技術領域

本發明一般地涉及改進的數據處理系統和方法。更具體地，本 發明涉及用于對信息流進行授權的系統和方法。

背景技術

引用監控機是一種對源進行授權以對目標執行特定動作的授權 和實行機制。很多引用監控機使用訪問控制列表(ACL)來執行此 類授權。針對每個源，這些ACL標識源可以訪問的目標以及該源被 授權擁有的特定類型的訪問，即該源可以對目標執行何種動作。

大多數現代引用監控機和安全系統通過將“主體(subject)”安 全屬性以及“目標”安全屬性與安全策略規則集合相比較來做出授 權決定。經常將不同的數據類型分配給主體和目標安全屬性。在 www.opengroup.org/onlinepubs/009609199/chap3.htm#tagfcjh_2處描 述的ISO?10181-3?Access?Control?Framework中提供了示出這些不同 數據類型的一個示例。在該示例架構中，提供了四個不同的角色或 數據類型，即發起者(源)、目標、訪問控制實行功能以及訪問控 制決定功能。主體安全屬性和目標安全屬性之間的這種差異將不必 要的復雜性添加到安全策略評估過程中，在該過程中，主體和目標 安全屬性的每個可能組合必須配備安全策略規則，從而在運行時間 期間得到正確的評估。

此外，目標安全屬性數據類型通常基于可以在目標資源上執行 的操作集合。因此，目標安全屬性類型在管理目標資源的應用結構 和安全策略評估子系統的結構之間造成了不必要的聯系。這繼而在 安全策略評估子系統中造成了不必要的復雜性，因為安全策略現在 必須考慮由應用進行的數據操縱的語義以及安全策略評估的語義。

而且，區分主體安全屬性和目標安全屬性的數據類型在安全策 略中造成了不對稱，其將安全評估子系統限制于控制從主體(源) 到目標(即，將接收信息的對象)的傳輸，但是不允許它控制從目 標到源的傳輸。換言之，必須針對每對主體和目標之間的每個傳輸 類型建立獨立的策略，從而導致安全策略評估子系統更高的復雜性。

例如，假設存在兩個對象A和B。為了覆蓋對象A和B之間的 所有可能的傳輸，在控制信息的傳輸時必須建立和評估四個策略： (1)A可以(或不可以)向B寫入，(2)A可以(或不可以)從B 讀取，(3)B可以(或不可以)從A讀取，以及(4)B可以(或 不可以)向A寫入。

已經針對控制數據處理系統的元素間的信息傳輸設計了很多不 同的機制。例如，在授予Rodney?Burnett的、名稱為“Method?for Attachment?and?Recognition?of?External?Authorization?Policy?on?File System?Resources”的美國專利No.6,766,314中，在文件系統中生成 了包含對象的輔助屬性的外部安全數據庫。在文件訪問嘗試期間， 將文件的標識符與安全數據庫中保護文件的集合進行匹配。如果文 件不在數據庫中，那么不存在對該文件的保護，并且允許請求方訪 問該文件。如果在數據庫中存在匹配，則保護該文件并且基于在外 部安全屬性中定義的安全規則集合來做出關于是否將允許請求方訪 問該文件的確定。

根據美國專利No.6,766,314的機制，資源管理器包括用于檢索 安全策略的組件，用于介入對保護文件的訪問的組件，以及收集諸 如訪問用戶和嘗試動作之類的訪問條件的組件。基于該安全策略、 被訪問的文件以及訪問條件，提交有關于對文件訪問的授權的決定。

因此，在美國專利No.6,766,314的機制中，將對文件訪問的授 權與用戶身份和正在嘗試的動作綁定。從而，將正在執行的動作與 執行該動作的實體和正在被訪問的文件綁定。如上所述，這在管理 文件的應用結構和安全策略評估子系統的結構之間造成了不必要的 聯系。

在美國專利No.5,765,153中描述了類似機制。在美國專利No. 5,765,153中，提供一種引用監控機，其基于主體身份、對象名稱和 由保護對象的接口定義的動作來實行策略。而且，通過使授權決定 基于實體的身份以及在一個已識別實體上由另一已識別實體正在執 行的動作類型，生成了不必要的聯系，該聯系使得安全策略評估子 系統的實現復雜化。

發明內容