CN101523403A - 用于在Web服务环境中同步策略控制的方法和系统 - Google Patents
用于在Web服务环境中同步策略控制的方法和系统 Download PDFInfo
- Publication number
- CN101523403A CN101523403A CNA2007800380954A CN200780038095A CN101523403A CN 101523403 A CN101523403 A CN 101523403A CN A2007800380954 A CNA2007800380954 A CN A2007800380954A CN 200780038095 A CN200780038095 A CN 200780038095A CN 101523403 A CN101523403 A CN 101523403A
- Authority
- CN
- China
- Prior art keywords
- strategy
- policy
- service
- resource
- change
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
松散地耦合分层资源空间中用于Web服务资源对象的策略控制,从而跨对象应用和实施策略改变。此技术确保不会对同一资源无意地应用不同的策略(例如,一个在Web服务入口级别,而其他在资源级别)。通过以上述方式同步对象,部署应用的实体和安全管理员都不需要知道在Web服务环境中发生的各种类型请求之间的差异。在代表性实施例中,在分层资源空间中链接资源对象以提供同步策略控制,其中所述策略是审核策略、服务质量(QoS)策略、服务水平协议(SLA)策略、管辖策略、兼容策略、补丁管理/漏洞管理策略、用户管理策略,以及权限管理策略。
Description
技术领域
本发明一般地涉及基于Web服务的访问和其他策略控制。
背景技术
Web服务是由URI识别的软件系统,其公共接口和绑定通过XML来定义和描述。其定义可以被其他软件系统发现。然后,这些系统可使用由互联网协议传送的基于XML消息通过Web服务定义所指定的方式与Web服务交互。
典型地,Web服务使用标准的、形式XML概念(称为Web服务的服务描述)来描述。服务描述通常符合机器可处理的格式,例如Web服务描述语言(或WSDL)。WSDL描述了与服务交互所必须的公共接口,包括详述操作、传输协议和位置的消息格式。所支持的操作和消息被抽象地描述,然后被绑定到具体的网络协议和消息格式。与Web服务连接的客户端程序读取WSDL,以确定在服务器上可提供何种功能。运行Web服务的计算实体通过给定传输协议使用基于XML消息传送来彼此通信。消息通常符合简单对象访问协议(SOAP),并且通过HTTP(通过公共互联网)或其他可靠传输机制(例如,用于通过企业内联网传送的技术和CORBA)来传送。Web服务隐藏了服务的实现细节,允许独立于在其上实现服务的硬件或软件平台,以及还独立于编写服务的编程语言来使用服务。这允许和鼓励基于Web服务的应用松散地耦合、面向组件,以及跨技术实现。Web服务通常履行特定任务或一组任务。它们可单独使用或与其他Web服务一起使用以执行复杂聚合或商业事务。与Web服务连接的客户端程序读取WSDL,以确定在服务器上可提供哪些功能。
随着Web服务的出现,计算资源以实现中立的方式暴露。因此,例如,考虑例如企业Java bean或“EJB”的可再用代码组件。典型地,在方法调用中通过访问控制决策来保护EJB。然而,当作为Web服务暴露时,通过Web服务名称、端口和操作来定义EJB,其中上述操作典型地代表方法。由于描述Web服务的方式(即,通过WSDL),此“操作”还可对应于由基于C的资源、基于CICS的资源等提供的相同功能。这可以说是能够通过单一的WSDL来描述给定功能(无论是否通过EJB、基于C的资源、基于CICS的资源等实现)的另一方式。通过抽象WSDL描述总体资源,然后通过该WSDL的具体绑定描述每个特定实施方式。
已知地,允许在WSDL级别将访问控制策略(例如,访问控制列表或ACL)应用到给定资源,这意味着对资源应用相同的访问控制策略,而不考虑其后端实施方式。典型地,在称为保护对象空间的虚拟表示的上下文中,对资源应用此类策略。保护对象空间是属于域的资源的逻辑和分层描述。在WSDL级别应用安全策略符合用于访问控制的“最佳实践”方法,其中优选地尽可能接近于“边缘”作出访问控制决策。然而,这种技术引入这样的潜在问题,即提供Web服务的实体具有在两个位置(即,在Web服务入口的操作级别决策,以及在应用级别的方法级别决策)中实现的相同授权决策。这又引入了对于同一资源应用两种不同访问策略的可能性,其中一个策略应用于Web服务/操作级别,另一个策略应用于应用/EJB级别。结果,为了避免潜在冲突,目前必须通过安全操作员手动跟踪和管理访问控制策略。
类似的操作限制存在于非安全相关的上下文中的Web服务环境之间,具体地,在这种环境之间给定事务对于一组资源(例如Web服务器、Web服务、Web应用、MQ队列等)具有多个“接触”点,并且这些资源中的每个资源都具有由不同实体配置和管理的策略(例如,审核策略)。与在访问控制环境中一样,各个策略被手动地跟踪和管理,并且它们通常不一致。
发明内容
在示例性实施例中,一种在Web服务环境中的同步策略控制的方法,包括以下步骤:生成一组事务资源的分层资源空间。然后,在所述分层资源空间中的相应元素之间定义(例如,使用可视映射工具)一个或多个松散耦合的集合。通过这些耦合定义一组映射规则。映射规则定义了分层资源空间中的一个对象内的元素的改变是否和如何影响所述分层资源空间中的一个或多个其他对象内的元素。在运行时,监视策略管理工具。如果资源空间对象之一中的元素发生策略改变(例如,更新),则根据映射规则解析此改变。如果作为解析的结果涉及给定映射规则,则对其他资源空间对象中的相应元素应用所述改变。所述改变可以单向的或双向的(意味着在两个方向上传播控制改变)。
所述策略控制可以是任意类型,包括但不限于:审核策略、服务质量策略、服务水平协议(SLA)策略、权限管理策略、管辖策略、兼容策略、补丁管理/漏洞管理策略、用户管理策略等。
以上概括了本发明的某些更相关的特征。这些特征应被理解为仅是示例性的。可通过以不同方式应用本发明或通过修改随后所述的本发明来达到许多其他有益效果。
附图说明
为了更好地理解本发明及其优点,现在结合附图引用以下描述,其中:
图1示出了在其中可执行本发明的Web服务环境;
图2是Web服务的代表性访问管理器;
图3是WSDL文档的代表性部分;
图4是代表性Web服务的保护对象空间;
图5是代表性WSDL绑定;
图6示出了访问管理器如何从WSDL生成WSDL的保护对象空间(POS);
图7是代表性资源级别的保护对象空间格式;
图8是与图5中所示的WSDL绑定关联的代表性资源级别的保护对象空间;
图9示出了访问管理器如何从应用服务器后端代码(例如EAR)生成资源特定的保护对象空间;
图10A和10B示出了如何在WSDL POS与资源特定的POS之间提供映射;
图11示出了根据一个实施例如何生成映射;
图12示出了在其中可执行本发明的分层资源空间;
图13示出了在Web服务环境中完成给定事务的一组资源的可能调用排序;
图14A示出了如图12所示的分层资源空间,其具有与一对资源对象关联的审核策略示例;
图14B示出了根据本发明的教导在资源对象审核策略之间的映射;
图15A示出了在其中可执行本发明的更复杂分层资源空间;
图15B示出了在图15A的分层资源空间中如何跨一对低级别资源对象来同步服务质量策略;
图16示出了在图15A-B所示的Web服务环境中完成给定事务的一组资源的可能调用排序;以及
图17是在其中可执行本发明的代表性数据处理系统的框图。
具体实施方式
众所周知,企业采用Web服务来改善安全域边界以内和之间的跨异构环境的应用集成。最近,结构化信息标准促进组织(OASIS)批准了各种Web服务安全(WSS)标准,以规定用于提供消息集成、保密性、身份传播和认证的可扩展框架。在典型情况下,如图1所示,从初始SOAP发送器100沿包括零个或多个SOAP中间装置104的SOAP消息路径向最终SOAP接收器102发送SOAP消息,所述SOAP中间装置104用于处理和潜在地转换SOAP消息。在此,SOAP的使用仅是示例性的,不应被看作限制本发明的范围,其不取决于用于传送保护消息的特定传输机制。设备100、102和104是例如分别包括硬件和软件的数据处理系统的计算实体,所述实体通过网络(例如,公共路由网络、内联网、外联网、专用网络、或任意其他通信介质或链路)彼此通信。如上所述,数据处理系统典型地包括一个或多个处理器、操作系统、应用服务器、一个或多个应用和一个或多个实用工具。给定数据处理系统可以是发送器或发送实体,在这种情况下,将系统看作在传输的“发送器侧”;或者给定数据处理系统可以是接收器或接收实体,在这种情况下,将系统看作在“接收器侧”。在数据处理系统上的应用提供对于Web服务的本机支持,包括但不限于支持HTTP、SOAP、XML、WSDL、UDDI和WSFL等。假定熟知这些技术和标准。可以从万维网联盟(W3C)获得关于SOAP、WSDL、UDDI和WSFL的更多信息,所述W3C负责开发和维护这些标准;可以从互联网工程任务组(IETF)获得关于HTTP和XML的更多信息。
