專利名稱:授權(quán)訪問服務(wù)器上的資源的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及資源授權(quán)。
運行在網(wǎng)絡(luò)上的服務(wù)器計算機的一個功能是管理資源并和客戶機計算機共享資源��。在客戶機計算機能夠訪問特定資源之前���,客戶機應(yīng)由服務(wù)器來驗證身份并授權(quán)�。在身份驗證背后的一個目的是驗證嘗試訪問服務(wù)器資源的客戶機的身份�。一旦客戶機通過身份驗證�,服務(wù)器可以執(zhí)行授權(quán)處理并評估客戶機計算機擁有的特權(quán)用于共享的資源���。
圖1展示一個授權(quán)系統(tǒng)��。
圖2為授權(quán)資源數(shù)據(jù)結(jié)構(gòu)�。
圖3為授權(quán)資源請求的方法的流程圖��。
圖4展示一個資源請求���。
圖5展示一個資源查詢請求。
詳細說明如圖1所示��,授權(quán)系統(tǒng)10包括可以通過通訊路徑9a-9n及網(wǎng)絡(luò)14和服務(wù)器16通訊的客戶機12a-12n。網(wǎng)絡(luò)14可以包括���,例如�����,因特網(wǎng),松散管理的消費者網(wǎng)絡(luò)���、局域網(wǎng)(LAN)��、廣域網(wǎng)(WAN)�����,或其他計算機網(wǎng)絡(luò)。服務(wù)器16管理資源18a-18n�,包括信息資源,并通過資源連接19(如LAN)與之通訊�。信息資源可以包括文件系統(tǒng)和硬件資源��,如調(diào)制解調(diào)器��、打印機或掃描設(shè)備���。
每個客戶機12a-12n可以和各自的身份驗證憑證關(guān)聯(lián)�。例如����,客戶機12a和身份驗證憑證11關(guān)聯(lián)。每個客戶機12a-12n也和表示賦予客戶機的授權(quán)或特權(quán)級別的授權(quán)憑證關(guān)聯(lián)����。如圖1所示�����,客戶機12a和身份驗證憑證13關(guān)聯(lián)。每個客戶機12a-12n也和表示客戶機希望使用資源進行的操作的資源操作關(guān)聯(lián)����。例如��,客戶機12a和表示訪問駐留在于文件系統(tǒng)中的文件��、通過調(diào)制解調(diào)器通訊、使用打印機資源打印文檔的操作或其他操作的資源操作15關(guān)聯(lián)����。
每個客戶機12a-12n,可以產(chǎn)生包含身份驗證憑證的身份驗證請求�����。例如���,客戶機12a產(chǎn)生包含身份驗證憑證11的身份驗證請求31�。請求31被發(fā)送到服務(wù)器16以使得當和服務(wù)器通過網(wǎng)絡(luò)14建立通訊時客戶機12a的身份可以由服務(wù)器驗證。身份驗證憑證11可以包括和客戶機12a關(guān)聯(lián)的名字和密碼��。替換地���,可以使用如那些使用在公鑰體系(PKI)中的私鑰/公鑰對實現(xiàn)身份驗證憑證11���。
每個客戶機12a-12n可以在網(wǎng)絡(luò)14上產(chǎn)生資源請求來訪問由服務(wù)器管理的資源18a-18n。例如��,客戶機12a可以產(chǎn)生資源請求32����。資源請求32包括由服務(wù)器16用來確定客戶機是否有訪問所請求資源的許可的授權(quán)憑證13。可以使用授權(quán)證書技術(shù)�,如用在簡單公鑰體系(SPKI)中的方法實現(xiàn)授權(quán)憑證13���。另外����,資源請求32可以包含表示使用指定資源進行的操作的信息。
客戶機�,如客戶機12a,可以讓它的授權(quán)憑證13由第二個客戶機代理���。使用這種代理技術(shù)���,第二個客戶機可以用和客戶機12a相同的授權(quán)憑證訪問服務(wù)器。服務(wù)器16同等對待兩個客戶機的憑證��。
