專利名稱:用于基于憑證的訪問(wèn)控制的支持語(yǔ)句的制作方法
用于基于憑證的訪問(wèn)控制的支持語(yǔ)句 發(fā)明領(lǐng)域本發(fā)明一般涉及訪問(wèn)控制�,尤其涉及在分布式訪問(wèn)控制系統(tǒng)中的基于憑證 的訪問(wèn)控制���。發(fā)明背景計(jì)算環(huán)境可包含各種實(shí)體和資源���。實(shí)體可包括用戶��、操作系統(tǒng)����、應(yīng)用程序�����、 過(guò)程�、線程、對(duì)象等�。資源可包括信息、文件��、網(wǎng)絡(luò)連接��、對(duì)象的屬性和方法 等�����。通常����,當(dāng)一個(gè)實(shí)體("客戶機(jī)")想訪問(wèn)由另一實(shí)體("服務(wù)器")所擁 有或管理的資源時(shí)����,該客戶機(jī)向該服務(wù)器發(fā)出一個(gè)訪問(wèn)請(qǐng)求�����。服務(wù)器可以使用 管理該資源的程序("資源管理器")來(lái)決定是否準(zhǔn)許該訪問(wèn)請(qǐng)求���。決定過(guò)程 通常被稱為訪問(wèn)控制過(guò)程。資源管理器可以通過(guò)咨詢預(yù)先配置的針對(duì)該資源的 訪問(wèn)策略("使用策略")來(lái)作出決定�����。資源管理器��、資源及相關(guān)聯(lián)的使用策 略可以被認(rèn)為是服務(wù)器的幾個(gè)部分�。資源管理器和相關(guān)聯(lián)的使用策略構(gòu)成訪問(wèn) 控制系統(tǒng)。傳統(tǒng)的訪問(wèn)控制系統(tǒng)就哪個(gè)實(shí)體能訪問(wèn)一資源而言往往是靜態(tài)且封閉的�����。 在這類訪問(wèn)控制系統(tǒng)中��,客戶機(jī)通常是服務(wù)器本地已知的經(jīng)認(rèn)證的實(shí)體,并且 作出決定所需的信息通?�?梢栽诜?wù)器上本地獲得�。因此,服務(wù)器需要本地管 理訪問(wèn)控制的整個(gè)復(fù)雜體系并且不能將某些管理工作委托給其它實(shí)體���。諸如因特網(wǎng)等分布式且動(dòng)態(tài)的計(jì)算環(huán)境的發(fā)展使靜態(tài)和封閉的訪問(wèn)控制 系統(tǒng)變得不足��。例如��,不是服務(wù)器本地已知的實(shí)體可能會(huì)請(qǐng)求訪問(wèn)服務(wù)器上的 資源�����。該實(shí)體可以為資源管理器提供可供在其決定過(guò)程期間使用的信息�����。由實(shí) 體提供的信息可以是對(duì)來(lái)自服務(wù)器的在準(zhǔn)許實(shí)體所請(qǐng)求的訪問(wèn)之前要求該實(shí) 體證明的命題的回復(fù)���。這一回復(fù)又稱為證明。實(shí)體可將憑證語(yǔ)句隨訪問(wèn)請(qǐng)求一 起提供���。憑證語(yǔ)句提供用于標(biāo)識(shí)該實(shí)體的身份的信息�。憑證語(yǔ)句可包括的不止
是用于幫助確定該實(shí)體的身份的認(rèn)證信息。憑證語(yǔ)句還可包括附加策略語(yǔ)句����。 因?yàn)椴呗哉Z(yǔ)句的可靠性和完整性可以用當(dāng)前的密碼技術(shù)來(lái)確保,資源的所有者 可以遠(yuǎn)程創(chuàng)作策略語(yǔ)句并將這些策略語(yǔ)句提供給客戶機(jī)����。隨后,客戶機(jī)可以向 資源的資源管理器給出這些策略語(yǔ)句��。隨后�,資源管理器可以檢查這些策略語(yǔ) 句的真實(shí)性并向資源所有者咨詢。最終�,資源管理器可以用與在策略語(yǔ)句中表 達(dá)的資源所有者的意圖相符的方式提供訪問(wèn)�。通過(guò)受密碼保護(hù)的語(yǔ)句遠(yuǎn)程地配置策略的能力為訪問(wèn)控制系統(tǒng)提供許多 背離傳統(tǒng)的封閉和靜態(tài)模型的機(jī)會(huì)。例如�����,客戶機(jī)可以提出由一實(shí)體創(chuàng)作的證 明該客戶機(jī)是預(yù)先確定的組的成員的語(yǔ)句���?��?蛻魴C(jī)還可以提出由資源所有者創(chuàng) 作的陳述根據(jù)該實(shí)體�、組的成員可以訪問(wèn)該資源的語(yǔ)句��。這些語(yǔ)句在一起意味 著客戶機(jī)應(yīng)該能訪問(wèn)該資源��。在這樣一個(gè)例子中����,資源管理器可能對(duì)證明該客 戶機(jī)是被認(rèn)證的組的成員的實(shí)體沒(méi)有先驗(yàn)知識(shí)。資源管理器也可能預(yù)先并不知 道資源所有者已將僅針對(duì)此特定訪問(wèn)控制決定的證明能力委托給該實(shí)體����。諸如ISO權(quán)限表達(dá)式語(yǔ)言(XrML 2.x)和委托邏輯等某些方法以邏輯的 形式表示諸語(yǔ)句以使得能從語(yǔ)句本身符號(hào)地計(jì)算該訪問(wèn)控制決定。更具體而 言���,這些方法的基礎(chǔ)在于謂詞演算�,并且它們對(duì)根據(jù)所有者的意圖是否應(yīng)準(zhǔn)許 訪問(wèn)的計(jì)算過(guò)程等效于找到證明�����?��;谧C明的方法有幾個(gè)優(yōu)點(diǎn)�����。最重要的優(yōu)點(diǎn) 是它提供了訪問(wèn)為什么應(yīng)被準(zhǔn)許的數(shù)學(xué)可驗(yàn)證的理由���。