專利名稱:授權(quán)訪問服務(wù)器上的資源的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及資源授權(quán)��。
運(yùn)行在網(wǎng)絡(luò)上的服務(wù)器計(jì)算機(jī)的一個(gè)功能是管理資源并和客戶機(jī)計(jì)算機(jī)共享資源����。在客戶機(jī)計(jì)算機(jī)能夠訪問特定資源之前�����,客戶機(jī)應(yīng)由服務(wù)器來驗(yàn)證身份并授權(quán)���。在身份驗(yàn)證背后的一個(gè)目的是驗(yàn)證嘗試訪問服務(wù)器資源的客戶機(jī)的身份。一旦客戶機(jī)通過身份驗(yàn)證����,服務(wù)器可以執(zhí)行授權(quán)處理并評估客戶機(jī)計(jì)算機(jī)擁有的特權(quán)用于共享的資源。
圖1展示一個(gè)授權(quán)系統(tǒng)����。
圖2為授權(quán)資源數(shù)據(jù)結(jié)構(gòu)。
圖3為授權(quán)資源請求的方法的流程圖�����。
圖4展示一個(gè)資源請求��。
圖5展示一個(gè)資源查詢請求���。
詳細(xì)說明如圖1所示��,授權(quán)系統(tǒng)10包括可以通過通訊路徑9a-9n及網(wǎng)絡(luò)14和服務(wù)器16通訊的客戶機(jī)12a-12n���。網(wǎng)絡(luò)14可以包括�����,例如����,因特網(wǎng)���,松散管理的消費(fèi)者網(wǎng)絡(luò)��、局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)���,或其他計(jì)算機(jī)網(wǎng)絡(luò)。服務(wù)器16管理資源18a-18n�����,包括信息資源����,并通過資源連接19(如LAN)與之通訊。信息資源可以包括文件系統(tǒng)和硬件資源,如調(diào)制解調(diào)器���、打印機(jī)或掃描設(shè)備。
每個(gè)客戶機(jī)12a-12n可以和各自的身份驗(yàn)證憑證關(guān)聯(lián)�����。例如�,客戶機(jī)12a和身份驗(yàn)證憑證11關(guān)聯(lián)。每個(gè)客戶機(jī)12a-12n也和表示賦予客戶機(jī)的授權(quán)或特權(quán)級別的授權(quán)憑證關(guān)聯(lián)�。如圖1所示�����,客戶機(jī)12a和身份驗(yàn)證憑證13關(guān)聯(lián)。每個(gè)客戶機(jī)12a-12n也和表示客戶機(jī)希望使用資源進(jìn)行的操作的資源操作關(guān)聯(lián)����。例如���,客戶機(jī)12a和表示訪問駐留在于文件系統(tǒng)中的文件���、通過調(diào)制解調(diào)器通訊、使用打印機(jī)資源打印文檔的操作或其他操作的資源操作15關(guān)聯(lián)���。
每個(gè)客戶機(jī)12a-12n����,可以產(chǎn)生包含身份驗(yàn)證憑證的身份驗(yàn)證請求�����。例如��,客戶機(jī)12a產(chǎn)生包含身份驗(yàn)證憑證11的身份驗(yàn)證請求31�����。請求31被發(fā)送到服務(wù)器16以使得當(dāng)和服務(wù)器通過網(wǎng)絡(luò)14建立通訊時(shí)客戶機(jī)12a的身份可以由服務(wù)器驗(yàn)證���。身份驗(yàn)證憑證11可以包括和客戶機(jī)12a關(guān)聯(lián)的名字和密碼��。替換地�����,可以使用如那些使用在公鑰體系(PKI)中的私鑰/公鑰對實(shí)現(xiàn)身份驗(yàn)證憑證11��。
每個(gè)客戶機(jī)12a-12n可以在網(wǎng)絡(luò)14上產(chǎn)生資源請求來訪問由服務(wù)器管理的資源18a-18n����。例如���,客戶機(jī)12a可以產(chǎn)生資源請求32����。資源請求32包括由服務(wù)器16用來確定客戶機(jī)是否有訪問所請求資源的許可的授權(quán)憑證13����。可以使用授權(quán)證書技術(shù)�,如用在簡單公鑰體系(SPKI)中的方法實(shí)現(xiàn)授權(quán)憑證13���。另外,資源請求32可以包含表示使用指定資源進(jìn)行的操作的信息����。
