群組或資源集的存取操作。 當管理員點按:按知帶1113中的”決策評估,,(p〇ncy evaluation)按鈕,並從顯示圖n〇3中選擇一使用者群组 時·’該工具程式就會顯示:被選擇使用者群组呈現藍色: 決策定義允許使用者群组存取而在顯示圖UQ5中的所有資 訊集呈現綠色:而其餘的則呈現紅色:與哪些資訊集可能 被使用者群組存取之決定有β㈣所有決策定義都被凸^ 相同的顏色集合中》若管理員選擇一資訊集1 ' 的:情;然後,評估者工具程式會顯示:被選擇資訊集。 現篮色,能夠存取資訊集的所有使用者群組呈現綠色= f餘:則呈現紅色,因而也會凸顯出1有 我。使用者也能夠選擇-項決策。在那種情形了 = ,現藍色’而受決策影響的使用者群組和資訊集= 主現監色或紅色,就像由決策所決定的 ' Γ> 另外選擇-個以上的:使用者群組,資#。使用者能夠 那種情形下,評估者工具程式對每項 $ ,朿。在 、穴東顯示:應用到所 57- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公发 ί碎-^閱^背面之注意事項再填寫木頁)
經濟部智慧財產局員工消費合作社印製 .44838 7 Α7 Β7 五、發明说明(55 ) 有的被選項,以及那些決策的效應。評估者工具程式能夠 藉由點按在按鈕帶1113中的決策許估"按鈕來關斷(truned off) ’而顏色和凸顯功能(highlights)則能夠藉由點按在按 紅帶1115申的11重新設定評估"(reset evaiuati〇n)按紅來關 斷,以便針對一項新的決策評估而準備。 圖12顯示:顯示圖1201被使用來將關於一存取過遽器 203的資訊輸入到存取控制資料庫301。視窗1203顯示:存 取過遽器203之一分層列表;當視窗是現用狀態時,可能 使用在按鈕帶1209中的"新增"和"刪除"兩個按鈕來增加或 刪除存取過濾器。視窗1205被用來輸入或顯示關於存取過 濾器203的資訊。在視窗Π07中的顯示圖是藉由點按在按 紅帶1207中之一按4s來決定的;如按紅所顯示的,能夠使 用在$見窗1207中的顯示圖,以便:輸入並檢视關於諸多存 取過漉器203之網路連接的資訊,輸入並檢視關於那些連 接之信賴等級的資訊,針對可用伺服器和服務而掃描網 路,針對存取過濾器203中所檢測的問題而建立警戒資訊 (alerts) ’載明針對軟體的可選擇參數,以及載明存取控制 資料庫301改變的分配順序。》警戒資訊建立"(alert setup:( 的凸顯功能指.示·顯示於圖1 2中的顯示圖1205是用來顯示 並建立警戒資訊的顯示圖》· 用來發明資源的使用者界面:圖1 8和2 4 3用來發明資源的使用者界面:圖1 8和2 4 VPN 201的使用者都有一種用來察看在VPN 201内何種資 源可供他們利用的界面。在此處稱為IntraMap(映像内)界 _____- 58- 本紙張尺度適用中國國家標準(CNS)A4規格(210 χ 297公釐) I ------------4%^.--------訂---------線 (請先閱讀背面之注意事項再填寫本頁) 44838 7 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(56) 面(IrmaMap 是 罔路立力—公司(Internet Dynamics,
Incorporated)之一商標)的界面,至少會對每位使用者顯 示··屬於使用者可能根據針對使用者所屬之使用者集合的 存取決策來存取之資訊集的資源。在其它一些實施例中, intraMap也可能將資源的靈敏度等級以及使用者之識別方 法的信賴等級加以考慮。 藉由一種小爪哇程式(JaVaTM appiet)來建構界 面,該程式是在任何配備有java的全球資訊網(www)瀏覽 器上執行的。使用網路瀏覽器,使用者能夠掃描圖形顯示 圖,以便:尋找並存取可供使用者利用的資源:或者,請 求存取目前不是可供使用者利用的資源。由使用者存取資 源是由應用到使用者和資源的諸多存取決策所決定。圖 1 8顯示:由IntraMap界面所產生顯示圖18〇1。IntraMap顯 示圖1801的左侧顯示:資源列表18〇3 :而顯示圖的右側則 顯示:尋找(Find)攔位1807,排序(Sort)區段18〇9,服務 (Services)區段 1811,以及描述(Descripti〇n)欄位 1813。藉 由點按"輔助"(Help)按鈕1815而使使用intraMap的線上輔 助程式(on-line help可供利用)。 資源列表1 803顯示:針對正在使用IntraMap界面的使用 者而言’在VPN 20 1中之可供利用的資源和資訊。這種列 表疋分層的。使用者能夠藉由點按在分支上的„ + "和"_ „ 標記來擴展(expand)或縮減(collapse)”樹"的分支。在列表 中的每個登載項(entry)1804都會包括資源名稱。用來顯示 登載項之顏色則指示:使用者具有何種存取操作D若登載 -59- 本紙張尺度適用中國國家標準(CNS)A4規柊(210 X 297公发) 裝--------訂---------線 (請先閱讀背面之注意事項再填寫本頁) 44838 經濟部智慧財產局員工消費合作社印$Λ A7 B7 五、發明說明(57 ) 項I 804被顯示呈現藍色:則使用者具有—種針對資源的現 用超通信鏈路(hyperlink) ’並可能點按資源兩次,以便將 它顯不出來《若資源被顯示呈現黑色,則雖然它也可供使 用者利用,但卻沒有超通信鏈路可供利用,所以必須使用 一種分離應用程式來檢索資源。雖然被.顯示呈現灰色的資 源都不是直接地可供使用者利用,但是如果使用者選擇一 項資源’ IntraMap界面就會開啓一對話盒(dialog box):允 許使用者將请求存取操作的電子郵件(e_mail)發送給管理 員’該管理員對資源所屬之資訊集的存取決策負有貴任。 然後’管理員必要時可能修改存取及/或管理決策,以便 賦予使用者存取操作。管理員可能進一步賦予資源,,隱藏„ 特性(hidden property)。當資源具有該特性時,唯若使用者 屬於存取決策允許存取資源所屬之一資訊集之一使用者群 組’資源才會出現在IntraMap界面1801中。若資源不具有 隱藏特性’則它總會出現在IntraMap界面1801中。在其它 情況,它不會出現。資源可能具有一項比包含在它的登載 項1 804中的描述還要詳細的描述。當使用者選擇資源時, 該項描述就被顯示於描述欄位181 3中。 除了資源列表1803之外,IntraMap顯示圖丨丨還奋顯示 兩個專業化(specia丨ized)資源列表在1805處。 • M何者最新’’(What’s New) 1806顯示:來自企業内之其 它部門的最近資訊告示(postings)。若管j里員已經賦予 使用者存取”何者最新”之網頁,則使用者可能將一項 新資源之URL(共通資源指標)公告在那裏。 -60 * 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公发^ ---Λ衣·-------訂·--------'線 * t (請先閱is背面之注意事項再填寫本頁> 448387 A7 B7 五、發明說明(58 ) •"何者最受歡迎"(What's Hot) 1 808基於資源多久才被 存取’顯示出企業之最受歡迎的資訊資源。 在18 11處的服務類型控制表會讓使用者過濾一些按照提 供'k源的服務類型而打算顯示在資源列表1 g〇3中的資源, 在服務類型控制表1 811中,每種服務類型都有一個圈選 框。若該框被圈選,則包括該服務類型且與此服務有關聯 的資源都會出現在資源列表中。在其它情況,與此服務有 關聯的資源都不會出現在資源列表中。 intraMap界面讓使用者按照:資訊集,位置,或服務來 排序資源列表1803。要執行這件事,使用者會選擇他想要 的方式來排序在排序欄位1 8 〇 9中的資源列表。使用者也可 能會載明資源種類(categories)被使用在排序欄位中的順 序。該界面還具有一種搜尋功能。要執行搜尋功能,使用 者會將一搜尋字串(search string)輸入"尋找"欄位1 807中。 然後依照載明於排序攔位1 8〇9中的順序,加以搜尋針對關 於字串之諸資源的資源列表和資源描述。搜尋功能只是找 尋全邵或邵份的字组匹配(worci matches)而已。情形不是 挺靈敏的’顯示出第一次匹,就可能使用一些功能鍵,以 便指引(navigate)到其它的匹配。當然,若使用者尚未核對 在服務類型欄位1811中之一服務類型,則該服務類型的諸 多資源在排序或搜尋操作中都未涉及。 圖2 4顯示:IntraMap界面之一建構例2401。對於VPN 201 的使用者,IntraMap界面以網頁出現,該網頁是由正在圖 2之存取過濾器203 (c)上執行的報表管理程式209所提供的 -61 - 本纸張尺度適用中固@家標準(CNS)A4規格(210 * 297公发) (請先閱讀背面之注意事項再填寫本頁)
I i 1 * n I— ! - I I 經濟部智慧財產局員工消費合作社印製 4483 8 7 A7 ---- B7 一· 一 五、發明說明(59 ) (請先sals背面之注意事項再填寫本頁) 諸多資源中的一種資源。在VPN 20{中之—使用者;或 者’甚至於一般大眾(那就是:成爲網際網路使用者群組 足一成員的某人)都可能用與他可能被賦予存取任何其它 資源相同的方式,被賦予存取IntraMap界面。就像從下列 描述中將會顯而易見的那樣,針對IntraMap的網頁可能是 在VPN 201中的任何伺服器上。建構例24〇丨具有:在工作 站(workstation)2403中’由使用者所使用以便審視(look at)
IntraMap的組件;在對工作站24〇3而言是局部的存取過濾 器203(1 )中的组件;以及在存取過濾器2〇3 (c)中的组件, 該存取過濾器是報表管理程式2〇9會在其上執行的存取過 濾器。當然’存取過濾器203(c)也可能執行一種局部存取 過濾器那樣的功能《局部存取過濾器203 (I)是藉由VPN 201而連接到報表存取過濾器203 (c),而工作站2403則是藉 由區域網路(LAN)2 13而連接到局部存取過濾器203 (I)。 線· 經濟部智慧財產局員^-消費合作社印製 就像稍後將要更加詳細説明的那樣,所有的存取過濾器 203都具有一種分層架構(layered architecture)。最底層級 是一種網際網路分包資訊(IP)過濾器24 1 9,它只是處理網 際網路分包資訊標題而已。分包資訊過濾器24 19讀取在網 際網路分包資訊標題中的來源和目標位址,並將一套規則 應用到分包資訊。就像由規則所決定的那樣,I P過濾器不 是接受它們,捨棄它們;就是進一步在VPN 20 1中路由指 引著它們。該規則也會決定:在存取過瀘器203内,打算 怎樣路由指引諸多被接受分包資訊。架構中的下一層級是 _ 服務代理伺服器(service proxies)2427。服務代表伺服器會 -62- 本紙張尺度適用中囷國家標準(CNS)A4規格(210 X 297公釐) 448387 A7 B7 經濟部智Μ財產局員工消費合作社印製 五、發明說明(6〇 取針對諸如全球資訊網(WWW)之服務的通信量,並執行 關於通彳&量的存取核對。若存取過濾器203提供服務本身 或執行針對提供服務之一伺服器的存取核對,則IP過濾器 2 419會將針對服務的分包資訊發送到針對服務之一服務代 理伺服器2427。服務代理伺服器使用存取控制資料庫301 來執行針對服務的通信協定層級之存取核對。譬如説,針 對網路(Web)服務的服務代理伺服器可能檢查:正在提出 一項針對既定網頁的請求之使用者是否有權存取該網頁。 下一個更南層級是服務層級2425 ;若有關的服務代理伺服 器允許一项請求且存取過濾器也是針對該服務的伺服器, 則打算處ί里前往在服務層級2425處之服務的請求。在網頁 之情形中,該服務應該指出網頁的位置,並將它轉回給請 求者。在IntraMap中,涉及兩種服務:web(網路)服務和 IntraMap服務。在圖2401中’ Web服務以WebS 2423出現。 針對WebS 2423的代理伺服器是WebP 242 1 ;爲了在下列描 述中將會變得顯而易見的諸多理由,IntraMap服務只有一 個代理伺服器:IntraMap 2417 »此外,存取控制資料庫 301包括IntraMap資訊2422,它是一種在存取控制資料庫 301中之資訊的最佳化版本(optimized version),可作 IntraMap顯示圖的基礎用β 關於在存取過濾器203 (c)與存取過濾器203 (I)之間的 IntraMap建構例的主要差異是:存取過濾器203 (c)包括一 種具有IntraMap小爪哇程式2411之拷貝的全球資訊網網頁 241 0。當從存取過滤器203 (I)下載(downloaded)到工作站 -63- 本紙張尺度適用中國國家標準(CNS)A4規格(210 * 297公爱) --------- f I ! -----------1 訂·--------*線— I {請先閱請背面之江意事項再填寫本頁) 4483 8 7 A7 B7 五、發明說明(61 ) 2403中的網路瀏覽器2429時,小爪哇程式24 11會產生指向 IntraMap词服器2425的請求,進而使用由intraMap伺服器 2425所轉回的結果來產生intraMap顯示圖I 801 〇 操作如下對於工作站2403的使用者,IntraMap可能以 針對網頁之一通信鏈路出現。於是,要使用IntraMap,使 用都會啓動針對1:1的以30網頁241〇之一通信鍵路。在工作 站2403中的網路/劉覽器2429會對啓動通信鏈路作回應,就 像它應該對啓動針對網頁之任何其它通信鏈路作回應那 樣:它提出一項針對網頁的請求,並將該請求發送到通信 鍵路中所和示的词服器。在針對IntraMap之通信鏈路的情 形中’因爲通仏鏈路載明在存取過遽器203 (c)中的網路伺 服器2423 ’所以請求會經由局部存取過濾器2〇3⑴和vpN 201而前往存取過濾器2〇3 (c)。就像對於VPN 201中之一資 源的任何其它存取操作那樣,局部存取過濾器2〇3 (1)會執 行針對IntraMap網頁請求的存取核對。由於該請是針對網 頁’故而由網路代理伺服器242 1來完全存取核對。在大多 數的VPN 201中,對於在VPN 201中的任何使用者而言, IntraMap網頁2410將是可存取的;於是,存取控制資料庫 3 0 1指示:具有一有效I p來源位址的任何使用者都可能存 取 IntraMap網頁 24 10。 當存存取過遽器203 (c)中收到請求時,I p過渡器2419就 會將它轉遞到網路代表伺服器2421,它依序地將請求轉遞 到網路词服器2423 ’它藉著將IntraMap小爪唾程式2411下 載到工作站2403中的網路瀏覽器2429而對該請求作回應, -64- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公g ) (請先閱is背面之泫意事項再填寫本頁) 1 n I—r n 一°JI (^1 I I I I '^'^rKr . 烴濟部智慧財產局員工消費合作社印製 4483 8 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(62 ) 其中:IntraMap小爪哇程式24丨1開始在網路潮皆 φ 執行。在執行期間,它會將一項請求發送到針對論⑽叩 資訊2422的IntraMap代理伺服器2427。像所有的小爪哇程 式一樣,IrmaMap小爪哇程式2411會將請求發送到它所處 的伺服器’在這種情形下,就是存取過濾器⑽⑷。然 而,就像對於來自工作站2403的任何其它存取操作那樣’ 請求會藉由局部存取過濾器203⑴而前進。瞧,intraMap 代理词服器2427會檢測出請求被定址料取過遽器2〇3⑷ 中的IrmaMap代理伺服器2427 ’而不是將請求發送到存取 過遽器203 (c);從局部存取過遽器2〇3⑴中的存取控制資 料庫301之局部拷貝中獲得IntraMap資訊2422 ;過濾該資 訊,使得它載明:只會存取那些屬於使用者所屬的諸多使 用者群組所針對的資訊集之資源來產生列表243 1 ;進而經 由LAN 213,將它轉回給IntraMap小爪哇程式2411,該程 式隨後使用列表2431來產生IntraMap顯示圖18〇1。在產生 顯示圖方面,小爪哇程式2411會應用載明於請求中的任何 存取過濾器,也會排序如請求中所載明的列表。列表243 i 不但指π可供利用的資源,而且包含需要用來提取诉沈⑴ :貝源的訊。於疋,若資源具有—種超通信鏈路’則將超 通信链路包括在列表中;若它是一種雖然使用者目前不會 存取,但是使用者卻可能請求存取所針對的資源,則列表 包括:針對資源之管理員的名字和電子郵件地址。 存取控制資料庫3 〇 1之細節:圖1 3到1 7 3存取控制資料庫3〇1之細節:圖I 3到i 7 -65- 本紙張尺度適用中國國家標準(CNS)A4規格(210 x 297公釐) I I I I ^^1 __ _ 1— τ^ρ -Γ I * f— HI I I ^^1 ^~· II 11 ^^1 ^^1 --- I_I - . I I. (請先閱讀背面之注意事項再填寫本頁) 448387 A7 B7 五、發明說明(63 ) 在存取過漉器203之一較佳實施例中,在兩個層級處加 以建構存取控制資料庫30 1 : —個層級是由圖形使用者界 面所使用,以便操縱存取控制資料庫30i ;而另一個層級 則是使用在實際存取核對中。使用由微軟公司所發展出的 Microsoft Jet商標之資料庫系統來建構第一層級。第二層 級則是使用一些根據第一層級資料庫所編譯的記憶體映射 檔案(memory mapped files,簡稱MMF)加以建構的。下列 討論將會描述第一層級建構例’並且說明包含在其中的資 訊怎樣被使用在存取核對中。在研讀這項討論中,應該記 得:實際存取核對是使用MMF加以完成的,就像稍後將要 詳細描述的那樣。 經 濟 部 智 慧 財 產 局 員 工 消 費 合 作 社 印 製 就像對於大多數資料庫系統的情形那樣,Microsoft jet 商標之資料庫系統具有一種圖表,那就是:資料庫之遝輯 結構的一種描述。圖1 3到1 7都是:由針對存取控制資料 庫301之圖表的Microsoft Jet商標之資料庫系統所產生的顯 示圖。圖1 3顯示:針對定義諸多使用者群组之資料庫的 一部份的圖表1301。顯示圖由兩種要素组成:在資料庫中 的表之類別"(classes of tables) 1303的表示法,以及顯示 屬於表之某些類別的兩種表之間關係的"通信鏈路"丨3〇5的 表π法。表之類別的表示法顯示:在13 1〇處的類別名稱; 以及在1308處,將被包含在屬於該類別的每一種表中的,資 料欄位。每一種表的實例都有一種由資料庫系統所指定的 識別符(ID)。在表中的其它資料會隨著表之類別而變化。 藉著使用在第一表中之第二表的ID來建立一種在屬於表 -66 -
