專利名稱:合作的基于規(guī)則的安全的制作方法
技術領域:
本公開一般涉及數(shù)據(jù)處理系統(tǒng)�����,并特別涉及針對合作的基于規(guī)則的安全的方法�、計算機程序產品和設備。更特別地����,本公開涉及關于云計算系統(tǒng)的合作的基于規(guī)則的安全的 方法、計算機程序產品和設備�����。
背景技術:
云計算指以相似于電網(wǎng)的方式在互聯(lián)網(wǎng)上根據(jù)要求向客戶端提供計算資源�、軟件和信息。云計算系統(tǒng)服務可以包括但不限于數(shù)據(jù)即服務(DAAS)���、軟件即服務(SAAS)����、平臺即服務(PAAS)、基礎架構即服務(IAAS)和網(wǎng)絡即服務(NAAS)����。云計算服務使客戶端能夠購買對計算服務的訪問,該計算服務在云計算系統(tǒng)供應商擁有并維護的計算機硬件和軟件上被支持���。云計算服務用戶能夠僅購買其需要的那些云計算服務�����,而沒有購買并維護支持這些服務所必需的硬件��、軟件和信息技術的負擔���。云計算使用戶能夠從遠程計算站點經(jīng)由互聯(lián)網(wǎng)容易地訪問云計算服務。用戶通常通過使用戶能夠訪問云計算系統(tǒng)軟件和應用程序的web瀏覽器來訪問云計算服務�,就像是軟件����、應用程序和其它數(shù)據(jù)被本地安裝在用戶自己的計算機上一祥。由于云計算系統(tǒng)變得更容易獲得并且對云計算系統(tǒng)服務的需求增加��,因此對這些服務的更快��、更有效、可靠且安全訪問的需要變得愈加重要�����。因此����,具有考慮上面討論的問題中的ー個或更多以及其它可能問題的方法和設備是有利的。
發(fā)明內容
本公開的有利實施例提供云計算安全系統(tǒng)����。訪問管理器模塊包括第一和第二客戶端配置。第一客戶端配置具有使得能夠訪問第一組云計算系統(tǒng)資源的第一組規(guī)則�����,并且第ニ客戶端配置具有使得能夠訪問第二組云計算系統(tǒng)資源的第二組規(guī)則����。安全邏輯模塊與訪問管理器模塊通信。安全邏輯模塊經(jīng)設置而接收訪問第一和第二組云計算系統(tǒng)資源中ー組的訪問請求�����。響應確定該訪問請求符合第一組規(guī)則和第二組規(guī)則中的至少ー組規(guī)則���,安全邏輯模塊經(jīng)設置而提供許可訪問第一和第二組云計算系統(tǒng)資源中的至少ー組的訪問許可��。有利實施例也提供實施云計算系統(tǒng)安全的方法��,該方法通過處理器實施���。針對與請求者相關聯(lián)的一組規(guī)則來評估對至少ー個云計算系統(tǒng)資源的訪問請求��,從而判定訪問請求對該組規(guī)則的合規(guī)性�����。響應對合規(guī)性的確定�,許可請求者訪問所述至少一個云計算系統(tǒng)資源�����。有利實施例也提供云計算設備��。云計算設備包括安全邏輯模塊��。云計算設備包括與安全邏輯模塊通信的訪問管理器模塊�,其中訪問管理器模塊經(jīng)設置而從客戶端裝置接收訪問至少ー個云計算系統(tǒng)資源的訪問請求��。云計算設備包括請求驗證器模塊,該請求驗證器模塊可操作地耦合到訪問管理器模塊��,并經(jīng)設置而判定訪問請求是否為有效請求以及與客戶端裝置相關聯(lián)的請求者是否為利用安全邏輯模塊的有效候選者��。訪問管理器模塊包括多個客戶端配置���,所述多個客戶端配置中的每個客戶端配置都具有一組規(guī)則�����,其定義客戶端裝置對所述至少ー個云計算系統(tǒng)資源的亞群組/粒度訪問(granular access)�����。當確定請求符合該組規(guī)則�����,則提供訪問許可���。云計算設備包括關聯(lián)定義模塊,該關聯(lián)定義模塊經(jīng)設置而建立符合訪問許可的模型網(wǎng)絡資源關聯(lián)���。特征���、功能和優(yōu)點可在本公開的各種實施例中被獨立實現(xiàn)�,或可在其它有利實施例中被結合�,其中進ー步詳情參考下面描述和附圖可見。
被認為是有利實施例特有的新穎特征在權利要求中闡述�����。然而����,有利實施例及其使用的優(yōu)選模式、進ー步目標和優(yōu)點將參考本公開有利實施例的下面詳細描述在結合附圖閱讀時最優(yōu)理解���,其中圖I是其中可實施有利實施例的云計算系統(tǒng)的框圖�;圖2是圖解根據(jù)有利實施例的具有一組云服務客戶端的云計算系統(tǒng)的圖示�;圖3是圖解根據(jù)有利實施例的云計算系統(tǒng)的框圖;圖4是圖解根據(jù)有利實施例的安全邏輯模塊的框圖�����;圖5是根據(jù)有利實施例的數(shù)據(jù)處理系統(tǒng)的圖解���;圖6是圖解根據(jù)有利實施例的云計算系統(tǒng)安全邏輯模塊的過程的流程圖����;以及圖7是根據(jù)有利實施例的云計算服務安全的過程流程圖的圖解���。
具體實施例方式有利實施例認識到云計算系統(tǒng)服務的供應商需要安全裝置從而向可靠且有效的客戶端輸送訪問��。有利實施例認識到日益需要針對客戶端訪問云計算系統(tǒng)資源的更高的安全性和控制�����。
