CN1892664A - 控制对资源的访问的方法和系统 - Google Patents

Abstract

提出一种控制对数据处理系统的资源的访问的方法(300)。所述方法包括在服务器实体(105)的控制下执行的步骤：从客户机实体(110)接收(306)访问至少一个选定资源的请求，所述请求被发往在软件容器(255)中运行的软件组件(225、230)，所述软件容器(255)适合于使所述组件与服务器实体的软件平台接口，所述容器的过滤器(265)截取(309－312)所述请求，向授权服务请求(324)对截取的请求的访问至少一个选定资源的授权，响应授权的拒绝(330)，向客户机返回(363)出错消息，或者响应授权的批准(339)，把所述请求传给(348)所述组件。

Description

控制对资源的访问的方法和系统

技术领域

本发明涉及数据处理领域。更具体地说，本发明涉及对数据处理系统的资源的访问的控制。

背景技术

安全性是现代数据处理系统的关键问题。在具有分布式体系结构的系统中，安全顾虑特别严重；近年来，因特网的广泛普及进一步加剧了这些问题。

安全问题的一个具体方面是不同用户对系统的受保护资源的访问的控制。在这方面，最重要的是避免未经授权的用户对受保护资源进行不希望的操作。为此，几种安全应用可用于定义安全策略和强制执行安全策略的应用(例如IBM公司的“Tivoli Access Manager orAM”)

本领域中已知的安全应用被设计成服务由安全应用的对应资源管理器提交的本地请求。此外，一些安全应用(例如上面提及的“AccessManager”)还揭示一组标准的应用程序接口(API)；这种情况下，安全应用的使用可被扩展到不同的资源管理器。

但是，具体环境中现有安全应用的集成明显重要。一个典型的例子是例如基于Java 2(Java是太阳微系统公司在美国和其它国家的商标或注册商标)Enterprise Edition(J2EE)技术的web应用。这种情况下，(登录到客户机计算机的)用户请求在服务器计算机上运行的应用的执行；一般通过基于web页的界面执行该操作。

把web应用和现有的安全应用结合起来的一种可能解决方案是使用代理计算机；所述代理随后能够与安全应用连接，以便强制执行所需的安全策略。另一种可能性是使用已存在用于访问安全应用的插件的服务器的子集。

但是，这两种选择的侵入性都相当高。特别地，它们的实现要求web应用应相应地被更新。此外，提出的解决方案不能被应用于预先存在的web应用。

发明内容

本发明提出一种基于过滤技术的解决方案。

具体地说，本发明的一个方面提出一种控制对数据处理系统的资源的访问的方法。所述方法包括在服务器实体的控制下执行的一系列步骤。通过从客户机实体接收访问一个或多个选定资源的请求开始所述方法；所述请求被发往在软件容器中运行的软件组件，所述软件容器适合于使所述组件与服务器实体的软件平台接口。所述请求被容器的过滤器截取。通过向授权服务请求对(截取的请求的)访问选定资源的授权，继续所述方法。响应授权的拒绝，随后向客户机返回出错消息；相反，响应授权的批准，所述请求被传送给所述组件。

在本发明的一个优选实施例中，响应请求的截取(在请求授权之前)，验证客户机的用户。

作为进一步的改进，所述验证由专用组件(例如服务小程序)执行。

有利的是，根据预定的模式过滤所述请求。

进一步改进该解决方案的一种方式是在查询字段的层面应用所述过滤。

一般来说，在表现层(presentation tier)应用该解决方案(请求随后被传送给一个或多个业务组件以便实际执行)。

一种具体实现以超文本页(即，web页)为基础。

在本发明的一个优选实施例中，提出的解决方案被应用于J2EE应用。

本发明的另一方面提出一种实现上述方法的计算机程序。

此外，本发明的另一方面提出对应的系统。

附加权利要求中陈述了本发明的表征特征。但是，结合附图，参考纯粹作为非限制性指示给出的下述详细描述，将更好地理解发明本身，及其更多的特征和优点。

附图说明

图1a是其中可应用根据本发明的一个实施例的解决方案的数据处理系统的示意方框图；

图1b表示系统的例证计算机的功能块；

图2描述可用于实现根据本发明的一个实施例的解决方案的主要软件组件；

图3a-3c描述与根据本发明的一个实施例的解决方案的实现相关的活动的流程。

具体实施方式

参考图1a，图中表示了具有分布式体系结构的数据处理系统100。系统100具有客户机/服务器结构，其中应用服务器105(图中只表示了一个)运行供多个客户机110使用的软件应用。为此，客户机110通过网络115(一般是基于因特网的网络)与应用服务器105通信。应用服务器105通常把信息保存在数据库服务器120上，数据库服务器120向应用服务器105提供对应的数据管理服务。另外，应用服务器105与授权服务器125接口；授权服务器125控制对应用服务器125管理的受保护资源的任何访问(在讨论的例子中，为保存在数据库服务器120上的信息)。

