CN111264050B - 计算资源的动态部署的受限访问接口 - Google Patents
计算资源的动态部署的受限访问接口 Download PDFInfo
- Publication number
- CN111264050B CN111264050B CN201780096233.8A CN201780096233A CN111264050B CN 111264050 B CN111264050 B CN 111264050B CN 201780096233 A CN201780096233 A CN 201780096233A CN 111264050 B CN111264050 B CN 111264050B
- Authority
- CN
- China
- Prior art keywords
- access
- access interface
- subset
- computing resources
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 26
- 230000003993 interaction Effects 0.000 claims description 7
- 238000007726 management method Methods 0.000 description 58
- 230000006870 function Effects 0.000 description 32
- 238000004891 communication Methods 0.000 description 11
- 230000007246 mechanism Effects 0.000 description 5
- 239000003999 initiator Substances 0.000 description 4
- 238000004590 computer program Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
访问控制系统的第一访问接口(100)提供对计算资源(150)的访问。确定用户的至少一个访问角色和与用户的该访问角色关联的至少一个访问目标。基于用户的至少一个访问角色和关联的至少一个访问目标,确定计算资源(150)的子集。定义限于计算资源(150)的子集的第二访问接口(110、120)。通过第二访问接口(110、120),向所述用户提供对计算资源(150)的子集的访问。
Description
技术领域
本发明涉及用于控制对计算资源的访问的方法以及对应的设备和系统。
背景技术
在计算机系统或网络中,已知的是提供用于控制用户对计算资源的访问的各种机制。一个示例是通信网络中的访问控制。在此情况下,可能需要对特定订户可以使用通信网络的哪些资源进行控制。然而,关于对通信网络的管理,也可能需要访问控制。例如,通信网络可以在多个运营商之间共享其网络资源,并且每个运营商可能需要管理对网络资源的对应共享。
在每种情况下,访问控制涉及许可特定用户(在上述示例中为特定订户或运营商)对特定计算资源的访问,而对于该用户拒绝对其他计算资源的访问。相似地,访问控制也可以涉及:对于特定计算资源,许可特定用于进行访问,而拒绝另一用户访问。相应地,访问控制可以通过根据用户和/或根据待访问的计算资源许可对计算资源的访问来考虑各种维度。
考虑以依赖于用户的方式来执行访问控制的一种方式是:向用户指派角色,并根据指派给特定用户的角色来执行访问控制。这通常称为基于角色的访问控制(RBAC)。在此,角色可以定义计算资源上准许或禁止的事务。可以为多个用户指派同一角色,并且可以为每个用户指派一个或多个角色。在多维访问控制方案中,可以通过在判决时还考虑访问的目标来将RBAC与基于目标的访问控制(TBAC)相组合。可以按照事务所需的计算资源的集来合定义访问的目标。
然而,在不会不利地影响访问控制系统的性能的情况下,实现精细粒度的多维访问控制可能是困难的。当在服务空间中实现精细粒度的多维访问控制时,这可能带来服务的不一致覆盖,和/或因为可能需要针对每个服务单独地实现相似的访问控制机制而可能导致架构重复。此外,由于从数据存储库中获得比实际上更多的用于访问控制判决的数据并且然后在服务空间中后处理该数据,因此也可能存在数据存储库上的增加的负载。因此,在从数据存储库获得的数据上可能存在过度开销。当精细粒度的访问控制进而在数据存储库中是多维的时,由于在数据存储库中对访问进行检查,因此这可能导致过度的处理开销。这可能带来吞吐量的抑制。
因此,存在对允许有效的基于角色和基于目标的访问控制的技术的需求。
发明内容
根据本发明的实施例,一种控制对计算资源的访问的方法。所述方法包括:通过第一访问接口来提供对计算资源的访问。此外,所述方法涉及:确定用户的至少一个访问角色和与所述用户的访问角色关联的至少一个访问目标。基于所述用户的所述至少一个访问角色和所述关联的至少一个访问目标,确定所述计算资源的子集。此外,所述方法包括:定义限于所述计算资源的所述子集的第二访问接口。此外,所述方法包括:通过所述第二访问接口来向所述用户提供对计算资源的所述子集的访问。
根据本发明的另外的实施例,提供了一种访问管理器。所述访问管理器被配置为:通过第一访问接口来提供对计算资源的访问。此外,所述访问管理器被配置为:确定用户的至少一个访问角色和与所述用户的访问角色关联的至少一个访问目标。此外,所述访问管理器被配置为:基于所述用户的所述至少一个访问角色和所述关联的至少一个访问目标来确定所述计算资源的子集。此外,所述访问管理器被配置为:定义限于计算资源的所述子集的第二访问接口。此外,所述访问管理器被配置为:通过所述第二访问接口来向所述用户提供对计算资源的所述子集的访问。
