專利名稱:整合安全角色的系統(tǒng)和方法
技術領域:
本發(fā)明一般涉及跨越應用程序邊界整合安全角色的系統(tǒng)和方法�����。更具體地說���,本發(fā)明涉及通過將上游安全角色映射到下游安全角色�����,來擴展安全角色的系統(tǒng)和方法�����。
背景技術:
計算機系統(tǒng)將各種技術用于用戶驗證�。當計算機系統(tǒng)接收到來自用戶的請求時�,計算機系統(tǒng)通常驗證和核準用戶���。例如,用戶可以訪問他的銀行帳戶信息和銀行管理應用程序履行一系列步驟(譬如�����,向用戶請求用戶標識符和密碼)以驗證和核準用戶��。計算機系統(tǒng)還可以請求核準訪問下游應用程序��。利用如上所述的例子����,銀行管理應用程序(即��,上游應用程序)可以調用下游應用程序來檢索與用戶請求相對應的帳戶信息���,從而�,下游應用程序需要用戶標識信息以同意訪問��。
Java 2 Enterprise Edition(J2EE)包括用于用戶請求核準的基于安全角色訪問控制機制�����。安全角色可以被看作是一組Enterprise Java Bean(EJB)方法許可,以及對URL(統(tǒng)一資源定位符)網頁的讀/寫訪問許可���。EJB豆(bean)和URL網頁被包裝在一起變成J2EE應用程序����,以便構建解決商業(yè)問題的功能集�����。系統(tǒng)管理者可以將個別的用戶標識符以及組標識符映射到每個安全角色��,以便將訪問商業(yè)功能的所需許可提供給每個用戶和組��。
但是�����,將用戶映射到應用程序遇到的難題是����,不同的開發(fā)商或銷售商創(chuàng)建整合到較大商業(yè)應用程序中的分立J2EE應用程序。安全角色通常定義在應用程序的邊界內�����,應用程序的邊界又使商業(yè)應用程序以模塊方式開發(fā)。例如�����,商業(yè)操作可以被劃分成一組組件和不同組可以獨立開發(fā)這些組件��。開發(fā)特定模塊的組可能意識不到需要從其它模塊申請訪問的用戶��。
此外��,在用于下游應用程序的模塊化系統(tǒng)中��,人工管理用戶到角色映射遇到的難題是變得既非微不足道又復雜���。例如���,工作流用戶請求可能由大量J2EE應用程序來管理��。當發(fā)現(xiàn)這種情況時�����,用戶的身份被映射到與每個應用程序相對應的安全角色��,以便向用戶提供訪問。
因此�����,所需的是使上游應用程序的安全角色自動映射到下游應用程序的所需安全角色�,和相反,使下游應用程序安全角色自動映射到上游應用程序安全角色的系統(tǒng)和方法����。此外,所需的是更有效地向用戶提供跨越應用程序邊界的訪問的系統(tǒng)和方法��。
發(fā)明內容
因此���,根據第一方面����,本發(fā)明提供了在第一下游應用程序上核準客戶請求的方法�,所述方法包括在第一下游應用程序上接收來自上游應用程序的第一應用程序請求,其中��,第一應用程序請求是從客戶請求中導出的�,并且包括由上游應用程序確定的上游安全角色標識符;讀取存儲在可從下游應用程序訪問的下游核準表中的核準表項;將包括在請求中的上游安全角色標識符與包括在下游核準表中的核準表項的至少一個匹配���;并響應匹配以核準客戶請求���。
根據第二方面,本發(fā)明提供了包括如下組件的信息管理系統(tǒng)一個或多個處理器��;可由處理器訪問的存儲器����;可由處理器訪問的一個或多個非易失性存儲設備;和在第一下游應用程序上核準客戶請求的客戶核準工具�,該客戶核準工具包括在第一下游應用程序上接收來自上游應用程序的第一應用程序請求的裝置,其中���,第一應用程序請求是從客戶請求中導出的��,并且包括由上游應用程序確定的上游安全角色標識符�����;讀取存儲在可從下游應用程序訪問的下游核準表中的核準表項的裝置,下游核準表位于非易失性存儲設備之一中���;將包括在請求中的上游安全角色標識符與包括在下游核準表中的核準表項的至少一個匹配的裝置���;并響應匹配以核準客戶請求的裝置�����。
根據第三方面�����,本發(fā)明提供了用于在第一下游應用程序上核準客戶請求的存儲在計算機可操作媒體上的計算機程序產品����,所述計算機程序產品包括實現(xiàn)根據第一方面的方法的裝置�。
最好,標識一個或多個所需下游安全角色���,其中�����,每個核準表項對應所需下游安全角色的至少一個����。可選地���,選擇與匹配核準表項對應的所需下游安全角色和使它包括在發(fā)送到第二下游應用程序的第二應用程序請求中����。