44838 7 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(64 ) 之第一類別的第一表與屬於表之第二類別的第二表之間的 通信鏈路,反之亦然。於是,通信鏈路1 305顯示:能夠將,' 使用者群组樹"類別表1307中的一些表和"使用者群組,,類 別表1 309中的一些表加以鏈接。某些通信鏈路在它們的兩 個未端處都有數字。該數字指示:在數字所在之末端處, ;亥表可能具有的通信鍵路數目°於是,連接著類別表13 〇 9 和類別表13 0 7的通信鏈路具有:在針對類別表13 〇 9之末端 處的數字1,以及在針對類別表1 307之末端處的數字①; 因而指示:類別表1309之諸實例中的任何數目的id都可 能出現在類別表1 307之一實例中:但是,類別表13〇7之一 實例中的只有一個I D才可能出現在類別表1309之一實例 中。 使用者群组表:圖1 3 3使用者群组表:圖1 3 使用者群組表1301包含針對資料庫301中的每個使用者 群組之使用者群組類別表1309。在、使用者群組"類別表 1 3 09中’特別有興趣的資料包括:群組名稱,它是群組之 字元串(character-string)名稱;群组描述,它是群组之字元 串描述;以及預先定義的資訊,它指示其中成爲群组之一 成員的使用者是否爲:一位管理員,即,能夠制定管理決 策;一位安全官員,即’能夠制定決策制定者決策;或者 一位單純的資訊使用者。使用者群組表13〇 1會進—步將諸 多使用者群组组織成一種層次列表--不但爲了繼承權,而 且爲了顯示於圖9之視窗903中的使用者群組之分層顯示 -67- 本紙張尺度適用中i國家標準(CNS〉A4規格(210 X 297公t ) ------------— * x^·-------^ I--------,線 r、 (請先閱讀背面之注意事項再填寫本頁) 44838 7 經濟部智慧財產局員工消費合作社印製 A7 ------B7____ 五、發明說明(65 ) 圖’因而使使用者之識別方法與使用者群組有關聯,以及 使警戒貧訊與使用者群組有關聯,組織成層次列表是藉由 使用者群組樹"類別表1 3〇7中的一些表來完成的。”使用 者群組樹"類別表中的每一種表都會將"使用者群组"類別 表中之一表鏈接到一種母(parent)使用者群組(也是u使用 者群組"之類型)。對於一種特定"使用者群組"表而言,多 重"使用者群组樹,,表可能存在,端視一特定使用者群组出 現在其中之位置的數目而定。 就像已經提及的那樣,有五種不同的方式用來識別至一 存取過濾器203之使用者:藉由丨口位址範圍,藉由一種全 限疋網際網路網域名稱’藉由在Microsoft Wind〇ws商標之 作業系統中的使用者身份,藉由一種鑑定令牌,以及藉由 證書。針對藉由證書來識別使用者之表的類別表(table classes)被顯示在1321處。針對藉由I P位址範圍來識別使 用者之表的類別表被顯示在13 17處;針對藉由I p網域來識 別使用者之表的那些類別表被顯示在13 19處;針對藉由 Microsoft Windows商標之作業系統I D (識別符)來識別使用 者之表的那些類別表被顯示在13 15處;以及針對藉由鐘定 令牌(在圖中’標示為智慧卡)來識別使用者之表的那地ι類 別表被顯示在1323處。最後,類別表Π25會定義:針對與 使用者群組有關而用於警戒之資訊的一些表。"使用者群 组••類別表1309中之一表,可能使它與針對用來識別使用 者之任何方式的任何數目的表有關聯。就像此事音謂著那 樣*可能同時用很多不同的方式來識別—既定使用者。 -68 - 本紙張尺度適用中國國家標準(CNS)A4規格(210 x 297公复) (請先Μ讀背面之注意事項再填寫本頁) ^·-------^----------疲' 4483 8 7 Α7 -—-__ Β7 五、發明說明(66 ) 經濟部智慧对產局員工消贄合作社印製 爲了執行存取核對,存取過濾器203必須決定:正在提 出请求之使用者屬於哪些使用者群组。該請求包括使用者 識別方法’因而識別方法是決定之起點。在使用者群組表 1301中的一些表都會允許存取過濾器203 :根據識別方法 來決定使用者屬於哪些使用者群组,並且根據那些使用者 群组來決定一些決定使用者所屬之其它使用者群組的分層 關係。假定使用者是藉由IP位址加以識別,存取過濾器 203藉由尋找"Ip位址範圍定義,,類別表(在13 17中)中的— 個或更多的表而開始運作’該類別表定義:包括使用者之 I P位址在内的I P位址之範圍。這些表中的每一種表都有 一條指向"I P位址範圍”類別表(在13丨7中)的通信鏈路,該 類別表使” I P位址範圍定義"類別表中所定義的範圍與— 使用者群組I D有關係,就對應於I p位址範圍的使用者群 組而T,它依序地可作爲一條指向"使用者群組類別表 1 309的通信鏈路之用。"使用者群組"類別表13〇9中的每_ 種表都有一條指向”使用者群組樹_,類別表! 3〇7的通信缝 路’因此能夠順著一些通信鏈路而指向針對—些使用者鮮 组的"使用者群組,,類別表,因而由j p位址所載明的—些 使用者群組都會繼承存取權利。於是,在處理過程結東 時’ I P過濾器203已經指出所有使用者群組的位置,它們 都與決定使用者是否可能存取資源有關。而且,I p過渡器 203根據請求而瞭解:怎樣識別使用者;並根據請求而能 夠決定:應該指定何種等級給用於請求中的使用者識別方 法β將使用者群組表1301中的資訊加以編譯進入mmf(記 -69- 本紙張尺度適用中國國家標準(CNS)A4規格(210 * 297公发) 483 8 7 A7 B7 經 濟 部 智 慧 貝才 產 局 員 工 消 費 合 社 印 η 五、發明說明(67 憶體映射檔案)中。當使用者初啓對話時,使用者會 提供-種使用者識別方法给在對話路徑上的第一存取過淚 器2〇3 ;存取過遽器203使用具有_F的使用者識別方 法,以便作出-項等效於以上所説明之—決定的決定。於 是,存取過遽器2〇3能夠決定:對於-既定使用者識別方 法而言,它是否識別有權存取資訊之一使用者;它是何種 使用者識別方法;因此它具有何種信賴等級;以及使用者 屬於哪些使用者群,组。於是,使用者群组表咖包含了·· 針對-項存取決策1108之使用者部份所需的所有資訊。 資訊集表:圖1 4 3資訊集表:圖1 4 圖14顯示:針對定義資訊集的_些表之圖表剛。這些 :會使諸多資訊集(在圖14中的資源群組)與组成它們的 s源有關係’並與資源之網路位置有關係;並且也會將諸 多資訊集组織成:在圖丨〇中之1〇〇3處所顯示之資訊集的 分層列表。在存取控制資料庫3〇i中的每個資訊集都是由” 資源群組”類別表丨4G3所表示。藉由表M19而將資源群组 滷別表中的些表加以組織成一種針對繼承權和顯示目的 勺層w >訊集與掌握中組成它的—些資源之間,以及虚 ,儲存它們在其中而在v p N中的—些位置之間的關係都是: 資匕源群组單元(resource group elements)類別表14〇7中的 _ ’斤建立的。可此將"資源群組"類別表鏈接到It資源 ^組早’’類別表中的任何數目的表。將資源群组單元” 颂引表中之—表鏈接到諸多類別表:’,網站單元”(Site (請先閱璜背面之iiti項再填寫本頁) -~k--------訂---------線.
297公釐) 4 483 8 7 A? B7 經濟部智慧財產局員工消費合作社印*'农 五、發明說明(68 ^鳴)⑷1,,!服務"1413,以及”資源” 1409"中的任何 =表。針對資料庫30丨中所表示的每一項資源都會有” 源通別表。包括在該表中的有:資源之i D :其名稱; 針對提供資源的服務之ID ;針對定義資源的靈敏度等級 心:冑源描述;資源管理員的電子郵件地址;以及一 種隐藏旗標(hidden flag),它指示著IntraMap是否應該將資 源顯不給不屬於一些有權存取資源之使用者群组的使用 者IntraMap界面會獲得它需要的資訊,該資訊關於來自 針對資源之"資源"表的—項資源。 兩種類別表:"網站單元"和"服務"中的一些表,以及兩 種類別表:網站”415和,,词服器"丨417中的一些表都是屬 於描述著在VPN中之資訊位置的類別表1421。針對在 中的每一個實體位置都會有"網站"類別表:針對在vpN中 的每一個词服器都會有”飼服器"類別表:以及針對在vpN 中的每一項服務都會有"服務”類別表。在,,網站單元,,類別 表中的些表中的通仏鏈路都會使諸多網站與諸多伺服器 有關係:在"伺服器”類別表中的—些表中的通信鏈路都會 使諸多伺服器與它們提供的諸多服務有關係:以及在”服 務"類別表中的一些表中的通信鏈路都會使諸多服務與它 們寄宿(host)的諸多資源有關係。 在決定被請求資源屬於何種資訊集方面,存取過濾器 203就從請求中的資訊開始。該請求被包含在一種1?分包 資訊中,因此具有:一標題和一主體(b〇dy)。在標題中, 有:一IP位址,它載明在虚擬專用網路2〇1中之一位置, -71 - 本纸張尺度適用中國國家標準(CNS)A4規格(210x297公发) -------------^·-------^ ---------•線· I (請先閱讀背面之注意事項再填寫本頁) 44838 7 A7 經 濟 郤 智 慧 財 產 局 消 費 合 作 社 印 製 五、發明說明(的) 以及在該位置處之一词服器;一埠號,它載明關於伺服器 之-項服務。而在本體中,财:以通信協定所規定的形 式呈現之資源描述。譬如説,若請求是針對一網頁,則資 源描述將是資源之URL。存取過濾器2〇3使用丨p位址來指 出"網站"類別表的位置,使用在該表中的通信鍵路來指出 "網站單元"類別表I4U的位I。該表使網站與針對網站處 之諸伺服器的何服器ID(識別符)有關係;並且,存取過 遽器203會使用飼服器ID來指出針對網站之諸词服器…词 服器”類別表1417中的一些表的位t。然後,它能夠再使 用IP位址來指出對應於載明在請求中之词服器的,,飼服器" 類別表的位置;並且能夠順著從,,词服器,,表到釺對服務之 =務]別表中的一些表的諸多通信鏈路:進而能夠使用 來自π求的埠號來尋找適當的”服務"表。—旦它已經發與 適當的,,服務,,表,它就能夠順著指向"資源"類別表^9 = 的-些表的諸多通信鏈路’並指出對應於請求中之 ”資源,’表的位置。從那裏,會有—條指向"資源群组單元" 類別表Η07的通信鍵路,該表使諸多資源與針對它 之資訊集的-些資源群组織別符有關係。諸多資 ^ 別符依序地載明”資源群組"類別表U03中的—此表,而ί =表都有指向"資源群組樹”類別表中的一些表的諸多通= 鏈路,因而能夠決定:載明力枝+· ; ^ 取Λ在印求中之資源所屬的諸多 源群組的層次。已經完成那些事,存取過遽器如 發覺:與決定該請求是否應該被准許有關的―: 組。針對資源的”資源"表還包含針對資源之靈敏i等級 請先Μΐί背面之注S事項再填寫本頁) --------訂----- 線 本纸張尺度適用中國國家標準(CNS)A4規輅 -72- 4 4 8 3 8 7 _____B7_____ 五、發明說明(70 ) 再者,將資訊集表1401中的資訊加以編輯進入MMF中。當 請求來到在使用者與提供資源的伺服器之間路徑中的第一 存取過濾器203時,第一存取過濾器203就會使用MMF樓 案’以便作出一項邏輯上等效於剛才所描述之一決定的決 定。於是’在檢視包含來自使用者群組表丨3〇1和資訊集表 1401之資訊的MMF檔案之後,代理伺服器就已經決定:使用 者識別方法的信賴等級,資訊資源的靈敏度等級,使用者所 屬的一些使用者群組,以及資訊資源所屬的一些資訊集。 決策表:圖1 6 3決策表:圖1 6 圖1 6顯示:使用於存取控制資料庫30丨中,用來定義存 取決策的一些表;包括在這些決策中的有:存取決策,管 理決策,以及決策制定者決策: •存取決策使使用者群组與資源群组有關係; •管理決策使其成員都是管理員之一使用者群組與下列 其中之一有關係: 1.另一使用者群组 2 . —資訊集 3 . —資源 · 經濟部智慧財產局員工消費合作社印製 -« --------訂---------線' r . 4 在VPN中之一位置(網站) 5 . —存取過濾器203或其它伺服器 6 . —項服務 •決策制定者決策使管理員之使用者群組與資訊集有關 係。 * 73 - 本纸張尺度適用中國國家標準(CNS)A4規格(2〗0 x 297公发) ί 483 8 7 五、發明說明(71 ) 每項決策都會使"左侧,’與”右側"有關係,左側總是”使 用者群組,,類別表1309,而右側則端視決策種類而定,可 能是•”資源”類別表1409, ”資源群組”類別表14〇3(表示 ,訊集)’"網站"類別表1415,"服務"類別表1413,u词服 器’,類別表14Π,或者·,使用者群組,,類別表13〇9。於是, 決策諸表1601分成三太群組:左側諸表16〇3,決策諸表 1605,以及右側諸表16〇9,改變決策的權利是分層性的: 一使用者群組之成員能夠改變存取決策,就像由針對該群 组之官理決策所決定的那樣,該群纽之”使用者群组”表指 示著^它是諸多管理員中之一類型的—種群組。依序地, 那些#理員可能載明與他們的子網域(sub d〇main)有關的 其他管理決策。 對應於二種決策,在決策諸表丨6〇5中有三個類別表:屬 存取決策_’(P0丨丨cies Access)類別表161 1,"管理員決策” (Policies AdmimSter)類別表]613 ,以及,’決策制定者決策" (Policies P〇ncy Maker)類別表1691的一些表。所有的這些 類別表共享很多特點;它們都包含:針對決策之左側的使 用者群组表之ID,針對表示載明在決策之右側中項目的 表(Ϊ 〇 ’決策(存取操作被容許或被拒絕)的一種指示, 決策是否預先定義的且無法被删除的一種指示,以及決策 疋σ'爲目如現用的一種指示。類別表之間的差異是:何者 可能在決策之右側上,因而就是指向在右側上諸多實體的 通L鍵路’在存取決策和決策制定者決策的情形下,右側 實體都只是資訊集而已,因此,,,存取決策Μ和”決策制定 _____ -74- 本纸張尺度賴中_家標準(CNS)A4規 χ 297公爱) (請先閱讀背面之注意事項再填寫本頁) -版--------訂·--------線, 經濟部智慧財產局員工消費合作社印製 4 483 8 7 Α7 Β7 五、發明說明(72 ’夬爪兩種類別表中的一些表都只包含指向資源群組》 類別表中的一些表的諸多右側通信鏈路而已;而,,管理員 決策_類別表中的一些表則可能包含指向下列替換性的:|· 使用者群組"類別表,”資源群组,,類別表,,,網站"類別 表’ ”词服器"類別表,,,服務”類別表,以及Κ資源"類別 表中的一些表的諸多右側通信鏈路。 賦予由管理決策右側上的使用者群组所載明的使用者群 組管轄由右側所載明的諸多實體之集合的權利會有所變 化,體種類而定,如下表中所顯示的: 左側 右側 使用者 群組 任何一個 1被容許"存取操作的意義 使用者群组的成貝都能夠建立針對目標或已包 括項目的管理決策。這樣會容許責任之委託權 (請先閱讀背面之注意事項再填寫本頁) 使用者 群組 使用者群 组 經 濟 部 智 慧 財 產 局 貝 工 消 費 合 作 社 印 η 使用者 群組 資訊集 使用者群組的成員都能夠管理目標使用者群 组,包括一些套疊式(nested)使用者群組。被 容許的管理,包括:將目標使用者群組加以删 除,移動,及拷貝;將它套疊在另一使用者群 组中;增加成員給它:以及將其它—些使用者 群組套疊在其中 使用者群组的成員都能夠管理資訊集,包括 些套疊式資訊集。被容許的管理,包括:將 目標資訊集加以刪除,移動,及拷貝;將它套 叠在另-資訊集中;增加㈣给它; 它一些資訊集套疊在其中。 ’、 本紙張尺度剌 (CNS)A4 (2J0 X 297^7 k--------訂---------線 448387 A7 B7 五、發明說明(73) 經濟部智慧財產局員工消費合作社印製 使用者 群组 網站 使用者群組成員都能夠管理網站,包括:來 f可用資源”列表(所有的存取過遽器,侦服 器,服務,以及資源)’在網站之下的一些單 元。被谷沣的官理,包括:將網站加以刪除和 移動;將它增加到資訊集;以及增加一些位置 和存取過濾器给它β爲了定義一些新的存取過 濾器’管轄企業内部網路位置的管轄權是必需 的。 使用者 群组 存取過滤 器 使用者群組的成員都能管理存取過濾器,包 括:來自"可用資源,,列表(所有的伺服器,服 務,以及資源),在存取過濾器之下的一些單 元。被容許的管理,包括:將存取過濾器加以 刪除和移動;將它増加到資訊集;以及增加一 些伺服器或服務給它。 使用者 群組 伺服器 使用者群組的成員都能夠管理伺服器,包括: 來自可用資源”列表(所有的服務和資源在伺 服器之下的一些單元。被容許的管理,包括: 將伺服器加以刪除和移動;將它增加到資訊 集;以及增加一些伺服器或服務給它。 使用者 群组 服務 使用者群組的成員都能夠管理服務,包括:來 自'•可用資源"列表(所有的資源),在服務之下 的一些資源。被容許的管理,包括:將服務加 以删除,移動,及拷貝;將它增加到資訊集; 以及增加一些資源给它。 使用者 群组 資源 使用者群組的成員都能夠管理資源。被容許的 管理,包括:將資源加以刪除,移動,及拷 貝;以及將它增加到資訊集。 I I I·-------------- (靖先閱讀背面之注意事項再填寫本頁) · ,線 76- 本紙張尺度適用中固固家標準(CNS>A4規格(210 X 297公釐) 448387 A7 B7 五、發明說明(74 ) 下表描述:各0 05 &理使用者群组出現在決策制定者決策左 側上時,賦子& —-----理使用者群组的權利。 左側 右側 使用者 群组 資訊集 ”被容許"存取操作的意義 使用者群Μ的成員都能夠管理•用來控制由任 何使用者群組包括一些套疊式資訊集在内的資 訊集的諸多存取決策。他們也可能將資訊集和 其後裔(descendants)中的任何資訊集包括在 決策制定者決策中。 經濟部智慧財產局具工消費合作社印製 如上述資訊集表之討論中所指出的,正在執行存取枝對 的代理伺服器能夠使用,,使用者群组”表和”資訊集”表來尋 找:在正在提出存取請求之使用者所屬的使用者群组,以 =在被存取之資訊資源所屬的資訊集:並且也能夠使用 ^ 來夫疋·使用者識別方法的信賴等級,以及資訊資 源靈敏度等級。代理伺服器隨即能夠使用"存取決策”表來 尋我使用者所屬的任何一個使用者群組是否可能存取資 訊資源所屬的任何一個資訊集。若發覺任何—個這樣的使 用者群组;則使用者可能存取資訊集,如果請求之信賴等 級與資訊資源之t敏度等級-樣高的話。要決定請求之信 賴等級’代理词服器就必須決定:正在被使用之任何加密 技術的信賴等級,及/或正在被用於存取操作而在VPN201 中之路徑的信賴等級。這項資訊可在顯示於圖! 7中的存 取過濾器諸表1 701中加以獲得,並描述於下。若存取決策 或存取請求之靈敏度等級不允許存取操作:則該訊息不予 理會,因而將它所屬的任何對話加以棄置^當請求是由成 -77- 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) ---:---------r --------1r*---------,線 (請先Mla背面之注意事項再填S本頁) ^48387 A7 B7 五、發明說明(75) 爲存取資料庫30 1之一管理使用者群组之一成員的使用者 所提出的一項請求時,存取核對處理過程實質上是相同 的:只可惜:當存取操作被允許時,根據以上所宣示的規 則,它可能會導致修改資料庫。該項修改隨後將被傳播到 VPN 201中之所有其它的存取過濾器203。 伺服器表:圖1 7 3伺服器表:圖1 7 圖1 7顯示:針對對在VPN中的諸多伺服器之操作而言都 是特別重要的一些表之圖表。在VPN中,有三種伺服器: • 陽春伺服器(plain servers) 這些是:有資源儲存在其 上並藉由執行服務來存取資源的伺服器。 • 存取過濾器203。 • 決策管理程式飼服器。這些是··會附帶地統合 (coordinate)和分配資料庫301,及/或產生關於VPN的 操作和狀態的一些報表的存取過濾器2〇3。 存取過濾器203可能附帶地執行像一種陽春伺服器那樣 的功能。 針對在VPN中的每一個伺服器都會有”伺服器"類別表 141 7。在針對每個飼服器之表中的資訊,包括:词服器之 I D,名稱,在Windows NT商標之作業系統中的網域,其 網際網路名稱,它是否爲—存取過濾器2〇3且附帶地爲一 決策伺服器’存取資訊是否只有經由存取過濾器2〇3才可 以獲得,以及它是否在VPN之内。若伺服器爲一存取過遽 器203,它會附帶地具有一種存取過濾器203提供給在vpn -78- 本纸張尺度適用中舀國家標準(CNS)A4規格(210 X 297公芨) (請先ΜΪ5背面之注意事項再填寫本頁) _k--------訂---------線. 經濟部智慧財產局員工消費合作社印製 經濟部智慧財產局員工消費合作社印制尽 父概8 7 A7 _ B7 五、發明說明(76 ) 201中之其它實體的身份識別(identity),以供鑑定和加密 之用。在一較佳實施例中,該身份識別是:由SKIP所使 用之針對存取過濾器的X.509號證書。X.509號證書也包 括:針對存取過濾器203的公用密鑰。公用密鑰可能屬於 很多個名稱空問(name space)中的一個;名稱空間識別符 (name space ID,簡稱NSID)是一種針對公用密錄·之名稱空 間的識別符:而主密输識別符(mester key ID,簡稱MKID) 則是識別在名稱空間内的公用密鑰。也包括在表中的是: 一條指向”證書當局”類別表1 711的通信鏈路,該義別表會 指示發行針對存取過濾器之X.509號證書的證書當局。當 然’與存取過遽器不同的一些词服器也都有X,5〇9號證 書·’並且,在那種情形下’它們的”伺服器’’表將會具有词 月良器之NSID和MKID。 在VPN中的每一個陽春伺服器都會有一項或更多服務在 其上執行。