专利名称:合作的基于规则的安全的制作方法
技术领域:
本公开一般涉及数据处理系统,并特别涉及针对合作的基于规则的安全的方法、计算机程序产品和设备。更特别地,本公开涉及关于云计算系统的合作的基于规则的安全的 方法、计算机程序产品和设备。
背景技术:
云计算指以相似于电网的方式在互联网上根据要求向客户端提供计算资源、软件和信息。云计算系统服务可以包括但不限于数据即服务(DAAS)、软件即服务(SAAS)、平台即服务(PAAS)、基础架构即服务(IAAS)和网络即服务(NAAS)。云计算服务使客户端能够购买对计算服务的访问,该计算服务在云计算系统供应商拥有并维护的计算机硬件和软件上被支持。云计算服务用户能够仅购买其需要的那些云计算服务,而没有购买并维护支持这些服务所必需的硬件、软件和信息技术的负担。云计算使用户能够从远程计算站点经由互联网容易地访问云计算服务。用户通常通过使用户能够访问云计算系统软件和应用程序的web浏览器来访问云计算服务,就像是软件、应用程序和其它数据被本地安装在用户自己的计算机上一祥。由于云计算系统变得更容易获得并且对云计算系统服务的需求增加,因此对这些服务的更快、更有效、可靠且安全访问的需要变得愈加重要。因此,具有考虑上面讨论的问题中的ー个或更多以及其它可能问题的方法和设备是有利的。
发明内容
本公开的有利实施例提供云计算安全系统。访问管理器模块包括第一和第二客户端配置。第一客户端配置具有使得能够访问第一组云计算系统资源的第一组规则,并且第ニ客户端配置具有使得能够访问第二组云计算系统资源的第二组规则。安全逻辑模块与访问管理器模块通信。安全逻辑模块经设置而接收访问第一和第二组云计算系统资源中ー组的访问请求。响应确定该访问请求符合第一组规则和第二组规则中的至少ー组规则,安全逻辑模块经设置而提供许可访问第一和第二组云计算系统资源中的至少ー组的访问许可。有利实施例也提供实施云计算系统安全的方法,该方法通过处理器实施。针对与请求者相关联的一组规则来评估对至少ー个云计算系统资源的访问请求,从而判定访问请求对该组规则的合规性。响应对合规性的确定,许可请求者访问所述至少一个云计算系统资源。有利实施例也提供云计算设备。云计算设备包括安全逻辑模块。云计算设备包括与安全逻辑模块通信的访问管理器模块,其中访问管理器模块经设置而从客户端装置接收访问至少ー个云计算系统资源的访问请求。云计算设备包括请求验证器模块,该请求验证器模块可操作地耦合到访问管理器模块,并经设置而判定访问请求是否为有效请求以及与客户端装置相关联的请求者是否为利用安全逻辑模块的有效候选者。访问管理器模块包括多个客户端配置,所述多个客户端配置中的每个客户端配置都具有一组规则,其定义客户端装置对所述至少ー个云计算系统资源的亚群组/粒度访问(granular access)。当确定请求符合该组规则,则提供访问许可。云计算设备包括关联定义模块,该关联定义模块经设置而建立符合访问许可的模型网络资源关联。特征、功能和优点可在本公开的各种实施例中被独立实现,或可在其它有利实施例中被结合,其中进ー步详情參考下面描述和附图可见。
被认为是有利实施例特有的新颖特征在权利要求中阐述。然而,有利实施例及其使用的优选模式、进ー步目标和优点将參考本公开有利实施例的下面详细描述在结合附图阅读时最优理解,其中图I是其中可实施有利实施例的云计算系统的框图;图2是图解根据有利实施例的具有一组云服务客户端的云计算系统的图示;图3是图解根据有利实施例的云计算系统的框图;图4是图解根据有利实施例的安全逻辑模块的框图;图5是根据有利实施例的数据处理系统的图解;图6是图解根据有利实施例的云计算系统安全逻辑模块的过程的流程图;以及图7是根据有利实施例的云计算服务安全的过程流程图的图解。
具体实施例方式有利实施例认识到云计算系统服务的供应商需要安全装置从而向可靠且有效的客户端输送访问。有利实施例认识到日益需要针对客户端访问云计算系统资源的更高的安全性和控制。
