用于基于分层角色的权限的系统和方法技术方案

一种用于自适应地控制对资源的访问的授权系统和方法，包括步骤：提供当事人到至少一个角色的映射，其中所述至少一个角色与资源在分层上相关；基于所述至少一个角色提供对策略的评估；和基于对策略的评估，提供是否授权当事人访问资源的确定。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术公开涉及在企业应用中对资源的授权和控制。
技术介绍
企业应用可以提高货物和服务对于机构内外的客户的可利用性。伴随着企业应用的运用而来的一个问题是授权或访问控制。客户和系统管理员都需要被给予特权，以便执行特定的操作(例如，修改客户帐户)或者获得对特定内容的访问。典型的授权系统可能实施和维护起来复杂且费时，尤其是如果它们与企业应用中的商业逻辑紧密结合时。附图说明图1说明根据本专利技术的一个实施例的示范性资源分层。图2是进一步说明角色和安全策略的、图1的示范性分层。图3是根据本专利技术的一个实施例的授权系统的图。图4说明根据本专利技术的一个实施例的委托角色分层。图5说明本专利技术的一个实施例中的示范性委托安全策略。具体实施例方式通过示例的方式而非限制的方式在附图中说明本专利技术，其中附图中相同的附图标记指示相同的元件。应当注意的是，在本公开中，“一个(“an”或“one”)”实施例不一定指的是同一实施例，并且这样的引用意指至少一个。在一个实施例中，企业应用包括有助于执行商业、科学或其他功能和任务的一个或多个资源。在另一实施例中，企业应用可以是将Web Application(万维网应用)、Enterprise JavaTMBean(企业JavaTM豆)和Resource Adaptor(资源适配器)一起捆绑成单个可运用单元(deployable unit)的JavaTM2企业版本(J2EE)运用单元。JavaTM编程语言及其运行程序库(run-time library)和环境可以从加利福尼亚圣克拉拉的Sun Microsystems，Inc.得到。企业应用可以包括软件、固件和硬件元件。软件、固件和硬件可以任意组合或被分成单独的逻辑部件。此外，本领域技术人员应当清楚，不管这些部件如何组合或划分，它们都可以在同样的计算机上执行或者可以任意分布在通过一个或多个网络连接的不同计算机中。在一个实施例中，资源可以对应于任何人、地点或事物，包括对象或实体(例如，网络、计算机、计算机用户、银行帐户、电子邮件消息、诸如虚拟内存、线程和文件存储的计算机操作系统的方面等)、方法或过程(例如，结算支票簿、安装设备驱动器、分配虚拟内存、删除文件等)、事件的发生或未发生(例如，用户尝试登录到计算机上、状态改变等)和资源的组织或关联(例如，列表、树、映射、分层等)。在一个实施例中，可以将资源分类为分层的分类(hierarchical taxonomy)(其自身可以是资源)。作为非限制性的示例，在企业应用中，可能需要查阅诸如目录单(booklet)之类的特定资源。为了查阅目录单，需要知道它在哪个网页上，网页属于哪个入口，哪个万维网应用拥有该网页，以及该万维网应用属于哪个域。这些组成部分的每个都被认为是资源，并且可以被描述为资源路径(例如，由斜线分开的组成部分的序列) domain/web_app/portal/desktop/page/booklet第一资源是位于资源分层的“顶部”的domain(域)。沿着分层向下，下一组成部分是web_app(万维网应用)。web_app是domain的“孩子”或“后代”，而domain是web_app的“父母”。domain高于web_app，而web_app低于domain。类似地，portal(入口)是web_app的孩子、desktop(桌面)的父母。page(页面)是desktop的孩子，而booklet(目录单)是page的孩子。资源的深度是其路径中的组成部分的数量。例如，booklet的深度是6(假设我们从1开始计数)，而portal的深度是3。在一个实施例中，资源的深度可以是无限的。在一个实施例中，资源可以具有属性或能力。作为非限制性的示例，目录单资源可以具有由最终用户定制的能力。该能力可以如下被附加到分层domain/web_app/portal/desktop/page/booket.customize图1说明根据本专利技术的一个实施例的示范性资源分层。作为非限制性的示例，该分层可以表示企业应用内的资源。Web App 1和Web App 2是万维网应用。万维网应用资源是可在万维网(world wide web)上访问的企业应用的一部分。Portal 1和Portal 2是入口资源并且是Web App 1的孩子。Portal 3是Web App 2的孩子。在一个实施例中，Web App 1和Web App 2可以是一个或多个企业应用(未示出)的孩子，所述企业应用可以是一个或多个域(未示出)的孩子。入口是对数据和应用的访问点，其提供了信息和资源的统一的且潜在个性化的视图(view)。典型地，入口被实施为网站上的一个或多个页面(Page 1、Page 2、Page A、Page B、Page X和Page Y)。入口页面可以集成许多元素，例如应用、现场数据送入、静态信息和多媒体展示。Desktop A、Desktop B和Desktop C包含为特定用户或用户组定制的入口的一个或多个视图。每个桌面内的页面可以包括小入口程序(portlet)(PortletA、Portlet B和Portlet C)和目录单(Booklet 1和Booklet 2)。小入口程序是在入口页面上自己提供的独立应用。在一个实施例中，目录单是一个或多个页面或目录单的集合。资源Web App 1/Portal 1/Desktop A/Page 2/Booklet1/Page A具有能力Cap 3。类似地，Web App 1/Portal 1/Desktop A/Page 2/Booklet1/Booklet 2具有能力Cap 4，而Web App 1/Portal 1/Desktop A/Page 2/Booklet1/Booklet 2/Page Y/Portlet A具有能力Cap 1和Cap 2。企业应用可以通过使用权限来控制对它们的资源和/或能力的访问。在一个实施例中，权限的评估包括通过动态地将一个或多个角色(role)与当事人(principal)相关联来确定安全策略。在一个实施例中，角色可以基于考虑到如下信息的规则，该信息包括关于当事人的知识、关于通信会话的知识、系统的当前状态和/或任何其他相关信息。在一个实施例中，用户表示使用企业应用的人。组可以是用户的任意集合。在一个实施例中，组的成员分享共同的特性，诸如职别等。过程可以是软件或固件计算机程序或其任何粒度的部分(例如，任务、线程、低权进程、分布式对象、企业JavaTM豆或任何其他计算操作)。可以认为用户、组和过程是主体。可以根据提供足够证据(例如，密码、社会安全号等)给鉴别系统来鉴别主体。一旦被鉴别，可以认为主体是用于评估权限目的的当事人。当事人是作为鉴别结果分配给用户、组或过程的身份。当事人也可以表示匿名用户、组或过程(例如，未被鉴别的主体)。在一个实施例中，角色定义包含一个或多个表达式，当在给定的上下文(context)中对给定的当事人进行评估时，评估表达式为真或假。在另一实施例中，表达式可以评估对资源的访问应被授权的确定性的程度。表达式可以相互嵌套，并且可以包含函数、算数或逻辑运算符等。在一个实施例中，(例如，使用诸如“与”、“或”和“非本文档来自技高网...

