在一示例实现中,一分支安全方案具有不允许使用否定的第一层和允许使用否定的第二层。在另一示例实现中,一授权查询表将各个资源专用操作映射到相应的相关联授权查询。在又一示例实现中,允许授权查询具有否定,但不允许个别断言具有否定。
【技术实现步骤摘要】
安全授权查询本申请是申请人于2007年9月5日提交的、申请号为“200780033322. 4”(国际申请号为“PCT/US2007/077641”)的、专利技术名称为“安全授权查询”的专利技术专利申请的分案申请。计算机和其他电子设备遍布人们的职业和个人生活。在职业设置中,人们在项目协作期间交换和共享机密信息。在个人设置中,人们参与电子商务以及个人信息的传输。在这些和其他众多情况中,电子安全措施被认为是重要的。电子安全措施范例可令职业信息保持机密以及个人信息保持私密。电子安全措施范例可涉及某种水平的加密和/或针对诸如病毒、蠕虫和间谍软件等恶意软件的保护。信息的加密以及针对恶意软件的保护历来受到极大的关注,尤其是近几年来。然而,控制对信息的访问是保护电子信息安全性同等重要的方面。对于其中受益于电子信息的共享和/或传送的情形尤其如此。在这样的情形中,某些人被准许访问,而其他人要被排除在外。访问控制自早期的共享系统以来就是共享计算机和应用程序服务器的共同特征。存在用于控制对信息的访问的多种不同的方法。它们在组合对请求对某一资源的访问的实体的认证以及授权所允许的访问的机制方面享有共同的基础。认证机制包括口令、 Kerberos,以及χ. 509证书。其目的在于允许进行资源控制的实体肯定地标识进行请求的实体或它所需的关于实体的信息。授权示例包括访问控制列表(ACL)以及基于策略的机制,诸如可扩展访问控制标记语言(XACML)或特权和角色管理基础架构(PERMIS)。这些机制定义哪些实体可访问给定的资源,诸如文件系统中的文件、硬件设备、数据库信息等。它们通过提供关于请求者的认证信息以及所允许的对资源的访问之间的映射来执行这种授权。随着计算机系统越来越普遍地连接到诸如因特网等大型网络上,这些机制被证实在处理日益发展的访问控制要求方面稍有限制和不灵活。地理上散布的用户和计算机资源的系统,包括横跨多个行政区域的那些系统尤其提出了当前部署的技术解决不好的多个挑战。MM在一示例实现中,一分支安全方案具有不允许使用否定的第一层和允许使用否定的第二层。在另一示例实现中,一授权查询表将各个资源专用操作映射到相应的相关联授权查询。在又一示例实现中,允许授权查询具有否定,但不允许个别断言具有否定。提供本概述以便以简化的形式介绍将在以下详细描述中进一步描述的一些概念。 该概述不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。而且,其它方法、系统、方案、装置、设备、介质、过程、API、安排、协议等的实现也在此得到描述。附图简述在各图中使用相同的数字来引用相同和/或对应的方面、特征和组件。3附图说明图1是示出其中可以实现示例安全方案的示例一般环境的框图。图2是示出具有两个设备以及多个示例安全相关组件的示例安全环境的框图。图3是示出其中在安全相关组件之间交换示例安全相关数据的图2的示例安全环境的框图。图4是可用于本文所述的安全相关实现的示例设备的框图。图5是示出用于一般安全方案的示例断言格式的框图。图6是示出具有第一层和第二层的示例分支安全方案的框图。图7是示出示例授权查询查明和示例授权查询求值的一般框图。图8是示出响应于资源访问请求的示例授权查询查明的更具体的框图。图9是示出给定断言上下文情况下的示例授权查询求值的更具体的框图。图10是示出用于查明授权查询并对其求值的方法的示例的流程图。详细描述示例安全环境图1是示出其中可以实现示例安全方案100的示例一般环境的框图。安全方案100 表示进行保护的集成方法。如图所示,安全方案100包括多个安全概念安全令牌100(A)、 安全策略100⑶、以及求值引擎100 (C)。一般,安全令牌100 (A)、安全策略100⑶共同提供对求值引擎100(c)的输入。求值引擎100(C)接受输入,并产生指示应许可还是拒绝对某一资源的访问的授权输出。在所述实现中,安全方案100可由一个或多个设备102覆盖和/或与其集成,这些设备由硬件、软件、固件、其某种组合等组成。如图所示,“d”个设备在一个或多个网络104 上互连,“d”是某一整数。更具体地,设备102 (1)、设备102 (2)、设备102 (3)...设备102 (d) 能够经由网络104通信。每一设备102可以是能够实现安全方案100的至少一部分的任何设备。这样的设备的示例包括但不限于计算机(例如,客户机计算机、服务器计算机、个人计算机、工作站、台式机、膝上型计算机、掌上型计算机等)、游戏机(例如,控制台、便携式游戏设备等)、 机顶盒、电视机、消费电子产品(例如,DVD播放器/记录器、摄录像一体机、数码录像机 (DVR)等)、个人数字助理(PDA)、移动电话、便携式媒体播放器、其某种组合等。一个示例电子设备在以下具体参考图4描述。网络104可由链接在一起和/或覆盖在彼此之上的任何一个或多个网络形成。网络104的示例包括但不限于因特网、电话网络、以太网、局域网(LAN)、广域网(WAN)、有线电视网络、光纤网络、数字用户线(DSL)网络、蜂窝网络、Wi-Fi 网络、WiMAX 网络、虚拟专用网(VPN)、其某种组合等。网络104可包括多个域、一个或多个网格网络等。这些网络或网络组合中的每一个可根据任何联网标准操作。如图所示,设备102(1)对应于正与之交互的用户106。设备102(2)对应于正在其上执行的服务108。设备102(3)与资源110相关联。资源110可以是设备102(3)的一部分,或与设备102(3)分开。用户106、服务108以及诸如任何给定设备102等机器形成非穷举的示例实体列表。实体随时可能希望访问资源110。安全方案100确保被正确认证和授权的实体被许可访问资源110,而阻止其他实体访问资源110。图2是示出具有两个设备102 (A)和102 (B)以及多个示例安全相关组件的示例安全环境200的框图。安全环境200还包括授权机构202,诸如安全令牌服务(STS)授权机构。设备102(A)对应于实体208。设备102(B)与资源110相关联。尽管安全方案100可在更复杂的环境中实现,但使用该相对简单的两个设备的安全环境200来描述示例安全相关组件。如图所示,设备102(A)包括两个安全相关组件安全令牌204和应用程序210。 安全令牌204包括一个或多个断言206。设备102(B)包括五个安全相关组件授权上下文 212、资源保卫214、审计日志216、授权引擎218和安全策略220。安全策略220包括信任和授权策略222、授权查询表2M和审计策略226。每一设备102可被不同地配置,且仍能够实现安全方案100的全部或一部分。例如,设备102(A)可具有多个安全令牌204和/或应用程序210。作为另一示例,设备102 (B) 可不包括审计日志216或审计策略226。其它配置也是可能的。在所述实现中,授权机构202向实体208发放具有断言206的安全令牌204。断言 206在以下描述,包括在题为“安全策略断言语言示例特征”一节中。实体208从而与安全令牌204相关联。在操作中,实体208希望依靠安全令牌204使用应用程序210来访问资源 110。资源保卫214接收访问资源110的请求,并有效本文档来自技高网...
【技术保护点】
1.一种实现具有第一层和第二层的分支安全方案的设备,其中所述第一层不允许使用否定,所述第二层许可使用否定。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:B·B·迪拉韦,M·Y·贝克,A·D·戈登,C·富尔内,
申请(专利权)人:微软公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。