现在參考图1,根据有利实施例示出云计算系统。云计算系统或设备100是经由互联网向客户端提供云计算系统服务的系统或设备。云计算系统或设备100可被认为是云计算安全系统。云计算系统或设备100可以被实施为具有客户端可利用的计算资源的系统。这样的资源的例子包括但不限于云计算系统资源组102。云计算系统或设备100也可以如下面进ー步描述使用数个模块被实施。如在此使用,术语“模块”指代经设置以执行相应功能(例如下面表示的功能)的计算机硬件、软件或其结合中的任ー种。以经计算实现云计算系统或设备100的功能的方式,模块可以是其它模块的一部分或被连接到其它模块,如下所述。云计算系统资源组102是ー个或更多个云计算系统资源构成的组。在云计算系统资源组102内的云计算系统资源可以包括但不限于数据即服务(DAAS) 102A、平台即服务(PAAS) 102B、软件即服务(SAAS) 102C、基础架构即服务(IAAS) 102D、网络即服务(NAAS) 102E或可通过云计算系统提供的任意其它服务。云计算系统资源组102可以被认为是彼此区别的多个云计算系统资源组。因此,例如云计算系统资源组102可以包括第一组云计算系统资源102F和第二组云计算系统资源102G。第一和第二组云计算系统资源102F和102G可以包括上面描述的服务中的任意服务或者其它资源。第一和第二组云计算系统资源102F和102G可以是相同的资源组,或可以是不同的资源组。为与客户端配置例如第一客户端配置107和第二客户端配置108相关联,第一和第二组云计算系统资源102F和102G可以是资源的逻辑排列。在该例子中,访问管理器模块104是云计算系统组件,其用于管理访问云计算系统资源组102中至少ー个云计算系统资源的客户端请求。访问管理器模块104可以包括但不限于多个客户端配置105。多个客户端配置105被示为具有第一客户端配置107和第二客户端配置108。然而,多个客户端配置105可包括更多的客户端配置,或者在可替代优选实施例中可以仅包括一个客户端配置。
在多个客户端配置105中的每个客户端配置都包括ー组规则。如在此使用,除非在此另外定义,否则术语“组”指代一个或更多个项目。例如,第一客户端配置107包括第一组规则106,并且第二客户端配置108包括第二组规则110。第一组规则106和第二组规则110中的每个都可以包括单个规则,或者两条或更多规则。第一和第二组规则中的每个都使得能够访问云计算系统资源组102中的ー个或更多资源。因此,例如,第一组规则106可以使得能够访问第一组云计算系统资源102F,并且第二组规则110可以使得能够访问第ニ组云计算系统资源102G。这两个云计算系统资源组可以相同或可以不同。在有利实施例中,访问管理器模块104可維持与请求者119相关联的ー种配置(例如第一客户端配置107)。对应规则组(例如规则组106)可定义对云计算系统资源组102中至少ー个云计算系统资源的粒度访问。在实施例中,对云计算系统资源组102的访问可以构成粒度访问。粒度访问指代对资源的离散访问,其中对具体云计算资源的访问被隔离到特定请求者和具体网络服务供应商。粒度访问使得能够隔离请求者对实体和逻辑云计算系统资源的访问、对具体云计算资源的各部分进行访问以及对云计算系统100上可用数据的访问进行离散限制。例如但不限于,安全逻辑模块112容许对例如电子邮件服务器的资源的用户访问。通过多个客户端配置105中的规则定义的粒度访问可以限制用户访问该电子邮件服务器上的具体电子邮件账户,或者甚至限制用户向选定的接收组群发电子邮件。同样,粒度访问可以用来控制数据访问和/或限制在访问云计算系统100上的合作资源的用户之间的数据共享。因此,例如,粒度访问可以用来限制使用相同网络作为服务资源或相同数据作为服务资源的用户之间的数据共享。安全逻辑模块112应用ー组规则,例如第一或第二组规则106或110,从而使得能够实现请求访问ー个或更多云计算系统资源的各种用户的粒度访问。这些各种用户可以是一个或更多用户,包括人类用户、来自硬件组件的请求、来自软件组件的请求或其结合,该一个或更多用户中的任意用户都可以被认为是请求者119。安全逻辑模块112可以是“安全即服务”(SECaaS)的合作的、基于规则的安全逻辑组件。为了向客户端提供的访问的粒度,安全逻辑模块112向云计算系统100内的资源应用基于规则的准则。安全逻辑模块112应用规则(例如第一组规则106),从而判定可使具体客户端获得哪些硬件和/或软件云计算系统资源,以及判定云计算系统平台硬件和软件资源的可用性。在实施例中,安全逻辑模块112的特征可以在于与访问管理器模块104通信。安全逻辑模块112可经设置以接收访问第一和第二组云计算系统资源102F或102G中的ー组的访问请求114。安全逻辑模块112可进ー步经设置以判定访问请求114是否符合第一组规则106和第二组规则110中的至少一組。