另一優(yōu)點(diǎn)是不需要將表 達(dá)式的涵義翻譯成其它某種形式以揭示所有者的意圖�����;推理可以在表達(dá)式層面 本身進(jìn)行�。為了使各種委托情景能夠?qū)崿F(xiàn)�,資源管理器需要處理由客戶機(jī)提供的語(yǔ)句 并決定是否準(zhǔn)許所請(qǐng)求的訪問(wèn)。為了允許多個(gè)語(yǔ)句以可升級(jí)且可管理的方式隱 含訪問(wèn)���,資源管理器需要對(duì)由客戶機(jī)提供的語(yǔ)句中的隱含的涵義及固有的意圖 進(jìn)行推理�����。這一推理過(guò)程可以稱為"計(jì)算證明"或"定理證明"���。然而�����,定理證明的過(guò)程可能會(huì)變得很麻煩����。聲明性授權(quán)系統(tǒng)與諸如Prolog 等聲明性編程語(yǔ)言密切地對(duì)齊�。定理證明在計(jì)算上等效于如C++����、 C弁或Java 等的較常用的編程系統(tǒng)的命令語(yǔ)義。因此��,定理證明可用于將任意計(jì)算問(wèn)題即 任意計(jì)算機(jī)程序編碼�。因此,存在著能多快地計(jì)算證明的理論限制��。例如����,對(duì)于全謂詞演算,在最差的情形中�,現(xiàn)有算法不能保證在計(jì)算證明時(shí)會(huì)終止,正 如在C十+����、 C弁等中存在不能解答的問(wèn)題那樣。因此�,由于這類問(wèn)題,對(duì)訪問(wèn)控 制的決定可能永遠(yuǎn)都達(dá)不到。開放式結(jié)尾可能會(huì)將資源管理器曝露于對(duì)手的攻 擊���。例如��,客戶機(jī)能建立假斷言來(lái)使資源管理器陷入計(jì)算證明的艱巨任務(wù)��,包 括構(gòu)造大小無(wú)限的證明�����。假斷言還可包括資源管理器花費(fèi)無(wú)限量的時(shí)間和/或空 間來(lái)推斷證明不存在�����。當(dāng)資源管理器進(jìn)入無(wú)窮盡的計(jì)算時(shí)���,資源管理器不得不 拒絕對(duì)其它實(shí)體進(jìn)行服務(wù)。這類情形稱為拒絕服務(wù)式攻擊�,它能中斷網(wǎng)絡(luò)路由 服務(wù)并使網(wǎng)絡(luò)不可操作。因此�����,需要減輕資源管理器的繁重的證明計(jì)算以避免諸如拒絕服務(wù)式攻擊 等由無(wú)窮盡的計(jì)算帶來(lái)的負(fù)面后果����。發(fā)明概要本發(fā)明通過(guò)提供支持語(yǔ)句,即幫助構(gòu)造用于安全而高效的驗(yàn)證的證明的附 加斷言來(lái)解決上述需求��。附加斷言使資源管理器能檢査并驗(yàn)證證明而非計(jì)算證 明�。本發(fā)明的一個(gè)方面提供一種系統(tǒng),包括服務(wù)器組件����、客戶機(jī)組件、以及 --個(gè)或多個(gè)支持語(yǔ)句�����,即附加斷言����。服務(wù)器組件是擁有或管理資源的任何實(shí)體。 資源與規(guī)定誰(shuí)能訪問(wèn)該資源的使用策略相關(guān)聯(lián)�。客戶機(jī)組件是任何請(qǐng)求訪問(wèn)資 源的實(shí)體�。可以將一個(gè)或多個(gè)實(shí)體("輔助客戶機(jī)")補(bǔ)充到該系統(tǒng)中�。客戶 機(jī)組件和/或輔助客戶機(jī)向服務(wù)器組件提供諸如憑證語(yǔ)句和/或附加斷言等信 息���。憑證語(yǔ)句標(biāo)識(shí)客戶機(jī)組件的身份���。憑證語(yǔ)句還可包括諸如證明客戶機(jī)組件 是預(yù)先確定的組中的成員的語(yǔ)句等由輔助客戶機(jī)中的任何一個(gè)提供的授權(quán)語(yǔ) 句�?�?蛻魴C(jī)組件可以不是服務(wù)器組件所信任的實(shí)體����。只要服務(wù)器組件能驗(yàn)證得 自由客戶機(jī)組件提供的信息的證明是正確的,服務(wù)器組件就將向該客戶機(jī)組件 準(zhǔn)許所請(qǐng)求的訪問(wèn)���。該一個(gè)或多個(gè)斷言被用于指示如何構(gòu)造論證客戶機(jī)組件應(yīng)被準(zhǔn)許所請(qǐng)求 的訪問(wèn)的證明���。該一個(gè)或多個(gè)斷言可以由服務(wù)器組件提供并被客戶機(jī)組件用于 構(gòu)造論證所請(qǐng)求的訪問(wèn)應(yīng)被準(zhǔn)許的證明?���;蛘撸蛻魴C(jī)組件可以向服務(wù)器組件
提供一個(gè)或多個(gè)斷言和憑證語(yǔ)句��,該服務(wù)器組件隨后構(gòu)造論證該訪問(wèn)請(qǐng)求應(yīng)被 準(zhǔn)許的證明����。斷言可以向變量賦值����,或證明憑證或使用策略語(yǔ)句之一中的前提 子句�。根據(jù)本發(fā)明的一個(gè)方面�����,該一個(gè)或多個(gè)斷言可以指示如何構(gòu)造決定所請(qǐng) 求的訪問(wèn)是否應(yīng)被準(zhǔn)許所需的證明的僅一部分而非全部�����。本發(fā)明的另一個(gè)方面提供一種方法�,在該方法中,服務(wù)器組件在接收到來(lái) 自客戶機(jī)組件的訪問(wèn)請(qǐng)求之際向客戶機(jī)組件發(fā)送一個(gè)命題����。該命題包括幫助客 戶機(jī)組件構(gòu)造論證該客戶機(jī)應(yīng)被準(zhǔn)許所請(qǐng)求的訪問(wèn)的證明的附加斷言。