譬如説’一項FTP(檔案傳送協定)服務會根據 TCP/IP成套協定(protocol suite)中的檔案傳送協定來存取 在伺服器上的檔案(資源)。針對陽春词服器的"伺服器"類 別表14 17中的每一種表都有:指向定義在伺服器上可供利 用的服務和資源之一群表的諸多通信鏈路。如在1719處所 顯示的,這些表包括:"服務”類別表1413,它表示服務; "資源11類別表1409 ’它表示經由服務而供利用的資源:以及 _·服務定義π類別表1715,它會定義服務。 +針對圖1 7諸表中的其餘部份則顯示:包含存取過遽器 203所用之資訊的一些圖表。其類別表均顯示在17〇5處的 -79- 本纸張尺度適用中因國家標準(CNS)A4規格(210 X 297公爱) ^i— b^i— Λ in A·^— t I k (靖先wtf背Sr之注音?事項再填寫本頁) 448387 經濟部智慧財產局員工消費合作社印製 A: B7 五、發明說明(77 ) 一些表都會包含:都是一些用來分配資料庫3〇ι及/或用來 產生報表的決策管理程式而由存取過濾器2〇3所使用的資 訊:其類別表均顯示在17 17處的一些表都會包含:關於針 對正在被一既定存取過濾器203執行之軟體的諸多可選擇 參數的資訊:其類別表均顯示在丨709處的那些表都會包 含:關於代理伺服器及其它軟體模組的資訊,諸多存取過 德器203都會使用該模組來執行在存取過濾器2〇3中的通 信協定層級之存取核對:而在Π〇7處的—些表則都會包 含:關於針對使用者識別方法和加密種類的信賴和靈敏度 定義的資訊。 由參考數字1 7〇8所指示的一些表都會包含:關於存取過 撼器203所屬之vpn的資訊。存取過濾器2〇3使用此資訊來 路由指引對話:並且也會用來決定:針對—既定對話,正 在被使用之路徑的信賴等級。”路由選擇表"(R0uting table) 類別表1 72 1會定義:列示指向可從存取過濾器2〇3存取資 訊之所有網路的諸多目前路由的一些表。當那些路由改變 時’ Θ表就會被自動地更新。11附屬網路"(Attached Network) 類別表Π23會定義一些表,該表指示··對每個存取過濾器 203而言’存取過濾器2〇3目前所附屬的一些網路;該類 別表中的一些表都會包含指向”網路定義”類別表丨723中的 一些表的諸多通信鏈路,該類別表依序地包含指向"信賴 等級定義(trust definitions)類別表1707中之一定義之一通 信鏈路’而該類別表則會指示網路的信賴等級=在此群組 中的最後類別表是"點對點連接”(p〇int t0 Point Connection) -80- 本纸張尺度適用中0舀家標準(CNS)A^^j1〇x 297公发^ ~ I-' (I I I t— - - I—. 1 . - ί > ) I n - ] \^t __________ _ __ J f {碕先Mis背面之沍意事項再填寫本頁) 448387 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(78 ) 類別表1713,它會定義:描述可經由VpN存取資訊的兩個 存取過;慮器2 〇 3之間連接的一些表。有針對來源和目標存 取過濾器203的每種組合的一種表,以及指向一種載明在 來源和目標兩個存取過濾器2〇3之間路徑之信賴等級的信 賴等級定義之一通信鏈路。在此表中的信賴等級是基於針 對橫過路徑之訊息所使用的加密技術。 如前面所説明的’"使用者群組"表1301和,,資訊集,,表 1401會提供存取過濾器203所需的資訊,以便決定:決策 諸表1 60 1中的存取決策是否允許存取操作;並且,也會提 供:關於正在被存取之資源的靈敏度等級的資訊。存取過 濾器諸表170 1會附帶地提供存取過濾器203所需的資訊, 以便決定:正在由對話所採取而在VPN中之路徑的最小信 賴等級’以及一些可用加密演算法的信賴等級。於是,若 存取過濾器203決定:正想要存取一既定資源之一既定使 用者屬於有權存取該既定資源所屬的資訊集之一使用者群 組,並且決定:用於使用者之識別方法的鑑定等級並不低 於針對資源之靈敏度等級所需的鑑定等級•則存取過濾器 203能夠進一步決定:路徑之信賴等級是否夠高;且若信 賴等級不夠高,則存取過濾器203藉由選擇一種具有所需 信賴等級的加密演算法並對該對話加以加密,就能夠將信 賴辛級彳疋升舄需要量。 可用資訊表:圖15 3可用資訊表:圖15 圖1 5顯示針對可用資訊諸表1501的圖表。該表皆由存取 -81 - 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公茇 (請先閱ti背面之注音?事項再填寫.各頁) -1— ] d n Γ * _ SI m I- - -- u I - -V6兔 448387 A7 ______B7 五、發明說明(79 ) ίίτ先閱讀背面之注意事項再填寫本頁) 過濾器203所使用,以便產生可用資源顯示圖丨〇〇5,如圖 1 0中所示。在1502處所顯示的一些類別表都會使每個词 服器與Έ的服務有關係,並與由服務所提供的資源有關 係。在1504處所顯示的—些類別表會將諸多可用資源加以 组織成一種針對繼承權目的的層次:並且也會被使用來產 生在1005處所顯示的分層列表;進而藉由順著從,,網站單 元"表到伺服器"表的諸多通信鏈路,存取過濾器2〇3就 能夠決定:網站,伺服器,服務,以及資源的層次。在 1 503處的一些類別表,最後會建立—種存取過濾器2〇3的 分配樹(distribution tree)。就像稍後將要更加詳細說明的 那樣,當存取控制資料庫30 I被修改時,由那些表所定義 的樹就會決定:修改被分配到一些存取過滹器所依照的順 序β 修改存取控制資料庫30 1 :圖1 9' 3修改存取控制資料庫301 :圖1 9 經濟部智慧財產局員工消費合作社印 如前面所提及的’每個存取過濾器203都會有一種屬於 在圖2之存取過濾器203 (a)中之主決策管理程式2〇5的存取 控Μ資料庫301之拷貝的精確gi丨本(exact duplicate)。圖1 9 顯示:怎樣修改存取控制資料庫3 0 1的那份拷貝,以及,乍、 樣將修改資訊從存取過濾器203 (a)分配到其它存取過減器 203。圖19顯示:具有主決策管理程式205的存取過淚器 203 (a);以及另一個存取過濾器2〇3⑴,在該處,使用工 作站之一管理員正在修改存取控制資料庫3 〇 1。需要用來 分配和同步修改資訊的訊息1909都是使用SKIP加以加密 -82- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公t ) 4483 8 7 經濟部智慧財產局員工消货合作社印製 A7 B7 五、發明說明(8〇 ) 的,並且經由V P N 2 0 1,使用一種稱爲”專用通信服務,, (private communications service,簡稱 PCS)的通信協定加以 發送。每個存取過濾器都會有很多存取控制資料庫〖的 拷貝。任何存取過遽器203最少限度都有兩種拷貝:活資 料庫(live database,簡稱LDB)1907,它是目前正在被用來 執行存取核對的資料庫;以及鏡像資料庫(mirr〇r, 簡稱MDB)1 905 ’它是:能夠被切換入内,打算用來代替 活資料庫1907的資料庫之一拷貝。於是,存取過遽器 203 (a)具有:一 MDB 1905(a)和一LDB 1907(a);而存取過減 器 203 (i)則具有:MDB 1905⑴和LDB 1907⑴。 若一存取過濾器203正在被管理員使用來修改存取控制 資料庫301,則它將會附帶地具有至少一個工作資料庫 (working database,簡稱WDB)1903。工作資料庫是:不是 正在被用來控制存取操作的資料庫之一拷貝,因而能夠由 管理員加以修改。管理員會使用—種經由網路而連接到存 取過遽器之一工作站或p C (個人電腦)而這麼做。工作站 或P C會顯示上述的管理圖形使用者界面,進而管理員使 用GUI(圖形使用者界面)來做出像由一些管理決策所致能 那樣的諸多改變。這些改變可能影響到儲存在存取控制資 料庫3 01中的任何方面的資訊。如以上所指示的,其中货 多改變都是在存取或管理決策方面的改變,因而管理員能 夠使用決策評估特點來察看改變之效應。當管理員對變^ 感到滿意時,他就會點按:”應用"桉鈕:因而將諸多改热 刀配到所有的存取過滤器’並納入每個存取過;慮器的活資 -83- 本紙張尺度適用中國國家標準(CNS)A4規格(210 χ 297公釐) J [ 1 .-’V I . — . . t ίίΓ先閱讀背面之注意事項再填寫本頁) 448387
經濟部智慧財產局員工消f合作社印5 五、發明說明(81 ) 料庫中。 將更新所有活資料庫的處理過程稱爲:資料庫同步和分 配。该處理過程有三個階段: .首先’將修改資訊從產生它們之所在的存取過遽器 2〇3(此處,就是存取過濾器2〇3(i))發送到主資料庫所 屬的存取過濾器203 (此處,就是存取過濾器2〇3(a))。 •在那種情況,將諸多改變納入主資料庫中。完成此事 的方法是:將諸多改變納入鏡像資料庫i 9〇5(a)中,然後 將活資料庫1907(a)和鏡像資料庫丨9〇5〇)交換 (swapping) ’然後再改變新鏡像資料庫1 9〇5(a)。 •然後’將諸多改變從主決策管理程式分配到其它存取 過遽器。 在每個存取過濾器2〇3處,用與利用存取過濾器2〇3 (a) 相同的方式來完成同步。在VPN 201之存取過濾器203中 做出改變所依照的順序是由分配樹丨5丨丨所決定,使用存取 過濾器顯示圖120 1依序地將它建立起來。具有主決策管理 程式205的存取過濾器203總是樹的根部。依照預設方式 (default) ’安裝在VPN 201中的第一存取過濾器203具有主 決策管理程式205。當安装了其它存取過濾器203時,就會 將它們増加到樹中,作爲主決策管理程式的孩子們 (children)。 主決策管理程式會將諸多改變循序地分配給它的孩子 們β當每個子(child)存取過濾器203都收到它的分配資訊 時,它隨後就再分配給它的孩子們》這意謂著:一種自頂 -84- 本纸張尺度適用中國國家標準(CNS)A4規格(210 * 297公发) 先閱讀背面之注音?事項再填寫本頁) T___ ^6 線 經濟部智竑財產局員工消費合作社印製 448387 A7 ---------B7 五、發明說明(¾ ) 層分又出很多分支(branches)的淺型(sha丨丨ow)分配樹完成一 個分配周期將會比一種自頂層分又出很少分支的深型 (deep)分配樹還快。適當存取資訊的管理員能夠重新配置 分配樹’以使分配更加有效。 若兩位管理員已經修改在不同的工作資料庫〖9〇3中的相 同資訊段(譬如説’存取過濾器定義),則會發生同步衝 突。當此事發生時,主決策管理程式205就會決定:要將 哪個修改資訊納入存取控制資料庫3〇1中β 使存取控制資料庫3 〇 1最佳化:圖2 1和2 3 3使存取控制資料庫301最佳化•圖2丨和2 3 雖然藉由管理圖形使用者界面(GUI) 1915適合於持續儲 存和使用;但是對於使用在即時存取核對中而言,資料庫 301並不是最佳化的。就像將要更加詳細説明於下那樣, 存取過濾器203會使資料庫301中的資料最佳化,那是運 轉時間(run-time)存取核對所需的,進而用來產生針對 IntraMap的顯示圖。每次在存取過濾器203中收到資料庫 301之一新拷貝的時候,它都會執行最佳化(〇ptimiZati〇n)。 依照它們的最佳化形式,資料庫3 01是諸多記憶體映射標 案(MMF)之一集合,其中以一種允許快速存取的形式來儲 存存取決策資訊。之所以如此稱爲MMF,是因爲:雖然它 們都被當作正常檔案來產生,但是隨後卻都附屬於一程式 的記憶體空間,並且都是藉由一些記憶體操作,而不是擋 案操作加以存取的。藉由使用MMF檔案來達成進一步最佳 化,以便產生一些規則:藉由I P來源和目標位址以及針對 -85- (請先Μ讀背面之注意事項再填寫本頁) — II-----線
本纸張尺度適用中國國家標準(CNS)A4規格(21〇χ 297公釐) 'J 448387 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(Μ ) 存取操作被容許或拒絕的埠號,使用該規則來執行訊息之 低層級過濾操作β 圖顯示:MMF檔案23〇3之一實例。正被談論的 檔案是:DBCertifiCatesbyUSerGr〇uP(藉由使用者群組來識 別的資料庫"證書,·)檔案2丨〇1,它將用來識別屬於諸多特 定使用者群組的證書之證書匹配準則加以映射到:針對由 證書匹配準則所載明的諸多使用者群組的記錄,在資料庫 3W中的一些識別符。於是,樓案21〇1允許具有會識別已 經使用SKIP加以加密之一訊息之來源的證書之一代理伺 服器快迷決定:由證書加以識別之使用者所屬的諸多使用 者群組。在較佳實施例中,證書匹配準則是:x.509號證 書中的〇(組織)’ 0U(组織單位),及(:八(證書當局)欄位。 所有的MMF檔案2303都有相同的通用形式,有兩個主要 部份:標題部份2103,它包含正被峡射所根據的資訊:以 及資料部份2105,它包含正被映射所指向的資訊。標題 21〇3包含諸多登載項(entries)21〇7之一列表。每個登載項 ,會包含:正被映射所根據之一數値(在這種情形下,就 疋澄書匹配準則(CMC)21〇9):以及指向在資料部份21〇5中 =-記錄的指標(pc)inter)21 i i,它包含正被映射所指向的 β Λ (在這種情形下,就是:針對由CMC 2丨〇9加以識別之 使用者所屬的諸多使用者群组,在資料庫3〇丨中的諸多識 別符2U3之一列表21丨5)。在標題2 1〇3中的諸多登載項都 是依照正被映射所根據的資訊(此處,就*CMC 21〇9)加以 排序的,使得:可能使用諸多標準快速搜尋演算法來 n J - H ^1 ¢ .- 1^— ^^1 I II · 1 - * - I I I . 1 ^^1 一 I l I - - - -I n ft t 、 (請先閱讀背面之;i意事項再填寫本頁) -86 - 448387 經濟部智慧財產局員工消f合作社印製 A7 B7 五、發明說明(84 ) 對應於一既定if書匹配準則集合之一登載項2丨〇7的位置a 圖23 A,B及C提供:被使用在存取過濾器2〇3之一建構 例中的諸多MMF檔案2301之一完整列表β根據表中所提供 之諸檔案内容的描述’這些檔案與資料庫中的一些表 之間的關係將會顯而易見的。每個MMF檔案2303都是由表 中之一登載項所表示,該表指示檔案名稱及其内容。將諸 多檔案細分成下列群組:23 11,23 13,23 19,232 1,2323, 以及2422。特別感興趣的一些檔案有:DBUsers(資料庫1'使 用者")樓案2307和DBResources(資料庫"資源’’)樓案2309, 它們都描述決策;DBCertificatesByUserGroup(藉由使用者 群组來識別的資料庫”證書,,)檔案21〇1,它是詳細顯示於 圖 2 1 中的 MMF捨案;DBResourcelDbyServicelD(藉由 IP 名 稱來識別的資料庫"資源識別符")檔案23 15,它會使資源的 URL (共通資源指標)與資源ID (識別符)有關係: 08尺680111'0655>^16 5 0111^61〇(藉由資源1〇來識別的資料庫"資 源")擋案23 17,它會使資源與資源群組有關係;以及 DBTrustTable(資料庫_’信賴等級表”)檔案2325,它會建構 SEND表 601。 而且,下列檔案都被用來編譯規則: DBServerlDByNameFile(藉由I P名稱來識別的資料庫"伺服 器I D "檔案) DBIPAndTypeByServerlDFile(藉由伺服器ID來識別的資料 庫"I P位址和類型”) DBServicePortToProxyPortFile(資料庫"服務埠對代理词服 -87- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) .Γ r I --------訂---------,線' I. (請先閱讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 4 48 3 ; 7 A7 __ B7 五、發明說明(85 ) 器埠"檔案) DB AttachedNetworksByServerIDFile(藉由词服器 I D 來識別 的資料庫"附屬網路"擋案) DBRoutingTab丨eFile(資料庫11路由選擇表”檔案) DBRoutingTablebyServerlDFile(藉由伺服器 I D 來識別的資 料庫”路由選擇表”檔案) 在IntraMap資訊2422中的諸多檔案,最後被被過濾,以 便產生列表243 1,然後再利用intraMap小爪哇程式2411將 它下載到客户端以供使用。 存取過濾器203之細節:圖20 3存取過濾器203之細節:圖2 0 圖20是一種存取過濾器203的架構2001之一方塊圖。在 顯示於圖2 0中的建構例中,與一些NIC(網路界面卡)卡 2013不同的所有存取過濾器2〇3组件都是以軟體方式來建 構的建構例中的軟體會在微軟公司所製造的windows N丁商標之作業系統下執行。軟體组件分爲兩大類:在作 業系统之使用者層級2003處’當作應用程式執行的那些組 件’以及在作業系統之核心層級(kernel level)2〇〇5處所執 行的那些組件。就大體而論,在核心層級處所執行的程式 會執行:I P層級存取核對,以及加密和鑑定;而在使用者 層級處所執行的那些程式則會執行應用層級存取核對。也 包括在使用者層級組件中的是:管理存取控制資料庫3〇1 的軟體,以及根據存取控制資料庫3〇i而產生針對丨p層級 存取核對之諸MMF和規則的軟體。下列討論將從核心層級 -88- - tA--------訂---------線 (請先閱讀背面之注意事項再填寫本頁) 本'紙張尺度適a中阁闭宕 ^ ^ r C / 0 r 5 \ 丁 ^ Ί I - Μ 公 4483 8 A7 B7 五、發明說明(86 ) 且件h is ’繼續討論與存取控制資料庫3 〇 1有關的使用者 層級組件,然後將會討論針對通信協定層級存取核對的 件。 核心層級组件 3核心層級組件 網路界面卡(Network Interface Card,簡稱NIC)2013 :這 些是安裝在存取過濾器203中的乙太網路(ethernet)和令牌 環卡(token ring card)。一般說來,配置((;〇1^41^^)有三種 網路卡。一種是爲:針對網際網路,針對一種廣域網路 (wide area network,簡稱WAN)201 1,或者針對連接到另— 存取過濾器203之一網路的界面而配置的。另一種是爲針 對所有客户端電腦的界面2 0 0 7而配置的;而第三種則是爲 針對提供TCP/IP服務之諸伺服器的界面2009而配置的。若 不必要將一存取過濾器203置於諸多客户機與伺服器之 間’則可能只有兩種NIC 20 13 : —種針對WAN 20 1 1,而另 一種則針對LAN(區域網路)。若在存取過濾器2〇3之位置 處並沒有伺服器存在,或者’若所有的局部客户機都有權 存取所有的局部資訊資源是可接受的;則不必要將存取過 濾器置於其間。 經濟部智慧財產局員工消費合作社印製 塡隙軟體(SHIM)2017 :在安裝時,將一種填隙(士⑻軟 體模組插入Windows NT商標之作業系統的兩個層級(NDIs 和TDIS層級)之間。這樣會造成針對特定通信協定的所有 通信量都會通過S ΗIΜ 2 01 7。在建構例中,針對τ c P /1P通 信協定的所有通信量都會通過SHIM 201 7,而非TCP/IP通 -89- 本纸張尺度適f中舀國家標準(CNS)A4規格(210 X 297公窆) 448387 經濟部智慧財產局員工消f合作社印製 A7 ___B7____ 五、發明說明(87 ) 信協定之通信量則從NIC直接前往一些適當的其它核心模 組。SHIH 2017必要時會調用(invoke) SKIP模组來處理 tcp/ip通信協定之通信量。 SKIP模組2〇21 :經由SKIP 2 02 1來發送所有的I p網路通 信量。若輸入分包資訊不是SKIP類型,即··不需要由 SKIP來執行鑑定和解密服務;則SKIP模组202 1會將它傳 遞到I P過濾器模組2 0 1 9。同樣地,若不打算對輸出分包資 訊加以加密,則SKIP模組2021會將它直接發送到適當的 NIC 2013,以供傳輸之用。雖有SKIP類型之分包資訊,但 在SKIP模组2021中的鑑定符(authenticat〇r)2024可作爲鑑定 一項對話之用;而加密器/解密器2022則可作爲對在一種 對話層級處的資訊加以加密和解密之用。可能利用:任意 數目的其它存取過濾器203,使用SKIP的一些伺服器,以 及使用SKIP的一些客户機來完成鑑定以及加密/解密。鑑 定和加密演算法都是基於SEND參數,針對輸出分包資 訊’由I P過濾器模組2019加以設定的;或者,都是在輸入 分包資訊内加以載明的。 SKIP模组202 1會爲與它對談的每個其它網站維持足夠的 狀態資訊,使得:對於大多數的SKIP類型之分包資訊而 言,它能夠維持高速操作。分包資訊有時候會,•被停留·· (parked) ’而附加處理(共享機密及暫時密鑰(teinporary key) 計算)則會被執行。在使用者空間2003中的"skipd_,模组 2037會執行這種額外處理。 I P過濾器2019 : I P過濾器根據一套規則而操作,該規則 -90- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公发) 1 _ ^1 - - I 1^1 I - - - I —I JA · I I 1 - .- ---- or , li t— - - - 1 i (請先閱讀背面之注意事項再填寫本頁) 448387 A7
