專利名稱：實現云計算環境中數據的粒度自主訪問控制的方法和系統的制作方法
技術領域：
本發明涉及云計算數據存儲的領域，更具體地，涉及對于存儲于云計算環境中的數據實現粒度數據所有者可配置訪問控制(granulardata owner-configurable access control)。
背景技術：
基于云的存儲服務，即特別地用于數據存儲和/或管理的云服務，允許組織卸載數據管理開銷并且增加地理上分開的群組之間的數據可訪問性。可從授權的用戶能夠與云存儲服務連接的任何計算裝置訪問存儲于云存儲器中的數據。例如，修理技術人員能夠從互連網連接性可用的任何作業現場訪問服務手冊和修
理報告。

發明內容
本發明的一個方面可包括用于實現云計算環境中的自主數據訪問控制的方法。這種方法可開始于通過在云計算環境中操作的訪問管理器服務(access manager service) 獲得數據請求和對于數據請求的響應消息。響應消息可以由云計算環境的數據存儲服務響應于數據請求而產生。響應消息可表示對于由數據存儲服務存儲的數據人工制品(data artifact)的訪問的允許或拒絕。可識別適用于數據請求的所有者規定的訪問規則和/或所有者規定的訪問例外。可基于適用的所有者規定的訪問規則和/或所有者規定的訪問例外確定對于數據請求的訪問響應。訪問響應可表示對于請求的數據人工制品的訪問的允許或拒絕。所有者規定的訪問規則可定義限制訪問數據人工制品的參數值。所有者規定的訪問例外可定義允許否則會被拒絕的對數據人工制品的訪問的條件。然后，確定的訪問響應可與響應消息相比較。當確定的訪問響應不匹配響應消息時，響應消息可被否決 (override)以表達(express)確定的訪問響應。當確定的訪問響應匹配響應消息時，響應消息可被傳輸到數據請求的發起實體。本發明的另一方面可包括能夠實現對于云存儲服務的自主數據訪問控制的系統。 這種系統可包括表示電子數據文件的數據人工制品、云計算環境、數據存儲云服務和訪問管理器云服務。云計算環境可包含被配置為根據云計算模型操作的云服務提供器。數據存儲云服務可被配置為管理云計算環境內的數據人工制品的存儲和訪問。訪問管理器云服務可被配置為對于由數據存儲云服務管理的數據人工制品提供自主訪問控制。自主訪問控制可以在數據存儲云服務執行的訪問控制操作之外(in addition to)被執行。自主訪問控制能夠撤銷(countermand)由數據存儲云服務做出的訪問允許和訪問拒絕。本發明的另一方面可包括計算機程序產品，包含具有嵌入的計算機可用程序代碼的計算機可讀存儲介質。計算機可用程序代碼可被配置為獲得數據請求和對于數據請求的響應消息。響應消息可由在云計算環境中操作的數據存儲服務響應于數據請求而產生。響應消息可表示對于由數據存儲服務存儲的數據人工制品的訪問的允許或拒絕。計算機可用程序代碼可被配置為識別適用于數據請求的所有者規定的訪問規則和/或所有者規定的訪問例外。然后，計算機可用程序代碼可被配置為基于識別的所有者規定的訪問規則和/ 或所有者規定的訪問例外確定對于數據請求的訪問響應。訪問響應可表示對于請求的數據人工制品的訪問的允許或拒絕。所有者規定的訪問規則可定義限制訪問數據人工制品的參數值。所有者規定的訪問例外可定義允許否則會被拒絕的對數據人工制品的訪問的條件。 計算機可用程序代碼可被配置為比較確定的訪問響應與響應消息。當確定的訪問響應不匹配響應消息時，計算機可用程序代碼可被配置為否決響應消息以表達確定的訪問響應。計算機可用程序代碼可被配置為當確定的訪問響應匹配響應消息時將響應消息傳輸到數據請求的發起實體。本發明的又一方面可包括用于實現云存儲系統中的自主數據訪問控制的方法。這種方法可在云存儲系統的數據存儲云服務接收訪問由云計算環境內的云存儲系統存儲的數據人工制品的數據請求時開始。可通過數據存儲云服務確定對于數據請求的響應，從而表示對于數據人工制品的訪問的允許或拒絕。訪問管理器云服務可檢測數據存儲云服務對于數據請求的接收。訪問管理器云服務然后可在所確定的響應的執行之前中斷數據存儲云服務對于數據請求的處理。可通過訪問管理器云服務獲得數據請求的副本和數據存儲云服務的響應。訪問管理器云服務可針對為數據人工制品定義的自主訪問控制來評價數據請求副本的內容。可通過與數據人工制品相關聯的實體配置自主訪問控制。可通過訪問管理器云服務確定來自數據請求副本的所述評價的響應，從而表示對于數據人工制品的訪問的允許或拒絕。訪問管理器云服務然后可比較由數據存儲云服務確定的響應與內部確定的響應。當比較表示數據存儲云服務與訪問管理器云服務的響應不一致時，訪問管理器云服務可否決數據存儲云服務的響應。當比較表示數據存儲云服務與訪問管理器云服務的響應一致時，訪問管理器云服務可釋放數據存儲云服務對于數據請求的處理的中斷，從而允許數據存儲云服務完成數據請求的實現。


圖1是示出根據這里公開的本發明的配置的實施例的通過使用云計算環境中的數據存儲服務實現對于為其提供訪問的數據人工制品的粒度自主訪問控制的概念處理流程圖。圖2是示出根據這里公開的本發明的配置的實施例的對于在云計算環境中操作的數據存儲服務提供粒度自主訪問控制的系統的示意圖。圖3是在總體上詳述根據這里公開的本發明的配置的實施例的用于實現自主訪問控制的關于數據存儲服務的訪問管理器服務的功能的方法的流程圖。圖4是描述根據這里公開的本發明的配置的實施例的訪問管理器服務的操作的方法的流程圖。圖5是詳述根據這里公開的本發明的配置的實施例的數據所有者對訪問管理器服務的使用的方法的流程圖的集合。
