鬼佬大哥大
  • / 16
  • 下載費用:30 金幣  

基于云的環境中的自主策略管理.pdf

摘要
申請專利號:

CN201480010811.8

申請日:

2014.02.24

公開號:

CN105074720A

公開日:

2015.11.18

當前法律狀態:

授權

有效性:

有權

法律詳情: 授權|||實質審查的生效IPC(主分類):G06F 21/60申請日:20140224|||公開
IPC分類號: G06F21/60; H04L29/06 主分類號: G06F21/60
申請人: 微軟技術許可有限責任公司
發明人: P.馬丁; V.賈加拉; T.吉爾; J.T.雅各比; S.普蘭特; C.A.吉克; R.K.科斯特利; L.J.倫哈特; A.S.康
地址: 美國華盛頓州
優先權: 13/779413 2013.02.27 US
專利代理機構: 中國專利代理(香港)有限公司72001 代理人: 李舒; 景軍平
PDF完整版下載: PDF下載
法律狀態
申請(專利)號:

CN201480010811.8

授權公告號:

||||||

法律狀態公告日:

2018.03.30|||2015.12.16|||2015.11.18

法律狀態類型:

授權|||實質審查的生效|||公開

摘要

公開了用于管理和提供對許多數字資源的訪問的實施例。一個實施例提供了一種方法,所述方法包括接收用以供委托人訪問資源的請求,并確定所述委托人所屬的一個或多個委托人群組。所述方法還包括獲得指示所述資源所屬的資源集合的資源集合成員籍信息,并獲得用于所述資源所屬的資源集合的資源集合訪問策略信息。所述方法還包括基于委托人群組成員籍信息和資源集合訪問策略信息來確定是否允許委托人訪問資源,并且如果允許委托人訪問資源,則許可由委托人對資源的訪問。

權利要求書

1.一種在計算設備上的方法,包括:接收用于委托人訪問資源的請求;確定委托人所屬的一個或多個委托人群組;獲得指示所述資源所屬的資源集合的資源集合成員籍信息;獲得用于所述資源所屬的資源集合的資源集合訪問策略信息;基于委托人群組成員籍信息和資源集合訪問策略信息來確定是否允許委托人訪問資源;以及如果允許委托人訪問資源,則許可委托人對資源的訪問。2.權利要求1的方法,其中,所述請求包括委托人群組成員籍信息。3.權利要求2的方法,其中,所述委托人群組成員籍信息被附加到安全訪問令牌。4.權利要求1的方法,其中,確定委托人所屬的一個或多個委托人群組包括從遠程存儲機器獲得委托人群組信息。5.權利要求1的方法,其中,確定委托人所屬的一個或多個委托人群組包括從本地高速緩存器獲得委托人群組信息。6.權利要求1的方法,其中,確定是否允許委托人訪問資源包括:識別委托人群組成員籍信息所指示的一個或多個委托人群組;識別資源集合訪問策略信息所指示的一個或多個委托人群組;如果委托人群組成員籍信息所指示的一個或多個委托人群組滿足由資源集合訪問策略信息關于委托人群組成員籍信息所指示的一個或多個委托人群組所指示的規則,則允許由委托人訪問資源。7.權利要求1的方法,其中,基于委托人群組成員籍信息和資源集合訪問策略信息來確定是否允許委托人訪問資源包括基于多個委托人群組中的成員籍來確定是否允許委托人訪問資源。8.權利要求1的方法,其中,獲得指示資源所屬的資源集合的資源集合成員籍信息包括從遠程位置獲得資源集合成員籍信息。9.一種計算設備,包括:邏輯子系統;以及數據保持子系統,包括存儲在其上面的指令,所述指令可被邏輯子系統執行以通過以下各項相對于許多委托人而管理用于許多數字資源的安全策略:接收關于一個或多個委托人群組、一個或多個資源集合以及一個或多個策略規則的所有者的識別信息,所述策略規則與由委托人群組對資源集合的訪問有關,每個委托人群組包括一個或多個委托人,并且每個資源集合包括一個或多個數字資源;使用所述識別信息對所有者進行認證;接收用以向所述一個或多個資源集合中的選擇的資源集合進行寫入的請求;獲得用以向所選資源集合進行寫入的授權;以及向可通過其訪問所選資源集合的遠程存儲服務發送用以向所選資源集合進行寫入的命令,并與所述命令一起向遠程存儲服務提供用以向所選資源進行寫入的授權。10.權利要求9的計算設備,其中,獲得用以向所選資源集合、所選委托人群組以及所選策略規則中的一個或多個進行寫入的授權包括從遠程密鑰存儲庫獲得一個或多個密鑰。

