用于职责分离的上下文相关的事务性管理的方法和系统技术方案

本发明专利技术涉及一种用于职责分离的上下文相关的事务性管理的方法和系统。使用业务规则在云环境中为组织进行服务的上下文相关的事务性管理包括生成表示所述组织和所述业务规则的分区图，其中所述业务规则包括一个或多个职责分离要求。当接收到来自云服务的最终用户的访问请求时，判定对所述云服务的所述访问请求是否违反所述一个或多个职责分离要求中的任何一个。根据对所述云服务的所述访问请求不违反所述一个或多个职责分离要求中的任何一个的判定，许可所述最终用户进行与所述云服务的事务。根据对所述云服务的所述访问请求违反所述一个或多个职责分离要求之一的判定，拒绝所述最终用户进行与所述云服务的事务。

【技术实现步骤摘要】
用于职责分离的上下文相关的事务性管理的方法和系统相关申请的交叉引用本申请是2012年7月2日提交的标题为CONTEXT-DEPENDENTTRANSACTIONALMANAGEMENTFORSEPARATIONOFDUTIES(用于职责分离的上下文相关的事务性管理)的第13/539,995号美国申请的延续，其所有内容在此引入作为参考。
本专利技术涉及访问管理，更具体地，涉及用于为职责分离提供上下文相关的事务性管理的计算机程序产品和系统。
技术介绍
一般而言，职责分离包括与人员、软件、数据等相关的各种控制。许多组织都利用职责分离来控制个人和团体对组织中的各种软件和数据的访问。职责分离可以用于防止欺诈和错误、保护商业机密信息、控制与机器或业务过程的事务、控制对敏感数据的访问，实施安全和许可策略等。一种执行职责分离的方法包括在多个用户之间分离单个业务过程的功能和关联特权。业务过程一般可以被分为四种类型的功能：授权、监管、记录保存和调节。为了减少欺诈或错误的可能性，单个人员可能不会被授权参与业务过程的多种类型的功能。例如，公司费用报销的业务过程包括以下功能：请求报销和检验收据。这些功能应该被分离并由不同员工完成以防止欺诈和错误。传统上，通过控制对组织成员使用的个体计算机和软件的物理访问，处理职责分离的许多要求。但是，最近组织开始利用云计算服务而不是本地部署的应用。一般而言，云计算指基于服务器的计算，其允许用户使用各种设备进行与服务器资源的事务。云计算应用由服务器提供，这允许用户使用应用而无需在他们自己的设备上下载并安装应用。因此，当前的职责分离方法可能不适合于在云计算环境中使用。
技术实现思路
根据一个示例性实施例，提供了一种用于在云环境中提供上下文相关的事务性管理的方法。所述方法包括：接收为组织创建用于控制利用云服务的事务的业务规则的请求，并通过生成表示所述组织和所述业务规则的分区图(partitionedgraph)，提供所述云服务的用于供应所述业务规则的实例，其中所述业务规则包括一个或多个职责分离要求。所述方法还包括：接收来自所述云服务的最终用户的访问请求，并判定对所述云服务的所述访问请求是否违反所述一个或多个职责分离要求中的任何一个。根据对所述云服务的所述访问请求不违反所述一个或多个职责分离要求中的任何一个的判定，所述方法包括许可所述最终用户进行利用所述云服务的事务。根据对所述云服务的所述访问请求违反所述一个或多个职责分离要求之一的判定，所述方法包括拒绝所述最终用户进行利用所述云服务的事务。根据另一个示例性实施例，提供了一种用于为组织提供上下文相关的防火墙的方法。所述方法包括：创建表示所述组织和一个或多个业务规则的分区图，其中所述业务规则中的每个业务规则包括一个或多个职责分离要求，并根据所述一个或多个职责分离要求，确定与所述分区图关联的使用上下文。所述方法还包括：确定与所述使用上下文相关的阻止操作所关联的一个或多个置信度水平，其中所述阻止操作指示所述使用上下文违反所述一个或多个职责分离要求之一，并根据与所述阻止操作关联的所述一个或多个置信度水平，创建所述上下文相关的防火墙。通过本专利技术的技术实现了其它特性和优点。在此详细描述本专利技术的其它实施例和方面，并且这些实施例和方面被视为要求保护的本专利技术的一部分。为了更好地理解本专利技术的优点和特性，请参考说明书和附图。附图说明在说明书结尾处的权利要求中具体指出并明确要求保护了被视为本专利技术的主题。从下面结合附图的详细描述，本专利技术的上述和其它特性和优点将变得显而易见，这些附图是：图1示出了根据示例性实施例的云计算节点的一个例子的示意图；图2示出了根据示例性实施例的云计算环境；图3示出了根据示例性实施例的云计算环境提供的一组功能抽象层；图4是示出根据一个示例性实施例的用于在云环境中提供服务的上下文相关的访问管理的方法的流程图；图5是根据一个示例性实施例的用于与针对职责分离的上下文相关的防火墙一起使用分区图；以及图6是示出根据一个示例性实施例的用于创建和管理上下文相关的防火墙的方法的流程图。具体实施方式现在参考图1，图1显示了云计算节点的一个例子的示意图。图1显示的云计算节点10仅仅是适合的云计算节点的一个示例，不应对本专利技术实施例的功能和使用范围带来任何限制。总之，云计算节点10能够被用来实现和/或执行以上所述的任何功能。云计算节点10具有计算机系统/服务器12，其可与众多其它通用或专用计算系统环境或配置一起操作。众所周知，适于与计算机系统/服务器12一起操作的计算系统、环境和/或配置的例子包括但不限于：个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任意系统或设备的分布式云计算技术环境，等等。计算机系统/服务器12可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常，程序模块可以包括执行特定的任务或者实现特定的抽象数据类型的例程、程序、目标程序、组件、逻辑、数据结构等。计算机系统/服务器12可以在通过通信网络链接的远程处理设备执行任务的分布式云计算环境中实施。在分布式云计算环境中，程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。如图1所示，云计算节点10中的计算机系统/服务器12以通用计算设备的形式表现。计算机系统/服务器12的组件可以包括但不限于：一个或者多个处理器或者处理单元16，系统存储器28，连接不同系统组件(包括系统存储器28和处理器16)的总线18。总线18表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(ISA)总线，微通道体系结构(MAC)总线，增强型ISA(EISA)总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。计算机系统/服务器12典型地包括多种计算机系统可读介质。这些介质可以是能够被计算机系统/服务器12访问的任意可获得的介质，包括易失性和非易失性介质，可移动的和不可移动的介质。系统存储器28可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(RAM)30和/或高速缓存存储器32。计算机系统/服务器12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统34可以用于读写不可移动的、非易失性磁介质(图1未显示，通常称为“硬盘驱动器”)。尽管图1中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如CD-ROM、DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线18相连。如下面进一步示出和描述的，存储器28可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本专利技术各实施例的功能。具有一组(至少一个)程序模块42的程序/实用工具40，可以存储在存储器28中，这样的程序模块42包括但不限于操作系统、一个本文档来自技高网...

