[发明专利]虚拟网络中基于身份和访问管理的访问控制有效
| 申请号: | 201480067508.1 | 申请日: | 2014-12-11 |
| 公开(公告)号: | CN105814554B | 公开(公告)日: | 2019-11-15 |
| 发明(设计)人: | M·赖兰 | 申请(专利权)人: | 亚马逊科技公司 |
| 主分类号: | G06F15/173 | 分类号: | G06F15/173 |
| 代理公司: | 11038 中国国际贸易促进委员会专利商标事务所 | 代理人: | 吴信刚<国际申请>=PCT/US2014 |
| 地址: | 美国*** | 国省代码: | 美国;US |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供用于为虚拟覆盖网络环境中的实体之间的连接提供基于身份和访问管理的访问控制的方法和设备。在所述覆盖网络的封装层处,可利用带外连接创建过程强制执行访问控制并且因此根据策略允许或拒绝源与目标之间的覆盖网络连接。例如,可给予资源身份,所识别的资源可担任角色,并且可针对所述角色定义策略,所述策略包括与建立到其他资源的连接有关的权限。当给定资源,即源,试图建立到另一个资源,即目标,的连接时,可确定给定的资源所担任的角色,识别所述角色的策略,并且检验权限以确定是允许还是拒绝在所述覆盖网络之上从所述源到所述目标的连接。 | ||
| 搜索关键词: | 虚拟 网络 基于 身份 访问 管理 控制 | ||
【主权项】:
1.一种提供商网络,包括:/n网络底层;/n一个或多个计算装置,所述一个或多个计算装置在所述提供商网络上实现被配置来管理并评估策略的访问控制服务;以及/n多个主机装置,其中每个主机装置实现一个或多个资源实例;/n其中所述主机装置中的一个或多个各自被配置来:/n从相应主机装置上的资源实例获得网络分组;/n与所述访问控制服务通信,以根据由所述访问控制服务执行的对与所述资源实例相关联的策略的评估,确定是否允许所述资源实例打开到由所述网络分组指示的目标的连接;/n如果根据所述策略允许所述资源实例打开到由所述网络分组指示的目标的连接,那么通过所述网络底层之上的覆盖网络路径将一个或多个网络分组从所述资源实例发送到所述目标;并且/n如果根据所述策略不允许所述资源实例打开到由所述网络分组指示的目标的连接,那么丢弃所述网络分组而无需将所述网络分组发送到所述目标;以及/n其中,为了通过所述网络底层之上的覆盖网络路径将所述一个或多个网络分组从所述资源实例发送到所述目标,所述主机装置被配置为:/n根据封装协议封装所述一个或多个网络分组,以产生一个或多个封装分组;以及/n将所述资源实例的身份相关信息作为元数据包括在所述一个或多个封装分组中的至少一个中,其中所述资源实例的所述身份相关信息被配置来在所述目标处使用,以根据所述目标处的策略针对所述资源实例做出访问决定,以及其中所述资源实例的所述身份相关信息包括以下各项中的一个或多个:相应资源实例的主体信息、相应资源实例的群组信息和用来验证身份信息的安全/验证信息。/n
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于亚马逊科技公司,未经亚马逊科技公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201480067508.1/,转载请声明来源钻瓜专利网。
