双层访问控制列表的制作方法

专利名称：双层访问控制列表的制作方法
双层访问控制列表
背景
现今存在的计算机文件系统单独在文件和文件夹上实现访问控制安全性，因 而允许将用户与正在访问同一文件系统的另一用户隔离。例如，第一文件可具有只
允许用户A访问第一文件的安全性设置。第一文件上的这一安全性设置允许另一 用户B使用同一文件系统而不关心用户B会不妥当地访问第一文件。将同一文件 系统上的用户隔离的能力产生文件的保密性。存在对应于文件和文件夹的许可阵 列，诸如读、写和执行许可。而且，如果用户愿意，用户可以选择改变其文件和文
件夹上的安全许可，以对其它用户允许许可阵列中的任意许可。
在华盛顿州雷蒙德市的微软公司的WINDOWS⑧品牌操作系统上，该安全体 系结构是通过访问控制列表(ACL)来管理的。ACL有效地规定各个用户对于特 定的文件或文件夹具有什么权限。这些权限包括读、写、执行、修改和安全性许可 等等。例如，用户可能根本不被允许査看一给定的文件；或者，用户可能只能读该 文件；或者，用户可被给予修改文件的权限；或者，用户可被给予改变文件的ACL 的权限，等等。在上面提到的这些以外，存在全部ACL许可。
在Windows XP品牌操作系统上， 一给定项上的默认许可可从从中创建该项 的文件夹的许可继承。另外，当一文件夹被另一用户共享因而改变其许可时，操作 系统可迭代通过该文件夹下的所有文件并对该共享文件夹中的每个文件的ACL应 用改变。
该模型的问题是任何给定项上的ACL简单地"是"，意思是许可可以读，但 不能了解这些许可的历史或原因。ACL规定用户1具有对文件或文件夹的访问许 可，但准予该许可的原因在ACL中没有提供。同样，当移除对于一组文件的许可 时，无法确定用于一个特定文件的许可是否应当保留，因为它过去被准予的原因与 该组文件要移除许可的原因无关。如果因为原因l和原因2，用户1已经被给予访 问文件1的许可，则当原因1变为无效且用户1的访问许可被移除时，不可能从 ACL 了解该许可因原因2而应被保留。
Windows⑧XP品牌操作系统还允许创建"组"，组由一组用户和/或其它组组成。 一旦创建，组可在ACL内使用，这使得一次将许可应用于许多用户更为容易。 尽管是有用的工具，但组实用程序不提供所记录的许可原因。如果一个组有权访问 一文件或文件夹，则没有办法确定该许可为何被准予，除动机是创建该组的事实之 外。组实用程序也不确定一给定许可是否应当为与要移除它的原因无关的原因而保
留。如果因为原因1和原因2，组1已经被给予访问文件1的许可，则当原因1变 成无效且组1的访问许可被移除时，不可能从ACL知道许可因原因2而应被保留。 此外，组自身不具有任何与它们固有地相关联的许可。
概述
下面提供简化的概要，以提供对本发明一些方面的基本理解。该概要不是本 发明的全面概览。它不是要标识本发明的关键或重要元素，也不是要描绘本发明的 范围。下列概要仅以简化形式提供本发明的一些概念，作为下面提供更详细的描述
的序言。
本发明的诸方面针对使用先前的ACL模型上的附加抽象层来创建和维护访问 控制列表(ACL)。根据一个方面，该新模型的一说明性组件可包括一许可集，它 列出用户和/或组以及它们各自的许可。 一旦创建，则该许可集可以与任意数量的 一个或多个计算机资源相关联。而且，计算机资源可以存储对任意数量的一个或多 个许可集的引用，并且当请求使用时，这些许可集被组合成一个合并集，它确定对 特定用户的特定用途是否准予许可。
该附加抽象层与先前的ACL模型相比具有若干优点。该额外的信息层可以允 许那些管理对计算机资源的许可的个人能够了解这些许可为什么被存储。由于许可 集存储一个标识符，因此管理员可以参考该标识符来了解许可为何存在以及许可为 何与特定计算机资源相关联。并且，该额外信息层可以产生对计算机资源的许可历 史。由于对许可集的多个引用可以与单个计算机资源相关联，因此引用可被添加和 移除而不影响已经存在的引用。
