專利名稱：用于授權(quán)的方法與系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本公開內(nèi)容涉及用于在管理代理中提供安全性和授權(quán)的方法、系統(tǒng)與制品。
背景技術(shù)：
在管理環(huán)境中，集中式管理應(yīng)用程序可以使用安裝在被管理系統(tǒng)上的代理來遠(yuǎn)程執(zhí)行被管理系統(tǒng)上的操作。管理應(yīng)用程序的單個操作可以同時以無數(shù)個代理為目標(biāo)，每個代理支持具有完全相同語義的操作。具有執(zhí)行類似操作的能力的多個代理的存在允許管理應(yīng)用程序的單個操作調(diào)用被復(fù)制并發(fā)送到多個代理。但是，管理服務(wù)器上所選管理應(yīng)用程序可能不具有在每個代理上執(zhí)行操作的相同權(quán)限。
在特定的管理環(huán)境中，每個代理可以在代理所管理環(huán)境的本地安全域中運(yùn)行。管理應(yīng)用程序?qū)δ繕?biāo)代理上操作的每次調(diào)用可能需要特定于該目標(biāo)代理的安全域的憑證。這種方案在代理存在于許多安全域的異類管理環(huán)境中會造成困難。但是，這種方案在期望所有目標(biāo)代理都共享如Microsoft Windows*域的本地安全域的管理環(huán)境中可能是有用的。
在特定的管理環(huán)境中，代理可以建立與管理服務(wù)器的受托關(guān)系。一旦建立了受托關(guān)系，管理服務(wù)器就被授予了對代理所暴露的操作的完全訪問。當(dāng)代理功能和管理服務(wù)器之間有緊耦合時，這種模型可以實現(xiàn)，而且這種模型可以用在特定的異類管理環(huán)境中。但是，因為每個管理服務(wù)器都在由該管理服務(wù)器管理的系統(tǒng)上安裝了受托代理，所以這種模型造成被管理系統(tǒng)上代理的激增。對于為管理服務(wù)器的任意集合安置管理功能的代理，這種模型可能會造成困難。

發(fā)明內(nèi)容
提供了方法、系統(tǒng)、制品和計算機(jī)程序產(chǎn)品，其中為第一實體存儲第一指示符，而且其中第一指示符識別第一實體所屬的組及與該組關(guān)聯(lián)的操作。第一實體從第二實體接收第二指示符，其中第二指示符指示對至少一個組上的至少一個操作授予第二實體的權(quán)限。基于第二指示符與第一指示符的比較，由第一實體本地確由第二實體所請求的操作是否要由第一實體執(zhí)行。
在特定的附加實施方式中，第一實體是具有子代理的代理，其中第二實體是管理應(yīng)用程序，其中第一指示符是組分配，其中第二指示符是訪問控制票，而且其中有比管理應(yīng)用程序多的代理。
在另外的附加實施方式中，第一實體接收第二實體密碼驗證的身份。第一實體根據(jù)第二實體密碼驗證的身份認(rèn)證第二實體。響應(yīng)于第二實體被成功認(rèn)證并響應(yīng)于確定出第二實體所請求的操作要由第一實體執(zhí)行，第二實體所請求的操作被執(zhí)行。
在另外其它的實施方式中，第二指示符是由第一實體通過由中央訪問控制服務(wù)器生成的組分配票接收的組分配，其中組分配票列出了第一實體是其成員的組的所有組標(biāo)識符，而且其中組分配票是由受托認(rèn)證服務(wù)器密碼簽名的。
在還有另外的實施方式中，唯一標(biāo)識符表示組的組名，而且其中第二實體可以改變表示組名的唯一標(biāo)識符。第二實體向中央訪問控制數(shù)據(jù)庫服務(wù)器請求第二指示符。第二實體從中央訪問控制服務(wù)器接收第二指示符，其中第二指示符已經(jīng)由受托認(rèn)證服務(wù)器密碼簽名。
在其它實施方式中，多個第一實體都在包括該多個第一實體的計算平臺上本地確定第二實體所請求的操作是否可以執(zhí)行，而且其中中央服務(wù)器不由確定第二實體所請求的操作是否可以執(zhí)行的多個第一實體訪問。


現(xiàn)在參考附圖，其中相同的標(biāo)號始終表示對應(yīng)的部件
圖1說明了根據(jù)特定實施方式的計算環(huán)境的方框圖；圖2說明了根據(jù)特定實施方式顯示代理如何分配給組的方框圖；圖3說明了根據(jù)特定實施方式說明用于代理的組分配如何分發(fā)的方框圖；圖4說明了根據(jù)特定實施方式說明代理是否允許管理應(yīng)用程序所請求的操作被執(zhí)行的第一流程圖；圖5說明了根據(jù)特定實施方式說明第一實體是否允許第二實體所請求的操作被執(zhí)行的第二流程圖；及圖6說明了根據(jù)特定實施方式的其中實現(xiàn)特定實施方式的系統(tǒng)。