如果访问请求114符合第一和第二组规则中的至少ー组,那么安全逻辑模块112经设置以提供许可访问第一和第二组云计算系统资源102F或102G中至少ー组的访问许可134。访问许可134可以采取通知132的形式,或可以是通知132的一部分。访问许可134可以替代地采取接收由云计算系统资源组102中一个或更多个发出的质询的形式。在此描述的有利实施例构想出,访问许可134可以与通知132或质疑接受中任意一者相关联。因此,术语“访问许可”不应该被认为由实际上怎样实现访问来限制。安全逻辑模块112基于安全逻辑隔离对基于硬件和软件的云计算服务的客户端访问。安全逻辑模块112从与请求者119相关联的客户端装置118接收访问ー个云计算系统资源组102的访问请求114。客户端装置118可以被实施为任何类型的数据处理系统,例如但不限于在下面图5中示出的数据处理系统500。客户端装置118是与请求访问云计算系统资源组102中至少ー个云计算系统资源的请求者119相关联的计算装置。请求者119请求访问在云计算系统100上可获得的物理和/或逻辑资源,例如云计算系统资源组102。请求者119可以是云计算系统或设备100外部的用户。请求者119可以是实体,例如但不限于个人、组织或任何其它类型的实体。在该例子中,客户端装置118是与第一客户端配置107相关联的远程云计算服务客户端。客户端装置118正请求访问由云计算系统或设备100提供的云计算系统资源组 102。云计算系统资源组102可以包括是在云计算系统100上可获得的硬件资源、软件资源的资源,或者是在云计算系统100上可获得的硬件和软件资源结合的资源。访问请求114经与客户端装置118相关联的网络服务120发送到云计算系统100。请求验证器模块122判定访问请求114是否为有效请求。在有利实施例中,请求验证器模块122可以经设置以比较访问请求114与第一和第二组规则106和110中的至少一組,以确定访问请求114相对于这些规则的合规性。在有利实施例中,请求验证器模块122进ー步经设置以询问访问请求114,并判定与访问请求114相关联的请求者119是否为利用安全逻辑模块112的有效候选者。同样,请求验证器模块122可以进ー步经设置以询问访问请求114,以判定与访问请求114相关联的网络服务是否为利用安全逻辑模块112的有效候选者。请求验证器模块122可以询问访问请求114,以判定客户端装置118是否为访问云计算系统资源组102的有效候选者。请求验证器模块122也可以询问访问请求114,以判定与客户端装置118相关联的网络服务120是否为访问云计算系统资源组102的有效候选者。配置合规性模块124针对与第一客户端配置107相关联的第一组规则106评估访问请求114,以判定访问请求114是否符合第一组规则106。在例子中,第一组规则106可以指定客户端装置118可利用第三层和第二层计费软件服务,但客户端装置118不可利用顶层计费软件。如果访问请求114不符合第一组规则106,那么安全逻辑模块112拒绝对客户端装置118的访问。換言之,如果第一组规则106中的任ー规则不容许客户端装置118访问和/或利用云计算系统资源组102,那么安全逻辑模块112就不授权访问请求114。响应确定访问请求114符合第一组规则106,关联定义模块126建立遵从访问许可134的模型网络资源关联128。模型网络资源关联128是云计算系统资源组102到客户端装置118的关联。关联定义模块126修改客户端装置118的第一客户端配置107,从而适应模型网络资源关联128。关联定义模块126可以创造或維持网络服务关联定义129。因此,在有利实施例中,响应对访问请求114的评估以及 确定符合一组规则(例如第一组规则106),关联定义模块126可以建立模型网络资源关联128,从而形成网络服务关联定义129。同样,响应对访问请求114的评估,访问管理器模块104可以修改在多个客户端配置105中的与请求者119相关联的配置(例如第一客户端配置107),从而包括网络服务关联定义129。该功能也可以通过关联定义模块126执行。在有利实施例中,至少ー个云计算系统资源可以是网络即服务,例如网络即服务102E。在此情况下,安全逻辑模块112可以使得能够在通过网络即服务102E访问的合作环境102H中粒度访问共享数据1021。通知准备模块130生成对客户端装置118的通知132。通知132可以传输表示接受访问请求114的访问许可134或者表示拒绝访问请求114的访问拒绝136。