各种特征还引入将对许可集的引用应用于不同的计算机资源的两种机制。一 种机制是"列表"，其功能类似于文件夹，除了列表是包含用户定义的对计算机资 源的引用集的独立数据结构之外。其引用被包含在列表中的这些资源因此继承该列 表对许可集的引用。另一机制是"自动列表"，它与列表相似，但代之以包含用户 定义的对计算机资源的引用集，自动列表存储用户定义的规则集，包括范围和要应 用于该范围内所有计算机资源的一个或多个匹配准则，用以确定哪些资源要被包括
5在自动列表内。被确定为要与自动列表相关联的这些资源因此继承该自动列表对许 可集的引用。
附图简述
对本发明的更完整的理解可通过参考下面的描述并考虑附图来获得，附图中，
相同的参考标号指示相同的特征，其中


图1示出其中可执行本发明的一个或多个说明性方面的操作环境。
图2A和2B示出根据在此所述的一个说明性方面的可与计算机资源相关联的
两个许可集。
图3A和3B示出根据在此所述的一个说明性方面许可集和显式许可如何与计
算机资源相关联。
图4A示出根据在此所述的一个说明性方面的列表及其组件。
图4B示出根据在此所述的一个说明性方面的对由列表产生的许可集的引用。
图5A示出根据在此所述的一个说明性方面的自动列表及其组件。
图5B示出根据在此所述的一个说明性方面的对由自动列表产生的许可集的引用。
图6示出根据在此所述的一个说明性方面的合并的许可集的计算。
图7示出根据在此所述的一个说明性方面的用于确定是否应当准予对使用计 算机资源的请求的判定流程图。
图8A和8B示出根据在此所述的一个说明性方面的来自许可集的额外的信息 层以及它如何与多个计算机资源相关联。
图9A示出根据在此所述的一个说明性方面的两个许可集。
图9B示出根据在此所述的一个说明性方面的在两个许可集都与同一计算机 资源相关联时所产生的合并的许可集。
图9C示出根据在此所述的一个说明性方面的额外信息层如何产生历史，以便 在移除一个许可集时正确的许可被保留。
图IOA和10B进一步示出根据在此所述的一个说明性方面的来自一许可集的 额外信息层以及它如何与多个计算机资源相关联。
详细描述
在以下说明性方面的描述中，对构成该描述一部分的附图进行参考，并且附图作为说明示出了其中可实践本发明的各种实施例。要理解，可使用其它实施例并 且可在不脱离本发明的范围情况下作出结构上和功能上的修改。
说欲丝潔脾裙
图1示出其中可实现本发明的合适计算环境100的示例。计算环境100只是 合适的计算环境的一个示例，并不旨在对本发明的使用范围或功能提出任何限制。
也不应将计算环境IOO解释为对在示例性操作环境100中示出的任何一个组件或其 组合有任何依赖性或需求。
本发明可与众多通用或专用计算系统环境或配置一起操作。众知的可适用于 本发明的计算系统、环境和/或配置的示例包括但不限于，个人计算机；服务器计 算机；如个人数字助理(PDA)、平板PC或膝上型PC等便携式和手持式设备； 多处理器系统；基于微处理器的系统；机顶盒；可编程消费电子产品；网络PC; 小型机；大型计算机；游戏控制台；包括以上任何系统或设备的分布式计算环境；等等。
本发明可在诸如程序模块等由计算机执行的计算机可执行指令的一般上下文 中描述。 一般而言，程序模块包括执行特定任务或实现特定抽象数据类型的例程、 程序、对象、组件、数据结构等。本发明还可在分布式计算环境中实践，其中任务 由通过通信网络链接的远程处理设备执行。在分布式计算环境中，程序模块可位于 包括存储器存储设备的本地和远程计算机两者的存储介质中。