具體實施例方式
在以下描述中，參考構(gòu)成本發(fā)明的一部分并說明了幾種實施方式的附圖。應(yīng)當(dāng)理解其它實施方式也可以使用，而且可以進(jìn)行結(jié)構(gòu)上和操作上的改變。
圖1說明了根據(jù)特定實施方式的計算環(huán)境100的方框圖。
至少一個管理服務(wù)器102在網(wǎng)絡(luò)106上耦合到多個被管理系統(tǒng)104a、104b、...、104n。在特定的實施方式中，管理服務(wù)器102包括一個或多個管理應(yīng)用程序108，而被管理系統(tǒng)104a、104b、...、104n分別包括代理110a、110b、...、110n。例如，被管理系統(tǒng)104a可以包括代理110a，被管理系統(tǒng)104b可以包括代理110b，而被管理系統(tǒng)104n可以包括代理110n。每個代理可以包括多個子代理。例如，代理110a可以包括多個子代理112a...112m，代理110b可以包括多個子代理113a...113p，而代理110n可以包括多個子代理114a...114q。
在特定的實施方式中，代理110a...110n可以將管理操作作為web服務(wù)向管理應(yīng)用程序108暴露。在可選實施方式中，代理110a...110n可以通過不同于web服務(wù)的其它協(xié)議暴露管理操作。管理服務(wù)器102可以調(diào)用如代理110a的任何代理上的任何操作。對于代理，如代理110a，為了成功地安置來自多個管理應(yīng)用程序108的管理功能，用于代理的訪問控制解決方案可以允許代理110a基于代理的身份、被調(diào)用操作的身份和調(diào)用者的身份作出訪問決定。
中央訪問控制服務(wù)器116、受托認(rèn)證服務(wù)器118和遠(yuǎn)端客戶120也可以耦合到網(wǎng)絡(luò)106。中央訪問控制服務(wù)器116包括可以存儲關(guān)于多個代理如何分組到多個組中的信息的中央訪問控制數(shù)據(jù)庫122，其中操作可以由管理應(yīng)用程序108在多個組上進(jìn)行嘗試。
受托認(rèn)證服務(wù)器118可以充當(dāng)被管理系統(tǒng)104a...104n和管理服務(wù)器102委托的認(rèn)證授權(quán)。例如，受托認(rèn)證服務(wù)器118可以提供由受托認(rèn)證服務(wù)器118數(shù)碼簽名的受托身份124，其中受托身份124對應(yīng)于管理服務(wù)器102的身份。由于被管理系統(tǒng)104a...104n委托受托認(rèn)證服務(wù)器118m來簽名認(rèn)證，因此被管理系統(tǒng)104a...104n可以通過檢查管理服務(wù)器102的受托身份124來認(rèn)證管理服務(wù)器102?？蛇x實施方式可以使用用于密碼提供系統(tǒng)身份的其它機(jī)制，如Kerberos。
在特定的實施方式中，遠(yuǎn)端客戶端120可以使用管理應(yīng)用程序108嘗試在代理110a...110n上執(zhí)行操作。在特定的實施方式中，由遠(yuǎn)端客戶120執(zhí)行的操作可以由管理應(yīng)用程序108執(zhí)行。
關(guān)于將代理分組成組的信息存儲在稱為組分配126a、126b、...、126n的數(shù)據(jù)結(jié)構(gòu)中。組分配126a、...、126n可以通過中央訪問控制數(shù)據(jù)庫122分發(fā)到被管理系統(tǒng)104a...104n中。
在特定的實施方式中，管理服務(wù)器102、被管理系統(tǒng)104a...104n、中央訪問控制服務(wù)器116、受托認(rèn)證服務(wù)器118和遠(yuǎn)端客戶端120可以包括任何合適的計算平臺，包括目前本領(lǐng)域已知的那些平臺，如個人計算機(jī)、工作站、大型機(jī)、中型計算機(jī)、網(wǎng)絡(luò)設(shè)備、掌上計算機(jī)、電話設(shè)備、片(blade)計算機(jī)、手持計算機(jī)等。網(wǎng)絡(luò)106可以包括本領(lǐng)域已知的任何網(wǎng)絡(luò)，如存儲區(qū)域網(wǎng)絡(luò)(SAN)、局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)、因特網(wǎng)、內(nèi)聯(lián)網(wǎng)等。
