專利名稱:用于計算環(huán)境中的身份系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及有界系統(tǒng)中的識別實體�,尤其涉及計算環(huán)境中的原則識別。
背景技術(shù):
諸如互聯(lián)網(wǎng)和組織內(nèi)部互聯(lián)網(wǎng)等分布式計算網(wǎng)絡(luò)使得用戶能夠以比先前的方 法快得多的速度與其它用戶交換信息��,諸如舉例而言�,將文件保存到數(shù)據(jù)存儲磁盤, 并在物理上將該磁盤傳遞給另一個計算系統(tǒng)�����。在這些分布式環(huán)境中,在至少兩臺計 算機之間建立通信介質(zhì)使得信息能夠通過電子郵件��、文件共享或其它常規(guī)的信息傳 輸機制傳輸����。雖然分布式計算比起先前用于信息交換的方法的確有其優(yōu)點,但是在 這些先前的實現(xiàn)中許多相同的缺點也被帶到分布式計算領(lǐng)域�����。
一個這樣的問題是認證�,它與接收用戶觀看和操縱來自其它用戶的信息的能 力有關(guān)。換而言之����,存在一安全問題接收或訪問信息的用戶真正是被認證接收或 訪問那個信息的用戶。另一個相似的問題涉及發(fā)送信息的用戶是否真的是用戶聲稱 所指的實體�����。這些問題都基于一個基礎(chǔ)的概念一一身份驗證�。實際上��,當前的系統(tǒng) (無論該系統(tǒng)是具體化為單個計算機�、單機或在一個分布式環(huán)境中互連的多個計算 機)不提供身份驗證構(gòu)架,所述構(gòu)架可以在整個系統(tǒng)中由在其上實現(xiàn)的所有資源使 用。
正是基于這些和其它的考慮而開發(fā)了本發(fā)明�。
發(fā)明內(nèi)容
依照本發(fā)明,計算環(huán)境中用于識別原則(principal )的身份系統(tǒng)解決了上述 和其它問題���。使用多個原則對象實現(xiàn)身份系統(tǒng)����,每個對象對應(yīng)于計算環(huán)境中執(zhí)行數(shù) 字動作的特定認證�。這些原則對象的每一個是可操作的,在計算環(huán)境中由計算機進 程使用將至少一個資源對象與對應(yīng)于原則對象的特定原則相關(guān)聯(lián)���。至少一個原則對 象與至少兩個身份宣稱相關(guān)聯(lián)�����。兩個身份宣稱都與該原則對象分別相關(guān)聯(lián)�����,并以指 定原則唯一地識別該對象�����。
依照一實施例����,本發(fā)明被具體化到數(shù)據(jù)結(jié)構(gòu)中,由計算機進程使用來識別原則����,所述原則被認證以在計算環(huán)境中執(zhí)行一數(shù)字動作。數(shù)據(jù)結(jié)構(gòu)包含各種斷言��,包 括在特定識別方案中唯一地識別原則的值斷言����、指示對應(yīng)于值斷言的特定識別方案 的類型斷言。此外��,數(shù)據(jù)結(jié)構(gòu)包含指定一時間幀的時間參數(shù)斷言����,其中所述原則由 特定識別方案中的值斷言來唯一地識別。在一實施例中���,這個數(shù)據(jù)結(jié)構(gòu)表示以上段 落中概述的身份系統(tǒng)的身份宣稱。
依照本發(fā)明的實施例����,數(shù)據(jù)結(jié)構(gòu)在諸如計算機編程產(chǎn)品或計算機可讀介質(zhì)等 制造物品上被編碼。計算機編程產(chǎn)品可以是計算機系統(tǒng)可讀的計算機存儲介質(zhì)并將 計算機程序指令編碼以執(zhí)行計算機進程。計算機程序產(chǎn)品也可以是載波器上的傳播 信號�,計算系統(tǒng)可讀并將計算機程序指令編碼以執(zhí)行計算機進程。
依照另一個實施例����,本發(fā)明針對用于識別原則的方法,所述原則被認證以執(zhí) 行計算環(huán)境中的數(shù)字動作��。首先�,創(chuàng)建原則對象,以供計算環(huán)境中的計算機進程用 于識別原則��,因為所述原則與多個資源對象相關(guān)聯(lián)����。這些資源對象在計算環(huán)境中被 維護。接著��,原則對象與身份宣稱相關(guān)聯(lián)����,所述身份宣稱唯一地識別特定識別方案 中的原則。這樣的唯一識別通過將唯一識別字符串分配給一組原則來完成���,其中所 述原則是該組的一部分��。
接著方法包含接收多個資源對象�。這些資源對象表示與多個應(yīng)用程序相關(guān)聯(lián) 的資源。而且���,這些多個資源對象的每一個與身份引用相關(guān)聯(lián)�����,所述身份引用包含 將每個資源對象鏈接到原則對象的聲明���。方法接著基于關(guān)聯(lián)于身份引用中所包含的 聲明鏈接將這些接收到的資源對象的每一個識別為與原則相關(guān)聯(lián)。計算機進程接著 執(zhí)行任務(wù)��,所述任務(wù)利用原則被識別為與這些資源對象中的每一個相關(guān)聯(lián)的事實�。
依照在上述段落中描述的實施例的方法根據(jù)一實施例作為在制造物品上或中 編碼的指令來獲得的計算機進程實現(xiàn),所述制造物品諸如計算機程序產(chǎn)品或計算機 可讀介質(zhì)���。計算機程序產(chǎn)品可以是計算機系統(tǒng)可讀的計算機存儲介質(zhì)并將計算機程 序指令編碼以執(zhí)行的計算機進程��。計算機程序產(chǎn)品也可以是載波器上的傳播信號��, 它們由計算系統(tǒng)可讀并將計算機程序指令編碼以執(zhí)行計算機進程����。
附圖簡要說明
在概括地描述了本發(fā)明之后����,要提到附圖,并非必須按此比例繪制所述附 圖���,其中
圖l說明了一示例性實施例����,其中依照本發(fā)明的身份系統(tǒng)依照一實施例來 實現(xiàn)�����。
圖2示出了可以按照本發(fā)明的特定方面使用的計算機系統(tǒng)����。 圖3是邏輯上說明了圖l所示的身份系統(tǒng)的身份宣稱和身份引用之間的相 關(guān)方面的框圖。
圖4是數(shù)據(jù)結(jié)構(gòu)的代碼列表的示例部分���,所述數(shù)據(jù)結(jié)構(gòu)依照本發(fā)明的實施 例的身份宣稱具體化�。
圖5是數(shù)據(jù)結(jié)構(gòu)的代碼列表的示例部分���,所述數(shù)據(jù)結(jié)構(gòu)依照本發(fā)明的實施 例的身份引用具體化����。
圖6是說明一過程的操作特性的流程圖,所述過程用于識別
圖1的計算環(huán) 境中的資源和依照本發(fā)明的實施例的身份系統(tǒng)中的原則之間的關(guān)聯(lián)����。
圖7是用于檢測依照本發(fā)明的實施例圖1的身份系統(tǒng)中身份宣稱之間的沖 突的過程。
本發(fā)明的詳細描述
現(xiàn)在參考附圖更為全面地描述本發(fā)明��,其中示出了本發(fā)明的實施例���。然而�����, 本發(fā)明可以用很多不同的形式實施�����,并且不應(yīng)被理解為受限于這里所提出的實 施例���;相反地,提供這些實施例是為了使本揭示全面和完全���,并將本發(fā)明的范 圍全面地傳遞給本領(lǐng)域的技術(shù)人員�。在整篇文章中,相同的編號表示相同的元 件�。
