用于促进对资源的动态的基于上下文访问控制的机制的制作方法
【技术领域】
[0001] 本文中描述的实施例总体关于计算机编程。更具体而言,实施例关于用于促进对 资源的动态的基于上下文的访问控制的机制。
【背景技术】
[0002] 现有的访问控制管理系统是使用基于对用户和/或计算设备身份和权限的操作系 统抽象的访问控制策略来建立的,诸如,,可依据操作系统账户名来表达用户的身份。类似 地,资源是使用对文件和文件夹的操作系统抽象来标识的,并且权限通常被表达为与资源 相关联的读取、写入和执行特权。此外,在单机操作系统上建立的基于云的服务已经尝试将 旧式访问管理系统延伸为云范式,但是,由于在指定准许访问的上下文、控制强制访问的时 刻等方面的无能为力,在云服务上输入高度敏感的内容仍然面临很大的阻力。
[0003] 现有的访问控制管理系统和网络安全基础设施容易出错且低效,因为它们由于缺 乏定制的特征和智能而在性能和安全方面受限。
【附图说明】
[0004] 在所附附图的图中W示例而非限制阐释实施例,在附图中,同样的标号表示类似 的元件。
[0005] 图1阐释根据一个实施例的、在计算设备处采用的基于上下文的访问控制机制。
[0006] 图2阐释根据一个实施例的、基于上下文的访问控制机制。
[0007] 图3A阐释根据一个实施例的、用于促进对资源访问的基于上下文的控制的方法。 [000引图3B阐释根据一个实施例的、用于促进对资源访问的基于上下文的控制的事务序 列。
[0009] 图3C阐释根据一个实施例的、用于促进对资源访问的基于上下文的控制的事务序 列。
[0010] 图4阐释根据一个实施例的、适用于实现本公开的实施例的计算机系统。
【具体实施方式】
[0011] 在下列描述中,陈述了众多特定的细节。然而,可W在不具有运些特定的细节的情 况下来实践本文中描述的实施例。在其他实例中,未详细地示出公知的电路、结构和技术, W免使对本描述的理解含糊。
[0012] 实施例提供对资源的访问控制的动态的基于上下文的管理,其中,可W在促进访 问一个或多个资源之前收集多个维度的客户机/用户上下文。运些多个维度可W包括但不 限于,用户标识和/或认证、设备标识和/或认证、用户存在监视、用户和/或用户的平台的位 置、在用户和/或用户的设备的附近或周围的其他个体的存在,等等。资源可W包括各种项, 诸如,任何数量和类型的数据、文件、文件夹、信息、设备、实体财产(例如,商业建筑、家庭 等),等等。例如,寻求对资源的访问可W设及:用户寻求访问包括相关数据的文件,或想要 得到访问办公室建筑的权限,等等。实施例进一步提供采用资源访问决策和接入点来评估 前述的上下文,其中,此类点可W在担当主机的单个计算设备,或可W在企业或其他特定的 服务器计算机处跨网络(例如,云网络)而分布,或在可W访问资源的位置处,或上述情况的 组合。在一个实施例中,可W延伸决策和实施点W将例如客户机上下文合并为用于访问一 个或多个资源的条件。
[0013] 尽管出于简单、清晰和易于理解的目的可能贯穿本文档讨论一个或多个示例,但 是构想了实施例不限于任何特定的数量和类型的资源、或对资源或设备或用户的访问形式 等。类似地,实施例不限于任何特定的网络安全基础设施或协议(例如,单点登录基础设施 和协议),并且可W兼容将被延伸并与新颖的基于上下文的访问能力一起使用的任何数量 和类型的网络安全基础设施和协议,诸如,安全断言标记语言(SAML)、0Auth(开放授权)、 Kerberos 等等。