在图I中示出的ー些、部分或全部组件可以被认为是计算机处理装置或数据处理装置。图I意图作为ー个例子,并且不作为针对不同有利实施例的架构限制。图2是根据有利实施例的具有一组云服务客户端的云计算系统。云计算系统或设备200是云计算系统,例如在图I中的云计算系统100。图2意图作为ー个例子,并且不作为针对不同有利实施例的架构限制。云计算系统或设备200可以包括但不限于硬件、软件和/或湿件。与云计算系统或设备200相关联的硬件可以包括任何类型的硬件,例如但不限于服务器、路由器、硬盘驱动器、处理器、ニ级数据存储装置以及任何其它类型的计算机硬件。云计算系统或设备200可以利用一种或更多种网络架构,例如但不限于互联网、外部网、以太网、内部网、局域网(LAN)、虚拟专用网、周边网和/或任何其它类型的网络。云计算系统或设备200可以提供任何类型的云服务,例如但不限于数据即服务、软件即服务、平台即服务、基础架构即服务、网络即服务或可通过云计算系统提供的任何其它服务。在该例子中,云计算系统或设备200经由互联网连接向客户端A202、客户端B204和客户端C206提供服务。在该例子中,云计算系统或设备200仅向三个客户端提供服务。然而,云计算系统200可以经由互联网向任何数量的客户端提供服务。图3是图解根据有利实施例的云计算系统的框图。云计算系统或设备300可以被实施为经由互联网向客户端提供服务的任何类型的联网数据处理系统,例如但不限于在图I中的云计算系统或设备100和在图2中的云计算系统或设备200。基础架构即服务302可以向客户端提供作为平台虚拟化环境的计算机基础架构来作为服务。基础架构即服务302可以向客户端提供对云计算系统或设备300上维护和支持的服务、软件和数据的访问。基础架构即服务302的例子可以是网络即服务304。网络即服务304可以根据需求向远程客户端提供对网络资源的访问。这样,云计算系统300可以向客户端提供网络资源和网络管理服务。平台即服务306可以向客户端输送计算机平台服务。平台指代允许软件运行的硬件架构和软件框架。平台即服务306经由互联网或其它网络连接向客户端提供运行软件的虚拟化平台。 数据即服务308根据需求向远程客户端提供数据。数据即服务308降低与数据存储装置、数据组织和数据备份相关联的客户端成本。软件即服务310经由互联网或其它网络向远程客户端输送对软件的访问。远程客户端访问并利用软件而不在远程客户端所利用的本地计算机上安装或运行该软件。返回基础架构即服务302,网络即服务304的例子可以是安全逻辑模块312。安全逻辑模块312是基于规则的逻辑模块,其用于控制和管理对云计算系统300服务的访问,例如但不限于在图I中的安全逻辑模块112。安全逻辑模块312基于约定义务来控制发出请求的客户端对服务的访问,该约定义务采取含有规则组316的配置组314的形式。配置组314是由ー个或更多个客户端配置构成的组,例如但不限于在图I中的多个客户端配置105。在该例子中,配置组314在安全逻辑模块312内被实施。然而,配置组314可以被存储在安全逻辑模块312可访问的且独立于安全逻辑模块312实施的数据库或其它数据存储装置内。配置组314包括规则组316,其描述了被应用于基于商业逻辑、合同、关系以及任何其它标准而请求访问云计算系统服务的客户端的离散且粒度的访问。客户端可以通过安全逻辑模块312请求访问,从而通过网络即服务304来访问与实体装置和/或逻辑装置相关联的服务,其中所述实体装置和/或逻辑装置关联于云计算系统300。通过安全逻辑模块312访问在网络即服务304中所包含的实体装置和/或逻辑装置会许可对云计算系统资源和数据的安全访问。同样,可以实施安全逻辑模块312从而使得能够粒度访问通过网络即服务访问的云计算系统资源组中的合作环境中的共享数据。在图3中示出的ー些、部分或全部组件可以被认为是计算机处理装置或数据处理装置。图3意图作为ー个例子,并且不作为针对不同有利实施例的架构限制。图4是图解根据有利实施例的安全逻辑模块的框图。安全逻辑模块400可以被实施为基于规则的安全逻辑组件,例如在图I中的安全逻辑模块112和在图3中的安全逻辑模块312。安全逻辑模块400经由互联网406从与网络供应商404相关联的客户端402接收访问云计算服务的请求。安全逻辑模块400基干与客户端402相关联的规则允许客户端402访问与云计算系统相关联的服务。安全逻辑模块400控制客户端402对网络即服务408中所包含的实体装置和/或逻辑装置的访问。客户端402中的一个或更多个客户端可以被分配网络即服务408中的參与者地址空间410。在图4中示出的ー些、部分或全部组件可以被认为是计算机处理装置或数据处理装置。图4意图作为ー个例子,并且不作为针对不同有利实施例的架构限制。现在转到图5,根据有利实施例示出数据处理系统的图解。数据处理系统500可以是在云计算系统(例如在图I中的云计算系统100、在图2中的云计算系统200和在图3中的云计算系统300)内的数据处理系统。数据处理系统500也可以被实施为客户端计算机,例如在图2中的客户端202-206或在图4中的客户端402中的客户端。