系統(tǒng)管理員17負責關(guān)聯(lián)服務(wù)器16和它的資源18a-18n�。職責可以包括增加/刪除資源18a-18n到/從服務(wù)器16�����。管理員可以使用應(yīng)用程序20協(xié)同操作系統(tǒng)(O/S)62如Windows NTTMO/S執(zhí)行關(guān)聯(lián)功能�。這些程序可以存儲在存儲器63���,如動態(tài)隨機訪問存儲器(DRAM)中并由中央處理單元(CPU)64,如Intel Pentium處理器執(zhí)行����。應(yīng)用程序20可以包括用戶界面21來提供授權(quán)框架23和關(guān)聯(lián)的資源18a-18n的可視表示。應(yīng)用程序接口(API)22可以提供在應(yīng)用程序20和授權(quán)框架23之間標準的通訊接口��。授權(quán)框架23包括資源授權(quán)數(shù)據(jù)結(jié)構(gòu)(資源結(jié)構(gòu))26用來建立對應(yīng)于每個資源的符號化的資源名稱之間的關(guān)系并且可以包括其他資源授權(quán)相關(guān)的信息���。
資源管理器25為可以通過路徑65和應(yīng)用程序20通訊的程序模塊并且負責通過路徑29創(chuàng)建和管理資源結(jié)構(gòu)26����。它也可以負責映射由客戶機產(chǎn)生的資源請求32到滿足該請求所需的適合的資源相關(guān)的信息��?�?梢酝ㄟ^經(jīng)路徑35提交資源查詢請求34發(fā)送映射操作的結(jié)果到授權(quán)服務(wù)27。
授權(quán)服務(wù)27執(zhí)行負責確定產(chǎn)生資源請求32的客戶機12a是否得到訪問請求的資源18a-18n的授權(quán)的程序�����。服務(wù)27搜索資源結(jié)構(gòu)26并部分地基于伴隨資源請求32的授權(quán)憑證13校驗客戶機12a是否有正確的授權(quán)�。
管理員17���,作為策略制訂者�����,可以訪問資源管理器25以基于一組和資源18a-18n相關(guān)的授權(quán)策略構(gòu)建資源結(jié)構(gòu)26���。策略可以標識客戶機12a-12n需要有何種授權(quán)級別來執(zhí)行包含在資源請求32中的所請求的操作��。
如圖2所示�����,資源結(jié)構(gòu)26可以作為有向圖數(shù)據(jù)結(jié)構(gòu)如有向樹數(shù)據(jù)結(jié)構(gòu)實現(xiàn)�����。資源結(jié)構(gòu)26對應(yīng)于表示資源的名稱和資源18a-18n的分組的資源空間���。資源結(jié)構(gòu)26包括節(jié)點50a到50n的層次結(jié)構(gòu)。根節(jié)點50a對附加的節(jié)點50b到50n提供一個錨點�����。每個節(jié)點都和相應(yīng)的節(jié)點名稱51a到51n和節(jié)點標識符52a到52n關(guān)聯(lián)���。例如�,節(jié)點50c有節(jié)點名稱51c“調(diào)制解調(diào)器”和節(jié)點標識符52c“key3”���。每個節(jié)點50a到50n可以由它的節(jié)點名稱、節(jié)點標識符或兩者的組合來尋址�。
資源結(jié)構(gòu)26可以由能夠定義授權(quán)子樹的節(jié)點標識符52a到52n的由資源所有者,如資源的廠商來構(gòu)建。隨后策略制訂者可以在資源結(jié)構(gòu)中的適合的點上插入節(jié)點到子樹中�����。授權(quán)子樹可以包括資源結(jié)構(gòu)中節(jié)點的一個子集�。例如,子樹可以包括由節(jié)點50c作為子樹的基并且節(jié)點50d和50e作為子樹的分支表示的調(diào)制解調(diào)器子樹。替換地�,策略制訂者可以根據(jù)資源擁有者的偏好手工地插入節(jié)點到結(jié)構(gòu)26中。手工地插入的節(jié)點可以包括由應(yīng)用程序20動態(tài)賦值的關(guān)鍵字���。然而,由于“關(guān)鍵字”可以在內(nèi)部產(chǎn)生而并非是真正的公鑰/私鑰對����,并不需要對內(nèi)部關(guān)鍵字建立一個信任模型。
資源結(jié)構(gòu)26支持一個“裝載點”節(jié)點���,其中管理員����,作為策略制訂者,可以對訪問資源建立自頂向下的策略而無需知道資源的授權(quán)子樹如何構(gòu)建的內(nèi)部細節(jié)�。術(shù)語“裝載點”類似于文件系統(tǒng)的裝載點和訪問許可。例如����,節(jié)點50d位“制造者檢查裝載點”��,其中調(diào)制解調(diào)器的制造者可以提供規(guī)定需要訪問調(diào)整解調(diào)器資源檢查特性的授權(quán)的一組策略����。
