RU2018118379A - Управление доступом к ресурсам на ролевой основе - Google Patents
Управление доступом к ресурсам на ролевой основе Download PDFInfo
- Publication number
- RU2018118379A RU2018118379A RU2018118379A RU2018118379A RU2018118379A RU 2018118379 A RU2018118379 A RU 2018118379A RU 2018118379 A RU2018118379 A RU 2018118379A RU 2018118379 A RU2018118379 A RU 2018118379A RU 2018118379 A RU2018118379 A RU 2018118379A
- Authority
- RU
- Russia
- Prior art keywords
- requesting process
- access
- role
- computing resource
- control information
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5011—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resources being hardware resources other than CPUs, Servers and Terminals
- G06F9/5022—Mechanisms to release resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
- G06F9/5038—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the execution order of a plurality of tasks, e.g. taking priority or time dependency constraints into consideration
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
- G06F9/505—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the load
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/80—Actions related to the user profile or the type of traffic
- H04L47/808—User-type aware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Information Transfer Between Computers (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Claims (46)
1. Способ управления доступом к вычислительным ресурсам на ролевой основе, включающий
прием, по сети связи, от процесса, выполняющегося на клиентском устройстве, запроса на выполнение какого-либо типа доступа к вычислительному ресурсу;
идентификацию, с помощью хранилища информации, хранящего идентификаторы процессов и связанную с ними информацию управления доступом, информации управления доступом, связанной с запрашивающим процессом, на основе идентификатора запрашивающего процесса;
определение на основе информации управления доступом, связанной с запрашивающим процессом, с использованием по меньшей мере одного аппаратного процессора машины, разрешен ли запрашивающему процессу запрошенный тип доступа к вычислительному ресурсу; и
если запрашивающему процессу разрешен запрошенный тип доступа к вычислительному ресурсу, инициирование обработки запроса.
2. Способ по п. 1, отличающийся тем, что информация управления доступом, связанная с запрашивающим процессом, указывает один или более вычислительных ресурсов, к которым разрешен доступ запрашивающему процессу.
3. Способ по п. 2, отличающийся тем, что информация управления доступом, связанная с запрашивающим процессом, также указывает, по меньшей мере для одного из указанных одного или более вычислительных ресурсов, тип доступа по меньшей мере к одному вычислительному ресурсу из указанных одного или более вычислительных ресурсов, разрешенный для запрашивающего процесса.
4. Способ по п. 1, включающий также
прием по сети связи по меньшей мере одного текстового файла, содержащего идентификаторы процессов и связанную с ними информацию управления доступом; и
сохранение идентификаторов процессов и связанной с ними информации управления доступом в хранилище информации.
5. Способ по п. 4, отличающийся тем, что по меньшей мере один текстовый файл содержит файл объектных нотаций JavaScript (JSON) и/или файл расширяемого языка разметки (XML).
6. Способ по п. 1, включающий также отклонение запроса, если запрашивающему процессу не разрешен запрашиваемый тип доступа к вычислительному ресурсу.
7. Способ по п. 1, отличающийся тем, что
каждый идентификатор процесса и связанная с ним информация управления доступом описывают роль, соответствующую процессу, идентифицируемому идентификатором процесса;
запрашивающий процесс соответствует более чем одной роли;
информация управления доступом, связанная с запрашивающим процессом, соответствует первой роли запрашивающего процесса; и
способ также включает
если запрашивающему процессу не разрешен запрашиваемый тип доступа к вычислительному ресурсу в первой роли, определение, доступна ли вторая роль для запрашивающего процесса, которая разрешает запрашиваемый тип доступа к вычислительному ресурсу; и
если вторая роль, которая разрешает запрашиваемый тип доступа к вычислительному ресурсу, доступна для запрашивающего процесса, то
назначение второй роли запрашивающему процессу и
инициирование обработки запроса.
8. Способ по п. 7, включающий также возврат запрашивающего процесса из второй роли в первую роль после наступления заранее заданного события.
9. Способ по п. 8, отличающийся тем, что заранее заданное событие включает обработку запроса.
10. Способ по п. 7, включающий также возврат запрашивающего процесса из второй роли в первую роль по истечении заранее заданного периода времени.
11. Способ по п. 7, отличающийся тем, что вторая роль соответствует информации управления доступом, соответствующей первой роли, и дополнительной информации управления доступом, разрешающей запрашиваемый тип доступа к вычислительному ресурсу.
12. Способ по п. 7, отличающийся тем, что определение, доступна ли вторая роль для запрашивающего процесса, зависит от того, указана ли вторая роль в иерархии ролей, связанной с запрашивающим процессом.
13. Способ по п. 1, включающий также
перед приемом запроса, прием цифрового сертификата, соответствующего клиентскому устройству, и идентификатора процесса для запрашивающего процесса и,
перед приемом запроса, аутентификацию запрашивающего процесса на основе принятого цифрового сертификата и принятого идентификатора процесса.
