在通过多路入口访问的网络资源中管理安全资源

摘要

一种授权网络入口的用户访问一个以一个安全服务器(122)作主机的安全资源的方法，装置和计算机可读介质，该服务器包括存储多个用户标识符(126)，每个标识符代表一个用户的一个特有的入口；为每一个用户标识符存储一个访问权限给该安全资源，存储代表一个客户入口的代理用户标识符以及一个用户访问权限给该安全资源，用于该客户入口的所有用户。

说明书

背景技术

本发明一般涉及数据通讯系统，以及特别涉及利用网络入口访问一个以一个安全服务器作主机的安全资源。

概述

通常，一方面，本发明特点在于一个授权网络入口的用户访问一个以一个安全服务器作主机的安全资源的装置。它包括一个存储多个用户标识符的授权表，每个标识符代表一个特有入口的用户，为每一个用户标识符存储一个访问该安全资源的权限，其中该授权表存储一个代表一个客户入口的代理用户标识符以及该客户入口的所有用户访问该安全资源的优先权；一个从所述特有入口接收一个访问该安全资源的第一请求的策略管理器，该第一请求包括一个代表该特有入口的一个用户的第一用户标识符，其中该策略管理器根据存储在授权表中的用于第一用户标识符的访问权限授权该特有入口的用户对安全资源进行访问，并且其中该策略管理器从客户入口接收访问该安全资源的第二请求，该第二请求包括一个代表该客户入口的用户的用户标识符和一个代表该客户入口的入口标识符，其中该策略管理器根据存储在该授权表中的用于所述代理用户标识符的访问权限授权该特有入口的用户对该安全资源进行访问。

具体实施方式可能包括一个或多个以下的特征。该第一请求包括一个代表所述特有入口的入口标识符，该实施方式还包括一个入口库，用以接收第一请求，和利用第一请求中的入口标识符来认证该特有入口，实施方式还包括所述特有入口，其中该自有入口从该特有入口的用户接收一个第三请求用以访问安全资源，该第三请求包括第一用户标识符和与该用户的自有入口关联的安全凭证；和基于第一用户标识符和与该特有入口的用户关联的安全凭证来认证该特有入口的用户的库。实施方式还可能包括一个入口策略管理器来基于第一用户标识符授权特有入口的用户，当该特有入口的用户被入口策略管理器成功地授权时，该特有入口发送第一请求给安全服务器。实施方式还包括一个入口库用以接收第二请求，和利用第二请求中的入口标识符认证客户入口。实施方式还包括客户入口，其中该客户入口从该客户入口的用户接收访问安全资源的一个第四请求，该第四请求包括第二用户标识符和与该客户入口的用户关联的安全凭证，和基于该第二用户标识符和与客户入口关联的安全凭证来认证该客户入口的用户的用户库。实施方式还包括一个入口策略管理器来基于所述第二用户标识符授权该客户入口的用户，其中当所述客户入口的用户被入口策略管理器成功地授权时，该客户入口发送第二请求给安全服务器。

通常，一方面，该发明特征在于一种授权网络入口的用户访问一个以一个安全服务器作主机的安全资源的方法，装置和计算机可读介质，它包括存储多个用户标识符，每个标识符代表一个特有入口的用户；为每一个用户标识符存储一个访问该安全资源的权限，存储代表一个客户入口的代理用户标识符以及一个访问该安全资源的客户访问权限，用于该客户入口的所有用户；从该特有入口接收访问安全资源的第一请求，该第一请求包括一个代表该特有入口的一个用户的第一用户标识符，根据存储第一用户标识符授权所述特有入口的用户对安全资源进行访问，从客户入口接收访问该安全资源的第二请求，该第二请求包括一个代表该客户入口的用户的第二用户标识符和一个代表该客户入口的入口标识符，根据存储在授权表中的用于代理用户标识符的客户访问权限授权该客户入口的用户对安全资源进行访问。

