CN103530106B - 用于职责分离的上下文相关的事务性管理的方法和系统 - Google Patents
用于职责分离的上下文相关的事务性管理的方法和系统 Download PDFInfo
- Publication number
- CN103530106B CN103530106B CN201310270653.7A CN201310270653A CN103530106B CN 103530106 B CN103530106 B CN 103530106B CN 201310270653 A CN201310270653 A CN 201310270653A CN 103530106 B CN103530106 B CN 103530106B
- Authority
- CN
- China
- Prior art keywords
- context
- level
- confidence
- cloud service
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Human Resources & Organizations (AREA)
- Operations Research (AREA)
- Economics (AREA)
- Marketing (AREA)
- Data Mining & Analysis (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种用于职责分离的上下文相关的事务性管理的方法和系统。使用业务规则在云环境中为组织进行服务的上下文相关的事务性管理包括生成表示所述组织和所述业务规则的分区图,其中所述业务规则包括一个或多个职责分离要求。当接收到来自云服务的最终用户的访问请求时,判定对所述云服务的所述访问请求是否违反所述一个或多个职责分离要求中的任何一个。根据对所述云服务的所述访问请求不违反所述一个或多个职责分离要求中的任何一个的判定,许可所述最终用户进行利用所述云服务的事务。根据对所述云服务的所述访问请求违反所述一个或多个职责分离要求之一的判定,拒绝所述最终用户进行利用所述云服务的事务。
Description
相关申请的交叉引用
本申请是2012年7月2日提交的标题为CONTEXT-DEPENDENT TRANSACTIONALMANAGEMENT FOR SEPARATION OF DUTIES(用于职责分离的上下文相关的事务性管理)的第13/539,995号美国申请的延续,其所有内容在此引入作为参考。
技术领域
本发明涉及访问管理,更具体地,涉及用于为职责分离提供上下文相关的事务性管理的计算机程序产品和系统。
背景技术
一般而言,职责分离包括与人员、软件、数据等相关的各种控制。许多组织都利用职责分离来控制个人和团体对组织中的各种软件和数据的访问。职责分离可以用于防止欺诈和错误、保护商业机密信息、控制与机器或业务过程的事务、控制对敏感数据的访问,实施安全和许可策略等。一种执行职责分离的方法包括在多个用户之间分离单个业务过程的功能和关联特权。业务过程一般可以被分为四种类型的功能:授权、监管、记录保存和调节。为了减少欺诈或错误的可能性,单个人员可能不会被授权参与业务过程的多种类型的功能。例如,公司费用报销的业务过程包括以下功能:请求报销和检验收据。这些功能应该被分离并由不同员工完成以防止欺诈和错误。
传统上,通过控制对组织成员使用的个体计算机和软件的物理访问,处理职责分离的许多要求。但是,最近组织开始利用云计算服务而不是本地部署的应用。一般而言,云计算指基于服务器的计算,其允许用户使用各种设备进行与服务器资源的事务。云计算应用由服务器提供,这允许用户使用应用而无需在他们自己的设备上下载并安装应用。因此,当前的职责分离方法可能不适合于在云计算环境中使用。
发明内容
根据一个示例性实施例,提供了一种用于在云环境中提供上下文相关的事务性管理的方法。所述方法包括:接收为组织创建用于控制利用云服务的事务的业务规则的请求,并通过生成表示所述组织和所述业务规则的分区图(partitioned graph),提供所述云服务的用于供应所述业务规则的实例,其中所述业务规则包括一个或多个职责分离要求。所述方法还包括:接收来自所述云服务的最终用户的访问请求,并判定对所述云服务的所述访问请求是否违反所述一个或多个职责分离要求中的任何一个。根据对所述云服务的所述访问请求不违反所述一个或多个职责分离要求中的任何一个的判定,所述方法包括许可所述最终用户进行利用所述云服务的事务。根据对所述云服务的所述访问请求违反所述一个或多个职责分离要求之一的判定,所述方法包括拒绝所述最终用户进行利用所述云服务的事务。
根据另一个示例性实施例,提供了一种用于为组织提供上下文相关的防火墙的方法。所述方法包括:创建表示所述组织和一个或多个业务规则的分区图,其中所述业务规则中的每个业务规则包括一个或多个职责分离要求,并根据所述一个或多个职责分离要求,确定与所述分区图关联的使用上下文。所述方法还包括:确定与所述使用上下文相关的阻止操作所关联的一个或多个置信度水平,其中所述阻止操作指示所述使用上下文违反所述一个或多个职责分离要求之一,并根据与所述阻止操作关联的所述一个或多个置信度水平,创建所述上下文相关的防火墙。
通过本发明的技术实现了其它特性和优点。在此详细描述本发明的其它实施例和方面,并且这些实施例和方面被视为要求保护的本发明的一部分。为了更好地理解本发明的优点和特性,请参考说明书和附图。
附图说明
在说明书结尾处的权利要求中具体指出并明确要求保护了被视为本发明的主题。从下面结合附图的详细描述,本发明的上述和其它特性和优点将变得显而易见,这些附图是:
图1示出了根据示例性实施例的云计算节点的一个例子的示意图;
图2示出了根据示例性实施例的云计算环境;
图3示出了根据示例性实施例的云计算环境提供的一组功能抽象层;
图4是示出根据一个示例性实施例的用于在云环境中提供服务的上下文相关的访问管理的方法的流程图;
图5是根据一个示例性实施例的用于与针对职责分离的上下文相关的防火墙一起使用分区图;以及
图6是示出根据一个示例性实施例的用于创建和管理上下文相关的防火墙的方法的流程图。
具体实施方式
现在参考图1,图1显示了云计算节点的一个例子的示意图。图1显示的云计算节点10仅仅是适合的云计算节点的一个示例,不应对本发明实施例的功能和使用范围带来任何限制。总之,云计算节点10能够被用来实现和/或执行以上所述的任何功能。
云计算节点10具有计算机系统/服务器12,其可与众多其它通用或专用计算系统环境或配置一起操作。众所周知,适于与计算机系统/服务器12一起操作的计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任意系统或设备的分布式云计算技术环境,等等。