【技术保护点】
一种用于自适应控制对资源的访问的授权方法，包括步骤：提供当事人到至少一个角色的映射，其中所述至少一个角色与资源在分层上相关；基于所述至少一个角色，提供对策略的评估；和基于对策略的评估，提供对是否授权当事人访问资源的确定。

【技术特征摘要】
【国外来华专利技术】US 2003-2-14 10/367,1771.一种用于自适应控制对资源的访问的授权方法，包括步骤提供当事人到至少一个角色的映射，其中所述至少一个角色与资源在分层上相关；基于所述至少一个角色，提供对策略的评估；和基于对策略的评估，提供对是否授权当事人访问资源的确定。2.如权利要求1所述的方法，包括步骤允许当事人是经鉴别的用户、组或进程。3.如权利要求1所述的方法，其中所述提供映射的步骤包括确定当事人是否满足所述至少一个角色。4.如权利要求1所述的方法，包括步骤确定在上下文中，所述至少一个角色对于当事人是真还是假。5.如权利要求1所述的方法，其中所述至少一个角色是布尔表达式，其包括(1)另一布尔表达式和(2)谓项中的至少一个。6.如权利要求5所述的方法，其中所述谓项是用户、组、时间和段之一。7.如权利要求5所述的方法，其中根据当事人和上下文，评估所述谓项。8.如权利要求5所述的方法，其中所述谓项是以明语指定的段。9.如权利要求1所述的方法，其中所述策略是资源和角色集之间的关联。10.如权利要求9所述的方法，包括步骤如果至少一个角色处于该角色集中，则授权访问资源。11.一种用于自适应控制对资源的访问的授权方法，包括步骤基于可应用于试图访问资源的当事人的至少一个角色，提供对策略的评估；基于评估提供对访问资源的授权；以及其中资源、策略和所述至少一个角色在分层上相关。12.如权利要求11所述的方法，包括步骤允许当事人是经鉴别的用户、组或进程。13.如权利要求11所述的方法，其中如果当事人满足所述至少一个角色，则所述至少一个角色可应用于当事人。14.如权利要求11所述的方法，包括步骤评估在上下文中所述至少一个角色对于当事人是真还是假。15.如权利要求11所述的方法，其中所述至少一个角色是布尔表达式，其包括(1)另一布尔表达式和(2)谓项中的至少一个。16.如权利要求15所述的方法，其中所述谓项是用户、组、时间和段之一。17.如权利要求15所述的方法，包括步骤根据当事人和上下文，评估所述谓项。18.如权利要求16所述的方法，其中所述段谓项以明语指定。19.如权利要求11所述的方法，其中所述策略是资源和角色集之间的关联。20.如权利要求19所述的方法，包括步骤如果至少一个角色处于该角色集中，则授权访问资源。21.一种用于自适应控制对资源的访问的授权方法，包括步骤将关于当事人和资源的信息提供给安全框架；使用安全框架，根据通过将至少一个角色与当事人相关联来评估至少一个安全策略，提供授权结果；以及其中资源、安全策略和所述至少一个角色是在分层上相关的。22.如权利要求21所述的方法，包括步骤允许当事人是经鉴别的用户、组或进程。23.如权利要求21所述的方法，其中将至少一个角色与当事人相关联包括确定当事人是否满足所述至少一个角色。24.如权利要求21所述的方法，包括步骤评估在上下文中所述至少一个角色对于当事人是真还是假。25.如权利要求21所述的方法，其中所述至少一个角色是布尔表达式，其包括(1)另一布尔表达式和(2)谓项中的至少一个。26.如权利要求25所述的方法，其中所述谓项是用户、组、时间和段之一。27.如权利要求25所述的方法，包括步骤根据当事人和上下文，评估所述谓项。28.如权利要求25所述的方法，其中所述谓项是段，并且以明语指定所述谓项。29.如权利要求21所述的方法，其中所述策略是资源和角色集之间的关联。30.如权利要求29所述的方法，包括步骤如果至少一个角色处于该角色集中，则授权访问资源。31.一种适用于控制对资源的访问的授权系统，包括至少一个角色映射部分，用于将当...

【专利技术属性】
技术研发人员：菲利普B格里芬，马尼什德夫甘，亚历克斯图圣，罗德麦考利，
申请(专利权)人：BEA系统公司，
类型：发明
国别省市：US[]