渐进式凭证禁用的制作方法

本公开涉及渐进式凭证禁用。

背景技术：

1、随着当今大量的计算资源，与这些资源有关的用户、所有者和管理员经常限定或限制资源访问。对于这些限制，普遍使用不同类型的凭证来验证和认证尝试访问资源的实体的身份。因此，安全凭证已成为资源访问的组成部分。对于具有共享资源和/或大量用户的大型计算环境(云服务环境和分布式系统)尤其如此。轮换安全凭证以防止对资源的未授权访问是常见的安全实践。然而，对这些实践的挫折是，对安全凭证的改变可能承担运行服务的中断或其他兼容性问题的风险。这些风险通常与通常同时全部禁用要替换的安全凭证的标准实践相结合。

技术实现思路

1、本公开的一个方面提供一种用于渐进式凭证禁用的方法。该方法包括在数据处理硬件处接收用于对资源的访问的请求，该请求包括请求认证符。该方法还包括：由数据处理硬件将请求认证符与和资源相关联的安全凭证进行比较；以及由数据处理硬件确定请求认证符是否满足安全凭证。当请求认证符满足安全凭证时，该方法进一步包括由数据处理硬件基于与安全凭证相关联的请求失败率来准许或拒绝对资源的访问。

2、本公开的实施方式可以包括以下可选特征中的一个或多个。在一些实施方式中，当请求认证符满足安全凭证时，该方法包括：由数据处理硬件确定请求失败率被禁用，并且由数据处理硬件准许对资源的访问。准许或拒绝对资源的访问可以包括：获得随机数；将随机数与和请求失败率相关联的参考数进行比较；以及当随机数满足与参考数的比较时，准许或拒绝对资源的访问。

3、在一些示例中，该方法包括由数据处理硬件确定具有满足该安全凭证的对应请求认证符的接收到的请求的数目满足阈值数目并且实施补救动作。在此，补救动作可以包括：当请求认证符满足安全凭证时准许对资源的访问并且不强制执行与安全凭证相关联的请求失败率。

4、在一些配置中，确定请求认证符是否满足安全凭证包括：由数据处理硬件将请求认证符与和资源相关联的新安全凭证进行比较；由数据处理硬件确定请求认证符满足新安全凭证；以及由数据处理硬件准许对该资源的访问。在此，该方法可以进一步包括：由数据处理硬件确定请求者安全凭证不能满足安全凭证或新安全凭证，并且由数据处理硬件拒绝对资源的访问。

5、在一些实施方式中，安全凭证包括公共密钥或哈希消息认证码(hmac)密钥中的至少一个。请求失败率可能基于时间的函数而增加。请求失败率可以包括满足安全凭证的请求认证符的拒绝计数、满足安全凭证并拒绝对资源的访问的请求认证符的百分比、或满足安全凭证并准许对资源的访问的请求认证符的百分比中的至少一个。该方法还可以包括在数据处理硬件处通过用于安全凭证更新的用户界面接收对资源的选择的指示、新安全凭证与资源的关联、以及对使用安全凭证访问资源的请求的请求失败率。在一些示例中，该方法还包括在数据处理硬件处接收配置成改变请求失败率的失败率变化请求。

6、本公开的另一方面提供一种用于技术领域的方法。该方法包括在数据处理硬件处接收用于对资源的访问的请求，该请求包括请求认证符。该方法还包括由数据处理硬件将请求认证符与和资源相关联的旧安全凭证以及和资源相关联的新安全凭证进行比较。该方法进一步包括由数据处理硬件确定请求认证符是否满足旧安全凭证。当请求认证符满足旧安全凭证时，该方法包括由数据处理硬件基于与旧安全凭证相关联的请求失败率来准许或拒绝对资源的访问。

7、该方面可以包括下述可选特征中的一个或多个。在一些示例中，当请求认证符满足旧安全凭证时，该方法包括由数据处理硬件确定请求失败率被禁用，并且由数据处理硬件准许对资源的访问。准许或拒绝对资源的访问可以包括：获得随机数；将随机数与和请求失败率相关联的参考数进行比较；以及当随机数满足与参考数的比较时，准许或拒绝对资源的访问。

8、在一些配置中，该方法包括由数据处理硬件确定具有满足旧安全凭证的对应请求认证符的所接收到的请求的数目满足阈值数目并实施补救动作。补救动作可以包括：当请求认证符满足旧安全凭证时，准许对资源的访问；并且不执行与旧安全凭证相关联的请求失败率。

