[发明专利]计算机执行的认证和授权体系结构

权利要求书

1.一种计算机执行的用以控制用户对数据资源的访问的方法，包含以下步骤：

存储要确保安全的数据资源；

生成包括映射至每个被存储的数据资源的一个元素的需求数据结构，每个元素被配置成存储根据访问被映射的数据资源所需的授权级别而设置的需求值；

为具有对任何被存储的数据资源的访问权的每个用户，定义和存储包括映射至多个数据资源中的每一个的一个元素的授权数据结构，每个元素被配置成存储根据被授予给用户的用以访问被映射的数据资源的授权而设置的授权值；

接收访问至少一个安全数据资源的用户请求；

比较授权和需求数据结构并且不允许被接收的用户请求中对映射至需求值大于授权数据结构中相应元素的授权值的需求数据结构中的任何元素的任何安全数据资源的访问。

2.如权利要求1所述的计算机执行的方法，其中所述比较步骤包括清除授权和需求数据结构从而仅仅包括映射至用户请求所请求访问的被存储的数据资源的元素的步骤。

3.如权利要求1所述的计算机执行的方法，进一步包括允许被接收的用户请求中对映射至需求值小于或等于授权数据结构的相应元素的授权值的需求数据结构中的任何元素的任何安全数据资源的访问。

4.如权利要求1所述的计算机执行的方法，其中所述接收步骤通过包括数据库查询的用户请求来执行。

5.如权利要求4所述的计算机执行的方法，其中所述不允许访问步骤包括不允许数据库查询的编译和执行的步骤。

6.如权利要求1所述的计算机执行的方法，其中所述接收步骤通过包括SQL查询的用户请求来执行。

7.如权利要求1所述的计算机执行的方法，其中所述定义和生成步骤通过包括被配置成存储唯一标识用户的用户识别字段的授权和需求数据结构来执行。

8.如权利要求7所述的计算机执行的方法，其中所述比较步骤包括获取授权数据结构的步骤，所述授权数据结构包括其值与生成的需求数据结构中的用户识别字段的值相匹配的用户识别字段。

9.如权利要求1所述的计算机执行的方法，其中所述比较步骤包括不允许被接收的用户请求的执行除非由授权数据结构元素的值共同形成的授权二进制数大于由需求数据结构元素的值共同形成的请求二进制数。

10.如权利要求9所述的计算机执行的方法，进一步包括确定需求数据结构中哪些元素具有小于授权数据结构中相应元素的值。

11.如权利要求10所述的计算机执行的方法，其中所述确定步骤包括对需求数据结构中元素的值和授权数据结构中相应元素的值执行XOR操作的步骤。

12.如权利要求1所述的计算机执行的方法，进一步包括日志记录步骤用以对不允许访问任何数据结构的每个实例进行日志记录。

13.如权利要求1所述的计算机执行的方法，进一步包括当对安全数据资源的访问不被允许时生成消息以请求更大的权限的步骤。

14.如权利要求13所述的计算机执行的方法，进一步包括当请求更大权限的消息的回应是授予和一个被选定的元素有关的更大权限时更新授权数据结构中所述选定元素的值的步骤。

15.如权利要求1所述的计算机执行的方法，其中安全数据资源包括数据结构和应用程序中的至少一个。

16.如权利要求1所述的计算机执行的方法，其中所述定义和存储步骤通过以目录服务标记语言(DSML)的形式来描述授权数据结构并且通过在用户的数字证书中输入授权数据结构作为用户数据来执行。