一般地,本發(fā)明涉及在計算環(huán)境中識別原則��。依照本發(fā)明的替換實施例�, 這個計算機環(huán)境可以是單獨�����、獨立計算機系統(tǒng)或多個計算機系統(tǒng)互相連接以形 成分布式計算機網(wǎng)絡(luò)��,諸如互聯(lián)網(wǎng)或企業(yè)內(nèi)部互聯(lián)網(wǎng)�����。
如這里所定義的��,原則是任何個體���、個體組或在計算環(huán)境中執(zhí)行某些動作 的計算機模塊��。示例性原則包含操作系統(tǒng)��、計算機應(yīng)用程序和在操作系統(tǒng)中實 現(xiàn)的過程�、個體、人員組(例如���,家庭��、公司�����、組織等等)����。
資源在這里被定義為機器可讀形式的數(shù)據(jù)�����,以一定的方式排列以組成電子 文件���。示例資源包含但不限于網(wǎng)頁�����,電子文檔(電子郵件�、文字處理文檔、電 子表格��、圖畫�、圖形等等)、聲音文件����、電影文件或計算機可讀數(shù)據(jù)的任何其 它部分。為了清楚地說明本發(fā)明的實施例����,這里所示和所描述的示例資源是文 字處理文檔�����。同樣地�����,將術(shù)語"原則"和"資源"的定義相結(jié)合���,由計算環(huán)境 中的原則執(zhí)行的示例性動作將是創(chuàng)建��、訪問����、修改或刪除文字處理文檔。本領(lǐng) 域的技術(shù)人員會認識到本發(fā)明也可應(yīng)用到所有其它形式的資源上���。
考慮到這些定義和示例性實施例��,圖l描述了本發(fā)明在其中實現(xiàn)的計算環(huán)
境100的邏輯說明�����。計算環(huán)境100包含由通信網(wǎng)絡(luò)150互相連接的多個計算機 系統(tǒng)142��,以形成"分布式"計算環(huán)境�����。計算機系統(tǒng)142可以是客戶端機器或 服務(wù)器機器����。例如�,所期望的是在本發(fā)明的一實施例中,至少一個計算機系統(tǒng) 142是服務(wù)器機器����,可用于管理在多個客戶端機器之間交換信息�����?��?蛻舳藱C器 也通過通信網(wǎng)絡(luò)150訪問服務(wù)器機器和其它客戶端機器上的文件。
應(yīng)該理解通信網(wǎng)絡(luò)150可以是本領(lǐng)域所公知的任一類型的網(wǎng)絡(luò)或其等價 物�����。 一些示例性網(wǎng)絡(luò)包含而非限于互聯(lián)網(wǎng)��、企業(yè)內(nèi)部互聯(lián)網(wǎng)�、專用線網(wǎng)絡(luò)或者 甚至是計算機系統(tǒng)H2之間的直接通信鏈路��。還應(yīng)該理解通信網(wǎng)羅150可以按 照實施例所需的功能利用任意數(shù)量的通信技術(shù)��。所期望的用在通信網(wǎng)絡(luò)150中 的特定技術(shù)的例子包含但不限于到互聯(lián)網(wǎng)的陸地���、蜂窩�、衛(wèi)星�����、短波微波連接、 使用調(diào)制解調(diào)器或其它接口設(shè)備在設(shè)備之間的直接連接以及通過其它通信網(wǎng) 絡(luò)的連接�,所述通信網(wǎng)絡(luò)諸如局域網(wǎng)或廣域網(wǎng)。當處于本發(fā)明的范圍內(nèi)時,可 以利用這些或其它通信網(wǎng)絡(luò)的任意組合����。
依照本發(fā)明��,在計算環(huán)境100中用于識別原則的系統(tǒng)在環(huán)境100中的至少 一個計算系統(tǒng)142上實現(xiàn)�。為了使用術(shù)語�����,這個系統(tǒng)(具體化為圖1所示的各 種結(jié)構(gòu)集合)在此后被稱為"身份系統(tǒng)"��。為說明起見�����,身份系統(tǒng)在圖1中示 出�����,并在下文中描述為在單個計算機系統(tǒng)142上實現(xiàn)�。然而���,這里所描述的身 份系統(tǒng)實際上在環(huán)境100中的其它計算機系統(tǒng)142上實現(xiàn)。依照本發(fā)明的實施 例��,這個身份系統(tǒng)在所有的系統(tǒng)142上實現(xiàn)����?;蛘撸@個身份系統(tǒng)可以在環(huán)境 100中少于所有的系統(tǒng)142上實現(xiàn)����。
這個身份系統(tǒng)包含對原則的電子表示,在這里被稱為"原則對象"110���。 除了 "原則對象"之外可以用于表示這些電子表示的名稱是"身份信息對象" 和"身份信息文檔"���。原則對象110與身份宣稱134相關(guān)聯(lián)����,唯一地標識每個 對象110對應(yīng)的原則和進一步描述那個原則的特征數(shù)據(jù)^t象138。身份宣稱134 和特征數(shù)據(jù)對象138之間的區(qū)別是特征數(shù)據(jù)對象138包含并非唯一地識別相關(guān) 聯(lián)的原則的��,而是簡單地描述與原則相關(guān)聯(lián)的特性和其它特征的信息。
身份宣稱134體現(xiàn)在數(shù)據(jù)結(jié)構(gòu)中,它包含唯一地標識宣稱134所關(guān)聯(lián)的原 則對象110的信息(這里被稱為"斷言")�����?�?捎糜谛纬缮矸菪Q134的示例的 斷言包含但不限于電子郵件地址�、電話號碼(地面通信線和移動)、信用卡帳戶 號碼���、社會安全號碼�、駕駛證號碼等等����。因為原則可以使用多于一個斷言而被 唯一地標識(即,多數(shù)人有至少一個電子郵件地址和一個電話號碼)�,身份系統(tǒng)
中的每個原則對象110可用于與不止一個身份宣稱134相關(guān)聯(lián)。簡要地區(qū)分特 征數(shù)據(jù)對象138與身份宣稱134���,原則的示例性特征數(shù)據(jù)對象138是包含與個 人的年齡���、性別�����、高度和體重相關(guān)的數(shù)據(jù)的個體。這種類型的信息不能成為身 份宣稱134的斷言��,因為這種信息不是對任意人體都是唯一的���。
除了原則對象110�����、身份宣稱134和特征數(shù)據(jù)對象138�,身份系統(tǒng)也包含 身份引用136���。身份引用136是身份宣稱134的參數(shù)���,它將計算環(huán)境100中的 資源與相關(guān)聯(lián)的原則相鏈接。例如����,將與文字處理文檔相關(guān)聯(lián)的示例性原則就 是作者�����。文字處理文件的其它示例性身份引用136可以是鏈接到身份宣稱的參 數(shù)136�����,所述身份宣稱與被授權(quán)査看和/或修改該文檔的原則相關(guān)聯(lián)���。身份宣稱 134和身份引用136之間的聯(lián)系和區(qū)別會在下文中結(jié)合圖3 — 5詳細描述。
在一實施例中���,原則對象110��、身份宣稱134���、身份引用136和特征數(shù)據(jù) 對象138是符合組件對象模型(COM)的對象。同樣地���,計算環(huán)境100中任一計 算系統(tǒng)142的進程和其它對象通過與每個對象110相關(guān)聯(lián)的應(yīng)用程序接口 (APIs) 128與這些對象110通信地交互��。如本領(lǐng)域的技術(shù)人員所公知的�����,API 128 將對象(例如110����、 134、 136和138)的特征和方法(數(shù)據(jù)和功能成員)開放給計 算環(huán)境(例如IOO)中的進程和其它對象��。