根据本发明的另外的实施例,提供了一种设备。所述设备包括:至少一个处理器;以及包含指令的存储器,所述指令能够由所述至少一个处理器执行,从而所述设备操作用于:通过第一访问接口来提供对计算资源的访问;确定用户的至少一个访问角色和与所述用户的访问角色关联的至少一个访问目标;基于所述用户的所述至少一个访问角色和所述关联的至少一个访问目标,确定所述计算资源的子集;定义限于计算资源的所述子集的第二访问接口;以及通过所述第二访问接口来向所述用户提供对计算资源的所述子集的访问。
根据本发明的另外的实施例,提供了一种访问管理器。所述访问管理器包括:用于通过第一访问接口来提供对计算资源的访问的模块。此外,所述访问管理器包括:用于确定用户的至少一个访问角色和与所述用户的访问角色关联的至少一个访问目标的模块。此外,所述访问管理器包括:用于基于所述用户的所述至少一个访问角色和所述关联的至少一个访问目标来确定所述计算资源的子集的模块。此外,所述访问管理器包括:用于定义限于计算资源的所述子集的第二访问接口的模块。此外,所述访问管理器包括:用于通过所述第二访问接口来向所述用户提供对所述计算资源的所述子集的访问的模块。
根据本发明的另外的实施例,提供了一种系统。所述系统包括访问管理器。所述访问管理器被配置为:通过第一访问接口来提供对计算资源的访问。此外,所述访问管理器被配置为:确定用户的至少一个访问角色和与所述用户的访问角色关联的至少一个访问目标。此外,所述访问管理器被配置为:基于所述用户的所述至少一个访问角色和所述关联的至少一个访问目标来确定所述计算资源的子集。此外,所述访问管理器被配置为:定义限于计算资源的所述子集的第二访问接口。此外,所述访问管理器被配置为:通过所述第二访问接口来向所述用户提供对计算资源的所述子集的访问。此外,所述系统还包括被配置为提供所述第二访问接口的设备。
根据实施例的以下详细描述,这些实施例和另外的实施例的细节将是显而易见的。
附图说明
图1示意性地示出了根据本发明实施例的访问接口的组织。
图2示意性地示出了用于管理多租户通信网络的系统的元素。
图3示意性地示出了具有重叠的资源模型的场景。
图4示意性地示出了具有重叠的访问目标的场景。
图5示出了用于示意性地说明根据本发明实施例的方法的流程图。
图6示出了用于说明根据本发明实施例的访问管理器的功能的框图。
图7示意性地示出了根据本发明实施例的访问管理器的结构。
具体实施方式
在下文中,将更详细地并参照附图来说明根据本发明的示例性实施例的构思。所示实施例涉及对计算资源的访问的控制。更具体地,将描述涉及多租户通信网络(即,多个客户(也称为租户)共享网络资源的通信网络)的管理中的访问控制的实施例。在此,访问控制涉及:控制针对特定租户准许哪些管理事务,以及控制这些管理事务可以应用于哪些网络元素。然而,注意,所示构思也可以应用在例如用于控制订户对服务的访问等的其他场景中。
在所示示例中,访问控制可以使得使用单个网络管理系统和数据库的多个客户能够管理网络资源。在该上下文中,访问控制机制可以用于防止一个客户获得对另一客户的资源或数据的访问。虽然以下进一步示出的示例参照具有两个客户的场景,但注意,实际上,网络管理系统可以支持更大数量的客户(例如,30个或更多个)。
在所示构思中,访问控制机制基于用于每个网络管理功能的RBAC和TBAC的组合。这些网络管理功能可以例如包括内容管理、故障管理、性能管理、安全性管理、自动化管理等。RBAC涉及向网络管理系统的不同用户指派角色。这种用户可以例如是管理员。角色可以用于在与不同客户关联的用户之间进行区分。此外,角色也可以用于在不同用户类型之间(例如,在安全性管理员与性能或故障分析员之间)进行区分。TBAC涉及将访问目标与角色关联,以使得也可以控制向用户暴露哪些网络资源或元素。访问目标定义计算资源中的潜在地经受用户的访问的部分。
图1示意性地示出了可以在网络管理系统中使用的访问接口的组织。如图所示,主接口100提供对计算资源150的访问。计算资源可以例如包括物理和/或虚拟化网络元素(例如,服务器、网关、路由器、交换机、接入点、控制节点等)。主接口100提供多个应用(例如,与不同管理功能(例如,内容管理、故障管理、性能管理、安全性管理、自动化管理等)有关的管理应用)。此外,网络管理系统提供用于第一用户(用户1)的第一从属访问接口110和用于第二用户(用户2)的第二从属访问接口120。主访问接口100促成通过从属访问接口对计算资源150的访问。因此,以分级方式来组织主访问接口100和从属访问接口110、120。
从属访问接口110、120适配于相应用户。在所示示例中,这涉及从属访问接口110、120不提供主接口100的所有应用,而是仅提供应用的子集。可以例如根据相应用户的角色来选择由从属访问接口110、120提供的应用。例如,角色访问控制策略可以用作用于选择由从属访问接口110、120提供的应用的基础。此外,从属访问接口110、120在由用户访问的计算资源方面也是受限的。如图所示,计算资源包括第一子集和第二子集。第一从属访问接口110仅暴露第一子集的计算资源。第二从属访问接口120仅暴露第二子集的计算资源。在所示的多租赁场景中,这允许避免指派给特定租户的计算资源被暴露给另一租户。目标访问控制策略可以用作用于选择由从属访问接口110、120暴露的计算资源的基础。如图1所示,也可以存在第一子集的计算资源和第二子集的计算资源的重叠。该重叠区域的计算资源将由从属访问接口110、120二者暴露。
图2示意性地示出了网络管理系统的元素。如图所示,网络管理系统包括主网络管理器(主NM)210、部署管理器220和从属网络管理器(从属NM)250。此外,图2还示出受管理网络200和受管理网络200的一个或多个网络元素201。为了实现各种管理功能,主网络管理器210与受管理网络200的网络元素进行通信。从属网络管理器250通过与主网络管理器210进行交互来实现管理功能的集合。部署管理器220用于动态地配置从属网络管理器250。这是基于在主网络管理器210中定义的访问控制策略(ACP)211来实现的。主网络管理器210可以提供上述主访问接口100,并且从属网络管理器250可以提供上述从属访问接口110、120之一。
