通过简化访问控制语言在计算机环境中控制目录记录访问的方法

1. 一种用于通过简化访问控制语言在计算机环境中控制对目录记录的访问的 方法，所述方法包括下述步骤：
为用户创建读取访问控制列表命令，其中该读取访问控制列表命令列出了 一组由系统管理员创建并控制的用户属性；
应用所述读取访问控制列表命令，其中通过列出来自所述系统管理员所定 义的用户属性的子集以便将对该用户属性的子集的读取访问授权给一个或多 个其他用户，并且列出所述一个或多个其他用户的用户标识，以便使得所述一 个或多个其他用户被授权能够对所述系统管理员所定义的用户属性的子集读 取访问；
在一目录中存储所述读取访问控制列表命令，所述目录含有所述用户属 性；以及
响应于所述一个或多个其他用户对所述目录中的所述用户属性的访问，所 述读取访问控制列表命令参照所述用户标识的列表，以允许所述一个或多个其 他用户对所述系统管理员所定义的用户属性进行读取访问。
2. 如权利要求1所述的方法，其特征在于，依据客户端读取访问，目录 服务器根据所访问的属性选择特定读取访问控制命令，并且参照所访问属性拥 有者的读取列表来判定所述客户端是否具有执行所述读取访问的许可。
3. 如权利要求1所述的方法，其特征在于，进一步包括下述步骤：
提供含有被允许写入特定属性集的用户标识的用户定义的写入列表；
提供系统管理员定义的写入访问控制命令；
所述写入访问控制命令列出用户属性，所述用户属性是所述系统管理员为 用户定义的写入访问所选的属性；以及
所述写入访问控制命令参照所述用户定义的写入列表，因而允许具有所述 用户标识的用户对所述用户属性进行写入访问。
4. 如权利要求3所述的方法，其特征在于，依据客户端写入访问，目录 服务器根据所访问的属性选择特定写入访问控制命令，并且参照所访问属性拥 有者的写入列表来判定所述客户端是否具有执行所述写入访问的许可。
5. 一种用于通过简化访问控制语言在计算机环境中控制对目录记录访问的方 法，所述方法包括下述步骤：
创建读取访问控制列表命令，该命令列出所述系统管理员为用户定义的读 取访问所创建的用户属性；
从所述用户属性列表中选择出一个子集以用于一个或多个其他用户的读 取访问；
创建写入访问控制列表命令，所述命令列出所述系统管理员为用户定义的 写入访问所创建的用户属性；
从所述用户属性列表中选择出一个子集以用于一个或多个其他用户的写 入访问；
提供多个用户定义的访问控制列表命令属性读取列表，该列表含有被允许 从系统管理员为用户定义的读取访问所创建的所述用户属性中读取所述用户 定义的子集的所述一个或多个其他用户的用户标识；
提供多个用户定义的访问控制列表命令属性写入列表，该列表含有被允许 从系统管理员为用户定义的写入访问所创建的所述用户属性中写入所述用户 定义的子集的所述一个或多个其他用户的用户标识；以及
将所述读取访问控制列表命令和所述写入访问控制列表命令存储在含有 所述用户属性的目录中；
其中，响应于所述一个或多个其他用户对所述用户属性之一的读取访问请 求，应用所述读取访问控制列表命令和要访问的属性拥有者的读取列表来判定 所述一个或多个其他用户是否具有执行所述读取访问的许可；
其中，响应于所述一个或多个其他用户对所述用户属性之一的写入访问请 求，应用所述写入访问控制列表命令和要访问的属性拥有者的写入列表来判定 所述一个或多个其他用户是否具有执行所述写入访问的许可。
6. 一种用于通过简化访问控制语言在计算机环境中控制对目录记录访问的方 法，所述方法包括下述步骤：
为用户创建写入访问控制列表命令，所述写入访问控制列表命令列出所述 系统管理员创建并控制的一组用户属性；
应用所述写入访问控制列表命令，其中通过列出来自所述系统管理员所定 义的用户属性的子集以便将对该用户属性的子集的写入访问授权给一个或多 个其他用户，并且列出所述一个或多个其他用户的用户标识，以便使得所述一 个或多个其他用户被授权能够对所述系统管理员所定义的用户属性的子集写 入访问；
在一目录中存储所述写入访问控制列表命令，所述目录含有所述用户属 性；以及
响应于所述一个或多个其他用户对所述目录中的所述用户属性的访问，所 述写入访问控制列表命令参照所述用户标识的列表，以允许所述一个或多个其 他用户对所述系统管理员所定义的用户属性进行写入访问。
