CN110770731B

CN110770731B - 授权系统

Info

Publication number: CN110770731B
Application number: CN201880038295.8A
Authority: CN
Inventors: J·A·萨尔罗; S·R·伍德特克; P·H·万德尔维恩; S·基图尔
Original assignee: Apple Inc
Current assignee: Apple Inc
Priority date: 2017-06-28
Filing date: 2018-06-26
Publication date: 2023-11-28
Anticipated expiration: 2038-06-26
Also published as: CN110770731A; US11663310B2; EP3646227A1; US20200311240A1; WO2019005857A1

Abstract

在实施方案中，可实现权限的中央存储库，并且访问实体(例如客户端)和对其进行访问控制的实体(例如，文件、服务器等)可以依赖于中央存储库。权限可以因客户端而变化。在实施方案中，权限可被管理为由访问控制实体解释的值。因此，访问权限的定义可能基于实体而变化。在实施方案中，对访问权限的可见性可受到限制。例如，中央存储库可提供与访问权限相关联的句柄，但不提供访问权限本身。当访问实体尝试访问访问控制实体时，该句柄可用于标识访问权限。可以通过访问控制实体将句柄呈现给中央存储库以确认访问权限。

Description

授权系统

背景技术

技术领域

本公开整体涉及电子系统，更具体地讲，涉及此类电子系统上的操作系统。

背景技术

大多数电子系统(例如，计算系统，无论是独立的还是嵌入在其他设备中)具有一个程序，该程序控制系统中执行的各种其他代码对各种硬件资源(诸如处理器、外围设备、存储器等)的访问。该程序还根据需要安排用于执行的代码。该程序通常称为操作系统。

许多操作系统支持的另一服务是访问控制。访问控制可应用于任何实体(例如，文件、服务器、硬件设备、操作系统服务，上述任何一者的集合等)。访问控制确定允许哪些其他实体(例如，特定的客户端、特定的应用程序等)访问该实体，以及所允许的访问的类型/量。如果第一实体请求访问第二实体，并且在第一实体和第二实体之间分配的访问控制不允许该访问，则拒绝该访问。如果访问控制允许所请求的访问，则允许该访问。

通常，访问控制与正对其进行访问控制的实体(例如，如上所述的第二实体)相关联。访问控制通常对所有用户可见，并且被实体所有者和管理员(即系统中具有较高特权的用户)两者控制。在一些情况下，也可以有多个管理员。通常，访问控制在范围(所提供的访问类型)和粒度(访问控制可分配的个人)两者上都受到限制。例如，Linux操作系统为文件提供三种类型的访问控制(读取、写入和执行)，并且控制被分配成三组(所有者、管理员级别的用户和其他用户)。粒度的缺乏和访问控制的可见性降低了整体安全性(例如，如果一个用户需要访问，则允许组中的每个用户都具有相同的访问权限)。此外，由多个实体更改访问权限的能力也降低了安全性。

发明内容

在实施方案中，提供了一种用于控制访问的系统。可以实现权限的中央存储库，并且访问实体(例如，客户端)和对其进行访问控制的实体(例如，文件、服务器等)都可以依赖于该权限的中央存储库。权限可以与访问客户端相关联，因此可以因客户端而变化。

在实施方案中，权限可以被管理为由访问控制实体解释的值。因此，访问权限的定义可以基于实体而变化。例如，服务器可以提供一组服务。访问权限可以定义给定实体被允许访问哪些服务。此外，一些服务可以具有不同的服务级别，并且可以控制为给定实体提供的级别。其他访问控制实体可以具有不同的访问权限定义。例如，文件可以具有读取、写入和执行权限；硬件设备可以具有该设备执行的操作的权限等。

在实施方案中，可以限制对访问权限的可见性。例如，中央存储库可以提供与访问权限相关联的句柄，但是可以不提供访问权限本身。当访问实体尝试访问访问控制实体时，可以使用句柄来标识访问权限。可以将句柄(由访问控制实体)呈现给中央存储库，该中央存储库可以向访问控制实体提供访问权限值。另选地，在其他实施方案中，中央存储库可以针对访问实体的访问权限来审查访问，将允许/不允许的响应返回给访问控制实体。

