在服务与应用之间的多级分布式访问控制制造技术

一种计算系统控制组件之间的访问。令牌发布者至少部分地基于访问策略来向请求组件发布访问令牌，所述请求组件正在请求对被请求的服务组件的访问。所述请求组件将所述令牌发送到所述被请求的服务组件，所述被请求的服务组件包括令牌认证模块，所述令牌认证模块验证访问令牌并且授权所述请求组件以访问所述被请求的服务组件，并且接收对访问所述被请求的服务组件的授权。

Multi level distributed access control between services and Applications

An access between control components of a computing system. The token issuer issues an access token to the requesting component, which is requesting access to the requested service component, at least partially based on the access policy. The request component sends the token to the requested service component, the requested service component includes a token authentication module, the token authentication module verifies the access token and authorizes the request component to access the requested service component, and receives the authorization to access the requested service component.

【技术实现步骤摘要】
【国外来华专利技术】在服务与应用之间的多级分布式访问控制
技术介绍
计算机系统当前被广泛使用。一些这样的计算机系统运行从云系统操作的应用。这样的应用的示例包括文档管理和共享系统、基于云的数据存储系统、诸如电子邮件(email)服务的服务、生成文字处理文档的文字处理应用、生成幻灯片演示文档的幻灯片演示应用、生成电子表格文档的电子表格应用以及多种其他应用。这样的系统和应用常常在包括各种不同的服务和资源的云网络上运行。在这些系统和应用的操作期间，其常常访问位于网络上的不同的服务和资源。同样地，在系统或应用中开发新特征的开发者可能希望新特征能访问服务和资源，以确保新特征正常操作。在服务和资源位于网络上的情况下，由于这些应用的性质，不受约束的访问会对整个系统造成安全风险。然而，过度约束的系统会导致整个系统的性能下降。上文的讨论仅仅提供一般性的背景信息，而并不旨在用于辅助确定所要求保护的主题的范围。
技术实现思路
一种计算系统控制组件之间的访问。令牌发布者至少部分地基于访问策略向请求组件发布访问令牌，所述请求组件正在请求对被请求的服务组件的访问。所述请求组件将所述令牌发送到被请求的服务组件，所述被请求的服务组件包括令牌认证模块，所述令牌认证模块验证所述访问令牌并且授权所述请求组件访问所述被请求的服务组件，并且接收对访问所述被请求的服务组件的授权。提供本
技术实现思路
以简化的形式介绍了一些概念，这些概念将在下文的详细描述中进一步描述。本
技术实现思路
既不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于辅助确定所要求保护的主题的范围。所要求保护的主题并不限于解决
技术介绍
中指出的任何或所有缺点的实现方式。附图说明图1示出了计算系统架构的一个示例的框图。图2是示出了在计算系统架构中的令牌交互的一个示例的框图和数据流程图。图3示出了令牌处理和允许访问被请求的服务组件的一个示例的流程图。图4示出了服务访问策略记录的一个示例的框图。图5是示出了部署在云计算环境中的在图1中所图示的架构框图。图6-8示出了移动设备的示例。图9示出了计算环境的一个示例，所述计算环境能够是先前图中所示的架构的一部分或者与其一起使用。具体实施方式图1是计算系统架构100的一个示例的框图。架构100包括内部计算系统102、外部计算系统104、用户应用域106以及身份提供器108。架构100的各组件通过网络110彼此通信。网络110能够是多种网络中的任意一种网络或者网络的组合，所述网络诸如是广域网、局域网、近场通信网络、蜂窝网络或者其他网络。在更详细地描述架构100的总体操作之前，将首先提供对架构100中的一些项目以及其操作的简短描述。在一个示例中，内部计算系统102包括系统逻辑112、令牌发布服务(TIS)逻辑114、处理器/服务器116、网络接口118、数据存储119以及其他项目120。因为本文的描述将描述由系统120在基板或平台上开发的服务126如何获得对系统102内部的其他服务124或资源126的访问，以及对在多种外部计算系统104中的任意外部计算系统上运行的外部服务和资源的访问。系统逻辑112本身包括服务集合124、资源126以及内核122(在其中存储核心系统和功能)。用户应用(APP)域106包括被标记为105的一个或多个应用(0-N)。外部计算系统104能够包括一个或多个处理器或服务器133、被标记为139的服务(0-N)集合、被标记为141的资源(0-N)集合以及一个或多个数据存储143。TIS114例示性地向架构100中的内部计算系统102中的各个项目发布令牌，使得这些项目能够安全地彼此访问并且访问外部服务139和资源141。例如，在用户应用域106中的应用105以及服务124和资源126能够调用内核122，以及彼此调用，并且能够调用外部服务139和外部资源141以用于访问。在授权对服务124或资源126的访问之前，将令牌提供给请求服务或资源。所述请求服务或资源将令牌以及访问请求提供给被请求的组件(例如，被请求的服务或资源或内核)。所述被请求的组件接收并且认证所述令牌，并且如果所述令牌被成功认证，则授权访问。能够从TIS114请求令牌。对于令牌以及由此对于访问，在用户应用域106中的第三方应用105也能够从身份提供器108接收身份。例如，身份提供器108能够是向每个用户应用提供独有身份的身份提供器服务。应用105能够例如调用获取令牌以访问其他服务或资源的服务124。网络接口118例示性地管理所有网络访问。其可以使用多种不同的协议以多种方式中的任何一种来执行该操作。图2是更详细地示出了内部计算系统102的一个示例的框图，其中箭头指示一些可能的通信或数据流。图2中的内部计算系统102类似于在图1中所示的内部计算系统，并且相似的项目被相似地编号。系统逻辑112本身包括服务124、资源126、内核122以及其他项目120。服务124能够包括任意数量的服务(0-N)，所有这些都被标记为124。服务124能够是狭义的服务，例如函数。服务124能够是更广义的服务，例如程序或应用编程接口(API)。资源126能够包括任意数量的资源(1-N)126。资源126能够被狭窄地定义，例如单个变量。资源126也能够被更广泛地定义，例如数据表或数据表集、文档、图像、数据库等。内核122包含系统逻辑112的核心功能以及逻辑和/或(一个或多个)应用编程接口(API)。还能够管理一些输入/输出请求，并且将其转换为在处理器/服务器116和计算系统102的其他组件中的计算系统中央处理单元的数据处理指令。(一个或多个)处理器/服务器116能够实施先前组件/逻辑的功能、逻辑、数据调用等。内部计算系统102使用网络接口118来连接到网络110以及其他系统。内部计算系统102并不限于如由其他项目120所指示的所示组件。其他组件的一些示例是显示器、输入组件、输出组件等。内部计算系统102的组件和外部计算系统104的组件能够相互连接以彼此通信(直接地或间接地，诸如通过网络)。连接131图示了在各组件之间的可能连接的一些示例。连接131能够被用于在服务与内核122之间、在服务与资源126或外部服务135或资源141之间，从一个服务或资源向另一服务或资源进行服务或资源访问请求。连接131能够将令牌传输表示为请求的一部分。在一个示例中，能够通过诸如经由https或OAuth2.0或者其他协议的一种或多种协议来进行令牌传输连接131。如所示的，所述组件中的一些组件能够包括应用逻辑133、令牌客户端逻辑130和/或令牌认证逻辑132。将意识到，在一些示例中，系统102中的所有服务和资源都包括所有这些项目。在其他示例中，仅子集包括所有这些项目。在本文中设想到了这些和其他架构。应用逻辑133提供服务124的功能或资源126的对象或者其他项目。令牌客户端逻辑130促进与TIS逻辑114的通信和交互，诸如向TIS逻辑114进行令牌请求以及从TIS逻辑114接收令牌。令牌客户端逻辑130还能够包括本文档来自技高网...