本發(fā)明的又一方面提供一種方法����,在該方法中,客戶機(jī)組件將訪問(wèn)請(qǐng)求隨 憑證語(yǔ)句和附加斷言一起發(fā)送給服務(wù)器組件�����。附加斷言向服務(wù)器組件指示如何 使用憑證語(yǔ)句來(lái)推導(dǎo)是否準(zhǔn)許所請(qǐng)求的訪問(wèn)的結(jié)論。無(wú)論是由客戶機(jī)組件還是服務(wù)器組件提供附加斷言�����,服務(wù)器組件均將檢査 應(yīng)用附加斷言所得出的證明并判定該證明是否正確���。如果證明是正確的�,則該 訪問(wèn)請(qǐng)求將被準(zhǔn)許�����。否則�����,該訪問(wèn)請(qǐng)求將被拒絕����?����?偠灾?�,本發(fā)明通過(guò)給出 支持語(yǔ)句,即幫助安全而高效地構(gòu)造并驗(yàn)證證明的附加斷言�����,來(lái)減輕由證明的 繁重計(jì)算所帶來(lái)的問(wèn)題。因此���,本發(fā)明將資源管理器的任務(wù)精簡(jiǎn)成簡(jiǎn)單地檢查 證明的有效性而不是計(jì)算證明來(lái)決定是否準(zhǔn)許所請(qǐng)求的訪問(wèn)��。附圖簡(jiǎn)要說(shuō)明結(jié)合附圖參照以下的詳細(xì)說(shuō)明更好地理解本發(fā)明后,本發(fā)明的上述方面和 許多隨附優(yōu)點(diǎn)將變得更容易了解���,在附圖中
圖1是示出用于實(shí)現(xiàn)本發(fā)明的諸方面的示例性系統(tǒng)的框圖��; 圖2是示出一個(gè)示例性使用策略語(yǔ)句的文本圖; 圖3是示出由客戶機(jī)提供的示例性憑證語(yǔ)句的文本圖���; 圖4是示出幫助訪問(wèn)請(qǐng)求的證明的示例性附加斷言的文本圖; 圖5是示出作為將圖2中所示的使用策略語(yǔ)句����、圖3中所示的憑證語(yǔ)句以 及圖4中所示的附加斷言整合的結(jié)果的示例性整合語(yǔ)句的文本圖���; 圖6是示出服務(wù)器處理訪問(wèn)請(qǐng)求的示例性例程的流程圖�����;以及 圖7是示出客戶機(jī)尋求訪問(wèn)服務(wù)器上的資源的示例性例程的流程圖。
優(yōu)選實(shí)施例的詳細(xì)說(shuō)明圖1是示出實(shí)現(xiàn)本發(fā)明的諸方面的示例性系統(tǒng)100的框圖�。如圖1中所示���, 系統(tǒng)100包括服務(wù)器102組件("服務(wù)器")和客戶機(jī)104組件("客戶機(jī)")��, 并可任選地包括一個(gè)或多個(gè)輔助客戶機(jī)112。服務(wù)器102包括至少一個(gè)資源106 以及規(guī)定誰(shuí)能訪問(wèn)資源106的相應(yīng)使用策略108���。服務(wù)器102還可包括檢查由 客戶機(jī)104和/或輔助客戶機(jī)112提交的訪問(wèn)請(qǐng)求和憑證118的資源管理器110。 客戶機(jī)104是任何請(qǐng)求訪問(wèn)服務(wù)器102上的資源106的實(shí)體��。可以將一個(gè)或多個(gè)輔助客戶機(jī)112補(bǔ)充至系統(tǒng)100���。輔助客戶機(jī)112可以 向服務(wù)器102或向客戶機(jī)104提供信息�����。例如����,如果客戶機(jī)104是公司��,則輔 助客戶機(jī)U2可以該公司的子公司或合伙方。在本發(fā)明的示例性實(shí)施例中�,輔 助客戶機(jī)12可以有其自己的合作方��,每一合作方也可有它自己的合作方,以 此類推��。所有不同層次的合作方被集總地認(rèn)為是輔助客戶機(jī)U2??蛻魴C(jī)104向資源管理器110發(fā)送訪問(wèn)請(qǐng)求和/或用于訪問(wèn)資源106的憑 證118���。憑證即憑證語(yǔ)句用于證明客戶機(jī)104具有訪問(wèn)資源106的資格。憑證 語(yǔ)句可以由客戶機(jī)104和/或一個(gè)或多個(gè)輔助客戶機(jī)112提供�。輔助客戶機(jī)112 可以向客戶機(jī)104或直接向服務(wù)器102發(fā)送憑證語(yǔ)句。資源管理器處理所接收 的訪問(wèn)請(qǐng)求以及憑證U8并根據(jù)使用策略108決定是否要準(zhǔn)許所請(qǐng)求的訪問(wèn)���。 資源管理器隨后將關(guān)于訪問(wèn)請(qǐng)求的決定120發(fā)回給客戶機(jī)104����。更重要地�����,在本發(fā)明的示例性實(shí)施例中,系統(tǒng)IOO還包括附加斷言114�����。 附加斷言可以由客戶機(jī)104和/或一個(gè)或多個(gè)輔助客戶機(jī)112向服務(wù)器102提 供�。在這一情形中����,附加斷言114將向資源管理器110指示如何處理所接收的 憑證以滿足由使用策略108規(guī)定的要求�。在本發(fā)明的某些示例性實(shí)施例中���,附 加斷言114可以在資源管理器110接收到來(lái)自客戶機(jī)104的訪問(wèn)請(qǐng)求之際由資 源管理器110向客戶機(jī)104提供����?����?蛻魴C(jī)104使用附加斷言114來(lái)構(gòu)造用于請(qǐng) 求對(duì)資源106的訪問(wèn)的證明。附加斷言114使資源管理器110免于計(jì)算用于決 定是否準(zhǔn)許訪問(wèn)請(qǐng)求的證明����。