專利名稱:基于模型的訪問(wèn)控制的制作方法
基于模型的訪問(wèn)控制
站旦冃牙����、
計(jì)算機(jī)和計(jì)算機(jī)系統(tǒng)在多個(gè)環(huán)境(例如��,企業(yè)����、個(gè)人等等)中得到廣泛利用。 一般向執(zhí)行對(duì)于計(jì)算機(jī)和/或計(jì)算機(jī)系統(tǒng)的功能(例如�����,創(chuàng)建�����、修改��、存儲(chǔ)、刪除��、數(shù)據(jù)輸入等)的個(gè)人提供訪問(wèn)權(quán)限�,該訪問(wèn)權(quán)限允許這個(gè)人執(zhí)行各種功能或使用各種應(yīng)用程序但不允許執(zhí)行其他功能和/或利用其他應(yīng)用程序。例如��,可給予主管修改員工記錄和査看員工工資包的訪問(wèn)權(quán)����,而可能不向下屬給予對(duì)這些類型的信息的訪問(wèn)權(quán)。
管理員和計(jì)算機(jī)系統(tǒng)的其他用戶可利用基礎(chǔ)結(jié)構(gòu)來(lái)實(shí)現(xiàn)并管理各種訪問(wèn)
權(quán)限����。這需要為多個(gè)資源和多個(gè)人配置訪問(wèn)許可。配置不同的計(jì)算機(jī)�、設(shè)置和其他信息不僅耗時(shí)而且需要管理員記住每一個(gè)設(shè)置。另外��,管理員應(yīng)向類似的各個(gè)人(例如����,執(zhí)行相同的工作功能的個(gè)人)提供相似但不相同的訪問(wèn)權(quán)限�����。在對(duì)每一個(gè)人的訪問(wèn)權(quán)限作出改變時(shí)��,這些訪問(wèn)權(quán)限的原始意圖可能由于在創(chuàng)建和/或修改訪問(wèn)權(quán)限時(shí)發(fā)生的錯(cuò)誤,或由于尤其在最初不知道如何操縱設(shè)置時(shí)為了創(chuàng)建所需訪問(wèn)權(quán)限設(shè)置而作出的多個(gè)不正確的改變而丟失���。由此��,執(zhí)行類似功能的用戶可能具有不同的訪問(wèn)權(quán)限����,這可能導(dǎo)致問(wèn)題��,尤其是在用戶可訪問(wèn)他們不應(yīng)訪問(wèn)的東西的情況下�。
由此,當(dāng)今的訪問(wèn)管理涉及配置資源管理程序?qū)S玫牡图?jí)設(shè)置并且具有與策略作者的"意圖"的極少的相似之處����。 一旦配置完成,這些設(shè)置就難以維護(hù)并且難以與策略意圖協(xié)調(diào)���。此外���,當(dāng)將對(duì)許多域重復(fù)應(yīng)用同一策略時(shí),需要重復(fù)作出低級(jí)配置�����。這管理起來(lái)很昂貴,而且提供極少的相對(duì)于意圖來(lái)查詢和理解所配置的策略的形式的支持��。
概述
以下呈現(xiàn)了簡(jiǎn)化概述以提供對(duì)所公開的各實(shí)施例的某些方面的基本理解��。該概述并不是廣泛的縱覽�����,且既非旨在標(biāo)識(shí)諸實(shí)施例的關(guān)鍵或重要元素�����,也非旨在描繪此類實(shí)施例的范圍�����。其唯一目的是以簡(jiǎn)化的形式給出所描述實(shí)施例的一些概念���,作為后面給出的更加詳細(xì)的描述的序言�。
根據(jù)一個(gè)或多個(gè)實(shí)施例及其相應(yīng)的公開內(nèi)容���,結(jié)合基于模型的訪問(wèn)控制和許可權(quán)限描述了各方面。創(chuàng)建抽象用戶角色模型和/或抽象資源模型,這些模型可以是模塊化的并且可跨許多不同的應(yīng)用程序來(lái)利用�����。抽象出的安全策略可以與每一個(gè)用戶角色模型相關(guān)聯(lián)�,以使得這一模型及相關(guān)聯(lián)的訪問(wèn)權(quán)限對(duì)于特定
角色或功能統(tǒng)一。特定個(gè)人或不止一個(gè)人可以與每一個(gè)用戶角色模型相關(guān)聯(lián)并且授予這些人的許可能夠基于授予該用戶角色模型的許可�����。
為實(shí)現(xiàn)上述和相關(guān)目的��, 一個(gè)或多個(gè)實(shí)施例包括以下全面描述且在權(quán)利要求書中特別指出的特征�����。以下描述和附圖詳細(xì)地闡明了某些說(shuō)明性方面�����,且僅指示了可采用本發(fā)明的原理的各種方式中的幾種�。當(dāng)結(jié)合附圖考慮時(shí),將從以下詳細(xì)描述中清楚其它優(yōu)點(diǎn)和新穎特征��,并且所公幵的實(shí)施例旨在包括所有這些方面及其等效方面���。
附圖簡(jiǎn)述
圖1示出了提供基于模型的訪問(wèn)控制的系統(tǒng)��。
圖2示出了能夠方便基于模型的訪問(wèn)控制的系統(tǒng)��。
圖3示出了用于系統(tǒng)子集的模型的視圖���。
圖4示出了向多個(gè)用戶分配訪問(wèn)權(quán)限的示例性手動(dòng)管理���。
圖5示出了可以與所公開的各實(shí)施例一起利用的示例性系統(tǒng)。
圖6示出了可以與所公開的各實(shí)施例一起利用的另一系統(tǒng)����。
圖7示出了所公開的各實(shí)施例的可擴(kuò)展特性。
圖8示出了用于家庭個(gè)人計(jì)算機(jī)或域的簡(jiǎn)化的模板���。
圖9示出了用于提供模塊化的基于模型的訪問(wèn)控制的方法����。
圖IO示出了可用于執(zhí)行所公開的各實(shí)施例的計(jì)算機(jī)的框圖���。
圖11示出了可用于執(zhí)行所公開的實(shí)施例的示例性計(jì)算環(huán)境的示意性框
詳細(xì)描述
各實(shí)施例現(xiàn)在參考各附圖來(lái)描述��。在以下描述中�����,為解釋起見���,闡明了眾
6多具體細(xì)節(jié)以提供對(duì)一個(gè)或多個(gè)方面的全面理解。然而����,顯然,各實(shí)施例能夠在無(wú)需這些具體細(xì)節(jié)的情況下實(shí)施�����。在其它情況中��,以框圖形式示出公知的結(jié)構(gòu)和設(shè)備以便于描述這些實(shí)施例����。
如在本申請(qǐng)中所使用的,術(shù)語(yǔ)"組件"��、"模塊"和"系統(tǒng)"等旨在表示計(jì)算機(jī)相關(guān)的實(shí)體���,它可以是硬件���、硬件和軟件的組合�、軟件��、或者執(zhí)行中的軟件�。例如,組件可以是�,但不限于是,在處理器上運(yùn)行的進(jìn)程��、處理器���、對(duì)象�、可執(zhí)行碼��、執(zhí)行的線程����、程序和/或計(jì)算機(jī)。作為說(shuō)明�,運(yùn)行在服務(wù)器上的應(yīng)用程序和服務(wù)器都可以是組件。一個(gè)或多個(gè)組件可以駐留在進(jìn)程和/或執(zhí)行的線程中���,并且組件可以位于一個(gè)計(jì)算機(jī)內(nèi)和/或分布在兩個(gè)或更多的計(jì)算機(jī)之間��。
在本文中使用的詞語(yǔ)"示例性"意味著用作示例��、實(shí)例或說(shuō)明��。在此被描述為"示例性"的任何方面或設(shè)計(jì)并不一定要被解釋為相比其它方面或設(shè)計(jì)更優(yōu)選或有利���。
