CN105493093A - 用于促进对资源的动态的基于上下文访问控制的机制 - Google Patents
用于促进对资源的动态的基于上下文访问控制的机制 Download PDFInfo
- Publication number
- CN105493093A CN105493093A CN201380079188.7A CN201380079188A CN105493093A CN 105493093 A CN105493093 A CN 105493093A CN 201380079188 A CN201380079188 A CN 201380079188A CN 105493093 A CN105493093 A CN 105493093A
- Authority
- CN
- China
- Prior art keywords
- request
- access
- resource
- context
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Power Engineering (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
描述了根据一个实施例的、用于促进对资源的基于上下文的访问控制的机制。如本文中所描述,实施例的方法包括:接收访问多个资源中的资源的第一请求。此第一请求可以与对应于在计算设备处置入此第一请求的用户的一个或多个上下文相关联。此方法可进一步包括:评估所述一个或多个上下文。对所述一个或多个上下文的评估可以包括:将所述一个或多个上下文与同所请求的资源相关联的一个或多个访问策略匹配。此方法可进一步包括:如果所述一个或多个上下文满足所述访问策略中的至少一个访问策略,则接受所述第一请求。
Description
技术领域
本文中描述的实施例总体关于计算机编程。更具体而言,实施例关于用于促进对资源的动态的基于上下文的访问控制的机制。
背景技术
现有的访问控制管理系统是使用基于对用户和/或计算设备身份和权限的操作系统抽象的访问控制策略来建立的,诸如,,可依据操作系统账户名来表达用户的身份。类似地,资源是使用对文件和文件夹的操作系统抽象来标识的,并且权限通常被表达为与资源相关联的读取、写入和执行特权。此外,在单机操作系统上建立的基于云的服务已经尝试将旧式访问管理系统延伸为云范式,但是,由于在指定准许访问的上下文、控制强制访问的时刻等方面的无能为力,在云服务上输入高度敏感的内容仍然面临很大的阻力。
现有的访问控制管理系统和网络安全基础设施容易出错且低效,因为它们由于缺乏定制的特征和智能而在性能和安全方面受限。
附图说明
在所附附图的图中以示例而非限制阐释实施例,在附图中,同样的标号表示类似的元件。
图1阐释根据一个实施例的、在计算设备处采用的基于上下文的访问控制机制。
图2阐释根据一个实施例的、基于上下文的访问控制机制。
图3A阐释根据一个实施例的、用于促进对资源访问的基于上下文的控制的方法。
图3B阐释根据一个实施例的、用于促进对资源访问的基于上下文的控制的事务序列。
图3C阐释根据一个实施例的、用于促进对资源访问的基于上下文的控制的事务序列。
图4阐释根据一个实施例的、适用于实现本公开的实施例的计算机系统。
具体实施方式
在下列描述中,陈述了众多特定的细节。然而,可以在不具有这些特定的细节的情况下来实践本文中描述的实施例。在其他实例中,未详细地示出公知的电路、结构和技术,以免使对本描述的理解含糊。
实施例提供对资源的访问控制的动态的基于上下文的管理,其中,可以在促进访问一个或多个资源之前收集多个维度的客户机/用户上下文。这些多个维度可以包括但不限于,用户标识和/或认证、设备标识和/或认证、用户存在监视、用户和/或用户的平台的位置、在用户和/或用户的设备的附近或周围的其他个体的存在,等等。资源可以包括各种项,诸如,任何数量和类型的数据、文件、文件夹、信息、设备、实体财产(例如,商业建筑、家庭等),等等。例如,寻求对资源的访问可以涉及:用户寻求访问包括相关数据的文件,或想要得到访问办公室建筑的权限,等等。实施例进一步提供采用资源访问决策和接入点来评估前述的上下文,其中,此类点可以在担当主机的单个计算设备,或可以在企业或其他特定的服务器计算机处跨网络(例如,云网络)而分布,或在可以访问资源的位置处,或上述情况的组合。在一个实施例中,可以延伸决策和实施点以将例如客户机上下文合并为用于访问一个或多个资源的条件。
尽管出于简单、清晰和易于理解的目的可能贯穿本文档讨论一个或多个示例,但是构想了实施例不限于任何特定的数量和类型的资源、或对资源或设备或用户的访问形式等。类似地,实施例不限于任何特定的网络安全基础设施或协议(例如,单点登录基础设施和协议),并且可以兼容将被延伸并与新颖的基于上下文的访问能力一起使用的任何数量和类型的网络安全基础设施和协议,诸如,安全断言标记语言(SAML)、OAuth(开放授权)、Kerberos等等。
图1阐释根据一个实施例的、在计算设备处采用的基于上下文的访问控制机制。计算设备100充当用于采用基于上下文的访问控制机制(“访问控制机制”)110的主机。计算设备100可以包括大型计算系统(诸如,服务器计算机、台式计算机等),并且还可以包括机顶盒(例如,基于因特网的有线电视机顶盒等)、基于全球定位系统(GPS)的设备等。计算设备100可以包括移动计算设备,诸如,蜂窝电话(包括智能电话(例如,的运动研究公司(ResearchinMotion)的等))、个人数字助理(PDA)、平板计算机(例如,的 的Galaxy等)、膝上型计算机(例如,笔记本、上网本、超极本TM等等)、电子书(例如,的Barnesand的等),等等。
计算设备100包括充当在计算机设备100的任何硬件或物理资源与用户之间的接口的操作系统(OS)106。计算设备100还包括一个或多个处理器102、存储器设备104、网络设备、驱动器等,以及输入/输出(I/O)源108(诸如,触摸屏、触摸平板、触控板、虚拟或常规键盘、虚拟或常规鼠标等)。应当注意,贯穿本文档,可以可互换地使用类似“节点”、“计算节点”、“服务器”、“服务器设备”、“云计算机”、“云服务器”、“云服务器计算机”、“机器”“主机”、“设备”、“计算设备”、“计算机”、“计算系统”等的术语。还应当注意,贯穿本文档,可以可互换地使用类似“应用”、“软件应用”、“程序”、“软件程序”、“包”和“软件包”之类的术语。类似地,贯穿本文档,可以可互换地使用类似“作业”、“输入”、“请求”和“消息”之类的术语。
图2阐释根据一个实施例的、基于上下文的访问控制机制110。在一个实施例中,基于上下文的访问控制机制110可以包括许多组件,诸如:接收逻辑202;认证逻辑204;资源管理器206,其包括访问请求器208、策略实施点210和资源/策略返回逻辑212;策略决策点214,其包括评估逻辑216和决策/返回逻辑218;策略维护和公布逻辑220;以及通信/兼容性逻辑222。可以在诸如图1的计算设备100之类的主机处主管访问控制机制110,并且此访问控制机制110可以与用于维护任何数量和类型的资源、策略、数据、原始文件、分布式文件系统和云存储等的一个或多个资源、策略和数据源(诸如,资源、策略和数据源(“数据源”)225)通信,并且可通过一个或多个网络(诸如,网络230(例如,云网络、因特网、诸如蓝牙之类的邻近网络等))来与一个或多个计算设备例如计算设备240(诸如,客户机计算设备,诸如,移动计算设备(包括智能电话、平板计算机、膝上型计算机等))通信。在一些实施例中,访问控制机制110可以通过一个或多个网络(诸如,网络230),跨计算设备或节点而分布;例如,如图所示,PDP214可以与资源管理器206共同定位,或可以跨多个计算节点而分布。
在一个实施例中,计算设备240可以包括客户机计算设备,此客户机计算设备位于远程,并且通过诸如网络230之类的一个或多个网络来与采用访问控制机制110的主机通信。在一些实施例中,计算设备240可以包括或充当服务器/主机计算设备(诸如,图1的计算设备100)的延伸,从而也采用了访问控制机制110的其他组件,诸如,组件202-222。如图所示,计算设备240包括任何数量和类型的组件,诸如,音频/可视设备242(例如,相机、话筒、扬声器等)、上下文知晓的传感器244(例如,温度传感器、与音频/可视设备242的一个或多个相机一起工作的面部表情和特征测量传感器、环境传感器(诸如,用于感测背景颜色、光,等等)、生物测定传感器(诸如,用于检测指纹等)、用户日历阅读器等)、资源请求器246、可信执行环境(TEE)逻辑252和通信逻辑254。可以分开地采用TEE逻辑252,或者TEE逻辑252可以是资源请求器246和/或I/O子系统等的部分。计算设备240也可以包括一个或多个软件应用,诸如,提供一个或多个用户界面的软件应用248(例如,商业应用、网站等),一个或多个用户界面诸如,用户界面250(例如,web用户界面(WUI)、图形用户界面(GUI)、触摸屏,等等)。计算设备240还可以包括用于存储数据并对数据高速缓存的一个或多个本地存储介质/设备和/或存储器,诸如,本地存储设备256。
在一个实施例中,访问控制机制110促进基于上下文的访问管理系统提供平台能力,以便基于按需的上下文知晓的用户和/或设备凭证来发布策略,所述按需的上下文知晓的用户和/或设备凭证用于对经由数据源225而提供的资源的安全访问。例如,如果计算设备240的用户希望访问资源(例如,浏览安全文件以便得到数据、进入安全办公室建筑,等等),则可以分别经由通信逻辑254和通信/兼容性逻辑222将对访问资源的此请求从资源请求器246传递至接收逻辑202。然而,在一个实施例中个,在传递此请求之前,资源请求器246促进传感器244收集和/或监视与用户、计算设备240和/或一个或多个其他用户和/或计算设备有关的上下文知晓的数据。