现在参见图1b，用150表示系统的通用计算机(应用服务器，客户机，数据库服务器或者授权服务器)。计算机150由与系统总线153并行连接的几个单元构成。具体地说，一个或多个微处理器(μP)156控制计算机150的操作；RAM 159被微处理器156直接用作工作存储器，ROM 162保存用于计算机150的自举的基本代码。几个外围单元围绕本地总线165群集(通过相应的接口)。具体地说，大容量存储器由一个或多个硬盘168和读取CD-ROM 174的驱动器171组成。此外，计算机150包括输入单元(例如键盘和鼠标)，和输出单元180(例如，监视器和打印机)。适配器183被用于把计算机150接入系统中。桥接单元186使系统总线153和本地总线165接口。每个微处理器156和桥接单元186能够起请求访问系统总线153，以便传送信息的主代理(master agent)的作用。仲裁器189管理对系统总线153的相互排斥的访问的许可。

参见图2，在上述系统上运行的主要软件组件定义web应用200。信息(程序和数据)一般保存在硬盘上，并且当程序运行时，和操作系统及其它应用程序(图中未示出)一起被(至少部分地)装入每个计算机的工作存储器中。程序最初从例如CD-ROM被装入到硬盘上。

最好，web应用具有基于J2EE技术的多层体系结构。J2EE技术定义利用组件创建各种各样的应用的模型，所述组件使用公用容器提供的服务。这允许简化应用的代码的定义(因为开发人员现在能够致力于相关的业务问题，而忽视次要方面)。

更具体地说，组件由执行特定功能的自包含软件模块组成。每个客户机110(图中只表示了一个)能够运行或者由web客户机205或者由应用客户机210组成的对应组件。web客户机205被用于通过web页与应用服务器105交互作用。web页是由因特网(称为万维网，或者简称为web)中的服务器系统管理的(用HTML语言格式化的)超文本文件；web使用HTTP协议，HTTP协议定义消息如何被格式化和传送，以及响应各种命令，客户机和服务器应采取什么动作。web页可包括小程序，它由打算在客户机上运行的(用Java语言编写的)小程序组成。web客户机205可以是胖(fat)型的web客户机(当它执行批量操作时)，或者是瘦(thin)型的web客户机(当它几乎不具有逻辑时)。另一方面，应用客户机210被用于通过更丰富的一组命令(一般借助专用图形用户界面(GUI)实现)与应用服务器105交互作用。

现在讨论应用服务器105，它包括表现层215和业务层220。表现层215能够运行由Java小服务程序225或JavaServerPages(JSPs)230组成的对应组件。小服务程序225是用Java语言编写的小程序，它意图在服务器上运行，回答客户机请求；小服务程序225是持久不变的(即，它保持其状态)，并且能够通过在单一进程中运行的对应线程满足多个请求。另一方面，JSP 230是能够自动产生小服务程序的web页。业务层220改为运行由EnterpriseJavaBeans(EJBs)235组成的对应组件。EJB 235是遵守预定规范的Java对象；EJB 235被用于执行web应用的相关业务领域(例如银行，保险或零售机构)中的具体操作。一般来说，EJB 235管理与客户机110的用户的短暂会话，处理持久不变的数据，或者实现基于消息的通信。为此，JSB 235能够访问对应服务器210的一个或多个数据库240。EJB 235通过表现组件225、230从web客户机205接收请求，或者直接从应用客户机210接收请求。

另一方面，容器由对应类型的组件和底层环境之间的接口组成。换句话说，容器提供支持其组件的(特定于每个软件平台的)低级功能。所述功能的典型例子包括消息交换，调度，池化，错误处理等；特别地，容器负责(根据相关组件的对应映射)正确地转发请求和对应的响应。