此外, 一個(gè)或多個(gè)實(shí)施例可以使用產(chǎn)生用于控制計(jì)算機(jī)實(shí)現(xiàn)所公開的各實(shí)施例的軟件�、固件、硬件或其任意組合的標(biāo)準(zhǔn)編程和/或工程技術(shù)實(shí)現(xiàn)為的方法��、裝置或制品���。此處所用的術(shù)語(yǔ)"制品"(或作為替換����,"計(jì)算機(jī)程序產(chǎn)品")旨在涵蓋可從任何計(jì)算機(jī)可讀設(shè)備�、載體或介質(zhì)訪問(wèn)的計(jì)算機(jī)程序。例如�����,計(jì)算機(jī)可讀介質(zhì)可包括但不限于����,磁存儲(chǔ)設(shè)備(例如���,硬盤、軟盤�����、磁帶……)����、
光盤(例如,緊致盤(CD)�、數(shù)字多功能盤(DVD)……)、智能卡����、以及閃存設(shè)備(例如,卡�����、棒)�����。另外應(yīng)該明白,可以采用載波來(lái)承載計(jì)算機(jī)可讀電子數(shù)據(jù)�����,例如那些用于發(fā)送和接收電子郵件或用于訪問(wèn)如因特網(wǎng)或局域網(wǎng)(LAN)等網(wǎng)絡(luò)的數(shù)據(jù)�����。當(dāng)然�,本領(lǐng)域的技術(shù)人員將會(huì)認(rèn)識(shí)到�����,在不背離所公開的實(shí)施例的范圍的前提下可以對(duì)這一配置進(jìn)行許多修改�����。
各實(shí)施例將按照可包括多個(gè)組件����、模塊等的系統(tǒng)來(lái)呈現(xiàn)?��?梢岳斫夂兔靼?,各種系統(tǒng)可包括其他組件、模塊等和/或可不包括結(jié)合各附圖討論的所有組件����、模塊等。也可使用這些方法的組合�。此處所公開的各實(shí)施例可以在電子設(shè)備上執(zhí)行,包括利用觸摸屏顯示技術(shù)和/或鼠標(biāo)鍵盤類型接口的設(shè)備�����。這些設(shè)備的示例包括計(jì)算機(jī)(臺(tái)式和移動(dòng))�、智能電話、個(gè)人數(shù)字助理(PDA)�����、以及有線和無(wú)線的其它電子設(shè)備���。最初參考圖l�����,示出了提供基于模型的訪問(wèn)控制的系統(tǒng)100����。系統(tǒng)100提 供安全策略,該安全策略可從資源管理程序原語(yǔ)中抽象出并且可指定具有可反
映策略作者的意圖的較高級(jí)抽象的策略�����。另外地或另選地���,系統(tǒng)100可方便跨
各種不同的授權(quán)上下文創(chuàng)建并應(yīng)用安全策略的多個(gè)實(shí)例����。系統(tǒng)ioo還可被配置
成在嵌套模型中指定安全策略����。
當(dāng)管理員或負(fù)責(zé)控制對(duì)資源的訪問(wèn)并保護(hù)資源的其他人為各種資源和多 個(gè)人配置訪問(wèn)許可時(shí)���,變得難以直接在資源本身上配置低級(jí)設(shè)置����。還可能在存 在用戶對(duì)其應(yīng)具有訪問(wèn)許可的大量資源時(shí)存在管理問(wèn)題�����。這些資源可以是其中 存在可加載的應(yīng)用程序的任何東西(例如,文件共享�����、共享點(diǎn)站點(diǎn)�����、對(duì)傳統(tǒng)應(yīng) 用程序的訪問(wèn)等)�。訪問(wèn)控制配置有時(shí)通過(guò)在不明白或理解修改的衍生結(jié)果
(ramification)或所涉及的策略的情況下修改底層授權(quán)機(jī)制的各種設(shè)置來(lái)執(zhí) 行。 一般而言���,配置無(wú)法從一個(gè)上下文復(fù)制到另一上下文�,而必須手動(dòng)重新配 置����。這可能產(chǎn)生或不產(chǎn)生相同的配置,尤其是在配置設(shè)置點(diǎn)中的一個(gè)或多個(gè)中 存在錯(cuò)誤的情況下�����。這在諸如存在期望關(guān)于確切的企業(yè)訪問(wèn)管理策略的信息的
遵從性問(wèn)題和其他規(guī)章強(qiáng)制的情況下可導(dǎo)致問(wèn)題����。系統(tǒng)100可被配置成維護(hù)策 略并針對(duì)具有基本上相同的訪問(wèn)權(quán)限的一組用戶保持這些策略���。
更詳細(xì)地,系統(tǒng)100包括抽象組件102��,其可被配置成從各種應(yīng)用程序和 參數(shù)的底層實(shí)現(xiàn)中抽象出用于保護(hù)資源的安全策略����。部分地基于該安全策略, 抽象組件102可構(gòu)建一個(gè)或多個(gè)抽象用戶模型�����、 一個(gè)或多個(gè)抽象資源模型或抽 象用戶模型和抽象資源模型兩者����。抽象用戶模型可以是特定用戶角色的抽象或 標(biāo)識(shí)應(yīng)可訪問(wèn)類似資源的類似用戶以創(chuàng)建模型(例如,生產(chǎn)監(jiān)察員���、銀行出納 員��、收費(fèi)公路亭操作員、圖書管理員等)的另一種手段�。抽象用戶模型可以是 資源和用戶的組織的模型。例如����,該抽象用戶模型可以是與組中的用戶的分層 結(jié)構(gòu)相關(guān)的資源(或范圍)的分層結(jié)構(gòu)���。
抽象組件102可獨(dú)立于實(shí)際用于保護(hù)資源(例如,程序�����、應(yīng)用程序�、格式、 文件等)的機(jī)制或配置和/或?qū)嶋H訪問(wèn)資源的用戶的類型�����。例如��,不管利用什么 機(jī)制�,都應(yīng)允許需要訪問(wèn)財(cái)務(wù)文檔的人訪問(wèn)這些財(cái)務(wù)文檔。通過(guò)利用抽象組件 102�,管理員或負(fù)責(zé)堅(jiān)持安全策略的其他人不必手動(dòng)地為每一個(gè)用戶和/或資源 執(zhí)行低級(jí)配置,但可修改用戶模型和/或資源模型�。另外,抽象組件102可被配置成幫助保持策略意圖�����。因?yàn)榘踩呗允菑馁Y 源管理原語(yǔ)中抽象出的���,所以可提供能夠允許策略作者以更接近實(shí)際意圖(例
如�����,諸如編纂(codified)意圖)而不是保護(hù)資源的底層實(shí)現(xiàn)的方式來(lái)指定一個(gè)
或多個(gè)策略的抽象�����。
另外�,抽象組件102可被配置成提供抽象模型配置的可重復(fù)性��。以此方式�, 抽象模型(例如,用戶�����、資源)可以是模塊化的并且可跨不同應(yīng)用程序或通過(guò) 各種不同的角色和功能來(lái)應(yīng)用�。例如��,國(guó)家銀行可具有分行并且想要確保每一 個(gè)分行都具有相同種類的配置(例如,經(jīng)理具有比副經(jīng)理更多的許可并且出納
員具有低級(jí)許可)�。盡管不同的人執(zhí)行相應(yīng)的功能(例如,經(jīng)理����、出納員), 但這些資源�����、角色和相關(guān)聯(lián)的許可對(duì)于每一個(gè)分行都是相同的�����。由此���,許可配 置的可重復(fù)性能夠在所有分行中持久保持����。
分配組件104可被配置成將一個(gè)或多個(gè)特定用戶標(biāo)識(shí)或指定到一抽象用 戶模型或不止一個(gè)抽象用戶模型����。例如,角色可以是銀行出納員�、銀行主管�、 機(jī)器車間領(lǐng)班���、接待員����、孩子����、成人等。分配組件104可被配置成維護(hù)關(guān)于用
戶角色或用戶組角色為何可訪問(wèn)特定許可的信息和/或可將抽象模型轉(zhuǎn)換為具 體術(shù)語(yǔ)����,由此向用戶分配許可以便使用具體資源。分配組件104還可被配置成 向抽象資源模型分配一個(gè)或多個(gè)資源���。
