一种资源访问调节系统,其中资源是由计算机上执行的操作所请求的。所述操作在执行期间调用对代码进行操作的多个方法。所述系统包括策略文件,调用堆栈和执行装置。策略文件用于存储对每个资源的许可。所述许可根据代码的源和代码的执行者对资源的特定访问类型进行授权。调用堆栈按所述操作调用的次序,存储方法和执行者的表示。当调用堆栈上所有方法和执行者的许可所授权的访问类型都包括所述操作所请求的访问时,执行装置同意访问所述资源。(*该技术在2019年保护过期,可自由使用*)
【技术实现步骤摘要】
相关申请本申请是1997年12月11日提交的、序号为08/988,431号美国专利申请的部分连续申请,其中美国专利申请的专利技术名称为“对资源访问的控制”,其内容通过引用包括在此。下列美国专利申请是本申请的依据,并通过引用包括在此申请中。1997年12月11日提交的、序号为____号美国专利申请,其专利技术名称为“在计算机系统中提供安全性的保护域”。1997年12月11日提交的、序号为____号美国专利申请,其专利技术名称为“安全级别解决方案、装载和定义”。1997年12月11日提交的、序号为____号美国专利申请,其专利技术名称为“分类的、参数化的且可扩展的访问控制许可”。1997年6月26日提交的、序号为08/883,636号美国专利申请,其专利技术名称为“用于通信信道的与层次无关的安全性”。1998年2月26日提交的、序号为60/076,048号美国临时专利申请,其专利技术名称为“分布式计算系统”。1998年3月20日提交的、序号为09/044,923号美国专利申请,其专利技术名称为“租用存储器的方法和系统”。1998年3月20日提交的、序号为09/044,838号美国专利申请,其专利技术名称为“在分布式系统中用于委托确认租用的方法、装置和产品”。1998年3月20日提交的、序号为09/044,834号美国专利申请,其专利技术名称为“在分布式系统中用于分组成员资格租用的方法、装置和产品”。1998年3月20日提交的、序号为09/044,916号美国专利申请,其专利技术名称为“用于失效检测的租用”。1998年3月20日提交的、序号为09/044,933号美国专利申请,其专利技术名称为“在基于事件的系统中用于传输行为的方法”。1998年3月20日提交的、序号为09/044,919号美国专利申请,其专利技术名称为“在分布式系统中用于事件通知的对象的延迟重构和远程装载”。1998年3月20日提交的、序号为09/044,938号美国专利申请,其专利技术名称为“用于远程方法启用的方法和设备”。1998年3月20日提交的、序号为09/045,652号美国专利申请,其专利技术名称为“用于确定性散列以识别远程方法的方法和系统”。1998年3月20日提交的、序号为09/044,790号美国专利申请,其专利技术名称为“在决定分布式系统中用于确定远程对象之状态的方法和设备”。1998年3月20日提交的、序号为09/044,930号美国专利申请,其专利技术名称为“在分布式系统中用于进行与远程过程调用相关联的处理的可下载的智能代理”。1998年3月20日提交的、序号为09/044,917号美国专利申请,其专利技术名称为“远程方法的挂起和继续”。1998年3月20日提交的、序号为09/044,835号美国专利申请,其专利技术名称为“在数据库中用于多入口和多模板匹配的方法和系统”。1998年3月20日提交的、序号为09/044,839号美国专利申请,其专利技术名称为“在数据库中用于原地修改的方法和系统”。1998年3月20日提交的、序号为09/044,945号的美国专利申请,其专利技术名称为“在数据库中用于类型安全属性匹配的方法和系统”。1998年3月20日提交的、序号为09/044,931号的美国专利申请,其专利技术名称为“在分布式系统中的动态查找服务”。1998年3月20日提交的,序号为09/044,939号的美国专利申请,其专利技术名称为“在分布式系统中用于提供为与一个装置通信而使用的可下载代码的设备和方法”。1998年3月20日提交的、序号为09/044,826号的美国专利申请,其专利技术名称为“便于访问查找服务的方法和系统”。1998年3月20日提交的、序号为09/044,932号的美国专利申请,其专利技术名称为“在分布式系统中用于动态地验证信息的装置和方法”。