附图说明

下面的详细描述参照附图，现在对这些附图进行简要说明。

图1是操作系统和各种其他实体的一个实施方案的框图。

图2是实体之间用于确定访问权限的通信的一个实施方案的框图。

图3是示出图2的通信机制中的客户端的一个实施方案的操作的流程图。

图4是示出图2的通信机制中的服务器的一个实施方案的操作的流程图。

图5至图7是示出图2的通信机制中的认证器的一个实施方案的操作的流程图。

图8是实体之间用于确定访问权限的通信的另一实施方案的框图。

图9是示出图8的通信机制中的客户端的一个实施方案的操作的流程图。

图10是示出图8的通信机制中的服务器的一个实施方案的操作的流程图。

图11是示出图2的通信机制中的认证器的一个实施方案的操作的流程图。

图12是计算机系统的一个实施方案的框图。

图13是计算机可访问存储介质的一个实施方案的框图。

尽管本公开可受各种修改形式和另选形式的影响，但其具体实施方案在附图中以举例的方式示出并将在本文中详细描述。然而，应当理解，附图和对其的具体实施方式不旨在将本公开限制为所公开的特定形式，而相反，本发明旨在涵盖落入所附权利要求书的实质和范围内的所有修改、等同物和另选方案。本文所使用的标题仅用于组织目的，并不旨在用于限制说明书的范围。如在整个本申请中所使用的那样，以允许的意义(即，意味着具有可能性)而非强制的意义(即，意味着必须)使用“可能”一词。类似地，字词“包括”、“包含”是指包括但不限于。如本文所用，术语“第一”、“第二”等充当其之后的名词的标签，并且不暗指任何类型的排序(例如，空间的、时间的、逻辑的等)，除非有明确指出。

在本公开内，不同实体(其可被不同地称为“单元”、“电路”、其他部件等等)可被描述或声称成“被配置为”执行一个或多个任务或操作。此表达方式—被配置为[执行一个或多个任务]的[实体]—在本文中用于指代结构(即，物理的事物，诸如电子电路)。更具体地，此表达方式用于指示此结构被布置成在操作期间执行一个或多个任务。结构可被描述成“被配置为”执行某个任务，即使该结构当前并非正被操作亦如此。“被配置为生成输出时钟信号的时钟电路”旨在涵盖例如在操作期间执行该功能的电路，即使所涉及的电路当前并非正被使用(例如该电路并未连接到电源)。因此，被描述或表述成“被配置为”执行某个任务的实体是指物理的事物，诸如设备、电路、存储可执行以实施该任务的程序指令的存储器等。该短语在本文中不被用于指代无形的事物。通常，形成与“被配置为”对应的结构的电路可包括硬件电路。硬件电路可包括以下项的任意组合：组合式逻辑电路、时钟存储设备(诸如触发器、寄存器、锁存器等)、有限状态机、存储器(诸如静态随机存取存储器或嵌入式动态随机存取存储器)、定制设计电路、模拟电路、可编程逻辑阵列等。类似地，为了描述方便，可将各种单元/电路/部件描述为执行一个或多个任务。此类描述应当被解释为包括短语“被配置为”。

术语“被配置为”并不旨在表示“可被配置为”。例如，未经编程的FPGA不会被认为是“被配置为”执行某个特定功能，虽然其可能“可被配置为”执行该功能。在适当编程之后，FPGA然后可被配置为执行该功能。

所附权利要求书中表述被配置为执行一个或多个任务的单元/电路/部件或其他结构明确地旨在对该项权利要求不援引35U.S.C.§112(f)的解释。于是，所提交的本申请中没有任何权利要求旨在要被解释为具有装置-加-功能要素。如果申请人在申请过程中想要援引112(f)部分，则其将利用“用于”[执行功能]“的装置”结构来表述权利要求的要素。