經濟部智慧財產局員工消費合作社印" 五、發明說明(88 ) 是:資料庫服務2029之一组件的規則編譯程式,根據存取 控制資料庫3 01中的存取決策加以制定的。I p過濾器的— 些基本功能都是用來: 1 將通信量傳遞到TCP/IP堆叠。 2 阻擋通信量-將針對特定I P位址的通信量明確地棄 置’並且是根據針對緊急情沉的諸多特別規則。 3 棄置通信量-將既不和任何規則匹配又不被任何決策 所容許的通信量明確地棄置β 4 代理處理通信量-不是將通信量遞送到被指示目標, 而是將它路由指引到在目前機器上之一代理伺服器應 用程式。 5 執行網路位址轉換-將可能是非法的内部I ρ位址改變 成合法的I Ρ位址9 6 . 一建立典法由規則嚴格地決定存取控制操作所針針的 一項新對話,就會將決策遞給p.r Jpf(被討論於下)。一 般說來,迈是針對可能被決策或被前述之νρΝ鑿隧道 操作特點所容許的對話。 IP過濾器2019基於下列資訊而執行這些功能: 由規則編譯程式所產生的規則; 來源和目標I P位址和i阜號; 關於輸入分包資訊的加密,或者不加密;以及 關於輸出分包資訊的所需加密和鑑定。 與資料庫3 0 1有關的組件 3與資料庫301有關的组件 •91 - 本纸fe尺度遇用中囵囿豕標準(CNS)A4規格(210 X 297公爱) - ------ ^ *-------訂--------» rr f (请先閱讀背面之注意事項再填寫本頁) 448387 A7 B7 五、發明說明(89 ) 共享目錄(Shared Directory)2028 : VPN 201使用什麼存取 過/慮器2 0 3都會保持駐留其中的單一存取控制資料庫3 〇 1。 在一既定存取過濾器203中之資料庫30 1的所有版本都被 維持在共享目錄2028中。共享目錄2028也包含每個存取過 :慮器203的登綠樓案(丨0g f丨丨。 專用連接服務(Private Connect Service,簡稱pcs)模组 2025 , PCS模组2025提供在VPN 201中的"存取過渡器對存 取過滅器通«所有這樣的'通信都會通過具有 ^自己的I p埠號’而其訊息則必須被加密。藉由pcs訊息 來實行的一些特定功能有: • 分配樹管理; • 資料庫3 0 1之分配.和同步; • 路由選擇表1721之檢索和分配; • Windows網域和使用者資訊之檢索; • 網路掃描; • 登錄内容之檢索;以及 •由報表及其它子系統所使用之諸樓案的傳送。 ISDB管理程式2027 : ISDB管理程式207會管理資料庫 301 °它和pcs都是唯一針對在每個存取過濾器203中的資 料庫301之諸拷貝的界面。它包含用來讀寫在資料庫301 之諸拷貝中之所有表的軟體。 赏料庫(DB)服務和規則编譯程式2〇29 :資料庫服務模組 2029會產生諸多MMF檔案2301。每次在存取過濾器2〇3中 收到資料庫301之一新拷貝的時候,它都會這麼做。它利 -92- 本纸張尺度適用中S國家標準(CNS)A4規格(210 x 297公釐) (琦先^详背面之注意事項再填寫本頁^ 丨^i-------訂·---- 線 經濟部智慧財產局員工消費合作社印*'< 4483 8 經濟部智慧財產局員工消費合作社印袈 A7 B7 五、發明說明(9〇 ) 用由ISDB管理程式2027所提供的功能來讀取針對一既定存 取過濾器203 (I)的活資料庫1907(1)並產生諸多MMF 2301。 資料庫服務模組2〇29之一组件是規則编譯程式,它會根據 諸多MMF 2301中的一些有關MMF來產生使用在IP過濾器 模组201 9中的一些規則。該規則會載明存取操作被容許或 拒絕所針對的:I P來源’目標,以及埠號。規則编譯程式 存在’充當一種DLL以及一種只是調用DLL中之諸常式 (routines)的應用程式。在正常操作中,每當在存取過濾器 203⑴中’從主決策管理程式2〇5中收到已修改資料庫3〇1 時’在DLL中之諸常式都是由資料庫服務模組2029加以調 用的。在安裝和啓動程式(bootstrapping)處理過程期問, 應用程式被使用在一些特別模式中。 s己憶體映射楼案(MMF)2301 :像已經説明的那樣,mmF 2301都是由資料庫服務模组2029所產生的資料樓案,並且 都被存取過濾器203中的很多其它模组所利用。設計樓案 以使下列操作儘可能有效的: •從使用者識別方法映射到(諸多)使用者群组; • 從資訊資源映射到(諸多)資訊集; •尋找與諸多使用者群組有關聯的決策;以及 •.尋找與諸多資訊集有關聯的決策p 與鑑定有關的组件 3與鑑定有關的组件 評估程式(Evaluator)2〇36 :評估程式2〇36是由諸多代理 伺服器203 1中的每個代理伺服器所使用的諸多之一隹 93- 本紙張尺度適用中關家標準(CNS)A4規格(21G)<297公爱) (請先閱讀背面之注意事項再填寫本頁) 、κ--------訂----- 線 經濟部智慧財產局員工消費合作社印製 44838 A7 一 B7 五、發明說明(91 ) 合。評估程式2036會提供下列功能給諸多代理伺服器: • 提示(Prompting)使用者另外的"在頻帶内•,或"在頻帶 外”識別資訊; • 從鑑定工具程式服務(Authentication Tool Service,簡 稱ATS)中獲得"在頻帶外”鑑定資訊: • 從SKIPd中獲得與目前使用者有關聯的證書; • 讀取諸多MMF 2301 ’並決定:存取決策是否允許使用 者存取資源:以及 . 若在其它情況下存取操作被容許,則建構針對路徑之 信賴/靈敏度等級計算,包括決定存取操作是否可能 經由路徑而被容許,如果這樣;則需要何種加密和鏗 定方法’以及哪個存取過濾器最接近伺服器。這些功 能都是由稱爲VPN管理程式的評估程式2036之一組件 加以執行的。 銀定工具程式服務/使用者識別客户軟體(ats/uic)2〇39 和2041 ·· ATS 2039是在一種會搜集和鑑定使用者資訊的客 户機一伺服器應用程式中的伺服器。ATS 2039會在電腦上 執行,而在其上則有存取過濾器203之其它組件正在執 行。客户機部份是〜UIC 2041,它會在基於windows之客户 機上執行。ATS 2039和UIC 2041都是機制,存取過濾器 203會藉由遠機制來獲得_ι在頻帶外鑑定資訊^ a丁g 2039 和UIC 204 1會藉由一項與正在被鑑定之對話分離的對話而 通信0 ATS 2039會收集並快速存取(caches)它從諸多^⑴客 户機中獲得的鑑定資訊’進而提供該資訊給評估程式 -94- 本紙張尺度適用中國國家標準(CNSM4規格(210 X 297公爱) l.k.-------訂.--------·線 ^待先閱讀背面之注意事項再填寫本頁) 44838 經濟部智慧財產局具工消費合作社印製 Α7 Β7 五、發明說明(92 ) 2046。來自諸客户機的被快速存取資訊包括: • Windows ID ; •身份識別證書:以及 • 鑑定令牌I D。 SKIPd 2037 : 大多數的SFCIP'd功能都是支援SKIP模組202 1。那些功能 包括: • 與其它通信夥伴們交換證書資訊。藉由使用證書發現 通信協定(CDP)來完成此事。 • 計算狄菲-黑爾曼f Diffie_Hellman)其享機密方法。這 種共享機密方法是SKIP操作的關鍵。這種計算可能花 上一段可觀的時間,並且以一種加密形式將它儲存到 磁碟。 • 計算用來加密對話的傳送密鑰。這些密鑰會延續一段 時間或資料量。 • 此外,SKIPd將會提供證書匹配準則給(諸多)評估程 式,以便使用在使用者識別方法中。 代理伺服器203 1 3代理伺服器2031 如前面所説明的’代理伺服器是:在截取針對特定通信 足之通信量的存取過渡器2 0 3中的軟體。代理飼服μ瞭 解通信協定的是:它正在載取資訊,因而能夠獲得用來 識別正在被存取的資源及/或從對話期間正在被交換的訊 息中加以鑑定使用者所需的資訊。隨著I Ρ過濾器將一些使 -95- 本紙張丈度適用中固國家標準(CNS)A4規格(210x297公窆) L I _ ' fk· -------訂·-------- (請先閱讀背面之注意事項再填寫本頁) 4483 8 7 A7 B7 ----- 經濟部智慧財產局員工湞費合作社印製 五、發明說明(93 ) 用一既疋通信協定的訊息從其標準埠重新指引到其非標準 埠,除SMTP外的所有代理伺服器都會接收:針對它們的 通仏k疋,在與標準埠不同的一些埠上的訊息。代理伺服 器提供i已經k斜話中獲得的資訊給評估程式2〇36,以便 決定:使用者是否有權存取資訊資源。若使用者有權存 取’則存取過濾器2〇3會將輸入訊息轉遞到它們被定址到 的伺服器’並且藉由針對該通信協定的服務,在伺服器中 將Λ息進一步處理。在下列描述中,使用在一較佳實施例 中的每個通信協定都會被討論;當然,其它實施例則可能 包括針對其它通信協定的代理伺服器。
Pr_ipf( I Ρ過濾器代理伺服器):大多數的網路通信量會 在少數通信協定上發生,而在存取過濾器2〇3中則會有針 對該協定的諸多代理伺服器。然而,甚至在沒有代理伺服 器的地方’也必須制定一項存取決策。在某些情形下,可 能在核心層級處由I P過濾器2〇19來制定決策·,當它不會制 定決策時,I P過濾器2〇丨9就提供通信量給pr—ipf,它會歿 得任何它能夠從通信量中獲得與使用者識別方法和資訊資 源有關的資訊,進而將該資訊傳遞到評估程式2〇36,以便 決定存取操作是否應該被准許。pr_ipf事實上並不是—種 代理伺服器,由於它只是做出一項針對IP過濾器2〇19的存 取決定而已’故而不會將任何通信量傳遞到標準通信協定 软體。 FTP(檔案傳送協定):ftp代理伺服器會處理針對樓案傳 送協定的TCP/IP分包資訊。在VPN 201之一當前實绝例 -96- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) . t >衣 --------訂--------",線 (请先闇讀背面之注意事項再填寫本頁) 448387 經濟部智慧財產局員工消費合作社印製 A7 __________B7__ 五、發明說明(94 ) 中’只是將存取控制施行到帳户(登錄)層級;而在其它實 施例中’則可能將存取操作控制到檔案存取層級。在通信 協定之FTP登綠部份期間’代理伺服器會決定正在被存取 的詞服器及帳户(account) ’並且將此資訊提供給評估程式 2036,以便決定:使用者是否屬於一使用者群組,該群組 的諸多成員可能存取對應於該帳户的資訊集。代理词服器 使用載明於FTP通信協定中與使用者互相作用的令牌來進 一步處理"在頻帶内”鑑定資訊。 FTP實際上是一種非常複雜的通信協定,涉及主動 (active)和被動(passive)模式(被使用在網路瀏覽器及某些 自動FTP客户軟體中)》此外,FTP資料傳送是利用一種第 二動態決定式TCP(傳輸控制通信協定)對話。這就需要一 種FTP代理伺服器與I p過濾器20丨9之間的特殊界面,使得 FTP代理伺服器能夠對IP過濾器2〇19指示:它應該會容許 第二對話》 HTTP(超本文傳送協定):對於http之公用網域 CERN(歡洲起子物理研究所)建構例而言,' HTTP代理词服 器是根據來源碼(source code)而,構築的,並丑包含所有它 的快速存取邏輯(caching logic)。代理伺服器使用評估程式 2036來核對指向一 URL的每項存取操作。沒有”在頻帶内,_ 鑑定資訊是利用HTTP執行的。
Telnet(遠距通信網路):Telnet資源由於Telnet註册的非 標準化性質而只被控制到伺服器層級。只是了提供附加的 "在頻帶内”鑑定資訊才會使用Telnet代理伺服器。它是諸 -97- 本紙張尺度遇用中舀國家標準<cns)a4^77】0 x 297公发) L I I k*--------訂--------- (請先閱讀背面之注意事項再填寫本頁> 44838 7 A7
五、發明說明(95 ) 經濟部智慧財產局員工消費合作社印製 多眞實代理伺服器中最簡單的, NNTP :網路新聞傳送協定 ^ ^ ^ (Network News Transfer ⑽㈣01 ’簡稱簡TP)被使用來控制新聞傳送(_s feed)和 新聞讀取兩種操作。在新聞傳送操作期間,顔”代理词 服器注視著未編碼m些訊息都是已經被轉換 資訊交換標準碼本文(ASCIItex⑽供傳輸之用的二進^ 息(binary messages)。這種訊息常被解散成爲多重部产 (multi-part)訊息,以便將它們保持達到—種合理的尺寸刀 _戈理词服器會快速存取二進制訊息的;有部份。訧 每個這樣的訊息而t ’若該訊息是將要完成—項多重部产 訊息的最後部份’則將整個多重部份訊息加以組合,進: 抗病毒(aim-virus)模組2033會針對諸多病毒加以核對該訊 息,就像更加詳細描述於下的那樣。在新聞讀取操作期 間,將存取操作保護到新聞群组層級。就像在其它代理伺 服器中那樣,評估程式2036被使用來決定:目前使用者是 否可能存取新聞群組。 眞實聲頻通信(Real Audio):眞實聲頻通信代理伺服器容 許客户機存取只有在伺服器層級處才受到保護的眞實聲頻 通信伺服器。眞實聲頻通信協定雖然利用一種標準Tcp套 接通信連接(socket connection)來建立一項對話,但是隨後 就使用一種轉回U P頻道。就像對於FTP那樣,眞實聲頻通 信代理伺服器具有一種針對I P過濾器2〇丨9的界面,該界面 允許它對I P過濾器20 I 9指示:轉回U P頻道是被容許的。 SMTP ·‘簡單郵件傳送協定(simpie Mail Transfer Protocol, 98 本纸張尺度適用中國國家標準(CNS)A4規格(2】0 X 297公釐) nt· ^^1· I u 1^— ! · n n I _ · fc I t 1 n · 1 11 ^^1 ^^1 - 1^1 t (請先閱ir背面之注音?事項再填寫本Ϊ 4838 7 A7 B7 經濟部智慧財產局員工消費合作社印製 五、發明說明(96 ) 簡稱SMTP)代理伺服器與其它代理伺服器不同處在於:】p 過遽器之代理伺服器的諸多規則都不是被使用來重新指引 通信量到SMTP代理伺服器。其實其它代理伺服器會在„ 個非標準埠上"傾聽";而SMTP代理伺服器則會在標準埠 (25)上傾聽,隨後會執行它自己與標準sMTp伺服器軟體的 通信連接。在資料庫30 1中的存取決策必須明確地容許此 存取操作。 IntraMap :當使用者載明針對lntraMap之URL時,報表管 理程式209會下載IntraMap小瓜哇程式,而被下載之小爪哇 程式則嘗試執行一種接回到具有報表管理程式2〇9的存取 過滤器203之一套接口(socket)的通信連接=局部存取過遽 器203 (I)的I P過濾器201 9會截取嘗試執行通信連接資訊, 進而和b彳疋供給局环存取過遽β 1 〇3 (I)上的IntraMap代理 伺服器》藉由尋找在資料庫30丨之局部拷貝中的回答 (answers)並將回答轉回給小爪哇程式,代理伺服器會對來 自小爪哇程式的查詢(query)作回應。隨著所有的回答正在 被過濾而反映使用者之存取權利。IntraMap代理伺服器並 非一種眞實代理伺服器是因爲:整個通信連接總是由截取 通信連接之IntraMap代理伺服器的實例加以完全服務的。 抗病毒模组2033 3抗病毒模組2033 在·—較佳貫施例中的抗病毒模组2 0 3 3是由位於美國加州 古柏提諾市(Cupertino,CA·)的趨勢微_ .晉公司(Trend Micro Devices, Inc,)所提供的諸多DLL之一集合。在其它實 -99- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐〉 (請先閱讀背面之ii意事項再填寫本頁) ^ ----
I T ______ I ^-0 « J [ I I 線 4483 8 7 A7 --------------------- 五、發明說明(97 ) 施例中,可能使用來自其它來源的抗病毒模組51抗病毒模 ,-且2033會針對病毒加以檢查所有進入2〇 1的資料。爲 了提供使用者關於資料轉移進行的回授功能(feedback)並 預防使用者之客户软體程式時間暫停(timing out),將資料 轉移到客户機並在同時間内加以拷貝進入一種用於病毒檢 查的暫時樓案中。然而,並未將資料的最後部份發送到客 户機’直到完成病毒檢查後爲止。該最後部份一處在暫時 榼茱中说會針對諸多病毒加以檢查暫時檔案。若未偵測出 病毒’則將資料的其餘部份發送到客户機。若發覺病毒, 則中止資料轉移。在本實施例中,使用者被通知傳輸失 效。若管理員已經這樣载明,則可能將—種警戒資訊發送 到管理員。 啓動(launck) ’登錄,警戒以及報表模組2 〇 2 7 : 此模组的一些組件會執行下列功能 •啓動控制起動(startup)工作之初始順序;當達立VPN 20 1時’該初始順序就會在一存取過濾器2〇3上發生。 *登錄-一種提供已標準化登綠界面的dll。 •警戒-一種注視著所有NT登錄的獨立(standalone)程 式,因而找尋載明於資料庫3〇1的警戒條件。使用GU:[ 來載明遞送警戒資訊所利用的方法,以供定義警戒資 訊之用。 .報表-將諸多登錄之一子集合轉遞到一種特別報表登 綠,加以▲縮成資料庫,稍後再轉遞到報表管理程式 209 〇 -100- 本紙張尺度適用争舀國家標準(CNS)A4規格(210x297公发) (請先閱讀背面之注意事項再填寫本頁) *^·-------訂〃-------1 *5^ ^濟部智餐財產局員工消費合作社印制界 4483 8 / A7 B7 經濟部智慧財產局員工消費合作社印製 五、發明說明(98 ) 管理圖形使用者界面1 9 1 5 : GUI(圖形使用者界面)可p , )j把在存取過濾器203上,或者在 附屬於存取過減2ΓΠ而 ^ ''有一種3 2位元Windows商標之 作業系統的任何電腦上執行。⑽不論是在存取過據器 203上還疋在附屬系統上執行,它都會利用管理程式 2〇27來讀出或寫入在存取控制資料庫π丨中之一工作資料 庫 1903。經由 GUI 1915,料 A % a丨义 μ — °對存取控制貧料庫3 〇丨做出所有 的必要修改。在GUI中之應用"操作,被當作一種信號 發送到PCS 2〇25 ’它會藉.由起動前述的分配和同步操作來 對信號作回應。 存取過/慮器2 0 3之操作的詳細實例:圖$和2 2 3存取過濾器2 0 3之操作的詳細實例:圖5和2 2 在下列描述中,將要詳細説明圖5之端對端加密實例。 在該實例中,其P C配備有Skip之一漫遊者503正在存取: 在VPN 201上之一網站之内,一種配備有SKIp的何服器 407。當漫遊者503被建立來存取VPN 201時,它是經由使 用一種特別加密類型的存取過濾器4〇3(3)而被這樣建立 的。此處’將會假定:正在被漫遊者503所使用的加密類 型具有"機密”之信賴等級:並且假定:使用者想要存取在 伺服器407上之網頁,該網頁具有"機密"之靈敏度等钗。 由於正在被存取的是網頁,故而漫遊者503正在使用針對 它與伺服器407上之HTTP服務之對話的HTTP通信協定。