專利名稱:等級安全存儲系統(tǒng)中的發(fā)現(xiàn)和列舉機(jī)制的制作方法
相關(guān)申請的交叉參考本申請要求于2005年2月28日提交的、名稱為“DISCOVERABILITY ANDENUMERATION MECHANISMS IN A HIERARCHICALLY SECURE STORAGESYSTEM”的美國臨時專利申請第60/657,536號的優(yōu)先權(quán)�。上述申請整體通過引用結(jié)合在此。
背景技術(shù):
存儲器系統(tǒng)通常使用容器分層結(jié)構(gòu)���,以組織存儲單元����。根據(jù)這些系統(tǒng)�,容器以及因此固有在該容器內(nèi)維護(hù)的數(shù)據(jù)單元是獨立安全的,以方便訪問負(fù)責(zé)人(principal)的供應(yīng)(provision)���。傳統(tǒng)的系統(tǒng)通過對一旦遇到負(fù)責(zé)人不能訪問的容器����,就限制訪問數(shù)據(jù)的遍歷,來提供一種發(fā)現(xiàn)�����。
這些系統(tǒng)至少遭受以下限制����。一個限制是負(fù)責(zé)人不能顯現(xiàn)它們已經(jīng)訪問的數(shù)據(jù)的總集合。換句話說����,一旦呈現(xiàn)數(shù)據(jù)的總集合,如果遇到用戶未曾訪問的容器��,則不可能呈現(xiàn)該容器的內(nèi)容(例如����,數(shù)據(jù)單元)���?�?紤]子文件夾或子容器存在于對負(fù)責(zé)人有訪問限制的容器內(nèi)的情況�����。這種情況下��,負(fù)責(zé)人可能無法可視化(例如�����,發(fā)現(xiàn))或訪問子文件夾的內(nèi)容���,即使許可是適當(dāng)?shù)?�。這種限制性的發(fā)現(xiàn)是因為缺少訪問父文件夾的適當(dāng)許可�����。
傳統(tǒng)系統(tǒng)的另一個限制是負(fù)責(zé)人不能立刻在所有數(shù)據(jù)上操作�����。例如�����,用于操作的限制���,如“授予訪問FABRIKAM\ALICE”訪問位于給定根節(jié)點的樹形結(jié)構(gòu)中的所有數(shù)據(jù)就是不可能的����,因為會操作限制����,它會限制訪問樹形結(jié)構(gòu)中的某些數(shù)據(jù)。在一些傳統(tǒng)系統(tǒng)中����,這種操作在用戶上下文而非系統(tǒng)上下文中受到影響。
一些傳統(tǒng)系統(tǒng)的又一個限制是訪問數(shù)據(jù)除了存儲器單元上的訪問許可外����,還要求為從連接點到數(shù)據(jù)單元的緊接父節(jié)點的所有容器的適當(dāng)許可。換句話說�,在一些系統(tǒng)中,即使數(shù)據(jù)的直接文件路徑是已知的���,但如果從連接點到存儲數(shù)據(jù)的緊接的父節(jié)點的訪問許可并不存在,訪問數(shù)據(jù)的許可會受到限制�����。
再一個限制是�,對現(xiàn)存文件系統(tǒng)模型上的有效列舉�����,傳統(tǒng)的存儲器系統(tǒng)區(qū)分?jǐn)?shù)據(jù)和元數(shù)據(jù)���。對豐富的終端用戶類型,這種劃分造成識別元數(shù)據(jù)和數(shù)據(jù)的差別的困難�。
發(fā)明內(nèi)容
下面提出了本發(fā)明的簡化概述,為了提供對本發(fā)明的一些方面的基本理解��。這個概述是本發(fā)明的廣泛概覽�。它并不意圖標(biāo)識本發(fā)明的關(guān)鍵/重要元件,或描繪本發(fā)明的范圍��。它唯一的目的是以簡化的形式提出本發(fā)明的一些概念���,作為此后提出的更為詳細(xì)描述的前序�。
這里揭示和要求的本發(fā)明的一方面包含從連接點生成存儲器的每用戶抽象����。這種抽象能方便根據(jù)應(yīng)用許可的分層結(jié)構(gòu)安全存儲器系統(tǒng)中所維護(hù)的數(shù)據(jù)的可發(fā)現(xiàn)性?���;谪?fù)責(zé)人的訪問許可�����,從分層結(jié)構(gòu)安全容器結(jié)構(gòu)中過濾視圖集是本發(fā)明的新穎特征之一�。本發(fā)明能提供在跨越具有潛在異類安全策略(如安全描述符)的多個容器分層結(jié)構(gòu)的該聚集上操作的原語集合���。該模型能減少遍歷該容器分層結(jié)構(gòu)�����,以發(fā)現(xiàn)域內(nèi)所有可讀取的項的必要性�。
又一個方面中�����,提供人工智能(AI)組件�����,它使用概率和/或基于統(tǒng)計的分析�����,以預(yù)測或推斷用戶想要自動執(zhí)行的動作���。
為了完成前述以及相關(guān)目的�,這里結(jié)合下面的說明書和附圖描述了本發(fā)明某些說明性的方面���。這些方面是指示性的�����,然而���,只是本發(fā)明的原則能夠應(yīng)用的各種方式的一些,且本發(fā)明意圖包括所有這些方面及其等價物����。當(dāng)結(jié)合附圖考慮時,從下面本發(fā)明的詳細(xì)描述中�,本發(fā)明的其他優(yōu)點和新穎特征會變得明顯。
圖1說明方便在根據(jù)本發(fā)明的一方面的分層結(jié)構(gòu)安全系統(tǒng)中數(shù)據(jù)的可發(fā)現(xiàn)性系統(tǒng)的一般組件塊框圖���。
圖2說明根據(jù)本發(fā)明的一方面的包括單個實例表和安全描述符表的系統(tǒng)的框圖�。
圖3說明根據(jù)本發(fā)明的一方面���,把類型系統(tǒng)內(nèi)的項分類為屬容器類型和混和項類型的實例的系統(tǒng)����。
圖4說明根據(jù)本發(fā)明的一方面,在可信任邊界的相反側(cè)具有存儲組件和客戶組件的系統(tǒng)框圖����。
圖5說明根據(jù)本發(fā)明的一方面的初始化的方法。
圖6根據(jù)本發(fā)明的一方面��,說明由行級安全為選擇語句實施的訪問控制中����,詢問視圖的操作可在用戶上下文中操作的相關(guān)示意圖。
圖7是根據(jù)本發(fā)明的一方面��,使用基于人工智能機(jī)制的系統(tǒng)框圖����。
圖8說明適合執(zhí)行揭示的結(jié)構(gòu)的計算機(jī)的框圖。
圖9說明根據(jù)本發(fā)明的示例性的計算環(huán)境的示意框圖����。
具體實施例現(xiàn)在參考附圖描述本發(fā)明,其中相同的參考數(shù)字用于貫穿全文指代相同的元件��。在下面的描述中,為了說明��,提出了大量的細(xì)節(jié)�,為了提供對本發(fā)明的全面理解�。這可能是明顯的,然而���,沒有這些特定細(xì)節(jié)也可以實施本發(fā)明����。在另一個實施例中����,框圖中示出了熟知的結(jié)構(gòu)和設(shè)備,以便方便描述本發(fā)明���。
作為在本申請中使用����,術(shù)語“組件”和“系統(tǒng)”意圖指示有關(guān)計算機(jī)的實體�����,硬件、硬件和軟件的組合����、軟件或執(zhí)行軟件。例如�,組件可以是,但不限于處理器上運(yùn)行的進(jìn)程�����、處理器��、對象�����、可執(zhí)行的���、執(zhí)行線程����、編程���、和/或計算機(jī)�����。為了說明���,服務(wù)器上運(yùn)行的應(yīng)用程序和服務(wù)器都可以是組件�����。一個或多個組件能駐留在執(zhí)行進(jìn)程和/或執(zhí)行線程內(nèi),且組件能位于一臺計算機(jī)上和/或分布在兩臺或多臺計算機(jī)之間�。
作為這里使用,術(shù)語“推斷”或“推論”一般指系統(tǒng)�、環(huán)境和/或用戶通過事件和/或數(shù)據(jù)、來自捕獲的一組觀察資料的推理或推斷狀態(tài)�����。例如�����,推論可用于標(biāo)識特定的內(nèi)容或動作����,或能生成狀態(tài)的概率分布�。推論是蓋然的�,即,對感興趣的狀態(tài)的概率分布的計算基于數(shù)據(jù)和事件的考慮��。推論也可指示用于從一組事件和/或數(shù)據(jù)中合成較高級事件的技術(shù)����。這種推論導(dǎo)致從一組觀察事件和/或存儲事件數(shù)據(jù)構(gòu)造新事件或動作,無論事件是否在緊密時間接近上相關(guān)����,以及是否事件和數(shù)據(jù)來自一個或多個事件和數(shù)據(jù)源。
本發(fā)明的各方面涉及計算機(jī)系統(tǒng)��,且更為具體地�,涉及分層結(jié)構(gòu)安全存儲器系統(tǒng)中維護(hù)數(shù)據(jù)的可發(fā)現(xiàn)性。如上所述���,傳統(tǒng)的存儲器系統(tǒng)關(guān)于有關(guān)安全的可發(fā)現(xiàn)性機(jī)制方面存在限制�。為了這個目的�,呈現(xiàn)面向數(shù)據(jù)庫的文件系統(tǒng)能支持大量詢問并為常用數(shù)據(jù)單元(例如,Contact)提供系統(tǒng)化的終端用戶類型�。這些系統(tǒng)化的終端用戶類型方便且能提高應(yīng)用程序關(guān)于數(shù)據(jù)的互操作性。