7. 如权利要求6所述的方法，其特征在于，依据客户端写入访问，目录 服务器根据所访问的属性选择特定写入访问控制命令，并且参照所访问属性拥 有者的写入列表来判定所述客户端是否具有执行所述写入访问的许可。
8. 如权利要求6所述的方法，其特征在于，进一步包括下述步骤：
提供含有被允许读取特定属性集的用户标识的用户定义的读取列表；
提供系统管理员定义的读取访问控制命令；
其中所述读取访问控制命令列出用户属性，所述用户属性是所述系统管理 员为用户定义的读取访问所选的属性；并且
所述读取访问控制命令参照所述用户定义的读取列表，因而允许具有所述 用户标识的用户对所述用户属性进行读取访问。
9. 如权利要求8所述的方法，其特征在于，依据客户端读取访问，目录 服务器根据所访问的属性选择特定读取访问控制命令，并且参照所访问属性拥 有者的读取列表来判定所述客户端是否具有执行所述读取访问的许可。

技术领域\n本发明涉及从计算机环境中的目录结构访问信息。具体说，本发明涉及控制 对计算机环境中LDAP目录结构中的数据访问。\n背景技术\n简便目录访问协议(LDAP)目录(例如Netscape通信公司的目录服务器)是 “记录”的集合。每条记录具有名字以及属性值列表。目录中的记录以树结构形式 组织，具有细分为更小单元的大分组。一个目录可能含有几个组织记录，每个组织 记录都含有几个组织单元记录。这些记录可以进一步细分。\nLDAP提供了能够在目录树规定部分上执行的搜索操作。因此，树和子树就是 处理存储在LDAP目录中数据的通常方法。\n记录和属性对应于宽范围的各种数据类型例如人事信息、服务器配置、商业 关系以及用户特征。因为所有的记录存储在单个目录中，所以，需要一种方法将规 定信息的可用性限制给予授权用户。\n用于控制访问的方法是通过存取控制表(ACL)。目录服务器管理员(DSAdmin) 创建一些基本规则以授权许可某些用户访问目录中的各种信息。大多数安全考虑事 项需要从几十到几百条规则来实现。较小数量的ACL规则能提供更好的性能和更简 单的管理性。\n因为目录是含有信息集合(例如有关人的信息)的内联网中关键的中心知识 库，因此，就不可避免地提供了一组丰富的访问选项/特性。例如，在没有任何 DSAdmin干涉的情况下，用户应该能对他的记录进行修改，或更新他的家庭地址或 家庭电话号码。\n一种较好的特性是使得用户能够决定谁能访问他的某些个人信息。而实现该 特性的唯一途径就是允许用户创建ACL。然而，一个目录可以含有几百万条记录， 例如Netscape Netcenter所使用的目录。为了使用传统方法支持该目录大小，就 将需要几百万个ACL，这不仅使得服务器性能下降，而且也会有很高的不可管理性。 它还产生了风险，即用户可以创建规则以拒绝DSAdmin某些不可接受的特权。\n另一不利之处在于ACL语法通常很复杂。普通用户不能理解为能有效安全地 使用这些规则而设定的规则格式和字段。\n因此，需要提供一种简化LDAP访问控制语言系统，该系统能允许用户规定能 访问该用户目录记录信息中某些属性的人物列表。进一步需要提供一种简化LDAP 访问控制语言系统，以提供一种简单的机制允许用户做出这些规定。\n发明内容\n本发明提供了一种简化LDAP访问控制语言系统。该系统提供了一种简单的命 令语言，它允许系统管理员给用户规定能访问目录记录中某些属性的人物列表的灵 活性。另外，本发明提供一种系统，允许用户在不需要理解复杂命令语法的情况下， 简单地规定访问列表。\n本发明的较佳实施例提供了告知目录系统用户想给谁对他属性的规定集合进 行读或写访问的用户定义属性。这些读和写属性是单独的列表，并且实际上可能不 相同。这就给予用户能更好管理对他的属性访问的灵活性。\n读和写属性的值为LDAP格式，该格式是一种因特网标准(RFC 2254)。过滤 属性允许用户不仅能规定位于其内联网中的用户，还可以规定通过因特网的用户。\n访问控制列表(ACL)由系统管理员创建。ACL将用户被允许能控制读或写访 问的特定属性列出。这就使得管理员能对哪些信息可以由用户发表进行完全控制。\nACL与记录一起存储在目录中。当用户访问目录中的记录时，服务器对要访问 属性所规定的ACL进行检验。当服务器检验ACL时，对所访问属性拥有者的读或写 属性由服务器使用。