【技术保护点】
一种用于在云环境中提供上下文相关的事务性管理的方法，所述方法包括：接收为组织创建用于控制与云服务的事务的业务规则的请求；通过生成表示所述组织和所述业务规则的分区图，提供所述云服务的用于供应所述业务规则的实例，其中所述业务规则包括一个或多个职责分离要求；接收来自所述云服务的最终用户的访问请求；判定对所述云服务的所述访问请求是否违反所述一个或多个职责分离要求中的任何一个；根据对所述云服务的所述访问请求不违反所述一个或多个职责分离要求中的任何一个的判定，许可所述最终用户进行与所述云服务的事务；以及根据对所述云服务的所述访问请求违反所述一个或多个职责分离要求之一的判定，拒绝所述最终用户进行与所述云服务的事务。

【技术特征摘要】
2012.07.02 US 13/539,995;2012.07.24 US 13/556,7111.一种用于在云环境中提供上下文相关的事务性管理的方法，所述方法包括：接收为组织来创建用于控制利用云服务的事务的业务规则的请求；通过生成表示所述组织和所述业务规则的分区图，提供所述云服务的用于供应所述业务规则的实例，其中所述业务规则包括一个或多个职责分离要求，其中表示所述组织的分区图包括：多个节点，每个节点表示所述组织的资源，其中所述组织的资源包括：人员、应用、数据；以及多个链接，每个链接连接所述多个节点中的两个节点，其中所述链接中的每个链接均包括阈值置信度水平，该阈值置信度水平为在链接所连接的指示不违反所述一个或多个职责分离要求的事务性特权的节点之间提供访问所需的最小置信度水平；接收来自所述云服务的最终用户的访问请求；判定对所述云服务的所述访问请求是否违反所述一个或多个职责分离要求中的任何一个，其中所述判定包括计算与所请求的访问关联的置信度水平，并将所计算的置信度水平与对应于一个或者多个对应于所述访问请求的链接的阈值置信度水平相比较；根据对所述云服务的所述访问请求不违反所述一个或多个职责分离要求中的任何一个的判定，许可所述最终用户进行利用所述云服务的事务；以及根据对所述云服务的所述访问请求违反所述一个或多个职责分离要求之一的判定，拒绝所述最终用户进行利用所述云服务的事务。2.根据权利要求1的方法，其中所述访问请求包括所述多个节点中利用所述云服务的所述最终用户关联的一个或多个节点的标识。3.根据权利要求1的方法，其中根据对所述云服务的所述访问请求违反所述一个或多个职责分离要求之一的判定，执行置信度增加操作。4.根据权利要求3的方法，其中所述置信度增加操作包括以下项中的至少一个：请求有关所述访问请求的附加信息；以及在利用所述云服务的事务期间增加监视级别。5.一种用于在云环境中提供上下文相关的事务性管理的系统，所述系统包括被配置为执行权利要求1至4中的任一权利要求的方法步骤的装置。6.一种用于为组织提供上下文相关的防火墙的方法，所述方法包括：创建表示所述组织和一个或多个业务规则的分区图，其中所述业务规则中的每个业务规则包括一个或多个职责分离要求，其中表示所述组织的分区图包括：多个节点，每个节点表示所述组织的资源，其中所述组织的资源包括：人员、应用、数据；以及多个链接，每个链接连接所述多个节点中的两...

【专利技术属性】
技术研发人员：J·R·多兰，J·R·克泽罗斯基，C·A·皮茨克维尔，M·弗里德哈沙拉姆，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：