專利名稱:在通過多路入口訪問的網(wǎng)絡(luò)資源中管理安全資源的制作方法
背景技術(shù):
本發(fā)明一般涉及數(shù)據(jù)通訊系統(tǒng)��,以及特別涉及利用網(wǎng)絡(luò)入口訪問一個(gè)以一個(gè)安全服務(wù)器作主機(jī)的安全資源��。
概述通常����,一方面��,本發(fā)明特點(diǎn)在于一個(gè)授權(quán)網(wǎng)絡(luò)入口的用戶訪問一個(gè)以一個(gè)安全服務(wù)器作主機(jī)的安全資源的裝置����。它包括一個(gè)存儲(chǔ)多個(gè)用戶標(biāo)識(shí)符的授權(quán)表,每個(gè)標(biāo)識(shí)符代表一個(gè)特有入口的用戶��,為每一個(gè)用戶標(biāo)識(shí)符存儲(chǔ)一個(gè)訪問該安全資源的權(quán)限����,其中該授權(quán)表存儲(chǔ)一個(gè)代表一個(gè)客戶入口的代理用戶標(biāo)識(shí)符以及該客戶入口的所有用戶訪問該安全資源的優(yōu)先權(quán);一個(gè)從所述特有入口接收一個(gè)訪問該安全資源的第一請求的策略管理器�����,該第一請求包括一個(gè)代表該特有入口的一個(gè)用戶的第一用戶標(biāo)識(shí)符����,其中該策略管理器根據(jù)存儲(chǔ)在授權(quán)表中的用于第一用戶標(biāo)識(shí)符的訪問權(quán)限授權(quán)該特有入口的用戶對安全資源進(jìn)行訪問��,并且其中該策略管理器從客戶入口接收訪問該安全資源的第二請求���,該第二請求包括一個(gè)代表該客戶入口的用戶的用戶標(biāo)識(shí)符和一個(gè)代表該客戶入口的入口標(biāo)識(shí)符,其中該策略管理器根據(jù)存儲(chǔ)在該授權(quán)表中的用于所述代理用戶標(biāo)識(shí)符的訪問權(quán)限授權(quán)該特有入口的用戶對該安全資源進(jìn)行訪問���。
具體實(shí)施例方式
可能包括一個(gè)或多個(gè)以下的特征��。該第一請求包括一個(gè)代表所述特有入口的入口標(biāo)識(shí)符�����,該實(shí)施方式還包括一個(gè)入口庫���,用以接收第一請求���,和利用第一請求中的入口標(biāo)識(shí)符來認(rèn)證該特有入口��,實(shí)施方式還包括所述特有入口���,其中該自有入口從該特有入口的用戶接收一個(gè)第三請求用以訪問安全資源���,該第三請求包括第一用戶標(biāo)識(shí)符和與該用戶的自有入口關(guān)聯(lián)的安全憑證;和基于第一用戶標(biāo)識(shí)符和與該特有入口的用戶關(guān)聯(lián)的安全憑證來認(rèn)證該特有入口的用戶的庫。實(shí)施方式還可能包括一個(gè)入口策略管理器來基于第一用戶標(biāo)識(shí)符授權(quán)特有入口的用戶���,當(dāng)該特有入口的用戶被入口策略管理器成功地授權(quán)時(shí),該特有入口發(fā)送第一請求給安全服務(wù)器����。實(shí)施方式還包括一個(gè)入口庫用以接收第二請求,和利用第二請求中的入口標(biāo)識(shí)符認(rèn)證客戶入口�。實(shí)施方式還包括客戶入口��,其中該客戶入口從該客戶入口的用戶接收訪問安全資源的一個(gè)第四請求��,該第四請求包括第二用戶標(biāo)識(shí)符和與該客戶入口的用戶關(guān)聯(lián)的安全憑證��,和基于該第二用戶標(biāo)識(shí)符和與客戶入口關(guān)聯(lián)的安全憑證來認(rèn)證該客戶入口的用戶的用戶庫����。實(shí)施方式還包括一個(gè)入口策略管理器來基于所述第二用戶標(biāo)識(shí)符授權(quán)該客戶入口的用戶,其中當(dāng)所述客戶入口的用戶被入口策略管理器成功地授權(quán)時(shí)��,該客戶入口發(fā)送第二請求給安全服務(wù)器��。
通常,一方面���,該發(fā)明特征在于一種授權(quán)網(wǎng)絡(luò)入口的用戶訪問一個(gè)以一個(gè)安全服務(wù)器作主機(jī)的安全資源的方法���,裝置和計(jì)算機(jī)可讀介質(zhì),它包括存儲(chǔ)多個(gè)用戶標(biāo)識(shí)符�,每個(gè)標(biāo)識(shí)符代表一個(gè)特有入口的用戶;為每一個(gè)用戶標(biāo)識(shí)符存儲(chǔ)一個(gè)訪問該安全資源的權(quán)限���,存儲(chǔ)代表一個(gè)客戶入口的代理用戶標(biāo)識(shí)符以及一個(gè)訪問該安全資源的客戶訪問權(quán)限,用于該客戶入口的所有用戶����;從該特有入口接收訪問安全資源的第一請求,該第一請求包括一個(gè)代表該特有入口的一個(gè)用戶的第一用戶標(biāo)識(shí)符����,根據(jù)存儲(chǔ)第一用戶標(biāo)識(shí)符授權(quán)所述特有入口的用戶對安全資源進(jìn)行訪問,從客戶入口接收訪問該安全資源的第二請求�����,該第二請求包括一個(gè)代表該客戶入口的用戶的第二用戶標(biāo)識(shí)符和一個(gè)代表該客戶入口的入口標(biāo)識(shí)符�,根據(jù)存儲(chǔ)在授權(quán)表中的用于代理用戶標(biāo)識(shí)符的客戶訪問權(quán)限授權(quán)該客戶入口的用戶對安全資源進(jìn)行訪問���。
