CN102906757A - 图授权 - Google Patents
图授权 Download PDFInfo
- Publication number
- CN102906757A CN102906757A CN2010800670342A CN201080067034A CN102906757A CN 102906757 A CN102906757 A CN 102906757A CN 2010800670342 A CN2010800670342 A CN 2010800670342A CN 201080067034 A CN201080067034 A CN 201080067034A CN 102906757 A CN102906757 A CN 102906757A
- Authority
- CN
- China
- Prior art keywords
- inquiry
- query
- node
- result
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
Abstract
本发明描述了与图授权相关联的系统、方法以及其他实施例。一个示例性方法包括检测到用户查询与授权查询共享钩节点。该示例性方法还可以包括通过对基础图执行用户查询来生成基础结果图并通过对基础结果图执行授权查询来生成经授权图。该方法还可以包括提供经授权图。
Description
背景技术
信息技术(IT)基础设施包括特定环境(例如组织)内的IT资产、组件、系统、应用以及资源。有向图可以用来通过提供IT基础设施内的关系的图形表示来对IT基础设施进行建模。通常在有向图内实现安全措施以保护底层IT基础设施。安全措施能够保护IT基础设施免受未授权访问、非故意修改、恶意攻击等。图授权(graph authorization)是能够用来针对用户或用户群组来授权对IT基础设施的各部分的访问的一种类型的安全措施。
传统图授权技术可能是低效、难以维护且过于复杂的。按照惯例,当管理员尝试将用户群组限制于模型的一部分时,从该群组接收到的查询的元素被修改以包含用于限制结果的限制规则。结果被限制于仅包含该用户群组应能够访问的组件。另外,管理员通常被迫在配置项级别(例如CI级别:CMDB模型中的对象或链接)手动地维护授权,确保其始终与用于每个用户群组的所需策略一致。这对于具有少量用户的小组织而言可能是简单的任务。然而,随着IT基础设施的增长且更多的用户利用IT基础设施,变得难以针对不同的用户群组维护自定义限制规则,尤其是因为必须修改每个新查询以遵守所述限制规则。手动地修改查询是低效的且容易出错的。这在实践中是不切实际的,因为解决该问题的通常方式是在每个CI内手动地保持授权信息并确保被显示给用户的所有CI通过安全策略过滤器。此过程留下数据库管理员来确定如何为几百万个CI定义授权策略。由于这将是巨大的手动任务,可以创建某种脚本以周期性地运行并插入授权策略信息。即使用脚本,管理员将必须以某种方式将授权策略转换成脚本并接受这样的事实:当数据库改变时,其可能相对于授权策略处于非一致状态直至下一个脚本执行。甚至自动修改查询也可能是处理密集且复杂的。此外,随着IT基础设施继续增长,限制规则还可能变得更加复杂。
附图说明
被结合在本说明书中并构成其一部分的附图说明本发明的各个方面的各种示例性系统、方法及其它示例性实施例。将认识到附图中的所示元件边界(例如,方框、方框组或其它形状)表示边界的一个示例。本领域的普通技术人员将认识到在某些示例中,可以将一个元件设计为多个元件或者可以将多个元件设计为一个元件。在某些示例中,可以将被示为另一元件的内部组件的元件实现为外部组件,并且反之亦然。此外,元件可以不是按比例绘制的。
图1说明处理用户查询和查询的各种结果的示例。
图2说明示例性方法、系统和等同物可以与之相交互的有向信息技术基础设施图的实施例。
图3说明与图授权相关联的方法的实施例。
图4说明与图授权相关联的系统的实施例。
图5说明与图授权相关联的系统的另一实施例。
图6说明其中示例性方法、系统以及等同物可以操作的计算环境的实施例。
具体实施方式
描述了与图授权相关联的方法和系统。在一个实施例中,由一组预定义授权拓扑查询来实现授权模型。在一个示例中,配置管理数据库(CMDB)保持信息技术(IT)基础设施的图形表示并使得用户能够使用拓扑查询语言(TQL)来运行拓扑查询。提供了允许CMDB管理员针对每组应用所有者定义授权规则的系统和方法。该规则针对给定查询定义了特定群组能够看到的部分结果。在本文中公开的技术使得能够实现不仅相对于特别查询、而且相对于主动查询的CI级别授权,在CMDB模型变化时在查询结果中发送Δ。一个效果是能够在用户的查询之上保持虚拟查询。
