CN1507732A

CN1507732A - 授权访问服务器上的资源的方法和系统

Info

Publication number: CN1507732A
Application number: CNA028095871A
Authority: CN
Inventors: v; V·洛兹
Original assignee: Intel Corp
Current assignee: Intel Corp
Priority date: 2001-05-11
Filing date: 2002-05-09
Publication date: 2004-06-23
Anticipated expiration: 2022-05-09
Also published as: CN100488190C; US20020169986A1; US7107610B2; TWI223949B; DE10296804T5; DE10296804B4; WO2002093872A1; HK1064839A1

Abstract

资源授权包括接收来自第一个请求者的资源请求。资源请求包括凭证并标识将对资源进行的操作。资源请求被映射到资源标识符，并且基于资源标识符搜索资源数据结构查找资源节点。基于资源请求中的凭证是否和关联于资源节点的资源授权级别匹配确定第一个请求者是否得到对资源进行操作的授权。

Description

授权访问服务器上的资源的方法和系统

背景技术

本发明涉及资源授权。

运行在网络上的服务器计算机的一个功能是管理资源并和客户机计算机共享资源。在客户机计算机能够访问特定资源之前，客户机应由服务器来验证身份并授权。在身份验证背后的一个目的是验证尝试访问服务器资源的客户机的身份。一旦客户机通过身份验证，服务器可以执行授权处理并评估客户机计算机拥有的特权用于共享的资源。

附图说明

图1展示一个授权系统。

图2为授权资源数据结构。

图3为授权资源请求的方法的流程图。

图4展示一个资源请求。

图5展示一个资源查询请求。

详细说明

如图1所示，授权系统10包括可以通过通讯路径9a-9n及网络14和服务器16通讯的客户机12a-12n。网络14可以包括，例如，因特网，松散管理的消费者网络、局域网(LAN)、广域网(WAN)，或其他计算机网络。服务器16管理资源18a-18n，包括信息资源，并通过资源连接19(如LAN)与之通讯。信息资源可以包括文件系统和硬件资源，如调制解调器、打印机或扫描设备。

每个客户机12a-12n可以和各自的身份验证凭证关联。例如，客户机12a和身份验证凭证11关联。每个客户机12a-12n也和表示赋予客户机的授权或特权级别的授权凭证关联。如图1所示，客户机12a和身份验证凭证13关联。每个客户机12a-12n也和表示客户机希望使用资源进行的操作的资源操作关联。例如，客户机12a和表示访问驻留在于文件系统中的文件、通过调制解调器通讯、使用打印机资源打印文档的操作或其他操作的资源操作15关联。

每个客户机12a-12n，可以产生包含身份验证凭证的身份验证请求。例如，客户机12a产生包含身份验证凭证11的身份验证请求31。请求31被发送到服务器16以使得当和服务器通过网络14建立通讯时客户机12a的身份可以由服务器验证。身份验证凭证11可以包括和客户机12a关联的名字和密码。替换地，可以使用如那些使用在公钥体系(PKI)中的私钥/公钥对实现身份验证凭证11。

每个客户机12a-12n可以在网络14上产生资源请求来访问由服务器管理的资源18a-18n。例如，客户机12a可以产生资源请求32。资源请求32包括由服务器16用来确定客户机是否有访问所请求资源的许可的授权凭证13。可以使用授权证书技术，如用在简单公钥体系(SPKI)中的方法实现授权凭证13。另外，资源请求32可以包含表示使用指定资源进行的操作的信息。

客户机，如客户机12a，可以让它的授权凭证13由第二个客户机代理。使用这种代理技术，第二个客户机可以用和客户机12a相同的授权凭证访问服务器。服务器16同等对待两个客户机的凭证。

系统管理员17负责关联服务器16和它的资源18a-18n。职责可以包括增加/删除资源18a-18n到/从服务器16。管理员可以使用应用程序20协同操作系统(O/S)62如Windows NT^TM O/S执行关联功能。这些程序可以存储在存储器63，如动态随机访问存储器(DRAM)中并由中央处理单元(CPU)64，如Intel Pentium处理器执行。应用程序20可以包括用户界面21来提供授权框架23和关联的资源18a-18n的可视表示。应用程序接口(API)22可以提供在应用程序20和授权框架23之间标准的通讯接口。授权框架23包括资源授权数据结构(资源结构)26用来建立对应于每个资源的符号化的资源名称之间的关系并且可以包括其他资源授权相关的信息。

