本申请描述了一种云计算环境中的认证系统(705,707,710)。授权系统被配置成允许所述云计算环境的多个用户(701a-d)和应用(702,706,708,709)出具关于其他用户和应用的属性的认证。所述授权系统还被配置成控制对所述认证的访问,并且被配置成允许所述云计算环境的多个用户和应用查询所述授权系统以确定规定的用户或应用是否具有规定的属性。还描述了控制对云计算环境中的资源的访问的方法以及还提供安全认证的方法。?
【技术实现步骤摘要】
【国外来华专利技术】授权控制
技术介绍
云计算环境可以提供被从底层物理硬件中抽象的计算基础设施。云计算环境可以通过提供用于根据需求创建虚拟机(VM)的能力来实现(de I i ver )基础设施即服务(IaaS ),所述虚拟机具有诸如尺寸、操作系统、块设备的数目等的定义的属性。可以从底层物理硬件中挖掘这些VM,所述这些VM可以被形成为封装网络。图1图示了云计算环境的示例。在图1中所示出的示例中,示出了物理计算硬件基础设施101。所述物理计算硬件基础设施能够例如包括一个或多个数据中心等等,所述数据中心包括多个服务器、一个或多个超级计算机或计算资源的任何集合或网络。物理硬件可以被一个组织拥有和控制,并且被使得其他组织可获得,例如作为基础设施即服务和/或平台即服务业务的一部分,或者硬件能够是作为针对其自己的用户的云计算环境而操作的单一组织的硬件。物理硬件可以被用来根据需求将适当的VM提供给用户。VM可以与用于操作和数据存储的卷(即虚拟盘)相关联。在一个实施方式中,VM和卷被提供在单元内,其中每个单元是包括一个或多个VM和/或卷的封装网络。在云计算环境的实施方式中,单元是得自底层物理基础设施的虚拟化基础设施,其可以通过封装与由相同的物理基础设施所提供的其他虚拟资源分离。换句话说,单元是虚拟资源的集合,所述虚拟资源可以被隔离在虚拟安全边界内,并且其中,网络安全规则可以控制任何数据业务进入或离开所述单元。单元因此可以提供虚拟网络,所述虚拟网络可以被连接到更广泛的网络,并且在所述虚拟网络中,除了通过能够被单元的拥有者所控制的连接规则以外,网络安全规则可能意味着一个单元与另一个单元隔离。默认情况下每个单元都可以与所有其他单元彻底地隔离,尽管单元的拥有者能够通过网络访问规则来控制所述单元与外部实体的交互。在单元内又一个虚拟机可以被实例化并且可以形成虚拟网络。卷是单元的部件。在云计算的背景下,卷是可被VM访问的虚拟部件,所述VM提供了永久存储以便保持VM的状态或用来形成VM的图像或部件。在云计算的背景下,卷被自任何底层物理存储硬件中抽象出来,并且因此与任何特定的存储资源或资源的类型分离并且未捆绑到任何特定的存储资源或资源的类型,但是提供具有诸如尺寸之类的定义属性的单一不同的虚拟存储资源。图1示出了第一用户102正在运行两个单元103和104。用户102经由通过例如用户的本地工作站所提供的用户接口来访问单元。用户102针对单元规定了 VM和相关联的卷的数目和属性。单元103示出了若干VM 105-1至105-5的说明性网络,每个VM都具有相关联的卷106-1至106-5。单元104示出了包括具有三个相关联的卷108-1至108-3的单个VM 107的说明性网络。图1还图示了另一用户109正在运行不同的单元110。在一些实施例中,用户可以共享云计算环境内的服务,并且运行在云计算环境内的应用可以自主地与其他应用交互。因此,云计算环境可以以松散耦合的、自主服务的集合为特征。附图说明现在将参考以下图仅通过示例对实施方式进行描述,图中 图1图示了云计算环境和多个单元的示例; 图2图示了卷管理系统的实施方式; 图3图示了云计算环境中的授权系统的实施方式; 图4图示了使用授权系统来出具认证的实体的实施方式; 图5示出了出具认证的一个方法的流程 图6示出了查询实体是否具有授权的一个方法的流程图;以及 图7图示了授权系统的多个实例的实施方式。具体实施例方式在许多计算环境中以及尤其在云计算环境中安全是重要的考虑事项。安全的重要方面是用于控制对服务和资源的访问的授权。例如,图2图示了可以被与多个用户202a和202b共享的卷管理服务201。卷管理服务201可以允许用户创建和修改单元卷,即可以被附加到在用的虚拟机(VM)的虚拟盘。卷管理服务在基于单元的云计算环境中可以被实例化在其自己的单元内,并且可以提供卷管理服务器VM 203以便执行各种管理功能。用户202a可以连接到卷管理服务器203并且能够访问该用户的单元卷204a。用户202b也可以连接到卷管理服务器203以访问由用户202b所拥有的单元卷204b。一般而言,用户202a可能想要成为能够访问用户202a拥有的卷204a的唯一用户。然而在一些情况下,用户202a可能是想允许一个或多个其他用户(例如,用户202b)访问用户202a拥有的卷中的一个或多个。