读或写属性和ACL的结合判定用户是否具有执行对所访问属性 的读或写访问的许可。\n所以，在本发明的一个方面提供了一种用于通过简化访问控制语言在计算机 环境中控制对目录记录的访问的方法，所述方法包括下述步骤：为用户创建读取 访问控制列表命令，其中该读取访问控制列表命令列出了一组由所述系统管理 员创建并控制的用户属性；应用所述读取访问控制列表命令，其中通过列出来 自所述系统管理员所定义的用户属性的子集以便将对该用户属性的子集的读 取访问授权给一个或多个其他用户，并且列出所述一个或多个其他用户的用户 标识，以便使得所述一个或多个其他用户被授权具有对所述系统管理员所定义 的用户属性的子集读取访问；在一目录中存储所述读取访问控制列表命令，所 述目录含有所述用户属性；以及响应于所述一个或多个其他用户对所述目录中 的所述用户属性的访问，所述读取访问控制列表命令参照所述用户标识的列 表，以允许所述一个或多个其他用户对所述系统管理员所定义的用户属性进行 读取访问。\n在本发明的另一个方面提供了一种用于通过简化访问控制语言在计算机环境 中控制对目录记录访问的方法，所述方法包括下述步骤：创建读取访问控制列表 命令，该命令列出所述管理员为用户定义读取访问所创建的用户属性；从所述 用户属性列表中选择出一个子集以用于一个或多个其他用户的读取访问；创建 写入访问控制列表ACL命令，所述命令列出所述管理员为用户定义写入访问所 创建的用户属性；从所述用户属性列表中选择出一个子集以用于一个或多个其 他用户的写入访问；提供多个用户定义访问控制列表命令属性读取列表，该列 表含有被允许从管理员为用户定义的读取访问所创建的所述用户属性中读取 所述用户定义的子集的所述一个或多个其他用户的用户标识；提供多个用户定 义访问控制列表命令属性写入列表，该列表含有被允许从管理员为用户定义的 写入访问所创建的所述用户属性中写入所述用户定义的子集的所述一个或多 个其他用户的用户标识；以及将所述读取访问控制列表命令和所述写入访问控 制列表命令存储在含有所述用户属性的目录中；其中，响应于所述一个或多个 其他用户对所述用户属性之一的读取访问请求，应用所述读取访问控制列表命 令和要访问的属性拥有者的读取列表来判定所述一个或多个其他用户是否具 有执行所述读取访问的许可；其中，响应于所述一个或多个其他用户对所述用 户属性之一的写入访问请求，应用所述写入访问控制列表命令和要访问的属性 拥有者的写入列表来判定所述一个或多个其他用户是否具有执行所述写入访 问的许可。\n在本发明的又一方面，一种用于通过简化访问控制语言在计算机环境中控制 对目录记录访问的方法，所述方法包括下述步骤：为用户创建写入访问控制列表 命令，所述写入访问控制列表命令列出所述管理员创建并控制的一组用户属 性；应用所述写入访问控制列表命令，其中通过列出来自所述系统管理员所定 义的用户属性的子集以便将对该用户属性的子集的写入访问授权给一个或多 个其他用户，并且列出所述一个或多个其他用户的用户标识，以便使得所述一 个或多个其他用户被授权具有对所述系统管理员所定义的用户属性的子集写 入访问；在一目录中存储所述写入访问控制列表命令，所述目录含有所述用户 属性；以及响应于所述一个或多个其他用户对所述目录中的所述用户属性的访 问，所述写入访问控制列表命令参照所述用户标识的列表，以允许所述一个或 多个其他用户对所述系统管理员所定义的用户属性进行写入访问。\n本发明的其他方面和优点将可以从下面结合附图的通过示例说明本发明原理 的详细描述中变得显而易见。\n附图说明\n图1是根据本发明的LDAP目录记录图例；\n图2是如何根据本发明访问n个属性的示例的示意图；\n图3是描述根据本发明的公司层次树中用户组织的示意框图；和\n图4是根据本发明包括ACL、记录以及读/写属性的目录示意框图。\n具体实施方式\n本发明包含在一种计算机环境中简化的LDAP访问控制语言系统中。根据 本发明的系统提供了一种简单的命令语言，它允许系统管理员给予用户能规定 访问目录记录中某些属性的人物列表的灵活性。另外，本发明提供了一种系统， 它允许用户在不需要理解复杂的命令语法的情况下，方便地规定访问列表。\n简便目录访问协议(LDAP)目录(例如Netscape通信公司的目录服务器)是 “记录”的集合。