特别考虑客户机110，web客户机容器245管理web客户机的执行；一般来说，web客户机容器245由web浏览器组成，web浏览器被用于检索web页、显示web页和与web页交互作用，它包括用于运行Java小程序的Java虚拟机(JVM)。同样地，应用客户机容器250管理应用客户机210的执行；一般来说，应用客户机容器250由Java运行时环境(JRE)组成。转移到应用服务器105，web容器255管理小服务程序225的执行以及JSP 230的执行；web容器255的例子是IBM公司的“WebSphere”，在“Apache Software License”下的“Tomcat”，或者开放源“JBoss”。同样地，EJB容器260管理EJB 235的执行。

web应用200一般被包装到特定的档案文件中以便部署。具体地说，客户机组件205-210，web组件225-230和业务组件235被存档到相应的文件中。这些文件均包括相关的组件以及对应的部署描述符；部署描述符由XML格式的文件组成，所述文件包含关于相应组件的配置的信息。这三个文件又被捆绑成所谓的企业档案文件，所述企业档案文件包含整个应用200的通用部署描述符。

在web应用200中，任何组件与一个名称相联系；名称与(web应用200的分布式体系结构中的)实际组件的映射由专用命名服务(例如基于“远程方法调用”(RMI)技术的专用命名服务)管理。为此，每个表现/业务(或服务器)组件225-235广告其可用性和逻辑名称。每当客户机组件205-210需要调用服务器组件225-235时，它请求命名服务把其名称转换成对应的物理位置；一旦客户机组件205-210获得了对服务器组件225-235的参考时，它可向其发送任何所需的请求。通过Java命名目录接口(JNDI)执行这些操作，JNDI暴露遮蔽命名服务的实际实现的一组标准API。

在本发明的一个实施例中，web容器255还包括服务小程序过滤器265。过滤器265由实现具体接口的Java对象组成。该接口暴露用于截取给表现组件225、230的请求和来自表现组件225、230的响应的一系列方法；这样，过滤器265可根据其程控行为，使用和/或变换包含在截取的请求/响应中的信息。为此，在表现组件225、230的部署描述符中定义过滤器265；过滤器265的规范还包括对应的映射，所述映射指定要被过滤的(在所讨论的例子中，从web客户机205接收的请求的)模式。

过滤器265与一组具体的web页270接口，所述一组web页270被用于实现客户机110的用户的登录程序。例如，登录web页270要求输入用户名和对应的口令，允许用户改变其口令等等。过滤器65随后调用特定的服务小程序275，服务小程序275验证用户(通过根据对应的口令，确认由用户名定义的用户身份)。

过滤器265被配置成与由授权服务器125部署的授权服务(例如由上面提及的“Access Manager”实现)通信。授权服务根据(由一组相关资源定义的对应域的)预定安全策略，确定每个访问一个或多个选定资源的请求是否被批准。该服务可由负责在其域中强制执行安全策略的应用的任何资源管理器调用；因此，当授权被拒绝或批准时，资源管理器阻止对选定资源的访问，或者实现所需的操作。

更具体地说，为每个域把安全策略的主要版本保存在授权服务器125上的对应数据库280m中。安全策略识别要保护的资源(例如文件，web页，数据库等)。对于每个资源，安全策略随后定义被批准访问该资源的用户，和每个用户能够执行的操作的类型。安全策略的定义可基于(定义单个用户或一组用户对每个资源进行某些操作所必需的条件的)访问控制列表，(定义与用户无关地应用于每个资源的条件的)保护对象策略，或者(根据请求的动态语境定义条件的)授权规则；一般来说，这些定义具有支持安全策略实例(以便简化它们的规范)的分层结构。

(授权服务器125上的)策略管理器285维持主安全策略数据库280m。策略管理器285还拥有保存被管理域的定义的数据库290；具体地说，域数据库290包括和不同域的所有资源管理器有关的位置信息。策略管理器25在全部域内复制主安全数据库280m，并使这些副本保持最新(每当对主安全策略数据库280m做出变化时)。

在该特定情况下，安全策略数据库的副本280r被保存在应用服务器105上。授权评估器295访问安全策略数据库280r的副本，以便确定访问所需资源的能力。为此，授权评估器295暴露一组API，所述一组API可被用于由任何资源管理器调用上面提及的决策过程。授权API允许任何资源管理器调用集中管理的授权服务；此外，它们提供标准的程序设计模型，所述程序设计模型对资源管理器屏蔽了实际决策过程的复杂性。

在所讨论的例子中，资源管理器由过滤器265组成。为此，过滤器265通过在每个用户的验证过程中获得的他/她的凭证(例如描述用户自己，任何组联系，或者其它与安全性相关的属性)；过滤器265还通过要访问的资源的指示和将执行的操作的指示(从截取的请求中抽取)。授权评估器295使用(数据库280r中的)安全策略来确定请求是否应被允许；授权评估器295随后把对应的建议返回给过滤器265。

