[发明专利]计算机执行的认证和授权体系结构

说明书

技术领域

本发明涉及计算机执行的通过用户授权级别来控制与企业数据、应用程序和其他对象有关的访问和授权权限的方法和系统。

背景技术

通常，对访问企业数据和/或其它电子资源(具有不同特权和访问权限的数据和程序，包括所有的子部分)的用户权限的控制全部依赖于用户认证(验证用户标识以保证人或机器与声称的一致)。存在多种安全认证的方式，包括密码、智能卡、证书，以及甚至如视网膜扫描或语音识别的生物检测。其中，证书和数字签名、智能卡，以及生物检测的使用被称为“强”安全级别，同时普通的密码保护访问被典型的金融机构和安全专家认为“弱”。尽管当前的认证协议是鲁棒的并且允许少量或者没有不清楚，但是单独的认证不足以定义和执行每个人具有的与这些资源有关的权限。相反，授权没有被足够好地处理以防止应用程序经常性地彼此相抵触或以相反的目的工作，这是对于与特定数据或其它程序资源的公司安全协议有关的特定用户授权而言的。

此外，用户的授权级别不是静态的。通常，这些授权级别作为晋升、降级、中止或结束或者在特定项目中工作的员工“需要知道”的结果而变化。认证和授权不仅仅是在付款授权或制定用以约束公司的合同的情景(context)中很重要。事实上，对数据、程序或其它电子资源一天接一天越来越繁琐的访问应该遵循用户在公司的角色和等级位置。也就是，公司经常希望限制对为预定用户或预定用户等级所选择的数据资源的访问。例如，可能具有访问与指定给他的生产线或客户有关的数据的合理需求的用户可能不具有访问与其责任范围以外的生产线和/或客户有关的数据的合理需求。而且，即使是可能具有访问特定数据资源的合理需求的被正确认证的用户可能仅具有查看数据的合理权益(interest)，而可能不具有输入新数据或改变已有数据的相应合理权益。最后，单个用户可能具有各种属性，如或者和公司有长期任期或者短期，其可能导致公司的安全协议需要不同的授权级别。一个非常重要的例子是安全检查，其也许不能从其它授权元素值中推断出来。

因此，所需要的是保证强授权的方法和系统。尤其是，所需要的是根据公司安全协议保证寻求访问这些电子资源的那些人事实上被授权发起这些行为并访问这些资源以及这些访问是恰当的方法和系统。同样所需要的是在分布式网络计算环境中可操作的强的和可量化(quantifiable)的授权方法和系统。

发明内容

根据其中的一个实施例，本发明是一种计算机执行的用以控制对安全数据资源的访问的方法。所述方法可以包括步骤：存储(inventorying)要确保安全的数据资源；生成包括映射至每个被存储的数据资源的一个元素的需求数据结构，每个元素被配置成存储根据访问被映射的数据资源所需的授权级别而设置的需求值；为具有对任何被存储的数据资源的访问权的每个用户，定义和存储包括映射至多个数据资源中的每一个的一个元素的授权数据结构，每个元素被配置成存储根据被授予给用户的用以访问被映射的数据资源的授权而设置的授权值；接收访问至少一个安全数据资源的用户请求；比较授权和需求数据结构并且不允许被接收的用户请求中对映射至需求值大于授权数据结构中相应元素的授权值的需求数据结构中的任何元素的任何安全数据资源的访问。