计算机系统/服务器12可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括执行特定的任务或者实现特定的抽象数据类型的例程、程序、目标程序、组件、逻辑、数据结构等。计算机系统/服务器12可以在通过通信网络链接的远程处理设备执行任务的分布式云计算环境中实施。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
如图1所示,云计算节点10中的计算机系统/服务器12以通用计算设备的形式表现。计算机系统/服务器12的组件可以包括但不限于:一个或者多个处理器或者处理单元16,系统存储器28,连接不同系统组件(包括系统存储器28和处理器16)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA(EISA)总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机系统/服务器12典型地包括多种计算机系统可读介质。这些介质可以是能够被计算机系统/服务器12访问的任意可获得的介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。计算机系统/服务器12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图1未显示,通常称为“硬盘驱动器”)。尽管图1中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM、DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。如下面进一步示出和描述的,存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在存储器28中,这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
计算机系统/服务器12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该计算机系统/服务器12交互的设备通信,和/或与使得该计算机系统/服务器12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且,计算机系统/服务器12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与计算机系统/服务器12的其它组件通信。应当明白,尽管图中未示出,其它硬件和/或软件组件可以与计算机系统/服务器12一起操作,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
现在参考图2,图2显示了云计算环境50。如图所示,云计算环境50包括云计算消费者使用的本地计算设备可以与其相通信的一个或者多个云计算节点10,本地计算设备例如可以是个人数字助理(PDA)或移动电话54A,台式电脑54B、笔记本电脑54C和/或汽车计算机系统54N。云计算节点10之间可以相互通信。可以在包括但不限于如上所述的私有云、共同体云、公共云或混合云或者它们的组合的一个或者多个网络中将云计算节点10进行物理或虚拟分组(图中未显示)。这样,云的消费者无需在本地计算设备上维护资源就能请求云计算环境50提供的基础架构即服务(IaaS)、平台即服务(PaaS)和/或软件即服务(SaaS)。应当理解,图2显示的各类计算设备54A-N仅仅是示意性的,云计算节点10以及云计算环境50可以与任意类型网络上和/或网络可寻址连接的任意类型的计算设备(例如使用网络浏览器)通信。
现在参考图3,图3显示了云计算环境50(图2所示)提供的一组功能抽象层。首先应当理解,图3所示的组件、层以及功能都仅仅是示意性的,本发明的实施例不限于此。如图3所示,提供下列层和对应功能:
硬件和软件层60包括硬件和软件组件。硬件组件的例子包括:主机,例如系统;基于RISC(精简指令集计算机)体系结构的服务器,例如系统;系统; 系统;存储设备;网络和网络组件。软件组件的例子包括:网络应用服务器软件,例如应用服务器软件;数据库软件,例如数据库软件。(IBM、zSeries、pSeries、xSeries、BladeCenter、WebSphere以及DB2是国际商业机器公司在全世界各地的注册商标)。
虚拟层62提供一个抽象层,该层可以提供下列虚拟实体的例子:虚拟服务器、虚拟存储、虚拟网络(包括虚拟私有网络)、虚拟操作系统,以及虚拟客户端。
在一个示例中,管理层64可以提供下述功能:资源供应功能:提供用于在云计算环境中执行任务的计算资源和其它资源的动态获取;计量和定价功能:在云计算环境内对资源的使用进行成本跟踪,并为此提供帐单和发票。在一个例子中,该资源可以包括应用软件许可。安全功能:为云的消费者和任务提供身份认证,为数据和其它资源提供保护。用户门户功能:为消费者和系统管理员提供对云计算环境的访问。服务水平管理功能:提供云计算资源的分配和管理,以满足必需的服务水平。服务水平协议(SLA)计划和履行功能:为根据SLA预测的对云计算资源未来需求提供预先安排和供应。管理层64还包括基于预测的服务分配模块。
工作负载层66提供云计算环境可能实现的功能的示例。在该层中,可提供的工作负载或功能的示例包括:地图绘制与导航;软件开发及生命周期管理;虚拟教室的教学传递;数据分析处理;以及事务处理,进一步的,其它负载类型还可包括网络服务负载,诸如账单以及客户关系管理等企业应用,各种银行以及财务应用,等等。
在示例性实施例中,提供了用于在云环境中创建、更改、模拟、测试和执行业务规则以便提供服务的上下文相关的事务性管理的方法、系统和计算机程序产品。在示例性实施例中,上下文相关的事务性管理可以是完整生命周期访问管理,其包括请求访问、批准访问、提供访问以及重新认证访问。业务规则包括用于实施与人员、软件、数据等相关的职责分离的一个或多个规则。在示例性实施例中,云服务可以是专用或共享的云服务,并可以包括应用和数据访问两者。在示例性实施例中,所述系统使能在应用或云服务中或者跨应用或云服务,自动检测和/或防止违反上下文相关的访问控制。
现在参考图4,显示了用于在云环境中提供上下文相关的访问管理的示例性方法200的流程图。方法200包括接收创建用于控制对云服务的访问的业务规则的请求,如在方框202所示。在示例性实施例中,云服务可以是应用、数据库访问或另一个云服务。接下来,如在方框204所示,方法200包括通过生成表示组织和业务规则的分区图,提供所请求云服务的实例。所述业务规则包括一个或多个职责分离要求。在示例性实施例中,云服务还可以包括与职责分离要求相关的元数据信息。提供云服务和对应业务规则之后,方法200包括接收来自云服务的最终用户的访问请求,如在方框206所示。接下来,如在方框208所示,方法200包括判定对云服务的访问请求是否违反任何职责分离要求。如果所请求的访问不违反任何职责分离要求,则针对最终用户许可对云服务的访问,如在方框210所示。否则,可以针对最终用户拒绝对云服务的访问。