本發(fā)明考慮數(shù)據(jù)的分層結(jié)構(gòu)表示�。更為具體地�����,本發(fā)明考慮數(shù)據(jù)能被“裝入”不同的文件夾且此后被放置進(jìn)不同的容器��。用戶能使用這些容器來組織其數(shù)據(jù)���。例如,數(shù)據(jù)能被組織(例如���,裝入)成目錄,如圖片�����、音樂����、文檔等等。此外�����,這些目錄能進(jìn)一步被組織成容器��,由此建立數(shù)據(jù)的分層結(jié)構(gòu)表示。作為例子�,在圖片內(nèi),可能有“我的家庭”���、“我的度假”�����、“我的婚禮”等等圖片�����。同樣��,子目錄能依據(jù)這些分層結(jié)構(gòu)而存在��。
根據(jù)該分層結(jié)構(gòu)表示��,本發(fā)明能方便把安全策略(例如��,安全描述符)與每個對象相關(guān)聯(lián)����。應(yīng)該認(rèn)識到��,對象可以是包含在容器內(nèi)的任何數(shù)據(jù)元素以及容器本身。同樣�,每個對象能以表格的單獨行來表示。該基于行的表示在討論了其后的附圖時���,會更好地理解�。
一方面����,安全描述符能為數(shù)據(jù)訪問提供這些對象。作為例子��,根據(jù)本發(fā)明的一方面����,安全測量能方便設(shè)定“我的度假”文件夾���,以允許“我的家庭”組內(nèi)任何人防問��。同樣����,在“我的度假”內(nèi)�����,用戶還能限制“我的家庭”的某些成員訪問子文件夾(例如,“我的西雅圖之旅”)��。
根據(jù)傳統(tǒng)的系統(tǒng)���,當(dāng)?shù)竭_(dá)用戶沒有列舉訪問的文件夾時�,數(shù)據(jù)存儲器的可訪問的探查就結(jié)束了��?����?紤]F1包含F(xiàn)2��,F(xiàn)2包含F(xiàn)3的分層結(jié)構(gòu)�����,用戶到達(dá)沒有授予許可的F2時�����,用戶將能觀看F3內(nèi)的數(shù)據(jù)。即使用戶可訪問F3��,傳統(tǒng)系統(tǒng)將阻止可發(fā)現(xiàn)性���,因為F3包含在沒有適當(dāng)許可的F2內(nèi)�,這是限制����。本發(fā)明使用戶有統(tǒng)一訪問,以探究(發(fā)現(xiàn))和/或呈現(xiàn)�,因此允許具有適當(dāng)許可的數(shù)據(jù)存儲器內(nèi)所有數(shù)據(jù)的使用。如上所述����,這種統(tǒng)一訪問能通過與數(shù)據(jù)存儲器內(nèi)的每個對象相關(guān)聯(lián)的安全策略而方便。將會理解�,每個安全策略能與行級項相關(guān)聯(lián)。
傳統(tǒng)的文件系統(tǒng)使用兩種訪問模式來檢索文件�。第一,這些系統(tǒng)方便了受限的發(fā)現(xiàn)方法�,其中用戶能發(fā)現(xiàn)存在適當(dāng)?shù)陌踩S可的數(shù)據(jù)元素�。另一種是直接訪問機(jī)制,其中如果完全路徑是已知的且有適當(dāng)?shù)脑L問許可�,則用戶能訪問文件。
除了這兩種單獨的模式之外�����,本發(fā)明能使用第三種模式,這是一種允許基于安全證書的訪問和發(fā)現(xiàn)的詢問模式(例如,數(shù)據(jù)存儲器過濾)。與傳統(tǒng)的系統(tǒng)不同����,本發(fā)明能提供基于定義的指定所有權(quán)來詢問所有數(shù)據(jù),并在該數(shù)據(jù)上操作的機(jī)制���。
本發(fā)明中,只要訪問證書是適當(dāng)?shù)?,則能發(fā)現(xiàn)數(shù)據(jù),并在其上進(jìn)行想要的操作�����。
由此���,本發(fā)明能在樹形結(jié)構(gòu)(例如��,分層結(jié)構(gòu)數(shù)據(jù)組織)的根部設(shè)定安全策略(例如��,安全描述符)���,并通過該樹形結(jié)構(gòu)傳播到該結(jié)構(gòu)的所有子級構(gòu)�����。應(yīng)該理解����,傳播的安全描述符可基于父安全策略����、子安全策略、和/或?qū)ο箢愋?����。能使用影響生成并在樹形結(jié)構(gòu)中傳播安全策略的邏輯����。如下所述,可使用基于規(guī)則的邏輯和/或人工智能來傳播安全策略����。
考慮用戶創(chuàng)建新項的情況。這種情況下����,可能有子級繼承或組合的父級的某些安全策略(例如,描述符)��。在一方面��,用戶有具有許可的文件夾(例如����,容器),且當(dāng)創(chuàng)建對象時�����,為該對象的許可可以假設(shè)是相同的��?����;蛘?��,傳播到最近創(chuàng)建的對象的許可可基于為該文件夾的許可和為該對象的許可來智能確定�。前述是根據(jù)新穎的創(chuàng)新的各方面的繼承的例子����。
將會認(rèn)識到����,在傳統(tǒng)的文件系統(tǒng)中���,這種傳播是不可能的�。相反�����,為了改變根據(jù)傳統(tǒng)系統(tǒng)的許可�,管理員必須穿越樹形結(jié)構(gòu)的每個子級,并改變許可為可應(yīng)用�����。相反��,根據(jù)本發(fā)明的各方面�,當(dāng)改變(或建立)根級許可時,這種許可可自動傳播到樹形結(jié)構(gòu)的所有部分��,包括子級��。
很重要的是應(yīng)該注意,在一些傳統(tǒng)系統(tǒng)中����,安全許可在更新時�,只能在“用戶的上下文”中傳播。盡管存在其后許可才能改變的情況��,但傳統(tǒng)系統(tǒng)不能自動更新這些許可����。
本發(fā)明能在“系統(tǒng)上下文”中傳播許可。因此����,即使用戶沒有干預(yù)文件夾的許可,但如果次級����、次次級等等樹形結(jié)構(gòu)的許可適當(dāng),則這些許可能根據(jù)本發(fā)明來傳播���。通過考慮前述的F1����、F2和F3的例子,會更好理解這個方面���。
繼續(xù)這個例子�����,即使對于F2的許可并不適當(dāng)��,當(dāng)如果對于F3存在許可��,則許可可從F1傳播到F3�。與區(qū)分屬性(例如�,文件名次、大小��、創(chuàng)建時間)和數(shù)據(jù)(例如�����,文件的內(nèi)容)早期文件系統(tǒng)不同�,在大量數(shù)據(jù)的系統(tǒng)中,很難確定屬性和數(shù)據(jù)����。同樣�,創(chuàng)建“項”并用于授予在每“項”基礎(chǔ)上的訪問許可�����,而不管數(shù)據(jù)元素是屬性還是數(shù)據(jù)����。因此���,關(guān)于本發(fā)明�����,安全模型的管理能特別地被簡化�����,因為該系統(tǒng)不需要保持跟蹤兩個單獨安全許可�����。相反�����,在一方面�,每個項只使用一個“讀”和一個“寫”許可,而不是每個項使用兩個“讀”和兩個“寫”許可��。
結(jié)果是��,本發(fā)明能方便用戶觀看放置適當(dāng)許可的所有數(shù)據(jù)的抽象��?����?稍谡麄€存儲器上定義這些觀看���,并在隨后呈現(xiàn)給用戶�����。能從連接點和允許的安全許可的集合中定義該觀看為可見項的交集����。結(jié)果是��,用戶能觀看和/或訪問該用戶具有安全許可以觀看和/或訪問的連接點下的項。
首先參考圖1�,示出了方便呈現(xiàn)文件存儲器的內(nèi)容表示的系統(tǒng)100。一般地���,系統(tǒng)100能包括詢問組件102和行級安全組件104����。操作中�,詢問組件102和行級安全組件104能標(biāo)識數(shù)據(jù)組件106內(nèi)滿足安全策略或許可的項。一旦標(biāo)識����,則數(shù)據(jù)的結(jié)果集能被呈現(xiàn)給用戶和/或應(yīng)用程序�����。例如�,如前所述,本發(fā)明能通過顯示器把結(jié)果集呈現(xiàn)給用戶��。
現(xiàn)在參考圖2����,示出了行級安全組件104的更為詳細(xì)的框圖。特別是,該行級安全組件104可包括安全描述符表202�����,以及單個實例表204�。下面將對每一個表格作更為詳細(xì)的描述。
安全組件104能提供行級安全的實現(xiàn)�����。當(dāng)用戶連接到一共享(例如��,數(shù)據(jù)組件106)時�,能在連接的范圍內(nèi)為每個數(shù)據(jù)類型定義隱含的視圖定義。為了對本發(fā)明增加上下文�,下面時為“Contact”類型的示例性的視圖定義。