具體實施例方式雖然數據存儲和數據傳送總是關心數據安全性，但是，控制其它用戶和/或組織對于存儲的數據的訪問或可見性對于數據所有者(即，授權用戶、組織)來說經常是受限的。由于云服務一般被設計為適應廣泛的用戶類型和需求，因此，云服務的特征和/或能力本質上常常是基本的或一般性的。因而，當與許多組織所習慣的企業級數據管理系統相比時，可用于云存儲服務中的訪問控制的類型(即，訪問控制列表、用戶群組、基于角色的訪問等)是相對簡單的。利用云存儲服務的每個組織被限于相同的訪問控制。雖然基于角色的訪問控制方法可以適用于大的組織，但它對于較小的組織可能過度復雜。類似地，適于中小組織的基于用戶群組的方法對于大企業可能是不適用的。并且，一個組織的通過云存儲服務存儲的數據受到服務提供器的可見性和/或訪問規則的約束。在云存儲服務提供器改變它們的可見性/訪問規則的情況下，對于組織的數據的訪問可能會受損。本發明公開了一種用于實現對于由云計算環境中的數據存儲云服務處理的數據人工制品的自主數據訪問控制的方案。數據存儲云服務可管理數據人工制品的存儲和訪問。訪問管理器云服務可應用一組自主訪問控制，以動態調整由數據存儲云服務確定的對于數據人工制品的訪問的允許或拒絕。自主訪問控制可由所有者規定的訪問規則和所有者規定的訪問例外表示。所有者規定的訪問規則可定義限制對于數據人工制品的訪問的參數值。所有者規定的訪問例外可定義允許否則會被拒絕的對數據人工制品的訪問的條件。本領域技術人員可以理解，本發明的方面可實現為系統、方法或計算機程序產品。 因此，本發明的方面可采取完全硬件實施例、完全軟件實施例(包含固件、駐留軟件、微代碼等)或組合軟件和硬件方面的實施例，它們在這里均可被統稱為“電路”、“模塊”或“系統”。并且，本發明的方面可采取實施在具有在其上面實施的計算機可讀程序代碼的一個或更多個計算機可讀介質中的計算機程序產品的形式。可以利用一個或更多個計算機可讀介質的任意組合。計算機可讀介質可以是計算機可讀信號介質或計算機可讀存儲介質。計算機可讀存儲介質可例如為但不限于電子、磁、 光學、電磁、紅外或半導體系統、裝置或設備或以上的任意適當的組合。計算機可讀存儲介質的更具體的例子(非詳盡的列表)會包含以下方面具有一個或更多個導線的電連接、 便攜式計算機盤、硬盤、隨機存取存儲器(RAM)、只讀存儲器(ROM)、可擦可編程只讀存儲器 (EPR0M或閃存)、光纖、便攜式光盤只讀存儲器(CD-ROM)、光學存儲設備、磁存儲設備或以上的任意適當的組合。在本文件的上下文中，計算機可讀存儲介質可以是可包含或存儲供指令執行系統、裝置或設備使用或與其組合的程序的任何有形介質。計算機可讀信號介質可例如在基帶中或作為載波的一部分包含具有在其中實施的計算機可讀程序代碼的傳播的數據信號。這種傳播的信號可采取包含但不限于電磁、光學或它們的任意適當的組合的各種形式中的任一種。計算機可讀信號介質可以為不是計算機可讀存儲介質并且可傳送、傳播或傳輸供指令執行系統、裝置或設備使用或與其組合的程序的任何計算機可讀介質。可通過使用包含但不限于無線、有線、光纖電纜、RF等或以上的任意適當的組合的任意適當的介質傳送在計算機可讀介質上實施的程序代碼。可以以包括諸如Java、 SmalltalKC++等的面向對象的編程語言和諸如“C”編程語言或類似的編程語言的常規的過程編程語言的一個或更多個編程語言的任意組合編寫用于實施本發明的方面的操作的計算機程序代碼。程序代碼可完全在用戶的計算機上、部分地在用戶的計算機上、作為獨立軟件包、部分地在用戶的計算機上并且部分地在遠程計算機上、或者完全在遠程計算機或服務器上執行。在后一種方案中，遠程計算機可通過包含局域網絡(LAN)或廣域網絡(WAN) 的任意類型的網絡與用戶的計算機連接，或者，可與外部計算機連接(例如，使用互連網服務商通過互連網)。以下參照根據本發明的實施例的方法、裝置(系統)和計算機程序產品的流程圖和/或框圖描述本發明的方面。可以理解，可通過計算機程序指令實現流程圖和/或框圖的各塊和流程圖和/或框圖中的塊的組合。這些計算機程序指令可被提供給通用計算機、 專用計算機或其它的可編程數據處理裝置的處理器，以生成機器，使得通過計算機或其它的可編程數據處理裝置的處理器執行的指令產生用于實現在流程圖和/或框圖塊中規定的功能/動作的裝置。這些計算機程序指令也可被存儲于計算機可讀介質中，該計算機可讀介質可引導計算機、其它的可編程數據處理裝置或其它的設備以以特定的方式工作，使得存儲于計算機可讀介質中的指令產生包含實現在流程圖和/或框圖塊中規定的功能/動作的指令的制造物品。計算機程序指令也可被加載到計算機、其它的可編程數據處理裝置或其它的設備上，以導致在計算機、其它的可編程裝置或其它的設備上執行一系列的操作步驟，以產生計算機實現的處理，使得在計算機或其它的可編程裝置上執行的指令提供用于實現在流程圖和/或框圖塊中規定的功能/動作的處理。圖1是示出根據這里公開的本發明的配置的實施例的通過使用云計算環境110中的數據存儲服務115實現對于對其提供訪問的數據人工制品145的粒度自主訪問控制130 的概念處理流程圖100。在處理流程100中，數據消費者105可向在云計算環境110中操作的數據存儲服務115發送對于數據人工制品145的數據請求107。數據消費者105可與請求訪問指定的數據人工制品145的人類用戶和/或計算實體對應。數據人工制品145可表示以電子格式中存儲的各種數據(即，文本文件、圖像文件、音頻文件、多媒體文件等)。