本发明专利技术关于一种基于角色的资源访问控制,为呈现用于对计算资源的基于角色的访问控制的系统和方法。经由通信网络从在客户端装置上执行的进程接收执行对计算资源的一种类型的访问的请求。使用存储进程识别符和相关联访问控制信息的数据存储区,基于所述请求进程的进程识别符识别与所述请求进程相关联的访问控制信息。基于与所述请求进程相关联的所述访问控制信息,确定是否允许所述请求进程执行对所述计算资源的所述所请求类型的访问。基于允许所述请求进程执行对所述计算资源的所述所请求类型的访问,处理所述请求。
【技术实现步骤摘要】
基于角色的资源访问控制
本专利技术的实施例大体上涉及数据处理,且更确切地说但不作为限制,涉及用于对云(例如,基于因特网的)资源和服务的基于角色的访问控制(role-basedaccesscontrol)的方法及系统。
技术介绍
由于在计算机设备上减少的资金花费、适应处理带宽要求的改变的灵活性、增强的容灾能力等,云计算资源的出现已极大地类似地有益于小的组织和大的组织。结果,云计算的使用已超出传统的计算系统范式而扩展到服务于其它重要任务。其中一个例子是收集和分析去往和来自传感器、开关、阀门以及与工业系统相关联的其它装置,例如制造机械、发电厂设备、飞机发动机等,的数据。此类数据通常是庞大的,且可以使用例如MQTT(消息队列遥测传输)、CoAP(约束应用协议)和许多其它协议等若干专用数据传送协议中的任一个。因此,尽管云计算系统使用的网络防火墙擅长为通过互联网的典型HTTP(超文本传送协议)通信提供安全性,但这些防火墙常常不支持用于传送大数据流的替代协议,这常常会导致对云资源的减少的保护。相同客户端装置使用可以从多个较小装置接收数据或将数据发送到多个较小装置的多个此类替代协议使防火墙的操作复杂化。
技术实现思路
本专利技术提供了若干技术方案。其中,技术方案1为一种用于对计算资源的访问的基于角色的控制的方法,所述方法包括:经由通信网络从在客户端装置上执行的进程接收执行对计算资源的类型的访问的请求;基于所述请求进程的进程识别符从存储进程识别符和相关联访问控制信息的数据存储区识别与所述请求进程相关联的访问控制信息;基于与所述请求进程相关联的所述访问控制信息,使用机器的至少一个硬件处理器来确定是否允许所述请求进程来执行对所述计算资源的所述所请求类型的访问;以及基于允许所述请求进程来执行对所述计算资源的所述所请求类型的访问,使得所述请求得到处理。技术方案2:根据技术方案1所述的方法,其中,与所述请求进程相关联的所述访问控制信息指示允许所述请求进程访问的一个或多个计算资源。技术方案3:根据技术方案2所述的方法,其中,与所述请求进程相关联的所述访问控制信息对于所述所指示的一个或多个计算资源中的至少一个,进一步指示对所述请求进程允许的所述所指示的一个或多个计算资源中的所述至少一个的访问类型。技术方案4:根据技术方案1所述的方法,其中,进一步包括:经由所述通信网络接收包括所述进程识别符和所述相关联访问控制信息的至少一个文本文件;以及将所述进程识别符和所述相关联访问控制信息存储在所述数据存储区中。技术方案5:根据技术方案4所述的方法,其中,所述至少一个文本文件包括JavaScript对象表示法(JSON)文件和可扩展标记语言(XML)文件中的至少一个。技术方案6:根据技术方案1所述的方法,其中,进一步包括:基于所述请求进程不被允许执行对所述计算资源的所述所请求类型的访问,拒绝所述请求。技术方案7:根据技术方案1所述的方法,其中,每个进程识别符及其相关联的访问控制信息描述对应于由所述进程识别符识别的所述进程的角色;所述请求进程对应于多于一个角色;与所述请求进程相关联的所述访问控制信息对应于所述请求进程的第一角色;且所述方法进一步包括:基于在所述第一角色中所述请求进程不被允许执行对所述计算资源的所述所请求类型的访问,确定允许执行对所述计算资源的所述所请求类型的访问的第二角色是否可用于所述请求进程;以及基于允许执行对所述计算资源的所述所请求类型的访问的第二角色可用于所述请求进程,将所述第二角色指派给所述请求进程,且使得所述请求得到处理。技术方案8:根据技术方案7所述的方法,其中,进一步包括:在预定事件已发生之后将所述请求进程从所述第二角色恢复到所述第一角色。技术方案9:根据技术方案8所述的方法,其中,所述预定事件包括对所述请求的处理。技术方案10:根据技术方案7所述的方法,其中,进一步包括:在预定时间段已过去之后将所述请求进程从所述第二角色恢复到所述第一角色。技术方案11:根据技术方案7所述的方法,其中,所述第二角色对应于对应于所述第一角色的所述访问控制信息,且对应于允许对所述计算资源的所述所请求类型的访问的额外访问控制信息。技术方案12:根据技术方案7所述的方法,其中,所述确定第二角色是否可用于所述请求进程取决于所述第二角色是否在与所述请求进程相关联的角色阶层中指定。技术方案13:根据技术方案1所述的方法,其中,进一步包括:在所述接收所述请求之前接收对应于所述客户端装置的数字证书和用于所述请求进程的所述进程识别符;以及在所述接收所述请求之前,基于所述所接收数字证书和所述所接收进程识别符认证所述请求进程。技术方案14:根据技术方案13所述的方法,其中,进一步包括:执行与所述客户端装置的双向认证,所述执行所述双向认证包括所述接收所述数字证书和所述认证所述请求进程。技术方案15:根据技术方案1所述的方法,其中,所述计算资源包括数据流式传输服务。技术方案16:根据技术方案1所述的方法,其中,所述计算资源包括消息接发队列。技术方案17:根据技术方案1所述的方法,其中,所述计算资源包括数据库。技术方案18:根据技术方案1所述的方法,其中,所述计算资源包括网络服务器。技术方案19:提供一种系统,包括:一个或多个硬件处理器;以及存储指令的存储器,所述指令在由所述一个或多个硬件处理器中的至少一个执行时使得所述系统执行包括以下各项的操作:经由通信网络从在客户端装置上执行的进程接收执行对计算资源的类型的访问的请求;基于所述请求进程的进程识别符从存储进程识别符和相关联访问控制信息的数据存储区识别与所述请求进程相关联的访问控制信息;基于与所述请求进程相关联的所述访问控制信息,确定是否允许所述请求进程执行对所述计算资源的所述所请求类型的访问;以及基于允许所述请求进程执行对所述计算资源的所述所请求类型的访问,使得所述请求得到处理。技术方案20:提供一种存储指令的非暂时性计算机可读存储媒体,所述指令在由机器的至少一个硬件处理器执行时使得所述机器执行包括以下各项的操作:经由通信网络从在客户端装置上执行的进程接收执行对计算资源的类型的访问的请求;基于所述请求进程的进程识别符从存储进程识别符和相关联访问控制信息的数据存储区识别与所述请求进程相关联的访问控制信息;基于与所述请求进程相关联的所述访问控制信息,确定是否允许所述请求进程执行对所述计算资源的所述所请求类型的访问;以及基于允许所述请求进程执行对所述计算资源的所述所请求类型的访问,使得所述请求得到处理。附图说明附图中的各图仅说明本公开的实例实施例,且不能被视为限制其范围。图1是包括用于控制一个或多个客户端装置对云计算系统的资源的访问的实例资源访问控制器的实例云计算系统的框图。图2是图1的实例资源访问控制器的框图。图3是图1的实例资源访问控制器的实例进程数据存储区的框图。图4是图3的实例进程数据存储区中指定的实例允许访问控制标签的框图。图5是图1的实例资源访问控制器的实例角色数据存储区的框图。图6是由图5的实例角色数据存储区中指示的进程角色所展现的实例阶层的框图。图7是图1的实例资源访问控制器控制进程对计算资源的访问的实例方法的流程图。图8是图1的实例资源访问控制器处置改变进程的角色的进程请求的实例方法的流程图。图9是本文档来自技高网...
【技术保护点】
1.一种用于对计算资源的访问的基于角色的控制的方法,所述方法包括:经由通信网络从在客户端装置上执行的进程接收执行对计算资源的类型的访问的请求;基于所述请求进程的进程识别符从存储进程识别符和相关联访问控制信息的数据存储区识别与所述请求进程相关联的访问控制信息;基于与所述请求进程相关联的所述访问控制信息,使用机器的至少一个硬件处理器来确定是否允许所述请求进程来执行对所述计算资源的所述所请求类型的访问;以及基于允许所述请求进程来执行对所述计算资源的所述所请求类型的访问,使得所述请求得到处理。
【技术特征摘要】
2017.05.22 US 15/6018311.一种用于对计算资源的访问的基于角色的控制的方法,所述方法包括:经由通信网络从在客户端装置上执行的进程接收执行对计算资源的类型的访问的请求;基于所述请求进程的进程识别符从存储进程识别符和相关联访问控制信息的数据存储区识别与所述请求进程相关联的访问控制信息;基于与所述请求进程相关联的所述访问控制信息,使用机器的至少一个硬件处理器来确定是否允许所述请求进程来执行对所述计算资源的所述所请求类型的访问;以及基于允许所述请求进程来执行对所述计算资源的所述所请求类型的访问,使得所述请求得到处理。2.根据权利要求1所述的方法,其中,与所述请求进程相关联的所述访问控制信息指示允许所述请求进程访问的一个或多个计算资源。3.根据权利要求2所述的方法,其中,与所述请求进程相关联的所述访问控制信息对于所述所指示的一个或多个计算资源中的至少一个,进一步指示对所述请求进程允许的所述所指示的一个或多个计算资源中的所述至少一个的访问类型。4.根据权利要求1所述的方法,其中,进一步包括:经由所述通信网络接收包括所述进程识别符和所述相关联访问控制信息的至少一个文本文件;以及将所述进程识别符和所述相关联访问控制信息存储在所述数据存储区中。5.根据权利要求4所述的方法,其中,所述至少一个文本文件包括JavaScript对象表示法(JSON)文件和可扩展标记语言(XML)文件中的至少一个。6.根据权利要求1所述的方法,其中,进一步包括:基于所述请求进程不被允许执行对所述计算资源的所述所请求类型的访问,拒绝所述请求。7.根据权利要求1所述的方法,其中,每个进程识别符及其相关联的访问控制信息描述对应于由所述进程识别符识别的所述进程的角色;所述请求进程对应于多于一个角色;与所述请求进程...
【专利技术属性】
技术研发人员:R特瓦里,V班加,AC克什尔萨加,
申请(专利权)人:通用电气公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。