提供了用于过滤针对业务的授权的系统和方法。可以将关于多个授权规则的信息存储在存储器中,每个授权规则可以特定于一个或多个业务参数。可以在远程位置接收由请求用户经由云原生应用发送的业务请求。业务请求可以分解为一个或多个业务段,每个业务段可以与相应的位置相关联。可以将授权规则集识别为适用于所接收的业务请求的每个业务段。可以基于远程位置处的请求用户、相应位置以及由授权规则集指定的业务参数来识别授权规则集。可以基于相应的所识别的授权规则集来过滤所接收的业务请求的每个业务段的结果。过滤后的结果可以被提供给请求用户。
【技术实现步骤摘要】
【国外来华专利技术】过滤授权相关申请的交叉引用本专利申请要求于2018年6月29日提交的美国临时专利申请号62/692,383的优先权权益,其公开内容通过引用合并于本文中。
本专利技术总体上涉及云原生(cloud-native)应用。更具体地,本专利技术涉及管理和过滤针对云原生应用的授权。
技术介绍
在云原生应用出现之前,集中式应用基础设施可以利用硬边界进行架构。例如,可以为不同的位置提供单独的数据存储,以允许适用特定于司法管辖区的政策和规则。然而,分布式环境(诸如云原生应用的情况)缺乏这种硬性边界。例如,在欧盟通过《通用数据保护条例》(GDPR)之后,关于公民和居民的个人数据受到管理储存、处理、分布和出口的某些控制的约束。涉及这种数据的业务请求可以由现有技术系统来处理,该现有技术系统为受不同控制的每个不同位置分配单独的数据储存。然而,这种解决方案可能不切实际,因为同一流可能牵涉多个不同的监管方案。更多的司法管辖区正在通过它们自己的有关隐私和其他类型数据控制的成套的法律、规则和条例。这种不同的处理和监管方案使如何处理数据请求的问题变得复杂。因此,在本领域中存在对过滤针对云原生应用的授权的系统和方法的需求。
技术实现思路
本专利技术的实施方式基于终端用户参数为云原生应用(包括基于云的服务或工作负载)提供过滤后的授权。在这样的实施方式中,可以在云环境中向云原生应用提供相应的身份。经由这样的云原生应用提供的数据可受到针对过滤后的授权的新范式的约束。过滤后的授权可以基于管理对每个业务中涉及的变化位置、安全要求和风险承受能力的适应的预定授权规则。作为这种过滤的结果,响应于所请求的业务,将仅提供符合适用规则的某些数据。各种实施方式可包括用于过滤针对业务的授权的方法。这样的方法可包括:存储关于多个授权规则的信息,每个授权规则特定于一个或多个业务参数;经由云原生应用接收由在远程位置处的请求用户发送的业务请求;将业务请求分解为一个或多个业务段,每个业务段与相应的位置相关联,并基于在远程位置处的请求用户、相应的位置以及由授权规则集指定的业务参数来识别适用于所接收的业务请求的每个业务段的该授权规则集。方法可进一步包括基于相应的所识别的授权规则集来过滤所接收的业务请求的每个业务段的结果,并将过滤后的结果提供给请求用户。进一步的实施方式包括用于过滤针对业务的授权的系统。这样的系统可包括:存储器,存储关于多个授权规则的信息,每个授权规则特定于一个或多个业务参数;通信接口,接收由在远程位置处的请求用户经由云原生应用发送的业务请求;以及处理器,执行以下指令:以将业务请求分解为均与相应的位置相关联的一个或多个业务段,以基于在远程位置处的请求用户、相应的位置以及由授权规则集指定的业务参数来识别适用于所接收的业务请求的每个业务段的授权规则集,以及以根据相应的所识别的授权规则集来过滤所接收的业务请求的每个业务段的结果。通信接口可进一步将过滤后的结果提供给请求用户。更进一步的实施方式可包括其上包含有可执行以执行本文描述的方法的程序的非暂时性计算机可读储存介质。附图说明图1示出了可以实现用于过滤授权的系统的简化的网络环境。图2是示出用于过滤授权的示例性方法的流程图。图3示出了可用于实现本专利技术的实施方式的示例性计算系统。具体实施方式本专利技术的实施方式基于终端用户参数为云原生应用(包括基于云的服务或工作负载)提供过滤后的授权。在这样的实施方式中,可以在云环境中向云原生应用提供相应的身份。经由这样的云原生应用提供的数据可受到针对过滤后的授权的新范式的约束。过滤后的授权可以基于管理对每个业务中涉及的变化位置、安全要求和风险承受能力的适应的预定授权规则。作为这种过滤的结果,响应于所请求的业务,将仅提供符合适用规则的某些数据。例如,在欧盟通过《通用数据保护条例》之后,关于公民和居民的个人数据受到管理存储、处理、分布和出口的某些控制的约束。与现有技术系统相反,过滤后的授权允许管理员基于业务请求的属性(例如,请求用户的位置)来指定允许提供给不同业务工作负载的数据。这样,业务可能涉及在UK执行的第一工作负载,其结果可以提供给在德国的第二工作负载以提供最终结果。此类数据可以在暴露给请求者之前根据符合GDPR的政策进行过滤。这种过滤可涉及经由云原生应用接收业务请求。这种业务请求可以由请求用户发起,并且可包括可以用作授权过滤的基础的相关细节(例如,请求用户的位置)。业务请求可进一步分解为多个工作负载,每个工作负载可以与其自己的特定规则相关联。业务的这种细分可以基于请求用户是谁以及他或她的位置。