WSDL是一种XML文档,其包括一组定义、在根处的定义元素,以及在根内部的一组附加定义。通过使用一组元素来定义服务,所述一组元素包括:类型(type),其提供用于描述交换的消息的数据类型定义;消息(messages),其代表所发送的数据的抽象定义;端口类型(portType),其是一组抽象操作;绑定(binding),其指定用于由特定端口类型定义的操作和消息的具体协议和数据格式规格;以及服务(service),其用于聚集一组相关端口。因此,WSDL描述了作用于消息的一个或多个端点的集合。操作和消息被抽象地描述,然后被绑定到具体的网络协议和格式以创建端点。因此,WSDL的抽象部分代表服务接口,并且典型地包括以下元素:类型、消息和端口类型;WSDL的具体部分代表服务接口的服务实施方式,并且典型地包括服务和绑定元素。因此,绑定元素典型地是引入“具体化”概念的位置。具体地说,典型地这是如图2的实例中所示定义SOAP绑定和传输方法的位置,其是示出用于天气预报Web服务的若干此类元素的代表性WSDL的一部分。此WSDL包括多个不同绑定,以及在该处获得Web服务的URL定义的HTTP可访问资源。如以下所述,服务元素中的信息可用于建立WSDL的保护对象空间(POS),例如,这通过在特定服务名称/地址下附加WSDL的POS(或WSDL绑定)来完成。
可以在包括访问管理器(其是防止资源的未授权使用的组件,包括防止以未授权方式使用给定资源)的系统中实现Web服务环境。代表性访问管理器是访问管理器产品,其可从IBM购买并在图3中示出。当然,此商业产品的标识不能理解为限制。更广泛地说,为此可使用提供策略/访问/服务决策的任意系统、设备、程序或处理。优选地,访问管理器提供符合开放组授权(azn)API标准的访问控制功能。此技术标准在访问控制工具符合国际标准ISO 10181-3中所述的体系框架的系统中定义了用于访问控制的通用应用编程接口。所述框架为参与访问请求的组件定义了四个角色:(1)启动器300,其提交访问请求(其中请求指定要执行的操作);(2)目标302,例如信息资源或系统资源;(3)访问控制执行功能(AEF)304;以及(4)访问控制决策功能(ADF)306。如图所示,AEF向ADF提交决策请求。决策请求询问应授权还是拒绝特定访问请求。ADF基于安全策略(例如在数据库308中存储的策略)来决定应授权还是拒绝访问请求。组件304、306和308包括访问管理器。典型地,使用访问控制列表(ACL)、保护对象策略(POP)、认证规则以及扩展属性的组合来定义安全策略。访问控制列表指定了用户集和组可在对象上执行的预定行为。例如,可授权组或用户的特定集合对对象进行读取访问。保护对象策略指定与影响所有用户和组的对象关联的访问条件。例如,可以针对对象设置当日时间限制,该限制在指定时间期间拒绝所有用户和组访问所述对象。授权规则指定了被评估以确定是否允许访问的复合条件。用于做出此决策的数据可基于请求的上下文、当前环境、或其他外部因素。例如,可以拒绝在八个小时的时间段内修改对象超过五次的请求。通过对需要保护的那些资源策略性地应用ACL、POP、和授权规则来实现安全策略。扩展属性是置于对象、ACL或POP上的可通过第三方应用(例如外部授权服务)读取和解释的附加值。访问管理器授权服务基于发出请求的用户的证书和在ACL、POP、认证规则和扩展属性中设置的特定许可和条件来做出允许或拒绝对资源进行访问的决策。
安全策略的目标是以最少量的管理工作充分保护商业财产和资源。首先,管理员定义应保护何种资源。这些资源可以是任意类型的数据对象,例如文件、目录、网络服务器、消息、数据库、队列、或Web资源。然后,管理员决定哪些用户和用户组应访问这些被保护的资源。备选地,管理员可决定哪些用户“角色”应访问这些被保护的资源(例如,其中给定被识别的用户可具有“银行出纳员”的角色)。管理员还决定应对这些资源许可何种类型的访问。最后,管理员将适当的安全策略应用于这些资源,以确保仅适当的用户才可访问它们。通过将安全策略应用于保护对象空间中的对象来控制对域中的对象的访问。
如本领域公知的,访问管理器(如图3所示)通过使用称为保护对象空间(或POS)的虚拟表示来表示域中的资源。保护对象空间是属于域的资源的逻辑和分层描述。典型地,保护对象空间的结构包括两种对象:资源对象和容器对象。资源对象是域中的实际物理资源(例如文件、服务、Web页面、消息队列等)的逻辑表示。容器对象是允许将资源对象以分层方式分组成不同的功能区的结构组件。可对这两种对象都应用安全策略。保护对象空间具有根容器对象。在根容器对象以下是一个或多个容器对象。每个容器对象代表包括一组相关资源的对象空间。这些资源可以是资源对象或容器对象。安全策略的成功实施需要逻辑地组织不同内容类型(以及应用适当的ACL、POP和授权规则)。此类分层保护对象空间的先前实施依赖于这些个体容器对象是不同的并且实际上是互斥的,例如,在消息队列容器下管理的资源不能同时在Web应用容器下被访问。
图4示出了示例性抽象Web服务的保护对象空间400,其包括一组分层对象,即,根对象402、容器对象404(其便于维护到一个或多个相关Web服务的单一路径)、一个或多个服务名称对象406和416(其标识一个或多个WSDL服务)、一个或多个端口类型对象408(其标识一个或多个WSDL端口类型)、以及一个或多个操作对象410(其标识WSDL指定的操作)。仅为了示例的目的,端口对象408具有关联的ACL 415,操作对象410中的一个也是如此,即具有ACL 418。两个服务406和416可以是同一整体类型的服务(例如,股票报价服务)的类似例示,或者它们可以是完全互不相关的服务,碰巧应用了相同的整体策略,其中此策略例如通过ACL 412来定义。
图5示出了用于资源的WSDL表示(图2中示出了其一部分)的保护对象空间树500,其中资源的实现(例如EJB与MQ队列)是未知的。整体保护对象空间通过根502锚定,其中根502具有多个子级,包括用于MQ队列的保护对象空间504、用于Web应用的保护对象空间506、Web服务容器508、和管理容器510。在Web服务容器508以下是天气容器512,其被定义为用于“天气服务”相关的服务。通过代表(在此实例中)天气预报服务和预报订阅服务的一对WSDL定义的服务514和516来示出此容器。在容器514和516以下的子树示出了两个不同的服务,它们通过一个Web服务容器512来表示。容器518和520在天气预报服务容器514以下,并代表Web服务定义的资源集的两个不同的绑定(HTTP与JMS)。容器522示出了用于预报订阅服务516的SMTP绑定。天气预报HTTP容器518具有若干操作容器,包括:获取一天预报容器524、获取一周预报容器526、和获取白天预报容器532。天气预报JMS容器520具有天气服务Q队列容器528,其本身具有获取一天预报容器534和设置一天预报容器538。容器524和534可能是同一资源。容器522具有预报订阅容器530,其本身具有用于订阅预报操作的子级容器536。许多容器具有关联的ACL,例如560、562和564。Web服务分支508的所有子级“继承”对保护对象空间树的整个Web服务分支应用的访问控制ACL 560。然而,应注意,Web服务天气预报服务容器514具有其自己的ACL 562,这意味着它不继承对保护对象空间的Web服务分支分配的ACL。同样,操作“获取一天预报”524具有其自己的ACL 564,这意味着它不继承对保护对象空间的天气预报服务子树分配的ACL 562。因此,WSDL定义的Web服务的此表示遵循最新水平的功能以便在保护对象空间层次中表示和管理ACL。应注意,定义保护对象空间,从而在服务接口级别应用粗粒度策略,在服务实现级别应用细粒度策略。
如图6所示,通过访问管理器生成以及管理具体的基于WSDL的保护对象空间。具体地,访问管理器600具有关联的Web服务安全管理组件602,其响应于访问管理器的访问控制决策功能而提供Web服务特定的访问控制实施功能。具体地,Web服务安全管理组件602获取资源(或资源集)的WSDL描述,并解析整个WSDL描述,包括具体的(服务实施方式)和抽象的(服务接口)描述。在联合身份管理器中,“wsdl2tfim”命令以自动方式执行此对象空间创建,尽管可以以任意方便的方式从WSDL执行保护对象空间的创建。