现在参见图3a-3c，利用方法300表现了可在上述系统中实现的(用于访问选定资源的)例证过程的逻辑流程。方法300从通用客户机的泳道(swim-lane)中的黑色起始圆圈303开始。前进到方框306，对应的web客户机向(应用服务器上的)所需JSP提交请求；该过程由(客户机上的)web客户机容器及(应用服务器上的)web容器控制。

在方框309(在应用服务器的表现层的泳道中)，请求被web容器的过滤器截取。随后在方框312进行测试，以确定所述请求是否和过滤模式相符。例如，过滤器可被配置成检查包括特定HTTP命令的请求。过滤器的粒度可被扩展到所需命令中的选定字段；一个典型的例子是(用于从数据库抽取特定字段的值的)查询串的规范。当请求和过滤模式相符时，活动的流程进行到方框315。在该阶段，过滤器核实客户机的用户是否必须被验证(例如，因为这是他/她首次访问web应用)。如果是，那么在方框318提示用户输入他/她的用户名和口令；假定验证过程成功，用户的凭证被保存到应用服务器的高速缓存结构中。相反(例如，由于同一用户已被验证)，在方框321直接从高速缓存结构抽取对应的凭证。高速缓存用户的凭证的选择使得能够提高web应用的性能。

在这两种情况下，在方框324，过滤器请求授权服务核实用户的请求是否应被允许；为此，过滤器通过传递用户的凭证和从提交的请求中抽取的相关信息(即，选定的资源和所需的操作)，调用对应的API。

对此作出响应，在方框327对安全策略的访问控制列表进行检查。如果用户不被允许对选定的资源进行所需操作(即，在与选定资源相联系的列表中没有定义该用户)，那么在方框330拒绝授权。相反，在方框333根据保护对象策略进行进一步的检查。如果所述请求和安全策略中关于选定资源定义的至少一个条件大不相同(例如，由于请求了和资源的约束条件不兼容的操作)，那么在方框330同样拒绝授权。相反，在方框336根据授权规则进行进一步的检查。如果请求的动态语境不满足其预定特征(例如，由于时刻或周日不在许可的范围内)，那么同样在方框330拒绝授权。当上述所有三次测试(方框327、333和336)都成功时，在方框339批准授权。总之，在(从方框330或339到达的)方框342，向过滤器返回对应的建议(拒绝或批准)。

活动的流程随后因此在方框345形成分枝。具体地说，如果授权被批准，那么在方框348，请求被传递给所需的JSP；当请求和过滤模式不相符(换句话说，不需要任何授权)时，从方框312也直接到达方框348。这样，可在表现层的层次实现访问的控制(不存在对web应用的业务层的任何影响)。继续进行到方框351。JSP把请求提交给对应的EJB。转移到业务层的泳道，在方框354执行所需的操作。随后在方框357，所述操作的结果被返回给JSP。继续进行到方框360(在表现层的泳道中)，所述结果被格式化并被插入对应的web页中。重新参见方框345，如果授权被拒绝，那么在方框363取回带有出错消息的预定web页。

总之，所述方法在方框366接合起来(从方框360或363)，其中这样获得的(具有请求的结果或出错消息的)web页被返回给客户机组件。转回客户机的泳道，在方框369显示所述web页。所述方法随后在同心的白/黑停止圆圈372结束。

上述解决方案允许保护自身内的web应用。特别地，不再需要使用另外的代理；此外，web应用不被强制使用服务器的任何特定子集。

该解决方案的最重要的特征在于它不需要对组件的代码进行任何修改。于是，对于web应用来说，其实现是完全不透明的。此外，相同的解决方案还可被应用于任何预先存在的web应用。上述所有特征对系统的安全水平具有有益的效果。

自然地，为了满足本地的特定要求，本领域的技术人员可对上述解决方法应用许多修改和变化。特别地，尽管参考其优先实施例在一定的特殊性下说明了本发明，不过形式和细节方面的各种省略、替代和改变以及其它实施例显然是可能的；此外，关于本发明的任何公开的实施例说明的具体部件和/或方法步骤显然可根据设计选择，被包含在任何其它实施例中。

特别地，如果系统具有不同的体系结构或者包括等同的单元，那么类似的考虑事项也适用；例如，应用服务器、数据库服务器和/或授权服务器可被组合成单个计算机。此外，每个计算机可具有另一结构，或者可包括类似的部件(例如临时保存程序或程序的各个部分，以便减少执行期间对大容量存储器的访问的高速缓冲存储器)；总之，可用任何代码执行实体(例如PDA、移动电话机等)替代计算机。

