专利名称:用于显示和管理安全信息的方法和系统的制作方法
技术领域:
本发明一般涉及管理计算机系统领域的安全信息。
背景技术:
当前的网络系统使信任关系能在计算机系统的各领域之间建立。计算机系统领域是共享同一领域内共同属性的计算机系统的集合。例如,某公司的所有计算机系统可形成该公司的领域,而该公司人事部门的计算机系统可形成公司的人事领域。在一个领域内的计算机系统用户可允许另一领域的用户访问其资源(例如数据文件和应用程序文件)。例如,其计算机系统在执行领域内的公司总裁可访问存储在人事领域计算机系统上的人事文件(即资源类型)。为了允许对人事文件的访问,人事领域的管理员可与执行领域的用户建立“信任关系”。一旦建立了信任关系,是信任领域成员的公司总裁就能够访问所需的人事文件。人事领域的管理员被称为建立人事领域对执行领域的“进入信任”(incoming trust),意思是执行领域的用户受到人事领域管理员的信任。执行领域管理员还可在执行领域和人事领域之间建立信任关系。该信任关系使人事领域的用户能访问执行领域的资源。在此情形中,建立人事领域对执行领域的“外出信任”(outgoing trust),即允许人事领域的用户能访问执行领域的资源。人事领域的“进入信任”将是执行领域的“外出信任”,而执行领域的“进入信任”将是人事领域的“外出信任”。
一旦信任关系在诸领域之间建立,具有进入信任对领域资源的访问可由访问控制列表(ACL)或某些其它机制进行控制。例如,人事领域内的管理员可指定总裁对他的人事文件可只读访问,而对公司其它执行领域的人事文件可读写访问。当总裁请求访问他的人事文件时,人事领域的安全机制检查该人事文件的ACL以确保被请求访问与总裁的访问权相一致。否则,拒绝总裁访问。
对于具有进入信任关系的领域的管理员和用户而言,要为受信任领域所有用户建立其对它所有资源的适当访问权是非常耗时的。为了帮助推动建立访问权,至少一种网络安全机制在具有进入信任的领域的计算机系统和具有相应外出信任的领域的用户之间提供“允许验证”访问权。例如,人事领域的管理员可指定允许公司的执行领域向包含人事文件的人事领域人事服务器进行验证。当总裁请求对人事文件的访问时,总裁的计算机系统首先尝试向人事服务器验证。如果人事管理员已承认总裁向人事服务器进行验证的权利,网络安全机制验证总裁以确保请求访问的真的是总裁。一旦验证完成,总裁可根据那些资源的ACL来访问人事服务器的资源(例如人事文件)。如果人事服务器的资源都没有承认总裁访问权的ACL,则尽管已验证了总裁身份,总裁仍然不能访问任何资源。
由网络安全机制使用的验证过程可以是标准的Kerebos验证技术,其中总裁计算机系统的Kerebos客户机向人事领域的Kerebos服务器提供用户名和密码。Kerebos服务器确认用户名和密码、确保用户对被请求计算机系统有允许验证访问权、且如果是这样,向用户提供“票据”。在用户尝试访问它已被认证的计算机系统资源的任何时候,都使用该票据。如果票据有效,则根据资源的ACL允许对该资源的访问。如果无效,拒绝访问。
某些网络安全机制使用诸如LDAP目录或“微软Active目录”的目录服务器为中央寄存器中的领域存储诸如允许验证信息的安全信息。领域的每个计算机系统在中央寄存器中都有条目,它指定哪些对该领域具有外出信任的领域用户被允许向该计算机系统进行验证。例如,人事领域人事服务器的条目可指定执行领域的一组用户(被称为“执行者”)被允许向人事服务器进行验证。可选地该条目可列出每个执行者的用户名。在对该领域具有外出信任的领域用户请求向该领域的计算机系统进行验证的任何时候,网络安全机制访问该中央寄存器。