在一个实施方案中，可通过以硬件描述语言(HDL)诸如Verilog或VHDL对电路的描述进行编码来实现根据本公开的硬件电路。可针对为给定集成电路制造技术设计的单元库来合成HDL描述，并可出于定时、功率和其他原因而被修改，以获得可被传输到工厂以生成掩模并最终产生集成电路的最终的设计数据库。一些硬件电路或其部分也可在示意图编辑器中被定制设计并与合成电路一起被捕获到集成电路设计中。该集成电路可包括晶体管并还可包括其他电路元件(例如，无源元件，诸如电容器、电阻器、电感器等)，以及晶体管和电路元件之间的互连件。一些实施方案可实现耦接在一起的多个集成电路，以实现硬件电路，和/或可在一些实施方案中使用离散元件。另选地，HDL设计可被合成为可编程逻辑阵列诸如现场可编程门阵列(FPGA)并且可在FPGA中实现。

如本文所用，术语“基于”或“取决于”用于描述影响确定的一个或多个因素。此术语不排除可能有附加因素可影响确定。也就是说，确定可仅基于指定的因素或基于所指定的因素及其他未指定的因素。考虑短语“基于B确定A”。这个短语指定B是用于确定A的因素或者其影响A的确定。这个短语并不排除A的确定也可能基于某个其他因素诸如C。这个短语还旨在涵盖A仅基于B来确定的实施方案。如本文所用，短语“基于”与短语“至少部分地基于”是同义的。

本公开包括对“一个实施方案”或“实施方案”的引用。出现短语“在一个实施方案中”或“在实施方案中”并不一定是指同一个实施方案。特定特征、结构或特性可以与本公开一致的任何合适的方式被组合。通常，本公开并非旨在提及一个特定具体实施，而是提及落入包括所附权利要求书的本公开的实质内的一系列实施方案。

具体实施方式

在实施方案中，对系统的访问权限可保持在中央存储库中。在本说明书中，访问权限被称为“授权”，因为权限是相对于给定的访问控制实体而授予访问实体。通常，访问实体的授权可以控制访问实体被允许与访问控制实体进行哪些交互。交互可以是特定于访问控制实体的。例如，服务器可以支持两个或更多个服务。对访问实体的授权可以指定允许访问实体请求哪些服务。文件可以具有读取、写入和执行授权。因此，访问实体可以具有独立控制的读取、写入和执行交互。硬件设备可以具有访问/无访问授权、配置更改授权和/或发送/接收授权。基于访问/无访问授权，可以允许或拒绝访问实体的访问。可以基于配置更改授权来允许或拒绝访问实体的配置更改请求。可以基于发送/接收授权来允许或拒绝访问实体的发送或接收。可以基于访问实体支持任何一组交互。另外，尽管下面针对访问实体和访问控制实体更详细地描述了示例，但是授权可以在两个方向上应用于对等方(例如，基于一组授权，每个对等方可以是另一对等方的访问实体)。此外，被控制访问不限于两个实体，而是可以控制三个或更多个实体之间的交互。例如，每个实体对于交互中的每个其他实体可以具有一组授权。

在实施方案中，中央存储库(本文称为认证器)可以具有在操作系统和该系统的其他软件部件被构建时分配的一组授权。在一些实施方案中，授权可以在使用期间动态地改变，但是从在构建期间创建的组开始。在实施方案中，访问实体可以将其授权出售给另一实体，并且可以进一步限制该授权(但是不可以扩展它们)。在实施方案中，对给定访问实体的授权的扩展可以由被访问实体控制，或者可以由被访问实体与认证器或其他信任控制实体结合来控制。在其他实施方案中，授权可以在构建时设定，并且可以不动态改变。

下面将使用客户端和服务器以及有关该服务器的客户端授权来更详细地描述示例。然而，其他实施方案可以采用任何访问实体和被访问实体和/或访问实体和被访问实体的任何组合。

图1是可实现授权的系统的部件的一个实施方案的框图。如图1所示，部件可以包括客户端10、服务器12、认证器(auth)14和消息路由器16。各种部件可以在一个或多个计算机系统上执行。如果使用多于一个的计算机系统，消息路由器16可以在每个计算机系统上执行，并且可以与其他计算机系统上的消息路由器16通信，以在客户端10、服务器12和认证器14之间路由消息。如果客户端10、服务器12和认证器14都在同一计算机系统上执行，则消息路由器16可以是计算机系统上的操作系统(或可以是操作系统的一部分)。

