本发明专利技术涉及一种基于角色的访问控制系统,包括:角色定义系统,用于将角色定义为个体资源上的许可集合,并因此分别形成角色实例;和超级角色定义系统,用于通过将一组角色实例合组为一个超级角色而定义至少一个超级角色,其中一个超级角色包含被合组的资源实例中所含的全部许可。进而,本发明专利技术涉及一种合适的方法、计算机程序和计算机程序产品。
【技术实现步骤摘要】
本专利技术涉及一种用于联网的计算机资源的安全授权的方法和系统,并特别涉及一种用于提供对系统资源的访问控制的技术。本专利技术还涉及带有计算机可读介质的计算机程序产品和存储于具有程序代码的计算机可读介质上的计算机程序,当在计算机上运行计算机程序时,所述程序代码适宜于实现这一方法。
技术介绍
服务系统功能通常包括所谓的资源管理,服务器通过它来同步和管理对诸如数据库或数据库服务器的一个或多个资源的访问。来自客户机的请求由服务器系统接收、处理,并进行对资源的适当的访问。接着,创建对客户机系统的响应,并将其发送至客户机系统。此通用模型适用于许多服务器范例,包括在线银行、订单输入和跟踪、电子商务乃至电子邮件处理。客户机程序一般处理用户交互,诸如表示下拉列表、菜单和信息页面。客户机程序一般还包括由服务器系统代表用户请求数据或起动某些数据修正的功能。在许多情况下,单个的服务器系统被众多客户机同时使用。例如,成打或成百的客户机可与控制数据库访问的少量服务交互。使用这种系统和功能的配备,客户机系统从不得不知道所有关于实际的资源管理器和资源的事情中解脱出来。它只需要具有与服务器系统通信和交互的能力,而不必拥有与资源直接通信的特定能力或软件。服务器系统内的资源管理器经常被分配以安全和访问控制的任务,从而从资源中请求安全数据的用户可被允许或拒绝对该数据的访问。对于诸如服务器或存储空间的基于计算机的资源的访问控制不仅可帮助防止一个机构以外的人访问资源,还可被用来限制内部人员的访问。经典的访问控制是通过使用访问控制列表(ACL)来提供的,从而用户与对各种资源的访问或交互的特定许可相关联。在这个意义上,ACL一般被视为许可的逐个人或逐个组的列举。无论何时ACL内的许可发生改变,就必须以改变后的许可重建ACL。配置或改变ACL不是轻松的过程。在以下的情况中尤其是这样,即期望对许可层次的控制做细致的划分(grain),诸如当资源被排列为节点的层级树时。经典的基于角色的访问控制模型缺乏将不同的访问控制约束强加到个体资源实例上的可能性。为了克服此问题,对将角色定义为对个体资源的许可集合(基于资源层次角色的访问控制(Resource-level role-based Access Control,RRBAC))的经典的模型做了扩展。此领域的两个最重要的例子是在美国专利US 2003/0229623 A1中说明的J2EE授权模型和所谓的WebSphereTM系统管理角色。IBM公司的WebSphereTM产品是可用于多种平台的应用服务器,包括从个人计算机到高端“大型机”、运行从Microsoft Windows NTTM到IBM的AIXTM再到开源Linux的操作系统的计算机。J2EE授权模型或单纯的基于角色的访问控制(RBAC)模型不提供实例层次资源保护。美国专利US 2003/0229623 A1说明了另外的基于角色的访问控制模型,其为随WebSphere 5.0TM而引入的系统管理角色形成基础。此模型不很普遍也不很灵活。J2EE授权模型与Java Authorization Contract for Containers(JACC,Java容器授权规范)定义了J2EE角色由个体许可构成,所述个体许可允许对特定的万维网内容或由个体Java Enterprise Bean(Java企业豆组件)暴露的商业逻辑的访问。个体资源实例的保护很有限。粒度大小由Java Enterprise Bean所暴露的接口和可直接面对Web_URL的信息来定义。希望有更灵活的系统,其具有减少系统管理错误的可能性和访问控制系统管理的简化。
技术实现思路
本专利技术提供了一种具有权利要求1的特征的基于角色的访问控制系统、具有权利要求11的特征的基于角色的访问控制方法、具有权利要求18的特征的计算机程序产品以及具有权利要求19的特征的计算机程序。根据权利要求1,本专利技术提供了一种基于角色的访问控制系统,包括角色定义系统,用来将角色定义为个体资源上的许可集合,并因此分别形成角色实例;以及超级角色定义系统,用来通过将一组角色实例合组为一个超级角色而定义至少一个超级角色,其中一个超级角色包含被合组的角色实例中所含的全部许可。在该系统的另一实施例中,系统进一步包括超级角色分配系统,用于将超级角色分配给个体用户或用户组。通过提供将个体RRBAC角色累积到被称作超级角色的更高层次角色的装置,超级角色的概念扩展了RRBAC模型。角色定义系统可以基于J2EE授权模型。在该系统的另一实施例中,由定义系统定义的角色与系统管理性的角色相应。