[发明专利]用于职责分离的上下文相关的事务性管理的方法和系统

说明书

相关申请的交叉引用

本申请是2012年7月2日提交的标题为CONTEXT-DEPENDENT TRANSACTIONAL MANAGEMENT FOR SEPARATION OF DUTIES（用于职责分离的上下文相关的事务性管理）的第13/539,995号美国申请的延续，其所有内容在此引入作为参考。

技术领域

本发明涉及访问管理，更具体地，涉及用于为职责分离提供上下文相关的事务性管理的计算机程序产品和系统。

背景技术

一般而言，职责分离包括与人员、软件、数据等相关的各种控制。许多组织都利用职责分离来控制个人和团体对组织中的各种软件和数据的访问。职责分离可以用于防止欺诈和错误、保护商业机密信息、控制与机器或业务过程的事务、控制对敏感数据的访问，实施安全和许可策略等。一种执行职责分离的方法包括在多个用户之间分离单个业务过程的功能和关联特权。业务过程一般可以被分为四种类型的功能：授权、监管、记录保存和调节。为了减少欺诈或错误的可能性，单个人员可能不会被授权参与业务过程的多种类型的功能。例如，公司费用报销的业务过程包括以下功能：请求报销和检验收据。这些功能应该被分离并由不同员工完成以防止欺诈和错误。

传统上，通过控制对组织成员使用的个体计算机和软件的物理访问，处理职责分离的许多要求。但是，最近组织开始利用云计算服务而不是本地部署的应用。一般而言，云计算指基于服务器的计算，其允许用户使用各种设备进行与服务器资源的事务。云计算应用由服务器提供，这允许用户使用应用而无需在他们自己的设备上下载并安装应用。因此，当前的职责分离方法可能不适合于在云计算环境中使用。

发明内容

根据一个示例性实施例，提供了一种用于在云环境中提供上下文相关的事务性管理的方法。所述方法包括：接收为组织创建用于控制与云服务的事务的业务规则的请求，并通过生成表示所述组织和所述业务规则的分区图（partitioned graph），提供所述云服务的用于供应所述业务规则的实例，其中所述业务规则包括一个或多个职责分离要求。所述方法还包括：接收来自所述云服务的最终用户的访问请求，并判定对所述云服务的所述访问请求是否违反所述一个或多个职责分离要求中的任何一个。根据对所述云服务的所述访问请求不违反所述一个或多个职责分离要求中的任何一个的判定，所述方法包括许可所述最终用户进行与所述云服务的事务。根据对所述云服务的所述访问请求违反所述一个或多个职责分离要求之一的判定，所述方法包括拒绝所述最终用户进行与所述云服务的事务。

根据另一个示例性实施例，提供了一种用于为组织提供上下文相关的防火墙的方法。所述方法包括：创建表示所述组织和一个或多个业务规则的分区图，其中所述业务规则中的每个业务规则包括一个或多个职责分离要求，并根据所述一个或多个职责分离要求，确定与所述分区图关联的使用上下文。所述方法还包括：确定与所述使用上下文相关的阻止操作所关联的一个或多个置信度水平，其中所述阻止操作指示所述使用上下文违反所述一个或多个职责分离要求之一，并根据与所述阻止操作关联的所述一个或多个置信度水平，创建所述上下文相关的防火墙。

通过本发明的技术实现了其它特性和优点。在此详细描述本发明的其它实施例和方面，并且这些实施例和方面被视为要求保护的本发明的一部分。为了更好地理解本发明的优点和特性，请参考说明书和附图。

附图说明

在说明书结尾处的权利要求中具体指出并明确要求保护了被视为本发明的主题。从下面结合附图的详细描述，本发明的上述和其它特性和优点将变得显而易见，这些附图是：

图1示出了根据示例性实施例的云计算节点的一个例子的示意图；

图2示出了根据示例性实施例的云计算环境；

图3示出了根据示例性实施例的云计算环境提供的一组功能抽象层；

图4是示出根据一个示例性实施例的用于在云环境中提供服务的上下文相关的访问管理的方法的流程图；

图5是根据一个示例性实施例的用于与针对职责分离的上下文相关的防火墙一起使用分区图；以及

图6是示出根据一个示例性实施例的用于创建和管理上下文相关的防火墙的方法的流程图。

具体实施方式

现在参考图1，图1显示了云计算节点的一个例子的示意图。图1显示的云计算节点10仅仅是适合的云计算节点的一个示例，不应对本发明实施例的功能和使用范围带来任何限制。总之，云计算节点10能够被用来实现和/或执行以上所述的任何功能。