部件(例如客户端10、服务器12和认证器14)之间的通信可以为经由消息路由器16进行传送的消息形式。例如，希望进行通信的部件可以在消息路由器16中建立信道。消息路由器16可以将信道标识符(Cid)分配给该信道，并且发送部件可以使用消息中的Cid来标识接收部件。在实施方案中，信道的所有者(建立该信道的部件)可以将令牌与信道相关联。令牌可以是不可伪造的(也就是说，没有其他实体可以知道该令牌，它可以隐藏在消息中)。如果允许的话，令牌可以帮助信道所有者确定消息确实来自于形成信道的实体，或者来自该实体向其出售该信道的另一实体。

在实施方案中，客户端10可以请求并接收认证(auth)“句柄”，该“句柄”可以用于标识用于给定服务器12的客户端的授权。即，句柄不仅是一组授权的句柄，而且还指示客户端对这些授权的所有权。该句柄可以是不透明的，意味着该句柄不能用于查看实际的授权。客户端10可以使用句柄来标识客户端10对给定服务器12所拥有的授权，通过将句柄发送到服务器12或请求认证器14将权限(或对操作的认证)发送到服务器12。两种机制的实施方案在下面更详细地描述。

注意，尽管在图1中示出了客户端10和服务器12，但是相同的部件可以互换角色以进行另一交互。即，在一个交互中充当客户端10的部件可以在另一交互中是服务器12，并且在该另一交互中服务器12可以是客户端10。

图2是示出客户端10、服务器12、认证器14和启动器/加载器20之间的用于管理系统中的授权和授权的认证的通信的一个实施方案的框图。认证器14被示出为两个部分，前端14A和后端14B。图2中的箭头表示各个实体之间的通信(例如，实体之间的信道)。头部闭合的箭头(黑色)示出命令或请求信道，头部打开的箭头(白色)示出响应信道。在各种实施方案中，命令/请求信道和响应信道可以是相同的信道，或者可以是单独的信道。

启动器/加载器20可以是初始化一个或多个系统以执行客户端10、服务器12和认证器14的代码。启动器/加载器20还可以将与客户端10、服务器12和认证器14对应的代码加载到系统中的存储器中，从而提供在启动器/加载器20与客户端10、服务器12和认证器14之间的信任链的起点。

如上所述，认证器14在图2中被示为认证前端14A和认证后端14B。认证前端14A可以包括到系统中其他实体的接口，并且可以管理来自系统中的各个客户端和服务器实体的消息以验证授权。认证后端14B可以包括对客户端的授权的管理。在一个实施方案中，授权可以是密钥值对。该值可以由服务器12或其他访问控制实体定义，并且因此对于不同的服务器/实体可以不同。在此类实施方案中，认证器14可以不尝试解释授权，而是可以将授权提供给服务器12以进行解释。

当启动器/加载器20正在启动客户端10时，启动器/加载器20可以从认证前端14A请求认证ID(弧22)。该请求可以包括客户端10的名称，其可以被用于标识客户端以分配认证ID。认证ID可以标识认证ID系统中的客户端用于认证/授权请求。认证前端14A可以将消息发送到认证后端14B以获得认证ID，认证后端可以将该认证ID返回到认证前端14A(弧24)。认证前端14A可以将认证ID返回到启动器/加载器20(弧22)。当启动客户端10时，启动器/加载器20可以将认证ID发送到客户端10(弧26)。

当客户端10要采用来自服务器12的服务时，客户端10可以从认证前端14A请求用于其授权的句柄(弧28)。该请求可以包括客户端10的认证ID和在客户端10可以具有授权的各种服务器或其他实体中标识服务器12的密钥。例如，它可以是与服务器12相关联的公共密钥。另选地，密钥可以是在认证器14具有其授权的实体中唯一地标识服务器的任何标识符。如上所述，认证句柄不仅标识授权，而且还标识客户端对这些授权的所有权，因此在图2中被标记为认证句柄。认证前端14A可以利用认证句柄来响应。认证句柄对于客户端10可以为不透明的。即，客户端10可能无法查看其授权。可以通过将值对客户端10保密来提高系统中的安全性(因此，通过客户端10或尝试监视通信以检测服务器12支持的授权值的其他实体不可以推断出将表示其他授权的值)。