具體實(shí)施例方式
可能包括一個(gè)或多個(gè)以下的特征。第一請求包括一個(gè)代表特有入口的入口標(biāo)識(shí)符��,實(shí)施方式還包括接收第一請求���,和利用該第一請求中的入口標(biāo)識(shí)符來認(rèn)證該特有入口���,實(shí)施方式還包括在特有入口從該特有入口的用戶接收一個(gè)訪問所述安全資源的第三請求,該第三請求包括第一用戶標(biāo)識(shí)符和一個(gè)與該特有入口的用戶關(guān)聯(lián)的安全憑證��;和基于該第一用戶標(biāo)識(shí)符和與該特有入口的用戶關(guān)聯(lián)的安全憑證認(rèn)證該特有入口的用戶�����。實(shí)施方式還可能包括在特有入口基于該第一用戶標(biāo)識(shí)符授權(quán)該特有入口的用戶���,當(dāng)該特有入口的用戶被成功地授權(quán)時(shí)����,將該第一請求從特有入口發(fā)送給安全服務(wù)器����。實(shí)施方式還可以包括接收第二請求�����,和利用該第二請求中的入口標(biāo)識(shí)符識(shí)別客戶入口��。實(shí)施方式還可包括在客戶入口從該客戶入口的用戶接收訪問所述安全資源的第四請求��,該第四請求包括第二用戶標(biāo)識(shí)符和與客戶入口的用戶關(guān)聯(lián)的安全憑證���;和基于所述第二用戶標(biāo)識(shí)符和一個(gè)與該客戶入口的用戶關(guān)聯(lián)的安全憑證來認(rèn)證所述客戶入口的用戶。實(shí)施方式還可包括在客戶入口基于第二用戶標(biāo)識(shí)符授權(quán)該客戶入口的用戶�,當(dāng)該客戶入口的用戶被入口策略管理器成功地授權(quán)時(shí),將來自客戶入口的第二請求發(fā)送給安全服務(wù)器��。
一個(gè)或多個(gè)實(shí)施方式的細(xì)節(jié)在下列相應(yīng)的附圖和描述中被提出�。其它的特征可以從該描述�����、附圖����,和從權(quán)利要求中很明顯地得出。
圖1示出了一個(gè)通訊系統(tǒng)100����。
圖2示出了根據(jù)一個(gè)實(shí)施例����,如圖1所示的通訊系統(tǒng)授權(quán)一個(gè)客戶端的用戶訪問一個(gè)以安全服務(wù)器作主機(jī)的安全資源時(shí)的操作過程��。
圖3示出了根據(jù)一個(gè)實(shí)施例��,如圖1所示的通訊系統(tǒng)創(chuàng)建一個(gè)以安全服務(wù)器作主機(jī)的項(xiàng)目時(shí)的操作過程�。
圖4示出了根據(jù)一個(gè)實(shí)施例,如圖1所示的通訊系統(tǒng)給客戶入口的用戶提供對安全資源的訪問時(shí)的操作過程�。
在說明書中用到的每一個(gè)參考數(shù)字的最主要的數(shù)字與附圖中第一次出現(xiàn)的相關(guān)的該數(shù)字指示相同的部分。
詳細(xì)說明在這里所用到的術(shù)語“客戶機(jī)”和“服務(wù)器”通常指的是一個(gè)電子設(shè)備或機(jī)構(gòu)��,術(shù)語“消息”通常指的是一個(gè)代表數(shù)字消息的電子信號(hào)����。在這里所用到的術(shù)語“機(jī)構(gòu)”指的是硬件、軟件����,或其任意組合。這些術(shù)語使得下述的描述簡單化��。在這里描述的客戶機(jī)、服務(wù)器�����,和機(jī)構(gòu)可以在任何標(biāo)準(zhǔn)的通用計(jì)算機(jī)上實(shí)現(xiàn)���,或者作為專用設(shè)備實(shí)現(xiàn)����。
圖1示出了一個(gè)通訊系統(tǒng)100�����。通訊系統(tǒng)100包括一個(gè)特有入口102和一個(gè)客戶入口104���。每個(gè)入口服務(wù)一個(gè)或多個(gè)客戶機(jī)����。特有入口102服務(wù)多個(gè)包含客戶機(jī)106和108的客戶機(jī)���。客戶入口104服務(wù)多個(gè)包含客戶機(jī)110和112的客戶機(jī)���。
在這里具體討論的實(shí)施方式中����,一個(gè)用戶使用一臺(tái)客戶機(jī)發(fā)送消息,例如對入口資源的請求����,給服務(wù)該客戶機(jī)的入口。在其它的實(shí)施方式中�,客戶機(jī)自動(dòng)操作,沒有用戶的干預(yù)��。每一個(gè)入口利用一個(gè)用戶庫認(rèn)證它的用戶�,并使用入口策略管理器授權(quán)其客戶機(jī)訪問入口資源。再次參看圖1�,特有入口102利用一個(gè)特有入口(OP)用戶庫114和一個(gè)特有入口(OP)策略管理器116?��?蛻羧肟?04利用一個(gè)客戶入口(GP)用戶庫118和一個(gè)客戶入口(GP)策略管理器120�����。