說明書

基于云的環境中的自主策略管理

背景技術

常常通過針對每個資源以及針對每個已授權方單獨地定義訪問策略來管理對許多數字資源的訪問。由于對訪問內容的用戶授權隨時間推移而改變,用于每個受影響方的這樣的自主(discretionary)策略可能要求更新以維持期望的安全設定。在某些場景中,諸如在內容服務被多個個體潛在地大規模地從大量潛在無關實體中的每一個訪問的情況下,這樣的安全設定的維持可能是復雜的且潛在地易于發生錯誤。

發明內容

公開了用于管理對內容的訪問的實施例。一個公開的實施例提供了一種包括接收用于委托人的用以訪問資源的請求的方法。所述方法還包括確定所述委托人所屬的一個或多個委托人群組,獲得指示所述資源所屬的資源集合的資源集合成員籍信息,并獲得用于所述資源所屬的資源集合的資源集合訪問策略信息。所述方法還包括確定基于委托人群組成員籍信息和資源集合訪問策略信息來確定是否允許委托人訪問資源,并且如果允許委托人訪問資源,則許可由委托人對資源的訪問。

提供本發明內容是為了以簡化形式來介紹下面在詳細描述中進一步描述的概念的選擇。本發明內容并不意圖識別要求保護的主題的關鍵特征或必要特征,其也不意圖用來限制要求保護的主題的范圍。此外,要求保護的主題不限于解決在本公開的任何部分中指出的任何或所有缺點的實施方式。

附圖說明

圖1示出了圖示出根據本公開的實施例的用于管理自主內容訪問策略的示例性系統的示意圖。

圖2示意性地示出了用于根據本公開的實施例的一種用于表現內容的系統的示例性使用環境。

圖3示出了根據本公開的實施例的用于授權對內容的訪問的示例性方法。

圖4示出了根據本公開的實施例的用于管理用于許多數字資源的安全策略的示例性方法。

圖5示意性地示出了根據本公開的實施例的計算設備的示例性實施例。

具體實施方式

如上所述,大規模地在逐個用戶且逐個項目的基礎上管理對內容的訪問可能是困難的。例如,基于云的內容服務(例如,在線游戲服務、軟件開發服務等)可被潛在地大量的人從潛在地大量實體中的每個用來訪問潛在地大量的資源。在這樣的系統中,單獨地有效地管理訪問策略可能是耗費時間、效率低且易于發生錯誤的。

作為一個非限制性示例,視頻游戲開發服務可以為開發者提供針對在開發和/或β測試中的資源的基于云的存儲,并且還提供對存儲資源的訪問。在這樣的系統中,用于在開發中的項目的資源訪問策略可被使用來控制針對多個感興趣方中的每一個的對資源的訪問,其包括但不限于開發者、程序經理、其它關鍵雇員、第三方合伙人、供應商等。在實體具有在開發中的多個項目的情況下,針對多個項目中的每一個管理這樣的策略。所述策略可定義例如可利用哪些用戶、哪些計算設備、哪些客戶端應用等來訪問游戲開發內容。術語訪問可指代任何適當類型的訪問,包括但不限于諸如創建、讀取、更新以及刪除之類的動作。

在這樣的環境中,如果基于單獨的用戶/單獨的資源來管理策略,則授權方面的任何改變(例如,丟失設備、開發隊伍變更、新內容等)可能迫使需要修改用于每個受影響方的單獨許可。假定開發努力可涉及到具有眾多訪問授權的數目相對大且可變的用戶和資源,在基于云的開發環境中針對這樣的資源和用戶單獨地維持許可可能是困難、耗費時間且易于發生錯誤的。策略還可以適用于商業合伙人(其中,術語“商業合伙人”可表示網站共同的分組),使得策略系統可提供對一個或多個網站的訪問,同時還拒絕對其它網站的訪問。還可將策略配置成跨越多個標題。

此外,在這樣的環境中,多個服務可具有訪問來自特定內容存儲庫的內容的能力。例如,示例性在線游戲開發服務可包括每個都可訪問存儲資源的多個分立服務(例如,成就服務、多玩家會話服務、圖像服務等)。同樣地,每個服務可包括服務特定的訪問策略。在這種情況下,對資源訪問策略的更新可涉及到針對這樣的服務中的每個單獨地更新策略。同樣地,不能實現這樣的改變可影響開發者的安全和/或用戶體驗。

因此,公開了涉及通過將用戶和資源分組成策略被應用的相應組來高效地管理基于云的環境(例如,其中將資源和/或訪問策略存儲在多租戶網絡可訪問位置中的環境)中的資源訪問策略。當確定是否許可對服務所訪問的內容的訪問時,服務可獲得關于內容和請求內容的用戶的群組成員籍的信息,并且還可獲得訪問策略信息。與其中針對訪問內容的多個服務中的每個服務管理用于單獨用戶和單獨資源的訪問策略的典型方法相比,可更高效地維持和更新這樣的群組成員籍和策略。