一个示例性方法包括检测到用户查询与授权查询共享钩节点(hook node)。钩节点可以与一类节点相关联。例如,在一个图中,可以将与主机位置(例如网际协议(IP)地址)相关联的节点视为钩节点。授权查询可以通过表示哪些用户和/或用户群组可以访问钩节点来限制对钩节点的访问。响应于检测到共享的钩节点,示例性方法还可以包括通过对基础图(base graph)执行用户查询来生成基础结果图。示例性方法还可以包括通过对基础结果图执行授权查询来生成经授权图。示例性方法还可以包括提供经授权图。对基础结果图执行授权查询可以比修改基础查询并执行经修改基础查询更快。这可能是因为基础结果图在尺寸上通常将远小于基础图。因此,对基础图的此小子集执行另一查询可以比对查询进行变换并执行经修改查询更快。
以一种方式,可以将此视为单个查询结果,其被许多群组/用户消耗,其中,每个接收由不同过滤器过滤的查询结果。授权查询是自动地应用的过滤器。因此,虽然用户相信他/她接收到针对用户定义的查询的结果,但用户实际上接收到在用户查询之上自动地生成的虚拟计算实体的结果。
参考图1,考虑如所示的用户查询和授权查询的示例。该授权查询可以限制可用IP域(例如IP 65.100.43.0…65.255.255.255)。原始用户的查询结果(表示为R0)保持所有应用“A”、运行软件RS、主机H、数据库DB和这些对象之间的链接(例如虚线包含被包含于查询结果中的对象)。结果R0包含对象A1-A3、RS1-RS4、DB以及其关联链接。然后在CMDB模型上计算授权查询,其中,钩节点在结果R0方面受到应用的限制。新结果将是R1,其包含对象RS1、RS2、H1、IP1以及其关联链接。然后定义计算实体V1,其是用户查询和授权查询在两个查询的运行软件RS节点处的交集。其结果是R2,包含对象A1、A2、RS1、RS2、H1、IP1以及其关联链接。第三计算实体V2被定义为用户查询在V1上的投影及其结果。在完成时,结果R3是用户接收到/看到的经过滤结果。结果R3包括对象A1、A2、RS1、RS2以及DB,因为投影函数从该结果过滤主机H1和IP1,因为它们不在用户查询的域中。
在一个示例中,授权查询包含钩节点和过滤规则。钩节点可以表示IT基础设施的元件。IT基础设施的元件可以是服务器、应用、数据库等。限制是由拓扑查询定义的且不限于钩节点上的属性条件(property condition)(例如图1中的示例)。当用户查询和授权查询共享钩节点时,根据授权查询来限制用户查询的结果可以基于与钩节点相关联的过滤规则来限制用户查询的结果。因此,用户只可以访问基础图的经授权部分。因此,经授权图可以通过限制用户访问来向底层基础图提供安全保护。
另外,在一个示例中,授权查询可以是用于用户群组的授权策略的一部分。该授权策略可以包含用于组织的用户群组的一组授权查询。该授权策略可以使安全维护过程成流线型,因为对授权查询的更新、添加或删除可以自动地应用于在基础图上运行的查询。其还允许不同群组的用户之间通过消耗通过不同授权规则组所过滤的同一拓扑查询的结果进行资源共享。
以下包括本文所采用的所选术语的定义。该定义包括落在术语的范围内且可以用于实现的组件的各种示例和/或形式。示例并不意图是限制性的。术语的单数和复数形式均可以在所述定义内。
对“一个实施例”、“实施例”、“一个示例”、“示例”等的参考指示被这样描述的实施例或示例可以包括特定的特征、结构、特性、属性、元素或限制,但是并不是每个实施例或示例都必需包括该特定特征、结构、特性、属性、元素或限制。此外,短语“在一个实施例中”的重复使用不一定指的是同一实施例,虽然其可以。
本文所使用的“计算机可读介质”指的是存储指令和/或数据的非临时介质。计算机可读介质可以采取包括但不限于非易失性介质和易失性介质的形式。非易失性介质可以包括例如光盘、磁盘等。易失性介质可以包括例如半导体存储器、动态存储器等。计算机可读介质的一般形式可以包括但不限于软盘、软磁盘、硬盘、磁带、其它磁介质、专用集成电路(ASIC)、压缩盘(CD)、其它光学介质、随机存取存储器(RAM)、只读存储器(ROM)、存储器芯片或卡、记忆棒以及计算机、处理器或其它电子设备能够从其进行读取的其它介质。
在某些示例中,使用“数据库”来指代保持在一个或多个非临时计算机可读介质中的表格。在其它示例中,“数据库”可以用来指代一组表格。在另外其它示例中,“数据库”可以指代一组数据存储库(data store)和用于访问和/或操纵那些数据存储库的方法。
本文所使用的“数据存储库”指的是能够存储数据的物理和/或逻辑实体。数据存储库可以是例如数据库、表格、文件、列表、队列、堆、存储器、寄存器等。在不同的示例中,数据存储库可以存在于一个逻辑和/或物理实体中和/或可以分布在两个或更多逻辑和/或物理实体之间。
本文所使用的“逻辑”包括但不限于硬件、固件、存储在存储器或非临时计算机可读介质中的指令、在机器上执行的指令和/或每个的组合以执行功能或动作和/或引起来自另一逻辑、方法和/或系统的功能或动作。逻辑可以包括指令控制微处理器、离散逻辑(例如ASIC)、模拟电路、数字电路、编程逻辑器件、包含指令的存储器件等。逻辑可以包括一个或多个门、门的组合或其它电路组件。在描述多个逻辑性逻辑时,可能可以将多个逻辑性逻辑结合成一个物理逻辑。同样地,在描述单个逻辑性逻辑的情况下,可能可以将该单个逻辑性逻辑分布在多个物理逻辑之间。