可替代地�,在接收第一應用程序請求之前,生成匹配核準表項�����。為了生成匹配核準表���,接收包括上游安全角色和下游安全角色的角色映射要求����,上游安全角色對應于上游安全角色標識符��,然后�����,使上游安全角色標識符包括在匹配核準表項中�����,匹配核準表項對應于下游安全角色�����。
可選地�,確定上游安全角色和下游安全角色是否等效,并且�,配置上游安全角色和下游安全角色,以便使它們等效�。
最好,在計算機網絡上接收第一應用程序請求�����。
根據第四方面���,本發(fā)明提供了擴展上游安全角色以包括下游應用程序的方法�,所述方法包括接收與上游應用程序和上游安全角色對應的安全角色映射請求�����;選擇與安全角色映射請求和下游應用程序對應的下游安全角色�;和將一個或多個下游核準表項加入下游安全角色中�,其中����,核準表項對應于上游安全角色。
最好���,從由用戶標識符�����、組標識符和上游安全角色標識符組成的組中選擇至少一個核準表項���。
最好,確定上游安全角色和下游安全角色是否等效���,并且��,配置下游核準表項和一個或多個上游核準表項�����,以便使它們等效����,上游核準表項對應于上游安全角色。
可選地�����,從上游應用程序接收包括用戶標識符的應用程序請求�����。在這種情況下�����,將用戶標識符與下游核準表項的一個或多個匹配����,和響應匹配以核準應用程序請求���。
現(xiàn)在參照像例示在附圖中那樣的本發(fā)明優(yōu)選實施例��,僅以舉例的方式對本發(fā)明加以描述�,在附圖中圖1是示出上游應用程序將包括上游安全角色的應用程序請求發(fā)送到下游應用程序的圖形�����;圖2是示出上游應用程序將請求發(fā)送到下游應用程序的圖形,其中�����,下游應用程序的相應核準表包括一個或多個上游主題�����;圖3A是示出在角色到角色映射過程中使上游安全角色標識符包括在下游核準表項中的圖形�����;圖3B是示出在角色到角色映射過程中通過將上游安全角色用戶到角色映射加入下游安全角色中使上游安全角色映射到下游安全角色的圖形����;圖4是示出在應用程序生命周期內的各個階段準備代碼和更新安全角色所采取的步驟的高級流程圖;圖5是示出分析上游應用程序和將上游安全角色角色映射到下游安全角色所采取的步驟的流程圖����;圖6是示出將上游安全角色角色映射到下游安全角色所采取的步驟的流程圖;圖7是示出下游應用程序具有上游安全角色指定的用戶時所采取的步驟的流程圖�;和圖8是能夠實現(xiàn)本發(fā)明的信息管理系統(tǒng)的方塊圖。
用在不同附圖中的相同標號表示相似或相同的項���。
具體實施例方式
下文旨在提供本發(fā)明的例子的詳細描述�����,不應該被認為是對本發(fā)明本身的限制�。而且,各種改變都將落在所附權利要求書限定的本發(fā)明的范圍之內�。
圖1是示出上游應用程序120將包括上游安全角色137的應用程序請求130發(fā)送到下游應用程序140的圖形。與上游安全角色相對應的上游安全角色標識符已經角色映射(role-map)了下游應用程序的相應下游核準表170�。圖1中的例子示出了下游核準表170包括下游核準表項190中的上游安全角色標識符(對于有關角色映射加入的進一步細節(jié)�,請參見圖3A、4�、5、6和相應文本)����。
客戶100通過諸如因特網之類的計算機網絡110將請求115發(fā)送到服務器115。例如��,客戶100可能想檢查利用服務器115訪問的銀行帳戶結余��。請求105包括服務器115用于驗證和核準客戶100的用戶數據107����。例如,用戶數據107可以包括用戶標識符、密碼�、數字證書、或用于驗證和核準客戶100的其它信息���。
服務器115包括與客戶請求對接的上游應用程序120�����。利用如上所述的例子����,上游應用程序120可以是允許用戶檢查銀行帳戶結余�����、存款金額和取款金額的聯(lián)機銀行管理應用程序�����。上游應用程序120包括萬維網模塊122和EJB(Enterprise Java Bean)模塊125�。萬維網模塊122將用戶界面提供給客戶100(例如,網頁)�,并且還利用包括在請求105中的客戶100的驗證數據(例如,數字證書)驗證客戶100���。一旦萬維網模塊122驗證了客戶100����,萬維網模塊122就調用EJB模塊125,以便進一步處理請求105�。
