[发明专利]有范围的资源授权策略

权利要求书

1.一种计算机实现的实施授权策略的方法，该方法包括：

接收所述授权策略（106）的定义（604），其中所述授权策略（106）不指定将所述授权策略（106）应用于哪些资源（114）；

接收多个资源范围（108）的定义（602），其中所述资源范围（108）不指定向所述资源范围（108）中的资源（114）应用哪些授权策略（106）；

接收（606）所述授权策略（106）中的特定的授权策略与所述资源范围（108）中的特定的资源范围之间的多个关联（110），其中所述授权策略（106）中的第一个授权策略与所述资源范围（108）中的第一个资源范围之间的关联表示所述授权策略（106）中的所述第一个授权策略应用于落入所述资源范围（108）中的所述第一个资源范围中的那些资源；

使得落入所述资源范围中的所述第一个资源范围中的每一个资源标记有所有所述授权策略的标识符，存在多个所述授权策略；

接收（612）请求（118）以执行与资源有关的动作（402、404、406、408、410、412）；

在所述接收所述授权策略与所述资源范围之间的所述多个关联之后，判定所述资源是否落入所述资源范围内；

判定（616）所述动作（402、404、406、408、410、412）以及请求所述动作时的环境是否与和所述资源落入其中的范围（108）相关联的那些策略（106）一致，这是通过应用所述资源标记有的每个策略来实现的；以及

对所述资源落入所述资源范围内、以及所述动作和请求所述动作时的所述环境与和所述资源落入其中的所述范围相关联的那些策略一致的所述判定做出响应，允许（620）所述请求（118）；

其中通过中心服务来维护所述授权策略、资源范围以及授权策略与资源范围之间的关联，并且其中该方法还包括：

将所述授权策略传播至在其上接收到对于所述资源的请求的本地机器。

2.权利要求1的方法，其中在本地机器处接收所述请求，并且其中该方法还包括：

判定所述动作以及请求所述动作时的所述环境是否与特定于所述本地机器的一个或多个策略一致。

3.权利要求1的方法，其中所述授权策略中的所述第一个授权策略将设备要求指定为条件，并且其中对所述资源落入所述资源范围内、以及所述动作和请求所述动作时的所述环境与和所述资源落入其中的所述范围相关联的那些策略一致的所述判定包括判定满足该设备要求。

4.权利要求1的方法，其中第一资源包括对于与所述资源落入其中的资源范围相关联的那些授权策略的引用，并且其中该方法还包括：

基于哪些资源范围包含资源并且还基于哪些授权策略与哪些资源范围相关联来判定哪些授权策略与资源相关联。

5.一种用于实施授权策略的系统，该系统包括：

接口组件（706），其配置用于：

接收所述授权策略的定义，其中所述授权不指定将所述授权策略应用于哪些资源；

接收多个资源范围的定义，其中所述资源范围不指定向所述资源范围中的资源应用哪些授权策略；

接收所述授权策略中的特定的授权策略与所述资源范围中的特定的资源范围之间的多个关联，其中所述授权策略中的第一个授权策略与所述资源范围中的第一个资源范围之间的关联表示所述授权策略中的所述第一个授权策略应用于落入所述资源范围中的所述第一个资源范围中的那些资源；以及

使得落入所述资源范围中的所述第一个资源范围中的每一个资源标记有所有所述授权策略的标识符，存在多个所述授权策略；以及

保护装置（120），其配置用于：

接收请求以执行与资源有关的动作；

在所述接收所述授权策略与所述资源范围之间的所述多个关联之后，判定所述资源是否落入所述资源范围内；

判定所述动作以及请求所述动作时的环境是否与和所述资源落入其中的范围相关联的那些策略一致，这是通过应用所述资源标记有的每个策略来实现的；

对所述资源落入所述资源范围内、以及所述动作和请求所述动作时的所述环境与和所述资源落入其中的所述范围相关联的那些策略一致的所述判定做出响应，允许所述请求； 以及

还包括中央机器，所述接口组件位于所述中央机器上，将所述授权策略传播至在其上进行请求以使用所述资源的本地机器。

6.权利要求5的系统，其中所述策略包括设备要求作为条件或用户要求作为条件。

7.权利要求5的系统，其中所述接口组件接收给定的资源范围与所述授权策略之间的多个关联，并且其中所述接口组件接收给定的授权策略与所述资源范围之间的多个关联。