現(xiàn)在參考圖1���,根據(jù)有利實施例示出云計算系統(tǒng)。云計算系統(tǒng)或設備100是經(jīng)由互聯(lián)網(wǎng)向客戶端提供云計算系統(tǒng)服務的系統(tǒng)或設備���。云計算系統(tǒng)或設備100可被認為是云計算安全系統(tǒng)�。云計算系統(tǒng)或設備100可以被實施為具有客戶端可利用的計算資源的系統(tǒng)����。這樣的資源的例子包括但不限于云計算系統(tǒng)資源組102。云計算系統(tǒng)或設備100也可以如下面進ー步描述使用數(shù)個模塊被實施�����。如在此使用,術語“模塊”指代經(jīng)設置以執(zhí)行相應功能(例如下面表示的功能)的計算機硬件��、軟件或其結合中的任ー種�����。以經(jīng)計算實現(xiàn)云計算系統(tǒng)或設備100的功能的方式�����,模塊可以是其它模塊的一部分或被連接到其它模塊�����,如下所述�。云計算系統(tǒng)資源組102是ー個或更多個云計算系統(tǒng)資源構成的組。在云計算系統(tǒng)資源組102內的云計算系統(tǒng)資源可以包括但不限于數(shù)據(jù)即服務(DAAS) 102A���、平臺即服務(PAAS) 102B���、軟件即服務(SAAS) 102C、基礎架構即服務(IAAS) 102D�����、網(wǎng)絡即服務(NAAS) 102E或可通過云計算系統(tǒng)提供的任意其它服務。云計算系統(tǒng)資源組102可以被認為是彼此區(qū)別的多個云計算系統(tǒng)資源組���。因此,例如云計算系統(tǒng)資源組102可以包括第一組云計算系統(tǒng)資源102F和第二組云計算系統(tǒng)資源102G��。第一和第二組云計算系統(tǒng)資源102F和102G可以包括上面描述的服務中的任意服務或者其它資源���。第一和第二組云計算系統(tǒng)資源102F和102G可以是相同的資源組����,或可以是不同的資源組�����。為與客戶端配置例如第一客戶端配置107和第二客戶端配置108相關聯(lián)�����,第一和第二組云計算系統(tǒng)資源102F和102G可以是資源的邏輯排列���。在該例子中���,訪問管理器模塊104是云計算系統(tǒng)組件���,其用于管理訪問云計算系統(tǒng)資源組102中至少ー個云計算系統(tǒng)資源的客戶端請求。訪問管理器模塊104可以包括但不限于多個客戶端配置105���。多個客戶端配置105被示為具有第一客戶端配置107和第二客戶端配置108��。然而��,多個客戶端配置105可包括更多的客戶端配置����,或者在可替代優(yōu)選實施例中可以僅包括一個客戶端配置��。
在多個客戶端配置105中的每個客戶端配置都包括ー組規(guī)則���。如在此使用�,除非在此另外定義���,否則術語“組”指代一個或更多個項目���。例如�����,第一客戶端配置107包括第一組規(guī)則106�,并且第二客戶端配置108包括第二組規(guī)則110�。第一組規(guī)則106和第二組規(guī)則110中的每個都可以包括單個規(guī)則,或者兩條或更多規(guī)則���。第一和第二組規(guī)則中的每個都使得能夠訪問云計算系統(tǒng)資源組102中的ー個或更多資源����。因此�����,例如�,第一組規(guī)則106可以使得能夠訪問第一組云計算系統(tǒng)資源102F����,并且第二組規(guī)則110可以使得能夠訪問第ニ組云計算系統(tǒng)資源102G。這兩個云計算系統(tǒng)資源組可以相同或可以不同�����。在有利實施例中,訪問管理器模塊104可維持與請求者119相關聯(lián)的ー種配置(例如第一客戶端配置107)�����。對應規(guī)則組(例如規(guī)則組106)可定義對云計算系統(tǒng)資源組102中至少ー個云計算系統(tǒng)資源的粒度訪問��。在實施例中�,對云計算系統(tǒng)資源組102的訪問可以構成粒度訪問。粒度訪問指代對資源的離散訪問��,其中對具體云計算資源的訪問被隔離到特定請求者和具體網(wǎng)絡服務供應商����。粒度訪問使得能夠隔離請求者對實體和邏輯云計算系統(tǒng)資源的訪問、對具體云計算資源的各部分進行訪問以及對云計算系統(tǒng)100上可用數(shù)據(jù)的訪問進行離散限制����。例如但不限于,安全邏輯模塊112容許對例如電子郵件服務器的資源的用戶訪問���。通過多個客戶端配置105中的規(guī)則定義的粒度訪問可以限制用戶訪問該電子郵件服務器上的具體電子郵件賬戶�,或者甚至限制用戶向選定的接收組群發(fā)電子郵件�����。同樣,粒度訪問可以用來控制數(shù)據(jù)訪問和/或限制在訪問云計算系統(tǒng)100上的合作資源的用戶之間的數(shù)據(jù)共享�。因此,例如����,粒度訪問可以用來限制使用相同網(wǎng)絡作為服務資源或相同數(shù)據(jù)作為服務資源的用戶之間的數(shù)據(jù)共享。安全邏輯模塊112應用ー組規(guī)則����,例如第一或第二組規(guī)則106或110,從而使得能夠實現(xiàn)請求訪問ー個或更多云計算系統(tǒng)資源的各種用戶的粒度訪問�����。這些各種用戶可以是一個或更多用戶�����,包括人類用戶��、來自硬件組件的請求���、來自軟件組件的請求或其結合,該一個或更多用戶中的任意用戶都可以被認為是請求者119����。安全邏輯模塊112可以是“安全即服務”(SECaaS)的合作的����、基于規(guī)則的安全邏輯組件���。為了向客戶端提供的訪問的粒度���,安全邏輯模塊112向云計算系統(tǒng)100內的資源應用基于規(guī)則的準則。安全邏輯模塊112應用規(guī)則(例如第一組規(guī)則106)�,從而判定可使具體客戶端獲得哪些硬件和/或軟件云計算系統(tǒng)資源,以及判定云計算系統(tǒng)平臺硬件和軟件資源的可用性���。在實施例中�,安全邏輯模塊112的特征可以在于與訪問管理器模塊104通信����。安全邏輯模塊112可經(jīng)設置以接收訪問第一和第二組云計算系統(tǒng)資源102F或102G中的ー組的訪問請求114。安全邏輯模塊112可進ー步經(jīng)設置以判定訪問請求114是否符合第一組規(guī)則106和第二組規(guī)則110中的至少一組�����。