用于资源的地理位置验证的方法和系统技术方案

一种地理位置验证的方法，包括获取操作系统的地理位置，生成关于安装的操作系统的唯一系统ID，以及将操作系统的地理位置和系统ID传输到数据仓库。方法还包括：接收开启与操作系统相关联的计算机对象的部署或授予对其访问的请求，识别计算机对象是否需要地理位置验证，然后识别与计算机对象相关联的对象ID，并将对象ID、操作系统的地理位置和系统ID中的每个发送到域控制器以用于评估。方法还包括搜索数据仓库，以识别与对象ID相关联的一个或多个地理位置对象资源声明，以及将地理位置资源声明与所发送的操作系统的地理位置进行比较。

【技术实现步骤摘要】
【国外来华专利技术】用于资源的地理位置验证的方法和系统相关申请的交叉引用本申请要求2014年10月30日提交的美国临时申请号为62/073,008的优先权，该申请通过引用以其整体并入本文。领域方法和系统大体上涉及各种类型的资源的地理位置验证领域。背景数据中心是应用软件和运行在软件上的客户数据所在的位置。基于云的IT服务的供应商必须保存他们在任何特定时间复制客户数据时的透明度，以保护免于故障或局部灾难。如果数据中心出于任何原因停止运作，若应用软件和在该应用软件上运行的客户数据也可从第二个或可能第三数据中心获得，则客户数据将不会丢失。并且假设它工作足够平顺，客户在这样的故障转移(failover)发生时可能甚至不会被通知。根据特定服务，故障转移可能根本不会导致任何服务中断。全球企业已经利用互联网和基于云计算服务以及数据中心来建立私有通信网络，并从全球技术中获得了效率。由于这样的全球化，近年来，许多国家已经发布了地理位置规则，其限制了公司可如何跨边界(包括通过这些私有网络)处理和传输它们客户的数据。某些实体要求将特定类型的数据(例如政府数据)、员工数据或电信业务数据储存在有限的地理边界内，并且在一些情况下，这样的数据甚至可能不从地理边界的外部进行访问。地理位置由一组坐标指定，该组坐标表示纬度、经度和海拔，它们是地理坐标系的主要元素。地球表面上一点的纬度(或phi)是赤道平面与穿过该点并穿过(或接近)地球中心的直线之间的角度。赤道将地球分为北半球和南半球。地球表面上一点的经度(λ或lambda)是从参考子午线到穿过该点的另一个子午线向东或向西的角度。国际公认的参考本初子午线穿过英格兰的格林威治的一点，并确定了适当的东半球和西半球。地球表面上的一点的海拔通常是其相对于海平面的高度；而海拔高度用于海平面以上的点时，诸如飞行中的飞机或轨道上的航天器，深度用于海平面以下的点。地球上的定位的地理位置可根据像Wi-Fi接入点和蜂窝塔的信标获得、根据设备的ID地址获得，或者其可能来自其他来源，诸如全球导航卫星系统(GNSS)或全球定位系统(GPS)设备。地理位置信息的准确性取决于来源，并且与设备、计算机或资源的实际位置可在以下示例性范围内不同：·GPS：在大约10米内·Wi-Fi：介于大约30米和500米之间·蜂窝塔：介于大约300米和3,000米之间·IP地址：介于大约1,000米和5,000米之间在处理信息技术操作时，通常使用一种或多种类型的声明的属性。声明是关于用户、设备、计算机或资源的唯一信息片段。这些是非常常见的属性，其可以作为域名服务目录中的计算机对象的特性来发现，像用户的功能标题、组织部门或办公室位置之类的，是可被定义的声明。数据文件的业务影响分类或计算机的健康状况也是如此。计算机对象或实体可涉及一个以上的声明，并且声明的任何组合可用于授权对资源的访问。以下示例性类型的声明通常在可商购的域名服务目录中是可用的：·用户声明：与特定用户相关联的属性。·设备声明：与特定计算机对象相关联的属性。·资源属性：被标记用在授权决策中的全局资源特性。声明通常在域名服务目录中进行保护，该域名服务目录在域控制器及其代理上被操作并由其发布。这是为了防止他们被未经授权的人员篡改，并且仅对正确授权的用户、设备和计算机能访问。