安全信息的这种中央寄存器为每个计算机系统存储信息,但它们不以具有外出信任的领域单个用户的所有访问权都能快速确定的方式进行存储。为了确定用户的访问权,将需要访问安全信息的整个存储器以标识对哪个计算机系统用户具有访问权(例如允许验证的访问权)。因为领域可具有成千上万个计算机系统,且可与许多每个都具有成千上万用户的不同领域之间有进入信任关系,中央寄存器的安全信息可以是极大的,并且要标识单个用户的所有访问权能化很长时间。例如,在一情形中,要编译指示对于每个具有允许验证访问权的用户,用户具有允许验证访问权可访问的计算机系统列表,要化计算机程序三天以上的时间。结果,某些管理员不使用网络安全机制的某些安全特征,因为它对于标识和控制单个用户的访问权不实用。
将需要使管理员能够查看和控制单个用户安全信息的有效方法。
发明内容
提供用于维护安全信息的安全系统。在一实施例中,安全系统为领域提供包含有标识实体及其对资源访问权的领域资源条目的主要安全存储器。安全系统还提供具有标识实体对资源访问权的条目的辅助安全存储器。当提供通过它管理员可查看和更新访问权的用户接口时,安全系统使用辅助安全存储器。当证实实体对资源的访问权时安全系统使用主要安全存储器。当用户指定要更新访问权,安全系统更新主要安全存储器和辅助安全存储器。这样,安全系统使管理员能在每个实体基础上有效控制安全信息,并使主要安全存储器与辅助安全存储器保持同步。
图1是示出在一实施例中要显示其安全规范的选中对象的条目的显示页面。
图2A是示出在一实施例中实体的允许验证安全规范显示的显示页面。
图2B是示出在一实施例中资源的允许验证安全规范显示的显示页面。
图3是示出在一实施例中允许验证安全规范的创建的显示页面。
图4是示出在一实施例中实现安全系统的领域组件的框图。
图5是示出在一实施例中初始化辅助安全存储器组件的处理的流程图。
图6是示出在一实施例中UI控制器的处理的流程图。
图7是示出在一实施例中显示实体信息组件的处理的流程图。
图8是示出在一实施例中显示安全规范组件的处理的流程图。
图9是示出在一实施例中更新安全规范组件的处理的流程图。
具体实施例方式
提供了用于管理计算机系统领域的安全信息的方法和系统。在一实施例中,安全系统显示了诸如用户或计算机系统的选中安全对象的安全信息。开始时安全系统检索包括每个都具有选中安全对象的实体、资源、以及访问权标识的安全规范的安全信息。实体包括用户或者用户组,资源可包括计算机系统,而访问权可指定是否允许实体向资源进行验证。然后安全系统显示对每个安全规范的实体、资源以及访问权的标识。当安全信息由资源存储在安全存储器中(即主要安全存储器),并且对于每种资源实体具有对该资源的访问权时,安全系统可使用辅助安全存储器以便安全信息的检索。在一实施例中,辅助安全存储器包含每个在主要安全存储器中指定的安全规范的条目。
安全规范定义实体、资源、以及访问权的三位一体,意思是实体具有对资源的指定访问权。实体还被称作是访问权的“源”,而资源则被称为是访问权的“目的”。该源和目的术语与防火墙机制使用的指定哪些源对哪些目的具有哪些访问权的术语相类似。当向管理员提供对安全信息的访问时,安全系统可使用辅助安全存储器。特别地,当管理员想要查看安全信息时,安全系统从辅助安全存储器中而不是从主要安全存储器中检索安全规范。另外,当管理员想要更改安全信息时,安全系统使用辅助安全存储器的安全规范来帮助管理员指定要更改哪些安全信息。安全系统还更新主要安全存储器和辅助安全存储器以反映该更改。这样,管理员可使用安全系统(安全系统则使用辅助安全存储器)以有效管理领域的安全信息,而当检查请求资源访问的实体是否对被请求访问具有足够的访问权时,网络安全机制仍能使用主要安全存储器。
在一实施例中,开始时安全系统可通过编译来自主要安全存储器的安全信息的安全规范来填充辅助安全存储器。尽管检索和处理主要安全存储器的安全信息要化很长时间,但检索和处理仅需做一次。当开始时辅助安全存储器被填充之后,无论何时更新安全信息,安全系统都更新主要安全存储器和辅助安全存储器。因为对于主要安全存储器和辅助安全存储器而言一致是重要的,在更新主要安全存储器和辅助安全存储器之后安全系统可从该两个安全存储器中检索经更新安全信息以确保该更新已正确完成。如果没有,安全系统可通知管理员使得更正动作得以采取。安全系统还可记录对安全系统的所有更新使得对安全存储器的更新可适当前后滚动。在一实施例中,安全系统可确保仅仅具有激活或禁止由安全系统管理的访问权(例如允许验证)特权的用户(例如管理员)才被允许更新安全信息。