CREATE VIEW[System.Storage.Contacts.Store].[Contact]AS SELECT ItemId��,TypedId�,NamespaceName,ContainerId�,ItemSyncMetadata,TREAT(Item AS[System.Storage.Contacts.Store].[Contact])AS Item����,PathHadle,EntityState,ObjectSize����,Changeinformation,PromotionStatus FROM[System.Storage.Store].[Table���!Item]WHERE Item IS OF([System.Storage.Contacts.Store].[Contact])AND(@@ITEM_DOMAIN_IS_ROOT=1OR(PathHandle>=@@ ITEM_DOMAIN AND PathHandle<=@@ITEM_DOMAIN_LIMIT))每個項作為實體表格(202�,204)中的行存儲���。以上示例性的表示能影響從存儲器中全局范圍的項中過濾出Contact類型��。這種過濾隱含的是�,訪問控制的維度����,用戶只能從中看到根據(jù)相應(yīng)的行中的安全描述符的那些可讀項��。
在這個例子中�,視圖定義包括以上標(biāo)識的“WHERE”語句,它限制對連接點項的訪問����。應(yīng)該理解,以上的視圖定義并不包括安全定義。
如上所述���,安全機(jī)制是存儲在表格(202���,204)中的行級安全的功能。這種機(jī)制應(yīng)用于視圖的基本表格級��,且對該視圖有傳播作用��。當(dāng)安全能用于每行基礎(chǔ)上時�����,用戶不具有讀取訪問的行不會出現(xiàn)在由詢問組件102提供的結(jié)果集中���。
在文件系統(tǒng)模型中�,每個“項”在行內(nèi)�����,且每行由與之相關(guān)聯(lián)的安全����。行級安全機(jī)制104限制行出現(xiàn)在對于用戶不具有讀取訪問的那些行的結(jié)果中�。給定傳送給詢問組件102的定義(如以上例子)的視圖至少部分基于連接點���,限制呈現(xiàn)(例如���,觀看)。因此���,結(jié)果集可以是這兩個限制的交集���。將會認(rèn)識到,這些安全機(jī)制能對于查詢定義隱含出現(xiàn)����。結(jié)果是,用戶被屏蔽而不能做任何操作���。
本發(fā)明使用檢查表格(例如��,204)內(nèi)每行的安全描述符的單個實例機(jī)制�����。這單個實例機(jī)制使得看起來系統(tǒng)在執(zhí)行跨每行的檢查成為可能��?���?缧械陌踩枋龇膯蝹€實例能使該機(jī)制的檢查有效�����。將會認(rèn)識到��,安全策略(例如���,訪問控制列表)能適當(dāng)用于示例性的安全描述符�����。因此�����,應(yīng)該理解���,這些額外的新穎方面意圖落入本發(fā)明及其附屬的權(quán)利要求的范圍內(nèi)。此外��,盡管以上提及ACL,但應(yīng)該理解�����,使用不同的安全策略的其他方面也是存在的��。這些不同的安全策略意圖落入本發(fā)明及其附屬的權(quán)利要求的范圍內(nèi)�。
操作中,維護(hù)兩個表格(202�����,204)�,它們是安全描述符的表格202和在安全描述符的散列和安全描述符標(biāo)識(SDID)(例如,SHA-1)之間映射的單個實例表格���。將會認(rèn)識到���,該SDID是唯一值。根據(jù)本發(fā)明�,單個實例指示為存儲器中每個唯一安全描述符,該系統(tǒng)維護(hù)SDID和安全描述符之間的映射的機(jī)制���。
因此����,對每行��,并非存儲安全描述符����,而是存儲與其對應(yīng)的SDID。一方面��,當(dāng)用戶創(chuàng)建項時����,用戶可選擇提供安全描述符或使其為空。如果為空����,則能從創(chuàng)建該項的父級繼承安全描述符。當(dāng)用戶選擇顯示地提供安全描述符時���,系統(tǒng)能將該顯示定義的描述符與帶有父級的安全描述符合并�,以創(chuàng)建一個描述符�����。
一旦確定新項上的安全描述符是什么,就做出決定十分它已經(jīng)存在�。如果它確實存在,就使用現(xiàn)存的一個���。如果并不存在�����,則保存新的一個����。
為了確定是否存在安全描述符����,本發(fā)明參考包括安全描述符到安全描述符的散列(例如,SHA-1散列)的映射的單個實例表格204�。因此,為了確定是否存在具有相同安全描述符的另一個項�����,計算主題安全描述符的散列�。然后,系統(tǒng)查詢單個實例表格204的行,以得知十分任何行包含安全描述符的相同散列(例如���,SHA-1)�����。如果發(fā)現(xiàn)匹配,則存在高概率��。
接著�,進(jìn)行實際安全描述符的比較,以驗證是否存在安全描述符�。如果實際安全描述符不相同,則系統(tǒng)獨立存儲該安全描述符��。應(yīng)該認(rèn)識到�,系統(tǒng)只依賴散列算法(例如,SHA-1)來保證單值性����。換句話說,如果該散列值與單個實例表格204中的散列值不匹配�,則做出該安全描述符不存在的決定。
安全描述符有三個屬性�����,散列(基于安全描述符的二進(jìn)制,數(shù)學(xué)計算出的值)��、安全描述符本身(二進(jìn)制)����、以及SDID(指向安全描述符的整數(shù)值)。對每一行����,系統(tǒng)存儲與安全描述符相關(guān)的特定行的ID。接著���,在單個實例表格204內(nèi)����,系統(tǒng)在散列(例如�����,SHA-1)和SDID之間映射�。在安全描述符表格202中,系統(tǒng)在SDID和二進(jìn)制之間映射�。
因此�����,單個實例描述符表格204和安全描述符表格202一起給出從SHA-1到SDID到二進(jìn)制的完全映射�。有效地是�����,這兩個表格(202�,204)能用于執(zhí)行單個實例化檢查�。
安全描述符能有以下邏輯形式Oowner_sidGgroup_sidDdacl_flags(ace1)(ace2)...(acen)Ssacl_flags(ace1)(ace2)...(acen)在以上例子中,O標(biāo)識擁有者�,G標(biāo)識組,D標(biāo)識任意訪問控制列表(DACL)(本發(fā)明的范圍內(nèi)的安全描述符的部分)���,而S標(biāo)識系統(tǒng)訪問控制列表(SACL)���。DACL是訪問控制條目(ACE)的集合,每個ACE可采用下面的形式��。
ace_type�;ace_flags;account_sid給定的負(fù)責(zé)人能授予或拒絕對特定項的訪問��。因此,拒絕的項能從用戶視圖中隱含地過濾掉��。過濾引擎或詢問組件102能掃描存儲器內(nèi)對任何容器語義不可知的所有項�����,并產(chǎn)生統(tǒng)一集���,由此克服傳統(tǒng)文件系統(tǒng)中遍歷的限制���。
兩個內(nèi)部表格(202,204)能用于方便系統(tǒng)中的存儲和訪問控制�。在示例性的方面,系統(tǒng)能使用[System.Storage.Store].[Table�!SecurityDdescriptorSingleInstance]表格204(例如,實例表格)和Sys.security_descriptor表格202(例如��,安全描述符表格)����。Sys.security_descriptor表格202是安全描述符的目錄視圖。能使用SQL服務(wù)器提供的數(shù)據(jù)定義語言(DDL)原語來創(chuàng)建或刪除這些描述符���。單個實例表格203能連接系統(tǒng)中的中央處理單元(CPU)和存儲器優(yōu)化�����。
根據(jù)一方面����,項的重要數(shù)字共享相同的安全策略或描述符是常見的。在一個例子中�,訪問控制列表(ACL)的最大大小是64KB,因此�����,給定的安全描述符可以是128KB的數(shù)量級�����。將會認(rèn)識到����,給定每個項以潛在的高度通用性���,則存儲具有項的這種大小的值可能是無效的��。因此�����,每個唯一安全描述符能存儲在Sys.security_descriptor表格202中��,而描述符及其SHA-1散列在之間的映射在單個實例表格204中維護(hù)��。如前所述����,SHA-1散列不能保證輸出的唯一性,但給定大的輸出范圍(例如�,2^160),沖突是非常不可能的���。因為實例表格204有自愈的本性���,則能保證系統(tǒng)可自動從惡化或不一致性中恢復(fù)。