在更詳細地討論這些實施例之前,對圖1進行參考,其示出了描繪用于授權委托人對內容的訪問的示例性場景的框圖100。如本文所使用的術語“委托人”可指代可以可靠地且安全地用作身份證明的任何唯一標識符。委托人的示例包括但不限于用戶識別號、服務識別號、設備識別號以及來自客戶端平臺上的欄外標題的標題識別。圖1示出了由第一用戶id104識別的用戶形式的第一委托人102、由第二用戶id108識別的用戶形式的第二委托人106、作為具有第一設備id112的設備110的第三委托人以及作為具有第二設備id116的設備114的第四委托人。

在某些示例性實施例中,委托人可與令牌發行者確立身份證明。在其它實施例中,可不對委托人進行驗證、確認等。替代地,可經由私用/公開密鑰對來對委托人進行加密。由于可以很容易知道公開密鑰,所以這樣的配置可使得能夠產生被騙委托人,從而潛在地降低總體安全性。然而,由于在某些實施例中潛在委托人的池可能很大(例如,在委托人經由4096隨機字節被識別的情況下),所以有效委托人的這樣的手動產生可能適當地不太可能。將認識到的是,確立委托人的身份的方法的這些示例出于示例的目的被提出,并且其并不意圖以任何方式是限制性的。

圖1還圖示出被組織成任意數目N的委托人群組(PG)120和122的委托人。如下面更詳細地描述的,可以PG作為最小單元來管理與委托人有關的策略。PG可對應于例如軟件開發者(如經由PG120所示)、β測試用戶、注冊開發工具包(如經由PG122所示)和/或任何其它適當的實體或實體類型。雖然所示委托人中的每一個被示為映射到單個PG120或122,但將認識到的是在不脫離本公開的范圍的情況下,特定委托人可映射到多個PG。此外,在某些實施例中,用戶和設備可不映射到同一PG,而在其它實施例中,這樣的委托人可映射到同一PG。將理解的是,可使用任何適當數目的PG來以任何適當方式管理策略。

圖1還圖示出被組織成資源集合(RS)132和134的資源130。每個RS132和134包括分別地在136和138處示出的一個或多個資源身份,其表示哪些資源是相應庫的成員。資源130的示例包括但不限于可下載視頻游戲二進制文檔、供應元數據(例如,廣告等)、游戲中統計/成就(例如,漫游用戶簡檔)、聲軌音樂、視頻、多玩家會話模板等。在某些實施例中,每個資源可包括可用充分唯一的標識來識別的任何適當類型的內容。將理解的是,在某些實例中可在多個RS中包括資源。

所選RS中的資源可被單個對應服務或者被多個服務訪問。此外,可將RS中的資源存儲在相同位置或不同位置上。在圖1的示例中,將RS示為開發RS132和βRS134,但是將理解的是,可以任何其它適當方式來定義RS。

由于在數字內容的開發中可能使用潛在地大量的資源,所以按群組而不是按單獨資源的資源管理可簡化用于那些資源的策略的設定和維持。同樣地,基于PG成員籍來管理用于委托人的策略對于其中大量的個體可使用內容、從事不同的開發項目或執行其它任務且其中許可可隨時間改變的組織而言也可簡化策略的設定和維持。

圖1進一步圖示出指定哪些PG可關于哪些RS執行什么動作的規則形式的策略140。由策略指定的動作的示例可包括但不限于讀、寫、刪除、更新、管理等。術語“寫”可在本文中用來表示其中創建或改變策略的任何動作,包括但不限于創建、更新和刪除。

所述策略可指定用于訪問資源的任何適當條件。例如,在圖1的示例中,圖示出一個示例性策略,其中所述策略指定PG120的成員可以訪問RS1132中的資源。此外,在某些場景中,超過一個PG中的成員籍可以是用于訪問RS中的內容的條件。將理解的是,這些策略是出于示例的目的而提出的,并且可使用任何適當類型的策略以及任何適當數目的策略。

策略140可被一個或多個服務訪問,所述一個或多個服務用來供委托人訪問內容。所述服務然后可利用關于委托人的PG成員籍和資源的RS成員籍的信息來確定是否準予委托人按照任何一個或多個對應策略對資源的訪問。以這種方式,策略可針對多個服務被集中管理,而不是在可使用所述策略的每個可能服務處被管理,從而允許方便地跟蹤和更新策略規則。此外,如下面所描述的,在某些實例中可以分布式方式存儲策略(例如,經由在利用策略的(一個或多個)服務本地的高速緩存器)以獲得效率和恢復力。將理解的是,可將策略規則配置成具體地應用于一個或多個所選服務和/或RS,而(一個或多個)其它策略規則可跨服務和/或庫全局地應用。