由 於漫遊者503,在VPN 201中的諸多存取過濾器203,以及 伺服器407全部配備有SKIP ;故而它們全部備有它們自己 -101 - 本纸張尺度適用中國國家標準(CNS)A4規格(2】0 X 297公发) --^ I ·------------------A^l--------'S界 A請先閱讀背面之注音?事項再填寫本頁) 448387 經濟部智.€財產局員Η消費合作社印製 A7 B7 五、發明說明(99 ) 的公用和專用密鑰=最小限度下,漫遊者503也具有針對 存取過濾器403(3)的證書和公用密鑰,它會將針對VPN 201内部之諸伺服器的訊息指引到存取過濾器403(3);存取 過濾器403(3)具有針對漫遊者503的證書和公用密鑰(或者 使用證書發現通信協定來獲得它們);在VPN 201中的所 有存取過濾器203具有或能夠得到:彼此的公用密鑰,以 及針對在VPN 201中配備有SKIP的諸多伺服器之公用密 鑰。此外,在VPN 201中的每個存取過濾器203都會知 道:在VPN 20 1中的所有其它的存取過濾器203及諸多伺 服器之I P位址。 被當作漫遊者503與伺服器407之間的HTTP對話之一部份 加以發送和接收的所有訊息都是由SKIP加以加密和鑑定 的。圖2 2顯示:由這樣一種SKIP訊息220 1所採用的格 式。SKIP訊息是由SKIP軟體加以製作在訧是SKIP訊息之 來源的系統上。此處所顯示的SKIP訊息220 1是來自漫遊者 5 0 3。它的主要组成部份是: 外IP標題2203 :外IP標題2203被使用來將SKIP訊息遞送 到存取過濾器403 ( 3) »包含在I P標題2203中的有:針對漫 遊者503之來源IP位址2209,以及針對存取過遽器403(3) 之目標IP位址2206。當漫遊者503被建立來存取VPN 201 時,由漫遊者503所使用的目標位址2206就被設立來載明 存取過濾器403 (3)。來源I P位址2209可能由網際網路服務 提供者(Internet service provider)以動態方式指定給漫遊者 503 ;而漫遊者503則加以使用,以便連接到網際網路 -102- 本紙張尺度適用中固國家標準(CNS)A4規格(210 X 297公发) (請先閱請背面+/;1音?事項再填寫木Fc \_______丁 If "ν I t 丨兮0 * l f 線 4 483 8 7 經濟部智慧財產局員工消費合作社印5衣 Α7 Β7 五、發明說明(100) 121。外IP標題2203還包含一個訊息類別(message type,簡 稱Μ T )欄位2208,它會載明:訊息是一種SKIP訊息。 SKIP標題2205 : SKIP標題2205包含當收到SKIP訊息時 就用來解密SKIP訊息2201所需的資訊。SKIP標題2205至 少包含·針對目標之證書,那就是,針對存取過濾器 403 (3)之證書的目標NSID(名稱空間識別符)2215和目標 MKID(主密鑰識別符)22 1 3 ;以及針對來源之證書,那就 是,針對漫遊者503之證書的來源!^1〇2219和來源%1<:1〇 2217。此外’ SKIP標題2205包含:針對用來鑑定訊息之演 算法(MAC ALG 2226)和用來加密訊息之演算法(crypt ALG 222:5)的識別符;以及用來解密訊息的一種已加密傳 送密鑰(Kp 2223)和針對用來解密傳送密鑰之演算法的識別 符 2224 » 鑑定標題22 Π :鑑定標題22 U包含一種訊息鑑定碼 (message authentication code,簡稱MAC)222 卜它是根據在 欄位2226中所識別的MAC演算法加以計算出的;並且它被 存取過濾器403 (3)使用,以便驗證:訊息在沒有干預下抵 達。 已加密有效負載(payload)2227 :已加密有效負載2227包 含度遊者5 0 3正在發送到词服器4 〇 7的已知加密訊息,它包 括·針對該訊息的I P標題233 1 ’以及已加密訊息2229。I P ^題233 1具有:針對伺服器407的Ip位址,以及針對http 通信協定服務的埠號。藉著使用具有由CRYpT ALg(加密 演算法識別符)2225所載明之解密演算法的傳送密鑰Kp -103- 本紙張尺度適用中固國家標準(CNS)A4規格(2丨〇 X 297公釐) (請先閱讀背面之注惠事項再填寫本頁) ν^--------訂---------線 4483 8 經濟部智慧財產局員工消費合作社印*'衣 A7 B7 五、發明說明(1〇1) 2223,就能夠對已加密有效負載2227加以解密。 處理SKIP訊息2201 3處理SKIP訊息2201 SKIP訊息220 1抵達在存取過濾器403 (3)的網際網路界面 2〇11上。訊息之處理始於核心層級2005中的SHIM層級 處。SHIM 2017會將所有輸入通信量發送到SKIP 2021,它 依序地根據Μ T欄位2208而察覺到:該訊息是一種SKIP訊 息。要解密並鑑定訊息,SKIP需要解密傳送密鑰Κρ 2223,並且要做的是:它會將SNSID 2219,SMKID 22Π, DNSID 2215,以及DMKID 2213 提供給 SKIPd 2037,SKIPd 會用這些ID,以便從SKIPd 2037之證書快速存取儲存器 (cache)中檢索針對漫遊者503和存取過濾器403 (3)的證 書。若證書不在那裏,則SKIPd 2037使用CDP通信協定來 提取證書。然後,將證書中的資訊和存取過濾器4〇3 (3)之 專用密鑰一起使用;以便產生一種共享機密數値,然後使 用遠數値來解达傳送密論Kp 2223,進而產生兩個内部密 鑰:Akp和Ekp » SKIP會安全地儲存共享機密數値,以便和 未來成息一起使用’此乃因爲該數値之計算要花費可觀的 時間量。其次’爲整個已收到訊息計算出mac,並且將 Akp和MAC 2221及MAC ALG 2226 —起使用,以便驗證: 整個S BCIP sfl息2 2 0 I未曾被干預。如果就是這種情形,就使 用内邵密輪Ekp來解密已加密有效負載2227,以便恢復來 自漫遊者503的原始訊息。然後將已解密有效負載2227提 供給I P過遽器2 01 9 ’它會將它的一些規則應用到:來源 -104- 本紙張尺度述用中國國家標準(CNS)A4規格(210 X 297公发) t請先加讀背面之法意事項再填窵本頁) ,^'-------訂---------線 448387 A7
五、發明說明(1〇2) 經濟部智慧財產局員工消費合作社印則^ I P位址,目標I p位址,以及丨P標題223丨的埠號。若没有 規則拒絕存取操作;則〗p過濾器2〇丨9遵從另一規則,並將 未加密訊息連同SNSID2219和SMKID2217重新指引到針對 HTTP代理伺服器之埠。ίρ過濾器2〇19使用mmf 2301中的 DBServicePortToProxyPort檔案來尋找正被談論之埠。 在作業系統之使用者層級2〇〇3中的應用層級處繼續訊息 之處理。HTTP代理伺服器能掌握的有:伺服器之〗p位 址’服務之埠號,針對網頁之URL,屬於漫遊者503的使 用者之證書’以及用來加密訊息的加密方法。它會使用許 估程式203 6,以便根據MMF 230 1來決定下列各項: • 由證書所表示之使用者所屬的諸多使用者群組; • 網頁所屬的諸多資訊集; • 是否有一項存取決策會允許諸多使用者群组中的至少 一個使用者群組存取諸多資訊集中的至少一個資訊 集:以及 • 訊息之信賴等級是否至少等於網頁之靈敏度等級。 就從這些工作中的第一項工作開始,評估程式2 0 3 6會接 收針對證書的NSID和MKID,並且使用來具有 DBCertificatesByUserGroup樓案之證書的證書匹配準則來 獲得:正在發送訊息之使用者所屬的諸多使用者群组之識 別符。 評估程式2036藉由採由:伺服器之I P位址,服務之埠 號,以及針對網頁之URL來決定資訊集;並且使用:具有 DBServerlDByIP(藉由ί P位址來識別的資料庫"伺服器I D ") -105- 本紙張尺度適用中國國家標準(CNS)A4規格(2〗0 X 297公爱) f Sr先閱ti背面之注意事項再填寫本頁) ;^
_____丁 *____ III I 十0 « i I I I 線 4483 8 7 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(1〇3 ) 案之IP位址來決定包含網頁之伺服器,具有 DBServicelDByPort(藉由埠號來識別的資料庫.,服務j D ”)檔 案心埠號來決定關於提供服務之伺服器的服務,以及具有 DBHes〇urceiDbyName(藉由IP名稱來識別的資料庫”資源 I D )榼案之URL來得到針對網頁所屬之資訊集的識別符。 隨著能掌握:針對使用者群组和資訊集,在資料庫3 〇 ^ 中的識別符··評估程式2036使用DBRes〇urceHf案來決 定:是否有一項存取決策會允許使用者所屬的任何使用者 群組存取網頁所屬的任何資訊集。這樣做,它可能只會考 慮一些其成員資格都是使用識別模式加以決定的使用者群 组,而遠識別模式的信賴等級對資源之靈敏度等級而言是 足夠的。DBResources檔案會將每個資訊集識別符映射 到,會有一些涉及菘資源集的存取決策所針對的諸多使用 者群组之一列表。對於每個使用者群組而言,DBRes〇町eu 檔案會進一步指示:決策是否容許或拒絕存取操作。評估 叙式2036使用DBResources檔案,依序地爲網頁所屬的每 個資訊集而決定:會有一些關於資訊集的存取決策所針對 的諸多.使用者群組之列表是否包括使用者所屬的諸多使用 者群組中的一個使用者群组。若有一項針對任何使用者群 组的存取決策拒絕存取操作,則評估程式對Ηττρ代埋伺 服器指示:存取操作被拒絕;若沒有釺對任何使用者群组 的存取決策拒絕存取操作且至少有—項決策容許存取^ 作,則評估程式對HTTP代理伺服器指示:存取操作被= 許;若沒有針對任何使用者群组的任何種類之存取決策, -106 - 本纸張尺度適用中國國家標準(CNS)A4規格(210x297公爱) K I-----------'k·-------訂 ---------線 (請先閱讀背面^-注意事項再填寫本頁> 4483 8 經濟部智^財崖局員工消費合作社印*'"1 A7 B7 五、發明說明(1〇4 ) 則評估程式會決定:是否至少會有—個基於證書或令牌之 使用者群組具有一項針對資源的容許決策。如果這樣,並 且請求客户機有UIC(使用者識別客户軟體)正在執行:= 聯繫UIC來對使用者要求附加身份證別資訊。若有附加身 份識別資訊回來,則重複上述處理過程。在其它情況,呷 估程式對HTTP代理伺服器指示:存取操作被拒絕。 口 當然,若存取請求並不具有一種等於網頁之靈敏度等級 的信賴等級,則評估程式2036也會拒絕存取操作。評估程 式2036從DBResourcesByResourcelD檔案中獲得網頁之靈敏 度等級’從DBTrustAuthentications(資料庫,'信賴等級鑑定,·) 檔案中獲得使用者識別方法之信賴等級,以及從 DBTmstEncryptions(資料庫"信賴等級加密";)擋案中獲得加 密方法之信賴等級。由於SKIP已經利用一種具有,,機密,, 之彳έ賴等級的方法來加密訊息’故而經由網路之路徑的信 賴等級與本實例無關。要決定··針對使用者識別和加密方 法的信賴等級是否對網頁之靈敏度等級而言是足夠的;評 估程式2036就會使用有效地建構SEND表601的DBTrustTable 檔案。若信賴等級是足夠的,則評估程式2〇36對代理伺服 器指示:存取操作被容許。 一旦代理伺服器已經確認:打算容許存取載明於訊息中 的資訊資源:代理伺服器就會發起一項新對話,針對實際 服務:關於伺服器407之HTTP服務。代理伺服器203丨會將 —項特別訊息發送到I P過濾器2019,因而告訴它:容許特 定對話通過;此乃因爲:在其它情況,此對話可能會被一 -107- 本纸張尺度過用中國Θ家標準(CNS)A4規格(210x 297公发) J I !.[ -----—0^ -----------------'绿 Γ清先閱讀背面<注音?事項再填寫本1) 4483 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(1〇5) 些規則所阻擋,或者再度被發送到代理伺服器。針對I p過 滅器20 1 9的訊息也包括關於新對話所需的加密方法之資 訊,在本實例中,該資訊是:針對最後存取過濾器4〇3 (5), 應該對該對話加以加密;並且應該使用適合於資料靈敏度 等級就是機密的加密方法。當Ip過濾器2〇19遭遇新對話 時,Έ:會發覺到:因爲該對話與代理伺服器2〇3丨所載明的 準則匹配’所以它會將該對話傳遞到SKIP模组。由於訧 此對話而言加密是必要的,故而訊息將會被重新加密。除 了下列各項之外’ SKIP模组2021會以如上所述的相同方式 來產生一種SKIP訊息2201 : •針對訊息的外IP標題2203載明:將存取過濾器403 (3)當 作訊息之來源’而將存取過濾器4〇3(5)當作訊息之目標; • 3〖115標題2205具有:針對存取過濾器4〇3(3)的5則10 2219和SMKiD 2217 ;以及針對存取過濾器403 (5)的 0則10 2215和01^1<:10 2213:並且,在標題2205中的其 它數値也都是:由訊息之來源和目標現在就是存取過 濾器403 (3)和存取過濾器403 (5)之事實所需的那些數 値; • 已加密有效負載2227與以前相同(除了使用一種不同 的密鑰而已經將它加密之外;並且必要時爲整個新訊 息2201而產生MAC 2221。 當代理何服器正在轉發(relaying)訊息時,它也正在注視 著可能包含病毒的檔案傳送類型。當它遭遇病毒時,它會 將抗病毒敕體2033應用到這些檔案。若檔案包含病毒,則 -108 - 本紙張尺度述用中國國家標準(CNS)A4規格(210 χ 297公发) ------In If -- I -- - .—J n ----〆 k^· In I - - ----- I -- 一01, » i - 1 I I--11 1 t y (請先/!3tt背面之注意事項再填駕本頁) 44838 7 經濟部智慧財產局員工消貲合作社印製 A7 B7 五、發明說明(1〇6) 代理伺服器未能遞送完整樓案,藉以使病毒不致於造成傷 害。若存取控制資料庫3 0 1這樣指示’則當抗病毒軟體 2033檢測出病毒時,代理伺服器就會發送一項警戒資訊, 當SKIP訊息2201在存取過濾器403 (5)處被接收時,就將 它傳遞到SKIP模組202 1,在該處,如前面所描述的,將它 鑑定和解密。關於存取過;慮器403 (3),藉由如上所述的相 同機制,在存取過濾器403 (5)上的I P過濾器20 1 9察覺到: 因爲訊息是指定給HTTP應用通信協定的,所以它會將訊 息指引到HTTP代理伺服器203 1。該代理伺服器會接受訊 息:然後將來自外I P標題2203和SKIP標題2205,它能夠獲 得關於訊息之發起者(存取過濾器403 (3))的資訊發送到評 估程式2036,以便決定:正在被此訊息鼓動的對話是否應 該被容許繼續進行。評估程式2036會檢視訊息之來源丨p位 址以及其它身份識別資訊;並且藉由查出在MMF擋案之 DBServerlDByIP檔案中的來源IP位址來決定:針對存取過 濾器403 (3),在資料庫30 1中的識別符;使用該識別符來 指出存取過丨慮备4 0 3 (3)之證書的位置;以及發覺到:證書 資訊與被檢索證書匹配,該被檢索證書與正在被處理的存 取過濾器4〇3 (3)之訊息有關聯。訊息之來源的存取過滤器 403 (3)因此而被認爲在VPN 201中之一存取過濾器403,所 以評估程式2036作出回應是:該對話應該被容許,理由是 它是一種已經被在相同VPN 201内之另一存取過渡器4〇3 所允許的訊息。將容許訊息的這項決策轉回給HTTP代理 伺服器203 1。評估程式2〇36會指導在存取過濾器403 (5)上 -109- 本纸張尺度適用中Θ國家標準(CNS)A4規格(2]0 >= 297公釐) (請先閲讀背面之注意事項再填寫本頁>
It衣·--- 訂---------線 44838 7 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(1〇7 ) 的HTTP代理伺服器203 1 :爲了相同的理田,容許從相同 對話傳來的任何請求。當HTTP請求被處理時,代理伺服 器就用與輸出對話被建立在存取過濾器403 (3)上相同的方 式來建立一種與在伺服器407上之HTTP服務的輸出通信連 接。 當初啓與伺服器407的通信連接時*評估程式203 6會查 出在MMF棺案之DBServerlDByIP樓案中的伺服器407之IP 位址,以便決定:針對伺服器4 〇 7,在資料庫3〇丨中的識 別符:使用該識別符來指出伺服器表的位置;進而使用來 自遠表之澄書識別和DBCertificates(資料庫"證書”)植案來 尋找針對伺服器407之證書》然後它使用針對存取過濾器 4〇3 (3)的岔鑰以及針對词服器407的公用密鑰(從坪書中獲 得)來構築一項SKIP對話,如前面所描述的。將實際訊息 加以加密和鑑定,增加SKIP標題2205,並且增加外ίρ標題 2203,因而將訊息指引到伺服器4〇7。 當訊息觸及伺服器407時,在伺服器4〇7中的SK〖p就會: 核對關於訊息的鑑定資訊,對它解密,進而將已解密訊息 轉遞到HTTP服務;該服務會執行存取:由包含於有效負 載中之訊息所請求的網頁。已經獲得網頁’ ^τρ服務會 產生一種具有載明將漫遊者503當作目標之〗ρ標題的轉回 訊息(return message)。然後,將此轉回訊息加以封裝在一 種SKIP訊息2201中,如前面所描述的。此如心息被指 引到存取過滤器4〇3(5),並且包含在外標題22〇3fpSKIp標 題2205中的資訊,該資訊對那些實體之間的訊息而言是必 -110· 本紙張尺度適用中固國家標準(CNS)A4規格(2】〇 x 297公爱) L—-----------h.--------訂---------線 (請先閱讀背面之注意事項再填寫本頁) 4 4 8 3 8 7 經濟部智慧时產局員工消費合作社印- A7 B7 五、發明說明(108) 要的。 當回答(reply)訊息觸及存取過濾器403 (5)時,在那裏的 SKIP模組2〇2 1就會對它加以鑑定和解密,並傳送到丨p過 濾器20 19。該訊息被發覺與一現存對話匹配,所以不必要 評估;因而將它直接轉遞到HTTP代理伺服器2〇3 1。在那 裏,將它當作一種HTTP通信協定回答訊息加以核對有效 性,進而將它重新傳送回到就是存取過濾器403 (3)之HTTP 對話的發起者。由於瞭解此對話的發起者可能是在VPN 201中的另一存取過濾器403 ’故而不會執行抗病毒模組 203 3的核對操作,就像瞭解必要時存取過濾器會執行核對 操作那樣。使用對存取過濾器403 (3)與存取過濾器403 (5) 之間的訊息交換而言是必要的諸多SKIP參數,經由SKIP 模組202 1,再度處理回答訊息之重新傳輸,並且對它加以 加密,如上述。
當此回答訊息來到存取過據器403 (3)時,恰好發生相同 的事情’那就是,訊息通過SKIP模組202 1和I P過濾器 20 I 9,來到HTTP代理伺服器203 1。在那裏,將它當作一種 HTTP通信協定回答訊息加以核對有效性;可能通過抗病 毒模組2033 (如果訊息内容類型對它保證的話);進而將它 重新傳送回到就是漫遊者503之HTTP對話的發起者。對於 正在將一項訊息從存取過濾器403 (3)發送到漫遊者503而 言’使用如上所宣示的SKIP參數,經由SKIP模組2021, 再度處理回答訊息之傳輸,進而如上述般對它加以加密。 然後’在漫遊者503處接收回答訊息;在該處:利用SKIP 本纸張尺度適用中舀國家標準(CNS)A4規格(210 X 297公楚) L I ----------l*k*-------訂'--------線 .1 (請先閱讀背面之注t事項再填寫本頁) 經濟部智慧財產局員工消货合作社印製 4483 b A7 _____B7 五、發明說明(1〇9) 對该戒息鑑疋和%岔’提供訊息给使用者之濁覽笑,並 爲使用者而顯示出來。 使用在存取過濾器203中的諸多技術之通則 使用在存取過濾器203中的諸多技術已經用兩種方式加 以通用化: .將決策評估和決策施行分離,它會允許與存取過濾器 不同的實體加以施行決策:以及 •決策資料庫現在不但允許定義:使用者,使用者群 组,資源,以及資源群組;而且允許定義:諸多新使 用者識別類型,可能定義決策所針對的諸多新行動類 型,以及諸多新資源類墊。 ’ 下列时淪將首先描述:可能怎樣將決策評估和決策施行 分離,然後再描述:可能怎樣擴充用來定義決策的諸多^ 型。 ’ 將決策評估和決策施行分離:圖2〇,26,及27 圖26是一種決策施行系統26〇1之—方塊圖,其中:已經 將決策評估和決策施行分離。在系統26〇丨中,決策的觀念 (notion)已經加以通用化,不但包括:存取決策,管理決 策’以及決策制定決策;而且包括:使用者可能對一資訊 資源執行的任何行動β譬如説,一項決策可能陳述:一特 定使用者群組可能印出屬於一特定資訊集的一些文件。 系統2 6 0 1具有五個主要組件: •請求實體2603,它會請求要對資訊資源執行的行動, 並且它可能是能夠屬於一使用者群組的任何實體; -112- 本纸張尺度適用中固國家標準(CNS)A4規格(210x297公楚) LI;----------· · I -------訂·--------線 (请先閱該背面之;t意事項再填寫本頁)
