[发明专利]双层访问控制列表

说明书

背景

现今存在的计算机文件系统单独在文件和文件夹上实现访问控制安全性，因 而允许将用户与正在访问同一文件系统的另一用户隔离。例如，第一文件可具有只 允许用户A访问第一文件的安全性设置。第一文件上的这一安全性设置允许另一 用户B使用同一文件系统而不关心用户B会不妥当地访问第一文件。将同一文件 系统上的用户隔离的能力产生文件的保密性。存在对应于文件和文件夹的许可阵 列，诸如读、写和执行许可。而且，如果用户愿意，用户可以选择改变其文件和文 件夹上的安全许可，以对其它用户允许许可阵列中的任意许可。

在华盛顿州雷蒙德市的微软公司的品牌操作系统上，该安全体 系结构是通过访问控制列表(ACL)来管理的。ACL有效地规定各个用户对于特 定的文件或文件夹具有什么权限。这些权限包括读、写、执行、修改和安全性许可 等等。例如，用户可能根本不被允许查看一给定的文件；或者，用户可能只能读该 文件；或者，用户可被给予修改文件的权限；或者，用户可被给予改变文件的ACL 的权限，等等。在上面提到的这些以外，存在全部ACL许可。

在品牌操作系统上，一给定项上的默认许可可从从中创建该项 的文件夹的许可继承。另外，当一文件夹被另一用户共享因而改变其许可时，操作 系统可迭代通过该文件夹下的所有文件并对该共享文件夹中的每个文件的ACL应 用改变。

该模型的问题是任何给定项上的ACL简单地“是”，意思是许可可以读，但 不能了解这些许可的历史或原因。ACL规定用户1具有对文件或文件夹的访问许 可，但准予该许可的原因在ACL中没有提供。同样，当移除对于一组文件的许可 时，无法确定用于一个特定文件的许可是否应当保留，因为它过去被准予的原因与 该组文件要移除许可的原因无关。如果因为原因1和原因2，用户1已经被给予访 问文件1的许可，则当原因1变为无效且用户1的访问许可被移除时，不可能从 ACL了解该许可因原因2而应被保留。

品牌操作系统还允许创建“组”，组由一组用户和/或其它组组 成。一旦创建，组可在ACL内使用，这使得一次将许可应用于许多用户更为容易。 尽管是有用的工具，但组实用程序不提供所记录的许可原因。如果一个组有权访问 一文件或文件夹，则没有办法确定该许可为何被准予，除动机是创建该组的事实之 外。组实用程序也不确定一给定许可是否应当为与要移除它的原因无关的原因而保 留。如果因为原因1和原因2，组1已经被给予访问文件1的许可，则当原因1变 成无效且组1的访问许可被移除时，不可能从ACL知道许可因原因2而应被保留。 此外，组自身不具有任何与它们固有地相关联的许可。

概述

下面提供简化的概要，以提供对本发明一些方面的基本理解。该概要不是本 发明的全面概览。它不是要标识本发明的关键或重要元素，也不是要描绘本发明的 范围。下列概要仅以简化形式提供本发明的一些概念，作为下面提供更详细的描述 的序言。

本发明的诸方面针对使用先前的ACL模型上的附加抽象层来创建和维护访问 控制列表(ACL)。根据一个方面，该新模型的一说明性组件可包括一许可集，它 列出用户和/或组以及它们各自的许可。一旦创建，则该许可集可以与任意数量的 一个或多个计算机资源相关联。而且，计算机资源可以存储对任意数量的一个或多 个许可集的引用，并且当请求使用时，这些许可集被组合成一个合并集，它确定对 特定用户的特定用途是否准予许可。

该附加抽象层与先前的ACL模型相比具有若干优点。该额外的信息层可以允 许那些管理对计算机资源的许可的个人能够了解这些许可为什么被存储。由于许可 集存储一个标识符，因此管理员可以参考该标识符来了解许可为何存在以及许可为 何与特定计算机资源相关联。并且，该额外信息层可以产生对计算机资源的许可历 史。由于对许可集的多个引用可以与单个计算机资源相关联，因此引用可被添加和 移除而不影响已经存在的引用。