在示例性实施例中,访问请求导致违反职责分离的判定可以是二元判定(即,违反或非违反),或是非二元违反判定。在其中访问请求判定是非二元判定的实施例中,可以针对所请求的访问计算置信度水平,并可以比较所计算的置信度水平与阈值置信度水平。例如,可以判定访问请求具有不会导致违反职责分离的80%的置信度水平。在示例性实施例中,如果计算的置信度水平高于阈值置信度水平,则对最终用户许可所请求的访问。
在示例性实施例中,如果计算的置信度水平低于阈值置信度水平,则云系统可以执行置信度增加操作。在示例性实施例中,置信度增加操作可以包括但不限于:向审计者发送消息以进行确认或获得更多信息;向置信度增加操作信息库发送信号,该信号随后可以由软件或人员检查;在访问期间增加监视或审计,或者提示用户提供有关访问请求的附加信息,例如标识检验信息。在一个实施例中,可以在许可所请求的访问之前执行置信度增加操作。在另一个实施例中,置信度增加操作可以与许可所请求的访问和其它监视同时执行,并且可以直到置信度增加操作完成时,采用减少的访问特权。在示例性实施例中,阈值置信度水平可以由用户、审计者、管理者、众包中的任何一个确定或更改,或者通过其它方式确定或更改。
在示例性实施例中,一种被配置为在云环境中提供服务的上下文相关的访问管理的系统可以利用上下文相关的防火墙,管理对各种云服务的访问权限和跨各种云服务的访问权限。术语防火墙以扩展方式使用,并超出保持网络安全的基于软件或基于硬件的手段。如在此使用的,防火墙(例如)在广义上使用以指示限制或促进两个或更多个实体之间的事务的任何控制层。
现在参考图5,显示了用于与针对职责分离的上下文相关的防火墙一起使用的分区图。分区图300表示组织,并包括表示组织的资源的多个节点302。在示例性实施例中,资源包括类型,该类型包括但不限于:人员、数据、应用等。节点302被分为一个或多个组304,其中每个组304包括表示具有相同类型的资源的节点302。分区图300还包括连接节点302的多个链接306。链接306表示两个连接的节点302之间的访问特权,这些访问特权不违反任何职责分离要求。例如,表示人员的节点302与表示应用的节点302之间的链接306指示允许人员访问应用。在另一个实例中,表示应用的节点302与表示数据的节点302之间的链接306指示允许应用访问数据。相反,如果两个节点302之间没有链接306,则指示未许可两个节点之间的访问。
在示例性实施例中,上下文相关的防火墙可以包括对分区图300的链接306的管理。在示例性实施例中,可以通过删除或切断分区图300中的两个节点302之间的链接306,执行阻止用户访问应用。上下文相关的防火墙可以包括一个或多个设置,这些设置允许各种程度的阻止。在示例性实施例中,每个链接306可以具有关联的阈值置信度水平,其是在链接306所连接的节点302之间提供访问所需的最小置信度水平。
在示例性实施例中,可以通过各种方式恢复链接306的切断或删除,这些方式包括但不限于:切断或删除图中的其它链接306、输入口令等。在示例性实施例中,切断或删除分区图300的链接306可以与上下文相关。例如,用户可以能够使用来自特定机器(例如,家用计算机)的一个软件应用,但被阻止使用来自另一台机器(例如,办公用计算机)的相同软件应用,这是由于与一个或多个业务规则关联的职责分离所致。此外,上下文可以包括诸如以下考虑事项:用户位置(例如,GPS、IP地址范围等所确定的);用户工作角色(例如,用户显式输入他或她的当前角色所确定的,或者通过评估用户当前使用的各种应用或服务自动确定的);或者用户的当前社交网络(例如,用户正在给个人x发送有关主题y的电子邮件,并正在向个人z发送即时消息)。在这些类型的实例中,如果需要,则可以按如下方式进行此类监视:选择性参与方式,或者不维护有关用户标识或社交网络的信息以避免过度牺牲用户隐私的方式。
在示例性实施例中,分区图300的节点之间的链接可以是部分的或完整的。例如,部分链接可以表示用户能够访问应用,但对用户活动的监视增加,隐私性减少,更频繁地输入口令等。在示例性实施例中,防火墙可以被配置为从与对应于一个或多个业务规则的职责分离相关的历史阻止数据进行学习。
现在参考图6,显示了用于为组织提供上下文相关的防火墙的示例性方法400的流程图。方法400首先创建表示组织和一个或多个业务规则的分区图,如在方框402所示。分区图可以包括链接、相关性、连接和节点的集合。在示例性实施例中,分区图的链接可以基于一个或多个业务规则,这些业务规则包括一个或多个职责分离要求。接下来,如在方框404所示,方法400包括根据一个或多个职责分离要求,确定与分区图的一个或多个节点关联的使用上下文。在示例性实施例中,使用上下文可以包括与以下项关联的一个或多个节点:用户标识;用户位置、所访问的应用;所访问的数据;等等。方法400还包括确定与使用上下文相关的阻止操作所关联的一个或多个置信度水平,如在方框406所示。在示例性实施例中,阻止操作指示使用上下文违反一个或多个职责分离要求之一。如在方框408所示,根据与阻止操作关联的一个或多个置信度水平,创建上下文相关的防火墙。在示例性实施例中,上下文相关的防火墙被配置为防止用户访问将违反一个或多个业务规则和关联的职责分离的应用或数据。
在示例性实施例中,如在方框410所示,方法400可以包括在一段时间内监视上下文相关的防火墙的用户的活动。接下来,如在方框412所示,方法400可以包括根据所述一段时间内的用户的活动,修改与阻止操作关联的一个或多个置信度水平。如在方框414所示,方法400包括判定对一个或多个置信度水平的修改是否需要更改上下文相关的防火墙,并相应地修改所述上下文相关的防火墙。
在示例性实施例中,可以在一段时间内监视用户的活动,并根据用户的活动,可以增加或减少与阻止操作关联的置信度水平。例如,当用户从家用计算机访问应用时,与阻止操作关联的置信度水平可以随着用户空闲时间的增加而增加。因此,如果用户在较长时间段内空闲,则可以增加阻止操作的置信度水平,并可以阻止对应用或数据的访问。可以通过用户重新输入口令或以其他方式请求恢复访问特权而恢复对应用或数据的访问。
根据示例性实施例,提供了一种用于在云环境中自动供应职责分离要求的方法。用于自动供应职责分离要求的方法包括在云环境中确定、实施和修改职责分离要求。所述方法可以被配置为由上下文相关的防火墙使用所检测的违反或阻止操作,自动触发一个或多个访问管理事件。在示例性实施例中,一个或多个访问管理事件可以包括但不限于:在表示组织的分区图上形成新链接。
