專利名稱:帶有活動角色的基于角色的訪問控制模型的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及經(jīng)過改進的數(shù)據(jù)處理系統(tǒng),確切地說��,涉及使用數(shù)據(jù)庫的方法和系統(tǒng)�。更確切地說,本發(fā)明提供根據(jù)特定數(shù)據(jù)模型管理對資源的訪問的方法和系統(tǒng)����。
背景技術(shù):
分布式系統(tǒng)內(nèi)部的安全管理一直是令人頭痛的問題。公司職員需要以安全方式訪問應(yīng)用和資源����。然而,在任何給定時間段內(nèi)���,應(yīng)用的安裝、刪除�;公司內(nèi)員工的流動導(dǎo)致了人員(包括臨時雇員)的增加、解雇或內(nèi)部調(diào)動��;資源的增加���、刪除或組織內(nèi)的移動����,包括邏輯上或物理上的移動;以及項目的外包��,要求承包商對組織的數(shù)據(jù)系統(tǒng)具有有限的訪問權(quán)限���;所有這些都增加了安全風(fēng)險��。此外����,網(wǎng)絡(luò)的互操作性也增加了安全風(fēng)險���,因此安全管理上的失誤代價非常大��。
傳統(tǒng)安全管理是依賴平臺的—不同類型的計算機系統(tǒng)遵循不同的管理和實施規(guī)則��。分布式系統(tǒng)的早期網(wǎng)絡(luò)管理工具試圖羅列出所有需要安全策略定義的資源和權(quán)限����。傳統(tǒng)訪問控制列表(ACL)管理模型在企業(yè)內(nèi)部的各個資源上做出安全性設(shè)置���。在某些組織中�,安全管理員的職責(zé)就是管理資源��、權(quán)限和職員之間的每個允許或禁止關(guān)系列表,即���,某個列表上的各要素與其他各列表上的各要素之間的關(guān)系�。由于信息技術(shù)(IT)的不斷變化���,IT管理員的負擔(dān)越來越沉重���。
在過去十年中,人們開發(fā)了一種可伸縮的��、能夠避免錯誤的��、可審核的安全管理方法��,并被許多企業(yè)采用基于角色的訪問控制(RBAC)�,也稱為基于角色的管理或基于角色的授權(quán)��。在該方法中��,采用與傳統(tǒng)安全解決方案類似的方式�,將用戶分成組。然而��,在使用安全數(shù)據(jù)處理系統(tǒng)的組織內(nèi)部,將資源和訪問權(quán)限也分成角色�����,以反映在組織內(nèi)部通用的各種業(yè)務(wù)過程和業(yè)務(wù)職責(zé)集合���。這樣����,為各組分配能夠反映企業(yè)活動的多重角色�。在使用基于角色的訪問控制的管理系統(tǒng)中,管理員的職責(zé)歸納如下定義每個角色���;定義該角色對有關(guān)資源的能力���;將用戶同一個或多個角色聯(lián)系起來;將資源同一個或多個能力聯(lián)系起來�����。一旦定義��,就能在追加或更新數(shù)據(jù)庫時自動實現(xiàn)安全策略����,以便根據(jù)基于角色的訪問控制關(guān)系改變?nèi)藛T或資源��。
這種角色定義提供了一個額外的抽象層����,從而改善安全管理員的可伸縮性�����、審計能力和質(zhì)量�。通過使用許多不同類型的角色,能夠管理雇員與承包人之間的差異����。總的來說���,基于角色的訪問控制系統(tǒng)能夠改善最終用戶的安全性和服務(wù)���,同時降低安全管理成長型企業(yè)的管理成本�����。
盡管安全管理得到改善,但是基于角色的訪問控制系統(tǒng)在管理和費用上做了很多的考慮����。大多數(shù)企業(yè)是動態(tài)實體,當(dāng)企業(yè)的組織和商業(yè)目標(biāo)隨著時間改變時����,也希望相關(guān)的IT系統(tǒng)能迅速無誤地遷移。當(dāng)組織變更或壯大時���,更加難以管理���、更新用戶和角色之間的關(guān)系,以及資源和能力之間的關(guān)系����。
因此,提供自動協(xié)助管理帶有基于角色的訪問控制的安全管理系統(tǒng)之方法和系統(tǒng)是有利的�。每當(dāng)組織內(nèi)的人員和資源變化時,總能自動�����、有效地更新安全管理系統(tǒng)將是非常有利的�。
發(fā)明內(nèi)容
一種通過基于角色的訪問控制模型來管理對資源的訪問的方法���、系統(tǒng)、設(shè)備以及計算機程序產(chǎn)品��,基于角色的訪問控制模型包括使用角色過濾器和能力過濾器(也稱為“活動角色”)的動態(tài)更新功能����。為每個角色定義一個角色過濾器,而不是由安全管理員明確將各個用戶與某個角色聯(lián)系起來�����。通過評價角色過濾器確定與給定角色匹配的用戶�����,并且將匹配的用戶自動與給定的角色聯(lián)系起來�����。通過使用角色過濾器����,管理員能夠按照雇員職務(wù)、組織、工作狀態(tài)或項目分配情況��,為基于角色的資源訪問創(chuàng)建業(yè)務(wù)規(guī)則�����。
除角色過濾器之外���,每個命名的角色均包含一組的訪問能力。每種能力包括一組訪問條件和能力過濾器��,每個訪問條件包括一組權(quán)限以及此類權(quán)限的資格和條件�����。與角色過濾器的操作類似�����,能力過濾器用于描述將要應(yīng)用的特定能力的實例集合�。管理員可以為每種能力定義能力過濾器,而不是由安全管理員明確將每種資源與某種能力聯(lián)系起來��。當(dāng)添加����、刪除或更改目標(biāo)實例時�����,重新評價能力過濾器以保持適當(dāng)?shù)年P(guān)系集合�。
附屬權(quán)利要求書闡述被認為是本發(fā)明之特征的全新功能�。通過連同附圖一起閱讀以下詳細說明書,將更加了解本發(fā)明���,其目的以及其優(yōu)點���,其中附圖為圖1A表示可以實施本發(fā)明的典型分布式數(shù)據(jù)處理系統(tǒng);圖1B表示可以實施本發(fā)明的數(shù)據(jù)處理系統(tǒng)中使用的典型計算機體系結(jié)構(gòu)����;圖2的方塊圖表示典型的基于角色的訪問控制系統(tǒng);圖3的方塊圖表示對象及對象間的關(guān)系�����,包括根據(jù)本發(fā)明之最佳實施方式的基于角色的訪問控制模型中的角色過濾器和能力過濾器功能��;以及圖4是一個流程圖���,表示更新圖3所示的根據(jù)本發(fā)明之最佳實施方式的數(shù)據(jù)關(guān)系組織的數(shù)據(jù)庫時����,出現(xiàn)的活動角色處理。