每条记录具有名字(称为区分名)以及属性值列表。目录中的记 录以树结构形式组织，具有可细分为更小单元的较大分组。一个目录可能含有几个 组织记录，每个组织记录都含有几个组织单元记录。这些记录可以进一步细分。\nLDAP提供了能够在目录树规定部分上执行的搜索操作。因此，树和子树就是 处理存储在LDAP目录中数据的通常方法。\n记录和属性对应于宽范围的各种数据类型例如人事信息、服务器配置、商业 关系以及用户特征。因为所有的记录存储在单个目录中，所以，需要一种方法将特 定信息的可用性限制给予授权用户。\n用于控制访问的方法是通过存取控制表(ACL)。目录服务器管理员(DSAdmin) 创建一些基本规则以授权许可某些用户访问目录中的各种信息。大多数安全考虑事 项需要从几十到几百条规则来实现。较小数量的ACL规则能提供更好的性能和更简 单的管理性。\n因为目录是含有信息集合(例如有关人的信息)的内联网中关键的中心知识 库，因此，就不可避免地提供了一组丰富的访问选项/特性。例如，在没有任何 DSAdmin干涉的情况下，用户应该能对他的记录进行修改，或更新他的家庭地址或 家庭电话号码。\n一种较好的特性是使得用户能够决定谁能访问他的某些个人信息。而实现该 特性的唯一途径就是允许用户创建ACL。然而，一个目录可以含有几百万条记录， 例如Netscape Netcenter所使用的目录。为了使用传统方法支持该目录大小，就 将需要几百万个ACL，这不仅使得服务器性能下降，而且也会有很高的不可管理性。 它还产生了风险，即用户可以创建规则以拒绝DSAdmin某些不可接受的特权。\n另一不利之处在于ACL语法通常很复杂。普通用户不能理解为能有效安全地 使用这些规则而设定的规则格式和字段。\n所存在的问题是：\n●如何让用户管理他们自身的某些信息。\n●DSAdmin如何管理信息，以便不违反安全规则。\n●如何在上述情况下使得服务器易管理。\n理论上，DSAdmin需要具有执行下述任务的规则(从目录中n个属性当中)：\n1、允许n1个属性由世界上的任何人都能读取(这是典型的要求)。示例 属性为cn、sn、电话号码。\n2、允许n2个属性由用户自身进行读取和修改，例如家庭地址、家庭电话 号码。\n3、允许n3个属性由拥有者/管理员进行管理，例如薪金、雇员等级。\n4、允许n4个属性由用户进行管理，即用户决定谁能读取或修改这些属性， 例如，用户可以决定仅Sam可以读取他业余爱好属性，并且仅Kelly能读取或 改变紧急联系信息，以便她能使其保持最新。\n5、不允许剩余的n5＝[n-(n1+n2+n3+n4)]个属性对除管理员组外的一般公 众可访问，例如雇员状况。\n问题1、2、3和5的解决比较简单，并且将在下面进行解释。最困难的一 项就是第4种情况。如前所述，为了确保这种特性需要为用户提供创建其自身 ACL的能力。这将导致有数百万个ACL，这是不可接受的。本文档的其余部分 将描述一种使用少量ACL以及现有因特网标准来克服这些问题的新颖方法。\n一种适用本方法的领域是具有Netcenter成员记录的Netscape  Netcenter。所有的成员信息存储在目录服务器中。Netcenter管理员不仅要维 护成员的信息/简况，还要提供允许成员维护其他成员能访问的某些其他关键 字信息的灵活性。这是一种目前还没有优秀方法能解决该问题的迫切需求。\n本领域的熟练技术人员可以很容易理解虽然通篇所提及的是LDAP目录， 但本发明可以在任何目录应用中实现。另外，虽然所引用的实例是涉及有关人 的属性，但本领域的熟练技术人员可以很容易理解本发明可以控制访问存储在 系统中的任意属性。\n参照图1，示出个人LDAP目录记录101的实例。列出了有关特定个人的属 性。这些属性的一部分由管理员102控制，例如，dn、sn、uid。某些属性103 是用户想控制读和写访问的属性，例如，业余爱好、主页、个人页面。\nLDAP标准是十分灵活的。它允许通过加入新的属性或对象类对方案进行扩 展。某人可以将新的称为“hobbies”的属性107加入记录，只要对象类已经 加入了该属性。\n相对于图2，理想情况是当给出n个属性201，某些属性为公用202，例如 电话号码，任何用户都可看见它们。