客户端10可以使用移动一次消息将认证句柄发送到服务器12(弧30)。移动一次消息可以允许将给定对象从源(例如客户端10)移动到目的地(例如服务器12)。目的地可以接收移动一次消息，并且可以使用内容(例如，从认证系统14读取授权)，但无法将认证句柄发送到创建对象的实体(例如，在这种情况下为认证器14)以外的另一实体。消息路由器16可以强制执行移动一次操作。由于移动一次消息的接收者无法移动认证句柄，因此接收者可能不会尝试将客户端10冒充为其他实体。用另一种方式来看，移动一次消息的接收者可以将消息的内容(认证句柄)发送到内容的源(在这种情况下为认证器14)，但无法将它们发送到其他地方。在其他实施方案中，可以使用除了移动一次语义之外的其他语义。

服务器12可以将包括该句柄的认证消息发送到认证前端14A，以获得对客户端10的授权(弧32)。认证前端14A可以查询认证后端14B以获得授权(弧34)并且可以将授权返回给服务器12(弧32)。

在实施方案中，由弧22、24、26、28、30、32和34表示的信道可以由建立信道并将信道ID和令牌分配给信道的另一实体(信道实体)来管理。令牌可以是不可伪造的，因此可以用作消息发送者正在使用由信道实体分配给该发送者的信道的证据。

现在转向图3，示出了示出用于图2的实施方案的客户端10的一个实施方案的操作的流程图。然而，为了便于理解，框图以特定顺序示出，也可使用其他顺序。客户端10可以包括在被执行时使计算机实现如图3所示的操作的指令。客户端10可被配置为实现如图3所示的操作。

客户端10可以在获取认证句柄命令中发送由启动器/加载器20提供的认证ID(框40)。如前所述，该命令可以包括用于服务器12的密钥(例如，在实施方案中公共/私有密钥对的公共密钥)，以在客户端10可用的授权中标识服务器。即，客户端10可以具有针对多个不同服务器12的授权。当认证句柄从认证前端14A返回到客户端10时，客户端10可以发送命令以与服务器12进行认证，在消息中提供认证句柄，并使用上述移动一次消息类型(方框42)。假设认证成功(即，客户端10确实具有与服务器12进行期望的交互所需的授权)，则客户端10可以开始与服务器12交互(框44)。交互将由服务器12从认证器14接收的授权控制。也就是说，如果基于该授权不允许客户端10进行特定的交互，则即使其他交互操作成功，该特定的交互也可能失败。

图4是示出用于图2的实施方案的服务器12的一个实施方案的流程图。然而，为了便于理解，框图以特定顺序示出，也可使用其他顺序。服务器12可以包括在被执行时使计算机实现如图4所示的操作的指令。服务器12可以被配置为实现如图4所示的操作。

响应于从客户端10接收到认证句柄，服务器12可以将该句柄发送到认证前端14A以进行认证(框50)。服务器12可以从认证前端14A接收回对应的授权，并且可以确定这些授权是否足以允许客户端10与服务器12进行交互。如果授权不足以进行任何交互(决策框52，“否”分支)，则服务器12可以阻止与客户端10的任何交互(框54)。例如，来自客户端10的消息可以被忽略。如果授权是足够的(决策方框52，“是”分支)，则服务器12可以根据已认证的授权允许与客户端10的交互(框56)。

图5至图7为示出用于图2的实施方案的认证器14的一个实施方案的操作的流程图。然而，为了便于理解，框图以特定顺序示出，也可使用其他顺序。认证器14(更具体地，认证前端14A和认证后端14B)可以包括在被执行时使计算机实现如图5至图7所示的操作的指令。认证前端14A和认证后端14B可以被配置为实现如图5至图7所示的操作。

图5示出了响应于来自启动器/加载器20的获取认证ID命令，认证器14的操作的一个实施方案。认证前端14A可以解析该命令以确定它是获取认证ID命令，并且可以获得客户端名称。认证前端14A可以将客户端名称发送到认证后端14B(框60)。认证后端14B可以基于客户端名称获得客户端的认证ID，并且可以将认证ID返回给认证前端14A(框62)。认证前端14A可以将认证ID分配给客户端10，并且可以将认证ID返回给请求者(框64)。在这种情况下，请求者可以是启动器/加载器20。