具體實施例方式
本發(fā)明的目的在于��,通過基于角色的訪問控制模型來管理對資源的訪問的系統(tǒng)和方法���,基于角色的訪問控制模型包括“活動角色”,而后者是一種動態(tài)更新機制�。在詳細論述本發(fā)明前,首先介紹可以實施本發(fā)明的分布式數(shù)據(jù)處理系統(tǒng)的組織結(jié)構(gòu)的背景信息���。
現(xiàn)在參照附圖�����,圖1A表示典型的數(shù)據(jù)處理系統(tǒng)網(wǎng)絡(luò)�����,每個系統(tǒng)均能實施本發(fā)明或本發(fā)明的一部分��。分布式數(shù)據(jù)處理系統(tǒng)100包含網(wǎng)絡(luò)101��,網(wǎng)絡(luò)101是一種介質(zhì)����,為連接在分布式數(shù)據(jù)處理系統(tǒng)100內(nèi)的各種設(shè)備和計算機之間提供通信鏈路。網(wǎng)絡(luò)101可以包括永久連接��,如電纜或光纜�,或通過電話或無線通信建立的臨時連接。在所示示例中���,將服務(wù)器102和103和存儲器104連接到網(wǎng)絡(luò)101�����。此外��,將客戶機105-107也連接到網(wǎng)絡(luò)101�?�?蛻魴C105-107和服務(wù)器102-103代表各種計算設(shè)備�����,如大型機����、個人計算機�、個人數(shù)字助理(PDA)等�。分布式數(shù)據(jù)處理系統(tǒng)100可以包括附加服務(wù)器、客戶機�、路由器和其他設(shè)備,以及對等體系結(jié)構(gòu)(未示出)��。
在所示示例中�,分布式數(shù)據(jù)處理系統(tǒng)100包括因特網(wǎng)���,其中網(wǎng)絡(luò)101表示遍布世界的彼此使用各種協(xié)議進行通信的網(wǎng)絡(luò)和網(wǎng)關(guān)集合���,通信協(xié)議如輕量目錄訪問協(xié)議(LADP)、傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP)��,超文本傳輸協(xié)議(HTTP)����。當(dāng)然,分布式數(shù)據(jù)處理系統(tǒng)100還包括不同類型的網(wǎng)絡(luò)����,如內(nèi)聯(lián)網(wǎng)���、局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)。例如���,服務(wù)器102直接支持采用無線通信鏈路的客戶機109和網(wǎng)絡(luò)110���。網(wǎng)絡(luò)電話111通過無線鏈路112連接到網(wǎng)絡(luò)110,PDA 113通過無線鏈路114連接到網(wǎng)絡(luò)110��。通過使用諸如藍牙TM無線技術(shù)之類的適當(dāng)技術(shù)創(chuàng)建所謂的個人局域網(wǎng)或個人專用網(wǎng)����,電話111和PDA113能夠通過它們之間的無線鏈路115直接傳輸數(shù)據(jù)。同樣����,PDA113能夠通過無線通信鏈路116向PDA117傳輸數(shù)據(jù)。
可以在各種硬件平臺上實施本發(fā)明���;圖1A只是作為異構(gòu)計算環(huán)境的示例���,并不作為本發(fā)明的體系結(jié)構(gòu)限制。
現(xiàn)在參照圖1B����,正如在圖1A中說明的那樣����,該圖表示可以實施本發(fā)明的數(shù)據(jù)處理系統(tǒng)的典型計算機體系結(jié)構(gòu)��。數(shù)據(jù)處理系統(tǒng)120包含一個或多個與內(nèi)部系統(tǒng)總線123相連的中央處理器(CPU)122����,系統(tǒng)總線123互連隨機存取存儲器(RAM)124、只讀存儲器126以及支持各種I/O設(shè)備的輸入/輸出適配器128���,I/O設(shè)備如打印機130�、磁盤機132或諸如音響系統(tǒng)之類的其他設(shè)備(未示出)等�。同時���,系統(tǒng)總線123與通信適配器134相連�����,后者提供對通信鏈路136的訪問�。用戶接口適配器148連接各種用戶設(shè)備�����,如鍵盤140和鼠標(biāo)142,以及諸如觸屏�、觸筆、麥克之類其他設(shè)備(未示出)�。顯示適配器144將系統(tǒng)總線123連接到顯示設(shè)備146。
一般技術(shù)人員可以理解�,圖1B所示的硬件隨系統(tǒng)實現(xiàn)變化。例如�����,該系統(tǒng)可以有一個或多個處理器��,以及一種或多種非易失存儲器�����。除圖1B所示的硬件之外或代替圖1B所示的硬件����,可以使用其他外圍設(shè)備。換句話說����,一般技術(shù)人員并不會在網(wǎng)絡(luò)電話和全功能臺式工作站中發(fā)現(xiàn)相似組件或體系結(jié)構(gòu)����。所示示例并不意味有關(guān)本發(fā)明的體系結(jié)構(gòu)限制�����。
除能夠在各種硬件平臺上實施之外���,也可以在各種軟件環(huán)境中實施本發(fā)明��?�?梢允褂玫湫筒僮飨到y(tǒng)來控制各數(shù)據(jù)處理系統(tǒng)內(nèi)的程序的執(zhí)行����。例如���,某臺設(shè)備運行UnixTM操作系統(tǒng),而另一臺設(shè)備包含簡單JavaTM運行環(huán)境����。有代表性的計算機平臺包括瀏覽器,瀏覽器是一眾所周知的軟件應(yīng)用�����,用于訪問各種格式的超文本文件,如圖形文件����、字處理文件、擴展標(biāo)記語言(XML)��、超文本標(biāo)記語言(HTML)����、手持設(shè)備標(biāo)記語言(HDML)、無線標(biāo)記語言(WML)���,以及各種其他格式和類型的文件�����。因此���,請注意,圖1A所示的分布式數(shù)據(jù)處理系統(tǒng)完全能夠支持各種對等子網(wǎng)和對等服務(wù)����。