其他属性是私有的，并且对于其他用户通 常不可见。例如，部门管理员和经理仅能访问个人薪金属性203或仅超级管理 员能访问个人雇员的状况204。最后的属性集是用户控制属性205，例如，业 余爱好、主页和个人页面。\n下述ACL语法用于解释如何解决1、2、3和5的情况。注意，语法仅用于 参考。\n●允许n1个属性由任何人读取：\nACL：(n1个属性列表)(允许(读取)用户＝“anyone”)\n●允许n2个属性由自身读取/可写：\nACL：(n2个属性列表)(允许(读取，写入)用户＝“self”)\n●允许n5个属性仅由管理员组读取/可写：\nACL：(n5个属性列表)(允许(读取，写入)组＝ “Admingroup”)\n●允许拥有者和管理员对n3个属性进行管理：\nACL：(n3个属性列表)(允许(读取，写入)属性＝“manager” 或属性＝“owner”)\n再次参照图1，用户Prasanta 108的管理员是Claire109，并且她能读取 /写入n3个属性的列表。同样，Joe的管理员Bill能读取/修改Joe的n3个属 性。这可以使用一个ACL完成。“管理员”的值在运行时间插入。\n对于情况4，要求就更加复杂。从n4个属性当中，必须实现较好的间隔尺 寸(granularity)，即n4个属性可以由某些人读取(n4-读取属性)并且可 以由某些人修改(不一定必须是能读取属性的同一个人)(n4-写属性)。本 发明的较佳实施例类似于其他情况通过提供ACL来解决第4种情况，但还使用 用户定义的属性。\n再次参照图1，用户定义属性104告知系统用户希望给予谁对其属性103 进行读取105和写入106的许可。很明显读取105和写入106属性是单独的列 表，并且实际上可以不相同。这就给予用户能更好管理对其属性访问的灵活性。\n本发明的ACL语法如下(使用先前讨论的实例)：\nACL：(n4-读属性列表)(允许(读取)过滤属性＝“whocanreadattr”)\nEx：(业余爱好，紧急联系)(允许(读取)过滤属性＝“whocanreadattr”)\nACL：(n4-写属性列表)(允许(写入)过滤属性＝“whocanwriteattr”)\nEX：(紧急联系)(允许(写入)过滤属性＝“whocanwriteattr”)\n其中whocanreadattr和whocanwriteattr的值是：\nwhocanreadattr：(((Idap:///o＝abc，com？(uid＝sam))(uid＝kelly))\nwhocanwriteattr：(uid＝kelly)\n读取和写入属性的值为LDAP过滤格式，该格式是因特网标准(RFC 2254)。 ACL由DSAdmin创建。这就给予DSAdmin对用户可以发出哪些信息进行完全控 制。相对于图3，过滤属性允许用户不仅规定位于其内联网中的用户，还能规 定因特网上的用户。在上述实例中，Prasanta303和Kelly304是同一公司 (Net scape 301)的用户302。“whocanreadattr”属性给予来自ABC公司的 Sam和来自Netscape的Kelly读取访问。参照图4，ACL 402和记录403一起 存储在目录401中。当用户访问目录401中的记录403时，服务器对访问属性 所规定的ACL 402进行检验。当服务器检验ACL 402时，所访问属性拥有者的 读取404或写入405属性由服务器使用。\n使用上述实例时，“whocanwriteattr”的值通过服务器在运行时间中用 “(uid＝kelly)”插入。因此，如果Kelly是访问客户，过滤器就匹配为TRUE， 并且允许Kelly修改“紧急联系”属性。然而，如果Bill为客户，过滤器就 与FALSE匹配，并且拒绝给Bill特权。每个用户现在都可以创建LDAP过滤器， 以允许他们对他们自己的信息进行管理。\n本发明的优势在于：\n●Admin具有对用户所做事情的完全控制。\n●仅需要少量ACL，而不是数百万个。\n●服务器的性能有显著提高。\n●新属性的值是依据因特网的标准。\n虽然本发明再次是结合较佳实施例进行描述，但本领域的熟练技术人员可 以很容易理解在不背离本发明的精神和范畴的情况下，其他应用也能取代前述 的实施例。因此，本发明仅局限于下述权利要求。