专利名称:用于授权的方法与系统的制作方法
技术领域:
本公开内容涉及用于在管理代理中提供安全性和授权的方法、系统与制品。
背景技术:
在管理环境中,集中式管理应用程序可以使用安装在被管理系统上的代理来远程执行被管理系统上的操作。管理应用程序的单个操作可以同时以无数个代理为目标,每个代理支持具有完全相同语义的操作。具有执行类似操作的能力的多个代理的存在允许管理应用程序的单个操作调用被复制并发送到多个代理。但是,管理服务器上所选管理应用程序可能不具有在每个代理上执行操作的相同权限。
在特定的管理环境中,每个代理可以在代理所管理环境的本地安全域中运行。管理应用程序对目标代理上操作的每次调用可能需要特定于该目标代理的安全域的凭证。这种方案在代理存在于许多安全域的异类管理环境中会造成困难。但是,这种方案在期望所有目标代理都共享如Microsoft Windows*域的本地安全域的管理环境中可能是有用的。
在特定的管理环境中,代理可以建立与管理服务器的受托关系。一旦建立了受托关系,管理服务器就被授予了对代理所暴露的操作的完全访问。当代理功能和管理服务器之间有紧耦合时,这种模型可以实现,而且这种模型可以用在特定的异类管理环境中。但是,因为每个管理服务器都在由该管理服务器管理的系统上安装了受托代理,所以这种模型造成被管理系统上代理的激增。对于为管理服务器的任意集合安置管理功能的代理,这种模型可能会造成困难。
发明内容
提供了方法、系统、制品和计算机程序产品,其中为第一实体存储第一指示符,而且其中第一指示符识别第一实体所属的组及与该组关联的操作。第一实体从第二实体接收第二指示符,其中第二指示符指示对至少一个组上的至少一个操作授予第二实体的权限。基于第二指示符与第一指示符的比较,由第一实体本地确由第二实体所请求的操作是否要由第一实体执行。
在特定的附加实施方式中,第一实体是具有子代理的代理,其中第二实体是管理应用程序,其中第一指示符是组分配,其中第二指示符是访问控制票,而且其中有比管理应用程序多的代理。
在另外的附加实施方式中,第一实体接收第二实体密码验证的身份。第一实体根据第二实体密码验证的身份认证第二实体。响应于第二实体被成功认证并响应于确定出第二实体所请求的操作要由第一实体执行,第二实体所请求的操作被执行。
在另外其它的实施方式中,第二指示符是由第一实体通过由中央访问控制服务器生成的组分配票接收的组分配,其中组分配票列出了第一实体是其成员的组的所有组标识符,而且其中组分配票是由受托认证服务器密码签名的。
在还有另外的实施方式中,唯一标识符表示组的组名,而且其中第二实体可以改变表示组名的唯一标识符。第二实体向中央访问控制数据库服务器请求第二指示符。第二实体从中央访问控制服务器接收第二指示符,其中第二指示符已经由受托认证服务器密码签名。
在其它实施方式中,多个第一实体都在包括该多个第一实体的计算平台上本地确定第二实体所请求的操作是否可以执行,而且其中中央服务器不由确定第二实体所请求的操作是否可以执行的多个第一实体访问。
现在参考附图,其中相同的标号始终表示对应的部件
图1说明了根据特定实施方式的计算环境的方框图;图2说明了根据特定实施方式显示代理如何分配给组的方框图;图3说明了根据特定实施方式说明用于代理的组分配如何分发的方框图;图4说明了根据特定实施方式说明代理是否允许管理应用程序所请求的操作被执行的第一流程图;图5说明了根据特定实施方式说明第一实体是否允许第二实体所请求的操作被执行的第二流程图;及图6说明了根据特定实施方式的其中实现特定实施方式的系统。
具体实施例方式
在以下描述中,参考构成本发明的一部分并说明了几种实施方式的附图。应当理解其它实施方式也可以使用,而且可以进行结构上和操作上的改变。
图1说明了根据特定实施方式的计算环境100的方框图。