在特定的實施方式中，管理應(yīng)用程序108、代理110a...110n和子代理112a...112m、113a...113p、114a...114q可以包括在軟件、硬件、固件或其任何組合中體現(xiàn)的應(yīng)用程序。在特定的實施方式中，比圖1所說明更多或更少的組件可以用于執(zhí)行由圖1所示組件執(zhí)行的操作。
特定的實施方式允許代理110a...110n使用組分配126a...126n及由管理應(yīng)用程序108提供的訪問控制票128來確定是否允許管理應(yīng)用程序108請求的操作由代理，如代理110a...110n中的任何一個，執(zhí)行。對于關(guān)于代理110a...110n分組到的一個或多個組要執(zhí)行的操作，訪問控制票128可以指示由中央訪問控制服務(wù)器116授予管理應(yīng)用程序102的權(quán)限范圍。
圖2說明了根據(jù)在計算環(huán)境100中實現(xiàn)的特定實施方式顯示代理如何分配成組的方框圖。
集中訪問控制數(shù)據(jù)庫122可以存儲關(guān)于計算環(huán)境100中代理分組的信息。例如，圖2示出了示例組200a、200b、...、200k，其中組200a包括代理202a...202u，組200b包括代理204a...204v，而組200k包括代理206a...206w。在特定的實施方式中，同一代理可以包括在多個組中。例如，圖1所示的代理110a可以既包括在組202a又包括在組202b中。
在特定的實施方式中，對于要為管理服務(wù)器102想在其上調(diào)用操作的每個代理頒發(fā)單獨(dú)的訪問控制票，實際中可能有太多代理。而且可能需要巨大的存儲和處理時間來單獨(dú)列出作為單個訪問控制票中操作目標(biāo)的每個代理。特定實施方式提供了由代理不參考中央服務(wù)器就能解決的一種或多種分組機(jī)制。管理服務(wù)器102上的管理應(yīng)用程序108可以通過向代理展示對于關(guān)于代理分組成的一個或多個組200a...200k要執(zhí)行的操作指示由中央訪問控制服務(wù)器116授予該管理應(yīng)用程序108的權(quán)限范圍的訪問控制票128(圖1所示)來調(diào)用代理上的操作。
圖3說明了根據(jù)在計算環(huán)境100中實現(xiàn)的特定實施方式說明用于代理110a、110b、...、110n的組分配126a、126b、...、126n如何分發(fā)的方框圖。
在特定的實施方式中，中央訪問控制服務(wù)器116可以將組分配126a、126b、...、126n分別分發(fā)300給代理110a、110b、...、110n。
中央訪問控制服務(wù)器116可以明確地分配代理對組的成員資格，然后通過稱為組分配126a...126n的簽名成員資格列表將組成員資格傳送到代理110a...110n。組分配126a...126n可以包括為代理分配了成員資格的零個或更多組的列表，其中組名可以是唯一標(biāo)識符。還可以為組指示到期日期。
組分配126a...126n可以由受托認(rèn)證服務(wù)器118簽名。新的組分配可以設(shè)計成代替現(xiàn)有的組分配集合，或者組分配可以被擴(kuò)展。
在特定的實施方式中，組分配126a...126n可以用于眾所周知并具有相對穩(wěn)定組成員資格的代理，并用于需要確定性訪問控制的代理，如用于數(shù)據(jù)中心的機(jī)器的那些代理。
因此，圖3說明了其中中央訪問控制服務(wù)器116發(fā)送對應(yīng)于被管理系統(tǒng)104a...104n中代理110a...110n的組分配126a...126n的特定實施方式。
圖4說明了根據(jù)在計算環(huán)境100中實現(xiàn)的特定實施方式說明如代理110a的代理是否允許管理應(yīng)用程序108所請求的操作被執(zhí)行的第一流程圖。
控制在塊400開始，其中中央訪問控制服務(wù)器116部署與中央訪問控制服務(wù)器116具有受托關(guān)系的代理110a...110n，其中中央訪問控制服務(wù)器116耦合到存儲關(guān)于組的信息的中央訪問控制數(shù)據(jù)庫122，而且代理包括在每個組中。
管理服務(wù)器102上的管理應(yīng)用程序108(在塊402)向中央訪問控制數(shù)據(jù)庫122請求指示對于關(guān)于一個或多個組要執(zhí)行的操作授予該管理應(yīng)用程序108的權(quán)限范圍的訪問控制票128。
