本发明专利技术描述了与图授权相关联的系统、方法以及其他实施例。一个示例性方法包括检测到用户查询与授权查询共享钩节点。该示例性方法还可以包括通过对基础图执行用户查询来生成基础结果图并通过对基础结果图执行授权查询来生成经授权图。该方法还可以包括提供经授权图。
【技术实现步骤摘要】
【国外来华专利技术】图授权
技术介绍
信息技术(IT)基础设施包括特定环境(例如组织)内的IT资产、组件、系统、应用以及资源。有向图可以用来通过提供IT基础设施内的关系的图形表示来对IT基础设施进行建模。通常在有向图内实现安全措施以保护底层IT基础设施。安全措施能够保护IT基础设施免受未授权访问、非故意修改、恶意攻击等。图授权(graph authorization)是能够用来针对用户或用户群组来授权对IT基础设施的各部分的访问的一种类型的安全措施。传统图授权技术可能是低效、难以维护且过于复杂的。按照惯例,当管理员尝试将用户群组限制于模型的一部分时,从该群组接收到的查询的元素被修改以包含用于限制结果的限制规则。结果被限制于仅包含该用户群组应能够访问的组件。另外,管理员通常被迫在配置项级别(例如Cl级别CMDB模型中的对象或链接)手动地维护授权,确保其始终与用于每个用户群组的所需策略一致。这对于具有少量用户的小组织而言可能是简单的任务。然而,随着IT基础设施的增长且更多的用户利用IT基础设施,变得难以针对不同的用户群 组维护自定义限制规则,尤其是因为必须修改每个新查询以遵守所述限制规则。手动地修改查询是低效的且容易出错的。这在实践中是不切实际的,因为解决该问题的通常方式是在每个Cl内手动地保持授权信息并确保被显示给用户的所有Cl通过安全策略过滤器。此过程留下数据库管理员来确定如何为几百万个Cl定义授权策略。由于这将是巨大的手动任务,可以创建某种脚本以周期性地运行并插入授权策略信息。即使用脚本,管理员将必须以某种方式将授权策略转换成脚本并接受这样的事实当数据库改变时,其可能相对于授权策略处于非一致状态直至下一个脚本执行。甚至自动修改查询也可能是处理密集且复杂的。此外,随着IT基础设施继续增长,限制规则还可能变得更加复杂。附图说明被结合在本说明书中并构成其一部分的附图说明本专利技术的各个方面的各种示例性系统、方法及其它示例性实施例。将认识到附图中的所示元件边界(例如,方框、方框组或其它形状)表示边界的一个示例。本领域的普通技术人员将认识到在某些示例中,可以将一个元件设计为多个元件或者可以将多个元件设计为一个元件。在某些示例中,可以将被示为另一元件的内部组件的元件实现为外部组件,并且反之亦然。此外,元件可以不是按比例绘制的。图I说明处理用户查询和查询的各种结果的示例。图2说明示例性方法、系统和等同物可以与之相交互的有向信息技术基础设施图的实施例。图3说明与图授权相关联的方法的实施例。图4说明与图授权相关联的系统的实施例。图5说明与图授权相关联的系统的另一实施例。图6说明其中示例性方法、系统以及等同物可以操作的计算环境的实施例。具体实施例方式描述了与图授权相关联的方法和系统。在一个实施例中,由一组预定义授权拓扑查询来实现授权模型。在一个示例中,配置管理数据库(CMDB)保持信息技术(IT)基础设施的图形表示并使得用户能够使用拓扑查询语言(TQL)来运行拓扑查询。提供了允许CMDB管理员针对每组应用所有者定义授权规则的系统和方法。该规则针对给定查询定义了特定群组能够看到的部分结果。在本文中公开的技术使得能够实现不仅相对于特别查询、而且相对于主动查询的Cl级别授权,在CMDB模型变化时在查询结果中发送Λ。一个效果是能够在用户的查询之上保持虚拟查询。—个示例性方法包括检测到用户查询与授权查询共享钩节点(hook node)O钩节点可以与一类节点相关联。例如,在一个图中,可以将与主机位置(例如网际协议(IP)地址)相关联的节点视为钩节点。授权查询可以通过表示哪些用户和/或用户群组可以访问钩节点来限制对钩节点的访问。响应于检测到共享的钩节点,示例性方法还可以包括通过对基础图(base graph)执行用户查询来生成基础结果图。示例性方法还可以包括通过对基础 结果图执行授权查询来生成经授权图。示例性方法还可以包括提供经授权图。对基础结果图执行授权查询可以比修改基础查询并执行经修改基础查询更快。这可能是因为基础结果图在尺寸上通常将远小于基础图。因此,对基础图的此小子集执行另一查询可以比对查询进行变换并执行经修改查询更快。以一种方式,可以将此视为单个查询结果,其被许多群组/用户消耗,其中,每个接收由不同过滤器过滤的查询结果。授权查询是自动地应用的过滤器。因此,虽然用户相信他/她接收到针对用户定义的查询的结果,但用户实际上接收到在用户查询之上自动地生成的虚拟计算实体的结果。参考图1,考虑如所示的用户查询和授权查询的示例。该授权查询可以限制可用IP域(例如IP 65. 100. 43. 0-65. 255. 255. 255)。原始用户的查询结果(表示为Rtl)保持所有应用“A”、运行软件RS、主机H、数据库DB和这些对象之间的链接(例如虚线包含被包含于查询结果中的对象)。结果&包含对象A1-A3、RS1-RS4、DB以及其关联链接。然后在CMDB模型上计算授权查询,其中,钩节点在结果Rtl方面受到应用的限制。新结果将是R1,其包含对象RSI、RS2、HU IPl以及其关联链接。然后定义计算实体V1,其是用户查询和授权查询在两个查询的运行软件RS节点处的交集。其结果是民,包含对象4132、1 1、1 2、!11、1 1以及其关联链接。第三计算实体V2被定义为用户查询在V1上的投影及其结果。在完成时,结果R3是用户接收到/看到的经过滤结果。结果&包括对象A1、A2、RS1、RS2以及DB,因为投影函数从该结果过滤主机Hl和IP1,因为它们不在用户查询的域中。在一个示例中,授权查询包含钩节点和过滤规则。钩节点可以表示IT基础设施的元件。IT基础设施的元件可以是服务器、应用、数据库等。限制是由拓扑查询定义的且不限于钩节点上的属性条件(property condition)(例如图I中的示例)。当用户查询和授权查询共享钩节点时,根据授权查询来限制用户查询的结果可以基于与钩节点相关联的过滤规则来限制用户查询的结果。因此,用户只可以访问基础图的经授权部分。因此,经授权图可以通过限制用户访问来向底层基础图提供安全保护。另外,在一个示例中,授权查询可以是用于用户群组的授权策略的一部分。该授权策略可以包含用于组织的用户群组的一组授权查询。该授权策略可以使安全维护过程成流线型,因为对授权查询的更新、添加或删除可以自动地应用于在基础图上运行的查询。其还允许不同群组的用户之间通过消耗通过不同授权规则组所过滤的同一拓扑查询的结果进行资源共享。以下包括本文所采用的所选术语的定义。该定义包括落在术语的范围内且可以用于实现的组件的各种示例和/或形式。示例并不意图是限制性的。术语的单数和复数形式均可以在所述定义内。对“一个实施例”、“实施例”、“一个示例”、“示例”等的参考指示被这样描述的实施例或示例可以包括特定的特征、结构、特性、属性、元素或限制,但是并不是每个实施例或示例都必需包括该特定特征、结构、特性、属性、元素或限制。此外,短语“在一个实施例中”的重复使用不一定指的是同一实施例,虽然其可以。本文所使用的“计算机可读介质”指的是存储指令和/或数据的非临时介质。计算机可读介质可以采取包括但不限于非易失性介质和易失性介质的形式。非易失性介质可以包括例如光盘、本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】
【专利技术属性】
技术研发人员:A西特勇,U本多尔,
申请(专利权)人:惠普发展公司,有限责任合伙企业,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。