至少一个管理服务器102在网络106上耦合到多个被管理系统104a、104b、...、104n。在特定的实施方式中,管理服务器102包括一个或多个管理应用程序108,而被管理系统104a、104b、...、104n分别包括代理110a、110b、...、110n。例如,被管理系统104a可以包括代理110a,被管理系统104b可以包括代理110b,而被管理系统104n可以包括代理110n。每个代理可以包括多个子代理。例如,代理110a可以包括多个子代理112a...112m,代理110b可以包括多个子代理113a...113p,而代理110n可以包括多个子代理114a...114q。
在特定的实施方式中,代理110a...110n可以将管理操作作为web服务向管理应用程序108暴露。在可选实施方式中,代理110a...110n可以通过不同于web服务的其它协议暴露管理操作。管理服务器102可以调用如代理110a的任何代理上的任何操作。对于代理,如代理110a,为了成功地安置来自多个管理应用程序108的管理功能,用于代理的访问控制解决方案可以允许代理110a基于代理的身份、被调用操作的身份和调用者的身份作出访问决定。
中央访问控制服务器116、受托认证服务器118和远端客户120也可以耦合到网络106。中央访问控制服务器116包括可以存储关于多个代理如何分组到多个组中的信息的中央访问控制数据库122,其中操作可以由管理应用程序108在多个组上进行尝试。
受托认证服务器118可以充当被管理系统104a...104n和管理服务器102委托的认证授权。例如,受托认证服务器118可以提供由受托认证服务器118数码签名的受托身份124,其中受托身份124对应于管理服务器102的身份。由于被管理系统104a...104n委托受托认证服务器118m来签名认证,因此被管理系统104a...104n可以通过检查管理服务器102的受托身份124来认证管理服务器102。可选实施方式可以使用用于密码提供系统身份的其它机制,如Kerberos。
在特定的实施方式中,远端客户端120可以使用管理应用程序108尝试在代理110a...110n上执行操作。在特定的实施方式中,由远端客户120执行的操作可以由管理应用程序108执行。
关于将代理分组成组的信息存储在称为组分配126a、126b、...、126n的数据结构中。组分配126a、...、126n可以通过中央访问控制数据库122分发到被管理系统104a...104n中。
在特定的实施方式中,管理服务器102、被管理系统104a...104n、中央访问控制服务器116、受托认证服务器118和远端客户端120可以包括任何合适的计算平台,包括目前本领域已知的那些平台,如个人计算机、工作站、大型机、中型计算机、网络设备、掌上计算机、电话设备、片(blade)计算机、手持计算机等。网络106可以包括本领域已知的任何网络,如存储区域网络(SAN)、局域网(LAN)、广域网(WAN)、因特网、内联网等。
在特定的实施方式中,管理应用程序108、代理110a...110n和子代理112a...112m、113a...113p、114a...114q可以包括在软件、硬件、固件或其任何组合中体现的应用程序。在特定的实施方式中,比图1所说明更多或更少的组件可以用于执行由图1所示组件执行的操作。
特定的实施方式允许代理110a...110n使用组分配126a...126n及由管理应用程序108提供的访问控制票128来确定是否允许管理应用程序108请求的操作由代理,如代理110a...110n中的任何一个,执行。对于关于代理110a...110n分组到的一个或多个组要执行的操作,访问控制票128可以指示由中央访问控制服务器116授予管理应用程序102的权限范围。
图2说明了根据在计算环境100中实现的特定实施方式显示代理如何分配成组的方框图。
集中访问控制数据库122可以存储关于计算环境100中代理分组的信息。例如,图2示出了示例组200a、200b、...、200k,其中组200a包括代理202a...202u,组200b包括代理204a...204v,而组200k包括代理206a...206w。在特定的实施方式中,同一代理可以包括在多个组中。例如,图1所示的代理110a可以既包括在组202a又包括在组202b中。
