这些指令可以进一步经由网络接口装置608通过网络620来传输或接收。
[0062]虽然计算机可读存储介质628在示例性实施例中显示为单个介质,但术语“计算机可读存储介质”应视为包括存储了一个或多个指令集的单个介质或多个介质(例如,集中式或分布式数据库和/或相关联的缓存和服务器)。术语“计算机可读存储介质”还应视为包括能够存储、编码或携带用于由机器执行且使机器执行本发明的方法的任一者或多者的指令集的任何介质。术语“计算机可读存储介质”应因此视为包括但不限于固态存储器、光学介质以及磁介质。
[0063]本发明的说明书阐述了众多具体细节,诸如特定系统、组件、方法等的示例,以便很好地理解本发明的几个实施例。然而,显而易见的是,对于本领域的技术人员而言,可以在没有这些具体细节的情况下实施本发明的至少一些实施例。在其他情况下,没有详细描述、或者只是以简单的框图格式介绍了熟知的组件或方法,以免不必要地使本发明晦涩难懂。因此,所阐述的具体细节仅仅是示例性的。具体实施可不同于这些示例性细节,但仍被预期为在本发明的范围内。
[0064]在以上描述中,阐述了许多细节。然而,显而易见的是,对于受益于本公开的本领域技术人员而言,可以在没有这些具体细节的情况下实施本发明的实施例。在一些情况下,以框图形式而不是详细地示出了熟知的结构和装置,以避免使描述晦涩难懂。
[0065]详细描述的一些部分以对计算机内存中的数据位的操作的算法和符号表示的方式来呈现。这些算法描述和表示是由数据处理领域的那些技术人员用于将其工作的本质(substance)最有效地传达给本领域的其他技术人员的手段。算法在此通常被构思成达到所需结果的步骤的有条理的序列。步骤是指需要物理量的物理操纵的那些步骤。通常(但不是必须的),这些量采用能够被存储、传输、组合、比较以及以其他方式操纵的电信号或磁信号的形式。已经证明,有时主要出于常见用法的原因,将这些信号称为位、值、元素、符号、字符、项、数等是方便的。
[0066]然而,应该牢记,这些和类似术语中的全部都将与适当的物理量相关联,并且仅仅是应用于这些量的方便标记。除非另有具体说明,否则根据以上讨论显而易见的是,应当理解,在全部描述中,使用诸如“确定”、“识别”、“添加”、“选择”等术语的讨论是指计算机系统或类似电子计算装置的动作和过程,所述电子计算装置将表示为计算机系统的寄存器和内存内的物理(例如,电子)量的数据操纵和转换为类似地表示为计算机系统内存或寄存器或其他此类信息存储、传输或显示装置内的物理量的其他数据。
[0067]本发明的实施例还涉及用于执行本文中操作的设备。该设备可出于所需目的而专门构造,或者其可包括由存储在计算机中的计算机程序选择性地启动或重新配置的通用计算机。此类计算机程序可以存储在计算机可读存储介质中,诸如但不限于包括软盘、光盘、CD-ROM和磁光盘在内的任何类型的磁盘、只读存储器(ROM)、随机存取存储器(RAM)、EPROM、EEPR0M、磁卡或光卡,或适合用于存储电子指令的任何类型的介质。计算机可读存储介质可以是非暂态的。
[0068]本文呈现的算法和展示并不是固有地与任何特定计算机或其他设备有关。各种通用系统可以与按照本文中教导的程序一起使用,或者构造更专用的设备来执行所需的方法步骤可证明是便利的。各种这样的这些系统所需的结构将根据以下描述显现。另外,并未结合任何具体的编程语言来描述本发明。应当理解,可以使用各种编程语言来实施如本文所述的本发明的教导。
[0069]应当理解,上述描述旨在示例性描述,而非限制性描述。在阅读并理解上述描述后,许多其他实施例对于本领域的技术人员而言将是显而易见的。因此,应在参考随附权利要求书的情况下,并连同所述权利要求书有权获得的等效物的全面范围一起,来确定本发明的范围。
【主权项】
1.一种方法,所述方法包括: 接收应用程序访问组织的网络内的资源的请求,其中所述应用程序在所述组织的所述网络外部的用户装置上运行; 识别所述应用程序的用户的用户标识符、所述用户装置的装置标识符和所述应用程序的应用程序标识符; 由处理器确定所述用户标识符、所述装置标识符和所述应用程序标识符的组合是否满足访问策略;以及 如果所述用户标识符、所述装置标识符和所述应用程序标识符的所述组合满足所述访问策略,那么准予所述应用程序访问所述组织的所述网络内的所述资源。2.根据权利要求1所述的方法,其中: 所述应用程序的所述请求包括通过应用程序私有密钥签名的断言中所包含的所述用户标识符、所述装置标识符和所述应用程序标识符;以及 所述方法进一步包括使用来自应用程序供应服务的应用程序公共密钥从所述请求中提取所述用户标识符、所述装置标识符和所述应用程序标识符。3.根据权利要求1所述的方法,其中准予所述应用程序访问所述组织的所述网络内的所述资源包括: 确定哪些云资源可用于用户装置;以及 限制所述用户装置访问所述所确定的云资源。4.根据权利要求1所述的方法,其中确定所述用户标识符、所述装置标识符和所述应用程序标识符的所述组合是否满足所述访问策略包括将与所述请求相关联的所述用户标识符、所述装置标识符和所述应用程序标识符的所述组合与用户标识符、装置标识符和应用程序标识符的有效组合的列表进行比较。5.一种系统,所述系统包括: 访问代理,所述访问代理具有存储器和与所述存储器耦合的处理器,以便: 接收应用程序访问组织的网络内的资源的请求,其中所述应用程序在所述组织的所述网络外部的用户装置上运行; 识别所述应用程序的用户的用户标识符、所述用户装置的装置标识符和所述应用程序的应用程序标识符; 确定所述用户标识符、所述装置标识符和所述应用程序标识符的组合是否满足访问策略;以及 如果所述用户标识符、所述装置标识符和所述应用程序标识符的所述组合满足所述访问策略,那么准予所述应用程序访问所述组织的所述网络内的所述资源。6.根据权利要求5所述的系统,其中: 所述应用程序的所述请求包括通过应用程序私有密钥签名的断言中所包含的所述用户标识符、所述装置标识符和所述应用程序标识符;以及 所述处理器进一步用于使用来自应用程序供应服务的应用程序公共密钥从所述请求中提取所述用户标识符、所述装置标识符和所述应用程序标识符。7.根据权利要求5所述的系统,其中所述处理器用于准予所述应用程序访问所述组织的所述网络内的所述资源,这通过以下步骤完成: 确定哪些云资源可用于用户装置;以及 限制所述用户装置访问所述所确定的云资源。8.根据权利要求5所述的系统,其中确定所述用户标识符、所述装置标识符和所述应用程序标识符的所述组合是否满足所述访问策略包括将与所述请求相关联的所述用户标识符、所述装置标识符和所述应用程序标识符的所述组合与用户标识符、装置标识符和应用程序标识符的有效组合的列表进行比较。9.根据权利要求5所述的系统,所述系统进一步包括: 用户装置,所述用户装置用于: 接收启动应用程序来访问云资源的用户请求; 获得所述应用程序的访问证书,所述访问证书包括用户标识符、装置标识符和应用程序标识符; 通过网络向所述访问代理发送包括所述访问证书和所述云资源的标识符的访问请求;以及 从所述访问代理接收对所述访问请求的响应,所述响应指示所述访问请求已被准予还是被拒绝。10.根据权利要求9所述的系统,其中获得访问证书包括提供用户接口以有助于所述用户标识符、所述装置标识符和所述应用程序标识符中的至少一者的用户输入。11.根据权利要求9所述的系统,其中所述访问请求是通过应用程序私有密钥签名的断言。12.—种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质包括指令,当由处理器执行时,所述指令使得所述处理器执行一方法,所述方法包括: 接收启动应用程序来访问云资源的用户请求; 获得所述应用程序的访问证书,所述访问证书包括用户标识符、装置标识符和应用程序标识符; 通过网络向访问代理发送包括所述访问证书和所述云资源的标识符的访问请求;以及从所述访问代理接收对所述访问请求的响应,所述响应指示所述访问请求已被准予还是被拒绝。13.根据权利要求12所述的非暂态计算机可读存储介质,其中获得访问证书包括提供用户接口以有助于所述用户标识符、所述装置标识符和所述应用程序标识符中的至少一者的用户输入。14.根据权利要求12所述的非暂态计算机可读存储介质,所述处理器进一步用于: 从所述访问代理接收加密密钥; 对所述加密密钥解密;以及 使用所述密钥访问加密的云资源。15.根据权利要求12所述的非暂态计算机可读存储介质,其中所述访问请求是通过应用程序私有密钥签名的断言。
【专利摘要】本发明涉及一种计算机系统,所述计算机系统从用户装置接收访问组织的网络内的资源的请求并且接收与应用程序、用户和所述用户装置相关联的访问证书。所述计算机系统识别应用程序标识符、用户标识符和装置标识符并且确定这些标识符的组合是否满足访问策略。如果所述应用程序标识符、所述用户标识符和所述装置标识符的所述组合满足所述访问策略,那么所述计算机系统准予所述应用程序访问所述组织的所述网络内的所述资源。
【IPC分类】G06F21/62, H04L29/06, G06F21/44
【公开号】CN105074713
【申请号】CN201480011590
【发明人】M·阿德勒, T·J·安德维克, R·科顿, N·鲍普
【申请人】赛门铁克公司
【公开日】2015年11月18日
【申请日】2014年3月14日
【公告号】CA2904748A1, US20140282821, WO2014144700A1