此外,出于执行卷的扫描的目的,用户202a可能想要允许云计算环境中的一个或多个应用(例如,应用205)例如病毒扫描应用能够访问卷204a。图3图示了认证系统的实施方式,所述认证系统例如云计算环境中用于控制对服务和资源的访问的授权系统。图3示出了访问应用302的实体301,所述实体301在本示例中可以是访问诸如上述的卷管理服务器VM的用户。然而显然实体301还能够是云计算环境的应用。用户301可以访问卷管理服务器并且请求关于卷303的动作。卷管理服务器需要确定用户301是否被授权以对所规定的卷执行所请求的动作。例如,如果用户试图访问可用卷的列表或者针对满足特定标准的卷执行搜索,则卷管理服务器需要确定用户301被授权发现哪些卷,例如具有读访问权。如果用户301选择了特定卷并且试图修改该卷,则卷管理服务器需要确定用户301是否具有修改该卷的授权,例如已经许可了对该特定卷的写访问权。卷管理服务器因此联系授权系统304,以确定用户301是否具有对所规定的资源执行所请求的动作的必要授权。在一个实施方式中,卷管理服务器生成查询,所述查询询问授权系统用户301是否被授权对所规定的资源执行所请求的动作。在一个实施方式中,授权系统304可以包括与卷管理服务器进行交互的授权服务器VM 305。授权系统304控制对认证的存储306的访问,所述存储306支配授权。认证是语句,其已经被实体预先出具,其指示另一个实体(认证的主体)具有特定属性。认证因此是主体具有相关属性的预先出具的确认。属性可以是用于执行某动作的许可和/或属性可以是与访问相关的主体的任何属性。认证是能够赖以进行授权决定的安全语句。在一个实施方式中,授权系统为出具的认证提供安全。授权系统在授权服务器305处接收查询,并且将所述查询传递到决定引擎307。所述决定引擎根据已经被出具的认证的存储306来确定用户301是否具有对所规定的资源执行所请求的动作的授权。决定引擎307因此进行关于用户301是否被授权的决定,并且充当策略决定点(PDP)。授权系统然后可以以关于针对该动作用户301是否被授权的决定的结果来响应卷管理服务器302 (经由授权服务器305)。卷管理服务器302然后使用本决定的结果来相应地许可或者拒绝用户301访问。应用即本示例中的卷管理服务器因此充当策略实施点(PEP)。应当认识到的是,云计算环境中的授权系统可以包括一个或多个虚拟机(VM)。例如,授权服务器可以是在底层物理基础设施内实例化的VM,即底层计算机硬件提供授权服务器。认证的存储306可以由附加到VM并且实现在底层物理基础设施内的一个或多个卷来提供。卷管理服务器可以检验用户301的身份,即卷管理服务器可以验证用户301。在一个实施方式中,卷管理系统在向授权系统生成查询之前验证用户301的身份。卷管理服务器可以使用任何类型的验证,例如本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种云计算环境中的认证系统(705,707,710),其被配置成 允许所述云计算环境的多个用户(710a-d)和应用(702,706,708,709)出具关于其他用户和应用的属性的认证; 控制对所述认证的访问;以及 允许所述云计算环境的多个用户和应用查询所述授权系统,以确定规定的用户或应用是否具有规定的属性。2.如权利要求1所述的认证系统,其中,关于其他用户的属性的所述认证包括其他用户和应用的授权,使得所述授权系统被配置成 允许所述云计算环境的多个用户和应用出具关于其他用户和应用的授权的认证;以及 允许所述云计算环境的多个用户和应用查询所述授权系统,以确定规定的用户或应用是否具有规定的授权。3.如权利要求1或权利要求2所述的认证系统,其被配置成存储用户或应用的身份的指示,所述用户或应用出具具有所述认证的认证。4.如权利要求3所述的认证系统,其被配置成验证出具认证的用户或应用的身份。5.如前述权利要求中任一项所述的认证系统,其中,所述认证包括对于资源的访问权限认证,所述访问权限认证包括相关资源、经授权的用户和应用以及所准许的动作的指示。6.如权利要求5所述的认证系统,其中,所述相关资源的指示包括到所述相关资源的路径。7.如前述权利要求中任一项所述的认证系统,其中,所述认证可以规定用户的组。8.如权利要求7所述的认证系统,其中,所述认证包括组认证,所述组认证规定了为组的成员的所述用户或应用。9.如前述权利要求中任一项所述的认证系统,其中,关于属性的所述认证通过...
【专利技术属性】
技术研发人员:NJ爱德华兹,MJ雷,JM阿尔卡拉斯卡莱罗,P戈尔德萨克,
申请(专利权)人:惠普发展公司,有限责任合伙企业,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。