典型地,Web服务使用执行所需服务功能的一个或多个后端应用。典型地,应用级别资源还具有关联的保护对象空间。图7示出了用于一组后端资源的示例性应用服务器级别的保护对象空间700。仅为了图示的目的,图7中所示的保护对象空间700代表用于应用服务器的示例性保护对象空间,当然清楚地,可对其他应用服务环境应用此树结构的POS表示。保护对象空间700包含:根对象702(用于锚定POS)、Web应用服务器容器704、部署的资源对象706、角色名称对象708、应用名称对象710、单元名称对象712、主机名称对象714、以及服务器名称对象716。仅为了图示的目的,角色名称对象708示为具有关联的ACL 718,服务器名称对象也是如此,其具有关联的ACL 720。此保护对象空间反映了基于WebSphere应用服务器的资源的部署选项,其中可通过一个ACL(例如718)定义多个角色,其中在某些情况下对于给定服务器托管的资源(例如,与ACL 720一起示出)可覆盖此ACL。
图8示出了示例性应用级别POS的例示;在仅是代表性的此实例中,保护对象空间800与(例如通过EJB)管理天气预报生成功能的后端应用服务器关联。在此示例性POS中,天气预报应用802/806可通过预报员804或客户808角色的实体来访问(符合策略遵循)。具体地,预报员角色的个人或实体经由应用802设置天气预报,而客户角色的个人或实体经由应用806获得天气预报。
如图9所示,通过访问管理器生成应用特定的POS。具体地,访问管理器900具有关联的迁移工具902,其根据向工具输入的EAR文件904生成应用特定的POS 906。在访问管理器中,“migrateEAR4”命令以自动方式执行此对象空间创建,尽管可以以任意方便的方式执行从EAR(或其他后端代码组件)创建保护对象空间。用于商业集成的访问管理器具有以自动方式为环境执行此对象空间创建的类似工具。如图7所示的保护对象空间是迁移工具902的操作的结果。
根据一个所述实施例,为WSDL定义的保护对象空间定义用于Web服务的访问控制(所述控制基于抽象WSDL定义),并且所述访问控制因此优选地在每个绑定级别上与源自这些定义的具体WSDL绑定松散地耦合。此WSDL定义的POS又松散地绑定至资源特定的保护对象空间定义。利用此松散耦合以允许对抽象WSDL绑定的保护对象空间的改变(例如,更新)被过渡地应用于应用特定的保护对象空间。如果适合,可将资源特定的保护对象空间的改变应用于WSDL的保护对象空间。因此,根据此实施例,耦合可以是单向的(典型地,从WSDL POS到资源级别POS)或双向的(从WSDL POS到资源级别POS,反之亦然)。如可以看到的,此技术确保不会对同一资源无意地应用不同的安全策略(例如,一个在Web服务/操作级别,而另一个在应用/EJB级别)。通过以上述方式同步保护对象空间,部署应用的实体和安全管理员都不需要知道Web服务请求和应用请求之间的差异。
图10A通过实例的方式示出了上述技术。可以看出,Web服务容器1002包含天气预报服务WSDL POS 1006,后者又包含资源实施方式1008的HTTP绑定,后者又包含Web服务操作,例如1010、1012和1014。这类似于上述的图5。图10A中还示出了Web应用服务器容器1020及其保护对象空间,后者包括两个角色1024和1030,即预报员角色和客户角色。这些角色能够访问设置预报1026和获取预报1028应用,如图8所示。这些应用类似于作为WSDL保护对象空间的一部分暴露的应用,但是它们之间不存在针对这些资源允许ACL的联合管理的逻辑连接。例如,不存在确保ACL 1016、1018、1034和1036涉及相同资源的方式,并且如果它们涉及相同资源,则不存在管理它们的一致性方式。每个ACL都是必须被独立管理的其自己的实体。
图10B示出了此问题的解决方案。具体地,图10B示出了在实现时一个或多个松散耦合的集合如何跨这些假定为分散的保护对象空间提供ACL和策略的一致性管理。具体地,通过一组连接器1040和1042将天气服务1006的WSDL POS映射到应用服务器POS 1020。当然,连接器的数目仅是示例性的。在此实例中,连接器1040指示在WSDL 1000中的天气预报HTTP操作1008具有关联的预报员组许可,后者与POS 1002中的设置预报应用1026关联。同样,连接器1042指示在WSDL 1000中的获取一天预报操作1014具有关联的客户用户许可,后者与POS 1002中的获取预报应用1028关联。基于这些松散耦合,监视对WSDL 1000中的天气预报HTTP操作1008应用的ACL的任意许可改变,并将其适当地映射到POS 1002中的设置预报应用1026;同样,监视对WSDL 1000中的获取一天预报操作1014应用的ACL的任意许可改变,并将其适当地映射到POS1002中的获取预报应用1028。这样,以一致和同步的方式更新保护对象空间。维护了访问控制策略,与做出的请求的类型(无论是Web服务请求还是应用特定的请求)无关。
因此,上述技术提供了一种在Web服务环境中提供同步访问控制的方法,在所述环境中,典型地在若干位置(例如,在Web服务入口以及在给定后端应用中)执行给定授权决策。一般地说,同步访问控制的方法包括图11中所示的处理步骤。方法在步骤1100开始,在该步骤中,从WSDL生成Web服务保护对象空间。在步骤1102,从应用代码基础(例如企业档案文件(EAR)等)生成应用特定的保护对象空间。可以以离线的方式执行步骤1100和1102。这些步骤已在上文中以更高级别描述和示出,例如参见图6和图9。在步骤1104,然后在保护对象空间中的对应对象之间定义一个或多个耦合的集合。当然,跨保护对象空间耦合的对象的身份必然取决于在对象空间中定义的各种操作和方法,以及与之关联的安全策略。例如,通过使用如从各种商业来源购买的可视映射工具或经由如Eclipse软件开发环境的开源项目,可以以编程的方式或由用户直接定义这些耦合。将一组映射规则与定义的耦合关联。表示映射规则的一种方便方式是使用基于XML的策略语言,例如XACML或WS策略。因此,在图10B的实例中,映射规则指示在WSDL POS中的获取一天预报操作的改变涉及应用特定的POS中的获取预报应用;为其他识别的耦合定义了类似的映射规则。映射规则定义了一个保护对象空间中的元素的改变是否以及如何影响另一个保护对象空间中的元素。一旦进行了一个或多个对象耦合,则通过监视保护对象空间的改变并选择性地通过松散耦合传播这些更新,来以自动的方式实现安全策略同步。在此方面,每个POS关联有侦听器或过滤器。在步骤1106,同步方法等待对访问控制的更新。在步骤1108,对WSDL POS上设置的ACL的任意更新将触发该方法根据映射规则集合解析此改变。如果涉及给定映射规则,则对其他保护对象空间中的相应对象应用安全策略改变。这是步骤1110。如果不涉及映射规则,则不传播改变。映射规则定义了哪些改变是单向的(单方面),以及哪些改变是双向的(双方面)。如上所述,改变可以是单向的(例如,将具体WSDL的保护对象空间的改变传播至应用特定的保护对象空间,但是不能是相反方向)或双向的(意味着在两个方向传播访问控制改变)。这完成了本发明方法的基本处理。
本领域技术人员可以理解,以上技术并不限于仅与跨保护对象空间传播ACL改变一起使用。更一般地说,所述技术可用于跨第一保护对象空间和第二保护对象空间(或相反)同步任意安全策略(无论作为ACL、POP、授权规则还是作为扩展属性来实现)。此外,还可以在Web服务环境中使用所述技术以(基于用户的订阅参数)提供同步访问策略。一般地,所述技术可用于以自动的方式跨任意两个或更多个分层对象空间进行同步,与这些对象空间表示什么无关。只需这样一种工具,其用于定义对象耦合、监视给定对象属性的改变、根据一组映射规则解析改变、并随后传播改变。
根据本发明,将上述访问控制相关的技术扩展为在一个或多个非安全相关的环境中提供同步控制。这些上下文可能完全不同,但是通常涉及这样的情况,即Web服务环境中的给定事务涉及多个“接触”点(通常是一组资源),在所述“接触”点处,可以选择实施给定策略。虽然策略的类型可以完全不同,但是代表性实例包括但不限于,审核策略、服务质量(QoS)策略、服务水平协议(SLA)策略、权限管理策略、管辖策略、兼容策略、补丁管理/漏洞管理策略、用户管理策略等。