在一实施例中,安全系统使访问权可从父安全对象继承。例如,如果用户被准予向计算机系统领域进行验证的权利,则该领域的每个子容器继承该准予。此外,每个子容器的每个计算机系统也继承该准予。然而,安全系统使管理员能够超越继承的访问权。例如,管理员能指定用户对子容器的某计算机系统没有访问权来超越该继承准予。在一实施例中,安全系统不允许访问权的嵌套超越。例如,如果管理员超越了子容器的继承准予,安全系统将不允许管理员超越由子容器的计算机系统所继承的超越。因而,管理员不能指定子容器不被准予继承访问权,但该子容器的计算机系统被准予继承访问权。如果管理员需要该计算机系统被准予访问权,则重新对安全对象的层次结构进行组织使得该计算机系统不在继承权已被超越的子容器内。或者,计算机系统也可在通过它可继承访问权的另一领域内。
图1-3是示出在一实施例中对允许验证安全信息的管理的显示页面。图1是示出在一实施例中其安全规范要显示的选中对象的条目的显示页面。显示页面100包含用于实体或资源标识的条目的数据条目域101和102。数据条目域可提供下拉列表或浏览能力以便于安全对象的选择。当为了实体或资源要标识允许验证安全规范时由管理员选择提交按钮103。例如,为了查看公司总裁的安全信息,管理员将把总裁名字John Doe输入实体域,并选择提交按钮。或者,管理员可在资源域中输入资源名并选择提交按钮以查看该资源的安全信息。在选择提交按钮之后,则显示被标识安全对象的安全规范,如图2A所示。
图2A是显示在一实施例中实体的允许验证安全规范显示的显示页面。显示页面包括安全对象标识域201和安全信息区202。安全对象标识域通过图1的显示页面标识安全对象。在此情形中,具有名字“John Doe”的用户是其安全规范要显示的实体。安全信息区包含“John Doe”有权验证的资源列表。在此例中,“John Doe”具有向“计算机1”、“计算机5”、“计算机8”、以及“计算机12”验证的权利。本领域技术人员将理解可用反映安全对象下层层次的方法来选择安全规范。例如,实体是由各种子组合定义的一组用户。安全系统可使管理员能查看该组的安全规范,并往下查看子组合以及最终的单个用户。类似地,资源可被指定为子领域内的领域,且管理员可选择以查看该领域或子领域内资源的所有安全规范。
图2B是示出一实施例中资源的允许验证安全规范显示的显示页面。该显示页面250包括领域标识区251和安全规范区252。当管理员选择领域时,安全系统显示安全规范区中该领域的安全规范。安全规范区包括资源列253、实体列254、以及访问权列255。安全规范区的每一行标识资源、实体、以及相应访问权。
图3是示出在一实施例中允许验证安全规范的创建的显示页面。显示页面300包括实体标识域301、资源标识域302、动作规范单选按钮303、以及添加按钮304。实体标识为要创建的安全规范标识实体。实体标识域可包含实体的下拉列表。在此例中,安全对象是实体John Doe。使用资源标识域来指定实体具有要添加安全规范的资源。资源标识域可包含具有进入信任领域的计算机系统的下拉列表。动作单选按钮指定是否允许实体向资源进行验证。在指定实体、资源、以及动作后,管理员选择添加按钮以把安全规范添加到辅助安全存储器中,并相应地更新主要安全存储器。
图4是示出在一实施例中实现安全系统的领域组件的框图。该领域包括通过通信链接402相互连接的计算机系统401、安全系统410、以及目录服务器420。目录服务器提供对主要安全存储器421和辅助安全存储器422的访问。本领域技术人员将理解辅助安全存储器可位于与主要安全存储器所处服务器不同的服务器上。安全系统包括可执行安全系统安装其上的计算机系统的UI控制器411、初始化辅助安全存储器组件412、寻找实体目录组件413、寻找资源条目组件414、以及更新条目组件415。UI控制器提供安全系统的用户界面,例如图1-3所示。UI控制器调用寻找实体条目组件和寻找资源目录组件以从辅助安全存储器中检索安全信息。UI控制器调用更新条目组件以更新主要安全存储器和辅助安全存储器中的安全信息。初始化辅助安全存储器组件在开始时基于主要安全存储器的安全信息填充辅助安全存储器。