从属网络管理器250通过拓扑接口230和数据库接口240与主网络管理器210进行交互。拓扑接口230用于例如按照将通过从属网络管理器250管理的网络元素的一个或多个受限的拓扑模型251(下文也称为目标模型)来向从属网络管理器250提供与将向从属网络管理器250的用户暴露的计算资源有关的信息。数据库接口240用于向从属网络管理器250提供与目标模型有关的数据的副本。这是通过从属网络管理器250的中间应用252与主网络管理器210的数据存储库212的交互来实现的。从属网络管理器250可以使用作为其预配置(provisioning)的一部分而提供的密钥来从主网络管理器210请求拓扑信息。仅添加与如下目标模型有关的拓扑信息:所述目标模型与用户或用户的角色关联。可以将对目标模型定义的更新作为消息来推送给从属网络管理器250。
为了配置从属网络管理器250,部署管理器220向从属网络管理器250提供部署指令221。这是通过部署管理器220与从属网络管理器250之间的部署接口260来实现的。如图所示,基于在主网络管理器210中定义的ACP来动态地创建部署指令221。部署管理器220可以例如使用基于容器的部署平台(例如,Docker或Kubernetes),以用于配置从属网络管理器250。通过使用部署管理器220,可以根据用户的责任或用户的管理角色来维度化(dimension)并以其他方式配置从属网络管理器250。因此,可以获得从属网络管理器250的轻量部署。从属网络管理器250无需支持用户的管理角色不需要的应用。
管理系统可以操作如下:初始地,管理目标可以被定义并指派给管理角色。这可以在主网络管理器210上实现。管理角色和管理目标然后可以转换为受限的目标模型、所需管理应用的列表和启动器配置。受限的目标模型和管理应用的列表定义向从属网络管理器250的用户提供的管理功能的范围。可以通过属性来注释目标模型。以此方式,可以将访问向下限制为特定属性的等级。启动器配置可以用以向主网络管理器210的启动器应用通知从属网络管理器250的适配配置。
如上所述,从属网络管理器250仅提供用户的角色所需的管理应用。这可以通过实现具有与主网络管理器210进行通信的中间应用252的从属网络管理器250来实现。因此,从属不直接访问受管理网络200。在所示的示例中,从属网络管理器250并未配备其自己的启动器应用或单点登录(single-sign on)应用。而是,从属网络管理器250通过中间应用252来使用在主网络管理器210中部署的对应应用。
注意,在所示管理系统中,假设主网络管理器210负责受管理网络200的所有管理事务,并且以其他方式配置或修改受管理网络200是不可能的。
从属网络管理器250中的数据的复制可能引起不同从属网络管理器之间的潜在的一致性问题和竞争条件。这通过图3中的目标模型群组310、320、330的重叠和图4中的目标群组410、420、430的重叠来示意性地示出。在图3的场景中,可以使用第一从属网络管理器来将目标模型群组310与第一用户关联,而使用第二从属网络管理器来将目标模型群组320与第二用户关联,并且使用第三从属网络管理器将目标模型群组330与第三用户关联。在图4的场景中,可以使用第一从属网络管理器将目标群组410与第一用户关联,而使用第二从属网络管理器将目标群组420与第二用户关联,并且使用第三从属网络管理器将目标群组430与第三用户关联。在重叠区域中,描述目标或目标模型的数据可以由多个从属网络管理器使用或复制,其中具有冲突或不一致性的风险。可以通过将管理应用配置为根据BASE(基本上可用、软状态、最终)一致性原理进行操作来缓解这种冲突。此外,可以通过在从属网络管理器中可以将数据的关键交集注释为“非持久性的”来缓解这种冲突。然后可以直接由主网络管理器210来处理对数据的该部分的访问。换言之,从属网络管理器将在主网络管理器210的数据存储库212中直接读取和写入数据。主网络管理器210可以然后应用ACID(原子性、一致性、隔离性、耐久性)原理来避免冲突。
因此,从属网络管理器250可以被配置有适配于用户的角色和管理目标的功能。在一些场景中,仅暴露针对用户的角色授权的管理目标。用户不能发起关于其他管理目标的事务。在一些场景中,可能需要访问整个受管理网络。然而,从属网络管理器250可能仅具有适配于用户的角色的有限功能集合。使用上述启动器配置,主网络管理器210于是可以向用户提供已经针对该用户/角色适配的应用环境。
在示例性使用情况下,可以按以下方式使用管理系统来进行多租户网络的管理。在该使用情况下,多租户网络的运营商称为提供商运营商,而多租户网络内的租户网络的运营商称为租户运营商。在示例性使用情况下,多租户网络可以包括对于提供商运营商专有的网络元素以及可以由提供商运营商、租户运营商并且还可能由其他租户运营商使用的共享网络元素。
可以虚拟化网络功能,但也可以提供非虚拟化功能。在此场景中,管理系统可以由提供商运营商和租户运营商使用。在服务协议中,提供者运营商和租户运营商可以指定虚拟化功能的清单、专用非虚拟化功能的清单、共享功能以及提供给租户运营商的管理应用。根据这些规范,主网络管理器可以用于定义新管理员角色和关联的新目标群组。专用非虚拟化功能和共享功能被添加到目标群组。与每个虚拟功能类型的实例的数量有关的策略可以与角色关联。角色还与准许的管理应用的集合关联。管理系统然后根据指定的目标和角色来配置从属网络管理器250。这可以涉及在指定的管理员角色的范围内创建用于应用的部署指令的集合。此外,可以定义从属网络管理器的管理员用户。主网络管理器210的清单数据库可以预先填充有用于共享功能的连接性细节。管理系统还可以添加从属网络管理器250访问主网络管理器210中的共享功能所需的安全性细节。管理系统也可以在主网络管理器210中创建用于租户运营商的新命名空间,以允许预配置虚拟化功能。从属网络管理器250然后可以被激活,并因此对于租户运营商而言是可用的。
在激活从属网络管理器250之后,管理员用户可以登录到从属网络管理器250。管理员用户然后可以定义从属网络管理器250的另外的用户。管理员用户或另外的用户之一然后可以使用从属网络管理器250和由从属网络管理器250提供的管理应用,以实例化网络切片。网络切片的实例化可以包括一些虚拟功能的实例化,以及非虚拟化功能的配置。
