描述了根据一个实施例的、用于促进对资源的基于上下文的访问控制的机制。如本文中所描述,实施例的方法包括:接收访问多个资源中的资源的第一请求。此第一请求可以与对应于在计算设备处置入此第一请求的用户的一个或多个上下文相关联。此方法可进一步包括:评估所述一个或多个上下文。对所述一个或多个上下文的评估可以包括:将所述一个或多个上下文与同所请求的资源相关联的一个或多个访问策略匹配。此方法可进一步包括:如果所述一个或多个上下文满足所述访问策略中的至少一个访问策略,则接受所述第一请求。
【技术实现步骤摘要】
【国外来华专利技术】
本文中描述的实施例总体关于计算机编程。更具体而言,实施例关于用于促进对 资源的动态的基于上下文的访问控制的机制。
技术介绍
现有的访问控制管理系统是使用基于对用户和/或计算设备身份和权限的操作系 统抽象的访问控制策略来建立的,诸如,,可依据操作系统账户名来表达用户的身份。类似 地,资源是使用对文件和文件夹的操作系统抽象来标识的,并且权限通常被表达为与资源 相关联的读取、写入和执行特权。此外,在单机操作系统上建立的基于云的服务已经尝试将 旧式访问管理系统延伸为云范式,但是,由于在指定准许访问的上下文、控制强制访问的时 刻等方面的无能为力,在云服务上输入高度敏感的内容仍然面临很大的阻力。 现有的访问控制管理系统和网络安全基础设施容易出错且低效,因为它们由于缺 乏定制的特征和智能而在性能和安全方面受限。【附图说明】 在所附附图的图中W示例而非限制阐释实施例,在附图中,同样的标号表示类似 的元件。 图1阐释根据一个实施例的、在计算设备处采用的基于上下文的访问控制机制。 图2阐释根据一个实施例的、基于上下文的访问控制机制。 图3A阐释根据一个实施例的、用于促进对资源访问的基于上下文的控制的方法。 [000引图3B阐释根据一个实施例的、用于促进对资源访问的基于上下文的控制的事务序 列。 图3C阐释根据一个实施例的、用于促进对资源访问的基于上下文的控制的事务序 列。 图4阐释根据一个实施例的、适用于实现本公开的实施例的计算机系统。【具体实施方式】 在下列描述中,陈述了众多特定的细节。然而,可W在不具有运些特定的细节的情 况下来实践本文中描述的实施例。在其他实例中,未详细地示出公知的电路、结构和技术, W免使对本描述的理解含糊。 实施例提供对资源的访问控制的动态的基于上下文的管理,其中,可W在促进访 问一个或多个资源之前收集多个维度的客户机/用户上下文。运些多个维度可W包括但不 限于,用户标识和/或认证、设备标识和/或认证、用户存在监视、用户和/或用户的平台的位 置、在用户和/或用户的设备的附近或周围的其他个体的存在,等等。资源可W包括各种项, 诸如,任何数量和类型的数据、文件、文件夹、信息、设备、实体财产(例如,商业建筑、家庭 等),等等。例如,寻求对资源的访问可W设及:用户寻求访问包括相关数据的文件,或想要 得到访问办公室建筑的权限,等等。实施例进一步提供采用资源访问决策和接入点来评估 前述的上下文,其中,此类点可W在担当主机的单个计算设备,或可W在企业或其他特定的 服务器计算机处跨网络(例如,云网络)而分布,或在可W访问资源的位置处,或上述情况的 组合。在一个实施例中,可W延伸决策和实施点W将例如客户机上下文合并为用于访问一 个或多个资源的条件。 尽管出于简单、清晰和易于理解的目的可能贯穿本文档讨论一个或多个示例,但 是构想了实施例不限于任何特定的数量和类型的资源、或对资源或设备或用户的访问形式 等。类似地,实施例不限于任何特定的网络安全基础设施或协议(例如,单点登录基础设施 和协议),并且可W兼容将被延伸并与新颖的基于上下文的访问能力一起使用的任何数量 和类型的网络安全基础设施和协议,诸如,安全断言标记语言(SAML)、0Auth(开放授权)、 Kerberos 等等。 图1阐释根据一个实施例的、在计算设备处采用的基于上下文的访问控制机制。计 算设备100充当用于采用基于上下文的访问控制机制("访问控制机制"HlO的主机。计算设 备100可W包括大型计算系统(诸如,服务器计算机、台式计算机等),并且还可W包括机顶 盒(例如,基于因特网的有线电视机顶盒等)、基于全球定位系统(GPS)的设备等。