在非安全相关的上下文中,“保护对象空间”的概念统称为“分层资源空间”,在此指Web服务环境中的给定服务拓扑的可视表示。以下阐述了分层资源空间的实例。与保护对象空间类似,分层资源空间典型地包括通常属于域的资源的逻辑和分层描述。空间的结构也可以包括资源对象和容器对象。如上所述,资源对象是域中的实际物理资源(如服务器、服务、Web应用、消息队列等)的逻辑表示。容器对象是允许将资源对象以分层方式分组成不同的功能区的结构组件。图12是通过根1200锚定的代表性分层资源空间,其中根1200具有多个子级,包括MQ队列对象1202、Web应用对象1204、Web服务对象1206、以及管理容器1208。使用审核管理器工具,可定义给定审核策略并将其应用于一个或多个这些对象。以类似的方式,可使用服务质量管理工具来定义给定服务质量策略并将其应用于一个或多个对象,对于其他类型的策略也是如此。用于QoS管理的代表性工具包括例如用于SOA/实时事务的Tivoli综合应用管理器。当然,给定策略的成功执行需要在逻辑上组织不同的对象和它们的类型(以及应用适当的策略相关的规则)。此类分层资源空间的先前执行依赖于这些个体容器或资源对象是不同的并且实际上互斥,例如,在消息队列容器下管理的资源不能同时在Web应用容器下被访问。
现在,将通过涉及审核策略控制的实例描述本发明。假设Web服务环境中的给定事务涉及需要以给定方式被调用以完成事务的多个资源,并且一个或多个这些资源具有与其关联的审核策略。图13示出了一种此类情况,图13仅是代表一个可能资源排序,其中事务从Web服务器1300向Web服务1302向Web应用1304向MQ队列1306行进。如果此事务通过分层资源空间来表示,则所得到的空间可如图13A所示。可以看出,除了添加了Web服务器1210之外,此分层资源空间与图12中所示的类似。图14A中的Web服务器1210对应于图13中的服务器1300。在图14A中还可以看出,Web应用对象1204关联有审核策略A(标号1212),而Web服务器对象关联有审核策略B(标号1214)。这是多个审核策略如何应用于多个对象的实例。根据本发明,通过耦合1216来同步这些策略(可认为它们是单个策略的不同实例),如图14B所示。应注意,附图中的“U”旨在显示集合“合并”功能。这仅是示例性的,当然,耦合和加入策略的方式不限于任意特定技术。因此,可按照特定应用或Web服务环境的需要,定义策略的类型和同步的方向。在此实例中,就审核策略而言,与在边缘(Web服务器)审核相比,给定队列可能需要更多信息以便审核;结果,应在Web服务器处实施更一般的审核策略(合并-加入)。如上所述,在访问控制上下文中,可例如使用可视映射工具通过编程的方式或直接通过用户来定义耦合。此外,优选地,将一组映射规则与定义的耦合关联。表示映射规则的一种方便方式是使用基于XML的策略语言,例如XACML或WS策略。耦合可以是单向的,或双向的。在任一情况下,耦合具有这样的效果,即将Web应用服务器所需的审核策略(审核策略A)添加到Web服务器所需的审核策略(审核策略B)。在此示例性实施例中,通过合并或“加入”来实现耦合。典型地,通过合并完成策略传播,但这不是本发明所必须的。耦合确保了Web服务器不会审核建立用于Web应用的行为的全面、端对端审核报告所需的所有方面。如果Web应用后来放宽了需要收集的信息,则可以在Web服务器处更新此改变,其中还可放宽两个策略的合并。如果审核策略B本身需要由审核策略A放宽的信息,则Web服务器将仍然继续记录审核策略B。
如上所述,分层资源空间中的给定对象可关联有任意数目的不同策略。一般地,本领域技术人员可以理解,本发明的方法可用在Web服务环境中,以根据所讨论的策略提供以下项中的一个或多个:同步审核策略、同步服务质量控制、同步服务水平控制、同步权限管理控制等。在每个情况下,并且以先前所述的方式,优选地,本发明用于通过使用以下基本步骤在分层资源空间中跨任意两个或更多个资源对象(或在不同空间中跨两个或更多个资源或容器对象)以自动的方式提供此类同步,所述基本步骤包括:定义一个或多个对象耦合;监视给定对象属性的改变;根据一组映射规则解析所述改变;然后根据需要传播所述改变。这样,以透明的和自动的方式跨多个事务接触点在Web服务环境中实施给定策略。
当然,可以在以更细致的粒度水平定义策略(或策略实例)的分层资源空间中执行本发明。图15A示出一个这样的分层资源空间。在此空间中,根1500具有以下子级:MQ队列容器1502、Web应用容器1504、Web服务容器1506、和Web服务器容器1508。MQ队列关联有如资源对象1510和1512代表的队列A和B。Web应用容器1504关联有如资源对象1514和1516代表的应用A和B。Web服务容器1506关联有其他服务容器对象1518,后者又关联有如资源对象1520和1522代表的服务A和B。最后,Web服务器容器1508关联有如资源对象1524和1526代表的服务器A和B。因此,在此实例中,存在多个Web服务器/服务/应用/队列等,可以在同一资源空间中导出上述全部内容。此外,可以看出,对象空间提供了Web服务拓扑的基于树分层的表示。图16(类似于图13的简单情况)示出了此更复杂的服务拓扑的代表性事务流,再次示出如何跨一组资源调用一个或多个事务。在图16中,例如,一个事务流从服务器B 1602经过Web应用B 1604经过服务B 1606经过队列A 1608。使用本发明,然后跨对象容器和资源来管理(即同步)一个或多个策略或策略实例。
因此,例如,如图15B所示,假设服务器B的资源对象1526与服务质量(QoS)策略1528关联,并且应用B的资源对象1516具有QoS策略1530。根据本发明,由于代表性事务流(如图16所示),在这些对象之间提供耦合1532,从而以先前所述的方式同步QoS策略。
尽管在例如Web服务器/应用/服务/队列的资源对象的上下文中描述了本发明,但是本发明不限于此。给定资源对象或容器可包括数据库资源、大型机资源、应用资源(访问控制管理器、身份管理器、供应管理器、策略管理器)等。
上述技术可应用于所有类型的策略。如何实现特定策略在本发明的范围以外,因为此类机制和处理是本领域公知的。因此,例如,可使用如TivoliIntelligent Orchestrator/Provisioning Manager(Tivoli智能设备集成/供应管理器)来“接触”(配置)分层资源空间中的一个或多个组件,并使用此工具来定义、支配、管理和控制一个或多个策略。如上所述,本发明扩展了此类产品/工具,以便于在Web范围环境中跨一个或多个事务资源同步和自动协调策略。典型地,以上述的方式(即,通过跨例如分层资源空间的可视表示应用并随后通过编程的方式实施一个或多个映射)协调这些策略。如公知的,可以使用公知工具从整个基础设施(或其中的一些部分)的网络拓扑生成此类表示。
图17示出了代表性数据处理系统1700,其用于定义保护对象空间耦合、用于监视安全策略的改变,以及用于根据需要更新保护对象空间。适合于存储和/或执行程序代码的数据处理系统1700可包括至少一个处理器1702,其直接地或通过总线系统1705间接地连接至存储器元件。存储器元件可包括在程序代码的实际执行期间采用的本地存储器1704、海量存储装置1706、以及提供至少一些程序代码的临时存储以减少在执行期间必须从海量存储装置检索代码的次数的高速缓冲存储器1708。输入/输出或I/O设备(包括但不限于键盘1710、显示器1712、指点设备1714等)可直接地或通过中间I/O控制器1716连接至系统。网络适配器1718也连接至系统,以使得数据处理系统能够通过中间专用或公共网络1720连接至其他数据处理系统或设备。
本发明可采取完全硬件实施例、完全软件实施例或包含硬件和软件元素的实施例的形式。在一个优选实施例中,在包括但不限于固件、驻留软件、微码等的软件中实现本发明。此外,如上所述,本发明可采取可从计算机可用或计算机可读介质访问的计算机程序产品的形式,所述计算机可用或计算机可读介质提供用于计算机或任意指令执行系统或与其结合的程序代码。出于说明的目的,计算机可用或计算机可读介质可以是任何能够包含、存储、传送、传播或传输用于指令执行系统、装置或设备或与其结合的程序的装置。所述介质可以是电、磁、光、电磁、红外或半导体系统(或装置或设备)或传播介质。计算机可读介质的实例包括:半导体或固态存储器、磁带、可移动计算机盘、随机存取存储器(RAM)、只读存储器(ROM)、硬磁盘和光盘。光盘的当前实例包括压缩盘-只读存储器(CD-ROM)、压缩盘-读/写(CD-R/W)和DVD。
还可作为服务实现上述功能中的一个或多个,即:定义耦合、监视策略更新、以及跨分层资源空间传播改变。