图6示出了响应于来自客户端10的获取认证句柄命令，认证器14的操作的一个实施方案。认证前端14A可以解析该命令以确定它是获取认证句柄命令，并且可以从该命令获得认证ID(框70)。认证前端14A可将句柄分配给认证ID(框72)，该句柄对客户端10可以是不透明的。即，客户端10可以不使用该句柄来访问授权。在实施方案中，认证前端14A甚至可以不将认证ID传送给认证后端14B以获得授权。相反，认证前端14A可以记录具有由客户端10提供的认证ID和密钥的句柄。认证前端14A可以利用句柄对客户端10做出响应(框74)。

图7示出了响应于来自服务器12的认证命令，认证器14的操作的一个实施方案。认证前端14A可以解析该命令以确定它是认证命令，并且可以获得认证句柄(框80)。认证前端14A可以从认证后端14B获得授权(框82)，并且可以将授权和成功的认证结果返回给服务器12(框84)。如果没有成功获得授权，则认证前端14A可以将空授权和失败的认证结果发送到服务器12(框84)。

接下来转到图8，示出了客户端10、服务器12、认证器14和启动器/加载器20之间的通信的另一实施方案的框图，该通信用于管理系统中的授权和授权的认证。与图2相似，认证器14分为两部分，前端14A和后端14B。在该实施方案中，“推送认证”模型用于认证授权。也就是说，不是提供不透明的句柄给客户端10，而是提供给服务器12，客户端10可以请求认证器14将授权发送给服务器12。图8的实施方案可以采用一些异步通信，并且可以依赖于回调来传送一些消息。

在该实施方案中，启动器/加载器20可以直接与认证后端14B进行通信以获得客户端10的认证ID，并且可以使用认证ID来获得客户端ID(分别为弧90和弧92)。在另一个实施方案中，两个ID可以通过与认证前端14A的通信来获取。启动器/加载器20可以加载客户端10，并向客户端传递其客户端ID(弧94)。然而，可以不向客户端10提供其认证ID。在各个实施方案中，还可以通过启动器/加载器20、认证前端14A或一些其他机制来向客户端10提供服务器12的ID。

服务器12可以类似地已经启动并且被提供有ID。服务器12可以向认证前端14A注册，该认证前端14A可以将第二ID分配给服务器12(弧96)。第二ID可以用于标识服务器12，但是可以不用于与服务器12通信。第二ID可以是如上所述提供给客户端10的ID。

当客户端10确定它需要来自服务器12的服务时，客户端10可以将认证命令发送到认证前端14A，请求认证器14向服务器12认证客户端的授权(弧98)。认证命令可以包括标识授权的密钥(图8中的认证命令中的“授权密钥”)、服务器ID(图8中的认证命令中的“服务器”)以及客户端10的回调地址(图8的认证命令中的“回调客户端”)。认证前端14A可以利用授权密钥来查询认证后端14B以获得授权值(弧100)，并且可以向服务器发送具有回调客户端地址、授权密钥和授权值的通知消息(弧102)。作为响应，服务器12可以将回调发送到客户端10(弧104)以发起与客户端10的交互。可以通过分配给客户端10的授权来控制交互。客户端10可能无法直接访问这些授权。服务器12也可能无法直接访问授权，直到授权已通过受信任的第三方(认证器14)进行了认证。

图9是示出当客户端10已经确定需要来自服务器12的服务时，用于图8的实施方案的客户端10的一个实施方案的操作的流程图。然而，为了便于理解，框图以特定顺序示出，也可使用其他顺序。客户端10可以包括在被执行时使计算机实现如图9所示的操作的指令。客户端10可以被配置为实现如图9所示的操作。

客户端10可以向认证前端14A发送认证命令，请求认证器14向服务器12认证客户端的授权(框110)。客户端10然后可以等待来自服务器12的回调(框112)。在各种实施方案中，等待回调可以包括客户端10进入睡眠状态或执行不涉及服务器12的其他工作。一旦回调发生，客户端就可以开始与服务器12交互(框114)。服务器12可以基于授权来限制交互。可以将客户端10设计为具有其在执行期间具有的期望授权，并且因此不应经由交互侵犯该授权。由于客户端10无法直接访问授权，因此它可能无法尝试欺骗其不具有的授权(例如，如果客户端10已被恶意代码替换)。