可以连续地、周期性地(例如,在达到预先确定的时间段后)和/或在检测到事件(例如,用户访问建筑的门口附近的面板(例如,计算设备240)以访问此建筑物)时等情况下来执行对上下文知晓的数据的收集和/或监视。在一个实施例中,传感器244可以包括配置为用于感测与计算设备240的用户、设备、环境和/或事物等有关的各种特性的设备。例如,在一些实施例中,传感器244可以包括用于感测计算设备240的用户的物理属性(例如,指纹、面部特征/测量、语音模式、视网膜图案等)和/或行为特性(例如,肢体移动、视觉聚焦模式、眼球运动、键输入的速度和强度,等等)。例如,传感器244可以与音频/可视设备242一起工作和/或促进音频/可视设备242检测并监视一些特性,诸如,使用相机来检测用户的面部特征(诸如,用户的眼睛之间的距离等),使用话筒来检测用户的语音模式,等等。在一些实施例中,此类传感器244可用于向计算设备240认证用户,并且在一些实施例中,可以由认证逻辑204使用由传感器244收集的此类数据来认证此用户和/或计算设备240和/或经由计算设备240来访问访问控制机制110的其他用户。
类似地,传感器244可以包括配置为用于接近度检测的设备,以便检测例如用户或由接近计算设备240或与计算设备240交互的用户携带的物理标签或令牌(例如,蓝牙标签、近场通信标签、体域网(BAN)标签、射频标识标签等)的接近度。例如,传感器244可以包括其他设备,诸如,用于感测用户携带和/或移动计算设备240的一个或多个加速度计。构想了并非所有的传感器和/或音频/可视设备都可以是计算设备240的部分或者合并在计算设备240内,并且一个或多个传感器和/或音频/可视设备可以在计算设备240外部或可与计算设备分开。
在一个实施例中,想要访问资源的用户可以经由通过软件应用248提供的用户界面250来置入对利用计算设备240来访问资源的请求。由资源请求器246代表用户收集收集此请求,并且此请求被传递至访问控制机制110处的接收逻辑202以供处理。在一个实施例中,资源请求器246可以具有或可以没有满足适用的访问策略和/或质疑准予资源请求所需要的上下文的数量或类型的先验知识。此外,资源请求器246可以用于支持选择加入(opt-in)隐私语义,并且通过拒绝公开可能不必要地使得用户处于风险的上下文来强制执行用户隐私要求。此外,在一个实施例中,资源请求器246可以包括可以从中收集上下文数据的多个用户设备和/或个人云服务。
在一个实施例中,计算设备240还可以包括TEE逻辑252,可使用以下各项中的一个或多个而来实现此TEE逻辑252:的主动管理技术(AMT)、管理引擎(ME)、vProTM技术、CoreTMvProTM技术、使用公钥基础设施(PKI)的身份保护技术(IPT)和/或来自任何数量和类型的其他生产商的任何其他数量和类型的可信的计算设备相关的技术、组件等。
通信逻辑254可以与通信/兼容性逻辑222相似或相同,以便促进在计算设备240与访问控制机制110以及任何数量和类型的组件和设备(诸如,密钥分发中心服务器、服务提供商服务器和/或其他计算设备)之间的通信。此外,通信逻辑222、254可以布置或配置为使用通信技术(诸如,无线或有线通信和相关的协议(例如,WiMAX、以太网,等等)中的任何一种或多种来促进通信。数据存储设备256和数据源225可以包括用于数据的短期或长期存储、用于存储并保留数据、策略、资源、软件程序或指令等的任何数量和类型的设备或介质,诸如,数据存储设备、硬驱动器、固态驱动、硬盘、存储器卡或设备、存储器电路,等等。
往回参见接收逻辑202,在接收到对访问资源的请求时,接收逻辑202将此请求转发至认证逻辑204。如先前所讨论,在一些实施例中,可以由认证逻辑204来认证用户和计算设备240,和/或在其他实施例中,可以经由资源请求器246和/或其他认证组件等在计算设备240处本地执行此认证过程。当在认证逻辑204处成功地认证后,随后,可以将此请求转发至资源管理器206以供进一步处理。
如前文所述,资源请求器246可以知晓或不知晓相关的上下文策略,例如,为了准予对一种或多种资源的访问,什么上下文是必要的或者最低限度地要求什么上下文。在一个实施例中,访问请求器208可以在接收到此请求时联系策略决策点(PDP)214,以便进一步评估此请求,使得可以对照对于要访问的所请求的资源的相关策略来匹配与此请求一起发送的上下文或此请求内的上下文。在PDP214处,评估逻辑216评估此请求,这可以包括以下步骤:将用户/设备上下文与一个或多个策略(例如,策略P1)进行比较,以判断此请求是否符合访问所请求的资源(例如,资源Rl)的上下文的最低标准。例如,评估逻辑216将经由此请求而提供的每一个上下文与在已经由策略维护和公布(PMP)逻辑220公布的P1中陈述的最低上下文要求标准进行比较。例如,评估逻辑216经由PMP逻辑220在数据源225处访问策略P1,并且在执行对上下文的校验时将评估结果提供给决策/返回逻辑218。
在一个实施例中,使用评估结果,决策/返回逻辑218判定是否此请求是否经准予,诸如,是否允许用户访问所请求的资源。如果由决策/返回逻辑218批准了此请求,则由决策/返回逻辑218将此批准决策返回至策略实施点(PEP)210以供进一步处理。相比之下,如果由决策/返回逻辑218拒绝了此请求(例如,由于不符合适用的策略P1中所陈述的资源Rl的最低上下文标准,则此拒绝决策连同具有资源Rl的最低上下文标准的最低策略(例如,mP1)被一起返回至PEP210。随后,PEP210可以通过将此判定继续转发至资源/策略返回逻辑212来强制实施此决策(诸如,批准或拒绝),在一个实施例中,资源/策略返回逻辑212随后可通过将基本决策(诸如,批准或拒绝)与最低策略(在拒绝的情况下)合并并向其添加任何其他细节(例如,与任何替换上下文有关的推荐,等等)来准备决策包。随后,可以经由通信/兼容性逻辑222和通信逻辑254将此决策包往回传递至资源请求器246。
在资源请求器246处,接收、准备(例如,转换为人可读的格式)此决策包,并且随后以人可读的格式经由用户界面250将此决策包传递至用户,在所述用户界面250处,此巨决策包经由显示设备/屏幕被显示。构想了拒绝的情况下,在回顾了此决策包后,用户可以决定重新提交对资源的请求已尝试满足此决策包中提供的最低策略标准。在重新提交的情况下,在资源请求器246处可以再次接收新请求,并且整个过程被重复。在批准的情况下,用户被准予访问所请求的资源(例如,促进经由计算设备240访问文件;当使门口面板成功地认证/验证用户时允许实体地进入建筑物;在机场安检处接受经由计算设备240(例如,移动计算设备(诸如,智能电话))而被显示在登机牌读取器上的用户的登机牌,等等)。
例如,Rl是指进入建筑物的权限,而P1是要求用户提供用于对进入建筑物的适当的标识的他们的指纹和面部特征(诸如,用户的眼睛之间的距离)的相应策略。现在,如果用户通过了P1,则建筑物面板的显示屏可以显示向用户指示他们可以进入此建筑物的接受消息(例如,“请进入”、“批准进入建筑物”、“欢迎,请进入”,等等)。现在,例如用户未通过策略P1的面部特征部分,建筑物面板的显示屏可以显示决策包,此决策包包括拒绝请求以及进入的替代的最低策略(诸如,mP1)。例如,mP1可以提供经协商的最低策略以建议用户提供他们的指纹和另一种形式的标识,诸如,对用户的嵌入式智能卡(例如,公共接入卡(CAC)、近场通信(NFC)标签、射频标识(RFID)标签,等等)的扫描。此刻,当阅读到此拒绝消息和最低策略时,用户可以选择离开建筑物或通过尝试满足替代的最低策略mP1来作出进入此建筑物的另一尝试。
在一个实施例中,可以在数据源225处且经由PDP逻辑220来维护对应于任何数量和类型的资源的任何数量和类型的策略。例如,策略可以由管理用户(例如,系统管理员、计算机程序员等)生成,被存储在数据源225处,并且经由PDP逻辑220而被自动地维护并保持最新。在一些实施例中,一个或多个策略可被保持为是机密的和未知的,而在一些实施例中,可以由PDP逻辑220公布一个或多个策略。构想了公布可以是指机器公布和/或人类公布,在机器公布中,策略可以是为各种组件(诸如,PDP214、资源请求器246等)所知的,在人类公布中,可以使策略为任何数量和类型的用户所知。
在一个实施例中,可以实现按需访问,其中,资源请求器246可以根据需要来获取认证、授权、位置和其他上下文中的一个或多个。换句话说,可以按需而不是要求同意供应来来执行对上下文知晓的访问凭证的供应。例如,在改变现有的一个或多个策略时,可以按需供应上下文以维持用户对一个或多个资源的访问或使用户受制于新策略以便再次确定此用户对所述一个或多个资源的访问权。此外,使TEE技术由在客户机计算设备240处的TEE逻辑252促进有助于使用户和/或客户机计算设备谎报他们的上下文属性的机会最小化,并且同时防止客户机恶意软件伪装为真实的客户机来捕捉隐私敏感的可标识信息中的任何信息(无论它在云服务内还是在非云服务内)。在计算设备240是移动设备的情况下,可采用某些移动环境(诸如,TEE、安全元件(SE)等)来弥补安全框架。
在一个实施例中,资源保护可以是逻辑的(例如,与基于可以作出访问决策的点分发的物理储存库相反,基于经加密的容器)。此外,如前文所述,可以独立于资源管理器206或资源的物理位置来创作访问策略;例如,策略可以包括使用“策略仓”服务(诸如,数据源225)的集中管理策略。在一个实施例中,PDP214和/或资源管理器206能以提供促进或指导上下文收集过程的“最低策略”简档的形式来提供上下文收集辅助。构想了可以存在定义了策略创作实体已确定例如简档A大致等于简档B等的最低策略的多个简档。此外,信任协商的部分可能涉及以下步骤:找到对应于可用的传感器244和设备242的密切的匹配,并且密切地匹配那些传感器244中交互是优选的用户偏好。例如,用户可能相对于人脸部识别更偏好语音识别,作为响应,资源管理器206可以确定,对认证目的而言,脸部识别和语音识别大致等效,并且相应地,语音识别替代人脸识别将是可接受的。