[0014] 图1阐释根据一个实施例的、在计算设备处采用的基于上下文的访问控制机制。计 算设备100充当用于采用基于上下文的访问控制机制("访问控制机制"HlO的主机。计算设 备100可W包括大型计算系统(诸如,服务器计算机、台式计算机等),并且还可W包括机顶 盒(例如,基于因特网的有线电视机顶盒等)、基于全球定位系统(GPS)的设备等。计算设备 100可W包括移动计算设备,诸如,蜂窝电话(包括智能电话(例如,苹果⑥的iPhone成、运 动研究公司(Research in Motion)够的黑霉等))、个人数字助理(PDA)、平板计算机(例 如,苹果⑥的iPad?、H星⑥脚Gala巧細等)、膝上型计算机(例如,笔记本、上网本、超极 本TM等等)、电子书(例如,亚马逊疯的Kindle饭、虹Tnes and Nobles⑩的Nook?等),等等。
[0015] 计算设备100包括充当在计算机设备100的任何硬件或物理资源与用户之间的接 口的操作系统(0SH06。计算设备100还包括一个或多个处理器102、存储器设备104、网络设 备、驱动器等,W及输入/输出(1/0)源1〇8(诸如,触摸屏、触摸平板、触控板、虚拟或常规键 盘、虚拟或常规鼠标等)。应当注意,贯穿本文档,可W可互换地使用类似"节点"、"计算节 点"、"服务器"、"服务器设备"、"云计算机"、"云服务器"、"云服务器计算机"、"机器""主 机"、"设备"、"计算设备"、"计算机"、"计算系统"等的术语。还应当注意,贯穿本文档,可W 可互换地使用类似"应用"、"软件应用"、"程芹'、"软件程芹V'包"和"软件包"之类的术语。 类似地,贯穿本文档,可W可互换地使用类似"作业"、"输入"、"请求"和"消息"之类的术语。
[0016] 图2阐释根据一个实施例的、基于上下文的访问控制机制110。在一个实施例中,基 于上下文的访问控制机制110可W包括许多组件,诸如:接收逻辑202;认证逻辑204;资源管 理器206,其包括访问请求器208、策略实施点210和资源/策略返回逻辑212;策略决策点 214,其包括评估逻辑216和决策/返回逻辑218;策略维护和公布逻辑220; W及通信/兼容性 逻辑222。可W在诸如图1的计算设备100之类的主机处主管访问控制机制110,并且此访问 控制机制110可W与用于维护任何数量和类型的资源、策略、数据、原始文件、分布式文件系 统和云存储等的一个或多个资源、策略和数据源(诸如,资源、策略和数据源("数据源") 225)通信,并且可通过一个或多个网络(诸如,网络230(例如,云网络、因特网、诸如蓝牙之 类的邻近网络等))来与一个或多个计算设备例如计算设备240(诸如,客户机计算设备,诸 如,移动计算设备(包括智能电话、平板计算机、膝上型计算机等))通信。在一些实施例中, 访问控制机制110可W通过一个或多个网络(诸如,网络230),跨计算设备或节点而分布;例 如,如图所示,PDP 214可W与资源管理器206共同定位,或可W跨多个计算节点而分布。
[0017] 在一个实施例中,计算设备240可W包括客户机计算设备,此客户机计算设备位于 远程,并且通过诸如网络230之类的一个或多个网络来与采用访问控制机制110的主机通 信。在一些实施例中,计算设备240可W包括或充当服务器/主机计算设备(诸如,图1的计算 设备100)的延伸,从而也采用了访问控制机制110的其他组件,诸如,组件202-222。如图所 示,计算设备240包括任何数量和类型的组件,诸如,音频/可视设备242(例如,相机、话筒、 扬声器等)、上下文知晓的传感器244(例如,溫度传感器、与音频/可视设备242的一个或多 个相机一起工作的面部表情和特征测量传感器、环境传感器(诸如,用于感测背景颜色、光, 等等)、生物测定传感器(诸如,用于检测指纹等)、用户日历阅读器等)、资源请求器246、可 信执行环境(T邸)逻辑252和通信逻辑254。可W分开地采用T邸逻辑252,或者TCE逻辑252可 W是资源请求器246和/或I/O子系统等的部分。计算设备240也可W包括一个或多个软件应 用,诸如,提供一个或多个用户界面的软件应用248(例如,商业应用、网站等),一个或多个 用户界面诸如,用户界面250(例如,web用户界面(WUI)、图形用户界面(GUI)、触摸屏,等 等)。计算设备240还可W包括用于存储数据并对数据高速缓存的一个或多个本地存储介 质/设备和/或存储器,诸如,本地存储设备256。
