基于云的环境中的自主策略管理的制作方法
【专利说明】
【背景技术】
[0001]常常通过针对每个资源以及针对每个已授权方单独地定义访问策略来管理对许多数字资源的访问。由于对访问内容的用户授权随时间推移而改变,用于每个受影响方的这样的自主(discret1nary)策略可能要求更新以维持期望的安全设定。在某些场景中,诸如在内容服务被多个个体潜在地大规模地从大量潜在无关实体中的每一个访问的情况下,这样的安全设定的维持可能是复杂的且潜在地易于发生错误。
【发明内容】
[0002]公开了用于管理对内容的访问的实施例。一个公开的实施例提供了一种包括接收用于委托人的用以访问资源的请求的方法。所述方法还包括确定所述委托人所属的一个或多个委托人群组,获得指示所述资源所属的资源集合的资源集合成员籍信息,并获得用于所述资源所属的资源集合的资源集合访问策略信息。所述方法还包括确定基于委托人群组成员籍信息和资源集合访问策略信息来确定是否允许委托人访问资源,并且如果允许委托人访问资源,则许可由委托人对资源的访问。
[0003]提供本
【发明内容】
是为了以简化形式来介绍下面在详细描述中进一步描述的概念的选择。本
【发明内容】
并不意图识别要求保护的主题的关键特征或必要特征,其也不意图用来限制要求保护的主题的范围。此外,要求保护的主题不限于解决在本公开的任何部分中指出的任何或所有缺点的实施方式。
【附图说明】
[0004]图1示出了图示出根据本公开的实施例的用于管理自主内容访问策略的示例性系统的不意图。
[0005]图2示意性地示出了用于根据本公开的实施例的一种用于表现内容的系统的示例性使用环境。
[0006]图3示出了根据本公开的实施例的用于授权对内容的访问的示例性方法。
[0007]图4示出了根据本公开的实施例的用于管理用于许多数字资源的安全策略的示例性方法。
[0008]图5示意性地示出了根据本公开的实施例的计算设备的示例性实施例。
【具体实施方式】
[0009]如上所述,大规模地在逐个用户且逐个项目的基础上管理对内容的访问可能是困难的。例如,基于云的内容服务(例如,在线游戏服务、软件开发服务等)可被潜在地大量的人从潜在地大量实体中的每个用来访问潜在地大量的资源。在这样的系统中,单独地有效地管理访问策略可能是耗费时间、效率低且易于发生错误的。
[0010]作为一个非限制性示例,视频游戏开发服务可以为开发者提供针对在开发和/或β测试中的资源的基于云的存储,并且还提供对存储资源的访问。在这样的系统中,用于在开发中的项目的资源访问策略可被使用来控制针对多个感兴趣方中的每一个的对资源的访问,其包括但不限于开发者、程序经理、其它关键雇员、第三方合伙人、供应商等。在实体具有在开发中的多个项目的情况下,针对多个项目中的每一个管理这样的策略。所述策略可定义例如可利用哪些用户、哪些计算设备、哪些客户端应用等来访问游戏开发内容。术语访问可指代任何适当类型的访问,包括但不限于诸如创建、读取、更新以及删除之类的动作。
[0011]在这样的环境中,如果基于单独的用户/单独的资源来管理策略,则授权方面的任何改变(例如,丢失设备、开发队伍变更、新内容等)可能迫使需要修改用于每个受影响方的单独许可。假定开发努力可涉及到具有众多访问授权的数目相对大且可变的用户和资源,在基于云的开发环境中针对这样的资源和用户单独地维持许可可能是困难、耗费时间且易于发生错误的。策略还可以适用于商业合伙人(其中,术语“商业合伙人”可表示网站共同的分组),使得策略系统可提供对一个或多个网站的访问,同时还拒绝对其它网站的访问。还可将策略配置成跨越多个标题。
[0012]此外,在这样的环境中,多个服务可具有访问来自特定内容存储库的内容的能力。例如,示例性在线游戏开发服务可包括每个都可访问存储资源的多个分立服务(例如,成就服务、多玩家会话服务、图像服务等)。同样地,每个服务可包括服务特定的访问策略。在这种情况下,对资源访问策略的更新可涉及到针对这样的服务中的每个单独地更新策略。同样地,不能实现这样的改变可影响开发者的安全和/或用户体验。
