[发明专利]使用声明来表示安全身份

说明书

背景

大多数现有的企业安全基础结构被设计成区分访问同一安全域(例如，现用目录信任域)中的资源的用户。在该环境中，使用诸如Kerberos等对称密钥协议来与密钥分发中心(KDC)进行通信以建立并验证在客户机和主存该域中的受保护信息的服务器之间交换的凭证。服务器评估与关联于每一受保护资源的访问控制列表相关的这些凭证来确定访问权限。

当客户机和服务器位于不同的安全域中时，因为不存在单个KDC，所以这种模型无法运作。相反，必须使用联合模型，在该模型中，在每一域中都建立信任点来生成(并且可能验证)请求访问外安全域中的资源的应用程序和用户的身份的权威性陈述。此处更详细地描述的这种联合模型为许多公共规范所支持和包含，这些公共规范包括WS-信任、WS-联盟、以及安全断言标记语言(SAML)。

鉴于以上描述，需要一种克服现有技术的缺点并使得系统能够跨安全域来实现访问控制的系统和方法。

概述

下面提供本发明的简要概述以便向读者提供基本的理解。本概述并非是本发明的详尽概览，并且它也不标识关键/重要元素。其唯一目的是以简化形式提供在此公开一些概念作为稍后提供的更详细描述的序言。

对象的身份可以被表达为一组声明。声明是与发放者所断言的对象相关联的属性。数字身份是数字实体作出的关于自身或另一数字对象的一组声明。声明是基于声明的安全方案的基础元素。基于声明的数据模型把声明、声明身份和声明主体作为其主要元素。在此处描述的某些实施例中，声明模型允许对安全身份进行建模来用作另一安全身份。安全身份的身份委托链的长度可以是任意的。最后，基于声明的安全方案可被集成到现有的.NET身份模型中。

许多附带特征将随着参考下面的详细描述并结合附图进行理解而得到更好的认识。

附图描述

根据附图阅读以下详细描述，将更好地理解本发明，在附图中：

图1是其中可以实现计算环境的各方面的示例性计算环境的框图；

图2是示例性联合模型的框图；

图3是数据模型，示出该数据模型的各个元素之间的操作关系；

图4是其中可以实现基于声明的安全模型的各方面的示例性平台环境的框图；

图5是描绘了可用于基于声明的安全模型的方法的流程图；以及

附图中使用相同的附图标记来指代相同的部分。

详细描述

下面结合附图提供的详细描述旨在作为对本示例的描述，而非表示用于解释或利用本示例的唯一形式。本说明书阐述本示例的功能以及用于构造和操作本示例的步骤序列。然而，相同或等效的功能与序列可由不同的示例来实现。

身份认证系统和协议允许跨多个域和平台的计算机网络认证用户并允许那些用户访问存储在网络上的各种资源。在详细描述和相关联的附图中提供的数据模型允许将身份表示为一组声明，抽象出用于认证身份的认证机制。该模型表示声明中包含的信息并且捕捉用声明描述的安全身份之间的关系。最后，该数据模型可被转换成一组公共语言运行库(CLR)类来允许从.NET环境访问基于声明的模型。另外，该转换将基于声明的身份模型与现有的.NET身份模型集成同时保持向后兼容，从而使得可将现有.NET应用程序用于新的基于声明的身份系统而不必重新实现它们。

图1示出了其中可以实现该环境的各方面的示例性计算环境。计算系统环境100只是一个合适的计算环境的示例，而并非旨在对本发明的计算系统环境的使用范围或功能提出任何限制。也不应该将计算环境100解释为对示例性操作环境100中示出的任一组件或其组合有任何依赖性或要求。

本系统可运行于各种其他通用或专用计算系统环境或配置。适用于本发明的系统的公知的计算系统、环境和/或配置的示例包括但不限于：个人计算机、服务器计算机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络PC、小型计算机、大型计算机、嵌入式系统、包含上述系统或设备中的任一个的分布式计算环境等。

基于声明的身份模型可在诸如程序模块等由计算机执行的计算机可执行指令的通用上下文中描述。一般而言，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。基于声明的身份模型也可以在其中任务由通过通信网络链接或其它数据传输介质的远程处理设备来执行的分布式计算环境中实践。在分布式计算环境中，程序模块和其他数据可以位于包括存储器存储设备的本地和远程计算机存储介质中。