44S3S 經濟部智慧財產局員工消費合作社印" Α7 ΒΤ 五、發明說明(11〇) • 決策施行器2609,它能夠控制被請求行動的效能; • 諸多資源261 1 (0,...,η),它可能是:可由決策施行器 2609存取的或裝置控制的任何資訊; • 決策伺服器2617,它會決定:行動是否被允許;以及 • 決策資料庫2619,它包含諸多決策,決策伺服器2617 根據該決策來決定:行動是否被允許。 請求實體2603,決策施行器2609,以及決策伺服器26 1 7 能夠各自被定位在任何地方。唯一的要求是:在請求實體 2603與決策施行器2609之間以及在決策施行器2609與決策 伺服器26 17之間都會有訊息傳輸媒體〇>在請求實體26〇3與 決策施行器2609之間的媒體允許請求實體2603 :將一種請 求要對一資源R26 1 1⑴執行一項行動的訊息2605發送到決 策施行器2619 ;並且接收一種來自決策施行器26〇9的行動 回應訊息2607,它指示著:是否要採取行動,以及如果這 樣的結果。在決策施行器2609與決策伺服器2617之間的媒 體允許決策施行器2609 :將一項決策請求2613,發送到決 策伺服器2617,因而請求決策伺服器2617指示:在決策伺 服器資料庫2619中的諸多決策是否允許一既定請求實體採 取相對於一既定資源之-既定行動:並且請求決策词服器 26丨7用一種決策回應2615來對決策請求26门作回應,該回 應指示:諸多決策是否會允許載明於決策請求中的行動。 應孩進-步注意的是:受決策施行器26〇9控制的行動甚至 不需要被電腦系統之-組件所執行。例如,在決策資料庫 中的諸多決策可能被圖書館主顧們加以控制存取書本,而 -113 參纸張尺度財關家標準(CNS)A4 (210 X 29Γ^ϊ" _ n J I I - - —J I I * . - 1 I n - - οι I l— - - - _I n ---t , (請先閉讀背面之江意事項再填寫本!) 4 4838 7 A7 B7 五、發明說明(111) 載明於決策中的行動則可能是具有一種從書架中提取一本 書的圖書館網頁。 決策請求訊息26 1 3以及決策回應訊息26 15的格式都是藉 由一種決策通信協定加以定義的。目前正在被研發的一些 標準決策通信協定之實例是:公用開放決策系統(C〇mm〇n Open Po丨icy System ’簡稱COPS),該系統可上網獲知:就 像1999年6月2 1日所描述的,網址爲:http://wwv/.jf;tf ηΓσ/ internet-drafts/draft-ietf-rap-cops-06.txt ;以及在使用者服 務中的遠程鑑定撥號(Remote Authentication Dial In User Service,簡稱RADIUS ;參考:網際網路標準第RFC:2 138 號)。 決策伺服器26 1 7獲得產生決策回應26 15所需的資訊,然 後提供回應給決策施行器2609。決策伺服器26丨7包括一種 包含諸多決策的決策伺服器資料庫2619,該決策包括:針 對請求貫體2603已經請求決策施行器2609要對一項資源 R26 1 1⑴執行行動的一項或更多決策。決策伺服器26} 7會 查詢決策伺服器資料庫2 61 9,以便指出一些有關決策的位 置’然後再將它們應用到決策請求2613。做這件事情可能 會要求決策伺服器26 1 7要從可由決策伺服器26 17存取的任 何位置中獲得其它與決策有關的資訊2623。這種處理過程 之一實例是:在存取過濾器203之討論中所描述的技術; 藉由該技術’存取過濾器203獲得關於使用者的附加識別 資訊。若決策伺服器2617從決策伺服器資料庫2619以及其 它資源中獲得的資訊指示著行動被允許,則決策词服器 -114- 本紙張尺度適用中固國家標準(CNS)A4規格(210 X 297公釐) (請先閱請背面之注意事項再填寫本頁) --------訂----- 線 經濟部智慧財產局員工消費合作社印*'衣 448387 經濟部智慧財產局員工消費合作社印製
AT B7 五、發明說明(112) 2617會發送一種這樣指示的決策回應2615,而決策施行器 2609會執行如2㈣處所指示的行動4且經由行動回應 2607 ’將結果轉回給請求實體26〇3 ;若決策回應2615指 示:行動未被允許,則決策施行器26〇9會發送一種指示著 行動未被允許的行動回應2607。 將決策施行器2609和決策伺服器261 7分離之—重要優點 是:可能在系統内的很多不同層級處建構決策施行器 2609,其中瞭解到該系統包括一些由網路所連接的諸多裝 I组成的系統《決策伺服器26 17可能包含針對任何決策施 行器的決策;因此,可能受該決策支配的行動不再受限於 在系統之一個或更多層級處所採取的行動。 圖2 7顯示:一種具有諸多组件的系統27〇1,該組件都是 藉由包括一公用網路2702及一内部網路! 03的網路加以連 接的。在最高層級處,系統2701具有:一個或更多決策決 策點(policy decision p〇ints)2723,它會決定決策是否允許 一項行動;以及一個或更多決策施行點2721,其中諸多決 策決策點的決策都會被施行。決策決策點將會包括決策词 服器2617 ;而決策施行點則會包括決策致能裝置,那就 是:一種能夠執行如決策施行器2609般之功能的裝置。在 決策決策點與決策施行點之間的通信是藉由決策訊息 2725 ’該訊息則包括:決策請求26 1 3以及決策回應2615。 ® 只體2 6 0 3清求要使用_資源R 2 6 1 1來執行一喝行動時, 將會由一種受決策施行點2721所控制的裝置來執行該行 動,決策施行點2721將會和決策決策點2723交換決策訊息 -115- 本紙張尺度適用中國國家標準(CNS)A4規格(210x 297公发) 1.ki-------訂---------線 {靖先閱讀背面之注意事項再填寫本頁) 44838 經濟部智慧財產局員工消費合作社印*''机 A7 B7 五、發明說明(113) 2725,以便決定:該行動是否被允許:如果是的話,決策 施行點272 1就會使該行動被執行。 包括在系統2701内的諸多決策致能裝置中有: .決策致能路由器2713,它會施行在實體網路中的路由 指引通信量之層級處的決策; •決策致能附屬裝置2719,它會執行在一裝置之層級處 的決策,該裝置附屬於系統27〇1的網路。—個實例就 是印表機,ΈΓ能夠查閲決策伺服器26丨7,以便決定: 是否要接受一項來自某一實體26〇3的印出請求。 •決策致能應用私式27 Π,它會執行在應用程式之層級 處的決策。 每個決策致能裝置都會用像針對決策.施行器26〇9所描述 那樣的相同方式來處理決策:當決策致能裝置收到它必須 決定菘行動請求是否遵從建立在決策伺服器資料庫26丨9中 的諸多存取決策所針對的—項行動請求27〇3時,它就會將 一種決策訊息2725發送到決策伺服器2617 ;並且當它收到 決策訊息時就會作出回應,允許或拒絕如決策訊息所指示 的行動。 繼續更加詳細地討論關於圖27之諸決策致能裝置運作所 處的層級’決策致能路由器2713可能保持針對它所路由指 引的諸多分包資訊之被允許來源和目標的—此表;當路由 器2713被初始化時,這些表都是根據由決“服㈣_ 提供的資訊加以建立的:從當時起,當路由器2713^__ 種具有來源或目標不在其表中的分包資訊時,它就會將— ____ -116- 本紙張尺度_中_家辟(CNS)A4 11.k--------訂.------—線 {琦先閱讀背面之注意事項再填寫本頁) 44838 7 A7 B7 五、發明說明(114) 種決朿汛息2 72 5發送到指示著來源或目標的決策伺服器 261 7,而決策伺服器2617則會藉由指示著是否打算將來源 或目標包括在一些表中來對該訊息作回應。當然,當決策 伺服器資料庫2 6 1 9改變時,路由器2 71 3的一些表可能也會 由決策词服器26 17發送到路由器2"7 1 3的訊息來保持更新。 就像從前述中能夠看出的那樣,路由器2713會在存取過濾 器203之建構例2001中的IP過濾器2019之層級處執行決策 核對。 決策致能附屬裝置27 19是一種諸如附屬於網路之—印表 機的裝置。該裝置能夠對一項由一實體提出的請求作回 應’以便隨著決策伺服器26 1 7所發送之一決策訊息而使用 它,並且能夠根據它從決策伺服器2617中收到的資訊而繼 續進行。這種決策致能附屬裝置2*719會允許管轄這些裝置 的管轄詳細程度(granularity of control)比在存取過淚器203 之層級處的存取核對可能允許的還更加精細。 最後,決策致能應用程式2717會允許:在一種比存取過 ;慮器2 0 3可能允許的還要高之層級處的決策施行。只要決 策祠服器資料庫2 619包含與正在被應用程式存取的諸多資 源有關的決策資訊,決策致能應用程式2 7 17就能夠和決策 伺服器2617交換決策訊息2725,因而能夠藉以決定·•是否 要允許或拒絕決策致能應用程式27 17之使用者正在請求的 行動。決策致能應用程式27 17之一實例是:一種建構諸如 FTP,HTTP,或SMTP之一網際網路服務的應用程式。這是 由圖2 0中的諸多代理伺服器203 1所處理的層級。因爲服 本紙張&度適用中舀國家標準(CNS)A4規格(210 X 297公釐) (請先閱tf背面之注意事項再填寫本頁)
· -- J- 1 - I : I— 一 pi I n u m - u I 經濟部智慧財產局員工消費合作社印製 44838 7 A7 B7 五、發明說明(M5) 務現在可能都是決策致能的,所以代理词服器不再是必要 的;換成是,只能夠將網際網通信協定傳遞到服務存在的 系統上,該服務將會提供由通信協定所請求的存取操作。 如圖2 7中所示,該服務隨後能夠親自和決策词服=2617 叉換決策訊息2725 ’以便決定:被請求存取操作是否應該 被允許。 一 決策致能應用程式2717之另一實例是:一種文件處理程 式。在這種情形下,決策伺服器資料庫26丨9可能包含一些 決策,該決策載明:有權修改諸多文件之集合的諸多使用 者之集合。當使用者使用程式來選擇一份文件以供編輯之 用時,文件處理程式就能夠和決策伺服器2617交換決策訊 息2725 ;且若來自決策伺服器26 1 7的決策回應指示:使用 者可能不會修改文件;則文件處理程式可能對使用者這樣 指示,並且拒絕允許使用者修改文件。 就像從前述中能夠看出的那樣,將決策評估和決策施行 分離以及決策定義的可擴充性質實際上共同允許:程式能 夠對一項資源執行的任何操作成爲決策之主體;於是,使 得存取控制系統就像圖2 7中所顯示的那些系統:不但規 模可伸縮性又容易管理,而且很容易地適應任何現在或未 來的裝置或程式〇 此處應該要指出的是:在存取過濾器203中,將決策評 估和決策施行加以合乎邏輯地分離,縱使兩者都被包含在 相同的裝置中。當依據圖26來審視圖20時,顯而易見的 是:GUI 1915 :啓動,登綠,警戒以及報表模组2027 :資 -118- 本纸張尺度適用中國國家標準(CNS)A4規格(210 =< 297公发) (請先閱讀背面之注意事項再填寫本頁) ---------訂--------〔線 經濟部智慧財產局員工消費合作社印製 經濟部智慧財產局員工消費合作社印^ 44S387 A7 ______ B7 五、發明說明(116) 料庫共于目錄2028 ; ISDB管理程式2027 ; PCS 2025 ;以及 MMF 2301會建構決策例服器2617 ;而其餘的組件則會建 構在IP_II及網際網路通信協定層級處操作的決策施行 器 2609。 決策之通則:圖2 8 在存取過遽器203中,適當存取資訊的管理員;能夠定 義新U W使用者_ ’能夠定義新資源和資訊集,並 且能夠增加服務和伺服器。管理貝並不能夠定義與存取資 訊不同的行動。並I,任何人能夠用來定義新使用者群组 的方法都是固定的’而資源則皆受限於資訊之來源。在較 佳實施例的通用化決策伺服器中,這些限制都已經被解 除。現在’管理員要定義:新行動’用來定義使用者群組 的新方法’以及不是資訊集的資源是有可能的。當然,制 定這些定義的權利本身就是由決策伺服器資料庫2 6丨9中的 決策加以決定的,就像關於存取過濾器2〇3中的管理決策 及決策制定者決策所説明的那樣。在大多數的系統中,定 義’省多貫體類型’資源類型’以及行動類型應該只限於 屬於”安全官員”使用者群组的那些人。 將這些新的可能性圖解説明於針對顯示於圖28中之決策 陳述的通用化決策語法2801中。通用化決策語法28〇1描 述:在可能操縱決策所針對的视窗中,怎樣將決策呈現給 官理員。在圖2 8中,用斜體字表示的項目部是可能被決 策伺服器26 17之官理員所定義的諸多決策陳述的組成部 份,该管理員有權必需存取決策伺服器資料庫2 6丨9。在方 -119- 本纸張尺度適用中國囿家標準(CNS)A4規格(210 * 297公发> -J· ! ^--------- ^--------訂---------線 (請先閱讀背面之注t事項再填寫本頁) 44838 7
經 濟 部 智 慧 財 產 局 員 工 消 費 合 社 印 U A7 Β7 五、發明說明(117) 括弧·中的項目都是使以斜體字表示的項目與定義一項決策 有關係的字紐。譬如説,,
Employees are allowed to Access the HR Web Site (雇員們都被容許存取H R網站資訊) 其中.Emp丨oyees(雇員們)是一使用者群組,Access(存取) 是一項彳亍動,而HR Web Site(HR網站)則是一資訊集;該 決策陳述允許:屬於|,雇員們"使用者群組的任何使用者存 取屬於” H R網站11資訊集的任何資源。 繼續更加詳細地討論關於通用化決策語法28〇〖,£ntity (實體)表示一使用者群组,其成員都是:由使用在存取過 濾器203中的諸多技術中的一種技術;或者由決策伺服器 2617之官理員所定義的一種技術加以定義的。針對實體的 唯一要求是:它必須是可由決策施行器26〇9辨識的。 Action(行動)表示:可能只是像存取過濾器2〇3中之存取操 作那樣的一項仃動而已,或者是由決策词服器%门之1$ 員所定義的-項行動。針對行動的唯—要求是:使決策 器2609能夠對-項資源執行行動。細⑽叫資源)表示— 資訊集。然而’在通用化決策词服器中,一資訊集可能H 如:印表機或樓案伺服器的諸多裝置之—集合。針= 的唯-要求是:使決策施行器26〇9能夠對資源執行:’ Timelntervals (時間問隔)28〇9允許管理 — 使用通用化決策語法2801而正在被載明之= (temP〇ral restriction) β當決策正在被評估用 —艮制 使用者是否有權存取-既定資源時 =一既定 隹右干估時間在時間 -120- 本紙張尺度剌巾_家辟(心⑷ i I ,1 Κ 广衣--------訂---------線 ί請先閱讀背面之it事項再填寫本頁) 7 蛵濟部知 3慧財產局員工消費合作社印製 A7 B7 五、發明說明(118) 間隔内’才會考慮一項具有時問間隔的決策。譬如說: Employees are allowed to Access the HR Web Site from 9:00 am-5:00 pm weekdays (雇員們都被容許存取H R網站資訊 平曰:從上午9時到下午5時) 它會將由雇員們存取H R網站的時間限制為正常營業時 間》在一較佳實施例中,可能將時間間隔定義如下: 每天工作時間之始末的範圍; 工作曰期之始末的範圍; 對於每周之工作曰及休假日的限制:可選擇將每周的 特Λ工作曰’及/或被列示為休假日的日期包括在内 或排除在外; 對於母月之工作周的限制:容許將每周,從參考曰期 起的每隔X周(其中X是從2到1 2的一個數字),或者 在每一適用月份内的周數表加以規範; 每年之適用月份表。 ACti〇nAttribute(S)(行動屬性)2S 11都是可能實行被決策陳 述允許之行動所用方法的一些由管理員定義的定義。再 者’唯一的要求是:決策施行器2609能夠實行如行動屬性 所載明的行動。譬如說:
Marketing is allowed to print to the Marketing Printer with type=color (行销員被容許使用具有列印類型為彩色的行銷員之印 表機來列印) -121 - 本紙張足度適用令國國家標準(CNS)A4規格(210^ 297公釐) t J - -I H - I - —-II - . i—. — I ―I- I I I . I - I - - I I_ I (請先聞讀背面之注意事項再填寫本頁) 44838 7 A7 B7 經濟部智慧財產局員工消費合作社印製 五、發明說明(m) 這員夫策包含行動屬性type = color(列印類刑_ ~ 、 東九許屬於,|行銷員·_( Marketing)使用者群知, 4-r 4ii Et · r.之使用者# 仃Μ員疋印表機的資源來執行彩色列印。 行動屬性的諸多附加實例有: *針對網路通信連接所需的服務類別; •打算使用的路由或媒體類型; *打算適用的結帳費率; *這項交易的最大數量: •完成交易所容許的最大時間。 就像由語法[with I whenK具有丨每逢)所指示的那樣,『 夠將時間間隔和行動屬性,以及和整個決策陳述二起= 用。例如,對服務類別設下時間限制的—項決策看起來像 這樣: (Everyone is allowed to access the World Wide Web with bandwidth=90% when weekends (每個人都被容許每逢周末就存取具有頻寬=90%的全球 資訊網資訊) 這項決策允冷在每個人”之使用者群組中的實體每逢周末 就存取具有頻寬=90%的全球資訊網資訊。當已經將時間 間隔應用到行動屬性時,雖若在應用到行動屬性之時間間 隔内提出執行行動之請求,才會像載明於行動屬性中那樣 地執行載明於決策中的行動。 通用化決策的建構例:圖2 9和3 0 圖2 9顯示決策資料庫290 1。決策資料庫290 1是決策資料 該決 (請先閱讀背面之注意事項再填窵本頁) Η 訂---------線 -122 私紙張尺度適用中國國家標準(CNS)A4規格(2〗〇 x 297公餐) 44838 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(120) 庫3〇1的—種修改;以便適應用語法28〇1所定義的通用化 決策,並且在一種已經將決策評估和決策施行分離的環境 T運作。於是,在圖29中,決策查詢2939是來自決策伺服 器地17而不是存取過濾器2〇3,因而包括:一種打算執行 疋仃動的說明符(specifier),以及一種資訊來源或打算執 行行動所針對的其它資源的規範(specif丨cati〇n)。將決策杳 詢的結果294丨轉回給決策伺服器2617。除了決策是否允許 該行動的一種指示外,該結果現在還包括與行動有關的屬 性數值。在圖2 9中而其功能維持不變的諸多圖3中的單元 都具有Έ:們在圖3中所具備的參考數字。就從存取決策 開始,資訊之第一附加項目是存取類型定義2929,它會定 義··諸多附加行動類別,可能針對它而將決策定義在存取 決策307中。其次,會有屬性資訊2927,它會定義:可能 附屬於涉及實行一項決策的諸多實體之屬性。包括在屬性 資訊2937内的則有下列各種資訊: 屬性指定2S>37,它會載明打算和屬性一起使用的是何 種,使用者群组,資訊集,網站,或服務; 屬性標記294 1,它會定義;在使用者界面中,為人所 熟知的諸多屬性名稱;以及 屬性特點2939,它實際上會定義.:屬性怎樣影響被它 才曰足的諸多使用者群組等等。 時程安排(schedules)資訊2925會定義:可能附屬於決策 或屬性的時間間隔。在時程安排資訊2925内,時程安排規 則293 1貫際上會定義時間間隔;而体假日表2们3則是—種 123 本紙張尺度_中關家標準X 297公g ) t IL .— I—-------- I^-灰.I I ------*151·____I I Ϊ I (請先閱讀背面之冱旮?事項再填寫本頁) 448387 Λ7 ------—--- Β7 五、發明說明(121) 使用在時程安排規則中的休假日表。資源類型5會定 義:可能定義決策所釺對的資源之類型’而使用者㈣ 土 2937貝| s定代.針對可能定義決策所針對的實體所需的 識別方法之類型。 在—較佳實施例中,使用公司之爲人熟知的: Microsoft®存取資料庫軟體來建構資料庫29〇1。存取軟體 是一種關係資料庫(relati〇nal database),那就是:將資料 庫中的資訊儲存在-些表中。在存取軟體中的—種公用程 式(utUity)會提供:一些表的圖像以及它們彼此的關係。 本申π案的圖1 3到1 7以及圖3 〇都是源自那些圖像。在圖 3 0中,出現在圖1 3到1 7中的一些表都具有它們在那些圖 中所具備的參考數字;而一些新的表則具有開頭是"3〇||的 參考數字。在圖3 0中的一些表3〇〇丨顯示:怎樣將用來定 義時間間隔和屬性的一些表加以整合進入決策資料庫29〇1 中。更籠統地説,它們顯示:怎樣藉由增加另外—些單元 而可能修改一項決策,以及怎樣針對決策而可能定義諸多 新單元類型。 時間間隔的詳細建構例 就k時間間隔開始,將這些時間間隔加以定義在時間間 隔表3025中。該表包括:一時程安排定義表3〇23,它會定 我可flti出現在通用化決策語法2801内的Timelnterval⑷ 2809中的名稱;以及一時程安排規則表3〇25,它會定義可 能與定義在”時程安排定義•,表3023中的名稱有關聯的時程 安排規則。一個以上的時程安排規則可能與一既定名稱有 -124- 本纸張尺度適用中國囡家標準(CNS)A4規格(2】〇χ 297公釐) (请先閱讀背面之注意事項再填寫本頁) ^--------訂---------線 .經濟部智慧財產局員工消費合作社印製 4483 8 7