客戶機(jī),如客戶機(jī)12a���,可以讓它的授權(quán)憑證13由第二個(gè)客戶機(jī)代理���。使用這種代理技術(shù),第二個(gè)客戶機(jī)可以用和客戶機(jī)12a相同的授權(quán)憑證訪問服務(wù)器����。服務(wù)器16同等對待兩個(gè)客戶機(jī)的憑證。
系統(tǒng)管理員17負(fù)責(zé)關(guān)聯(lián)服務(wù)器16和它的資源18a-18n�。職責(zé)可以包括增加/刪除資源18a-18n到/從服務(wù)器16。管理員可以使用應(yīng)用程序20協(xié)同操作系統(tǒng)(O/S)62如Windows NTTMO/S執(zhí)行關(guān)聯(lián)功能�。這些程序可以存儲在存儲器63,如動(dòng)態(tài)隨機(jī)訪問存儲器(DRAM)中并由中央處理單元(CPU)64�,如Intel Pentium處理器執(zhí)行。應(yīng)用程序20可以包括用戶界面21來提供授權(quán)框架23和關(guān)聯(lián)的資源18a-18n的可視表示�。應(yīng)用程序接口(API)22可以提供在應(yīng)用程序20和授權(quán)框架23之間標(biāo)準(zhǔn)的通訊接口。授權(quán)框架23包括資源授權(quán)數(shù)據(jù)結(jié)構(gòu)(資源結(jié)構(gòu))26用來建立對應(yīng)于每個(gè)資源的符號化的資源名稱之間的關(guān)系并且可以包括其他資源授權(quán)相關(guān)的信息��。
資源管理器25為可以通過路徑65和應(yīng)用程序20通訊的程序模塊并且負(fù)責(zé)通過路徑29創(chuàng)建和管理資源結(jié)構(gòu)26。它也可以負(fù)責(zé)映射由客戶機(jī)產(chǎn)生的資源請求32到滿足該請求所需的適合的資源相關(guān)的信息��?��?梢酝ㄟ^經(jīng)路徑35提交資源查詢請求34發(fā)送映射操作的結(jié)果到授權(quán)服務(wù)27。
授權(quán)服務(wù)27執(zhí)行負(fù)責(zé)確定產(chǎn)生資源請求32的客戶機(jī)12a是否得到訪問請求的資源18a-18n的授權(quán)的程序�����。服務(wù)27搜索資源結(jié)構(gòu)26并部分地基于伴隨資源請求32的授權(quán)憑證13校驗(yàn)客戶機(jī)12a是否有正確的授權(quán)���。
管理員17�����,作為策略制訂者�����,可以訪問資源管理器25以基于一組和資源18a-18n相關(guān)的授權(quán)策略構(gòu)建資源結(jié)構(gòu)26�。策略可以標(biāo)識客戶機(jī)12a-12n需要有何種授權(quán)級別來執(zhí)行包含在資源請求32中的所請求的操作���。
如圖2所示�����,資源結(jié)構(gòu)26可以作為有向圖數(shù)據(jù)結(jié)構(gòu)如有向樹數(shù)據(jù)結(jié)構(gòu)實(shí)現(xiàn)�����。資源結(jié)構(gòu)26對應(yīng)于表示資源的名稱和資源18a-18n的分組的資源空間��。資源結(jié)構(gòu)26包括節(jié)點(diǎn)50a到50n的層次結(jié)構(gòu)�����。根節(jié)點(diǎn)50a對附加的節(jié)點(diǎn)50b到50n提供一個(gè)錨點(diǎn)����。每個(gè)節(jié)點(diǎn)都和相應(yīng)的節(jié)點(diǎn)名稱51a到51n和節(jié)點(diǎn)標(biāo)識符52a到52n關(guān)聯(lián)。例如��,節(jié)點(diǎn)50c有節(jié)點(diǎn)名稱51c“調(diào)制解調(diào)器”和節(jié)點(diǎn)標(biāo)識符52c“key3”���。每個(gè)節(jié)點(diǎn)50a到50n可以由它的節(jié)點(diǎn)名稱�����、節(jié)點(diǎn)標(biāo)識符或兩者的組合來尋址����。