资源管理器25为可以通过路径65和应用程序20通讯的程序模块并且负责通过路径29创建和管理资源结构26。它也可以负责映射由客户机产生的资源请求32到满足该请求所需的适合的资源相关的信息。可以通过经路径35提交资源查询请求34发送映射操作的结果到授权服务27。

授权服务27执行负责确定产生资源请求32的客户机12a是否得到访问请求的资源18a-18n的授权的程序。服务27搜索资源结构26并部分地基于伴随资源请求32的授权凭证13校验客户机12a是否有正确的授权。

管理员17，作为策略制订者，可以访问资源管理器25以基于一组和资源18a-18n相关的授权策略构建资源结构26。策略可以标识客户机12a-12n需要有何种授权级别来执行包含在资源请求32中的所请求的操作。

如图2所示，资源结构26可以作为有向图数据结构如有向树数据结构实现。资源结构26对应于表示资源的名称和资源18a-18n的分组的资源空间。资源结构26包括节点50a到50n的层次结构。根节点50a对附加的节点50b到50n提供一个锚点。每个节点都和相应的节点名称51a到51n和节点标识符52a到52n关联。例如，节点50c有节点名称51c“调制解调器”和节点标识符52c“key3”。每个节点50a到50n可以由它的节点名称、节点标识符或两者的组合来寻址。

资源结构26可以由能够定义授权子树的节点标识符52a到52n的由资源所有者，如资源的厂商来构建。随后策略制订者可以在资源结构中的适合的点上插入节点到子树中。授权子树可以包括资源结构中节点的一个子集。例如，子树可以包括由节点50c作为子树的基并且节点50d和50e作为子树的分支表示的调制解调器子树。替换地，策略制订者可以根据资源拥有者的偏好手工地插入节点到结构26中。手工地插入的节点可以包括由应用程序20动态赋值的关键字。然而，由于“关键字”可以在内部产生而并非是真正的公钥/私钥对，并不需要对内部关键字建立一个信任模型。

资源结构26支持一个“装载点”节点，其中管理员，作为策略制订者，可以对访问资源建立自顶向下的策略而无需知道资源的授权子树如何构建的内部细节。术语“装载点”类似于文件系统的装载点和访问许可。例如，节点50d位“制造者检查装载点”，其中调制解调器的制造者可以提供规定需要访问调整解调器资源检查特性的授权的一组策略。

结构26中的每个节点50a到50n也可以和相应的可以包含对应的授权凭证58和授权级别59的访问控制列表(ACL)53a到53n关联。授权级别59指访问资源所需的授权级别。在一个实例中，授权级别可以为下面四个值之一：(1)所有者，(2)编辑者，(3)审察者，或(4)无。所有者级别允许完全的对资源的管理性访问，编辑者允许对资源的读/写访问、审察者允许对资源的读访问，以及无，是缺省的/隐含的级别，拒绝对资源的所有访问。编辑资源结构26的部分的授权可以由授权级别控制。为了允许编辑子树，例如增加或删除子节点，更改名称、标识符和ACL，节点的授权级别应被设置为“所有者”。

授权凭证58可以表示基于客户机访问资源所需的的凭证的数字证书。例如，节点50c包含有值为“key3 (key2＝所有者)”的ACL 53c，表示授权凭证“key3”由授权级别“所有者”和授权凭证“key2”代理。凭证的代理由箭头54c表示。因此，在节点50b对应于节点标识符52b(“key2”)的授权凭证将被检查以确定授权。箭头54a到54n表示基于从子节点到父节点的授权的代理的授权凭证。

如图3所示，客户机12a产生(步骤100)通过网络14发送到服务器16的资源请求。假设，为了下述的目的，客户机12a能够和服务器16通讯，因为客户机已经通过前面的身份验证请求31由服务器进行身份验证。资源请求32(图4)包含授权凭证13如签名数字证书和由客户机指定的资源操作15。在这个例子中，授权凭证13被设置为“Dad”并且资源操作15被设置为“设定调制解调器配置”。

在资源请求32被访问16接收后，资源管理器25基于资源请求中的信息映射(步骤102)资源请求到资源名称(或其他标识符)和授权级别。

资源管理器25部分基于资源请求32的内容转换(步骤103)资源查询请求34。如图5所示，资源查询请求34包括对应于资源请求32的资源操作15得到的资源的资源名称41。请求34还包括表示客户机执行请求的操作所需的许可的授权级别42。另外，请求34标识对应于资源请求32中的授权凭证13的授权凭证43。

例如，使用前面图4中的资源请求32，资源管理器25确定(1)从资源操作15“设定调制解调器配置”得到资源名称41为“Key3/用户配置”，(2)“所有者”是结构26中特定资源节点的所需授权级别42，及(3)“Dad”为对应于在资源请求32中标识出的授权凭证13的授权凭证43。资源管理器25跟踪和资源结构26相关的信息，包括资源名称和关联的授权级别。

如图3所示，资源管理器25转发请求资源查询请求34到授权服务27。当接收到请求34时，授权服务27在资源结构26中搜索资源名称并用对应节点的ACL中的授权信息评估(步骤106)客户机的授权凭证和授权级别。例如，使用图5所示的资源查询请求34，授权访问可以搜索资源结构26并得到节点50e由节点名称51e“用户配置”和节点标识符52e“key5”。箭头54e表示节点50e为父节点50c的子节点。

如果评估的结果表明(步骤108)基于ACL中的信息客户机有访问资源的授权，那么授权服务27返回(步骤110)成功的响应到资源管理器25。资源管理器25可以执行(步骤112)客户机请求的操作因为客户机已被授权。

使用图4的资源请求32，授权访问27将遍历资源结构26中的节点并从节点50e开始处理凭证集合“key5(key3＝所有者)”，随箭头54e到节点50c凭证“key3(key2＝所有者)”并随箭头54c到节点50b并引用ACL2“key2(Dad＝所有者)”。如果客户机有设置为“Dad”的授权凭证，那么他被授权为“所有者”来执行“设定调制解调器配置”操作。

换句话说，如果(在块108)和节点关联的ACL并未授予客户访问权限，那么授权服务27搜索(步骤114)查找包含有允许客户机访问该资源的足够高的授权级别的ACL父节点。如果为发现父节点，那么ACL和关联的授权级别和授权凭证被转发到授权服务27。然后处理返回块106，其中授权服务用ACL中的信息检查客户机的凭证。

然而，如果(在块114)搜索结构表明不存在有在足够高的授权级别的继承的ACL的父节点，那么授权服务27返回(步骤116)失败结果到资源管理器25。资源管理器被拒绝(步骤118)对该资源的服务并且可以发送该拒绝到客户机。

如果有上述已标识的授权凭证的客户机再次尝试访问对应于节点50d的“装载点”，客户机将被拒绝访问，因为如箭头54d所示节点50d仅代理“审察者”的授权级别到它的父节点50c。节点50c包含有值为“key3(key2＝所有者)”的ACL3，表明如箭头54c所示凭证代理给节点50b。因此，对有节点名称51b“DenPC的节点50b”，在ACL53b的授权级别赋值“key2(Dad＝所有者)”并不授权“Dad”访问“装载点”节点50d。

使用上述技术，资源厂商如生产者可以定义它自己的公钥/私钥并要求客户机使用密钥以获得对该调制解调器某些方面，如该调制解调器的检查特性的访问。通过限制对检查特性的访问到授权用户，制造者可以使用授权框架23来执行定制的安全限制。

上述技术可以允许授权在多个应用，包括跨越不同管理域的分布式系统，之间共享。进一步来说，该技术可以应用于解决和对消费者市场加固服务网关平台相关的问题。该技术也可以被用在企业对企业或企业对消费者的服务应用的电子商务(“e business”)解决方案中，其中通讯的端点内在地为不同管理域的部分。

虽然上面讨论了4种授权级别，提高级别的粒度是可能的。

系统不同的特性能够以硬件、软件或硬件和软件的组合实现。例如，系统的一些方面可以实现在可编程计算机上执行的计算机程序中。每个程序可以实现在高层次过程或面向对象编程语言中来和计算机系统通讯。进一步来说，每个这样的计算机程序可以存储在存储媒体中，如由通用或专用可编程处理器可读的只读存储器(ROM)，来配置和操作计算机，当存储媒体由计算机读取以执行上述功能时。

其他实现在下述权利要求的范围之内。

Claims

1.一种方法，其特征在于，所述方法包括：

从第一个请求者接收资源请求，所述资源请求包括凭证并标识将对资源进行的操作；

映射资源请求到一个资源标识符；

基于资源标识符搜索资源数据结构查找资源节点；及

基于资源请求中的凭证是否和资源节点关联的资源授权参数，确定第一个请求者是否有对资源进行操作的授权。

2.如权利要求1所述的方法，其特征在于，所述搜索包括搜索每个标识一个资源并包括一个资源标识符的资源节点。

3.如权利要求1所述的方法，其特征在于，所述搜索包括搜索有向图结构。

4.如权利要求1所述的方法，其特征在于，所述接收资源请求包括接收符合简化的公钥体系的数字证书。

5.如权利要求1所述的方法，其特征在于，所述映射包括映射资源请求到资源标识符并且资源授权参数包括授权对资源的完全访问的所有者级别。

6.如权利要求1所述的方法，其特征在于，所述映射包括映射资源请求到资源标识符并且资源授权参数包括授权对资源的读/写访问的编辑者级别。

7.如权利要求1所述的方法，其特征在于，所述映射包括映射资源请求到资源标识符并且资源授权参数包括授权对资源的只读访问的审察者级别。

8.如权利要求1所述的方法，其特征在于，所述映射包括映射资源请求到资源标识符并且资源授权参数包括拒绝对资源的所有访问的无级别。

9.如权利要求1所述的方法，其特征在于，包括在资源数据结构中将由父节点代理子节点的凭证。

10.如权利要求9所述的方法，其特征在于，基于代理的凭证处理所述资源请求。

11.如权利要求1所述的方法，其特征在于，所述资源请求产生于通过网络连接到服务器计算机的客户机计算机。

12.一种装置，其特征在于，所述装置包括：

存储器，所述存储器用于存储有每个表示相应的资源并且有相应的资源标识符和资源授权参数的资源节点的资源数据结构；及

处理器，所述处理器配置为：

映射资源请求到一个资源标识符；

基于资源标识符搜索资源数据结构查找资源节点；及

13.如权利要求12所述的装置，其特征在于，所述资源数据结构包括有向图结构。

14.如权利要求12所述的装置，其特征在于，所述凭证包括符合简化的公钥体系的数字证书。

15.如权利要求12所述的装置，其特征在于，所述资源授权级别包括授权对资源的完全访问的所有者级别。

16.如权利要求12所述的装置，其特征在于，所述资源授权级别包括授权对资源的读/写访问的编辑者级别。

17.如权利要求12所述的装置，其特征在于，所述资源授权级别包括授权对资源的只读访问的审察者级别。

18.如权利要求12所述的装置，其特征在于，所述资源授权级别包括拒绝对资源的所有访问的无级别。

19.如权利要求12所述的装置，其特征在于，所述资源数据包括从子节点到父节点的资源授权级别代理。

20.一种系统，其特征在于，所述系统包括：

第一个计算机，所述第一个计算机和配置为产生有凭证的资源请求的第一个请求者关联；

第二个计算机，所述第二个计算机包括用于存储有每个表示相应的资源并且有相应的资源标识符的资源节点的资源数据结构的存储器，并且所述第二个计算机配置为：

映射资源请求到一个资源标识符；

基于资源标识符搜索资源数据结构查找资源节点；及

基于资源请求中的凭证是否和资源节点关联的资源授权等级，确定第一个请求者是否有对资源进行操作的授权；及

使第一个和第二个计算机通过其通讯的网络。

21.如权利要求20所述的系统，其特征在于，所述资源数据结构包括有向图数据结构。

22.如权利要求20所述的系统，其特征在于，所述凭证包括符合简化的公钥体系的数字证书。

23.如权利要求20所述的系统，其特征在于，所述资源授权级别包括由所有者级别、编辑者级别、审察者级别、无级别构成的组中的级别之一。

24.如权利要求20所述的系统，其特征在于，包括从子节点到父节点的凭证代理。

25.如权利要求20所述的系统，其特征在于，包括由第二个请求者代理和第一个请求者关联的凭证，所述第二个请求者可以使用来自第一个请求者的凭证请求资源，好像它就是第一个请求者那样。

26.一种包含存储计算机可执行指令的计算机可读媒体的物品，其特征在于，所述计算机可执行指令用于使计算机系统：

映射资源请求到资源标识符，以响应接收来自第一个请求者的资源请求，所述资源请求包括资源请求包括凭证并标识将对资源进行的操作；

基于资源标识符搜索资源数据结构查找资源节点；及

27.如权利要求26所述的物品，其特征在于，包括用于使计算机系统有包含表示资源的包括资源标识符和资源授权级别的资源节点的有向图数据结构的指令。

28.如权利要求26所述的物品，其特征在于，包括用于使计算机系统有符合简化的公钥体系的数字证书的指令。

29.如权利要求26所述的物品，其特征在于，包括用于使计算机系统由父节点代理子节点的凭证的指令。

30.如权利要求26所述的物品，其特征在于，包括用于使计算机系统代由第二个请求者代理和第一个请求者关联的凭证以允许第二个请求者使用来自第一个请求者的凭证请求资源，好像它就是第一个请求者那样。