本发明专利技术提供一种用于将多个安全组表示为单个数据对象的系统和方法。通过该系统和方法,创建由组集值和掩码值组成的复合组对象。复合组对象通过组集值表示多个组。掩码值用来施加到在认证处理期间接收的组标识符,以生成与组集值相比较的值,从而确定组标识符是否是复合组的一部分。例如,在授权处理的第一步骤中,将在授权请求中接收的组标识符与复合组数据对象的掩码值进行按位求与。在第二步骤中,将掩蔽后的来自所接收请求的组标识符与复合组对象的组集值相比较。该比较可以采取这样的形式,即掩蔽组集值,并且将掩蔽后的组集值与掩蔽后的来自所接收请求的组标识符相比较。如果这两个值相匹配,则准予访问。如果这两个值不匹配,则拒绝访问。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种。更具体地说,本专利技术涉及一种用于使用复合组值(complex groupvalue)和掩码值(mask value)来表示和认证多个安全组的机制。
技术介绍
在大多数大规模计算系统中,用户和资源典型地以组安排,以便管理系统安全。例如,可以提供访问控制列表,以便管理由计算系统的其它资源和/或用户对资源的访问。访问控制列表是与文件、目录或其它资源相关联的一组数据,其定义用户、组、处理(process)或设备所具有以便访问它的权限。例如,可以为“管理员”建立组,并且可以将用户的标识符添加到该组,以指定该用户为“管理员”。如果资源的访问控制列表指示了只能向“管理员”提供对资源的访问,则其标识符属于“管理员”组的用户将能够访问该资源。很多大型计算系统的一个问题是计算机系统中的组标识符的激增。当用户或资源请求对另一个资源的访问时,平均起来,认证必须遍历整个组列表的一半,以识别与请求访问的用户或资源相关联的组,然后确定是否存在访问权限。也就是,随着在计算机系统中所使用的组数增加,执行认证处理所需的时间也增加。这导致了计算机系统的性能的降低。这样,具有一种用于以确定是否准许对资源的访问无需遍历较大的组标识符列表的方式表示用户/资源组的系统和方法将是有利的。
技术实现思路
本专利技术提供了一种。通过本专利技术的系统和方法,创建由组集值和掩码值组成的复合组对象。复合组对象通过组集值表示多个组。掩码值用来施加到在认证处理期间接收的组标识符,以生成与组集值相比较的值,从而确定组标识符是否是复合组的一部分。例如,本专利技术的授权处理是两步骤操作。在该处理的第一步骤中,将在授权请求中接收的组标识符与复合组的掩码值进行按位求与。在第二步骤中,将掩蔽(mask)后的来自所接收请求的组标识符与复合组对象的组集值相比较。例如,该比较可以采取这样的形式,即掩蔽组集值,并且将掩蔽后的组集值与掩蔽后的来自所接收请求的组标识符相比较。如果这两个值相匹配,则准予访问。如果这两个值不匹配,则拒绝访问。这样,通过本专利技术,可以使用相同的组集值来表示多个不同组。可以向多个资源提供不同的掩码值,以便识别组集值中的哪些组被授权访问相关资源。结果,可以向多个资源提供复合组对象,其全都具有相同的组集值,但是可以针对它们的特定目的而具有不同的掩码值。通过本专利技术,授权对给定资源的访问所需的处理量保持相同,而与组数无关。可以通过增加组集值和掩码值中的位数来增加另外的组。然而,授权处理将总是由这样的两步骤处理组成,即对所接收的组标识符进行掩蔽,并且将掩蔽后的组标识符与资源的复合组对象的组集值相比较。换句话说,由计算系统维护的“组”结构的大小不会显著地影响本专利技术的授权处理的性能。本专利技术的这些和其它特性和优点将在下面对优选实施例的详细描述中加以描述,或者根据下面详细描述,它们对于本领域的普通技术人员而言将会变得清楚。附图说明被认为是本专利技术特征的新颖特性在所附权利要求中加以阐述。然而,通过参考下面结合附图阅读的对说明性实施例的详细描述,将最佳地理解本专利技术本身以及优选使用方式及其另外的目的和优点,其中图1是可以实现本专利技术的分布式数据处理环境的示例图;图2是可以实现本专利技术的服务器计算设备的示例图;图3是可以实现本专利技术的客户端或独立计算设备的示例图;图4是根据本专利技术实施例的复合组数据对象的示例图;图5是示出根据本专利技术示例性实施例的数据流的示例图;图6是可以与本专利技术的实施例一起使用的组集值和各种掩码值的示例图;以及图7是概述本专利技术一个实施例的示例性操作的流程图。具体实施例方式本专利技术提供了一种用于基于表示多个用户/资源组的单个数据对象而认证资源访问请求的机制。本专利技术优选地在分布式数据处理环境中实现,其中存在可以通过一个或多个网络访问该分布式数据处理环境的资源的多个用户/资源组。然而,本专利技术也可以在独立计算设备中实现。因此,提供图1-3中的下图是为了提供用于随后描述本专利技术的操作的上下文。现在参照附图,图1示出了可以实现本专利技术的数据处理系统的网络的图示。网络数据处理系统100是可以实现本专利技术的计算机网络。网络数据处理系统100包含网络102,其是用来在网络数据处理系统100内连接在一起的各个设备和计算机之间提供通信链路的介质。网络102可以包括诸如有线、无线通信链路或光纤缆线的连接。在所示例子中,服务器104与存储单元106一起连接到网络102。另外,客户端108、110和112连接到网络102。这些客户端108、110和112可以例如是个人计算机或网络计算机。