如果訪問請求114符合第一和第二組規(guī)則中的至少ー組,那么安全邏輯模塊112經(jīng)設置以提供許可訪問第一和第二組云計算系統(tǒng)資源102F或102G中至少ー組的訪問許可134����。訪問許可134可以采取通知132的形式,或可以是通知132的一部分����。訪問許可134可以替代地采取接收由云計算系統(tǒng)資源組102中一個或更多個發(fā)出的質詢的形式。在此描述的有利實施例構想出�,訪問許可134可以與通知132或質疑接受中任意一者相關聯(lián)。因此��,術語“訪問許可”不應該被認為由實際上怎樣實現(xiàn)訪問來限制����。安全邏輯模塊112基于安全邏輯隔離對基于硬件和軟件的云計算服務的客戶端訪問。安全邏輯模塊112從與請求者119相關聯(lián)的客戶端裝置118接收訪問ー個云計算系統(tǒng)資源組102的訪問請求114。客戶端裝置118可以被實施為任何類型的數(shù)據(jù)處理系統(tǒng)���,例如但不限于在下面圖5中示出的數(shù)據(jù)處理系統(tǒng)500�����?�?蛻舳搜b置118是與請求訪問云計算系統(tǒng)資源組102中至少ー個云計算系統(tǒng)資源的請求者119相關聯(lián)的計算裝置��。請求者119請求訪問在云計算系統(tǒng)100上可獲得的物理和/或邏輯資源��,例如云計算系統(tǒng)資源組102�。請求者119可以是云計算系統(tǒng)或設備100外部的用戶。請求者119可以是實體�,例如但不限于個人、組織或任何其它類型的實體���。在該例子中����,客戶端裝置118是與第一客戶端配置107相關聯(lián)的遠程云計算服務客戶端�����?��?蛻舳搜b置118正請求訪問由云計算系統(tǒng)或設備100提供的云計算系統(tǒng)資源組 102�����。云計算系統(tǒng)資源組102可以包括是在云計算系統(tǒng)100上可獲得的硬件資源�、軟件資源的資源,或者是在云計算系統(tǒng)100上可獲得的硬件和軟件資源結合的資源�����。訪問請求114經(jīng)與客戶端裝置118相關聯(lián)的網(wǎng)絡服務120發(fā)送到云計算系統(tǒng)100��。請求驗證器模塊122判定訪問請求114是否為有效請求����。在有利實施例中,請求驗證器模塊122可以經(jīng)設置以比較訪問請求114與第一和第二組規(guī)則106和110中的至少一組��,以確定訪問請求114相對于這些規(guī)則的合規(guī)性�����。在有利實施例中�����,請求驗證器模塊122進ー步經(jīng)設置以詢問訪問請求114�,并判定與訪問請求114相關聯(lián)的請求者119是否為利用安全邏輯模塊112的有效候選者。同樣����,請求驗證器模塊122可以進ー步經(jīng)設置以詢問訪問請求114,以判定與訪問請求114相關聯(lián)的網(wǎng)絡服務是否為利用安全邏輯模塊112的有效候選者����。請求驗證器模塊122可以詢問訪問請求114,以判定客戶端裝置118是否為訪問云計算系統(tǒng)資源組102的有效候選者�����。請求驗證器模塊122也可以詢問訪問請求114�,以判定與客戶端裝置118相關聯(lián)的網(wǎng)絡服務120是否為訪問云計算系統(tǒng)資源組102的有效候選者。配置合規(guī)性模塊124針對與第一客戶端配置107相關聯(lián)的第一組規(guī)則106評估訪問請求114�,以判定訪問請求114是否符合第一組規(guī)則106。在例子中���,第一組規(guī)則106可以指定客戶端裝置118可利用第三層和第二層計費軟件服務�����,但客戶端裝置118不可利用頂層計費軟件�。如果訪問請求114不符合第一組規(guī)則106����,那么安全邏輯模塊112拒絕對客戶端裝置118的訪問。換言之��,如果第一組規(guī)則106中的任ー規(guī)則不容許客戶端裝置118訪問和/或利用云計算系統(tǒng)資源組102,那么安全邏輯模塊112就不授權訪問請求114����。響應確定訪問請求114符合第一組規(guī)則106,關聯(lián)定義模塊126建立遵從訪問許可134的模型網(wǎng)絡資源關聯(lián)128�����。模型網(wǎng)絡資源關聯(lián)128是云計算系統(tǒng)資源組102到客戶端裝置118的關聯(lián)����。關聯(lián)定義模塊126修改客戶端裝置118的第一客戶端配置107,從而適應模型網(wǎng)絡資源關聯(lián)128����。關聯(lián)定義模塊126可以創(chuàng)造或維持網(wǎng)絡服務關聯(lián)定義129。因此�,在有利實施例中,響應對訪問請求114的評估以及 確定符合一組規(guī)則(例如第一組規(guī)則106)���,關聯(lián)定義模塊126可以建立模型網(wǎng)絡資源關聯(lián)128����,從而形成網(wǎng)絡服務關聯(lián)定義129�。同樣��,響應對訪問請求114的評估��,訪問管理器模塊104可以修改在多個客戶端配置105中的與請求者119相關聯(lián)的配置(例如第一客戶端配置107),從而包括網(wǎng)絡服務關聯(lián)定義129��。該功能也可以通過關聯(lián)定義模塊126執(zhí)行���。在有利實施例中����,至少ー個云計算系統(tǒng)資源可以是網(wǎng)絡即服務����,例如網(wǎng)絡即服務102E。在此情況下����,安全邏輯模塊112可以使得能夠在通過網(wǎng)絡即服務102E訪問的合作環(huán)境102H中粒度訪問共享數(shù)據(jù)1021。通知準備模塊130生成對客戶端裝置118的通知132����。通知132可以傳輸表示接受訪問請求114的訪問許可134或者表示拒絕訪問請求114的訪問拒絕136。