安全系统在其中实现的计算装置可包括中央处理单元、存储器、输入装置(例如键盘和定向装置)、输出装置(例如显示装置)、以及存储装置(例如盘驱动器)。存储器和存储装置是可包含实现安全系统的指令的计算机可读介质。另外,通过诸如通信链接上信号的数据传送介质可存储或传送数据结构和消息结构。可使用各种通信链接,诸如因特网、局域网、广域网、或者点对点拨号链接。
图4示出了安全系统可在其中实现的适当操作环境的示例。该操作环境仅仅是适当操作环境的一个示例,且并非旨在示出对安全系统使用或功能范围的任何限制。其它适于使用的众所周知的计算系统、环境以及配置包括个人计算机、服务器计算机、手持式或膝上型装置、多处理器系统、基于微处理器系统、可编程消费电器、网络PC、小型计算机、大型计算机、以及包括以上系统或装置任一种的分布式计算环境等等。
安全系统可在由一台或多台计算机执行的诸如程序模块的计算机可执行指令的一般上下文中进行说明。一般,程序模块包括执行具体任务或实现具体抽象数据结构的例程、程序、对象、组件、数据结构等等。通常,在各种实施例中可按需组合或分配程序模块的功能。
图5是示出在一实施例中初始化辅助安全存储器组件的处理的流程图。该组件从主要安全存储器中检索允许验证信息,并以源自经检索安全信息的安全规范来填充辅助安全存储器。在框501-505,组件循环选择主要安全存储器的每个资源以及具有该资源指定的允许验证信息的每个实体。在框501,组件选择主要安全存储器的下一资源。在判定框502,如果已经选择了主要安全存储器的所有资源,则该组件完成,否则组件在框503继续。在框503,组件从主要安全存储器为选中资源选择下一实体。在判定框504,如果已经选择了所有实体,则组件循环至框501以选择下一资源,否则组件在框505上继续。在框505中,组件向辅助安全存储器添加指定选中资源、选中实体、以及允许验证动作(即否定或允许)的安全规范。然后组件循环至框503以为选中资源选择下一实体。
图6是示出在一实施例中UI控制器的处理的流程图。在框601中,UI控制器示出诸如图1的显示页面。在判定框602,如果管理员已输入了实体的标识,则组件在框603继续,否则组件在框604继续。在框603中,UI控制器调用显示实体信息组件以控制被标识实体安全规范的显示。然后组件循环至框601以重新显示显示页面。在判定框604,如果管理员已输入了资源的标识,则UI控制器在框605继续,否则UI控制器循环以重新显示显示页面。在框605中,UI控制器调用显示资源信息组件以显示被标识资源的安全规范,然后循环至框601以重新显示显示页面。
图7是示出在一实施例中显示实体信息组件的处理的流程图。该组件经实体标识传递并控制被标识实体的安全规范的显示。在框701,组件标识实体所属的组。组件可通过联系该实体的领域并请求其标识实体所属于的组来标识组。领域可遍历树的“成员”以标识该实体历来所属的所有组。在框702-704,组件循环,从辅助安全存储器中检索组的条目。实体本身也可认为是一个组。在框702,组件选择下一组。在判定框703,如果已选择了所有组,则组件在框705上继续,否则组件在框704上继续。在框704,组件从辅助安全存储器中检索选中组的安全规范,然后循环至框702以选择下一组。在框705,组件显示经检索的安全规范,例如图2A所示。
图8是示出在一实施例中显示安全规范组件的处理的流程图。该组件经领域的标识传递并显示与被标识领域相关的安全规范。在框801中,组件从辅助安全存储器中检索被标识领域的安全规范。在框802中,组件显示经检索的安全规范,例如图2B所示。然后组件完成。