此外,例如,自动化信任协商的形式可以用来对最低策略达成一致,但是可以不要求在先公开或隐私敏感的上下文来发起策略协商。此外,在一个实施例中,资源、策略、上下文知晓的数据等可以使用一个或多个数据源225,通过网络230而物理地分布。类似地,可以在诸如图1的主机100之类的单个服务器计算设备处主管访问控制机制100,或访问控制机制100可在诸如网络230之类的一个或多个网络上的多个计算设备上(例如,服务器计算机、客户机计算机等)上分布,诸如例如,资源管理组件(诸如,资源管理器206)、访问控制决策制定组件(诸如,PDP214)、策略储存库和资源存储设备(诸如,数据源225等)等可以实现为在分开的计算节点处但可以遵循一致的和协调的基于上下文的访问控制策略的分开的服务。
贯穿本文档,可以可互换地引用类似“逻辑”、“组件”、“模块”、“框架”、“引擎”、“点”等的术语,并且作为示例,这些术语包括软件、硬件和/或软件和硬件的任何组合(诸如,固件)。此外,对特定的品牌、单词、术语、短语、名称和/或首字母缩写词(诸如,“身份保护技术”、“IPT”、“CoreTM”、“vProTM”、“可信执行环境”、“TEE”、“策略决策点”、“PDP”、“策略实施点”、“PEP”、“资源管理器”、“资源请求器”、“Rl”、“P1”、“mP1”等)的任何使用不应当被解读为使实施例限于在产品中携带那个标签的软件或设备,也不应当在从字面上将实施例解读为在此文档之外。
通信/兼容性逻辑222可用于促进各种计算设备之间的动态通信和兼容性,同时确保与变化的技术、参数、协议、标准等的兼容性,所述计算设备诸如,图1的主机100和计算设备240(例如,客户机计算设备,诸如,移动计算设备、台式计算机,等等)、存储设备、数据库和/或数据源(诸如,数据源225)、网络(诸如,网络230)(例如,云网络、因特网、内联网、蜂窝式网络、邻近网络(诸如,蓝牙、蓝牙低能量(BLE)、蓝牙智能、近距离Wi-Fi、射频标识(RFID)、近场通信(NFC)等)、连接性和位置管理技术(例如,的公共连接性框架(CCF)等)、软件应用/网站、(例如,社交联网网站,诸如, 领等、企业应用、游戏和其他娱乐应用等)、编程语言等。
构想了可以将任何数量和类型的组件添加至访问控制机制110和/或从访问控制机制110中去除任何数量和类型的组件,以便促进包括添加、取出和/或增强某些特征的各种实施例。为了使访问控制机制110简洁、清晰且易于理解,在此未示出或讨论标准和/或已知组件中的许多标准和/或组件,诸如,计算设备的那些组件。构想了如本文中所描的实施例不限于任何特定的技术、拓扑、系统、体系结构和/或标准,并且对于采纳并适应任何将来的改变是足够动态的。
图3A阐释根据一个实施例的、用于促进对资源访问的基于上下文的控制的方法300。方法300可以由处理逻辑执行,此处理逻辑可以包括硬件(例如,电路、专用逻辑、可编程逻辑等)、软件(诸如,在处理设备上运行的指令)或硬件和软件的组合。在一个实施例中,方法300可以由图1的访问控制机制110和/或图2的一个或多个组件242-256执行。
方法300在框302处开始:将与客户机计算设备有关的平台登记到云或企业域,其中,在框304处,获取用户的默认简档和客户机计算设备的默认简档,用于端点上下文收集。在框306,认证用户,并且捕捉相关的客户机端点上下文。方法300在框310处可以具有同时的或分开的序列,在框310处,可以由一个或多个管理用户创作与访问各种资源有关的的上下文知晓的访问策略,并且在框312处,可以经由策略仓服务来公布这些策略(例如,CATM身份和访问管理(IAM)策略)。
往回参见第一序列,在一个实施例中,在框308处,在客户机计算设备处的用户可以借助于资源提供者的端点上下文来请求对资源(例如,Rl)的访问。在框314处,作出关于此资源请求是否满足基本策略的判断。如果满足了此基本策略,则在框316处,允许用户访问所请求的资源。然而,在框318,作出关于所请求的资源是本地的还是远程的另一判断。如果此资源是本地的,则在框320处,经由客户机计算设备将资源返回给用户,并且在框322处,此过程结束。如果此资源是远程的或不是本地的,则在框324处,将此请求往回路由至资源管理器(诸如,图2的资源管理器206),随后,此资源管理器评估此请求,定位所请求的资源,并且在框320处将此资源返回给用户。随后,在框322处,此过程可以结束。
往回参见判决框314,如果不满足基本策略,则在框326处,拒绝资源请求或对资源的访问。在框328处,生成用于访问资源的最低策略。此最低策略可以是基本策略的部分或替代。例如,如果基本策略要求满足3个上下文来访问资源,则最低策略可以要求:满足这3个上下文中的2个;或可以满足3个上下文中的1个和另一上下文或标识(例如,密码、驾驶执照、指纹等)的组合;或者可以提供完全不同的上下文策略(例如,最后三个密码、质询问题的答案等)来访问资源。可以由策略创作实体使用用于最低替代策略的此动机(也被称为“评分”)来建立被认为大致等效的组合。进一步,例如可以由过程308使用评分来使找到大致等效于最低策略的上下文输入的组合自动化,以作为客户机或用户找到可能还未由资源管理器预测到的因素的最合适的组合的方式。在框330处,将拒绝和最抵策略返回给用户。如果例如用户选择不寻求满足此最低策略,则此过程可以结束,或者在框304处继续。
图3B阐释根据一个实施例的、用于促进对资源访问的基于上下文的控制的事务序列340。事务序列340可以由处理逻辑执行,此处理逻辑可以包括硬件(例如,电路、专用逻辑、可编程逻辑等)、软件(例如,在处理设备上运行的指令)或硬件和软件的组合。在一一个实施例中,事务序列340可以由图1的访问控制机制110和/或图2的一个或多个组件242-256执行。
在一个实施例中,事务序列开始于以下步骤:由资源请求器246经由一个或多个传感器和/或音频/可是设备来收集上下文342。在资源请求器246处接收用户置入的对访问资源356的请求,并且随后继续将此请求传递344至资源管理器206。随后,将此资源请求继续转发346至PDP214,在PDP214处,评估348资源请求以判断与请此求一起提供或者在此请求内内提供的上下文是否至少满足为所请求的资源356所开发的对应的基本策略。例如,可从储存库354中访问此基本策略,储存库354可以与图2的数据源225相同或类似。在PDP214处生成决策包(例如,对请求的接受,与对请求的拒绝一起的最低策略,等等),并且将此决策包转发350至PEP210。在一个实施例中,在接受请求的情况下,将所请求的资源356返回352给资源请求器246,以便将其继续传递给用户。在另一实施例中,在拒绝请求的情况下,将再次请求请求访问资源356和再次取得访问资源356的资格的最低策略返回352给资源请求器246,以便继续传递给用户。
图3C阐释根据一个实施例的、用于促进对资源访问的基于上下文的控制的事务序列360。事务序列360可以由处理逻辑执行,此处理逻辑可以包括硬件(例如,电路、专用逻辑、可编程逻辑等)、软件(例如,在处理设备上运行的指令)或其硬件和软件的组合。在一个实施例中,事务序列360可以由图1的访问控制机制110和/或图2的一个或多个组件242-256执行。
在一个实施例中,事务序列360开始于以下步骤:在资源请求器246处收集上下文362,并且经由客户机计算设备处的TEE逻辑252进行用户认证364。经由TEE逻辑252收集366附加的认证上下文,同时在资源请求器246处执行OS登录368,并且将对访问资源的用户请求传递370至服务器计算设备处的资源管理器206。随后,将资源请求传递372至PDP214,在此PDP214处,它的上下文将用于与基本策略进行匹配以判断将准予还是拒绝此请求。在PDP214于资源管理器206之间传递374用于所请求的资源的上下文知晓的授权策略,在资源管理器206处,从资源请求器246且随后从TEE逻辑252请求376、378TEE证实。在一个实施例中,可以打开西格玛(sigma)信道,并且由TEE逻辑252证实380认证上下文。由资源管理器206请求382任何可证实的上下文,并且由TEE逻辑252将任何可证实的上下文提供384给资源管理器206。
在一个实施例中,根据通过资源请求而提供的上下文来评估386与所请求的资源有关的基本策略,并且如果满足此策略,则资源管理器206将所请求的资源和/或对所请求的资源388的访问延伸至资源请求器246。在一些实施例中,如果不满足此策略,则在资源管理器206处生成390替代的最低策略,并且将其传递392至资源请求器246。随后,可以使用此最低策略来触发对此资源的另一请求394,随后,对此资源的另一请求394可以使用户在最低策略下重新请求对对资源396的访问。
图4阐释计算系统400的实施例。计算系统400表示一系列计算和电子设备(有线或无线的),包括例如,台式计算系统、膝上型计算系统、蜂窝式电话、个人数字助理(PDA)(包括启用蜂窝的PDA)、机顶盒、智能电话、平板等。替代的计算系统可以包括更多、更少和/或不同的组件。计算设备400可以与图1的主机100和/或图2的客户机计算设备240相同、类似或包括它们。
计算系统400包括总线405(或用于传递信息的链路、互连或另一类型的通信设备或接口)和耦合到此总线405的处理器410,此处理器410可处理信息。尽管计算系统400以单个处理器来阐释,但是电子系统400可以包括多个处理器和/或协处理器,诸如,中央处理器、图形处理器和物理处理器等中的一种或多种。计算系统400还可以包括随机存取存储器(RAM)或其他动态存储设备420(被称为主存储器),它们耦合到总线405,并且可以存储可由处理器410执行的信息和指令。主存储器420也可用于在由处理器410执行指令期间来存储临时变量或其他中间信息。
计算系统400也可以包括耦合到总线405的只读存储器(ROM)和/或其他存储设备430,它们可以存储用于处理器410的静态信息和指令。数据存储设备440可以耦合到总线405以存储信息和指令。诸如磁盘或光盘和对应的驱动器之类的数据存储设备440可以耦合到计算系统400。
计算系统400也可以经由总线405耦合到显示设备450以将信息显示给用于,显示设备450诸如,阴极射线管(CRT)、液晶显示器(LCD)或有机发光二极管(OLED)阵列。用户输入设备460(包括字母数字和其他键)可以耦合到总线405以将信息和命令选择传递至处理器410。另一类型的用户输入设备460是用于将方向信息和命令选择传递至处理器410并用于在显示器450上控制光标运动的光标控制470,诸如,鼠标、跟踪球、触摸屏、触摸板或光标方向键。计算机系统400的相机和话筒阵列490可以耦合到总线405,以便观察手势、记录音频和视频并接收和发送可视和音频命令。
计算系统400还可以包括用于提供对网络的访问的(多个)网络接口480,所述网络诸如,局域网(LAN)、广域网(WAN)、城域网(MAN)、个域网(PAN)、蓝牙、云网络、移动网络(例如、第三代(3G)等等)、内联网、因特网,等等。(多个)网络接口480可以包括例如具有天线485的无线网络接口,天线485可以表示一个或多个天线。(多个)网络接口480也可以包括例如用于经由网络电缆487来与远程设备通信的有线网络接口,所述网络电缆487可以是例如,以太网电缆、同轴电缆、光缆电缆、串行电缆或并行电缆。
(多个)网络接口480可以例如通过符合IEEE802.11b和/或IEEE802.11g标准来提供对LAN的访问,并且/或者无线网络接口可以例如通过符合蓝牙标准来提供对个域网的访问。也可以支持其他无线网络接口和/或协议,包括各种标准的前期版本和后续版本。
附加于或替代与经由无线LAN标准进行的通信,(多个)网络接口480可以使用例如以下协议来提供无线通信:时分多址(TDMA)协议、全球移动通信系统(GSM)协议、码分多址(CDMA)协议和/或任何其他类型的无线通信协议来提供无线通信。
(多个)网络接口480可以例如为了提供通信链路以支持LAN或WAN的一个或多个通信接口,诸如,调制解调器、网络接口卡或其他公知的接口设备(诸如,用于耦合至以太网、令牌环或其他类型的物理的有线或无线的附连的那些接口设备)。以这种方式,计算机系统也可以经由常规网络基础设施(包括例如,内联网或因特网)而耦合到许多外围设备、客户机、控制表面、控制台或服务器。
应当领会,对于某些实现,比上述示例装备更少或更多的系统可以是优选的。因此,取决于众多因素(例如,价格约束、性能要求、技术改进或其他情况),计算系统400的配置可以因实现而异。不作为限制,电子设备或计算机系统400的示例可以包括:移动设备、个人数字助理、移动计算设备、智能电话、蜂窝式电话、手持设备、单向寻呼机、双向寻呼机、消息收发设备、计算机、个人计算机(PC)、台式计算机、膝上型计算机、笔记本计算机、手持式计算机、平板计算机、服务器、服务器阵列或服务器场、web服务器、网络服务器、因特网服务器、工作站、小型计算机、大型计算机、超级计算机、网络设备、web设备、分布式计算系统、多处理器系统、基于处理器的系统、消费电子设备、可编程消费性电子设备、电视、数字电视、机顶盒、无线接入点、基站、订户站、移动订户中心、无线电网络控制器、路由器、集线器、网关、桥、交换机、机器或上述各项的组合。
实施例可以实现为以下各项中的任何一项或它们的组合:使用母版而互连的一个或多个微芯片或集成电路、硬连线逻辑、由存储器设备存储且可由微处理器执行的软件、固件、专用集成电路(ASIC)和/或现场可编程门阵列(FPGA)。作为示例,术语“逻辑”可以包括软件或硬件和/或软件和硬件的组合。
例如,实施例可以作为计算机程序产品来提供,此计算机程序产品可以包括其上存储有机器可执行指令的一种或多中机器可读介质,当由一个或多个机器(诸如,计算机、计算机网络或其他电子设备)执行这些机器可执行指令时,这些机器可执行指令可以使这一个或多个机器执行根据本文中描述的实施例的操作。机器可读介质可以包括但不限于,软盘、光盘、CD-ROM(紧致盘只读存储器)和磁-光盘、ROM、RAM、EPROM(可擦除可编程只读存储器)、EEPROM(电可擦除可编程只读存储器)、磁卡或光卡、闪存或适用于存储机器可执行指令的其他类型的介质/机器可读介质。
此外,实施例可可以作为计算机程序产品被下载,其中,可以经由通信链路(例如,调制解调器和/或网络连接),通过以载波或其他传播介质具体化和/或由载波或其他传播介质调制的一个或多个数据信号来将程序从远程计算机(例如,服务器)传递至请求计算机(例如,客户机)。
对“一个实施例”、“实施例”、“示例实施例”、“各种实施例”等的引用指示如此描述的(多个)实施例可以包括特定的特征、结构或特性,但是并非每一个实施例都一定包括这些特定的特征、结构或特性。此外,一些实施例可以具有针对其他实施例所描述的特征中的一些、全部,或者没有这些特征。
在下列描述和权利要求中,可以使用术语“耦合的”及其派生词。“耦合的”用于指示两个或更多个元件彼此协作或相互作用,但是在它们之间可以有或没有中间物理或电气部件。
如权利要求中所使用,除非另外指出,否则使用序数词“第一”、“第二”、“第三”等来描述共同的元素仅指示所提及的类似元件的不同实例,并且不旨在暗示如此描述的元件必须按照给定的序列(无论是时间上、空间上、等级上)或按照任何其他方式。
下列的条款和/或示例涉及进一步的实施例或示例。示例中的特性可以用于一个或多个实施例中的任何地方。能以各种方式将不同的实施例或示例的各种特征与所包括的一些特征和所排除的其他特征组合以适应各种不同的应用。一些实施例涉及一种方法,包括以下步骤:接收访问多个资源中的资源的第一请求,其中,所述第一请求与对应于在计算设备处置入所述第一请求的用户的一个或多个上下文相关联;评估所述一个或多个上下文,其中,对所述一个或多个上下文的评估包括以下步骤:将所述一个或多个上下文与同所述所请求的资源相关联的一个或多个访问策略匹配;以及如果所述一个或多个上下文满足所述一个或多个访问策略中的至少一个访问策略,则接受所述第一请求。
实施例或示例包括以上方法中的任何一种,其中,接受所述第一请求的步骤包括以下步骤:提供对所请求的资源的访问,其中,访问所述所请求的资源的步骤包括以下步骤:访问数据、计算设备和实体财产中的一个或多个。
实施例或示例包括以上方法中的任何一种,进一步包括以下步骤:如果所述一个或多个上下文不能满足所述一个或多个访问策略中的至少一个访问策略,则拒绝所述第一请求,其中,拒绝所述第一请求的步骤包括以下步骤:拒绝对所述所请求的资源的访问;以及生成最低访问策略,所述最低访问策略具有访问所述所请求的资源的最低访问标准。
实施例或示例包括以上方法中的任何一种,进一步包括以下步骤:经由所述计算设备来将所述最低访问策略传递至所述用户,以便促进访问所述多个资源中的所述资源的第二请求。
实施例或示例包括以上方法中的任何一种,进一步包括以下步骤:认证所述请求、所述用户和所述计算设备中的一个或多个,其中,在包括云网络的网络上接收所述请求;以及维护与所述多个资源相关联的所述一个或多个访问策略。
一些实施例涉及一种方法,包括以下步骤:收集与用户有关的一个或多个上下文;认证所述一个或多个上下文;接收对访问多个资源中的资源的第一请求,其中,所述请求由所述用户置入,其中,提交所述第一请求以检索所请求的资源;以及将所述经认证的上下文关联至所述第一请求,以便促进与所述所请求的资源相关联的一个或多个访问策略。
实施例或示例包括以上方法中的任何一种,进一步包括以下步骤:接收指示对所述第一请求的接受或拒绝的决策包,其中,如果接受所述第一请求,则准予对所请求的资源的访问,并且其中,如果所述经认证的上下文满足与所述多个资源相关联的所述一个或多个访问策略中的至少一个访问策略,则接受所述第一请求。
实施例或示例包括以上方法中的任何一种,其中,如果拒绝所述第一请求,则所述决策包进一步包括最低访问策略,其中,如果所述经认证的上下文不能满足所述一个或多个访问策略中的至少一个访问策略,则拒绝所述第一请求,并且其中,对所述第一请求的拒绝基于所述最低访问策略而自动地触发访问所述资源的第二请求。
另一实施例或示例包括用于执行根据上述方法中的任何一种的操作的装置。
在另一实施例中或示例中,一种装置包括用于执行根据上述方法中的任何一种的操作的设备。
在进一步的另一实施例或示例中,一种计算设备布置成用于执行根据上述方法中的任何一种的操作。
在进一步的另一实施例或示例中,一种通信设备布置成用于执行根据上述方法中的任何一种的操作。
在一个实施例或示例中,一种系统包括用于执行根据上述方法中的任何方法的操作的机制。
在进一步的另一实施例或示例中,至少一种机器可读存储介质包括多条指令,响应于在计算设备上执行所述多条指令,所述多条指令使所述计算设备执行根据上述方法中的任何一种的操作。
在进一步的另一实施例或示例中,至少一种非暂态或有形的机器可读存储介质包括多条指令,响应于在计算设备上执行所述多条指令,所述多条指令使所述计算设备执行根据上述方法中的任何的操作。