作為代替�����,附加斷言114使得資源管理器能只檢 査證明的正確性���。圖4示出示例性附加斷言并將在稍后詳細(xì)說(shuō)明�。 系統(tǒng)100只是說(shuō)明本發(fā)明適用的情形的示例性實(shí)現(xiàn)�����。系統(tǒng)100的組件可以存在于單個(gè)計(jì)算機(jī)系統(tǒng)上或分布在網(wǎng)絡(luò)上�。 一般而言�����,系統(tǒng)100可存在于諸如 服務(wù)器102等組件需要諸如客戶機(jī)104等另一組件提供信息來(lái)作出諸如準(zhǔn)許所 請(qǐng)求的對(duì)資源106的訪問(wèn)的決定120等的決定的任何上下文中。這一上下文包 括例如服務(wù)器機(jī)器對(duì)另一服務(wù)器機(jī)器�、客戶機(jī)機(jī)器對(duì)另一客戶機(jī)機(jī)器�����、同一機(jī) 器內(nèi)的兩個(gè)實(shí)體、以及受信任的網(wǎng)絡(luò)內(nèi)的兩個(gè)不同的進(jìn)程�?����?偠灾?����,本發(fā)明 適用于一個(gè)實(shí)體需要來(lái)自另一實(shí)體的信息來(lái)作出決定的任何情形。本發(fā)明的示例性實(shí)施例使用以邏輯形式而不僅僅是數(shù)據(jù)形式來(lái)表示使用 策略�、憑證語(yǔ)句和斷言的訪問(wèn)控制語(yǔ)言D在分布式訪問(wèn)控制系統(tǒng)中��,客戶機(jī)104 可以委托多層的輔助客戶機(jī)112來(lái)發(fā)出請(qǐng)求對(duì)資源的訪問(wèn)所需的憑證語(yǔ)句。如 果數(shù)據(jù)被用于憑證語(yǔ)句�����,則在從一個(gè)實(shí)體向另一實(shí)體傳送數(shù)據(jù)的每一層,均需 要檢査和計(jì)算數(shù)據(jù)的涵義����。另一方面��,如果以邏輯格式表示憑證語(yǔ)句�����,則該分 布式訪問(wèn)控制系統(tǒng)將能平滑而無(wú)限地升級(jí)��,因?yàn)閼{證語(yǔ)句的表達(dá)式揭示固有的 涵義。在本發(fā)明的示例性實(shí)施例中�����,諸如使用策略語(yǔ)句和憑證語(yǔ)句等的語(yǔ)句采用 在許多訪問(wèn)控制語(yǔ)言中廣泛使用的三個(gè)概念���。第一個(gè)概念是在策略語(yǔ)句中使用 變量。例如���,資源106的使用策略108可以宣稱"Parama可讀取X"�����,其中變 量"X"表示全局量化變量����,即變量X可以取任何值�。策略語(yǔ)句還可包括限定 變量X可以取的值的約束。例如�����,使用策略108可以宣稱"Parama可讀取X���, 其中X是文本文件"���。本發(fā)明中的語(yǔ)句所使用的第二個(gè)概念是策略語(yǔ)句具有規(guī) 定誰(shuí)能授權(quán)用于訪問(wèn)資源的憑證語(yǔ)句或斷言的能力。例如�����,使用策略108可以 宣稱"acme.com能作出允許訪問(wèn)資源106的斷言"�。本發(fā)明的示例性實(shí)施例 中的語(yǔ)句還采用第三個(gè)概念,該概念允許語(yǔ)句基于其它斷言來(lái)判定斷言���。例如�����, 使用策略108可宣稱"根據(jù)公司A����,如果Parama是公司A雇員���,則Parama 可訪問(wèn)資源106"��。在本發(fā)明的一個(gè)示例性實(shí)施例中�����,客戶機(jī)104和/或一個(gè)或多個(gè)輔助客戶 機(jī)112可以擁有相關(guān)的憑證語(yǔ)句����。或者�����,憑證語(yǔ)句可以存儲(chǔ)在其它某個(gè)地方���。 然后���,只將對(duì)憑證語(yǔ)句的引用發(fā)送給服務(wù)器102。
圖2至5示出示例性使用策略語(yǔ)句200�����、憑證語(yǔ)句300���、附加斷言400以 及整合了使用策略語(yǔ)句200�����、憑證語(yǔ)句300和附加斷言400的整合語(yǔ)句500��。 圖2至5中使用的示例性語(yǔ)句表示或組合上述三個(gè)概念�����。圖2至5將參照?qǐng)D1 進(jìn)行說(shuō)明�����。這些示例性語(yǔ)句中所使用的實(shí)體反映了系統(tǒng)100的示例性組件��。例 如����,Contosa.com可以是服務(wù)器102; Parama可以是請(qǐng)求訪問(wèn)Contosa.com上的 Web服務(wù)的客戶機(jī)104; Fabrikam.com和Fabrikam.com合作方Acme.com可以 是輔助客戶機(jī)112�。圖2示出可以由諸如使用策略108等的使用策略提供的一個(gè)示例性使用策 略語(yǔ)句200。該使用策略語(yǔ)句200陳述Contosa.com宣稱"如果X是由 Fabrikam.com授權(quán)的金星成員�����,則X可訪問(wèn)Contosa.com Web服務(wù)"����。假定X 是請(qǐng)求訪問(wèn)Contosa.com Web服務(wù)的客戶機(jī)��。根據(jù)使用策略語(yǔ)句200��,如果X 能證明它是由Fabrikam.com授權(quán)的金星會(huì)員�,則X能獲得對(duì)Contosa.com Web 服務(wù)的訪問(wèn)�。在諸如系統(tǒng)100等分布式訪問(wèn)控制系統(tǒng)中,當(dāng)分布的層次增加時(shí)�,服務(wù)器 102可能不知道客戶機(jī)104。