在特定的实施方式中,对于要为管理服务器102想在其上调用操作的每个代理颁发单独的访问控制票,实际中可能有太多代理。而且可能需要巨大的存储和处理时间来单独列出作为单个访问控制票中操作目标的每个代理。特定实施方式提供了由代理不参考中央服务器就能解决的一种或多种分组机制。管理服务器102上的管理应用程序108可以通过向代理展示对于关于代理分组成的一个或多个组200a...200k要执行的操作指示由中央访问控制服务器116授予该管理应用程序108的权限范围的访问控制票128(图1所示)来调用代理上的操作。
图3说明了根据在计算环境100中实现的特定实施方式说明用于代理110a、110b、...、110n的组分配126a、126b、...、126n如何分发的方框图。
在特定的实施方式中,中央访问控制服务器116可以将组分配126a、126b、...、126n分别分发300给代理110a、110b、...、110n。
中央访问控制服务器116可以明确地分配代理对组的成员资格,然后通过称为组分配126a...126n的签名成员资格列表将组成员资格传送到代理110a...110n。组分配126a...126n可以包括为代理分配了成员资格的零个或更多组的列表,其中组名可以是唯一标识符。还可以为组指示到期日期。
组分配126a...126n可以由受托认证服务器118签名。新的组分配可以设计成代替现有的组分配集合,或者组分配可以被扩展。
在特定的实施方式中,组分配126a...126n可以用于众所周知并具有相对稳定组成员资格的代理,并用于需要确定性访问控制的代理,如用于数据中心的机器的那些代理。
因此,图3说明了其中中央访问控制服务器116发送对应于被管理系统104a...104n中代理110a...110n的组分配126a...126n的特定实施方式。
图4说明了根据在计算环境100中实现的特定实施方式说明如代理110a的代理是否允许管理应用程序108所请求的操作被执行的第一流程图。
控制在块400开始,其中中央访问控制服务器116部署与中央访问控制服务器116具有受托关系的代理110a...110n,其中中央访问控制服务器116耦合到存储关于组的信息的中央访问控制数据库122,而且代理包括在每个组中。
管理服务器102上的管理应用程序108(在块402)向中央访问控制数据库122请求指示对于关于一个或多个组要执行的操作授予该管理应用程序108的权限范围的访问控制票128。
管理应用程序108(在块404)从中央访问控制数据库122接收访问控制票128,其中访问控制票128已经由受托认证服务器118密码签名。
管理服务器102上的管理应用程序108(在块406)向如代理110a的代理发送访问控制票128及管理服务器102的受托身份124。在特定的实施方式中,访问控制票128可以发送到一个或多个代理,而且可以包括不同于代理110a的代理。
代理110a(在块408)从管理服务器102接收访问控制票128。代理110a能利用一个或多个组和一个或多个操作访问本地存储的组分配126a、访问控制票128。此外,代理110a拥有认证展示访问控制票128的发送者的能力。
代理110a(在块410)确定本地存储在被管理系统104a的组分配126a是否允许访问控制票128的发送者执行可能已经包括或与访问控制票128分开发送的操作。如果是,则代理110a(在块412)允许操作由管理应用程序108在代理110a上执行。如果不是,则代理110a(在块414)不允许操作由管理应用程序108在代理110a上执行。是否允许管理应用程序108的操作的决定是在代理110a本地作出的。
在特定的实施方式中,其中有几十、几百、几千或更多代理110a...110n,通过在代理110a...110n处本地确定管理应用程序108的操作是否可以由代理110a...110n执行,可能在确定未本地作出的情况下造成的单点故障被避免。
通过在代理110a...110n本地确定管理应用程序108的操作是否可以由代理110a...110n执行,特定实施方式避免了引入单点故障并避免了计算环境100中的过载通信。