那些系统管理性的角色可以是所谓的系统管理角色,特别是在美国专利US 2003/0229623 A1中公开和说明的所谓WebSphereTM系统管理角色。那些角色是从IBM的WebSphere Portal 5.0TM产品而引入的。进而,该方法的另一实施例可基于所谓的基于继承角色的访问控制(IRBAC)模型,这在尚未公布的序号为10/889625的美国专利申请中有所说明,并且其全部内容通过引用而被清楚地包含于此。为了更好地理解,下面将简短地说明此模型。IRBAC模型基于由许可构成的角色。反过来,许可可被展示(scope)给个体资源。IRBAC模型定义了继承模型,所述继承模型允许方便地基于角色类型定义这样的角色实例,为交互的不同途径建模,所述交互保护对受保护的资源层级的特定子层级的访问。IRBAC许可被展示给个体资源,并由一个动作和一个对域资源的引用构成。在IRBAC中,对例如编辑特定文档的敏感操作的访问被映射至一个或多个相应的许可。角色被分配给用户或用户组,以将相应角色所含的许可赋予(grant)那些用户或用户组。如果分配给此用户或用户组的全部角色实例中所含的全部许可的联合包含敏感操作所需的全部许可,则允许用户或用户组执行这样的敏感操作。IRBAC模型中的一个本质的点是创建和管理角色实例的方式,例如如何确定被认为是特定角色实例的一部分的许可集合。IRBAC模型定义了三个概念,以允许方便地管理这样的角色,即角色类型、角色块和域根资源。在IRBAC模型内,每个角色实例都具有关联的角色类型。角色类型首先是动作的集合,并依工作责任而为与资源交互的特定方式建模,例如,因为编辑通常负责修改资源和创建新资源,所以被称作“编辑”的角色类型可包含像“查看”、“编辑”、“添加子级(child)”的动作。此外,每个角色实例具有关联的域根资源。这只是受保护资源的层级内的某些特定资源。特定IRBAC角色实例中所含的许可集合是通过这样定义的即在相应的角色类型所含的动作集合和以角色的域根资源为根的子树所含的资源集合之间建立笛卡儿积,即所谓的角色域。可通过引入角色块来制约角色域。角色块可被捆绑在个体资源上,且角色块是角色类型所特定的。角色块防止以携带块的资源为根的子树被包括在同一角色类型的角色域和某些祖先域根资源中。在所谓的WebSphere Protal 5.0TM中实现的IRBAC提供了细致划分的代表模型。创建/删除角色分配和创建/删除角色块的操作是通过这样而保护的即根据所涉及的角色类型给受影响的资源强加特定的一个或多个许可;以及给受影响的用户或用户组强加特定许可。当IRBAC模型提供基本文档来自技高网...
【技术保护点】
一种基于角色的访问控制系统,包括:角色定义系统,用于将角色定义为个体资源上的许可集合,以分别形成角色实例;以及超级角色定义系统,用于通过将一组角色实例的集合合组为一个超级角色而定义至少一个超级角色,其中一个超级角色包含被合组 的角色实例中所含的全部许可。
【技术特征摘要】
EP 2004-10-22 04105243.21.一种基于角色的访问控制系统,包括角色定义系统,用于将角色定义为个体资源上的许可集合,以分别形成角色实例;以及超级角色定义系统,用于通过将一组角色实例的集合合组为一个超级角色而定义至少一个超级角色,其中一个超级角色包含被合组的角色实例中所含的全部许可。2.根据权利要求1所述的系统,进一步包括超级角色分配系统,用于将超级角色分配给个体用户或用户组。3.根据权利要求1或2所述的系统,其中所述角色定义系统基于J2EE授权模型。4.根据权利要求1或2所述的系统,其中由所述定义系统定义的角色对应于系统管理性的角色。5.根据权利要求1或2所述的系统,其中所述角色定义系统被配置为通过分别将一个许可动作集合分配给一个角色类型而定义角色类型,还包括角色绑定系统,用于将角色类型分别绑定至资源结构的资源,因而形成角色实例的结构,其中角色实例的结构对应于角色实例的层级树,且角色实例结构内的每个角色实例都具有关联的域根实例,以使得角色类型的实例是由域根实例的层级式子级继承的。6.根据权利要求5所述的系统,还包括角色分块系统,用于为角色类型建立角色类型块,其中角色类型块限制了角色类型实例的继承。7.根据先前权利要求中的一个所述的系统,其中可通过从被合组的角色实例的集合中添加和/或删除角色实例来修改一个超级角色。8.根据先前权利要求中的一个所述的系统,其中一个超级角色被注册于受保护的资源实例的结构内,从而定义了受保护的超级角色实例。9.根据先前权利要求中的一个所述的系统,其中超级角色是可嵌套地形成超级角色嵌套结构的。10.根据先前权利要求中的一个所述的系统,其中通过将分配条件与个体超级角色分配相关联而将超级角色动态地分配给至少一个用户或用户组。11.一种基于角色的访问控制方法...
【专利技术属性】
技术研发人员:迪特尔比勒,托马斯赫里克,唐纳德N琼斯,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。