在示例性实施例中,用于在云环境中自动供应职责分离的方法可以被配置为确定需要新的访问管理供应的使用上下文,询问用户以了解对新链接的供应和使用上下文的需要,并在所述使用上下文下为职责分离要求违反指定概率。所述使用上下文可以包括各种信息,例如员工的位置、员工和应用访问的标识(例如,工作、家庭、公共网络等)以及用户的角色。在示例性实施例中,用户可以具有多个角色。用户可以为多个公司或公司中的多个部门工作,因此在公司中具有多个角色。例如,用户可以是某些员工的管理者,并被允许访问这些员工的人力资源(HR)文件,但用户不能访问其它员工的HR文件。此外,用户或管理者可以具有各种密钥,这些密钥控制防火墙和防火墙访问特性。
在一个示例性实施例中,主管人员将企业的一组组织资源表示为分区图,以便在企业中创建上下文相关的防火墙以确保符合特定业务规则或法规。主管人员指定这些业务规则应用的上下文,从而创建分区图的初始链接方案。系统然后监视使用上下文信息,并将上下文相关的防火墙应用于所检测的使用上下文。在系统的操作期间,组织的另一个主管人员认识到已经向她不适当地应用了上下文相关的防火墙,并请求修改上下文相关的防火墙。所述系统部署主动学习组件,并确定其中第二主管人员可以违反上下文相关的防火墙的上下文特定于做出修改请求时她所从事的其它职责。所述系统创建对应于所确定的使用上下文的新链接,并且在将来识别到所述使用上下文时应用该新链接。
所属技术领域的技术人员知道,本发明的各个方面可以实现为系统、方法或计算机程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、驻留软件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。此外,本发明的各个方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。
可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是—但不限于—电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括例如在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括—但不限于—电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括—但不限于—无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明的各个方面的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
下面参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。
也可以把这些计算机程序指令存储在计算机可读介质中,这些指令使得计算机、其它可编程数据处理装置、或其它设备以特定方式工作,从而,存储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的指令的制造品(article of manufacture)。
也可以把计算机程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机或其它可编程装置上执行的指令提供实现流程图和/或框图中的一个或多个方框中规定的功能/动作的过程。
附图中的流程图和框图显示了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现的体系结构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在此使用的术语只是为了描述特定的实施例并且并非旨在作为本发明的限制。如在此所使用的,单数形式“一”、“一个”和“该”旨在同样包括复数形式,除非上下文明确地另有所指。还将理解,当在此说明书中使用时,术语“包括”和/或“包含”指定了声明的特性、步骤、操作、元素和/或组件的存在,但是并不排除一个或多个其它特性、整数、步骤、操作、元素、组件和/或其组的存在或增加。
下面权利要求中的对应结构、材料、操作以及所有装置或步骤和功能元件的等同替换,旨在包括任何用于与在权利要求中具体指出的其它元件相组合地执行该功能的结构、材料或操作。出于示例和说明目的给出了对本发明的描述,但所述描述并非旨在是穷举的或是将本发明限于所公开的形式。在不偏离本发明的范围和精神的情况下,对于所属技术领域的普通技术人员来说许多修改和变化都将是显而易见的。实施例的选择和描述是为了最佳地解释本发明的原理和实际应用,并且当适合于所构想的特定使用时,使得所属技术领域的其它普通技术人员能够理解本发明的具有各种修改的各种实施例。在此示出的流程图只是一个实例。在不偏离本发明的精神的情况下,此图或其中描述的步骤(或操作)可以存在许多变型。例如,可以以不同的顺序执行这些步骤,或者可以添加、删除或修改步骤。所有这些变型都被看作要求保护的发明的一部分。
尽管描述了本发明的优选实施例,但所属技术领域的技术人员将理解,可以在现在和将来进行各种落入下面权利要求的范围内的改进和增强。这些权利要求应该被解释为维护对最初描述的本发明的正确保护。
Claims (12)
1.一种用于在云环境中提供上下文相关的事务性管理的方法,所述方法包括:
接收为组织来创建用于控制利用云服务的事务的业务规则的请求;
通过生成表示所述组织和所述业务规则的分区图,提供所述云服务的用于供应所述业务规则的实例,其中所述业务规则包括一个或多个职责分离要求,其中表示所述组织的分区图包括:
多个节点,每个节点表示所述组织的资源,其中所述组织的资源包括:人员、应用、数据;以及
多个链接,每个链接连接所述多个节点中的两个节点,其中所述链接中的每个链接均包括阈值置信度水平,该阈值置信度水平为在链接所连接的指示不违反所述一个或多个职责分离要求的事务性特权的节点之间提供访问所需的最小置信度水平;
接收来自所述云服务的最终用户的访问请求;
判定对所述云服务的所述访问请求是否违反所述一个或多个职责分离要求中的任何一个,其中所述判定包括计算与所请求的访问关联的置信度水平,并将所计算的置信度水平与对应于一个或者多个对应于所述访问请求的链接的阈值置信度水平相比较;
根据对所述云服务的所述访问请求不违反所述一个或多个职责分离要求中的任何一个的判定,许可所述最终用户进行利用所述云服务的事务;以及
根据对所述云服务的所述访问请求违反所述一个或多个职责分离要求之一的判定,拒绝所述最终用户进行利用所述云服务的事务。
2.根据权利要求1的方法,其中所述访问请求包括所述多个节点中利用所述云服务的所述最终用户关联的一个或多个节点的标识。
3.根据权利要求1的方法,其中根据对所述云服务的所述访问请求违反所述一个或多个职责分离要求之一的判定,执行置信度增加操作。
4.根据权利要求3的方法,其中所述置信度增加操作包括以下项中的至少一个:
请求有关所述访问请求的附加信息;以及
在利用所述云服务的事务期间增加监视级别。
5.一种用于在云环境中提供上下文相关的事务性管理的系统,所述系统包括被配置为执行权利要求1至4中的任一权利要求的方法步骤的装置。
6.一种用于为组织提供上下文相关的防火墙的方法,所述方法包括:
创建表示所述组织和一个或多个业务规则的分区图,其中所述业务规则中的每个业务规则包括一个或多个职责分离要求,其中表示所述组织的分区图包括:
多个节点,每个节点表示所述组织的资源,其中所述组织的资源包括:人员、应用、数据;以及
多个链接,每个链接连接所述多个节点中的两个节点,其中所述链接中的每个链接均包括阈值置信度水平,该阈值置信度水平为在链接所连接的指示不违反所述一个或多个职责分离要求的事务性特权的节点之间提供访问所需的最小置信度水平;
根据所述一个或多个职责分离要求,确定与所述分区图关联的使用上下文,其中所述使用上下文包括与以下项关联的一个或多个节点:用户标识、用户位置、所访问的应用、所访问的数据;
确定与所述使用上下文相关的阻止操作所关联的一个或多个置信度水平,其中所述阻止操作指示所述使用上下文违反所述一个或多个职责分离要求之一,其中所述确定包括将所述阻止操作所关联的一个或多个置信度水平与一个或者多个对应于所述使用上下文的链接的阈值置信度水平相比较;以及
根据与所述阻止操作关联的所述一个或多个置信度水平,创建所述上下文相关的防火墙。
7.根据权利要求6的方法,其中所述使用上下文包括所述多个节点中的一个或多个节点的标识以及与所述业务规则关联的链接。
8.根据权利要求6的方法,其中所述方法还包括:
在一段时间内监视所述上下文相关的防火墙的用户的活动;
根据所述一段时间内的所述用户的所述活动,修改与所述阻止操作关联的所述一个或多个置信度水平;
判定对所述一个或多个置信度水平的所述修改是否需要更改所述上下文相关的防火墙;以及
根据需要更改所述上下文相关的防火墙的判定,修改所述上下文相关的防火墙。
9.根据权利要求8的方法,其中判定对所述一个或多个置信度水平的所述修改是否需要更改所述上下文相关的防火墙包括:
将一个或多个修改后的置信度水平与阈值置信度水平相比较;
响应于所述一个或多个修改后的置信度水平已增加到超过所述阈值置信度水平的判定,指示需要更改所述上下文相关的防火墙;以及
响应于所述一个或多个修改后的置信度水平已减少到低于所述阈值置信度水平的判定,指示需要更改所述上下文相关的防火墙。
10.根据权利要求6的方法,其中所述方法还包括:
接收来自最终用户的访问请求;
确定所述访问请求违反所述一个或多个职责分离要求;
从所述最终用户处请求有关所请求的访问的附加信息;
根据所述访问请求而计算所述分区图的新链接;以及
根据从所述最终用户处接收的所述有关所请求的访问的附加信息,在所述分区图中提供所述新链接并修改所述上下文相关的防火墙。
11.根据权利要求10的方法,其中计算新链接包括:
确定与所述访问请求关联的上下文;以及
判定所述新链接是所述分区图中的现有链接的替换还是备选链接。
12.一种用于为组织提供上下文相关的防火墙的系统,所述系统包括被配置为执行权利要求6至11中的任一权利要求的方法步骤的装置。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/539,995 US9747581B2 (en) | 2012-07-02 | 2012-07-02 | Context-dependent transactional management for separation of duties |
| US13/539,995 | 2012-07-02 | ||
| US13/556,711 | 2012-07-24 | ||
| US13/556,711 US9799003B2 (en) | 2012-07-02 | 2012-07-24 | Context-dependent transactional management for separation of duties |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103530106A CN103530106A (zh) | 2014-01-22 |
| CN103530106B true CN103530106B (zh) | 2017-05-03 |
Family
ID=49779052
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310270653.7A Active CN103530106B (zh) | 2012-07-02 | 2013-07-01 | 用于职责分离的上下文相关的事务性管理的方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| US (2) | US9747581B2 (zh) |
| CN (1) | CN103530106B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10185937B1 (en) * | 2013-11-11 | 2019-01-22 | Amazon Technologies, Inc. | Workflow support for an annotations-based generic load generator |
| US9569634B1 (en) * | 2013-12-16 | 2017-02-14 | Amazon Technologies, Inc. | Fine-grained structured data store access using federated identity management |
| US9639919B2 (en) * | 2014-10-07 | 2017-05-02 | Stmicroelectronics (Grenoble 2) Sas | Detection and correction of artefacts in images or video |
| US10339480B2 (en) | 2016-08-15 | 2019-07-02 | International Business Machines Corporation | Executing a set of business rules on incomplete data |
| US11973758B2 (en) * | 2016-09-14 | 2024-04-30 | Microsoft Technology Licensing, Llc | Self-serve appliances for cloud services platform |
| US10523584B2 (en) * | 2016-12-23 | 2019-12-31 | Interwise Ltd. | Software-defined socket activation |
| US10873628B2 (en) * | 2017-06-13 | 2020-12-22 | Oracle International Corporation | System and method for non-intrusive context correlation across cloud services |
| CN110969401A (zh) * | 2018-09-28 | 2020-04-07 | 北京国双科技有限公司 | 一种对项目执行方案进行冲突检测的方法和装置 |
| US11249882B2 (en) * | 2019-10-21 | 2022-02-15 | Visa International Service Association | System, method, and computer program product for operating dynamic shadow testing environments |
| US11297066B2 (en) | 2020-01-20 | 2022-04-05 | International Business Machines Corporation | Constrained roles for access management |
| US11783073B2 (en) * | 2021-06-21 | 2023-10-10 | Microsoft Technology Licensing, Llc | Configuration of default sensitivity labels for network file storage locations |
| CN113592436B (zh) * | 2021-07-09 | 2024-02-06 | 上海云轴信息科技有限公司 | 一种基于政务云平台的云服务管理方法与设备 |
| EP4220456A1 (en) * | 2022-01-31 | 2023-08-02 | Sage Global Services Limited | Authentication |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1453954A (zh) * | 2002-04-22 | 2003-11-05 | 华为技术有限公司 | 一种管理网络用户访问权限的系统和方法 |
| CN102137077A (zh) * | 2010-01-26 | 2011-07-27 | 凹凸电子(武汉)有限公司 | 访问控制系统和采用计算机系统控制访问权限的方法 |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6158010A (en) * | 1998-10-28 | 2000-12-05 | Crosslogix, Inc. | System and method for maintaining security in a distributed computer network |
| US20020026592A1 (en) * | 2000-06-16 | 2002-02-28 | Vdg, Inc. | Method for automatic permission management in role-based access control systems |
| US20030084343A1 (en) | 2001-11-01 | 2003-05-01 | Arun Ramachandran | One protocol web access to usage data in a data structure of a usage based licensing server |
| US7350226B2 (en) * | 2001-12-13 | 2008-03-25 | Bea Systems, Inc. | System and method for analyzing security policies in a distributed computer network |
| US7904556B2 (en) * | 2002-03-05 | 2011-03-08 | Computer Associates Think, Inc. | Method and apparatus for role grouping by shared resource utilization |
| US7761480B2 (en) * | 2003-07-22 | 2010-07-20 | Kinor Technologies Inc. | Information access using ontologies |
| US20060047605A1 (en) | 2004-08-27 | 2006-03-02 | Omar Ahmad | Privacy management method and apparatus |
| US20060085189A1 (en) | 2004-10-15 | 2006-04-20 | Derek Dalrymple | Method and apparatus for server centric speaker authentication |
| US20060230282A1 (en) * | 2005-04-06 | 2006-10-12 | Hausler Oliver M | Dynamically managing access permissions |
| US7747647B2 (en) | 2005-12-30 | 2010-06-29 | Microsoft Corporation | Distributing permission information via a metadirectory |
