專利名稱:用戶對于對象的訪問的管理的制作方法
用戶對于對象的訪問的管理
些旦 冃爾
當處理信息時�,通常期望限制對信息的特定部分的訪問,使得特定部分 僅可由某些授權的用戶訪問��。當信息被包含在物理文檔(例如,印刷的書或帳 目)中時����,這些文檔可使用諸如鎖或文檔保管員的物理訪問控制來保護。然而���, 在當今世界中���,大量信息以數(shù)字數(shù)據形式存儲。數(shù)字數(shù)據可容易地創(chuàng)建���、修改�����、 復制�、傳輸和刪除�,這導致存在于無數(shù)位置中的大量數(shù)字數(shù)據的增殖。類似于 物理文檔���,通常期望限制對部分數(shù)字數(shù)據的訪問��。然而��,數(shù)字數(shù)據的巨大數(shù)量 以及易于創(chuàng)建�、復制、傳輸����、修改和刪除數(shù)字數(shù)據使得保護數(shù)字數(shù)據成為一種 挑戰(zhàn)。
數(shù)字數(shù)據通??捎梦募Y構存儲。文件結構可以是數(shù)據存儲的分層系 統(tǒng)�����,其中包含數(shù)字數(shù)據的對象可被存儲在文件夾中�����。對象可以是程序��、進程���、 文件或事件���。對象也可具有安全描述符。文件夾還可被存儲在其他文件夾中。 對象中的數(shù)字數(shù)據可按照每個項目的方式訪問����。
對給定文件結構�,可對每一對象分配訪問控制列表(ACL),其中ACL 是向計算機的操作系統(tǒng)指示計算機的每一用戶對給定對象具有的許可或訪問
權的數(shù)據結構�����。ACL可指定特定的一個或一組用戶具有某些許可��,諸如讀����、寫 或執(zhí)行許可。因此�,響應于訪問對象的請求,可訪問對象的ACL以確定分配給 對象的許可��。
系統(tǒng)管理員可基于特定對象的訪問要求來更改ACL中定義的默認安全 許可���?����?紤]到存在數(shù)百�����、數(shù)千甚至數(shù)百萬個對象���,審閱每一對象的ACL的過程 可能是成本高昂且冗長的�����。
此外��,組的嵌套使得系統(tǒng)管理員難以確保僅適當?shù)挠脩艟哂性S可����。例如����, 如果ACL包含用于一組用戶的條目,則該組中的所有用戶都被授予許可��,包括 組內的組����。從而�,系統(tǒng)管理員可能難以確保特定的一個或一組用戶不具有對一 對象的許可����。
概述
此處描述了用于管理用戶對訪問對象的請求的各種技術的實現(xiàn)。在一個 實現(xiàn)中�,基于策略對用戶是否拒絕或授予對于對象的訪問權來作出判斷(步驟 a)�。如果該策略對該用戶既未拒絕也未授予對于對象的訪問權,則對用戶是 否由該對象的訪問控制列表(ACL)授予對于對象的訪問權作出判斷(步驟b)�����。 然后如步驟(a)和(b)所確定的�,對用戶對于對象是否具有訪問權得出結論。
在另一實現(xiàn)中�,對用戶是否拒絕或授予對于包含該對象的服務器的訪問 權作出判斷。
在又一實現(xiàn)中�����,該服務器是虛擬服務器��。
在再一實現(xiàn)中�����,如果由策略拒絕用戶對于服務器的訪問權,則拒絕用戶 訪問對象����,即使ACL對用戶授予對于該對象的訪問權。
在還一實現(xiàn)中����,如果由策略對用戶授予對于服務器的訪問權,則準許用 戶訪問對象��,即使ACL未對該用戶授予對于該對象的訪問權����。
各個技術的實現(xiàn)也針對其上存儲計算機可執(zhí)行指令的計算機可讀介質, 當該指令由計算機執(zhí)行時�����,使計算機進行(a)確定用于包含對象的服務器 的策略是否對用戶拒絕或授予對于服務器的訪問權�����,(b)如果策略對該用戶 既不拒絕也不授予對于服務器的訪問權����,則確定該對象的訪問控制列表是否對 用戶授予對于對象的訪問權�����,以及(c)基于步驟(a)和(b)對該用戶授予 或拒絕對于對象的訪問權���。
各個技術的實現(xiàn)也針對用于存儲供正在處理器上執(zhí)行的應用程序訪問 的數(shù)據的存儲器。該存儲器在存儲器中存儲有數(shù)據結構�。該數(shù)據結構包括服務 器的訪問掩碼。訪問掩碼指定用于授予或拒絕對服務器的訪問權的一個或多個 許可����。