具体实施方式可能包括一个或多个以下的特征。第一请求包括一个代表特有入口的入口标识符，实施方式还包括接收第一请求，和利用该第一请求中的入口标识符来认证该特有入口，实施方式还包括在特有入口从该特有入口的用户接收一个访问所述安全资源的第三请求，该第三请求包括第一用户标识符和一个与该特有入口的用户关联的安全凭证；和基于该第一用户标识符和与该特有入口的用户关联的安全凭证认证该特有入口的用户。实施方式还可能包括在特有入口基于该第一用户标识符授权该特有入口的用户，当该特有入口的用户被成功地授权时，将该第一请求从特有入口发送给安全服务器。实施方式还可以包括接收第二请求，和利用该第二请求中的入口标识符识别客户入口。实施方式还可包括在客户入口从该客户入口的用户接收访问所述安全资源的第四请求，该第四请求包括第二用户标识符和与客户入口的用户关联的安全凭证；和基于所述第二用户标识符和一个与该客户入口的用户关联的安全凭证来认证所述客户入口的用户。实施方式还可包括在客户入口基于第二用户标识符授权该客户入口的用户，当该客户入口的用户被入口策略管理器成功地授权时，将来自客户入口的第二请求发送给安全服务器。

一个或多个实施方式的细节在下列相应的附图和描述中被提出。其它的特征可以从该描述、附图，和从权利要求中很明显地得出。

附图说明

图1示出了一个通讯系统100。

图2示出了根据一个实施例，如图1所示的通讯系统授权一个客户端的用户访问一个以安全服务器作主机的安全资源时的操作过程。

图3示出了根据一个实施例，如图1所示的通讯系统创建一个以安全服务器作主机的项目时的操作过程。

图4示出了根据一个实施例，如图1所示的通讯系统给客户入口的用户提供对安全资源的访问时的操作过程。

在说明书中用到的每一个参考数字的最主要的数字与附图中第一次出现的相关的该数字指示相同的部分。

详细说明

在这里所用到的术语“客户机”和“服务器”通常指的是一个电子设备或机构，术语“消息”通常指的是一个代表数字消息的电子信号。在这里所用到的术语“机构”指的是硬件、软件，或其任意组合。这些术语使得下述的描述简单化。在这里描述的客户机、服务器，和机构可以在任何标准的通用计算机上实现，或者作为专用设备实现。

图1示出了一个通讯系统100。通讯系统100包括一个特有入口102和一个客户入口104。每个入口服务一个或多个客户机。特有入口102服务多个包含客户机106和108的客户机。客户入口104服务多个包含客户机110和112的客户机。

在这里具体讨论的实施方式中，一个用户使用一台客户机发送消息，例如对入口资源的请求，给服务该客户机的入口。在其它的实施方式中，客户机自动操作，没有用户的干预。每一个入口利用一个用户库认证它的用户，并使用入口策略管理器授权其客户机访问入口资源。再次参看图1，特有入口102利用一个特有入口(OP)用户库114和一个特有入口(OP)策略管理器116。客户入口104利用一个客户入口(GP)用户库118和一个客户入口(GP)策略管理器120。

用户库114，118是认证用户的应用；那就是说，该用户库通过比较由用户提供的认证信息和存储在用户库中的信息来识别用户的身份。用户识别信息一般包括用于每个用户的一个用户标识符和一个安全凭证。在一些实施方式中，入口102，104利用http基本认证来认证用户，用户标识符是一个用户标识，安全凭证是密码。用户库114，118可以通过入口102，104而作为主机，或可以是外部提供的应用，例如轻便目录访问协议(LDAP)设备。

入口策略管理器116，120是根据用户指派的规则和权限授权用户执行特定任务的应用，例如访问安全信息或资源。每一个入口策略管理器授权由该入口服务的客户机访问由该入口提供的入口资源。这些资源可包括给用户提供信息及其它。由入口提供的一些资源被其它的服务器管理。再次参看图1，由入口102提供的一些资源是由安全服务器122管理的安全资源。安全资源是那些需要用户被授权才能访问的资源。

一种类型的安全资源是一个项目，一个项目只能由担当团体管理角色的特有入口的用户来创建，如以下所述。OP策略管理器116存储允许在安全服务器122上创建方案的团体管理者的用户标识符。一个项目担当其它类型的安全资源的容器，例如事件、重要事件、讨论、文件、文件夹，以及其它。安全资源策略管理器126存储允许访问由安全服务器122管理的安全资源的用户的用户标识符。每一个以安全服务器122作为主机的安全资源，安全服务器策略管理器126存储允许访问安全资源的用户和每一个用户对该安全资源的访问权限。在一个实施方式中，访问权限根据角色来定义。每一个用于安全资源的角色有一个访问级别和活动安全。例如，在一个讨论中，拥有一个具备最高访问级别的角色的用户允许他改变讨论的名称和描述，并编辑它的安全策略，同时，拥有一个较底的访问级别的角色的用户却不可以。活动安全设置允许特别的用户在讨论中开启新的思路并回答消息。