資源結(jié)構(gòu)26可以由能夠定義授權(quán)子樹的節(jié)點(diǎn)標(biāo)識符52a到52n的由資源所有者,如資源的廠商來構(gòu)建���。隨后策略制訂者可以在資源結(jié)構(gòu)中的適合的點(diǎn)上插入節(jié)點(diǎn)到子樹中。授權(quán)子樹可以包括資源結(jié)構(gòu)中節(jié)點(diǎn)的一個(gè)子集����。例如,子樹可以包括由節(jié)點(diǎn)50c作為子樹的基并且節(jié)點(diǎn)50d和50e作為子樹的分支表示的調(diào)制解調(diào)器子樹����。替換地,策略制訂者可以根據(jù)資源擁有者的偏好手工地插入節(jié)點(diǎn)到結(jié)構(gòu)26中�����。手工地插入的節(jié)點(diǎn)可以包括由應(yīng)用程序20動(dòng)態(tài)賦值的關(guān)鍵字���。然而�,由于“關(guān)鍵字”可以在內(nèi)部產(chǎn)生而并非是真正的公鑰/私鑰對���,并不需要對內(nèi)部關(guān)鍵字建立一個(gè)信任模型���。
資源結(jié)構(gòu)26支持一個(gè)“裝載點(diǎn)”節(jié)點(diǎn)���,其中管理員,作為策略制訂者�,可以對訪問資源建立自頂向下的策略而無需知道資源的授權(quán)子樹如何構(gòu)建的內(nèi)部細(xì)節(jié)。術(shù)語“裝載點(diǎn)”類似于文件系統(tǒng)的裝載點(diǎn)和訪問許可�����。例如�,節(jié)點(diǎn)50d位“制造者檢查裝載點(diǎn)”,其中調(diào)制解調(diào)器的制造者可以提供規(guī)定需要訪問調(diào)整解調(diào)器資源檢查特性的授權(quán)的一組策略�����。
結(jié)構(gòu)26中的每個(gè)節(jié)點(diǎn)50a到50n也可以和相應(yīng)的可以包含對應(yīng)的授權(quán)憑證58和授權(quán)級別59的訪問控制列表(ACL)53a到53n關(guān)聯(lián)���。授權(quán)級別59指訪問資源所需的授權(quán)級別�����。在一個(gè)實(shí)例中��,授權(quán)級別可以為下面四個(gè)值之一(1)所有者�����,(2)編輯者���,(3)審察者����,或(4)無��。所有者級別允許完全的對資源的管理性訪問��,編輯者允許對資源的讀/寫訪問��、審察者允許對資源的讀訪問����,以及無��,是缺省的/隱含的級別���,拒絕對資源的所有訪問���。編輯資源結(jié)構(gòu)26的部分的授權(quán)可以由授權(quán)級別控制�。為了允許編輯子樹����,例如增加或刪除子節(jié)點(diǎn),更改名稱��、標(biāo)識符和ACL�,節(jié)點(diǎn)的授權(quán)級別應(yīng)被設(shè)置為“所有者”。
授權(quán)憑證58可以表示基于客戶機(jī)訪問資源所需的的憑證的數(shù)字證書�。例如,節(jié)點(diǎn)50c包含有值為“key3 (key2=所有者)”的ACL 53c�����,表示授權(quán)憑證“key3”由授權(quán)級別“所有者”和授權(quán)憑證“key2”代理�����。憑證的代理由箭頭54c表示�。因此,在節(jié)點(diǎn)50b對應(yīng)于節(jié)點(diǎn)標(biāo)識符52b(“key2”)的授權(quán)憑證將被檢查以確定授權(quán)��。箭頭54a到54n表示基于從子節(jié)點(diǎn)到父節(jié)點(diǎn)的授權(quán)的代理的授權(quán)憑證���。
如圖3所示�,客戶機(jī)12a產(chǎn)生(步驟100)通過網(wǎng)絡(luò)14發(fā)送到服務(wù)器16的資源請求。假設(shè)�,為了下述的目的,客戶機(jī)12a能夠和服務(wù)器16通訊�,因?yàn)榭蛻魴C(jī)已經(jīng)通過前面的身份驗(yàn)證請求31由服務(wù)器進(jìn)行身份驗(yàn)證。資源請求32(圖4)包含授權(quán)憑證13如簽名數(shù)字證書和由客戶機(jī)指定的資源操作15�。在這個(gè)例子中,授權(quán)憑證13被設(shè)置為“Dad”并且資源操作15被設(shè)置為“設(shè)定調(diào)制解調(diào)器配置”��。