参考图1，用于实现本发明的一个说明性系统包括计算机110形式的通用计算 设备。计算机110的组件可包括但不限于，处理单元120、系统存储器130、以及 它将包括系统存储器130在内的各种系统组件耦合至处理单元120的系统总线 121。系统总线121可以任何若干类型的总线结构中的任一种，包括存储器总线或 存储器控制器、外围总线、以及使用各种总线体系结构中的任一种的局部总线。作 为示例而非限制，这些体系结构包括工业标准体系结构(ISA)总线、微通道体系 结构(MCA)总线、增强型ISA (EISA)总线、视频电子技术标准协会(VESA) 局部总线、高级图形端口 (AGP)总线、以及外围部件互连(PCI)总线(也称为 夹层(Mezzanine)总线)。
计算机110 —般包括各种计算机可读介质。计算机可读介质可以是任何可由 计算机IIO访问的可用介质，并且包括易失性和非易失性介质、可移动与不可移动 介质。作为示例而非限制，计算机可读介质可包括计算机存储介质和通信介质。计算机存储介质包括以存储如计算机可读指令、数据结构、程序模块或其它数据等信 息的任何方法或技术实现的易失性和非易失性、可移动与不可移动介质。计算机存
储介质包括但不限于，RAM、 ROM、 EEPROM、闪存或其它存储器技术、CD-ROM、 DVD或其它光盘存储、磁带盒、磁带、磁盘存储或其它磁存储设备、或者可用于 存储所需信息并能由计算机110访问的任何其它介质。通信介质一般以如载波或其 它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它 数据，并且包括任何信息传递介质。术语"己调制数据信号"指以在信号中编码信 息的方式来设置或改变其一个或多个特性的信号。作为示例而非限制，通信介质包 括线接介质，如直线接网络或直接线连接，以及无线介质，如声学、RF、红外及 其它无线介质。上述任意的组合也应包括在计算机可读介质的范围内。
系统存储器130包括易失性和/或非易失性存储器形式的计算机存储介质，如 只读存储器(ROM) 131和随机存取存储器(RAM) 132。基本输入/输出系统133
(BIOS)包含如在启动时帮助在计算机110内的元件之间传送信息的基本例程， 它通常存储在ROM 131中。RAM 132—般包含处理单元120可立即访问和/或当 前正在操作的数据和/或程序模块。作为示例而非限制，图1示出操作系统134、应 用程序135、其它程序模块136以及程序数据137。
计算机110还可包括其它可移动/不可移动、易失性/非易失性计算机存储介质。 仅作为示例，图l示出了读写不可移动、非易失性磁介质的硬盘驱动器141，读写 可移动、非易失性磁盘152的磁盘驱动器151，以及读写可移动、非易失性光盘156， 如CD ROM或其它光介质的光盘驱动器155。可用于示例性操作环境的其它可移 动/不可移动、易失性/非易失性计算机存储介质包括，但不限于，磁带盒、闪存卡、 DVD、数字录像带、固态RAM、固态ROM等等。硬盘驱动器141 一般通过不可 移动存储器接口，如接口 140连接到系统总线121,而磁盘驱动器151和光盘驱动 器155 —般通过可移动存储器接口，如接口 150连接到系统总线121。
以上讨论且在图1中所示的这些驱动器及其相关联的计算机存储介质为计算 机110提供计算机可读指令、数据结构、程序模块和其它数据的存储。在图1中， 例如，硬盘驱动器141被示为存储操作系统144、应用程序145、其它程序模块146 和程序数据147。注意，这些组件可以与操作系统134、应用程序135、其它程序 模块136和程序数据137相同或不同。操作系统144、应用程序145、其它程序模 块146和程序数据147在此被给予不同的标号以说明至少它们是不同的副本。用户 可通过输入设备，如键盘162和定点设备161 (通常指鼠标、轨迹球或触摸垫)将
8命令与信息输入到计算机110中。其它输入设备(未示出)可包括话筒、操纵杆、 游戏垫、圆盘式卫星天线、扫描仪等等。这些和其它输入设备经常通过耦合到系统 总线的用户输入接口 160连接到处理单元120，但可通过其它接口和总线结构来连
