用于跟踪跨多个执行环境的访问许可的装置和方法与流程

本发明的各方面大体涉及计算机安全领域，尤其涉及跟踪多个执行环境和计算设备上的访问许可。

背景技术：

安全和访问控制在现代计算设备中变得越来越重要。在智能手机和其它移动计算设备上运行的银行和支付应用出现激增就可以证明这一点。要保证这些应用安全，需要在访问多设备和多用户计算环境中的资源和信息时向应用分配不同特权和访问许可并加以跟踪。

许多系统遵循最小特权原则，其中应用应该只能访问执行其合法操作所必需的信息和资源，而无法访问更多信息和资源。为了支持这一原则，创建了各种访问控制机制，以确保为不同的应用授予不同的特权和访问许可，从而允许每个应用仅执行其合法操作。这些访问控制机制使用权限来限制应用可以访问的资源和信息。

提供访问控制的常见传统方法可以被描述为抽象安全模型或访问控制矩阵，其中基于单个主体的身份和正被访问的资源或信息来做出访问决策。但是，在实际系统中，应用可以启动其它应用，也可以由不同的用户启动，来执行可能具有更高特权的不同任务。这会导致通过一系列复杂的进程引导到特定访问请求，由此导致无特权或未授权的应用通过特权应用和服务获得对资源、信息和api的访问。对于这个问题，所谓“混淆代理攻击”就是一个例子。

因此，需要改进的访问控制机制和装置，从而可以有效地跟踪多个执行环境和多个计算设备上的许可和特权。因此，希望提供一种解决至少一些上述问题的概念。

技术实现要素：

本发明的目的在于提供一种改进的访问控制机制和装置。独立权利要求主旨是解决该目的。附属权利要求中可以找到进一步有利的修改。

根据本发明的第一方面，通过一种装置获得上述和其它目的和优点，所述装置包括耦合到存储器的处理器，其中所述存储器用于存储许可链组，并且每条许可链包括前一进程访问了当前进程并且所述当前进程请求了访问下一进程的指示。所述处理器用于从调用进程接收许可请求，其中所述许可请求包括允许第一当前进程访问第一下一进程的访问许可请求以及从第一前一进程访问了第一当前进程的指示。然后，所述处理器在所述许可链组中搜索匹配的许可链，其中所述匹配的许可链包括与第一前一进程相同的第二前一进程、与第一当前进程相同的第二当前进程以及与第一下一进程相同的第二下一进程。当未找到所述匹配的许可链时，所述处理器用于接收授予或拒绝所述请求许可的输入，并且当所述接收的输入授予所述请求许可时，所述处理器用于更新许可链组来包括新许可链，其中所述新许可链包括第一前一进程访问了第一当前进程然后第一当前进程请求了访问第一下一进程并且将所述请求许可授予所述调用进程的指示。本发明的各方面提供了改进的访问控制机制和装置，从而可以有效地跟踪多个执行环境和多个计算设备上的许可和特权。

在根据第一方面本身的装置的第一种可能实现方式中，当未找到所述匹配的许可链时，所述处理器用于输出请求授予或拒绝所述请求许可的输入的提示。使用提示能够从所述计算装置的用户获得所述请求许可。

在根据第一方面本身或根据第一方面的第一种可能实现方式的装置的第二种可能实现方式中，每条许可链包括关联的授予或拒绝状态，并且当所述接收的输入拒绝所述请求许可时，所述处理器用于更所述新许可链组以包括所述新许可链并将所述关联的授予或拒绝状态设置为拒绝。保存拒绝状态和授予状态会减少用户需要参与所述访问许可确定的次数。

在根据第一方面本身或根据第一方面的第一或第二种可能实现方式的装置的第三种可能实现方式中，当在所述许可链组中找到所述匹配的许可链时，所述处理器用于将所述关联的授予或拒绝状态返回给所述调用进程。返回授予或拒绝状态允许在拒绝请求许可时明确通知所述调用进程。

在根据第一方面本身或根据第一方面的前述可能实现方式中的任一种实现方式的装置的第四种可能实现方式中，第一前一进程包括在第一当前进程之前访问的第一组进程，以及第二前一进程包括在第二当前进程之前访问的第二组进程，其中所述处理器用于基于第一组前一进程和第二组前一进程找到所述匹配的许可链。跟踪前一进程的完整列表而不只是跟踪单个前一进程，有助于防止未经授权的用户通过一组很长的进程间调用获得对资源的访问。

