合作的基于规则的安全制造技术

本发明专利技术涉及一种云计算安全系统。访问管理器模块包括第一和第二客户端配置。第一客户端配置具有使得能够访问第一组云计算系统资源的第一组规则，并且第二客户端配置具有使得能够访问第二组云计算系统资源的第二组规则。安全逻辑模块与访问管理器模块通信。安全逻辑模块经设置而接收访问第一和第二组云计算系统资源中的一组的访问请求。响应确定访问请求符合第一组规则和第二组规则中的至少一者，安全逻辑模块经设置而提供许可访问第一和第二组云计算系统资源中的至少一组的访问许可。

【技术实现步骤摘要】
合作的基于规则的安全本申请是2011年12月14日提交的名称为“合作的基于规则的安全”的中国专利申请201110430346.1的分案申请
本公开一般涉及数据处理系统，并特别涉及针对合作的基于规则的安全的方法、计算机程序产品和设备。更特别地，本公开涉及关于云计算系统的合作的基于规则的安全的方法、计算机程序产品和设备。
技术介绍
云计算指以相似于电网的方式在互联网上根据要求向客户端提供计算资源、软件和信息。云计算系统服务可以包括但不限于数据即服务(DAAS)、软件即服务(SAAS)、平台即服务(PAAS)、基础架构即服务(IAAS)和网络即服务(NAAS)。云计算服务使客户端能够购买对计算服务的访问，该计算服务在云计算系统供应商拥有并维护的计算机硬件和软件上被支持。云计算服务用户能够仅购买其需要的那些云计算服务，而没有购买并维护支持这些服务所必需的硬件、软件和信息技术的负担。云计算使用户能够从远程计算站点经由互联网容易地访问云计算服务。用户通常通过使用户能够访问云计算系统软件和应用程序的web浏览器来访问云计算服务，就像是软件、应用程序和其它数据被本地安装在用户自己的计算机上一样。由于云计算系统变得更容易获得并且对云计算系统服务的需求增加，因此对这些服务的更快、更有效、可靠且安全访问的需要变得愈加重要。因此，具有考虑上面讨论的问题中的一个或更多以及其它可能问题的方法和设备是有利的。
技术实现思路
本公开的有利实施例提供云计算安全系统。访问管理器模块包括第一和第二客户端配置。第一客户端配置具有使得能够访问第一组云计算系统资源的第一组规则，并且第二客户端配置具有使得能够访问第二组云计算系统资源的第二组规则。安全逻辑模块与访问管理器模块通信。安全逻辑模块经设置而接收访问第一和第二组云计算系统资源中一组的访问请求。响应确定该访问请求符合第一组规则和第二组规则中的至少一组规则，安全逻辑模块经设置而提供许可访问第一和第二组云计算系统资源中的至少一组的访问许可。有利实施例也提供实施云计算系统安全的方法，该方法通过处理器实施。针对与请求者相关联的一组规则来评估对至少一个云计算系统资源的访问请求，从而判定访问请求对该组规则的合规性。响应对合规性的确定，许可请求者访问所述至少一个云计算系统资源。有利实施例也提供云计算设备。云计算设备包括安全逻辑模块。云计算设备包括与安全逻辑模块通信的访问管理器模块，其中访问管理器模块经设置而从客户端装置接收访问至少一个云计算系统资源的访问请求。云计算设备包括请求验证器模块，该请求验证器模块可操作地耦合到访问管理器模块，并经设置而判定访问请求是否为有效请求以及与客户端装置相关联的请求者是否为利用安全逻辑模块的有效候选者。访问管理器模块包括多个客户端配置，所述多个客户端配置中的每个客户端配置都具有一组规则，其定义客户端装置对所述至少一个云计算系统资源的亚群组/粒度访问(granularaccess)。当确定请求符合该组规则，则提供访问许可。云计算设备包括关联定义模块，该关联定义模块经设置而建立符合访问许可的模型网络资源关联。特征、功能和优点可在本公开的各种实施例中被独立实现，或可在其它有利实施例中被结合，其中进一步详情参考下面描述和附图可见。附图说明被认为是有利实施例特有的新颖特征在权利要求中阐述。然而，有利实施例及其使用的优选模式、进一步目标和优点将参考本公开有利实施例的下面详细描述在结合附图阅读时最优理解，其中：图1是其中可实施有利实施例的云计算系统的框图；图2是图解根据有利实施例的具有一组云服务客户端的云计算系统的图示；图3是图解根据有利实施例的云计算系统的框图；图4是图解根据有利实施例的安全逻辑模块的框图；图5是根据有利实施例的数据处理系统的图解；图6是图解根据有利实施例的云计算系统安全逻辑模块的过程的流程图；以及图7是根据有利实施例的云计算服务安全的过程流程图的图解。具体实施方式有利实施例认识到云计算系统服务的供应商需要安全装置从而向可靠且有效的客户端输送访问。有利实施例认识到日益需要针对客户端访问云计算系统资源的更高的安全性和控制。现在参考图1，根据有利实施例示出云计算系统。云计算系统或设备100是经由互联网向客户端提供云计算系统服务的系统或设备。云计算系统或设备100可被认为是云计算安全系统。云计算系统或设备100可以被实施为具有客户端可利用的计算资源的系统。这样的资源的例子包括但不限于云计算系统资源组102。云计算系统或设备100也可以如下面进一步描述使用数个模块被实施。如在此使用，术语“模块”指代经设置以执行相应功能(例如下面表示的功能)的计算机硬件、软件或其结合中的任一种。以经计算实现云计算系统或设备100的功能的方式，模块可以是其它模块的一部分或被连接到其它模块，如下所述。云计算系统资源组102是一个或更多个云计算系统资源构成的组。在云计算系统资源组102内的云计算系统资源可以包括但不限于数据即服务(DAAS)102A、平台即服务(PAAS)102B、软件即服务(SAAS)102C、基础架构即服务(IAAS)102D、网络即服务(NAAS)102E或可通过云计算系统提供的任意其它服务。云计算系统资源组102可以被认为是彼此区别的多个云计算系统资源组。因此，例如云计算系统资源组102可以包括第一组云计算系统资源102F和第二组云计算系统资源102G。第一和第二组云计算系统资源102F和102G可以包括上面描述的服务中的任意服务或者其它资源。第一和第二组云计算系统资源102F和102G可以是相同的资源组，或可以是不同的资源组。为与客户端配置例如第一客户端配置107和第二客户端配置108相关联，第一和第二组云计算系统资源102F和102G可以是资源的逻辑排列。在该例子中，访问管理器模块104是云计算系统组件，其用于管理访问云计算系统资源组102中至少一个云计算系统资源的客户端请求。访问管理器模块104可以包括但不限于多个客户端配置105。多个客户端配置105被示为具有第一客户端配置107和第二客户端配置108。然而，多个客户端配置105可包括更多的客户端配置，或者在可替代优选实施例中可以仅包括一个客户端配置。在多个客户端配置105中的每个客户端配置都包括一组规则。如在此使用，除非在此另外定义，否则术语“组”指代一个或更多个项目。例如，第一客户端配置107包括第一组规则106，并且第二客户端配置108包括第二组规则110。第一组规则106和第二组规则110中的每个都可以包括单个规则，或者两条或更多规则。第一和第二组规则中的每个都使得能够访问云计算系统资源组102中的一个或更多资源。因此，例如，第一组规则106可以使得能够访问第一组云计算系统资源102F，并且第二组规则110可以使得能够访问第二组云计算系统资源102G。这两个云计算系统资源组可以相同或可以不同。在有利实施例中，访问管理器模块104可维持与请求者119相关联的一种配置(例如第一客户端配置107)。对应规则组(例如规则组106)可定义对云计算系统资源组102中至少一个云计算系统资源的粒度访问。在实施例中，对云计算系统资源组102的访问可以构成粒度访问。粒度访问指代对资源的离散访问，其中对具体云计算资源的访问被本文档来自技高网...

【技术保护点】
1.一种云计算安全系统，包含：包括第一客户端配置和第二客户端配置的访问管理器模块，其中所述第一客户端配置具有使得能够访问第一组硬件和/或软件云计算系统资源的第一组规则，并且其中所述第二客户端配置具有使得能够访问第二组硬件和/或软件云计算系统资源的第二组规则，所述云计算系统资源包括下列中的一个或更多个：数据即服务、平台即服务、软件即服务、基础架构即服务或网络即服务；以及与所述访问管理器模块通信的安全逻辑模块，其中所述安全逻辑模块被设置成：经由与客户端装置关联的网络服务接收访问所述第一和第二组云计算系统资源中的一者的访问请求，其中所述安全逻辑模块包括请求验证器模块，该请求验证器模块经设置以：询问所述访问请求并判定所述客户端装置是否为访问所述第一和第二组云计算系统资源中一者的有效候选者；询问所述访问请求并判定与所述客户端装置相关联的所述网络服务是否为访问所述第一和第二组云计算系统资源中一者的有效候选者；以及响应确定所述访问请求符合所述第一组规则和所述第二组规则中的至少一者，所述安全逻辑模块被进一步设置成提供许可访问所述第一和第二组云计算系统资源中的至少一者的访问许可。

【技术特征摘要】
2010.12.15 US 12/969,3231.一种云计算安全系统，包含：包括第一客户端配置和第二客户端配置的访问管理器模块，其中所述第一客户端配置具有使得能够访问第一组硬件和/或软件云计算系统资源的第一组规则，并且其中所述第二客户端配置具有使得能够访问第二组硬件和/或软件云计算系统资源的第二组规则，所述云计算系统资源包括下列中的一个或更多个：数据即服务、平台即服务、软件即服务、基础架构即服务或网络即服务；以及与所述访问管理器模块通信的安全逻辑模块，其中所述安全逻辑模块被设置成：经由与客户端装置关联的网络服务接收访问所述第一和第二组云计算系统资源中的一者的访问请求，其中所述安全逻辑模块包括请求验证器模块，该请求验证器模块经设置以：询问所述访问请求并判定所述客户端装置是否为访问所述第一和第二组云计算系统资源中一者的有效候选者；询问所述访问请求并判定与所述客户端装置相关联的所述网络服务是否为访问所述第一和第二组云计算系统资源中一者的有效候选者；以及响应确定所述访问请求符合所述第一组规则和所述第二组规则中的至少一者，所述安全逻辑模块被进一步设置成提供许可访问所述第一和第二组云计算系统资源中的至少一者的访问许可。2.根据权利要求1所述的云计算安全系统，其中所述安全逻辑模块进一步包含：经设置而建立符合所述访问许可的模型网络资源关联的关联定义模块；以及其中所述关联定义模块进一步经设置而修改所述第一客户端配置从而适应所述模型网络资源关联。3.根据权利要求1所述的云计算安全系统，其中所述请求验证器进一步经设置：比较所述访问请求与所述第一和第二组规则以判定合规性；询问所述访问请求并判定与所述访问请求相关联的请求者是否为利用所述安全逻辑模块的有效候选者；以及其中所述请求验证器模块进一步经设置而询问所述访问请求并判定与请求者相关联的客户端装置的网络服务是否为利用所述安全逻辑模块的有效候选者。4.根据权利要求1所述的云计算安全系统，其中所述安全逻辑模块进一步包含：经设置而生成包含所述访问许可的通知的通知准备模块。5.根据权利要求1所述的云计算安全系统，其中所述...

【专利技术属性】
技术研发人员：D·帕特尔，R·J·瑞驰尔，J·M·瑞贝特，D·W·尼尔森，
申请(专利权)人：波音公司，
类型：发明
国别省市：美国,US