用戶庫114�,118是認(rèn)證用戶的應(yīng)用�����;那就是說,該用戶庫通過比較由用戶提供的認(rèn)證信息和存儲(chǔ)在用戶庫中的信息來識(shí)別用戶的身份�。用戶識(shí)別信息一般包括用于每個(gè)用戶的一個(gè)用戶標(biāo)識(shí)符和一個(gè)安全憑證。在一些實(shí)施方式中�,入口102,104利用http基本認(rèn)證來認(rèn)證用戶���,用戶標(biāo)識(shí)符是一個(gè)用戶標(biāo)識(shí)���,安全憑證是密碼。用戶庫114�,118可以通過入口102,104而作為主機(jī)�����,或可以是外部提供的應(yīng)用�,例如輕便目錄訪問協(xié)議(LDAP)設(shè)備。
入口策略管理器116�,120是根據(jù)用戶指派的規(guī)則和權(quán)限授權(quán)用戶執(zhí)行特定任務(wù)的應(yīng)用,例如訪問安全信息或資源����。每一個(gè)入口策略管理器授權(quán)由該入口服務(wù)的客戶機(jī)訪問由該入口提供的入口資源。這些資源可包括給用戶提供信息及其它���。由入口提供的一些資源被其它的服務(wù)器管理��。再次參看圖1�,由入口102提供的一些資源是由安全服務(wù)器122管理的安全資源��。安全資源是那些需要用戶被授權(quán)才能訪問的資源�。
一種類型的安全資源是一個(gè)項(xiàng)目,一個(gè)項(xiàng)目只能由擔(dān)當(dāng)團(tuán)體管理角色的特有入口的用戶來創(chuàng)建�,如以下所述。OP策略管理器116存儲(chǔ)允許在安全服務(wù)器122上創(chuàng)建方案的團(tuán)體管理者的用戶標(biāo)識(shí)符�����。一個(gè)項(xiàng)目擔(dān)當(dāng)其它類型的安全資源的容器����,例如事件、重要事件���、討論�����、文件����、文件夾,以及其它��。安全資源策略管理器126存儲(chǔ)允許訪問由安全服務(wù)器122管理的安全資源的用戶的用戶標(biāo)識(shí)符�。每一個(gè)以安全服務(wù)器122作為主機(jī)的安全資源,安全服務(wù)器策略管理器126存儲(chǔ)允許訪問安全資源的用戶和每一個(gè)用戶對該安全資源的訪問權(quán)限�。在一個(gè)實(shí)施方式中,訪問權(quán)限根據(jù)角色來定義��。每一個(gè)用于安全資源的角色有一個(gè)訪問級別和活動(dòng)安全����。例如,在一個(gè)討論中�,擁有一個(gè)具備最高訪問級別的角色的用戶允許他改變討論的名稱和描述,并編輯它的安全策略��,同時(shí)����,擁有一個(gè)較底的訪問級別的角色的用戶卻不可以?;顒?dòng)安全設(shè)置允許特別的用戶在討論中開啟新的思路并回答消息���。
圖2示出了根據(jù)一個(gè)實(shí)施例����,通訊系統(tǒng)100授權(quán)一個(gè)客戶端106的用戶訪問一個(gè)以安全服務(wù)器122作主機(jī)的安全資源時(shí)的操作過程200。一個(gè)用戶操作客戶端106去請求安全資源(步驟202)��?���?蛻舳?06將消息發(fā)送到入口102,請求訪問安全資源(步驟204)���。該消息包括用戶認(rèn)證信息��,例如一個(gè)包括用戶的用戶標(biāo)識(shí)和密碼的一個(gè)http基本認(rèn)證標(biāo)題��,一個(gè)由入口102在一個(gè)預(yù)先的成功識(shí)別后發(fā)出的cookie���,等等。用戶庫114試圖識(shí)別用戶(步驟206)��。
在成功地被認(rèn)證后�����,策略管理器116檢測該請求從而確定是否用戶必須被入口102授權(quán)。訪問由入口102提供的安全資源的請求需要被入口102授權(quán)�����。因此入口102試圖授權(quán)用戶與安全服務(wù)器122進(jìn)行通訊(步驟208)�����。策略管理器116和120存儲(chǔ)被允許與安全服務(wù)器122通訊的用戶的用戶標(biāo)識(shí)符�����。策略管理器116決定是否用戶被授權(quán)與安全服務(wù)器122進(jìn)行通訊����。如果授權(quán)失敗�����,入口102通知用戶����。
在成功地被認(rèn)證后��,入口102然后發(fā)送請求�����,和入口授權(quán)信息,給安全服務(wù)器122(步驟210)���。該入口授權(quán)信息包括用于該入口的認(rèn)證信息�����,例如一個(gè)包括入口的入口標(biāo)識(shí)符和密碼的一個(gè)http基本認(rèn)證標(biāo)題����,一個(gè)由安全服務(wù)器122在一個(gè)預(yù)先的成功識(shí)別后發(fā)出的cookie�,等等。一個(gè)入口庫124試圖通過比較該認(rèn)證信息和儲(chǔ)存在入口庫124中的信息來認(rèn)證該入口(步驟212)。在入口102的成功認(rèn)證后,入口庫124信賴入口102,因此不再試圖認(rèn)證用戶�。
在入口102的成功認(rèn)證后�����,安全服務(wù)器策略管理器126試圖授權(quán)用戶訪問請求的安全資源;換句話說�����,策略管理器126決定是否用戶被授權(quán)訪問用戶所請求的安全資源(步驟214)���。對于每一個(gè)以安全服務(wù)器122作主機(jī)的安全資源,策略管理器126包括一個(gè)存儲(chǔ)被授權(quán)訪問安全資源的入口102的用戶的用戶標(biāo)識(shí)符的授權(quán)表��,每一個(gè)用戶的角色�����,和與角色關(guān)聯(lián)的權(quán)限�。在一些實(shí)施方式中����,角色包括領(lǐng)導(dǎo)、成員和客人����,并且權(quán)限包括讀訪問和寫訪問。在成功的授權(quán)后����,安全服務(wù)器122根據(jù)用戶的權(quán)限準(zhǔn)許用戶訪問安全資源(步驟216)��。
