向用户/组授予访问控制列表所有权的访问控制系统和方法技术方案

本发明专利技术的实施例支持灵活的访问控制设计，其包括灵活的访问控制列表（ＡＣＬ）所有权及其分配。ＡＣＬ可以被分配给一个或多个资源或项目、或者资源或项目的类型。ＡＣＬ的创建者或拥有者可以向他人授予特权，使得他们可以修改或分配该ＡＣＬ。每个ＡＣＬ可以具有一个或多个拥有者，即可以对该ＡＣＬ施加控制的用户。ＡＣＬ的任何拥有者可以向其他用户指定特定特权。然后，这些其他用户可以基于授予给他们的特权而使用该ＡＣＬ。

【技术实现步骤摘要】

本专利技术一般涉及保护对存储在数据库系统中的资源的访问。
技术介绍
访问控制列表(ACL)是控制对受保护资源如文档的访问的公知方式。例如，很多公知的系统和应用允许对可以如何查看、打印、修改或转发文档施加限制。典型地，ACL包含关于哪些用户或用户组具有对资源的访问权以及每一个被授予了什么级别的访问权的信息。公知的系统一般提供两种ACL系统或预定义的ACL；以及定制或用户定义的ACL。系统ACL通常可用于系统的所有用户，并且典型地由系统管理员拥有。定制或用户定义的ACL由系统中的用户创建和拥有。遗憾的是，公知的系统难以结合定制ACL来管理系统ACL。由于针对特定资源的权限可以大大不同，因此用户经常需要创建他们自己的定制ACL的能力。然而，由于各种安全性原因，公知的系统和应用不允许用户访问由不同的用户创建的其它定制ACL。例如，公知的系统一般限制用户访问其它定制ACL，以便防止该用户故意或无意地授予不适当的对资源或项目的访问。因此，用户必须从零开始创建他们的定制ACL。随着用户和资源的数量增加，管理定制ACL的复杂性惊人地增长。这最终可能消耗大量的系统资源或者降低其性能。从而，期望提供允许灵活的ACL所有权及其使用的方法和系统。
技术实现思路
根据本专利技术的实施例，创建可以由多个用户使用的访问控制列表。从第一用户接收用于访问控制列表的信息。还从第一用户接收已被授予给第二用户的针对该访问控制列表的特权集。然后，基于由第一用户授予的该特权集，准许第二用户使用该访问控制列表。根据本专利技术的其它实施例，可以向受保护资源分配访问控制列表。该访问控制列表已经由第一用户创建，并且准许至少一个另外用户使用该访问控制列表。接收来自该至少一个另外用户的向该受保护资源分配该访问控制列表的请求。确定已经从第一用户授予给该至少一个另外用户的针对该访问控制列表的特权集。然后，基于该特权集，准许该至少一个另外用户向该受保护资源分配该访问控制列表。本专利技术的另外特征将在下面描述中加以阐述，并且从该描述中部分将是明显的，或者可以通过本专利技术的实施来了解。本专利技术的特征将通过在所附权利要求中具体指出的单元和组合来实现和获得。应当理解，前述一般描述和下面详细描述只是示例性和说明性的，并且不限制要求保护的本专利技术。附图说明包括在本说明书中且形成其一部分的附图示出了本专利技术的实施例，并且与本描述一起用来说明本专利技术的原理。图1示出了根据本专利技术实施例的访问控制列表的概念图；图2示出了根据本专利技术实施例的内容管理系统；图2A是可以实现根据本专利技术的方法和系统的示例性计算机系统的内部方框图；图3示出了根据本专利技术实施例的库服务器；图4A示出了可以由本专利技术的实施例使用的用户简档表(user profiletable)的一个例子；图4B示出了可以由本专利技术的实施例使用的访问控制列表表的一个例子；图5示出了根据本专利技术原理的用于创建访问控制列表的处理流程；以及图6示出了根据本专利技术原理的用于分配访问控制列表的处理流程。具体实施例方式本专利技术的实施例支持灵活的访问控制设计。作为其访问控制的一部分，访问控制列表(ACL)在一些实施例中可以被定义为用户标识符和对应的特权或特权集的集合。特权可以是允许用户或用户组的特定操作例如创建、更新、读取或删除的权限或许可的任何集合。