盡管參照使用面向?qū)ο蟮膽?yīng)用的最佳實施方式描述本發(fā)明��,但本發(fā)明并不限于使用面向?qū)ο蟮木幊陶Z言��。相反�����,可以使用大部分編程語言實現(xiàn)本發(fā)明����。盡管在最佳實施方式中使用Java命名和目錄接口(JNDI)應(yīng)用編程接口(API)���,為采用Java編程語言編寫的系統(tǒng)管理功能提供命名和目錄功能�。JNDI體系結(jié)構(gòu)包括API和服務(wù)提供者接口(SPI)���。Java應(yīng)用使用JNDI API訪問各種名稱和目錄服務(wù)�����,而SPI能夠以透明方式插入各種命名和目錄服務(wù)�����,從而允許使用JNDI API的Java應(yīng)用訪問上述服務(wù)���,所述服務(wù)包括LDAP、通用對象請求代理體系結(jié)構(gòu)(CORBA)���、通用對象服務(wù)(COS)名稱服務(wù)��,以及Java遠程方法調(diào)用(RMI)注冊����。換句話說�,JNDI允許本發(fā)明的系統(tǒng)管理功能獨立于任何具體的目錄服務(wù)實現(xiàn),因此能夠以通用方式訪問各種目錄�����。
同時請注意��,可以部分或全部使用不同于服務(wù)器功能的客戶機功能實施本發(fā)明����。換句話說,或者由客戶機或者由服務(wù)器處理對象的數(shù)據(jù)表示��,但是可以按照同一物理設(shè)備上的客戶機進程和服務(wù)器進程的方式,實現(xiàn)客戶機和服務(wù)器功能���。因此�����,關(guān)于最佳實施方式的說明���,客戶機和服務(wù)器可以構(gòu)成獨立的遠程設(shè)備,或者以兩種獨立身份運行的同一設(shè)備��?��?梢栽诒镜卮鎯ζ骰蚍植际酱鎯ζ髦写鎯Ρ景l(fā)明的數(shù)據(jù)和應(yīng)用代碼���。
如上所述,可以在各種硬件和軟件平臺上實施本發(fā)明��。確切地說���,本發(fā)明的目的在于通過基于角色的訪問控制模型對資源的訪問進行管理��,基于角色的訪問控制模型包括使用角色過濾器和能力過濾器的動態(tài)更新功能����。作為背景�����,在詳細論述本發(fā)明前��,首先介紹典型的基于角色的訪問控制系統(tǒng)�。
現(xiàn)在參照圖2,方塊圖表示典型的基于角色的訪問控制系統(tǒng)����。在安全管理系統(tǒng)200中所示的部件僅僅表示基于角色的訪問控制系統(tǒng)內(nèi)的某些通用概念、對象���、關(guān)系或聯(lián)系����。依據(jù)安全管理系統(tǒng)的實施����,對象和關(guān)系可能具有不同的名稱和功能。
在企業(yè)內(nèi)部����,雇員可能“屬于”一個或多個組織單位�����,如某個部門和項目��。用戶對象202代表和組織對象204關(guān)聯(lián)的一名雇員����。組織對象204-208代表企業(yè)內(nèi)部的眾多組織單位���,假設(shè)每個組織單位有多名雇員或用戶�����,在公司目錄210中存儲有關(guān)雇員的信息�,其中目錄210為一個或多個目錄服務(wù)支持的數(shù)據(jù)目錄�。
用戶對象202不僅代表雇員而且代表經(jīng)理,因此用戶對象202與代表類似經(jīng)理組的組對象212相關(guān)聯(lián)��。在圖2中���,將組織單位對象206和208表示為與組對象212相關(guān)聯(lián)�����。假定企業(yè)內(nèi)部的每個組織單位都有一個組對象212表示的類型的經(jīng)理����,盡管該圖并未明確標(biāo)識對象206和208表示的組織內(nèi)的具體雇員�����。
根據(jù)雇員在企業(yè)內(nèi)的職務(wù)和工作描述���,雇員可以在安全管理系統(tǒng)中分配一個或多個角色���。組對象212與角色對象214相關(guān)聯(lián),角色對象214定義具有對資源216和218的基本訪問權(quán)限的角色�����。例如�,企業(yè)內(nèi)的每個雇員可以訪問某些類型的基本計算資源,如訪問內(nèi)部網(wǎng)站的內(nèi)聯(lián)網(wǎng)帳戶�。此類基本訪問適用于與組對象212關(guān)聯(lián)的每個經(jīng)理,因此組對象212已經(jīng)同角色對象214相關(guān)聯(lián)����;資源216代表對訪問特定內(nèi)部Web服務(wù)器的授權(quán)���,而資源218代表對訪問因特網(wǎng)防火墻的授權(quán)。
然而���,組織內(nèi)的每個經(jīng)理可能需要訪問公司計時應(yīng)用的特權(quán)�。為了反映真實的事務(wù)處理過程���,定義角色對象220���,并和組對象212相關(guān)聯(lián),角色對象220具有一組訪問權(quán)限222�����,這些權(quán)限明確定義與角色對象220關(guān)聯(lián)的用戶如何使用資源224���,該資源代表計時應(yīng)用�。
可以通過示例闡明訪問權(quán)限的必要性�。假設(shè)企業(yè)內(nèi)部具有不同計時應(yīng)用使用權(quán)限的不同類型的雇員使用計時應(yīng)用。每個部門有一個計時員,其主要任務(wù)是準確記錄出勤����、病假、加班費等���?���?梢詾槊總€計時員定義一個計時員角色�,并且每個計時員具有一定的使用計時應(yīng)用的權(quán)限�。
計時應(yīng)用具有定義公司內(nèi)部假期的功能,限制計時員在系統(tǒng)內(nèi)設(shè)置公司內(nèi)部假期����。然而,必須由公司中的某人配置計時應(yīng)用��,以識別假日��,此功能限于經(jīng)理�����。因此,與角色對象220相關(guān)聯(lián)的訪問權(quán)限的集合為�,代表計時功能的資源224內(nèi)的特權(quán)的訪問權(quán)限222。