所要求保護的主題不限于解決任何或所有所述缺點的實現(xiàn)��。此外�,提供 該概述章節(jié)以便以簡化形式介紹將在以下詳細描述章節(jié)中進一步描述的一些 概念。該概述章節(jié)不旨在標識所要求保護的主題的關鍵特征或本質特征�,也不 旨在用于限制所要求保護的主題的范圍。
附圖簡述
圖1示出了其中可包括或實踐此處所述的技術的網絡環(huán)境的示意圖���。 圖2示出了根據此處所述的技術用于管理對一個或多個對象的訪問的 方法的流程圖���。
圖3示出了此處所述的技術的各個實現(xiàn)可如何通過將策略訪問掩碼與 ACL訪問掩碼合并來生成有效許可集的流程圖。
詳細描述
圖1示出了其中可包括或實踐此處所述的技術的網絡環(huán)境100的示意 圖����。網絡環(huán)境100可包括常規(guī)臺式或服務器計算機5�����,它包括中央處理單元 (CPU) 10��、系統(tǒng)存儲器20�、以及將系統(tǒng)存儲器20耦合至CPU IO的系統(tǒng)總線 30��。系統(tǒng)存儲器20可包括隨機存取存儲器(RAM) 25和只讀存儲器(ROM) 28�。 包含有助于諸如啟動時在計算機中元件之間傳遞信息的基本例程的基本輸入/ 輸出系統(tǒng),可被存儲在ROM28中���。計算系統(tǒng)5還包括用于存儲操作系統(tǒng)45��、 應用程序和其他程序模塊的海量存儲設備40�����,它將在以下更詳細描述���。
本領域中的技術人員可以理解,此處所述的技術的各種實現(xiàn)可在其他計 算機系統(tǒng)配置中實踐�,包括超文本傳輸協(xié)議(HTTP)服務器��、手持式設備��、多 處理器系統(tǒng)���、基于微處理器或可編程消費者電子產品、網絡PC�����、小型機��、大型 機等����。此處所述的各種技術的實現(xiàn)還可在分布式計算環(huán)境中實踐��,在分布式計 算環(huán)境中任務由本地處理設備和通過通信網絡例如由硬連線鏈路�����、無線鏈路或 其組合鏈接的遠程處理設備執(zhí)行���。在分布式計算環(huán)境中�,程序模塊可以位于本 地和遠程存儲器存儲設備中。
海量存儲設備40可通過系統(tǒng)總線30和海量存儲控制器(未示出)連接 至CPU 10�����。海量存儲設備40及其相關聯(lián)的計算機可讀介質被配置成為計算系 統(tǒng)5提供非易失性存儲����。盡管此處包含的計算機可讀介質的描述指的是海量存 儲設備,諸如硬盤或CD-ROM驅動器�,但本領域的技術人員應理解,計算機可 讀介質可以是可由計算系統(tǒng)5訪問的任何可用介質�。例如,計算機可讀介質可 包括計算機存儲介質和通信介質�。計算機存儲介質包括以任何方法或技術實現(xiàn) 的用于存儲諸如計算機可讀指令、數(shù)據結構��、程序模塊或其它數(shù)據等信息的易
失性和非易失性�、可移動和不可移動介質。計算機存儲介質還包括��,但不限于���,
RAM����、 ROM、可擦除可編程只讀存儲器(EPROM)�����、電可擦可編程只讀存儲 器(EEPR0M)��、閃存或其它固態(tài)存儲器技術���、CD-ROM����、數(shù)字多功能盤(DVD) 或其它光盤存儲����、磁帶盒、磁帶���、磁盤存儲或其它磁性存儲設備、或能用于存 儲所需信息且可以由計算系統(tǒng)5訪問的任何其它介質���。
如上簡述����,海量存儲設備40可包括操作系統(tǒng)45,操作系統(tǒng)適于控制聯(lián) 網人員或服務器計算機的操作�。操作系統(tǒng)45可以是Windows XP、 Mac OS X�����、 如Linux⑧和BSD⑧的Unix變體等���。海量存儲設備40也可包括用于確定用戶可 能對海量存儲設備40中的對象具有的權限的的一個或多個訪問控制列表(ACL) 42���。盡管在圖1總僅示出單個ACL,但應理解����,ACL 42可表示若干ACL,每一 ACL向一個或多個用戶授予對與該ACL相關聯(lián)的對象的權限��。對象通常被稱為 項目或資源��。對象可以是程序����、進程、文件、事件或具有安全描述符的任何其 他事物����。每一ACL可包括數(shù)據結構,通常是表�����,包含指定對于給定對象的用戶 或組權限的訪問控制條目(ACE)����。每一 ACE包含用戶或組的安全標識符以及 指定用戶或組的哪些操作被允許或拒絕的訪問掩碼。訪問掩碼可包含指定在 ACL的ACE中允許或拒絕的許可的值��。
如上簡述���,海量存儲設備40可包括程序模塊�。程序模塊通常包括例程���、 程序���、對象�����、組件、數(shù)據結構和其他類型的結構�,它們執(zhí)行特定任務或實現(xiàn)特 定的抽象數(shù)據類型。 一般�����,程序模塊的功能可按需在各個實現(xiàn)中組合或分布��。
在一個實現(xiàn)中����,海量存儲設備40包括認證模塊44和授權模塊46。認 證模塊44被配置成驗證用戶的身份����。例如,用戶可由安全標識符(SID)的號 碼標識��,其中每一SID是標識用戶或標識用戶是其中成員的各個組的可變長度 的數(shù)據結構�。這樣,認證模塊44可訪問具有SID可與之比較的信息的認證信 息的數(shù)據庫����。認證信息數(shù)據庫(未示出)可被存儲在海量存儲設備40中�。此 處所述的技術的各種實現(xiàn)不受使用SID的限制��,即用戶的身份可使用其他類型 的標識符�����,諸如口令����、證書、生物統(tǒng)計等標識�。認證過程可以是任何認證技術, 包括標準認證技術�,諸如Kerebos認證技術,其中用戶計算機系統(tǒng)的Kerebos 客戶機向管理員域的Kerebos服務器提供用戶名和口令��。Kerebos服務器確認 用戶名和口令�����,確保用戶具有對所請求的計算機系統(tǒng)的允許認證訪問權限���,且
如果這樣�����,則向用戶提供"權證"����。每當用戶試圖訪問它已被認證的計算機系 統(tǒng)的對象���,就使用該權證�。如果權證有效�����,則對于對象的訪問可根據該對象的
ACL和包含該對象的系統(tǒng)的策略來確定和授權�����。如果否���,則拒絕訪問��。該確定 和授權過程將在以下段落中更詳細描述�����。在一個實現(xiàn)中�����, 一旦用戶的身份得到 認證�����,則可由授權模塊46確定用戶對于訪問對象的權限���,該模塊將在以下段 落更詳細描述���。
認證模塊44或授權模塊46或其兩者都可以是任何類型的可編程代碼, 諸如動態(tài)鏈接庫(DLL)��,它一般被定義為可按需加載并在運行時鏈接并且然 后在代碼不再被需要時卸載的可執(zhí)行代碼模塊����、動態(tài)共享對象等。
如圖1中所示��,計算系統(tǒng)5可使用通過網絡50��,諸如因特網����、內聯(lián)網 或外聯(lián)網至遠程計算機的邏輯鏈接在網絡環(huán)境100中操作���。計算系統(tǒng)5可通過 連接至系統(tǒng)總線30的網絡接口單元60連接至網絡50。應理解�,網絡接口單元 60也可用于連接至其他類型的網絡和遠程計算機系統(tǒng)。計算系統(tǒng)5也可包括輸 入/輸出控制器70�,用于接收和處理來自多個其他設備����,包括鍵盤、鼠標或電 子指示筆(未示出)的輸入��。輸入/輸出控制器70也向顯示屏����、打印機或其他 類型的輸出設備提供輸出。
在一個實現(xiàn)中���,計算系統(tǒng)5被耦合至中央配置存儲80�����,后者包含策略 90��。策略90包含可在整個計算機系統(tǒng)5上應用的一組安全保護��。因此�,策略 90可包含一組ACE,其中每一ACE可包含用戶或組的安全標識符�,以及指定用 戶或組的哪些操作被準許或拒絕的訪問掩碼。在一個實現(xiàn)中�,策略可包含用于 可具有對計算機系統(tǒng)5的訪問權的預定的一組用戶和/或組的一組授予訪問掩 碼和一組拒絕訪問掩碼。在策略中授予一權限就對系統(tǒng)5內的所有受保護對象 將該權限給予一用戶或組����,而不管ACL為該對象定義的許可。類似地�����,在策略 中拒絕一權限就對系統(tǒng)5內所有受保護的對象阻塞用戶或組的該權限����。盡管參 考使用掩碼描述了各個技術的實現(xiàn),但可以理解��,可在其他實現(xiàn)中使用類似于 掩碼的其他技術����,諸如使用邏輯用戶角色的技術。
在一個實現(xiàn)中,策略可對整個虛擬服務器應用���,虛擬服務器可被定義為 駐留在諸如超文本傳輸協(xié)議(HTTP)服務器的服務器上的虛擬計算機�����,但向用 戶顯現(xiàn)為單獨的服務器��。若干虛擬服務器可駐留在一個計算機上�����,各自能夠運
行其自己的程序且各自具有對輸入和外圍設備的個別訪問。每一虛擬服務器可 具有其自己的域名和IP地址�����。盡管此處參考計算機系統(tǒng)5或虛擬服務器描述 了各個實現(xiàn)����,但其他實現(xiàn)可應用于站點集合、特定站點����、站點內的庫或特定項
目或文檔。這樣,此處所述的各個技術的實現(xiàn)���,包括授權模塊46的功能��,可 被應用于計算機系統(tǒng)5內的各級粒度�����。
策略90可由中央管理員管理�����,而ACL42可由站點管理員管理��。在一個 實現(xiàn)中��,可禁止中央管理員訪問ACL 42����,而禁止站點管理員訪問策略90���。因 此����,此處所述的各個技術的實現(xiàn)向中央管理員提供了在整個計算機系統(tǒng)5上實 施統(tǒng)一安全策略的方式。此處描述的各個技術的實現(xiàn)也向中央管理員提供了將 日常的安全管理委托給站點管理員而同時保留控制誰具有或不具有對系統(tǒng)5的 訪問權的能力的方式�。
圖2示出了根據此處所述的技術的各個實現(xiàn)用于管理對一個或多個對 象的訪問的方法200的流程圖。在步驟210���,認證模塊44從用戶接收對訪問對 象的請求���。在接收請求之后,用戶的身份被認證(步驟220)�����。用戶的身份可 通過任何類型的認證過程認證���,包括使用口令�、證書�、生物測定等的那些過程���。 在一個實現(xiàn)中��,認證模塊44審閱和認證與用戶相關聯(lián)的所有SID(步驟220)���。 一旦用戶的SID得到認證,用戶用于訪問對象的權限就可由授權模塊46確定。 用戶的權限可有讀���、插入�、更新��、刪除等���。
在步驟230�,作出用戶的SID中的任何一個是否在包含所請求的對象的 計算機系統(tǒng)5的策略中指定的判斷�。在一個實現(xiàn)中,作出所述策略是否向用戶 提供訪問計算機系統(tǒng)5的權限的判斷�����。在另一實現(xiàn)中����,對于包含該對象的虛擬 服務器作出判斷。如果策略不存在���,則處理繼續(xù)至步驟280�,在那里作出對象 的ACL是否向用戶SID中的任何一個授予權限的判斷�����。
如果策略確實存在,則處理繼續(xù)至步驟240����,在那里作出策略是否對用 戶SID中的任何一個拒絕訪問計算機系統(tǒng)5的權限的判斷。如果策略對用戶SID 的任何一個拒絕訪問計算機系統(tǒng)5的權限�,則拒絕該用戶對所請求對象的訪問 (步驟250)。如果策略未對用戶SID中的任何一個拒絕訪問計算機系統(tǒng)5的 權限���,則處理繼續(xù)至步驟260����,在那里作出策略是否向用戶SID中的任何一個 授予訪問計算機系統(tǒng)5的權限的判斷�。如果策略對用戶SID的任何一個授予訪
問計算機系統(tǒng)5的權限,則授予該用戶對所請求對象的訪問權(步驟270)�����。
另一方面�����,如果策略對用戶SID中的任何一個既不拒絕也不授予訪問對 象的權限��,則處理繼續(xù)至步驟280���,在那里作出該對象的ACL是否向用戶SID 中的任何一個授予訪問該對象的權限的判斷����。如果ACL對用戶SID的任何一個 授予訪問該對象的權限�����,則授予該用戶對所請求對象的訪問權�。然而,如果在 ACL中不存在用于用戶SID中任何一個的ACE����,則拒絕用戶對所請求對象的訪 問(步驟290)。