轉到圖2,示出了用于提供對資源的委托人202訪問的示例性系統200。示例性資源被示為位于遠程內容存儲庫206(例如開發者特定內容存儲庫)中的資源204和資源目錄207,資源目錄207包括可經由遠程基于云的訪問管理服務209來訪問的資源,遠程基于云的訪問管理服務209可用來存儲訪問管理信息,如下面更詳細地描述的。將理解的是,可將資源存儲在任何適當位置上,并且可將RS中的不同資源存儲在不同位置上。將進一步理解的是,所描繪的配置是出于圖示的目的而提供的,并且并不意圖以任何方式是限制性的。

圖2還將授權數據存儲庫210示為存儲關于PG212、RS214、關于RS214的訪問的策略216和/或基于云的存儲中的其它管理元數據218的授權信息。同樣地,系統200可將資源204的提供與關于內容的訪問策略的提供和執行解耦。可經由授權管理服務220的訪問管理邏輯219來管理授權信息。更具體地,每個PG212和RS214具有“所有者”或管理者,其具有管理所擁有的群組、庫以及關聯的策略的能力。圖2出于示例的目的示出了單個管理者222,但將理解的是,系統200可被許多管理者使用來單獨地管理關于許多資源和PG的策略,每個管理者222能夠經由授權管理服務220來創建并管理PG、RS以及對應策略。在某些實施例中,可在能夠維持高商業影響(“HBI”)信息的一個或多個受保護計算設備(例如,服務)上實現授權管理服務220。

為了創建并管理PG212、RS214以及策略216,管理者222可經由授權管理服務220而訪問存儲在密鑰存儲庫226處的一個或多個密鑰224(例如,策略簽署密鑰、寫入密鑰等)。密鑰224可被呈現給與授權數據存儲庫210相關聯的授權數據訪問層228或者否則被用來與之相交互,從而使得授權管理服務能夠訪問(例如寫入)數據存儲庫內的信息。在其它實施例中,在不脫離本公開的范圍的情況下,可由(一個或多個)附加和/或不同的機制來提供(一個或多個)管理者222訪問數據存儲庫210的授權。

利用系統200,可如下向委托人202提供內容。為了訪問內容,委托人可通過提供適當的識別信息來登錄到(一個或多個)服務208中。在某些實施例中,在接收到信息后,可將服務208的授權庫230配置成經由網絡201來聯系安全令牌服務234,以檢索用于委托人的已簽署安全令牌232,從而向服務208認證委托人202。在其它實施例中,可由委托人在沒有與遠程安全令牌服務相交互的情況下提供安全令牌。在又一些其它實施例中,可使用任何其它適當的認證過程,包括并未利用令牌的(一個或多個)認證過程。

在使用的情況下,可將安全令牌服務234配置成從數據存儲庫210檢索關于與請求委托人202相關聯的PG212的信息。用于委托人的PG成員籍信息然后可被附加到或者否則提供有安全令牌232。在某些實施例中,在接收到PG信息后,可將服務208配置成經由本地高速緩存器236來高速緩存信息中的至少一些達到適當的持續時間(例如達到登錄會話的持續時間)。這可幫助避免在該使用會話期間針對每個訪問策略確定而訪問數據存儲庫210,并且因此可允許比在不使用本地高速緩存器的情況下更高效地做出訪問確定。將認識到的是,此配置是出于示例性目的提出的,并且在不脫離本公開的范圍的情況下,其它實施例可利用任何適當的(一個或多個)高速緩存機制或者甚至沒有高速緩存機制。

還可將授權庫230配置成在內容訪問運行時實現(一個或多個)資源訪問判定。例如,在對(一個或多個)委托人202進行授權后(例如,經由安全令牌服務234,或者以任何其它適當方式),(一個或多個)服務208可從與委托人202相關聯的客戶端設備接收針對資源204的一個或多個請求,并且作為響應可對所述內容進行定位。授權庫230然后可獲得關于所請求的(一個或多個)資源所屬的RS214的成員籍信息。在確定適當的RS214后,可進一步將授權庫230配置成經由授權數據訪問層228來獲得用于資源所屬的RS的RS訪問策略信息。授權庫230然后可使用這樣的策略信息以基于委托人202的PG成員籍和所請求內容的RS群組成員籍來確定請求委托人是否可以訪問所請求內容。