Enterprise Java Bean(EJB)模塊根據用戶所指定的安全角色核準用戶的請求。利用如上所述的例子���,如果將“CheckBalance”角色指定給客戶100���,EJB模塊125核準客戶100檢查銀行帳戶結余。在如圖1所示的例子中���,如果將存儲在數據存儲體150中的適當上游安全角色160指定給客戶100,EJB模塊125就同意用戶核準����。EJB模塊125在用戶核準步驟中訪問位于核準表存儲體(store)150中的上游核準表155。上游核準表155包括上游安全角色160和相應上游核準表項162��、165和167�。上游核準表項162和165包括作為用戶標識符的項,而上游核準表項167包括作為組標識符的項�����。核準表存儲體150可以存儲在諸如計算機硬盤之類的非易失性存儲區(qū)上。
EJB模塊125通過將包括在用戶數據107中的客戶100的用戶標識符與上游核準表項162��、165和167比較��,確定是否同意訪問客戶100�。
一旦EJB模塊125同意訪問客戶100,EJB模塊125就確定應該調用下游應用程序140來管理請求���。利用如上所述的例子�,聯(lián)機銀行管理應用程序確定應該調用命名空間管理應用程序��,以便從命名空間中查找用戶帳戶信息���。EJB模塊125將請求130發(fā)送到下游應用程序140�。請求130包括用戶標識符135和角色137��。用戶標識符135標識客戶100�����,而角色137包括與諸如上游安全角色160之類的客戶100的上游安全角色相對應的標識符�。
在一個實施例中���,下游應用程序140可以位于單獨服務器上,而角色137包括在在諸如LAN(局域網)或因特網之類的計算機網絡上發(fā)送到寄存下游應用程序的服務器的安全上下文(security context)中��。
下游應用程序140包括接收和分析請求130的EJB模塊145���。EJB模塊145確定客戶100要求特定安全角色指定��,以便使EJB模塊145同意訪問����。利用如上所述的例子����,如果將下游安全角色175指定給請求者,EJB模塊145同意訪問����,以從命名空間中查找用戶的銀行帳戶信息�����。EJB模塊145訪問包括下游安全角色175的下游核準表170�。EJB模塊145將用戶標識符135和角色137與下游核準表項180�、185和190相比較��。下游核準表項180和185包括作為用戶標識符的下游主題����,而下游核準表項190包括與上游安全角色160相對應的上游安全角色標識符。EJB模塊145確定包括在角色137中的上游安全角色與包括在下游核準表項190中的上游安全角色標識符匹配�,并同意訪問客戶100。
在一個實施例中�,代替將上游安全角色標識符加入下游核準表中,計算機系統(tǒng)可以將與特定上游安全角色相聯(lián)系的上游主題映射到下游核準表(對于有關到下游安全角色的上游用戶到角色映射的進一步細節(jié)����,請參見圖2、3B和相應文本)��。
圖2是示出上游應用程序將請求發(fā)送到下游應用程序的圖形�,其中,下游應用程序的相應核準表包括與上游應用程序對應的一個或多個核準表項�。除了圖2的下游核準表270被用戶到角色映射到上游安全角色(260),而圖1的下游核準表170是利用上游安全角色標識符角色映射的之外�����,圖2與圖1相同�����。具體地說,下游核準表270包括在用戶到角色映射過程中加入下游核準表270中的核準表項290����、295和299(對于有關用戶到角色映射的進一步細節(jié),請參見圖3B和相應文本)�。
由于下游核準表270被用戶到角色映射到上游安全角色260,請求230不包括客戶200的所指定的上游安全角色���,而圖1的請求130包括客戶200的所指定的上游安全角色(例如��,角色137)�����。
圖3A是示出在角色到角色映射過程中使上游安全角色標識符包括在下游核準表項中的圖形�����。上游核準表300包括要求角色映射到下游安全角色330的上游安全角色305��。翻譯角色到角色映射的一種途徑是,通過將上游安全角色角色映射到下游安全角色�,使下游安全角色的許可包括在上游安全角色中���。例如,如果用戶被指定了上游安全角色����,那么就自動同意用戶訪問已經角色映射到上游安全角色的下游安全角色。
服務器在角色到角色映射過程中訪問包括安全角色305和安全角色315的上游核準表300�����。核準表項310包括與安全角色305相對應的項���,而核準表項320包括與安全角色315相對應的項�。