入口102的某些用戶可以在安全服務(wù)器122上創(chuàng)建項(xiàng)目��。入口策略管理器116為入口102所服務(wù)的每一個(gè)用戶定義角色和權(quán)限�。其中的一個(gè)角色是團(tuán)體管理員����。團(tuán)體管理員具有創(chuàng)建項(xiàng)目的權(quán)限。
圖3示出了根據(jù)一個(gè)實(shí)施例�����,通訊系統(tǒng)100創(chuàng)建一個(gè)由安全服務(wù)器122管理的項(xiàng)目的操作過程300�。具有團(tuán)體管理員(以下簡稱“團(tuán)體管理員”)的角色的用戶操作客戶端108以請求創(chuàng)建項(xiàng)目(步驟302)。所以客戶端108將一個(gè)請求創(chuàng)建項(xiàng)目的消息發(fā)送給入口102(步驟304)��。該消息包括用戶認(rèn)證信息���。用戶庫114試圖通過比較該認(rèn)證信息和儲(chǔ)存在用戶庫114中的信息來認(rèn)證團(tuán)體管理員(步驟306)���。
在成功地被認(rèn)證后,策略管理器116檢測該請求從而確定是否團(tuán)體管理員被授權(quán)��。創(chuàng)建方案的請求需要入口102的授權(quán)。因此����,策略管理器116試圖通過比較團(tuán)體管理員的身份和由策略管理器116存儲(chǔ)的信息來授權(quán)團(tuán)體管理員(步驟308)。策略管理器116確定該團(tuán)體管理員具備團(tuán)體管理員的角色�����,因此����,該團(tuán)體管理員具有創(chuàng)建項(xiàng)目的權(quán)限。因此策略管理器116授權(quán)該團(tuán)體管理員���。
在成功地被認(rèn)證后����,入口102然后發(fā)送請求,和入口認(rèn)證信息�����,給安全服務(wù)器122(步驟310)�����。因?yàn)橛脩羰且粋€(gè)團(tuán)體管理員,入口102包括一個(gè)包含在請求中的角色標(biāo)識(shí)符來標(biāo)識(shí)所述用戶為團(tuán)體管理員���。入口庫124試圖依靠比較認(rèn)證信息和存儲(chǔ)在入口庫124中的信息來檢驗(yàn)該入口(步驟312)�。在入口102的成功認(rèn)證后����,入口庫124信賴入口102,因而不再試圖認(rèn)證團(tuán)體管理員��。該安全服務(wù)器也信賴由入口102提供的角色標(biāo)識(shí)符�����,因此允許該團(tuán)體管理員創(chuàng)建一個(gè)新的項(xiàng)目�。
團(tuán)體管理員然后創(chuàng)建項(xiàng)目(步驟314)。在團(tuán)體管理員創(chuàng)建一個(gè)項(xiàng)目后��,他選擇他希望訪問該項(xiàng)目的用戶���,為每一個(gè)用戶指定一個(gè)角色��。安全服務(wù)器策略管理器126然后為該項(xiàng)目存儲(chǔ)能夠訪問該項(xiàng)目的用戶的身份����,該項(xiàng)目的每一個(gè)用戶的角色,和為每一個(gè)角色指定的權(quán)限�����。這些信息存儲(chǔ)在一個(gè)用于該項(xiàng)目的授權(quán)表中����。
通常,安全服務(wù)器122和以其管理的安全資源由特有入口的管理員創(chuàng)建����。換句話說,該特有入口“擁有”安全服務(wù)器122和其上管理的安全資源。有時(shí)��,需要允許其它入口,在這里稱為“客戶入口”的用戶來訪問該特有入口擁有的安全資源�����。例如,一個(gè)汽車公司Carco已經(jīng)建立了特有入口102和一個(gè)安全服務(wù)器122����,并以生產(chǎn)進(jìn)度表的形式建立了一個(gè)在該安全服務(wù)器上的安全資源��。一個(gè)零部件公司Partco給Carco提供汽車零件����。為了方便操作�����,Carco將允許Partco有限的訪問生產(chǎn)進(jìn)度表���。
圖4示出了根據(jù)一個(gè)實(shí)施例,通訊系統(tǒng)100給客戶入口的用戶提供對安全資源的訪問的操作過程400。一個(gè)特有入口102的管理員給客戶入口104指定一個(gè)代理用戶標(biāo)識(shí)符(步驟402)。該代理用戶標(biāo)識(shí)符代表客戶入口104的所有用戶��。管理員然后將該代理用戶標(biāo)識(shí)符與一個(gè)角色關(guān)聯(lián)(步驟404)��。該角色傳遞特定的訪問權(quán)限給安全資源�。因此�����,客戶入口104的所有客戶擁有對安全資源的相同的訪問權(quán)限���。該代理用戶標(biāo)識(shí)符與客戶入口104的入口標(biāo)識(shí)符有關(guān)聯(lián)。該客戶入口104的代理用戶標(biāo)識(shí)符,入口標(biāo)識(shí)符和角色被存儲(chǔ)在安全服務(wù)器策略管理器126中的認(rèn)證表中�。該客戶入口104的入口標(biāo)識(shí)符和安全憑證被存儲(chǔ)在入口庫124中。