图2示出了根据一个实施例，通讯系统100授权一个客户端106的用户访问一个以安全服务器122作主机的安全资源时的操作过程200。一个用户操作客户端106去请求安全资源(步骤202)。客户端106将消息发送到入口102，请求访问安全资源(步骤204)。该消息包括用户认证信息，例如一个包括用户的用户标识和密码的一个http基本认证标题，一个由入口102在一个预先的成功识别后发出的cookie，等等。用户库114试图识别用户(步骤206)。

在成功地被认证后，策略管理器116检测该请求从而确定是否用户必须被入口102授权。访问由入口102提供的安全资源的请求需要被入口102授权。因此入口102试图授权用户与安全服务器122进行通讯(步骤208)。策略管理器116和120存储被允许与安全服务器122通讯的用户的用户标识符。策略管理器116决定是否用户被授权与安全服务器122进行通讯。如果授权失败，入口102通知用户。

在成功地被认证后，入口102然后发送请求，和入口授权信息，给安全服务器122(步骤210)。该入口授权信息包括用于该入口的认证信息，例如一个包括入口的入口标识符和密码的一个http基本认证标题，一个由安全服务器122在一个预先的成功识别后发出的cookie，等等。一个入口库124试图通过比较该认证信息和储存在入口库124中的信息来认证该入口(步骤212)。在入口102的成功认证后，入口库124信赖入口102，因此不再试图认证用户。

在入口102的成功认证后，安全服务器策略管理器126试图授权用户访问请求的安全资源；换句话说，策略管理器126决定是否用户被授权访问用户所请求的安全资源(步骤214)。对于每一个以安全服务器122作主机的安全资源，策略管理器126包括一个存储被授权访问安全资源的入口102的用户的用户标识符的授权表，每一个用户的角色，和与角色关联的权限。在一些实施方式中，角色包括领导、成员和客人，并且权限包括读访问和写访问。在成功的授权后，安全服务器122根据用户的权限准许用户访问安全资源(步骤216)。

入口102的某些用户可以在安全服务器122上创建项目。入口策略管理器116为入口102所服务的每一个用户定义角色和权限。其中的一个角色是团体管理员。团体管理员具有创建项目的权限。

图3示出了根据一个实施例，通讯系统100创建一个由安全服务器122管理的项目的操作过程300。具有团体管理员(以下简称“团体管理员”)的角色的用户操作客户端108以请求创建项目(步骤302)。所以客户端108将一个请求创建项目的消息发送给入口102(步骤304)。该消息包括用户认证信息。用户库114试图通过比较该认证信息和储存在用户库114中的信息来认证团体管理员(步骤306)。

在成功地被认证后，策略管理器116检测该请求从而确定是否团体管理员被授权。创建方案的请求需要入口102的授权。因此，策略管理器116试图通过比较团体管理员的身份和由策略管理器116存储的信息来授权团体管理员(步骤308)。策略管理器116确定该团体管理员具备团体管理员的角色，因此，该团体管理员具有创建项目的权限。因此策略管理器116授权该团体管理员。

在成功地被认证后，入口102然后发送请求，和入口认证信息，给安全服务器122(步骤310)。因为用户是一个团体管理员，入口102包括一个包含在请求中的角色标识符来标识所述用户为团体管理员。入口库124试图依靠比较认证信息和存储在入口库124中的信息来检验该入口(步骤312)。在入口102的成功认证后，入口库124信赖入口102，因而不再试图认证团体管理员。该安全服务器也信赖由入口102提供的角色标识符，因此允许该团体管理员创建一个新的项目。

团体管理员然后创建项目(步骤314)。在团体管理员创建一个项目后，他选择他希望访问该项目的用户，为每一个用户指定一个角色。安全服务器策略管理器126然后为该项目存储能够访问该项目的用户的身份，该项目的每一个用户的角色，和为每一个角色指定的权限。这些信息存储在一个用于该项目的授权表中。