Item/Extension/Fragment/Link表格有用于SDID的條目���,被標(biāo)記為SECURITY屬性�。這能確保對這些表格的所有讀取訪問以及在建立在這些視圖頂部的任何視圖要經(jīng)受訪問檢查請求(FILE_READ_DATA|FILE_READ_ATTRIBUTES)��。ItemExtension�、Link和ItemFragment表格內(nèi)的行具有與Item表格內(nèi)的相應(yīng)行相同的安全描述符�����。
以上描述的機(jī)制可被認(rèn)為是用于呈現(xiàn)文件系統(tǒng)讀取路徑中的授權(quán)模型的核心���。任何授權(quán)模型能固有依賴鑒定模型。在一個例子中�����,當(dāng)用戶連接到存儲器時����,使用優(yōu)選的操作系統(tǒng)鑒定機(jī)制(例如,NTLM(NT LAN管理員)���,Kerberos)來鑒定用戶(例如�����,認(rèn)為可信賴的)。鑒定的最終結(jié)果是代表正在訪問文件系統(tǒng)的用戶的安全令牌�。該令牌其后可用于為負(fù)責(zé)人做出鑒定決定。
根據(jù)本發(fā)明的另一方面�,使用行級或記錄級安全(RLS)確保安全的項可受到保護(hù)�����,同樣免于存儲器服務(wù)計算��。為了安全評價�����,服務(wù)計算可被認(rèn)為是類似任何其他的NT商標(biāo)的計算��。盡管這能特別保證統(tǒng)一的安全語義���,但在更新路徑中帶來感興趣的問題。例如�,考慮用戶嘗試創(chuàng)建帶有給定Namespace名稱的項。保證呈現(xiàn)文件系統(tǒng)中的Namespace名稱在其包含的文件夾中是唯一的�����,假設(shè)是在明確命名的系統(tǒng)中����。在創(chuàng)建期間,該系統(tǒng)通過確保具有相同Namespace名稱的相同文件夾中不存在其他項來保證單值性�����。
在這種情況下,項可能已經(jīng)存在于具有拒絕服務(wù)計算的訪問許可的文件夾內(nèi)��。本發(fā)明能通過使用簽名機(jī)制來解決這個問題���。請求全局訪問存儲器的更新原語可用授予“免除RLS”特權(quán)的證書來簽名���。從這種原語的上下文內(nèi)部,系統(tǒng)能查詢存儲器����,且這種情況下,行級安全將被旁路����。
如上所述,傳統(tǒng)文件系統(tǒng)已經(jīng)在屬性和數(shù)據(jù)之間進(jìn)行區(qū)分�,以能夠遍歷語義?��?砂l(fā)現(xiàn)性和基于詢問的語義的缺乏導(dǎo)致區(qū)分屬性和數(shù)據(jù)用于訪問控制決定的模型。本發(fā)明通過方便類型系統(tǒng)上的所有和沒有語義���,來提供數(shù)據(jù)和屬性的無縫訪問�。
下面是示例性的文件系統(tǒng)安全模型的詳細(xì)討論。下面的討論描述了許多不同情況下的組件功能性���。應(yīng)該認(rèn)識到���,所提供的這些描述的情況只是提供本發(fā)明的上下文,且并不以任何方式意圖限制本發(fā)明或其附屬的權(quán)利要求��。
首先參考文件系統(tǒng)安全模型�����,在一方面����,數(shù)據(jù)可作為指示文件系統(tǒng)中最小單元的一致性的“項”來組織進(jìn)存儲器?���!绊棥笨杀粏为毐Wo(hù)、串行化����、同步化���、復(fù)制、備份/恢復(fù)等等����。將會認(rèn)識到,文件系統(tǒng)項可被描述為其起源是System.Storage.Item類型的類型實例�����,它是實體類型���。文件系統(tǒng)內(nèi)的所有項能存儲在項的單個全局上下文中��。同樣����,每個項有保證對給定文件系統(tǒng)存儲器的所有項是唯一的唯一標(biāo)識符����。
現(xiàn)在參考圖3,示出系統(tǒng)300�。系統(tǒng)300是根據(jù)這種安全討論的上下文��,其中類型系統(tǒng)302中的項可被分類為類屬容器類型304和復(fù)合項類型306的實例����。類屬容器304能用于模型化文件夾和其他分層結(jié)構(gòu)數(shù)據(jù)集合桶��。復(fù)合項類型306可用于模型化用于應(yīng)用程序的數(shù)據(jù)的單個邏輯電路����。這些類型實例能為典型數(shù)據(jù)操作��,如復(fù)制���、移動�����、同步等等����,給出所有或沒有的語義�����。后來的例子包括,但不限于���,郵件信息���、圖片、聯(lián)絡(luò)等等��。復(fù)合項類型306的實例(用虛線表示)能進(jìn)一步被分類為文件后備項308(FBI)以及非文件后備項310(nFBI)�����。將會認(rèn)識到����,Win-32商標(biāo)的訪問基于語義被限制為FBI和類屬容器。
下面的容器分層結(jié)構(gòu)(例如����,樹形結(jié)構(gòu))應(yīng)用于這些項。類屬容器304和復(fù)合項容器306能包含包括類屬容器的任何其他項類型��。這些附加的類屬容器內(nèi)的項也能被獨立保護(hù)���。FBI308不能包含其他項�����,且因此形成分層結(jié)構(gòu)中的葉子節(jié)點�����。
現(xiàn)在參考圖4�����,將會認(rèn)識到�����,文件系統(tǒng)400包括可信任邊界402相反一側(cè)上的兩個主要組件����,存儲器組件404和客戶機(jī)組件406�����。如所示�,存儲器組件404包括1到N個對象組件,其中N是整數(shù)�����。對象組件1到N可被單獨地或統(tǒng)稱為對象組件408。處理對象408的存儲和檢索的存儲器組件404能在存儲器組件404和客戶機(jī)組件406之間形成可信任的文件系統(tǒng)子系統(tǒng)����。
能向平臺提供編程語義的客戶機(jī)組件406在用戶進(jìn)程中運(yùn)行。應(yīng)該理解���,用戶在連接時間被認(rèn)證����。檢索的對象408(例如�����,項)能在客戶機(jī)空間內(nèi)物化���。一方面��,客戶機(jī)在這些對象408上不施加安全檢查或訪問限制��。根據(jù)本發(fā)明��,當(dāng)編程上下文對存儲器組件404是持續(xù)一致時��,存儲器組件404能實施訪問控制(通過訪問控制組件410)�����。下面是用戶認(rèn)證的討論����。
文件系統(tǒng)400能揭露相對文件系統(tǒng)存儲器404包含的項408執(zhí)行動作的安全負(fù)責(zé)人的定義。在本發(fā)明的各方面���,安全負(fù)責(zé)人可能是用戶或安全組。因此�����,安全負(fù)責(zé)人可通過安全標(biāo)識符(SID)來表示�。
如圖4所示,到文件系統(tǒng)服務(wù)的連接是在被訪問控制組件410成功認(rèn)證的安全負(fù)責(zé)人的上下文中�����。應(yīng)該理解���,文件系統(tǒng)認(rèn)證(例如�����,通過訪問控制組件410)可能是操作系統(tǒng)認(rèn)證機(jī)制的派生物�����。例如�����,文件系統(tǒng)認(rèn)證可能是SQL(結(jié)構(gòu)化查詢語言)安全模型中可用的Windows商標(biāo)認(rèn)證的派生物����。例如,將會認(rèn)識到�����,SQL提供叫做SQL認(rèn)證的��、在文件系統(tǒng)400內(nèi)不支持的另一種內(nèi)建的認(rèn)證機(jī)制�����。
繼續(xù)這個例子,當(dāng)利用Windows商標(biāo)提供的認(rèn)證服務(wù)�,如Kerberos、NTLM等等的Windows商標(biāo)時��,由Windows商標(biāo)的用戶的嘗試連接可由文件系統(tǒng)400鑒定���。在這個例子中�,鑒定用戶映射到SQL中用于存儲器404中的認(rèn)證決定的“公開”角色�����。一方面�,內(nèi)建的管理員(BA)將被映射到授予BA以SQL管理特權(quán)的SQL管理員。另一方面��,可僅使用文件系統(tǒng)原語來建立文件系統(tǒng)管理���。同樣,在另一方面���,BA不會是SQL管理員的一員����。
認(rèn)證的最終結(jié)果是表示訪問文件系統(tǒng)400的負(fù)責(zé)人的安全令牌��。這種數(shù)據(jù)結(jié)構(gòu)可包括進(jìn)入的負(fù)責(zé)人的SID和負(fù)責(zé)人是其一員的所有組的SID。此外���,在連接文件系統(tǒng)400時���,用可默認(rèn)用戶持有所有特權(quán)。接著下面的討論��,將會更好地理解��,這種令牌隨后可用于做出鑒定決定���。
現(xiàn)在轉(zhuǎn)到認(rèn)證的討論���,如上所述,文件系統(tǒng)認(rèn)證可在共享級安全和項級安全上建立�。作為說明書中使用,“共享”可指存儲器410內(nèi)的項408的別名����。當(dāng)存儲器410被創(chuàng)建時,默認(rèn)的共享作為根項的別名而創(chuàng)建�����。具有充分特權(quán)的用戶能創(chuàng)建作為存儲器410內(nèi)的任何類屬容器(例如,項408)的別名的共享�����。