組織單位對象208表示從事特定項目的部門����,特定項目需要只有該部門內(nèi)的雇員才能使用的資源226。因此��,對象208(即�����,與對象208相關(guān)聯(lián)的任何用戶對象)與角色對象228相關(guān)聯(lián)���,角色對象具有對資源226的訪問權(quán)限��。盡管該圖并未表示���,但是將用與組織單位對象相關(guān)聯(lián)的用戶對象表示部門內(nèi)的每個雇員,并且每個用戶對象最終與表示除其他角色對象之外的基本資源訪問的角色對象相關(guān)聯(lián)�����。更重要的是��,角色對象228表示制訂和管理特殊角色的方法。例如�����,外部承包商雇員也能與組對象230相關(guān)聯(lián)�,進而與角色對象228相關(guān)聯(lián);因此承包商雇員可以訪問資源226����,而企業(yè)內(nèi)的其他雇員不能訪問。如果雇傭另一家承包公司協(xié)助特定項目����,可以為新承包商的雇員構(gòu)造一個新組,新組能夠快速與預(yù)先定義的適當(dāng)角色對象(如角色對象228)相關(guān)聯(lián)�����,而無需改變其他關(guān)系和聯(lián)系���。
正如參照圖2說明的那樣,安全管理員的負擔(dān)是手工(通過適當(dāng)?shù)墓芾響?yīng)用)將資源同現(xiàn)有安全管理系統(tǒng)中的角色關(guān)聯(lián)起來�。本發(fā)明旨在提供特定的基于角色的訪問控制模型,在該模型中�,通過使用稱為“活動角色”的方法自動實現(xiàn)某些管理職責(zé)。以下參照其他附圖進行詳細描述。
現(xiàn)在參照圖3�,方塊圖表示對象及對象間的關(guān)系,包括根據(jù)本發(fā)明之最佳實施方式的基于角色的訪問控制模型中的角色過濾器和能力過濾器���。與現(xiàn)有安全管理系統(tǒng)類似����,本發(fā)明也使用資源和角色的概念��。資源�����,也稱為目標(biāo)����。資源在企業(yè)內(nèi)部為系統(tǒng)、服務(wù)����、應(yīng)用、設(shè)備�、軟件/硬件組件、數(shù)據(jù)對象/記錄等��。角色是實體的特征或類別,如人員或服務(wù)��,通過實體的功能抽象����,角色應(yīng)用于實體。然而�,有關(guān)本發(fā)明的一個重要問題是就用戶、用戶組���、服務(wù)對保護資源的安全訪問進行控制�,以便在狀態(tài)不斷改變時有效管理大量用戶與大量資源之間的關(guān)系�����。因此�,正如下面詳細說明的那樣,本發(fā)明擴展了資源和角色的概念����。
在本發(fā)明中����,角色(如角色302)由一個或多種能力(如能力304)的集合組成��,能力定義對特定資源(如資源306)集合的訪問�����。角色可以有過濾器���,如角色過濾器308,通過評價角色過濾器確定分配給該角色的主體(principal)列表�����,如主體310�。換句話說,角色過濾器確定角色適用的主體的集合��。
主體表示資源的潛在消費者���,可能包括用戶����、應(yīng)用�����、服務(wù),或其他類型的資源消費者�����。假定本發(fā)明是采用面向?qū)ο蟮姆绞綄崿F(xiàn)的����,主體對象為比各用戶對象更廣的對象類。一般而言��,主體的實例是個人或應(yīng)用���。
過濾器由包含屬性條件的表達式組成���。對角色過濾器而言,過濾器表達式使用的屬性是主體和主體子集所特有的����。在本發(fā)明中,過濾器的句法最好遵循因特網(wǎng)工程任務(wù)組(IETF)公布的請求注釋(RFC)標(biāo)準�����,特別是RFC 2254����,“LDAP搜索過濾器的字符串表示”,該標(biāo)準定義通用過濾器句法����。
能力由一個或多個訪問條件的集合組成(如訪問條件312),每個條件都有一個或多個權(quán)限的集合(如權(quán)限314)��。訪問條件定義某一訪問標(biāo)準����,如日歷約束。例如�����,如果資源是登錄驗證應(yīng)用�,則某些用戶只能在特定時間內(nèi)登錄到系統(tǒng)上。對特定類型的資源而言�,權(quán)限為采用簡單術(shù)語描述的訪問類型,如讀����、寫、執(zhí)行和刪除����。某一權(quán)限的存在可能隱含其他權(quán)限���。例如,對于特定對象類型而言���,寫權(quán)限隱含刪除權(quán)限����。
能力有兩個附加限定符資源類型316和“對象或引用對象”標(biāo)志318���。正如資源類型限定符表示的那樣�,每種能力定義對不同類型的資源的訪問�。假定本發(fā)明是采用面向?qū)ο蟮姆绞綄崿F(xiàn)的,利用“目標(biāo)對象類”屬性定義資源類型�;“目標(biāo)對象類”屬性系指WindowsNT類服務(wù)器、文件���、打印機和其他計算資源�����、乃至其他能力���、角色或主體���。
請注意���,角色并沒有相應(yīng)的“目標(biāo)對象類”屬性�,因為角色總是與主體關(guān)聯(lián)���。盡管主體可以為不同類型實體的子集�����,但是總是參照主體評價角色過濾器���。從某個方面來看,角色的“目標(biāo)對象類”暗指主體�。
編程上稱為“對象或引用”標(biāo)志的能力內(nèi)的“對象或引用”標(biāo)志定義訪問類型對象訪問或引用訪問。對象訪問指訪問數(shù)據(jù)庫中存儲的資源的信息����,而引用訪問指對資源的物理訪問。通過舉例說明兩種不同訪問類型之間的差別的重要性。某人可能有一個角色��,如打印機技師�,對打印設(shè)備資源而言,技師有兩種能力一種能力允許打印機技師獲得有關(guān)打印設(shè)備的所有數(shù)據(jù)����,此時,能力具有對象訪問���;另一種能力允許打印機技師物理訪問打印設(shè)備����,以便向打印設(shè)備提交打印作業(yè)�����。另一個人有一個角色�����,如計算機程序員�,對打印設(shè)備資源而言,他只有一種能力為了向打印設(shè)備提交打印作業(yè)而允許計算機程序員物理訪問打印設(shè)備的能力�。
與對有關(guān)角色的描述類似����,能力也有一個過濾器����,如能力過濾器320,通過評價能力過濾器確定該能力定義的訪問資源列表���。換句話說,利用能力過濾器確定特定能力應(yīng)用的資源集合�。諸如安全管理員之類的系統(tǒng)用戶可以利用本發(fā)明來定義每種能力的能力過濾器,而不是像現(xiàn)有系統(tǒng)那樣�,通過手工方式明確將各種資源連接到某種能力。當(dāng)添加����、刪除、修改資源實例時���,重新評價能力過濾器�����,以保持正確的關(guān)系集合����。