服務器在角色到角色映射過程中訪問下游核準表325和選擇要映射到下游安全角色330的上游安全角色305��。下游安全角色330包括核準表項335和340�����。服務器將核準表項345加入下游安全角色330中�����,以便將上游安全角色305“角色映射”到下游安全角色330�。下游核準表項345包括與上游安全角色305相對應的上游安全角色標識符��。下游安全角色330現(xiàn)在被配置成下游應用程序同意訪問指定了下游安全角色305的用戶(對于有關下游應用程序訪問同意步驟的進一步細節(jié)���,請參見圖1、7和相應文本)���。
圖3B是示出在角色到角色映射過程中通過將上游安全角色用戶到角色映射(即���,用戶標識符和組標識符)加入下游安全角色中使上游安全角色355映射到下游安全角色375的圖形。
服務器在角色到角色映射過程中訪問包括安全角色355和安全角色365的上游核準表350�����。核準表項360包括與安全角色355相對應的一組用戶到角色映射���。用戶到角色映射表中的每個項包括已經指定給上游安全角色355的用戶��、組�、或安全角色標識符����。服務器訪問下游核準表370和選擇上游安全角色375,以便角色映射上游安全角色355。
下游安全角色375包括核準表項385和390�����。核準表項395包括來源于上游安全角色355到下游安全角色375的用戶到角色映射的新項�。下游安全角色375現(xiàn)在被配置成相應下游應用程序同意核準指定了上游安全角色355的用戶(對于有關下游應用程序核準的進一步細節(jié)���,請參見圖2����、7和相應文本)�����。
圖4是示出在應用程序生命周期內的各個階段準備代碼和更新安全角色所采取的步驟的高級流程圖�。應用程序的生命周期包括應用程序開發(fā)階段(例如,設計和編碼)��、匯編階段(例如�,包化和定義策略和引用)、部署階段(例如���,安裝和填入綁定信息)和運行期階段(即����,執(zhí)行)。如上所述的階段是J2EE術語����,正如本領域的普通技術人員所知,其它軟件開發(fā)系統(tǒng)也可以用于實現(xiàn)本發(fā)明���。
應用程序開發(fā)者明白��,他的應用程序(即���,上游應用程序)要求從來自其它應用程序(即,下游應用程序)的訪問服務��。因此���,應用程序開發(fā)者定義對他的上游應用程序要求訪問的下游應用程序的安全角色引用(步驟400)���。應用程序開發(fā)者將security-role-reference擴展名加入他定義符號角色名的代碼中,符號角色名可以用于引用下游應用程序中的安全角色�。
由于在上游應用程序匯編期間,實際安全角色名可能未知�����,security-role-reference元素提供了上游安全角色應該被映射到下游安全角色的指示。實際下游安全角色名可以在上游應用程序的部署階段解決(對于進一步的細節(jié)�,請參見下文)?��!皊ecurity-role-reference”可以被定義成J2EE部署描述符中的擴展名?����?梢詫ⅰ皊ecurity-role-reference”加入EJB模塊和萬維網模塊中����,并且,定義如下<����!ELEMENT security-role-ref(description?��,security-role-ref-name)>
該元素可以包括描述下游應用程序的可選項“description”��,以便在綁定過程中向應用程序開發(fā)者提供角色到角色映射指導(對于有關綁定過程的進一步細節(jié)���,請參見下文)�����。
應用程序開發(fā)者可以將另一個擴展名加入J2EE部署描述符中以允許下游安全角色和security-role-reference之間的綁定�����。例如���,應用程序通過小區(qū)名和它的應用程序名唯一地標識�����。小區(qū)包括許多應用程序服務器���,它是制定安全策略的基本單元。安全角色通過像如下那樣的三元組唯一地標識(cell name����,application name,security role name)當安裝新應用程序時��,部署者通過像如下那樣�����,將元素加入J2EE部署描述符的綁定擴展名中,解決security-role-reference問題<����!ELEMENT security-role-binding(security-role-ref-name,unique-role-name)>
上面的語句將唯一角色名(unique-role-name)(三元組)與匯編器定義的security-role-reference名綁定在一起(步驟450)�����。將用戶和用戶組指定給安全角色的訪問控制安全策略可以通過如下元素來定義<����!ELEMENT authorization(security-role-name���,subject*)>