結(jié)構(gòu)26中的每個節(jié)點50a到50n也可以和相應(yīng)的可以包含對應(yīng)的授權(quán)憑證58和授權(quán)級別59的訪問控制列表(ACL)53a到53n關(guān)聯(lián)。授權(quán)級別59指訪問資源所需的授權(quán)級別��。在一個實例中��,授權(quán)級別可以為下面四個值之一(1)所有者���,(2)編輯者����,(3)審察者���,或(4)無�����。所有者級別允許完全的對資源的管理性訪問���,編輯者允許對資源的讀/寫訪問��、審察者允許對資源的讀訪問��,以及無,是缺省的/隱含的級別�����,拒絕對資源的所有訪問��。編輯資源結(jié)構(gòu)26的部分的授權(quán)可以由授權(quán)級別控制�����。為了允許編輯子樹�����,例如增加或刪除子節(jié)點����,更改名稱、標識符和ACL�,節(jié)點的授權(quán)級別應(yīng)被設(shè)置為“所有者”�����。
授權(quán)憑證58可以表示基于客戶機訪問資源所需的的憑證的數(shù)字證書��。例如�,節(jié)點50c包含有值為“key3 (key2=所有者)”的ACL 53c����,表示授權(quán)憑證“key3”由授權(quán)級別“所有者”和授權(quán)憑證“key2”代理�����。憑證的代理由箭頭54c表示��。因此����,在節(jié)點50b對應(yīng)于節(jié)點標識符52b(“key2”)的授權(quán)憑證將被檢查以確定授權(quán)。箭頭54a到54n表示基于從子節(jié)點到父節(jié)點的授權(quán)的代理的授權(quán)憑證���。
如圖3所示�����,客戶機12a產(chǎn)生(步驟100)通過網(wǎng)絡(luò)14發(fā)送到服務(wù)器16的資源請求��。假設(shè)����,為了下述的目的��,客戶機12a能夠和服務(wù)器16通訊,因為客戶機已經(jīng)通過前面的身份驗證請求31由服務(wù)器進行身份驗證�����。資源請求32(圖4)包含授權(quán)憑證13如簽名數(shù)字證書和由客戶機指定的資源操作15。在這個例子中����,授權(quán)憑證13被設(shè)置為“Dad”并且資源操作15被設(shè)置為“設(shè)定調(diào)制解調(diào)器配置”���。
在資源請求32被訪問16接收后�����,資源管理器25基于資源請求中的信息映射(步驟102)資源請求到資源名稱(或其他標識符)和授權(quán)級別���。
資源管理器25部分基于資源請求32的內(nèi)容轉(zhuǎn)換(步驟103)資源查詢請求34����。如圖5所示,資源查詢請求34包括對應(yīng)于資源請求32的資源操作15得到的資源的資源名稱41�����。請求34還包括表示客戶機執(zhí)行請求的操作所需的許可的授權(quán)級別42����。另外,請求34標識對應(yīng)于資源請求32中的授權(quán)憑證13的授權(quán)憑證43�。
例如,使用前面圖4中的資源請求32���,資源管理器25確定(1)從資源操作15“設(shè)定調(diào)制解調(diào)器配置”得到資源名稱41為“Key3/用戶配置”����,(2)“所有者”是結(jié)構(gòu)26中特定資源節(jié)點的所需授權(quán)級別42�,及(3)“Dad”為對應(yīng)于在資源請求32中標識出的授權(quán)憑證13的授權(quán)憑證43�。資源管理器25跟蹤和資源結(jié)構(gòu)26相關(guān)的信息,包括資源名稱和關(guān)聯(lián)的授權(quán)級別����。
如圖3所示,資源管理器25轉(zhuǎn)發(fā)請求資源查詢請求34到授權(quán)服務(wù)27����。當接收到請求34時,授權(quán)服務(wù)27在資源結(jié)構(gòu)26中搜索資源名稱并用對應(yīng)節(jié)點的ACL中的授權(quán)信息評估(步驟106)客戶機的授權(quán)憑證和授權(quán)級別���。例如����,使用圖5所示的資源查詢請求34�,授權(quán)訪問可以搜索資源結(jié)構(gòu)26并得到節(jié)點50e由節(jié)點名稱51e“用戶配置”和節(jié)點標識符52e“key5”。箭頭54e表示節(jié)點50e為父節(jié)點50c的子節(jié)點����。