声明使管理员可以做出关于可包含在用于IT操作的表达、规则和策略中的用户、设备、计算机和资源的精确的组织或企业范围的陈述。简述在至少一些实施例中，用于资源的地理位置验证的方法和系统针对地理位置数据(例如，GPS信号)的使用，以确定计算机对象(诸如虚拟硬盘)是否可被部署，并且其虚拟机是否可由位于特定地理位置的物理服务器操作。此外，在至少一些实施例中，域控制器通过解析操作物理服务器的当前地理位置是否在可以操作虚拟机的地理区域内进行仲裁。示例性实施例包括用于确定物理服务器(包括通用计算机、GPS系统接口、连接电缆和GPS天线)的当前地理位置的方法和系统。为了基于物理服务器的当前地理位置获取用于部署虚拟硬盘的授权，物理服务器采集其当前的地理位置和待部署的虚拟硬盘的标识，并将该信息发送到域控制器。域控制器执行验证过程，并将肯定或否定的评估结果发送到物理服务器，以指示虚拟硬盘中所包含的虚拟机的部署是否可以进行。在至少一些实施例中，操作系统(用于物理服务器和虚拟机二者)能够使用相同的方法和系统进行自我验证。操作系统将其当前的地理位置及其自己的标识转发给域控制器。当接收到令人满意的结果以继续进行时，它可继续超出初始启动阶段的操作。在至少一些实施例中，用于资源的地理位置验证的方法和系统涉及一种方法，该方法包括：提供与至少一个处理器和通信地耦合到该至少一个处理器的至少一个存储器进行通信的操作系统，该存储器具有被储存在其中的计算机可执行指令；借助于通过计算设备执行该计算机可执行指令来创建计算机对象，该计算机对象包括授权数据部分和程序数据部分，该授权数据部分可独立于对该计算机对象的程序数据部分的访问由应用程序访问；生成计算机对象的唯一对象ID，并将该唯一对象ID写入授权数据部分和程序数据部分；获取计算机对象的一个或多个地理对象资源声明，其中，该地理对象资源声明包括计算机对象被授权以进行操作的一个或多个地理位置；以及将唯一对象ID以及一个或多个地理对象资源声明发送给授权实体。在至少一些附加的实施例中，用于资源的地理位置验证的方法和系统涉及一种方法，该方法包括：获取安装在计算设备上的操作系统的地理位置，该计算设备包括处理器和存储器，该存储器具有储存于其中的计算机可执行指令；为所安装的操作系统生成唯一的系统ID；将操作系统的地理位置和系统ID传输到与操作系统进行通信的域控制器的数据仓库；在计算设备处，接收开启与操作系统相关联的计算机对象的部署或授予对其的访问权限中的至少一个的请求；识别计算机对象是否需要地理位置验证，并且如果需要验证，则识别与计算机对象相关联的对象ID，并将对象ID、操作系统的地理位置和系统ID中的每个发送到域控制器以用于评估；执行地理位置验证分析，包括使用对象ID来搜索数据仓库，以识别与该对象ID相关联的一个或多个地理位置对象资源声明，其中，该地理对象资源声明包括计算机对象被授权以进行操作的一个或多个地理位置；以及将该地理位置资源声明与所发送的操作系统的地理位置进行比较，以提供对计算机对象的地理位置验证的确认或否定。在至少一些进一步的实施例中，用于资源的地理位置验证的方法和系统涉及包括被安装在计算设备上的操作系统的系统。计算设备包括处理器和存储器，该存储器具有储存于其中的计算机可执行指令。操作系统包括唯一系统ID以及计算设备包括唯一设备ID中的至少一项成立。全球定位系统接口与计算设备和操作系统中的至少一个进行通信，并且能够为计算设备和操作系统中的至少一个提供地理位置。网络接口将计算设备和操作系统中的至少一个的地理位置以及系统ID和设备ID中的至少一个传输到与数据仓库进行通信的域控制器。与操作系统相关联的计算机对象包括唯一对象ID以及一个或多个地理对象资源声明。地理对象资源声明包括计算机对象被授权以进行操作的一个或多个地理位置边界。在全面阅读了详细描述和所附权利要求之后，将理解和认识到该方法和系统的其它实施例、方面、特征、目标和优点。本文档来自技高网...