因為身份引用136����、身份宣稱134和特征數(shù)據(jù)對象138會附上其它對象�, 這些所附對象的每個包含一 API 128, API 128只對所附對象(即�����,用于身份宣 稱134的原則對象110和特征數(shù)據(jù)對象138和用于身份引用136的資源對象104) 開放�����,而不對計算環(huán)境100中的其它對象開放��。同樣地�,對于計算環(huán)境100中 對象或進程要求訪問身份宣稱134或特征數(shù)據(jù)對象138,那個對象或進程通過 該對象110的API 128向相關(guān)聯(lián)的原則對象110發(fā)出這樣的請求����,它反過來為 身份宣稱134或特征數(shù)據(jù)對象138(任何一個被請求)通過API 128訪問所請求 的數(shù)據(jù)��。
為了使計算機系統(tǒng)142上的進程或模塊利用原則對象110以及由此包含在 對象中的數(shù)據(jù)(例如�����,身份宣稱134和特征數(shù)據(jù)138)����,這些對象����,如同符合COM 的任何其它對象,必須首先被例示��。當形成對象110的數(shù)據(jù)被載入到存儲器且 身份宣稱134的數(shù)據(jù)和特征數(shù)據(jù)138以及對象110的任何功能成員(g卩���,方法) 對其它對象可用時��,原則對象110被說成是"例示的"���。這個術(shù)語在區(qū)分原則 對象IIO和必須被讀入到存儲器中以例示對象110的原始數(shù)據(jù)之間區(qū)別時是有
用的。然而��,為說明起見和為了在整個規(guī)范中提供清晰的說明,結(jié)合圖3 — 7 提供的本發(fā)明的各種實施例的描述沒有區(qū)分在對象(例如����,原則對象110、身份 宣稱134��、身份引用136和特征數(shù)據(jù)對象138)的原始形式上執(zhí)行的處理和示例 形式的對象之間的區(qū)別�����。然而����,這兩種形式都只是體現(xiàn)為術(shù)語"對象"�����。然而�����, 圖1通過在數(shù)據(jù)存儲108中包含"原則數(shù)據(jù)"來說明了這個區(qū)別��,所述"原則 數(shù)據(jù)"是用于形成原則對象110的原始數(shù)據(jù)以及體現(xiàn)計算機系統(tǒng)142上身份宣 稱134和特征數(shù)據(jù)138的數(shù)據(jù)�����。
圖2說明了本發(fā)明的實施例可以在其上實現(xiàn)的合適的計算系統(tǒng)200的例 子。同樣地�����,這個系統(tǒng)200代表了被用作分布式計算環(huán)境100中運作為計算機 系統(tǒng)142的那個系統(tǒng)���。在其最基本的配置中����,系統(tǒng)200包含至少一個處理單元 202和存儲器204�����。根據(jù)實際的配置和計算設(shè)備的類型����,存儲器204可以是易 失性的(諸如RAM)、非易失性的(諸如ROM����、閃存等等)或這兩者的某種結(jié)合。 這個最基本的配置在圖2中以虛線206示出。
除了存儲器204之外��,系統(tǒng)200可以包含至少一個其它形式的計算機可讀 介質(zhì)��。計算機可讀介質(zhì)�,也被稱為"計算機程序產(chǎn)品"可以是系統(tǒng)200可以訪 問的任何可用介質(zhì)。作為例子而非限制����,計算機可讀介質(zhì)可以包含計算機存儲 介質(zhì)和通信介質(zhì)。
計算機存儲介質(zhì)包含以任一方法或技術(shù)實現(xiàn)的用于存儲信息的易失性和 非易失性�、可移動和不可移動介質(zhì),所述信息諸如計算機可讀指令�����、數(shù)據(jù)結(jié)構(gòu)����、 程序模塊或其它數(shù)據(jù)��。存儲器204���、可移動存儲器208和不可移動存儲器210 都是計算機存儲介質(zhì)的所有例子��。計算機存儲介質(zhì)包含但不限于RAM��、 ROM�、 EEPROM、閃存或其它存儲技術(shù)��、CD-ROM���、數(shù)據(jù)多用途盤(DVD)或其它光存儲��、 盒式磁帶�����、磁帶�����、磁盤存儲或其它磁性存儲設(shè)備�����,或任何其它可用于存儲所期 望信息并可由系統(tǒng)200訪問的介質(zhì)����。任何這樣的計算機存儲介質(zhì)可以是系統(tǒng)200 的部分。
示例性計算系統(tǒng)200也可以包含通信連接212��,允許系統(tǒng)與其它設(shè)備通信�����。 通信連接212是通信介質(zhì)的例子����。通信介質(zhì)一般具體化為計算機可讀指令、數(shù) 據(jù)結(jié)構(gòu)�、程序模塊或經(jīng)調(diào)制的數(shù)據(jù)信號中的其它數(shù)據(jù),諸如載波或其它傳輸機 制并包含任何信息傳遞介質(zhì)��。術(shù)語"經(jīng)調(diào)制的數(shù)據(jù)信號"是指具有一個或多個 其特性集或在信號中以編碼信息的方式改變的信號��。作為例子而非限制�,通信 介質(zhì)包含有線媒體,諸如有線網(wǎng)絡(luò)或直接有線連接����,和無線介質(zhì)諸如聲音、射
頻��、紅外線和其它無線介質(zhì)����。這里所使用的術(shù)語計算機可讀介質(zhì)同時包含存儲 介質(zhì)和通信介質(zhì)。
依照一實施例�����,系統(tǒng)200包含外圍設(shè)備���,諸如輸入設(shè)備214和/或輸出設(shè) 備216����。示例性輸入設(shè)備214包含但不限于鍵盤����、計算機鼠標、筆或鐵筆���、語 音輸入設(shè)備�����、觸摸式輸入設(shè)備等等���。示例性輸出設(shè)備216包含但不限于顯示器��、 揚聲器和打印機����。這些"外圍設(shè)備"的每個在本領(lǐng)域都是公知的���,因此不在這 里作詳細的描述����。
考慮到計算環(huán)境����,參考邏輯操作描述本發(fā)明的實施例,執(zhí)行所述邏輯操作 以實現(xiàn)實施本發(fā)明的各種實施例的過程���。這些邏輯操作被實現(xiàn)為(l)計算機實 現(xiàn)的步驟序列或運行在計算系統(tǒng)上的程序模塊和/或(2)計算系統(tǒng)中互相連接 的機器邏輯電路或電路模塊����。所述實現(xiàn)是根據(jù)實現(xiàn)本發(fā)明的計算系統(tǒng)的性能要 求的選擇�。相應(yīng)地,這里所描述的組成本發(fā)明的實施例的邏輯操作分別地指操 作��、結(jié)構(gòu)設(shè)備��、動作或模塊。本領(lǐng)域的技術(shù)人員應(yīng)該理解這些操作�����、結(jié)構(gòu)設(shè)備��、 動作和模塊可以在軟件�����、固件�、特定目的的數(shù)字邏輯和它們的任一組合中實現(xiàn)�����, 而不背離本發(fā)明的精神和范圍���,如這里所附權(quán)利要求書中所述��。
現(xiàn)在參見圖3�����,依照本發(fā)明的實施例邏輯上說明了身份系統(tǒng)300中身份引 用136和身份宣稱134之間的關(guān)系����。更具體地,圖3顯示了多個身份引用136a���、 136b和136c到單個身份宣稱134a之間的聯(lián)系以及單個身份引用136d到單個 身份宣稱134b之間的聯(lián)系����。應(yīng)該理解圖3是對身份引用136和身份宣稱134 之間關(guān)系的高級說明�,且任何號碼的身份引用136可以被鏈接到任何號碼的身 份宣稱134a和134b中任意一個。
在一個實施例中�����,組成身份系統(tǒng)300的身份引用136和身份宣稱134在分 布式計算環(huán)境中的多個計算機上實現(xiàn)���。為說明起見��,身份引用(例如136b)可以 與存儲在第一計算機系統(tǒng)142上的資源相關(guān)聯(lián)���,而與該參數(shù)136b相鏈接的身 份宣稱134a包含在維持在第二計算機系統(tǒng)142的原則對象110中?��;蛘?����,組 成身份系統(tǒng)300的身份引用136和身份宣稱134存儲在單個�、單機系統(tǒng)142上。 結(jié)合圖4和5詳細描述在身份引用136和身份宣稱134之間鏈接的建立����,因此 在描述圖3時不再重復(fù)�����。而只是描述這些對象之間的邏輯關(guān)系���。
鏈接到單個身份宣稱134a的136a���、 136b和136c中的每個身份引用是與 不同的資源相關(guān)聯(lián)的。例如�����,身份引用136a可與一個字處理文檔相關(guān)聯(lián)��,身 份引用136b可與一個電子制表文檔相關(guān)聯(lián)�����,身份引用136c可與一個電子郵件
文檔相關(guān)聯(lián)。這些身份引用(136a�, 136b, 136c)的每一個鏈接到相同的身份宣稱 134a,并由此識別這些資源的每一個��,所述資源與對應(yīng)于身份宣稱134a的原 則相關(guān)聯(lián)��。這個原則可以是����,例如,著作這些文檔每一個的個體�����。另一個示例 性原則可以是雇用了創(chuàng)建個體的組織��。同樣地����,身份引用136d把這些資源聯(lián) 系到與這個參數(shù)136d相關(guān)聯(lián)的身份宣稱134b。這樣�,通過將其與對應(yīng)于宣稱 134b的原則相關(guān)聯(lián),這個資源就被身份系統(tǒng)300所識別了。
現(xiàn)在看圖4和圖5����,依照本發(fā)明的實施例分別示出了一個身份宣稱134和 一個身份引用136的示例數(shù)據(jù)結(jié)構(gòu)。依照一實施例��,每一個數(shù)據(jù)結(jié)構(gòu)都是基于 擴展標記語言(XML)的軟件模塊�����,然而�����,其他編程語言也可以用來創(chuàng)建這些數(shù) 據(jù)結(jié)構(gòu)���,并且這些其它語言被預(yù)期在本發(fā)明的范圍內(nèi)。根據(jù)圖4中的特定參數(shù)�, 身份宣稱134包括各種斷言402-414,它們共同地���、唯一地識別一個單一的原 則�����。如上所述����,這些原則可以是一個計算機實體或者設(shè)備, 一群計算機實體或 者設(shè)備���, 一個個體或一群個體���。為了圖示本發(fā)明的實施例,身份宣稱134被描 述成識別一個單一的個體�����。
身份宣稱134的數(shù)據(jù)結(jié)構(gòu)包括一個像身份宣稱134 —樣識別結(jié)構(gòu)的類別宣 布400���。這樣����,這個類別宣布400被表達為"身份宣稱"�。數(shù)據(jù)結(jié)構(gòu)還包括類 別斷言402和值斷言404?����?蛇x斷言包括顯示斷言406、網(wǎng)站斷言408���、開始時 間幀斷言410��、結(jié)束時間幀斷言412和簽名斷言414��。
類型斷言402表示了唯一標識符的類別����,這將于身份宣稱134相關(guān)聯(lián)����。示 例性類型斷言402包括但不限于以下"tel"或"fax",表示唯一標識符是 一個電話號碼����;"mailto"��,表示唯一標識符是一個電子郵件地址����;"http", 表示唯一標識符是一個網(wǎng)址���;"sid"���,表示唯一標識符是一個安全標識符�����; "ssn"�����,表示唯一標識符是一個社會安全號���;"cc弁",表示唯一標識符是 一個信用卡帳號���。許多其它的唯一斷言類型都在本發(fā)明預(yù)期的范圍內(nèi)���,但未在 上述的句子中列出。實際上���,只要斷言是指定對有且僅有一個原則是特定的值 類型���,這種斷言就可以被用作類型斷言402����。
值斷言404是基于類型斷言402的��,并表示一序列唯一地標識該原則的字 符(文字數(shù)字的和/或符號)����。示例性值斷言404包含但不限于以下電話號碼(如 0018004568494)、電子郵件地址(如tempuser@sammpleserver. com)��、網(wǎng)址(如 www, te即company. com)����、社會安全號(如427894478)和信用卡帳號(如 4417354398478474)。原則的識別依賴于值斷言406�����。應(yīng)該理解值斷言406可以
識別一個個體和設(shè)備或者一組個體和設(shè)備���。例如,電話號碼可以識別個人���、家 庭或公司�。如果電話號碼屬于一個家庭或公司,識別原則將識別一組����,而當電 話號碼屬于一個個體,識別原則是個體����。
因為特定的類型斷言402是一種與值斷言404相關(guān)聯(lián)的,能在不同^T間幀 內(nèi)唯一地識別不同原則的類型�����,身份宣稱134的數(shù)據(jù)結(jié)構(gòu)可選地包含開始時間 幀斷言410和結(jié)束時間幀斷言412����。例如,當類型斷言是"tel" �����、 "fax"或 "mailto"時��,使用這些斷言410和412��,因為這些類型表示那些隨時間變化 的唯一標識符類型��。
開始時間幀斷言410指定數(shù)據(jù),在這些數(shù)據(jù)上值斷言404與唯一表示的原 則建立關(guān)聯(lián)�。結(jié)束時間幀斷言412指定數(shù)據(jù),在這些數(shù)據(jù)上這樣的關(guān)聯(lián)被終結(jié)���。 如圖示�,在一個時間幀內(nèi)����,Johe Doe可以由電話號碼0018004763849所唯一地 識別,而在另一時間幀內(nèi)���,Jane Doe卻可以替代地被這個電話號碼唯一地識別����。 開始時間幀斷言410和結(jié)束時間幀斷言412對這些分開的時間幀指定了開始和 結(jié)束日期��,由此完成了這些對John和Jane Doe的身份宣稱的唯一識別�����。應(yīng)該 理解如果不提供結(jié)束時間幀斷言412�����,而提供開始時間幀斷言412��,那么值斷 言404和原則之間的關(guān)聯(lián)將仍然存在���。
另一個可選斷言是顯示斷言406��。顯示斷言406是基于值斷言404和可以 被人們認識的形式的字符串�����。例如����,如果值斷言404是一電子郵件地址�,顯示 斷言406可以是與個體電子郵件地址關(guān)聯(lián)顯示的個體的名稱。另一個可選斷言 是網(wǎng)址斷言408���,他表示一個在上面能找到與原則相關(guān)的更多信息的網(wǎng)址��。另 一個可選斷言是簽名斷言414���,他是原則簽名的數(shù)字表示。