在根据第一方面的第四种可能实现方式的装置的第五种可能实现方式中，第一和第二组前一进程分别包括前一进程的有序列表，其中所述列表的顺序指示每个进程的访问顺序。所述处理器用于当第一组前一进程的指示顺序与第二组前一进程的指示顺序匹配时，找到所述匹配的许可链。维护所述前一进程列表及其访问顺序可以改进对许可授予或拒绝的方式的控制。

在根据第一方面的第四或第五种可能实现方式的装置的第六种可能实现方式中，第一组前一进程包括与多个设备对应的设备标识，并且所述处理器用于在与第一当前进程相关联的设备上显示提示，或者在与第一下一进程相关联的设备上显示提示。通过跟踪已访问的前一进程以及已访问每个前一进程的设备，可以实现对访问控制的进一步改进。

在根据第一方面本身或根据第一方面的前述可能实现方式中的任一种实现方式的装置的第七种可能实现方式中，所述存储器包括策略组。当未找到匹配的许可链时，所述处理器用于基于所述策略组和所述许可请求确定所述授予或拒绝状态。当没有匹配的许可链时，所述策略组提供默认或应变方案以帮助确定访问许可。

在根据第一方面本身或根据第一方面的前述可能实现方式中的任一种实现方式的装置的第八种可能实现方式中，所述处理器用于将所述许可链组中的两个或多条许可链组合以形成所述匹配的许可链。组合许可链允许所述处理器根据需要创建附加许可链，并从组合的许可链中推断所述授予或拒绝状态。

在根据第一方面本身或根据第一方面的前述可能实现方式中的任一种实现方式的装置的第九种可能实现方式中，所述许可链组包括一个或多个预定的许可链，其用于保护预定的进程组。包括预定的许可链允许系统管理员或其它实体强制执行某些访问许可和/或覆盖用户的输入。

在根据第一方面本身或根据第一方面的前述可能实现方式中的任一种实现方式的装置的第十种可能实现方式中，所述处理器用于将所述许可链组持久保存到非易失性计算机可读存储器介质。将所述许可链组保存到非易失性存储器便不再需要在每次重新启动进程时重新创建可能很大量的访问许可组。

在根据第一方面本身或根据第一方面的前述可能实现方式中的任一种实现方式的装置的第十一种可能实现方式中，第一下一进程包括第一资源指示，第二下一进程包括第二资源指示，并且所述处理器用于基于第一资源指示和第二资源指示确定所述匹配的许可链。在所述进程信息中包括所述资源信息可以改进对访问许可的控制。

根据本发明的第二方面，通过一种方法获得上述和其它目的和优点，所述方法包括从调用进程接收许可请求，其中所述许可请求包括允许第一当前进程访问第一下一进程的访问许可请求以及从第一个前一进程访问第一个当前进程并在许可链组中搜索匹配的许可链的指示，其中所述匹配的许可链具有与第一前一进程相同的第二前一进程、与第一当前进程相同的第二当前进程以及与第一下一进程相同的第二下一进程。所述许可链组中的每条许可链包括前一进程访问了当前进程然后所述当前进程请求了访问下一进程的指示。当未找到所述匹配许可链时，接收授予或拒绝所述请求许可的输入，并且当所述接收的输入授予所述请求的许可时，更新所述许可链组以包括新许可链。所述新许可链包括第一前一进程访问了第一当前进程然后第一当前进程请求了访问第一下一进程的指示。授予对所述调用进程的请求许可。本发明的各方面提供了改进的访问控制机制，从而可以有效地跟踪多个执行环境和多个计算设备上的许可和特权。

在根据第二方面的方法的第一种可能实现方式中，每条许可链包括关联的授予或拒绝状态，并且当所述接收的输入拒绝所述请求许可时，更新所述许可链组以包括所述新许可链并且将所述关联的授予或拒绝状态设置为拒绝。保存拒绝状态和授予状态会减少用户需要参与所述访问许可确定的次数。

根据本发明的第三方面，上述和其它目的和优点由计算机程序获得，所述计算机程序包括非瞬时性计算机程序指令，所述计算机程序指令在由处理器执行时使所述处理器执行根据第二方面本身或第二方面的第一种实现方式的方法。