另外,過濾器由包含屬性條件的表達式組成���;對能力過濾器而言�����,過濾器表達式使用的屬性為能力的資源類型定義的資源類型所特有的(“目標(biāo)對象類”)�。例如��,如果“目標(biāo)對象類”代表個人�����,則過濾器引用的屬性為諸如地址���、姓氏或職務(wù)之類的屬性�����。
資源可以為系統(tǒng)中的任何對象�,包括主體����、角色或能力的任何實例��。因此��,具有對象訪問的能力應(yīng)該允許以下情況�����。某人可能具有某個角色��,如打印機技師經(jīng)理��,他具有打印機技師角色的能力的超集。相對于打印機技師�,打印機技師經(jīng)理除具有對打印設(shè)備資源的所有訪問權(quán)限之外,還具有以下能力以打印機技師為資源��,打印機技師經(jīng)理具有獲得有關(guān)打印機技師之所有信息的對象訪問權(quán)限�。
活動角色處理檢查特定實例(角色、能力�、主體或資源)和/或特定實例屬性的添加、刪除或修改�,檢索與特定實例類型相關(guān)的過濾器,并對照特定實例“運行”過濾器���,從而引起一個或多個成員資格列表的變更�。換句話說,任何實例的任何改變導(dǎo)致與實例相關(guān)聯(lián)的過濾器的識別���,并對照該實例運行所識別的過濾器����。
如果添加或修改過濾器��,則對照所有適用實例運行過濾器�����,從而導(dǎo)致一個或多個成員資格列表的變更���。
成員資格列表是與包含成員資格列表的實例關(guān)聯(lián)的實例的列表����。利用角色(“過濾器成員”322)���、能力(“過濾器目標(biāo)”324)���、主體(“過濾器角色”326)以及作為資源的各對象類(“過濾器能力”328)內(nèi)的多值屬性表示成員資格列表�。在“過濾器成員”與“過濾器角色”之間是雙向關(guān)系�,“過濾器目標(biāo)”與“過濾器能力”之間也是雙向關(guān)系,如下當(dāng)向角色的“過濾器成員”屬性添加主體時��,將角色添加到主體的“過濾器角色”屬性中�。
當(dāng)向主體的“過濾器角色”屬性添加角色時,將主體添加到角色的“過濾器成員”屬性中�����。
當(dāng)向能力的“過濾器目標(biāo)”屬性添加資源時����,將能力添加到資源的“過濾器能力”屬性中。
當(dāng)向資源的“過濾器能力”屬性添加能力時�,將資源添加到能力的“過濾器目標(biāo)”屬性中。
請注意�����,角色有0個或1個角色過濾器���;如果角色沒有角色過濾器,則它不會有任何“過濾器成員”��,也不參與活動角色處理�。然而�,在這種情況中����,沒有角色過濾器的角色還是很有用的����,因為諸如安全管理員之類的系統(tǒng)用戶�����,可以使用管理應(yīng)用用手工方式將角色與主體聯(lián)系起來���,即靜態(tài)方式����。因此�,角色的實例中可能有其他靜態(tài)屬性。相應(yīng)地��,靜態(tài)關(guān)聯(lián)的有關(guān)主體不會有該角色的任何“過濾器角色”���。
同樣��,請注意��,能力有0個或1個能力過濾器�����;如果能力沒有能力過濾器���,則它不會有任何“過濾器目標(biāo)”���,也不會參與活動角色處理。然而�,在這種情況中,沒有能力過濾器的能力還是很有用的��,因為安全管理員或其他用戶可以使用管理應(yīng)用用手工方式將資源和能力聯(lián)系起來�,即靜態(tài)方式。因此�����,能力實例中可能有其他靜態(tài)屬性�����。相應(yīng)地����,靜態(tài)關(guān)聯(lián)的有關(guān)資源不會有該能力的“過濾器能力”。
如上所述���,最好采用以下面向?qū)ο蟮姆绞綄崿F(xiàn)本發(fā)明���。活動角色處理在存儲和管理與安全性有關(guān)的數(shù)據(jù)(用戶���、帳戶��、角色等)的基于Java的目錄服務(wù)器中進行�����?����?蛻羰褂肑NDI向服務(wù)器請求更新和檢索����,服務(wù)器與后端數(shù)據(jù)倉庫(數(shù)據(jù)庫或與LDAP兼容的命名服務(wù))進行交互,以服務(wù)請求����。對數(shù)據(jù)庫的每個更新(除成員資格列表的更新之外),總是調(diào)用活動角色處理�����,以分析該更新是否需要重新生成上述成員資格列表�����。如果需要的話��,則生成新列表����,并調(diào)用后臺數(shù)據(jù)倉庫以修改與該列表關(guān)聯(lián)的屬性。請注意��,只有成員資格列表的變更才會引起活動角色處理�。因此,如果請求更新數(shù)據(jù)庫內(nèi)的成員資格列表�����,則該請求更新并不調(diào)用其他活動角色處理����,以防止在活動角色處理內(nèi)部產(chǎn)生循環(huán)。
再次參照圖3����,在該系統(tǒng)中,分別用“角色”��、“能力”和“訪問條件”對象類來表示角色����、能力和訪問條件??蛻敉ㄟ^創(chuàng)建JNDI “屬性”結(jié)構(gòu)并向目錄服務(wù)器發(fā)送“bind()”請求將“屬性”綁定到目錄中的名稱,實例化對象類的實例�����。例如�����,要創(chuàng)建“能力”對象類的實例,諸如安全管理員之類的用戶借助管理應(yīng)用��,指定實例的名稱���,以及由值為“能力”的“對象類”�、與RFC2254兼容的過濾器��、表示與創(chuàng)建的能力關(guān)聯(lián)的資源的資源類型的“目標(biāo)對象類”屬性�、“對象或引用對象”標(biāo)志,以及其他可能的屬性組成的“屬性”�����。然后將創(chuàng)建的“能力”對象“綁定”到該系統(tǒng)中的現(xiàn)有“角色”對象�。
“主體”是一個抽象對象類。它不能直接實例化��,但可以實例化它的子集(如“人”�����,“服務(wù)”)���?!百Y源”并不是真正的對象類,因為任何對象類都可以為資源�����。然而����,從概念上說��,當(dāng)實例成為能力的目標(biāo)時����,它就成為資源。