图9是示出在一实施例中更新安全规范组件的处理的流程图。该组件被标识实体、资源以及访问权的安全规范传递。在管理员已指定安全规范之后调用该组件(例如使用图3的显示页面)。在判定框901,如果实体和资源对的安全规范已经在辅助数据存储器中,则组件在框902继续,否则组件在框904继续。尽管未在图中示出,也可传递指示是否要删除安全规范的标记。在框902,组件更新辅助安全存储器的安全规范以反映经传递安全规范的新访问权。在框903,组件更新主要安全存储器的安全信息,然后返回。在框904,组件向辅助安全存储器添加经传递的安全规范。在框905,组件把主要安全存储器中的安全信息更新为经传递安全规范所指示的安全信息,然后返回。
本领域技术人员将理解尽管为作说明已在此描述了安全系统的特定实施例,可作各种更改而不偏离本发明的精神和范围。本领域技术人员将理解可根据用户或计算机系统或两者来定义领域。本领域技术人员将理解可改编本安全系统以管理存储在主要安全存储器中的防火墙或IP安全过滤器规则。相应地,本发明除所附权利要求书之外不受限制。
权利要求
1.计算机系统中一种用于显示允许验证信息的方法,其特征在于,所述方法包括接收安全对象的选择;检索所述选中安全对象的允许验证信息,所述信息标识实体、资源、以及动作,其中当所述实体尝试向所述资源验证时,所述动作指示是否允许或拒绝所述尝试向所述资源进行验证;以及显示所述选中安全对象的指示,以及所述经检索的允许验证信息。
2.如权利要求1所述的方法,其特征在于,包括更改与实体和资源相关联的所述动作。
3.如权利要求1所述的方法,其特征在于,包括创建指定是否允许实体向资源验证的新的允许验证信息。
4.如权利要求1所述的方法,其特征在于,所述选中安全对象是实体。
5.如权利要求1所述的方法,其特征在于,所述选中安全对象是资源。
6.如权利要求1所述的方法,其特征在于,包括当所述选中安全对象是用户时,标识所述用户是成员的所有组并检索所述被标识组的允许验证信息。
7.如权利要求1所述的方法,其特征在于,当实体尝试向资源进行验证时,从与由安全机制使用的主要安全存储器分离的辅助安全存储器中检索所述允许验证信息。
8.如权利要求1所述的方法,其特征在于,所述实体被表示为源而所述资源被表示为目的。
9.如权利要求1所述的方法,其特征在于,所述资源在一领域中而所述实体在另一领域中,且该一领域与另一领域具有进入信任关系。
10.计算机系统中一种维护安全信息的方法,其特征在于,所述方法包括提供领域的主要安全存储器,所述主要安全存储器包含所述领域资源的条目,每个资源条目标识实体以及每个实体对所述资源的访问权;提供所述领域的辅助安全存储器,所述辅助安全存储器包含实体的条目,每个实体条目标识资源以及所述实体对所述资源的访问权;从用户处接收对安全对象的选择;从所述辅助安全存储器检索与所述选中安全对象相关的条目;以及显示所述经检索条目的所述实体、资源、以及访问权,其中在证实实体对资源的访问权时使用所提供的主要安全存储器。
11.如权利要求10所述的方法,其特征在于,包括接收要改变实体对资源的访问权的指示,并更新所述主要安全存储器和所述辅助安全存储器的条目。
12.如权利要求10所述的方法,其特征在于,包括开始时从所述主要安全存储器的所述条目中产生所述辅助安全存储器。
13.如权利要求10所述的方法,其特征在于,所述访问权为是否允许实体向资源进行验证。
14.如权利要求10所述的方法,其特征在于,使用所述领域的目录服务来实现所述主要安全存储器。
15.如权利要求14所述的方法,其特征在于,所述目录服务是“活动目录”。
16.如权利要求14所述的方法,其特征在于,使用所述领域的目录服务来实现所述辅助安全存储器。
17.如权利要求10所述的方法,其特征在于,包括当所述选中安全对象为实体时,标识所述实体是成员的各个组,并从所述辅助安全存储器中检索与所述被标识组相关的条目。
18.如权利要求10所述的方法,其特征在于,所述实体被标识为源而所述资源被标识为目的。