[0018] 在一个实施例中,访问控制机制110促进基于上下文的访问管理系统提供平台能 力,W便基于按需的上下文知晓的用户和/或设备凭证来发布策略,所述按需的上下文知晓 的用户和/或设备凭证用于对经由数据源225而提供的资源的安全访问。例如,如果计算设 备240的用户希望访问资源(例如,浏览安全文件W便得到数据、进入安全办公室建筑,等 等),则可W分别经由通信逻辑254和通信/兼容性逻辑222将对访问资源的此请求从资源请 求器246传递至接收逻辑202。然而,在一个实施例中个,在传递此请求之前,资源请求器246 促进传感器244收集和/或监视与用户、计算设备240和/或一个或多个其他用户和/或计算 设备有关的上下文知晓的数据。
[0019] 可W连续地、周期性地(例如,在达到预先确定的时间段后)和/或在检测到事件 (例如,用户访问建筑的口 口附近的面板(例如,计算设备240) W访问此建筑物)时等情况下 来执行对上下文知晓的数据的收集和/或监视。在一个实施例中,传感器244可W包括配置 为用于感测与计算设备240的用户、设备、环境和/或事物等有关的各种特性的设备。例如, 在一些实施例中,传感器244可W包括用于感测计算设备240的用户的物理属性(例如,指 纹、面部特征/测量、语音模式、视网膜图案等)和/或行为特性(例如,肢体移动、视觉聚焦模 式、眼球运动、键输入的速度和强度,等等)。例如,传感器244可W与音频/可视设备242-起 工作和/或促进音频/可视设备242检测并监视一些特性,诸如,使用相机来检测用户的面部 特征(诸如,用户的眼睛之间的距离等),使用话筒来检测用户的语音模式,等等。在一些实 施例中,此类传感器244可用于向计算设备240认证用户,并且在一些实施例中,可W由认证 逻辑204使用由传感器244收集的此类数据来认证此用户和/或计算设备240和/或经由计算 设备240来访问访问控制机制110的其他用户。
[0020] 类似地,传感器244可W包括配置为用于接近度检测的设备,W便检测例如用户或 由接近计算设备240或与计算设备240交互的用户携带的物理标签或令牌(例如,蓝牙标签、 近场通信标签、体域网(BAN)标签、射频标识标签等)的接近度。例如,传感器244可W包括其 他设备,诸如,用于感测用户携带和/或移动计算设备240的一个或多个加速度计。构想了并 非所有的传感器和/或音频/可视设备都可W是计算设备240的部分或者合并在计算设备 240内,并且一个或多个传感器和/或音频/可视设备可W在计算设备240外部或可与计算设 备分开。
[0021] 在一个实施例中,想要访问资源的用户可W经由通过软件应用248提供的用户界 面250来置入对利用计算设备240来访问资源的请求。由资源请求器246代表用户收集收集 此请求,并且此请求被传递至访问控制机制110处的接收逻辑202W供处理。在一个实施例 中,资源请求器246可W具有或可W没有满足适用的访问策略和/或质疑准予资源请求所需 要的上下文的数量或类型的先验知识。此外,资源请求器246可W用于支持选择加入(opt-in)隐私语义,并且通过拒绝公开可能不必要地使得用户处于风险的上下文来强制执行用 户隐私要求。此外,在一个实施例中,资源请求器246可W包括可W从中收集上下文数据的 多个用户设备和/或个人云服务。
[0022] 在一个实施例中,计算设备240还可W包括TEE逻辑252,可