ACL可以被分配给一个或多个资源、或项目、或资源或项目的类型。本专利技术的一些实施例允许灵活的ACL所有权及其分配。ACL的创建者或拥有者可以向他人授予特权，使得他们可以基于他们的特权而修改或分配ACL。每个ACL可以具有一个或多个拥有者，即可以对ACL施加控制的用户。然后，ACL的任何拥有者可以向其他用户指定特定特权。例如，拥有者可以指定其自己可以向项目分配ACL的其他用户。拥有者也可以限制其它拥有者能够修改ACL。然后，多个用户可以基于授予给他们的特权而分配、拥有或修改ACL。一些实施例可以提供接口，以便有效地管理ACL，例如定制或用户定义的ACL。这些接口可以包括列出用户是拥有者的那些ACL或者用户已被授予了分配特权的那些ACL的能力。这些接口还可以列出提供给所有用户的系统ACL。图1示出了根据本专利技术实施例的管理ACL的概念图。如图所示，用户组101和102可以包括一个或多个用户104。系统ACL 106可用于所有用户104即用户组101和102。然而，另外，ACL 108a-n和110a-n分别可用于用户组101和102。也就是，用户组101具有对ACL108a-n的特权，而用户组102具有对ACL 110a-n的特权。在一些实施例中，用户组101还可以被阻止访问其域之外的ACL，例如分配给用户组102的那些ACL，并且反之亦然。现在将详细参考在附图中示出的本专利技术的示例性实施例。只要可能，就将贯穿附图使用相同的附图标记，以表示相同或类似的部分。图2示出了根据本专利技术实施例的内容管理系统200。如图所示，内容管理系统200可以包括客户端202、库服务器204、以及资源管理器206。这些组件可以使用一个或多个网络如局域网或广域网耦接在一起。另外，这些组件可以使用公知的协议如传输控制协议和网际协议(“TCP/IP”)和超文本传输协议(“HTTP”)相互通信。内容管理系统200的这些组件可以在单独的设备上实现，或者可以在一个或多个相同设备或系统上实现。例如，库服务器102和资源管理器104可以被安装在相同的机器上，并且在公共的操作系统下运行。可选地，内容管理系统200的组件中的一个或多个可以在运行不同操作系统的多个机器上实现。现在将描述内容管理系统200的一些特定组件。客户端202提供用于内容管理系统200的用户接口。客户端202可以使用各种设备和软件来实现。例如，客户端202可以在个人计算机、工作站或终端上实现。另外，客户端202可以在Windows操作系统下或者通过浏览器应用程序如Microsoft公司的Internet ExplorerTM或者Mozilla的FireFox来运行。虽然图2示出了单个客户端，但是内容管理系统200可以包括任意数目的客户端。库服务器204存储、管理和提供对由内容管理系统200存储的项目和资源的访问控制。库服务器204处理来自客户端202的请求，例如创建、读取、更新和删除，并且在内容管理系统200的其它组件如资源管理器206之间维持数据完整性。例如，库服务器204可以结合资源管理器206工作，以检索由项目引用的对象，如文档或图像文件。另外，库服务器204可以施行(enforce)特定访问控制，例如访问控制列表，以保护由资源管理器206存储的资源或项目。库服务器204可以使用各种设备和软件来实现。例如，库服务器204可以是在操作系统如z/OS、Windows、AIX或Solaris下运行一个或多个应用程序和存储过程的计算机。另外，库服务器204可以包括数据库管理系统例如关系数据库管理系统，以管理所存储的项目并且执行对内容管理系统200的搜索。例如，库服务器204可以使用国际商业机器公司的DB2通用数据库。库服务器204还参照图3加以描述。资源管理器206存储与内容管理系统200中的项目或资源相对应的对象。项目或资源可以是采取数字形式的任何数据实体。例如，项目或资源可以是音频文件、应用程序、图像本文档来自技高网...