AT B7 經濟部智慧財產局員工消貲合作社印製 五、發明說明(122 關聨。ScheduleDefm(時間安排定義〗D )使定義在表3〇25中 的每g時程安排規則都與使用表3〇23中之規則的時間排程 有關係,k Day Mask(工作日掩蔽)到Encj 〇ate(結束日期) 勺諸夕棚會足義時間安排規則。,,Descript丨⑽”(描述)糊 位則載示規則及其目的之描述。 如以下所提及的,可能針對整個決策以及針對決策中的 屬性而定義時間間隔。於是,定義在"存取決策"表Μ Η中 的每项決策現在都包括一個Schedu丨eDefID襴位。每個這樣 的欄位、都會包含:針對打算應用到決策之一時間間隔而在 表3〇23中之一定義的—個Schedu〖eDefiD識別符。於是’當 決策词服器2617正在決定一項決策是否可適用於一項行動 请求時,經由:在針對決策之表丨6 n内的登載項中,針對 時間間隔的ScheduleDefID欄位;它就能夠指出應用到—项 決策之時間間隔的位置。同樣地,"屬性指定"表3〇〇7,它 會使屬性與:使用者群組,資源集,網站,或服務有關 係,遠表包括:針對可適用於該特定屬性指定的任何時間 間隔的一個ScheduleDefID欄位。最後,用來定義時間間隔 的機制也被使用在用來時程安排警戒資訊之—較佳實袍例 中:於是,在表3023中的諸多登載項也都可以從 ,AlertSchedules"(警戒資訊時程安排)表3〇2 1中指出位置。 .屬性的詳細建構例 將用來定義諸多屬性並使它們與可能被應用的:使用者 群组,資源群组,網站,以及服務有關係的一些表顯示; 圖3 0中的屬性表3003中。一既定屬性是由三種表:”屬性 -125- 本纸張尺度適用中國國家標準(CNS)A4規格(210 X 297公髮 1--' I.---------裝.-------訂---------结 (請先閱讀背面之;i意事項再填寫本頁} 44838 經濟部智慧財產局員工消費合作社印*'^ A7 B7 -----^ 五、發明說明(123) 標記”表3005 屬性"表3011,以及11屬性特定,,表3009中的 登載項所定義的。"屬性標記"表3005會定義:用於針對在 決策定義語法2801内的ActionAttribute(s)中之諸屬性的標 1己。每個這樣的標1己都會有一個登載項,該登載項包括: 才尹6己本身’屬性之托;述’標§己之優先次序(precedence),以 及屬性之類型。標記之優先次序會定義:當一個以上的屬 性與決策評估連接時,將會應用哪些屬性。當一項指定具 有一種比另一項指定還高的優先次序時,就會將具有較低 優先次序的那一項指定不予理會。每個屬性標記登載項都 是由一個"AttributeLabellD"(屬性標記ID)加以識別的。 在"屬性"表3 0 11中的每個登載都會載示屬性之目前定 義。該定義可能具有用來識別”屬性標記,,表3〇〇5中之諸登 載項的一個或更多•'屬性標記ID "攔位。由屬性標記”表 3 0〇5中的那個登載項所定義的標記表示由,,屬性,,表3〇丨〖中 的登載項所定義的屬性。屬性的目前意義是由表3〇π中的 一些攔位加以定義的。包括有:屬性之描述,其類型,它 應用到的伺服器之I D ’以及關於伺服器的裝置類型。三 個欄位:"AttributeFeaturelD"(屬性特點 ID) , "valuel"(數 値1 ) ’以及’’Value2”(數値2 )都是特別感興趣的攔位。在那 裏,必須至少有一個"AttributeFeaturelD"欄位。該攔位會 識別"屬性特點"表3009中之一登載項,該表則會定義使; 在屬性中的諸多數値之種類和範圍。,,Vaiue^o,, VaIue2” 會定義:單一數値(Valuel)之目前範圍,或者兩種數値 (Valuel和Value2兩者)之目前範圍;該數値係選擇自針對"屬 -126- 本紙張尺度適用中國國家標準(CNS>A4規格(210 * 297公爱) 1 Ί I.---------'裝--------訂---------姨 (請先閲讀背面之;1帝?事項再填寫本頁) 4838 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(124) 性特點"表3009中之屬性而定義的諸多數値之種類和範 圍。 就像從前述中將會顯而易見的那樣,"屬性特點"表300ί 能夠被用來定義諸多新屬性種類。在表3〇〇9中的每個登載 項都會包括用來指出登載項之位置的,,屬性特點丨d ,,識別 付及一些搁位如下: •類別7屬性所屬的類.別之名稱(譬如說:服務品質, 結帳費率,或交易之最大數量): •特點I D :唯一定義在其類別内之特點的數字; .名稱:使用者藉由它來瞭解特點的名稱: • 描述:特點的一種描述; .數値類型:定義屬性的諸多數値之類型的—種定義 (譬如説:需要單一數値還是一對數値,以及資料類 型資訊); .特點優先次序:次序的一種指示,依照該次序將諸多 特點應用在評估屬性中; •數値優先次序:打算選擇範圍中的最高數 數値的一種指示;以及 .限制··對於數値之限制的—種指示。 要定義新屬性類別,被決策伺服器2617之決策 :的管理員只是定義針對”屬性特點"表3_中之二二 特4,然後再開始定義使用那些特點的屬#。 能是:對將要施行決策的決策施行器26〇9而言是很:’音: 的任何事物。此處應該要注意的是:可能將用來定= 127- 本紙張尺度Ϊ用中國國家標準(CNS)A4規公f f- -----------Μ--------IT---------線 (請先閲讀背面之法意事項再填寫本頁) 4 483Γ A7 B7 經 濟 部 智 .¾ 財 產 局 Μ 工 消 費 合 ii 社 印 製 五、發明說明(125) 新屬丨生&類的—些上述通用技術使用在決策資料庫2901中 的Λ·!處α便足義諸多:新行動,用來識別使用者的新方 法,以及新資源類型。 了屬性已經藉由三種表:3〇〇5,301 1及3009中的資訊 加=疋義’它就會與一個屬性可能應用到的實體有關係。將 此實體稱為:屬性之主體。·,屬性指定"(At—ment) 表j〇〇7會載明這些關係。在表“ο?中的每個登載項都會使 載月在ί:的AttributeLabellD”(屬性標記I d )中的屬性與單 :王體有關係;料,它可能使屬性與—使用者群组有關 係,而該使用者群組的成員則可能執行—項涉及主體的行 動。右登載項未載明一使用者群組,則屬性應用到主體之 任何用途,在其它情況,只有當被載明使用者群组使用主 禮時屬〖生才會應用,主體可能是:使用者群組,資源集, 網站,或服務;就像藉由諸多欄位B "使用者群组1D",,,資 源群组I D ”網站丨D .,,以及"伺服器丨D "的數值加以載 明的那樣。在表3〇07中的另外一些欄位會指示:屬性是否 為現用的(即:打算目前應用的),應用程式應該何時開 始,它何時滿期’以及屬性是否涉及時間間隔,針對時間 間隔的ScheduleDefID”數值。"優先次序”欄位則指示:在 指定給一既定實體的諸多屬性中,屬性將會具有的優先次 序。 在決定將哪些屬性應用在制定一項決策方面中,失策飼 服器26Π繼續進行如下:當完成決策評估時,針對指向與 決東汗估有關的使用者群组,資源群組,網站,或服 -128 本紙張尺度翻中國國家標準(CNS)A4規格(210x 297公爱 _ ^-------------------媒 (請先閲讀背面之注意事項再填寫本頁) 44838 7 ΑΓ B7 經濟部智竑財產局員工消費合作社印製 五、發明說明(126 ) 務"中任何—個的諸多通信鏈路,加以搜尋在 屬性W資m。若執行行動之實體屬於屬性應用所針對的 」吏用者群組,則順著來自表3007中之屬性指定的諸々: h鏈路走,就會來到表则5中的屬性標記,依序 : 3011中的屬性’最後來到表则9t的屬性特點。這 接表中的每一種轰1 ~匕4 徑衣(除了表3011外)都會包含優先次序^ 訊’使用琢資訊來決定:針對那些順著所有通信鍵路而 發現的屬性,在表3011中有哪些屬性實際上將會庳 策評估。 j决 一針對每個類別的屬性而各別地考慮這些優先次序,就像 藉由表3〇09中的屬性特點加以定義的那樣。在每個類別 内,首先考慮:在表3007中的屬性指定中的優先次序。雖 然共享相同優先次序的所有指定都會被考慮,但是只有那 些具有最咼優先次序數値的指定才會進一步被考慮。其 次,考慮:針對其餘的已鏈接屬性,在表3 〇〇5中的屬性標 記中的標記優先次序。雖然共享相同標記優先次序的所有 標記都會被考慮,但是只有那些具有最高優先次序數値的 標記才會進一步被考慮D其次,考慮:針對其餘的已鏈接 屬性,在•,屬性特點”表3009中的登載項中的特點優先次 序。只有那些共享最高特點優先次序的屬性才會被保留。 最後,對於在表301 1中的每個屬性而言,該屬性被鏈接到 "屬性特點”表3009中的相同登載項:在,,屬性特點”表3009 中的數値優先次序,藉著指示打算選擇的是最高數値還是 最低數値而被用來決定:要使用來自表3011中的哪個屬 129- 本紙張尺度適用中0國家標準(CNS)A4規格(210 x 297公发) ^訂---------線 ί請先閱磧背面之注音?事項再壤寫本頁} 448387 A7 B7 五、發明說明(127 這時候’對於在表30λ 言,定義在表30U中最?中的諸多有關屬性特點登栽,而 登載項中的㈣和會保持原狀,而在這些 ...^ ^都和會被轉回,以便用於評估決 朿。在某些情形下,社本 τ 1石决 叫木可旎指示需要何種屬性數値. 且,若Έ:們與載明在唼笛 豆,並 可能被拒絕:在其它掊形丁 々 則“求 开/下,將諸多屬性數値提供給決g 施行2609,以便用於執行行動。 。决朿 使屬性表3003和時間間隔表3025最佳化 就像在上述存取過遽器2Q3的討論中所描逑的以及在圖 21 中所圖解說明的那樣,在-較佳實施例中的決策 词服器2617,藉菩你甘士* …孝仗其中產生諸多MMF檔案2303而使決策 貧料庫2901最佳化。在較佳實施例中,已經增加兩個新 麵檔案,以使表扇3和3()25中的資訊最佳化。兩 MMF檔案如下: • DBPn>perties(資料庫”特性")擋案:包含能夠應用到其 ^件的所有,,特性、屬性及時程安排。此索引(index) 疋藉由在那些其它物件中的”特性I D ”加以编製索引 的。 • DBPropertiesMetaData(資料庫,,特性元資料“)檔案所 有特性都有一個名稱。此檔案是藉由特性類型名稱加 以编製索引的(對於包含在DBpr〇perties檔案中的每個 1争性名稱而言,在索引中具有一個登載項);並且將 一些名稱映射到諸多特性I D之一列表,以使它們在 -130- 本纸張尺度適用t國0家標準(CNS)A4規格(210 X 297公发) (請先閱續背面之注意事項再填寫本頁) ^---------訂---------線 經濟部智慧財產局員工消費合作社印製 448387 經濟部智慧財產局員工消費合作社印*·1^ A7 B7 五、發明說明(128) DBProperties樓案中很快地被查出2 針對時間間隔的使用者界面:圖3 1到3 3
圖3 1到3 3顯示:使用在一較佳實施例中,A T在圖形使用 者界面中所使用的視窗;用來:察看何,時間間隔(气時 程安排)已經被定義,定義針對一時間間隔的—項切—_ 只現則, 以及使用一時間間隔與一項決策有關聯。就闽 ' 坑坆圖3 1開 始,該圖顯示:一種用來顯示已定義時程安排的見^ 3 102。子視窗(subwindow)3 103會依照名稱列示阱古 "丨匁的已定 義時程安排;而子視窗3 106則會依照名稱列示所有的已定 義规則。被顯示資訊是來自·· ”時程安排定義"表3〇?3和” 時程安排規則”表3025。 要察看一時程安排名稱表示何種規則,使用者會選擇在 子視窗3 1 03中的名稱,如3 1 05處所顯示的,在該處,已 選擇"非工作時間"。此時程安排具有兩個组成規則:_個 表示每周之工作曰,顯示在3107處:一個表示周六,周 曰’及休假曰’顯示在3 109處。當選擇時程安排名稱時, 屬於它的(諸多)規則都會被凸顯在視窗3 1 06中。相反地, 當選擇規則時,針對使用該規則的諸多時程安排的時程安 排名稱都會被凸顯出來。在子視窗3 1 06中的3 1 1 1處顯示: 針對營業時間的規則:而在子視窗3 103中則顯示:另外一 些時程安排名稱。 要產生一項新時程安排,當子視窗3 1 03處在現用狀態時 就點按"新增"桉鈕,並輸入新時程安排名稱:然後再選擇 新時程安排,並將屬於它的一些规則凸顯在子視窗3 102 -131 - 本紙張尺度適用中固國家標準(CNS)A4規格(210 X 297公釐) ------------^*-------訂-----------線 (請先閱讀背面之注意事項再填寫本頁) 448387 A7 五、發明說明(129 ) 中。要改變指定給一時程安排的一些規則,先選擇時程安 排名稱,然後在子視窗3丨〇6中選擇針對該名稱的不同規 則。要產生針對一現存時程安排的一項新規則,先選擇時 程安排之名稱並點按,’新增”按鈕,在當時就可能產生新規 則,如以下描述的。當處於子視窗3 1〇6中時,也能夠點按 "新增’’按鈕,產生新規則,然後再使新規則與一時程安排 名%有關係,如以上描述的。藉著將規則拖曳(draggiM) 到時程安排名稱,並且將它棄置在時程安排名稱上,也^ 夠使一項規則與一時程安排名稱有關係^ 知用來產生一項新規則的視窗顯示在圖3 2中的32〇 1處。 化疋用來修改一現存規則或產生一項新規則的視窗。要修 改現存規則,就對它點按二次。在视窗中的輸入資訊會 允許使用者:依據時程安排之時間的有效性來定義正在被 應用到決策或屬性的時間間隔(32〇3),定義被選擇時間都 有效的每周之工作曰(32〇5),定義時程安排有效的工作周 (3207),以及定義時程安排有效的每年的一部份(32〇9)。 如圖示,視窗3 2 0丨將顯示於圖3 1中的時程安排定義在3 π 1 處。該時程安排是由"營業時間"所表示。顯示於視窗32〇 i 中的資訊是來自"時程安排規則,,表3〇25,而使用視窗32〇1 所做出的諸多修改則被應用到該表β 圖3 3顯示:用來將時間間隔增加到一項決策之定義的視 a »視窗3301將由屬於_,社囷”(c〇rp〇rate)使用者群组諸多 使用者存取”社團"資訊集限定爲:在33〇3處所指示的,,營 業時間”之時程安排。當使用者點按方框33〇3時,就會顯 132 •紙張尺度適用中固因家標準(CNS)A4規格(21〇χ297公爱〉 f锖先閱1#背面之注意事項再填窵本頁) X- --------線 經濟部智¾財產局員工消費合作社印製 4483 8 經濟部智慧財產局員工消費合作社印製 A7 B7 五 '發明說明(13〇) 示諸多已定義時程安排的整個列表’因而使用者可能選擇 其中一個或增加一項新名稱。當使用者點按,,定義"按紐 3305時,就會顯示針對被選擇決策的視窗32〇丨。若~正在增 加-項新名肖,則必要時使用者會針對新時程安排而填^ 視窗3 2 01 ^依據圖3 〇 ,選擇在圖3 3中之—時程安排會使,、存 取決策表161 1中之一"ScheduleDefID"欄位被填寫:針對,,時 程安排定義表3023中之登載項的識別符;而表3〇23則將 時程安排名稱包含在它的"名稱"攔位中。若時程安排名稱 是新的,則針對新名稱而將一新登載項增加到表3〇23。若 增加或修改一項規則,則”時程安排規則,,表3〇25也會被修 改。 針對屬性的使用者界面:圖3 4到3 7 針對屬性定義和指定的使用者界面是相似的。圖34顯示: —種列示服務品質(quality of service,簡稱Q〇s)類型的諸 多目别已定義屬性的視窗3 4 01。這些屬性決定:有多少頻 寬(bandwidth)可供一種根據既定決策而正在執行的存取操 作利用°在3401處’列示有一些屬性標記或名稱。此處,定 義四種QoS屬性:三種表示頻寬數量("高”,"中",,,低"),一 種(”最高優先級")表示若有衝突時的優先級(Priority)。所 有的這些屬性都有一種。的優先次序,如在3405處所顯示 的。諸多頻寬屬性全部都由”頻寬"特點加以定義,如在 3407處所顯示的。針對每個屬性的"數値"則被定義在3409 處。只有"最高優先級”才會有"數値2 ”。就像載明於視窗 3401中的那樣,QoS頻寬屬性中的:11高"會接收512000的 -133- 本紙張尺度適用中國國家標準(CNS)A4規格(210 « 297公釐) i— J I.----— — 111 ---I----訂 * ---11*'^ (請先Μ讀背面之d意事項再填寫本頁) 448387 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(131) 最大頻寬’"中·'會接收64000的最大頻寬,而"低”則合接 收3 2000的最大頻寬。關於”最高優先級",針對屬性所載 明的優先級必須位在針對"數値1 "和”數値2,,所栽明的兩 個數値之間。在視窗3401中的資訊當然是來自三種表: 3005,3011,以及 3009。 圖3 5顯示:用來將一種Q〇S屬性指定給使用者群组,資 訊集’網站,或服務的視窗350 1。在予視窗3503中,顯 示:對於所有使用者群組(3507)而言,已經怎樣將,•中", "高”,以及低"三種QoS頻寬屬性(35〇9)分別指定給全球 資訊網服務’檔案傳送服務,以及遠距存取服務三種主體 (35 1 1 ),以及已經怎樣將”高"q〇s優先級屬性指定給"財務" (Finance).使用者群組主體。諸多不同的指定會反映以下事 實:頻寬是一種通信服務的屬性,而優先級則是通信服務 之一使用者的屬性。於是,在可供網路服務利用的頻寬 内’,,財務"使用者群组的諸多成員都具有高優先級。就像 由本實例所顯示的那樣,一個以上的行動屬性可能應用到 一項決策。若能夠藉著從兩個子視窗3 5 13和3 5 1 5中分別選 擇些使用者群組和主題來產生針對主題的屬性,則會促 進屬性指定。在此視窗中所做的選擇當然都會被應用到Μ屬 性指定"表3007。用與視窗3 102觸及諸多用來定義屬性標 δ己和特點的視窗相同的通用方式,就能夠進一步使用视窗 3 5 03 ° 圖3 6顯示:用來讀取,修改,或產生,,屬性標記,,表3〇1 [ 中·^一登載項的視窗360i。此處,正在讀取的登載項是針 -134- 本A張尺度關家標kcns…規格⑵㈤π公爱) (請先fiati背面之注音?事項再填驾本頁) ^-0 ------结
