RU2018118379A - Управление доступом к ресурсам на ролевой основе - Google Patents

Управление доступом к ресурсам на ролевой основе Download PDF

Info

Publication number
RU2018118379A
RU2018118379A RU2018118379A RU2018118379A RU2018118379A RU 2018118379 A RU2018118379 A RU 2018118379A RU 2018118379 A RU2018118379 A RU 2018118379A RU 2018118379 A RU2018118379 A RU 2018118379A RU 2018118379 A RU2018118379 A RU 2018118379A
Authority
RU
Russia
Prior art keywords
requesting process
access
role
computing resource
control information
Prior art date
Application number
RU2018118379A
Other languages
English (en)
Other versions
RU2018118379A3 (ru
Inventor
Рукир ТЕВАРИ
Винеет БАНГА
Атул Чандракант КШИРСАГАР
Original Assignee
Дженерал Электрик Компани
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Дженерал Электрик Компани filed Critical Дженерал Электрик Компани
Publication of RU2018118379A publication Critical patent/RU2018118379A/ru
Publication of RU2018118379A3 publication Critical patent/RU2018118379A3/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5011Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resources being hardware resources other than CPUs, Servers and Terminals
    • G06F9/5022Mechanisms to release resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • G06F9/5038Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the execution order of a plurality of tasks, e.g. taking priority or time dependency constraints into consideration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • G06F9/505Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the load
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic
    • H04L47/808User-type aware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Information Transfer Between Computers (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Claims (46)

1. Способ управления доступом к вычислительным ресурсам на ролевой основе, включающий
прием, по сети связи, от процесса, выполняющегося на клиентском устройстве, запроса на выполнение какого-либо типа доступа к вычислительному ресурсу;
идентификацию, с помощью хранилища информации, хранящего идентификаторы процессов и связанную с ними информацию управления доступом, информации управления доступом, связанной с запрашивающим процессом, на основе идентификатора запрашивающего процесса;
определение на основе информации управления доступом, связанной с запрашивающим процессом, с использованием по меньшей мере одного аппаратного процессора машины, разрешен ли запрашивающему процессу запрошенный тип доступа к вычислительному ресурсу; и
если запрашивающему процессу разрешен запрошенный тип доступа к вычислительному ресурсу, инициирование обработки запроса.
2. Способ по п. 1, отличающийся тем, что информация управления доступом, связанная с запрашивающим процессом, указывает один или более вычислительных ресурсов, к которым разрешен доступ запрашивающему процессу.
3. Способ по п. 2, отличающийся тем, что информация управления доступом, связанная с запрашивающим процессом, также указывает, по меньшей мере для одного из указанных одного или более вычислительных ресурсов, тип доступа по меньшей мере к одному вычислительному ресурсу из указанных одного или более вычислительных ресурсов, разрешенный для запрашивающего процесса.
4. Способ по п. 1, включающий также
прием по сети связи по меньшей мере одного текстового файла, содержащего идентификаторы процессов и связанную с ними информацию управления доступом; и
сохранение идентификаторов процессов и связанной с ними информации управления доступом в хранилище информации.
5. Способ по п. 4, отличающийся тем, что по меньшей мере один текстовый файл содержит файл объектных нотаций JavaScript (JSON) и/или файл расширяемого языка разметки (XML).
6. Способ по п. 1, включающий также отклонение запроса, если запрашивающему процессу не разрешен запрашиваемый тип доступа к вычислительному ресурсу.
7. Способ по п. 1, отличающийся тем, что
каждый идентификатор процесса и связанная с ним информация управления доступом описывают роль, соответствующую процессу, идентифицируемому идентификатором процесса;
запрашивающий процесс соответствует более чем одной роли;
информация управления доступом, связанная с запрашивающим процессом, соответствует первой роли запрашивающего процесса; и
способ также включает
если запрашивающему процессу не разрешен запрашиваемый тип доступа к вычислительному ресурсу в первой роли, определение, доступна ли вторая роль для запрашивающего процесса, которая разрешает запрашиваемый тип доступа к вычислительному ресурсу; и
если вторая роль, которая разрешает запрашиваемый тип доступа к вычислительному ресурсу, доступна для запрашивающего процесса, то
назначение второй роли запрашивающему процессу и
инициирование обработки запроса.
8. Способ по п. 7, включающий также возврат запрашивающего процесса из второй роли в первую роль после наступления заранее заданного события.
9. Способ по п. 8, отличающийся тем, что заранее заданное событие включает обработку запроса.
10. Способ по п. 7, включающий также возврат запрашивающего процесса из второй роли в первую роль по истечении заранее заданного периода времени.
11. Способ по п. 7, отличающийся тем, что вторая роль соответствует информации управления доступом, соответствующей первой роли, и дополнительной информации управления доступом, разрешающей запрашиваемый тип доступа к вычислительному ресурсу.
12. Способ по п. 7, отличающийся тем, что определение, доступна ли вторая роль для запрашивающего процесса, зависит от того, указана ли вторая роль в иерархии ролей, связанной с запрашивающим процессом.
13. Способ по п. 1, включающий также
перед приемом запроса, прием цифрового сертификата, соответствующего клиентскому устройству, и идентификатора процесса для запрашивающего процесса и,
перед приемом запроса, аутентификацию запрашивающего процесса на основе принятого цифрового сертификата и принятого идентификатора процесса.
14. Способ по п. 13, включающий также выполнение двусторонней аутентификации с клиентским устройством, при этом выполнение двусторонней аутентификации включает прием цифрового сертификата и аутентификацию запрашивающего процесса.
15. Способ по п. 1, отличающийся тем, что вычислительный ресурс включает услугу потоковой передачи данных.
16. Способ по п. 1, отличающийся тем, что вычислительный ресурс включает очередь передачи сообщений.
17. Способ по п. 1, отличающийся тем, что вычислительный ресурс включает базу данных.
18. Способ по п. 1, отличающийся тем, что вычислительный ресурс включает веб-сервер.
19. Система, содержащая
один или более аппаратных процессоров и
память, хранящую инструкции, при выполнении которых по меньшей мере одним процессором из одного или более аппаратных процессоров система осуществляет операции, включающие:
прием, по сети связи, от процесса, выполняющегося на клиентском устройстве, запроса на выполнение какого-либо типа доступа к вычислительному ресурсу;
идентификацию, с помощью хранилища информации, хранящего идентификаторы процессов и связанную с ними информацию управления доступом, информации управления доступом, связанной с запрашивающим процессом, на основе идентификатора запрашивающего процесса;
определение на основе информации управления доступом, связанной с запрашивающим процессом, разрешен ли запрашивающему процессу запрошенный тип доступа к вычислительному ресурсу; и
если запрашивающему процессу разрешен запрошенный тип доступа к вычислительному ресурсу, инициирование обработки запроса.
20. Машиночитаемый носитель информации, содержащий инструкции, при выполнении которых по меньшей мере одним аппаратным процессором машины она осуществляет операции, включающие
прием, по сети связи, от процесса, выполняющегося на клиентском устройстве, запроса на выполнение какого-либо типа доступа к вычислительному ресурсу;
идентификацию, с помощью хранилища информации, хранящего идентификаторы процессов и связанную с ними информацию управления доступом, информации управления доступом, связанной с запрашивающим процессом, на основе идентификатора запрашивающего процесса;
определение на основе информации управления доступом, связанной с запрашивающим процессом, разрешен ли запрашивающему процессу запрошенный тип доступа к вычислительному ресурсу; и
если запрашивающему процессу разрешен запрошенный тип доступа к вычислительному ресурсу, инициирование обработки запроса.
RU2018118379A 2017-05-22 2018-05-18 Управление доступом к ресурсам на ролевой основе RU2018118379A (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/601,831 US10491584B2 (en) 2017-05-22 2017-05-22 Role-based resource access control
US15/601831 2017-05-22

Publications (2)

Publication Number Publication Date
RU2018118379A true RU2018118379A (ru) 2019-11-20
RU2018118379A3 RU2018118379A3 (ru) 2021-10-15

Family

ID=64272181

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018118379A RU2018118379A (ru) 2017-05-22 2018-05-18 Управление доступом к ресурсам на ролевой основе

Country Status (3)

Country Link
US (2) US10491584B2 (ru)
CN (1) CN108965242B (ru)
RU (1) RU2018118379A (ru)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6729145B2 (ja) * 2016-08-03 2020-07-22 富士通株式会社 接続管理装置、接続管理方法および接続管理プログラム
IT201900005756A1 (it) * 2019-04-15 2020-10-15 Biesse Spa Sistema informatico condiviso basato su cloud per la gestione di utensili e/o aggregati per lavorazioni industriali
US11405381B2 (en) * 2019-07-02 2022-08-02 Hewlett Packard Enterprise Development Lp Tag-based access permissions for cloud computing resources
US11520909B1 (en) * 2020-03-04 2022-12-06 Wells Fargo Bank, N.A. Role-based object identifier schema
CN112926068B (zh) * 2021-02-25 2023-10-20 陕西合友网络科技有限公司 权限管理方法、管理服务器、业务服务器及可读存储介质
WO2022198548A1 (en) * 2021-03-25 2022-09-29 Intel Corporation Pasid granularity resource control for iommu
US11818235B1 (en) 2022-11-21 2023-11-14 Guardknox Cyber Technologies Ltd. Systems, devices and methods for hardware accelerated universal routing interface