接，诸如并行端口、游戏端口、通用串行总线(USB)、或IEEE 1394串行总线(火 线)。至少一个监示器184或其它类型的显示设备也可经由接口，如视频适配器 183连接到系统总线121。除了具有其自己的专用处理器和存储器之外，视频适配 器183可支持高级3D图形能力。计算机110也可包括数字化仪185，它允许用户 使用指示笔输入设备186来提供输入。除了监示器之外，计算机还可包括其它外围 输出设备，如扬声器189和打印机188，它们可通过输出外围接口 187来连接。
计算机110可使用到一个或多个远程计算机，如远程计算机180的逻辑连接 在网络化环境中操作。远程计算机180可以是个人计算机、服务器、路由器、网络 PC、对等设备或其它常见的网络节点，并且一般包括上面相对于计算机110所述 的许多或全部组件，尽管在图1中仅示出了存储器存储设备181。图1所示的逻辑 连接包括局域网(LAN) 171和广域网(WAN) 173，但也可包括其它网络。这样 的网络环境在办公室、企业级计算机网络、内联网和因特网中是很常见的。
当在LAN网络环境中使用时，计算机IIO可通过网络接口或适配器170连接 至LAN 171。当在WAN网络环境中使用时，计算机110可包括调制解调器172 或用于在WAN173，如因特网上建立通信的其它装置。调制解调器172可以是内 置或外置的，它可经由用户输入接口 160或其它合适的机制连接到系统总线121。 在网络化环境中，相对于计算机IIO所述的程序模块或其一部分可存储在远程存储 器存储设备中。作为示例但非限制，图1将应用程序182示为驻留在存储器设备 181上。将了解到，所示的网络连接是示例性的，且可使用在计算机之间建立通信 链路的其它手段。
本发明的一个或多个方面可体现在由一个或多个计算机或其它设备执行的计 算机可执行指令中，诸如体现在一个或多个程序模块中。 一般而言，程序模块包括 例程、程序、对象、组件、数据结构等，它们在由计算机或其它设备中的处理器执 行时执行特定任务或者实现特定的抽象数据类型。计算机可执行指令可存储在诸如 硬盘、光盘、可移动存储介质、固态存储器、RAM等计算机可读介质上。如本领 域技术人员将了解的，程序模块的功能可如各实施例所需地组合或分布。此外，功 能可全部或部分地用固件或诸如集成电路、现场可编程门阵列(FPGA)等硬件等 价物来实施。说欲丝实處鑕
本发明的诸方面可用于通过定义对计算机资源的许可集来对安全模型和访问 控制列表添加一抽象层，从而通过命名每个许可集并将命名的许可集应用于计算机 资源，这些许可的历史与原因得以保留，
本发明的一个或多个方面将一个或多个用户和/或一或多个组的集合及其相关
联的许可存储在一个操作上与图2A和2B所示相似的数据结构中。图2A示出了 一个许可集201，该许可集在应用于一计算机资源(未示出)时允许Tim和Diz采 取任何想做的动作，而Cees只能读该计算机资源，Colin可读写该计算机资源。图 2B示出了另一个许可集205，该许可集在应用于一计算机资源(未示出)时允许 Tim采取任何想做的动作，而Colin和Lyon只能读该计算机资源，Jason和Kerem 可读写该计算机资源。在创建了每个许可集201和205之后，用户或系统(诸如通 过操作系统)可将引用或名称203、 207分配给每个许可集。在此例中，许可集205 被称为蓝色207，而许可集201被称为绿色203。任一或两个引用可与任意数量的 计算机资源相关联，这导致将相应的许可应用于那些计算机资源。如在此所使用的， 计算机资源可包括但不限于，文件、文件夹、列表、自动列表、电子邮件联系人列 表、电子邮件、任务、1/0端口、以及任何其它可标识的计算机资源。