在该例子中,数据处理系统或设备500包括通信结构502,通信结构502提供在处理器单元504、存储器506、永久性存储器508、通信单元510、输入/输出(I/O)单元512和显示器514之间的通信。处理器504用于执行可被加载到存储器506内的软件的指令。根据具体实施方式
,处理器504可以是数个处理器、多处理器核心或ー些其它类型的处理器。如关于条目在此使用的数个意味着一个或更多个条目。进ー步地,处理器単元504可以使用数个异类处理器系统被实施,其中主处理器与ニ级处 理器一起存在于单个芯片上。作为另一例子,处理器単元504可以是含有相同类型的多个处理器的对称多处理器系统。存储器506和永久性存储器508是存储装置516的例子。存储装置是能够存储信息的任意硬件部分,所述信息例如但不限于数据、功能形式的程序代码以及/或者暂时的和/或永久的其它合适信息。在这些例子中存储装置516也可以被称为计算机可读存储装置。存储器506可以例如但不限于是随机访问存储器或任何合适的易失或非易失存储装置。根据具体实施方式
,永久性存储器508可以采取各种形式。例如,永久性存储器508可以包含一个或更多个组件或装置。例如,永久性存储器508可以是硬盘驱动器、闪存、可重写光盘、可重写磁带或上述的某个组合。永久性存储器508所使用的介质也可以是可移除的。例如,可移除的硬盘驱动器可以用于永久性存储器508。在这些例子中,通信単元510提供与其它数据处理系统或装置的通信。在这些例子中,通信単元510是网络接ロ卡。通信単元510可以通过使用实体或无线通信链接中的一者或两者来提供通信。输入/输出单元512允许使用可连接到数据处理系统或设备500的其它装置来输入和输出数据。例如,输入/输出单元512可以为通过键盘、鼠标和/或某个其它合适的输入装置的用户输入提供连接。进ー步地,输入/输出单元512可以向打印机发送输出。显示器514提供向用户显示信息的机构。操作系统、应用程序和/或程序的指令可以被置于通过通信结构502与处理器单元504通信的存储装置516中。在这些例子中,指令在永久性存储器508上处于功能形式。这些指令可以被加载到存储器506中以便由处理器単元504执行。不同有利实施例的过程可以使用计算机实施的指令由处理器単元504来执行,其中所述指令可以被置于存储器(例如存储器506)中。这些指令被称为可由处理器単元504中的处理器读取并执行的程序代码、计算机可用程序代码或计算机可读程序代码。在不同有利实施例中的程序代码可以被收录在不同的实体或计算机可读的存储介质(例如存储器506或永久性存储器508)上。程序代码518以功能形式被置于可选择性移除的计算机可读介质520上,并且可以被加载到或转移到数据处理系统500以便由处理器単元504执行。在这些例子中,程序代码518和计算机可读介质520形成计算机程序产品522。在一个例子中,计算机可读介质520可以是计算机可读存储介质524或计算机可读信号介质526。计算机可读存储介质524可以包括例如被插入或放入驱动器或作为永久性存储器508的一部分的其他装置中以便转移到作为永久性存储器508 —部分的存储装置(例如硬盘驱动器)上的光盘或磁盘。计算机可读存储介质524也可以采取被连接到数据处理系统或设备500的永久性存储器的形式,例如硬盘驱动器、拇指驱动器(thumb drive)或闪存。在一些情况下,计算机可读存储介质524不可从数据处理系统或设备500移除。在这些例子中,计算机可读存储介质524是非暂时计算机可读存储介质。可替换地,程序代码518可以使用计算机可读信号介质526被转移到数据处理系统或设备500。计算机可读信号介质526可以是例如含有程序代码518的被传播的数据信号。例如,计算机可读信号介质526可以是电磁信号、光信号和/或任何其它合适类型的信号。