【技术保护点】
1.一种计算系统，包括：/n访问策略逻辑，其接收来自请求服务的、请求对被请求的组件的访问的访问请求，并且基于过滤标准集合来识别多个不同的访问策略中被应用于所述请求服务的所述访问请求的访问策略，所述访问策略逻辑基于识别出的访问策略和所述访问请求来确定所述访问请求是否符合所述识别出的访问策略；以及/n令牌发布逻辑，其响应于所述访问策略逻辑确定所述访问请求符合所述识别出的访问策略而向所述请求服务发布访问令牌。/n

【技术特征摘要】
【国外来华专利技术】20170424 US 15/494,6791.一种计算系统，包括：
访问策略逻辑，其接收来自请求服务的、请求对被请求的组件的访问的访问请求，并且基于过滤标准集合来识别多个不同的访问策略中被应用于所述请求服务的所述访问请求的访问策略，所述访问策略逻辑基于识别出的访问策略和所述访问请求来确定所述访问请求是否符合所述识别出的访问策略；以及
令牌发布逻辑，其响应于所述访问策略逻辑确定所述访问请求符合所述识别出的访问策略而向所述请求服务发布访问令牌。


2.根据权利要求1所述的计算系统，还包括所述请求服务，并且其中，所述请求服务被配置为将所述访问请求连同所述访问令牌一起发送到所述被请求的组件以获得对所述被请求的组件的访问。


3.根据权利要求2所述的计算系统，还包括所述被请求的组件，所述被请求的组件包括：
应用逻辑，其被配置为服务于所述访问请求。


4.根据权利要求3所述的计算系统，其中，所述被请求的组件还包括：
令牌认证逻辑，其被配置为接收所述访问令牌并且认证所述访问令牌，并且生成对所述应用逻辑的认证指示，所述应用逻辑被配置为基于接收到所述认证指示来允许对所述被请求的组件的访问。


5.根据权利要求4所述的计算系统，还包括：
多个容量服务器；以及
包括所述请求服务的多个服务，所述多个服务中的每个服务被部署在容量服务器上。


6.根据权利要求5所述的计算系统，其中，所述多个容量服务器中的每个容量服务器包括：
所述令牌认证逻辑的实例。


7.根据权利要求4所述的计算系统，其中，所述访问策略逻辑包括：
策略过滤逻辑，其基于过滤标准集合通过过滤所述访问策略中的项目来识别待应用于所述访问请求的所述访问策略。


8.根据权利要求7所述的计算系统，其中，所述访问策略逻辑包括：
策略应用逻辑，其将所述识别出的访问策略应用于所述访问请求以确定所述访问请求中对所述被请求的组件的访问是否与由所述识别出的访问策略所允许的访问一致。


9.根据权利要求7所述的计算系统，其中，所述请求服务是在被提供给所述访问策略逻辑的所述访问请求中识别出的多个开发阶段中的一个开发阶段处部署的，...

【专利技术属性】
技术研发人员：M·莱布曼，J·T·亨德里克森，G·V·卡普林，C·曼内斯库，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国;US