服務(wù)器102可以依靠其它實(shí)體來(lái)作出關(guān)于客戶機(jī) 的語(yǔ)句��。因此����,服務(wù)器102從客戶機(jī)104接收的憑證語(yǔ)句可包含由包括客戶機(jī) 104和/或一個(gè)或多個(gè)輔助客戶機(jī)112在內(nèi)的幾個(gè)實(shí)體提供的憑證語(yǔ)句。圖3示 出服務(wù)器Contosa.com可能從客戶機(jī)Parama和/或輔助客戶機(jī)Fabrikam.com和 Acme.com接收的一組憑證語(yǔ)句300�。如圖3中所示,憑證語(yǔ)句300A陳述 Fabrikam.com宣稱"如果X是Fabrikam.com合作方��,則X能發(fā)出金星成員證 書"���。此語(yǔ)句還暗示Fabrikam.com指定Fabrikam.com合作方是誰(shuí)����。憑證語(yǔ)句 300B陳述Fabrikam.com宣稱"Acme.com"是Fabrikam.com合作方"。憑證 語(yǔ)句300C陳述Acme.com宣稱"Parama是金星成員"?����,F(xiàn)在假定Parama作出對(duì)Contosa.com的訪問(wèn)請(qǐng)求并給出憑證語(yǔ)句300�����。常 規(guī)地��,Contosa.com的資源管理器需要讀完使用策略語(yǔ)句200和憑證語(yǔ)句300 才能計(jì)算關(guān)于Parama是否應(yīng)具有所請(qǐng)求的訪問(wèn)的證明����。資源管理器審核每一 憑證語(yǔ)句以判定憑證語(yǔ)句是否適用于使用策略�����。憑證語(yǔ)句提供使得資源管理器 能作出決定的級(jí)聯(lián)邏輯�。如果資源管理器接收到許多憑證語(yǔ)句,則由資源管理
器執(zhí)行的計(jì)算過(guò)程的復(fù)雜度可能變得不確定�����,這可能發(fā)生在例如為Parama提 供憑證語(yǔ)句的過(guò)程中涉及許多層的輔助客戶機(jī)時(shí)。當(dāng)存在許多憑證語(yǔ)句時(shí)���,服 務(wù)器要以誘導(dǎo)證明的方式來(lái)安排憑證語(yǔ)句將變得難以處理���。很可能該計(jì)算過(guò)程 可永不結(jié)束。服務(wù)器102可能潛在地需要無(wú)限的搜索空間�����,并且不能先驗(yàn)地知 道確定是否準(zhǔn)許所請(qǐng)求的訪問(wèn)實(shí)際上要花多長(zhǎng)時(shí)間�。本發(fā)明的一個(gè)方面通過(guò)使用相關(guān)的憑證語(yǔ)句來(lái)提供指示關(guān)于如何構(gòu)造證 明的附加斷言來(lái)解決這一問(wèn)題。例如��,斷言可以向使用策略語(yǔ)句中的一個(gè)變量 賦值��。斷言還可指示使用策略語(yǔ)句中一個(gè)前提子句的證明�。圖4示出示例性客 戶機(jī)Parama可向示例性服務(wù)器Contosa.com提供的示例性附加斷言400。如圖 4中所示����,斷言400A陳述在語(yǔ)句#1中用Parama替換X。斷言400B陳述 在語(yǔ)句#2中用Acme.com替換X�。斷言400C陳述使用語(yǔ)句#3來(lái)滿足語(yǔ)句#6。 斷言400D陳述用語(yǔ)句#7來(lái)證明語(yǔ)句糾�����。斷言400E陳述使用語(yǔ)句#8來(lái)滿 足語(yǔ)句#5。附加斷言400向Contosa.com的資源管理器建議如何將憑證語(yǔ)句300放在 -起米得出證明���。因此����,Contosa.com Web服務(wù)的資源管理器現(xiàn)在只需要顯 式地遵守附加斷言400中的指令����,而不是面對(duì)可能不確定的工作量一通過(guò)搜遍 憑證語(yǔ)句300的所有種類的可能后果來(lái)確立Parama是否能訪問(wèn)Contosa.com Web服務(wù)。附加斷言因而使本發(fā)明能提供系統(tǒng)而高效的方式來(lái)處理使用策略以 及憑證語(yǔ)句以得出證明���。圖5示出從執(zhí)行附加斷言300中關(guān)于使用策略語(yǔ)句200和憑證整合語(yǔ)句 300的指令的Contosa.com的資源管理器得到的集成語(yǔ)句500。如圖5中所示���, 集成語(yǔ)句500A陳述Contosa.com宣稱"如果Parama是由Fabrikam.com授權(quán) 的金星成員�,貝U parama能訪問(wèn)資源"�����。整合語(yǔ)句500B陳述Fabrikam.com宣 稱"如果根據(jù)Fabrikam.com���, Acme.com是Fabrikam.com合作方�,則Acme.com 能發(fā)出金星成員證書"。整合語(yǔ)句500C陳述Fabrikam.com宣稱"Acme.com 能發(fā)出金星成員證書"����。整合語(yǔ)句500D陳述Fabrikam.com宣稱"Parama是 金星成員"。因此�����,整合語(yǔ)句500作出結(jié)論Contosa.com宣稱"Parama能訪 問(wèn)Contosa.com Web月艮務(wù)����,,�。