系統(tǒng)中還包括授權(quán)組件106��,其可被配置成部分地基于模型來(lái)設(shè)置對(duì)具體 資源的許可(例如��,具有其權(quán)限的專用名稱用戶/組)�。在與標(biāo)識(shí)用戶并將其放 入所需的一個(gè)或多個(gè)組中的基本上同時(shí)����,作為用特定用戶模型來(lái)標(biāo)識(shí)用戶的結(jié) 果�����,可自動(dòng)創(chuàng)建適當(dāng)?shù)脑S可和成員資格。
另外���,授權(quán)組件106可被配置成維護(hù)關(guān)于特定個(gè)人為何可訪問(wèn)各種許可的 信息�����。如果用戶扮演不同的角色�����,則可取決于所執(zhí)行的任務(wù)來(lái)給予該用戶與這 些角色中的每一個(gè)有關(guān)的許可�。例如�����,如果該用戶是接待員但也在薪酬員工外 出時(shí)補(bǔ)缺����,則該用戶可具有兩個(gè)許可(接待員和薪酬員工)。然而,如果該用 戶不代替薪酬員工�,則可禁用與薪酬功能有關(guān)的許可并且在薪酬員工外出期間 只允許接待員許可。
圖2示出了能夠方便基于模型的訪問(wèn)控制的系統(tǒng)200��。系統(tǒng)200可被配置 成簡(jiǎn)化授權(quán)策略以及該授權(quán)策略的實(shí)現(xiàn)����。在每一個(gè)計(jì)算機(jī)上都可能存在多個(gè)安全調(diào)節(jié)器(knob)(例如,特權(quán)��、資源名稱等)��。在大型安裝中可能存在數(shù)百 或數(shù)千臺(tái)計(jì)算機(jī)���,這將使得即使不是不可能也難以手動(dòng)配置和監(jiān)視這些設(shè)置��。
系統(tǒng)200可被配置成向用戶和管理員隱藏底層實(shí)現(xiàn)的復(fù)雜性�。在某些實(shí)施例中����,
用戶和管理員可在需要時(shí)訪問(wèn)底層實(shí)現(xiàn)。
系統(tǒng)200可減輕管理員在對(duì)多個(gè)對(duì)象應(yīng)用復(fù)雜策略時(shí)的重復(fù)手動(dòng)工作�。系 統(tǒng)200還可保留關(guān)于策略的信息,從而使得即使已經(jīng)存在較長(zhǎng)的增量變更歷史 也可能確定策略的參數(shù)���。
系統(tǒng)200包括抽象組件202����,其可被配置成從各種應(yīng)用程序和參數(shù)的底層 實(shí)現(xiàn)中抽象出或概念化用于保護(hù)資源的安全策略并創(chuàng)建抽象用戶模型、抽象資 源模型或這兩個(gè)模型���。還包括分配組件204�����,其可被配置成將抽象出的安全策 略和用戶模型與特定的一個(gè)或多個(gè)用戶相關(guān)并將資源模型與特定的一個(gè)或多 個(gè)資源相關(guān)。系統(tǒng)200中還包括許可組件206����,其可被配置成基于模型來(lái)自動(dòng) 設(shè)置對(duì)特定資源的許可。
抽象組件202可包括資源模塊208和功能模塊210�,這兩個(gè)模塊獨(dú)立或協(xié) 力獲取如管理員所查看的各種資源、用戶和許可的模型���。資源模塊208可包括 關(guān)于各種可用資源的信息并基于這些可用資源來(lái)創(chuàng)建抽象資源模型���。功能模塊 210可包括關(guān)于潛在角色(例如,用戶)的信息�,人們可通過(guò)該信息來(lái)具有訪 問(wèn)權(quán)(例如����,人力資源經(jīng)理�����、庫(kù)存管理員等)�����。抽象組件202能夠(例如����,通 過(guò)資源模塊208和/或功能模塊210)提供允許用抽象術(shù)語(yǔ)來(lái)指定模型的機(jī)制或 詞匯。
例如����,可能存在諸如Emerald項(xiàng)目等抽象資源,并且存在由于其作為促進(jìn) 員(facilitator)的角色而應(yīng)具有各種訪問(wèn)權(quán)的項(xiàng)目促進(jìn)員�����。由此�,抽象組件202 不聚焦于所保護(hù)的特定資源,而是聚焦于這些資源的概念組織以及用戶和對(duì)于 每一個(gè)用戶的對(duì)這些資源的各種許可的概念組織�����。
分配組件204可包括范圍模塊212和角色模塊214。范圍模塊212可包括 或可訪問(wèn)資源的集合并且可將這些資源的子集分配給一個(gè)或多個(gè)抽象資源模 型216,其被標(biāo)記為資源,到資源p其中尺是整數(shù)����。還包括角色模塊214,其 可訪問(wèn)或維護(hù)可被分配給一個(gè)或多個(gè)抽象用戶模型的主體的集合��。這些主體可 以是用戶218或用戶角色�,其被標(biāo)記為用戶,到用戶w,其中W是整數(shù)��。由系
10統(tǒng)200創(chuàng)建的模型可以用特定用戶和/或資源(例如�,磁盤文件�����、數(shù)據(jù)庫(kù)���、模型 中所指定的其他東西)來(lái)填充���。
應(yīng)當(dāng)理解,存在可表示模型的其他方式并且角色和范圍只是表示模型的一 個(gè)示例���。因此�,無(wú)論使用什么機(jī)制或詞匯,資源和用戶組或角色都可基于它們 彼此之間的關(guān)系來(lái)定義���。許可能夠基于這些原語(yǔ)而不是實(shí)際物理資源和真實(shí)用
來(lái)指定�����。
可能存在抽象系統(tǒng)的第一人����、將抽象出的或概念性的組織實(shí)例化為特定資 源的另一人���、以及將用戶添加到適當(dāng)?shù)墓ぞ叩牧硪蝗?��。因此,這些資源能夠以 獨(dú)立于意圖的方式來(lái)傳達(dá)�,并且可能存在在不同的上卜'文中實(shí)例化的復(fù)雜關(guān) 系。
另外��,模塊化概念可被配置成創(chuàng)建嵌套模型���?�?稍谶@些嵌套模型中指定安 全策略�。模型可被指定用于訪問(wèn)控制并且該模型可用作用于為較大的系統(tǒng)構(gòu)建 模型的組件。
因?yàn)榻巧峭ㄓ没虺橄蟮?�,所以模型能夠在其他模型或子模型中并以模塊 化的方式使用���。例如���,可能存在用于每一個(gè)銀行分行以及每一個(gè)城市中的首要 分行的模板?����?赡艽嬖谥付ㄕl(shuí)被允許指定后勤經(jīng)理的模型����。然而��,不為了描述 分行而發(fā)明該分行本身或?qū)ζ浣?��。相反�,可重?fù)使用已經(jīng)構(gòu)建的分行模型并 將其與后勤經(jīng)理模塊組合��。
圖3示出了用于系統(tǒng)子集的模型的視圖300。該模型視圖300可以是從負(fù) 責(zé)將特定個(gè)人分配到特定角色或訪問(wèn)權(quán)(例如�,安全訪問(wèn)權(quán))的管理員、用戶 和/或?qū)嶓w的觀點(diǎn)來(lái)看的���。示出了兩個(gè)項(xiàng)目?jī)?chǔ)存庫(kù)302和304��,這兩個(gè)項(xiàng)目?jī)?chǔ)存 庫(kù)可表示組織中的同時(shí)對(duì)其工作的兩個(gè)項(xiàng)目�。在某些實(shí)施例中���,儲(chǔ)存庫(kù)302����、 304可表示其他項(xiàng)目����、作業(yè)、任務(wù)等�����,這些項(xiàng)目�����、作業(yè)、任務(wù)具有在其涉及這 些項(xiàng)目��、作業(yè)���、任務(wù)時(shí)應(yīng)被分配不同的訪問(wèn)權(quán)限的多個(gè)用戶���。這些儲(chǔ)存庫(kù)302、 304可以是資源的范圍��, 一個(gè)對(duì)應(yīng)于第一項(xiàng)目302���, 一個(gè)對(duì)應(yīng)于第二項(xiàng)目304���。