現(xiàn)在參照圖4���,該流程圖表示更新圖3所示的根據(jù)本發(fā)明之最佳實施方式的數(shù)據(jù)關(guān)系組織的數(shù)據(jù)庫時�����,出現(xiàn)的活動角色處理���。圖4所示的處理僅僅表示添加或修改數(shù)據(jù)庫內(nèi)的數(shù)據(jù)時,活動角色處理器模塊(與目錄或數(shù)據(jù)庫一起運行)可能觸發(fā)的處理事項的一個流程����。然而����,請注意�����,活動角色處理器可以以守護程序或監(jiān)視方式運行��,因此能夠以事件循環(huán)方式重復(fù)執(zhí)行該處理����。
當(dāng)活動角色處理器模塊收到帶有關(guān)聯(lián)屬性的添加或更新實例時,處理開始(步驟402)��?��;顒咏巧幚砥骺梢越邮諏嵗母北?���,作為有關(guān)實例發(fā)生與數(shù)據(jù)庫關(guān)聯(lián)的操作時的通知��。作為選擇�����,也可以選擇其他數(shù)據(jù)通知機制。然后���,確定所接收實例的對象類(步驟404)���,并開始搜索其資源類型與接收實例之對象類匹配的能力(步驟406)。假設(shè)至少有一個能力匹配���,則活動角色處理器針對接收的示例,運行匹配能力的能力過濾器(步驟408)�,從而導(dǎo)致數(shù)據(jù)庫中的屬性的更新,在授權(quán)處理期間使用數(shù)據(jù)庫確定發(fā)出請求的主體是否收到對保護資源的訪問�。
接著,確定收到實例的對象類是否是“主體”類或任何“主體”的子集(步驟410)��。如果是的話��,則針對接收實例運行所有角色過濾器(步驟412)���,從而導(dǎo)致數(shù)據(jù)庫中屬性的更新�,在授權(quán)處理期間使用數(shù)據(jù)庫確定發(fā)出請求的主體是否收到對保護資源的訪問����,并且完成有關(guān)該實例的活動角色處理���。此時,該處理確定應(yīng)用于主體的角色����。因為角色能夠應(yīng)用于所有主體,所以必須評價所有角色過濾器�。請注意,因為某些主體還服從能力過濾器���,所以新主體或經(jīng)過修改的主體導(dǎo)致有關(guān)步驟408的能力過濾器和步驟412的角色過濾器的過濾處理�。
如果已接收實例的對象類不是“主體”類型��,則確定已接收實例的對象類是否是“角色”類型或“能力”類型(步驟414)����。若不然,則處理結(jié)束��。如果是的話�,則確定已接收實例的過濾器屬性是否改變,即,過濾器是新過濾器還是經(jīng)過修改的過濾器(假設(shè)實例有過濾器)(步驟416)�。若不然,則處理結(jié)束�����。如果是的話����,則以適當(dāng)方式運行已接收實例的過濾器(步驟418),從而導(dǎo)致數(shù)據(jù)庫中的屬性的更新����,在授權(quán)處理器期間使用該數(shù)據(jù)庫,確定發(fā)出請求的主體是否收到對保護資源的訪問��,然后處理結(jié)束�。如果實例是“角色”類型���,則相對于所有主體運行實例的角色過濾器�。假如實例是“能力”類型���,則相對于帶有匹配資源類型的所有資源運行該實例的能力過濾器����。無論如何,如果系統(tǒng)定義了成千上萬個主體或資源�����,則完成此步驟需要大量計算����。
考慮到本發(fā)明的以上詳細說明,本發(fā)明的優(yōu)勢是顯而易見的����。在現(xiàn)有技術(shù)中,基于角色的訪問控制模型使用角色概念自動進行與用戶以及關(guān)聯(lián)組有關(guān)的處理�。盡管通過使用基于角色的訪問控制模型能夠改善安全管理應(yīng)用,但上述系統(tǒng)仍會給安全管理員帶來沉重的負擔(dān)���。
相反�����,本發(fā)明通過引入基于角色的存取控制模型這一新穎概念而獲得了明顯改善����。除與現(xiàn)有系統(tǒng)中的角色關(guān)聯(lián)的訪問條件和/或權(quán)限之外,通過將一組能力合并到角色中���,本發(fā)明能夠自動處理有關(guān)用戶和資源之間的關(guān)系��。特別地�,角色具有角色過濾器�,評價角色過濾器以匹配用戶,然后自動與給定角色關(guān)聯(lián)起來�。除角色過濾器之外,每個已命名的角色包含一組能力����,每種能力有一個能力過濾器。當(dāng)添加�����、刪除��、修改目標(biāo)實例時��,需要重新評價能力過濾器以保持正確的關(guān)系集合���。通過自動管理角色和用戶以及該角色的能力和資源之間的關(guān)系,本發(fā)明提供增強安全管理員之能力的方法,從而用戶能夠安全訪問資源����。
請注意,盡管在全功能數(shù)據(jù)處理系統(tǒng)的環(huán)境中描述本發(fā)明�,但是一般技術(shù)人員可以理解,能夠以計算機可讀介質(zhì)上的指令的方式或以各種其他方式��,分發(fā)本發(fā)明的處理方法���,而不關(guān)心進行分發(fā)時實際使用的信號承載介質(zhì)的特定類型���。計算機可讀介質(zhì)的示例包括EPROM、ROM�����、磁帶����、紙張、軟盤�����、硬盤、RAM���、CD-ROM以及其他傳輸類型的介質(zhì)��,如數(shù)字和模擬通信鏈路�����。
提供本發(fā)明之詳細說明書的目的是為了舉例說明�����,而不是窮舉或限制所公開的實施方式��。一般技術(shù)人員容易想到許多修改和變更�����。選擇上述實施方式的目的是解釋本發(fā)明的特征以及其實際應(yīng)用���,并使一般技術(shù)人員理解本發(fā)明,以便實現(xiàn)其修改適合于其他預(yù)期用途的各種實施方式�����。
權(quán)利要求
1.一種對請求計算機系統(tǒng)中的受保護的資源的主體的訪問權(quán)限進行控制的方法��,其中將主體與至少一個角色聯(lián)系起來�,該方法包括將角色過濾器和角色聯(lián)系起來;將一種或多種能力的集合與角色聯(lián)系起來��;將能力過濾器與一種或多種能力的集合中的一種能力聯(lián)系起來�;以及根據(jù)請求主體和角色之間的聯(lián)系以及受保護的資源和角色的能力之間的聯(lián)系,授權(quán)請求主體對受保護的資源的訪問�����。