數據請求107可以是識別提出請求的數據消費者105和要被訪問的數據人工制品 145的電子消息。根據消息格式和/或數據存儲服務115，數據請求107還可包含各種其它消息傳遞信息，諸如提出請求的數據消費者105的互連網協議(IP)地址、由數據消費者105 執行的動作和數據請求107的時間戳等。云計算環境110可表示根據云計算模型配置的硬件/軟件計算環境。云計算環境 110可實現對于像貯藏庫(i^pository) 125那樣的可配置計算資源的共享池的按需訪問。 云計算環境110可實現為私有云(S卩，由單獨的組織所有)、社區云(即，由多個和諧的組織共享)、公共云(即，可用于公眾或大群組)或混合云(即，多個云類型的配置)。數據存儲服務115可表示特別地被配置為管理其相關聯的云貯藏庫125中的數據人工制品145的存儲和訪問的云服務。數據存儲服務115和貯藏庫125可表示統稱為云存儲系統或云存儲服務的東西。除了數據人工制品145的簡單的存儲，數據存儲服務115也可包含諸如文件共享、版本控制和在線協作的各種數據管理功能。數據存儲服務115可確定是允許還是拒絕數據請求107。但是，與典型的數據存儲服務115實現中不同，訪問管理器服務120可中斷由數據存儲服務115對于數據人工制品145的提供，以基于粒度自主訪問控制130(這里稱為自主訪問控制130)檢查是否允許數據人工制品145的提供。訪問管理器服務120可表示被配置為用作實現在由數據存儲服務115提供的數據人工制品145上執行自主訪問控制130的獨立機制的云服務。即，訪問管理器服務120可基于在自主訪問控制130中定義的參數來調整數據存儲服務115向數據消費者105的數據人工制品145的提供。例如，自主訪問控制130可被用來將對于特定的數據人工制品145的訪問限制到僅三個用戶105，即使數據存儲服務115通常會向其它的用戶105提供數據人工制品145。自主訪問控制130可表示可根據數據人工制品145的數據所有者150的裁量被設定以允許和/或拒絕對于數據人工制品145的訪問的可配置參數。數據所有者150可表示數據人工制品145的授權用戶或組織或具有授權以代表授權用戶/組織的用戶。例如，授權組織的數據管理員可被給予管理對于所有數據人工制品145的自主訪問控制130的任務，盡管不是數據人工制品145的授權用戶。自主訪問控制130可包含所有者規定的訪問規則135和所有者規定的訪問例外 140。所有者規定的訪問規則135(這里稱為訪問規則135)可表示限制對于數據人工制品 145的訪問的條件。所有者規定的訪問例外140(這里稱為訪問例外140)可表達對于訪問規則135的經授權的例外。訪問規則135可意味著標準策略，而訪問例外140可表示與標準策略相反的偶然和/或暫時的允許。用于訪問規則135和訪問例外140的參數可利用在數據請求107內包含的數據字段、對于數據人工制品145定義的元數據和/或由數據存儲服務115利用的數據要素(例如，用戶名稱、用戶角色、訪問等級等)。一旦訪問管理器服務120查明數據請求107是否應被允許/拒絕，訪問管理器服務120可確定通過數據存儲服務115的數據人工制品145的提供應該被否決還是繼續。根據該確定，訪問管理器服務120可向數據消費者105發送適當的訪問響應147(即，訪問準予/拒絕)。為了示出常規的方法和由自主訪問控制130提供的方法之間的差異，使用外部實體105需要一次訪問以查看一般限于內部用戶105的數據人工制品145的例子。當使用常規的云數據存儲服務115時，通過使用數據存儲服務115的可用的訪問控制機制，外部實體105可被分配對于數據人工制品145的適當訪問等級(即，向外部實體 105分配適當的角色)。但是，這樣做將向外部實體105提供對于可用于該訪問等級的所有數據人工制品145的不受限的訪問-如果其它的敏感內部數據人工制品145共享該訪問等級，那么這是不希望的情況。作為替代，我們嘗試通過使用只能訪問特定的數據人工制品145的數據存儲服務 115的訪問控制機制來定義新的角色/群組。雖然是更好的選擇，但是，訪問控制機制很可能在廣義上被定義并且將不支持對于外部實體105能夠在數據人工制品145上執行的動作類型的限制。因此，該方法雖然將外部實體105的訪問限于特定的數據人工制品145，但不能確保外部實體105將只能查看數據人工制品145。對于這兩個選擇，數據所有者150必須記著一旦確定訪問會話完成則從數據存儲服務115的訪問控制機制去除或去激活(deactivate)外部實體105的訪問。另一常用的用于處理這種類型的情況的手段可以是以電子的方式向外部實體105 提供數據人工制品145的副本(S卩，電子郵件、文件傳送)。在這種情況下，數據所有者150 放棄對于數據人工制品145的控制；外部實體105可以沒有限制地分配和/或修改數據人工制品145。如果外部實體105對數據人工制品145處理不當，那么該選擇會有損于組織。作為替代方案，可對于數據存儲服務115使用UNIX或類UNIX操作系統的固有文件安全特征。UNIX或類UNIX操作系統可使保護位與存儲的數據人工制品145相關聯，保護位對于數據所有者、所有者屬于的群組和所有其它的用戶定義讀取/寫入/執行許可。雖然該特征顧及外部實體105可關于數據人工制品145執行的動作，但是，該選擇會招致與訪問有關的其它問題。首先，大多數的組織利用基于INTEL的操作系統，這在通過不同的操作系統嘗試存儲數據人工制品145時可導致互操作性問題。