14. Способ по п. 13, включающий также выполнение двусторонней аутентификации с клиентским устройством, при этом выполнение двусторонней аутентификации включает прием цифрового сертификата и аутентификацию запрашивающего процесса.
15. Способ по п. 1, отличающийся тем, что вычислительный ресурс включает услугу потоковой передачи данных.
16. Способ по п. 1, отличающийся тем, что вычислительный ресурс включает очередь передачи сообщений.
17. Способ по п. 1, отличающийся тем, что вычислительный ресурс включает базу данных.
18. Способ по п. 1, отличающийся тем, что вычислительный ресурс включает веб-сервер.
19. Система, содержащая
один или более аппаратных процессоров и
память, хранящую инструкции, при выполнении которых по меньшей мере одним процессором из одного или более аппаратных процессоров система осуществляет операции, включающие:
прием, по сети связи, от процесса, выполняющегося на клиентском устройстве, запроса на выполнение какого-либо типа доступа к вычислительному ресурсу;
идентификацию, с помощью хранилища информации, хранящего идентификаторы процессов и связанную с ними информацию управления доступом, информации управления доступом, связанной с запрашивающим процессом, на основе идентификатора запрашивающего процесса;
определение на основе информации управления доступом, связанной с запрашивающим процессом, разрешен ли запрашивающему процессу запрошенный тип доступа к вычислительному ресурсу; и
если запрашивающему процессу разрешен запрошенный тип доступа к вычислительному ресурсу, инициирование обработки запроса.
20. Машиночитаемый носитель информации, содержащий инструкции, при выполнении которых по меньшей мере одним аппаратным процессором машины она осуществляет операции, включающие
прием, по сети связи, от процесса, выполняющегося на клиентском устройстве, запроса на выполнение какого-либо типа доступа к вычислительному ресурсу;
идентификацию, с помощью хранилища информации, хранящего идентификаторы процессов и связанную с ними информацию управления доступом, информации управления доступом, связанной с запрашивающим процессом, на основе идентификатора запрашивающего процесса;
определение на основе информации управления доступом, связанной с запрашивающим процессом, разрешен ли запрашивающему процессу запрошенный тип доступа к вычислительному ресурсу; и
если запрашивающему процессу разрешен запрошенный тип доступа к вычислительному ресурсу, инициирование обработки запроса.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/601,831 US10491584B2 (en) | 2017-05-22 | 2017-05-22 | Role-based resource access control |
US15/601831 | 2017-05-22 |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2018118379A true RU2018118379A (ru) | 2019-11-20 |
RU2018118379A3 RU2018118379A3 (ru) | 2021-10-15 |
Family
ID=64272181
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2018118379A RU2018118379A (ru) | 2017-05-22 | 2018-05-18 | Управление доступом к ресурсам на ролевой основе |
Country Status (3)
Country | Link |
---|---|
US (2) | US10491584B2 (ru) |
CN (1) | CN108965242B (ru) |
RU (1) | RU2018118379A (ru) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6729145B2 (ja) * | 2016-08-03 | 2020-07-22 | 富士通株式会社 | 接続管理装置、接続管理方法および接続管理プログラム |
IT201900005756A1 (it) * | 2019-04-15 | 2020-10-15 | Biesse Spa | Sistema informatico condiviso basato su cloud per la gestione di utensili e/o aggregati per lavorazioni industriali |
US11405381B2 (en) * | 2019-07-02 | 2022-08-02 | Hewlett Packard Enterprise Development Lp | Tag-based access permissions for cloud computing resources |
US11520909B1 (en) * | 2020-03-04 | 2022-12-06 | Wells Fargo Bank, N.A. | Role-based object identifier schema |
CN112926068B (zh) * | 2021-02-25 | 2023-10-20 | 陕西合友网络科技有限公司 | 权限管理方法、管理服务器、业务服务器及可读存储介质 |
WO2022198548A1 (en) * | 2021-03-25 | 2022-09-29 | Intel Corporation | Pasid granularity resource control for iommu |
US11818235B1 (en) | 2022-11-21 | 2023-11-14 | Guardknox Cyber Technologies Ltd. | Systems, devices and methods for hardware accelerated universal routing interface |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7099947B1 (en) * | 2001-06-08 | 2006-08-29 | Cisco Technology, Inc. | Method and apparatus providing controlled access of requests from virtual private network devices to managed information objects using simple network management protocol |
JP4487490B2 (ja) * | 2003-03-10 | 2010-06-23 | ソニー株式会社 | 情報処理装置、およびアクセス制御処理方法、情報処理方法、並びにコンピュータ・プログラム |
US7702693B1 (en) * | 2003-10-30 | 2010-04-20 | Cisco Technology, Inc. | Role-based access control enforced by filesystem of an operating system |
GB0425113D0 (en) * | 2004-11-13 | 2004-12-15 | Ibm | A method of determining access rights to IT resources |
US7536722B1 (en) * | 2005-03-25 | 2009-05-19 | Sun Microsystems, Inc. | Authentication system for two-factor authentication in enrollment and pin unblock |
WO2007028160A2 (en) * | 2005-09-02 | 2007-03-08 | Gary Durbin | Database system and method for access control and workflow routing |
WO2007120754A2 (en) * | 2006-04-11 | 2007-10-25 | Medox Exchange, Inc. | Relationship-based authorization |
US8032558B2 (en) * | 2007-01-10 | 2011-10-04 | Novell, Inc. | Role policy management |
US8656472B2 (en) * | 2007-04-20 | 2014-02-18 | Microsoft Corporation | Request-specific authentication for accessing web service resources |
US8561182B2 (en) * | 2009-01-29 | 2013-10-15 | Microsoft Corporation | Health-based access to network resources |
US8719582B2 (en) * | 2009-03-03 | 2014-05-06 | Microsoft Corporation | Access control using identifiers in links |
US9038168B2 (en) * | 2009-11-20 | 2015-05-19 | Microsoft Technology Licensing, Llc | Controlling resource access based on resource properties |
US20120265879A1 (en) * | 2011-04-15 | 2012-10-18 | Microsoft Corporation | Managing servicability of cloud computing resources |
US9461978B2 (en) * | 2012-09-25 | 2016-10-04 | Tata Consultancy Services Limited | System and method for managing role based access controls of users |
US9203820B2 (en) * | 2013-03-15 | 2015-12-01 | Airwatch Llc | Application program as key for authorizing access to resources |
US9438506B2 (en) * | 2013-12-11 | 2016-09-06 | Amazon Technologies, Inc. | Identity and access management-based access control in virtual networks |
US9692765B2 (en) * | 2014-08-21 | 2017-06-27 | International Business Machines Corporation | Event analytics for determining role-based access |
US9923905B2 (en) * | 2016-02-01 | 2018-03-20 | General Electric Company | System and method for zone access control |
-
2017
- 2017-05-22 US US15/601,831 patent/US10491584B2/en active Active
-
2018
- 2018-05-18 RU RU2018118379A patent/RU2018118379A/ru unknown
- 2018-05-21 CN CN201810526519.1A patent/CN108965242B/zh active Active
-
2019
- 2019-11-21 US US16/690,316 patent/US11089007B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20200104182A1 (en) | 2020-04-02 |
CN108965242A (zh) | 2018-12-07 |
US20180337915A1 (en) | 2018-11-22 |
US11089007B2 (en) | 2021-08-10 |
US10491584B2 (en) | 2019-11-26 |
CN108965242B (zh) | 2022-11-15 |
RU2018118379A3 (ru) | 2021-10-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2018118379A (ru) | Управление доступом к ресурсам на ролевой основе | |
JP2017538179A5 (ru) | ||
JP2019533235A5 (ru) | ||
EP3667500B1 (en) | Using a container orchestration service for dynamic routing | |
US9137172B2 (en) | Managing multiple proxy servers in a multi-tenant application system environment | |
US20140289286A1 (en) | System and method for performance tuning of garbage collection algorithms | |
JP2019537768A5 (ru) | ||
US9507927B2 (en) | Dynamic identity switching | |
CN109614209B (zh) | 一种任务处理方法、应用服务器及系统 | |
CN109087055B (zh) | 业务请求的控制方法和装置 | |
US10447793B2 (en) | Detecting shared access | |
US20170093988A1 (en) | Workflow service using state transfer | |
WO2016070609A1 (zh) | 实现vnf实例化的方法、系统及nfvo和vnfm | |
US20170324570A1 (en) | Group management method, apparatus, and system | |
US20170187705A1 (en) | Method of controlling access to business cloud service | |
US9104486B2 (en) | Apparatuses, systems, and methods for distributed workload serialization | |
US20170099281A1 (en) | Identity management over multiple identity providers | |
JP2017517064A5 (ru) | ||
WO2018153256A1 (zh) | 一种动态资源访问加速方法、装置、介质及设备 | |
La Marra et al. | Improving MQTT by inclusion of usage control | |
CN109726004B (zh) | 一种数据处理方法及装置 | |
US20200228572A1 (en) | Event-restricted credentials for resource allocation | |
WO2014179040A1 (en) | Authentication system and method for embedded applets | |
US20140196044A1 (en) | SYSTEM AND METHOD FOR INCREASING THROUGHPUT OF A PaaS SYSTEM | |
WO2019200762A1 (zh) | 保险平台数据处理方法、电子装置及计算机可读存储介质 |