在圖I中示出的ー些�、部分或全部組件可以被認為是計算機處理裝置或數(shù)據(jù)處理裝置�����。圖I意圖作為ー個例子��,并且不作為針對不同有利實施例的架構限制�����。圖2是根據(jù)有利實施例的具有一組云服務客戶端的云計算系統(tǒng)���。云計算系統(tǒng)或設備200是云計算系統(tǒng),例如在圖I中的云計算系統(tǒng)100�。圖2意圖作為ー個例子,并且不作為針對不同有利實施例的架構限制�。云計算系統(tǒng)或設備200可以包括但不限于硬件、軟件和/或濕件��。與云計算系統(tǒng)或設備200相關聯(lián)的硬件可以包括任何類型的硬件��,例如但不限于服務器���、路由器��、硬盤驅動器���、處理器��、ニ級數(shù)據(jù)存儲裝置以及任何其它類型的計算機硬件����。云計算系統(tǒng)或設備200可以利用一種或更多種網(wǎng)絡架構����,例如但不限于互聯(lián)網(wǎng)�、外部網(wǎng)、以太網(wǎng)�����、內部網(wǎng)�����、局域網(wǎng)(LAN)�����、虛擬專用網(wǎng)�����、周邊網(wǎng)和/或任何其它類型的網(wǎng)絡。云計算系統(tǒng)或設備200可以提供任何類型的云服務���,例如但不限于數(shù)據(jù)即服務��、軟件即服務����、平臺即服務��、基礎架構即服務�、網(wǎng)絡即服務或可通過云計算系統(tǒng)提供的任何其它服務。在該例子中�����,云計算系統(tǒng)或設備200經(jīng)由互聯(lián)網(wǎng)連接向客戶端A202�、客戶端B204和客戶端C206提供服務。在該例子中��,云計算系統(tǒng)或設備200僅向三個客戶端提供服務��。然而,云計算系統(tǒng)200可以經(jīng)由互聯(lián)網(wǎng)向任何數(shù)量的客戶端提供服務�����。圖3是圖解根據(jù)有利實施例的云計算系統(tǒng)的框圖����。云計算系統(tǒng)或設備300可以被實施為經(jīng)由互聯(lián)網(wǎng)向客戶端提供服務的任何類型的聯(lián)網(wǎng)數(shù)據(jù)處理系統(tǒng),例如但不限于在圖I中的云計算系統(tǒng)或設備100和在圖2中的云計算系統(tǒng)或設備200��?;A架構即服務302可以向客戶端提供作為平臺虛擬化環(huán)境的計算機基礎架構來作為服務?���;A架構即服務302可以向客戶端提供對云計算系統(tǒng)或設備300上維護和支持的服務���、軟件和數(shù)據(jù)的訪問�����?���;A架構即服務302的例子可以是網(wǎng)絡即服務304。網(wǎng)絡即服務304可以根據(jù)需求向遠程客戶端提供對網(wǎng)絡資源的訪問��。這樣����,云計算系統(tǒng)300可以向客戶端提供網(wǎng)絡資源和網(wǎng)絡管理服務。平臺即服務306可以向客戶端輸送計算機平臺服務����。平臺指代允許軟件運行的硬件架構和軟件框架。平臺即服務306經(jīng)由互聯(lián)網(wǎng)或其它網(wǎng)絡連接向客戶端提供運行軟件的虛擬化平臺�����。 數(shù)據(jù)即服務308根據(jù)需求向遠程客戶端提供數(shù)據(jù)��。數(shù)據(jù)即服務308降低與數(shù)據(jù)存儲裝置�����、數(shù)據(jù)組織和數(shù)據(jù)備份相關聯(lián)的客戶端成本����。軟件即服務310經(jīng)由互聯(lián)網(wǎng)或其它網(wǎng)絡向遠程客戶端輸送對軟件的訪問。遠程客戶端訪問并利用軟件而不在遠程客戶端所利用的本地計算機上安裝或運行該軟件��。返回基礎架構即服務302,網(wǎng)絡即服務304的例子可以是安全邏輯模塊312���。安全邏輯模塊312是基于規(guī)則的邏輯模塊����,其用于控制和管理對云計算系統(tǒng)300服務的訪問�,例如但不限于在圖I中的安全邏輯模塊112。安全邏輯模塊312基于約定義務來控制發(fā)出請求的客戶端對服務的訪問�����,該約定義務采取含有規(guī)則組316的配置組314的形式���。配置組314是由ー個或更多個客戶端配置構成的組���,例如但不限于在圖I中的多個客戶端配置105����。在該例子中,配置組314在安全邏輯模塊312內被實施�����。然而,配置組314可以被存儲在安全邏輯模塊312可訪問的且獨立于安全邏輯模塊312實施的數(shù)據(jù)庫或其它數(shù)據(jù)存儲裝置內����。配置組314包括規(guī)則組316,其描述了被應用于基于商業(yè)邏輯����、合同、關系以及任何其它標準而請求訪問云計算系統(tǒng)服務的客戶端的離散且粒度的訪問��?���?蛻舳丝梢酝ㄟ^安全邏輯模塊312請求訪問,從而通過網(wǎng)絡即服務304來訪問與實體裝置和/或邏輯裝置相關聯(lián)的服務���,其中所述實體裝置和/或邏輯裝置關聯(lián)于云計算系統(tǒng)300��。通過安全邏輯模塊312訪問在網(wǎng)絡即服務304中所包含的實體裝置和/或邏輯裝置會許可對云計算系統(tǒng)資源和數(shù)據(jù)的安全訪問��。同樣���,可以實施安全邏輯模塊312從而使得能夠粒度訪問通過網(wǎng)絡即服務訪問的云計算系統(tǒng)資源組中的合作環(huán)境中的共享數(shù)據(jù)。在圖3中示出的ー些���、部分或全部組件可以被認為是計算機處理裝置或數(shù)據(jù)處理裝置���。圖3意圖作為ー個例子��,并且不作為針對不同有利實施例的架構限制�。圖4是圖解根據(jù)有利實施例的安全邏輯模塊的框圖�����。安全邏輯模塊400可以被實施為基于規(guī)則的安全邏輯組件�����,例如在圖I中的安全邏輯模塊112和在圖3中的安全邏輯模塊312���。