由客戶入口104服務(wù)的一個(gè)客戶端��,即客戶端110���,的用戶產(chǎn)生一個(gè)訪問以安全服務(wù)器122為主機(jī)的安全資源的請求(步驟406)����。客戶端110發(fā)送一個(gè)消息給客戶入口104�����,請求訪問安全資源(步驟408)�����?��?蛻羧肟?04接收到該請求,試圖以類似于特有入口102所述的方式認(rèn)證該用戶(步驟410)�����。在成功的認(rèn)證后,客戶入口104試圖以類似于特有入口102所述的方式授權(quán)該用戶(步驟412)�����。在成功的授權(quán)后,客戶入口104將請求傳遞給安全服務(wù)器122(步驟414)���。入口庫124試圖如特有入口102所述的方式認(rèn)證該入口(步驟416)�����。在成功的授權(quán)后,策略管理器126試圖授權(quán)該用戶(步驟418)。
該請求包括一個(gè)用于客戶入口104的入口標(biāo)識(shí)符��。策略管理器126利用該請求中的入口標(biāo)識(shí)符來在授權(quán)表中定位該用戶入口的角色�����。如果該入口標(biāo)識(shí)符沒有被找到����,用戶就不被授權(quán)���,該訪問請求被拒絕����。如果該入口標(biāo)識(shí)符被找到�,則相應(yīng)與指定給代理用戶標(biāo)識(shí)符的與入口標(biāo)識(shí)符相關(guān)的角色的權(quán)限的訪問被授予(步驟420)。
在這里所述的技術(shù)允許一個(gè)企業(yè)網(wǎng)絡(luò)管理員授權(quán)其它團(tuán)體有限地訪問安全的企業(yè)資源�����,而不需要其它的團(tuán)體暴露自己企業(yè)的用戶庫�。回到Carco/Partco的例子,盡管Partco期望去觀看Carco的生產(chǎn)進(jìn)度表�,Partco可能并不希望公開所有的包含在用戶庫中的雇員信息。
這些技術(shù)也允許一個(gè)企業(yè)網(wǎng)絡(luò)管理員很容易地為其他的團(tuán)體提供有限的訪問��。該管理員無需處理另一個(gè)用戶庫��,只需要處理客戶入口代表的大量用戶����,同時(shí)可以快速方便地指定具有相同的訪問權(quán)限的用戶。例如��,Carco可能期望Partco觀看它的生產(chǎn)進(jìn)度表�,但是可能不允許Partco修改該進(jìn)度表。
該發(fā)明可以實(shí)現(xiàn)為數(shù)字電子電路���,或在計(jì)算機(jī)硬件��、固件����、軟件���,或它們的組合�。該發(fā)明的裝置可以實(shí)現(xiàn)為計(jì)算機(jī)程序產(chǎn)品,具體實(shí)現(xiàn)為一個(gè)用來由一個(gè)可編程處理器來執(zhí)行的機(jī)器可讀存儲(chǔ)設(shè)備���;該發(fā)明的方法步驟可以由執(zhí)行一個(gè)通過操作輸入數(shù)據(jù)和產(chǎn)生輸出的指令程序以實(shí)現(xiàn)本發(fā)明的功能的計(jì)算機(jī)可編程處理器來實(shí)現(xiàn)���。該發(fā)明還可以更優(yōu)選地在一個(gè)或多個(gè)計(jì)算機(jī)程序中來實(shí)現(xiàn)。該程序在包含至少一個(gè)與數(shù)據(jù)存儲(chǔ)系統(tǒng)連接并從中接收數(shù)據(jù)和指令以及向其發(fā)送數(shù)據(jù)和指令的一個(gè)可編程系統(tǒng)中執(zhí)行�����,該可編程系統(tǒng)還包括至少一個(gè)輸入設(shè)備����,和至少一個(gè)輸出設(shè)備��。每一個(gè)計(jì)算機(jī)程序可以通過高級進(jìn)程或面向?qū)ο蟮木幊陶Z言實(shí)現(xiàn)�,或如果需要的話,還可實(shí)現(xiàn)為組件或機(jī)器語言���;在任何情形下�,該語言可以是編譯或解釋的語言�����。適當(dāng)?shù)奶幚砥靼ǎ鳛槔?,所有通用的或?qū)S玫奈⑻幚砥鳌Mǔ?�,處理器將從只讀存儲(chǔ)器和/或隨機(jī)存儲(chǔ)器接收指令和數(shù)據(jù)�。通常,計(jì)算機(jī)包括一個(gè)或多個(gè)大容量存儲(chǔ)設(shè)備����,用以存儲(chǔ)數(shù)據(jù)文件;這樣的設(shè)備包括磁盤���、例如內(nèi)部硬盤和可移動(dòng)磁盤�����;磁光盤�;和光盤���。用于和明白地實(shí)施計(jì)算機(jī)程序指令和數(shù)據(jù)的存儲(chǔ)設(shè)備包括所有形式的非易失性存儲(chǔ)器�����,包括作為例子的半導(dǎo)體存儲(chǔ)裝置����,例如電可編程只讀存儲(chǔ)器、電可擦除只讀存儲(chǔ)器和閃存設(shè)備��;磁盤例如內(nèi)部硬盤和可移動(dòng)磁盤�����;磁光盤���;和只讀光盤���。前述的任何可以作為補(bǔ)充,或合為一體的����,ASICs(特定用途集成電路)����。
本發(fā)明的許多的實(shí)施方式已經(jīng)被描述。然而���,在不脫離本發(fā)明精神和范圍的前提下做多種改變是很顯而易見的���。相應(yīng)地��,其它的實(shí)施方式也包含在下述相應(yīng)的權(quán)利要求的范圍內(nèi)��。