这些信号可以经由通信链接被传输,该通信链路例如无线通信链接、光纤电缆、同轴电缆、线缆和/或任何其它合适类型的通信链接。換言之,在这些例子中,通信链接和/或连接可以是实体的或无线的。在ー些有利实施例中,程序代码518可以通过计算机可读信号介质526经由网络从另ー装置或数据处理系统被下载到永久性存储器508,以便在数据处理系统或设备500内使用。例如,存储在服务器数据处理系统中的计算机可读存储介质中的程序代码可经由 网络从服务器下载到数据处理系统或设备500。提供程序代码518的数据处理系统可以是服务器计算机、客户端计算机或能够存储和传输程序代码518的某个其它装置。针对数据处理系统或设备500描述的不同组件不意味着向其中可实施不同有利实施例的方式提供构架限制。在包括附加于或代替针对数据处理系统或设备500描述的那些组件的组件的数据处理系统中可以实施不同有利实施例。在图5中示出的其它组件能够与所示例子不同。可以使用能够运行程序代码的任何硬件装置或系统来实施有利实施例。作为ー个例子,数据处理系统可以包括与无机组件整合的有机组件,和/或可以全部由除人类之外的有机组件构成。例如,存储装置可由有机半导体构成。在另一例子中,处理器単元204可以采取硬件単元的形式,该硬件単元具有针对具体用途而被制造或设置的电路。这类硬件可以执行操作而不需要将程序代码从存储装置加载到存储器中从而经设置执行操作。例如,在处理器単元504采取硬件単元的形式吋,处理器単元504可以是电路系统、专用集成电路(ASIC)、可编程逻辑器件或经设置执行数个操作的一些其它合适类型的硬件。对于可编程逻辑器件,该器件经设置执行数个操作。该器件可在较晚时间重设置,或可被永久设置从而执行该数个操作。可编程逻辑器件的例子包括例如可编程逻辑阵列、可编程阵列逻辑、现场可编程逻辑阵列、现场可编程门阵列和其它合适硬件装置。对于这类实施方式,因为不同有利实施例的过程在硬件単元中被实施,所以程序代码518可被省略。在另一例子中,可以使用在计算机中存在的处理器和硬件单元的结合来实施处理器単元504。处理器単元504可以具有经设置运行程序代码518的数个硬件単元和数个处理器。对于这个示出的例子,过程中的一些可以在所述数个硬件単元中被实施,而另ー些过程可以在所述数个处理器中被实施。作为另一例子,在数据处理系统或设备500中的存储装置是可以存储数据的任何硬件设备。存储器506、永久性存储器508和计算机可读介质520是有形形式的存储装置的例子。在另一例子中,总线系统可以用来实现通信结构502,并且可以由一条或更多条总线(例如系统总线或输入/输出总线)构成。当然,总线系统可使用任何合适类型的架构被实现,该架构提供被附接到总线系统的不同组件或装置之间的数据传输。另外,通信単元可以包括用来传输和接收数据的ー个或更多个装置,例如调制解调器或网络适配器。进ー步地,存储器可以是例如存储器506或缓存,例如在可存在于通信结构502中的接ロ或存储器控制器中枢中存在的缓存。在图5中示出的ー些、部分或全部组件可以被认为是计算机处理装置或数据处理装置。图5意图作为ー个例子,并且不作为针对不同有利实施例的架构限制。图6是根据有利实施例的云计算系统安全的过程的流程图的图解。在图6中的过程可以被实现在基于规则的安全组件(例如在图I中的安全逻辑模块112、在图3中的安全逻辑模块312或在图4中的安全逻辑模块400)中。该过程开始于,针对与请求者相关联的一组规则来评估对至少ー个云计算系统资源的访问请求(操作602)。过程做出关于请求是否符合该组规则的判定(操作604)。
如果请求符合该组规则,那么提供对所述至少ー个云计算系统资源的访问许可(操作606)。此后该过程终止。现在返回步骤604,如果请求不符合该组规则,那么拒绝对所述至少ー个云计算系统资源的访问(操作608),且过程此后终止。图7是根据有利实施例的云计算服务安全的过程的流程图的图解。在图7中的过程可以被实现在基于规则的安全组件(例如在图I中的安全逻辑模块112、在图3中的安全逻辑模块312或在图4中的安全逻辑模块400)中。该过程开始干,从请求者接收访问云计算系统资源的请求(操作702)。做出关于请求者和请求者的网络服务是否为有效候选者的判定(操作704)。如果请求者和网络服务均是有效候选者,那么建立网络服务关联定义(操作706)。更新与请求者相关联的配置从而适应网络服务关联定义(操作708)。生成访问许可的通知(操作710)。