【技术保护点】
一种方法，包括：提供操作系统，所述操作系统与至少一个处理器和通信地耦合到所述至少一个处理器的至少一个存储器进行通信，所述存储器具有被储存于其中的计算机可执行指令；借助于通过所述计算设备对所述计算机可执行指令的执行，创建计算机对象，所述计算机对象包括授权数据部分和程序数据部分，所述授权数据部分能够由应用程序独立于对所述计算机对象的所述程序数据部分的访问来访问；生成所述计算机对象的唯一对象ID，并将所述唯一对象ID写入所述授权数据部分和所述程序数据部分中；获取所述计算机对象的一个或多个地理对象资源声明，其中,所述地理对象资源声明包括所述计算机对象被授权进行操作的一个或多个地理位置；以及将所述唯一对象ID和所述一个或多个地理对象资源声明发送给授权实体。

【技术特征摘要】
【国外来华专利技术】2014.10.30 US 62/073,0081.一种方法，包括：提供操作系统，所述操作系统与至少一个处理器和通信地耦合到所述至少一个处理器的至少一个存储器进行通信，所述存储器具有被储存于其中的计算机可执行指令；借助于通过所述计算设备对所述计算机可执行指令的执行，创建计算机对象，所述计算机对象包括授权数据部分和程序数据部分，所述授权数据部分能够由应用程序独立于对所述计算机对象的所述程序数据部分的访问来访问；生成所述计算机对象的唯一对象ID，并将所述唯一对象ID写入所述授权数据部分和所述程序数据部分中；获取所述计算机对象的一个或多个地理对象资源声明，其中,所述地理对象资源声明包括所述计算机对象被授权进行操作的一个或多个地理位置；以及将所述唯一对象ID和所述一个或多个地理对象资源声明发送给授权实体。2.如权利要求1所述的方法，其中，所述计算机可执行指令还由所述操作系统执行以包括：获取所述计算机对象；以及仅读取所述授权数据部分而不访问所述程序数据部分。3.如权利要求2所述的方法，其中，所述计算机可执行指令还由所述操作系统执行，以包括与全球定位卫星接口进行通信，从而识别所述操作系统当前正在进行操作的地理位置。4.如权利要求3所述的方法，其中，所述计算机可执行指令还由所述操作系统执行以包括：传送以下内容：a)所述计算机对象的对象ID，b)运行所述操作系统的计算机的设备ID和与所述操作系统相关联的系统ID中的至少一个，以及c)由GPS对所述授权实体识别出的地理位置；以及响应于所述传送，接收来自所述授权实体的肯定的地理位置验证或否定的地理位置验证，其中，在接收到肯定的地理位置验证时，所述操作系统被授权访问所述计算机对象中的所述程序数据部分，以及其中，在接收到否定的地理位置验证时，所述操作系统不被授权访问所述程序数据部分。5.如权利要求1所述的方法，其中，所述计算机对象是计算机文件、包含计算机文件的储存设备、从储存设备接收并发出计算机文件的接口和数据库中的至少一个。6.如权利要求1所述的方法，其中，所述计算机对象是被安装在物理服务器上的虚拟机的虚拟硬盘映像。7.如权利要求1所述的方法，其中，所述操作系统在物理服务器上被安装和操作。8.如权利要求1所述的方法，其中，所述操作系统在与物理服务器进行通信的虚拟机上被安装和操作。9.一种地理位置验证的方法，包括：获取被安装在计算设备上的操作系统的地理位置，所述计算设备包括处理器和存储器，所述存储器具有储存于其中的计算机可执行指令；生成关于所安装的操作系统的唯一系统ID；将所述操作系统的所述地理位置和所述系统ID传输到与所述操作系统进行通信的域控制器的数据仓库；在所述计算设备处，接收对开启与所述操作系统相关联的计算机对象的部署或授予对所述计算机对象的访问权限中的至少一个的请求；识别所述计算机对象是否需要地理位置验证，并且如果需要验证，则识别与所述计算机对象相关联的对象ID，并将所述对象ID、所述操作系统的所述地理位置和所述系统ID中的每个发送到所述域控制器以用于评估；执行地理位置验证分析，所述地理位置验证分析包括使用所述对象ID搜索所述数据仓库，以识别与所述对象ID相关联的一个或多个地理...

【专利技术属性】
技术研发人员：索恩·沃巴，
申请(专利权)人：新科恩斯卡莱有限责任公司，
类型：发明
国别省市：美国,US