[发明专利]用于管理安全对象的方法和系统

权利要求书

1.一种用于在计算机系统中管理用户对资源的访问的方法，包括以下步骤：

-接收有关所述用户请求访问所述资源的消息，所述访问与一访问级别关联，如果所述用户和所述资源之间存在用于所述访问级别的访问路径，则准许所述访问，所述访问路径包括：

-身份通告器，用于表示所述用户、所述用户作为成员的组或角色，以及

-访问控制描述符，用于表示所述身份被授权访问所述资源或包括所述资源的资源组所达到的访问级别；其中所述身份通告器和所述访问控制描述符均为安全对象，每个都包括表示其在授权访问资源时的使用的标志；

-响应于接收到所述消息，在记录中存储所述用户的第一标识符、所述资源的第二标识符、所述访问级别以及用于表示已请求访问的第一值；

-识别可用于判定是否授权所述用户以所述访问级别访问所述资源的所有访问路径；

-将这样识别的每个访问路径的安全对象的标志设置为所述第一值；

-接收另一安全对象，包括表示其在授权访问资源时的使用的标志；

-根据这样接收的所述另一安全对象的标志值，针对该对象作出决定。

2.如权利要求1中所述的方法，其中在所述在记录中存储的步骤中，所述第一值是在每次请求所述访问时递增的计数器。

3.如权利要求2中所述的方法，其中所述决定是在所述其他安全对象的标志值低于预定值时删除该对象。

4.如权利要求2或3中所述的方法，其中在所述在记录中存储的步骤中，进一步在所述记录中存储访问请求的时间戳；并且其中，在所述设置标志的步骤中，将所述标志设置为进一步包括所述时间戳。

5.如权利要求4中所述的方法，其中所述决定是在所述其他安全对象的标志中设置的时间戳设置早于预定日期时删除该对象。

6.如上述任一权利要求中所述的方法，其中，在所述在记录中存储的步骤中，所述记录可以是长期的或永久的。

7.如上述任一权利要求中所述的方法，包括以下进一步的步骤：

-在所述识别所有访问路径的步骤中，进一步识别包括第一访问级别的第一访问路径和包括第二访问级别的第二访问路径，其中所述第一访问级别和第二访问级别相互冲突，并且所述第一访问路径被所述第二访问路径否决；以及

-在所述设置标志的步骤中，将所述第一访问路径的安全对象的标志设置为第二值，以便表示它们不被使用，因为所述第一访问路径被否决。

8.如权利要求7中所述的方法，其中在所述决定步骤中，所述决定是在所述其他安全对象的标志设置为所述第二值时删除该对象。

9.如上述任一权利要求中所述的方法，其中所述身份通告器可以是用户组或用户角色。

10.一种包括适合于执行如权利要求1至8中任一权利要求中所述的方法的每个步骤的装置的装置。

11.一种计算机程序，包括当所述计算机程序在计算机上执行时，适合于执行如权利要求1至8中任一权利要求中所述的方法步骤的指令。

12.一种上面编码有如权利要求10中所述的计算机程序的计算机可读介质。