在某些實施例中,可經由寫通式(write-through)高速緩存器238來高速緩存經由授權數據訪問層228訪問的信息,再次地以允許高速緩存數據的潛在地更快的未來訪問以及提供恢復力,而在其它實施例中,可不提供和/或可經由(一個或多個)其它機制來提供這樣的高速緩存。高速緩存器238可充當可用于系統200中的所有服務的基于云的高速緩存器。高速緩存器238可位于與訪問其的服務(例如服務208)不同的機器上,仍然提供從本地至授權信息210的低等待時間。在某些實施例中,高速緩存器238可提供跨兩個或更多機器的數據的高速緩存;例如,如果兩個機器充當“服務x”,并且機器中的一個經由授權數據訪問層228來查找某些東西,則當第二機器進行相同查找時,可將所述信息存儲在高速緩存器238。

在某些實施例中,可以分布式方式來存儲用于系統200的數據。在這樣的實施例中,系統200還可包括分區資源管理器(“PRM”)240,其被配置成理解在該處可訪問各種資源的(一個或多個)位置。PRM240的使用可幫助確保系統200的魯棒性。將理解的是,其它實施例可不利用PRM。

如上所述,某些RS214和/或其資源可被(一個或多個)單獨服務208訪問并被維持。因此,可將這樣的資源存儲在授權信息數據存儲庫210之外的(一個或多個)位置(例如,遠程內容存儲庫206)上。同樣地,可將在服務之間共享的資源存儲在授權信息數據存儲庫210內。這可幫助減少存儲在授權信息數據存儲庫210上的數據的量,并且因此可幫助降低訪問管理服務209的利用。鑒于可由大型面對消費者服務所處理的負荷,這可提供性能優點。因此,系統200可幫助促進基于云的環境中的資源訪問策略的高效管理和應用。

此外,由于系統200的分布式性質,在能夠支持對HBI信息的要求的環境中不需要托管存儲這樣的信息的(一個或多個)基于云的存儲庫(例如,數據存儲庫210),因為這樣的較高安全性由系統200的其它實體(例如,授權管理服務220、密鑰存儲庫226和/或安全令牌服務234)選擇性地提供。

附加地,通過提供PG212成員籍、RS214定義以及策略216的基于云的存儲,可實現增加的信息恢復力。例如,通過經由數據存儲庫210的高速緩存器238和/或經由任意一個或多個服務208的高速緩存器236來高速緩存這樣的信息中的至少某些,將認識到的是與典型方法相比,所述信息可以是更容易且可靠地可用的。因此,如果諸如數據存儲庫210之類的一個或多個實體變得經由網絡201不可訪問(例如,由于調度維持、硬件和/或軟件問題等),則可用來確保系統200的完整性的信息仍可經由一個或多個高速緩存機制可用。

圖3示出了描繪用于控制對資源的訪問的方法300的實施例的流程圖。可經由被配置成響應于從與委托人(例如,委托人202)相關聯的客戶端設備接收到的請求而訪問內容的計算設備(例如,提供(一個或多個)服務208的計算設備)來實現方法300。在繼續方法300的描述之前,將認識到的是,在某些實施例中可并行地和/或按照不同的次序來執行由方法300提供的任何一個或多個操作。此外,可由單個操作來提供公開操作中的至少某些和/或在各種實施例中可由多個操作來提供單個公開操作。

在302處,方法300包括接收用于供委托人訪問資源的請求。請求可被從客戶端設備或者從客戶端之外的實體(例如,一個或多個中繼服務)接收和/或可包括針對RS的請求,其與針對單個資源的請求相反。將認識到的是這些場景是出于示例的目的提出的,并且并不意圖以任何方式是限制性的。如上所述,所述資源可包括任何適當類型的資源,包括但不限于內容。

在304處,方法300還包括確定委托人所屬的一個或多個PG。如上所描述的,按照任何一個或多個PG中的委托人的成員籍而針對委托人確定訪問授權。因此,在某些實施例中,確定304PG可包括從遠程存儲機器獲得306PG信息。作為更特定示例,在某些實施例中,PG信息可被附加到或者否則被提供有從安全令牌服務接收到的安全令牌,其中,所述安全令牌服務從遠程存儲機器檢索PG信息。在其它實施例中,可以任何其它適當方式來獲得或提供PG信息。

在某些實施例中,方法300還可以包括在308處本地高速緩存PG信息(例如,經由本地高速緩存器236)。如上所述,在使用會話期間隨著委托人請求內容而反復地從遠程存儲裝置獲得PG成員籍信息在某些情況下可能是低效的。例如,從其獲得這樣的信息的遠程存儲裝置與其它的(一個或多個)計算設備、(一個或多個)服務等相比可經歷減少的吞吐量。因此,這樣的高速緩存可降低這樣的遠程存儲裝置被訪問的頻率。

