权限的委托可按照多种方式来控制。在一示例实现中,委托授权机构断言
是用委托方主体、被委托方主体、动词短语、资源和委托指示动词来制定的。
在另一示例实现中,涉及断言者、第一主体和第二主体的委托机制使委托能被
具体控制。在又一示例实现中,连锁委托机制允许对许可的传递链接深度的显
式控制。
【技术实现步骤摘要】
【国外来华专利技术】控制权限的委托背景计算机和其他电子设备遍布人们的职业和个人生活。在职业设置中,人们 在项目协作期间交换和共享机密信息。在个人设置中,人们参与电子商务以及 个人信息的传输。在这些和其他众多情况中,电子安全措施被认为是重要的。电子安全措施范例可令职业信息保持机密以及个人信息保持私密。电子安 全措施范例可涉及某种水平的加密和/或针对诸如病毒、蠕虫和间谍软件等恶意 软件的保护。信息的加密以及针对恶意软件的保护历来受到极大的关注,尤其 是近几年来。然而,控制对信息的访问是保护电子信息安全性同等重要的方面。对于其 中受益于电子信息的共享和/或传送的情形尤其如此。在这样的情形中,某些人 被准许访问,而其他人要被排除在外。访问控制自早期的共享系统以来就是共享计算机和应用程序服务器的共 同特征。存在用于控制对信息的访问的多种不同的方法。它们在组合对请求对 某一资源的访问的实体的认证以及授权所允许的访问的机制方面享有共同的基础。认证机制包括口令、Kerberos、以及x.509证书。其目的在于允许进行 资源控制的实体肯定地标识进行请求的实体或它所需的关于实体的信息。授权示例包括访问控制列表(ACL)以及基于策略的机制,诸如可扩展访 问控制标记语言(XACML)或特权和角色管理基础架构(PERMIS)。这些机 制定义哪些实体可访问给定的资源,诸如文件系统中的文件、硬件设备、数据 库信息等。它们通过提供关于请求者的认证信息以及所允许的对资源的访问之 间的映射来执行这种授权。随着计算机系统越来越普遍地连接到诸如因特网等大型网络上,这些机制 被证实在处理日益发展的访问控制要求方面稍有限制和不灵活。地理上散布的 用户和计算机资源的系统,包括横跨多个行政区域的那些系统尤其提出了当前部署的技术解决不好的多个挑战。5概述权限的委托可按照多种方式来控制。在一示例实现中,委托授权机构断言 是用委托方主体、被委托方主体、动词短语、资源和委托指示动词来制定的。 在另一示例实现中,涉及断言者、第一主体和第二主体的委托机制使委托能被 具体控制。在又一示例实现中,连锁委托机制允许对许可的传递连锁深度的显 式控制。提供本概述以便以简化的形式介绍将在以下详细描述中进一步描述的一 些概念。该概述不旨在标识所要求保护的主题的关键特征或必要特征,也不旨 在用于帮助确定所要求保护的主题的范围。而且,其它方法、系统、方案、装置、设备、介质、过程、API、安排、协议等的实现也在此得到描述。 附图简述在各图中使用相同的数字来引用相同和/或对应的方面、特征和组件。 图l是示出其中可以实现示例安全方案的示例一般环境的框图。图2是示出具有两个设备以及多个示例安全相关组件的示例安全环境的 框图。图3是示出其中在安全相关组件之间交换示例安全相关数据的图2的示例安全环境的框图。图4是可用于本文所述的安全相关实现的示例设备的框图。图5是示出用于一般安全方案的示例断言格式的框图。图6是从功能观点示出示例委托机制以及示例委托情形并包括委托授权机构断言的框图。图7是从逻辑观点示出示例委托机制以及示例委托类型的框图。图8是示出委托机制的委托授权机构断言的示例断言格式的框图。图9是从功能观点示出示例连锁委托机制以及示例连锁委托情形的框图。图IO是示出连锁委托机制的两个示例格式方法的框图。附图说明图11是示出用于创建委托授权机构断言的方法的示例的流程图。详细描述 示伊皮全膽图1是示出其中可以实现示例安全方案100的示例一般环境的框图。安全 方案IOO表示进行保护的集成方法。如图所示,安全方案IOO包括多个安全概 念安全令牌IOO(A)、安全策略IOO(B)、以及求值引擎IOO(C)。 一般,安全 令牌IOO(A)、安全策略IOO(B)共同提供对求值引擎IOO(C)的输入。求值引擎 IOO(C)接受输入,并产生指示应许可还是拒绝对某一资源的访问的授权输出。在所述实现中,安全方案100可由一个或多个设备102覆盖和/或与其集 成,这些设备由硬件、软件、固件、其某种组合等组成。如图所示,d个 设备在一个或多个网络104上互连,d是某一整数。更具体地,设备102(1)、 设备102(2)、设备102(3)...设备102(d)能够经由网络104通信。每一设备102可以是能够实现安全方案100的至少一部分的任何设备。这 样的设备的示例包括但不限于计算机(例如,客户机计算机、服务器计算机、 个人计算机、工作站、台式机、膝上型计算机、掌上型计算机等)、游戏机(例 如,控制台、便携式游戏设备等)、机顶盒、电视机、消费电子产品(例如, DVD播放器/记录器、摄录像一体机、数码录像机(DVR)等)、个人数字助 理(PDA)、移动电话、便携式媒体播放器、其某种组合等。 一个示例电子设 备在以下具体参考图4描述。网络104可由链接在一起和/或覆盖在彼此之上的任何一个或多个网络形 成。网络104的示例包括但不限于因特网、电话网络、以太网、局域网(LAN)、 广域网(WAN)、有线电视网络、光纤网络、数字用户线(DSL)网络、蜂窝 网络、Wi-Fi 网络、WiMAX 网络、虚拟专用网(VPN)、其某种组合等。网 络104可包括多个域、 一个或多个网格网络等。这些网络或网络组合中的每一 个可根据任何联网标准操作。如图所示,设备102(1)对应于正与之交互的用户106。设备102(2)对应于 正在其上执行的服务108。设备102(3)与资源IIO相关联。资源110可以是设 备102(3)的一部分,或与设备102(3)分开。用户106、服务108以及诸如任何给定设备102等机器形成非穷举的示例 实体列表。实体随时可能希望访问资源110。安全方案IOO确保被正确认证和7源110,而阻止其他实体访问资源110。图2是示出具有两个设备102(A)和102(B)以及多个示例安全相关组件的 示例安全环境200的框图。安全环境200还包括授权机构202,诸如安全令牌 服务(STS)授权机构。设备102(A)对应于实体208。设备102(B)与资源110 相关联。尽管安全方案IOO可在更复杂的环境中实现,但使用该相对简单的两 个设备的安全环境200来描述示例安全相关组件。如图所示,设备102(A)包括两个安全相关组件安全令牌204和应用程 序210。安全令牌204包括一个或多个断言206。设备102(B)包括五个安全相 关组件授权上下文212、资源保卫214、审计日志216、授权引擎218和安全 策略220。安全策略220包括信任和授权策略222、授权查询表224和审计策 略226。每一设备102可被不同地配置,且仍能够实现安全方案100的全部或一部 分。例如,设备102(A)可具有多个安全令牌204和/或应用程序210。作为另一 示例,设备102(B)可不包括审计日志216或审计策略226。其它配置也是可能 的。在所述实现中,授权机构202向实体208发放具有断言206的安全令牌 204。断言206在以下描述,包括在题为安全策略断言语言示例特征 一节 中。实体208从而与安全令牌204相关联。在操作中,实体208希望依靠安全 令牌204使用应用程序210来访问资源110。资源保卫214接收访问资源110的请求,并有效地管理本文档来自技高网...
【技术保护点】
一种方法,包括: 指定要作为委托的目标的资源; 指定能够传递关于所述资源的权限的委托方主体; 指定能够接收关于所述资源的所述权限的被委托方主体; 指定表示关于所述资源的所述权限的动词短语;以及 用所述委托方主体 、所述被委托方主体、所述资源、所述动词短语以及委托指示动词来制定委托授权结构断言。
【技术特征摘要】
【国外来华专利技术】2006.9.8 US 11/530,4461. 一种方法,包括指定要作为委托的目标的资源;指定能够传递关于所述资源的权限的委托方主体;指定能够接收关于所述资源的所述权限的被委托方主体;指定表示关于所述资源的所述权限的动词短语;以及用所述委托方主体、所述被委托方主体、所述资源、所述动词短语以及委托指示动词来制定委托授权结构断言。2. 如权利要求1所述的方法,其特征在于,还包括将所述委托授权机构断言添加到信任和授权策略。3. 如权利要求l所述的方法,其特征在于,还包括将所述委托授权机构断言与委托准许断言组合成断言上下文,所述委托准许断言至少包括所述资源、所述动词短语以及所述被委托方主体;结合所述断言上下文对授权查询求值以确定关于所述资源的授权决策。4. 如权利要求1所述的方法,其特征在于,还包括指定指示关于所述资源的所述权限上的至少一个环境限制的事实限定词;其中所述制定还包括用所述事实限定词来制定所述委托授权机构断言。5. 如权利要求l所述的方法,其特征在于,还包括指定指示许可的委托连锁深度的委托深度;其中所述制定还包括使用所述委托深度来制定所述委托授权机构断言。6. —种执行包括用于委托机制的应用程序编程接口 (API)的程序的设备,所述委托机制由断言者发起并允许第一主体将权限委托给第二主体,供所述第二主体作出至少一个断言;其中所述委托机制允许所述委托被具体控制。7. 如权利要求6所述的设备,其特征在于,对所述委托的控制包括所述断言者指定所述第一主体能够委托作出所述至少一个断言的所述权限而要拥有的至少一个属性的能力。8. 如权利要求6所述的设备,其特征在于,对所述委托的控制包括所述断言者指定所述第一主体仅当所述第一主体具有对特定资源的某一能力时才能委托作出所述至少一个断言的所述权限的能力。9. 如权利要求6所述的设备,其特征在于,对所述委托的控制包括所述断言者指定所述第二主体被许可作出所述至少一个断言而要拥有的至少一个属性的能力。10. 如权利要求6所述的设备,其特征在于,对所述委托的控制包括所述断言者指定所述第二主体仅当所述第二主体具有对特...
【专利技术属性】
技术研发人员:B·B·迪拉韦,M·Y·贝克,A·D·戈登,C·富尔内,
申请(专利权)人:微软公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。