本文所使用的“查询”指的是促进收集和处理信息的语义结构。可以用数据库查询语言、对象查询语言(OQL)、自然语言等对查询进行阐述。
本文所使用“用户”包括但不限于一个或多个人、逻辑、计算机或其它设备或这些的组合。
图2示出了示例性TI基础设施的一部分中的实体之间的关系的有向图100的实施例。图100包括多个部门节点110(例如运营部门节点112、web(网络)部门节点114),其可以对应于负责维护与应用节点120和/或服务器节点130相关联的实体的部门。因此,IT基础设施图中的节点可能不一定束缚于特定的有形项目,而是可以例如促进说明IT基础设施与组织结构之间的关系。此外,虽然在图100中示出了多个节点和边,但本领域的普通技术人员将认识到这可能不是节点和边的穷举列表,并且节点所表示的种类仅仅是出于示例性目的而选择的且其他组织模式可以适用。
图100还包括多个应用节点120(例如内部网站应用节点122、外部网站应用节点124、第一运营应用节点126、第二运营应用节点128),其可以表示应用和/或应用在其上操作的计算机。图100还包括可以表示服务器的多个服务器节点130(例如第一数据库服务器节点132、第二数据库服务器节点134、web应用服务器节点136)。
在本示例中,图中的有向边用箭头来表示且说明IT基础设施的组件之间的关系。例如,将运营部门节点112连接至第一运营应用节点126的第一边E1可以表示公司的运营部门负责管理第一运营应用的事实。将第一运营应用节点126连接至第一数据库服务器节点132的第二边E2可以表示第一运营应用依赖于来自第一数据库服务器的数据的事实。虽然示出了有向图,但本领域的普通技术人员将认识到还可以使用无向图或使用某个其他组织方案的图来表示公司的IT基础设施。
与图授权相关联的方法、系统以及等同物可以与图100相交互。例如,可以使用图授权来保护图100免受未授权访问、非故意修改、恶意攻击等。在一个说明性示例中,图100可以表示IT基础设施。许多用户可以访问由图100所表示的信息和服务并利用其进行工作。例如,web部门114可以表示一组用户,其管理与来自特定区域的客户端相关联的数据。用户可以利用外部网站应用124来查找数据、修改数据等。外部网站应用124可以依赖于来自web应用服务器136的数据。还将认识到的是web应用服务器136可以包括多个服务器。该服务器可以具有其自己的网际协议(IP)地址。在下文将更详细地讨论的一个示例中,可以使用图授权来限制通过IP地址对web应用服务器的访问。
根据存储器内的数据位的操作的算法和符号表示提出了随后的详细说明的某些部分。这些算法描述和表示被本领域的技术人员用来向其他人传达其工作的实质。算法在这里且一般地被设想为产生结果的操作序列。所述操作可以包括物理量的物理操纵。
已经证明将这些物理量称为位、值、元素、符号、字符、项、数字等有时是方便的(主要由于常见用法的原因)。然而,应记住这些和类似术语将与适当的物理量相关联且仅仅是应用于这些量的方便标签。除非具体地另外说明,将认识到遍及本说明书,包括处理、计算、确定等的术语指的是操纵和变换被表示为物理(电子)量的数据的计算机系统、逻辑、处理器或类似电子设备的动作和过程。
参考流程图可以更好地理解示例性方法。虽然出于简化说明的目的,所示的方法被示为并描述为一系列的方框,但将认识到该方法不受方框次序的限制,因为某些方框可以按照与所示和所述的不同的次序和/或与其它方框同时地发生。此外,可以使用少于所有的所示方框来实现示例性方法。可以将方框组合或分离成多个组件。此外,附加和/或替换方法可以采用附加的未示出方框。
图3说明与图授权相关联的方法200的实施例。在210处,方法200包括检测到用户查询与授权查询共享钩节点。钩节点可以与诸如图100(参见图2)的信息技术(IT)基础设施的元件相关联。可以使钩节点与特定节点(例如运营部门节点112)或与一种类型的节点(例如数据库服务器节点)相关联。在一个示例中,钩节点可能不具有超过在用户查询与授权查询之间共享的区别性质(attribute)。然而,在另一示例中,钩节点可以是出于管理授权的目的而被附着于IT基础设施中的特定节点的特殊节点。授权查询可以包括钩节点和过滤规则。过滤规则可以是与钩节点相关联的条件。该条件可以促进限制对与钩节点共享性质的节点的访问。在一个示例中,授权查询可以是授权策略的一部分。该授权策略可以包括与访问基础图的用户相关联的一组授权查询。在220处,方法200包括通过对基础图执行用户查询来生成基础结果图。在230处,方法200包括通过对基础结果图执行授权查询来生成经授权图。在240处,方法200包括提供经授权图。在一个示例中,经授权图被提供给生成用户查询的用户。
返回参考图100(图2),在公司的外部网站应用上工作的用户可能对找出与关联于外部网站的应用相关联的信息以及与关联于应用的数据库相关联的信息感兴趣。因此,用户可以生成包含被连接至第二数据库服务器节点的运营应用节点的用户查询。在图100上运行此查询可以得到包含第一子图的图,该第一子图包括与第一运营应用节点126相关联的节点,第一运营应用节点126被连接至与第一数据库服务器节点132相关联的节点。该图还可以包含第二子图,第二子图包括与第二运营应用节点128相关联的节点,第二运营应用节点128被连接至与第二数据库服务器134相关联的节点。然而,运营应用节点可以被与图100相关联的授权策略视为钩节点。该授权策略可以具有指定用户应能访问什么运营应用节点的授权查询。通过在由用户查询生成的图上运行授权查询,可以使该图限制于第二子图。本领域的普通技术人员将认识到可以使用许多性质来限制该图(例如I.P.地址、物理位置、与基础图中的其他节点的关联)。
虽然图3示出了串行地发生的各种动作,但将认识到图3所示的各种动作可以基本上并行地发生。以说明的方式,第一过程可以检测共享的钩节点,第二过程可以生成基础结果图,第三过程可以生成经授权图,并且第四过程可以提供经授权图。虽然描述了四个过程,但要理解的是可以采用更大和/或更小数目的过程,并且可以采用轻量进程、正则进程(regular process)、线程及其它方法。
在一个示例中,可以将方法实现为存储的计算机可执行指令。因此,在一个示例中,非临时计算机可读介质存储在被机器(例如处理器)执行的情况下使该机器执行方法200的计算机可执行指令。虽然与方法200相关联的可执行指令被描述为被存储在计算机可读介质上,但要认识到与本文所述的其它示例性方法相关联的可执行指令也可以被存储在计算机可读介质上。
图4说明与图授权相关联的系统300的实施例。系统300包括保持在一个或多个非临时计算机可读介质中的配置管理数据库(CMDB)310。CMDB可以存储IT基础设施的组件的描述。CMDB 310还存储描述IT基础设施的组件之间的关系的基础图。基础图可以是有向图,并且可以类似于例如图100(图2)。图授权可以保护基础图免受未授权访问、非故意修改、恶意攻击等。
系统300还包括查询逻辑320。查询逻辑320对基础图执行基础拓扑查询以产生基础结果图。系统300还包括限制逻辑330。限制逻辑330被实现为根据过滤查询来限制基础结果图以产生经授权图。限制逻辑330可以当在基础拓扑查询中检测到与过滤查询所共享的钩节点时限制基础结果图。根据过滤查询来限制基础结果图可以包括控制查询逻辑以对基础结果图执行过滤查询。该过滤查询可以包括钩节点和过滤规则。可以使该钩节点与IT基础设施的组件相关联。该过滤规则可以促进限制对与IT基础设施的组件相关联的节点的访问。系统300还包括提供逻辑340。提供逻辑340被配置成提供经授权图(例如传送该图的电子形式、在显示屏上显示该图等)。
图5说明与图授权相关联的系统400的示例性实施例。系统400包括与参考系统300(图4)所述的那些类似的多个元件。例如,系统400包括存储在数据存储库中的配置管理数据库(CMDB)410、查询逻辑420、限制逻辑430以及提供逻辑440,其是分别与图4中的相应元件320、330和340类似地实现的。然而,系统400包括附加元件。系统400还包括接收逻辑450。接收逻辑450被实现为从客户端460接收基础拓扑查询。在本示例中,可以将基础拓扑查询提供给客户端460。系统400还包括授权策略数据存储库470。授权策略数据存储库470用来存储限制逻辑430所使用的过滤查询。
图6说明其中本文所述的示例性系统和方法以及等同物可以进行操作的计算设备的实施例。示例性计算设备可以是包括被总线540可操作地连接的处理器510、存储器520和输入/输出(I/O)端口530的计算机500。在一个示例中,计算机500可以包括被配置成通过限制对IT基础设施的组件的访问来向IT基础设施提供安全保护的图授权逻辑550。在不同的示例中,可以用硬件、存储器中的指令、执行中的指令、固件和/或其组合来实现图授权逻辑550。虽然图授权逻辑550被示为被附着于总线540的硬件组件,但要认识到的是在一个示例中,可以在处理器510中实现图授权逻辑550。
图授权逻辑550可以提供用于对基础图执行拓扑查询以生成第一结果图的装置(例如硬件、存储器中的指令、执行中的指令、固件)。可以将所述装置实现为ASIC。该装置还可以被实现为计算机可执行指令,所述计算机可执行指令作为数据560提供给计算机500并临时地存储在存储器520中并随后被处理器510执行。图授权逻辑550还可以提供用于对第一结果图执行安全查询以在检测到拓扑查询与安全查询共享钩节点时生成第二结果图的装置(例如硬件、存储器中的指令、执行中的指令、固件)。图授权逻辑550还可以提供用于提供第二结果图的装置(例如硬件、存储器中的指令、执行中的指令、固件)。
一般描述计算机500的示例性配置,处理器510可以是多种不同的处理器,包括双微处理器及其它多处理器架构。存储器520可以包括易失性存储器(例如RAM)和/或非易失性存储器(例如ROM)。
盘570可以经由例如输入/输出接口(例如,卡、设备)580和输入/输出端口510被可操作地连接到计算机500。盘570可以例如是计算机可读存储介质(例如先前在“计算机可读介质”下定义的)、磁盘驱动、固态磁盘驱动、软盘驱动、磁带驱动、压缩驱动、光学介质、闪速存储卡、记忆棒等。存储器520可以存储例如过程590和/或数据560。盘570和/或存储器520可以存储控制并分配计算机500的资源的操作系统。
总线540可以是单内部总线互连架构和/或其它总线或网状架构。虽然示出了单个总线,但将认识到计算机500可以使用其它总线(例如,外围部件快速互连(PCIE)、1394、通用串行总线(USB)、以太网)与各种设备、逻辑和外围设备进行通信。总线540可以是包括例如存储器总线、存储器控制器、外围总线、外部总线、纵横开关和/或本地总线的类型。
计算机500可以经由I/O接口580和输入/输出端口530与输入/输出设备相交互。输入/输出设备可以是例如键盘、麦克风、定点和选择设备、照相机、视频卡、显示器、盘570、网络设备599等。输入/输出端口530可以包括例如串行端口、并行端口和USB端口。
计算机500可以在网络环境中操作并因此可以经由I/O接口580和/或I/O端口530连接到网络设备599。通过网络设备599,计算机500可以与网络相交互。通过网络,计算机500可以在逻辑上连接到远程计算机。计算机500可以与之相交互的网络包括但不限于局域网(LAN)、广域网(WAN)及其它网络。
虽然已经通过描述示例说明了示例性系统、方法等,并且虽然已经相当详细地描述了示例,但使所附权利要求的范围约束于或以任何方式局限于此类细节并不是本申请人的意图。当然,不可能出于描述本文所述的系统、方法等的目的而描述组件或方法的每个想得到的组合。因此,本发明不限于所示和所述的特定细节、代表性设备和说明性示例。因此,本申请意图涵盖落在所附权利要求范围内的变更、修改和变化。
就已在详细说明或权利要求中采用了术语“包括”或“包含”而言,意图以与在被用作权利要求中的过渡词语时解释该术语时的术语“包括”类似的方式是包括性的。
就已在详细说明或权利要求中采用术语“或”(例如A或B)而言,意图意指“A或B或两者”。当申请人意图指示“仅A或B而不是两者”时,则将采用术语“仅A或B而不是两者”。因此,本文中的术语“或”的使用是包括性的,而不是排他性的使用。参见Bryan A. Garner的A Dictionary of Modern Legal Usage 624(1995第二版)。
就在本文中采用短语“A、B和C中的一个或多个”(例如被配置为存储A、B和C中的一个或多个的数据存储库)而言,意图传达一组可能性:A、B、C、AB、AC、BC和/或ABC(例如,数据存储库可以存储仅A、仅B、仅C、A和B、A和C、B和C和/或A和B和C)。并不意图要求A中的一个、B中的一个和C中的一个。当申请人意图指示“A中的至少一个、B中的至少一个和C中的至少一个”时,则将采用短语“A中的至少一个、B中的至少一个和C中的至少一个”。
Claims (15)
1.一种存储在被计算机执行时使计算机执行方法的计算机可执行指令的非临时计算机可读介质,所述方法包括:
检测用户查询与授权查询共享钩节点,
通过响应于所检测的用户查询而对基础图执行用户查询来生成基础结果图;
通过对基础结果图执行授权查询来生成经授权图;以及
以电子形式提供经授权图。
2.权利要求1的非临时计算机可读介质,其中,所述钩节点与信息技术(IT)基础设施的元件相关联。
3.权利要求1的非临时计算机可读介质,其中,所述授权查询包括钩节点和过滤规则。
4.权利要求3的非临时计算机可读介质,其中,所述过滤规则是与钩节点相关联的条件。
5.权利要求4的非临时计算机可读介质,其中,该条件促进限制对与钩节点共享性质的节点的访问。
6.权利要求1的非临时计算机可读介质,其中,所述授权查询是授权策略的一部分。
7.权利要求6的非临时计算机可读介质,其中,所述授权策略包括与访问基础图的用户相关联的一组授权查询。
8.权利要求1的非临时计算机可读介质,其中,所述用户查询是从用户接收到的,并且其中,所述经授权图被提供给用户。
9.一种系统,包括:
配置管理数据库(CMDB),被保持在一个或多个非临时计算机可读介质中以存储信息技术(IT)基础设施的组件的描述并存储描述IT基础设施的组件之间的关系的基础图;
查询逻辑,用以对基础图执行基础拓扑查询以产生基础结果图;
限制逻辑,根据过滤查询来限制基础结果图以当在基础拓扑查询中检测到与过滤查询共享的钩节点时产生经授权图;以及
提供逻辑,用以提供经授权图。
10.权利要求9的系统,其中,所述过滤查询包括钩节点和过滤规则,其中,钩节点与IT基础设施的组件相关联。
11.权利要求10的系统,其中,所述过滤规则促进限制对与IT基础设施的组件相关联的节点的访问。
12.权利要求9的系统,包括用以从客户端接收基础拓扑查询的接收逻辑,并且其中,所述提供逻辑向客户端提供经授权图。
13.权利要求9的系统,其中,根据过滤查询来限制基础结果图包括控制查询逻辑以对基础结果图执行过滤查询。
14.权利要求9的系统,包括用于存储过滤查询的授权策略数据存储库。
15.一种系统,包括:
用于对基础图执行拓扑查询以生成第一结果图的装置;
用于对第一结果图执行安全查询以当检测到拓扑查询与安全查询共享钩节点时生成第二结果图的装置;以及
用于提供第二结果图的装置。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2010/036107 WO2011149453A1 (en) | 2010-05-26 | 2010-05-26 | Graph authorization |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102906757A true CN102906757A (zh) | 2013-01-30 |
| CN102906757B CN102906757B (zh) | 2015-12-16 |
Family
ID=45004212
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080067034.2A Active CN102906757B (zh) | 2010-05-26 | 2010-05-26 | 图授权 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8676844B2 (zh) |
| EP (1) | EP2577494A4 (zh) |
| CN (1) | CN102906757B (zh) |
| WO (1) | WO2011149453A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013141832A1 (en) * | 2012-03-21 | 2013-09-26 | Hewlett-Packard Development Company, L.P. | Topological query in multi-tenancy environment |
| US9703834B2 (en) | 2012-03-21 | 2017-07-11 | Hewlett Packard Enterprise Development Lp | Topological query in multi-tenancy environment |
| US9998969B2 (en) | 2013-03-15 | 2018-06-12 | Facebook, Inc. | Portable platform for networked computing |
| US10514854B2 (en) | 2016-11-04 | 2019-12-24 | Microsoft Technology Licensing, Llc | Conditional authorization for isolated collections |
| US10924467B2 (en) | 2016-11-04 | 2021-02-16 | Microsoft Technology Licensing, Llc | Delegated authorization for isolated collections |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1507732A (zh) * | 2001-05-11 | 2004-06-23 | ض� | 授权访问服务器上的资源的方法和系统 |
| CN101042699A (zh) * | 2007-04-28 | 2007-09-26 | 华中科技大学 | 基于访问控制的安全搜索引擎系统 |
| US20070240203A1 (en) * | 2006-04-11 | 2007-10-11 | Medox Exchange, Inc. | Relationship-based authorization |
| CN101299216A (zh) * | 2008-05-28 | 2008-11-05 | 华为技术有限公司 | 权限管理方法、装置及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050132054A1 (en) * | 2003-12-10 | 2005-06-16 | International Business Machines Corporation | Fine-grained authorization by traversing generational relationships |
| US7424530B2 (en) * | 2004-05-06 | 2008-09-09 | International Business Machines Corporation | Method for visualizing results of root cause analysis on transaction performance data |
| US7720858B2 (en) * | 2004-07-22 | 2010-05-18 | International Business Machines Corporation | Query conditions-based security |
| US8302164B2 (en) * | 2004-07-22 | 2012-10-30 | Facebook, Inc. | Authorization and authentication based on an individual's social network |
| US7506364B2 (en) * | 2004-10-01 | 2009-03-17 | Microsoft Corporation | Integrated access authorization |
-
2010
- 2010-05-26 US US13/696,398 patent/US8676844B2/en active Active
- 2010-05-26 EP EP10852293.9A patent/EP2577494A4/en not_active Withdrawn
- 2010-05-26 WO PCT/US2010/036107 patent/WO2011149453A1/en active Application Filing
- 2010-05-26 CN CN201080067034.2A patent/CN102906757B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1507732A (zh) * | 2001-05-11 | 2004-06-23 | ض� | 授权访问服务器上的资源的方法和系统 |
| US20070240203A1 (en) * | 2006-04-11 | 2007-10-11 | Medox Exchange, Inc. | Relationship-based authorization |
| CN101042699A (zh) * | 2007-04-28 | 2007-09-26 | 华中科技大学 | 基于访问控制的安全搜索引擎系统 |
| CN101299216A (zh) * | 2008-05-28 | 2008-11-05 | 华为技术有限公司 | 权限管理方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2577494A1 (en) | 2013-04-10 |
| US20130060758A1 (en) | 2013-03-07 |
| CN102906757B (zh) | 2015-12-16 |
| EP2577494A4 (en) | 2017-11-01 |
| WO2011149453A1 (en) | 2011-12-01 |
| US8676844B2 (en) | 2014-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9747127B1 (en) | Worldwide distributed job and tasks computational model | |
| Hussain et al. | Social data analytics tool (sodato) | |
| Peukert et al. | Rewrite techniques for performance optimization of schema matching processes | |
| Erraissi et al. | A big data hadoop building blocks comparative study | |
| Zhang et al. | Privacy preservation over big data in cloud systems | |
| CN102906757B (zh) | 图授权 | |
| Lemoudden et al. | Managing cloud-generated logs using big data technologies | |
| Ansari et al. | Evaluation of big data frameworks for analysis of smart grids | |
| Zhang et al. | SaC‐FRAPP: a scalable and cost‐effective framework for privacy preservation over big data on cloud | |
| Zhuge et al. | Basic operations, completeness and dynamicity of cyber physical socio semantic link network CPSocio‐SLN | |
| CN1904855B (zh) | 自动使卷容器中的存储区域网络的组件相关的系统和方法 | |
| US20120233220A1 (en) | Controlling Access To A Computer System | |
| CN109634802A (zh) | 进程监控方法及终端设备 | |
| Bauer et al. | Building and operating a large-scale enterprise data analytics platform | |
| CN105827744A (zh) | 云存储平台的数据处理方法 | |
| CN106302656A (zh) | 云存储平台的医药数据处理方法 | |
| CN115203435A (zh) | 基于知识图谱的实体关系生成方法及数据查询方法 | |
| Koren et al. | The impact of distributed data in big data platforms on organizations | |
| Constantinov et al. | Performing real-time social recommendations on a highly-available graph database cluster | |
| CN106844242B (zh) | 一种数据交换方法和系统 | |
| Weiß | Sampling in data mining | |
| Patnaik | Big Data Analytics: An Approach using Hadoop Distributed File System | |
| CN110837365A (zh) | 一种基于词根表的脚本辅助设计方法及装置 | |
| Darius et al. | From Data to Insights: A Review of Cloud-Based Big Data Tools and Technologies | |
| Nasrullah et al. | A Study of Performance Evaluation and Comparison of NOSQL Databases Choosing for Big Data: HBase and Cassandra Using YCSB |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170204 Address after: American Texas Patentee after: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP Address before: American Texas Patentee before: Hewlett-Packard Development Company, L.P. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180619 Address after: American California Patentee after: Antite Software Co., Ltd. Address before: American Texas Patentee before: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP |
|
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: Utah, USA Patentee after: Weifosi Co., Ltd Address before: California, USA Patentee before: Antiy Software Co.,Ltd. |