[发明专利]图授权

说明书

背景技术

信息技术（IT）基础设施包括特定环境（例如组织）内的IT资产、组件、系统、应用以及资源。有向图可以用来通过提供IT基础设施内的关系的图形表示来对IT基础设施进行建模。通常在有向图内实现安全措施以保护底层IT基础设施。安全措施能够保护IT基础设施免受未授权访问、非故意修改、恶意攻击等。图授权（graph authorization）是能够用来针对用户或用户群组来授权对IT基础设施的各部分的访问的一种类型的安全措施。

传统图授权技术可能是低效、难以维护且过于复杂的。按照惯例，当管理员尝试将用户群组限制于模型的一部分时，从该群组接收到的查询的元素被修改以包含用于限制结果的限制规则。结果被限制于仅包含该用户群组应能够访问的组件。另外，管理员通常被迫在配置项级别（例如CI级别：CMDB模型中的对象或链接）手动地维护授权，确保其始终与用于每个用户群组的所需策略一致。这对于具有少量用户的小组织而言可能是简单的任务。然而，随着IT基础设施的增长且更多的用户利用IT基础设施，变得难以针对不同的用户群组维护自定义限制规则，尤其是因为必须修改每个新查询以遵守所述限制规则。手动地修改查询是低效的且容易出错的。这在实践中是不切实际的，因为解决该问题的通常方式是在每个CI内手动地保持授权信息并确保被显示给用户的所有CI通过安全策略过滤器。此过程留下数据库管理员来确定如何为几百万个CI定义授权策略。由于这将是巨大的手动任务，可以创建某种脚本以周期性地运行并插入授权策略信息。即使用脚本，管理员将必须以某种方式将授权策略转换成脚本并接受这样的事实：当数据库改变时，其可能相对于授权策略处于非一致状态直至下一个脚本执行。甚至自动修改查询也可能是处理密集且复杂的。此外，随着IT基础设施继续增长，限制规则还可能变得更加复杂。

附图说明

被结合在本说明书中并构成其一部分的附图说明本发明的各个方面的各种示例性系统、方法及其它示例性实施例。将认识到附图中的所示元件边界（例如，方框、方框组或其它形状）表示边界的一个示例。本领域的普通技术人员将认识到在某些示例中，可以将一个元件设计为多个元件或者可以将多个元件设计为一个元件。在某些示例中，可以将被示为另一元件的内部组件的元件实现为外部组件，并且反之亦然。此外，元件可以不是按比例绘制的。

图1说明处理用户查询和查询的各种结果的示例。

图2说明示例性方法、系统和等同物可以与之相交互的有向信息技术基础设施图的实施例。

图3说明与图授权相关联的方法的实施例。

图4说明与图授权相关联的系统的实施例。

图5说明与图授权相关联的系统的另一实施例。

图6说明其中示例性方法、系统以及等同物可以操作的计算环境的实施例。

具体实施方式

描述了与图授权相关联的方法和系统。在一个实施例中，由一组预定义授权拓扑查询来实现授权模型。在一个示例中，配置管理数据库（CMDB）保持信息技术（IT）基础设施的图形表示并使得用户能够使用拓扑查询语言（TQL）来运行拓扑查询。提供了允许CMDB管理员针对每组应用所有者定义授权规则的系统和方法。该规则针对给定查询定义了特定群组能够看到的部分结果。在本文中公开的技术使得能够实现不仅相对于特别查询、而且相对于主动查询的CI级别授权，在CMDB模型变化时在查询结果中发送Δ。一个效果是能够在用户的查询之上保持虚拟查询。

一个示例性方法包括检测到用户查询与授权查询共享钩节点（hook node）。钩节点可以与一类节点相关联。例如，在一个图中，可以将与主机位置（例如网际协议（IP）地址）相关联的节点视为钩节点。授权查询可以通过表示哪些用户和/或用户群组可以访问钩节点来限制对钩节点的访问。响应于检测到共享的钩节点，示例性方法还可以包括通过对基础图（base graph）执行用户查询来生成基础结果图。示例性方法还可以包括通过对基础结果图执行授权查询来生成经授权图。示例性方法还可以包括提供经授权图。对基础结果图执行授权查询可以比修改基础查询并执行经修改基础查询更快。这可能是因为基础结果图在尺寸上通常将远小于基础图。因此，对基础图的此小子集执行另一查询可以比对查询进行变换并执行经修改查询更快。

以一种方式，可以将此视为单个查询结果，其被许多群组/用户消耗，其中，每个接收由不同过滤器过滤的查询结果。授权查询是自动地应用的过滤器。因此，虽然用户相信他/她接收到针对用户定义的查询的结果，但用户实际上接收到在用户查询之上自动地生成的虚拟计算实体的结果。