2.權(quán)利要求1的方法����,還包括評價角色過濾器,以確定與該角色關(guān)聯(lián)的一個或多個主體的集合����;以及評價能力過濾器,以確定與該能力關(guān)聯(lián)的一種或多種資源的集合���。
3.權(quán)利要求1或2的方法�,還包括將資源類型與一種或多種能力的集合中的每種能力聯(lián)系起來��,其中每種能力定義對該資源類型的至少一種資源的訪問。
4.權(quán)利要求1�����、2或3的方法���,還包括將一個或多個訪問條件的集合與一種或多種能力的集合中的每種能力聯(lián)系起來���,其中每個訪問條件定義授權(quán)請求主體訪問受保護的資源的訪問約束。
5.權(quán)利要求4的方法�����,還包括將一個或多個權(quán)限的集合與一個或多個訪問條件的集合中的每個訪問條件聯(lián)系起來��,其中每個權(quán)限定義授權(quán)請求主體對受保護的資源進行訪問的訪問類型����。
6.權(quán)利要求1-5之任一權(quán)利要求的方法,還包括將“過濾器角色”列表與請求主體聯(lián)系起來��,其中“過濾器角色”列表為包含一個或多個角色的集合的多值屬性���;將“過濾器成員”列表與角色聯(lián)系起來��,其中“過濾器成員”列表為包含一個或多個主體的集合的多值屬性����;如果將請求主體添加到與角色關(guān)聯(lián)的“過濾器成員”列表中�,則將角色添加到與請求主體關(guān)聯(lián)的“過濾器角色”列表中;以及如果將角色添加到與請求主體關(guān)聯(lián)的“過濾器角色”列表中���,則將請求主體添加到與角色關(guān)聯(lián)的“過濾器成員”列表中��。
7.權(quán)利要求1-6之任一權(quán)利要求的方法��,還包括將“過濾器能力”列表與資源聯(lián)系起來�,其中“過濾器能力”列表為包含一種或多種能力的集合的多值屬性��;將“過濾器目標(biāo)”列表與能力聯(lián)系起來����,其中“過濾器目標(biāo)”列表為包含一種或多種資源的集合的多值屬性;如果將資源添加到與能力關(guān)聯(lián)的“過濾器目標(biāo)”列表中�����,則將能力添加到與資源關(guān)聯(lián)的“過濾器能力”列表中�����;以及如果將能力添加到與資源關(guān)聯(lián)的“過濾器能力”列表中,則將資源添加到與能力關(guān)聯(lián)的“過濾器目標(biāo)”列表中�。
8.權(quán)利要求1-7之任一權(quán)利要求的方法,還包括接收更新實例的通知�,其中實例的類型選自“主體”、“資源”��、“能力”或“角色”�����;確定實例的類型��;搜索其資源類型與實例類型匹配的能力�����;以及相對于實例運行匹配的能力的能力過濾器��。
9.權(quán)利要求8的方法�����,還包括如果確定實例類型為“主體”,則相對于該實例運行所有角色過濾器�����。
10.權(quán)利要求9的方法����,還包括如果確定實例類型為“角色”或“能力”��,則確定是否已更新該實例的過濾器��;以及如果確定該實例過濾器已更新�����,則根據(jù)該實例類型運行該實例過濾器�����。
11.一種對請求計算機系統(tǒng)中的受保護的資源的主體的訪問權(quán)限進行控制的設(shè)備��,其中將主體與至少一個角色聯(lián)系起來����,該裝置包括將角色過濾器和角色聯(lián)系起來的裝置;將一種或多種能力的集合與角色聯(lián)系起來的裝置;將能力過濾器與一種或多種能力的集合中的一種能力聯(lián)系起來的裝置���;以及根據(jù)請求主體和角色之間的聯(lián)系以及受保護的資源和角色的能力之間的聯(lián)系����,授權(quán)主體對受保護的資源進行訪問的裝置�。
12.權(quán)利要求11的設(shè)備,還包括評價角色過濾器的裝置���,用于確定與該角色關(guān)聯(lián)的一個或多個主體的集合��;以及評價能力過濾器的裝置�,用于確定與該能力關(guān)聯(lián)的一種或多種資源的集合�����。
13.權(quán)利要求11或12的設(shè)備��,還包括將資源類型與一種或多種能力的集合中的每種能力聯(lián)系起來的裝置��,其中每種能力定義對該資源類型的至少一種資源的訪問�����。
14.權(quán)利要求11、12或13的設(shè)備�����,還包括將一個或多個訪問條件的集合與一種或多種能力的集合中的每種能力聯(lián)系起來的裝置���,其中每個訪問條件定義授權(quán)請求主體訪問受保護的資源的訪問約束���。
15.權(quán)利要求14的設(shè)備,還包括將一個或多個權(quán)限的集合與一個或多個訪問條件的集合中的每個訪問條件聯(lián)系起來的裝置����,其中每種權(quán)限定義授權(quán)請求主體對受保護的資源進行訪問的訪問類型���。
16.權(quán)利要求11-15之任一權(quán)利要求的設(shè)備�,還包括將“過濾器角色”列表與請求主體聯(lián)系起來的裝置��,其中“過濾器角色”列表為包含一個或多個角色的集合的多值屬性�����;將“過濾器成員”列表與角色聯(lián)系起來的裝置�����,其中“過濾器成員”列表為包含一個或多個主體的集合的多值屬性;將請求主體添加到與角色關(guān)聯(lián)的“過濾器成員”列表中時�����,將角色添加到與該請求主體關(guān)聯(lián)的“過濾器角色”列表中的裝置�;以及將角色添加到與請求主體關(guān)聯(lián)的“過濾器角色”列表中時,將請求主體添加到與該角色關(guān)聯(lián)的“過濾器成員”列表中的裝置�。
17.權(quán)利要求11-16之任一權(quán)利要求的設(shè)備,還包括將“過濾器能力”列表與資源聯(lián)系起來的裝置�,其中“過濾器能力”列表為包含一種或多種能力的集合的多值屬性;將“過濾器目標(biāo)”列表與能力聯(lián)系起來的裝置��,其中“過濾器目標(biāo)”列表為包含一種或多種資源的集合的多值屬性�;將資源添加到與能力關(guān)聯(lián)的“過濾器目標(biāo)”列表中時,將該能力添加到與該資源關(guān)聯(lián)的“過濾器能力”列表中的裝置����;以及將能力添加到與資源關(guān)聯(lián)的“過濾器能力”列表中時,將該資源添加到與該能力關(guān)聯(lián)的“過濾器目標(biāo)”列表中的裝置�����。
18.權(quán)利要求11-17之任一權(quán)利要求的設(shè)備��,還包括接收更新實例的通知的裝置,其中實例的類型選自“主體”��、“資源”�、“能力”或“角色”;確定實例的類型的裝置�;搜索其資源類型與實例類型匹配的能力的裝置;以及相對于實例運行匹配的能力的能力過濾器的裝置���。
19.權(quán)利要求18的設(shè)備�����,還包括確定實例類型為“主體”時���,相對于實例運行所有角色過濾器的裝置�。
20.權(quán)利要求19的設(shè)備,還包括確定實例類型為“角色”或“能力”時����,確定是否已更新該實例的過濾器的裝置;以及確定該實例過濾器已更新時���,根據(jù)該實例類型運行該實例過濾器的裝置����。
21.一種數(shù)據(jù)處理系統(tǒng)中使用的計算機可讀介質(zhì)上的計算機程序產(chǎn)品,用于控制請求主體對受保護的資源的訪問權(quán)限��,其中將主體與至少一個角色聯(lián)系起來�����,該計算機程序產(chǎn)品包括將角色過濾器和角色聯(lián)系起來的指令����;將一種或多種能力的集合與角色聯(lián)系起來的指令;將能力過濾器與一種或多種能力的集合中的一種能力聯(lián)系起來的指令��;以及根據(jù)請求主體和角色之間的聯(lián)系以及受保護的資源和該角色的能力之間的聯(lián)系����,授權(quán)請求主體對受保護的資源進行訪問的指令。
22.權(quán)利要求21的計算機程序產(chǎn)品���,還包括評價角色過濾器的指令�����,用于確定與該角色關(guān)聯(lián)的一個或多個主體的集合����;以及評價能力過濾器的指令,用于確定與該能力關(guān)聯(lián)的一種或多種資源的集合�����。
23.權(quán)利要求21或22的計算機程序產(chǎn)品���,還包括將資源類型與一種或多種能力的集合中的每種能力聯(lián)系起來的指令�,其中每種能力定義對該資源類型的至少一種資源的訪問����。
24.權(quán)利要求21、22或23的計算機程序產(chǎn)品��,還包括將一個或多個訪問條件的集合與一種或多種能力的集合中的每種能力聯(lián)系起來的指令����,其中每個訪問條件定義授權(quán)請求主體訪問受保護的資源的訪問約束。
25.權(quán)利要求24的計算機程序產(chǎn)品���,還包括將一個或多個權(quán)限的集合與一個或多個訪問條件的集合中的每個訪問條件聯(lián)系起來的指令,其中每種權(quán)限定義授權(quán)請求主體對受保護的資源進行訪問的訪問類型�����。
26.權(quán)利要求21-25之任一權(quán)利要求的計算機程序產(chǎn)品,還包括將“過濾器角色”列表與請求主體聯(lián)系起來的指令���,其中“過濾器角色”列表為包含一個或多個角色的集合的多值屬性��;將“過濾器成員”列表與角色聯(lián)系起來的指令����,其中“過濾器成員”列表為包含一個或多個主體的集合的多值屬性����;將請求主體添加到與角色關(guān)聯(lián)的“過濾器成員”列表中時,將該角色添加到與請求主體關(guān)聯(lián)的“過濾器角色”列表中的指令�����;以及將角色添加到與請求主體關(guān)聯(lián)的“過濾器角色”列表中時���,將請求主體添加到與該角色關(guān)聯(lián)的“過濾器成員”列表中的指令��。
27.權(quán)利要求21-26之任一權(quán)利要求的計算機程序產(chǎn)品還包括將“過濾器能力”列表與資源聯(lián)系起來的指令���,其中“過濾器能力”列表為包含一種或多種能力的集合的多值屬性��;將“目標(biāo)過濾器”列表與能力聯(lián)系起來的指令�����,其中“過濾器目標(biāo)”列表為包含一種或多種資源的集合的多值屬性�����;將資源添加到與能力關(guān)聯(lián)的“過濾器目標(biāo)”列表中時���,將能力添加到與資源關(guān)聯(lián)的“過濾器能力”列表中的指令;以及將能力添加到與資源關(guān)聯(lián)的“過濾器能力”列表中時��,將資源添加到與能力關(guān)聯(lián)的“過濾器目標(biāo)”列表中的指令����。
28.權(quán)利要求21-27之任一權(quán)利要求的計算機程序產(chǎn)品,還包括接收更新實例的通知的指令�,其中實例的類型選自“主體”、“資源”��、“能力”或“角色”�;確定實例的類型的指令;搜索其資源類型與實例類型匹配的能力的指令���;以及相對實例運行匹配能力的能力過濾器的指令�����。
29.權(quán)利要求28的計算機程序產(chǎn)品�����,還包括確定實例類型為“主體”時���,相對于實例運行角色過濾器的指令。
30.權(quán)利要求29的計算機程序產(chǎn)品�,還包括確定實例類型為“角色”或“能力”時,確定是否已更新該實例的過濾器的指令��;以及確定該實例過濾器已更新時��,根據(jù)該實例類型運行該實例過濾器的指令���。
全文摘要
一種通過基于角色的訪問控制模型管理對資源的訪問的方法��、系統(tǒng)��、設(shè)備以及計算機程序產(chǎn)品���,基于角色的訪問控制模型包括使用角色過濾器和能力過濾器的動態(tài)更新功能����。為每個角色定義一個角色過濾器��,而不是直接將每個用戶與某個角色聯(lián)系起來��。通過評價角色過濾器確定與給定角色匹配的用戶�����,并且將匹配的用戶自動與給定的角色聯(lián)系起來����。除角色過濾器之外,每個命名的角色均包含一組能力��。每種能力包括一組訪問條件和一個能力過濾器����。每個訪問條件包括一組權(quán)限。管理員可以定義每種能力的能力過濾器���,而不是直接將每種資源與一種能力聯(lián)系起來��。當(dāng)添加�����、刪除或更改目標(biāo)實例時����,重新評價能力過濾器以保持適當(dāng)?shù)年P(guān)系集合�。
文檔編號G06F1/00GK1537262SQ02810345
公開日2004年10月13日 申請日期2002年5月8日 優(yōu)先權(quán)日2001年5月24日
發(fā)明者P·D·格里芬, G·科萊, G·A·威爾遜, P D 格里芬, 威爾遜 申請人:國際商業(yè)機器公司