本发明专利技术涉及用于对计算机存储系统内的一方身份进行建模的方法、系统和计算机程序产品。联合身份结构根据统一模式对计算机存储系统内的身份数据以及身份数据各部分之间的关系进行建模。联合身份结构可联合来自各种不同计算环境内的计算存储系统的分布身份以及身份关系数据。在计算环境处与联合身份结构相关联的代码和元数据可互操作以便于对联合身份结构内的身份以及身份关系数据进行统一的存储、访问、修改、删除和保护。本发明专利技术的各实施例包括利用身份密钥表格条目来定位一方身份信息并且执行不同类型的身份密钥之间的密钥转换。
【技术实现步骤摘要】
【国外来华专利技术】对计算机存储系统内的一方身份进行建模
技术介绍
1.背景和相关技术计算机系统和相关技术影响社会的许多方面。的确,计算机系统处理信息的能力已转变了人们生活和工作的方式。计算机系统现在通常执行在计算机系统出现以前手动执行的许多任务(例如,文字处理、日程安排和会计等)。最近,计算机系统彼此耦合并耦合到其他电子设备以形成计算机系统和其他电子设备可以在其上传输电子数据的有线和无线计算机网络。因此,许多计算任务的执行分布在多个不同的计算机系统和/或多个不同的计算环境上。存储的数据能在多个不同的范围内并在多个不同的站点处存储。例如,在公共网络(例如,基于因特网的万维网)和私有网络(例如,特定公司的内部局域网)内的计算机系统对关于个人、公司以及其他组织(政府和私有)的信息的访问越来越多。这种信息可在这些网络上的单个位置内或在多个位置内保存。此外,许多软件系统越来越多地在联网计算机和它们的人类用户之间共享或联合信息。个人以及组织之类所考虑的是,跨各种上下文、设备以及规模共享足够的信息以提供对有用数据的一致访问,但同时防止对私密信息的偶然或恶意的暴露。存在用于使用各种机制来检查个人和组织的真实性以及用于在传送信息之前在各种基于计算机的存储内编码或加密信息的技术。然而,这些技术依赖以下方式个人或组织所存储的表示可能与已知出于某些目的唯一地标识该个人或组织的字符序列相关联。 这样的字符串的示例包括公司的万维网域名(诸如www. microsoft, com),以及由hotmail. com向个人签发的电子邮件地址(例如JohnDoeOhotmail. com)。这样的字符序列已知是明确的标识符,其中多个明确的标识符可标识一单个实体。然而,通常,这些明确标识符与给定实体的非标识属性没有区分地建模(例如,员工的电子邮件地址将通常是员工记录内的属性或是电子邮件表格内的元组)。不管选择了什么数据结构,由于单个类型的明确标识符必须被用来标识不同数据结构内的实体的事实,将明确标识符表示为任一数据结构内的属性证实是不充分的。如果明确标识符被表示为多个数据结构内的属性,那么先前不可能知道什么数据结构可能包括给定的明确标识符,从而导致系统用作大规模的查找机制是困难的、昂贵的或不可行的。当确定将明确标识符存储在基于计算机的存储内的方式时将产生多个问题。例如,确定表示组织和个人的适当方式通常是困难的。这可包括确定应该在基于计算机的存储内使用什么数据结构。此外,各个明确标识符必须通常与签发机构相关联。然而,个人或组织可具有多个明确标识符,其中各个明确标识符被用在不同的上下文中。由此,没有单个明确标识符可用作数据存储唯一标识符。例如,如果Jane Smith具有由hotmail. com签发的电子邮件地址 JaneSmithihotmail. com 以及来自 www. gmail. com 的 JaneSmithigmai 1. com,这两个标识符虽然明确但是没有一个是计算机系统内针对个人Jane的唯一标识符。此外,各个明确标识符可与一组特定的许可相关联,许可指定什么信息可通过该明确标识符获得以及可如何使用该信息。例如,Jane希望将她的与她当前雇主有关的身份的各方面与她的关于体现在www. Facebook. com或www. hotmail. com上的社交上下文的身份的各方面分开。她可同意授予对使用她的雇员身份创建的资源和事件的完全访问许可, 但将对她在spaces, msn. com上的照片的访问权限制给她指定的朋友,并保持所有在誦. hotmail. com上的她的邮件私密。此外,个人之间的关系、组织之间的关系、以及组织和个人之间的关系可影响身份信息如何被共享和使用。然而,至少部分地因为可被用来存储这些实体之间的关系的各种不同的数据格式,在一计算存储内一或以不同规模和在不同上下文中存在的一组计算机存储内一表示这些实体之间的关系可以是困难的。由于可被用来标识这样的关系的成员的多个明确标识符,关系也可以是难以表示的。某些身份信息是根据位置而置于适当的上下文中。位置可包括诸如邮寄地址等常规位置信息以及诸如动态或静态纬度和经度坐标等地理存在。与关系类似,至少部分地因为可被用来存储上下文信息的各种不同的数据格式,表示这样的上下文信息可以是困难的。此外,身份数据通常与使用该身份数据的应用分开。例如,身份可在为指定的应用上下文定制的不同规模的不同计算机存储内维护。由此,身份数据也通常与应用使用的应用数据分开存储。例如,X. 500可将身份数据存储在没有很好地与由访问X. 500目录的应用所使用的应用数据集成的单独身份目录中。因此,身份数据的分类、身份数据各部分之间的关系、以及应用数据和身份数据各部分之间的关系通常在这些数据结构中很难反映。简要概述本专利技术涉及用于对计算机存储系统内的一方身份进行建模的方法、系统和计算机程序产品。联合身份结构对计算机存储系统内的身份数据以及身份数据各部分之间的关系进行建模。根据逻辑统一模式对身份以及身份关系数据进行建模。逻辑统一模式可表示可被明确地标识的任何实体的存在。例如,由于身份数据是根据逻辑统一模式建模的,一计算环境内的应用可容易地对由另一计算环境提供的身份以及身份关系数据进行存储、访问、 修改、删除和保护。由此,联合身份结构可联合来自各种不同计算环境内的计算存储系统的分布身份以及身份关系数据。在计算环境处与联合身份结构相关联的代码和元数据可互操作以便于对联合身份结构内的身份以及身份关系数据进行统一的存储、访问、修改、删除和保护。例如,由于身份数据是根据逻辑统一模式建模的,一计算环境内的应用可容易地对由另一计算环境提供的身份数据进行存储、访问、修改、删除和保护。在某些实施例中,联合身份结构被用来定位身份相关数据。第一数据对象是在数据结构内创建的。第一数据对象在数据结构内表示来自物理或数字世界的实体。数据结构能够通过逻辑统一模式表示能被明确地标识的任何实体的存在。第一数据对象被存储到联合身份结构内。创建第二数据对象。第二数据对象表示在联合身份结构内使用的明确标识符。第二对象被插入到联合身份结构中。第二数据对象与第一数据对象相关。因此,该第二数据对象可在之后被用来定位第一数据对象。明确标识符之后被用作用于定位第二数据对象的模板。在使用明确标识符定位第二数据对象之后,第一数据对象和第二数据对象之间的关系然后被用来定位第一数据对象。从第一数据对象检索实体的身份相关数据。本专利技术的各实施例可对身份模型内的各方、角色、人、组织、团体、位置、服务、设备、权限、分类和身份密钥进行建模。在身份模型内表示的这些对象的定义以及这些对象之间的关系可被用来导出计算机存储系统内有效的存储机制。身份模型提供一种集成并一致地维持这些对象的机制。因此,在某些实施例中,身份密钥(例如,第二数据对象)被用来访问一方的身份相关数据(例如,第一数据对象)。在其他实施例中,一身份密钥(例如,第二数据对象)被用来访问来自另一身份密钥的身份相关数据(例如,第三数据对象)。提供本
技术实现思路
是为了以简化的形式介绍将在以下具体实施方式中进一步描述的一些概念。本
技术实现思路
并不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。本文档来自技高网...
【技术保护点】
1.在包括一个或多个处理器和系统存储器的计算机系统(202)上,一种用于利用联合身份结构(207)来定位身份相关数据的方法,所述计算机系统连接到所述联合身份结构(207),所述联合身份结构对计算机存储系统内的身份相关信息进行建模,所述联合身份结构跨多个不同的应用、多个不同的计算机系统(201、203、213、214)、多个不同的上下文以及多个不同的网络提供对身份信息的一致的视图和访问,所述方法包括:在一数据结构内创建第一数据对象(212P)的动作,所述第一数据对象在所述数据结构内表示来自物理或数字世界的实体,所述数据结构能够通过单个模式表示能被明确标识的任何实体的存在;将所述第一数据对象(212P)插入所述联合身份结构(207)中的动作;创建第二数据对象(212K)的动作,所述第二数据对象包括在所述联合身份结构内使用的明确标识符的表示;将所述第二数据对象(212K)插入所述联合身份结构(207)中的动作;将所述第二数据对象和所述第一数据对象相关(233)使得所述第二数据对象能在之后被用来定位所述第一数据对象的动作;在之后将所述明确标识符用作用于定位所述第二数据对象的模板的动作;使用所述第一数据对象(212P)和所述第二数据对象(212K)之间的关系(233)来在使用所述明确标识符(233)定位所述第二数据对象(212K)之后定位所述第一数据对象(212P)的动作;以及从所述第一数据对象(212P)中检索所述实体的身份相关数据的动作。...
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:K·W·肖特,
申请(专利权)人:微软公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。