图3A示出了一计算机资源，这里是文件I1301。文件I1301具有相应的访问 控制列表302。尽管ACL 302被示为在计算机资源301内，但本领域的技术人员将 了解，ACL可替换地与它所对应的计算机资源分开存储。ACL 302指示文件II 301 继承由蓝色许可集205定义的任何许可，以及显式许可305。因此，项I1301具有 以下许可允许Tim采取任何想做的动作；Colin， Lyon和Mike只读；Jason， Kerem 和John读写；以及Lyon被拒绝读许可(其中"否定"表示为"~")。
图3B示出一计算机资源，这里是文件I2 303。文件I2 303具有相应的访问控 制列表304。尽管ACL 304被示为在计算机资源303内，但本领域的技术人员将了 解，ACL可替换地与其对应的计算机资源分开存储。ACL 304指示文件12 303继 承由蓝色许可集205定义的任何许可，以及由绿色许可集201定义的任何许可。项 12 303具有以下许可允许Tim和Diz采取任何想做的动作；Cees和Lyon只读； 以及Colin、 Jason和Kerem读写。通过使用附加的抽象层，即在ACL中引用许可 集的名称而非列出许可本身，用户可跟踪许可源自何处，如下所述。
本发明的诸方面提供继承特征，它采用至少两种将对许可集的引用应用于不
10同计算机资源的形式。 一种机制是"列表"，其功能与文件夹相似，除了列表是包 含用户定义的对计算机资源的引用集401的独立的数据结构之外，如图4A所示。
列表还可包括可任选的注解并具有某一规定的顺序。图4A还示出许可集205可与 列表相关联，其中列表401内的所有计算机资源继承对与该列表相关联的许可集 205 (在此例中，为蓝色许可集)的引用。图4B示出继承的原理，其中列表具有 对许可集的引用，并且所有与列表401相关联的计算机资源随后存储对许可集205 的引用。
第二种机制是"自动列表"，它与列表相似，但改为包含用户定义的对计算 机资源的引用，自动列表存储用户定义的范围501形式的规则集以及要应用于范围 内的所有计算机资源以确定哪些资源被包括在该自动列表内的一个或多个匹配准 则503。被确定为与自动列表相关联的那些资源因此继承自动列表的对许可集201 的引用。范围501定义计算机应该査看哪里来评价计算机资源，而准则503定义要 用于评价"计算机资源"元数据的规则。规则的一个可能的示例在图5A中示出， 其中自动列表的规则具有搜索整个C驱动器的范围501以及应用于其作者是Cees 的那些计算机资源的准则。落在所指定的准则中并存储在该范围内的所有这些计算 机资源继承对与该自动列表相关联的许可集的所有引用。这样一个自动列表的结果 在图5B中示出，其中计算机资源I2 303和I3 507落在该范围和准则内，因而继承 对与自动列表201相关联的(多个)许可集的引用。项I2被示为还引用蓝色许可 集205，如在上例中所讨论的。该系统还保证，在范围内不匹配准则的所有项与对 应于自动列表的许可集不相关联。而且，系统甚至到这样的程度，即保证系统有权 访问的不匹配准则的所有项与对应于自动列表的许可集不相关联。
由于自动列表动态地改变，因此一说明性特征可更新自动列表，从而正确的 计算机资源与由该自动列表表示的许可相关联。自动列表可被实现为通过手动操作
或自动化中的任一种来触发检查机制。手动操作需要诸如但不限于运行程序或者点 击启动操作的按钮等计算机动作。自动化实现选项可与以设定的时间间隔(诸如每 天一次或每小时一次)运行更新过程一样简单，或者可由在计算机资源改变时自动 地对自动列表做出适当的改变的监听程序实现。
当存在对单个计算机资源的不同许可集和/或显式许可的一个以上引用时，则 可创建一合并许可集来确定对使用该计算机资源的请求是否应被准予。例如，如上 所示，项11201引用蓝色许可集205以及另外的显式许可305两者(图3A)。项 12 205引用蓝色205和绿色201许可集两者(图3B)。 一说明性合并过程在图6中示出，其中或(OR)操作可被应用于与一给定数据对象相关联的不同许可集和