security-role-name代表為下游應用程序定義的安全角色�。subject可以是唯一用戶標識符���、組標識符�、特殊主題或security-role-reference名�。當被指定時,security-role-reference名意味著下游應用程序的安全角色被指定給應用程序���。
核準表附在應用程序邊界上��,并且包括一個或多個核準元素��,每個安全角色一個核準元素���。依賴于管理者的偏好�,服務器在運行時實現(xiàn)兩種途徑之一(步驟490�����,對于有關角色到角色映射的進一步細節(jié)���,請參見圖5和相應文本)����。第一種途徑是保持security-role-reference名指定并要求用戶安全上下文包括安全角色屬性(對于有關包括在安全上下文中的安全角色屬性的進一步細節(jié)�����,請參見圖1���、3A和相應文本)����。第二種途徑是根據下游服務器的核準策略,將security-role-reference名擴展到用戶��、組和特殊主題(對于有關主題加入的進一步細節(jié)��,請參見圖2�、3B和相應文本)。
在第一種途徑中����,當核準指定用戶時,服務器通過預定應用程序查找賦予那個用戶的安全角色���。當將下游調用發(fā)送給下游應用程序時,將安全角色屬性加入用戶的安全證件中�����,傳送給下游應用程序或服務器。下游應用程序賦予用戶的新安全角色也被加入用戶的安全證件中。
在第二種途徑中�����,在運行時用上游應用程序的核準策略(即�,用戶、組���、特殊主題指定)取代處在下游應用程序核準表中的下游應用程序角色名��。上游應用程序中的security-role-binding表示��,每當修改上游應用程序的用戶到角色綁定時��,安全運行期應該更新下游應用程序的核準表���。
為了避免循環(huán)相關性,實現(xiàn)安全角色的等效性��。如果將安全角色指定給另一個安全角色���,或反過來�,那么�,兩個安全角色被標識為等效的。一旦兩個安全角色被標識為等效角色���,處理保證兩個相應核準表是相同的�。角色等效性也可以應用于以循環(huán)方式相互指定的三個或更多個安全角色。例如�����,將角色1指定給角色2�,將角色2指定給角色3,并將角色3指定給角色1��。在本例中�,所有三個角色被標識為等效角色。
圖5是示出分析上游應用程序和將上游安全角色角色映射到下游安全角色所采取的步驟的流程圖���。處理從步驟500開始����,在那里�,處理分析位于上游應用程序存儲體515中的下游應用程序,以識別下游應用程序和一個或多個下游應用程序之間的角色映射要求(步驟510)���。例如,聯(lián)機銀行管理應用程序使用戶可以檢查銀行帳戶結余�����、存款金額和取款金額���。在本例中�,在聯(lián)機銀行管理應用程序中定義了三種安全角色,它們是CheckBalance角色�����、DepositFund角色和WithdrawFund角色����。在本例中,聯(lián)機銀行管理應用程序(即���,上游應用程序)在執(zhí)行用戶請求的同時����,調用命名空間管理應用程序(即�,下游應用程序)。在本例中��,命名空間管理應用程序包括四種安全角色�����,它們是CosNamingRead、CosNamingWrite�����、CosNamingCreate和Cos-Naming-Delete��,為了使用戶執(zhí)行要求聯(lián)機銀行管理應用程序中的Check-Balance角色的結余檢查操作����,還要求用戶已經讀取訪問了要求命名空間管理應用程序中的CosNamingRole角色的命名空間。上游應用程序存儲體515可以存儲在諸如計算機硬盤之類的非易失性存儲區(qū)上����。
對上游應用程序是否包括角色映射要求作出確定(判決520)。處理通過分析包括在上游應用程序中的擴展名識別角色映射要求(對于有關安全角色擴展名的進一步細節(jié)����,請參見圖4和相應文本)。
如果上游應用程序不包括角色映射要求��,判決520轉移到“否”分支522����,在那里,服務器在步驟530中裝載上游應用程序���,并且處理在步驟535中結束�����。另一方面����,如果上游應用程序包括角色映射要求��,判決520轉移到“是”分支528���,在那里�����,處理選擇包括在上游應用程序中的第一角色映射要求(步驟540)��。角色映射要求標識要映射到下游安全角色的上游安全角色����。