网络切片的实例化可以利用与虚拟化功能有关的信息来更新从属网络管理器250。一旦实例化,就可以在从属网络管理器250中创建表示虚拟化功能的状态的数据模型。
在非虚拟化共享功能的情况下,可以调用主网络管理器210作为用于管理非虚拟化共享功能的代理。在此,当部署了从属网络管理器250时,从属网络管理器250可以使用由主网络管理器提供的凭证。主网络管理器210然后可以更新其共享功能的模型,并传播对共享功能自身的那些改变。然后可以向从属网络管理器250报告改变成功。
图5示出了用于说明控制对计算资源的访问的方法的流程图。可以利用图5的方法来实现在例如通信网络的管理系统内的访问管理器中所示的构思。因此,计算资源可以包括网络元素。如果使用访问管理器的基于处理器的实现方式,则方法的步骤可以由实现访问管理器的设备的一个或多个处理器执行和/或控制。这种设备还可以包括存储器,其存储用于实现以下描述的功能或方法步骤的程序代码。
在步骤510,通过第一访问接口(例如,上述主访问接口)来提供对计算资源的访问。如果计算资源包括网络元素,则第一访问接口可以包括用于管理网络元素的管理应用的集合。
在步骤520,确定用户的至少一个访问角色和与用户的访问角色关联的至少一个访问目标。用户可以是多用户系统的端用户、多租户网络的租户等。
在步骤530,基于用户的至少一个访问角色和关联的至少一个访问目标来确定计算资源的子集。可以基于一个或多个访问控制策略来确定计算资源的子集。
在步骤540,定义第二访问接口。第二访问接口被定义为限于计算资源的子集。第二访问接口可以例如对应于上述第一从属访问接口110和第二从属访问接口120之一。定义第二访问接口可以涉及:向提供第二访问接口的设备(例如,向上述从属网络管理器)提供部署指令。
在步骤550,可以向第二访问接口专有地提供与计算资源的子集有关的数据。因此,与计算资源的子集无关的数据并不暴露给第二访问接口。
在步骤560,通过第二访问接口来向用户提供对计算资源的子集的访问。这可以通过第二访问接口与第一访问接口的交互来实现。第一访问接口可以包括应用的集合,并且第二访问接口可以限于第一访问接口的应用的子集。如果计算资源包括网络元素,则第一访问接口可以包括用于管理网络元素的管理应用的集合,并且第二访问接口限于第一访问接口的管理应用的子集。
可以针对多个用户中的每一个实现步骤520、530、540、550和560。因此,所述方法可以还涉及:确定另外的用户的至少一个访问角色和与另外的用户的访问角色关联的至少一个访问目标;基于另外的用户的至少一个访问角色和关联的至少一个访问目标来确定计算资源的另外的子集;定义限于计算资源的另外的子集的第三访问接口;以及通过第三访问接口来向另外的用户提供对计算资源的另外的子集的访问。
对于计算资源的子集和计算资源的另外的子集的重叠部分,可以由第一访问接口来协调通过第二访问接口和第三访问接口的事务。这可以通过对由第一接口维护的公共数据应用ACID原理来完成。
对于计算资源的子集和计算资源的另外的子集的重叠部分,也可以通过提供由第二访问接口利用的数据与由第三访问接口利用的数据的一致性来协调通过第二访问接口和第三访问接口的事务。这可以通过对由第二访问接口和第三访问接口维护的数据的本地副本应用BASE原理来实现。
在步骤570,可以通过第一访问接口来向用户提供对计算资源的访问。这可以基于用户的至少一个访问角色来实现。
图6示出了用于说明根据图5的方法进行操作的访问管理器600的功能的框图。如图所示,访问管理器600可以设置有被配置为通过第一访问接口来提供访问(例如,结合图5的步骤510所述)的模块610。此外,访问管理器600可以设置有被配置为确定一个或多个访问角色和一个或多个关联的访问目标(例如,结合图5的步骤520所述)的模块620。此外,访问管理器600可以设置有被配置为确定计算资源的子集(例如结合图5的步骤530所述)的模块630。此外,访问管理器600可以设置有被配置为定义第二访问接口(例如,结合图5的步骤540所述)的模块640。此外,访问管理器600可以可选地设置有被配置为向第二访问接口提供数据(例如,结合图5的步骤550所述)的模块650。此外,访问管理器600可以设置有被配置为通过第二访问接口来向用户提供对计算资源的子集的访问(例如,结合图5的步骤560所述)的模块660。此外,访问管理器600可以可选地设置有被配置为通过第一访问接口来向用户提供对计算资源的直接访问(例如,结合图5的步骤570所述)的模块670。
注意,访问管理器600还可以包括用于实现其他功能(例如,访问控制系统或管理系统的已知功能)的另外的模块。此外,注意,访问管理器600的模块不一定表示访问管理器600的硬件结构,而是也可以对应于例如由硬件、软件或其组合实现的功能元件。
图7示出了可以用于实现上述构思的访问管理器700的基于处理器的实现方式。例如,图7所示的结构可以用于实现主网络管理器210、从属网络管理器250或访问管理器600。
如图所示,访问管理器700可以包括用于与其他节点进行通信的一个或多个接口710。如果上述主网络管理器210和从属网络管理器250是由分离的设备实现的,则接口710可以例如用于主网络管理器210和从属网络管理器250之间的通信。
此外,访问管理器700可以包括:一个或多个处理器750,其耦接到接口810;以及存储器760,其耦接到处理器750。通过示例的方式,接口710、处理器750和存储器760可以由访问管理器700的一个或多个内部总线系统来耦接。存储器760可以包括只读存储器(ROM)(例如,闪存ROM)、随机存取存储器(RAM)(例如,动态RAM(DRAM)或静态RAM(SRAM))、海量存储装置(例如,硬盘或固态盘)等。如图所示,存储器760可以包括软件770、固件780和/或控制参数790。存储器760可以包括合适地配置的程序代码,所述程序代码将由处理器750执行,从而实现例如结合图5所述的访问管理器的上述功能。