因此,示例性服務(wù)器Contosa.com的資源管理器能使用附加斷言400來(lái)以 直接的方式作出Contosa.com已隱式地授權(quán)Parama訪問(wèn)Contosa.com Web服務(wù)的結(jié)論��。當(dāng)應(yīng)用每一附加斷言400時(shí)��,所有Contosa.com需要檢查是否能應(yīng)用 此斷言���。換而言之���,提出斷言的實(shí)體不能使Contosa.com做使用策略語(yǔ)句200 和憑證語(yǔ)句300未隱含的事情�?��?梢韵蚍?wù)器或向客戶機(jī)提供附加斷言���。在接收到來(lái)自客戶機(jī)或輔助客戶 機(jī)的附加斷言之際,服務(wù)器的資源管理器使用附加斷言來(lái)構(gòu)造證明�����,然后檢査 該證明而不是計(jì)算該證明��。在本發(fā)明的示例性實(shí)施例中����, 一旦服務(wù)器接收并讀 完.組憑證語(yǔ)句和附加斷言,服務(wù)器就能確定是否準(zhǔn)許所請(qǐng)求的訪問(wèn)請(qǐng)求��?��;蛘撸?wù)器能向客戶機(jī)提供附加斷言��。在接收到來(lái)自客戶機(jī)的訪問(wèn)請(qǐng)求 之際���,服務(wù)器能用命題回復(fù)�����。該命題可包括指令客戶機(jī)如何構(gòu)建針對(duì)服務(wù)器的 為獲得所請(qǐng)求的訪問(wèn)的證明的附加斷言��。因此�,服務(wù)器將從客戶機(jī)接收所需的 證明。服務(wù)器所需要做的僅是檢査該證明以根據(jù)與所請(qǐng)求的資源相關(guān)聯(lián)的使用 策略來(lái)確定該證明是否提供有效結(jié)論��。在本發(fā)明的示例性實(shí)施例中����,服務(wù)器不必相信由客戶機(jī)提供的證明。服務(wù) 器可以檢查憑證語(yǔ)句和附加斷言的真實(shí)性��。這意味著憑證語(yǔ)句和附加斷言不必 來(lái)tJ被信任的實(shí)體�,因?yàn)闊o(wú)法欺騙服務(wù)器的資源管理器使其相信非證明是證 明。斷言請(qǐng)求資源管理器執(zhí)行的步驟應(yīng)只創(chuàng)建已隱含的動(dòng)作����,諸如替換使用策 略中的變量。因此��,客戶機(jī)不能騙服務(wù)器以誘導(dǎo)服務(wù)器得出是假的證明�。如果 所提供的附加斷言為假�,則服務(wù)器不能找到證明�����。附加斷言能只幫助服務(wù)器作 出證明�,但不能騙服務(wù)器作出假證明。如果附加斷言為假�,則服務(wù)器將不能得 出證明。這類似于通過(guò)迷宮��。計(jì)算證明就象找到迷宮的出路�����,這可能很難�����。相 反��,驗(yàn)證給定路徑是否是正確的路徑要容易得多如果給定路徑通向迷宮的出 口����,則給定路徑是正確的路徑����。附加斷言等效于"給定路徑"����。 一組給定附加 斷言如果使服務(wù)器得出證明就是正確的�;如果服務(wù)器使用該組給定附加斷言不 能得出證明,那這組給定附加斷言就是不正確的并被忽略���。在本發(fā)明的示例性實(shí)施例中��,由服務(wù)器或客戶機(jī)提供的附加斷言可能只構(gòu) 成決定是否準(zhǔn)許所請(qǐng)求的訪問(wèn)所需的部分證明而不是全部證明�。例如��,服務(wù)器
可以決定不向任何實(shí)體透露其使用策略����。相反,服務(wù)器只提供隱藏的用戶策略所要求的使客戶機(jī)能證明客戶機(jī)的身份的附加斷言��。例如�����,Contosa.com可決 定不透露使用策略語(yǔ)句200。因此��,Contosa.com在客戶機(jī)并不知道使用策略語(yǔ) 句200的情況下要求示例性客戶機(jī)Parama證明它是由Fabrikam.com授權(quán)的金 星成員�����?����;蛘?,服務(wù)器與受到先前提到的定理證明的無(wú)窮盡計(jì)算的危險(xiǎn)的傳統(tǒng) 定理證明器相關(guān)聯(lián)。為了消除這一危險(xiǎn)�����,附加斷言可用于構(gòu)造證明的"困難" 部分�����,留下傳統(tǒng)定理證明的一個(gè)簡(jiǎn)單(而安全)的變體來(lái)填補(bǔ)這些小空缺���。在 這一方法中��,定理驗(yàn)證和證明工作一起用于提供證明的安全而表達(dá)性的計(jì)算����。在本發(fā)明的一個(gè)示例實(shí)施例中�����,圖1中示出的服務(wù)器102還包括審計(jì)組件 116�。該審計(jì)組件116記錄并保存資源管理的用于準(zhǔn)許或不準(zhǔn)許所請(qǐng)求的訪問(wèn) 的推理過(guò)程。由審計(jì)組件116記錄的信息可以標(biāo)識(shí)資源管理器處理用于得出結(jié) 論的推理過(guò)程和/或各種語(yǔ)句���。因此���,審計(jì)信息可以不僅揭示誰(shuí)訪問(wèn)了資源還可 揭示為什么該訪問(wèn)被準(zhǔn)許。審計(jì)信息可用于分析訪問(wèn)控制系統(tǒng)如何工作��、誰(shuí)請(qǐng) 求了資源�����、為什么該請(qǐng)求被準(zhǔn)許�、以及請(qǐng)求如何被準(zhǔn)許。例如��,審計(jì)信息可以 提供Parama已請(qǐng)求對(duì)Contosa.com Web服務(wù)的訪問(wèn)并且該訪問(wèn)被準(zhǔn)許��,因?yàn)?Parama被證明是由Fabdkam.com授權(quán)的金星成員。在本發(fā)明的--個(gè)示例性實(shí) 施例中����,審計(jì)信息包括所使用的該組附加斷言。