访问授权API制造技术

提供了用于设置并取消策略的实用程序。该实用程序接收来自主控进程的对受控进程设置策略的请求，并确定该主控进程是否具有对受控进程设置策略的特权。如果实用程序确定该主控进程具有对受控进程设置策略的特权，则实用程序对受控进程设置策略，这导致该策略应用于受控进程以确定该受控进程是否具有对访问一个或多个资源的授权。

【技术实现步骤摘要】

本专利技术涉及计算机安全，尤其涉及控制对计算机系统上资源的访问。
技术介绍
随着对计算机和计算机网络的依赖性的增加，以及对计算机和计算机网络的攻击频率和复杂度的增加，计算机安全的主题在本行业中变得越来越突出。当前的计算机安全技术不足以保护应用程序和操作系统免遭例如病毒、蠕虫和特洛伊木马等恶意软件(“malware”)的破坏，这些恶意软件是特别设计成破坏或扰乱计算机系统，以及其它不良动作。现有的访问控制安全模型通常都依赖于用户的证书来授权对计算机上资源的访问。在这些模型中，具有相同证书运行或执行的每个进程都被给予相同的访问权限，而不管该进程是否需要访问用户可用的所有资源。此外，需要访问资源(例如读、写等)的进程，在访问资源时指定所需访问。例如，用户通过用户帐户登录到个人计算机上，并期望能够访问存储在该个人计算机上并使用特定的字处理程序创建的所有字处理文档。为了满足该期望，常规的访问控制安全系统准许在用户的上下文许可中运行的所有程序访问所有前述字处理文档。然而，这是过度级别许可的准许，因为实际上很少有在用户的上下文许可中运行的程序会需要访问任一字处理文档。通常，恶意软件利用代码缺陷来本文档来自技高网...

【技术保护点】
一种计算机可读存储介质，其内容导致计算机：提交将自施加策略设置为第一策略的第一个请求；提交访问第一资源的至少一个请求；提交将自施加策略设置为第二策略的第二个请求；以及提交访问第二资源的至少一个请求，从而所述第一策略用于确定是否有访问所述第一资源的授权，而所述第二策略用于确定是否有访问所述第二资源的授权。

【技术特征摘要】
US 2004-10-1 10/957,314;US 2004-10-1 10/956,6671.一种计算机可读存储介质，其内容导致计算机提交将自施加策略设置为第一策略的第一个请求；提交访问第一资源的至少一个请求；提交将自施加策略设置为第二策略的第二个请求；以及提交访问第二资源的至少一个请求，从而所述第一策略用于确定是否有访问所述第一资源的授权，而所述第二策略用于确定是否有访问所述第二资源的授权。2.如权利要求1所述的计算机可读存储介质，其特征在于，所述第二策略比所述第一策略更具限制性。3.如权利要求1所述的计算机可读存储介质，其特征在于，将自施加策略设置为第二策略的所述第二个请求取消所述第一策略。4.如权利要求1所述的计算机可读存储介质，其特征在于，将自施加策略设置为第二策略的所述第二个请求不取消所述第一策略。5.如权利要求1所述的计算机可读存储介质，其特征在于，将自施加策略设置为第二策略的所述第二个请求不取消所述第一策略，从而所述第一策略和第二策略用来确定是否有对访问所述第二资源的授权。6.一种用于在计算系统上提供客户机-服务器访问控制检查的方法，所述方法包括在所述计算系统上执行的进程的控制下，从第一进程接收对由所述进程提供的资源的请求，所述请求包括一标识符；模拟所述第一进程；确定所述第一进程是否具有对请求所述资源的授权；以及在确定所述第一进程具有对请求所述资源的授权之后，处理对所述资源的请求。7.如权利要求6所述的方法，其特征在于，所述进程通过获得所述第一进程的身份来模拟所述第一进程。8.如权利要求6所述的方法，其特征在于，所述进程通过发送对执行访问控制检查的请求来确定所述第一进程是否具有对请求所述资源的授权，所述请求包括从所述第一进程接收的标识符，以及对所述请求资源的指示。9.如权利要求8所述的方法，其特征在于，所述执行所述访问控制检查的请求对操作系统作出。10.如权利要求6所述的方法，其特征在于，对所述第一进程是否具有请求所述资源的授权的确定包括对可用于所述第一进程的策略的检查。11.一种用于对受控进程设置策略的系统，所述受控进程在所述系统上执行，所述系统包括从主控进程接收对所述受控进程设置策略的请求的组件；确定所述主控进程是否具有对所述受控进程设置策略的特权的组件；以及响应于确定所述主控进程具有对所述受控进程设置策略的特权，对所述受控进程设置策略的组件，从而所述策略在执行访问控制检查时应用于所述受控进程，以确定所述受控进程是否具有访问资源的授权。12.如权利要求11所述的系统，其特征在于，所述策略是可取消策略，且在对所述受控进程设置策略之后，向所述主控进程发送一标识符，用于请求取消所述已设置的策略。13.如权利要求12所述的系统，其特征在于，还包括在对所述受控进程设置策略之后，向所述主控进程发送一标识符，用于请求取消所述已设置的策略的组件。14.如权利要求12所述的系统，其特征在于，还包括接收取消对所述受控进程的策略的请求的组件；验证取消对所述受控进程的策略的请求的组件；以及响应于验证对取消策略的请求，取消对所述受控进程的策略的组件。15.如权利要求14所述的系统，其特征在于，验证所述请求包括检查以确定所述标识符是否作为对取消策略的请求的一部分而接收。16.如权利要求14所述的系统，其特征在于，取消所述策略的请求从所述主控进程中接...

【专利技术属性】
技术研发人员：G戈兰，M韦曼，SA费尔德，
申请(专利权)人：微软公司，
类型：发明
国别省市：US[美国]