【技术实现步骤摘要】
【国外来华专利技术】用于IOT网络的基于关系的访问控制
[0001]本公开涉及电子设备安全,并且更具体地涉及用于使用图数据库为物联网(IOT)网络提供基于关系的访问控制的技术。
技术介绍
[0002]IoT网络以高度可用的数据和计算资源提供巨大价值。然而,这样的网络也带来了重大的安全和隐私挑战。传统上,这些挑战是通过“租用”的概念作为数据隔离的框架来解决的,但是传统的租用概念有很大的局限性。设备和数据安全是现代IoT网络日益重要的考虑因素。
附图说明
[0003]通过参考各种实施例,可以得到上面简要概述的本公开的更详细的描述,其中一些实施例在附图中示出。虽然附图示出了本公开的选择实施例,但是这些附图不应被认为是对其范围的限制,因为本公开可以允许其他同等有效的实施例。
[0004]在可能的情况下,使用相同的附图标记来表示附图中共有的相同元素。然而,在一个实施例中公开的元素可以有益地用在其他实施例中,而无需具体叙述。
[0005]图1示出了根据本文描述的一个实施例的配置有访问管理组件的系统。
[0006]图2是示出根据本文描述的一个实施例的配置有访问管理组件的系统和该系统内的数据流的框图。
[0007]图3是示出根据本文描述的一个实施例的管理第一计算环境内的数据访问的方法的流程图。
[0008]图4是示出根据本文描述的一个实施例的对身份、资源和安全关系进行建模的图数据库的组织的图。
[0009]图5是示出根据本文描述的一个实施例的RelBAC系统的元素的框图。
具体实施 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种管理第一计算环境内的数据访问的方法,包括:从第一请求实体接收访问第一资源的请求;生成并提交对基于图的数据库的查询,以确定所述第一请求实体和其他实体之间的由安全策略覆盖的一个或多个关系,其中所述基于图的数据库对身份、资源和由所述安全策略覆盖的安全关系进行建模;以及基于所确定的一个或多个关系和所述安全策略,确定所述第一实体是否被允许根据所述安全策略访问所述第一资源。2.根据权利要求1所述的方法,其中所述第一请求实体包括第一应用,并且其中所述第一资源包括由物联网(IoT)设备收集的数据。3.根据权利要求1所述的方法,其中确定所述第一实体是否被允许根据所述安全策略访问所述第一资源还包括确定所确定的一个或多个关系是否满足由所述安全策略定义的一个或多个预定义条件。4.根据权利要求1所述的方法,其中确定所述第一实体是否被允许根据所述安全策略访问所述第一资源基于所确定的所述第一请求实体的身份、对应于所述第一资源的资源类型、所述第一请求实体的连接类型、接收到访问所述第一资源的请求的时间以及所述第一请求实体的位置。5.根据权利要求1所述的方法,其中所述安全策略包括定义了个体如何能够与所述第一计算环境内的元素交互的个体访问控制策略,以及与所述个体相关联的一个或多个权限。6.根据权利要求5所述的方法,其中所述安全策略还包括应用/服务访问控制策略,所述应用/服务访问控制策略定义了应用、服务或进程如何与所述第一计算环境内的所述元素交互。7.根据权利要求6所述的方法,其中所述安全策略还包括访问治理策略,所述访问治理策略定义了访问权限被授予用于与其他方共享资源、如何监测、审计和管理访问的规则。8.根据权利要求1所述的方法,其中所述安全策略包括多个规则,其中每个规则定义了主体和确定所述主体是否被允许访问指定资源的一个或多个关系。9.一种包含计算机程序代码的非暂时性计算机可读介质,所述计算机程序代码在由一个或多个计算机处理器的操作执行时,执行用于管理第一计算环境内的数据访问的操作,所述操作包括:从第一请求实体接收访问第一资源的请求;生成并提交对第一数据库的查询,以确定所述第一请求实体和其他实体之间的由安全策略覆盖的一个或多个关系,其中所述第一数据库对身份、资源和由所述安全策略覆盖的安全关系进行建模;确定与接收到的请求相关联的上下文;以及基于所确定的一个或多个关系、所述安全策略和所确定的上下文,确定所述第一实体是否被允许根据所述安全策略访问所述第一资源。10.根据权利要求9所述的非暂时性计算机可读介质,其中所述第一请求实体包括第一应用,并且其中所述第一资源包括由物联网(IoT)设备收集的数据。11.根据权利要求9所述的非暂时性计算机可读介质,其中确定所述第一实体是否被允
许根据所述安全策略访问所述第一资源还包括确定所确定的一个或多个关系是否满足由所述安全策略定义的一个或多个预定义条件。12.根据权利要求9所述的非暂时性计算机可读介质,其中确定与...
【专利技术属性】
技术研发人员:V丹尼尔琴科,JM布罗德尔,
申请(专利权)人:施耐德电气美国股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。