每個上述斷言,包括可選斷言�����,被用于唯一地將身份宣稱134鏈接到特定 原則����。這是身份宣稱134的目的。另一方面�����,身份引用136用于將資源(例如 電子文檔)與原則相關(guān)聯(lián)�����。如上所述����,這個過程通過參考身份引用136中的特 定身份宣稱134來完成。參見附圖5���,依照本發(fā)明的一個實施例示出了在身份 引用136中作出說明性聲明的數(shù)據(jù)結(jié)構(gòu)��。身份引用136的數(shù)據(jù)結(jié)構(gòu)包括標識作 為身份引用136的結(jié)構(gòu)的類型聲明500��。同樣地�����,這個類別聲明500被稱為"身 份引用"��。
為了指定一特定的身份宣稱134��,身份引用136包含對應(yīng)于被參考的身份 宣稱134的類型斷言502和值斷言504���。同樣地,資源的開發(fā)者在資源開發(fā)的 過程中建立適合身份宣稱134的參數(shù)��。參考數(shù)據(jù)聲明506也包括在身份引用136
的結(jié)構(gòu)中�,并表示數(shù)據(jù),與身份引用136相關(guān)聯(lián)的資源在所述數(shù)據(jù)上被有效地 鏈接到考慮中的身份宣稱134上���。
當計算機系統(tǒng)142的操作系統(tǒng)激活資源�����,身份引用136與所述資源相關(guān)聯(lián)�����, 操作系統(tǒng)指向例示身份引用136以便例示和調(diào)用適當?shù)脑瓌t對象110的方法�����。 適當?shù)脑瓌t對象110是基于哪個身份宣稱134是由身份引用136所參考的來確 定的����。在適當?shù)脑瓌t對象IIO,并由此,相應(yīng)的身份宣稱134被例示后���,資源 對象104的方法調(diào)用原則對象110的方法�����,所述原則對象110將資源與對應(yīng)于 原則對象110的原則相關(guān)聯(lián)��。接著操作系統(tǒng)對資源執(zhí)行任務(wù),所述資源為原則 對象110使用資源的識別��。示例性任務(wù)包含但不限于授權(quán)査看和/或修改資源�、 顯示與資源相關(guān)聯(lián)的原則特性和特征以及通過資源向原則提供通信介質(zhì)����。
參見圖6,依照本發(fā)明的實施例示出了用于創(chuàng)建(此后"建立過程")資源 和原則對象110之間的關(guān)聯(lián)的過程600��。使用一連串操作("操作流")執(zhí)行所 述創(chuàng)建過程600,以開始操作602開始����,以終止操作618結(jié)束。隨著在計算機 系統(tǒng)142上以某些方式訪問資源就初始化了開始操作602���。從開始操作602�����, 操作流轉(zhuǎn)接收操作604,它接收和訪問資源以建立過程600并定位與資源相關(guān) 聯(lián)的身份引用136����。應(yīng)該理解在普通意義上使用術(shù)語"接收"指由計算機系統(tǒng) 142的操作系統(tǒng)訪問資源。同樣地���,資源的接收不僅包含從另一個計算機系統(tǒng) 142接收資源���,也包含從對于訪問資源的計算機系統(tǒng)142是本地的存儲器接收 資源。實際上��,在后一種情況中��,計算機系統(tǒng)142的用戶請求激活資源。從接 收操作604�,操作流轉(zhuǎn)到第一査詢操作606。
第一査詢操作606檢測所激活的資源是否伴有原則對象110�,所述基本對 象含有映射到定位3的身份引用136的身份宣稱134。如果這樣的話��,原則對 象110被稱為"稍帶"給資源�����,且操作流轉(zhuǎn)到保存操作607�。在這種情況下, 身份引用136和相關(guān)聯(lián)的身份宣稱134之間的鏈接將正被識別的資源與相應(yīng)于 具有相關(guān)聯(lián)的身份宣稱134的原則對象110的該原則相關(guān)聯(lián)���。操作系統(tǒng)使用該 識別關(guān)聯(lián)來執(zhí)行某些識別相關(guān)的任務(wù)��。此外����,保存操作607將原則對象110保 存到數(shù)據(jù)存儲器108以便以后用在實現(xiàn)這個和其它鏈接到身份宣稱134的身份 引用136之間的鏈接��。從保存操作607����,操作流以終止操作618結(jié)束��。
另一方面�,如果第一查詢操作606沒有檢測到稍帶給接收資源的原則對象 110���,操作流轉(zhuǎn)到訪問數(shù)據(jù)存儲操作608����。所述訪問數(shù)據(jù)存儲操作608使用在定 位了的身份引用136中指定的類型斷言402和值斷言404來查詢包含相關(guān)聯(lián)的
身份宣稱134的原則對象110是否己經(jīng)存儲在數(shù)據(jù)存儲108中��。從訪問數(shù)據(jù)存 儲操作608�,操作流轉(zhuǎn)到第二查詢操作610。
第二查詢操作610査詢訪問數(shù)據(jù)存儲操作608是否發(fā)現(xiàn)了原則對象�����,所述 原則對象包含具有在定位了的身份引用136中指定的類型斷言502和值斷言 504的身份宣稱134�����。如果是的話�����,操作流轉(zhuǎn)到鏈接操作612�����。鏈接操作612將 身份引用136鏈接到相關(guān)聯(lián)的身份宣稱134�����,由此將資源與對應(yīng)于原則對象110 的原則相關(guān)聯(lián)��,使得操作系統(tǒng)可以對資源執(zhí)行識別相關(guān)任務(wù)����。
另一方面,如果第二查詢操作610沒有定位到原則對象110���,所述原則對 象包含具有在定位了的身份引用136中指定的類型斷言502和值斷言504的身 份宣稱134��,操作流轉(zhuǎn)到創(chuàng)建幻象對象操作614��。因為當前正在身份系統(tǒng)中���, 沒有身份引用136可以鏈接的身份宣稱134,所述創(chuàng)建幻象對象操作614創(chuàng)建 幻象原則對象��。在一實施例中��,其中身份系統(tǒng)跨越整個分布式計算環(huán)境100, 數(shù)據(jù)存儲108對環(huán)境100中的所有計算機系統(tǒng)142可用���。因此�,不能定位與特 定身份引用136相關(guān)聯(lián)的身份宣稱134意味著宣稱134被維持在不是分布式環(huán) 境100的部分的系統(tǒng)上����。幻象原則對象被構(gòu)建成包含由身份引用136中指定的 類型斷言502和值斷言504的身份宣稱134���。 一旦創(chuàng)建完成����,操作流轉(zhuǎn)到第二 保存操作616�。
第二保存操作616首先將身份引用136鏈接到幻象原則對象,由此將資源 與原則相關(guān)聯(lián)���,所述原則對應(yīng)于幻象原則對象,使得操作系統(tǒng)可以對資源執(zhí)行 識別相關(guān)的任務(wù)���。應(yīng)該理解幻象原則對象存儲于其上的數(shù)據(jù)存儲108可以由分 布式計算環(huán)境中的其它計算機系統(tǒng)142遠程地訪問�����。同樣地���,再次重復(fù)第二査 詢操作610��,可以在到數(shù)據(jù)存儲108的遠程連接上定位和恢復(fù)幻象原則對象�����。 或者���,如果環(huán)境是單機計算機系統(tǒng),那么從本地存儲定位和恢復(fù)幻象原則對象����。
