提供用于管理计算机系统的领域的安全信息的方法和系统。该安全系统显示诸如用户或计算机系统的选中安全对象的安全信息。该安全对象开始时检索包括每个都具有选中安全对象的实体、资源、以及访问权标识的安全规范的安全信息。然后该安全系统显示每个安全规范的实体、资源、以及访问权的标识。当安全信息由资源存储在安全存储器中(即主要安全存储器),且对于每个资源实体都具有对该资源的访问权时,安全系统可使用辅助安全存储器以便安全信息的检索。
【技术实现步骤摘要】
本专利技术一般涉及管理计算机系统领域的安全信息。
技术介绍
当前的网络系统使信任关系能在计算机系统的各领域之间建立。计算机系统领域是共享同一领域内共同属性的计算机系统的集合。例如,某公司的所有计算机系统可形成该公司的领域,而该公司人事部门的计算机系统可形成公司的人事领域。在一个领域内的计算机系统用户可允许另一领域的用户访问其资源(例如数据文件和应用程序文件)。例如,其计算机系统在执行领域内的公司总裁可访问存储在人事领域计算机系统上的人事文件(即资源类型)。为了允许对人事文件的访问,人事领域的管理员可与执行领域的用户建立“信任关系”。一旦建立了信任关系,是信任领域成员的公司总裁就能够访问所需的人事文件。人事领域的管理员被称为建立人事领域对执行领域的“进入信任”(incoming trust),意思是执行领域的用户受到人事领域管理员的信任。执行领域管理员还可在执行领域和人事领域之间建立信任关系。该信任关系使人事领域的用户能访问执行领域的资源。在此情形中,建立人事领域对执行领域的“外出信任”(outgoing trust),即允许人事领域的用户能访问执行领域的资源。人事领域的“进入信任”将是执行领域的“外出信任”,而执行领域的“进入信任”将是人事领域的“外出信任”。一旦信任关系在诸领域之间建立,具有进入信任对领域资源的访问可由访问控制列表(ACL)或某些其它机制进行控制。例如,人事领域内的管理员可指定总裁对他的人事文件可只读访问,而对公司其它执行领域的人事文件可读写访问。当总裁请求访问他的人事文件时,人事领域的安全机制检查该人事文件的ACL以确保被请求访问与总裁的访问权相一致。否则,拒绝总裁访问。对于具有进入信任关系的领域的管理员和用户而言,要为受信任领域所有用户建立其对它所有资源的适当访问权是非常耗时的。为了帮助推动建立访问权,至少一种网络安全机制在具有进入信任的领域的计算机系统和具有相应外出信任的领域的用户之间提供“允许验证”访问权。例如,人事领域的管理员可指定允许公司的执行领域向包含人事文件的人事领域人事服务器进行验证。当总裁请求对人事文件的访问时,总裁的计算机系统首先尝试向人事服务器验证。如果人事管理员已承认总裁向人事服务器进行验证的权利,网络安全机制验证总裁以确保请求访问的真的是总裁。一旦验证完成,总裁可根据那些资源的ACL来访问人事服务器的资源(例如人事文件)。如果人事服务器的资源都没有承认总裁访问权的ACL,则尽管已验证了总裁身份,总裁仍然不能访问任何资源。由网络安全机制使用的验证过程可以是标准的Kerebos验证技术,其中总裁计算机系统的Kerebos客户机向人事领域的Kerebos服务器提供用户名和密码。Kerebos服务器确认用户名和密码、确保用户对被请求计算机系统有允许验证访问权、且如果是这样,向用户提供“票据”。在用户尝试访问它已被认证的计算机系统资源的任何时候,都使用该票据。如果票据有效,则根据资源的ACL允许对该资源的访问。如果无效,拒绝访问。某些网络安全机制使用诸如LDAP目录或“微软Active目录”的目录服务器为中央寄存器中的领域存储诸如允许验证信息的安全信息。领域的每个计算机系统在中央寄存器中都有条目,它指定哪些对该领域具有外出信任的领域用户被允许向该计算机系统进行验证。例如,人事领域人事服务器的条目可指定执行领域的一组用户(被称为“执行者”)被允许向人事服务器进行验证。可选地该条目可列出每个执行者的用户名。在对该领域具有外出信任的领域用户请求向该领域的计算机系统进行验证的任何时候,网络安全机制访问该中央寄存器。安全信息的这种中央寄存器为每个计算机系统存储信息,但它们不以具有外出信任的领域单个用户的所有访问权都能快速确定的方式进行存储。为了确定用户的访问权,将需要访问安全信息的整个存储器以标识对哪个计算机系统用户具有访问权(例如允许验证的访问权)。因为领域可具有成千上万个计算机系统,且可与许多每个都具有成千上万用户的不同领域之间有进入信任关系,中央寄存器的安全信息可以是极大的,并且要标识单个用户的所有访问权能化很长时间。例如,在一情形中,要编译指示对于每个具有允许验证访问权的用户,用户具有允许验证访问权可访问的计算机系统列表,要化计算机程序三天以上的时间。结果,某些管理员不使用网络安全机制的某些安全特征,因为它对于标识和控制单个用户的访问权不实用。将需要使管理员能够查看和控制单个用户安全信息的有效方法。
技术实现思路
提供用于维护安全信息的安全系统。在一实施例中,安全系统为领域提供包含有标识实体及其对资源访问权的领域资源条目的主要安全存储器。安全系统还提供具有标识实体对资源访问权的条目的辅助安全存储器。当提供通过它管理员可查看和更新访问权的用户接口时,安全系统使用辅助安全存储器。当证实实体对资源的访问权时安全系统使用主要安全存储器。当用户指定要更新访问权,安全系统更新主要安全存储器和辅助安全存储器。这样,安全系统使管理员能在每个实体基础上有效控制安全信息,并使主要安全存储器与辅助安全存储器保持同步。附图说明图1是示出在一实施例中要显示其安全规范的选中对象的条目的显示页面。图2A是示出在一实施例中实体的允许验证安全规范显示的显示页面。图2B是示出在一实施例中资源的允许验证安全规范显示的显示页面。图3是示出在一实施例中允许验证安全规范的创建的显示页面。图4是示出在一实施例中实现安全系统的领域组件的框图。图5是示出在一实施例中初始化辅助安全存储器组件的处理的流程图。图6是示出在一实施例中UI控制器的处理的流程图。图7是示出在一实施例中显示实体信息组件的处理的流程图。图8是示出在一实施例中显示安全规范组件的处理的流程图。图9是示出在一实施例中更新安全规范组件的处理的流程图。具体实施例方式提供了用于管理计算机系统领域的安全信息的方法和系统。在一实施例中,安全系统显示了诸如用户或计算机系统的选中安全对象的安全信息。开始时安全系统检索包括每个都具有选中安全对象的实体、资源、以及访问权标识的安全规范的安全信息。实体包括用户或者用户组,资源可包括计算机系统,而访问权可指定是否允许实体向资源进行验证。然后安全系统显示对每个安全规范的实体、资源以及访问权的标识。当安全信息由资源存储在安全存储器中(即主要安全存储器),并且对于每种资源实体具有对该资源的访问权时,安全系统可使用辅助安全存储器以便安全信息的检索。在一实施例中,辅助安全存储器包含每个在主要安全存储器中指定的安全规范的条目。安全规范定义实体、资源、以及访问权的三位一体,意思是实体具有对资源的指定访问权。实体还被称作是访问权的“源”,而资源则被称为是访问权的“目的”。该源和目的术语与防火墙机制使用的指定哪些源对哪些目的具有哪些访问权的术语相类似。当向管理员提供对安全信息的访问时,安全系统可使用辅助安全存储器。特别地,当管理员想要查看安全信息时,安全系统从辅助安全存储器中而不是从主要安全存储器中检索安全规范。另外,当管理员想要更改安全信息时,安全系统使用辅助安全存储器的安全规范来帮助管理员指定要更改哪些安全信息。安全系统还更新主要安全存储器和辅助安全存储器以反映该更改。这样,管理员可使用安全系统(安全系统则使用辅助安全存储器)以有本文档来自技高网...
【技术保护点】
计算机系统中一种用于显示允许验证信息的方法,其特征在于,所述方法包括:接收安全对象的选择;检索所述选中安全对象的允许验证信息,所述信息标识实体、资源、以及动作,其中当所述实体尝试向所述资源验证时,所述动作指示是否允许或拒绝所述尝试向所述资源进行验证;以及显示所述选中安全对象的指示,以及所述经检索的允许验证信息。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:DW希契科克,
申请(专利权)人:微软公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。