附图说明

在本公开内容的以下详述部分中，将参看附图中所展示的示例性实施例来更详细地解释本发明，其中：

图1示出了用于管理结合所公开实施例的各方面的计算系统中的访问许可的示例性装置。

图2示出了结合所公开实施例的各方面的示例性许可链。

图3示出了结合所公开实施例的各方面的示例性扩展许可链。

图4示出了根据所公开实施例的各方面的示例性许可提示。

图5示出了结合所公开实施例的各方面的示例性启动进程。

图6示出了结合所公开实施例的各方面的跨多个设备和多个用户的许可链的直观图。

图7示出了根据所公开实施例的各方面的适合于管理访问许可的示例性进程的流程图。

具体实施方式

图1示出了用于管理计算系统中的访问许可的示例性装置100。示例性装置100使用耦合到存储器160的处理器150，并且在某些实施例中，处理器150还耦合到用户界面(userinterface，简称ui)170。处理器150用于执行许可管理器应用152，其将接收许可请求102，确定是否应该授予拒绝所述许可，并且返回108授予或拒绝状态。仅基于所述请求进程和请求的资源授予许可可能导致安全问题，例如众所周知的混淆代理攻击。为解决这种性质的安全问题，可以在确定是否授予或拒绝对资源的访问时包括关于导致所述当前应用的调用或进程链的信息。所述调用或进程链，在本文中称为前一进程或前一进程列表，如下面将进一步讨论的，包括在请求访问许可102的当前进程之前遍历的所有或至少一部分进程。

处理器150可以是单个处理设备，也可以包括多个处理设备，例如专用设备，如数字信号处理(digitalsignalprocessing，简称dsp)设备、微处理器、专用处理设备、并行处理核或通用计算机处理器等。处理器150还可以包括与图形处理器(graphicsprocessingunit，简称gpu)串联工作的cpu，其可以包括dsp或其它专用图形处理硬件。存储在存储器160中的程序指令由处理器150读取和执行，并使处理器150执行用于管理本文所述的许可的新颖方法和过程。在某些实施例中，处理器150可以用于运行通用操作系统并且基本上在每个应用或服务通常在单独的隔离执行环境或处理空间中运行的同时执行多个软件应用或服务。这样的一个软件应用是许可管理器152应用程序，当需要时可以由处理器150运行在操作系统控制下的或作为操作系统提供的服务的独立进程空间中运行，如下面将进一步描述的，所述应用程序用于管理许可和许可链，其目的是管理对各种计算机资源的访问。

存储器160可以是各种类型的易失性和非易失性计算机存储器的组合，包括随机访问存储器(randomaccessmemory，简称ram)或只读存储器(readonlymemory，简称rom)，所述随机访问存储器例如传统个人计算设备中常见的同步动态随机访问存储器(synchronousdynamicrandom-accessmemory，简称sdram)或双倍数据速率ddr-sdram。存储器160还可以包括非易失性存储器(non-volatilememory，简称nvm)，例如硬盘驱动器(harddiskdrive，简称hdd)、固态驱动器(solidstatedrive，简称sdd)、光盘驱动器(opticaldiskdrive，简称odd)、网络连接存储(networkattachedstorage，简称nas)等。存储器160存储可由处理器150访问和执行的计算机程序指令，以使所述处理器执行各种期望的计算机实现的进程或方法，例如本文所述的许可管理方法。

ui170可以包括一个或多个用户界面元件，例如触摸屏、小键盘、按钮、音频或语音界面以及适于与用户交换信息的其它元件。ui170还可以包括显示单元，所述显示单元用于显示适合于计算装置或移动用户设备的各种信息，并且可以使用任何适当的显示类型来实现，例如有机发光二极管(organiclightemittingdiode，简称oled)、液晶显示器(liquidcrystaldisplay，简称lcd)以及不太复杂的元件，如led或指示灯。ui170用于通过向用户询问问题并从用户接收答案来提示用户进行输入。为此，可以使用图形用户界面(graphicaluserinterface，简称gui)通过显示问题并通过gui控件或按钮检索答案来实现。或者，也可以由音频设备通过播放语音消息并通过麦克风或其它合适的音频输入设备收听来自用户的口头答复或电话键盘产生的音调来提供提示。用于向用户呈现问题并接收用户响应的任何装置可以有利地用于提示用户并接收输入。

当接收到许可请求102时，处理器150在存储在存储器160中的许可链组162上检查或搜索126匹配的许可链。许可请求102具有关于所述当前进程的信息，其包括关于请求所述访问许可的调用应用的信息。许可请求102还包括指示下一进程的信息，其中所述下一进程是正在请求访问许可的进程或资源。