图5说明了根据特定实施方式说明在计算环境100中第一实体是否允许第二实体所请求的操作被执行的第二流程图。在特定的实施方式中,第一实体是示例代理,如代理110a,而第二实体是管理应用程序108。
控制通过存储用于第一实体的第一指示符在块500开始,其中第一指示符识别第一实体所属的组及与该组关联的操作。例如,在特定的实施方式中,第一实体是具有子代理112a...112m的代理110a,而第二实体是管理应用程序108,第一指示符是组分配126a,而第二指示符是访问控制票128。
第二实体(在块502)向中央访问控制数据库服务器116请求第二指示符128。第二实体108(在块504)从中央访问控制服务器116接收第二指示符128,其中第二指示符128已经由受托认证服务器118密码签名。
第一实体110a(在块506)接收第二实体108密码验证的身份。第一实体110a(在块508)根据第二实体108密码验证的身份认证第二实体108。
与块506和508的执行并行,第一实体110a(在块510)从第二实体108接收第二指示符128,其中第二指示符128指示对至少一个组上的至少一个操作授予第二实体108的权限。在特定的实施方式中,其中第二指示符是组分配,组分配可以在管理系统启动操作之前分发到代理。例如,组分配可以等组分配一进行就分发,而不需要更新,除非组分配改变了。此外,相同的组分配可以用于许多管理服务器的许多操作调用。根据第二指示符128与第一指示符126a的比较,第一实体110a(在块512)本地确定第二实体108所请求的操作是否要由第一实体110a执行,其中在特定的实施方式中第一实体110a是代理。
在块508和512的结尾,响应于第二实体108被成功认证并响应于确定出第二实体108所请求的操作要由第一实体110a执行,第二实体108所请求的操作(在块514)执行。基于第二指示符128与第一指示符126a的比较,关于第二实体108所请求的操作是否要由第一实体110a执行的本地确定避免了使用中央数据库来检查第二实体108所发送的操作是否要由第一实体110a执行。
在特定的实施方式中,第一实体是具有子代理的代理,其中第二实体是管理应用程序,其中第一指示符是组分配,其中第二指示符是访问控制票,而且其中有比管理应用程序多的代理。在特定的示例实施方式中,少量实体,如一组财务应用程序,可以访问大量实体,如自动提款机(ATM)网络。
在特定的实施方式中,第二指示符是由第一实体通过中央访问控制服务器生成的组分配票接收的组分配,其中组分配票列出了第一实体是其成员的组的所有组标识符,而且其中组分配票由受托认证服务器密码签名。在特定的实施方式中,组分配可以分成任意数量的指示符,代理所属的每个组有一个指示符。
在特定的实施方式中,访问控制信息包括在操作调用中。因此,组分配只有响应于代理添加到组或从组中除去才需要更新,而在访问控制列表改变时不需要更新。
特定实施方式还可以提供使用唯一标识符表示组名的机制。在这些实施方式中,用于描述代理所属组的标识符(ID)是由中央访问控制数据库122或管理服务器创建的,而且可以是任意的。中央访问控制数据库122可以通过停止为那个ID颁发访问控制票来有效地删除组ID。例如,如果称为A的组具有示例代理x、y和z作为成员,则中央访问控制数据库122向称为A的组分配ID 1,并向示例代理x、y和z分发指示它们每个都属于组1的票。
当示例管理服务器M想调用组A上的操作O时,示例管理服务器M从中央访问控制数据库122请求票。假定示例管理服务器M有权调用组A上的操作,则中央访问控制数据库122颁发指示示例管理服务器M可以调用组1上操作O的票。
如果示例代理w随后添加到组A,则向代理w颁发组1的分配。此外,如果随后代理z从组A除去,则中央访问控制数据库向组A分配新ID 2并向代理w、x和y分发指示代理w、x和y属于组2的票。
当管理服务器M想调用组A上的操作O时,管理服务器M从中央访问控制数据库122请求票。中央访问控制数据库向管理服务器M颁发指示管理服务器M可以调用组2上操作O的票。在示例实施方式中,ID 1没有重用,而且不再颁发授予访问1的票。在特定时间段后组1的分配到期,可以从中央访问控制数据库122除去。