文件系統(tǒng)能使用通用的命名慣例路徑來揭露本地和遠(yuǎn)程的namespace�。因此,文件系統(tǒng)客戶機(jī)連接到共享��,因此連接點和名字的相對分層結(jié)構(gòu)構(gòu)成了對文件系統(tǒng)對象408的尋址機(jī)制�。
作為例子,假設(shè)用戶連接到根共享以訪問foo�。因此,訪問會顯示為\\MachineName\StoreName\RoorShare\...\foo�。類似地,連接到共享的叫做AliceShare的用戶會訪問相同的目標(biāo)\\MachineName\StoreName\RoorShare\...\foo�。在這個例子中,項上有效的允許可以是關(guān)于連接的共享和項的安全描述符的函數(shù)��。應(yīng)該理解�����,前者定義了共享級安全�����,而后者定義了項級安全���。用于組成有效的安全描述符的這些安全機(jī)制的每一個的細(xì)節(jié)和規(guī)則將在以下描述�。
以共享級安全的討論開始��,根據(jù)本發(fā)明的文件系統(tǒng)共享與Windows商標(biāo)的共享有些類似��。為了提供本地和遠(yuǎn)程訪問的統(tǒng)一語義����,為每個創(chuàng)建的文件系統(tǒng)共享,也可創(chuàng)建鏡像共享����。共享可作為項存儲在目錄存儲器內(nèi),且可以是使用項安全保護(hù)的���,這是下文的議題��。這些項和共享上的許可可以是在本地和遠(yuǎn)程訪問上相同的授予統(tǒng)一訪問語義�����。
可授予關(guān)于項的想要的默認(rèn)許可��。例如��,共享內(nèi)不同的項可具有關(guān)于用戶特性(例如�,本地系統(tǒng)內(nèi)建管理員、認(rèn)證�����、交互......)所施加的不同的默認(rèn)許可��。
類似于Windows商標(biāo)的共享��,為共享安全描述符的默認(rèn)值是可以使用在LanManServer\DefaultSecurity\SrvsvcDefaultShareInfo的注冊設(shè)定來配置的��。
項安全機(jī)制可使用安全描述符來實現(xiàn)訪問控制�。因此,一方面����,可在安全描述符定義語言字符串格式內(nèi)由API(應(yīng)用程序接口)來通信安全描述符,并可在Sys.Security_Descriptors(安全描述符表格)的VARBINARY欄下緊縮的(pack)二進(jìn)制格式存儲在數(shù)據(jù)庫內(nèi)(圖2的202)����。
圖2的新的安全描述符表格202,如上所述����,存在Sys.Security_Descriptors,以持有每個唯一Security Descriptor����,作為帶有唯一ID(SDID)的緊縮的二進(jìn)制安全描述符存儲,用于作為文件系統(tǒng)基本表格中的外部密鑰使用��。例如���,安全描述符表格可表示如下
盡管上面的安全描述符表格使用為安全描述符的二進(jìn)制表示���,應(yīng)該認(rèn)識到,可使用任何適合的表示��,而不會脫離本發(fā)明及其附屬的權(quán)利要求的精神和范圍�。
現(xiàn)在參考安全描述符以及相關(guān)數(shù)據(jù)的表示和存儲的討論,如上所述��,本發(fā)明使用持有安全描述符相關(guān)信息的兩個內(nèi)在表格���,安全描述符表格(例如�,sys.security_descriptor)和單個實例表格(例如,[System.Storage.Store].[Table���!SecurityDescriptorSingleInstance])��。
繼續(xù)這個例子��,sys.security_descriptor是由SQL維護(hù)的目錄視圖����。該二進(jìn)制存儲在與SDID相應(yīng)的行內(nèi)����。
該單個實例表格可由文件系統(tǒng)維護(hù)。它包含到前述sys.security_descriptor視圖或表格內(nèi)標(biāo)識的SDID的二進(jìn)制安全描述符的散列的映射�。在一個例子中,可使用SHA-1散列��。一方面����,如果創(chuàng)建具有相同安全描述符的多個項,則單個條目能存在于兩個表格中�����。
如上所述,本發(fā)明的另一個新穎特征是���,如果單個實例表格已經(jīng)惡化,則可將它毀壞�,因為它是自愈表格。換句話說�,如果出現(xiàn)惡化,則僅通過生成新的散列值并將其與適合的SDID相關(guān)聯(lián)����,就能創(chuàng)建新的表格。
一方面���,Item/Extension/Fragment/Link表格可具有為標(biāo)記用于“安全”屬性的SDID的條目��。應(yīng)該理解��,這能確保對這些表格的任何讀取訪問以及任何在這些視圖上建立的任何視圖可經(jīng)受要求(FILE_READ_DATA|FILE_READ_ATTRIBUTES)的訪問檢查���。還應(yīng)理解,ItemExtension�����、Link和ItemFragment表格必須具有與Item表格相同的安全描述符表格。
圖5說明根據(jù)本發(fā)明的一方面初始化的方法�����。然而�,為了說明的簡化,這里示出的一種或多種方法���,例如���,以流程圖的形式,作為一系列動作示出和描述����,應(yīng)該理解并認(rèn)識到,本發(fā)明并不被動作的順序所限制�����,如根據(jù)本發(fā)明���,一些動作可以不同的順序出現(xiàn)和/或與這里示出并描述的其他動作同時出現(xiàn)��。例如��,本領(lǐng)域的技術(shù)人員會理解并認(rèn)識到�,方法可替換為一系列相關(guān)的狀態(tài)或事件,如以狀態(tài)示意圖����。而且,并非要求所有說明的動作來實現(xiàn)根據(jù)本發(fā)明的方法�����。
在建立過程期間建立模型數(shù)據(jù)庫的同時�,安全數(shù)據(jù)結(jié)構(gòu)被初始化�����。在502���,建立表格�。在一個例子中��,建立表格可包括建立Sys.server_principals����、Sys.databaser_principals����、Sys.server_role_members和Sys.database_role_members�。在504,創(chuàng)建單個實例表格���。根據(jù)我們的例子�,可在504創(chuàng)建[System.Storage.Store].[Table���!SecurityDescriptorSingleInstance]�����。
在506����,創(chuàng)建根安全描述符����。該根安全描述符對應(yīng)于存儲器的根(例如,具有完全控制的管理員)�。在508,創(chuàng)建項級安全描述符。例如��,在508��,可創(chuàng)建為tombstone項的安全描述符��,以便管理員具有完全控制且經(jīng)認(rèn)證的用戶具有讀取訪問�。在510,這些條目增加到單個實例表格中�����。
文件系統(tǒng)能支持ACL的等級的繼承�。例如����,從項創(chuàng)建的時間(例如,CreateItem或CreateComplexItem)����,可使用提供的安全描述符(如果有)、父安全描述符��、項的類型和調(diào)用者的令牌(例如��,NT商標(biāo)的令牌)為該項計算安全描述符。
現(xiàn)在參考訪問檢查的討論�����,所有更新的API通過調(diào)用[System.Storage.Store].[HasSecurityAccess]執(zhí)行適當(dāng)?shù)脑L問檢查����。API確保授予調(diào)用者在共享級和安全描述符(例如,項�、記錄)級的請求許可比特。在一個特定的方面��,在安全描述符(父級的)上執(zhí)行的訪問檢查是與在共享上執(zhí)行的訪問檢查(DELETE)不同的(FILE_DELETE_CHILD)���。對于另外的情況����,這兩個訪問檢查是一致的��。
繼續(xù)這個例子����,當(dāng)調(diào)用具有新的父級的SetItemSecurity(具有新的DACL或SACL)或MoveItem時,執(zhí)行ACL貫穿樹形結(jié)構(gòu)的傳播�����。在執(zhí)行適當(dāng)?shù)脑L問檢查,以確保允許調(diào)用者執(zhí)行該操作之后��,可在文件系統(tǒng)的上下文中實現(xiàn)ACL的傳播�����。不對更新ACL的子樹形結(jié)構(gòu)執(zhí)行訪問檢查�����。