应理解,图7所示的结构仅是示意性的,并且访问管理器700可以实际上包括另外的组件(例如,另外的接口或处理器),为了清楚起见而没有示出这些另外的组件。此外,应理解,存储器760可以包括用于实现访问控制系统或管理系统的已知功能的另外的程序代码。根据一些实施例,也可以例如以存储将在存储器760中存储的程序代码和/或其他数据的物理介质的形式,或通过使程序代码可用于下载,或通过流式化(streaming)来提供用于实现访问管理器700的功能的计算机程序。
可见,上述构思可以用于有效地控制对计算资源的访问。具体地,可以提供适配于用户的访问角色和访问目标的从属访问接口。此外,在不损害性能的情况下,可以实现基于TBAC的原理。此外,可以结合各种类型的数据存储库来应用这些构思。更进一步,可以针对各种类型的服务以一致的方式来实现所示构思的访问控制机制。
应理解,上述示例和实施例仅是说明性的,并且容易进行各种修改。例如,所示构思可以结合各种类型的计算机系统或网络技术来应用,而不限于多租户通信网络的上述示例。此外,应理解,可以通过使用将由现有设备的一个或多个处理器执行的对应设计的软件或者通过使用专用设备硬件来实现上述构思。此外,应注意,所示节点或设备均可以实现为单个设备或多个交互设备的系统。
Claims (36)
1.一种控制对计算资源的访问的方法,所述方法包括:
-通过第一访问接口来提供对计算资源的访问;
-确定用户的至少一个访问角色和与所述用户的访问角色关联的至少一个访问目标;
-基于所述用户的所述至少一个访问角色和所述关联的至少一个访问目标来确定所述计算资源的子集;
-通过向提供第二访问接口的设备提供部署指令来定义限于所述计算资源的所述子集的所述第二访问接口,其中,所述部署指令是基于在主网络管理器中定义的访问控制策略来动态创建的,其中,所述第二访问接口从属于所述第一访问接口;以及
-通过所述第二访问接口来向所述用户提供对所述计算资源的所述子集的访问,其中,通过所述第二访问接口与所述第一访问接口的交互来向所述用户提供对所述计算资源的所述子集的访问,
其中,所述计算资源包括网络元素,并且其中,所述第一访问接口包括用于管理所述网络元素的管理应用的集合,并且所述第二访问接口限于所述第一访问接口的所述管理应用的子集,所述第二访问接口通过中间应用来使用所述第一访问接口中的对应应用。
2.根据权利要求1所述的方法,
其中,所述第一访问接口包括应用的集合,并且所述第二访问接口限于所述第一访问接口的所述应用的子集。
3.根据前述权利要求中的任一项所述的方法,包括:
向所述第二访问接口专有地提供与所述计算资源的所述子集有关的数据。
4.根据前述权利要求中的任一项所述的方法,包括:
基于一个或多个访问控制策略来确定所述计算资源的所述子集。
5.根据前述权利要求中的任一项所述的方法,包括:
-确定另外的用户的至少一个访问角色和与所述另外的用户的访问角色关联的至少一个访问目标;
-基于所述另外的用户的所述至少一个访问角色和关联的至少一个访问目标来确定所述计算资源的另外的子集;
-定义限于所述计算资源的所述另外的子集的第三访问接口;以及
-通过所述第三访问接口来向所述另外的用户提供对所述计算资源的所述另外的子集的访问。
6.根据权利要求5所述的方法,
其中,对于所述计算资源的所述子集和所述计算资源的所述另外的子集的重叠部分,由所述第一访问接口来协调通过所述第二访问接口和所述第三访问接口的事务。
7.根据权利要求5或6所述的方法,
其中,对于所述计算资源的所述子集和所述计算资源的所述另外的子集的重叠部分,通过提供由所述第二访问接口利用的数据与由所述第三访问接口利用的数据的一致性来协调通过所述第二访问接口和所述第三访问接口的事务。
8.根据前述权利要求中的任一项所述的方法,包括:
-基于所述用户的所述至少一个访问角色,通过所述第一访问接口来向所述用户提供对所述计算资源的访问。
9.一种访问管理器,所述访问管理器被配置为:
-通过第一访问接口来提供对计算资源的访问;
-确定用户的至少一个访问角色和与所述用户的访问角色关联的至少一个访问目标;
-基于所述用户的所述至少一个访问角色和所述关联的至少一个访问目标来确定所述计算资源的子集;
-通过向提供第二访问接口的设备提供部署指令来定义限于计算资源的所述子集的所述第二访问接口,其中,所述部署指令是基于在主网络管理器中定义的访问控制策略来动态创建的,其中,所述第二访问接口从属于所述第一访问接口;以及
-通过所述第二访问接口来向所述用户提供对所述计算资源的所述子集的访问,其中,所述访问管理器被配置为:通过所述第二访问接口与所述第一访问接口的交互来向所述用户提供对所述计算资源的所述子集的访问,
其中,所述计算资源包括网络元素,并且其中,所述第一访问接口包括用于管理所述网络元素的管理应用的集合,并且所述第二访问接口限于所述第一访问接口的所述管理应用的子集,所述第二访问接口通过中间应用来使用所述第一访问接口中的对应应用。
10.根据权利要求9所述的访问管理器,
其中,所述第一访问接口包括应用的集合,并且所述第二访问接口限于所述第一访问接口的所述应用的子集。
11.根据权利要求9至10中的任一项所述的访问管理器,
其中,所述访问管理器被配置为:向所述第二访问接口专有地提供与所述计算资源的所述子集有关的数据。
12.根据权利要求9至11中的任一项所述的访问管理器,
其中,所述访问管理器被配置为:基于一个或多个访问控制策略来确定所述计算资源的所述子集。
13.根据权利要求9至12中的任一项所述的访问管理器,
其中,所述访问管理器被配置为:
-确定另外的用户的至少一个访问角色和与所述另外的用户的访问角色关联的至少一个访问目标;
-基于所述另外的用户的所述至少一个访问角色和所述关联的至少一个访问目标来确定所述计算资源的另外的子集;
-定义限于所述计算资源的所述另外的子集的第三访问接口;以及
-通过所述第三访问接口来向所述另外的用户提供对所述计算资源的所述另外的子集的访问。
14.根据权利要求13所述的访问管理器,
其中,对于所述计算资源的所述子集和所述计算资源的所述另外的子集的重叠部分,由所述第一访问接口来协调通过所述第二访问接口和所述第三访问接口的事务。
15.根据权利要求13或14所述的访问管理器,
其中,对于所述计算资源的所述子集和所述计算资源的所述另外的子集的重叠部分,通过提供由所述第二访问接口利用的数据与由所述第三访问接口利用的数据的一致性来协调通过所述第二访问接口和所述第三访问接口的事务。
16.根据权利要求9至15中的任一项所述的访问管理器,
其中,所述访问管理器被配置为:
-基于所述用户的所述至少一个访问角色,通过所述第一访问接口来向所述用户提供对所述计算资源的访问。
17.根据权利要求9所述的访问管理器,
其中,所述访问管理器还被配置为执行根据权利要求2至8中的任一项所述的方法。
18.一种用于控制对计算资源的访问的设备,所述设备包括:
至少一个处理器;以及
包含指令的存储器,所述指令能够由所述至少一个处理器执行,从而所述设备操作用于:
-通过第一访问接口来提供对计算资源的访问;
-确定用户的至少一个访问角色和与所述用户的访问角色关联的至少一个访问目标;
-基于所述用户的所述至少一个访问角色和所述关联的至少一个访问目标来确定所述计算资源的子集;
-通过向提供第二访问接口的设备提供部署指令来定义限于计算资源的所述子集的所述第二访问接口,其中,所述部署指令是基于在主网络管理器中定义的访问控制策略来动态创建的,其中,所述第二访问接口从属于所述第一访问接口;以及
-通过所述第二访问接口来向所述用户提供对所述计算资源的所述子集的访问,其中,所述设备还操作用于:通过所述第二访问接口与所述第一访问接口的交互来向所述用户提供对所述计算资源的所述子集的访问,
其中,所述计算资源包括网络元素,并且其中,所述第一访问接口包括用于管理所述网络元素的管理应用的集合,并且所述第二访问接口限于所述第一访问接口的所述管理应用的子集,所述第二访问接口通过中间应用来使用所述第一访问接口中的对应应用。
19.根据权利要求18所述的设备,
其中,所述第一访问接口包括应用的集合,并且所述第二访问接口限于所述第一访问接口的所述应用的子集。
20.根据权利要求18至19中的任一项所述的设备,
从而所述设备还操作用于:向所述第二访问接口专有地提供与所述计算资源的所述子集有关的数据。
21.根据权利要求18至20中的任一项所述的设备,
从而所述设备还操作用于:基于一个或多个访问控制策略来确定所述计算资源的所述子集。
22.根据权利要求18至21中的任一项所述的设备,
从而所述设备还操作用于:
-确定另外的用户的至少一个访问角色和与所述另外的用户的访问角色关联的至少一个访问目标;
-基于所述另外的用户的所述至少一个访问角色和所述关联的至少一个访问目标来确定所述计算资源的另外的子集;
-定义限于所述计算资源的所述另外的子集的第三访问接口;以及
-通过所述第三访问接口来向所述另外的用户提供对所述计算资源的所述另外的子集的访问。
23.根据权利要求22所述的设备,
其中,对于所述计算资源的所述子集和所述计算资源的所述另外的子集的重叠部分,由所述第一访问接口来协调通过所述第二访问接口和所述第三访问接口的事务。
24.根据权利要求22或23所述的设备,
其中,对于所述计算资源的所述子集和所述计算资源的所述另外的子集的重叠部分,通过提供由所述第二访问接口利用的数据与由所述第三访问接口利用的数据的一致性来协调通过所述第二访问接口和所述第三访问接口的事务。
25.根据权利要求18至24中的任一项所述的设备,
从而所述设备还操作用于:
-基于所述用户的所述至少一个访问角色,通过所述第一访问接口来向所述用户提供对所述计算资源的访问。
26.根据权利要求18所述的设备,
其中,所述设备还操作用于执行根据权利要求2至8中的任一项所述的方法。
27.一种访问管理器,所述访问管理器包括:
-用于通过第一访问接口来提供对计算资源的访问的模块;
-用于确定用户的至少一个访问角色和与所述用户的访问角色关联的至少一个访问目标的模块;
-用于基于所述用户的所述至少一个访问角色和所述关联的至少一个访问目标来确定所述计算资源的子集的模块;
-用于通过向提供第二访问接口的设备提供部署指令来定义限于计算资源的所述子集的所述第二访问接口的模块,其中,所述部署指令是基于在主网络管理器中定义的访问控制策略来动态创建的,其中,所述第二访问接口从属于所述第一访问接口;以及
-用于通过所述第二访问接口来向所述用户提供对所述计算资源的所述子集的访问的模块,其中,用于通过所述第二访问接口来向所述用户提供对所述计算资源的所述子集的访问的模块被配置为:通过所述第二访问接口与所述第一访问接口的交互来向所述用户提供对所述计算资源的所述子集的访问,
其中,所述计算资源包括网络元素,并且其中,所述第一访问接口包括用于管理所述网络元素的管理应用的集合,并且所述第二访问接口限于所述第一访问接口的所述管理应用的子集,所述第二访问接口通过中间应用来使用所述第一访问接口中的对应应用。
28.根据权利要求27所述的访问管理器,
其中,所述第一访问接口包括应用的集合,并且所述第二访问接口限于所述第一访问接口的所述应用的子集。
29.根据权利要求27至28中的任一项所述的访问管理器,包括:
用于向所述第二访问接口专有地提供与所述计算资源的所述子集有关的数据的模块。
30.根据权利要求27至29中的任一项所述的访问管理器,
其中,用于确定所述计算资源的所述子集的模块被配置为:基于一个或多个访问控制策略来确定所述计算资源的所述子集。
31.根据权利要求27至30中的任一项所述的访问管理器,
其中,用于确定所述至少一个访问角色和所述至少一个访问目标的模块还被配置为:确定另外的用户的至少一个访问角色和与所述另外的用户的访问角色关联的至少一个访问目标;
-其中,用于确定所述计算资源的所述子集的模块还被配置为:基于所述另外的用户的所述至少一个访问角色和所述关联的至少一个访问目标来确定所述计算资源的另外的子集;
-其中,用于定义所述第二访问接口的模块还被配置为:定义限于所述计算资源的所述另外的子集的第三访问接口;以及
-其中,用于向所述用户提供对所述计算资源的所述子集的访问的模块还被配置为:通过所述第三访问接口来向所述另外的用户提供对所述计算资源的所述另外的子集的访问。
32.根据权利要求31所述的访问管理器,
其中,对于所述计算资源的所述子集和所述计算资源的所述另外的子集的重叠部分,由所述第一访问接口来协调通过所述第二访问接口和所述第三访问接口的事务。
33.根据权利要求31或32所述的访问管理器,
其中,对于所述计算资源的所述子集和所述计算资源的所述另外的子集的重叠部分,通过提供由所述第二访问接口利用的数据与由所述第三访问接口利用的数据的一致性来协调通过所述第二访问接口和所述第三访问接口的事务。
34.根据权利要求27至33中的任一项所述的访问管理器,
其中,用于提供对计算资源的访问的模块还被配置为:基于所述用户的所述至少一个访问角色,通过所述第一访问接口来向所述用户提供对所述计算资源的访问。
35.一种系统,包括:
访问管理器,被配置为:
-通过第一访问接口来提供对计算资源的访问;
-确定用户的至少一个访问角色和与所述用户的访问角色关联的至少一个访问目标;
-基于所述用户的所述至少一个访问角色和所述关联的至少一个访问目标来确定所述计算资源的子集;
-通过向提供第二访问接口的设备提供部署指令来定义限于计算资源的所述子集的所述第二访问接口,其中,所述部署指令是基于在主网络管理器中定义的访问控制策略来动态创建的,其中,所述第二访问接口从属于所述第一访问接口;以及
-通过所述第二访问接口来向所述用户提供对所述计算资源的所述子集的访问,其中,通过所述第二访问接口与所述第一访问接口的交互来向所述用户提供对所述计算资源的所述子集的访问;
其中,所述系统还包括被配置为提供所述第二访问接口的设备,
其中,所述计算资源包括网络元素,并且其中,所述第一访问接口包括用于管理所述网络元素的管理应用的集合,并且所述第二访问接口限于所述第一访问接口的所述管理应用的子集,所述第二访问接口通过中间应用来使用所述第一访问接口中的对应应用。
36.根据权利要求35所述的系统,
其中,所述访问管理器被配置为执行根据权利要求2至8中的任一项所述的方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP2017/077040 WO2019080993A1 (en) | 2017-10-23 | 2017-10-23 | ACCESS INTERFACE LIMITED TO CALCULATION RESOURCES, DYNAMIC DEPLOYMENT |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111264050A CN111264050A (zh) | 2020-06-09 |
CN111264050B true CN111264050B (zh) | 2023-10-24 |
Family
ID=60164698
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780096233.8A Active CN111264050B (zh) | 2017-10-23 | 2017-10-23 | 计算资源的动态部署的受限访问接口 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11665167B2 (zh) |
EP (1) | EP3701695A1 (zh) |
CN (1) | CN111264050B (zh) |
WO (1) | WO2019080993A1 (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101034990A (zh) * | 2007-02-14 | 2007-09-12 | 华为技术有限公司 | 权限管理方法及装置 |
CN101106572A (zh) * | 2007-08-23 | 2008-01-16 | 中兴通讯股份有限公司 | 传送资源控制功能单元之间实现跨域通信的方法 |
CN102968599A (zh) * | 2012-10-25 | 2013-03-13 | 北京邮电大学 | 基于资源发布者自定义的访问控制系统及方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7680797B1 (en) * | 2003-07-25 | 2010-03-16 | Verizon Data Services Llc | Methods and systems for providing a data access layer |
US20080136828A1 (en) | 2006-12-07 | 2008-06-12 | Aten International Co., Ltd. | Remote Access Device |
US8798579B2 (en) * | 2008-09-30 | 2014-08-05 | Xe2 Ltd. | System and method for secure management of mobile user access to network resources |
US8893215B2 (en) | 2010-10-29 | 2014-11-18 | Nokia Corporation | Method and apparatus for providing distributed policy management |
US9602541B2 (en) * | 2014-03-06 | 2017-03-21 | Facebook, Inc. | Granting permission to act on behalf of a user in a social networking system |