在所示例子中,服务器104向客户端108-112提供数据,例如引导文件、操作系统映象、以及应用程序。客户端108、110和112是服务器104的客户端。网络数据处理系统100可以包括未示出的另外服务器、客户端、以及其它设备。在所示例子中,网络数据处理系统100是因特网,其中网络102表示使用传输控制协议/网际协议(TCP/IP)协议集以便相互通信的网络和网关的全球集合。因特网的心脏处是主节点或主机计算机之间的高速数据通信线的中枢,其由成千上万的传送数据和消息的商业、政府、教育和其它计算机系统组成。当然,网络数据处理系统100也可以被实现为多种不同类型的网络,例如内联网、局域网(LAN)或广域网(WAN)。图1旨在作为示例,而不作为本专利技术的架构限制。参照图2,示出了根据本专利技术优选实施例的可以作为服务器如图1中的服务器104而实现的数据处理系统的方框图。数据处理系统200可以是对称多处理器(SMP)系统,其包括连接到系统总线206的多个处理器202和204。可选地,可以采用单处理器系统。另外,连接到系统总线206的是存储器控制器/高速缓存208,其向本地存储器209提供接口。I/O总线桥210连接到系统总线206,并且向I/O总线212提供接口。存储器控制器/高速缓存208和I/O总线桥210可以如图所示集成在一起。连接到I/O总线212的外围组件互连(PCI)总线桥214向PCI本地总线216提供接口。多个调制解调器可以连接到PCI本地总线216。典型的PCI总线实现将支持四个PCI扩展槽或内插连接器。与图1中的客户端108-112的通信链路可以通过调制解调器218和网络适配器220来提供,其中调制解调器218和网络适配器220通过内插连接器连接到PCI本地总线216。另外的PCI总线桥222和214为另外的PCI本地总线226和228提供接口,由此可以支持另外的调制解调器或网络适配器。以这种方式,数据处理系统200允许连接到多个网络计算机。存储器映射图形适配器230和硬盘232也可以如图所示直接或间接地连接到I/O总线212。本领域的普通技术人员应当理解,图2所示的硬件可以变化。例如,作为对所示硬件的补充或替代,也可以使用其它外围设备如光盘驱动器等。所示例子不旨在暗含对本专利技术的架构限制。图2所示的数据处理系统可以例如是运行高级交互执行(AIX)操作系统或LINUX操作系统的IBM eServer pSeries系统,其是国际商业机器公司、阿芒克、纽约的产品。现在参照图3,示出了可以实现本专利技术的数据处理系统的方框图。数据处理系统300可以是如图1所示的客户端计算机,或者可以是独立计算设备。数据处理系统300采用外围组件本文档来自技高网...
【技术保护点】
一种在数据处理系统中认证访问请求的方法,包括:接收访问请求,其中访问请求包括组标识符,并且指定被请求访问的资源;检索与资源相关联的复合组数据对象,其中复合组数据对象包括表示多个请求者组的组集值和掩码值;以及基于组标识 符、组集值和掩码值而认证访问请求。
【技术特征摘要】
【国外来华专利技术】US 2003-6-5 10/455,1651.一种在数据处理系统中认证访问请求的方法,包括接收访问请求,其中访问请求包括组标识符,并且指定被请求访问的资源;检索与资源相关联的复合组数据对象,其中复合组数据对象包括表示多个请求者组的组集值和掩码值;以及基于组标识符、组集值和掩码值而认证访问请求。2.如权利要求1所述的方法,其中基于组标识符、组集值和掩码值而认证请求包括将掩码值施加到组标识符,以生成掩蔽后的组标识符;以及比较掩蔽后的组标识符与组集值。3.如权利要求2所述的方法,其中比较掩蔽后的组标识符与组集值包括将掩码值施加到组集值,以生成掩蔽后的组集值;以及比较掩蔽后的组标识符与掩蔽后的组集值。4.如权利要求3所述的方法,其中如果掩蔽后的组标识符匹配掩蔽后的组集值,则授权访问请求。5.如权利要求3所述的方法,其中如果掩蔽后的组标识符不匹配掩蔽后的组集值,则拒绝访问请求。6.如权利要求2所述的方法,其中将掩码值施加到组标识符包括对掩码值和组标识符进行按位求与。7.如权利要求3所述的方法,其中将掩码值施加到组集值包括对掩码值和组集值进行按位求与。8.如权利要求1所述的方法,其中掩码值是分级组成员关系掩码值、组类别成员关系掩码值、以及混合掩码值之一。9.一种计算机可读介质中的计算机程序产品,用于在数据处理系统中认证访问请求,包括第一指令,用于接收访问请求,其中访问请求包括组标识符,并且指定被请求访问的资源;第二指令,用于检索与资源相关联的复合组数据对象,其中复合组数据对象包括表示多个请求者组的组集值和掩码值;以及第三指令,用于基于组标识符、组集值和掩码值而认证访问请求。10.如权利要求9所述的计算机程序产品,其中用于基于组标识符、组集值和掩码值而认证请求的第三指令包括用于将掩码值施加到组标识符以生成掩蔽后的组标识符的指令;以及用于比较掩蔽后的组标识符与组集值的指令。11.如权利要求10所述的计算机程序产品,其中用于比较掩蔽后的组标识符与组集值的指令包括用于将掩码值施加到组集值以生成掩蔽后的组集值的指令;以及用于比较...
【专利技术属性】
技术研发人员:朱利安尼F霍,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。