[0013]因此,公开了涉及通过将用户和资源分组成策略被应用的相应组来高效地管理基于云的环境(例如,其中将资源和/或访问策略存储在多租户网络可访问位置中的环境)中的资源访问策略。当确定是否许可对服务所访问的内容的访问时,服务可获得关于内容和请求内容的用户的群组成员籍的信息,并且还可获得访问策略信息。与其中针对访问内容的多个服务中的每个服务管理用于单独用户和单独资源的访问策略的典型方法相比,可更高效地维持和更新这样的群组成员籍和策略。
[0014]在更详细地讨论这些实施例之前,对图1进行参考,其示出了描绘用于授权委托人对内容的访问的示例性场景的框图100。如本文所使用的术语“委托人”可指代可以可靠地且安全地用作身份证明的任何唯一标识符。委托人的示例包括但不限于用户识别号、月艮务识别号、设备识别号以及来自客户端平台上的栏外标题的标题识别。图1示出了由第一用户id 104识别的用户形式的第一委托人102、由第二用户id 108识别的用户形式的第二委托人106、作为具有第一设备id 112的设备110的第三委托人以及作为具有第二设备id116的设备114的第四委托人。
[0015]在某些示例性实施例中,委托人可与令牌发行者确立身份证明。在其它实施例中,可不对委托人进行验证、确认等。替代地,可经由私用/公开密钥对来对委托人进行加密。由于可以很容易知道公开密钥,所以这样的配置可使得能够产生被骗委托人,从而潜在地降低总体安全性。然而,由于在某些实施例中潜在委托人的池可能很大(例如,在委托人经由4096随机字节被识别的情况下),所以有效委托人的这样的手动产生可能适当地不太可能。将认识到的是,确立委托人的身份的方法的这些示例出于示例的目的被提出,并且其并不意图以任何方式是限制性的。
[0016]图1还图示出被组织成任意数目N的委托人群组(PG)120和122的委托人。如下面更详细地描述的,可以PG作为最小单元来管理与委托人有关的策略。PG可对应于例如软件开发者(如经由PG 120所示)、β测试用户、注册开发工具包(如经由PG 122所示)和/或任何其它适当的实体或实体类型。虽然所示委托人中的每一个被示为映射到单个PG 120或122,但将认识到的是在不脱离本公开的范围的情况下,特定委托人可映射到多个PG。此夕卜,在某些实施例中,用户和设备可不映射到同一 PG,而在其它实施例中,这样的委托人可映射到同一 PG。将理解的是,可使用任何适当数目的PG来以任何适当方式管理策略。
[0017]图1还图示出被组织成资源集合(RS)132和134的资源130。每个RS 132和134包括分别地在136和138处示出的一个或多个资源身份,其表示哪些资源是相应库的成员。资源130的示例包括但不限于可下载视频游戏二进制文档、供应元数据(例如,广告等)、游戏中统计/成就(例如,漫游用户简档)、声轨音乐、视频、多玩家会话模板等。在某些实施例中,每个资源可包括可用充分唯一的标识来识别的任何适当类型的内容。将理解的是,在某些实例中可在多个RS中包括资源。
[0018]所选RS中的资源可被单个对应服务或者被多个服务访问。此外,可将RS中的资源存储在相同位置或不同位置上。在图1的示例中,将RS示为开发RS 132和PRS 134,但是将理解的是,可以任何其它适当方式来定义RS。
[0019]由于在数字内容的开发中可能使用潜在地大量的资源,所以按群组而不是按单独资源的资源管理可简化用于那些资源的策略的设定和维持。同样地,基于PG成员籍来管理用于委托人的策略对于其中大量的个体可使用内容、从事不同的开发项目或执行其它任务且其中许可可随时间改变的组织而言也可简化策略的设定和维持。
[0020]图1进一步图示出指定哪些PG可关于哪些RS执行什么动作的规则形式的策略140。由策略指定的动作的示例可包括但不限于读、写、删除、更新、管理等。术语“写”可在本文中用来表示其中创建或改变策略的任何动作,包括但不限于创建、更新和删除。
[0021]所述策略可指定用于访问资源的任何适当条件。例如,在图1的示例中,图示出一个示例性策略,其中所述策略指定PG 120的成员可以访问RS I 132中的资源。此外,在某些场景中,超过一个PG中的成员籍可以是用于访问RS中的内容的条件。将理解的是,这些策略是出于示例的目的而提出的,并且可使用任何适当类型的策略以及任何适当数目的策略。
[0022]策略140可被一个或多个服务访问,所述一个或多个服务用来供委托人访问内容。所述服务然后可利