显式许可。在此例中，图6示出用于具有许可集205和显式许可305的计算机资源 II 301的合并。或操作的结果在图6中示为项601。根据许可集205只具有读访问， 但根据显式许可305具有读写访问的Colin作为合并期间的或操作的结果接收读写 访问。Lyon的拒绝和许可被组合，因此Lyon只具有一个条目。该条目移除读许可， 因为它被拒绝覆盖。替换实施例可使用每用户多个条目，每一条目提供来自组合许 可的某些许可/拒绝。
合并许可集601随后可用于确定使用计算机资源的请求是否应被准予。所请 求的使用可在合并集中存在许可时被准予给用户。例如，使用601 (图6)中的信 息和下面图7中的流程图，如果Lyon正在请求对I1301的读访问，那么在创建Il 的合并列表601 (步骤701)之后，计算机检查以查看是否存在与Lyon相关联的 读许可(步骤703)。如果没有这样的许可存在或者存在拒绝许可，则Lyon被拒 绝读访问(步骤705)。如果这样的许可对于Lyon存在，则Lyon被准予读访问(步 骤707)。
由在此描述的说明性特征创建的信息层允许管理计算机资源许可的那些个人 有能力了解那些许可为何被设置。如图8A所示， 一个公司可为当前项目创建一个 团队并具有称为红色801的许可集，其中团队领导得到完全控制而其它成员得到读 写访问。如图8B所示，在将红色许可集801应用于不同计算机资源I4 803、 15 804 和16 807之后，维护许可的管理员可了解它是为该项目而创建的，因为它保留红 色标识符801。有了该信息，管理员可以相应地保持或移除计算机资源的许可。在 先前的ACL模型中的组功能为与组相关联的用户提供完全相同的许可，然而根据 在上面示例中所述的本发明的诸方面，不同用户可具有同一组内的不同许可。
创建的额外信息层产生计算机资源的许可的历史。如图9A所示，根椐称为黄 色的第一许可集901，给予Mike读访问，并且根据称为紫色的第二许可集903， 给予读写访问。当作出使用请求时，来自两个集合901、 903的许可由系统合并， 从而给予Mike读写访问，如图9B所示，因为文件I7 905存储对黄色许可集901 的引用以及对紫色许可集903的引用。如图9C所示，如果紫色许可集卯3因某种 原因被移除，则该用户将根据对黄色许可集901的引用仍保留读访问。在先前的 ACL模型中，只有一个许可列表被保存。问题在于，管理员可移除已经与紫色许 可集903相关联的用户读写访问。即使读访问应当保留，因为它还已经由于与黄色 许可集901相关联而被准予，但它仍被移除，因为没有保存对黄色或紫色许可集的引用，仅保存许可本身。根据本发明某些方面创建的历史信息在将引用应用于许可 集方面解决了该问题。
该额外的信息层还允许许可被容易地改变和传播到计算机资源。如图IOA所 示，来自图8的红色许可集801可被更改为添加另一成员。 一旦更改，红色许可集 801更新与红色许可集801相关联的所有计算机资源。图IOB示出，在将新成员添 加到红色许可集801之后，那么文件14 803、 15 805和16 807现在具有与该新成员 相关联的许可。该更新传播可关于任何更新实现，包括但不限于，用户移除、当前 用户的许可的改变、以及用户添加。
根据本发明某些方面提供的ACL模型的额外抽象层创建一个信息层，它解决 了存在于先前的ACL模型中的众多问题。计算机资源存储对许可集的多个引用， 并且在准予访问之前将许可组合成合并集。该额外的抽象层允许管理计算机资源的 ACL的人员具有记住ACL被应用于每一特定计算机资源的原因的方法。也使得计 算机资源正确地维护其许可，因为可以存储对许可集的多个引用，因而，当对许可 集的一个引用被移除时，其余仍保持不变，产生正确的ACL。该额外层还允许对 许可的改变被容易地传播到计算机资源。根据本发明诸方面的ACL还具有这样的 特征，使得将许可集应用于不同计算机资源更容易。列表允许用户将一个或多个许 可集应用于与该列表相关联的计算机资源。自动列表允许用户创建应用于计算机资 源元数据的规则集，并且匹配这些规则的计算机资源随后存储对与该自动列表相关 联的许可集的引用。所有这些特征是对先前的ACL模型的较早技术的改进。