以此方式���,如果策略對用戶拒絕訪問計算機系統(tǒng)5的權限����,則對該用戶 拒絕訪問包含在計算機系統(tǒng)5中的對象的權限�����,而不考慮ACL是否向該用戶授 予訪問該對象的權限。同樣地��,如果策略對用戶授予訪問計算機系統(tǒng)5的權限��, 則對該用戶授予訪問對象的權限�����,而不考慮ACL是否向該用戶授予訪問該對象 的權限����。作為計算機系統(tǒng)5的備選,此處描述的技術的各個實現(xiàn)也可被應用于 包含對象的虛擬服務器�。
在一個實現(xiàn)中,在運行時�����,由策略定義的訪問掩碼可與由ACL定義的訪 問掩碼合并以生成用于該用戶的有效許可集�����。圖3示出了此處所述的技術的各 個實現(xiàn)可如何通過將用于包含對象的系統(tǒng)的策略訪問掩碼與該對象的用戶訪 問掩碼320以及該對象的組訪問掩碼330合并來生成有效許可集的流程圖300����。 流程圖300的以下描述參考圖2的方法200進行。然而����,應理解,流程圖300 中所示的操作不必限于由方法200執(zhí)行���。此外����,應理解����,盡管操作流程圖300 指示了操作執(zhí)行的特定次序,但操作在其他實現(xiàn)中可按照不同的次序執(zhí)行�。
策略訪問掩碼310指定特定的用戶或組是否具有對于一對象的某些權 限。這些權限包括讀���、插入�����、更新��、刪除和等等權限�����。等等權限可表示其他權 限��,諸如查看項目��、打開項目�、批準項目、設計列表���、創(chuàng)建子web����、査看版本 歷史��、刪除版本����、管理許可等。在一個實現(xiàn)中��,策略訪問掩碼310指定已經被 授予的一組權限�,如由欄G下的檢查標記所指示,以及已經被拒絕的一組權限, 如由欄D下的檢查標記所指示����。如圖3中所示�����,讀權限被指示為已授予��,刪除 權限被指示為已拒絕�����,而等等權限被指示為已授予����。策略訪問掩碼310對插入 和更新權限沒有任何指示。
用戶訪問掩碼320僅指定已被授予的權限�。對該特定示例,僅讀權限和
插入權限已被授予����,如欄G下的檢査標記所指示。與用戶訪問掩碼320相同�, 組訪問掩碼330也僅指定己授予的那些權限。對該特定示例,僅讀權限�����、更新 權限和刪除權限已被授予�����,如欄G下的檢査標記所指示�����。
在運行時��,策略訪問掩碼310與用戶訪問掩碼320和組訪問掩碼330 合并以便為該用戶生成有效許可集340���。在合并操作之后��,有效許可集340指 示讀權限被授予�,如由策略訪問掩碼310和用戶訪問掩碼320所指示�����。插入權 限也被授予���,如由用戶訪問掩碼320所指示��。更新權限也被授予�,如由組訪問 掩碼330所指示。然而�����,刪除權限被拒絕���,如由策略訪問掩碼310所指示,盡 管它被組訪問掩碼330授予�。同樣地,等等權限被授予��,如由策略訪問掩碼310 指示�����,盡管用戶訪問掩碼320和組訪問掩碼330都未對等等權限授予訪問權�。
盡管用結構特征和/或方法動作專用的語言描述了本主題,但可以理解����, 所附權利要求書中定義的主題不必限于上述特定特征或動作�����。相反�,上述特定 特征和動作作為實現(xiàn)權利要求的示例形式公開�����。
權利要求
1.一種用于管理用戶對訪問對象的請求的方法����,包括(a)基于策略確定對所述用戶是否拒絕或授予對所述對象的訪問權;(b)如果所述策略對所述用戶既不拒絕也不授予對于所述對象的訪問權���,則對所述用戶是否由所述對象的訪問控制列表(ACL)授予對于所述對象的訪問權作出判斷�����;以及(c)如步驟(a)和(b)所確定的����,對所述用戶是否具有對于所述對象的訪問權得出結論����。
2. 如權利要求1所述的方法��,其特征在于����,所述步驟(a)包括確定對于 所述用戶是否拒絕或授予對于包含所述對象的服務器的訪問權���。
3. 如權利要求2所述的方法���,其特征在于,所述服務器是虛擬服務器�。
4. 如權利要求2所述的方法,其特征在于����,所述服務器是超文本傳輸協(xié)議 (HTTP)服務器���。
5. 如權利要求2所述的方法�,其特征在于�,還包括如果所述策略對所述用 戶拒絕對所述服務器的訪問權,則拒絕所述用戶訪問所述對象�����。
6. 如權利要求5所述的方法,其特征在于�,即使所述ACL對所述用戶授予 對所述對象的訪問權,對所述用戶也拒絕對于所述對象的訪問權�。
7. 如權利要求2所述的方法,其特征在于�,還包括如果所述策略對所述用 戶授予對所述服務器的訪問權,則準許所述用戶訪問所述對象�。
8. 如權利要求7所述的方法,其特征在于���,即使所述ACL未對所述用戶授 予對所述對象的訪問權����,對所述用戶也授予對于所述對象的訪問權����。
9. 一種其上存儲計算機可執(zhí)行指令的計算機可讀介質,所述指令當由計算機執(zhí)行時��,使所述計算機執(zhí)行(a) 確定包含對象的服務器的策略是否對用戶拒絕或授予對于所述服 務器的訪問權��;(b) 如果所述策略對于所述用戶既不拒絕也不授予對于所述服務器的 訪問權����,則確定所述對象的訪問控制列表是否準許所述用戶訪問所述對象���;以 及(c) 基于步驟(a)和(b)對所述用戶授予或拒絕對于所述對象的訪問權。
10. 如權利要求9所述的計算機可讀介質�����,其特征在于����,還包括計算機 可執(zhí)行指令,當所述指令由計算機執(zhí)行時����,使得如果所述策略對所述用戶拒絕 對于所述服務器的訪問權,則所述計算機拒絕所述用戶訪問所述對象��。
11. 如權利要求9所述的計算機可讀介質��,其特征在于�����,還包括計算機 可執(zhí)行指令�����,當所述指令由計算機執(zhí)行時���,使得如果所述策略對所述用戶授予 對于所述服務器的訪問權����,則所述計算機對所述用戶授予對于所述對象的訪問 權���。
12. 如權利要求9所述的計算機可讀介質����,其特征在于��,所述服務器是 虛擬服務器����。
13. 如權利要求9所述的計算機可讀介質,其特征在于��,所述服務器是 超文本傳輸協(xié)議(HTTP)服務器�����。
14. 一種用于存儲供正在處理器上執(zhí)行的應用程序訪問的數(shù)據的存儲 器,所述存儲器包括存儲在所述存儲器中的數(shù)據結構��,所述數(shù)據結構包括用 于服務器的訪問掩碼���,所述訪問掩碼指定用于授予或拒絕對于所述服務器的訪 問權的至少其中之一的一個或多個許可�����。
15. 如權利要求14所述的存儲器�����,其特征在于����,所述服務器是駐留在 超文本傳輸協(xié)議(HTTP)服務器上的虛擬服務器����。
16. 如權利要求14所述的存儲器,其特征在于��,所述服務器是超文本 傳輸協(xié)議(HTTP)服務器����。
17. 如權利要求14所述的存儲器����,其特征在于�����,所述訪問掩碼包括用 于指定被授予對于所述服務器的訪問權的一組預定的用戶的一組準許訪問掩 碼���。
18. 如權利要求14所述的存儲器,其特征在于��,所述訪問掩碼包括用 于指定被拒絕對于所述服務器的訪問權的一組預定的用戶的一組拒絕訪問掩 碼����。
19. 如權利要求14所述的存儲器,其特征在于����,所述數(shù)據結構還包括 對包含在所述服務器內的對象的訪問控制列表。
20. 如權利要求19所述的存儲器�����,其特征在于����,所述訪問控制列表包 括用于指定被授予對于所述對象的訪問權的一組預定的用戶的一組準許訪問 掩碼��。
全文摘要
各個技術的實現(xiàn)�����,包括用于管理用戶對訪問對象的請求的方法����、系統(tǒng)和裝置�����。在一個實現(xiàn)中��,基于策略對用戶是否拒絕或授予對于對象的訪問權來作出判斷(步驟a)�����。如果該策略對該用戶既未拒絕也未授予對于對象的訪問權���,則對用戶是否由該對象的訪問控制列表(ACL)授予對于對象的訪問權作出判斷(步驟b)�。然后如步驟(a)和(b)所確定的��,對用戶對于對象是否具有訪問權得出結論。
文檔編號G06F21/22GK101366040SQ200780001912
公開日2009年2月11日 申請日期2007年1月4日 優(yōu)先權日2006年1月5日
發(fā)明者D·拉克哈米莫夫, J·R·斯托姆斯, Z·王 申請人:微軟公司