[发明专利]用于促进对资源的动态的基于上下文访问控制的机制

说明书

技术领域

本文中描述的实施例总体关于计算机编程。更具体而言，实施例关于用于促 进对资源的动态的基于上下文的访问控制的机制。

背景技术

现有的访问控制管理系统是使用基于对用户和/或计算设备身份和权限的操作 系统抽象的访问控制策略来建立的，诸如，，可依据操作系统账户名来表达用户的 身份。类似地，资源是使用对文件和文件夹的操作系统抽象来标识的，并且权限通 常被表达为与资源相关联的读取、写入和执行特权。此外，在单机操作系统上建立 的基于云的服务已经尝试将旧式访问管理系统延伸为云范式，但是，由于在指定准 许访问的上下文、控制强制访问的时刻等方面的无能为力，在云服务上输入高度敏 感的内容仍然面临很大的阻力。

现有的访问控制管理系统和网络安全基础设施容易出错且低效，因为它们由 于缺乏定制的特征和智能而在性能和安全方面受限。

附图说明

在所附附图的图中以示例而非限制阐释实施例，在附图中，同样的标号表示 类似的元件。

图1阐释根据一个实施例的、在计算设备处采用的基于上下文的访问控制机 制。

图2阐释根据一个实施例的、基于上下文的访问控制机制。

图3A阐释根据一个实施例的、用于促进对资源访问的基于上下文的控制的方 法。

图3B阐释根据一个实施例的、用于促进对资源访问的基于上下文的控制的事 务序列。

图3C阐释根据一个实施例的、用于促进对资源访问的基于上下文的控制的事 务序列。

图4阐释根据一个实施例的、适用于实现本公开的实施例的计算机系统。

具体实施方式

在下列描述中，陈述了众多特定的细节。然而，可以在不具有这些特定的细 节的情况下来实践本文中描述的实施例。在其他实例中，未详细地示出公知的电路、 结构和技术，以免使对本描述的理解含糊。

实施例提供对资源的访问控制的动态的基于上下文的管理，其中，可以在促 进访问一个或多个资源之前收集多个维度的客户机/用户上下文。这些多个维度可 以包括但不限于，用户标识和/或认证、设备标识和/或认证、用户存在监视、用户 和/或用户的平台的位置、在用户和/或用户的设备的附近或周围的其他个体的存 在，等等。资源可以包括各种项，诸如，任何数量和类型的数据、文件、文件夹、 信息、设备、实体财产(例如，商业建筑、家庭等)，等等。例如，寻求对资源的 访问可以涉及：用户寻求访问包括相关数据的文件，或想要得到访问办公室建筑的 权限，等等。实施例进一步提供采用资源访问决策和接入点来评估前述的上下文， 其中，此类点可以在担当主机的单个计算设备，或可以在企业或其他特定的服务器 计算机处跨网络(例如，云网络)而分布，或在可以访问资源的位置处，或上述情 况的组合。在一个实施例中，可以延伸决策和实施点以将例如客户机上下文合并为 用于访问一个或多个资源的条件。

尽管出于简单、清晰和易于理解的目的可能贯穿本文档讨论一个或多个示例， 但是构想了实施例不限于任何特定的数量和类型的资源、或对资源或设备或用户的 访问形式等。类似地，实施例不限于任何特定的网络安全基础设施或协议(例如， 单点登录基础设施和协议)，并且可以兼容将被延伸并与新颖的基于上下文的访问 能力一起使用的任何数量和类型的网络安全基础设施和协议，诸如，安全断言标记 语言(SAML)、OAuth(开放授权)、Kerberos等等。

图1阐释根据一个实施例的、在计算设备处采用的基于上下文的访问控制机制。计算设备100充当用于采用基于上下文的访问控制机制(“访问控制机制”)110的主机。计算设备100可以包括大型计算系统(诸如，服务器计算机、台式计算机等)，并且还可以包括机顶盒(例如，基于因特网的有线电视机顶盒等)、基于全球定位系统(GPS)的设备等。计算设备100可以包括移动计算设备，诸如，蜂窝电话(包括智能电话(例如，的运动研究公司(ResearchinMotion)的等))、个人数字助理(PDA)、平板计算机(例如，的的Galaxy等)、膝上型计算机(例如，笔记本、上网本、超极本^TM等等)、电子书(例如，的Barnesand的等)，等等。