要求对每个代理上每个操作的调用都依靠中央数据库验证权限不总是合适的。此外,对于单个操作调用,对每个目标代理携带认证凭证不总是合适的。此外,对于操作调用,对每个目标代理都包括认证信息也是不合适的。
特定实施方式提供了用于向委派作访问控制决定授权的安全实体提供安全组成员资格信息的机制。由委派实体作出的本地决定使用关于组成员资格的信息,同时特定实施方式允许实际的组成员资格和与组关联的权限被集中管理。委派实体可能只需要在委派实体添加到组中时才被通知委派实体的组成员资格。
由管理服务器调用的操作可以包括可复制并用在每个目标代理上的操作调用中的授予管理服务器的权限的单个简单描述。代理使用有时候在操作之前分配的组成员资格和包括在操作调用中的权限声明的组合来确定操作是否应当被允许。
权限计算利用操作调用者的密码验证身份。此外,权限计算也可以使用由授予权限的代理受托并包括在操作调用中的身份密码签名的访问权限声明。此外,代理向一个或多个安全组的分配是由进行组分配的代理受托的身份密码签名的,而且分配在操作调用之前分发。
特定实施方式避免了在无数代理和子代理上的操作。可能由集中式数据库引起的性能损失避免了,而且单点故障也避免了。
特定实施方式提供了小到足以包括在代理中的访问实施引擎。特定实施方式还提供了与访问控制数据库的接口,并提供了向代理分发访问控制信息的机制。特定实施方式允许各种权限应用到大量类似的智能资源,如系统管理代理。
在特定的实施方式中,组分配票不必包含实体所属的所有组。每次当实体添加到组时,可以为实体颁发指示该组中成员资格的票。因此,组成员资格票可以指示一个或多个组中的成员资格,而且可以向单个实体颁发任意数量的组成员资格票。实体所属的组的集合可以是所有成员资格票的联合。
附加实施方式细节所述技术可以实现为涉及软件、固件、微代码、硬件和/或其任意组合的方法、装置或制品。在此所使用的术语“制品”指在介质中实现的代码或逻辑,其中这种介质可以包括硬件逻辑[例如,集成电路芯片、可编程门阵列(PGA)、专用集成电路(ASIC)等]或计算机可读介质,如磁存储介质(例如,硬盘驱动器、软盘、磁带等)、光存储器(CD-ROM、光盘等)、易失和非易失存储器设备[例如,电可擦除可编程只读存储器(EEPROM)、只读存储器(ROM)、可编程只读存储器(PROM)、随机存取存储器(RAM)、动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、闪存、固件、可编程逻辑等]。计算机可读介质中的代码由处理器访问并执行。代码或逻辑在其中编码的有形介质还可以包括通过空间或如光纤、铜线等的传输介质传播的传输信号。代码或逻辑在其中编码的传输信号还可以包括无线信号、卫星发送、无线电波、红外线信号、蓝牙等。代码或逻辑在其中编码的传输信号可通过有形介质传输,并能够由发送站发送并由接收站接收,其中在传输信号中编码的代码或逻辑可以在接收和发送站或设备处在硬件或计算机可读介质中解码并存储。此外,“制品”还可以包括代码可以在其中体现、处理和执行的硬件和软件组件的组合。当然,本领域技术人员应当认识到在不背离实施方式范围的情况下可以进行许多修改,而且制品可以包括任何信息承载介质。例如,制品包括其中存储了当由机器执行时导致操作被执行的指令的存储介质。
特定实施方式可以采用完全硬件实施方式、完全软件实施方式或既包含硬件又包含软件元件的实施方式的形式。在优选实施方式中,本发明是在软件中实现的,它包括但不限于固件、驻留软件、微代码等。
此外,特定实施方式可以采用能从计算机可用或计算机可读介质访问的计算机程序产品的形式,该程序产品提供了由计算机或任何指令执行系统使用或与其连接的程序代码。为了这种描述,计算机可用或计算机可读介质可以是能够包含、存储、传送、传播或传输由指令执行系统、装置或设备使用或与其连接的程序的任何装置。介质可以是电、磁、光、电磁、红外线或半导体系统(或装置或设备)或传播介质。计算机可读介质的例子包括半导体或固态存储器、磁带、可拆卸计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、硬磁盘和光盘。目前光盘的例子包括光盘只读存储器(CD-ROM)、读/写光盘(CD-R/W)和DVD。
