[发明专利]用户对于对象的访问的管理

说明书

技术领域

本发明涉及用户对对象的访问，尤其涉及用于管理用户对于包含对象的服务器的访问的方法和系统。

背景技术

当处理信息时，通常期望限制对信息的特定部分的访问，使得特定部分仅可由某些授权的用户访问。当信息被包含在物理文档(例如，印刷的书或帐目)中时，这些文档可使用诸如锁或文档保管员的物理访问控制来保护。然而，在当今世界中，大量信息以数字数据形式存储。数字数据可容易地创建、修改、复制、传输和删除，这导致存在于无数位置中的大量数字数据的增殖。类似于物理文档，通常期望限制对部分数字数据的访问。然而，数字数据的巨大数量以及易于创建、复制、传输、修改和删除数字数据使得保护数字数据成为一种挑战。

数字数据通常可用文件结构存储。文件结构可以是数据存储的分层系统，其中包含数字数据的对象可被存储在文件夹中。对象可以是程序、进程、文件或事件。对象也可具有安全描述符。文件夹还可被存储在其他文件夹中。对象中的数字数据可按照每个项目的方式访问。

对给定文件结构，可对每一对象分配访问控制列表(ACL)，其中ACL是向计算机的操作系统指示计算机的每一用户对给定对象具有的许可或访问权的数据结构。ACL可指定特定的一个或一组用户具有某些许可，诸如读、写或执行许可。因此，响应于访问对象的请求，可访问对象的ACL以确定分配给对象的许可。

系统管理员可基于特定对象的访问要求来更改ACL中定义的默认安全许可。考虑到存在数百、数千甚至数百万个对象，审阅每一对象的ACL的过程可能是成本高昂且冗长的。

此外，组的嵌套使得系统管理员难以确保仅适当的用户具有许可。例如，如果ACL包含用于一组用户的条目，则该组中的所有用户都被授予许可，包括组内的组。从而，系统管理员可能难以确保特定的一个或一组用户不具有对一对象的许可。

发明内容

此处描述了用于管理用户对访问对象的请求的各种技术的实现。在一个实现中，基于策略对用户是否拒绝或授予对于对象的访问权来作出判断(步骤a)。如果该策略对该用户既未拒绝也未授予对于对象的访问权，则对用户是否由该对象的访问控制列表(ACL)授予对于对象的访问权作出判断(步骤b)。然后如步骤(a)和(b)所确定的，对用户对于对象是否具有访问权得出结论。

在另一实现中，对用户是否拒绝或授予对于包含该对象的服务器的访问权作出判断。

在又一实现中，该服务器是虚拟服务器。

在再一实现中，如果由策略拒绝用户对于服务器的访问权，则拒绝用户访问对象，即使ACL对用户授予对于该对象的访问权。

在还一实现中，如果由策略对用户授予对于服务器的访问权，则准许用户访问对象，即使ACL未对该用户授予对于该对象的访问权。

各个技术的实现也针对其上存储计算机可执行指令的计算机可读介质，当该指令由计算机执行时，使计算机进行：(a)确定用于包含对象的服务器的策略是否对用户拒绝或授予对于服务器的访问权，(b)如果策略对该用户既不拒绝也不授予对于服务器的访问权，则确定该对象的访问控制列表是否对用户授予对于对象的访问权，以及(c)基于步骤(a)和(b)对该用户授予或拒绝对于对象的访问权。

各个技术的实现也针对用于存储供正在处理器上执行的应用程序访问的数据的存储器。该存储器在存储器中存储有数据结构。该数据结构包括服务器的访问掩码。访问掩码指定用于授予或拒绝对服务器的访问权的一个或多个许可。

所要求保护的主题不限于解决任何或所有所述缺点的实现。此外，提供该概述章节以便以简化形式介绍将在以下详细描述章节中进一步描述的一些概念。该概述章节不旨在标识所要求保护的主题的关键特征或本质特征，也不旨在用于限制所要求保护的主题的范围。

附图说明

图1示出了其中可包括或实践此处所述的技术的网络环境的示意图。

图2示出了根据此处所述的技术用于管理对一个或多个对象的访问的方法的流程图。

图3示出了此处所述的技术的各个实现可如何通过将策略访问掩码与ACL访问掩码合并来生成有效许可集的流程图。

具体实施方式