[发明专利]过滤授权

说明书

提供了用于过滤针对业务的授权的系统和方法。可以将关于多个授权规则的信息存储在存储器中，每个授权规则可以特定于一个或多个业务参数。可以在远程位置接收由请求用户经由云原生应用发送的业务请求。业务请求可以分解为一个或多个业务段，每个业务段可以与相应的位置相关联。可以将授权规则集识别为适用于所接收的业务请求的每个业务段。可以基于远程位置处的请求用户、相应位置以及由授权规则集指定的业务参数来识别授权规则集。可以基于相应的所识别的授权规则集来过滤所接收的业务请求的每个业务段的结果。过滤后的结果可以被提供给请求用户。

相关申请的交叉引用

本专利申请要求于2018年6月29日提交的美国临时专利申请号62/692,383的优先权权益，其公开内容通过引用合并于本文中。

技术领域

本发明总体上涉及云原生(cloud-native)应用。更具体地，本发明涉及管理和过滤针对云原生应用的授权。

背景技术

在云原生应用出现之前，集中式应用基础设施可以利用硬边界进行架构。例如，可以为不同的位置提供单独的数据存储，以允许适用特定于司法管辖区的政策和规则。然而，分布式环境(诸如云原生应用的情况)缺乏这种硬性边界。

例如，在欧盟通过《通用数据保护条例》(GDPR)之后，关于公民和居民的个人数据受到管理储存、处理、分布和出口的某些控制的约束。涉及这种数据的业务请求可以由现有技术系统来处理，该现有技术系统为受不同控制的每个不同位置分配单独的数据储存。然而，这种解决方案可能不切实际，因为同一流可能牵涉多个不同的监管方案。更多的司法管辖区正在通过它们自己的有关隐私和其他类型数据控制的成套的法律、规则和条例。这种不同的处理和监管方案使如何处理数据请求的问题变得复杂。

因此，在本领域中存在对过滤针对云原生应用的授权的系统和方法的需求。

发明内容

本发明的实施方式基于终端用户参数为云原生应用(包括基于云的服务或工作负载)提供过滤后的授权。在这样的实施方式中，可以在云环境中向云原生应用提供相应的身份。经由这样的云原生应用提供的数据可受到针对过滤后的授权的新范式的约束。过滤后的授权可以基于管理对每个业务中涉及的变化位置、安全要求和风险承受能力的适应的预定授权规则。作为这种过滤的结果，响应于所请求的业务，将仅提供符合适用规则的某些数据。

各种实施方式可包括用于过滤针对业务的授权的方法。这样的方法可包括：存储关于多个授权规则的信息，每个授权规则特定于一个或多个业务参数；经由云原生应用接收由在远程位置处的请求用户发送的业务请求；将业务请求分解为一个或多个业务段，每个业务段与相应的位置相关联，并基于在远程位置处的请求用户、相应的位置以及由授权规则集指定的业务参数来识别适用于所接收的业务请求的每个业务段的该授权规则集。方法可进一步包括基于相应的所识别的授权规则集来过滤所接收的业务请求的每个业务段的结果，并将过滤后的结果提供给请求用户。

进一步的实施方式包括用于过滤针对业务的授权的系统。这样的系统可包括：存储器，存储关于多个授权规则的信息，每个授权规则特定于一个或多个业务参数；通信接口，接收由在远程位置处的请求用户经由云原生应用发送的业务请求；以及处理器，执行以下指令：以将业务请求分解为均与相应的位置相关联的一个或多个业务段，以基于在远程位置处的请求用户、相应的位置以及由授权规则集指定的业务参数来识别适用于所接收的业务请求的每个业务段的授权规则集，以及以根据相应的所识别的授权规则集来过滤所接收的业务请求的每个业务段的结果。通信接口可进一步将过滤后的结果提供给请求用户。

更进一步的实施方式可包括其上包含有可执行以执行本文描述的方法的程序的非暂时性计算机可读储存介质。

附图说明

图1示出了可以实现用于过滤授权的系统的简化的网络环境。

图2是示出用于过滤授权的示例性方法的流程图。