每--個(gè)項(xiàng)目302、 304都可具有在其涉及項(xiàng)目302����、 304時(shí)被分配來(lái)執(zhí)行各 種功能的用戶的各種角色或邏輯類。例如��,第一項(xiàng)目302具有兩個(gè)角色����,這兩 個(gè)角色可以是開發(fā)者306和項(xiàng)目經(jīng)理308。在該簡(jiǎn)單示例中����,第二項(xiàng)目304也 具有類似的角色,即開發(fā)者306和項(xiàng)目經(jīng)理308���。然而�����,應(yīng)當(dāng)理解����,可能存在多個(gè)角色�����,并且兩個(gè)角色只是出于簡(jiǎn)單的目的而示出的�����。另外地或另選地�����,可
將不止--個(gè)用戶分配到每一個(gè)角色并且這些角色可跨如角色306和308所表示 的儲(chǔ)存庫(kù)302、 304來(lái)利用�。在部署項(xiàng)目?jī)?chǔ)存庫(kù)302、 304時(shí)���,可創(chuàng)建對(duì)應(yīng)于每 一個(gè)角色的組�。該組可包括對(duì)于項(xiàng)目執(zhí)行該角色的功能的用戶��。由此�����,范圍是 資源的集合而角色是主體的集合����。
在該簡(jiǎn)單圖示中,管理員(或其他負(fù)責(zé)方)將用戶310放入所需的一個(gè)或 多個(gè)組中并且作為用特定角色306����、 308來(lái)標(biāo)識(shí)用戶308的結(jié)果,自動(dòng)創(chuàng)建適 當(dāng)?shù)脑S可和成員資格�。即,對(duì)于每一個(gè)儲(chǔ)存庫(kù)302���、 304���,可分配多個(gè)角色306 和308,這些角色可以是與所示及所描述的角色不同和/或不同數(shù)量的角色��。向 每一個(gè)角色分配一個(gè)或多個(gè)人并且對(duì)該用戶應(yīng)用對(duì)應(yīng)于該角色的相應(yīng)的訪問(wèn) 權(quán)限���。這一分配可基于諸如用戶id�����、用戶口令等與該個(gè)人相關(guān)聯(lián)的唯一標(biāo)識(shí)符 或基于其他標(biāo)識(shí)符��。如圖所示����,用戶310被分配到第一儲(chǔ)存庫(kù)302中的開發(fā)者 角色306以及第二儲(chǔ)存庫(kù)304中的項(xiàng)目經(jīng)理308��。
圖4示出了向多個(gè)用戶分配訪問(wèn)權(quán)限的示例性手動(dòng)管理400���。該示例類似 于上述示例并且包括第--項(xiàng)目402和第二項(xiàng)目404��。標(biāo)識(shí)開發(fā)者406和項(xiàng)目經(jīng) 理408并將其與每一個(gè)項(xiàng)目402����、 404相關(guān)聯(lián)。用戶410可負(fù)責(zé)第一項(xiàng)目中的 開發(fā)者408的角色以及第二項(xiàng)目404中的項(xiàng)目經(jīng)理406的角色�。
然而,在手動(dòng)向相關(guān)聯(lián)的項(xiàng)目402和404分配角色406����、 408時(shí)(例如, 不利用所公開的各實(shí)施例)�,角色406、 408無(wú)法跨應(yīng)用程序402�、 404利用�����。 因此��,需要用于向項(xiàng)目402����、 404分配角色和個(gè)人的進(jìn)一步的手動(dòng)動(dòng)作。在以 下討論中�����,出于簡(jiǎn)單的目的將只討論一個(gè)角色。對(duì)于手動(dòng)管理��,對(duì)每一個(gè)角色 利用服務(wù)器412�。手動(dòng)地將每一個(gè)或每一組用戶406�����、 408與諸如例如�����,編輯許 可414和閱讀許可416等一個(gè)或多個(gè)操作相關(guān)聯(lián)。手動(dòng)地將每一個(gè)許可414��、 416與用戶或用戶組406�、 408相關(guān)聯(lián)�����,并且對(duì)于每一個(gè)角色(例如���,開發(fā)者 406和項(xiàng)目經(jīng)理408)��,將必須手動(dòng)配置許可多次���。
手動(dòng)配置可導(dǎo)致錯(cuò)誤���,因?yàn)榇嬖谔嘈枰謩?dòng)修改的配置。因此���,所公開 的各實(shí)施例可通過(guò)提供可跨多個(gè)項(xiàng)目利用的模塊化角色來(lái)減輕管理員的重復(fù) 手動(dòng)工作���。另外����,所公開的各實(shí)施例可使得在較長(zhǎng)的增量變更(例如,對(duì)訪問(wèn) 權(quán)限的改變)歷史后確定策略及其目的變得簡(jiǎn)單?��,F(xiàn)在參考圖5�,示出了可與所公開的各實(shí)施例一起利用的示例性系統(tǒng)500���。 該系統(tǒng)可包括虛線502所示的模板以及虛線504所示的實(shí)例��。模板502及其實(shí) 例504可被稱為可對(duì)應(yīng)于服務(wù)實(shí)例及其資源子集的葉范圍(leaf node)�。除了 對(duì)服務(wù)的編碼之外���,創(chuàng)建可定義該服務(wù)的角色的范圍模板502���。角色可確定用 戶可在執(zhí)行該角色的功能時(shí)擁有的許可����。圖5的角色被示為貢獻(xiàn)者506和閱讀 者或査看者508���?����?啥ㄖ泼恳粋€(gè)角色506��、 508以使得用戶或用戶組能夠執(zhí)行任 務(wù)(例如����,銀行出納員��、HR福利員����、文檔的貢獻(xiàn)者或査看者等)在該示例中, 貢獻(xiàn)者506可編輯文檔并且如圖所示,也可以是查看者508����,這是角色嵌套的 示例。
預(yù)定義角色506�����、 508可幫助確定應(yīng)測(cè)試以確保其正確地啟用所需任務(wù)并 遵照范圍內(nèi)的授權(quán)策略的許可組合����。實(shí)例化范圍模板502以創(chuàng)建范圍����?�?衫?相同的模板502來(lái)創(chuàng)建許多范圍�����,如圖5所示。在該圖示中��,貢獻(xiàn)者506和査 看者508角色在對(duì)應(yīng)的角色模板在該模板中所具有的范圍中具有對(duì)資源的相同 許可����。用戶510被示為被放入查看者角色���。每一個(gè)范圍都可精確地反映范圍模 板并具有模板502中所定義的資源�����、角色和許可��。
圖6示出了可以與所公開的各實(shí)施例一起利用的另一系統(tǒng)600。可利用各 種程序應(yīng)用來(lái)創(chuàng)建較高級(jí)的模板����。系統(tǒng)600包括項(xiàng)目?jī)?chǔ)存庫(kù)602�,其可包括至 少兩個(gè)子部分,被示為規(guī)約604和源606���。項(xiàng)目經(jīng)理角色608可被分配到規(guī)約 服務(wù)器604中的共享者角色610以及源服務(wù)器606中的閱讀者角色612。 一部 分的角色可包括該角色將其導(dǎo)出到包含范圍的接口��。最小的部分是實(shí)際服務(wù)并 且包括諸如項(xiàng)目所包含的子部分等復(fù)合部分�。這些部分可如所需要地深度嵌套 以提供各種角色和子角色��。因?yàn)檫@可對(duì)所有項(xiàng)目?jī)?chǔ)存庫(kù)定義,所以管理員實(shí)例 化模型即可而無(wú)需理解所涉及的所有細(xì)節(jié)��。該項(xiàng)目模板的兩個(gè)實(shí)例將類似于圖 3所示的系統(tǒng)那樣出現(xiàn)����。因此,可利用較小的部分或子角色來(lái)創(chuàng)建較大的角色 而無(wú)需上述多個(gè)手動(dòng)配置����。
圖7示出了所公開的各實(shí)施例的可擴(kuò)展特性。示出了用于銀行出納員應(yīng)用 程序的模板700以展示商業(yè)應(yīng)用程序中的可擴(kuò)展策略��?���?蓪?duì)銀行服務(wù)的賬戶 706應(yīng)用低角色702和高角色704。每一個(gè)角色702�����、 704都可具有相應(yīng)的轉(zhuǎn)賬 金額許可��,諸如對(duì)于低角色702的1000美元以及對(duì)于高角色的100000美元�����。在外部分行應(yīng)用程序中,出納員角色708和經(jīng)理角色710可被分別分配到 低賬戶和高賬戶�。管理員或負(fù)責(zé)分配角色的其他用戶可向應(yīng)用程序邏輯添加當(dāng) 前交易的金額值并且策略系統(tǒng)可評(píng)估該表達(dá)。由此�����,角色是模塊化的并且策略 可通過(guò)基于模型的訪問(wèn)控制來(lái)更新而不改變應(yīng)用程序代碼���。
圖8示出了用于家庭個(gè)人計(jì)算機(jī)或域的簡(jiǎn)化的模板��?����;谀K的訪問(wèn)控制 可用于企業(yè)應(yīng)用程序并且還可使得授權(quán)對(duì)于小型企業(yè)和消費(fèi)者變得較不復(fù)雜��。 應(yīng)當(dāng)注意���,圖8出于簡(jiǎn)單的目的而僅示出了家庭域的子部分。
單個(gè)機(jī)器的桌面可具有若干預(yù)定義角色(例如���,抽象用戶模型),諸如成 人802��、孩子804和朋友806。還可包括若干預(yù)定義范圍�,諸如家務(wù)808、社區(qū) 810和用戶范圍模板812�����。這些范圍808����、 810和812可從同一基本范圍模板中 構(gòu)建。該范圍模板在該附圖中出現(xiàn)四次����。在家務(wù)范圍808和社區(qū)范圍810上, 成人802可以是所有者814而孩子可以是貢獻(xiàn)者�。每一個(gè)用戶都可具有伙伴列 表并且伙伴816是對(duì)于城堡818的朋友并且另外是用戶的共享子范圍上的閱讀 者820。應(yīng)當(dāng)注意�,這是簡(jiǎn)單的示例并且小型企業(yè)可具有若干更多的部分。
圖9示出了用于提供模塊化的基于模型的訪問(wèn)控制的方法900���。盡管出于 簡(jiǎn)化解釋的目的�,各方法被顯示和描述為一系列的框���,但應(yīng)該理解和明白����,所 公開的各實(shí)施例不受框的順序所限,因?yàn)橐恍┛蚰軌蛞耘c在此所敘述和描述所 不同的順序發(fā)生和/或與其他框同時(shí)發(fā)生���。而且���,并非所有示出的框都是實(shí)現(xiàn)以 下描述的方法所必需的??梢岳斫猓c各框相關(guān)聯(lián)的功能可以由軟件��、硬件����、 其組合、或任何其它合適的裝置(例如��,設(shè)備�、系統(tǒng)、進(jìn)程��、組件)來(lái)實(shí)現(xiàn)�。 另外,還應(yīng)該明白��,下文以及本說(shuō)明書全文中所公開的方法能夠被存儲(chǔ)在制品 上,以便于把此類方法傳送和轉(zhuǎn)移到各種設(shè)備�����。本領(lǐng)域技術(shù)人員將會(huì)明白并理 解����,方法可替換地被表示為一系列相互關(guān)聯(lián)的狀態(tài)或事件�,諸如以狀態(tài)圖的形 式。
在902�����,創(chuàng)建抽象安全策略�����。該安全策略能夠以獨(dú)立于實(shí)際用于保護(hù)資源 (例如�����,程序����、應(yīng)用程序�、格式��、文件等)的機(jī)制或配置的類型的方式創(chuàng)建��。 在904����,可創(chuàng)建或開發(fā)抽象用戶模型和/或抽象資源模型。這些模型并非特定用 戶和/或特定資源專用的���,而是涉及不同的資源��、角色或功能以及對(duì)于各種資源����、 用戶或用戶角色的應(yīng)授權(quán)的訪問(wèn)控制����。
14在906,將特定用戶和/或特定資源與一個(gè)或多個(gè)抽象用戶模型或抽象資源 模型相關(guān)聯(lián)��。例如��, 一用戶模型可以用于應(yīng)具有涉及下屬的功能的安全策略的 主管。以此方式�����,主管應(yīng)被給予對(duì)應(yīng)于該主管的抽象出的安全策略以及對(duì)應(yīng)于 下屬的抽象出的安全策略�����。另外�����,可通過(guò)以使得模型能夠被指定用于訪問(wèn)控制 并且該模型可用作用于為較大系統(tǒng)構(gòu)建模型的組件的方式嵌套模型來(lái)將不止
一個(gè)用戶模型與不止一個(gè)抽象安全策略相關(guān)聯(lián)���。在906,該關(guān)聯(lián)還允許模塊性�����, 其中抽象用戶模型及相關(guān)聯(lián)的抽象安全策略或抽象資源模型可跨應(yīng)用程序或 在不同的應(yīng)用程序中使用����。
在908,可基于模型來(lái)自動(dòng)設(shè)置對(duì)特定資源的許可(例如�����,具有其權(quán)限的 專用名稱用戶/組)。在某些實(shí)施例中�,不止一個(gè)人與抽象出的用戶模型和抽象 出的安全策略中的任一個(gè)或兩者相關(guān)聯(lián)。
現(xiàn)在參見圖10��,示出了可用于執(zhí)行所公開的體系結(jié)構(gòu)的計(jì)算機(jī)的框圖�����。 為了提供用于此處所公開的各方面的附加上下文��,圖IO及以下討論旨在提供 對(duì)其中可實(shí)現(xiàn)各方面的合適的計(jì)算環(huán)境1000的簡(jiǎn)要概括描述���。盡管以上在可
在一個(gè)或多個(gè)計(jì)算機(jī)上運(yùn)行的計(jì)算機(jī)可執(zhí)行指令的一般上下文中描述一個(gè)或 多個(gè)實(shí)施例��,但是本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到��,各實(shí)施例也可結(jié)合其它程序模 塊和/或作為硬件和軟件的組合來(lái)實(shí)現(xiàn)����。
一般而言��,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程���、 程序��、組件���、數(shù)據(jù)結(jié)構(gòu)等等�。此外����,本領(lǐng)域的技術(shù)人員可以理解,本發(fā)明的方 法可用其它計(jì)算機(jī)系統(tǒng)配置來(lái)實(shí)施�,包括單處理器或多處理器計(jì)算機(jī)系統(tǒng)���、小 型機(jī)��、大型計(jì)算機(jī)���、以及個(gè)人計(jì)算機(jī)、手持式計(jì)算設(shè)備�����、基于微處理器的或可 編程消費(fèi)電子產(chǎn)品等��,其每一個(gè)都可操作上耦合到一個(gè)或多個(gè)相關(guān)聯(lián)的設(shè)備。
所示各方面也可以在其中某些任務(wù)由通過(guò)通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備 來(lái)執(zhí)行的分布式計(jì)算環(huán)境中實(shí)踐��。在分布式計(jì)算環(huán)境中��,程序模塊可以位于本 地和遠(yuǎn)程存儲(chǔ)器存儲(chǔ)設(shè)備中�����。
計(jì)算機(jī)通常包括各種計(jì)算機(jī)可讀介質(zhì)�。計(jì)算機(jī)可讀介質(zhì)可以是可由計(jì)算機(jī) 訪問(wèn)的任何可用介質(zhì),并包括易失性和非易失性介質(zhì)���、可移動(dòng)和不可移動(dòng)介質(zhì)���。 作為示例而非限制,計(jì)算機(jī)可讀介質(zhì)可以包括計(jì)算機(jī)存儲(chǔ)介質(zhì)和通信介質(zhì)��。計(jì) 算機(jī)存儲(chǔ)介質(zhì)包括以用于存儲(chǔ)諸如計(jì)算機(jī)可讀指令���、數(shù)據(jù)結(jié)構(gòu)�����、程序模塊或其
15他數(shù)據(jù)的信息的任何方法和技術(shù)實(shí)現(xiàn)的易失性和非易失性���、可移動(dòng)和不可移動(dòng)
介質(zhì)��。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括但不限于RAM�、 ROM���、 EEPROM�����、閃存或者其它 存儲(chǔ)器技術(shù)�、CD-ROM�、數(shù)字視頻盤(DVD)或其它光盤存儲(chǔ)、磁帶盒��、磁帶��、 磁盤存儲(chǔ)或其它磁存儲(chǔ)設(shè)備��、或可以用于存儲(chǔ)所需信息并且可以由計(jì)算機(jī)訪問(wèn) 的任何其它介質(zhì)��。
通信介質(zhì)通常以諸如載波或其它傳輸機(jī)制等已調(diào)制數(shù)據(jù)信號(hào)來(lái)體現(xiàn)計(jì)算 機(jī)可讀指令���、數(shù)據(jù)結(jié)構(gòu)��、程序模塊或其它數(shù)據(jù)��,且包含任何信息傳遞介質(zhì)�。術(shù) 語(yǔ)"已調(diào)制數(shù)據(jù)信號(hào)"指的是其一個(gè)或多個(gè)特征以在信號(hào)中編碼信息的方式被 設(shè)定或更改的信號(hào)�。作為示例而非限制,通信介質(zhì)包括有線介質(zhì)����,諸如有線網(wǎng) 絡(luò)或直接線連接,以及無(wú)線介質(zhì)����,諸如聲學(xué)、RP�����、紅外線和其它無(wú)線介質(zhì)���。上 述中的任意組合也應(yīng)包括在計(jì)算機(jī)可讀介質(zhì)的范圍之內(nèi)�����。
再次參考圖10��,用于實(shí)現(xiàn)各方面的示例性環(huán)境1000包括計(jì)算機(jī)1002����,計(jì) 算機(jī)1002包括處理單元1004、系統(tǒng)存儲(chǔ)器1006和系統(tǒng)總線1008����。系統(tǒng)總線 1008將包括但不限于系統(tǒng)存儲(chǔ)器1006的系統(tǒng)ia件耦合到處理單元1004。處理 爭(zhēng)元1004可以是巿場(chǎng)上可購(gòu)買到的各種處理器中的任意一種��。雙微處理器和 其它多處理器體系結(jié)構(gòu)也可用作處理單元1004�。
系統(tǒng)總線1008可以是若干種總線結(jié)構(gòu)中的任一種,這些總線結(jié)構(gòu)還可互 連到存儲(chǔ)器總線(帶有或沒(méi)有存儲(chǔ)器控制器)�、外圍總線、以及使用各類市場(chǎng) 上可購(gòu)買到的總線體系結(jié)構(gòu)中的任一種的局部總線����。系統(tǒng)存儲(chǔ)器1006包括只 讀存儲(chǔ)器(ROM) 1010和隨機(jī)存取存儲(chǔ)器(RAM) 1012?���;据斎?輸出系統(tǒng) (BIOS)儲(chǔ)存在諸如ROM���、 EPROM���、 EEPROM等非易失性存儲(chǔ)器1010中����, 其中BIOS包含幫助諸如在啟動(dòng)期間在計(jì)算機(jī)1002內(nèi)的元件之間傳輸信息的基 本例程�����。RAM 1012還可包括諸如靜態(tài)RAM等高速RAM來(lái)用于高速緩存數(shù) 據(jù)�。
計(jì)算機(jī)1002還包括內(nèi)置硬盤驅(qū)動(dòng)器(HDD) 1014 (例如,EIDE��、 SATA)����, 該內(nèi)置硬盤驅(qū)動(dòng)器1014還可被配置成在合適的機(jī)殼(未示出)中供外部使用; 磁軟盤驅(qū)動(dòng)器(FDD) 1016 (例如����,從可移動(dòng)磁盤1018中讀取或向其寫入); 以及光盤驅(qū)動(dòng)器1020 (例如�,從CD-ROM盤1022中讀取,或從諸如DVD等 其它高容量光學(xué)介質(zhì)中讀取或向其寫入)�����。硬盤驅(qū)動(dòng)器1014、磁盤驅(qū)動(dòng)器1016和光盤驅(qū)動(dòng)器1020可分別通過(guò)硬盤驅(qū)動(dòng)器接口 1024��、磁盤驅(qū)動(dòng)器接口 1026 和光盤驅(qū)動(dòng)器接口 1028來(lái)連接到系統(tǒng)總線1008��。用于外置驅(qū)動(dòng)器實(shí)現(xiàn)的接口 1024包括通用串行總線(USB)和IEEE 13104接口技術(shù)中的至少一種或兩者���。 其它外置驅(qū)動(dòng)器連接技術(shù)在一個(gè)或多個(gè)實(shí)施例所構(gòu)想的范圍之內(nèi)��。
驅(qū)動(dòng)器及其相關(guān)聯(lián)的計(jì)算機(jī)可讀介質(zhì)提供了對(duì)數(shù)據(jù)��、數(shù)據(jù)結(jié)構(gòu)����、計(jì)算機(jī)可 執(zhí)行指令等的非易失性存儲(chǔ)��。對(duì)于計(jì)算機(jī)1002���,驅(qū)動(dòng)器和介質(zhì)容納適當(dāng)?shù)臄?shù)字 格式的任何數(shù)據(jù)的存儲(chǔ)�。盡管以上對(duì)計(jì)算機(jī)可讀介質(zhì)的描述涉及HDD�����、可移 動(dòng)磁盤以及諸如CD或DVD等可移動(dòng)光學(xué)介質(zhì)���,但是本領(lǐng)域的技術(shù)人員應(yīng)當(dāng) 理解��,示例性操作環(huán)境中也可使用可由計(jì)算機(jī)讀取的任何其它類型的介質(zhì)����,諸 如zip驅(qū)動(dòng)器�、磁帶盒、閃存卡����、盒式磁帶等等,并且任何這樣的介質(zhì)可包含 用于執(zhí)行此處所公開的方法的計(jì)算機(jī)可執(zhí)行指令�。
多個(gè)程序模塊可存儲(chǔ)在驅(qū)動(dòng)器和RAM 1012中,包括操作系統(tǒng)1030�、 一 個(gè)或多個(gè)應(yīng)用程序1032、其它程序模塊1034和程序數(shù)據(jù)1036�。所有或部分操 作系統(tǒng)、應(yīng)用程序��、模塊和/或數(shù)據(jù)也可被高速緩存在RAM 1012中�����。可以理 解�,各實(shí)施例可用各種市場(chǎng)上可購(gòu)得的操作系統(tǒng)或操作系統(tǒng)的組合來(lái)實(shí)現(xiàn)。
用戶可以通過(guò)一個(gè)或多個(gè)有線/無(wú)線輸入設(shè)備��,例如鍵盤1038和諸如鼠標(biāo) 1040等定點(diǎn)設(shè)備將命令和信息輸入到計(jì)算機(jī)1002中��。其它輸入設(shè)備(未示出) 可包括話筒���、IR遙控器���、操縱桿、游戲手柄�、指示筆、觸摸屏等等�。這些和其 它輸入設(shè)備通常通過(guò)耦合到系統(tǒng)總線1008的輸入設(shè)備接口 1042連接到處理單 元1004,但也可通過(guò)其它接口連接��,如并行端口��、 IEEE 1394串行端口�、游戲 端口、 USB端口����、 IR接口等等��。