通常，安全服务器122和以其管理的安全资源由特有入口的管理员创建。换句话说，该特有入口“拥有”安全服务器122和其上管理的安全资源。有时，需要允许其它入口，在这里称为“客户入口”的用户来访问该特有入口拥有的安全资源。例如，一个汽车公司Carco已经建立了特有入口102和一个安全服务器122，并以生产进度表的形式建立了一个在该安全服务器上的安全资源。一个零部件公司Partco给Carco提供汽车零件。为了方便操作，Carco将允许Partco有限的访问生产进度表。

图4示出了根据一个实施例，通讯系统100给客户入口的用户提供对安全资源的访问的操作过程400。一个特有入口102的管理员给客户入口104指定一个代理用户标识符(步骤402)。该代理用户标识符代表客户入口104的所有用户。管理员然后将该代理用户标识符与一个角色关联(步骤404)。该角色传递特定的访问权限给安全资源。因此，客户入口104的所有客户拥有对安全资源的相同的访问权限。该代理用户标识符与客户入口104的入口标识符有关联。该客户入口104的代理用户标识符，入口标识符和角色被存储在安全服务器策略管理器126中的认证表中。该客户入口104的入口标识符和安全凭证被存储在入口库124中。

由客户入口104服务的一个客户端，即客户端110，的用户产生一个访问以安全服务器122为主机的安全资源的请求(步骤406)。客户端110发送一个消息给客户入口104，请求访问安全资源(步骤408)。客户入口104接收到该请求，试图以类似于特有入口102所述的方式认证该用户(步骤410)。在成功的认证后，客户入口104试图以类似于特有入口102所述的方式授权该用户(步骤412)。在成功的授权后，客户入口104将请求传递给安全服务器122(步骤414)。入口库124试图如特有入口102所述的方式认证该入口(步骤416)。在成功的授权后，策略管理器126试图授权该用户(步骤418)。

该请求包括一个用于客户入口104的入口标识符。策略管理器126利用该请求中的入口标识符来在授权表中定位该用户入口的角色。如果该入口标识符没有被找到，用户就不被授权，该访问请求被拒绝。如果该入口标识符被找到，则相应与指定给代理用户标识符的与入口标识符相关的角色的权限的访问被授予(步骤420)。

在这里所述的技术允许一个企业网络管理员授权其它团体有限地访问安全的企业资源，而不需要其它的团体暴露自己企业的用户库。回到Carco/Partco的例子，尽管Partco期望去观看Carco的生产进度表，Partco可能并不希望公开所有的包含在用户库中的雇员信息。

这些技术也允许一个企业网络管理员很容易地为其他的团体提供有限的访问。该管理员无需处理另一个用户库，只需要处理客户入口代表的大量用户，同时可以快速方便地指定具有相同的访问权限的用户。例如，Carco可能期望Partco观看它的生产进度表，但是可能不允许Partco修改该进度表。

该发明可以实现为数字电子电路，或在计算机硬件、固件、软件，或它们的组合。该发明的装置可以实现为计算机程序产品，具体实现为一个用来由一个可编程处理器来执行的机器可读存储设备；该发明的方法步骤可以由执行一个通过操作输入数据和产生输出的指令程序以实现本发明的功能的计算机可编程处理器来实现。该发明还可以更优选地在一个或多个计算机程序中来实现。该程序在包含至少一个与数据存储系统连接并从中接收数据和指令以及向其发送数据和指令的一个可编程系统中执行，该可编程系统还包括至少一个输入设备，和至少一个输出设备。每一个计算机程序可以通过高级进程或面向对象的编程语言实现，或如果需要的话，还可实现为组件或机器语言；在任何情形下，该语言可以是编译或解释的语言。适当的处理器包括，作为例子，所有通用的或专用的微处理器。通常，处理器将从只读存储器和/或随机存储器接收指令和数据。通常，计算机包括一个或多个大容量存储设备，用以存储数据文件；这样的设备包括磁盘、例如内部硬盘和可移动磁盘；磁光盘；和光盘。用于和明白地实施计算机程序指令和数据的存储设备包括所有形式的非易失性存储器，包括作为例子的半导体存储装置，例如电可编程只读存储器、电可擦除只读存储器和闪存设备；磁盘例如内部硬盘和可移动磁盘；磁光盘；和只读光盘。前述的任何可以作为补充，或合为一体的，ASICs(特定用途集成电路)。

本发明的许多的实施方式已经被描述。然而，在不脱离本发明精神和范围的前提下做多种改变是很显而易见的。相应地，其它的实施方式也包含在下述相应的权利要求的范围内。