權(quán)利要求
1.一種授權(quán)網(wǎng)絡(luò)入口的用戶訪問以一個(gè)安全服務(wù)器作主機(jī)的安全資源的設(shè)備�����,包括用于存儲(chǔ)多個(gè)用戶標(biāo)識(shí)符的授權(quán)表���,每個(gè)標(biāo)識(shí)符代表一個(gè)特有入口的用戶,并且為每一個(gè)用戶標(biāo)識(shí)符存儲(chǔ)一個(gè)訪問該安全資源的權(quán)限���;其中該授權(quán)表存儲(chǔ)代表一個(gè)客戶入口的代理用戶標(biāo)識(shí)符以及該客戶入口的所有用戶訪問該安全資源的權(quán)限���;一個(gè)用于從所述特有入口接收訪問該安全資源的第一請求的策略管理器,該第一請求包括代表該特有入口的一個(gè)用戶的第一用戶標(biāo)識(shí)符�,其中該策略管理器根據(jù)存儲(chǔ)在該授權(quán)表中的用于該第一用戶標(biāo)識(shí)符的訪問權(quán)限授權(quán)該特有入口的用戶對安全資源進(jìn)行訪問;其中該策略管理器從客戶入口接收訪問該安全資源的第二請求����,該第二請求包括代表該客戶入口的用戶的第二用戶標(biāo)識(shí)符和代表該客戶入口的入口標(biāo)識(shí)符,其中該策略管理器根據(jù)存儲(chǔ)在授權(quán)表中的用于該代理用戶標(biāo)識(shí)符的客戶訪問權(quán)限授權(quán)該客戶入口的用戶對安全資源進(jìn)行訪問����。
2.如權(quán)利要求1所述的設(shè)備�����,其中所述第一請求包括一個(gè)代表所述特有入口的入口標(biāo)識(shí)符��,進(jìn)一步包括用于接收該第一請求的入口庫���,并利用該第一請求中的入口標(biāo)識(shí)符認(rèn)證所述特有入口。
3.如權(quán)利要求1所述的設(shè)備�����,進(jìn)一步包括所述特有入口����,其中該特有入口從該特有入口的用戶接收一個(gè)訪問安全資源的第三請求,該第三請求包括所述第一用戶標(biāo)識(shí)符和與該特有入口的用戶關(guān)聯(lián)的安全憑證�����;以及基于所述第一用戶標(biāo)識(shí)符和與所述特有入口的用戶關(guān)聯(lián)的安全憑證���,認(rèn)證所述特有入口的用戶的用戶庫���。
4.如權(quán)利要求3所述的設(shè)備,進(jìn)一步包括一個(gè)入口策略管理器����,用于基于該第一用戶標(biāo)識(shí)符授權(quán)該特有入口的用戶,以及其中���,當(dāng)該特有入口的用戶被入口策略管理器成功地授權(quán)時(shí)�,該特有入口發(fā)送所述第一請求給安全服務(wù)器�����。
5.如權(quán)利要求1所述的設(shè)備���,進(jìn)一步包括一個(gè)入口庫��,用以接收所述第二請求����,和利用該第二請求中的入口標(biāo)識(shí)符識(shí)別所述客戶入口����。
6.如權(quán)利要求1所述的設(shè)備��,進(jìn)一步包括所述客戶入口�����,其中該客戶入口從該客戶入口的用戶接收訪問安全資源的第四請求����,該第四請求包括第二用戶標(biāo)識(shí)符和相應(yīng)于客戶入口的用戶的安全憑證�����,以及用戶庫�,用于基于所述第二用戶標(biāo)識(shí)符和一個(gè)相應(yīng)于該客戶入口的用戶的安全憑證,認(rèn)證該客戶入口的用戶���。
7.如權(quán)利要求6所述的設(shè)備�,進(jìn)一步包括一個(gè)入口策略管理器���,用于基于所述第二用戶標(biāo)識(shí)符來授權(quán)所述客戶入口的用戶����,以及其中當(dāng)所述客戶入口的用戶被入口策略管理器成功地授權(quán)時(shí),該客戶入口發(fā)送所述第二請求給安全服務(wù)器���。
8.一種授權(quán)網(wǎng)絡(luò)入口的用戶訪問一個(gè)以一個(gè)安全服務(wù)器作主機(jī)的安全資源的設(shè)備,包括用以存儲(chǔ)多個(gè)用戶標(biāo)識(shí)符的裝置�����,每個(gè)標(biāo)識(shí)符代表一個(gè)特有入口的用戶��,為每一個(gè)用戶標(biāo)識(shí)符存儲(chǔ)一個(gè)訪問該安全資源的權(quán)限����;其中該用于存儲(chǔ)的裝置存儲(chǔ)代表一個(gè)客戶入口的代理用戶標(biāo)識(shí)符,以及一個(gè)訪問該安全資源的客戶訪問權(quán)限�,用于該客戶入口的所有用戶;用于從所述特有入口接收訪問該安全資源的第一請求的策略管理器裝置���,該第一請求包括一個(gè)代表特有入口的用戶的第一用戶標(biāo)識(shí)符���,其中該策略管理器根據(jù)存儲(chǔ)在授權(quán)表中的用于該第一用戶標(biāo)識(shí)符的訪問權(quán)限授權(quán)該特有入口的用戶對安全資源進(jìn)行訪問;其中該策略管理器裝置從所述客戶入口接收訪問該安全資源的第二請求�,該第二請求包括一個(gè)代表所述客戶入口的用戶的第二用戶標(biāo)識(shí)符和一個(gè)代表該客戶入口的入口標(biāo)識(shí)符,其中該策略管理器根據(jù)存儲(chǔ)在授權(quán)表中的用于所述代理用戶標(biāo)識(shí)符的客戶訪問權(quán)限授權(quán)該特有入口的用戶對安全資源進(jìn)行訪問��。