尽管示出了如在此所述的、体现在本发明的各方面的说明性系统和方法，但 本领域的技术人员将理解，本发明不限于这些实施例。本领域的技术人员尤其是在 上述教导的指引下可作出修改。例如，上述实施例的每个元素可单独或与其它实施 例的元素组合或再组合来使用。还将了解和理解，在不脱离本发明的真正精神与范 围的情况下可作出修改。因而，说明书被视为说明性而非限制性的。
1权利要求
1. 一种提供对计算机系统上的资源的访问控制的方法，包括下列步骤(a)读取对与所述计算机资源相对应的一许可集的一个或多个引用，(b)查询一访问控制数据库以获得对应于所述一个或多个引用中的每一个的许可集，(c)合并来自步骤(b)的所述许可集以获得用于所述计算机资源的合并许可集，(d)搜索所述合并许可集以标识一请求使用所述计算机资源的实体是否具有这一使用的许可。
2. 如权利要求l所述的方法，其特征在于，步骤(c)还包括使用对步骤(b)中返回的所述许可集的或操作来合并所有所述许可集。
3. 如权利要求2所述的方法，其特征在于，每一许可包括对于所述计算机资 源的预定使用的准予许可或拒绝许可，并且其中，拒绝许可覆盖相应的准予许可。
4. 如权利要求1所述的方法，其特征在于，步骤(a)包括从一访问控制列表 (ACL)中读取所述一个或多个引用。
5. 如权利要求1所述的方法，其特征在于，步骤(a)还包括读取用于所述计算 机资源的显式许可，并且步骤(c)包括将所述显式许可与来自步骤(b)的所述一个或 多个许可集合并。
6. 如权利要求l所述的方法，其特征在于，所述一个或多个引用的第一引用 对应于一预定列表。
7. 如权利要求l所述的方法，其特征在于，所述一个或多个引用的第一引用 对应于一预定自动列表。
8. 如权利要求l所述的方法，其特征在于，所述一个或多个引用的第一引用 对应于一用户选择的引用。
9. 一种或多种存储用于执行如权利要求1所述的方法的计算机可执行指令的 计算机可读介质。
10. —种用于为计算机资源设置安全许可的方法(a) 定义第一安全许可集；(b) 定义第二安全许可集；(c) 将对所述第一安全许可集的第一引用和对所述第二安全许可集的第二引用存储在对应于所述计算机资源的安全数据中。
11. 如权利要求io所述的方法，其特征在于，所述计算机资源是由一列表定 义的。
12. 如权利要求IO所述的方法，其特征在于，所述计算机资源是由一自动列 表定义的。
13. —种或多种存储用于执行如权利要求10所述的方法的计算机可执行指令的计算机可读介质。
14. 一种或多种其上存储有数据结构的计算机可读介质，所述数据结构包括(a) 标识所述数据结构所对应的计算机资源的第一数据字段，(b) 包括对一安全许可集的第一引用的第二数据字段，以及(c) 包括对一安全许可集的第二引用的第三数据字段。
15. 如权利要求14所述的方法，其特征在于，所述数据结构还包括存储一显 式许可的第四数据字段。
全文摘要
为创建和维护计算机资源上的用户许可的过程提供了一种由访问控制列表使用的抽象层。首先，一许可集可与任意数量的计算机资源相关联。而且，计算机资源可以存储对任意数量的许可集的引用，并且在请求使用时，这些许可集被组合成确定是否准予许可的合并集。该额外的抽象层产生允许管理对计算机资源的许可的个人有能力理解这些许可被设置的原因的额外的信息层。该额外的信息层还产生计算机资源的许可的历史，因为可存储对许可集的多个引用。
文档编号G06F12/14GK101506781SQ200680029528
公开日2009年8月12日 申请日期2006年8月10日 优先权日2005年8月11日
发明者A·拜比, D·G·德沃切克, P·瑟利斯, T·麦基, W·史密斯 申请人:微软公司