| US20080021716A1 (en) * | 2006-07-19 | 2008-01-24 | Novell, Inc. | Administrator-defined mandatory compliance expression |
| US7707623B2 (en) | 2006-10-24 | 2010-04-27 | Avatier Corporation | Self-service resource provisioning having collaborative compliance enforcement |
| US7954143B2 (en) | 2006-11-13 | 2011-05-31 | At&T Intellectual Property I, Lp | Methods, network services, and computer program products for dynamically assigning users to firewall policy groups |
| WO2008141327A1 (en) * | 2007-05-14 | 2008-11-20 | Sailpoint Technologies, Inc. | System and method for user access risk scoring |
| US8209738B2 (en) | 2007-05-31 | 2012-06-26 | The Board Of Trustees Of The University Of Illinois | Analysis of distributed policy rule-sets for compliance with global policy |
| US20090187962A1 (en) * | 2008-01-17 | 2009-07-23 | International Business Machines Corporation | Methods, devices, and computer program products for policy-driven adaptive multi-factor authentication |
| US20090198548A1 (en) | 2008-02-05 | 2009-08-06 | Mathias Kohler | System to avoid policy-based deadlocks in workflow execution |
| US8990911B2 (en) * | 2008-03-30 | 2015-03-24 | Emc Corporation | System and method for single sign-on to resources across a network |
| US9070095B2 (en) * | 2008-04-01 | 2015-06-30 | Siemens Aktiengesellschaft | Ensuring referential integrity of medical image data |
| US8555333B2 (en) * | 2008-08-18 | 2013-10-08 | International Business Machines Corporation | Identifying and resolving separation of duties conflicts in a multi-application environment |
| US20100082377A1 (en) | 2008-09-26 | 2010-04-01 | International Business Machines Corporation | Risk Evaluation of Conflicts in Separation of Duties |
| US8631046B2 (en) | 2009-01-07 | 2014-01-14 | Oracle International Corporation | Generic ontology based semantic business policy engine |
| US8590021B2 (en) * | 2009-01-23 | 2013-11-19 | Microsoft Corporation | Passive security enforcement |
| EP2415207B1 (en) * | 2009-03-31 | 2014-12-03 | Coach Wei | System and method for access management and security protection for network accessible computer services |
| US8468491B2 (en) | 2009-07-29 | 2013-06-18 | Sap Ag | Systems and methods for integrating process perspectives and abstraction levels into process modeling |
| US8458769B2 (en) | 2009-12-12 | 2013-06-04 | Akamai Technologies, Inc. | Cloud based firewall system and service |
| US9229998B2 (en) | 2010-05-13 | 2016-01-05 | Appsfreedom, Inc. | Method and system for exchanging information between back-end and front-end systems |
| US9582673B2 (en) | 2010-09-27 | 2017-02-28 | Microsoft Technology Licensing, Llc | Separation of duties checks from entitlement sets |
| US8726348B2 (en) * | 2010-12-15 | 2014-05-13 | The Boeing Company | Collaborative rules based security |
| US8990950B2 (en) * | 2010-12-27 | 2015-03-24 | International Business Machines Corporation | Enabling granular discretionary access control for data stored in a cloud computing environment |
| US8832798B2 (en) | 2011-09-08 | 2014-09-09 | International Business Machines Corporation | Transaction authentication management including authentication confidence testing |
-
2012
- 2012-07-02 US US13/539,995 patent/US9747581B2/en active Active
- 2012-07-24 US US13/556,711 patent/US9799003B2/en not_active Expired - Fee Related
-
2013
- 2013-07-01 CN CN201310270653.7A patent/CN103530106B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1453954A (zh) * | 2002-04-22 | 2003-11-05 | 华为技术有限公司 | 一种管理网络用户访问权限的系统和方法 |
| CN102137077A (zh) * | 2010-01-26 | 2011-07-27 | 凹凸电子(武汉)有限公司 | 访问控制系统和采用计算机系统控制访问权限的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9799003B2 (en) | 2017-10-24 |
| US9747581B2 (en) | 2017-08-29 |
| US20140006094A1 (en) | 2014-01-02 |
| US20140006095A1 (en) | 2014-01-02 |
| CN103530106A (zh) | 2014-01-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103530106B (zh) | 用于职责分离的上下文相关的事务性管理的方法和系统 | |
| US10812254B2 (en) | Identity confidence score based on blockchain based attributes | |
| US9571506B2 (en) | Dynamic enterprise security control based on user risk factors | |
| US10979461B1 (en) | Automated data security evaluation and adjustment | |
| US11799893B2 (en) | Cybersecurity detection and mitigation system using machine learning and advanced data correlation | |
| US10069842B1 (en) | Secure resource access based on psychometrics | |
| US10679141B2 (en) | Using classification data as training set for auto-classification of admin rights | |
| US11050773B2 (en) | Selecting security incidents for advanced automatic analysis | |
| US20220198015A1 (en) | Adjusting role-based access control of a user based on behavior data of the user | |
| US11178186B2 (en) | Policy rule enforcement decision evaluation with conflict resolution | |
| CN110020545A (zh) | 用于保护隐私和安全的认知部件及用户界面组件 | |
| US11134081B2 (en) | Authentication mechanism utilizing location corroboration | |
| US20230004971A1 (en) | Dynamic online banking honeypot account system | |
| US20170054729A1 (en) | Identity Management System | |
| US11271944B2 (en) | Authentication framework to enforce contractual geographical restrictions | |
| US11558395B2 (en) | Restricting access to cognitive insights | |
| US11238134B2 (en) | Adaptable access to digital assets | |
| WO2023071649A1 (en) | Natural language processing for restricting user access to systems | |
| US20240134852A1 (en) | Permission-based index for query processing | |
| CN106575384B (zh) | 合规的多键特征切换 | |
| Telghamti et al. | Towards a trust-based model for access control for graph-oriented databases | |
| US11863563B1 (en) | Policy scope management | |
| Alruwaili | Information security, privacy, and compliance models for cloud computing services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |