【技术实现步骤摘要】
【国外来华专利技术】计算资源的动态部署的受限访问接口
本专利技术涉及用于控制对计算资源的访问的方法以及对应的设备和系统。
技术介绍
在计算机系统或网络中,已知的是提供用于控制用户对计算资源的访问的各种机制。一个示例是通信网络中的访问控制。在此情况下,可能需要对特定订户可以使用通信网络的哪些资源进行控制。然而,关于对通信网络的管理,也可能需要访问控制。例如,通信网络可以在多个运营商之间共享其网络资源,并且每个运营商可能需要管理对网络资源的对应共享。在每种情况下,访问控制涉及许可特定用户(在上述示例中为特定订户或运营商)对特定计算资源的访问,而对于该用户拒绝对其他计算资源的访问。相似地,访问控制也可以涉及:对于特定计算资源,许可特定用于进行访问,而拒绝另一用户访问。相应地,访问控制可以通过根据用户和/或根据待访问的计算资源许可对计算资源的访问来考虑各种维度。考虑以依赖于用户的方式来执行访问控制的一种方式是:向用户指派角色,并根据指派给特定用户的角色来执行访问控制。这通常称为基于角色的访问控制(RBAC)。在此,角色可以定义计算资源上准许或禁止的事务。可以为多个用户指派同一角色,并且可以为每个用户指派一个或多个角色。在多维访问控制方案中,可以通过在判决时还考虑访问的目标来将RBAC与基于目标的访问控制(TBAC)相组合。可以按照事务所需的计算资源的集来合定义访问的目标。然而,在不会不利地影响访问控制系统的性能的情况下,实现精细粒度的多维访问控制可能是困难的。当在服务空间中实现精细粒度的多维访问控制时,这可能带来服务的不 ...
【技术保护点】
1.一种控制对计算资源的访问的方法,所述方法包括:/n-通过第一访问接口来提供对计算资源的访问;/n-确定用户的至少一个访问角色和与所述用户的访问角色关联的至少一个访问目标;/n-基于所述用户的所述至少一个访问角色和所述关联的至少一个访问目标来确定所述计算资源的子集;/n-定义限于所述计算资源的所述子集的第二访问接口;以及/n-通过所述第二访问接口来向所述用户提供对所述计算资源的所述子集的访问。/n
【技术特征摘要】
【国外来华专利技术】1.一种控制对计算资源的访问的方法,所述方法包括:
-通过第一访问接口来提供对计算资源的访问;
-确定用户的至少一个访问角色和与所述用户的访问角色关联的至少一个访问目标;
-基于所述用户的所述至少一个访问角色和所述关联的至少一个访问目标来确定所述计算资源的子集;
-定义限于所述计算资源的所述子集的第二访问接口;以及
-通过所述第二访问接口来向所述用户提供对所述计算资源的所述子集的访问。
2.根据权利要求1所述的方法,
其中,所述第一访问接口包括应用的集合,并且所述第二访问接口限于所述第一访问接口的所述应用的子集。
3.根据权利要求1或2所述的方法,
其中,所述计算资源包括网络元素,并且
其中,所述第一访问接口包括用于管理所述网络元素的管理应用的集合,并且所述第二访问接口限于所述第一访问接口的所述管理应用的子集。
4.根据前述权利要求中的任一项所述的方法,
其中,通过所述第二访问接口与所述第一访问接口的交互来向所述用户提供对所述计算资源的所述子集的访问。
5.根据前述权利要求中的任一项所述的方法,包括:
向所述第二访问接口专有地提供与所述计算资源的所述子集有关的数据。
6.根据前述权利要求中的任一项所述的方法,包括:
基于一个或多个访问控制策略来确定所述计算资源的所述子集。
7.根据前述权利要求中的任一项所述的方法,包括:
-确定另外的用户的至少一个访问角色和与所述另外的用户的访问角色关联的至少一个访问目标;
-基于所述另外的用户的所述至少一个访问角色和关联的至少一个访问目标来确定所述计算资源的另外的子集;
-定义限于所述计算资源的所述另外的子集的第三访问接口;以及
-通过所述第三访问接口来向所述另外的用户提供对所述计算资源的所述另外的子集的访问。
8.根据权利要求7所述的方法,
其中,对于所述计算资源的所述子集和所述计算资源的所述另外的子集的重叠部分,由所述第一访问接口来协调通过所述第二访问接口和所述第三访问接口的事务。
9.根据权利要求7或8所述的方法,
其中,对于所述计算资源的所述子集和所述计算资源的所述另外的子集的重叠部分,通过提供由所述第二访问接口利用的数据与由所述第三访问接口利用的数据的一致性来协调通过所述第二访问接口和所述第三访问接口的事务。