一些实施例涉及一种装置,所述装置包括:接收逻辑,用于接收访问多个资源中的资源的第一请求,其中,所述接收逻辑进一步用于接收与在计算设备处置入所述第一请求的用户相关联的一个或多个上下文;策略决策点的评估逻辑,其评估所述一个或多个上下文,其中,对所述一个或多个上下文的评估包括以下步骤:将所述一个或多个上下文与同所请求的资源相关联的一个或多个访问策略匹配;以及所述策略判定点的决策/返回逻辑,用于如果所述一个或多个上下文满足所述一个或多个访问策略中的至少一个访问策略,则接受所述第一请求。
实施例或示例包括以上装置,其中,接受所述第一请求的步骤包括以下步骤:提供对所述所请求的资源的访问,其中,经由资源管理器的策略实施点来实施所述接受步骤,并且其中,经由所述资源管理器的资源/策略返回逻辑来促进对所述所请求的资源的访问,其中,访问所述所请求的资源包括以下步骤:访问数据、计算设备和实体财产中的一个或多个。
实施例或示例包括以上装置,其中,所述决策/返回逻辑进一步用于:如果所述一个或多个上下文不能满足所述一个或多个访问策略中的至少一个访问策略,则拒绝所述第一请求,其中,拒绝所述第一请求的步骤包括以下步骤:拒绝对所述所请求的资源的访问,其中,经由所述策略实施点来实施所述拒绝步骤,其中,所述决策/返回逻辑进一步用于:如果拒绝所述第一请求,则生成具有访问所述所请求的资源的最低访问标准的最低访问策略。
实施例或示例包括以上装置,其中,所述资源/策略返回逻辑用于经由通信/兼容性逻辑,经由所述计算设备来将所述最低访问策略传递至所述用户,以便促进访问所述多个资源中的所述资源的第二请求。
实施例或示例包括以上装置,进一步包括:认证逻辑,用于认证请求、用户和计算设备中的一个或多个,其中,在包括云网络的网络上接收所述请求;以及策略维护和公布逻辑,用于维护与所述多个资源相关联的所述一个或多个访问策略。
一些实施例涉及一种装置,所述装置包括:一个或多个上下文知晓的传感器,用于收集与用户有关的一个或多个上下文,其中,进一步经由一个或多个音频/可视设备来收集所述一个或多个上下文;可信执行环境逻辑,用于认证所述一个或多个上下文;以及资源请求器,用于接收对访问多个资源中的资源的第一请求,其中,所述请求由所述用户置入,其中,所述资源请求器进一步用于经由通信逻辑来提交所述第一请求以检索所述所请求的资源,其中,所述资源请求器进一步用于:将所述经认证的一个或多个上下文关联至所述第一请求,以便促进与所述所请求的资源相关联的一个或多个访问策略的满足。
实施例或示例包括以上装置,其中,所述资源请求器进一步用于接收指示对所述第一请求的接受或拒绝的决策包,其中,如果接受所述第一请求,则批准对所述所请求的资源的访问,并且其中,如果所述经认证的上下文满足与所述多个资源相关联的所述访问策略中的至少一个或多个访问策略,则接受所述第一请求。
实施例或示例包括以上装置,其中,如果拒绝所述第一请求,则所述决策包进一步包括最低访问策略,其中,如果所述经认证的上下文不能满足所述访问策略则拒绝所述第一请求中的至少一个或多个,并且其中,如果拒绝所述第一请求,则所述资源请求器用于基于所述最低访问策略来自动地触发访问所述资源的第二请求。
一些实施例涉及一种系统,所述系统包括:存储设备,其具有指令;以及处理器,用于执行所述指令以促进一个或多个操作,这些操作包括以下操作:接收访问多个资源中的资源的第一请求,其中,所述第一请求与对应于在计算设备处置入所述第一请求的一个或多个的用户的上下文相关联;评估所述一个或多个上下文,其中,对所述一个或多个上下文的评估包括以下操作:将所述一个或多个上下文与同所述所请求的资源相关联的访问策略匹配;以及如果所述一个或多个上下文满足所述访问策略,则接受所述第一请求。
实施例或示例包括所述以上系统,其中,接受所述第一请求的操作包括以下操作:提供对所述所请求的资源的访问,其中,访问所述所请求的资源包括以下操作:访问数据、计算设备和实体财产中的一个或多个。
实施例或示例包括以上系统,其中,所述一个或多个操作包括以下操作:如果所述一个或多个上下文不能满足所述访问策略,则拒绝所述第一请求,其中,拒绝所述第一请求的操作包括以下操作:拒绝对所述所请求的资源的访问;以及生成最低访问策略,所述最低访问策略具有访问所述所请求的资源的最低访问标准。
实施例或示例包括以上系统,其中,所述一个或多个操作包括以下操作:经由所述计算设备而将所述最低访问策略传递至所述用户,以便促进访问所述多个资源中的所述资源的第二请求。
实施例或示例包括以上系统,其中,所述一个或多个操作包括以下操作:认证所述请求、所述用户和所述计算设备中的一个或多个,其中,在包括云网络的网络上接收所述请求;以及维护与所述多个资源相关联的多个策略,其中,所述多个访问策略包括与所述所请求的资源相关联的访问策略。
一些实施例涉及一种系统,所述系统包括:存储设备,其具有指令;以及处理器,用于执行所述指令以促进一个或多个操作,所述操作包括以下操作:收集与用户有关的上下文;认证所述上下文;接收访问多个资源中的资源的第一请求,其中,所述请求由所述用户置入,其中,提交所述第一请求以检索所请求的资源;以及将所述经认证的上下文关联至所述第一请求,以便促进与所述所请求的资源相关联的访问策略。
实施例或示例包括以上系统,其中,所述一个或多个操作包括以下操作:接收指示对所述第一请求的接受或拒绝的决策包,其中,如果接受所述第一请求,则准予对所述所请求的资源的访问,并且其中,如果所述经认证的上下文满足与所述多个资源相关联的多个访问策略中的所述访问策略,则接受所述第一请求。
实施例或示例包括以上系统,其中,如果拒绝所述第一请求,则所述决策包进一步包括最低访问策略,其中,如果所述经认证的上下文不能满足所述访问策略,则拒绝所述第一请求,并且其中,对所述第一请求的拒绝基于所述最低访问策略而自动地触发访问所述资源的第二请求。
一些实施例涉及一种装置,所述装置包括:用于接收访问多个资源中的资源的第一请求的设备,其中,所述第一请求与对应于在计算设备处置入所述第一请求的用户的一个或多个上下文相关联;用于评估所述一个或多个上下文的设备,其中,对所述一个或多个上下文的评估包括以下步骤:将所述一个或多个上下文与同所请求的资源相关联的访问策略匹配;以及用于如果所述一个或多个上下文满足所述访问策略则接受所述第一请求的设备。
实施例或示例包括以上装置,其中,接受所述第一请求的步骤包括:提供对所述所请求的资源的访问,其中,访问所述所请求的资源的步骤包括以下步骤:访问数据、计算设备和实体财产中的一个或多个。
实施例或示例包括以上装置,进一步包括用于如果所述一个或多个上下文不能满足所述访问策略则拒绝所述第一请求的设备,其中,拒绝所述第一请求的步骤包括以下步骤:拒绝对所述所请求的资源的访问;以及生成最低访问策略,所述最低访问策略具有访问所述所请求的资源的最低访问标准。
实施例或示例包括以上装置,进一步包括用于经由所述计算设备来将所述最低访问策略传递至所述用户以促进访问所述多个资源中的所述资源的第二请求的设备。
实施例或示例包括以上装置,进一步包括:用于认证所述请求、所述用户和所述计算设备中的一个或多个的设备,其中,在包括云网络的网络上接收所述请求;以及用于维护与所述多个资源相关联的多个策略的设备,其中,所述多个访问策略包括与所述所请求的资源相关联的访问策略。
一些实施例涉及一种装置,所述装置包括:用于收集与用户有关的上下文的设备;用于认证所述上下文的设备;用于接收访问多个资源中的资源的第一请求的设备,其中,所述请求由所述用户置入,其中,提交所述第一请求以检索所请求的资源;以及用于将所述经认证的上下文关联至所述第一请求以促进与所述所请求的资源相关联的访问策略的满足的设备。
实施例或示例包括以上装置,进一步包括用于接收指示对所述第一请求的接受或拒绝的决策包的设备,其中,如果接受所述第一请求,则准予对所述所请求的资源的访问,并且其中,如果所述经认证的上下文满足与所述多种资源相关联的多个访问策略中的所述访问策略,则接受所述第一请求。
实施例或示例包括以上装置,其中,如果拒绝所述第一请求,则所述决策包进一步包括最低访问策略,其中,如果所述经认证的上下文不能满足所述访问策略,则拒绝所述第一请求,并且其中,对所述第一请求的拒绝基于所述最低访问策略而自动地触发访问所述资源的第二请求。
附图和前面的描述给出了实施例的示例。本领域中的技术人员经领会,所描述的元件中的一个或多个可以被很好地组合成单个的功能元件。或者,某些元素可以被拆分成多个功能元件。可以将来自一个实施例的元件添加到另一实施例。例如,本文中描述的过程的顺序可以改变,并且不限于本文中描述的方式。此外,不必按照所示出的顺序来任何流程图的动作;也不一定需要执行这些动作中的所有动作。此外,可与其他动作并行地执行布依赖于其他动作的那些动作。实施例的范围无论如何也不受到这些特定的示例的限制。无论是否在说明书中明确地给出,众多变型(诸如,结构、维度和材料的使用方面的差异都是可能的。实施例的范围至少与所附权利要求书所给出的范围一样宽。
Claims (25)
1.一种促进基于上下文的访问控制的装置,包括:
接收逻辑,用于接收访问多个资源中的资源的第一请求,其中,所述接收逻辑进一步用于接收与在计算设备处置入所述第一请求的用户相关联的一个或多个上下文;
策略决策点的评估逻辑,用于评估所述一个或多个上下文,其中,对所述一个或多个上下文的评估包括以下步骤:尝试将所述一个或多个上下文与同所请求的资源相关联的一个或多个访问策略匹配;以及
所述策略决策点的决策/返回逻辑,用于如果所述一个或多个上下文满足所述一个或多个访问策略中的至少一个访问策略则接受所述第一请求。
2.如权利要求1所述的装置,其特征在于,接受所述第一请求的步骤包括以下步骤:提供对所述所请求的资源的访问,其中,经由资源管理器的策略实施点来实施所述接受步骤,并且其中,经由所述资源管理器的资源/策略返回逻辑来促进对所述所请求的资源的访问,其中,访问所述所请求的资源的步骤包括以下步骤:访问数据、计算设备和实体财产中的一个或多个。
3.如权利要求1所述的装置,其特征在于,所述决策/返回逻辑进一步用于:如果所述一个或多个上下文不能满足所述一个或多个访问策略中的至少一个访问策略,则拒绝所述第一请求,其中,拒绝所述第一请求的步骤包括以下步骤:拒绝对所述所请求的资源的访问,其中,经由所述策略实施点来实施所述拒绝,
其中,所述决策返回逻辑进一步用于:如果拒绝所述第一请求,则生成具有访问所述所请求的资源的最低访问标准的最低访问策略。
4.如权利要求1或3所述的装置,其特征在于,所述资源/策略返回逻辑用于:经由通信/兼容性逻辑,经由所述计算设备来将所述最低访问策略传递至所述用户,以便促进访问所述多个资源中的所述资源的第二请求。
5.如权利要求1所述的装置,进一步包括:
认证逻辑,用于认证所述请求、所述用户和所述计算设备中的一个或多个,其中,在包括云网络的网络上接收所述请求;以及
策略维护和公布逻辑,用于维护与所述多个资源相关联的所述一个或多个策略。
6.一种用于促进基于上下文的访问控制的装置,包括:
一个或多个上下文知晓的传感器,用于收集与用户有关的上下文,其中,进一步经由一个或多个音频/可视设备来收集所述上下文;
可信执行环境逻辑,用于认证所述一个或多个上下文;以及
资源请求器,用于接收访问多个资源中的资源的第一请求,其中,所述请求由所述用户置入,其中,所述资源请求器进一步用于:经由通信逻辑来提交对检索所述所请求的资源的所述第一请求,
其中,所述资源请求器进一步用于:将所述经认证的一个或多个上下文关联至所述第一请求,以便促进与所述所请求的资源相关联的访问策略的满足。
7.如权利要求6所述的装置,其特征在于,所述资源请求器进一步用于:接收指示对所述第一请求的接受或拒绝的决策包,其中,如果接受所述第一请求,则准予对所述所请求的资源的访问,并且其中,如果所述一个或多个经认证的上下文满足与所述多个资源相关联的一个或多个访问策略中的所述访问策略,则接受所述第一请求。
8.如权利要求7所述的装置,其中,如果拒绝所述第一请求,则所述决策包进一步包括最低访问策略,其中,如果所述经认证的上下文不能满足所述一个或多个访问策略中的至少一个访问策略,则拒绝所述第一请求,并且其中,如果拒绝所述第一请求,则所述资源请求器进一步用于:基于所述最低访问策略来自动地触发访问所述资源的第二请求。
9.一种用于促进基于上下文的访问控制的方法,包括以下步骤:
接收访问多个资源中的资源的第一请求,其中,所述第一请求与对应于在计算设备处置入所述第一请求的一个或多个上下文相关联;
评估所述一个或多个上下文,其中,对所述一个或多个上下文的评估包括以下步骤:尝试将所述一个或多个上下文与同所请求的资源相关联的一个或多个访问策略匹配;以及
如果所述一个或多个上下文满足所述一个或多个访问策略中的至少一个访问策略,则接受所述第一请求。
10.如权利要求9所述的方法,其特征在于,接受所述第一请求的步骤包括以下步骤:提供对所述所请求的资源的访问。
11.如权利要求9所述的方法,进一步包括以下步骤:如果所述一个或多个上下文不能满足所述一个或多个访问策略中的至少一个访问策略,则拒绝所述第一请求,其中,拒绝所述第一请求的步骤包括:拒绝对所述所请求的资源的访问;以及生成最低访问策略,所述最低访问策略具有访问所述所请求的资源的最低访问标准。
12.如权利要求11所述的方法,进一步包括以下步骤:经由所述计算设备来将所述最低访问策略传递至所述用户,以便促进访问所述多个资源中的所述资源的第二请求。
13.如权利要求11所述的方法,进一步包括以下步骤:
认证所述请求、所述用户和所述计算设备中的一个或多个,其中,在包括云网络的网络上接收所述请求;以及
维护与所述多个资源相关联的所述一个或多个访问策略。
14.一种用于促进基于上下文的访问控制的方法,包括以下步骤
收集与用户有关的上下文;
认证所述上下文;
接收对访问多个资源中的资源的第一请求,其中,所述请求由所述用户置入,其中,提交所述第一请求以检索所述所请求的资源;以及
将所述经认证的上下文关联至所述第一请求,以便促进与所述所请求的资源相关联的一个或多个访问策略的满足。
15.如权利要求14所述的方法,进一步包括以下步骤:接收指示对所述第一请求的接受或拒绝的决策包,其中,如果接受所述第一请求,则准予对所述所请求的资源的访问,并且其中,如果所述经认证的上下文满足与所述多个资源相关联的所述一个或多个访问策略中的至少一个访问策略,则接受所述第一请求。
16.如权利要求15所述的方法,其中,如果拒绝所述第一请求,则所述决策包进一步包括最低访问策略,其中,如果所述经认证的上下文不能满足所述一个或多个访问策略中的至少一个访问策略,则拒绝所述第一请求,并且其中,对所述第一请求的拒绝基于所述最低访问策略来自动地触发访问所述资源的第二请求。
17.至少一种机器可读介质,包括多条指令,响应于在计算设备上执行所述多条指令,所述多条指令使所述计算设备执行根据权利要求9至13中的任一项所述的操作。
18.至少一种机器可读介质,其包括多条指令,响应于在计算设备上执行所述多条指令,所述多条指令使所述计算设备执行根据权利要求14至16中的任一项所述的操作。
19.一种系统,包括用于执行根据权利要求9至13中的任一项所述的操作的机制。
20.一种系统,包括用于执行根据权利要求14至16中的任一项所述的操作的机制。
21.一种装置,包括用于执行根据权利要求9至13中的任一项所述的操作的设备。
22.一种装置,包括用于执行根据权利要求14至16中的任一项所述的操作的设备。
23.一种计算设备,布置成用于执行根据权利要求9至13中的任一项所述的操作。
24.一种计算设备,布置成用于执行根据权利要求14至16中的任一项所述的操作。
25.一种通信设备,布置成用于执行根据权利要求9至13中的任一项所述的操作。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2013/062435 WO2015047338A1 (en) | 2013-09-27 | 2013-09-27 | Mechanism for facilitating dynamic context-based access control of resources |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105493093A true CN105493093A (zh) | 2016-04-13 |
Family
ID=52744234
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380079188.7A Pending CN105493093A (zh) | 2013-09-27 | 2013-09-27 | 用于促进对资源的动态的基于上下文访问控制的机制 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US20150135258A1 (zh) |
| EP (1) | EP3049981A4 (zh) |
| CN (1) | CN105493093A (zh) |
| WO (1) | WO2015047338A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106685933A (zh) * | 2016-12-08 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 一种授权策略推荐及装置 |
| CN108924120A (zh) * | 2018-06-28 | 2018-11-30 | 电子科技大学 | 一种多维状态感知的动态访问控制方法 |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9426182B1 (en) * | 2013-01-07 | 2016-08-23 | Workspot, Inc. | Context-based authentication of mobile devices |
| US10135845B2 (en) * | 2013-09-28 | 2018-11-20 | Mcafee, Llc | Context-aware network on a data exchange layer |
| US9479451B1 (en) * | 2013-10-18 | 2016-10-25 | Google Inc. | Allocating resources |
| US10848991B2 (en) * | 2013-12-17 | 2020-11-24 | British Telecommunications Public Limited Company | Sensor network |
| US9648128B2 (en) * | 2014-02-24 | 2017-05-09 | International Business Machines Corporation | Dynamic ad hoc cloud based memory management for mobile devices |
| US9600676B1 (en) * | 2014-06-16 | 2017-03-21 | Verily Life Sciences Llc | Application-level wireless security for wearable devices |
| US9525668B2 (en) | 2014-06-27 | 2016-12-20 | Intel Corporation | Face based secure messaging |
| US9998446B2 (en) * | 2014-08-29 | 2018-06-12 | Box, Inc. | Accessing a cloud-based service platform using enterprise application authentication |
| US10103889B2 (en) * | 2014-09-26 | 2018-10-16 | Intel Corporation | Securely exchanging vehicular sensor information |
| US9807118B2 (en) | 2014-10-26 | 2017-10-31 | Mcafee, Inc. | Security orchestration framework |
| US9825966B2 (en) | 2014-12-18 | 2017-11-21 | Intel Corporation | System platform for context-based configuration of communication channels |
| US10038722B2 (en) * | 2015-09-03 | 2018-07-31 | Vmware, Inc. | Access control policy management in a cloud services environment |
| US10482231B1 (en) * | 2015-09-22 | 2019-11-19 | Amazon Technologies, Inc. | Context-based access controls |
| US9641553B2 (en) * | 2015-09-25 | 2017-05-02 | Intel Corporation | Methods and apparatus to facilitate end-user defined policy management |
| US9875373B2 (en) * | 2015-09-28 | 2018-01-23 | International Business Machines Corporation | Prioritization of users during disaster recovery |
| US10205631B1 (en) * | 2015-10-30 | 2019-02-12 | Intuit Inc. | Distributing an access control service to local nodes |
| US10158669B2 (en) * | 2016-01-28 | 2018-12-18 | Adp, Llc | Dynamic application versioning system |
| US20170372089A1 (en) * | 2016-06-22 | 2017-12-28 | Tata Consultancy Services Limited | Method and system for dynamic virtual portioning of content |
| US11157641B2 (en) * | 2016-07-01 | 2021-10-26 | Microsoft Technology Licensing, Llc | Short-circuit data access |
| US10673857B2 (en) | 2017-03-31 | 2020-06-02 | International Business Machines Corporation | Dynamically changing access rules for context-sensitive access control |
| US10922423B1 (en) * | 2018-06-21 | 2021-02-16 | Amazon Technologies, Inc. | Request context generator for security policy validation service |
| DE102018127949A1 (de) | 2018-11-08 | 2020-05-14 | Samson Aktiengesellschaft | Kontrolle von Zugriffsrechten in einem vernetzten System mit Datenverarbeitung |
| CN112350982B (zh) * | 2019-09-06 | 2023-05-30 | 北京京东尚科信息技术有限公司 | 一种资源鉴权方法和装置 |
| AU2021249117B2 (en) * | 2020-04-01 | 2023-04-13 | Okta, Inc. | Flexible identity and access management pipeline |
| US11586719B1 (en) * | 2020-09-25 | 2023-02-21 | Wells Fargo Bank, N.A. | Apparatuses and methods for verified application access |
| US11722903B2 (en) * | 2021-04-09 | 2023-08-08 | Northrop Grumman Systems Corporation | Environmental verification for controlling access to data |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070061243A1 (en) * | 2005-09-14 | 2007-03-15 | Jorey Ramer | Mobile content spidering and compatibility determination |
| US20070198849A1 (en) * | 2001-06-05 | 2007-08-23 | Sensory, Incorporated | Client-server security system and method |
| US20080222694A1 (en) * | 2007-03-09 | 2008-09-11 | Nec Corporation | System, server, and program for access right management |
| US20110167479A1 (en) * | 2010-01-07 | 2011-07-07 | Oracle International Corporation | Enforcement of policies on context-based authorization |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7353533B2 (en) * | 2002-12-18 | 2008-04-01 | Novell, Inc. | Administration of protection of data accessible by a mobile device |
| US8181219B2 (en) * | 2004-10-01 | 2012-05-15 | Microsoft Corporation | Access authorization having embedded policies |
| US20100077457A1 (en) * | 2008-09-23 | 2010-03-25 | Sun Microsystems, Inc. | Method and system for session management in an authentication environment |
| US8437773B2 (en) * | 2009-12-09 | 2013-05-07 | Qualcomm Incorporated | Hierarchical information dissemination for location based systems |
| US8621656B2 (en) | 2010-07-06 | 2013-12-31 | Nokia Corporation | Method and apparatus for selecting a security policy |
| US8516563B2 (en) * | 2011-06-29 | 2013-08-20 | Infosys Technologies, Ltd. | Methods for authenticating a user without personal information and devices thereof |
| US20130104187A1 (en) * | 2011-10-18 | 2013-04-25 | Klaus Helmut Weidner | Context-dependent authentication |
| US20130239191A1 (en) * | 2012-03-09 | 2013-09-12 | James H. Bostick | Biometric authentication |
| US8955039B2 (en) * | 2012-09-12 | 2015-02-10 | Intel Corporation | Mobile platform with sensor data security |
-
2013
- 2013-09-27 EP EP13894105.9A patent/EP3049981A4/en not_active Withdrawn
- 2013-09-27 WO PCT/US2013/062435 patent/WO2015047338A1/en active Application Filing
- 2013-09-27 US US14/129,961 patent/US20150135258A1/en not_active Abandoned
- 2013-09-27 CN CN201380079188.7A patent/CN105493093A/zh active Pending
-
2016
- 2016-04-14 US US15/098,524 patent/US10484378B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070198849A1 (en) * | 2001-06-05 | 2007-08-23 | Sensory, Incorporated | Client-server security system and method |
| US20070061243A1 (en) * | 2005-09-14 | 2007-03-15 | Jorey Ramer | Mobile content spidering and compatibility determination |
| US20080222694A1 (en) * | 2007-03-09 | 2008-09-11 | Nec Corporation | System, server, and program for access right management |
| US20110167479A1 (en) * | 2010-01-07 | 2011-07-07 | Oracle International Corporation | Enforcement of policies on context-based authorization |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106685933A (zh) * | 2016-12-08 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 一种授权策略推荐及装置 |
| US10686843B2 (en) | 2016-12-08 | 2020-06-16 | Tencent Technology (Shenzhen) Company Limited | Authorization policy recommendation method and apparatus, server, and storage medium |
| CN106685933B (zh) * | 2016-12-08 | 2020-06-19 | 腾讯科技(深圳)有限公司 | 一种授权策略推荐及装置 |
| CN108924120A (zh) * | 2018-06-28 | 2018-11-30 | 电子科技大学 | 一种多维状态感知的动态访问控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10484378B2 (en) | 2019-11-19 |
| WO2015047338A1 (en) | 2015-04-02 |
| EP3049981A4 (en) | 2017-04-26 |
| EP3049981A1 (en) | 2016-08-03 |
| US20150135258A1 (en) | 2015-05-14 |
| US20170012983A1 (en) | 2017-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105493093A (zh) | 用于促进对资源的动态的基于上下文访问控制的机制 | |
| US10922631B1 (en) | System and method for secure touchless authentication of user identity | |
| US11516255B2 (en) | Dynamic policy injection and access visualization for threat detection | |
| US11316902B2 (en) | Systems and methods for securing a dynamic workspace in an enterprise productivity ecosystem | |
| Kitchin | Getting smarter about smart cities: Improving data privacy and data security | |
| CN106164859B (zh) | 设备策略管理器 | |
| US9311464B2 (en) | Authentication via accelerometer | |
| US11838762B1 (en) | Method and system for identity verification and authorization of request by checking against an active user directory of identity service entities selected by an identity information owner | |
| US10505983B2 (en) | Enforcing enterprise requirements for devices registered with a registration service | |
| US10964110B2 (en) | Managed actions using augmented reality | |
| CN105723374B (zh) | 使用设备生成的凭证的对设备凭证的安全远程修改 | |
| CN107113302A (zh) | 多租户计算系统中的安全性和许可架构 | |
| US8800056B2 (en) | Guided implicit authentication | |
| US10547616B2 (en) | Systems and methods for supporting information security and sub-system operational protocol conformance | |
| US11522883B2 (en) | Creating and handling workspace indicators of compromise (IOC) based upon configuration drift | |
| CN106104555A (zh) | 用于保护外围设备的行为分析 | |
| CN103930896A (zh) | 间接认证 | |
| Buecker et al. | Enterprise Single Sign-On Design Guide Using IBM Security Access Manager for Enterprise Single Sign-On 8.2 | |
| US20180157457A1 (en) | Enforcing display sharing profiles on a client device sharing display activity with a display sharing application | |
| Bhatt | Attribute-Based Access and Communication Control Models for Cloud and Cloud-Enabled Internet of Things | |
| Kim et al. | Privacy care architecture in wireless sensor networks | |
| EP4367832A1 (en) | User authentication | |
| Andrejevic et al. | Biometric Re-bordering: Environmental Control During Pandemic Times | |
| Stagliano et al. | Consumerization of IT | |
| Bhatta | A case study on hybrid cloud approach to automate the cloud services based on decision support system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160413 |