如果評估的結(jié)果表明(步驟108)基于ACL中的信息客戶機有訪問資源的授權(quán)����,那么授權(quán)服務(wù)27返回(步驟110)成功的響應(yīng)到資源管理器25����。資源管理器25可以執(zhí)行(步驟112)客戶機請求的操作因為客戶機已被授權(quán)。
使用圖4的資源請求32�,授權(quán)訪問27將遍歷資源結(jié)構(gòu)26中的節(jié)點并從節(jié)點50e開始處理憑證集合“key5(key3=所有者)”,隨箭頭54e到節(jié)點50c憑證“key3(key2=所有者)”并隨箭頭54c到節(jié)點50b并引用ACL2“key2(Dad=所有者)”����。如果客戶機有設(shè)置為“Dad”的授權(quán)憑證,那么他被授權(quán)為“所有者”來執(zhí)行“設(shè)定調(diào)制解調(diào)器配置”操作���。
換句話說���,如果(在塊108)和節(jié)點關(guān)聯(lián)的ACL并未授予客戶訪問權(quán)限��,那么授權(quán)服務(wù)27搜索(步驟114)查找包含有允許客戶機訪問該資源的足夠高的授權(quán)級別的ACL父節(jié)點��。如果為發(fā)現(xiàn)父節(jié)點�,那么ACL和關(guān)聯(lián)的授權(quán)級別和授權(quán)憑證被轉(zhuǎn)發(fā)到授權(quán)服務(wù)27。然后處理返回塊106�����,其中授權(quán)服務(wù)用ACL中的信息檢查客戶機的憑證�。
然而,如果(在塊114)搜索結(jié)構(gòu)表明不存在有在足夠高的授權(quán)級別的繼承的ACL的父節(jié)點�,那么授權(quán)服務(wù)27返回(步驟116)失敗結(jié)果到資源管理器25。資源管理器被拒絕(步驟118)對該資源的服務(wù)并且可以發(fā)送該拒絕到客戶機。
如果有上述已標識的授權(quán)憑證的客戶機再次嘗試訪問對應(yīng)于節(jié)點50d的“裝載點”��,客戶機將被拒絕訪問����,因為如箭頭54d所示節(jié)點50d僅代理“審察者”的授權(quán)級別到它的父節(jié)點50c。節(jié)點50c包含有值為“key3(key2=所有者)”的ACL3�,表明如箭頭54c所示憑證代理給節(jié)點50b��。因此,對有節(jié)點名稱51b“DenPC的節(jié)點50b”�����,在ACL53b的授權(quán)級別賦值“key2(Dad=所有者)”并不授權(quán)“Dad”訪問“裝載點”節(jié)點50d���。
使用上述技術(shù),資源廠商如生產(chǎn)者可以定義它自己的公鑰/私鑰并要求客戶機使用密鑰以獲得對該調(diào)制解調(diào)器某些方面���,如該調(diào)制解調(diào)器的檢查特性的訪問����。通過限制對檢查特性的訪問到授權(quán)用戶,制造者可以使用授權(quán)框架23來執(zhí)行定制的安全限制���。
上述技術(shù)可以允許授權(quán)在多個應(yīng)用���,包括跨越不同管理域的分布式系統(tǒng),之間共享����。進一步來說,該技術(shù)可以應(yīng)用于解決和對消費者市場加固服務(wù)網(wǎng)關(guān)平臺相關(guān)的問題。該技術(shù)也可以被用在企業(yè)對企業(yè)或企業(yè)對消費者的服務(wù)應(yīng)用的電子商務(wù)(“e business”)解決方案中����,其中通訊的端點內(nèi)在地為不同管理域的部分。
雖然上面討論了4種授權(quán)級別�����,提高級別的粒度是可能的����。
系統(tǒng)不同的特性能夠以硬件���、軟件或硬件和軟件的組合實現(xiàn)�����。例如,系統(tǒng)的一些方面可以實現(xiàn)在可編程計算機上執(zhí)行的計算機程序中�����。每個程序可以實現(xiàn)在高層次過程或面向?qū)ο缶幊陶Z言中來和計算機系統(tǒng)通訊���。進一步來說,每個這樣的計算機程序可以存儲在存儲媒體中�����,如由通用或?qū)S每删幊烫幚砥骺勺x的只讀存儲器(ROM),來配置和操作計算機��,當存儲媒體由計算機讀取以執(zhí)行上述功能時�。
其他實現(xiàn)在下述權(quán)利要求的范圍之內(nèi)。
權(quán)利要求
1.一種方法���,其特征在于,所述方法包括從第一個請求者接收資源請求,所述資源請求包括憑證并標識將對資源進行的操作�;映射資源請求到一個資源標識符;基于資源標識符搜索資源數(shù)據(jù)結(jié)構(gòu)查找資源節(jié)點��;及基于資源請求中的憑證是否和資源節(jié)點關(guān)聯(lián)的資源授權(quán)參數(shù),確定第一個請求者是否有對資源進行操作的授權(quán)�。
2.如權(quán)利要求1所述的方法,其特征在于�����,所述搜索包括搜索每個標識一個資源并包括一個資源標識符的資源節(jié)點����。
3.如權(quán)利要求1所述的方法���,其特征在于���,所述搜索包括搜索有向圖結(jié)構(gòu)����。
4.如權(quán)利要求1所述的方法��,其特征在于,所述接收資源請求包括接收符合簡化的公鑰體系的數(shù)字證書�。
5.如權(quán)利要求1所述的方法,其特征在于����,所述映射包括映射資源請求到資源標識符并且資源授權(quán)參數(shù)包括授權(quán)對資源的完全訪問的所有者級別�。
6.如權(quán)利要求1所述的方法�����,其特征在于�����,所述映射包括映射資源請求到資源標識符并且資源授權(quán)參數(shù)包括授權(quán)對資源的讀/寫訪問的編輯者級別。
7.如權(quán)利要求1所述的方法�,其特征在于�,所述映射包括映射資源請求到資源標識符并且資源授權(quán)參數(shù)包括授權(quán)對資源的只讀訪問的審察者級別�����。
8.如權(quán)利要求1所述的方法�,其特征在于,所述映射包括映射資源請求到資源標識符并且資源授權(quán)參數(shù)包括拒絕對資源的所有訪問的無級別��。
9.如權(quán)利要求1所述的方法�����,其特征在于���,包括在資源數(shù)據(jù)結(jié)構(gòu)中將由父節(jié)點代理子節(jié)點的憑證�。
10.如權(quán)利要求9所述的方法,其特征在于�����,基于代理的憑證處理所述資源請求����。
11.如權(quán)利要求1所述的方法�,其特征在于,所述資源請求產(chǎn)生于通過網(wǎng)絡(luò)連接到服務(wù)器計算機的客戶機計算機。
12.一種裝置,其特征在于,所述裝置包括存儲器,所述存儲器用于存儲有每個表示相應(yīng)的資源并且有相應(yīng)的資源標識符和資源授權(quán)參數(shù)的資源節(jié)點的資源數(shù)據(jù)結(jié)構(gòu);及處理器����,所述處理器配置為從第一個請求者接收資源請求,所述資源請求包括憑證并標識將對資源進行的操作�����;映射資源請求到一個資源標識符;基于資源標識符搜索資源數(shù)據(jù)結(jié)構(gòu)查找資源節(jié)點�����;及基于資源請求中的憑證是否和資源節(jié)點關(guān)聯(lián)的資源授權(quán)參數(shù)�,確定第一個請求者是否有對資源進行操作的授權(quán)��。
13.如權(quán)利要求12所述的裝置��,其特征在于���,所述資源數(shù)據(jù)結(jié)構(gòu)包括有向圖結(jié)構(gòu)���。
14.如權(quán)利要求12所述的裝置����,其特征在于�,所述憑證包括符合簡化的公鑰體系的數(shù)字證書。
15.如權(quán)利要求12所述的裝置�����,其特征在于����,所述資源授權(quán)級別包括授權(quán)對資源的完全訪問的所有者級別。
16.如權(quán)利要求12所述的裝置�����,其特征在于�����,所述資源授權(quán)級別包括授權(quán)對資源的讀/寫訪問的編輯者級別����。
17.如權(quán)利要求12所述的裝置���,其特征在于����,所述資源授權(quán)級別包括授權(quán)對資源的只讀訪問的審察者級別����。
18.如權(quán)利要求12所述的裝置�,其特征在于����,所述資源授權(quán)級別包括拒絕對資源的所有訪問的無級別�����。
19.如權(quán)利要求12所述的裝置��,其特征在于�����,所述資源數(shù)據(jù)包括從子節(jié)點到父節(jié)點的資源授權(quán)級別代理。