因此,每个段可以提供某一结果,可以在暴露给请求用户之前基于授权规则和政策来过滤该结果的数据。因此,过滤后的授权充当公共数据存储的网守,其避免了冗余,提高了效率,并在处理源自不同位置的各种业务时提供了更大的灵活性和工作负载平衡。图1示出了可以实现用于过滤授权的系统的简化的网络环境。如所示出的,示例性网络环境100可包括各种不同的实体,包括各自位于相应位置处的实体A120A(例如,个人用户设备)、实体B120B(例如,个人用户)、实体C120C(例如,物联网(IoT)设备)和实体D120D(例如,服务器/服务器系统)。这样的实体120A-D可以通过一种或多种不同类型的通信网络110与一个或多个身份服务器A130A和B130B进行通信。通信网络110可包括本地专有网络(例如,内联网)和/或可以是较大的广域网的一部分。通信网络110可以是局域网(LAN),该局域网可以通信地耦接到诸如互联网的广域网(WAN)。互联网是允许在通过网络服务提供商连接的用户之间传输和交换互联网协议(IP)数据的互连的计算机和服务器的广泛网络。网络服务提供商的示例是公共交换电话网、蜂窝或移动服务提供商、电缆服务提供商、数字订户线(DSL)服务的提供商或卫星服务提供商。通信网络110允许网络环境100的各种组件之间的通信。在一些实例中,实体120A-D可以经由与云原生应用相关联的API网关(未绘出)通过通信网络110与身份服务器130通信。这样的API网关可以用作实体120到服务网格的入口点。API网关可以暴露公共端点以进行识别和认证,以及(例如,经由令牌以代理专门为API网关颁发的针对利用私钥签名的请求(例如,通过安全平面中的内部证书授权机构))将上下文数据注入到数据流中。API网关可以执行可以(例如,基于诸如用户属性、作用、关系、会话属性、当前位置、设备信息、使用的认证方法以及业务用户或设备的风险因素等因素)在身份服务器130中创建的丰富政策。实体120A-D可以使用任何数量的不同电子设备或体现在任何数量的不同电子设备中,诸如通用目的计算机、移动电话、智能手机、智能手表、可穿戴设备、个人数字助理(PDA)、便携式计算设备(例如,笔记本电脑、上网本、平板电脑)、台式计算设备、手持计算设备、智能传感器、智能器具、IoT设备、联网到用于智能控制的控制器、服务器和服务器系统(包括基于云的服务器和服务器系统)的设备或能够通过本文档来自技高网...
【技术保护点】
1.一种用于过滤的针对业务的授权的方法,所述方法包括:/n存储关于多个授权规则的信息,每个规则特定于一个或多个业务参数;/n接收由在远程位置的请求用户发送的业务请求,所述业务请求经由云原生应用发送;/n将所述业务请求分解为一个或多个业务段,其中,每个业务段与相应的位置相关联;/n识别适用于所接收的业务请求的每个业务段的授权规则集,其中,基于由所述授权规则集指定的所述业务参数来识别所述授权规则集;/n基于相应的所识别的授权规则集过滤所接收的业务请求的每个业务段的结果;和/n将过滤后的结果提供给所述请求用户。/n
【技术特征摘要】
【国外来华专利技术】20180629 US 62/692,3831.一种用于过滤的针对业务的授权的方法,所述方法包括:
存储关于多个授权规则的信息,每个规则特定于一个或多个业务参数;
接收由在远程位置的请求用户发送的业务请求,所述业务请求经由云原生应用发送;
将所述业务请求分解为一个或多个业务段,其中,每个业务段与相应的位置相关联;
识别适用于所接收的业务请求的每个业务段的授权规则集,其中,基于由所述授权规则集指定的所述业务参数来识别所述授权规则集;
基于相应的所识别的授权规则集过滤所接收的业务请求的每个业务段的结果;和
将过滤后的结果提供给所述请求用户。
2.根据权利要求1所述的方法,其中,还基于在所述远程位置的所述请求用户来识别所述授权规则集。
3.根据权利要求1所述的方法,其中,还基于相应段的相应位置来识别所述授权规则集。
4.根据权利要求1所述的方法,还包括:对所述业务段的至少一个进行采样。
5.根据权利要求1所述的方法,还包括:基于与所述业务请求相关联的数字签名来识别所述请求用户。
6.根据权利要求1所述的方法,其中,所述业务请求包括对个人识别信息(PII)的订阅。
7.根据权利要求1所述的方法,还包括:将所述授权规则集聚合到与所述业务相关联的包中。
8.根据权利要求1所述的方法,其中,所述业务段的每一个与不同的PII集相关联。
9.根据权利要求1所述的方法,还包括:审查业务段的每一个是否符合相应的适用规则集。
10.一种用于过滤的针对业务的授权的系统,所述系统包括:
存储器,所述存储器存储关于多个授权规则的信息,每个规则特定于一个或多个业务参数;
通信接口,所述通信接口接收由在远程位置的请求用户发送的业务请求,所述业务请求经由云原生应用发送;和
处理器,所述处理器执行在存储器中存储的指令,其中,通过所述处理器执行以下指令以执行以下步骤:
将所述业务请求分解为一个或...
【专利技术属性】
技术研发人员:N科芬,
申请(专利权)人:云实体公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。