接著,第二保存操作616將幻象原則對象保存到數(shù)據(jù)存儲108�����,使得將來 可以使用對象來識別這個和其它于幻象對象相關(guān)聯(lián)的資源��。同樣地�����,如果接收 到更多的信息以補充和增加包含在幻象對象中的信息,這個信息可以被合并入 幻象對象���,以便在其后建立更為完整的原則對象����?;蛘撸绻@個新信息體現(xiàn) 了原則對象110�,就用這個新信息替換幻象對象。從第二保存操作616�����,操作 流在終止操作618處結(jié)束��。
圖7示出了當接收到新的原則對象110時候���,用于檢測接收到的原則對象 110是否與另一個存儲在數(shù)據(jù)存儲108中原則對象重復(fù)的過程700�。這里將這
種沖突稱為"錯誤"�,是指接收到的原則對象110包含指定斷言的身份宣稱134 的情況����,所述斷言等同于已經(jīng)存儲在數(shù)據(jù)存儲108中的原則對象110中所包含 的身份宣稱134所指定的斷言���。使用由開始操作700初始的,并由終止操作720 結(jié)束的操作流來實現(xiàn)這個"檢測"過程700����。
響應(yīng)于在計算環(huán)境100中接收到原則對象110開始操作702被初始化。從 開始操作702�����,操作流轉(zhuǎn)到接收操作704���,它接收原則對象進入檢測過程700�����。 原則對象110包含至少一個身份宣稱134和選擇性地包含特征數(shù)據(jù)對象138�����。 對了簡要地描述這個檢測過程700���,接收到的原則對象110被描述為只具有一 個身份宣稱134。應(yīng)該理解原則對象110可以包含多個身份宣稱134。在多個 身份宣稱134伴隨接收到的原則對象110的情況下���,應(yīng)該理解訪問操作706和 失誤操作708(兩者都在下文中描述)應(yīng)該為這些多個身份宣稱134中的每一個 執(zhí)行����。
如同圖6的流程圖�,在普通意義上使用術(shù)語"接收"指由計算機系統(tǒng)142 的操作系統(tǒng)接收任一原則對象。導(dǎo)致接收原則對象110的示例性過程包含但不 限于由用戶輸入原則對象IIO和通過通信網(wǎng)絡(luò)150在計算機系統(tǒng)142之間傳輸 原則對象IIO���。例如��,原則對象IIO可以稍帶到從發(fā)送計算機系統(tǒng)142發(fā)送到 接收計算機系統(tǒng)142的資源�。在原則對象110被接收到檢測過程704之后����,操 作流轉(zhuǎn)到訪問操作706。
訪問操作706使用身份宣稱134中指定的類型斷言402和值斷言404來查 找保持那個身份宣稱134的原則對象110是否己經(jīng)存儲在數(shù)據(jù)存儲108中�。從 訪問操作706,操作流轉(zhuǎn)到第一查詢操作708����。第一查詢操作708查詢訪問操 作706是否發(fā)現(xiàn)了包含身份宣稱134的原則對象110,訪問操作706使用所述 身份宣稱134在數(shù)據(jù)存儲108中執(zhí)行查詢���。在一個實施例中�����,這個檢查是基于 接收到的原則對象110的身份宣稱134中指定的類型斷言402和值斷言404�、 以及選擇性地時間幀斷言410和412來執(zhí)行的����。或者����,可以在這個檢測中使用 其它斷言(即,簽名斷言414或網(wǎng)頁斷言408)�����。如果沒有在數(shù)據(jù)存儲108中發(fā) 現(xiàn)具有評估斷言的原則對象110�����,那么就沒有錯誤而且操作流轉(zhuǎn)到保存操作 710����。保存操作710將接收到的原則對象110保存到數(shù)據(jù)存儲108中���,以便今 后用于識別與身份引用136相關(guān)聯(lián)的資源,所述身份引用136鏈接到包含在原 則對象中的身份宣稱134��。從保存操作710,操作流在終止操作720處結(jié)束��。
如果第一査詢操作708發(fā)現(xiàn)了包含身份宣稱134的原則對象110��,所述身
份宣稱134指定與訪問操作708所評估的相同的斷言�����,那么就檢測到身份錯誤 而且操作流轉(zhuǎn)到第二査詢操作712�。存在多種可能在身份系統(tǒng)上創(chuàng)建錯誤的方 式。 一種這樣的方式是如果用戶試圖增加原則對象110���,而所述原則對象110 已存在于身份系統(tǒng)上�?��?赡軇?chuàng)建錯誤的第二種方式是當兩個或多個系統(tǒng)包含對 應(yīng)于相同原則的原則對象時���,和因為個體或應(yīng)用程序在分布式環(huán)境100中發(fā)送 這些對象,這些對象最終被載入到相同的身份系統(tǒng)上����。第三中這樣的方式是如 果攻擊者試圖插入假對象到身份系統(tǒng)中����。
第二查詢操作712檢查錯誤原則對象110�,即在數(shù)據(jù)存儲108中發(fā)現(xiàn)的那 個���,以確定這個對象IIO是否是幻象對象����,諸如由圖6的建立過程600所創(chuàng)建 的幻象對象��。如果該對象是幻象對象��,操作流轉(zhuǎn)到刪除操作714�����。刪除操作714 刪除該幻象對象��,使得可以通過保存操作710將接收到的原則對象110保存到 數(shù)據(jù)存儲中�。同樣地,從刪除操作714��,操作流轉(zhuǎn)到保存操作710并如先前描 述的那樣繼續(xù)。
另一方面�����,如果該錯誤原則對象110不是幻象對象�����,操作流轉(zhuǎn)到合并操作 716�。合并操作716將所有與接收到的原則對象110相關(guān)聯(lián)的數(shù)據(jù)合并到錯誤 原則對象110。例如�,如果接收到的原則對象110包含顯示斷言406,但錯誤 原則對象110不包含��,就將這個顯示斷言406復(fù)制到錯誤對象110中去����。同樣 地,不包含在錯誤對象110中的接收原則對象110的特征數(shù)據(jù)對象138所含的 數(shù)據(jù)被拷貝到錯誤對象中��。如果由于某些原因�����,某些斷言或數(shù)據(jù)的字段相沖突 并且不指定相同的數(shù)據(jù)(即���,接收對象110的顯示斷言406的顯示字符串不同 于錯誤對象110的顯示斷言406)��,那么使用一處理解決該錯誤��,其中用戶或計 算機應(yīng)用程序選擇兩個可選項之一以包含在錯誤原則對象110中��。從合并操作 716�����,操作流轉(zhuǎn)到保存操作718�。
保存操作718將更新后的原則對象110保存到數(shù)據(jù)存儲108以便今后用于 標識與身份引用136相關(guān)聯(lián)的資源��,所述身份引用136鏈接到包含在這個更新 后的原則對象中的身份宣稱134���。從保存操作718���,操作流在終止操作720處
結(jié)束o
上述的各個實施例只是以說明的方式提供,而不應(yīng)被認為是對本發(fā)明的限 制��。本領(lǐng)域的技術(shù)人員容易理解無需遵循這里所說明和描述的示例性實施例和 應(yīng)用���,就可以對本發(fā)明作出各種修改和變化�����,而不背離本發(fā)明的真實精神和范 圍���,這在以下的權(quán)利要求中提出��。
權(quán)利要求
1.一種用于在計算環(huán)境中識別原則的系統(tǒng)�,所述系統(tǒng)包含多個原則對象����,其中,每個原則對象對應(yīng)于經(jīng)認證在計算環(huán)境中執(zhí)行數(shù)字動作的特定原則�����,其中�����,每個原則對象可由計算環(huán)境中的計算機進程用于將多個資源對象與對應(yīng)于原則對象的特定原則相關(guān)聯(lián)����;以及多個身份宣稱,其中,每個身份宣稱唯一地標識對應(yīng)于每個特定原則對象的特定原則�,其中,多個原則對象中至少一個包含兩個或多個身份宣稱���,其每一個都唯一地標識對應(yīng)于至少一個原則對象的特定原則��。
2. 如權(quán)利要求l所述的系統(tǒng)����,其特征在于�����,還包含多個身份引用�,其中���,多個身份引用的每一個與計算環(huán)境中的資源對象相關(guān) 聯(lián)��,并且其中��,多個身份引用的每一個標識相關(guān)聯(lián)的資源對象�,所述資源對象基于 到一特定身份宣稱的身份引用內(nèi)的鏈接斷言����,與特定的原則相關(guān)聯(lián)�。
3. 如權(quán)利要求2所述的系統(tǒng)�����,其特征在于����,所述多個身份宣稱的每一個包含 類型斷言和值斷言,它們共同地標識對應(yīng)于原則對象的特定原則����,身份宣稱的每一 個與該原則對象相關(guān)聯(lián)。
4. 如權(quán)利要求3所述的系統(tǒng)����,其特征在于,所述多個身份引用的每個中的鏈 接斷言包含特定身份宣稱中指定的類型斷言和值斷言��,每個身份引用鏈接到所述特 定身份宣稱�����。
5. 如權(quán)利要求4所述的系統(tǒng)�,其特征在于����,與第一原則對象相關(guān)聯(lián)的第一身 份宣稱的第一類型斷言指示第一身份宣稱中的值斷言包含唯一地與對應(yīng)于第一原 則對象的第一原則相關(guān)聯(lián)的電子郵件地址���。
6. 如權(quán)利要求5所述的系統(tǒng)���,其特征在于,所述第一身份宣稱還包含開始時 間參考斷言����,它指示電子郵件地址開始與第一原則相關(guān)聯(lián)的時間點。
7. 如權(quán)利要求6所述的系統(tǒng)��,其特征在于�,第一身份宣稱還包含結(jié)束時間參考斷言,它指示電子郵件地址和第一原則之間的關(guān)聯(lián)失效時的時間點��。
8. 如權(quán)利要求4所述的系統(tǒng)�,其特征在于����,與第一原則對象相關(guān)聯(lián)的第二身 份宣稱的第二類型斷言指示第二身份宣稱中的值斷言包含唯一地與第一原則相關(guān) 聯(lián)的電話號碼。
9. 如權(quán)利要求2所述的系統(tǒng)�����,其特征在于,所述計算環(huán)境是分布式計算環(huán)境�, 其中至少一個身份引用是在一計算機系統(tǒng)上維護的,所述計算機系統(tǒng)不同于鏈接到 身份引用的身份宣稱在其上維護的計算機系統(tǒng)�。
10. —種用于識別計算環(huán)境中第一原則的系統(tǒng),其中所述第一原則被認證以 便在計算環(huán)境中執(zhí)行數(shù)字動作��,所述系統(tǒng)包含對應(yīng)于所述第一原則的第一原則對象����,其中所述第一原則對象可由計算環(huán)境 中的計算機進程使用以將至少一個資源對象與所述第一原則相關(guān)聯(lián);多個身份宣稱�,其中每個身份宣稱唯一地標識所述第一原則,所述第一原則 對象包含多個身份宣稱��,使得所述計算機進程可以將至少一個資源對象與使用多個 身份宣稱的任一個的第一原則相關(guān)聯(lián)���。
11. 如權(quán)利要求10所述的系統(tǒng)����,其特征在于�,還包含與所述計算環(huán)境中第一資源對象相關(guān)聯(lián)的第一身份引用,其中��,所述第一身 份引用基于對所述多個身份宣稱中的第一身份宣稱的第一身份引用內(nèi)的第一鏈接 斷言,將第一資源對象標識為與第一原則相關(guān)聯(lián)�。
12. 如權(quán)利要求11所述的系統(tǒng),其特征在于�,還包含 與所述計算環(huán)境中第二資源對象相關(guān)聯(lián)的第二身份引用,其中���,所述第二身份引用基于對所述第一身份宣稱的第二身份引用內(nèi)的第二鏈接斷言��,將第二資源對 象標識為與第一原則相關(guān)聯(lián)�。
13. 如權(quán)利要求12所述的系統(tǒng)���,其特征在于�,所述第一資源對象表示與第一 應(yīng)用程序相關(guān)聯(lián)的文件�����,而第二資源對象表示與第二應(yīng)用程序相關(guān)聯(lián)的文件�����。
14. 如權(quán)利要求13所述的系統(tǒng)����,其特征在于,所述第一應(yīng)用程序是文字處理 應(yīng)用程序�。
15. 如權(quán)利要求12所述的系統(tǒng),其特征在于��,所述多個身份宣稱的每一個包 含類型斷言和值斷言�,它們共同地指定第一原則,其中��,第一和第二鏈接斷言包含 在身份宣稱中指定的類型斷言和值斷言����,所述第一和第二身份引用鏈接到所述身份 宣稱。
16. 如權(quán)利要求15所述的系統(tǒng)��,其特征在于�,其中所述第一身份宣稱的第一 類型斷言指示第一身份宣稱中的值斷言包含唯一地與第一原則相關(guān)聯(lián)的電子郵件 地址。
17. 如權(quán)利要求16所述的系統(tǒng)�,其特征在于,其中所述第一身份宣稱還包含 開始時間參考斷言�����,指示電子郵件地址開始與第一原則相關(guān)聯(lián)的時間點��;以及結(jié)束時間參考斷言��,指示電子郵件地址和第一原則之間的關(guān)聯(lián)失效時的時間點。
18. 如權(quán)利要求IO所述的系統(tǒng)����,其特征在于,其中所述第一原則是從由個體��、 組織和計算環(huán)境中的模塊組成的組中選出的����。
19. 如權(quán)利要求10所述的系統(tǒng),其特征在于����,其中所述計算環(huán)境是分布式計 算環(huán)境。
20. 如權(quán)利要求10所述的系統(tǒng)���,其特征在于�����,其中所述計算環(huán)境是單機計算 環(huán)境�。
21. —種具有數(shù)據(jù)結(jié)構(gòu)存儲于其上的計算機可讀介質(zhì)�,用于在計算環(huán)境中識 別被認證用于執(zhí)行數(shù)字動作的原則,所述數(shù)據(jù)結(jié)構(gòu)包含一值斷言,唯一地標識特定識別方案中的原則���; 一類型斷言�����,指示對應(yīng)于所述值斷言的特定識別方案;以及一時間參考斷言��,指定一時間幀����,其中特定識別方案中的值斷言唯一地標識 所述原則。
22. 如權(quán)利要求21所述的計算機可讀介質(zhì)����,其特征在于,其中所述數(shù)據(jù)結(jié)構(gòu) 表示將原則對象與原則相關(guān)聯(lián)的身份宣稱�����,其中所述原則對象可由計算環(huán)境中的計 算機進程用于將至少一個資源對象與所述原則相關(guān)聯(lián)�。
23. 如權(quán)利要求22所述的計算機可讀介質(zhì),其特征在于�����,所述時間參考包含 開始時間參考斷言,指示當值斷言初始地與該原則相關(guān)聯(lián)時的時間點�;以及 結(jié)束時間參考斷言,指示當該值斷言與該原則之間的關(guān)聯(lián)時的時間點���。
24. 如權(quán)利要求22所述的計算機可讀介質(zhì)��,其特征在于�,所述數(shù)據(jù)結(jié)構(gòu)還包含一個顯示斷言��,以對計算環(huán)境中人類用戶可認識的形式指定值斷言�����,其中所 述計算機進程���,響應(yīng)于用戶查看原則和至少一個資源對象之間的關(guān)聯(lián)的請求���,向用 戶顯示該顯示斷言。
25. 如權(quán)利要求21所述的計算機可讀介質(zhì)����,其特征在于,其中所述原則是從 由個體、組織和計算環(huán)境中的模塊組成的組中選出的�����。
26. 如權(quán)利要求21所述的計算機可讀介質(zhì)����,其特征在于�����,其中所述類型斷言 指示包含唯一地與原則相關(guān)聯(lián)的電子郵件地址的值斷言��。
27. 如權(quán)利要求21所述的計算機可讀介質(zhì)�����,其特征在于����,其中所述類型斷言 指示包含唯一地與原則相關(guān)聯(lián)的電話號碼的值斷言。
28. —種用于識別被認證用于在計算環(huán)境中執(zhí)行數(shù)字動作的第一原則的方法�, 所述方法包含創(chuàng)建原則對象,它可操作由計算環(huán)境中的計算機進程使用以將第一原則標識 為與在計算環(huán)境中所維護的多個資源對象相關(guān)聯(lián)���;將在特定識別方案中唯一地識別第一原則的第一身份宣稱與原則對象相關(guān)聯(lián)���,其中特定識別方案中第一原則的唯一識別通過將唯一識別字符串分配給多個原 則中每個來完成�。接收與多個應(yīng)用程序相關(guān)聯(lián)的多個資源對象�,其中多個資源對象的每個與包 含聲明的身份引用相關(guān)聯(lián),所述聲明將每個資源對象鏈接到原則對象���;以及在計算環(huán)境中��,基于包含在相關(guān)聯(lián)的身份引用中的聲明鏈接將多個資源對象 的每個標識為與第一原則相關(guān)聯(lián)�����,其中所述計算機進程利用對第一原則的多個資源 對象的每個的識別來執(zhí)行至少一個與每個標識的資源對象相關(guān)聯(lián)的任務(wù)�。
29. 如權(quán)利要求28所述的方法�����,其特征在于�,其中所述接收動作包含 接收與第一身份引用相關(guān)聯(lián)的第一資源對象,所述第一身份引用基于包含分配給第一原則的唯一標識字符串的第一聲明鏈接到第一身份宣稱,其中第一資源對 象表示與第一應(yīng)用程序相關(guān)聯(lián)的第一文件����;以及接收具有與其相關(guān)聯(lián)的第二身份引用的第二資源對象�����,所述第二身份引用基于包含分配給第二原則的唯一標識字符串的第二聲明鏈接到第一身份宣稱��,其中第 二資源對象表示與第二應(yīng)用程序相關(guān)聯(lián)的第二文件�。
30. 如權(quán)利要求29所述的方法�����,其特征在于�,其中所述識別動作包含 基于第一身份引用和對第一身份宣稱的第二身份引用的鏈接���,將第一文件和第二文件標識為與第一原則相關(guān)聯(lián)���。
31. 如權(quán)利要求28所述的方法,其特征在于還包含將與第一原則相關(guān)聯(lián)的對象特征與所述原則相關(guān)聯(lián)�����,其中計算機進程響應(yīng)于 識別動作執(zhí)行的所述任務(wù)包含顯示與第一原則相關(guān)聯(lián)的特征的圖形表示以及鏈接 到原則對象的多個資源中至少一個的圖形表示的動作�����。
32. 如權(quán)利要求30所述的方法,其特征在于還包含將與第一原則相關(guān)聯(lián)的對象特征與所述原則相關(guān)聯(lián)�,其中計算機進程響應(yīng)于 識別動作執(zhí)行的所述任務(wù)包含由第一原則對鏈接到原則對象的多個資源中至少一 個的訪問進行認證的動作。
33.權(quán)利要求28所述的方法���,其特征在于�,其中所述創(chuàng)建動作包含:響應(yīng)于接收資源對象創(chuàng)建幻象原則對象�,所述資源對象具有包含不將資源對 象鏈接到原則對象的聲明的身份引用,所述聲明包含在特定識別方案中唯一地識別 第二原則的識別字符串���,其中所述幻象原則對象被創(chuàng)建為包含分配給第二原則的識 別字符串�����;以及將所述幻象原則對象保存到數(shù)據(jù)存儲����,所述數(shù)據(jù)存儲包含對應(yīng)于第一原則的 原則對象����。
34. 權(quán)利要求33所述的方法,其特征在于還包含接收第二原則對象��,其中所述第二原則對象包含第二身份宣稱�����,所述第二身 份宣稱包含分配給第二原則的識別字符串;以及響應(yīng)于確定幻象原則對象和第二原則都對應(yīng)于第二原則��,從數(shù)據(jù)存儲刪除幻 象原則對象并將第二原則對象保存到數(shù)據(jù)存儲����,使得第二原則對象可以被識別動作 所使用。
35. 權(quán)利要求28所述的方法����,其特征在于,所述第一身份宣稱存儲在計算環(huán) 境中的數(shù)據(jù)存儲��,所述方法還包含響應(yīng)于接收到的要存儲在數(shù)據(jù)存儲中的第二身份宣稱�,確定所述第二身份宣 稱和第一身份宣稱是否都指定相同的唯一識別字符串;以及響應(yīng)于確定第一身份宣稱和第二身份宣稱都指定相同的唯一識別字符串����,調(diào) 用出錯解決方案過程以確定已被存儲在數(shù)據(jù)存儲中且對識別動作可用的主要身份 宣稱���。
36. 權(quán)利要求35所述的方法����,其特征在于,其中所述調(diào)用動作包含 將存儲在第二身份宣稱中的數(shù)據(jù)合并到第一身份宣稱中�。
37. 權(quán)利要求35所述的方法,其特征在于�����,其中所述調(diào)用動作包含 刪除第一身份宣稱���;以及 將第二身份宣稱存儲在數(shù)據(jù)存儲中�����。
38. —種計算機系統(tǒng)可讀����、且有形地包含用于執(zhí)行權(quán)利要求28所述的方法的 計算機系統(tǒng)可執(zhí)行指令的程序的計算機程序產(chǎn)品�����。
全文摘要
揭示了用于在計算環(huán)境中識別原則的系統(tǒng)��。所述系統(tǒng)包含含有身份宣稱的原則對象�����。環(huán)境中的計算機進程使用所述原則對象來執(zhí)行與原則相關(guān)的聯(lián)相關(guān)任務(wù)以激活資源對象。示例性原則包含個體���、個體組��、組織和計算機模塊和設(shè)備���。每個身份宣稱唯一地識別特定方案中的特定原則。為了完成此事����,每個身份宣稱包含指定對相關(guān)聯(lián)方案中的原則唯一的識別字符串的斷言。用于個體的示例性方案包含電子郵件帳戶����、電話號碼、信用卡帳戶號碼和社會安全號碼�����。因此��,個體的示例性標識字符串是特定的電子郵件地址����、特定的電話號碼等等。用于個體組和組織的示例性方案包含電話號碼和網(wǎng)頁地址�。所述系統(tǒng)也確定兩個原則對象是否會導(dǎo)致身份錯誤的重復(fù)。
文檔編號H04L9/00GK101180825SQ200480001337
公開日2008年5月14日 申請日期2004年7月29日 優(yōu)先權(quán)日2003年10月23日
發(fā)明者D·J·阿什爾, K·卡梅倫 申請人:微軟公司