上游安全角色包括存儲在上游核準表存儲體555之類的上游核準表中的上游主題(即用戶標識符��、組標識符等)����。下游安全角色包括存儲在下游核準表存儲體560之類的下游核準表中的下游主題���。上游核準表存儲體555和下游核準表存儲體560可以存儲在諸如計算機硬盤之類的非易失性存儲區(qū)上。
處理以兩種方式之一將上游安全角色角色映射到下游安全角色��。第一種途徑是保持security-role-reference名指定��,并要求用戶安全上下文(即�����,請求)包括上游安全角色標識符(對于有關安全角色標識符傳送的進一步細節(jié)�,請參見圖1、3A和相應文本)����。第二種途徑是根據下游服務器的核準策略,將security-role-reference名擴展到用戶�����、組和特殊主題(預定處理方塊550����,對于有關角色映射加入的進一步細節(jié)�,請參見圖6和相應文本)�����。
對上游應用程序是否包括多個角色映射要求作出確定(判決570)��。上游應用程序可以包括與單個下游應用程序相對應的多個角色映射要求或上游應用程序可以包括與多個下游應用程序相對應的多個角色映射要求�。如果上游應用程序包括多個角色映射要求����,判決570轉移到“是”分支572,分支572循環(huán)回到選擇(步驟580)并處理下一個角色映射要求�����。這個循環(huán)繼續(xù)下去�����,直到上游應用程序再也沒有角色映射要求要處理為止��,此刻��,判決570轉移到“否”分支578����,在那里�,處理在步驟590中結束��。
圖6是示出將上游安全角色角色映射到下游安全角色所采取的步驟的流程圖���。處理從步驟600開始�,在那里����,處理選擇上游核準表和識別位于上游核準表存儲體615中的上游安全角色(步驟610)。所選下游安全角色對應于包括在上游應用程序中的角色映射要求����。上游核準表存儲體615可以存儲在諸如計算機硬盤之類的非易失性存儲區(qū)上。處理選擇位于下游核準表存儲體625中的下游核準表(步驟620)�,下游核準表存儲體625包括與角色映射要求相對應的下游安全角色。下游核準表存儲體625可以存儲在諸如計算機硬盤之類的非易失性存儲區(qū)上��。
對處理被配置成通過使上游安全角色標識符包括在下游核準表中還是使下游安全角色用戶到角色映射包括在下游核準表中將上游安全角色角色映射到下游安全角色作出確定(判決630)(對于有關角色映射選項的進一步細節(jié)���,請參見圖3A�����、3B����、4和相應文本)。如果處理被配置成使上游安全角色標識符包括在下游核準表中�����,則判決630轉移到“是”分支638��,在那里處理在步驟670中使上游安全角色標識符包括在下游核準表中�����,并且處理在步驟680中返回(對于有關上游安全角色標識符的進一步細節(jié)���,請參見圖3A和相應文本)。
另一方面�����,如果處理被配置成使上游安全角色指定(即���,用戶標識符��、組標識符等)包括在下游核準表中�����,則判決630轉移到“否”分支632,在那里�����,處理識別與上游安全角色相對應的角色指定(步驟635)。處理在步驟640中將識別的上游角色指定加入下游安全角色中���,并且�,處理在步驟680中返回��。
圖7是示出下游應用程序核準具有上游安全角色指定的用戶時所采取的步驟的流程圖��。處理從步驟700開始,在那里,下游應用程序接收來自上游應用程序710的請求715(步驟730)。請求715包括用戶標識符720并可以包括角色725。用戶標識符270標識正在請求的用戶,而角色725包括與正在請求的用戶的下游安全角色指定相對應的上游安全角色標識符��。
對上游安全角色(例如���,角色725)是否包括在請求715中作出確定(判決740)。如果上游安全角色不包括在請求715中,判決740轉移到“否”分支742,繞過上游角色提取步驟。另一方面�,如果請求715包括上游安全角色�,判決740轉移到“是”分支748,在那里��,下游應用程序從請求715中提取上游安全角色�����,并使上游安全角色與用戶標識符720結合在一起用于確定核準訪問(對于進一步的細節(jié)�����,請參見下文)����。
處理分析請求715和識別位于數據存儲體765中的用于訪問核準的所需下游安全角色(步驟760)。數據存儲體765可以存儲在諸如計算機硬盤之類的非易失性存儲區(qū)上��。處理查找與所需下游安全角色相對應的角色指定�����,并將它們與用戶標識符720和角色725相比較(步驟770)�。對處理是否將用戶標識符720或角色725(如果可應用)與所需下游安全角色指定之一匹配作出確定(判決780)。如果處理沒有識別出匹配��,判決780轉移到“否”分支782����,在那里���,在步驟785中返回錯誤�����。另一方面����,如果處理識別出匹配�����,判決780轉移到“是”分支788���,在那里����,處理在步驟790中核準用戶�,并且處理在步驟795中結束。
在一個實施例中�����,處理可能需要來自第二下游應用程序的信息�,以便處理上游應用程序的請求。在這個實施例中�����,處理使匹配的下游安全角色包括在第二請求中�,并且將第二請求發(fā)送到第二下游應用程序。
圖8例示了作為能夠實現(xiàn)這里所述的發(fā)明的計算機系統(tǒng)的信息管理系統(tǒng)801����。計算機系統(tǒng)801包括與主機總線805耦合的處理器800。二級(L2)高速緩沖存儲器810也與主機總線805耦合�。主機-PCI橋接器815與主存儲器820耦合,包括高速緩沖存儲器和主存儲器控制功能����,并提供總線控制以管理PCI總線825�、處理器800�、L2高速緩沖存儲器810、主存儲器820和主機總線805之間的傳送��。PCI總線825為包括例如LAN卡830在內的各種設備提供接口�。PCI-ISA橋接器835提供總線控制以管理PCI總線825與ISA總線840、通用串行總線(USB)功能845��、IDE設備功能850��、功率控制功能855之間的傳送����,并可以包括未示出的其它功能元件,譬如����,實時時鐘(RTC)、DMA控制����、中斷支持和系統(tǒng)管理總線支持。外圍設備和輸入/輸出(I/O)設備可以附在與ISA總線840耦合的各種接口860(例如,并行接口862��、串行接口864�����、紅外(IR)接口866��、鍵盤接口868�����、鼠標接口870和固定硬盤(HDD)872)上���。可替代地�����,附在ISA總線840上的超級I/O控制器(未示出)可以容納許多I/O設備����。
BIOS880與ISA總線840耦合,它合并了各種低級系統(tǒng)功能和系統(tǒng)引導功能所需的處理器可執(zhí)行代碼�����。BIOS880可以存儲在任何計算機可讀媒體中,包括磁存儲媒體���、光存儲媒體���、閃速存儲器、隨機訪問存儲器�����、只讀存儲器和傳送編碼指令的信號(例如����,來自網絡的信號)的通信媒體。為了將計算機系統(tǒng)801附連在另一個計算機系統(tǒng)上以便在網絡上復制文件��,使LAN卡830與PCI總線825和PCI-ISA橋接器835耦合�。類似地,為了將計算機系統(tǒng)與ISP連接以便利用電話線連接與因特網連接����,使調制解調器875與串行端口864和PCI-ISA橋接器835連接。
雖然在圖8中所述的計算機系統(tǒng)能夠實現(xiàn)這里所述的發(fā)明�,但是��,這種計算機系統(tǒng)只不過是計算機系統(tǒng)的一個例子�。本領域的普通技術人員應該知道��,許多其它計算機系統(tǒng)設計也能夠實現(xiàn)這里所述的發(fā)明�����。
本發(fā)明的優(yōu)選實現(xiàn)之一是應用程序���,即,可以駐留在例如計算機的隨機訪問存儲器的代碼模塊中的一組指令(程序代碼)����。在計算機需要之前,該組指令可以存儲在另一個計算機存儲器中�,例如,在硬盤驅動器上�����,或者�,在諸如光盤(最終用在CD-ROM中)或軟盤(最終用在軟盤驅動器中)之類的可換式存儲器中,或者����,通過因特網或其它計算機網絡下載�。因此����,本發(fā)明可以作為用在計算機中的計算機程序產品來實現(xiàn)。另外����,盡管所述的各種方法可以方便地在通過軟件有選擇地啟動或重新配置的通用計算機中實現(xiàn),但本領域的普通技術人員應該認識到��,這樣的方法也可以在硬件中��、在固件中��,或在構造成執(zhí)行所需方法步驟的更專門設備中實現(xiàn)�。
權利要求
1.一種在第一下游應用程序上核準客戶請求的方法,所述方法包括在第一下游應用程序上接收來自上游應用程序的第一應用程序請求����,其中,第一應用程序請求是從客戶請求中導出的�,并且包括由上游應用程序確定的上游安全角色標識符;讀取存儲在可從下游應用程序訪問的下游核準表中的核準表項�;將包括在請求中的上游安全角色標識符與包括在下游核準表中的核準表項的至少一個匹配�����;和響應匹配以核準客戶請求�����。
2.根據權利要求1所述的方法��,進一步包括標識一個或多個所需下游安全角色���,其中,每個核準表項對應所需下游安全角色的至少一個�。
3.根據權利要求2所述的方法�,進一步包括選擇與匹配核準表項對應的所需下游安全角色;使所選所需下游安全角色包括在第二應用程序請求中��;和將第二應用程序請求發(fā)送到第二下游應用程序���。
4.根據權利要求1所述的方法����,其中���,在接收第一應用程序請求之前����,生成匹配核準表項,生成步驟進一步包括接收角色映射要求��,其中��,角色映射要求包括上游安全角色和下游安全角色�����,上游安全角色對應于上游安全角色標識符�;使上游安全角色標識符包括在匹配核準表項中,匹配核準表項對應于下游安全角色����。
5.根據權利要求4所述的方法,進一步包括確定上游安全角色和下游安全角色是否等效�;和配置上游安全角色和下游安全角色,以便使它們等效�。
6.一種擴展上游安全角色以包括下游應用程序的方法,所述方法包括接收與上游應用程序和上游安全角色對應的安全角色映射請求�����;選擇與安全角色映射請求和下游應用程序對應的下游安全角色;和將一個或多個下游核準表項加入下游安全角色中�����,其中����,核準表項對應上游安全角色。
7.根據權利要求6所述的方法��,其中�����,從由用戶標識符�����、組標識符和上游安全角色標識符組成的組中選擇至少一個核準表項��。
8.根據權利要求6所述的方法����,進一步包括確定上游安全角色和下游安全角色是否等效�;和配置下游核準表項和一個或多個上游核準表項��,以便使它們等效�,上游核準表項對應上游安全角色�����。
9.根據權利要求6所述的方法�����,進一步包括從上游應用程序接收應用程序請求�����,該請求包括用戶標識符����;將用戶標識符與下游核準表項的一個或多個匹配;和響應匹配以核準應用程序請求�。
10.一種信息管理系統(tǒng),包括一個或多個處理器����;可由處理器訪問的存儲器;可由處理器訪問的一個或多個非易失性存儲設備���;和在第一下游應用程序上核準客戶請求的客戶核準工具�,該客戶核準工具包括在第一下游應用程序上接收來自上游應用程序的第一應用程序請求的裝置,其中����,第一應用程序請求是從客戶請求中導出的,并且包括由上游應用程序確定的上游安全角色標識符�;讀取存儲在可從下游應用程序訪問的下游核準表中的核準表項的裝置,下游核準表位于非易失性存儲設備之一中����;將包括在請求中的上游安全角色標識符與包括在下游核準表中的核準表項的至少一個匹配的裝置;和響應匹配以核準客戶請求的裝置�����。
11.根據權利要求10所述的信息管理系統(tǒng)��,進一步包括標識位于非易失性存儲設備上的一個或多個所需下游安全角色的裝置��,其中�����,每個核準表項對應所需下游安全角色的至少一個���。
12.根據權利要求11所述的信息管理系統(tǒng)����,進一步包括選擇與匹配核準表項對應的所需下游安全角色的裝置����;使所選所需下游安全角色包括在第二應用程序請求中的裝置;和將第二應用程序請求發(fā)送到第二下游應用程序的裝置�。
13.根據權利要求10所述的信息管理系統(tǒng),其中�����,在接收第一應用程序請求之前���,生成匹配核準表項����,生成裝置進一步包括接收角色映射要求的裝置���,其中�����,角色映射要求包括上游安全角色和下游安全角色����,上游安全角色對應于上游安全角色標識符;使上游安全角色標識符包括在匹配核準表項中的裝置���,匹配核準表項對應于下游安全角色�。
14.根據權利要求13所述的信息管理系統(tǒng)�����,進一步包括確定上游安全角色和下游安全角色是否等效的裝置����;和配置上游安全角色和下游安全角色,以便使它們等效的裝置��。
15.一種用于在第一下游應用程序上核準客戶請求的存儲在計算機可操作媒體上的計算機程序產品����,所述計算機程序產品包括實現(xiàn)根據權利要求1到6的任何一項所述的方法的裝置。
全文摘要
本發(fā)明給出整合安全角色的系統(tǒng)和方法�。上游應用程序包括與上游安全角色和下游安全角色對應的一個或多個角色映射要求���。通過將上游安全角色標識符加入下游應用程序的角色映射表中或通過將上游用戶到角色映射加入下游應用程序的角色映射表中擴展上游安全角色���。當上游安全角色得到擴展時����,指定給上游安全角色的用戶自動訪問經角色映射的下游應用程序�。
文檔編號G06F21/00GK1777852SQ200480007324
公開日2006年5月24日 申請日期2004年3月10日 優(yōu)先權日2003年3月27日
發(fā)明者張祐彰, 趙青云 申請人:國際商業(yè)機器公司