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7099947B1 (en) * 2001-06-08 2006-08-29 Cisco Technology, Inc. Method and apparatus providing controlled access of requests from virtual private network devices to managed information objects using simple network management protocol
JP4487490B2 (ja) * 2003-03-10 2010-06-23 ソニー株式会社 情報処理装置、およびアクセス制御処理方法、情報処理方法、並びにコンピュータ・プログラム
US7702693B1 (en) * 2003-10-30 2010-04-20 Cisco Technology, Inc. Role-based access control enforced by filesystem of an operating system
GB0425113D0 (en) * 2004-11-13 2004-12-15 Ibm A method of determining access rights to IT resources
US7536722B1 (en) * 2005-03-25 2009-05-19 Sun Microsystems, Inc. Authentication system for two-factor authentication in enrollment and pin unblock
WO2007028160A2 (en) * 2005-09-02 2007-03-08 Gary Durbin Database system and method for access control and workflow routing
WO2007120754A2 (en) * 2006-04-11 2007-10-25 Medox Exchange, Inc. Relationship-based authorization
US8032558B2 (en) * 2007-01-10 2011-10-04 Novell, Inc. Role policy management
US8656472B2 (en) * 2007-04-20 2014-02-18 Microsoft Corporation Request-specific authentication for accessing web service resources
US8561182B2 (en) * 2009-01-29 2013-10-15 Microsoft Corporation Health-based access to network resources
US8719582B2 (en) * 2009-03-03 2014-05-06 Microsoft Corporation Access control using identifiers in links
US9038168B2 (en) * 2009-11-20 2015-05-19 Microsoft Technology Licensing, Llc Controlling resource access based on resource properties
US20120265879A1 (en) * 2011-04-15 2012-10-18 Microsoft Corporation Managing servicability of cloud computing resources
US9461978B2 (en) * 2012-09-25 2016-10-04 Tata Consultancy Services Limited System and method for managing role based access controls of users
US9203820B2 (en) * 2013-03-15 2015-12-01 Airwatch Llc Application program as key for authorizing access to resources
US9438506B2 (en) * 2013-12-11 2016-09-06 Amazon Technologies, Inc. Identity and access management-based access control in virtual networks
US9692765B2 (en) * 2014-08-21 2017-06-27 International Business Machines Corporation Event analytics for determining role-based access
US9923905B2 (en) * 2016-02-01 2018-03-20 General Electric Company System and method for zone access control

Also Published As

Publication number Publication date
US20200104182A1 (en) 2020-04-02
CN108965242A (zh) 2018-12-07
US20180337915A1 (en) 2018-11-22
US11089007B2 (en) 2021-08-10
US10491584B2 (en) 2019-11-26
CN108965242B (zh) 2022-11-15
RU2018118379A3 (ru) 2021-10-15

Similar Documents

Publication Publication Date Title
RU2018118379A (ru) Управление доступом к ресурсам на ролевой основе
JP2017538179A5 (ru)
JP2019533235A5 (ru)
EP3667500B1 (en) Using a container orchestration service for dynamic routing
US9137172B2 (en) Managing multiple proxy servers in a multi-tenant application system environment
US20140289286A1 (en) System and method for performance tuning of garbage collection algorithms
JP2019537768A5 (ru)
US9507927B2 (en) Dynamic identity switching
CN109614209B (zh) 一种任务处理方法、应用服务器及系统
CN109087055B (zh) 业务请求的控制方法和装置
US10447793B2 (en) Detecting shared access
US20170093988A1 (en) Workflow service using state transfer
WO2016070609A1 (zh) 实现vnf实例化的方法、系统及nfvo和vnfm
US20170324570A1 (en) Group management method, apparatus, and system
US20170187705A1 (en) Method of controlling access to business cloud service
US9104486B2 (en) Apparatuses, systems, and methods for distributed workload serialization
US20170099281A1 (en) Identity management over multiple identity providers
JP2017517064A5 (ru)
WO2018153256A1 (zh) 一种动态资源访问加速方法、装置、介质及设备
La Marra et al. Improving MQTT by inclusion of usage control
CN109726004B (zh) 一种数据处理方法及装置
US20200228572A1 (en) Event-restricted credentials for resource allocation
WO2014179040A1 (en) Authentication system and method for embedded applets
US20140196044A1 (en) SYSTEM AND METHOD FOR INCREASING THROUGHPUT OF A PaaS SYSTEM
WO2019200762A1 (zh) 保险平台数据处理方法、电子装置及计算机可读存储介质