为了帮助防止未授权用户通过启动一系列复杂的进程来获得对受保护资源的访问，许可请求102还包括关于在所述当前进程之前访问或遍历的任何进程的信息。术语进程当与许可请求或许可链结合使用以引用前一进程、当前进程或下一进程时，是指包括关于实体或执行计算机进程的信息的数据结构，并且可以例如包括有关所述执行软件应用、访问的任何计算机资源、相关用户和相关设备的信息以及适合进行许可确定的其它信息。

进程中包括的信息可以是适合于确定是否授予或拒绝对资源的调用或当前进程访问的任何信息。在某些实施例中，可适合包括关于运行进程所在设备的信息，例如设备标识。包括在进程中时，关于执行所述进程所在设备的信息在许可链在多个设备上扩展的实施例中很有用。

许可请求102可被视为包括在当前许可请求102之前授予的许可链，其中许可链包括在进入所述当前进程之前访问或遍历的每个前一进程以及当前进程。因此，所述请求许可实际上是对包括所有前一进程、当前进程和下一进程的许可链的请求。

许可链组162由处理器150保存在存储器160的一部分中，该部分可由处理器150访问，或者更具体地由处理器150执行的许可管理器152进程或应用访问。许可链组162可以存储在装置100的存储器160中，或者可选地，许可链组162可以存储在处理器150可以通信和访问的任何合适的计算机可访问存储器中。所述许可链组包括(最好是所有)先前授予的许可链。当然有可能的话，授予许可链可以再次从许可链组中删除。例如，用户手动或者如果许可链的有效时间跨度过期则自动。

搜索128该许可链组以确定是否已经授予所述当前请求的访问许可。当在与所述许可请求102匹配的许可链组162中找到许可链时，则将信息返回108给授予所述请求许可的调用应用或进程。

匹配的许可链是所述前一进程或前一进程列表中的一条许可链，并且所述许可链中包括的当前进程与许可请求102中的前一进程或当前进程相同，其中所述许可链的下一进程与许可请求102的下一进程相同。许可请求102的下一进程是指正在请求访问许可的资源、服务或进程。在某些实施例中，验证所述许可链中的前一进程的顺序与许可请求102中的前一进程的顺序相同也可以是有利的。

当在许可链组162中未找到匹配的许可链时，可以经由ui170提供提示104，其中所述提示用于向用户描述所述请求许可102并且从设备100的用户获得授予或拒绝许可请求102的输入。用户通过向处理器150提供授予或拒绝所述请求许可请求102的输入106来响应所述提示。

当输入106授予许可请求102时，处理器150更新126许可链组162以包括所述授予的许可，并返回108授予许可请求102的响应。在某些实施例中，在所述许可链组中包括所有请求许可链(包括所述授予的许可链以及被拒绝的许可链)并且将授予/拒绝状态与所述许可链组162中的每条许可链相关联是有利的。记录许可链组162中的拒绝许可链以及授予许可链允许许可管理器152在需要时避免重复请求先前已被用户拒绝的许可。因此，当在所述许可链组162中找到许可链时，可以返回所述关联的授予或拒绝状态，而不需要提示用户并接收另一输入106。

在现代计算环境中，单个用户动作可以在许多不同的计算设备上涉及许多不同的应用，并且还可以涉及多个用户。例如，当员工在他们的公司移动电话上搜索联系人时，所述电话可以搜索所述本地电话联系人，然后搜索公司数据库，并且还可以搜索存储在其它员工的移动电话上的本地联系人。因此，许可链可以跨多个计算设备并且可以涉及多个用户。当许可链跨多个设备时，设备标识可以包括在许可链中的每个进程中，指示与所述进程关联的设备。在许可链跨多个设备的实施例中，许可请求102还可以跨越多个设备。然后，许可管理器152可以确定应该显示提示104的设备。

例如，在某些实施例中，提示104可以显示在与正在进行许可请求102的当前进程相关联的设备上。或者，当许可请求102跨越与不同设备和/或用户相关联的进程时，可能希望向多个用户显示多个提示。例如，在上述联系人搜索示例中，可能期望在搜索另一雇员的电话上的本地联系人之前提示发起所述搜索的用户以及存储本地联系人的设备的用户。

图2示出了三个进程202、204、206之间的示例性许可链200。第一进程202利用调用208访问第二进程204，所述调用208源自第一进程202并访问第二进程204中的例程或资源。然后，第二进程204利用调用210访问第三进程206，所述调用210源自第二进程204并访问第三进程206中的资源。一旦所请求的操作完成，调用210就从第三进程206返回212到第二进程204。返回212可以包括由第三进程206提供的数据或其它信息。然后，调用208从第二进程204返回214到第一进程202，并且可以返回从第三进程206返回的信息212和/或可以返回214源自第二进程204的数据。这一系列进程202、204、206、调用208、210以及返回212、214表示许可链。必须为所述许可链中的每个调用208、210授予许可。当第一进程202需要将调用208发送到第二进程204时，必须首先授予其许可。类似地，第二进程204需要在将调用210发送到第三进程206之前获得许可。所述许可可以通过向许可管理器(例如上述许可管理器152并参考图1)发送许可请求(例如许可请求102)来获得。

例如，为了获得第二进程204向第三进程206进行调用210的许可，第二进程204可以如上所述向许可管理器152发送许可请求102。关于第一进程202和关联的第一调用208的信息将作为所述许可请求的前一进程被包括，关于第二进程204的信息将作为所述许可请求的当前进程被包括，以及第三进程206和期望访问许可的调用210将作为所述许可请求的下一进程被包括。

图3示出了包括三个以上进程202、204、206、302的示例性扩展许可链300。许可链300类似于上述许可链200，但是它包括通过附加调用304访问的附加进程302，并且包括与附加调用304相关联的附加返回306。虚线308用于示出许可链300中可以包括任何数量的附加调用304、附加返回306和附加进程302，并且许可链300还可以具有任何期望的长度，即许可链可以包括任何数量的进程，分别具有关联的调用和/或资源信息。

进程302的每个附加调用304都需要被授予许可。当在许可链组162中未找到匹配的许可链时，许可管理器152需要提示用户获得所述请求许可。在某些实施例中，期望通过允许许可管理器152将可能已经包括在许可链组162中的较小许可链进行组合，以形成所述请求的许可102来减少用户提示的频率。例如，考虑许可链200已经被授予并包括在许可链组162中并且第二许可链312也已经被授予并包括在许可链组162中的情况，其中所述较小的许可链允许第三进程206调用304附加进程302。在这种情况下，可能期望允许许可管理器152将许可链200与许可链312组合以创建与所述请求许可匹配的更长的许可链，并基于所述新创建的许可链来授予所述请求许可，从而不再提示104用户并接收输入106。

图4示出了根据所公开实施例的各方面的为允许用户授予或拒绝所述请求访问许可而可显示的示例性许可提示400。当许可管理器152需要来自用户的输入106时，可以经由用户界面170向用户显示提示400。提示400显示清楚地描述所请求的访问许可的信息402。在某些实施例中，期望呈现用户友好的消息，而不是以更技术的表现形式呈现待授予的期望许可链。

例如，当请求对上面图2中所示的许可链200的许可时，所述提示可以以工程术语形式呈现消息，询问“允许进程1通过进程2访问进程3”。或者，可以显示用户友好的消息，例如“应用a想要通过服务b访问服务c”。然后，用户可以选择适当的用户界面控件404、406以允许404或拒绝406所述请求访问许可。

当所述请求许可涉及多个设备上的进程时，许可管理器152可以用于基于许可请求102选择显示提示400的最合适设备。在某些实施例中，可能期望在多个设备上显示提示400以请求可能对所述请求访问许可感兴趣的所有用户的输入。本领域技术人员将容易认识到，在不脱离本发明的精神和范围的情况下，可以使用任何类型的用户提示，例如结合机械按钮的文本显示、基于gui的显示和控制或音频输入/输出设备。在某些实施例中，使用音频提示和输入设备可能是有利的，例如为用户播放语音消息并收听口头响应或由电话键盘产生的音调。

图5示出了适用于启动应用的示例性启动进程500，其中所述应用需要与诸如上述许可管理器152的许可管理器交互或包括所述许可管理器。用于管理所述计算设备上的执行环境的操作系统或其它软件程序请求应用管理器启动502应用。所述应用管理器是负责管理用户应用执行的操作系统或其它控制软件进程的一部分。启动应用可以基于来自所述计算设备的用户的请求，也可以是由于某些其它系统相关的事件或收到来自外部源的请求。

然后，所述应用管理器从许可服务或其它适当配置的许可源或管理器获得或接收504所述应用的许可组。所述许可组包括要与所述新启动进程相关联的初始或预定的许可链组。在某些实施例中，所述许可组还可以包括策略组，所述策略组可以用于与所述许可链组一起或代替所述许可链组来控制某些访问许可和限制。