圖6示出一個(gè)示例性例程600�,其中諸如服務(wù)器102等服務(wù)器處理訪問(wèn)請(qǐng) 求并得出是否準(zhǔn)許該訪問(wèn)請(qǐng)求的決定。具體而言����,例程600通過(guò)確定服務(wù)器是 否已接收到訪問(wèn)請(qǐng)求來(lái)開始。見(jiàn)決定框602�����。如果服務(wù)器未接收到訪問(wèn)請(qǐng)求���, 則例程600不繼續(xù)進(jìn)行�。如果服務(wù)器已接收到訪問(wèn)請(qǐng)求����,則例程600用服務(wù)器 在向客戶機(jī)準(zhǔn)許所請(qǐng)求的訪問(wèn)之前要讓發(fā)送該訪問(wèn)請(qǐng)求的客戶機(jī)證明的命題 進(jìn)行回復(fù)。見(jiàn)框604�。該命題可標(biāo)識(shí)所請(qǐng)求的資源的使用策略。該命題還可包 括用于標(biāo)識(shí)多個(gè)使用策略語(yǔ)句之間的關(guān)系以及這些使用策略語(yǔ)句中的任何變 量的證明結(jié)構(gòu)�����。該命題還可包括向客戶機(jī)指示如何將證明結(jié)構(gòu)實(shí)體化的附加斷 言。例如�,附加斷言可向客戶機(jī)建議如何滿足使用策略語(yǔ)句中的條件和/或如何 在使用策略語(yǔ)句中找到變量的具體值。例程600隨后響應(yīng)于該命題等待接收來(lái)自客戶機(jī)的證明���。例程600確定它 是否已接收到這一證明。見(jiàn)決定框606���。如果對(duì)決定框606的回答為否��,則例 程600不再繼續(xù)�����。如果例程600接收到來(lái)自客戶機(jī)的證明�,則例程600繼續(xù)檢 查該證明����。見(jiàn)框608。在檢查所接收的證明時(shí)���,例程600確定該證明是否正確��。 見(jiàn)決定框610�。正確的證明論證該客戶機(jī)具有訪問(wèn)所請(qǐng)求的資源的權(quán)限并且該 證明構(gòu)成真語(yǔ)句。如果對(duì)決定框610的回答為是����,即意味著所接收的證明是正 確的,則例程600進(jìn)而準(zhǔn)許該訪問(wèn)請(qǐng)求����。見(jiàn)框614。另一方面����,如果對(duì)決定框 610的回答為否,即意味著所接收到的證明是不正確的��,則例程600拒絕該訪 問(wèn)請(qǐng)求�。見(jiàn)框612。隨后例程600終止����。圖7示出一個(gè)示例性例程700,其中客戶機(jī)向服務(wù)器尋求對(duì)訪問(wèn)服務(wù)器的 資源的許可����。具體而言���,例程700從確定客戶機(jī)是否想訪問(wèn)服務(wù)器的資源開始。 見(jiàn)決定框702�。如果答案為否,則例程700不再繼續(xù)�。如果客戶機(jī)想訪問(wèn)服務(wù) 器的資源,則例程700向服務(wù)器發(fā)送訪問(wèn)請(qǐng)求��。見(jiàn)框704�。隨后例程700等待 接收來(lái)自服務(wù)器的命題��。例程700確定是否接收到命題���。見(jiàn)框706����。如果答案 為否�,則例程700不再繼續(xù)。如果客戶機(jī)接收到來(lái)自服務(wù)器的命題����,則例程700 進(jìn)而根據(jù)該命令構(gòu)造證明。見(jiàn)框708��。該證明包括滿足在命題中規(guī)定的要求的 數(shù)據(jù)和邏輯步驟。如果命題包含指示如何構(gòu)造該證明的附加斷言����,則將根據(jù)該 附加斷言構(gòu)造該證明。在所接收到的命題不包含附加斷言的情形中��,所構(gòu)造的 證明包括標(biāo)識(shí)客戶機(jī)的身份的憑證語(yǔ)句��。所構(gòu)造的證明還可包括向服務(wù)器指示 如何使用所提供的憑證語(yǔ)句來(lái)得出是否準(zhǔn)許該訪問(wèn)請(qǐng)求的附加斷言����。例程700 隨后向服務(wù)器發(fā)送所構(gòu)造的證明。見(jiàn)框710��。例程700結(jié)束�����。在本發(fā)明的一個(gè) 示例性實(shí)施例中�����,如果客戶機(jī)預(yù)先知道服務(wù)器需要什么才能作出關(guān)于訪問(wèn)請(qǐng)求 的決定���,則在向服務(wù)器發(fā)送訪問(wèn)請(qǐng)求時(shí)����,客戶機(jī)還提供所需的憑證語(yǔ)句和附加 斷言。從而�����,服務(wù)器不必發(fā)送命題����。雖然已示出并說(shuō)明了本發(fā)明的優(yōu)選實(shí)施例,但將了解可以在其中進(jìn)行各種 改變而不會(huì)背離本發(fā)明的精神和范圍��。
權(quán)利要求
1.一種采用使用包括變量和/或前提子句的邏輯形式的訪問(wèn)控制語(yǔ)言的系統(tǒng)�,包括與至少一個(gè)資源和相關(guān)聯(lián)的用于訪問(wèn)所述資源的使用策略鏈接的服務(wù)器組件�����;請(qǐng)求訪問(wèn)所述資源的客戶機(jī)組件����;以及指示如何構(gòu)造論證所請(qǐng)求的訪問(wèn)應(yīng)被準(zhǔn)許的證明的一個(gè)或多個(gè)斷言。
2. 如權(quán)利耍求1所述的系統(tǒng)���,其特征在于���,所述客戶機(jī)組件不是所述服 務(wù)器組件所信任的實(shí)體�����。
3. 如權(quán)利要求l所述的系統(tǒng)���,其特征在于,還包括至少一個(gè)輔助客戶機(jī)�, 所述輔助客戶機(jī)是為所述客戶機(jī)組件提供信息的任何實(shí)體。
4. 如權(quán)利要求3所述的系統(tǒng) 息都被接收到之后才被構(gòu)造����。
5. 如權(quán)利要求1所述的系統(tǒng)值替換變量。
6. 如權(quán)利要求1所述的系統(tǒng) 明至少一個(gè)前提子句����。
7. 如權(quán)利要求1所述的系統(tǒng) 歸證明前提子句。
8. 如權(quán)利要求1所述的系統(tǒng) 何構(gòu)造論證所請(qǐng)求的訪問(wèn)應(yīng)被準(zhǔn)許的證明的僅一部分����。
9. 如權(quán)利要求1所述的系統(tǒng),其特征在于��,所述一個(gè)或多個(gè)斷言被所述 客戶機(jī)組件用于構(gòu)造論證所請(qǐng)求的訪問(wèn)應(yīng)被準(zhǔn)許的證明。
10. 如權(quán)利要求1所述的系統(tǒng)�����,其特征在于��,所述一個(gè)或多個(gè)斷言被所述 服務(wù)器組件用于構(gòu)造論證所請(qǐng)求的訪問(wèn)應(yīng)被準(zhǔn)許的證明�。
11. 如權(quán)利要求l所述的系統(tǒng),其特征在于���,所述服務(wù)器組件還包括記錄 所請(qǐng)求的訪問(wèn)為何被準(zhǔn)許或拒絕的審計(jì)組件�����。����,其特征在于����,所述證明僅在所有必需的信 ��,其特征在于����,所述一個(gè)或多個(gè)斷言指示用 �����,其特征在于�����,所述一個(gè)或多個(gè)斷言指示證 ��,其特征在于�,所述一個(gè)或多個(gè)斷言指示遞 �,其特征在于,所述一個(gè)或多個(gè)斷言指示如
12. 如權(quán)利要求11所述的系統(tǒng)��,其特征在于����,所述審計(jì)組件記錄所述證明。
13. 如權(quán)利要求l所述的系統(tǒng)�����,其特征在于���,所述服務(wù)器組件從由所述客 戶機(jī)組件和至少一個(gè)輔助客戶機(jī)構(gòu)成的組中選擇的提供者接收至少一個(gè)關(guān)于 所述客戶機(jī)組件的憑證語(yǔ)句�。
14. 如權(quán)利要求l所述的系統(tǒng),其特征在于����,所述憑證語(yǔ)句被存儲(chǔ)在所述 提供者以外的位置處,且所述提供者在向所述服務(wù)器組件提供所述憑證語(yǔ)句時(shí) 參考所述憑證語(yǔ)句����。
15. —種用于在與和使用策略相關(guān)聯(lián)的資源相關(guān)聯(lián)的實(shí)體("服務(wù)器") 與請(qǐng)求訪問(wèn)所述資源的實(shí)體("客戶機(jī)")之間通信的計(jì)算機(jī)實(shí)現(xiàn)的方法,包 括在所述服務(wù)器從所述客戶機(jī)接收到對(duì)訪問(wèn)所述資源的請(qǐng)求之際���,所述服務(wù) 器向所述客戶機(jī)發(fā)送一命題�,所述命題包括幫助所述客戶機(jī)構(gòu)造論證所述客戶 機(jī)應(yīng)被準(zhǔn)許所述訪問(wèn)請(qǐng)求的證明的附加斷言�;在接收到所述證明之際,所述服務(wù)器檢査所述證明�����; 如果所述證明是正確的�����,則所述服務(wù)器準(zhǔn)許所述訪問(wèn)請(qǐng)求��;以及 如果所述證明是不正確的�����,則所述服務(wù)器拒絕所述訪問(wèn)請(qǐng)求����。
16. 如權(quán)利要求15所述的計(jì)算機(jī)實(shí)現(xiàn)的方法,其特征在于���,還包括 在接收到來(lái)自所述服務(wù)器的命題之際��,所述客戶機(jī)使用包括在所述命題中的附加斷言來(lái)構(gòu)造所述證明�。
17. —種用于在與和使用策略相關(guān)聯(lián)的資源相關(guān)聯(lián)的實(shí)體("服務(wù)器") 與請(qǐng)求訪問(wèn)所述資源的實(shí)體("客戶機(jī)")之間通信的計(jì)算機(jī)實(shí)現(xiàn)的方法�,包 括所述客戶機(jī)向所述服務(wù)器發(fā)送訪問(wèn)請(qǐng)求以及憑證語(yǔ)句和一個(gè)或多個(gè)附加斷 言,其中一個(gè)或多個(gè)附加斷言向所述服務(wù)器指示如何構(gòu)造論證所請(qǐng)求的訪問(wèn)應(yīng)被準(zhǔn)許的證明�����。
18. 如權(quán)利要求17所述的計(jì)算機(jī)實(shí)現(xiàn)的方法�����,其特征在于����,由所述客戶 機(jī)或所述服務(wù)器以外的實(shí)體提供任何所述憑證語(yǔ)句和所述一個(gè)或多個(gè)附加斷曰o
全文摘要
提供支持語(yǔ)句以幫助安全而高效地構(gòu)造和驗(yàn)證決定是否準(zhǔn)許來(lái)自一個(gè)實(shí)體的對(duì)訪問(wèn)由另一實(shí)體所擁有或管理的資源的請(qǐng)求所需的證明��。
文檔編號(hào)H04L9/32GK101164277SQ200680013400
公開日2008年4月16日 申請(qǐng)日期2006年4月20日 優(yōu)先權(quán)日2005年4月22日
發(fā)明者C·F·羅斯三世, M·帕拉瑪斯萬(wàn)姆, N·帕耶特 申請(qǐng)人:微軟公司