9.如權(quán)利要求8所述的設(shè)備,其中第一請求包括一個(gè)代表特有入口的入口標(biāo)識(shí)符���,進(jìn)一步包括一個(gè)用以接收所述第一請求�����,和利用第一請求中的入口標(biāo)識(shí)符認(rèn)證所述特有入口的入口庫裝置����。
10.如權(quán)利要求8所述的設(shè)備���,進(jìn)一步包括所述特有入口����,其中該特有入口從該特有入口的用戶接收訪問安全資源的第三請求����,該第三請求包括所述第一用戶標(biāo)識(shí)符和一個(gè)相應(yīng)于該特有入口的用戶的安全憑證;以及用戶庫裝置����,用于基于第一用戶標(biāo)識(shí)符和一個(gè)相應(yīng)于特有入口的用戶的安全憑證,認(rèn)證該特有入口的用戶��。
11.如權(quán)利要求10所述的設(shè)備,進(jìn)一步包括一個(gè)入口策略管理器裝置����,用來基于第一用戶標(biāo)識(shí)符授權(quán)該特有入口的用戶,以及其中��,當(dāng)該特有入口的用戶被入口策略管理器成功地授權(quán)時(shí)���,該特有入口發(fā)送所述第一請求給安全服務(wù)器。
12.如權(quán)利要求8所述的設(shè)備��,進(jìn)一步包括入口庫裝置�����,用以接收所述第二請求�,和利用該第二請求中的入口標(biāo)識(shí)符認(rèn)證客戶入口。
13.如權(quán)利要8所述的設(shè)備���,進(jìn)一步包括客戶入口�����,其中該客戶入口從該客戶入口的用戶接收一個(gè)訪問安全資源的第四請求�,該第四請求包括第二用戶標(biāo)識(shí)符和相應(yīng)于客戶入口的用戶的安全憑證,以及用戶庫裝置����,用于基于所述第二用戶標(biāo)識(shí)符和一個(gè)相應(yīng)于客戶入口的用戶的安全憑證,認(rèn)證所述客戶入口的用戶�。
14.如權(quán)利要求13所述的設(shè)備,進(jìn)一步包括一個(gè)入口策略管理器裝置�,用來基于第二用戶標(biāo)識(shí)符授權(quán)所述客戶入口的用戶,以及其中當(dāng)該客戶入口的用戶被入口策略管理器成功地授權(quán)時(shí)��,該客戶入口發(fā)送該第二請求給安全服務(wù)器���。
15.一種授權(quán)網(wǎng)絡(luò)入口的用戶訪問一個(gè)以安全服務(wù)器作主機(jī)的安全資源的方法�,包括存儲(chǔ)多個(gè)用戶標(biāo)識(shí)符��,每個(gè)標(biāo)識(shí)符代表一個(gè)特有入口的用戶����;為每一個(gè)用戶標(biāo)識(shí)符存儲(chǔ)一個(gè)訪問該安全資源的權(quán)限;存儲(chǔ)一個(gè)代表一個(gè)客戶入口的代理用戶標(biāo)識(shí)符以及訪問該安全資源的客戶訪問權(quán)限���,用于該客戶入口的所有用戶����;從所述特有入口接收一個(gè)訪問該安全資源的第一請求,該第一請求包括一個(gè)代表特有入口的用戶的第一用戶標(biāo)識(shí)符���;根據(jù)存儲(chǔ)在授權(quán)表中的用于第一用戶標(biāo)識(shí)符的訪問權(quán)限授權(quán)該特有入口的用戶對安全資源進(jìn)行訪問��;從所述客戶入口接收訪問該安全資源的第二請求����,該第二請求包括一個(gè)代表所述客戶入口的用戶的第二用戶標(biāo)識(shí)符和一個(gè)代表該客戶入口的入口標(biāo)識(shí)符�;根據(jù)存儲(chǔ)在授權(quán)表中的用于代理用戶標(biāo)識(shí)符的客戶訪問權(quán)限授權(quán)該特有入口的用戶對安全資源進(jìn)行訪問�����。
16.如權(quán)利要求15所述的方法��,其中第一請求包括一個(gè)代表特有入口的入口標(biāo)識(shí)符�,進(jìn)一步包括接收第一請求,以及利用第一請求中的入口標(biāo)識(shí)符認(rèn)證特有入口���。
17.如權(quán)利要求15所述的方法�����,進(jìn)一步包括在特有入口�����,從該特有入口的用戶接收一個(gè)訪問所述安全資源的第三請求���,該第三請求包括第一用戶標(biāo)識(shí)符和一個(gè)相應(yīng)于該特有入口的用戶的安全憑證�����;以及基于第一用戶標(biāo)識(shí)符和相應(yīng)于特有入口的用戶的安全憑證��,認(rèn)證該特有入口的用戶�。
18.如權(quán)利要求17所述的方法�����,進(jìn)一步包括基于第一用戶標(biāo)識(shí)符授權(quán)該特有入口的用戶���,以及其中�����,當(dāng)特有入口的用戶被成功地授權(quán)時(shí)���,從該特有入口發(fā)送所述第一請求給安全服務(wù)器����。
19.如權(quán)利要求15所述的方法����,進(jìn)一步包括接收第二請求,以及利用第二請求中的入口標(biāo)識(shí)符認(rèn)證客戶入口�。
20.如權(quán)利要求15所述的方法,進(jìn)一步包括在客戶入口�����,從該客戶入口的用戶接收一個(gè)訪問安全資源的第四請求��,該第四請求包括第二用戶標(biāo)識(shí)符和相應(yīng)于客戶入口的用戶的安全憑證�����,以及基于第二用戶標(biāo)識(shí)符和相應(yīng)于客戶入口的用戶的安全憑證�,認(rèn)證客戶入口的用戶���。
21.如權(quán)利要求20所述的方法�,進(jìn)一步包括基于第二用戶標(biāo)識(shí)符在客戶入口授權(quán)該客戶入口的用戶�,以及當(dāng)該客戶入口的用戶被成功地授權(quán)時(shí)�����,從該客戶入口發(fā)送所述第二請求給安全服務(wù)器�。
22.一種實(shí)現(xiàn)由計(jì)算機(jī)執(zhí)行的指令的計(jì)算機(jī)可讀介質(zhì)����,用以執(zhí)行授權(quán)網(wǎng)絡(luò)入口的用戶訪問一個(gè)以安全服務(wù)器作主機(jī)的安全資源的方法,該方法包括存儲(chǔ)多個(gè)用戶標(biāo)識(shí)符���,每個(gè)標(biāo)識(shí)符代表一個(gè)特有入口的用戶����;為每一個(gè)用戶標(biāo)識(shí)符存儲(chǔ)一個(gè)訪問該安全資源的權(quán)限�;存儲(chǔ)一個(gè)代表一個(gè)客戶入口的代理用戶標(biāo)識(shí)符以及訪問該安全資源的客戶訪問權(quán)限,用于該客戶入口的所有用戶���;從所述特有入口接收一個(gè)訪問該安全資源的第一請求�,該第一請求包括一個(gè)代表特有入口的用戶的第一用戶標(biāo)識(shí)符���;根據(jù)存儲(chǔ)在授權(quán)表中的用于第一用戶標(biāo)識(shí)符的訪問權(quán)限授權(quán)該特有入口的用戶對安全資源進(jìn)行訪問��;從所述客戶入口接收訪問該安全資源的第二請求��,該第二請求包括一個(gè)代表所述客戶入口的用戶的第二用戶標(biāo)識(shí)符和一個(gè)代表該客戶入口的入口標(biāo)識(shí)符�;根據(jù)存儲(chǔ)在授權(quán)表中的用于代理用戶標(biāo)識(shí)符的客戶訪問權(quán)限授權(quán)該特有入口的用戶對安全資源進(jìn)行訪問。
23.如權(quán)利要求22所述的介質(zhì)����,其中第一請求包括一個(gè)代表特有入口的入口標(biāo)識(shí)符,其中該方法進(jìn)一步包括接收第一請求�����,以及利用第一請求中的入口標(biāo)識(shí)符認(rèn)證特有入口�。
24.如權(quán)利要求22所述的介質(zhì),其中該方法進(jìn)一步包括在特有入口���,從該特有入口的用戶接收一個(gè)訪問所述安全資源的第三請求�����,該第三請求包括第一用戶標(biāo)識(shí)符和一個(gè)相應(yīng)于該特有入口的用戶的安全憑證;以及基于第一用戶標(biāo)識(shí)符和相應(yīng)于特有入口的用戶的安全憑證�,認(rèn)證該特有入口的用戶。
25.如權(quán)利要求24所述的介質(zhì)��,其中該方法進(jìn)一步包括基于第一用戶標(biāo)識(shí)符授權(quán)該特有入口的用戶,以及其中��,當(dāng)特有入口的用戶被成功地授權(quán)時(shí)��,從該特有入口發(fā)送所述第一請求給安全服務(wù)器���。
26.如權(quán)利要求22所述的介質(zhì)��,其中該方法進(jìn)一步包括接收第二請求�,以及利用第二請求中的入口標(biāo)識(shí)符認(rèn)證客戶入口�。
27.如權(quán)利要求22所述的介質(zhì),其中該方法進(jìn)一步包括在客戶入口�����,從該客戶入口的用戶接收一個(gè)訪問安全資源的第四請求�����,該第四請求包括第二用戶標(biāo)識(shí)符和相應(yīng)于客戶入口的用戶的安全憑證���,以及基于第二用戶標(biāo)識(shí)符和相應(yīng)于客戶入口的用戶的安全憑證�����,認(rèn)證客戶入口的用戶��。
28.如權(quán)利要求27所述的方法�����,其中該方法進(jìn)一步包括基于第二用戶標(biāo)識(shí)符在客戶入口授權(quán)該客戶入口的用戶��,以及當(dāng)該客戶入口的用戶被成功地授權(quán)時(shí)���,從該客戶入口發(fā)送所述第二請求給安全服務(wù)器�。
全文摘要
一種授權(quán)網(wǎng)絡(luò)入口的用戶訪問一個(gè)以一個(gè)安全服務(wù)器(122)作主機(jī)的安全資源的方法����,裝置和計(jì)算機(jī)可讀介質(zhì),該服務(wù)器包括存儲(chǔ)多個(gè)用戶標(biāo)識(shí)符(126)����,每個(gè)標(biāo)識(shí)符代表一個(gè)用戶的一個(gè)特有的入口;為每一個(gè)用戶標(biāo)識(shí)符存儲(chǔ)一個(gè)訪問權(quán)限給該安全資源�,存儲(chǔ)代表一個(gè)客戶入口的代理用戶標(biāo)識(shí)符以及一個(gè)用戶訪問權(quán)限給該安全資源,用于該客戶入口的所有用戶���。
文檔編號(hào)G06F12/14GK1666171SQ03815488
公開日2005年9月7日 申請日期2003年5月23日 優(yōu)先權(quán)日2002年5月31日
發(fā)明者K·弗里登, M·B·魯多米納, M·S·馬科夫 申請人:李樹軟件公司