[发明专利]访问控制列表的修改

说明书

背景技术

示例性实施方式涉及访问控制列表，并且更具体地，涉及借助于对与访问控制列表相关联的逻辑表达式进行赋值对访问列表的动态增强、缩减和/或替换。

随着不同技术的成熟，更多的业务决定利用分布式技术来改进其业务过程。很多时候，这些分布式技术被用于扩展业务的范围以超出本地区域。因特网和其他网络可为该扩展提供基础设施。当使用信息技术作为所有业务操作的主干时，必需解决的基础且极端必要的问题是访问控制。概念上，访问控制包括确保主体实体具有足够的权限执行针对对象的操作。适当地设置访问控制以及建立足够的安全过程这二者都是容易理解的，但还应存在其他特征可用。

发明内容

根据一个示例性实施方式，提供一种方法，用于通过在服务器上对逻辑表达式进行赋值来修改访问控制列表的基础许可。服务器通过将主体的名称与对象的访问控制列表条目进行比较来确定主体的基础许可。服务器维护用于对象的访问控制列表条目，其包括基础条目和逻辑表达式条目。逻辑表达式访问控制列表条目还包括下列集合运算符中的一个：并集、交集或替换。除了确定什么基础条目应用于该主体之外，服务器利用该主体的逻辑表达式的属性来确定用于对象的访问控制列表条目的逻辑表达式条目。逻辑表达式条目被赋值以确定对于主体的逻辑表达式属性而言哪个逻辑表达式条目为真。对于为真的逻辑表达式条目，服务器组合逻辑表达式条目的集合运算符以具有单个并集访问控制列表、单个交集访问控制列表以及单个替换访问控制列表。响应于存在替换访问控制列表，服务器执行替换操作以利用替换访问控制列表来替换由基础条目限定的基础许可，并且替换操作的结果是第一输出。响应于不存在替换访问控制列表，基础许可是第一输出。响应于存在并集访问控制列表，服务器对第一输出和并访问控制列表执行并集操作，并且并集操作的结果是第二输出。响应于不存在并集访问控制列表，第一输出是第二输出。响应于存在交集访问控制列表，服务器对第二输出和该交集访问控制列表执行交集操作，并且交集操作的结果是第三输出。响应于不存在交集访问控制列表，第二输出是第三输出。服务器提供第三输出作为用于主体的有效权限。

附图说明

现在将仅通过举例，参考附图说明本发明的实施方式，其中

图1所示为根据示例性实施方式的框图。

图2和图3所示为根据示例性实施方式的流程图。

图4所示为根据示例性实施方式的主体访问图的概念视图。

图5所示为根据示例性实施方式的Venn图。

图6所示为具有可以包括在示例性实施方式中的能力的计算机的示例。

具体实施方式

对于访问控制，考虑请求实体的位置通常没有考虑实体的名称那样简单。当扩展超出所在地区时，国际和本地法律可以影响业务的操作。内联网和防火墙技术也可能引入与实体请求许可不同的位置。如示例性实施方式中所述，访问控制应当能够根据主体位置而改变主体的权限。此外，在示例性实施方式中，请求的时间也应在确定主体的权限中发挥一定作用。

如同将要看到的，时间和位置仅仅是作为在授权期间的因素的主体属性的示例。如示例性实施例中所述，正是这些属性组成了逻辑表达式属性。例如，逻辑表达式属性可以包括主体的1-N个名称、0-N个组名称、主体的IP地址、日、时间、主体的连接类型、认证机制等等的集合。此外，实现逻辑表达式属性的管理员可以包括所需的其他逻辑表达式属性。

在图1中，通信设备15可操作用于与一个或多个服务器20通过网络30通信。通信设备15例如可以包括但不限制：移动电话、陆地电话、智能电话、软电话、个人数字助理、机顶盒(STB)、电视机(TV)、游戏控制台、MP3播放器、计算机和服务器。