10.根据前述权利要求中的任一项所述的方法,包括:
-基于所述用户的所述至少一个访问角色,通过所述第一访问接口来向所述用户提供对所述计算资源的访问。
11.根据前述权利要求中的任一项所述的方法,
其中,所述定义所述第二访问接口包括:向提供所述第二访问接口的设备提供部署指令。
12.一种访问管理器,所述访问管理器被配置为:
-通过第一访问接口来提供对计算资源的访问;
-确定用户的至少一个访问角色和与所述用户的访问角色关联的至少一个访问目标;
-基于所述用户的所述至少一个访问角色和所述关联的至少一个访问目标来确定所述计算资源的子集;
-定义限于计算资源的所述子集的第二访问接口;以及
-通过所述第二访问接口来向所述用户提供对所述计算资源的所述子集的访问。
13.根据权利要求12所述的访问管理器,
其中,所述第一访问接口包括应用的集合,并且所述第二访问接口限于所述第一访问接口的所述应用的子集。
14.根据权利要求12或13所述的访问管理器,
其中,所述计算资源包括网络元素,并且
其中,所述第一访问接口包括用于管理所述网络元素的管理应用的集合,并且所述第二访问接口限于所述第一访问接口的所述管理应用的子集。
15.根据权利要求12至14中的任一项所述的访问管理器,
其中,所述访问管理器被配置为:通过所述第二访问接口与所述第一访问接口的交互来向所述用户提供对所述计算资源的所述子集的访问。
16.根据权利要求12至15中的任一项所述的访问管理器,
其中,所述访问管理器被配置为:向所述第二访问接口专有地提供与所述计算资源的所述子集有关的数据。
17.根据权利要求12至16中的任一项所述的访问管理器,
其中,所述访问管理器被配置为:基于一个或多个访问控制策略来确定所述计算资源的所述子集。
18.根据权利要求12至17中的任一项所述的访问管理器,
其中,所述访问管理器被配置为:
-确定另外的用户的至少一个访问角色和与所述另外的用户的访问角色关联的至少一个访问目标;
-基于所述另外的用户的所述至少一个访问角色和所述关联的至少一个访问目标来确定所述计算资源的另外的子集;
-定义限于所述计算资源的所述另外的子集的第三访问接口;以及
-通过所述第三访问接口来向所述另外的用户提供对所述计算资源的所述另外的子集的访问。
19.根据权利要求18所述的访问管理器,
其中,对于所述计算资源的所述子集和所述计算资源的所述另外的子集的重叠部分,由所述第一访问接口来协调通过所述第二访问接口和所述第三访问接口的事务。
20.根据权利要求18或19所述的访问管理器,
其中,对于所述计算资源的所述子集和所述计算资源的所述另外的子集的重叠部分,通过提供由所述第二访问接口利用的数据与由所述第三访问接口利用的数据的一致性来协调通过所述第二访问接口和所述第三访问接口的事务。
21.根据权利要求12至20中的任一项所述的访问管理器,
其中,所述访问管理器被配置为:
-基于所述用户的所述至少一个访问角色,通过所述第一访问接口来向所述用户提供对所述计算资源的访问。
22.根据权利要求12至21中的任一项所述的访问管理器,
其中,所述访问管理器被配置为:通过向提供所述第二访问接口的设备提供部署指令来定义所述第二访问接口。
23.根据权利要求12所述的访问管理器,
其中,所述访问管理器还被配置为执行根据权利要求2至11中的任一项所述的方法。
24.一种用于控制对计算资源的访问的设备,所述设备包括:
至少一个处理器;以及
包含指令的存储器,所述指令能够由所述至少一个处理器执行,从而所述设备操作用于:
-通过第一访问接口来提供对计算资源的访问;
-确定用户的至少一个访问角色和与所述用户的访问角色关联的至少一个访问目标;
-基于所述用户的所述至少一个访问角色和所述关联的至少一个访问目标来确定所述计算资源的子集;
-定义限于计算资源的所述子集的第二访问接口;以及
-通过所述第二访问接口来向所述用户提供对所述计算资源的所述子集的访问。
25.根据权利要求24所述的设备,
其中,所述第一访问接口包括应用的集合,并且所述第二访问接口限于所述第一访问接口的所述应用的子集。
...
【专利技术属性】
技术研发人员:托尼·芬纳蒂,米歇尔·贝汉,
申请(专利权)人:瑞典爱立信有限公司,
类型:发明
国别省市:瑞典;SE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。