管理應(yīng)用程序108(在塊404)從中央訪問控制數(shù)據(jù)庫122接收訪問控制票128，其中訪問控制票128已經(jīng)由受托認(rèn)證服務(wù)器118密碼簽名。
管理服務(wù)器102上的管理應(yīng)用程序108(在塊406)向如代理110a的代理發(fā)送訪問控制票128及管理服務(wù)器102的受托身份124。在特定的實施方式中，訪問控制票128可以發(fā)送到一個或多個代理，而且可以包括不同于代理110a的代理。
代理110a(在塊408)從管理服務(wù)器102接收訪問控制票128。代理110a能利用一個或多個組和一個或多個操作訪問本地存儲的組分配126a、訪問控制票128。此外，代理110a擁有認(rèn)證展示訪問控制票128的發(fā)送者的能力。
代理110a(在塊410)確定本地存儲在被管理系統(tǒng)104a的組分配126a是否允許訪問控制票128的發(fā)送者執(zhí)行可能已經(jīng)包括或與訪問控制票128分開發(fā)送的操作。如果是，則代理110a(在塊412)允許操作由管理應(yīng)用程序108在代理110a上執(zhí)行。如果不是，則代理110a(在塊414)不允許操作由管理應(yīng)用程序108在代理110a上執(zhí)行。是否允許管理應(yīng)用程序108的操作的決定是在代理110a本地作出的。
在特定的實施方式中，其中有幾十、幾百、幾千或更多代理110a...110n，通過在代理110a...110n處本地確定管理應(yīng)用程序108的操作是否可以由代理110a...110n執(zhí)行，可能在確定未本地作出的情況下造成的單點(diǎn)故障被避免。
通過在代理110a...110n本地確定管理應(yīng)用程序108的操作是否可以由代理110a...110n執(zhí)行，特定實施方式避免了引入單點(diǎn)故障并避免了計算環(huán)境100中的過載通信。
圖5說明了根據(jù)特定實施方式說明在計算環(huán)境100中第一實體是否允許第二實體所請求的操作被執(zhí)行的第二流程圖。在特定的實施方式中，第一實體是示例代理，如代理110a，而第二實體是管理應(yīng)用程序108。
控制通過存儲用于第一實體的第一指示符在塊500開始，其中第一指示符識別第一實體所屬的組及與該組關(guān)聯(lián)的操作。例如，在特定的實施方式中，第一實體是具有子代理112a...112m的代理110a，而第二實體是管理應(yīng)用程序108，第一指示符是組分配126a，而第二指示符是訪問控制票128。
第二實體(在塊502)向中央訪問控制數(shù)據(jù)庫服務(wù)器116請求第二指示符128。第二實體108(在塊504)從中央訪問控制服務(wù)器116接收第二指示符128，其中第二指示符128已經(jīng)由受托認(rèn)證服務(wù)器118密碼簽名。
第一實體110a(在塊506)接收第二實體108密碼驗證的身份。第一實體110a(在塊508)根據(jù)第二實體108密碼驗證的身份認(rèn)證第二實體108。
與塊506和508的執(zhí)行并行，第一實體110a(在塊510)從第二實體108接收第二指示符128，其中第二指示符128指示對至少一個組上的至少一個操作授予第二實體108的權(quán)限。在特定的實施方式中，其中第二指示符是組分配，組分配可以在管理系統(tǒng)啟動操作之前分發(fā)到代理。例如，組分配可以等組分配一進(jìn)行就分發(fā)，而不需要更新，除非組分配改變了。此外，相同的組分配可以用于許多管理服務(wù)器的許多操作調(diào)用。根據(jù)第二指示符128與第一指示符126a的比較，第一實體110a(在塊512)本地確定第二實體108所請求的操作是否要由第一實體110a執(zhí)行，其中在特定的實施方式中第一實體110a是代理。
在塊508和512的結(jié)尾，響應(yīng)于第二實體108被成功認(rèn)證并響應(yīng)于確定出第二實體108所請求的操作要由第一實體110a執(zhí)行，第二實體108所請求的操作(在塊514)執(zhí)行?；诘诙甘痉?28與第一指示符126a的比較，關(guān)于第二實體108所請求的操作是否要由第一實體110a執(zhí)行的本地確定避免了使用中央數(shù)據(jù)庫來檢查第二實體108所發(fā)送的操作是否要由第一實體110a執(zhí)行。