除非另外明确指出,否则术语“特定实施方式”、“实施方式”、“该实施方式”、“一种或多种实施方式”、“一些实施方式”及“一种实施方式”意思是一种或多种(但不是全部)实施方式。除非另外明确指出,否则术语“包括”、“包含”、“具有”及其变体意思是“包括但不限于”。除非另外明确指出,否则列举的项目列表并不暗示任何或全部项目是相互排斥的。除非另外明确指出,否则术语“一个”和“该”意思是“一个或多个”。
除非另外明确指出,否则彼此通信的设备不需要彼此持续通信。此外,彼此通信的设备可以通过一个或多个中间件直接或间接通信。此外,有几个彼此通信的组件的实施方式的描述并不暗示所有这些组件都是必需的。相反,多个可选组件的描述是为了说明广泛的多种可能实施方式。
此外,尽管处理步骤、方法步骤、算法等可以顺序描述,但此类处理、方法和算法可以配置成以交替次序工作。换句话说,描述的步骤的任何顺序或次序都不一定指示步骤要以那种次序执行的要求。在此所述的处理步骤可以任何实际的次序执行。此外,有些步骤可以同时、并行或同步执行。
当在此描述单个设备或物品时,很显然多于一个设备/物品(不管它们是否合作)可以代替单个设备/物品使用。类似地,当在此描述多于一个设备或物品时(不管它们是否合作),很显然单个设备/物品(不管它们是否合作)可以代替多个设备或物品使用。设备的功能性和/或特征可以可选地由未在此明确描述的一个或多个具有这种功能性/特征的设备体现。因此,其它实施方式不需要包括设备本身。
图6说明了其中特定实施方式可以实现的系统600的方框图。在特定实施方式中,图1所示的计算平台,如管理服务器102和被管理系统104a...104n,可以根据系统600实现。系统600可以包括电路602,在特定实施方式中电路602可以包括处理器604。系统600还可以包括存储器606(例如,易失存储器设备)和存储器608。系统600的特定元件可能或可能不会在计算平台102、104a...104n中找到。存储器608可以包括非易失存储器设备(例如,EEPROM、ROM、PROM、RAM、DRAM、SRAM、闪存、固件、可编程逻辑等)、磁盘驱动器、光盘驱动器、磁带驱动器等。存储器608可以包括内部存储设备、附属存储设备和/或网络访问存储设备。系统600可以包括程序逻辑610,程序逻辑610包括可以加载到存储器606并由处理器604或电路602执行的代码612。在特定实施方式中,包括代码612的程序逻辑610可以存储在存储器608中。在特定的其它实施方式中,程序逻辑610可以在电路602中实现。因此,尽管图6显示程序逻辑610独立于其它元件,但程序逻辑610可以在存储器606和/或电路602中实现。
特定实施方式可以针对由人或自动处理集成计算机可读代码将计算指令部署到计算系统中的方法,其中使与计算系统组合的代码能够执行所述实施方式的操作。
至少图4和5所说明的特定操作可以并行及顺序执行。在可选实施方式中,特定操作可以不同次序执行、修改或除去。
此外,许多软件和硬件组件已经在独立的模块中为说明进行了描述。这种组件可以集成到更少量的组件中或分到更大量的组件中。此外,描述为由特定组件执行的特定操作可以由其它组件执行。
在图1至6中所示或所指的数据结构和组件描述为具有特定类型的信息。在可选实施方式中,该数据结构和组件可以与图中所示或所指的结构不同并具有更少、更多或不同域或不同功能。因此,以上实施方式的描述是为了说明和描述而展示的。它不打算是穷尽的或者要将实施方式限定到所公开的精确形式。根据以上教义,许多修改和变体都是可能的。
---------------------------------------------------------------------------------------------------*Microsoft Windows是微软公司的商标或注册商标。
Kerberos是麻省理工学院的商标。
权利要求