向请求者发送该通知(操作712),且过程此后终止。现在返回操作704,如果请求者或网络服务不是有效候选者,那么生成请求拒绝的通知(操作714)。向请求者发送该通知(操作712),且过程此后终止。不同有利实施例可以采取完全硬件实施例、完全软件实施例或者含有硬件或软件元件二者的有利实施例的形式。ー些有利实施例在包括但不限于例如固件、常驻软件和微代码形式的软件中被实施。在ー个有利实施例中,提供针对云计算系统安全的方法和系统。访问管理器包括多个客户端配置。在多个客户端配置中的每个配置都包括使得能够访问ー个云计算系统资源组的ー组规则。安全逻辑模块与访问管理器模块通信,从而接收访问至少ー个云计算系统资源的请求。当确定访问请求符合该组规则时,许可或拒绝访问。在另一有利实施例中,访问管理器针对与请求者相关联的一组规则来评估对至少一个云计算系统资源的访问请求,从而判定合规性。访问管理器响应对合规性的确定,许可请求者访问该至少ー个云计算系统资源。响应确定该请求符合该组规则,许可对资源的访问。响应确定请求不符合该组规贝U,拒绝对资源的访问。有利实施例的安全逻辑模块提供网络模式,从而使各种用户能够基于用户以需知为基础的权利来共享数据、服务和成本信息。安全逻辑模块允许用户在整个项目生命周期期间合作,从而共享实体装置、逻辑装置、数据和其它资源,并获得对云计算服务的更加安全的访问。
在不同的所示有利实施例中的流程图和框解了设备、方法和计算机程序产品的ー些可能实施方式的架构、功能性和操作。在这点上,在流程图或框图中的每个方框都可以表现计算机可用或可读程序代码的ー个模块、分段或部分,该程序代码包含用于实施一个或更多个特定功能的一个或更多个可执行指令。在一些可替换实施方式中,在方框中提到的一个或更多个功能可以以图中提到的顺序之外的顺序发生。例如,在一些情况下,连续示出的两个方框可以被基本同时执行,或这两个方框可以有时以颠倒的顺序被执行,这取决于所涉及的功能性。 此外,不同有利实施例能够采取可从计算机可用或计算机可读介质获得的计算机程序产品的形式,该计算机程序产品提供用于计算机或执行指令的任意装置或系统的或者与计算机或执行指令的任意装置或系统结合的程序代码。为了本公开,计算机可用或计算机可读介质能够大体是可包含、存储、通信、传播或传输用于指令执行系统、设备或装置或与该执行系统、设备或装置相结合的程序的任意有形设备。计算机可用或计算机可读介质能够例如但不限于电子、磁、光、电磁、红外或半导体系统或者传播介质。计算机可读介质的非限制例子包括半导体或固态存储器、磁带、可移除计算机软盘、随机访问存储器(RAM)、只读存储器(ROM)、硬磁盘和光盘。光盘可以包括只读光盘(CD-ROM)、可擦写光盘(CD-R/W)、DVD和蓝光。进ー步地,计算机可用或计算机可读介质可以包含或存储计算机可读或可用程序代码,以使得当在计算机上执行计算机可读或可用程序代码时,该计算机可读或可用程序代码的执行导致计算机经由通信链接传输另ー计算机可读或可用程序代码。该通信链接可以使用例如但不限于实体或无线的介质。适合存储和/或执行计算机可读或计算机可用程序代码的数据处理系统包括一个或更多个处理器,该ー个或更多个处理器通过通信结构(例如系统总线)直接或间接耦合到存储器元件。存储器元件可以包括在程序代码的实际执行期间采用的本地存储器、大容量存储和缓存存储器,该缓存存储器提供至少ー些计算机可读或计算机可用程序代码的暂时存储,从而減少在代码执行期间可从大容量存储检索代码的次数。输入/输出或I/O装置能够直接地或通过中介I/O控制器耦合到系统。这些装置可以包括但不限于例如键盘、触摸屏显示器和指示装置。不同的通信适配器也可以被耦合到系统,从而使数据处理系统能够通过中介的私有或公共网络被耦合到其它数据处理系统或远程打印机或存储装置。非限制例子是调制解调器、wi-fi装置(例如蓝牙)以及仅是当前可用的通信适配器类型中少数的网络适配器。如在此使用,短语“至少ー个”在与条目的列表一起使用吋,意思是可使用所列条目中的一个或更多个条目的不同組合,并且可能仅需要列表中各条目中的ー个。例如,“条目A、条目B和条目C中的至少ー个”可以包括但不限于例如仅条目A、条目A和条目B 二者或者全部的条目A、条目B和条目C。该例子也可以包括条目A、条目B和条目C,或者条目B和条目C。不同有利实施例的描述已经为了说明和描述而被呈现,并且不意图以公开的形式详尽或限制实施例。许多修改和变化对于本领域技术人员明显。进ー步地,不同有利实施例可提供与其它有利实施例比较的不同优点。选择的有利实施例或多个有利实施例挑选并描述以便最优解释有利实施例的原理、实际应用,并使本领域技术人员能够理解具有适合预期特别使用的各种修改的各种有利实施例的公开 。