應(yīng)該認(rèn)識到����,本發(fā)明可使用異步和/或同步傳播。下面是同步傳播的討論����。應(yīng)該理解��,子樹形結(jié)構(gòu)的根與復(fù)合項無關(guān)�。而且,子樹形結(jié)構(gòu)的根是類屬項����,以描述調(diào)用SetItemSecurity或MoveItem的節(jié)點��。
根據(jù)同步傳播��,計算用于根項的新安全描述符�����。如果不更新DACL或SACL����,則如果對于Item��、Extension�����、Fragment�、Link表格和該系統(tǒng)更新,則SDID返回����。整個項的子樹形結(jié)構(gòu)鎖定在該項開始。在這個例子中����,不是必須鎖定任何其他表格(Extension����、Fragment��、Link)��。
接著���,可創(chuàng)建包含以上動作中所有項的臨時表格�。該臨時表格可具有以下特性�����。臨時表格可具有ContainerId���、ItemId���、以及NewSdId��。同樣��,最初,NewSdId對子樹形結(jié)構(gòu)除根的所有項都為空�。
對臨時表格中的每個條目,可使用新的父SD�、項的類型以及現(xiàn)存的項SD來計算新的SD。在這個例子中���,可使用CreatePrivateObjectSecurityEx(SEF_AVOID_PRIVILEGE_CHECK|SEF_AVOID_OWNER_CHECK)��。因此�,臨時表格可在每次處理已經(jīng)計算新的父SD的那些行由級到級遍歷��,而對于該項的新的SDID為空�。根據(jù)這個例子,一次跨越表格的一級���。
迭代的數(shù)量為O(例如��,樹形結(jié)構(gòu)的深度)���。要考慮兩個問題。第一����,可考慮新的安全描述符的計算���。第二,可考慮安全描述符在所有子級上的更新���。在第二種情況下�����,理論限制為O(例如���,子級的數(shù)量)。在第一種情況下�,盡管不是必需,但通常為O(樹的深度)����。如果需要,可創(chuàng)建新的安全描述符(例如���,在單個實例和Sys.security_descriptor表格中)�����。接著�,在臨時表格中更新臨時SDID表格��。最后����,可使用在臨時表格中計算出的數(shù)據(jù)來更新Item、Extension��、Link和Fragment表格��。
圖6說明詢問由行級安全實施的用于SELECT語句的訪問控制的用戶上下文中操作的主表格視圖的T/SQL操作����。此外,在用戶上下文中進(jìn)行對文件系統(tǒng)存儲器更新API的調(diào)用����,但在系統(tǒng)上下文中執(zhí)行。這種實現(xiàn)因此能實施用于調(diào)用者的許可檢查�����。
圖7說明使用方便了根據(jù)本發(fā)明的一個或多個特性的自動化的人工智能(AI)的系統(tǒng)700�����。本發(fā)明(例如,連同實現(xiàn)安全策略)可使用各種基于AI的模式�����,用于實施本發(fā)明的各個方面��。例如����,用于確定是否應(yīng)該設(shè)定安全描述符的進(jìn)程,如果是�����,則可通過自動分類器系統(tǒng)和進(jìn)程而促進(jìn)使用的安全級�����。而且�����,單個實例和安全描述符表格(來自圖2的202��、204)遠(yuǎn)程位于多個位置,可使用分類器來確定選擇哪個位置用于比較��。
分類器是把輸入屬性矢量����,x=(x1�,x2,x3��,x4����,xn)映射到該輸入屬于一類的置信度,即f(x)=confidence(class)���。這種分類可使用概率和/或基于統(tǒng)計的分析(例如�����,因數(shù)分解為分析實用性和成本)�����,以預(yù)測或推斷用戶想要自動執(zhí)行的動作����。
支持矢量機(jī)(SVM)是可使用的分類器的例子。SVM通過發(fā)現(xiàn)在可能的輸入空間內(nèi)的超曲面來操作�����,該超曲面嘗試從非觸發(fā)事件中分離出觸發(fā)準(zhǔn)則���。直觀地�����,這使得分類正確��,用于測試靠近訓(xùn)練數(shù)據(jù)但與其不同的數(shù)據(jù)�����。倘若可以使用不同模式的獨立性�����,則其他定向和非定向模型分類方法包括��,例如���,但不限于 Bayes����、Bayesian網(wǎng)絡(luò)���、判定樹�����、神經(jīng)網(wǎng)絡(luò)、模糊邏輯模型��、以及概率分類模型����。這里使用的分類包含用于開發(fā)優(yōu)先級模型的統(tǒng)計回歸。
從說明書中容易認(rèn)識到�����,本發(fā)明可使用顯式訓(xùn)練(例如���,通過類屬訓(xùn)練數(shù)據(jù))和隱式訓(xùn)練(例如���,通過觀察用戶行為��、接收外來信息)的分類器�����。例如�����,通過分類器構(gòu)造器和特征選擇模塊中的學(xué)習(xí)或訓(xùn)練階段來配置SVM�����。因此����,分類器可用于自動學(xué)習(xí)并執(zhí)行許多功能�����,包括但不限于根據(jù)預(yù)定準(zhǔn)則的確定����。
現(xiàn)在參考圖8��,示出了適合于執(zhí)行揭示的結(jié)構(gòu)的計算機(jī)框圖���。為了提供用于本發(fā)明的各方面的額外上下文,圖8和下面的討論意圖提供適合的其中可實現(xiàn)本發(fā)明的各方面的計算環(huán)境800的簡要�����、一般的描述��。盡管以上已經(jīng)在可在一臺或多態(tài)計算機(jī)上運(yùn)行的計算機(jī)可執(zhí)行指令的一般上下文中描述了本發(fā)明�,但本領(lǐng)域的技術(shù)人員承認(rèn),本發(fā)明也可結(jié)合其他程序模塊和/或作為硬件和軟件的組合來實現(xiàn)�����。
一般地��,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程����、程序�����、組件、數(shù)據(jù)結(jié)構(gòu)等等���。而且�����,本領(lǐng)域的技術(shù)人員認(rèn)識到��,這種發(fā)明性的方法可用其他計算機(jī)系統(tǒng)配置來實施��,包括單處理器或多處理器計算機(jī)系統(tǒng)����、微型機(jī)���、大型機(jī)���、以及個人計算機(jī)、手持計算設(shè)備�、基于微處理器或可編程的消費電子產(chǎn)品等等,它們每一個都可操作地耦合到一個或多個相關(guān)聯(lián)的設(shè)備��。
本發(fā)明說明性的方面也可在通過通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備執(zhí)行特定任務(wù)的分布式計算環(huán)境中實施本發(fā)明。在分布式計算環(huán)境中��,程序模式可位于本地和遠(yuǎn)程存儲器存儲設(shè)備中��。
計算機(jī)一般包括各種計算機(jī)可讀介質(zhì)��。計算機(jī)可讀介質(zhì)可以是可有計算機(jī)訪問的任何可用介質(zhì)�����,并包括易失性和非易失性介質(zhì)����、可移動和不可移動介質(zhì)。作為例子���,而非限制��,計算可讀介質(zhì)可包含計算機(jī)存儲介質(zhì)和通信介質(zhì)��。計算機(jī)存儲介質(zhì)包括可以用于信息存儲的任何方法和技術(shù),如計算機(jī)可讀指令����、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其他數(shù)據(jù)實現(xiàn)的易失性和非易失性���、可移動和不可移動介質(zhì)�。計算機(jī)存儲介質(zhì)包括但不限于,RAM���、ROM�����、EEPROM�����、閃存或其他存儲技術(shù)�、CD-ROM���、數(shù)字視頻盤(DVD)或其他光盤存儲器����、磁性磁帶�、磁性錄音帶、磁盤存儲器或其他磁性存儲設(shè)備����、或可用于存儲想要的信息且可由計算機(jī)訪問的任何其他介質(zhì)���。
通信介質(zhì)一般包含計算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)�����、程序模塊或在調(diào)制數(shù)據(jù)信號�����,如載波或其他傳輸機(jī)制中的其他數(shù)據(jù)��,并包括任何信息傳遞介質(zhì)��。術(shù)語“調(diào)制數(shù)據(jù)信號”意思是具有一個或多個它的特征集或以信號中編碼信息的方式變換的信號�����。作為例子��,而非限制�����,通信介質(zhì)包括比如有線網(wǎng)絡(luò)或直接有線連接的有線介質(zhì)和比如聲頻�、RF、紅外線和其它無線介質(zhì)�����。以上的任何組合也應(yīng)該包括在計算機(jī)可讀介質(zhì)的范圍內(nèi)��。