監(jiān)視器1044或其它類型的顯示設(shè)備也經(jīng)由接口���,諸如視頻適配器1046 連接至系統(tǒng)總線1008�����。除了監(jiān)視器1044之外����,計(jì)算機(jī)通常包括諸如揚(yáng)聲器和 打印機(jī)等其它外圍輸出設(shè)備(未示出)。
計(jì)算機(jī)1002可使用經(jīng)由有線和/或無(wú)線通信至一個(gè)或多個(gè)遠(yuǎn)程計(jì)算機(jī)��,諸 如遠(yuǎn)程計(jì)算機(jī)1048的邏輯連接在網(wǎng)絡(luò)化環(huán)境中操作��。遠(yuǎn)程計(jì)算機(jī)1048可以是 工作站���、服務(wù)器計(jì)算機(jī)�、路由器�����、個(gè)人計(jì)算機(jī)���、便攜式計(jì)算機(jī)�����、基于微處理器 的娛樂(lè)設(shè)備��、對(duì)等設(shè)備或其它常見的網(wǎng)絡(luò)節(jié)點(diǎn)�����,并且通常包括以上相對(duì)于計(jì)算 機(jī)1002描述的許多或所有元件����,盡管為簡(jiǎn)明起見僅示出了存儲(chǔ)器/存儲(chǔ)設(shè)備1050。所描繪的邏輯連接包括到局域網(wǎng)(LAN) 1052和/或例如廣域網(wǎng)(WAN) 1054等更大的網(wǎng)絡(luò)的有線/無(wú)線連接��。這一 LAN和WAN聯(lián)網(wǎng)環(huán)境常見于辦公 室和公司���,并且方便了諸如內(nèi)聯(lián)網(wǎng)等企業(yè)范圍計(jì)算機(jī)網(wǎng)絡(luò)��,所有這些都可連接 到例如因特網(wǎng)等全球通信網(wǎng)絡(luò)���。
當(dāng)在LAN網(wǎng)絡(luò)環(huán)境中使用時(shí),計(jì)算機(jī)1002通過(guò)有線和/或無(wú)線通信網(wǎng)絡(luò) 接口或適配器1056連接到局域網(wǎng)1052�����。適配器1056可以方便到LAN 1052的 有線或無(wú)線通信,并且還可包括其上設(shè)置的用于與無(wú)線適配器1056通信的無(wú) 線接入點(diǎn)�。
當(dāng)在WAN連網(wǎng)環(huán)境中使用時(shí),計(jì)算機(jī)1002可包括調(diào)制解調(diào)器1058����,或 連接到WAN 1054上的通信服務(wù)器����,或具有用于通過(guò)WAN 1054,諸如通過(guò)因 特網(wǎng)建立通信的其它裝置���?����;?yàn)閮?nèi)置或?yàn)橥庵玫恼{(diào)制解調(diào)器1058以及有線或 無(wú)線設(shè)備經(jīng)由串行端口接口 1042連接到系統(tǒng)總線1008�����。在網(wǎng)絡(luò)化環(huán)境中����,相 對(duì)于計(jì)算機(jī)1002所描述的程序模塊或其部分可以存儲(chǔ)在遠(yuǎn)程存儲(chǔ)器/存儲(chǔ)設(shè)備 1050中。應(yīng)該理解��,所示網(wǎng)絡(luò)連接是示例性的��,并且可以使用在計(jì)算機(jī)之伺建 立通信鏈路的其它手段�。
計(jì)算機(jī)1002可用于與操作上設(shè)置在無(wú)線通信中的任何無(wú)線設(shè)備或?qū)嶓w通 信,這些設(shè)備或?qū)嶓w例如有打印機(jī)�����、掃描儀�、臺(tái)式和/或便攜式計(jì)算機(jī)、便攜式 數(shù)據(jù)助理����、通信衛(wèi)星、與無(wú)線可檢測(cè)標(biāo)簽相關(guān)聯(lián)的任何一個(gè)設(shè)備或位置(例如���, 公用電話亭�����、報(bào)亭�����、休息室)以及電話�。這至少包括Wi-Fi和藍(lán)牙TM無(wú)線技術(shù)。 由此����,通信可以如對(duì)于常規(guī)網(wǎng)絡(luò)那樣是預(yù)定義結(jié)構(gòu),或者僅僅是至少兩個(gè)設(shè)備 之間的自組織(adhoc)通信��。
Wi-Fi���,即無(wú)線保真��,允許從家中、在酒店房間中�、或在工作時(shí)連接到因 特網(wǎng)而不需要線纜。Wi-Fi是一種類似蜂窩電話中使用的無(wú)線技術(shù)�,它使得諸 如計(jì)算機(jī)等設(shè)備能夠在室內(nèi)和室外,在基站范圍內(nèi)的任何地方發(fā)送和接收數(shù) 據(jù)����。Wi-Fi網(wǎng)絡(luò)使用稱為IEEE 802.11 (a、 b���、 g等等)的無(wú)線電技術(shù)來(lái)提供安 全�、可靠、快速的無(wú)線連接��。Wi-Fi網(wǎng)絡(luò)可用于將計(jì)算機(jī)彼此連接�、連接到因 特網(wǎng)以及連接到有線網(wǎng)絡(luò)(使用IEEE 802.3或以太網(wǎng))。Wi-Fi網(wǎng)絡(luò)在未許可 的2.4和5 GHz無(wú)線電波段內(nèi)工作����,例如以11 Mbps (802.11a)或54 Mbps (802.11b)數(shù)據(jù)速率工作,或者具有包含兩個(gè)波段(雙波段)的產(chǎn)品��,因此該
18網(wǎng)絡(luò)可提供類似于許多辦公室中使用的基本10BaseT有線以太網(wǎng)的真實(shí)性能�����。 現(xiàn)在參見圖11��,示出了根據(jù)各實(shí)施例的示例性計(jì)算環(huán)境1100的示意性框 圖�����。系統(tǒng)1100包括一個(gè)或多個(gè)客戶機(jī)1102����。客戶機(jī)1102可以是硬件和/或軟 件(例如,線程�����、進(jìn)程����、計(jì)算設(shè)備)?��?蛻魴C(jī)1102可例如通過(guò)采用各實(shí)施例 而容納cookie和/或相關(guān)聯(lián)的上下文信息����。
系統(tǒng)1100還包括一個(gè)或多個(gè)服務(wù)器1104����。服務(wù)器1104也可以是硬件和/ 或軟件(例如��,線程���、進(jìn)程�����、計(jì)算設(shè)備)����。服務(wù)器1104可以例如通過(guò)使用各 實(shí)施例來(lái)容納線程以執(zhí)行變換。在客戶機(jī)1102和服務(wù)器1104之間的一種可能 的通信能夠以適合在兩個(gè)或多個(gè)計(jì)算機(jī)進(jìn)程之間傳輸?shù)臄?shù)據(jù)分組的形式進(jìn)行�����。 數(shù)據(jù)分組可包括例如cookie和/或相關(guān)聯(lián)的上下文信息��。系統(tǒng)1100包括可以用 來(lái)使客戶機(jī)1102和服務(wù)器1104之間通信更容易的通信框架1106 (例如��,諸如 因特網(wǎng)等全球通信網(wǎng)絡(luò))���。
通信可經(jīng)由有線(包括光纖)和/或無(wú)線技術(shù)來(lái)促進(jìn)����?��?蛻魴C(jī)1102操作上 被連接到可以用來(lái)存儲(chǔ)對(duì)客戶機(jī)1102本地的信息(例如���,cookie和/或相關(guān)聯(lián) 的...匕下文信息)的一個(gè)或多個(gè)客戶機(jī)數(shù)據(jù)存儲(chǔ)1108。同樣地����,服務(wù)器1104可 在操作上連接到可以用來(lái)存儲(chǔ)對(duì)服務(wù)器1104本地的信息的一個(gè)或多個(gè)服務(wù)器 數(shù)據(jù)存儲(chǔ)1110�����。
