[发明专利]用于基于凭证的访问控制的支持语句

说明书

发明领域

本发明一般涉及访问控制，尤其涉及在分布式访问控制系统中的基于凭证的访问控制。

发明背景

计算环境可包含各种实体和资源。实体可包括用户、操作系统、应用程序、过程、线程、对象等。资源可包括信息、文件、网络连接、对象的属性和方法等。通常，当一个实体(“客户机”)想访问由另一实体(“服务器”)所拥有或管理的资源时，该客户机向该服务器发出一个访问请求。服务器可以使用管理该资源的程序(“资源管理器”)来决定是否准许该访问请求。决定过程通常被称为访问控制过程。资源管理器可以通过咨询预先配置的针对该资源的访问策略(“使用策略”)来作出决定。资源管理器、资源及相关联的使用策略可以被认为是服务器的几个部分。资源管理器和相关联的使用策略构成访问控制系统。

传统的访问控制系统就哪个实体能访问一资源而言往往是静态且封闭的。在这类访问控制系统中，客户机通常是服务器本地已知的经认证的实体，并且作出决定所需的信息通常可以在服务器上本地获得。因此，服务器需要本地管理访问控制的整个复杂体系并且不能将某些管理工作委托给其它实体。

诸如因特网等分布式且动态的计算环境的发展使静态和封闭的访问控制系统变得不足。例如，不是服务器本地已知的实体可能会请求访问服务器上的资源。该实体可以为资源管理器提供可供在其决定过程期间使用的信息。由实体提供的信息可以是对来自服务器的在准许实体所请求的访问之前要求该实体证明的命题的回复。这一回复又称为证明。实体可将凭证语句随访问请求一起提供。凭证语句提供用于标识该实体的身份的信息。凭证语句可包括的不止是用于帮助确定该实体的身份的认证信息。凭证语句还可包括附加策略语句。因为策略语句的可靠性和完整性可以用当前的密码技术来确保，资源的所有者可以远程创作策略语句并将这些策略语句提供给客户机。随后，客户机可以向资源的资源管理器给出这些策略语句。随后，资源管理器可以检查这些策略语句的真实性并向资源所有者咨询。最终，资源管理器可以用与在策略语句中表达的资源所有者的意图相符的方式提供访问。

通过受密码保护的语句远程地配置策略的能力为访问控制系统提供许多背离传统的封闭和静态模型的机会。例如，客户机可以提出由一实体创作的证明该客户机是预先确定的组的成员的语句。客户机还可以提出由资源所有者创作的陈述根据该实体、组的成员可以访问该资源的语句。这些语句在一起意味着客户机应该能访问该资源。在这样一个例子中，资源管理器可能对证明该客户机是被认证的组的成员的实体没有先验知识。资源管理器也可能预先并不知道资源所有者已将仅针对此特定访问控制决定的证明能力委托给该实体。

诸如ISO权限表达式语言(XrML 2.x)和委托逻辑等某些方法以逻辑的形式表示诸语句以使得能从语句本身符号地计算该访问控制决定。更具体而言，这些方法的基础在于谓词演算，并且它们对根据所有者的意图是否应准许访问的计算过程等效于找到证明。基于证明的方法有几个优点。最重要的优点是它提供了访问为什么应被准许的数学可验证的理由。另一优点是不需要将表达式的涵义翻译成其它某种形式以揭示所有者的意图；推理可以在表达式层面本身进行。

为了使各种委托情景能够实现，资源管理器需要处理由客户机提供的语句并决定是否准许所请求的访问。为了允许多个语句以可升级且可管理的方式隐含访问，资源管理器需要对由客户机提供的语句中的隐含的涵义及固有的意图进行推理。这一推理过程可以称为“计算证明”或“定理证明”。

然而，定理证明的过程可能会变得很麻烦。声明性授权系统与诸如Prolog等声明性编程语言密切地对齐。定理证明在计算上等效于如C++、C#或Java等的较常用的编程系统的命令语义。因此，定理证明可用于将任意计算问题即任意计算机程序编码。因此，存在着能多快地计算证明的理论限制。例如，对于全谓词演算，在最差的情形中，现有算法不能保证在计算证明时会终止，正如在C++、C#等中存在不能解答的问题那样。因此，由于这类问题，对访问控制的决定可能永远都达不到。开放式结尾可能会将资源管理器曝露于对手的攻击。例如，客户机能建立假断言来使资源管理器陷入计算证明的艰巨任务，包括构造大小无限的证明。假断言还可包括资源管理器花费无限量的时间和/或空间来推断证明不存在。当资源管理器进入无穷尽的计算时，资源管理器不得不拒绝对其它实体进行服务。这类情形称为拒绝服务式攻击，它能中断网络路由服务并使网络不可操作。

因此，需要减轻资源管理器的繁重的证明计算以避免诸如拒绝服务式攻击等由无穷尽的计算带来的负面后果。

发明概要