19.如权利要求10所述的方法,其特征在于,所述资源在一领域内而所述实体在另一领域内,且该一领域与另一领域具有进入信任关系。
20.一种用于显示安全信息的计算机系统,其特征在于,包括一组件,其接收安全对象的选择;一组件,其检索所述选中安全对象的安全信息,所述安全信息标识源、目的、以及访问权,其中当所述源尝试访问所述目的时使用所述访问权来控制对所述目的的访问;以及一组件,其显示对所述经检索安全信息的所述源、目的、以及访问权的指示。
21.如权利要求20所述的计算机系统,其特征在于,所述安全信息是允许验证信息。
22.如权利要求20所述的计算机系统,其特征在于,包括更改与源和目的相关联的所述访问权的组件。
23.如权利要求20所述的计算机系统,其特征在于,包括创建指定源对目的访问权的新安全信息的组件。
24.如权利要求20所述的计算机系统,其特征在于,所述选中安全对象是源。
25.如权利要求20所述的计算机系统,其特征在于,所述选中安全对象是目的。
26.如权利要求20所述的计算机系统,其特征在于,包括当所述选中安全对象是用户时,标识所述用户是成员的各个组,并检索与所述被标识组的安全信息。
27.如权利要求20所述的计算机系统,其特征在于,当源尝试访问目的时,从与所用主要安全存储器分离的辅助安全存储器中检索所述安全信息。
28.如权利要求20所述的计算机系统,其特征在于,所述源是实体而所述目的是资源。
29.如权利要求20所述的计算机系统,其特征在于,所述目的在一领域内而所述源在另一领域内,且该一领域与另一领域具有进入信任关系。
30.一种维护安全信息的计算机系统,其特征在于,所述系统包括一领域的主要安全存储器,所述主要安全存储器包含所述领域资源的条目,每个资源条目标识实体以及每个实体对所述资源的访问权;一所述领域的辅助安全存储器,所述辅助安全存储器包含标识实体对资源访问权的安全规范;一组件,其显示从所述辅助安全存储器检索的实体、资源、以及访问权;以及一组件,其在实体尝试访问资源时使用所述主要安全存储器来证实访问权。
31.如权利要求30所述的计算机系统,其特征在于,包括接收要改变实体对资源的访问权的指示的一组件,以及更新所述主要安全存储器和所述辅助安全存储器的一组件。
32.如权利要求30所述的计算机系统,其特征在于,包括从所述主要安全存储器中产生所述辅助安全存储器的一组件。
33.如权利要求30所述的计算机系统,其特征在于,访问权为是否允许实体向资源进行验证。
34.如权利要求30所述的计算机系统,其特征在于,使用所述领域的目录服务来实现所述主要安全存储器。
35.如权利要求34所述的计算机系统,其特征在于,所述目录服务是“活动目录”。
36.如权利要求34所述的计算机系统,其特征在于,使用所述领域的目录服务来实现所述辅助安全存储器。
37.如权利要求30所述的计算机系统,其特征在于,包括一组件,其标识所述实体是成员的一个组,并从所述辅助安全存储器中检索与所述被标识组相关的条目。
38.如权利要求30所述的计算机系统,其特征在于,所述实体被标识为源而所述资源被标识为目的。
39.如权利要求30所述的计算机系统,其特征在于,所述资源在一领域内而所述实体在另一领域内,且该一领域与另一领域具有进入信任关系。
全文摘要
提供用于管理计算机系统的领域的安全信息的方法和系统。该安全系统显示诸如用户或计算机系统的选中安全对象的安全信息。该安全对象开始时检索包括每个都具有选中安全对象的实体、资源、以及访问权标识的安全规范的安全信息。然后该安全系统显示每个安全规范的实体、资源、以及访问权的标识。当安全信息由资源存储在安全存储器中(即主要安全存储器),且对于每个资源实体都具有对该资源的访问权时,安全系统可使用辅助安全存储器以便安全信息的检索。
文档编号G09C1/00GK1691573SQ20051005619
公开日2005年11月2日 申请日期2005年3月23日 优先权日2004年4月23日
发明者D·W·希契科克 申请人:微软公司