【技术保护点】
一种创建可以由多个用户使用的访问控制列表的方法，所述方法包括：从第一用户接收用于访问控制列表的信息；从第一用户接收已被授予给第二用户的针对该访问控制列表的特权集；以及基于由第一用户授予的该特权集，准许第二用户使用该访 问控制列表。

【技术特征摘要】
US 2004-11-5 10/982,3761.一种创建可以由多个用户使用的访问控制列表的方法，所述方法包括从第一用户接收用于访问控制列表的信息；从第一用户接收已被授予给第二用户的针对该访问控制列表的特权集；以及基于由第一用户授予的该特权集，准许第二用户使用该访问控制列表。2.如权利要求1所述的方法，还包括自动地命名该访问控制列表。3.如权利要求1所述的方法，其中接收针对该访问控制列表的特权集包括接收表示第二用户已被授予了对该访问控制列表的所有权权限的信息。4.如权利要求1所述的方法，其中接收针对该访问控制列表的特权集包括接收表示第二用户已被授予了向资源分配该访问控制列表的权限的信息。5.一种用于创建可以由多个用户使用的访问控制列表的计算机系统，所述设备包括存储器，具有程序指令；以及处理器，响应于所述程序指令，被配置成从第一用户接收用于访问控制列表的信息；从第一用户接收已被授予给第二用户的针对该访问控制列表的特权集；以及基于由第一用户授予的该特权集，准许第二用户使用该访问控制列表。6.一种包含在计算机可用介质上的计算机程序产品，该计算机程序产品用于创建可以由多个用户使用的访问控制列表，其包括用于从第一用户接收用于访问控制列表的信息的装置；用于从第一用户接收已被授予给第二用户的针对该访问控制列表的特权集的装置；以及用于基于由第一用户授予的该特权集而准许第二用户使用该访问控制列表的装置。7.一种在其上存储了指令的计算机可读介质，在被执行时，所述指令执行创建可以由多个用户使用的访问控制列表的方法中的步骤，所述步骤包括从第一用户接收用于访问控制列表的信息；从第一用户接收已被授予给第二用户的针对该访问控制列表的特权集；以及基于由第一用户授予的该特权集，准许第二用户使用该访问控制列表。8.一种向受保护资源分配访问控制列表的方法，其中所述访问控制列表已经由第一用户创建，并且准许至少一个另外用户使用该访问控制列表，所述方法包括接收来自该至少一个另外用户的向该受保护资源分配该访问控制列表的请求；确定已经从第一用户授予给该至少一个另外用户的针对该访问控制列表的特权集；以及基于该特权集，准许该至少一个另外用户向该受保护资源分配该访问控制列表。9.如权利要求8所述的方法，其中接收来自该至少一个另外用户的请求包括接收修改该访问控制列表的请求。10.如权利要求8所述的方法，其中确定已经从第一用户授予给该至少一个另外用户的特权集包括确定第一用户是否向该至少一个另外用户授予了该访问控制列表的所有权权限。11.如权利要求10所述的方法，其中在被授予了所有权权限时，准许该至少一个另外用户修改该访问控制列表。12.如权利要求10所述的方法，其中在被授予了所有权权限时，准许该至少一个另外用户删除该访问控制列表。13.如权利要求8所述的方法，其中确定已经从第一用户授予给该至少一个另外用户的特权集包括确定第一用户是否向该至少一个另外用户授予了向受保护资源分配该访问控制列表的权限。14.如权利要求13所述的方法，其中限制该至...

【专利技术属性】
技术研发人员：肯尼斯C尼尔森，罗德尔马里莱尼A诺隆哈，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：US[美国]