1.一种方法,包括存储用于第一实体的第一指示符,其中第一指示符识别第一实体所属的组和与所述组关联的操作;在第一实体从第二实体接收第二指示符,其中第二指示符指示对至少一个组上的至少一个操作授予第二实体的权限;及根据第二指示符与第一指示符的比较,由第一实体本地确定第二实体所请求的操作是否要由第一实体执行。
2.如权利要求1所述的方法,其中第一实体是具有子代理的代理,其中第二实体是管理应用程序,其中第一指示符是组分配,其中第二指示符是访问控制票,而且其中代理多于管理应用程序。
3.如权利要求1所述的方法,还包括在第一实体接收第二实体的密码验证的身份;由第一实体根据第二实体的密码验证的身份认证第二实体;及响应于第二实体被成功认证和响应于确定出第二实体所请求的操作要由第一实体执行,执行第二实体所请求的操作。
4.如权利要求1所述的方法,其中第二指示符是由第一实体通过中央访问控制服务器生成的组分配票接收的组分配,其中组分配票列出了第一实体是其成员的所有组的组标识符,而且其中组分配票由受托认证服务器密码签名。
5.如权利要求1所述的方法,其中唯一标识符表示组的组名,而且其中第二实体可以改变表示组名的所述唯一标识符,该方法还包括由第二实体向中央访问控制数据库服务器请求第二指示符;及由第二实体从中央访问控制服务器接收第二指示符,其中第二指示符已由受托认证服务器密码签名。
6.如权利要求1所述的方法,其中多个第一实体都在包括所述多个第一实体的计算平台上本地确定第二实体所请求的操作是否可以执行,而且其中中央服务器不由所述多个第一实体访问以确定第二实体所请求的操作是否可以执行。
7.一种系统,包括存储器;及耦合到该存储器的处理器,其中该处理器可用于存储用于第一实体的第一指示符,其中第一指示符识别第一实体所属的组和与该组关联的操作;在第一实体从第二实体接收第二指示符,其中第二指示符指示对至少一个组上的至少一个操作授予第二实体的权限;及根据第二指示符和第一指示符的比较,由第一实体本地确定第二实体所请求的操作是否要由第一实体执行。
8.如权利要求7所述的系统,其中第一实体是具有子代理的代理,其中第二实体是管理应用程序,其中第一指示符是组分配,其中第二指示符是访问控制票,而且其中代理多于管理应用程序。
9.如权利要求7所述的系统,其中该处理器还可用于在第一实体接收第二实体的密码验证的身份;由第一实体根据第二实体的密码验证的身份认证第二实体;及响应于第二实体被成功认证和响应于确定出第二实体所请求的操作要由第一实体执行,执行第二实体所请求的操作。
10.如权利要求7所述的系统,其中第二指示符是由第一实体通过中央访问控制服务器生成的组分配票接收的组分配,其中组分配票列出了第一实体是其成员的所有组的组标识符,而且其中组分配票由受托认证服务器密码签名。
11.如权利要求7所述的系统,其中唯一标识符表示组的组名,而且其中第二实体可以改变表示组名的所述唯一标识符,该系统还包括中央访问控制数据库服务器,其中该处理器还可用于由第二实体向中央访问控制数据库服务器请求第二指示符;及由第二实体从中央访问控制数据库服务器接收第二指示符,其中第二指示符由受托认证服务器密码签名。
12.如权利要求7所述的系统,其中多个第一实体都在包括所述多个第一实体的计算平台上本地确定第二实体所请求的操作是否可以执行,而且其中中央服务器不由所述多个第一实体访问以确定第二实体请求的操作是否可以执行。
13.一种计算机程序产品,包括包含计算机可读程序的计算机可用介质,其中该计算机可读程序当在处理器上执行时使处理器执行前述方法权利要求中的任一方法。
全文摘要
提供了方法、系统、制品和计算机程序产品,其中第一指示符为第一实体存储,而且其中第一指示符识别第一实体所属的组和与该组关联的操作。第一实体从第二实体接收第二指示符,其中第二指示符指示对至少一个组上至少一个操作授予第二实体的权限。根据第二指示符与第一指示符的比较,由第一实体本地确定第二实体所请求的操作是否要由第一实体执行。
文档编号G06F17/30GK1893372SQ200610087710
公开日2007年1月10日 申请日期2006年5月31日 优先权日2005年6月28日
发明者道格拉斯·A.·伍德 申请人:国际商业机器公司