以上所描述的包括各實(shí)施例的示例����。當(dāng)然����,出于描繪各實(shí)施例的目的而描 述組件或方法的每一個(gè)可以想到的組合是不可能的,但本領(lǐng)域內(nèi)的普通技術(shù)人 員可以認(rèn)識(shí)到��,許多進(jìn)一步的組合和排列都是可能的�。因此,本說(shuō)明書旨在涵 蓋所有這些落入所附權(quán)利要求書的精神和范圍內(nèi)的更改���、修改和變化�����。
特別地,對(duì)于由上述組件���、設(shè)備�、電路、系統(tǒng)等執(zhí)行的各種功能�,除非另 外指明,否則用于描述這些組件的術(shù)語(yǔ)(包括對(duì)裝置摂?shù)囊?旨在對(duì)應(yīng)于執(zhí) 行所描述的執(zhí)行此處在示例性方面中所示的功能的組件的指定功能(例如��,功 能上等效)的任何組件�,即使這些組件在結(jié)構(gòu)上不等效于所公開的結(jié)構(gòu)。在這 一點(diǎn)上���,也可認(rèn)識(shí)到各方面包括用于執(zhí)行各方法的動(dòng)作和/或事件的系統(tǒng)以及具 有用于執(zhí)行這些動(dòng)作和/或事件的計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì)�����。
另外��,盡管可相對(duì)于若干實(shí)現(xiàn)中的僅一個(gè)來(lái)公開一個(gè)特定特征�,但是這一 特征可以如對(duì)任何給定或特定應(yīng)用所需且有利地與其它實(shí)現(xiàn)的一個(gè)或多個(gè)其
19它特征相組合�����。此外���,就在說(shuō)明書或權(quán)利要求書中使用術(shù)語(yǔ)"包括"和"含有" 及其變體而言����,這些術(shù)語(yǔ)旨在以與術(shù)語(yǔ)"包含"相似的方式為包含性的。此外����,在說(shuō)明書或權(quán)利要求書中使用的術(shù)語(yǔ)"或"意味著"非排他性或"。
權(quán)利要求
1.一種方便基于模型的訪問(wèn)控制的系統(tǒng)�,包括抽象組件(102、202)��,其構(gòu)建至少一個(gè)抽象用戶模型或抽象資源模型或這兩個(gè)模型�;分配組件(104、204)�,其將至少一個(gè)特定用戶與所述抽象用戶模型相關(guān)并將至少一個(gè)特定資源與所述抽象資源模型相關(guān);以及許可組件(106�、206),其部分地基于所述抽象資源模型來(lái)設(shè)置對(duì)所述特定資源的至少一個(gè)許可����。
2. 如權(quán)利要求1所述的系統(tǒng),其特征在于���,所述抽象組件獨(dú)立于用于保護(hù)資源的機(jī)制����。
3. 如權(quán)利要求1所述的系統(tǒng)���,其特征在于����,所述抽象組件保持策略意圖����。
4. 如權(quán)利要求1所述的系統(tǒng),其特征在于����,所述分配組件維護(hù)關(guān)于用戶角色及其訪問(wèn)許可的信息。
5. 如權(quán)利要求1所述的系統(tǒng)����,其特征在于,所述抽象組件提供用戶角色配置的可重復(fù)性���。
6. 如權(quán)利要求l所述的系統(tǒng)�����,其特征在于��,所述抽象用戶模型和抽象資源模型是模塊化的并跨不同的應(yīng)用程序來(lái)應(yīng)用�。
7. 如權(quán)利要求1所述的系統(tǒng),其特征在于����,所述許可組件將所述抽象用戶模型和抽象資源模型轉(zhuǎn)換成具體術(shù)語(yǔ)。
8. 如權(quán)利要求1所述的系統(tǒng)��,其特征在于�,所述抽象組件提供用抽象術(shù)語(yǔ)來(lái)指定所述模型的機(jī)制。
9. 如權(quán)利要求1所述的系統(tǒng)��,其特征在于�,安全策略在嵌套模型中定義。
10. 如權(quán)利要求9所述的系統(tǒng)����,其特征在于,所述嵌套模型允許所述抽象用戶模型和所述抽象資源模型被指定用于訪問(wèn)控制并用作用于為較大的系統(tǒng)構(gòu)建模型的組件���。
11. 如權(quán)利要求l所述的系統(tǒng)���,其特征在于,所述分配組件基于唯一標(biāo)識(shí)符來(lái)識(shí)別所述特定用戶�����。
12. 如權(quán)利要求l所述的系統(tǒng),其特征在于���,所述許可組件在所述用戶用所述模型來(lái)標(biāo)識(shí)時(shí)創(chuàng)建適當(dāng)?shù)脑S可和成員資格。
13. —種用于提供基于模型的訪問(wèn)控制的方法��,包括創(chuàng)建抽象用戶模型和抽象資源模型�;將至少一個(gè)特定用戶與所述抽象用戶模型相關(guān)聯(lián);將至少一個(gè)特定資源與所述抽象資源模型相關(guān)聯(lián)�����;以及部分地基于抽象用戶角色來(lái)設(shè)置對(duì)所述特定資源的至少一個(gè)許可���。
14. 如權(quán)利要求13所述的方法�,其特征在于���,創(chuàng)建抽象用戶模型和抽象資模型還包括創(chuàng)建獨(dú)立于用于保護(hù)資源的機(jī)制的類型的模型�。
15. 如權(quán)利要求13所述的方法����,其特征在于����,部分地基于所述抽象用戶角色來(lái)設(shè)置對(duì)所述特定資源的至少一個(gè)許可是自動(dòng)的���。
16. 如權(quán)利要求13所述的方法���,其特征在于,還包括嵌套相關(guān)聯(lián)的抽象用戶模型���。
17. 如權(quán)利要求13所述的方法��,其特征在于�,創(chuàng)建抽象用戶模型和抽象資源模型提供模塊性�。
18. 如權(quán)利要求13所述的方法,其特征在于���,還包括將兩個(gè)或更多個(gè)人與所述抽象用戶模型和所述抽象資源模型相關(guān)聯(lián)�。
19. 一種提供訪問(wèn)控制的計(jì)算機(jī)可執(zhí)行系統(tǒng)��,包括用于創(chuàng)建抽象用戶模型和抽象資源模型的裝置�;用于將至少一個(gè)用戶與所述抽象用戶模型相關(guān)聯(lián)并將至少一個(gè)資源與所述抽象資源模型相關(guān)聯(lián)的裝置。
20. 如權(quán)利要求19所述的系統(tǒng),其特征在于��,還包括用于對(duì)所述至少一個(gè)資源應(yīng)用許可的裝置�。
全文摘要
訪問(wèn)控制在其涉及策略或許可時(shí)基于所創(chuàng)建的模型來(lái)提供。抽象出安全策略并且該安全策略可獨(dú)立于用于保護(hù)資源的機(jī)制�。創(chuàng)建潛在用戶、用戶角色和/或資源的抽象模型而不將特定個(gè)人和/或資源與模型相關(guān)聯(lián)�。這些抽象用戶模型和抽象資源模型可跨應(yīng)用程序或在不同的應(yīng)用程序中使用?����?蛇x擇性地對(duì)模型應(yīng)用抽象出的安全策略�。特定用戶和/或資源可以與一個(gè)或多個(gè)抽象用戶模型或抽象資源模型相關(guān)聯(lián)��??汕短走@些模型以便為較大的系統(tǒng)提供配置。
文檔編號(hào)G06F15/16GK101652767SQ200880010688
公開日2010年2月17日 申請(qǐng)日期2008年2月28日 優(yōu)先權(quán)日2007年3月30日
發(fā)明者B·蘭普森, C·M·埃利森, C·W·考夫曼, M·帕拉瑪斯萬(wàn)姆, P·J·里奇, R·N·潘德雅 申請(qǐng)人:微軟公司