20.一種系統(tǒng)���,其特征在于�����,所述系統(tǒng)包括第一個計算機,所述第一個計算機和配置為產(chǎn)生有憑證的資源請求的第一個請求者關(guān)聯(lián);第二個計算機�,所述第二個計算機包括用于存儲有每個表示相應(yīng)的資源并且有相應(yīng)的資源標識符的資源節(jié)點的資源數(shù)據(jù)結(jié)構(gòu)的存儲器,并且所述第二個計算機配置為從第一個請求者接收資源請求,所述資源請求包括憑證并標識將對資源進行的操作;映射資源請求到一個資源標識符�����;基于資源標識符搜索資源數(shù)據(jù)結(jié)構(gòu)查找資源節(jié)點;及基于資源請求中的憑證是否和資源節(jié)點關(guān)聯(lián)的資源授權(quán)等級,確定第一個請求者是否有對資源進行操作的授權(quán)���;及使第一個和第二個計算機通過其通訊的網(wǎng)絡(luò)�。
21.如權(quán)利要求20所述的系統(tǒng),其特征在于����,所述資源數(shù)據(jù)結(jié)構(gòu)包括有向圖數(shù)據(jù)結(jié)構(gòu)�。
22.如權(quán)利要求20所述的系統(tǒng),其特征在于���,所述憑證包括符合簡化的公鑰體系的數(shù)字證書�����。
23.如權(quán)利要求20所述的系統(tǒng)���,其特征在于��,所述資源授權(quán)級別包括由所有者級別����、編輯者級別�、審察者級別����、無級別構(gòu)成的組中的級別之一����。
24.如權(quán)利要求20所述的系統(tǒng),其特征在于�,包括從子節(jié)點到父節(jié)點的憑證代理����。
25.如權(quán)利要求20所述的系統(tǒng),其特征在于����,包括由第二個請求者代理和第一個請求者關(guān)聯(lián)的憑證���,所述第二個請求者可以使用來自第一個請求者的憑證請求資源��,好像它就是第一個請求者那樣���。
26.一種包含存儲計算機可執(zhí)行指令的計算機可讀媒體的物品�,其特征在于�,所述計算機可執(zhí)行指令用于使計算機系統(tǒng)映射資源請求到資源標識符,以響應(yīng)接收來自第一個請求者的資源請求��,所述資源請求包括資源請求包括憑證并標識將對資源進行的操作;基于資源標識符搜索資源數(shù)據(jù)結(jié)構(gòu)查找資源節(jié)點�;及基于資源請求中的憑證是否和資源節(jié)點關(guān)聯(lián)的資源授權(quán)參數(shù),確定第一個請求者是否有對資源進行操作的授權(quán)��。
27.如權(quán)利要求26所述的物品��,其特征在于����,包括用于使計算機系統(tǒng)有包含表示資源的包括資源標識符和資源授權(quán)級別的資源節(jié)點的有向圖數(shù)據(jù)結(jié)構(gòu)的指令。
28.如權(quán)利要求26所述的物品,其特征在于��,包括用于使計算機系統(tǒng)有符合簡化的公鑰體系的數(shù)字證書的指令���。
29.如權(quán)利要求26所述的物品�,其特征在于,包括用于使計算機系統(tǒng)由父節(jié)點代理子節(jié)點的憑證的指令����。
30.如權(quán)利要求26所述的物品,其特征在于�,包括用于使計算機系統(tǒng)代由第二個請求者代理和第一個請求者關(guān)聯(lián)的憑證以允許第二個請求者使用來自第一個請求者的憑證請求資源,好像它就是第一個請求者那樣�。
全文摘要
資源授權(quán)包括接收來自第一個請求者的資源請求�����。資源請求包括憑證并標識將對資源進行的操作��。資源請求被映射到資源標識符����,并且基于資源標識符搜索資源數(shù)據(jù)結(jié)構(gòu)查找資源節(jié)點�。基于資源請求中的憑證是否和關(guān)聯(lián)于資源節(jié)點的資源授權(quán)級別匹配確定第一個請求者是否得到對資源進行操作的授權(quán)�。
文檔編號H04L29/06GK1507732SQ02809587
公開日2004年6月23日 申請日期2002年5月9日 優(yōu)先權(quán)日2001年5月11日
發(fā)明者V·洛茲, V 洛茲 申請人:英特爾公司