4483S A7 B7 經濟部智慧財產局員工消費合作社印製 五、發明說明(132) 對_,中’’QoS頻寬屬性。在3603處,顯示有:登載項之,,標 記”,"描述",及"標記優先次序"襴位的數値。具有適當 存取權利的管理員當然能夠經由視窗3 6 〇丨而改變這些攔: 的數値。在3605處,顯示:針對與標記有關聯的屬性,來 自,,屬性1_表301丨中之登載項的資訊。在那裏顯示有:在登 載項中之數値1 的目前數値’以及特點之名稱。特點名 稱當然疋來自針對該屬性之"屬性特點"表3 〇 〇 9。再者,可 能經由視窗3601而編輯這些數値》按鈕36〇7被用來檢視一 種視窗,琢視窗會顯示:在”屬性特點,,表3〇〇9中之特點登 載項的完整内容。 圖37顯示該視窗。視窗3701是用來定義針對一既定屬性 類別及诸^新屬性類別的諸多新屬性_的視窗◊視窗當然會 依照"屬性特點"表3009中之一登載項的數値而運作。方框 3703是諸多屬性類別之一列表;可能藉由增加到列表來定 義新類別。方框3705是目前特點之名稱;在它們(類別與 名稱)之間會唯一地識別一登載項,而類別與名稱則對應 於表3009内的諸多登載項中的"類別"與,,名稱,,兩個欄位。 在這種情形下’登載項是針對qoS"優先級屬性"(Pri〇dty attribute)。”描述,•方框3707會包含:在正在被檢視之登載 項中的"描述"之數値。3709指示:特點具有哪種數値類 型’此處疋一對數値’如圖3 4中所指示的。在3 7 Π處, 顯示有:”特點優先次序”和"數値優先次序兩個欄位的目 前設定値:而在3 7 1 3處,則會出現任何限制資訊。 結論 -135- 本紙張尺度適用中囷國家標準(CNS)A4規格(210 X 297公釐) <請先閱讀背面之注意事項再填寫本頁) 裝 —-,I nl· i— n i^i 镍
44838 J 經濟部智慧財產局員工消費合作社印製 A7 ________B7______ 五、發明說明(133 ) 3結論 +前面的閣述已經對那些熟習於與閣述有關之技藝的人披 露:用來建構通用以決策伺服器的最佳模式,該模式目前 疋此處所披露之通用決策伺服器的諸多開發者所熟知的。 如以上描述的,通用決策伺服器的兩項基本特點是:將決 策評估與決策施行分離,以及關於能夠制定決策所針對的 諸多行動類型的可擴充性 關於將決策評估與決策施行分 離,諸多決策施行组件可能被定位在決策應用到之系統中 的不同層級處;而諸多決策評估組件則可能是在遠離諸多 決策組件之位置的位置處。 雖然用來將決策評估與決策施行分離的技術,以及關於 能夠執行諸多行動種類而使決策可擴充的技術都可能被應 用到用來定義的任何機制;可是當該技術使用在依據一些 行動和諸多實體之集合來定義決策的一些決策施行系統^ 時,它們都是特別有用的。在這些系統中,也可能使得可 ,執行行動的諸多實體之類型以及執行行動所針對的諸多 實體之類型都是可擴充的。 會增加系統之有用性而在此處所披露之決策施行系统的 1外一些特點是:行動屬性,它會定義打算執行由決策授 權又一仃動所依照的方式以及時間間隔;該時間間隔則會 疋義:決策有效時或一屬性被應用到一項行動時的時間: 一,圖形使用者界面會提供:諸多決策及其組成部份的簡 易定義和操縱方法。 s 就像對那些熟習於有關技藝者而言將會立即顯而易見的 -136- 本灰張尺度翻令圏國家標準(CNS)A4規格(210 x 2g7公发) 1-----------K--------訂--------- (請先闓讀背面之注意事瑣存填寫本頁〕 4*483 8 " A7 _____B7_ 五、發明說明(134) 那樣,此處所描述的很多技術都可能被應用在任何種類的 決策施行系統中:並且,甚至是在一種以此處所描述的方 式來定義決策的決策施行系統中最有用的那些技術,也可 能用很多不同的方式加以建構。譬如說,可能使用不同的 圖形使用者界面’可能使用不同的資料庫系統來建構決 策:並且在一既定資料庫系統内,可能使用諸多不同的表 安排。於是,此處披露的諸多原理的無限多個其它實施例 都有可能;並且,爲此緣故’在各方面,打算將"闡述"視 爲範例而不具限制性;因而決定此處披露之本發明的函蓋 範圍(breadth)並不是來自"闡述",而是來自像利用被專利 法律允許的完全涵蓋範圍所解釋那樣的申請專利範圍。 L-r--,----------裝--------訂---- (請先閱讀背面之注意事項再填寫本頁} 、续 經濟部智慧財產局員工消費合作社印製 -137- 本紙張尺度適用中國國家標準(CNS)A4規格(210 χ 297公釐)
Claims (1)
- 經濟部智慧財產局員工消費合作社印製 448387 A7 ------- B7 五、發明說明() 1. -種用來施行決策的決策施行系統,該決策會克義:在 7腦系,中所定義的諸多第—實趙可能針對在電腦系 統中所足義的諸多第二實體執行哪些屬於其中第一麵 型的行動,該決策施行系^所屬的類型,包括:' :決策词服器’它包括諸多決策之一決策資料庫;以及 一決策施行器;它會控制第—行動類型之執行 (performance),並且能夠將一項用來執行第—類型之行 動的請求傳達給決策伺服器;唯若來自決策伺:器之 =回應指示:決策允許該行動,決策施行器才舍允許 盯動疋執行,而該決策施行系統則具有特微為: 決策資料庫是可以擴充的,以便包括釺對屬於其中 附加類型之諸行動的決策;因此,可能將—種會控制 附加類型之朽·動之勃_行的附加》策施行器増加到決策 施行系統。 2 .根據申請專利範圍第i項之決策施行系統’進一 特徵為: 決策資料庫是屬於依據第一實體之集合和第二實體之 集合來定義決策的類別;以及 、 ”決策資料庫是可以進—步擴充的,以便包括:—附加 第一贯體類型及/或一附加第二實體類型。 3 .根據申請專利範圍第2項之決策施行系統,進—步具有 特徵為: 〃 一項行動屬性可能在資料庫中與第一實體之集合及/或 第二實體之集合有關聯,該行動屬性會載明:打算執行 -138· 本紙張尺度適用中國國家標準(CNS)A4規格(210 x297公楚) 4 ,---------.裝--------訂·--------^ (請先閱讀背面之注意事項再填寫本頁) 448387 A8 B8 C8 D8 六、申請專利範圍 第—’體々集合中的諸多實體及,或在第二實-i 不δ中的諸多實體而載明在― 、 依照的一種方式。 弋決策中的—項行動所 4.根據中請專利範園第3項之決 特徵爲: 仃系..无’堪一步具有 決策資料庫是可以進一步撼一。 齡’… 5 ·根據申請專利範圍第 有特徵爲: 附加決策施行器會在電腦系 執行,該層級與決策施行器控層級處㈣行動之 不同。 之執行所處的層級 6·根據申請專利範圍第 有特徵爲: & 電中至少有—個是在遠離決策词服器之 4系統中的一個位置 7-根據申請專利範園第 有特徵爲: fk 行系統,進一步具 行系統,進一步具 行系統,進一步具 k--------訂---------線. ί請先閲讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印M 決策施行器會控制不是電腦系統之—部份的第二實 體。 、 8.種屬於依據第一實體之集合,第二實體之集合,以及 著多行動來定義決策之類別的決策資料庫,—既定決 朿會疋義:屬於既定第一實體之集合之—實體可能針 對屬於既定於第二實體之集合之—實體執行的一項既 -139- 本纸張尺度適用中國國家標準(CNS)A4規格(21〇 x 297公釐) 448387 A7 ---------B7 五、發明說明() 定行動;該決策資料庫具有特徵為: 一項另加條件可能在資料庫中與既定決策有關聯,該 另加條件會在屬於既定第一實體之集合之一請求實體 提出一項詩求以執行針對屬於既定第二實體之集合之 -實體的既定行動之時決定:請求實體是否可能執行 該行動。 9.根據申請專利範圍第8項之決策資料庫,進一步具有特 徵為: —另加條件是一種與既定決策有關聯的時間間隔規 範’時間間隔規範會載明時間之間㈤;在#問間隔期 間,屬於載明在既定決策中的既定第一實體之集合的 諸多實體可能執行:針對屬於其中所載明的既定第二 實體之集合的諸多實體,其中所載明的既定行動。 Π)‘-種屬於依據第一實體之集合,第二實體之集合,以及 諸多行動來定義決策之類別的決策資料庫一既定決策 會定義:屬於既定第—實體之集合之—實體可能針對屬 於既^二實體之集合之—實體執行的—項既定行動; 該決策資料庫具有特徵為: -項行Μ性可能在資料庫中與既定第—實體之集合 及/或既定第二實體之集合有關聯,該行動屬性會載明: 打算執行載明在既定決策中之既定行動所依照的一種方 式。 η.根據申請專利範圍第10項之決策資料庫, 徵為: -140 表紙張尺度適用中國國家標準(CNS)A4規格(210x297公发 (請先閱讀背面之注意事項再填寫本頁) .si---------訂---------,¾ 經濟部智慧財產局員工消費合作社印製 44838 7 0088¾ ABCS 六 經濟部智慧財產局員工消費合作社印製 圍 々孝專 青 =° 申 ㈣策資科庫是可《擴充的,《便包括諸多新行動屬性⑽线州庫卞步具有特 -種行動屬性條件可能在資料庫 -行動屬性有關聯,該行動屬性條件會在十::決策之 請求之時決定:屬於既定第—實請求貫證提出 是否能夠執行針對在既定第二實體二=-請求實體 既定行動’該行動是如行動屬性中所:二-艾體的 -141 - 本纸張尺度適用中固國家標準(CNS)A4規格(210 X 297公釐) ------ ( -I I n I I I-- - 1« n - - 一。,* It - - I f[ I f (請先閱讀背面之注意事項再填寫<頁)
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US9113098P | 1998-06-29 | 1998-06-29 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW448387B true TW448387B (en) | 2001-08-01 |
Family
ID=22226237
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW088110985A TW448387B (en) | 1998-06-29 | 1999-09-06 | Generalized policy server |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP1105809A4 (zh) |
| AU (1) | AU762061B2 (zh) |
| TW (1) | TW448387B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7561530B2 (en) | 2005-12-30 | 2009-07-14 | Industrial Technology Research Institute | Executing system and executing method of intelligent rule base service |
| TWI493367B (zh) * | 2009-08-17 | 2015-07-21 | 微軟公司 | 搜尋結果之先進過濾方法 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110198248B (zh) * | 2018-02-26 | 2022-04-26 | 北京京东尚科信息技术有限公司 | 检测ip地址的方法和装置 |
| CN115865683B (zh) * | 2023-03-02 | 2023-05-23 | 山东创安交通预警工程有限公司 | 智慧社区设备管理系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1997000471A2 (en) * | 1993-12-15 | 1997-01-03 | Check Point Software Technologies Ltd. | A system for securing the flow of and selectively modifying packets in a computer network |
| US5720023A (en) * | 1994-03-28 | 1998-02-17 | British Telecommnications Public Limited Company | Appartus and method for storing diagram data |
| US5752245A (en) * | 1994-12-09 | 1998-05-12 | Object Technology Licensing Corporation | Object-oriented system for configuration history management with a project workspace and project history database for draft identification |
| US6035399A (en) * | 1995-04-07 | 2000-03-07 | Hewlett-Packard Company | Checkpoint object |
| US5721908A (en) * | 1995-06-07 | 1998-02-24 | International Business Machines Corporation | Computer network for WWW server data access over internet |
| GB2317539B (en) * | 1996-09-18 | 2001-03-28 | Secure Computing Corp | Generalized security policy management system and method |
-
1999
- 1999-06-28 AU AU48386/99A patent/AU762061B2/en not_active Ceased
- 1999-06-28 EP EP99931983A patent/EP1105809A4/en not_active Withdrawn
- 1999-09-06 TW TW088110985A patent/TW448387B/zh not_active IP Right Cessation
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7561530B2 (en) | 2005-12-30 | 2009-07-14 | Industrial Technology Research Institute | Executing system and executing method of intelligent rule base service |
| TWI493367B (zh) * | 2009-08-17 | 2015-07-21 | 微軟公司 | 搜尋結果之先進過濾方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU4838699A (en) | 2000-01-17 |
| EP1105809A2 (en) | 2001-06-13 |
| AU762061B2 (en) | 2003-06-19 |
| EP1105809A4 (en) | 2005-10-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9154489B2 (en) | Query interface to policy server | |
| US7912856B2 (en) | Adaptive encryption | |
| US7821926B2 (en) | Generalized policy server | |
| US7580919B1 (en) | Query interface to policy server | |
| US7272625B1 (en) | Generalized policy server | |
| USRE46439E1 (en) | Distributed administration of access to information and interface for same | |
| Fernandez-Buglioni | Security patterns in practice: designing secure architectures using software patterns | |
| US6105027A (en) | Techniques for eliminating redundant access checking by access filters | |
| US6178505B1 (en) | Secure delivery of information in a network | |
| AU733109B2 (en) | Methods and apparatus for controlling access to information | |
| JP2011044178A (ja) | バイオメトリックデバイスを用いて企業リソースへのアクセスを可能にするシステム、方法およびコンピュータプログラム製品 | |
| WO2000000879A2 (en) | Generalized policy server | |
| JP2003271560A (ja) | 分散ネットワークサービスにおけるアクセス制御装置およびポリシー実施装置 | |
| WO2000079434A1 (en) | Query interface to policy server | |
| TW448387B (en) | Generalized policy server | |
| Lynch | The changing role in a networked information environment | |
| TW464812B (en) | Query interface to policy server | |
| Babu et al. | A Survey on Blockchain for Access Control Models: Security, Transparency, and Challenges | |
| JP2001318889A (ja) | ディレクトリシステム | |
| Wu | Adaptive privacy management for distributed applications | |
| Seamons et al. | Trust negotiation in dynamic coalitions | |
| Rosenhamer | What AMANDA offers | |
| Kuehnhauser | A classification of interdomain actions | |
| Pluta et al. | Identity & Access Control Management Infrastructure Blueprint—Design Principles for True Informational Self-Determination | |
| Eidson | Additional Security Considerations for Grid Management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GD4A | Issue of patent certificate for granted invention patent | ||
| MM4A | Annulment or lapse of patent due to non-payment of fees |