在310處,方法300還包括獲得指示資源所屬的RS的RS成員籍信息。例如,從客戶端設備接收到的請求可按唯一內容標識符(例如,資源身份136、138)來指定所請求的資源,并且此唯一標識符可用來訪問用于所請求資源的RS成員籍信息。例如,在某些實施例中,可從存儲PG信息的(一個或多個)數據存儲庫和/或從其它數據存儲庫檢索這樣的成員籍信息。在某些情況下,諸如在請求信息的實體知道資源集合正在被訪問的情況下,可省略此步驟。

方法300還包括獲得312用于資源和/或委托人分別所屬的RS和/或PG的RS訪問策略信息。如上所述,RS和PG可表示分別對于資源和委托人而言可以在其上控制訪問的最小單位,并且因此訪問策略信息可確定需要(一個或多個)什么群組成員籍以獲得對資源的訪問。

在獲得PG、RS以及策略信息后,方法300還包括基于PG成員籍信息和RS訪問策略信息(例如,經由一個或多個比較機制)來確定314是否允許委托人訪問資源。這樣的確定可包括例如識別316所述PG成員籍信息所指示的一個或多個PG,以及識別318所述RS訪問策略信息所指示的一個或多個PG。使用此信息,方法300可包括在320處如果PG成員籍信息所指示的一個或多個PG滿足RS訪問策略信息關于一個或多個PG所指示的規則,則允許委托人訪問資源。換言之,如果委托人屬于訪問資源所需的一個或多個PG,則可在322處基于關聯RS中的資源的包括而許可由委托人對資源的訪問。另一方面,如果確定委托人不屬于RS訪問策略信息所識別的一個或多個PG,則訪問被拒絕。

代替或附加于PG信息的高速緩存308,在某些實施例中,方法300還可包括利用各種高速緩存機制(未示出)。例如,可經由一個或多個本地和/或遠程高速緩存機制(如果可用的話)來獲取被用來確定是否將允許訪問的各種信息。這樣,可在可能時優先地經由(一個或多個)高速緩存機制來獲取信息,并且可僅如果信息目前未被高速緩存的話經由(一個或多個)其它機制或(一個或多個)服務來獲得信息。在又一些其它實施例中,可在方法300開始后經由一個或多個機制來高速緩存所有這樣的信息。雖然這樣的配置相比于其它配置而言可能經歷增加的初始化時間,但這樣的高速緩存仍可提供改善的性能,因為信息具有經由(一個或多個)低等待時間(即,高速緩存)機制為可用的較高概率。

如上文相對于圖2所述的,PG、庫和策略每個可被所有者/管理者經由授權管理服務來管理。圖4示出了描繪方法400的實施例的流程圖,方法400用于相對于許多委托人管理用于許多數字資源的安全策略。

方法400包括在402處接收關于一個或多個PG、一個或多個RS以及一個或多個策略規則的所有者的識別信息;并且還可包括使用識別信息來認證404所有者。可例如在授權管理服務處的登錄過程期間接收這樣的信息。如上所描述的,策略規則按PG來定義針對RS的訪問授權,每個PG包括一個或多個委托人,并且每個RS包括一個或多個數字資源。可以任何適當方式來執行作為所有者的管理者的認證。作為一個非限制性示例,識別信息可包括可用來唯一地識別管理者的用戶id和/或其它標識。可向遠程安全令牌服務(例如,安全令牌服務234)提供唯一識別信息,并且作為響應可返回確認管理者的身份的一個或多個安全令牌。

管理者可能能夠作為所有者而修改和/或創建管理者所擁有的任何一個或多個PG、RS和/或策略規則。因此,在406處,方法400包括接收用以向一個或多個RS中的所選RS進行寫入的請求(例如通過創建或修改所選RS)。在408處,方法400還包括獲得用以向所選RS進行寫入的授權。如上所述,存儲關于PG、RS和/或策略規則的信息的(一個或多個)存儲機器(例如,數據存儲庫210)可利用一個或多個密鑰來確定是否許可用以修改存儲信息的授權。因此,在某些實施例中,獲得授權可包括獲得適當的一個或多個密鑰。

一旦已經獲得用以向所選RS寫入的適當授權,則方法400還可包括在410處向可通過其訪問所選RS的遠程存儲服務發送用以向所選RS進行寫入的命令。在某些實施例中,這樣的命令的發送可包括與命令一起向遠程存儲服務提供412用以向所選RS進行寫入的授權(例如,經由一個或多個密鑰或其它適當機制)。在其它實施例中,在不脫離本公開的范圍的情況下,這樣的授權可與命令分開地被提供和/或可經由(一個或多個)其它機制來提供。

盡管RS可表示訪問可在其上被控制的內容的最小單元,但PG可表示用來做出針對委托人的訪問判定的最小單元。因此,方法400還包括在414處接收用以向所選PG進行寫入(例如創建、修改、刪除)的請求并在416處獲得用以向所選PG進行寫入的授權。將認識到的是,可經由與用以向所選RS進行寫入的授權類似的(一個或多個)機制來獲得這樣的授權,諸如通過獲取一個或多個密鑰。一旦已經獲取授權,則方法400還包括在418處向遠程存儲服務發送用以向所選PG進行寫入的命令。發送418可包括在420處向遠程存儲服務提供用以向所選PG進行寫入的授權(例如,一個或多個密鑰)。將認識到的是,這些場景是出于示例的目的提出的,并且并不意圖以任何方式是限制性的。

如上所述,所有者還可具有與也被所述所有者管理的PG和RS有關的一個或多個訪問授權策略的所有權。因此,方法400還可包括在422處接收用以向與RS中的一個或多個相關聯的一個或多個策略規則(例如通過創建新規則或修改現有規則)中的所選策略規則進行寫入的請求,并在424處獲得用以向所選策略規則進行寫入的授權。方法400還可包括在426處向遠程存儲服務發送用以向所選策略規則進行寫入的命令,其可包括例如向遠程存儲服務提供428用以向所選策略規則進行寫入的授權。

在某些實施例中,所描述的許多數字資源可被多個中繼服務(例如,服務208)訪問。因此,在某些實施例中,某些策略規則可以是全局策略規則,其適用于所述多個內容服務中的每一個,而其它策略規則可以是適用于一個或多個服務的子集的服務特定策略規則。在基于云的環境中,將認識到的是可由多個管理服務中的每一個來執行方法400,并且這樣的管理可針對多個管理者和/或委托人被提供,他們的每一個可被授權來訪問和/或修改經由基于云的服務存儲的不同數字資源。

公開的實施例與用于管理策略的其它方法和系統相比可提供各種優點,其對于基于云的環境中的大規模的使用而言可能具有挑戰性。例如,公開實施例可允許精細地控制對被基于云的服務訪問的內容的訪問,使得在基于云的服務上托管內容的內容提供者可能能夠精細地判定哪些用戶和/或設備可以通過PG和RS的使用來訪問服務上的內容。同樣地,公開實施例還可促進由適用于內容的訪問策略的第三方內容所有者進行的多租客存儲環境中的自我管理,而沒有發現或竄改其它的策略的風險。此外,策略存儲和執行的分布式性質可允許在大型面對消費者服務的負荷下的在內容訪問運行時的(一個或多個)高效授權判定。附加地,所存儲的策略被安全地分布,這可幫助防止在整個系統中的任何點處竄改策略。將認識到的是,可將策略應用于任何類型的內容,只要可以唯一地識別所述內容即可。

在某些實施例中,上面描述的方法和過程可捆綁于一個或多個計算設備的計算系統。特別地,可將這樣的方法和過程實現為計算機應用程序或服務、應用編程接口(API)、庫和/或其它計算機程序產品。

圖5示意性地示出了可以執行上面描述的方法和過程中的一個或多個的計算系統500的非限制性實施例。將理解的是在不脫離本公開的范圍的情況下事實上可使用任何計算機架構。在不同實施例中,計算系統500可采取大型計算機、服務器計算機、臺式計算機、膝上型計算機、平板計算機、家庭娛樂計算機、網絡計算設備、游戲設備、移動計算設備、移動通信設備(例如,智能電話)等形式。

計算系統500包括邏輯子系統502和存儲子系統504。計算系統500可以可選地包括顯示子系統506、輸入子系統508、通信子系統510和/或圖5中未示出的其它部件。

邏輯子系統502包括被配置成執行指令的一個或多個物理設備。例如,可將邏輯子系統配置成執行作為一個或多個應用、服務、程序、例程、庫、對象、部件、數據結構或其它邏輯結構的一部分的指令。可將這樣的指令實現成執行任務、實現數據類型、變換一個或多個部件的狀態或者否則達到期望的結果。

邏輯子系統可包括被配置成執行軟件指令的一個或多個處理器。附加地或替換地,所述邏輯子系統可包括被配置成執行硬件或固件指令的一個或多個硬件或固件邏輯機器。邏輯子系統的處理器可以是單核或多核的,并且在其上面執行的程序可被配置用于順序、并行或分布式處理。邏輯子系統可以可選地包括分布在兩個或更多設備之間的單獨部件,其可以位于遠處和/或被配置成用于協調處理。邏輯子系統的各方面可被虛擬化并由以云計算配置被配置的遠程可訪問的、聯網計算設備執行。