显然本发明的概念在系统的任意资源(硬件或软件)方面获得应用；此外，这些概念可被应用于控制任何类型的访问(写入访问，读取访问，删除访问，移动访问等)。

即使在上面的说明中，涉及了特定的过滤技术，不过这并不是对本发明的限制；另一方面，可用适合于截取客户机的请求的对应容器的任何其它过滤器实现相同的解决方案。

“Access Manager”可用能够提供类似的一组API的任何其它服务替代。

总之，可预期验证用户的其它解决方案；例如，可直接使用验证服务器的验证框架，对具有它们自己的验证机构的web应用的全球登录，和社区级验证的单独登录。

借助任何其它过滤模式(例如，仅仅根据要被访问的资源，而不存在指定更细微一层的细节的可能性)，本发明的技术思想得到相同的应用；总之，不排除其中所有请求被传递给验证服务的简化实现。

此外，根据本发明的解决方案使其本身有可能在EJB容器中也被付诸实践；该特征使得能够控制即使是应用客户机(除了或者替代web客户机)对受保护资源的访问。

对J2EE技术的涉及不应被理解为对本发明的限制(本发明的概念在以软件组件和容器的概念为基础的任何等同的分布式应用中可得到应用)。

如果按照不同的方式构成(可用于实现本发明的)程序，或者如果提供另外的模块或功能，类似的考虑也是适用的；同样地，存储器结构可以是其它类型的存储器结构，或者可用等同的实体替代(不必由物理存储介质构成)。此外，提出的解决方案适合于用等同的方法(例如具有类似的或者另外的步骤)实现。总之，程序可以采取适合于由任何数据处理系统使用或者与任何数据处理系统有关的任何形式，例如外部或常驻软件，固件或微代码(目标代码或源代码)。此外，可在任何计算机可用介质上提供程序；所述介质可以是适合于包含，保存，交换，传播或传输所述程序的任何部件。这种介质的例子是硬盘(程序可被预先装入其中)，可拆卸的磁盘，磁带，插件，电线，光纤，无线连接，网络，广播电波等；例如，所述介质可以是电介质，磁介质，光介质，电磁介质，红外介质或半导体介质。

总之，根据本发明的解决方案适合于用硬件结构(例如集成到半导体材料的芯片中的硬件结构)，或者用软件和硬件的组合来实现。

Claims (10)

1、一种控制对数据处理系统(100)的资源(240)的访问的方法(300)，所述方法包括在服务器实体(105)的控制下执行的步骤：

从客户机实体(110)接收(306)访问至少一个选定资源的请求，所述请求被发往在软件容器(255)中运行的软件组件(225、230)，所述软件容器(255)适合于使所述组件与服务器实体的软件平台进行接口，

由所述容器的过滤器(265)截取(309-312)所述请求，

向授权服务请求(324)对截取的请求的访问至少一个选定资源的授权，

响应授权的拒绝(330)，向客户机实体返回(363)出错消息，或者响应授权的批准(339)，把所述请求传给(348)所述组件。

2、按照权利要求1所述的方法(300)，还包括下述步骤：

响应请求的截取，验证(315-321)客户机的用户，其中通过传递用户的指示和从所述请求抽取的至少一个选定资源的指示，请求(324)所述授权。

3、按照权利要求2所述的方法(300)，其中验证步骤(315-321)由在容器中运行的验证组件执行。

4、按照权利要求1-3任意之一所述的方法(300)，其中截取步骤(309-312)包括：

比较(312)所述请求与预定的过滤模式，和

根据所述比较，请求授权(324)或者直接把请求传递给(348)所述组件。

5、按照权利要求4所述的方法(300)，其中所述请求包括要对包括多个字段的存储器结构(240)执行的查询的指示，过滤模式包括存储器结构的受保护字段的指示。

6、按照权利要求1-5任意之一所述的方法(300)，其中所述组件是用于实现用户界面的表现组件(225、230)，容器是对应的表现容器(255)，所述方法还包括下述步骤：

表现组件把所述请求的指示传递给(351)至少一个业务组件(235)，以便实现对所述至少一个选定资源的访问，每个业务组件在适合于使所述业务组件与服务器实体的软件平台进行接口的业务容器(260)中运行。

7、按照权利要求6所述的方法(300)，其中所述表现组件是超文本页(230)。

8、按照权利要求1-7任意之一所述的方法(300)，其中每个组件(225、230、235)和每个容器(255、260)均是J2EE对象。

9、一种当在数据处理系统(100)上运行时，实现按照权利要求1-8任意之一所述的方法的计算机程序(200)。

10、一种包括实现按照权利要求1-8任意之一所述的方法的步骤的装置(200)的系统(105)。

Images