9、确定请求认证符是否满足旧安全凭证可以包括：由数据处理硬件确定请求认证符满足新安全凭证，和由数据处理硬件准许对资源的访问。该方法还可以包括：由数据处理硬件确定请求认证符无法满足旧安全凭证或新安全凭证，以及由数据处理硬件拒绝对资源的访问。旧安全凭证或新安全凭证可以包括公共密钥或哈希消息认证码(hmac)密钥中的至少一个。

10、在一些示例中，请求失败率基于时间的函数而增加。请求失败率可以包括下述中的至少之一：满足旧安全凭证的请求认证符的拒绝计数；满足旧安全凭证并且拒绝对资源的访问的请求认证符的百分比；或满足旧安全凭证并准许对资源的访问的请求认证符的百分比。可选地，该方法可以包括：在数据处理硬件处，通过用于安全凭证更新的用户界面接收对资源的选择的指示、新安全凭证与资源的关联、以及对使用旧安全凭证访问资源的请求的请求失败率。

11、本公开的另一方面提供一种用于渐进式凭证禁用的方法。该方法包括在数据处理硬件处接收对资源的访问请求。该请求包括请求认证符。该方法还包括由数据处理硬件将请求认证符与和资源相关联的旧安全凭证以及和资源相关联的新安全凭证进行比较。当请求认证符满足旧安全凭证时，该方法进一步包括基于与旧安全凭证相关联的请求失败率来准许或拒绝对资源的访问。当请求认证符满足新安全凭证时，该方法包括准许对该资源的访问。当请求认证符无法满足旧安全凭证和新安全凭证时，该方法包括拒绝对资源的访问。

12、该方面可以包括下述可选特征中的一个或多个。在一些实施方式中，准许或拒绝对资源的访问包括获得随机数、将随机数与和请求失败率相关联的参考数进行比较、以及当随机数满足与参考数的比较时准许或拒绝对资源的访问。

13、在一些示例中，该方法包括由数据处理硬件确定具有满足旧安全凭证的对应请求认证符的接收到的请求的数目满足阈值数目并实施补救动作。在此，补救动作可以包括：当请求认证符满足旧安全凭证时准许对资源的访问；并且不强制执行与旧安全凭证相关联的请求失败率。可选地，失败率可以包括下述中的至少一个：满足旧安全凭证的请求认证符的拒绝计数；满足旧安全凭证并且拒绝对资源的访问的请求认证符的百分比；或满足旧安全凭证并准许对资源的访问的请求认证符的百分比。

14、在一些配置中，该方法包括在数据处理硬件处从多个用户中确定与用于对资源的访问的请求相关联的用户，所述多个用户中的至少一个用户与安全策略相关联，安全策略包括与旧安全凭证相关联的请求失败率。在此配置中，该方法还包括在数据处理硬件处确定与该请求相关联的用户对应于安全策略，以及当请求认证符满足旧安全凭证时由数据处理硬件基于与安全策略相关联的请求失败率来准许或拒绝对该资源的访问。

15、本公开的另一方面提供了一种用于渐进式凭证禁用的方法。该方法包括在分布式系统处通过用于安全凭证更新的可编程接口接收对资源的选择的指示，该资源具有相关联的旧安全凭证。该方法还包括在分布式系统处接收新安全凭证与资源的关联。该方法进一步包括在分布式系统处接收对使用旧安全凭证访问资源的请求的请求失败率。分布式系统被配置成响应于接收到具有满足旧安全凭证的对应请求认证符的给定请求强制执行用于准许或拒绝对资源的访问的请求失败率。

16、可选地，该方法包括在分布式系统处接收与至少一个系统健康度量相对应的健康度量信息和补救动作。补救动作被配置成补救至少一个系统健康度量。该方法可以进一步包括由分布式系统确定至少一个系统健康度量指示补救。该方法还可以包括由分布式系统实施补救动作。

17、该方面可以包括下述可选特征中的一个或多个。在一些示例中，该方法包括在分布式系统处接收失败率分度，该失败率分度导致失败率基于时间的函数而增加。

18、在一些实施方式中，分布式系统被配置成执行操作，该操作包括接收用于对资源的访问的给定请求，该给定请求包括请求认证符，以及将请求认证符与和资源相关联的旧安全凭证以及和资源相关联的新安全凭证进行比较。当请求认证符满足旧安全凭证时，操作可以包括基于与旧安全凭证相关联的请求失败率来准许或拒绝对资源的访问。当请求认证符满足新安全凭证时，操作可以包括准许对资源的访问。当请求者安全凭证不能满足旧安全凭证和新安全凭证时，操作可以包括拒绝对资源的访问。

19、在附图和以下描述中阐述本公开的一种或多种实施方式的细节。根据描述和附图以及从权利要求书，其他方面、特征和优点将是显而易见的。