在資源請求32被訪問16接收后���,資源管理器25基于資源請求中的信息映射(步驟102)資源請求到資源名稱(或其他標(biāo)識符)和授權(quán)級別����。
資源管理器25部分基于資源請求32的內(nèi)容轉(zhuǎn)換(步驟103)資源查詢請求34�。如圖5所示����,資源查詢請求34包括對應(yīng)于資源請求32的資源操作15得到的資源的資源名稱41。請求34還包括表示客戶機(jī)執(zhí)行請求的操作所需的許可的授權(quán)級別42�����。另外,請求34標(biāo)識對應(yīng)于資源請求32中的授權(quán)憑證13的授權(quán)憑證43�����。
例如��,使用前面圖4中的資源請求32�,資源管理器25確定(1)從資源操作15“設(shè)定調(diào)制解調(diào)器配置”得到資源名稱41為“Key3/用戶配置”,(2)“所有者”是結(jié)構(gòu)26中特定資源節(jié)點(diǎn)的所需授權(quán)級別42��,及(3)“Dad”為對應(yīng)于在資源請求32中標(biāo)識出的授權(quán)憑證13的授權(quán)憑證43。資源管理器25跟蹤和資源結(jié)構(gòu)26相關(guān)的信息��,包括資源名稱和關(guān)聯(lián)的授權(quán)級別�����。
如圖3所示�,資源管理器25轉(zhuǎn)發(fā)請求資源查詢請求34到授權(quán)服務(wù)27���。當(dāng)接收到請求34時(shí)�����,授權(quán)服務(wù)27在資源結(jié)構(gòu)26中搜索資源名稱并用對應(yīng)節(jié)點(diǎn)的ACL中的授權(quán)信息評估(步驟106)客戶機(jī)的授權(quán)憑證和授權(quán)級別����。例如,使用圖5所示的資源查詢請求34��,授權(quán)訪問可以搜索資源結(jié)構(gòu)26并得到節(jié)點(diǎn)50e由節(jié)點(diǎn)名稱51e“用戶配置”和節(jié)點(diǎn)標(biāo)識符52e“key5”���。箭頭54e表示節(jié)點(diǎn)50e為父節(jié)點(diǎn)50c的子節(jié)點(diǎn)��。
如果評估的結(jié)果表明(步驟108)基于ACL中的信息客戶機(jī)有訪問資源的授權(quán)�����,那么授權(quán)服務(wù)27返回(步驟110)成功的響應(yīng)到資源管理器25�����。資源管理器25可以執(zhí)行(步驟112)客戶機(jī)請求的操作因?yàn)榭蛻魴C(jī)已被授權(quán)�。
使用圖4的資源請求32����,授權(quán)訪問27將遍歷資源結(jié)構(gòu)26中的節(jié)點(diǎn)并從節(jié)點(diǎn)50e開始處理憑證集合“key5(key3=所有者)”��,隨箭頭54e到節(jié)點(diǎn)50c憑證“key3(key2=所有者)”并隨箭頭54c到節(jié)點(diǎn)50b并引用ACL2“key2(Dad=所有者)”�。如果客戶機(jī)有設(shè)置為“Dad”的授權(quán)憑證���,那么他被授權(quán)為“所有者”來執(zhí)行“設(shè)定調(diào)制解調(diào)器配置”操作。
換句話說����,如果(在塊108)和節(jié)點(diǎn)關(guān)聯(lián)的ACL并未授予客戶訪問權(quán)限,那么授權(quán)服務(wù)27搜索(步驟114)查找包含有允許客戶機(jī)訪問該資源的足夠高的授權(quán)級別的ACL父節(jié)點(diǎn)�。如果為發(fā)現(xiàn)父節(jié)點(diǎn),那么ACL和關(guān)聯(lián)的授權(quán)級別和授權(quán)憑證被轉(zhuǎn)發(fā)到授權(quán)服務(wù)27����。然后處理返回塊106,其中授權(quán)服務(wù)用ACL中的信息檢查客戶機(jī)的憑證�����。
然而����,如果(在塊114)搜索結(jié)構(gòu)表明不存在有在足夠高的授權(quán)級別的繼承的ACL的父節(jié)點(diǎn),那么授權(quán)服務(wù)27返回(步驟116)失敗結(jié)果到資源管理器25�。資源管理器被拒絕(步驟118)對該資源的服務(wù)并且可以發(fā)送該拒絕到客戶機(jī)。