安全邏輯模塊400經(jīng)由互聯(lián)網(wǎng)406從與網(wǎng)絡供應商404相關聯(lián)的客戶端402接收訪問云計算服務的請求�����。安全邏輯模塊400基干與客戶端402相關聯(lián)的規(guī)則允許客戶端402訪問與云計算系統(tǒng)相關聯(lián)的服務。安全邏輯模塊400控制客戶端402對網(wǎng)絡即服務408中所包含的實體裝置和/或邏輯裝置的訪問����?��?蛻舳?02中的一個或更多個客戶端可以被分配網(wǎng)絡即服務408中的參與者地址空間410。在圖4中示出的ー些�����、部分或全部組件可以被認為是計算機處理裝置或數(shù)據(jù)處理裝置��。圖4意圖作為ー個例子�����,并且不作為針對不同有利實施例的架構限制?���,F(xiàn)在轉到圖5,根據(jù)有利實施例示出數(shù)據(jù)處理系統(tǒng)的圖解��。數(shù)據(jù)處理系統(tǒng)500可以是在云計算系統(tǒng)(例如在圖I中的云計算系統(tǒng)100�、在圖2中的云計算系統(tǒng)200和在圖3中的云計算系統(tǒng)300)內的數(shù)據(jù)處理系統(tǒng)。數(shù)據(jù)處理系統(tǒng)500也可以被實施為客戶端計算機�,例如在圖2中的客戶端202-206或在圖4中的客戶端402中的客戶端。
在該例子中�����,數(shù)據(jù)處理系統(tǒng)或設備500包括通信結構502,通信結構502提供在處理器單元504��、存儲器506���、永久性存儲器508�����、通信單元510�����、輸入/輸出(I/O)單元512和顯示器514之間的通信�。處理器504用于執(zhí)行可被加載到存儲器506內的軟件的指令��。根據(jù)具體實施方式
����,處理器504可以是數(shù)個處理器、多處理器核心或ー些其它類型的處理器�。如關于條目在此使用的數(shù)個意味著一個或更多個條目。進ー步地�,處理器単元504可以使用數(shù)個異類處理器系統(tǒng)被實施,其中主處理器與ニ級處 理器一起存在于單個芯片上��。作為另一例子����,處理器単元504可以是含有相同類型的多個處理器的對稱多處理器系統(tǒng)。存儲器506和永久性存儲器508是存儲裝置516的例子��。存儲裝置是能夠存儲信息的任意硬件部分����,所述信息例如但不限于數(shù)據(jù)、功能形式的程序代碼以及/或者暫時的和/或永久的其它合適信息��。在這些例子中存儲裝置516也可以被稱為計算機可讀存儲裝置�����。存儲器506可以例如但不限于是隨機訪問存儲器或任何合適的易失或非易失存儲裝置�����。根據(jù)具體實施方式
�����,永久性存儲器508可以采取各種形式�����。例如,永久性存儲器508可以包含一個或更多個組件或裝置����。例如,永久性存儲器508可以是硬盤驅動器��、閃存���、可重寫光盤�、可重寫磁帶或上述的某個組合�����。永久性存儲器508所使用的介質也可以是可移除的�。例如,可移除的硬盤驅動器可以用于永久性存儲器508�����。在這些例子中�,通信単元510提供與其它數(shù)據(jù)處理系統(tǒng)或裝置的通信。在這些例子中,通信単元510是網(wǎng)絡接ロ卡���。通信単元510可以通過使用實體或無線通信鏈接中的一者或兩者來提供通信���。輸入/輸出單元512允許使用可連接到數(shù)據(jù)處理系統(tǒng)或設備500的其它裝置來輸入和輸出數(shù)據(jù)����。例如,輸入/輸出單元512可以為通過鍵盤����、鼠標和/或某個其它合適的輸入裝置的用戶輸入提供連接。進ー步地��,輸入/輸出單元512可以向打印機發(fā)送輸出���。顯示器514提供向用戶顯示信息的機構�。操作系統(tǒng)�����、應用程序和/或程序的指令可以被置于通過通信結構502與處理器單元504通信的存儲裝置516中�。在這些例子中,指令在永久性存儲器508上處于功能形式。這些指令可以被加載到存儲器506中以便由處理器単元504執(zhí)行�。不同有利實施例的過程可以使用計算機實施的指令由處理器単元504來執(zhí)行,其中所述指令可以被置于存儲器(例如存儲器506)中�。這些指令被稱為可由處理器単元504中的處理器讀取并執(zhí)行的程序代碼、計算機可用程序代碼或計算機可讀程序代碼����。在不同有利實施例中的程序代碼可以被收錄在不同的實體或計算機可讀的存儲介質(例如存儲器506或永久性存儲器508)上。程序代碼518以功能形式被置于可選擇性移除的計算機可讀介質520上�����,并且可以被加載到或轉移到數(shù)據(jù)處理系統(tǒng)500以便由處理器単元504執(zhí)行����。在這些例子中,程序代碼518和計算機可讀介質520形成計算機程序產品522�。在一個例子中,計算機可讀介質520可以是計算機可讀存儲介質524或計算機可讀信號介質526�。計算機可讀存儲介質524可以包括例如被插入或放入驅動器或作為永久性存儲器508的一部分的其他裝置中以便轉移到作為永久性存儲器508 —部分的存儲裝置(例如硬盤驅動器)上的光盤或磁盤。計算機可讀存儲介質524也可以采取被連接到數(shù)據(jù)處理系統(tǒng)或設備500的永久性存儲器的形式����,例如硬盤驅動器、拇指驅動器(thumb drive)或閃存��。在一些情況下,計算機可讀存儲介質524不可從數(shù)據(jù)處理系統(tǒng)或設備500移除�����。在這些例子中���,計算機可讀存儲介質524是非暫時計算機可讀存儲介質����??商鎿Q地��,程序代碼518可以使用計算機可讀信號介質526被轉移到數(shù)據(jù)處理系統(tǒng)或設備500�����。