-
2017
- 2017-10-23 WO PCT/EP2017/077040 patent/WO2019080993A1/en unknown
- 2017-10-23 CN CN201780096233.8A patent/CN111264050B/zh active Active
- 2017-10-23 EP EP17788211.5A patent/EP3701695A1/en active Pending
- 2017-10-23 US US16/757,473 patent/US11665167B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101034990A (zh) * | 2007-02-14 | 2007-09-12 | 华为技术有限公司 | 权限管理方法及装置 |
CN101106572A (zh) * | 2007-08-23 | 2008-01-16 | 中兴通讯股份有限公司 | 传送资源控制功能单元之间实现跨域通信的方法 |
CN102968599A (zh) * | 2012-10-25 | 2013-03-13 | 北京邮电大学 | 基于资源发布者自定义的访问控制系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
EP3701695A1 (en) | 2020-09-02 |
US11665167B2 (en) | 2023-05-30 |
CN111264050A (zh) | 2020-06-09 |
WO2019080993A1 (en) | 2019-05-02 |
US20210194881A1 (en) | 2021-06-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109067828B (zh) | 基于Kubernetes和OpenStack容器云平台多集群构建方法、介质、设备 | |
US10771344B2 (en) | Discovery of hyper-converged infrastructure devices | |
US10560330B2 (en) | Techniques for cloud control and management | |
CN114514507B (zh) | 在云基础设施环境中支持配额策略语言的系统和方法 | |
US9354983B1 (en) | Integrated it service provisioning and management | |
US10397352B2 (en) | Network infrastructure management | |
US10659523B1 (en) | Isolating compute clusters created for a customer | |
CN108604187B (zh) | 托管的虚拟机部署 | |
US20200218566A1 (en) | Workload migration | |
CN115086166A (zh) | 计算系统、容器网络配置方法及存储介质 | |
US10541898B2 (en) | System and method for creating, deploying, and administering distinct virtual computer networks | |
CN114884955B (zh) | 透明代理部署系统和方法 | |
CN111264050B (zh) | 计算资源的动态部署的受限访问接口 | |
CN116566656A (zh) | 资源访问方法、装置、设备及计算机存储介质 | |
Cherrueau et al. | Geo-distribute cloud applications at the edge | |
US20230094159A1 (en) | System and method for dynamically partitioned multi-tenant namespaces | |
CN107533436B (zh) | 硬件管理 | |
US10911371B1 (en) | Policy-based allocation of provider network resources | |
Chatras | Applying a Service-Based Architecture Design Style to Network Functions Virtualization | |
US20230153089A1 (en) | System architecture for pattern-based software applications | |
US11853560B2 (en) | Conditional role decision based on source environments | |
KR102441860B1 (ko) | 공급자 네트워크 서비스 확장 | |
US20230206249A1 (en) | Method and system for performing interception and auditing services in composed information handling systems | |
US11736525B1 (en) | Generating access control policies using static analysis | |
US20230153166A1 (en) | Systems and methods for pattern-based software applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |