访问控制体系架构制造技术

提供了一种访问控制系统体系架构。在一种实施例中，该体系架构包括模块化和解耦的组件，这允许异构解决方案的可组合性。

【技术实现步骤摘要】
【国外来华专利技术】访问控制体系架构权益要求本申请根据美国法典第35章119(e)条要求于2011年5月11日提交的临时申请No.61/485,025的权益，该申请的全部内容通用引用而被结合于此，如同在本文进行了完全阐述一样。
本专利技术总体上涉及安全计算，而且更一般地说涉及用于计算系统的访问控制。
技术介绍
现代商业依赖于控制并生成对商业运作至关重要的信息的各种应用与系统。不同的应用常常提供不同的服务与信息，而且不同的用户可能需要访问每个系统或应用中不同级别的信息。用户被准许的访问级别可以依赖用户的角色。例如，一个经理可能需要访问关于向他汇报的员工的某些信息，但是让那个经理去访问关于他要向其汇报的那些人的相同信息可能就不合适了。早期不太复杂的应用把访问控制业务逻辑直接结合到应用代码中。即，举例来说，每个应用将需要用户具有单独的帐号、单独的策略逻辑和单独的许可。此外，当用户被这些应用中的一个认证时，因为对第一个应用的认证已经发生的事实并没有被共享，所以这种认证对企业中的其它应用保持未知。因而，在利用不同系统进行认证和访问控制的应用之间没有信任的概念。工程师们很快就意识到在一个企业当中让每个应用都有一个访问控制系统就好像让每辆汽车都有一个加油站一样，并决定认证与访问控制应作为共享资源而被更有效地实现和管理。这些共享资源被称为访问控制系统。访问控制系统常常使用策略和其它业务逻辑来作出关于对特定资源是否应当准许特定的访问请求的决定。一旦作出应当准许访问的决定，令牌就被提供给请求者。这个令牌就像是可以打开看守受限数据的一扇门的钥匙。例如，用户可以尝试访问人力资源数据库来收集关于某些员工的信息，诸如工资信息。用户的web浏览器对应用进行请求，这需要认证。如果web浏览器不具有令牌，则要求用户登录到访问控制系统中。当用户被认证时，用户的浏览器接收代表可以用于访问人力资源应用的令牌的cookie（小型文字档案）。为了方便访问控制系统的增殖，这种系统的开发者创建了代理开发套件，以便允许应用开发者容易地创建能够代表应用与访问控制系统交互的代理。这些代理代表在应用侧所需的逻辑，而且，与直接把访问控制逻辑包括到应用中相比，应用集成并且使用这些代理需要更少的代码。但是，代理是特定于为其开发代理套件的访问控制系统的。因此，如果一个企业的架构师或工程师希望改变由特定应用使用的访问控制系统，则与该应用关联的代理也必须被代替，以便符合新的访问控制系统的要求。此外，访问控制系统可能具有不同的特征，使得，即使代理是兼容的，一个访问管理器也将不提供该企业中的应用所需的服务。所有这些都使访问控制系统“粘手”，这意味着要把应用从它们对一个访问控制系统的依赖性切换到另一个是非常困难的或者成本低效的。作为访问控制系统粘手的结果，许多企业或者使用多个访问控制系统或者使用容易与已经被企业采用的访问控制系统集成的应用。因而，应用组织到“筒仓（silo）”中，而且许多应用不能利用由它们与之不兼容的访问控制系统提供的服务。在这种企业中，因为必须对每个访问控制系统执行集成，所以变得难以铺开（rollout）新的访问控制特征。此外，由于利用相同访问控制系统的应用之间的界限是用户不容易识别的，因此用户常常由于缺乏通用的集成而困惑。在应用全都使用相同访问控制系统的情况下，出于维持现有的访问控制系统的期望，企业架构师常常被局限在他们对应用的选择中。因此，即使一个特定的应用提供卓越的特征，架构师常常也将选择与已经在该企业中部署的访问控制系统兼容或者容易与之集成的不同应用，从而为了保持一致性而牺牲卓越的特征。目前的访问控制解决方案面临若干挑战，而且现有产品已经处于要演进以便无缝地支持新兴企业和互联网访问控制需求的压力之下。这种演进是有问题的，因为这些产品使用的设计对于为了适应新兴需求而进行扩展是不切实际的。因此，新特征的添加常常是经较新的产品组件获得的，这造成了破坏性和耗时的集成与实现过程。当涉及保护企业资源和使得企业用户能够访问这些资源的时候，公司有自由围绕最适合他们需求的协议标准和实现模型来选择和标准化他们的解决方案。但是，当涉及外部网络时，存在适应和吸引代表变化的信任级别的不断扩大的基数的用户群体（例如，业务合作伙伴群体、企业客户和一般的公共互联网消费者）的商业动机，及关联的交互模型。企业必须跨不同管理模型与问题域保护变化类型的资源。另一方面，企业中的用户常常需要跨许多这种域对资源进行访问。被诸如SOX或M&A活动之类的法规遵从性倡议所驱动，企业访问控制用户需要从功能性产品筒仓过渡到整合各种传统堆栈的面向过程的环境，使得访问控制与控制可以一致的方式应用到所有IT资产。但是缺乏一致的整合体系架构和迁移框架常常造成不可逾越的实现挑战。访问控制供应商传统上利用专用于具体问题域的个别产品来解决以上挑战。访问控制解决方案的常见元素，即，用于编码断言的令牌类型、所涉及各方之间的信任模型及线协议（wireprotocol）标准，全部是固有地独立的问题。但是传统的产品趋于在这些元素之间产生紧耦合。图1图示了为不同环境裁剪过的不同产品的例子，每个产品代表对该产品的目标环境而言典型的具体耦合。因为以上紧耦合，所以多个个别的产品需要粘合到一起，以便解决异构的问题域。这种粘合/桥接最终成为整个安全布置中最薄弱的环节，因为被桥接的个别产品在其安全性模型与设计模式方面是不兼容的。这些独立的产品也常常基于独立的技术堆栈，从而混合了为客户部署集成解决方案的挑战。附图说明图1图示了为不同环境裁剪过的不同产品的例子；图2图示了根据本专利技术一个实施例的访问控制模型；图3绘出了根据本专利技术一个实施例的访问控制体系架构；图4绘出了根据本专利技术一个实施例的使得能够通过分层以无缝的方式创作或组合（compose）不同的访问控制解决方案的访问控制体系架构；图5图示了利用分层方法的访问控制体系架构的更一般化的图；图6是图示出可以在其上实现一个实施例的访问控制系统的简化框图；图7是图示出可以在其上实现一个实施例的访问控制系统的功能的流程图；图8是图示出可以在其上实现一个实施例的访问控制系统的功能的流程图；图9示出了可应用于访问控制产品的迁移模式的例子；图10示出了可应用于访问控制产品的迁移模式的例子；图11是图示出根据本专利技术一个实施例可以使用的系统环境的物理组件的简化框图；及图12是可用于实践本专利技术一个实施例的计算机系统的简化框图。具体实施例在以下描述中，为了解释，阐述了具体的细节，以便提供对本专利技术实施例的透彻理解。但是，很显然，本专利技术没有这些具体细节也可以实践。一般性概述根据本专利技术的一个实施例，提供了能够解决以上提到的挑战的访问控制体系架构。在一种实施例中，代替用于不同问题域的独立解决方案筒仓，该体系架构包括模块化和解耦的组件，从而允许异构解决方案的可组合性。特别地，该体系架构使能对异构编程语言实现的技术堆栈的组合。在一个实施例中，本文所述的访问控制体系架构使能对新兴技术的支持并随着技术的演进无缝地适应关联的新协议。在一个实施例中，使能可适配客户的部署环境的综合的和异构的解决方案。本文描述在同时且无缝地适应用于不同群体的变化的信任模型和供应模型的同时支持不同线协议的访问控制解决方案。在一个实施例中，本文所述的访问控制本文档来自技高网...

【技术保护点】
一种访问控制系统，包括：访问元数据对象的访问元数据存储库，其中该访问元数据存储库中的多个访问元数据对象中的每个访问元数据对象都描述与访问服务关联的数据；输入/输出部分，配置为从第一发出请求的实体接收第一访问请求；服务控制部分，配置为确定与第一访问请求关联的第一请求类型；规格化部分，配置为生成第一规格化的访问请求；及组件控制引擎，配置为至少部分地基于第一规格化的访问请求和与第一请求类型关联的访问元数据对象来选择满足第一规格化的访问请求的至少一部分的第一功能组件；其中访问元数据存储库、输入/输出部分、服务控制部分、规格化部分和组件控制引擎是在一个或多个计算设备上实现的。

【技术特征摘要】
【国外来华专利技术】2011.05.11 US 61/485,025;2012.05.04 US 13/464,9061.一种访问控制系统，包括：访问元数据对象的访问元数据存储库，其中该访问元数据存储库中的多个访问元数据对象中的每个访问元数据对象都描述与访问服务关联的数据；输入/输出部分，配置为从第一发出请求的实体接收第一访问请求；服务控制部分，配置为确定与第一访问请求关联的第一请求类型；规格化部分，配置为生成第一规格化的访问请求，第一规格化的访问请求不包括来自第一访问请求的特定于协议的信息；及组件控制引擎，配置为至少部分地基于第一规格化的访问请求和与第一请求类型关联的访问元数据对象来选择满足第一规格化的访问请求的至少一部分的第一功能组件；其中访问元数据存储库、输入/输出部分、服务控制部分、规格化部分和组件控制引擎是在一个或多个计算设备上实现的，其中，规格化部分配置为向组件控制引擎发送特定元数据，所述特定元数据描述将被包括在来自组件控制引擎的对第一规格化的访问请求的响应中的细节；其中，所述特定元数据被包含在与第一请求类型关联的访问元数据对象内。2.如权利要求1所述的访问控制系统，其中：组件控制引擎进一步配置为向第一功能组件提供第一规格化的访问请求的至少一部分；及组件控制引擎进一步配置为使第一功能组件生成符合与第一访问请求关联的第一请求类型的第一响应的至少一部分；规格化部分进一步配置为基于由包括第一功能组件的不同功能组件生成的多个部分响应来生成完整响应；及服务控制部分进一步配置为向第一发出请求的实体提供第一响应的至少所述部分。3.如权利要求1-2中任何一项所述的访问控制系统，其中：第一发出请求的实体是作为被信任应用的第一应用；第一访问请求包括对与第二应用关联的安全令牌的请求；及生成响应的至少一部分包括生成授权第一应用代表第一应用的用户作出与第二应用关联的改变的第一令牌。4.如权利要求3所述的访问控制系统，其中：输入/输出部分进一步配置为从第二发出请求的实体接收第二访问请求，其中第二访问请求包括对与身份提供商关联的安全令牌的请求；规格化部分进一步配置为生成第二规格化的访问请求；组件控制引擎进一步配置为使第一功能组件生成授权对第三应用进行访问的第二令牌；其中第一功能组件配置为响应于接收到第一规格化的请求的至少一部分而生成第一令牌；及其中第一功能组件配置为响应于接收到第二规格化的请求的至少一部分而生成第二令牌。5.如权利要求1所述的访问控制系统，其中请求包括识别与第一功能组件关联的状态和与第二功能组件关联的状态的综合状态信息。6.如权利要求1所述的访问控制系统，进一步包括：访问策略存储库，配置为存储用于确定是否应当准许访问请求的访问策略元数据；第二功能组件，配置为响应于确定第一规格化的访问请求不满足访问策略元数据规定的标准而生成对第一发出请求的实体的包括与访问策略元数据关联的信息的响应。7.如权利要求1所述的访问控制系统，其中：输入/输出部分进一步配置为从第二发出请求的实体接收第二访问请求；服务控制部分进一步配置为确定与第二访问请求关联的第二请求类型；规格化部分进一步配置为生成第二规格化的访问请求；组件控制引擎进一步配置为至少部分地基于第二规格化的访问请求和与第二请求类型关联的访问元数据对象来选择满足第二规格化的访问请求的至少一部分的第一功能组件；规格化部分进一步配置为向第一功能组件提供第二规格化的访问请求的至少一部分；及组件控制引擎进一步配置为使第一功能组件生成符合与第二访问请求关联的第二请求类型的第二响应的至少一部分；及服务控制部分进一步配置为向第一发出请求的实体提供第一响应的至少所述部分。8.一种由一个或多个计算设备实现的访问控制方法，包括：维护访问元数据对象的访问元数据存储库，其中访问元数据存储库中的多个访问元数据对象中的每个访问元数据对象都描述与访问服务关联的数据；从第一发出请求的实体接收第一访问请求；确定与第一访问请求关联的第一请求类型；生成第一规格化的访问请求，第一规格化的访问请求不包括来自第一访问请求的特定于协议的信息；向组件控制引擎发送特定元数据，所述特定元数据(a)被包含在与第一请求类型关联的访问元数据对象内，并且(b)描述将被包括在来自组件控制引擎的对第一规格化的访问请求的响应中的细节；至少部分地基于第一规格化的访问请求和与第一请求类型关联的访问元数据对象，选择满足第一规格化访问请求的至少一部分的第一功能组件。9.如权利要求8所述的访问控制方法，进一步包括：向第一功能组件提供第一规格化的访问请求的至少一部分；利用第一功能组件生成第一响应的至少一部分，第一响应符合与第一访问请求关联的第一请求类型；及向第一发出请求的实体提供第一响应的至少所述部分。10.如权利要求8-9中任何一项所述的访问控制方法，其中：第一发出请求的实体是作为被信任应用的第一应用；第一访问请求包括对与第二应用关联的安全令牌的请求；生成响应的至少一部分包括生成授权第一应用代表第一应用的用户作出与第二应用关联的改变的第一令牌。11.如权利要求10所述的访问控制方法，进一步包括：从第二发出请求的实体接收第二访问请求，其中第二访问请求包括对与身份提供商关联的安全令牌的请求；生成第二规格化的访问请求；生成授权对第三应用进行访问的第二令牌；其中第一令牌是由令牌生成引擎响应于在该令牌生成引擎接收到第一规格化的请求的至少一部分而生成的；其中第二令牌是由该令牌生成引擎响应于在该令牌生成引擎接收到第二规格化的请求的至少一部分而生成的。12.如权利要求8所述的访问控制方法，其中请求包括识别与第一功能组件关联的状态和与第二功能组件关联的状态的综合状态信息。13.如权利要求8所述的访问控制方法，进一步包括：维护存储用于确定是否应当准许访问请求的访问策略元数据的访问策略存储库；响应于确定第一规格化的访问请求不满足由访问策略元数据规定的标准，生成对第一发出请求的实体的包括与访问策略元数据关联的信息的响应。14.如权利要求8所述...

【专利技术属性】
技术研发人员：U·丝瑞尼瓦萨，V·莫图库图，R·R·S·特拉帕提，
申请(专利权)人：甲骨文国际公司，
类型：
国别省市：