計算機可讀信號介質526可以是例如含有程序代碼518的被傳播的數(shù)據(jù)信號��。例如��,計算機可讀信號介質526可以是電磁信號�、光信號和/或任何其它合適類型的信號。這些信號可以經(jīng)由通信鏈接被傳輸����,該通信鏈路例如無線通信鏈接��、光纖電纜�、同軸電纜�����、線纜和/或任何其它合適類型的通信鏈接��。換言之����,在這些例子中,通信鏈接和/或連接可以是實體的或無線的���。在ー些有利實施例中��,程序代碼518可以通過計算機可讀信號介質526經(jīng)由網(wǎng)絡從另ー裝置或數(shù)據(jù)處理系統(tǒng)被下載到永久性存儲器508�����,以便在數(shù)據(jù)處理系統(tǒng)或設備500內使用�����。例如��,存儲在服務器數(shù)據(jù)處理系統(tǒng)中的計算機可讀存儲介質中的程序代碼可經(jīng)由 網(wǎng)絡從服務器下載到數(shù)據(jù)處理系統(tǒng)或設備500�。提供程序代碼518的數(shù)據(jù)處理系統(tǒng)可以是服務器計算機、客戶端計算機或能夠存儲和傳輸程序代碼518的某個其它裝置�。針對數(shù)據(jù)處理系統(tǒng)或設備500描述的不同組件不意味著向其中可實施不同有利實施例的方式提供構架限制。在包括附加于或代替針對數(shù)據(jù)處理系統(tǒng)或設備500描述的那些組件的組件的數(shù)據(jù)處理系統(tǒng)中可以實施不同有利實施例�。在圖5中示出的其它組件能夠與所示例子不同?���?梢允褂媚軌蜻\行程序代碼的任何硬件裝置或系統(tǒng)來實施有利實施例。作為ー個例子��,數(shù)據(jù)處理系統(tǒng)可以包括與無機組件整合的有機組件��,和/或可以全部由除人類之外的有機組件構成��。例如���,存儲裝置可由有機半導體構成。在另一例子中���,處理器単元204可以采取硬件単元的形式�,該硬件単元具有針對具體用途而被制造或設置的電路。這類硬件可以執(zhí)行操作而不需要將程序代碼從存儲裝置加載到存儲器中從而經(jīng)設置執(zhí)行操作��。例如����,在處理器単元504采取硬件単元的形式吋,處理器単元504可以是電路系統(tǒng)��、專用集成電路(ASIC)����、可編程邏輯器件或經(jīng)設置執(zhí)行數(shù)個操作的一些其它合適類型的硬件。對于可編程邏輯器件�����,該器件經(jīng)設置執(zhí)行數(shù)個操作����。該器件可在較晚時間重設置,或可被永久設置從而執(zhí)行該數(shù)個操作��??删幊踢壿嬈骷睦影ɡ缈删幊踢壿嬯嚵小⒖删幊剃嚵羞壿?��、現(xiàn)場可編程邏輯陣列�����、現(xiàn)場可編程門陣列和其它合適硬件裝置�。對于這類實施方式,因為不同有利實施例的過程在硬件単元中被實施��,所以程序代碼518可被省略�����。在另一例子中�����,可以使用在計算機中存在的處理器和硬件單元的結合來實施處理器単元504�。處理器単元504可以具有經(jīng)設置運行程序代碼518的數(shù)個硬件単元和數(shù)個處理器��。對于這個示出的例子�,過程中的一些可以在所述數(shù)個硬件単元中被實施,而另ー些過程可以在所述數(shù)個處理器中被實施����。作為另一例子�,在數(shù)據(jù)處理系統(tǒng)或設備500中的存儲裝置是可以存儲數(shù)據(jù)的任何硬件設備����。存儲器506、永久性存儲器508和計算機可讀介質520是有形形式的存儲裝置的例子�����。在另一例子中����,總線系統(tǒng)可以用來實現(xiàn)通信結構502,并且可以由一條或更多條總線(例如系統(tǒng)總線或輸入/輸出總線)構成��。當然���,總線系統(tǒng)可使用任何合適類型的架構被實現(xiàn)����,該架構提供被附接到總線系統(tǒng)的不同組件或裝置之間的數(shù)據(jù)傳輸�����。另外,通信単元可以包括用來傳輸和接收數(shù)據(jù)的ー個或更多個裝置�,例如調制解調器或網(wǎng)絡適配器。進ー步地�,存儲器可以是例如存儲器506或緩存,例如在可存在于通信結構502中的接ロ或存儲器控制器中樞中存在的緩存����。在圖5中示出的ー些、部分或全部組件可以被認為是計算機處理裝置或數(shù)據(jù)處理裝置���。圖5意圖作為ー個例子�����,并且不作為針對不同有利實施例的架構限制���。圖6是根據(jù)有利實施例的云計算系統(tǒng)安全的過程的流程圖的圖解。在圖6中的過程可以被實現(xiàn)在基于規(guī)則的安全組件(例如在圖I中的安全邏輯模塊112����、在圖3中的安全邏輯模塊312或在圖4中的安全邏輯模塊400)中。該過程開始于�����,針對與請求者相關聯(lián)的一組規(guī)則來評估對至少ー個云計算系統(tǒng)資源的訪問請求(操作602)����。過程做出關于請求是否符合該組規(guī)則的判定(操作604)。
如果請求符合該組規(guī)則���,那么提供對所述至少ー個云計算系統(tǒng)資源的訪問許可(操作606)�����。此后該過程終止?,F(xiàn)在返回步驟604���,如果請求不符合該組規(guī)則�����,那么拒絕對所述至少ー個云計算系統(tǒng)資源的訪問(操作608)�����,且過程此后終止��。圖7是根據(jù)有利實施例的云計算服務安全的過程的流程圖的圖解���。在圖7中的過程可以被實現(xiàn)在基于規(guī)則的安全組件(例如在圖I中的安全邏輯模塊112���、在圖3中的安全邏輯模塊312或在圖4中的安全邏輯模塊400)中。該過程開始干�,從請求者接收訪問云計算系統(tǒng)資源的請求(操作702)。做出關于請求者和請求者的網(wǎng)絡服務是否為有效候選者的判定(操作704)��。如果請求者和網(wǎng)絡服務均是有效候選者���,那么建立網(wǎng)絡服務關聯(lián)定義(操作706)��。更新與請求者相關聯(lián)的配置從而適應網(wǎng)絡服務關聯(lián)定義(操作708)����。生成訪問許可的通知(操作710)�����。向請求者發(fā)送該通知(操作712)�,且過程此后終止。現(xiàn)在返回操作704��,如果請求者或網(wǎng)絡服務不是有效候選者�����,那么生成請求拒絕的通知(操作714)����。向請求者發(fā)送該通知(操作712),且過程此后終止��。不同有利實施例可以采取完全硬件實施例�����、完全軟件實施例或者含有硬件或軟件元件二者的有利實施例的形式�����。ー些有利實施例在包括但不限于例如固件���、常駐軟件和微代碼形式的軟件中被實施��。在ー個有利實施例中�����,提供針對云計算系統(tǒng)安全的方法和系統(tǒng)�。訪問管理器包括多個客戶端配置。在多個客戶端配置中的每個配置都包括使得能夠訪問ー個云計算系統(tǒng)資源組的ー組規(guī)則���。安全邏輯模塊與訪問管理器模塊通信��,從而接收訪問至少ー個云計算系統(tǒng)資源的請求�����。當確定訪問請求符合該組規(guī)則時�����,許可或拒絕訪問��。在另一有利實施例中��,訪問管理器針對與請求者相關聯(lián)的一組規(guī)則來評估對至少一個云計算系統(tǒng)資源的訪問請求�,從而判定合規(guī)性�。訪問管理器響應對合規(guī)性的確定,許可請求者訪問該至少ー個云計算系統(tǒng)資源�����。響應確定該請求符合該組規(guī)則���,許可對資源的訪問����。響應確定請求不符合該組規(guī)貝U,拒絕對資源的訪問����。有利實施例的安全邏輯模塊提供網(wǎng)絡模式�,從而使各種用戶能夠基于用戶以需知為基礎的權利來共享數(shù)據(jù)、服務和成本信息�����。安全邏輯模塊允許用戶在整個項目生命周期期間合作����,從而共享實體裝置、邏輯裝置����、數(shù)據(jù)和其它資源,并獲得對云計算服務的更加安全的訪問���。
在不同的所示有利實施例中的流程圖和框解了設備�、方法和計算機程序產品的ー些可能實施方式的架構、功能性和操作�。在這點上,在流程圖或框圖中的每個方框都可以表現(xiàn)計算機可用或可讀程序代碼的ー個模塊����、分段或部分,該程序代碼包含用于實施一個或更多個特定功能的一個或更多個可執(zhí)行指令��。在一些可替換實施方式中����,在方框中提到的一個或更多個功能可以以圖中提到的順序之外的順序發(fā)生。例如�,在一些情況下,連續(xù)示出的兩個方框可以被基本同時執(zhí)行��,或這兩個方框可以有時以顛倒的順序被執(zhí)行����,這取決于所涉及的功能性。 此外���,不同有利實施例能夠采取可從計算機可用或計算機可讀介質獲得的計算機程序產品的形式��,該計算機程序產品提供用于計算機或執(zhí)行指令的任意裝置或系統(tǒng)的或者與計算機或執(zhí)行指令的任意裝置或系統(tǒng)結合的程序代碼��。為了本公開���,計算機可用或計算機可讀介質能夠大體是可包含��、存儲�、通信���、傳播或傳輸用于指令執(zhí)行系統(tǒng)、設備或裝置或與該執(zhí)行系統(tǒng)��、設備或裝置相結合的程序的任意有形設備�。計算機可用或計算機可讀介質能夠例如但不限于電子、磁���、光�、電磁����、紅外或半導體系統(tǒng)或者傳播介質。計算機可讀介質的非限制例子包括半導體或固態(tài)存儲器�����、磁帶、可移除計算機軟盤���、隨機訪問存儲器(RAM)�、只讀存儲器(ROM)����、硬磁盤和光盤。光盤可以包括只讀光盤(CD-ROM)�、可擦寫光盤(CD-R/W)、DVD和藍光���。進ー步地�����,計算機可用或計算機可讀介質可以包含或存儲計算機可讀或可用程序代碼�����,以使得當在計算機上執(zhí)行計算機可讀或可用程序代碼時�����,該計算機可讀或可用程序代碼的執(zhí)行導致計算機經(jīng)由通信鏈接傳輸另ー計算機可讀或可用程序代碼�����。該通信鏈接可以使用例如但不限于實體或無線的介質�����。適合存儲和/或執(zhí)行計算機可讀或計算機可用程序代碼的數(shù)據(jù)處理系統(tǒng)包括一個或更多個處理器��,該ー個或更多個處理器通過通信結構(例如系統(tǒng)總線)直接或間接耦合到存儲器元件�����。存儲器元件可以包括在程序代碼的實際執(zhí)行期間采用的本地存儲器����、大容量存儲和緩存存儲器�,該緩存存儲器提供至少ー些計算機可讀或計算機可用程序代碼的暫時存儲,從而減少在代碼執(zhí)行期間可從大容量存儲檢索代碼的次數(shù)���。輸入/輸出或I/O裝置能夠直接地或通過中介I/O控制器耦合到系統(tǒng)���。這些裝置可以包括但不限于例如鍵盤、觸摸屏顯示器和指示裝置。不同的通信適配器也可以被耦合到系統(tǒng)�����,從而使數(shù)據(jù)處理系統(tǒng)能夠通過中介的私有或公共網(wǎng)絡被耦合到其它數(shù)據(jù)處理系統(tǒng)或遠程打印機或存儲裝置�����。非限制例子是調制解調器����、wi-fi裝置(例如藍牙)以及僅是當前可用的通信適配器類型中少數(shù)的網(wǎng)絡適配器。如在此使用����,短語“至少ー個”在與條目的列表一起使用吋,意思是可使用所列條目中的一個或更多個條目的不同組合����,并且可能僅需要列表中各條目中的ー個。例如����,“條目A、條目B和條目C中的至少ー個”可以包括但不限于例如僅條目A��、條目A和條目B 二者或者全部的條目A、條目B和條目C�。該例子也可以包括條目A、條目B和條目C�����,或者條目B和條目C��。不同有利實施例的描述已經(jīng)為了說明和描述而被呈現(xiàn)����,并且不意圖以公開的形式詳盡或限制實施例。許多修改和變化對于本領域技術人員明顯��。進ー步地����,不同有利實施例可提供與其它有利實施例比較的不同優(yōu)點。選擇的有利實施例或多個有利實施例挑選并描述以便最優(yōu)解釋有利實施例的原理����、實際應用�,并使本領域技術人員能夠理解具有適合預期特別使用的各種修改的各種有利實施例的公開 。
權利要求
1.ー種云計算安全系統(tǒng)�,包含 包括第一客戶端配置和第二客戶端配置的訪問管理器模塊,其中所述第一客戶端配置具有使得能夠訪問第一組云計算系統(tǒng)資源的第一組規(guī)則,并且其中所述第二客戶端配置具有使得能夠訪問第二組云計算系統(tǒng)資源的第二組規(guī)則��;以及 與所述訪問管理器模塊通信的安全邏輯模塊���,其中所述安全邏輯模塊被設置成接收訪問所述第一和第二組云計算系統(tǒng)資源中的一者的訪問請求���;以及響應確定所述訪問請求符合所述第一組規(guī)則和所述第二組規(guī)則中的至少ー者,提供許可訪問所述第一和第二組云計算系統(tǒng)資源中的至少ー者的訪問許可�����。
2.根據(jù)權利要求I所述的云計算安全系統(tǒng)����,其中所述安全邏輯模塊進一歩包含 經(jīng)設置而建立符合所述訪問許可的模型網(wǎng)絡資源關聯(lián)的關聯(lián)定義模塊;以及 其中所述關聯(lián)定義模塊進ー步經(jīng)設置而修改所述第一客戶端配置從而適應所述模型網(wǎng)絡資源關聯(lián)����。
3.根據(jù)權利要求I所述的云計算安全系統(tǒng), 其中所述安全邏輯模塊進一歩包含 經(jīng)設置而比較所述訪問請求與所述第一和第二組規(guī)則以判定合規(guī)性的請求驗證器模塊�; 其中所述請求驗證器模塊進一步經(jīng)設置而詢問所述訪問請求并判定與所述訪問請求相關聯(lián)的請求者是否為利用所述安全邏輯模塊的有效候選者;以及 其中所述請求驗證器模塊進一步經(jīng)設置而詢問所述訪問請求并判定與請求者相關聯(lián)的客戶端裝置的網(wǎng)絡服務是否為利用所述安全邏輯模塊的有效候選者�����。
4.根據(jù)權利要求I所述的云計算安全系統(tǒng), 其中所述安全邏輯模塊進一歩包含 經(jīng)設置而生成包含所述訪問許可的通知的通知準備模塊�����。
5.根據(jù)權利要求I所述的云計算安全系統(tǒng)��, 其中所述訪問許可提供對所述第一和第二云計算系統(tǒng)資源中的所述至少一者的粒度訪問�����。
6.根據(jù)權利要求I所述的云計算安全系統(tǒng)��, 其中所述第一和第二云計算系統(tǒng)資源中的所述至少ー者是網(wǎng)絡即服務���;以及其中所述服務邏輯模塊使得能夠粒度訪問通過所述網(wǎng)絡即服務獲得的所述第一和第ニ組云計算系統(tǒng)資源中的所述至少一者�。
7.ー種實施云計算系統(tǒng)安全的方法����,所述方法通過處理器實施,所述方法包含 針對與請求者相關聯(lián)的一組規(guī)則來評估對至少ー個云計算系統(tǒng)資源的訪問請求����,從而判定該訪問請求對該組規(guī)則的合規(guī)性��;以及 響應對合規(guī)性的確定,許可所述請求者訪問所述至少ー個云計算系統(tǒng)資源�����。
8.根據(jù)權利要求7所述的方法�,進ー步包含 維持與所述請求者相關聯(lián)的配置,其中所述配置具有該組規(guī)則�,并且其中該組規(guī)則定義對所述至少一個云計算系統(tǒng)資源的粒度訪問; 響應對所述訪問請求的評估和所述對合規(guī)性的確定��,建立模型網(wǎng)絡資源關聯(lián)�,從而形成網(wǎng)絡服務關聯(lián)定義;以及響應對所述訪問請求的評估�����,在所述網(wǎng)絡服務關聯(lián)定義的多個客戶端配置中修改與一個請求者相關聯(lián)的ー個配置���。
9.根據(jù)權利要求7所述的方法�,進ー步包含 詢問所述訪問請求從而判定所述請求者是否為利用安全邏輯模塊的有效候選者��; 詢問所述訪問請求從而判定與所述訪問請求相關聯(lián)的網(wǎng)絡服務是否為利用所述安全邏輯模塊的有效候選者���;以及 為與所述請求者相關聯(lián)的客戶端裝置生成表示訪問許可的通知�。
10.根據(jù)權利要求7所述的方法,其中所述至少一個計算系統(tǒng)資源從下列條目構成的集合中選擇平臺即服務��、數(shù)據(jù)即服務����、軟件即服務、基礎架構即服務和網(wǎng)絡即服務�;以及 其中所述至少ー個云計算系統(tǒng)資源是網(wǎng)絡即服務,并且其中安全邏輯模塊使得能夠在通過所述網(wǎng)絡即服務獲得的合作環(huán)境中粒度訪問共享數(shù)據(jù)���。
全文摘要
本發(fā)明涉及一種云計算安全系統(tǒng)�����。訪問管理器模塊包括第一和第二客戶端配置����。第一客戶端配置具有使得能夠訪問第一組云計算系統(tǒng)資源的第一組規(guī)則��,并且第二客戶端配置具有使得能夠訪問第二組云計算系統(tǒng)資源的第二組規(guī)則����。安全邏輯模塊與訪問管理器模塊通信。安全邏輯模塊經(jīng)設置而接收訪問第一和第二組云計算系統(tǒng)資源中的一組的訪問請求�����。響應確定訪問請求符合第一組規(guī)則和第二組規(guī)則中的至少一者��,安全邏輯模塊經(jīng)設置而提供許可訪問第一和第二組云計算系統(tǒng)資源中的至少一組的訪問許可��。
文檔編號H04L29/08GK102664864SQ20111043034
公開日2012年9月12日 申請日期2011年12月14日 優(yōu)先權日2010年12月15日
發(fā)明者D·W·尼爾森, D·帕特爾, J·M·瑞貝特, R·J·瑞馳爾 申請人:波音公司