在特定的實施方式中，第一實體是具有子代理的代理，其中第二實體是管理應(yīng)用程序，其中第一指示符是組分配，其中第二指示符是訪問控制票，而且其中有比管理應(yīng)用程序多的代理。在特定的示例實施方式中，少量實體，如一組財務(wù)應(yīng)用程序，可以訪問大量實體，如自動提款機(jī)(ATM)網(wǎng)絡(luò)。
在特定的實施方式中，第二指示符是由第一實體通過中央訪問控制服務(wù)器生成的組分配票接收的組分配，其中組分配票列出了第一實體是其成員的組的所有組標(biāo)識符，而且其中組分配票由受托認(rèn)證服務(wù)器密碼簽名。在特定的實施方式中，組分配可以分成任意數(shù)量的指示符，代理所屬的每個組有一個指示符。
在特定的實施方式中，訪問控制信息包括在操作調(diào)用中。因此，組分配只有響應(yīng)于代理添加到組或從組中除去才需要更新，而在訪問控制列表改變時不需要更新。
特定實施方式還可以提供使用唯一標(biāo)識符表示組名的機(jī)制。在這些實施方式中，用于描述代理所屬組的標(biāo)識符(ID)是由中央訪問控制數(shù)據(jù)庫122或管理服務(wù)器創(chuàng)建的，而且可以是任意的。中央訪問控制數(shù)據(jù)庫122可以通過停止為那個ID頒發(fā)訪問控制票來有效地刪除組ID。例如，如果稱為A的組具有示例代理x、y和z作為成員，則中央訪問控制數(shù)據(jù)庫122向稱為A的組分配ID 1，并向示例代理x、y和z分發(fā)指示它們每個都屬于組1的票。
當(dāng)示例管理服務(wù)器M想調(diào)用組A上的操作O時，示例管理服務(wù)器M從中央訪問控制數(shù)據(jù)庫122請求票。假定示例管理服務(wù)器M有權(quán)調(diào)用組A上的操作，則中央訪問控制數(shù)據(jù)庫122頒發(fā)指示示例管理服務(wù)器M可以調(diào)用組1上操作O的票。
如果示例代理w隨后添加到組A，則向代理w頒發(fā)組1的分配。此外，如果隨后代理z從組A除去，則中央訪問控制數(shù)據(jù)庫向組A分配新ID 2并向代理w、x和y分發(fā)指示代理w、x和y屬于組2的票。
當(dāng)管理服務(wù)器M想調(diào)用組A上的操作O時，管理服務(wù)器M從中央訪問控制數(shù)據(jù)庫122請求票。中央訪問控制數(shù)據(jù)庫向管理服務(wù)器M頒發(fā)指示管理服務(wù)器M可以調(diào)用組2上操作O的票。在示例實施方式中，ID 1沒有重用，而且不再頒發(fā)授予訪問1的票。在特定時間段后組1的分配到期，可以從中央訪問控制數(shù)據(jù)庫122除去。
要求對每個代理上每個操作的調(diào)用都依靠中央數(shù)據(jù)庫驗證權(quán)限不總是合適的。此外，對于單個操作調(diào)用，對每個目標(biāo)代理攜帶認(rèn)證憑證不總是合適的。此外，對于操作調(diào)用，對每個目標(biāo)代理都包括認(rèn)證信息也是不合適的。
特定實施方式提供了用于向委派作訪問控制決定授權(quán)的安全實體提供安全組成員資格信息的機(jī)制。由委派實體作出的本地決定使用關(guān)于組成員資格的信息，同時特定實施方式允許實際的組成員資格和與組關(guān)聯(lián)的權(quán)限被集中管理。委派實體可能只需要在委派實體添加到組中時才被通知委派實體的組成員資格。
由管理服務(wù)器調(diào)用的操作可以包括可復(fù)制并用在每個目標(biāo)代理上的操作調(diào)用中的授予管理服務(wù)器的權(quán)限的單個簡單描述。代理使用有時候在操作之前分配的組成員資格和包括在操作調(diào)用中的權(quán)限聲明的組合來確定操作是否應(yīng)當(dāng)被允許。
權(quán)限計算利用操作調(diào)用者的密碼驗證身份。此外，權(quán)限計算也可以使用由授予權(quán)限的代理受托并包括在操作調(diào)用中的身份密碼簽名的訪問權(quán)限聲明。此外，代理向一個或多個安全組的分配是由進(jìn)行組分配的代理受托的身份密碼簽名的，而且分配在操作調(diào)用之前分發(fā)。
特定實施方式避免了在無數(shù)代理和子代理上的操作?？赡苡杉惺綌?shù)據(jù)庫引起的性能損失避免了，而且單點(diǎn)故障也避免了。
特定實施方式提供了小到足以包括在代理中的訪問實施引擎。特定實施方式還提供了與訪問控制數(shù)據(jù)庫的接口，并提供了向代理分發(fā)訪問控制信息的機(jī)制。特定實施方式允許各種權(quán)限應(yīng)用到大量類似的智能資源，如系統(tǒng)管理代理。
在特定的實施方式中，組分配票不必包含實體所屬的所有組。每次當(dāng)實體添加到組時，可以為實體頒發(fā)指示該組中成員資格的票。因此，組成員資格票可以指示一個或多個組中的成員資格，而且可以向單個實體頒發(fā)任意數(shù)量的組成員資格票。實體所屬的組的集合可以是所有成員資格票的聯(lián)合。
附加實施方式細(xì)節(jié)所述技術(shù)可以實現(xiàn)為涉及軟件、固件、微代碼、硬件和/或其任意組合的方法、裝置或制品。在此所使用的術(shù)語“制品”指在介質(zhì)中實現(xiàn)的代碼或邏輯，其中這種介質(zhì)可以包括硬件邏輯[例如，集成電路芯片、可編程門陣列(PGA)、專用集成電路(ASIC)等]或計算機(jī)可讀介質(zhì)，如磁存儲介質(zhì)(例如，硬盤驅(qū)動器、軟盤、磁帶等)、光存儲器(CD-ROM、光盤等)、易失和非易失存儲器設(shè)備[例如，電可擦除可編程只讀存儲器(EEPROM)、只讀存儲器(ROM)、可編程只讀存儲器(PROM)、隨機(jī)存取存儲器(RAM)、動態(tài)隨機(jī)存取存儲器(DRAM)、靜態(tài)隨機(jī)存取存儲器(SRAM)、閃存、固件、可編程邏輯等]。計算機(jī)可讀介質(zhì)中的代碼由處理器訪問并執(zhí)行。代碼或邏輯在其中編碼的有形介質(zhì)還可以包括通過空間或如光纖、銅線等的傳輸介質(zhì)傳播的傳輸信號。代碼或邏輯在其中編碼的傳輸信號還可以包括無線信號、衛(wèi)星發(fā)送、無線電波、紅外線信號、藍(lán)牙等。代碼或邏輯在其中編碼的傳輸信號可通過有形介質(zhì)傳輸，并能夠由發(fā)送站發(fā)送并由接收站接收，其中在傳輸信號中編碼的代碼或邏輯可以在接收和發(fā)送站或設(shè)備處在硬件或計算機(jī)可讀介質(zhì)中解碼并存儲。此外，“制品”還可以包括代碼可以在其中體現(xiàn)、處理和執(zhí)行的硬件和軟件組件的組合。當(dāng)然，本領(lǐng)域技術(shù)人員應(yīng)當(dāng)認(rèn)識到在不背離實施方式范圍的情況下可以進(jìn)行許多修改，而且制品可以包括任何信息承載介質(zhì)。例如，制品包括其中存儲了當(dāng)由機(jī)器執(zhí)行時導(dǎo)致操作被執(zhí)行的指令的存儲介質(zhì)。
特定實施方式可以采用完全硬件實施方式、完全軟件實施方式或既包含硬件又包含軟件元件的實施方式的形式。在優(yōu)選實施方式中，本發(fā)明是在軟件中實現(xiàn)的，它包括但不限于固件、駐留軟件、微代碼等。
此外，特定實施方式可以采用能從計算機(jī)可用或計算機(jī)可讀介質(zhì)訪問的計算機(jī)程序產(chǎn)品的形式，該程序產(chǎn)品提供了由計算機(jī)或任何指令執(zhí)行系統(tǒng)使用或與其連接的程序代碼。為了這種描述，計算機(jī)可用或計算機(jī)可讀介質(zhì)可以是能夠包含、存儲、傳送、傳播或傳輸由指令執(zhí)行系統(tǒng)、裝置或設(shè)備使用或與其連接的程序的任何裝置。介質(zhì)可以是電、磁、光、電磁、紅外線或半導(dǎo)體系統(tǒng)(或裝置或設(shè)備)或傳播介質(zhì)。計算機(jī)可讀介質(zhì)的例子包括半導(dǎo)體或固態(tài)存儲器、磁帶、可拆卸計算機(jī)磁盤、隨機(jī)存取存儲器(RAM)、只讀存儲器(ROM)、硬磁盤和光盤。目前光盤的例子包括光盤只讀存儲器(CD-ROM)、讀/寫光盤(CD-R/W)和DVD。
除非另外明確指出，否則術(shù)語“特定實施方式”、“實施方式”、“該實施方式”、“一種或多種實施方式”、“一些實施方式”及“一種實施方式”意思是一種或多種(但不是全部)實施方式。除非另外明確指出，否則術(shù)語“包括”、“包含”、“具有”及其變體意思是“包括但不限于”。除非另外明確指出，否則列舉的項目列表并不暗示任何或全部項目是相互排斥的。除非另外明確指出，否則術(shù)語“一個”和“該”意思是“一個或多個”。
除非另外明確指出，否則彼此通信的設(shè)備不需要彼此持續(xù)通信。此外，彼此通信的設(shè)備可以通過一個或多個中間件直接或間接通信。此外，有幾個彼此通信的組件的實施方式的描述并不暗示所有這些組件都是必需的。相反，多個可選組件的描述是為了說明廣泛的多種可能實施方式。
此外，盡管處理步驟、方法步驟、算法等可以順序描述，但此類處理、方法和算法可以配置成以交替次序工作。換句話說，描述的步驟的任何順序或次序都不一定指示步驟要以那種次序執(zhí)行的要求。在此所述的處理步驟可以任何實際的次序執(zhí)行。此外，有些步驟可以同時、并行或同步執(zhí)行。
當(dāng)在此描述單個設(shè)備或物品時，很顯然多于一個設(shè)備/物品(不管它們是否合作)可以代替單個設(shè)備/物品使用。類似地，當(dāng)在此描述多于一個設(shè)備或物品時(不管它們是否合作)，很顯然單個設(shè)備/物品(不管它們是否合作)可以代替多個設(shè)備或物品使用。設(shè)備的功能性和/或特征可以可選地由未在此明確描述的一個或多個具有這種功能性/特征的設(shè)備體現(xiàn)。因此，其它實施方式不需要包括設(shè)備本身。
圖6說明了其中特定實施方式可以實現(xiàn)的系統(tǒng)600的方框圖。在特定實施方式中，圖1所示的計算平臺，如管理服務(wù)器102和被管理系統(tǒng)104a...104n，可以根據(jù)系統(tǒng)600實現(xiàn)。系統(tǒng)600可以包括電路602，在特定實施方式中電路602可以包括處理器604。系統(tǒng)600還可以包括存儲器606(例如，易失存儲器設(shè)備)和存儲器608。系統(tǒng)600的特定元件可能或可能不會在計算平臺102、104a...104n中找到。存儲器608可以包括非易失存儲器設(shè)備(例如，EEPROM、ROM、PROM、RAM、DRAM、SRAM、閃存、固件、可編程邏輯等)、磁盤驅(qū)動器、光盤驅(qū)動器、磁帶驅(qū)動器等。存儲器608可以包括內(nèi)部存儲設(shè)備、附屬存儲設(shè)備和/或網(wǎng)絡(luò)訪問存儲設(shè)備。系統(tǒng)600可以包括程序邏輯610，程序邏輯610包括可以加載到存儲器606并由處理器604或電路602執(zhí)行的代碼612。在特定實施方式中，包括代碼612的程序邏輯610可以存儲在存儲器608中。在特定的其它實施方式中，程序邏輯610可以在電路602中實現(xiàn)。因此，盡管圖6顯示程序邏輯610獨(dú)立于其它元件，但程序邏輯610可以在存儲器606和/或電路602中實現(xiàn)。
特定實施方式可以針對由人或自動處理集成計算機(jī)可讀代碼將計算指令部署到計算系統(tǒng)中的方法，其中使與計算系統(tǒng)組合的代碼能夠執(zhí)行所述實施方式的操作。
至少圖4和5所說明的特定操作可以并行及順序執(zhí)行。在可選實施方式中，特定操作可以不同次序執(zhí)行、修改或除去。
此外，許多軟件和硬件組件已經(jīng)在獨(dú)立的模塊中為說明進(jìn)行了描述。這種組件可以集成到更少量的組件中或分到更大量的組件中。此外，描述為由特定組件執(zhí)行的特定操作可以由其它組件執(zhí)行。
在圖1至6中所示或所指的數(shù)據(jù)結(jié)構(gòu)和組件描述為具有特定類型的信息。在可選實施方式中，該數(shù)據(jù)結(jié)構(gòu)和組件可以與圖中所示或所指的結(jié)構(gòu)不同并具有更少、更多或不同域或不同功能。因此，以上實施方式的描述是為了說明和描述而展示的。它不打算是窮盡的或者要將實施方式限定到所公開的精確形式。根據(jù)以上教義，許多修改和變體都是可能的。
---------------------------------------------------------------------------------------------------*Microsoft Windows是微軟公司的商標(biāo)或注冊商標(biāo)。
Kerberos是麻省理工學(xué)院的商標(biāo)。
權(quán)利要求
1.一種方法，包括存儲用于第一實體的第一指示符，其中第一指示符識別第一實體所屬的組和與所述組關(guān)聯(lián)的操作；在第一實體從第二實體接收第二指示符，其中第二指示符指示對至少一個組上的至少一個操作授予第二實體的權(quán)限；及根據(jù)第二指示符與第一指示符的比較，由第一實體本地確定第二實體所請求的操作是否要由第一實體執(zhí)行。
2.如權(quán)利要求1所述的方法，其中第一實體是具有子代理的代理，其中第二實體是管理應(yīng)用程序，其中第一指示符是組分配，其中第二指示符是訪問控制票，而且其中代理多于管理應(yīng)用程序。
3.如權(quán)利要求1所述的方法，還包括在第一實體接收第二實體的密碼驗證的身份；由第一實體根據(jù)第二實體的密碼驗證的身份認(rèn)證第二實體；及響應(yīng)于第二實體被成功認(rèn)證和響應(yīng)于確定出第二實體所請求的操作要由第一實體執(zhí)行，執(zhí)行第二實體所請求的操作。
4.如權(quán)利要求1所述的方法，其中第二指示符是由第一實體通過中央訪問控制服務(wù)器生成的組分配票接收的組分配，其中組分配票列出了第一實體是其成員的所有組的組標(biāo)識符，而且其中組分配票由受托認(rèn)證服務(wù)器密碼簽名。
5.如權(quán)利要求1所述的方法，其中唯一標(biāo)識符表示組的組名，而且其中第二實體可以改變表示組名的所述唯一標(biāo)識符，該方法還包括由第二實體向中央訪問控制數(shù)據(jù)庫服務(wù)器請求第二指示符；及由第二實體從中央訪問控制服務(wù)器接收第二指示符，其中第二指示符已由受托認(rèn)證服務(wù)器密碼簽名。
6.如權(quán)利要求1所述的方法，其中多個第一實體都在包括所述多個第一實體的計算平臺上本地確定第二實體所請求的操作是否可以執(zhí)行，而且其中中央服務(wù)器不由所述多個第一實體訪問以確定第二實體所請求的操作是否可以執(zhí)行。
7.一種系統(tǒng)，包括存儲器；及耦合到該存儲器的處理器，其中該處理器可用于存儲用于第一實體的第一指示符，其中第一指示符識別第一實體所屬的組和與該組關(guān)聯(lián)的操作；在第一實體從第二實體接收第二指示符，其中第二指示符指示對至少一個組上的至少一個操作授予第二實體的權(quán)限；及根據(jù)第二指示符和第一指示符的比較，由第一實體本地確定第二實體所請求的操作是否要由第一實體執(zhí)行。
8.如權(quán)利要求7所述的系統(tǒng)，其中第一實體是具有子代理的代理，其中第二實體是管理應(yīng)用程序，其中第一指示符是組分配，其中第二指示符是訪問控制票，而且其中代理多于管理應(yīng)用程序。
9.如權(quán)利要求7所述的系統(tǒng)，其中該處理器還可用于在第一實體接收第二實體的密碼驗證的身份；由第一實體根據(jù)第二實體的密碼驗證的身份認(rèn)證第二實體；及響應(yīng)于第二實體被成功認(rèn)證和響應(yīng)于確定出第二實體所請求的操作要由第一實體執(zhí)行，執(zhí)行第二實體所請求的操作。
10.如權(quán)利要求7所述的系統(tǒng)，其中第二指示符是由第一實體通過中央訪問控制服務(wù)器生成的組分配票接收的組分配，其中組分配票列出了第一實體是其成員的所有組的組標(biāo)識符，而且其中組分配票由受托認(rèn)證服務(wù)器密碼簽名。
11.如權(quán)利要求7所述的系統(tǒng)，其中唯一標(biāo)識符表示組的組名，而且其中第二實體可以改變表示組名的所述唯一標(biāo)識符，該系統(tǒng)還包括中央訪問控制數(shù)據(jù)庫服務(wù)器，其中該處理器還可用于由第二實體向中央訪問控制數(shù)據(jù)庫服務(wù)器請求第二指示符；及由第二實體從中央訪問控制數(shù)據(jù)庫服務(wù)器接收第二指示符，其中第二指示符由受托認(rèn)證服務(wù)器密碼簽名。
12.如權(quán)利要求7所述的系統(tǒng)，其中多個第一實體都在包括所述多個第一實體的計算平臺上本地確定第二實體所請求的操作是否可以執(zhí)行，而且其中中央服務(wù)器不由所述多個第一實體訪問以確定第二實體請求的操作是否可以執(zhí)行。
13.一種計算機(jī)程序產(chǎn)品，包括包含計算機(jī)可讀程序的計算機(jī)可用介質(zhì)，其中該計算機(jī)可讀程序當(dāng)在處理器上執(zhí)行時使處理器執(zhí)行前述方法權(quán)利要求中的任一方法。
全文摘要
提供了方法、系統(tǒng)、制品和計算機(jī)程序產(chǎn)品，其中第一指示符為第一實體存儲，而且其中第一指示符識別第一實體所屬的組和與該組關(guān)聯(lián)的操作。第一實體從第二實體接收第二指示符，其中第二指示符指示對至少一個組上至少一個操作授予第二實體的權(quán)限。根據(jù)第二指示符與第一指示符的比較，由第一實體本地確定第二實體所請求的操作是否要由第一實體執(zhí)行。
文檔編號G06F17/30GK1893372SQ200610087710
公開日2007年1月10日 申請日期2006年5月31日 優(yōu)先權(quán)日2005年6月28日
發(fā)明者道格拉斯·A.·伍德 申請人:國際商業(yè)機(jī)器公司