存儲子系統504包括一個或多個物理、非臨時設備,其被配置成保持可由邏輯子系統執行以實現本文所描述的方法和過程的數據和/或指令。當實現這樣的方法和過程時,存儲子系統504的狀態可被變換——例如以保持不同的數據。

存儲子系統504可包括可移除媒體和/或內置設備。尤其,存儲子系統504可包括光學存儲設備(例如,CD、DVD、HD-DVD、藍光磁盤等)、半導體存儲設備(例如,RAM、EPROM、EEPROM等)和/或磁存儲設備(例如,硬盤驅動器、軟盤驅動器、磁帶驅動器、MRAM等)。存儲子系統504可包括易失性、非易失性、動態、靜態、讀/寫、只讀、隨機存取、順序存取、位置可尋址、文件可尋址和/或內容可尋址設備。

將認識到的是,存儲子系統504包括一個或多個物理存儲設備。然而,在某些實施例中,與存儲設備相反,可經由傳輸介質用純信號(例如,電磁信號、光學信號等)來傳播本文所描述的指令的方面。此外,可用純信號來傳播關于本公開的數據和/或其它形式的信息。

在某些實施例中,可將邏輯子系統502和存儲子系統504的方面一起集成為可通過其執行本文所描述功能性的一個或多個硬件邏輯部件。這樣的硬件邏輯部件可包括例如現場可編程門陣列(FPGA)、程序和應用特定集成電路(PASIC/ASIC)、程序和應用特定標準產品(PSSP/ASSP)、片上系統(SOC)系統以及復雜可編程邏輯器件(CPLD)。

將認識到的是,如本文所使用的“服務”可包括跨多個用戶會話可執行的應用程序。服務可用于一個或多個系統部件、程序和/或其它服務。在某些實施方式中,服務可在一個或多個服務器計算設備上運行。

當包括時,顯示子系統506可用來呈現由存儲子系統504保持的數據的視覺表示。所述視覺表示可采取圖形用戶界面(GUI)的形式。由于本文所描述的方法和過程改變由存儲子系統保持的數據,并因此變換存儲子系統的狀態,所以可同樣地將顯示子系統506的狀態變換成視覺地表示底層數據的改變。顯示子系統506可包括實際上利用任何類型的技術的一個或多個顯示設備。可在共享外殼中將這樣的顯示設備與邏輯子系統502和/或存儲子系統504組合,或者這樣的顯示設備可以是外圍顯示設備。

當包括時,輸入子系統508可包括一個或多個用戶輸入設備或與之對接,諸如鍵盤、鼠標、觸摸屏或游戲控制器。在某些實施例中,輸入子系統可包括選擇的自然用戶輸入(NUI)部件或與之對接。這樣的部件可以是集成的或外圍的,并且可在板上或板外處理輸入動作的轉換和/或處理。示例性NUI部件可包括用于語音和/或話音識別的麥克風;用于機器視覺和/或手勢識別的紅外、彩色、立體和/或深度照相機;用于運動檢測和/或意圖識別的頭部跟蹤器、眼跟蹤器、加速度計和/或陀螺儀;以及用于評估大腦活動的電場傳感部件。

當包括時,可將通信子系統510配置成將計算系統500與一個或多個其它計算設備通信地耦合。通信子系統510可包括與一個或多個不同通信協議兼容的有線和/或無線通信設備。作為非限制性示例,可將通信子系統配置成用于經由無線電話網絡或有線或無線局域或廣域網進行通信。在某些實施例中,通信子系統可允許計算系統500經由諸如因特網之類的網絡向和/或從其它設備發送和/或接收消息。

將理解的是,本文所描述的配置和/或方法本質上是示例性的,并且不應在限制性意義上理解這些特定實施例或示例,因為許多變體是可能的。本文所描述的特定例程或方法可表示任何數目的處理策略中的一個或多個。同樣地,所示和/或所描述的各種動作可按照所示和/或所描述的順序、按照其它順序、并行地被執行或者被省略。同樣地,可改變上面描述的過程的次序。

本公開的主題包括本文公開的各種過程、系統和配置、以及其它特征、功能、動作和/或性質的所有新穎和非顯而易見的組合和子組合以及其任何和所有等價物。

關 鍵 詞:
基于 環境 中的 自主 策略 管理
  專利查詢網所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
關于本文
本文標題:基于云的環境中的自主策略管理.pdf
鏈接地址:http://www.wwszu.club/p-6385774.html
關于我們 - 網站聲明 - 網站地圖 - 資源地圖 - 友情鏈接 - 網站客服客服 - 聯系我們

[email protected] 2017-2018 zhuanlichaxun.net網站版權所有
經營許可證編號:粵ICP備17046363號-1 
 


收起
展開
鬼佬大哥大