現(xiàn)在再次參考圖8���,用于實現(xiàn)本發(fā)明的各方面的示例性的環(huán)境800包括計算機(jī)802�,計算機(jī)802包括處理單元804�、系統(tǒng)存儲器806和系統(tǒng)總線808。系統(tǒng)總線808把包括但不限于系統(tǒng)存儲器806的系統(tǒng)組件耦合到處理單元804����。處理單元804可以是各種商業(yè)上可用的處理器的任何一種。也可以使用雙處理器和其他多處理器結(jié)構(gòu)作為處理單元804���。
系統(tǒng)總線808可以是還可與存儲器總線(具有或不具有存儲器控制器)�����、外圍總線�����、以及使用任何一種商業(yè)可用的總線結(jié)構(gòu)的本地總線互連的幾種總線結(jié)構(gòu)的任何一種�。系統(tǒng)存儲器806包括只讀存儲器(ROM)810和隨機(jī)存取存儲器(RAM)812?���;据斎?輸出系統(tǒng)(BIOS)存儲在非易失性存儲器810中,如ROM�、EPPROM、EEPROM��,它包括如啟動時幫助在計算機(jī)802內(nèi)的元件間傳輸信息的例程�����。RAM812也包括高速RAM�����,如用于高速緩存數(shù)據(jù)的靜態(tài)RAM���。
計算機(jī)802還包括內(nèi)部硬盤驅(qū)動器(HDD)814(例如�,EIDE���、SATA)�����,(它也可配置成在適合的底盤(未示出)中外部使用)��、磁性軟盤驅(qū)動器(FDD)816(例如�,從可移動盤818中讀寫)�、以及光盤驅(qū)動器820(例如,讀取CD-ROM盤822或從其他高容量的光學(xué)介質(zhì)����,如DVD中讀寫)。硬盤驅(qū)動器814��、磁盤驅(qū)動器816����、以及光盤驅(qū)動器820可分布通過硬盤驅(qū)動器接口824、磁盤驅(qū)動器接口826���、以及光盤驅(qū)動器接口828連接到系統(tǒng)總線808����。用于外部驅(qū)動器實現(xiàn)的接口824包括通用串行總線(USB)和IEEE 1394接口技術(shù)的至少一種或兩種。其他外部驅(qū)動器連接技術(shù)在本發(fā)明的預(yù)想之中���。
這些驅(qū)動器及其相關(guān)聯(lián)的計算機(jī)可讀介質(zhì)提供了數(shù)據(jù)���、數(shù)據(jù)結(jié)構(gòu)、計算機(jī)可執(zhí)行指令等等的非易失性存儲��。對計算機(jī)802����,這些驅(qū)動器和介質(zhì)提供以適合數(shù)字格式的任何數(shù)據(jù)的存儲。盡管以上計算機(jī)可讀介質(zhì)的描述指示HDD�、可移動磁盤、以及可移動光學(xué)介質(zhì)����,如CD或DVD,但本領(lǐng)域的技術(shù)人員應(yīng)該認(rèn)識到����,計算機(jī)可讀的其他類型的介質(zhì),如壓縮(zip)驅(qū)動器���、磁性磁帶�����、閃存卡�����、盒式磁帶等等也可以用于示例性的操作環(huán)境中�����,且進(jìn)一步���,任何這種介質(zhì)可包含用于執(zhí)行本發(fā)明的方法的計算機(jī)可讀指令。
許多程序模塊可存儲在驅(qū)動器和RAM812中�,包括操作系統(tǒng)830、一個或多個應(yīng)用程序832�����、其他程序模塊834�����、以及程序數(shù)據(jù)836����。操作系統(tǒng)�、應(yīng)用程序���、模塊�、和/或數(shù)據(jù)的所有或部分也可以高速緩存在RAM812中�����。應(yīng)該認(rèn)識到���,本發(fā)明可用各種商業(yè)上可用的操作系統(tǒng)或操作系統(tǒng)的組合來實現(xiàn)�����。
用戶可通過一個或多個有線/無線輸入設(shè)備�����,例如���,鍵盤838和定點設(shè)備,如鼠標(biāo)840向計算機(jī)802輸入命令和信息。其他輸入設(shè)備(未示出)可包括話筒���、IR遠(yuǎn)程控制��、操縱桿���、游戲墊、記錄筆等等��。這些以及其他輸入設(shè)備經(jīng)常通過耦合到系統(tǒng)總線808的輸入設(shè)備接口連接到處理單元804����,但可由其他接口�,如并行接口、IEEE1394串口����、游戲端口、USB端口��、IR接口等等連接���。
監(jiān)視器844或其他類型的顯示設(shè)備也可以通過接口�,如視頻適配器846連接到系統(tǒng)總線808。除了監(jiān)視器844之外���,計算機(jī)一般包括其他外圍輸出設(shè)備(未示出)�����,如揚(yáng)聲器����、打印機(jī)等等�����。
計算機(jī)802可以工作在使用到一個或多個諸如遠(yuǎn)程計算機(jī)848的遠(yuǎn)程計算機(jī)的邏輯連接的網(wǎng)絡(luò)化環(huán)境中���。遠(yuǎn)程計算機(jī)848可以是工作站�����、服務(wù)器計算機(jī)�����、路由器����、個人計算機(jī)、便攜式計算機(jī)�、基于微處理器的娛樂設(shè)備、對等設(shè)備或其他公共網(wǎng)絡(luò)節(jié)點���,并且一般包括與計算機(jī)802相關(guān)的許多或所有上述元件�,盡管為了簡化的目的����,僅說明了存儲器/存儲設(shè)備850。所示的邏輯連接包括到局域網(wǎng)(LAN)852和/或較大的網(wǎng)絡(luò)��,例如����,廣域網(wǎng)(WAN)854的有線/無線連接����。這種LAN和WAN網(wǎng)絡(luò)環(huán)境常見于辦公室和公司,并方便了企業(yè)范圍的計算機(jī)網(wǎng)絡(luò)��,如內(nèi)聯(lián)網(wǎng)���,所有這些可連接到全球通信網(wǎng)絡(luò)�,例如,因特網(wǎng)�。
當(dāng)用于LAN網(wǎng)絡(luò)環(huán)境時,計算機(jī)802通過有線和/或無線通信網(wǎng)絡(luò)接口或適配器856連接到局域網(wǎng)852�����。適配器856可方便到LAN852的有線或無線通信�����,它也可以包括放置其上用于和無線適配器856通信的無線接入點�。
當(dāng)用于WAN網(wǎng)絡(luò)環(huán)境時,計算機(jī)802可包括調(diào)制解調(diào)器858����、或連接到WAN854上的通信服務(wù)器、或用于在諸如因特網(wǎng)的WAN854上建立通信的其他裝置��。調(diào)制解調(diào)器858可能是內(nèi)置或外置以及有線或無線設(shè)備�����,它通過串口端口842連接到系統(tǒng)總線808�����。在網(wǎng)絡(luò)化環(huán)境內(nèi),所述與個人計算機(jī)802相關(guān)的程序模塊或其中的一部分可存儲在遠(yuǎn)程存儲器/存儲設(shè)備850中�����。應(yīng)該認(rèn)識到����,所示的網(wǎng)絡(luò)連接是示例性的,也可以使用在計算機(jī)間建立通信的其他裝置���。
計算機(jī)802適合于和可操作地置于無線通信中的任何無線設(shè)備或?qū)嶓w��,例如����,打印機(jī)���、掃描儀、桌上和/或便攜式計算機(jī)��、便攜式數(shù)據(jù)助理���、通信衛(wèi)星�、與無線可檢測標(biāo)記相關(guān)聯(lián)的任何設(shè)備或位置(例如,亭子���、新聞?wù)?��、休息?、以及電話進(jìn)行通信�。這至少包括Wi-Fi和藍(lán)牙無線技術(shù)。因此���,通信可以是作為傳統(tǒng)網(wǎng)絡(luò)或簡單的是至少兩個設(shè)備之間的專用通信的預(yù)定結(jié)構(gòu)�����。
Wi-Fi�����、或無線高保真允許從家中的長椅��、旅館房間的床�����、或者工作會議室到因特網(wǎng)的無線連接�����。Wi-Fi是類似于使設(shè)備��,例如計算機(jī)發(fā)送并接收室內(nèi)外����,在基站范圍內(nèi)的任何地方的數(shù)據(jù)的蜂窩電話中使用的無線技術(shù)。Wi-Fi網(wǎng)絡(luò)可用于彼此連接計算機(jī)�、連接到因特網(wǎng)以及有線網(wǎng)絡(luò)(使用IEEE802.3或因特網(wǎng))。Wi-Fi網(wǎng)絡(luò)在未經(jīng)許可的2.4和5GHZ無線頻段上操作����,在11Mbps(802.11a)或54Mbps(802.11b)數(shù)據(jù)速率,例如�,或者具有包含所有頻段(雙頻段)的產(chǎn)品,因此這些網(wǎng)絡(luò)可提供類似于用于許多辦公室的基本10BaseT的有線以太網(wǎng)的真實世界的性能�����。
現(xiàn)在參考圖9��,示出了根據(jù)本發(fā)明的示例性的計算環(huán)境900的框圖��。系統(tǒng)900包括一個或多個客戶機(jī)902�����?���?蛻魴C(jī)902可以是硬件和/或軟件(例如,線程��、進(jìn)程��、計算設(shè)備)�。例如,客戶機(jī)902可通過使用本發(fā)明來容納cookies(點心文件)和/或相關(guān)聯(lián)的上下文信息��。
系統(tǒng)900也包括一個或多個服務(wù)器904����。服務(wù)器904也可以是硬件和/或軟件(例如,線程����、進(jìn)程、計算設(shè)備)��。例如,服務(wù)器904可容納線程�,以通過使用本發(fā)明執(zhí)行變換?����?蛻魴C(jī)902和服務(wù)器904之間的一個可能的通信可以以適合于在兩個或多個計算機(jī)進(jìn)程之間傳輸?shù)臄?shù)據(jù)分組的形式�����。該數(shù)據(jù)分組可包括��,例如�����,cookie和/或相關(guān)聯(lián)的上下文信息�����。系統(tǒng)900包括能用于方便客戶902和服務(wù)器904之間的通信的通信框架906(例如���,全球通信網(wǎng)絡(luò)����,如因特網(wǎng))。
可通過有線(包括光纖)和/或無線技術(shù)來方便通信���。客戶機(jī)902可操作地連接到可用于存儲客戶機(jī)902本地信息(例如���,cookie和/或相關(guān)聯(lián)的上下文信息)的一個或多個客戶機(jī)數(shù)據(jù)存儲器908�����。類似地�,服務(wù)器904可操作地連接到可用于存儲服務(wù)器904本地信息的一個或多個服務(wù)器數(shù)據(jù)存儲器910�。上述已經(jīng)描述的內(nèi)容包括本發(fā)明的例子。當(dāng)然����,為了描述本發(fā)明,不可能描述組件或方法的每個可能的組件的組合�,但本領(lǐng)域的技術(shù)人員會承認(rèn),本發(fā)明許多進(jìn)一步的組合和變換是可能的����。因此,本發(fā)明意圖包含落入附加的權(quán)利要求的精神和范圍內(nèi)的所有這些替換、修正和變化���。而且��,詳細(xì)描述或權(quán)利要求中使用術(shù)語“包括”的范圍���,這種術(shù)語意圖包含當(dāng)術(shù)語“包含”用作權(quán)利要求中的過渡詞時的解釋包括類似的方式。
權(quán)利要求
1.一種便于訪問數(shù)據(jù)的系統(tǒng)��,該系統(tǒng)包含生成來自連接點的數(shù)據(jù)存儲器的抽象的查詢組件���;以及基于至少一個行級訪問許可����,限制抽象的行級安全組件���。
2.如權(quán)利要求1所述的系統(tǒng)�,其特征在于���,所述數(shù)據(jù)存儲器以分層結(jié)構(gòu)方式組織��,且查詢組件超越該分層結(jié)構(gòu)�����。
3.如權(quán)利要求1所述的系統(tǒng)�����,其特征在于�����,該系統(tǒng)還包含提供連同訪問控制實施策略使用的可信賴標(biāo)識建立系統(tǒng)的組件���。
4.如權(quán)利要求1所述的系統(tǒng),其特征在于���,該系統(tǒng)還包括呈現(xiàn)該限制抽象的呈現(xiàn)組件�����。
5.如權(quán)利要求1所述的系統(tǒng)���,其特征在于,所述行級安全組件把安全策略與數(shù)據(jù)存儲器內(nèi)至少一行相關(guān)聯(lián)�。
6.如權(quán)利要求5所述的系統(tǒng),其特征在于,數(shù)據(jù)存儲器內(nèi)的每行包含單個對象����。
7.如權(quán)利要求6所述的系統(tǒng),其特征在于�����,所述安全策略是訪問控制列表ACL和安全描述符中至少一個�����。
8.如權(quán)利要求7所述的系統(tǒng)���,其特征在于���,所述對象是以分層結(jié)構(gòu)組織組織的數(shù)據(jù)元素和容器中至少一個。
9.如權(quán)利要求8所述的系統(tǒng)����,其特征在于,該系統(tǒng)還包含一組件�����,該組件確定傳播是否正確,且如必要的話�,在分層結(jié)構(gòu)的根目錄內(nèi)設(shè)定安全策略,并把該安全策略傳播到該分層結(jié)構(gòu)內(nèi)至少一個子目錄����。
10.如權(quán)利要求9所述的系統(tǒng),其特征在于�,所述傳播安全策略的組件智能地使用父目錄的安全描述符和對象,以為該對象計算有效的安全描述符��。
11.如權(quán)利要求1所述的系統(tǒng)����,其特征在于�����,所述行級安全組件還包含把安全描述符映射到安全描述符標(biāo)識符SDID的安全描述符表格����;以及把SDID映射到SDID的散列值的單個實例。
12.如權(quán)利要求11所述的系統(tǒng)�����,其特征在于,SDID是指向安全描述符的整數(shù)值�����。
13.如權(quán)利要求11所述的系統(tǒng)�����,其特征在于��,通過SHA-1散列算法生成所述散列值���。
14.如權(quán)利要求1所述的系統(tǒng)��,其特征在于���,該系統(tǒng)還包含使用概率和/或基于統(tǒng)計的分析以預(yù)測或推斷用戶想要自動執(zhí)行的動作的人工智能組件。
15.一種具有存儲其中的用于實現(xiàn)如權(quán)利要求1所述系統(tǒng)的計算機(jī)可執(zhí)行指令的計算機(jī)可讀介質(zhì)�����。
16.一種用于提供對數(shù)據(jù)存儲器內(nèi)數(shù)據(jù)的訪問控制的方法�����,該方法包含把該數(shù)據(jù)組織進(jìn)分層結(jié)構(gòu)組織;超越該分層結(jié)構(gòu)組織��;在分層結(jié)構(gòu)組織的根目錄內(nèi)設(shè)定安全策略�;至少部分基于父目錄安全描述符,智能地傳播該安全策略到分層結(jié)構(gòu)組織內(nèi)的至少一個子結(jié)構(gòu)�;生成數(shù)據(jù)存儲器的連接點抽象;以及基于該行級安全策略的至少一部分�����,應(yīng)用行級安全策略以把抽象限制在數(shù)據(jù)的子集內(nèi)����,該行級安全策略把ACL和安全描述符中至少一個與數(shù)據(jù)存儲器內(nèi)至少一行相關(guān)聯(lián)。
17.如權(quán)利要求16所述的方法��,其特征在于���,該方法包含建立連同應(yīng)用行級安全策略使用的可信賴標(biāo)識建立系統(tǒng)。
18.如權(quán)利要求17所述的方法�����,其特征在于����,該方法包含呈現(xiàn)受限的抽象��。
19.一種便于數(shù)據(jù)存儲器內(nèi)數(shù)據(jù)的訪問控制的系統(tǒng)�����,該系統(tǒng)包含用于把數(shù)據(jù)組織成樹形結(jié)構(gòu)的裝置���;用于超越該樹形結(jié)構(gòu)的裝置;用于在樹形結(jié)構(gòu)的根中設(shè)定安全策略的裝置���;用于智能地傳播該安全策略到樹形結(jié)構(gòu)中至少一個子目錄的裝置���;至少部分基于父結(jié)構(gòu)的安全策略和子結(jié)構(gòu)的安全策略,用于應(yīng)用該傳播的安全策略的裝置����;以及至少部分基于一個或多個安全策略,用于過濾數(shù)據(jù)存儲器的連接點抽象的裝置�,該一個或多個安全策略與數(shù)據(jù)存儲器內(nèi)至少一行相關(guān)聯(lián)。
20.如權(quán)利要求19所述的系統(tǒng)���,其特征在于���,該系統(tǒng)還包含用于建立連同應(yīng)用該行級安全策略使用的可信賴標(biāo)識建立系統(tǒng)的裝置�。
全文摘要
一種生成來自連接點的每個用戶的存儲器抽象的系統(tǒng)�����。本發(fā)明的新穎特性之一是基于對負(fù)責(zé)人(principal)的訪問許可來過濾一組分層結(jié)構(gòu)保護(hù)的容器分層結(jié)構(gòu)的視圖����。本發(fā)明能提供原語的集合,這些原語能在跨越帶有潛在的異構(gòu)安全描述符的多個容器分層結(jié)構(gòu)的集合上操作��。該模型能減少分層結(jié)構(gòu)等級的遍歷�,以發(fā)現(xiàn)域內(nèi)所有可訪問的項。
文檔編號G06F12/14GK1828592SQ20061000435
公開日2006年9月6日 申請日期2006年1月25日 優(yōu)先權(quán)日2005年2月28日
發(fā)明者J·T·亨特, K·A·杜布哈什, S·斯卡瑞亞 申請人:微軟公司