尽管上文描述了通过本发明的某些实施例执行的操作的特定顺序,但是应理解,此类顺序是示例性的,因为备选实施例可以按不同顺序执行操作、组合某些操作、重叠某些操作等。在说明书中对给定实施例的引用指示所述实施例可包括特定特征、结构或特性,但是不必每个实施例都包括所述特定特征、结构或特性。
最后,尽管单独描述了系统的给定组件,但是本领域技术人员可以理解,可以在给定指令、程序序列、代码部分等中组合或共享某些功能。
Claims (12)
1.一种在Web服务环境中提供同步策略控制的方法,包括:
在分层资源空间中监视第一对象表示;以及
响应于所述第一对象表示的策略规则的改变,在所述分层资源空间中对相应第二对象的策略规则自动应用该改变。
2.如权利要求1所述的方法,其中所述策略规则与以下项中的一个或多个关联:
a)审核策略;
b)服务质量策略;
c)服务水平协议(SLA)策略;以及
d)权限管理策略。
3.如权利要求1或2所述的方法,还包括以下步骤:响应于所述第二对象的策略规则的改变,选择性地向所述第一对象回传该改变。
4.如权利要求1、2或3所述的方法,还包括以下步骤:定义将所述分层资源空间中的所述第一对象与所述分层资源空间中的所述第二对象关联的至少一个映射。
5.如权利要求4所述的方法,其中所述分层资源空间中的所述第一和第二对象中的每个对象是以下项之一:Web服务器对象、Web服务对象、Web应用对象,以及队列对象。
6.一种在Web服务环境中提供策略控制的计算机实现的方法,其中所述Web服务环境与资源空间的第一部分和所述资源空间的第二部分两者关联,所述方法包括:
将所述资源空间的所述第一部分中的对象映射至所述资源空间的所述第二部分中的对象;以及
响应于与所述第一对象关联的给定策略的改变,对与所述第二对象关联的给定策略自动应用该改变。
7.如权利要求6所述的计算机实现的方法,其中所述策略是以下项中的一个:审核策略、服务质量策略、服务水平协议(SLA)策略、管辖策略、兼容策略、补丁管理/漏洞管理策略、用户管理策略,以及权限管理策略。
8.如权利要求6或7所述的计算机实现的方法,其中所述资源空间是分层的,并且所述映射步骤在所述分层资源空间中将所述第一对象与所述第二对象关联。
9.如权利要求6、7或8所述的计算机实现的方法,还包括以下步骤:
响应于与所述第二对象关联的给定策略的改变,选择性地对与所述第一对象关联的给定策略应用该改变。
10.一种在Web服务环境中提供同步控制的计算机实现的方法,包括:
将第一对象空间中的对象与第二对象空间中的对象关联,其中所述第一对象空间与Web服务表示关联,所述第二对象空间与执行所述Web服务所需的资源关联;
监视所述第一对象空间中对象属性的改变;
在检测到对象属性的改变时,确定所述改变是否与所述第一对象空间中的对象关联;
如果所述改变与所述第一对象空间中的对象关联,则向所述第二对象空间中的对象传播所述改变,以便所述第一和第二对象空间保持同步;
其中对象属性的改变与以下项之一关联:审核策略、服务质量策略、服务水平协议(SLA)策略、管辖策略、兼容策略、补丁管理/漏洞管理策略、用户管理策略,以及权限管理策略。
11.一种在具有分层资源空间的Web服务环境中提供同步控制的计算机实现的方法,包括:
关联所述分层资源空间中的各给定对象;以及
相对于至少一个给定策略,自动使所述各给定对象保持同步;
其中所述给定策略是以下项之一:审核策略、服务质量策略、服务水平协议(SLA)策略、管辖策略、兼容策略、补丁管理/漏洞管理策略、用户管理策略,以及权限管理策略。
12.一种包括计算机可用介质的计算机程序产品,所述计算机可用介质具有计算机可读程序,其中所述计算机可读程序在计算机上执行时使得所述计算机执行以下方法步骤:
监视资源空间;以及
响应于所述资源空间中的第一对象的策略控制规则的改变,对所述资源空间中的相应第二对象的策略控制规则自动应用该改变;
其中所述策略规则与以下项之一关联:审核策略、服务质量策略、服务水平协议(SLA)策略、管辖策略、兼容策略、补丁管理/漏洞管理策略、用户管理策略,以及权限管理策略。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/550,822 US8291466B2 (en) | 2006-10-19 | 2006-10-19 | Method and system for synchronized policy control in a web services environment |
US11/550,822 | 2006-10-19 | ||
PCT/EP2007/061161 WO2008046888A2 (en) | 2006-10-19 | 2007-10-18 | Method and system for synchronized policy control in a web services environment |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101523403A true CN101523403A (zh) | 2009-09-02 |
CN101523403B CN101523403B (zh) | 2012-04-25 |
Family
ID=38874991
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007800380954A Active CN101523403B (zh) | 2006-10-19 | 2007-10-18 | 用于在Web服务环境中同步策略控制的方法和系统 |
Country Status (5)
Country | Link |
---|---|
US (1) | US8291466B2 (zh) |
JP (1) | JP5043950B2 (zh) |
KR (1) | KR20090069280A (zh) |
CN (1) | CN101523403B (zh) |
WO (1) | WO2008046888A2 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102497451A (zh) * | 2011-12-28 | 2012-06-13 | 用友软件股份有限公司 | 服务处理系统和服务处理方法 |
CN107111720A (zh) * | 2014-10-08 | 2017-08-29 | 甲骨文金融服务软件有限公司 | 对具有针对包含固定数量的值的分层组织的域定义的属性的对象的访问控制 |
Families Citing this family (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7584499B2 (en) * | 2005-04-08 | 2009-09-01 | Microsoft Corporation | Policy algebra and compatibility model |
US7693996B2 (en) * | 2006-03-06 | 2010-04-06 | Vmware, Inc. | Service level management system |
US8892737B2 (en) * | 2006-03-06 | 2014-11-18 | Vmware, Inc. | Network sniffer for performing service level management |
US8260831B2 (en) * | 2006-03-31 | 2012-09-04 | Netapp, Inc. | System and method for implementing a flexible storage manager with threshold control |
US20070233868A1 (en) * | 2006-03-31 | 2007-10-04 | Tyrrell John C | System and method for intelligent provisioning of storage across a plurality of storage systems |
US8341694B2 (en) * | 2006-07-08 | 2012-12-25 | International Business Machines Corporation | Method and system for synchronized access control in a web services environment |
US8291466B2 (en) | 2006-10-19 | 2012-10-16 | International Business Machines Corporation | Method and system for synchronized policy control in a web services environment |
JP5180232B2 (ja) | 2007-02-01 | 2013-04-10 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 改善されたメディア制御 |
US7953928B2 (en) * | 2007-02-22 | 2011-05-31 | Network Appliance, Inc. | Apparatus and a method to make data sets conform to data management policies |
US20080208926A1 (en) * | 2007-02-22 | 2008-08-28 | Smoot Peter L | Data management in a data storage system using data sets |
US20080228796A1 (en) * | 2007-03-14 | 2008-09-18 | Angelov Dimitar V | System and method for web services packaging |
US8577931B2 (en) * | 2007-05-21 | 2013-11-05 | Honeywell International Inc. | Systems and methods for modeling building resources |
US7792979B1 (en) * | 2007-06-29 | 2010-09-07 | Emc Corporation | Object tree walking |
US9043861B2 (en) * | 2007-09-17 | 2015-05-26 | Ulrich Lang | Method and system for managing security policies |
US20090083441A1 (en) | 2007-09-24 | 2009-03-26 | Microsoft Corporation | Synchronization of web service endpoints in a multi-master synchronization environment |
JP5222642B2 (ja) * | 2008-07-11 | 2013-06-26 | 京セラドキュメントソリューションズ株式会社 | 画像形成装置 |
US8244761B1 (en) * | 2007-10-18 | 2012-08-14 | United Services Automobile Association (Usaa) | Systems and methods for restricting access to internal data of an organization by external entity |
US8140978B2 (en) * | 2008-01-16 | 2012-03-20 | International Business Machines Corporation | System and method for providing information in a virtual world |
US8886571B2 (en) * | 2008-08-19 | 2014-11-11 | Oracle America, Inc. | System and method for service virtualization in a service governance framework |
US9047277B2 (en) * | 2008-12-18 | 2015-06-02 | Adobe Systems Incorporated | Systems and methods for synchronizing hierarchical repositories |
US8973112B2 (en) * | 2009-01-09 | 2015-03-03 | Verizon Patent And Licensing Inc. | System and method for providing a normalized security list |
US8590003B2 (en) | 2009-06-15 | 2013-11-19 | Microsoft Corporation | Controlling access to resources by hosted entities |
US8635707B1 (en) * | 2010-06-29 | 2014-01-21 | Emc Corporation | Managing object access |
US20120084325A1 (en) * | 2010-09-30 | 2012-04-05 | Teradata Us, Inc. | Master data management hierarchy merging |
US8763092B2 (en) * | 2010-09-30 | 2014-06-24 | International Business Machines Corporation | Implementing secured, event-based layered logout from a computer system |
US9589145B2 (en) | 2010-11-24 | 2017-03-07 | Oracle International Corporation | Attaching web service policies to a group of policy subjects |
US8650250B2 (en) | 2010-11-24 | 2014-02-11 | Oracle International Corporation | Identifying compatible web service policies |
US8560819B2 (en) | 2011-05-31 | 2013-10-15 | Oracle International Corporation | Software execution using multiple initialization modes |
US8914843B2 (en) | 2011-09-30 | 2014-12-16 | Oracle International Corporation | Conflict resolution when identical policies are attached to a single policy subject |
US9229787B2 (en) | 2012-12-13 | 2016-01-05 | Software Ag | Method and system for propagating modification operations in service-oriented architecture |
US9769034B2 (en) * | 2012-12-14 | 2017-09-19 | Futurewei Technologies, Inc. | Method and apparatus for policy based routing in information centric networking based home networks |
CN103973467A (zh) * | 2013-01-28 | 2014-08-06 | 中兴通讯股份有限公司 | 服务等级协定sla处理方法及装置 |
US9818085B2 (en) * | 2014-01-08 | 2017-11-14 | International Business Machines Corporation | Late constraint management |
US10248796B2 (en) | 2014-07-08 | 2019-04-02 | Sap Se | Ensuring compliance regulations in systems with dynamic access control |
US9537893B2 (en) | 2014-07-09 | 2017-01-03 | Sap Se | Abstract evaluation of access control policies for efficient evaluation of constraints |
US9235716B1 (en) * | 2014-07-09 | 2016-01-12 | Sap Se | Automating post-hoc access control checks and compliance audits |
US10031735B2 (en) | 2016-09-30 | 2018-07-24 | International Business Machines Corporation | Secure deployment of applications in a cloud computing platform |
US10554690B2 (en) | 2016-11-10 | 2020-02-04 | International Business Machines Corporation | Security policy inclusion with container deployment |
JP6935291B2 (ja) * | 2017-09-29 | 2021-09-15 | キヤノン株式会社 | 画像形成装置及びその制御方法 |
JP6375047B1 (ja) * | 2017-12-05 | 2018-08-15 | 株式会社サイバーセキュリティクラウド | ファイアウォール装置 |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5838903A (en) | 1995-11-13 | 1998-11-17 | International Business Machines Corporation | Configurable password integrity servers for use in a shared resource environment |
US5862323A (en) | 1995-11-13 | 1999-01-19 | International Business Machines Corporation | Retrieving plain-text passwords from a main registry by a plurality of foreign registries |
US5832211A (en) | 1995-11-13 | 1998-11-03 | International Business Machines Corporation | Propagating plain-text passwords from a main registry to a plurality of foreign registries |
JPH10171863A (ja) * | 1996-12-05 | 1998-06-26 | Hitachi Ltd | セキュリティ監査システム |
US6094721A (en) | 1997-10-31 | 2000-07-25 | International Business Machines Corporation | Method and apparatus for password based authentication in a distributed system |
US6170009B1 (en) * | 1998-07-17 | 2001-01-02 | Kallol Mandal | Controlling devices on a network through policies |
US6519647B1 (en) * | 1999-07-23 | 2003-02-11 | Microsoft Corporation | Methods and apparatus for synchronizing access control in a web server |
EP1117266A1 (en) * | 2000-01-15 | 2001-07-18 | Telefonaktiebolaget Lm Ericsson | Method and apparatus for global roaming |
US6986039B1 (en) | 2000-07-11 | 2006-01-10 | International Business Machines Corporation | Technique for synchronizing security credentials using a trusted authenticating domain |
US6986038B1 (en) | 2000-07-11 | 2006-01-10 | International Business Machines Corporation | Technique for synchronizing security credentials from a master directory, platform, or registry |
US20030046407A1 (en) * | 2001-08-30 | 2003-03-06 | Erickson John S. | Electronic rights management |
US7236973B2 (en) * | 2002-11-27 | 2007-06-26 | Sap Aktiengesellschaft | Collaborative master data management system for identifying similar objects including identical and non-identical attributes |
US20040111643A1 (en) * | 2002-12-02 | 2004-06-10 | Farmer Daniel G. | System and method for providing an enterprise-based computer security policy |
JP2005004549A (ja) * | 2003-06-12 | 2005-01-06 | Fuji Electric Holdings Co Ltd | ポリシーサーバ、そのポリシー設定方法、アクセス制御方法、プログラム |
US8452881B2 (en) | 2004-09-28 | 2013-05-28 | Toufic Boubez | System and method for bridging identities in a service oriented architecture |
US20070174031A1 (en) * | 2003-12-23 | 2007-07-26 | Roman Levenshteyn | Method and device for taking an access control policy decision |
US20050192925A1 (en) | 2004-01-16 | 2005-09-01 | Nichols Terry L. | Enterprise information system architecture (EISA) |
AU2005234070B2 (en) * | 2004-04-13 | 2009-02-05 | Oracle International Corporation | System and method for a virtual content repository |
US7418501B2 (en) | 2004-04-30 | 2008-08-26 | International Business Machines Corporation | Dynamic extension of network-accessible services |
US7882544B2 (en) | 2004-07-12 | 2011-02-01 | International Business Machines Corporation | Inherited role-based access control system, method and program product |
US8078671B2 (en) | 2005-09-21 | 2011-12-13 | Sap Ag | System and method for dynamic web services descriptor generation using templates |
US8291466B2 (en) | 2006-10-19 | 2012-10-16 | International Business Machines Corporation | Method and system for synchronized policy control in a web services environment |
-
2006
- 2006-10-19 US US11/550,822 patent/US8291466B2/en active Active
-
2007
- 2007-10-18 WO PCT/EP2007/061161 patent/WO2008046888A2/en active Application Filing
- 2007-10-18 JP JP2009532806A patent/JP5043950B2/ja not_active Expired - Fee Related
- 2007-10-18 KR KR1020097006412A patent/KR20090069280A/ko not_active Application Discontinuation
- 2007-10-18 CN CN2007800380954A patent/CN101523403B/zh active Active
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102497451A (zh) * | 2011-12-28 | 2012-06-13 | 用友软件股份有限公司 | 服务处理系统和服务处理方法 |
CN102497451B (zh) * | 2011-12-28 | 2014-06-18 | 用友软件股份有限公司 | 服务处理系统和服务处理方法 |
CN107111720A (zh) * | 2014-10-08 | 2017-08-29 | 甲骨文金融服务软件有限公司 | 对具有针对包含固定数量的值的分层组织的域定义的属性的对象的访问控制 |
CN107111720B (zh) * | 2014-10-08 | 2020-12-08 | 甲骨文金融服务软件有限公司 | 用于控制对于对象的访问的方法、介质、设备和装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2008046888A2 (en) | 2008-04-24 |
KR20090069280A (ko) | 2009-06-30 |
US20080098453A1 (en) | 2008-04-24 |
CN101523403B (zh) | 2012-04-25 |
JP2010507158A (ja) | 2010-03-04 |
US8291466B2 (en) | 2012-10-16 |
WO2008046888A3 (en) | 2008-06-12 |
JP5043950B2 (ja) | 2012-10-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101523403B (zh) | 用于在Web服务环境中同步策略控制的方法和系统 | |
US9692792B2 (en) | Method and system for managing security policies | |
US8341694B2 (en) | Method and system for synchronized access control in a web services environment | |
Hu et al. | Guide to attribute based access control (abac) definition and considerations (draft) | |
Nagaratnam et al. | The security architecture for open grid services | |
US7657924B2 (en) | Method and system for implementing authorization policies for web services | |
Lorch et al. | An XACML-based policy management and authorization service for globus resources | |
Abou El Kalam et al. | Access control for collaborative systems: A web services based approach | |
Pham et al. | On a taxonomy of delegation | |
Mont et al. | EnCoRe: dynamic consent, policy enforcement and accountable information sharing within and across organisations | |
Bagüés et al. | Enabling Personal Privacy for Pervasive Computing Environments. | |
Coetzee et al. | A trust and context aware access control model for web services conversations | |
Koshutanski | A Survey on distributed access control systems for web business processes. | |
Cantero et al. | A design for secure discovery services in the EPCglobal architecture | |
Fernandez et al. | Web services security | |
Höing et al. | An orchestration as a service infrastructure using grid technologies and WS-BPEL | |
Sinnott et al. | Architectural design patterns for security-oriented workflows in the social science domain | |
Karantjias et al. | Design principles of secure federated e/m-government framework | |
Salecha | Security and Secrets Management | |
EP4363977A1 (en) | Event-level granular control in an event bus using event-level policies | |
Alcalde Bagüés et al. | Enabling personal privacy for pervasive computing environments | |
Farroha et al. | 7.6. 3 Architecting a Secure Enterprise Data Sharing Environment to the Edge | |
Leune et al. | Security Implications of Event-Driven Interactions in Service-Oriented Computing | |
Dong et al. | Schema-driven security filter generation for distributed data integration | |
Pham et al. | Catalogue from Homo Faber 2007 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |