当前位置: 首页 > 专利查询>微软公司专利>正文

用户对于对象的访问的管理制造技术

技术编号:2819859 阅读:199 留言:0更新日期:2012-04-11 18:40
一种用于管理用户对访问对象的请求的方法,包括: (a)基于策略确定对所述用户是否拒绝或授予对所述对象的访问权; (b)如果所述策略对所述用户既不拒绝也不授予对于所述对象的访问权,则对所述用户是否由所述对象的访问控制列表(ACL)授予对于所述对象的访问权作出判断;以及 (c)如步骤(a)和(b)所确定的,对所述用户是否具有对于所述对象的访问权得出结论。

【技术实现步骤摘要】
【国外来华专利技术】用户对于对象的访问的管理些旦 冃尔当处理信息时,通常期望限制对信息的特定部分的访问,使得特定部分 仅可由某些授权的用户访问。当信息被包含在物理文档(例如,印刷的书或帐 目)中时,这些文档可使用诸如锁或文档保管员的物理访问控制来保护。然而, 在当今世界中,大量信息以数字数据形式存储。数字数据可容易地创建、修改、 复制、传输和删除,这导致存在于无数位置中的大量数字数据的增殖。类似于 物理文档,通常期望限制对部分数字数据的访问。然而,数字数据的巨大数量 以及易于创建、复制、传输、修改和删除数字数据使得保护数字数据成为一种 挑战。数字数据通常可用文件结构存储。文件结构可以是数据存储的分层系 统,其中包含数字数据的对象可被存储在文件夹中。对象可以是程序、进程、 文件或事件。对象也可具有安全描述符。文件夹还可被存储在其他文件夹中。 对象中的数字数据可按照每个项目的方式访问。对给定文件结构,可对每一对象分配访问控制列表(ACL),其中ACL 是向计算机的操作系统指示计算机的每一用户对给定对象具有的许可或访问权的数据结构。ACL可指定特定的一个或一组用户具有某些许可,诸如读、写 或执行许可。因此,响应于访问对象的请求,可访问对象的ACL以确定分配给 对象的许可。系统管理员可基于特定对象的访问要求来更改ACL中定义的默认安全 许可。考虑到存在数百、数千甚至数百万个对象,审阅每一对象的ACL的过程 可能是成本高昂且冗长的。此外,组的嵌套使得系统管理员难以确保仅适当的用户具有许可。例如, 如果ACL包含用于一组用户的条目,则该组中的所有用户都被授予许可,包括 组内的组。从而,系统管理员可能难以确保特定的一个或一组用户不具有对一 对象的许可。概述此处描述了用于管理用户对访问对象的请求的各种技术的实现。在一个 实现中,基于策略对用户是否拒绝或授予对于对象的访问权来作出判断(步骤 a)。如果该策略对该用户既未拒绝也未授予对于对象的访问权,则对用户是 否由该对象的访问控制列表(ACL)授予对于对象的访问权作出判断(步骤b)。 然后如步骤(a)和(b)所确定的,对用户对于对象是否具有访问权得出结论。在另一实现中,对用户是否拒绝或授予对于包含该对象的服务器的访问 权作出判断。在又一实现中,该服务器是虚拟服务器。在再一实现中,如果由策略拒绝用户对于服务器的访问权,则拒绝用户 访问对象,即使ACL对用户授予对于该对象的访问权。在还一实现中,如果由策略对用户授予对于服务器的访问权,则准许用 户访问对象,即使ACL未对该用户授予对于该对象的访问权。各个技术的实现也针对其上存储计算机可执行指令的计算机可读介质, 当该指令由计算机执行时,使计算机进行(a)确定用于包含对象的服务器 的策略是否对用户拒绝或授予对于服务器的访问权,(b)如果策略对该用户 既不拒绝也不授予对于服务器的访问权,则确定该对象的访问控制列表是否对 用户授予对于对象的访问权,以及(c)基于步骤(a)和(b)对该用户授予 或拒绝对于对象的访问权。各个技术的实现也针对用于存储供正在处理器上执行的应用程序访问 的数据的存储器。该存储器在存储器中存储有数据结构。该数据结构包括服务 器的访问掩码。访问掩码指定用于授予或拒绝对服务器的访问权的一个或多个 许可。所要求保护的主题不限于解决任何或所有所述缺点的实现。此外,提供 该概述章节以便以简化形式介绍将在以下详细描述章节中进一步描述的一些 概念。该概述章节不旨在标识所要求保护的主题的关键特征或本质特征,也不 旨在用于限制所要求保护的主题的范围。附图简述附图说明图1示出了其中可包括或实践此处所述的技术的网络环境的示意图。 图2示出了根据此处所述的技术用于管理对一个或多个对象的访问的 方法的流程图。图3示出了此处所述的技术的各个实现可如何通过将策略访问掩码与 ACL访问掩码合并来生成有效许可集的流程图。详细描述图1示出了其中可包括或实践此处所述的技术的网络环境100的示意 图。网络环境100可包括常规台式或服务器计算机5,它包括中央处理单元 (CPU) 10、系统存储器20、以及将系统存储器20耦合至CPU IO的系统总线 30。系统存储器20可包括随机存取存储器(RAM) 25和只读存储器(ROM) 28。 包含有助于诸如启动时在计算机中元件之间传递信息的基本例程的基本输入/ 输出系统,可被存储在ROM28中。计算系统5还包括用于存储操作系统45、 应用程序和其他程序模块的海量存储设备40,它将在以下更详细描述。本领域中的技术人员可以理解,此处所述的技术的各种实现可在其他计 算机系统配置中实践,包括超文本传输协议(HTTP)服务器、手持式设备、多 处理器系统、基于微处理器或可编程消费者电子产品、网络PC、小型机、大型 机等。此处所述的各种技术的实现还可在分布式计算环境中实践,在分布式计 算环境中任务由本地处理设备和通过通信网络例如由硬连线链路、无线链路或 其组合链接的远程处理设备执行。在分布式计算环境中,程序模块可以位于本 地和远程存储器存储设备中。海量存储设备40可通过系统总线30和海量存储控制器(未示出)连接 至CPU 10。海量存储设备40及其相关联的计算机可读介质被配置成为计算系 统5提供非易失性存储。尽管此处包含的计算机可读介质的描述指的是海量存 储设备,诸如硬盘或CD-ROM驱动器,但本领域的技术人员应理解,计算机可 读介质可以是可由计算系统5访问的任何可用介质。例如,计算机可读介质可 包括计算机存储介质和通信介质。计算机存储介质包括以任何方法或技术实现 的用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的易失性和非易失性、可移动和不可移动介质。计算机存储介质还包括,但不限于,RAM、 ROM、可擦除可编程只读存储器(EPROM)、电可擦可编程只读存储 器(EEPR0M)、闪存或其它固态存储器技术、CD-ROM、数字多功能盘(DVD) 或其它光盘存储、磁带盒、磁带、磁盘存储或其它磁性存储设备、或能用于存 储所需信息且可以由计算系统5访问的任何其它介质。如上简述,海量存储设备40可包括操作系统45,操作系统适于控制联 网人员或服务器计算机的操作。操作系统45可以是Windows XP、 Mac OS X、 如Linux⑧和BSD⑧的Unix变体等。海量存储设备40也可包括用于确定用户可 能对海量存储设备40中的对象具有的权限的的一个或多个访问控制列表(ACL) 42。尽管在图1总仅示出单个ACL,但应理解,ACL 42可表示若干ACL,每一 ACL向一个或多个用户授予对与该ACL相关联的对象的权限。对象通常被称为 项目或资源。对象可以是程序、进程、文件、事件或具有安全描述符的任何其 他事物。每一ACL可包括数据结构,通常是表,包含指定对于给定对象的用户 或组权限的访问控制条目(ACE)。每一 ACE包含用户或组的安全标识符以及 指定用户或组的哪些操作被允许或拒绝的访问掩码。访问掩码可包含指定在 ACL的ACE中允许或拒绝的许可的值。如上简述,海量存储设备40可包括程序模块。程序模块通常包括例程、 程序、对象、组件、数据结构和其他类型的结构,它们执行特定任务或实现特 定的抽象数据类型。 一般,程序模块本文档来自技高网...

【技术保护点】
一种用于管理用户对访问对象的请求的方法,包括: (a)基于策略确定对所述用户是否拒绝或授予对所述对象的访问权; (b)如果所述策略对所述用户既不拒绝也不授予对于所述对象的访问权,则对所述用户是否由所述对象的访问控制列表(ACL)授予对于所述对象的访问权作出判断;以及 (c)如步骤(a)和(b)所确定的,对所述用户是否具有对于所述对象的访问权得出结论。

【技术特征摘要】
【国外来华专利技术】

【专利技术属性】
技术研发人员:J·R·斯托姆斯D·拉克哈米莫夫Z·王
申请(专利权)人:微软公司
类型:发明
国别省市:US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1