图10是示出用于图8的实施方案的服务器12的一个实施方案的操作的流程图。然而，为了便于理解，框图以特定顺序示出，也可使用其他顺序。服务器12可以包括在被执行时使计算机实现图10所示的操作的指令。服务器12可被配置为实现如图10所示的操作。

服务器12可以注册针对其服务的客户端认证的通知(框120)。然后，服务器12可以等待具有该通知的回调(框122)。与以上关于客户端10的讨论类似，服务器12可以通过进入睡眠状态或执行其他工作(例如响应来自其他客户端的请求)来等待通知。当通知到达时，服务器12可以基于为客户端10传递给服务器12的授权来回调客户端10以允许客户端10开始与服务器12交互(框124)。

图11是示出用于图8的实施方案的响应于来自客户端10的认证命令的认证器14的一个实施方案的操作的流程图。然而，为了便于理解，框图以特定顺序示出，也可使用其他顺序。认证器14(并且更具体地是认证前端14A和认证后端14B)可以包括在被执行时使计算机实现如图11所示的操作的指令。认证前端14A和认证后端14B可以被配置为实现图11所示的操作。

认证前端14A可以解析认证命令并从该命令获得授权密钥(框130)。认证前端14A可以使用密钥从认证后端14B获得对应的授权值(框132)。在不存在用于客户端10的授权值的情况下(这将是错误)，认证后端可以返回空授权值，使得服务器12可以被告知客户端10没有授权。认证前端14A可以从认证命令确定服务器12是认证的目标(框134)，并且可以发送带有客户端回调地址、授权密钥和授权值的通知(框136)。

现在转向图12，示出了示例性计算机系统210的一个实施方案的框图。在图12的实施方案中，计算机系统210包括至少一个处理器212、存储器214和各种外围设备216。处理器212耦接到存储器214和外围设备216。

处理器212被配置为执行指令，包括本文所述的软件中的指令，诸如客户端10、服务器12、认证器14(包括认证前端14A和认证后端14B)以及消息路由器16。在各种实施方案中，处理器212可实现任何期望的指令集(例如，Intel架构-32(IA-32，也被称为x86)、IA-32(具有64位扩展)、x86-64、PowerPC、Sparc、MIPS、ARM、IA-64等)。在一些实施方案中，计算机系统210可包括多于一个处理器。处理器212可以是系统210中的CPU(或多个CPU，如果包括多于一个的处理器)。在一些实施方案中，处理器212可为多核处理器。

处理器212可以任何期望的方式耦接到存储器214和外围设备216。例如，在一些实施方案中，处理器212可经由各种互连件耦接到存储器214和/或外围设备216。另选地或除此之外，一个或多个桥接器可以用于耦接处理器212、存储器214和外围设备216。

存储器214可包括任何类型的存储器系统。例如，存储器214可包括DRAM，以及更具体地双倍数据速率(DDR)SDRAM、RDRAM等。可包括存储器控制器以与存储器214接口连接，并且/或者处理器212可包括存储器控制器。存储器214可以存储在使用期间将由处理器212执行的指令，在使用期间将由处理器212操作的数据等。

外围设备216可以表示可以包括在计算机系统210中或耦接到计算机系统210的任何种类的硬件设备(例如，存储设备，可选地包括诸如图13所示的计算机可访问存储介质200)，其他输入/输出(I/O)设备诸如视频硬件、音频硬件、用户界面设备、网络硬件、各种传感器等。外围设备216可以进一步包括各种外围接口和/或到各种外围接口的桥接器，诸如外围部件互连器(PCI)、PCI Express(PCIe)、通用串行总线(USB)等。接口可以是行业标准接口和/或专有接口。在一些实施方案中，处理器212、用于存储器214的存储器控制器以及一个或多个外围设备和/或接口可以集成到集成电路(例如，片上系统(SOC))中。

计算机系统210可以是任何种类的计算机系统，包括诸如台式计算机、膝上型计算机、服务器等的通用计算机系统。计算机系统210可以是诸如智能电话、个人数字助理、平板电脑等的便携式系统。计算机系统210也可以是用于另一产品的嵌入式系统。

图13是计算机可访问存储介质200的一个实施方案的框图。一般来讲，计算机可访问存储介质可包括在使用期间能够被计算机访问以向计算机提供指令和/或数据的任何存储介质。例如，计算机可访问存储介质可包括诸如磁性或光学介质的存储介质，例如，盘(固定或可拆卸)、带、CD-ROM、DVD-ROM、CD-R、CD-RW、DVD-R、DVD-RW或蓝光。存储介质还可包括易失性或非易失性存储器介质，诸如RAM(例如，同步动态RAM(SDRAM)、Rambus DRAM(RDRAM)、静态RAM(SRAM)等)、ROM或闪存存储器。存储介质可被物理地包括在存储介质将指令/数据提供至其的计算机内。另选地，存储介质可连接至计算机。例如，存储介质可通过网络或无线链路诸如网络附接存储装置而被连接至计算机。存储介质可通过外围接口诸如通用串行总线(USB)而被连接。通常，计算机可访问存储介质200可以非暂态方式存储数据，其中非暂态在该上下文中可指不通过信号传输指令/数据。例如，非暂态存储装置可为易失性的(并且响应于断电而可能会丢失所存储的指令/数据)或为非易失性的。

图13中的计算机可访问存储介质200可以存储形成客户端10、服务器12、认证器14(例如认证前端14A和认证后端14B以及消息路由器16)的代码。客户端10、服务器12、认证器14和消息路由器16可以包括在被执行时实现上述针对这些部件的操作的指令。载体介质可包括计算机可访问存储介质以及诸如有线或无线传输的传输介质。

一旦充分了解了上面的公开，许多变型和修改对于本领域的技术人员而言将变得显而易见。本公开旨在使以下权利要求书被阐释为包含所有此类变型和修改。

Claims

1.一种在存储授权的中央存储库、访问实体和访问控制实体的嵌入式计算机系统中的方法，所述方法包括：

从所述访问实体向所述中央存储库发送第一命令，请求所述访问实体对由所述访问控制实体提供的服务的一个或多个授权的句柄；

由所述中央存储库利用所述句柄响应所述第一命令，所述句柄对于所述访问实体是不透明的，由此所述访问实体不能够访问所述一个或多个授权；

由所述访问实体以移动一次命令将所述句柄发送至所述访问控制实体，所述移动一次命令防止所述访问控制实体将所述句柄发送到所述中央存储库之外的实体；

从所述访问控制实体接收授权的所述中央存储库中的第二命令，其中所述第二命令包括所述句柄并请求所述一个或多个授权；

基于所述第二命令将所述一个或多个授权定位在授权的所述中央存储库；

将所述一个或多个授权从授权的所述中央存储库发送至所述访问控制实体，以供所述访问控制实体进行解释；

从授权的所述中央存储库接收所述访问控制实体中的所述一个或多个授权；

由所述访问控制实体确定所述一个或多个授权是否足以允许所述访问实体访问由所述访问控制实体提供的所述服务；以及

由所述访问控制实体基于确定所述访问实体是否被允许访问由所述访问控制实体提供的所述服务，选择性地允许所述访问实体访问由所述访问控制实体提供的所述服务，其中所述中央存储库安全地存储并向所述访问控制实体提供所述一个或多个授权，并防止所述访问实体对所述一个或多个授权具有可见性。

2.根据权利要求1所述的方法，还包括：

在所述访问控制实体、所述访问实体和所述中央存储库之间路由消息；以及

响应于包含所述句柄的所述移动一次命令来强制执行对所述句柄的移动一次要求。

3.根据权利要求1所述的方法，其中所述访问控制实体是服务器，并且所述访问实体是客户端。

4.一种计算机系统，包括：

一个或多个处理器；和

非暂态计算机可访问存储介质，所述非暂态计算机可访问存储介质耦接到所述一个或多个处理器并存储多个指令，所述指令在由所述一个或多个处理器执行时实现根据权利要求1至3中任一项所述的方法。