1998年2月26日提交的、序号为09/030,840号的美国专利申请,其专利技术名称为“在网络上进行动态分布计算的方法和装置”。1998年3月20日提交的,序号为09/044,936的美国专利申请,其专利技术名称为“用于持久共享存储空间的交互式设计工具”。1998年3月20日提交的,序号为09/044,934的美国专利申请,其专利技术名称为“基于多形态令牌的控制”。1998年3月20日提交的、序号为09/044,944的美国专利申请,其专利技术名称为“基于堆栈的安全性要求”。1998年3月20日提交的,序号为09/044,837的美国专利申请,其专利技术名称为“安全性要求的按照方法指定”。
技术介绍
本专利技术针对计算机系统中的安全措施,尤其针对这样的系统和方法,它们根据代码源和委托方的身份控制对资源的访问,这里正以所述委托方的名言执行代码。当大量使用计算机系统时,各种组织变得越发依赖于它们。计算机系统的故障会严重地防碍组织的工作。因此,使用计算机系统的组织很容易受用户的攻击,用户可以有意或无意地造成计算机系统发生故障。一种损害计算机系统安全性的途径是使计算机系统执行在该计算机系统上完成有害动作的软件。存在各种类型的安全性措施,它们可以用来防止计算机系统执行有害软件。一个例子是用“病毒”检查程序检查计算机系统执行的所有软件。但是,病毒检查程序只搜索非常特殊的软件指令。因此,病毒检查程序无法识破许多软件窜改机理。另一种常用的、用来防止软件窜改计算机资源的措施是“信任开发者方法(trusted developers approach)”。根据该信任开发者方法,系统管理者对软件进行限制,使得计算机系统只能访问由信任软件开发者开发的软件。信任开发者例如可以包括众所周知的卖主或内部开发者。信任开发者方法的基本原则是,由开发者创建计算机程序,并且相信一些开发者生产的是不危害安全性的软件。信任开发者方法的基本原则还有,计算机系统只执行这样的程序,它们存储在由系统管理者控制的位置上。目前已经开发的、用于运行应用程序的方法包括,自动和立即执行通过网络从远程源下载的软件代码。当网络包括的远程源处于系统管理者的控制之外时,信任开发者方法不起作用。有一种传统的尝试可以使信任开发者方法适应于能够执行来自远程源之代码的系统,这种尝试称为信任源方法。信任源方法的的一个重要概念是,从哪里接收程序(即,程序的“源”)的位置标识了程序的开发者。结果,可以用程序源确定该程序是否来自一个被信任的开发者。如果源与信任的开发者相关,那么认为该源是“信任源”,并且允许执行代码。信任源方法的一种实施称为沙盒法(sand box method)。沙盒法允许执行所有代码,但对远程代码有约束。具体地说,沙盒法允许所有信任代码对计算机系统的资源作全访问,而允许所有远程代码对资源作有限访问。通常在计算机系统拥有者或管理者的直接控制下,信任代码存储在本地的计算机系统上,这里系统的拥有者或管理者负责信任代码的安全性。沙盒法的一个缺点是该方法不太灵活,因为它限制远程代码访问相同有限资源集。于是,当来自几个源的远程代码试图访问相同的资源时,矛盾就产生了。因此,传统的系统经常限定来自一个源的远程代码访问一组计算机资源,并且限定来自另一个源的远程代码访问另一组不同的计算资源。例如,系统限定通过网络从有关第一计算机的源装入的远程代码可以访问一组文件,并且类似地限定通过网络从有关第二计算机的源装入的远程代码可以访问另一组文件。与沙盒法相本文档来自技高网...
【技术保护点】
一种资源访问调节系统,其中所述资源是计算机上执行的一个操作所请求的,所述操作在执行期间调用对代码进行操作的多个功能,其特征在于,所述系统包括: 策略文件,用于存储对每个功能的许可,所述许可根据代码的源和代码的执行者对资源的访问类型进行授权; 调用堆栈,它按所述操作调用的次序,将功能和执行者作为帧来存储;和 执行装置,当调用堆栈上所有功能和执行者的许可所授权的访问类型包括所述操作所请求的访问时,所述执行装置同意访问所述资源。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:R谢夫勒,龚利,
申请(专利权)人:太阳微系统公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。