如果有上述已標(biāo)識的授權(quán)憑證的客戶機(jī)再次嘗試訪問對應(yīng)于節(jié)點(diǎn)50d的“裝載點(diǎn)”��,客戶機(jī)將被拒絕訪問��,因?yàn)槿缂^54d所示節(jié)點(diǎn)50d僅代理“審察者”的授權(quán)級別到它的父節(jié)點(diǎn)50c。節(jié)點(diǎn)50c包含有值為“key3(key2=所有者)”的ACL3�,表明如箭頭54c所示憑證代理給節(jié)點(diǎn)50b。因此����,對有節(jié)點(diǎn)名稱51b“DenPC的節(jié)點(diǎn)50b”,在ACL53b的授權(quán)級別賦值“key2(Dad=所有者)”并不授權(quán)“Dad”訪問“裝載點(diǎn)”節(jié)點(diǎn)50d���。
使用上述技術(shù)�����,資源廠商如生產(chǎn)者可以定義它自己的公鑰/私鑰并要求客戶機(jī)使用密鑰以獲得對該調(diào)制解調(diào)器某些方面�,如該調(diào)制解調(diào)器的檢查特性的訪問�。通過限制對檢查特性的訪問到授權(quán)用戶,制造者可以使用授權(quán)框架23來執(zhí)行定制的安全限制���。
上述技術(shù)可以允許授權(quán)在多個(gè)應(yīng)用��,包括跨越不同管理域的分布式系統(tǒng)��,之間共享�����。進(jìn)一步來說�����,該技術(shù)可以應(yīng)用于解決和對消費(fèi)者市場加固服務(wù)網(wǎng)關(guān)平臺相關(guān)的問題����。該技術(shù)也可以被用在企業(yè)對企業(yè)或企業(yè)對消費(fèi)者的服務(wù)應(yīng)用的電子商務(wù)(“e business”)解決方案中�����,其中通訊的端點(diǎn)內(nèi)在地為不同管理域的部分�。
雖然上面討論了4種授權(quán)級別,提高級別的粒度是可能的����。
系統(tǒng)不同的特性能夠以硬件、軟件或硬件和軟件的組合實(shí)現(xiàn)�。例如,系統(tǒng)的一些方面可以實(shí)現(xiàn)在可編程計(jì)算機(jī)上執(zhí)行的計(jì)算機(jī)程序中��。每個(gè)程序可以實(shí)現(xiàn)在高層次過程或面向?qū)ο缶幊陶Z言中來和計(jì)算機(jī)系統(tǒng)通訊��。進(jìn)一步來說,每個(gè)這樣的計(jì)算機(jī)程序可以存儲在存儲媒體中����,如由通用或?qū)S每删幊烫幚砥骺勺x的只讀存儲器(ROM),來配置和操作計(jì)算機(jī)����,當(dāng)存儲媒體由計(jì)算機(jī)讀取以執(zhí)行上述功能時(shí)。
其他實(shí)現(xiàn)在下述權(quán)利要求的范圍之內(nèi)��。
權(quán)利要求
1.一種方法���,其特征在于�,所述方法包括從第一個(gè)請求者接收資源請求����,所述資源請求包括憑證并標(biāo)識將對資源進(jìn)行的操作;映射資源請求到一個(gè)資源標(biāo)識符�����;基于資源標(biāo)識符搜索資源數(shù)據(jù)結(jié)構(gòu)查找資源節(jié)點(diǎn)���;及基于資源請求中的憑證是否和資源節(jié)點(diǎn)關(guān)聯(lián)的資源授權(quán)參數(shù)�����,確定第一個(gè)請求者是否有對資源進(jìn)行操作的授權(quán)��。
2.如權(quán)利要求1所述的方法�����,其特征在于����,所述搜索包括搜索每個(gè)標(biāo)識一個(gè)資源并包括一個(gè)資源標(biāo)識符的資源節(jié)點(diǎn)���。
3.如權(quán)利要求1所述的方法�,其特征在于�,所述搜索包括搜索有向圖結(jié)構(gòu)。
4.如權(quán)利要求1所述的方法���,其特征在于����,所述接收資源請求包括接收符合簡化的公鑰體系的數(shù)字證書����。
5.如權(quán)利要求1所述的方法�,其特征在于��,所述映射包括映射資源請求到資源標(biāo)識符并且資源授權(quán)參數(shù)包括授權(quán)對資源的完全訪問的所有者級別����。