权利要求
1.ー种云计算安全系统,包含 包括第一客户端配置和第二客户端配置的访问管理器模块,其中所述第一客户端配置具有使得能够访问第一组云计算系统资源的第一组规则,并且其中所述第二客户端配置具有使得能够访问第二组云计算系统资源的第二组规则;以及 与所述访问管理器模块通信的安全逻辑模块,其中所述安全逻辑模块被设置成接收访问所述第一和第二组云计算系统资源中的一者的访问请求;以及响应确定所述访问请求符合所述第一组规则和所述第二组规则中的至少ー者,提供许可访问所述第一和第二组云计算系统资源中的至少ー者的访问许可。
2.根据权利要求I所述的云计算安全系统,其中所述安全逻辑模块进一歩包含 经设置而建立符合所述访问许可的模型网络资源关联的关联定义模块;以及 其中所述关联定义模块进ー步经设置而修改所述第一客户端配置从而适应所述模型网络资源关联。
3.根据权利要求I所述的云计算安全系统, 其中所述安全逻辑模块进一歩包含 经设置而比较所述访问请求与所述第一和第二组规则以判定合规性的请求验证器模块; 其中所述请求验证器模块进一步经设置而询问所述访问请求并判定与所述访问请求相关联的请求者是否为利用所述安全逻辑模块的有效候选者;以及 其中所述请求验证器模块进一步经设置而询问所述访问请求并判定与请求者相关联的客户端装置的网络服务是否为利用所述安全逻辑模块的有效候选者。
4.根据权利要求I所述的云计算安全系统, 其中所述安全逻辑模块进一歩包含 经设置而生成包含所述访问许可的通知的通知准备模块。
5.根据权利要求I所述的云计算安全系统, 其中所述访问许可提供对所述第一和第二云计算系统资源中的所述至少一者的粒度访问。
6.根据权利要求I所述的云计算安全系统, 其中所述第一和第二云计算系统资源中的所述至少ー者是网络即服务;以及其中所述服务逻辑模块使得能够粒度访问通过所述网络即服务获得的所述第一和第ニ组云计算系统资源中的所述至少一者。
7.ー种实施云计算系统安全的方法,所述方法通过处理器实施,所述方法包含 针对与请求者相关联的一组规则来评估对至少ー个云计算系统资源的访问请求,从而判定该访问请求对该组规则的合规性;以及 响应对合规性的确定,许可所述请求者访问所述至少ー个云计算系统资源。
8.根据权利要求7所述的方法,进ー步包含 維持与所述请求者相关联的配置,其中所述配置具有该组规则,并且其中该组规则定义对所述至少一个云计算系统资源的粒度访问; 响应对所述访问请求的评估和所述对合规性的确定,建立模型网络资源关联,从而形成网络服务关联定义;以及响应对所述访问请求的评估,在所述网络服务关联定义的多个客户端配置中修改与一个请求者相关联的ー个配置。
9.根据权利要求7所述的方法,进ー步包含 询问所述访问请求从而判定所述请求者是否为利用安全逻辑模块的有效候选者; 询问所述访问请求从而判定与所述访问请求相关联的网络服务是否为利用所述安全逻辑模块的有效候选者;以及 为与所述请求者相关联的客户端装置生成表示访问许可的通知。
10.根据权利要求7所述的方法,其中所述至少一个计算系统资源从下列条目构成的集合中选择平台即服务、数据即服务、软件即服务、基础架构即服务和网络即服务;以及 其中所述至少ー个云计算系统资源是网络即服务,并且其中安全逻辑模块使得能够在通过所述网络即服务获得的合作环境中粒度访问共享数据。
全文摘要
本发明涉及一种云计算安全系统。访问管理器模块包括第一和第二客户端配置。第一客户端配置具有使得能够访问第一组云计算系统资源的第一组规则,并且第二客户端配置具有使得能够访问第二组云计算系统资源的第二组规则。安全逻辑模块与访问管理器模块通信。安全逻辑模块经设置而接收访问第一和第二组云计算系统资源中的一组的访问请求。响应确定访问请求符合第一组规则和第二组规则中的至少一者,安全逻辑模块经设置而提供许可访问第一和第二组云计算系统资源中的至少一组的访问许可。
文档编号H04L29/08GK102664864SQ20111043034
公开日2012年9月12日 申请日期2011年12月14日 优先权日2010年12月15日
发明者D·W·尼尔森, D·帕特尔, J·M·瑞贝特, R·J·瑞驰尔 申请人:波音公司