接下来，所述应用管理器为所述应用创建506新执行环境。所述创建的执行环境可以包括所述系统内的隔离进程空间，并且使用从所述许可管理器先前获得504的许可组来初始化。然后，所述应用管理器在所述初始化的执行环境中启动或运行508所述应用。现在，所述应用在所述许可组控制下的隔离进程空间内运行510，并且仅具有所述初始许可组提供的访问许可。当所述应用继续执行时，其可以通过许可管理器(例如许可管理器152)获得附加许可，所述许可管理器还将更新其许可组中包括的许可链组。当设置和初始化506所述执行环境时，所述应用管理器将唯一的应用标识和可选的设备标识与所述进程相关联以帮助所述许可管理器在所述应用的整个生命周期中管理访问许可可能是有益的。

现在参考图6，可以看到许可链620的直观图，所述许可链620跨三个进程604、608、612，在两个用户614、616控制下的三个不同设备602、606、610上执行。诸如许可管理器152之类的许可管理器可以有利地运用在云操作系统中，所述云操作系统可以具有由多个不同用户共享的公共计算设备。所述云操作系统可以能够为多个用户614、616提供服务，每个用户具有自己的计算设备602、606、610。如图6中所示，可以在多个用户614、616正在使用的多个计算设备602、606和610上形成这种云环境中的许可链620。当发生这种情况时，所述许可管理器可能需要在许可链可以被授予之前在多个设备602、606、610上提示并接收来自多个用户614、616的输入。许可链620示出了跨多个执行环境或进程604、608、612和由多个用户614、616操作的多个设备602、606、610的这种许可链的示例。

图7示出了根据所公开实施例的各方面的用于管理访问许可的示例性进程700的流程图。示例性进程700可以由用于管理访问许可的装置执行，例如上面参考图1描述的装置100和许可管理器152。进程700可以有利地运用在需要跨多个进程、用户和设备管理访问许可的任何计算装置中。当接收到702许可请求时，进程700开始。所述许可请求包括有关正在请求访问的资源(例如服务或进程)的信息、指示请求所述访问许可的调用或当前进程的信息以及所述当前进程之前遍历或调用或者导致所述当前进程的任何前一进程。正在请求访问的资源、服务或进程可以被称为所述许可请求的下一进程。

在许可链组中搜索704与所述请求许可匹配的许可链。匹配的许可链具有与所述许可请求的当前进程相同的当前进程、与所述许可请求的下一进程相同的下一进程以及与所述许可请求中包含的前一进程组相同的一组一个或多个前一进程。然后，进程700基于是否已找到匹配的许可链来执行分支程序706。当找到708匹配的许可链时，授予724所述请求许可。当未找到710匹配的许可链时，向所述关联的用户询问712授予或拒绝所述请求许可。询问用户712时向用户提供提示描述正在请求的所述访问许可并从授予或拒绝所述请求许可的用户接收输入。

然后，检查714从用户接收的输入以确定是否授予或拒绝所述请求许可。当拒绝716所述许可时，将拒绝许可指示返回720到所述调用进程，并且进程700结束。当用户718授予所述许可时，更新722所述许可链组以包括所述新授予的许可链。更新所述许可链组允许立即授予先前提示许可请求，而不必第二次涉及用户。在更新了许可链组之后，将许可授予指示返回724给所述调用程序。

在某些实施例中，期望在首次初始化进程时使用预定的许可链组来填充所述许可链组。填充初始的许可链组可降低在应用启动时显示过多用户提示的可能性。可以例如通过使用历史数据来预测启动的许可链组，或者通过任何期望的方法来确定初始的许可链组。

在某些实施例中，随所述许可链组包括访问策略并使用这些策略来影响由进程700产生的授予/拒绝确定是有利的。例如，公司可能希望阻止在银行营业时间之外或从公司网络外部的计算设备访问金融账户。此策略可用于覆盖用户输入或现有许可链，或在未找到许可链时进行授予/拒绝确定。

因此，尽管文中已示出、描述和指出应用于本发明的示例性实施例的本发明的基本新颖特征，但应理解，所述领域的技术人员可以在不脱离本发明的精神和范围的情况下，对装置和方法的形式和细节以及装置操作进行各种省略、取代和改变。进一步地，明确希望，以大体相同的方式执行大体相同的功能以实现相同结果的那件元件的所有组合均在本发明的范围内。此外，应认识到，结合所揭示的本发明的任何形式或实施例进行展示和/或描述的结构和/或元件可作为设计选择的通用项而并入所揭示或描述或建议的任何其它形式或实施例中。因此，本发明仅受限于随附权利要求书所述的范围。