计算设备 100可W包括移动计算设备,诸如,蜂窝电话(包括智能电话(例如,苹果⑥的iPhone成、运 动研究公司(Research in Motion)够的黑霉等))、个人数字助理(PDA)、平板计算机(例 如,苹果⑥的iPad?、H星⑥脚Gala巧細等)、膝上型计算机(例如,笔记本、上网本、超极 本TM等等)、电子书(例如,亚马逊疯的Kindle饭、虹Tnes and Nobles⑩的Nook?等),等等。 计算设备100包括充当在计算机设备100的任何硬件或物理资源与用户之间的接 口的操作系统(0SH06。计算设备100还包括一个或多个处理器102、存储器设备104、网络设 备、驱动器等,W及输入/输出(1/0)源1〇8(诸如,触摸屏、触摸平板、触控板、虚拟或常规键 盘、虚拟或常规鼠标等)。应当注意,贯穿本文档,可W可互换地使用类似"节点"、"计算节 点"、"服务器"、"服务器设备"、"云计算机"、"云服务器"、"云服务器计算机"、"机器""主 机"、"设备"、"计算设备"、"计算机"、"计算系统"等的术语。还应当注意,贯穿本文档,可W 可互换地使用类似"应用"、"软件应用"、"程芹'、"软件程芹V'包"和"软件包"之类的术语。 类似地,贯穿本文档,可W可互换地使用类似"作业"、"输入"、"请求"和"消息"之类的术语。 图2阐释根据一个实施例的、基于上下文的访问控制机制110。在一个实施例中,基 于上下文的访问控制机制110可W包括许多组件,诸如:接收逻辑202;认证逻辑204;资源管 理器206,其包括访问请求器208、策略实施点210和资源/策略返回逻辑212;策略决策点 214,其包括评估逻辑216和决策/返回逻辑218;策略维护和公布逻辑220; W及通信/兼容性 逻辑222。可W在诸如图1的计算设备100之类的主机处主管访问控制机制110,并且此访问 控制机制110可W与用于维护任何数量和类型的资源、策略、数据、原始文件、分布式文件系 统和云存储等的一个或多个资源、策略和数据源(诸如,资源、策略和数据源("数据源") 225)通信,并且可通过一个或多个网络(诸如,网络230(例如,云网络、因特网、诸如蓝牙之 类的邻近网络等))来与一个或多个计算设备例如计算设备240(诸如,客户机计算设备,诸 如,移动计算设备(包括智能电话、平板计算机、膝上型计算机等))通信。在一些实施例中, 访问控制机制110可W通过一个或多个网络(诸如,网络230),跨计算设备或节点而分布;例 如,如图所示,PDP 214可W与资源管理器206共同定位,或可W跨多个计算节点而分布。 在一个实施例中,计算设备240可W包括客户机计算设备,此客户机计算设备位于 远程,并且通过诸如网络230之类的一个或多个网络来与采用访问控制机制110的主机通 信。在一些实施例中,计算设备240可W包括或充当服务器/主机计算设备(诸如,图1的计算 设备100)的延伸,从而也采用了访问控制机制110的其他组件,诸如,组件202-222。如图所 示,计算设备240包括任何数量和类型的组件,诸如,音频/可视设备242(例如,相机、话筒、 扬声器等)、上下文知晓的传感器244(例如,溫度传感器、与音频/可视设备242的一个或多 个相机一起工作的面部表情和特征测量传感器、环境传感器(诸如,用于感测背景颜色、光, 等等)、生物测定传感器(诸如,用于检测指纹等)、用户日历阅读器等)、资源请求器246、可 信执行环境(T邸)逻辑252和通信逻辑本文档来自技高网...
【技术保护点】
一种促进基于上下文的访问控制的装置,包括:接收逻辑,用于接收访问多个资源中的资源的第一请求,其中,所述接收逻辑进一步用于接收与在计算设备处置入所述第一请求的用户相关联的一个或多个上下文;策略决策点的评估逻辑,用于评估所述一个或多个上下文,其中,对所述一个或多个上下文的评估包括以下步骤:尝试将所述一个或多个上下文与同所请求的资源相关联的一个或多个访问策略匹配;以及所述策略决策点的决策/返回逻辑,用于如果所述一个或多个上下文满足所述一个或多个访问策略中的至少一个访问策略则接受所述第一请求。
【技术特征摘要】
【国外来华专利技术】
【专利技术属性】
技术研发人员:N·M·史密斯,C·P·卡希尔,J·马丁,A·巴佳伍史班扎尔,B·巴卡什,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。