第二，只能通過實際的作者(創建數據人工制品145的用戶)或系統管理員執行改變保護位以改變許可。由于這是基于云的數據存儲服務115，因此，可能不能向數據所有者150提供任何執行基于操作系統的命令的能力。即使這些問題被克服，該方法也可能具有其它的與性能有關的缺點。不能使用保護位來支持其中數據消費者105和/或數據所有者150可能是多個群組的成員的訪問控制機制。并且，數據消費者105屬于的群組不能與要被賦予群組許可的數據所有者150不同。 不能使用系統管理員以外的代理來做出許可改變。最后，一旦保護位改變，該改變就可能沒有區別地影響群組的所有成員的訪問。通過使用訪問管理器服務120，將數據人工制品145限于內部用戶可被表示為訪問規則135，因為它是這個和/或其它數據人工制品145的標準訪問策略。外部實體105訪問數據人工制品145的需要可被定義為訪問例外140。訪問例外140可被編寫為對于外部實體105的標識符是特有的，將允許的動作僅限于查看并且僅允許單個訪問會話。并且，通過該方法，數據人工制品145可保持安全地存儲于貯藏庫125中；外部實體105不能存儲本地副本。由訪問規則135表示的數據人工制品145的標準訪問策略可保持完整。一旦訪問管理器服務120執行了訪問例外140，訪問例外140可被去激活以防止外部實體105對于數據人工制品145的進一步訪問。通過該方法，可以在云計算環境110中提供以下的能力·基于組織的操作國的數據訪問規定/限制的組織特有的“拒絕方列表”，而不管貯藏庫125駐留在什么國家， 如果數據存儲服務115被損害和/或改變它們的內部訪問/可見性規則，數據泄漏的最小化·云數據存儲服務115主持(host)組織的內聯網的能力云計算環境110可包含傳輸在載波內編碼的數據所需要的任何硬件/軟件/和固件。數據可包含于模擬或數字信號內并且通過數據或語音信道被傳輸。云計算環境110可包含本地組件和在計算設備組件間以及在集成設備組件和外圍設備之間交換通信所需要的數據路徑。云計算環境110還可包含一起形成例如互連網的數據網絡的網絡設備，諸如路由器、數據線、集線器和中間服務器。云計算環境110還可包含諸如電話交換機、調制解調器、蜂窩式通信塔等的基于電路的通信組件和移動通信組件。云計算環境110可包含基于線路的和/或無線通信路徑。如這里使用的那樣，給出的貯藏庫125可以是被配置為存儲數字信息的物理或虛擬存儲空間。可以在物理上在包含但不限于磁盤、光盤、半導體存儲器、數字編碼塑料存儲器、全息存儲器或任何其它的記錄介質的任意類型的硬件內實現貯藏庫125。貯藏庫125可以是獨立存儲單元以及由多個物理設備形成的存儲單元。另外，可以以各種方式在貯藏庫 125內存儲信息。例如，可以在數據庫結構內或者可以在文件存儲系統的一個或更多個文件內存儲信息，這里，每個文件可以出于信息搜索目的而被索引或者可以不被索引。并且，貯藏庫125可利用一個或更多個加密機制以保護存儲的信息以避免未授權的訪問。圖2是示出根據這里公開的本發明的配置的實施例的對于在云計算環境205中操作的數據存儲服務225提供粒度自主訪問控制的系統200的示意圖。可以在處理流程100 的上下文中利用系統200。在系統200中，可通過數據存儲服務225在云計算環境205的貯藏庫210內存儲數據人工制品215。數據人工制品215的數據所有者280可利用訪問管理器服務M5的所有者規定的訪問規則255(這里稱為訪問規則25 和/或所有者規定的訪問例外沈0 (這里被稱為訪問例外260)，來為尋求對于數據人工制品215的訪問的數據消費者265定義自主訪問控制。數據所有者280可表示數據人工制品215的授權用戶或發起組織或具有代表授權用戶/組織的授權的用戶。數據消費者265可與請求訪問指定的數據人工制品215的人類用戶和/或計算實體(即，其它的云服務)對應。數據人工制品215可表示以電子格式存儲的各種數據(即，文本文件、圖像文件、音頻文件、多媒體文件等)。云計算環境205可表示實現云計算模型的硬件/軟件組件的配置。一般地，云計算環境205可包含諸如服務器、數據存儲裝置和軟件應用的支持在互連網上提供云服務的硬件/軟件組件。在本例子中，云計算環境205可包含用于數據人工制品215的存儲的貯藏庫210、 用于數據存儲服務225的服務提供器(servic印rOVider)220和用于訪問管理器服務對5 的服務提供器對0。應當注意，在不背離本公開的本實施例的精神的情況下，附加的貯藏庫210和/或服務提供器220和/或MO以及由服務提供器220和/或240提供的其它的云服務可包含于云計算環境205內。注意，同樣重要的是，由于云計算環境205基于互連網，因此，系統200的各種組件之間的通信所需要的任何計算機網絡(例如，公有、私有、WAN、LAN等)可作為云計算環境 205的一部分被包含并且未作為單獨的實體被示出。服務提供器220和240可表示支持它們各自的服務225和245的操作所需要的硬件和/或軟件組件。在另一設想的實施例中，數據存儲服務225和訪問管理器服務245可由同一服務提供器220或240提供。在系統200中，每個服務提供器220和240可被示為分別具有單獨的數據存儲裝置230和250。應當注意，數據存儲裝置230和250的使用是要示出每個云服務225和M5 特定的數據要素的邏輯分離，而不旨在表達所需的實現。在系統200的實現中，數據存儲裝置230和/或250的內容可被存儲于貯藏庫210和/或可通過相應的服務提供器220或240訪問的另一這種貯藏庫210中。即，數據存儲裝置230和250的內容可存儲于包含在云計算環境205中的可由服務提供器220或240訪問的任何貯藏庫210上。數據存儲服務225可表示被配置為管理云貯藏庫210中的數據人工制品215的存儲和訪問的云服務。除了數據人工制品215的存儲以外，數據存儲服務225還可包含諸如文件共享、版本控制和在線協作的各種數據管理功能。數據存儲服務225可基于數據存儲服務225特定的一組數據處理規則(data handling rule) 235來確定是允許還是拒絕對于數據人工制品215的訪問。數據處理規則 235可表示由政府機構或組織施加的適用于服務提供器220、貯藏庫210、數據所有者觀0和 /或數據消費者265的位置的數據訪問要求和/或規定。例如，對基于美國的醫療數據的數據存儲服務225可具有確保由數據存儲服務 225處理的數據人工制品215符合健康保險攜帶和責任法案(HIPAA)的數據處理規則235。訪問管理器服務245可表示被配置為用作獨立機制的云服務，該獨立機制可根據數據所有者觀0的裁量對于由數據存儲服務225提供的數據人工制品215通過訪問規則 255進一步限制訪問或者通過訪問例外沈0允許特許。訪問管理器服務245因此能夠在提供對于受訪問規則255和/或訪問例外260約束的數據人工制品215的訪問時否決數據存儲服務225的決定。如上所述，訪問規則255可意味著標準策略的表示，而訪問例外260可表示對由數據存儲服務225的數據處理規則235和/或訪問管理器服務245的訪問規則255體現的策略的偶然和/或暫時的免除。應當強調，訪問規則255和訪問例外沈0的管理和執行獨立于數據存儲服務225 的操作而發生。即，訪問管理器服務255可在數據存儲服務225完成其操作之后執行其操作。數據存儲服務225可以在不知道訪問管理器服務255的動作的情況下操作。因此，訪問管理器服務255的功能可被應用于當前的數據存儲服務225，而不需要云計算環境205內的體系和/或系統變化。在另一實施例中，可在提供對所請求的數據人工制品215的訪問之前作為訪問控制的最終階段由數據存儲服務225調用訪問管理器服務255。用于表達訪問規則255和訪問例外沈0的參數可利用包含于由數據存儲服務225 從數據消費者265接收的數據請求內的數據字段、對于數據人工制品215定義的元數據和 /或由數據存儲服務225利用的數據要素。這些參數的例子可包含但不限于用戶名稱、電子郵件地址、電子郵件域、IP地址、 數據人工制品215的類型、用戶角色、執行的動作的類型、數據人工制品215的置信度水平、 接收請求的時間和請求路由等。數據所有者280可通過使用在客戶機裝置270上運行的訪問管理器用戶界面275 定義訪問規則255和/或訪問例外沈0。客戶機裝置270可表示能夠運行訪問管理器用戶界面275并與云計算環境205通信的各種計算裝置。訪問管理器用戶界面275可表示其中可向數據所有者280呈現用于定義訪問規則 255和/或訪問例外沈0的可配置機制的圖形用戶界面(⑶I)。訪問管理器用戶界面275 可進一步被配置為利用安全措施來限制對于數據項和/或特征的訪問或使用。例如，為了將訪問例外260的創建限制于具有“管理員”角色的數據所有者觀0，可以使用基于角色的方法。并且，可以使用不同的角色來限制數據所有者280可創建和/或修改的訪問規則255的類型。應當注意，不使用訪問管理器用戶界面275來與數據存儲服務225交互作用。與數據存儲服務225的交互作用將利用與數據存儲服務225相關聯的用戶界面(未示出)。云計算環境205可包含傳輸在載波內編碼的數據所需要的任何硬件/軟件/和固件。數據可包含于模擬或數字信號內并且通過數據或語音信道被傳輸。云計算環境205可包含本地組件和在計算設備組件間以及在集成設備組件和外圍設備之間交換通信所需要的數據路徑。云計算環境205還可包含一起形成例如互連網的數據網絡的網絡設備，諸如路由器、數據線、集線器和中間服務器。云計算環境110還可包含諸如電話交換機、調制解調器、蜂窩式通信塔等的基于電路的通信組件和移動通信組件。云計算環境205可包含基于線路的和/或無線通信路徑。如這里使用的那樣，給出的貯藏庫210和數據存儲裝置230和250可以是被配置為存儲數字信息的物理或虛擬存儲空間。可以在物理上在包含但不限于磁盤、光盤、半導體存儲器、數字編碼塑料存儲器、全息存儲器或任何其它的記錄介質的任意類型的硬件內實現貯藏庫210和數據存儲裝置230和250。貯藏庫210和數據存儲裝置230和250可以是獨立存儲單元以及由多個物理設備形成的存儲單元。另外，可以以各種方式在貯藏庫210 和數據存儲裝置230和250內存儲信息。例如，可以在數據庫結構內或者可以在文件存儲系統的一個或更多個文件內存儲信息，這里，每個文件可以出于信息搜索目的而被索引或者可以不被索引。并且，貯藏庫210和/或數據存儲裝置230和/或250可利用一個或更多個加密機制來保護存儲的信息以避免未授權的訪問。圖3是在總體上詳述根據這里公開的本發明的配置的實施例的用于實現自主訪問控制的關于數據存儲服務的訪問管理器服務的功能的方法300的流程圖。可以在處理流程100和/或系統200的上下文內執行方法300。方法300可示出由數據存儲服務執行的一系列步驟305 325和響應于數據存儲服務執行步驟305和325而被觸發的由訪問管理器服務執行的第二組步驟350 395。為了簡化，首先討論方法300的與數據存儲服務有關的一部分，然后討論訪問管理器服務的那些步驟。方法300的步驟305 325可表示由數據存儲服務對數據請求的典型的處理。在步驟305中，數據存儲服務可從數據消費者接收數據請求。如果需要的話，在步驟310中， 數據存儲服務可啟動用于數據消費者的用戶會話。在步驟315中，數據存儲服務可基于其內部處理規則確定對于數據請求的提供器響應(即，允許，拒絕)。應當注意，使用術語“提供器響應”來區分由數據存儲服務確定的響應和由訪問管理器服務確定的響應(由術語“訪問響應”表示)。數據存儲服務然后可在步驟320中創建對于數據請求的響應消息。在步驟325中， 可通過數據存儲服務向請求者(數據消費者)發送響應消息。如虛線307所示，數據存儲服務執行步驟305可觸發訪問管理器服務執行步驟 350。在步驟350中，訪問管理器服務可諸如通過使用監聽器部件或通過詢問數據存儲服務的消息隊列來檢測數據存儲服務已接收數據請求。在步驟355中，訪問管理器服務可獲得數據請求的副本。在步驟360中，訪問管理器服務可識別適用于數據請求的所有者規定的訪問規則和/或例外。然后，在步驟365中， 可由訪問管理器服務基于識別的訪問規則和/或例外確定對于數據請求的訪問響應。訪問管理器服務可響應于數據存儲服務執行步驟325而執行步驟370。在步驟370 中，訪問管理器服務可截斷(intercept)數據存儲服務發送的響應消息。訪問管理器服務可在步驟375中確定它確定的訪問響應是否匹配截斷的響應消息的提供器響應。當響應匹配(即，兩個服務均同意請求者應具有或不應具有訪問權)時，可以執行步驟380，其中訪問管理器服務向請求者發送響應消息(即，釋放截斷的響應消息)。當響應不匹配時，訪問管理器服務可在步驟385中否決數據存儲服務的響應消息。在執行步驟385的點上，可存在兩種可能的情況-訪問管理器服務希望拒絕數據存儲服務允許的訪問或允許數據存儲服務拒絕的訪問。在任一種情況下，可以執行步驟390，其中訪問管理器服務可向數據存儲服務提供對于請求者的會話許可的必要的否決修改。訪問管理器服務然后可在步驟395中修改響應消息的響應并且將響應消息發送給請求者。圖4是描述根據這里公開的本發明的配置的實施例的訪問管理器服務的操作的方法400的流程圖。可以在處理流程100、系統200的上下文內和/或與方法300結合執行方法400。方法400可在步驟405開始，其中訪問管理器服務可獲得數據請求和由數據存儲服務確定的響應消息。可在步驟410中對于數據請求識別所有者規定的訪問規則和/或例外。在步驟415中，可以確定對于數據請求是否存在訪問例外。當不存在訪問例外時， 識別的訪問規則可在步驟420中聚合(aggregate)。由于訪問規則可能由單獨的用戶產生、在各種粒度水平上存在并且/或者適用于不同參數，因此，存在訪問規則相互沖突的可能性。訪問管理器服務可利用優先權值以確立哪個訪問規則應占先。如果需要的話，可以在步驟425中使用該優先權值以解決識別的訪問規則之間的沖突。在步驟430中，可基于識別的訪問規則確定訪問響應。可以在步驟435中確定所確定的訪問響應是否匹配來自數據存儲服務的響應消息。當確定的訪問響應匹配響應消息時，可以執行步驟440，其中將響應消息傳輸到請求者(數據消費者)。當確定的訪問響應不匹配響應消息時，在步驟465中，請求者的會話可被修改以按每個確定的訪問響應允許或拒絕訪問。在步驟470中，反映確定的訪問響應的響應消息可被發送給請求者。當在步驟415中確定存在訪問例外時，方法400的流程可前進到步驟445，其中訪問管理器服務可請求來自請求者的請求認證。對于訪問例外的認證可以是附加的安全階段，并可被推薦用于敏感或專用數據人工制品。認證可采取各種形式，包含但不限于質詢/響應格式、一次性密碼、數字令牌、存儲于智能卡上的認證參數、管理員對會話的人工授權、生物測定讀數、認證形式的組合等。可在步驟450中確定認證的有效性。當請求者提供有效的認證時，可執行步驟 455，其中訪問管理器服務可根據訪問例外修改請求者的會話。當請求者提供無效的認證時，可在步驟460中將無效的認證通知給請求者。從步驟460，流程可返回再次請求認證的步驟445。圖5是詳述根據這里公開的本發明的配置的實施例的數據所有者使用訪問管理器服務的方法500和520的流程圖的集合。可以在處理流程100、系統200的上下文內和/ 或與方法300和/或400結合執行方法500和/或520。在方法500中，用戶可在步驟505中通過使用訪問管理器用戶界面定義新的訪問規則。然后可在步驟510中向輸入的訪問規則分配優先權值。作為替代方案，訪問管理器服務可被配置為自動執行步驟510，從而基于創建訪問規則的用戶分配優先權值。例如，與由團隊級用戶創建的訪問規則相比，由管理員級用戶創建的訪問規則可被自動分配更高的優先權值。在步驟515中，可存儲新的訪問規則供訪問管理器服務使用。方法520可描述訪問例外的創建。方法520可在步驟525中開始，其中管理員可在訪問管理器用戶界面中定義訪問例外。可以在步驟530中確定是否啟用自動認證(即， 由訪問管理器服務自動產生的認證信息)。由訪問管理器服務使用的自動認證的類型可被擴展為包含強認證，即需要兩種或更多種識別手段的認證方法。例如，訪問管理器服務可產生暫時的密碼和質詢/響應組。為了獲得訪問，請求者必須正確地輸入密碼和響應。當自動認證被啟用時，訪問管理器服務可在步驟535中向管理員提供認證信息。 在步驟MO中，管理器可向準予訪問的指定用戶提供認證信息。從步驟M0，如方法400的步驟445和450那樣，訪問管理器服務可繼續以電子的方式認證指定的用戶。當自動認證不被啟用時，可執行步驟M5，其中管理員可等待指定用戶的帶外認證。例如，指定的用戶可聯系管理員并且在口頭上提供識別信息(即，地址、出生日期、社會安全號碼)。可以在步驟550中確定有效認證的接收。當接收的認證有效時，管理員可在步驟 555中為訪問管理器服務手動激活訪問例外。當接收的認證無效時，方法520的流程可返回步驟M5，其中管理員可繼續等待有效的認證。圖中的流程和框圖示出根據本發明的各種實施例的系統、方法和計算機程序產品的可能的實現的結構、功能和操作。在這方面，流程圖或框圖中的各塊可表示包含用于實現規定的邏輯功能的一個或更多個可執行指令的模塊、段或代碼的一部分。應當注意，在一些替代性實現中，在塊中注明的功能的次序可以與在圖中注明的次序不同。例如，根據包含的功能，連續示出的兩個塊事實上可被基本上同時執行，或者，各塊有時可以以相反的次序被執行。還應注意，可通過執行規定的功能或動作的基于專用硬件的系統或專用硬件和計算機指令的組合，實現框圖和/或流程圖的每個塊和框圖和/或流程圖的各塊的組合。
權利要求
1.一種計算環境中的方法，包括由在云計算環境中操作的訪問管理器服務獲得數據請求和對于數據請求的響應消息， 其中，所述響應消息是由云計算環境的數據存儲服務響應于數據請求而產生的，其中，所述響應消息指示對于由數據存儲服務存儲的數據人工制品的訪問的允許和拒絕中的至少一個；識別適用于數據請求的至少一個所有者規定的訪問規則和至少一個所有者規定的訪問例外中的至少一個的存在；基于識別的至少一個所有者規定的訪問規則和至少一個所有者規定的訪問例外確定對于數據請求的訪問響應，其中，所述訪問響應指示對于在數據請求中請求的數據人工制品的訪問的允許和拒絕中的至少一個，其中所有者規定的訪問規則定義限制訪問數據人工制品的至少一個參數，并且其中所有者規定的訪問例外定義允許訪問數據人工制品的條件，其中訪問被數據存儲服務和至少一個所有者規定的訪問規則中的至少一個拒絕； 比較確定的訪問響應與響應消息；如果確定的訪問響應不匹配響應消息，則否決響應消息以表達確定的訪問響應；和如果確定的訪問響應匹配響應消息，則將響應消息傳輸到數據請求的發起實體。
2.根據權利要求1的方法，其中，獲得數據請求和響應消息還包含 檢測數據存儲服務對數據請求的接收；和從數據存儲服務請求所述數據請求的副本。
3.根據權利要求1的方法，其中，獲得數據請求和響應消息還包含 檢測數據存儲服務對響應消息的傳送；和截斷響應消息的傳送。
4.根據權利要求1的方法，其中，如果所述識別的結果是存在所有者規定的訪問例外， 則所述方法還包括請求來自數據請求的發起實體的認證數據； 在接收到認證數據時，證實所述認證數據；和如果認證數據被確定為有效，則立即否決響應消息以表達所有者規定的訪問例外。
5.根據權利要求4的方法，還包括評估所有者規定的訪問例外是否要保持激活以供訪問管理器服務使用；和如果所有者規定的訪問例外被評估為不保持激活，則自動去激活所有者規定的訪問例夕卜，其中，所述所有者規定的訪問例外不可用于訪問管理器服務。
6.根據權利要求4的方法，還包括如果認證數據被確定為無效，則將無效認證數據通知給數據請求的發起實體；和重復請求和證實來自發起實體的認證數據，其中，對于數據人工制品的訪問被拒絕，直到有效認證數據的接收、由數據存儲服務創建的與數據請求相關聯的會話的終止、和預定的時間限制的期滿中的至少一個。
7.根據權利要求1的方法，其中，訪問響應的確定還包含 聚合所述至少一個識別的所有者規定的訪問規則；識別所有者規定的訪問規則的聚合內沖突的存在，其中，如果至少兩個所有者規定的訪問規則的參數值相互排斥，則所述至少兩個所有者規定的訪問規則被視為沖突，如果沖突存在，通過使用與識別為沖突的每個所有者規定的訪問規則相關聯的優先權值來解決所述沖突，其中，具有最高優先權值的所有者規定的訪問規則優先于具有較低優先權值的所有者規定的訪問規則被使用，其中從所有者規定的訪問規則的聚合去除具有較低優先權值的所有者規定的訪問規則；比較與由所有者規定的訪問規則的聚合表達的參數值對應的來自數據請求的數據值；如果所述比較表示數據值滿足參數值，則將訪問響應設為拒絕對于數據人工制品的訪問；和如果所述比較表示參數不被數據值滿足，則將訪問響應設為允許對于數據人工制品的訪問ο
8.根據權利要求1的方法，其中，響應消息的否決還包含實施對于由數據存儲服務為數據請求創建的會話的至少一個參數的修改，其中，所述至少一個參數控制對會話準予的訪問；修改響應消息以反映確定的訪問響應；和將響應消息傳輸到數據請求的發起實體。
9.一種系統，包括表示電子數據文件的多個數據人工制品；包含被配置為根據云計算模型操作的多個云服務提供器的云計算環境；被配置為管理云計算環境內的多個數據人工制品的存儲和訪問的數據存儲云服務；被配置為對由數據存儲云服務管理的多個數據人工制品提供自主訪問控制的訪問管理器云服務，其中，在由數據存儲云服務執行的訪問控制操作之外執行所述自主訪問控制， 并且其中訪問管理器云服務的自主訪問控制能夠撤銷由數據存儲云服務做出的訪問允許和訪問拒絕。
10.根據權利要求9的系統，其中，數據存儲云服務還包含定義對于訪問多個數據人工制品的限制的多個數據處理規則，其中，數據存儲云服務利用所述多個數據處理規則來對于請求訪問數據人工制品的數據消費者確定訪問允許和訪問拒絕中的至少一個。
11.根據權利要求9的系統，其中，訪問管理器云服務還包含定義限制訪問數據人工制品的至少一個參數值的多個所有者規定的訪問規則；和定義允許訪問數據人工制品的條件的多個所有者規定的訪問例外，其中，訪問被數據存儲服務和至少一個所有者規定的訪問規則中的至少一個拒絕。
12.根據權利要求11的系統，其中，還包括被配置為證實與所有者規定的訪問例外相關聯的認證信息的認證機制，其中，訪問管理器云服務接收到有效認證數據使得能夠實現訪問數據人工制品。
13.根據權利要求12的系統，其中，認證機制進一步被配置為自動產生認證信息。
14.根據權利要求12的系統，其中，認證機制被配置為利用強認證處理。
15.根據權利要求11的系統，還包括被配置為允許定義多個所有者規定的訪問規則和多個所有者規定的訪問例外的訪問管理器服務用戶界面。
16.一種方法，包括云存儲系統的數據存儲云服務接收數據請求，其中，所述數據請求請求訪問由云計算環境內的云存儲系統存儲的數據人工制品；數據存儲云服務確定對數據請求的響應，其中，所述確定表示對于數據人工制品允許訪問和拒絕訪問中的至少一個；訪問管理器云服務檢測數據存儲云服務對于數據請求的接收； 訪問管理器云服務在所確定的響應的執行之前中斷數據存儲云服務對于數據請求的處理；訪問管理器云服務獲得數據請求的副本和數據存儲云服務的響應； 訪問管理器云服務針對為數據人工制品定義的自主訪問控制來評價數據請求的副本的內容，其中，所述自主訪問控制由與數據人工制品相關聯的實體配置；訪問管理器云服務根據數據請求副本的所述評價確定響應，其中，所述確定表示對于數據人工制品允許訪問和拒絕訪問中的至少一個；比較由數據存儲云服務確定的響應與由訪問管理器云服務在內部確定的響應； 如果所述比較表示數據存儲云服務和訪問管理器云服務的響應不一致，則訪問管理器云服務否決數據存儲云服務的響應，其中，由訪問管理器云服務確定的響應優先于由數據存儲云服務確定的響應；和如果所述比較表示數據存儲云服務和訪問管理器云服務的響應一致，則訪問管理器云服務釋放數據存儲云服務對于數據請求的處理的中斷，其中，允許數據存儲云服務完成數據請求的實現。
17.根據權利要求16的方法，其中，數據存儲云服務對于數據請求的處理的中斷還包含訪問管理器云服務檢測所述響應從數據存儲服務向數據請求的發起實體傳送；和訪問管理器云服務截斷所述傳送。
18.根據權利要求16的方法，其中，評價數據請求副本的內容還包含訪問管理器云服務識別適用于數據請求副本的至少一個所有者規定的訪問例外的存在，其中，自主訪問控制利用所有者規定的訪問例外，其中所有者規定的訪問例外定義允許否則被數據存儲服務和自主訪問控制中的至少一個拒絕的對數據人工制品的訪問的條件；如果至少一個適用的所有者規定的訪問例外存在，則訪問管理器云服務請求來自數據請求副本的發起實體的認證數據；在接收到認證數據時，訪問管理器云服務證實所述認證數據；以及， 如果認證數據被確定為有效，則訪問管理器云服務立即否決數據存儲云服務的響應， 其中，由訪問管理器云服務確定的響應優先于通過數據存儲云服務確定的響應。
19.根據權利要求18的方法，其中，如果至少一個所有者規定的訪問例外不存在，則所述方法還包括訪問管理器云服務識別適用于數據請求副本的至少一個所有者規定的訪問規則的存在，其中，自主訪問控制利用所有者規定的訪問規則，其中所有者規定的訪問規則定義限制訪問數據人工制品的至少一個參數值；如果至少一個適用的所有者規定的訪問規則存在，則訪問管理器云服務聚合至少一個適用的所有者規定的訪問規則；訪問管理器云服務識別適用的所有者規定的訪問規則的聚合內沖突的存在，其中，如果至少兩個適用的所有者規定的訪問規則的參數值相互排斥，則所述至少兩個適用的所有者規定的訪問規則被視為沖突，如果沖突存在，訪問管理器云服務通過使用與被識別為沖突的每個所有者規定的訪問規則相關聯的優先權值來解決所述沖突，其中，具有最高優先權值的所有者規定的訪問規則優先于具有較低優先權值的所有者規定的訪問規則被使用，其中從適用的所有者規定的訪問規則的聚合去除具有較低優先權值的所有者規定的訪問規則；訪問管理器云服務比較與由適用的所有者規定的訪問規則的聚合表達的參數值對應的來自數據請求副本的數據值，其中，數據值滿足參數值表示拒絕對于數據人工制品的訪問。
20.根據權利要求16的方法，其中，數據存儲云服務的響應的否決還包含 訪問管理器云服務實施對于由數據存儲服務為數據請求創建的會話的至少一個參數的修改，其中所述至少一個參數控制對會話準予的訪問；訪問管理器云服務重新啟動數據存儲云服務對于數據請求的處理，其中，數據存儲云服務對數據請求的處理反映對于會話的至少一個參數的修改。
全文摘要
本發明涉及實現云計算環境中數據的粒度自主訪問控制的方法和系統。實現云計算環境中的自主訪問控制可從通過訪問管理器服務獲得數據請求和響應消息開始。響應消息可由數據存儲服務響應于數據請求而產生。訪問管理器服務可識別適用于數據請求的所有者規定的訪問規則和/或訪問例外。可通過使用適用的所有者規定的訪問規則和/或訪問例外確定訪問響應。響應消息和訪問響應均可表示對于請求的數據人工制品的訪問的允許或拒絕。訪問響應可與響應消息相比較。如果訪問響應不匹配響應消息，則響應消息可被否決以表達訪問響應。如果訪問響應匹配響應消息，則響應消息可被傳輸到數據請求的發起實體。
文檔編號G06F17/30GK102567454SQ20111036002
公開日2012年7月11日 申請日期2011年11月15日 優先權日2010年12月27日
發明者O·S·派克祖爾, S·P·克魯格 申請人:國際商業機器公司