6.如權(quán)利要求1所述的方法,其特征在于����,所述映射包括映射資源請求到資源標(biāo)識符并且資源授權(quán)參數(shù)包括授權(quán)對資源的讀/寫訪問的編輯者級別。
7.如權(quán)利要求1所述的方法����,其特征在于,所述映射包括映射資源請求到資源標(biāo)識符并且資源授權(quán)參數(shù)包括授權(quán)對資源的只讀訪問的審察者級別����。
8.如權(quán)利要求1所述的方法,其特征在于�����,所述映射包括映射資源請求到資源標(biāo)識符并且資源授權(quán)參數(shù)包括拒絕對資源的所有訪問的無級別�。
9.如權(quán)利要求1所述的方法�,其特征在于���,包括在資源數(shù)據(jù)結(jié)構(gòu)中將由父節(jié)點(diǎn)代理子節(jié)點(diǎn)的憑證�����。
10.如權(quán)利要求9所述的方法,其特征在于�����,基于代理的憑證處理所述資源請求��。
11.如權(quán)利要求1所述的方法����,其特征在于,所述資源請求產(chǎn)生于通過網(wǎng)絡(luò)連接到服務(wù)器計(jì)算機(jī)的客戶機(jī)計(jì)算機(jī)�。
12.一種裝置,其特征在于�,所述裝置包括存儲器,所述存儲器用于存儲有每個(gè)表示相應(yīng)的資源并且有相應(yīng)的資源標(biāo)識符和資源授權(quán)參數(shù)的資源節(jié)點(diǎn)的資源數(shù)據(jù)結(jié)構(gòu)�;及處理器,所述處理器配置為從第一個(gè)請求者接收資源請求���,所述資源請求包括憑證并標(biāo)識將對資源進(jìn)行的操作���;映射資源請求到一個(gè)資源標(biāo)識符���;基于資源標(biāo)識符搜索資源數(shù)據(jù)結(jié)構(gòu)查找資源節(jié)點(diǎn);及基于資源請求中的憑證是否和資源節(jié)點(diǎn)關(guān)聯(lián)的資源授權(quán)參數(shù)���,確定第一個(gè)請求者是否有對資源進(jìn)行操作的授權(quán)���。
13.如權(quán)利要求12所述的裝置,其特征在于��,所述資源數(shù)據(jù)結(jié)構(gòu)包括有向圖結(jié)構(gòu)�����。
14.如權(quán)利要求12所述的裝置���,其特征在于��,所述憑證包括符合簡化的公鑰體系的數(shù)字證書�����。
15.如權(quán)利要求12所述的裝置�,其特征在于,所述資源授權(quán)級別包括授權(quán)對資源的完全訪問的所有者級別�。
16.如權(quán)利要求12所述的裝置,其特征在于����,所述資源授權(quán)級別包括授權(quán)對資源的讀/寫訪問的編輯者級別。
17.如權(quán)利要求12所述的裝置���,其特征在于����,所述資源授權(quán)級別包括授權(quán)對資源的只讀訪問的審察者級別����。
18.如權(quán)利要求12所述的裝置��,其特征在于���,所述資源授權(quán)級別包括拒絕對資源的所有訪問的無級別����。
19.如權(quán)利要求12所述的裝置,其特征在于�,所述資源數(shù)據(jù)包括從子節(jié)點(diǎn)到父節(jié)點(diǎn)的資源授權(quán)級別代理。
20.一種系統(tǒng)���,其特征在于���,所述系統(tǒng)包括第一個(gè)計(jì)算機(jī),所述第一個(gè)計(jì)算機(jī)和配置為產(chǎn)生有憑證的資源請求的第一個(gè)請求者關(guān)聯(lián)����;第二個(gè)計(jì)算機(jī),所述第二個(gè)計(jì)算機(jī)包括用于存儲有每個(gè)表示相應(yīng)的資源并且有相應(yīng)的資源標(biāo)識符的資源節(jié)點(diǎn)的資源數(shù)據(jù)結(jié)構(gòu)的存儲器�����,并且所述第二個(gè)計(jì)算機(jī)配置為從第一個(gè)請求者接收資源請求����,所述資源請求包括憑證并標(biāo)識將對資源進(jìn)行的操作;映射資源請求到一個(gè)資源標(biāo)識符���;基于資源標(biāo)識符搜索資源數(shù)據(jù)結(jié)構(gòu)查找資源節(jié)點(diǎn)����;及基于資源請求中的憑證是否和資源節(jié)點(diǎn)關(guān)聯(lián)的資源授權(quán)等級,確定第一個(gè)請求者是否有對資源進(jìn)行操作的授權(quán)�;及使第一個(gè)和第二個(gè)計(jì)算機(jī)通過其通訊的網(wǎng)絡(luò)。
21.如權(quán)利要求20所述的系統(tǒng)�,其特征在于,所述資源數(shù)據(jù)結(jié)構(gòu)包括有向圖數(shù)據(jù)結(jié)構(gòu)�����。
22.如權(quán)利要求20所述的系統(tǒng)��,其特征在于���,所述憑證包括符合簡化的公鑰體系的數(shù)字證書����。
23.如權(quán)利要求20所述的系統(tǒng)���,其特征在于,所述資源授權(quán)級別包括由所有者級別���、編輯者級別���、審察者級別�����、無級別構(gòu)成的組中的級別之一��。
24.如權(quán)利要求20所述的系統(tǒng)����,其特征在于�����,包括從子節(jié)點(diǎn)到父節(jié)點(diǎn)的憑證代理���。
25.如權(quán)利要求20所述的系統(tǒng)�,其特征在于��,包括由第二個(gè)請求者代理和第一個(gè)請求者關(guān)聯(lián)的憑證���,所述第二個(gè)請求者可以使用來自第一個(gè)請求者的憑證請求資源����,好像它就是第一個(gè)請求者那樣。
26.一種包含存儲計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀媒體的物品����,其特征在于,所述計(jì)算機(jī)可執(zhí)行指令用于使計(jì)算機(jī)系統(tǒng)映射資源請求到資源標(biāo)識符����,以響應(yīng)接收來自第一個(gè)請求者的資源請求,所述資源請求包括資源請求包括憑證并標(biāo)識將對資源進(jìn)行的操作�����;基于資源標(biāo)識符搜索資源數(shù)據(jù)結(jié)構(gòu)查找資源節(jié)點(diǎn)�;及基于資源請求中的憑證是否和資源節(jié)點(diǎn)關(guān)聯(lián)的資源授權(quán)參數(shù),確定第一個(gè)請求者是否有對資源進(jìn)行操作的授權(quán)���。
27.如權(quán)利要求26所述的物品�,其特征在于���,包括用于使計(jì)算機(jī)系統(tǒng)有包含表示資源的包括資源標(biāo)識符和資源授權(quán)級別的資源節(jié)點(diǎn)的有向圖數(shù)據(jù)結(jié)構(gòu)的指令����。
28.如權(quán)利要求26所述的物品�����,其特征在于��,包括用于使計(jì)算機(jī)系統(tǒng)有符合簡化的公鑰體系的數(shù)字證書的指令���。
29.如權(quán)利要求26所述的物品����,其特征在于�,包括用于使計(jì)算機(jī)系統(tǒng)由父節(jié)點(diǎn)代理子節(jié)點(diǎn)的憑證的指令。
30.如權(quán)利要求26所述的物品�����,其特征在于��,包括用于使計(jì)算機(jī)系統(tǒng)代由第二個(gè)請求者代理和第一個(gè)請求者關(guān)聯(lián)的憑證以允許第二個(gè)請求者使用來自第一個(gè)請求者的憑證請求資源�,好像它就是第一個(gè)請求者那樣。
全文摘要
資源授權(quán)包括接收來自第一個(gè)請求者的資源請求�����。資源請求包括憑證并標(biāo)識將對資源進(jìn)行的操作����。資源請求被映射到資源標(biāo)識符���,并且基于資源標(biāo)識符搜索資源數(shù)據(jù)結(jié)構(gòu)查找資源節(jié)點(diǎn)?;谫Y源請求中的憑證是否和關(guān)聯(lián)于資源節(jié)點(diǎn)的資源授權(quán)級別匹配確定第一個(gè)請求者是否得到對資源進(jìn)行操作的授權(quán)。
文檔編號H04L29/06GK1507732SQ02809587
公開日2004年6月23日 申請日期2002年5月9日 優(yōu)先權(quán)日2001年5月11日
發(fā)明者V·洛茲, V 洛茲 申請人:英特爾公司