CN110063065B - 用于用户授权的系统和方法 - Google Patents
用于用户授权的系统和方法 Download PDFInfo
- Publication number
- CN110063065B CN110063065B CN201780077499.8A CN201780077499A CN110063065B CN 110063065 B CN110063065 B CN 110063065B CN 201780077499 A CN201780077499 A CN 201780077499A CN 110063065 B CN110063065 B CN 110063065B
- Authority
- CN
- China
- Prior art keywords
- data
- user
- application
- specific
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种用于用户授权的计算机系统、计算机实现的方法和计算机程序产品。计算机系统存储从多个装置收集的数据。该计算机系统上的应用接收请求以用于处理来自用户的所述数据。应用检索关于与用户相关联的地理位置的数据以及与用户相关联的装置类型的数据,针对其装置类型,允许用户处理所述收集的数据。应用从已经收集了所述数据的多个装置检索关于地理位置的数据和多个装置的装置类型的数据。然后应用检查与收集的数据相关联的地理位置和装置类型是否与用户相关联的地理位置和装置类型匹配。此外,应用检查与属于位置的装置相关联的时间信息是否与在其期间请求数据处理的时间持续期匹配。如果匹配成功,则应用授权用户进行所请求的数据处理。
Description
技术领域
本发明一般涉及电子数据处理,并且更具体地说,涉及用于用户授权的计算机系统和方法。具体的使用领域是物联网(loT),并且更具体地说是工业物联网(lloT)。
背景技术
loT是物理装置的网络互连,例如车辆(也称为“连接装置”和“智能装置”)、建筑物和其它项,嵌入有电子装置、软件、传感器、致动器和网络连接,它们使这些对象能够收集和交换数据。loT允许跨过现有网络设施远程感测和/或控制对象(见https://en.wikipedia.org/wiki/lnternet_of_things)。工业物联网(lloT)是在制造业中使用loT技术。它结合了机器学习和大数据技术,利用传感器数据、机器对机器通信以及具有多年来在工业环境中存在的自动化技术。这些数据可以使像公司之类的组织更快地发现低效率和问题,节省时间和金钱,并且支持商业智能工作。具体而言,在制造中,lloT针对质量控制、可持续和绿色实施、供应链可追溯性和整体供应链不足具有巨大潜力。lloT还提供用于将工业装置连接到云计算平台和将信息传递到云平台以便对工业数据执行诸如分析或数据挖掘的各种操作的机制。从以上明显地看出,在lloT区域中收集了或将要收集大量数据,并且也明显的是,并非系统的每个用户都需要见到或者应该被允许见到系统中的各个和每个数据。由于云计算平台按其性质包括来自大用户基数的数据,因此正确的访问控制的出现对于保护敏感的工业数据来说至关重要。此外,由于云计算平台被设想为潜在地属于具有关于控制访问的不同的要求的不同利益相关者的数据的中央存储库,因此提供对通过系统和装置的整个生命周期收集的数据的受控访问的能力是lloT内重要的要求。
基于角色的访问控制(RBAC)是由当今云计算平台提供的一种机制,以满足这些需求。RBAC尝试基于用户的相关联角色提供细粒度访问控制。然而,RBAC方法不足以满足lloT系统所需的更精细的访问控制要求。例如,具有指定角色的用户需要被许可查看与仅在具体地理位置中的装置有关的数据,并且需要对同一用户隐藏与另一位置中的装置有关的信息。
使用RBAC方法实现细粒度访问控制连同位置或设备概念的方法将导致“角色”数量呈指数增长,并且潜在地导致复制、维护问题以及在某些情况下无法保护信息的错误情况。因此,存在对于提供具有更高粒度的更有效率的用户授权的方法和/或处理系统的需要。
发明内容
该问题由描述如独立权利要求中所描述的本发明的不同方面的计算机系统、方法和计算机程序产品来解决。本发明的第一方面被描述为用于授权用户以处理从一个或多个装置接收的数据的计算机系统。这种计算机系统可以是独立的计算装置(例如,单个PC)以及连接的计算机的网络或基于互联网的系统,所述计算机按需要或作为前提安装而提供共享的计算机处理资源。用户可以经由客户端应用连接到这种系统,例如客户端计算机上的浏览器。客户端应用也可以备选地由系统本身提供。计算机系统具有配置成从一个或多个装置接收数据的接口组件。这种装置可以是例如可以连接到网络(例如内联网或互联网)的任何制造的产品,并且因此可以连接到计算机系统。该系统被提供有配置成接收来自用户的请求的应用组件。这些请求包括对所述数据的至少子集执行数据处理操作的请求。计算机系统被提供有数据存储设备和访问组件。该组件在系统上运行并且配置成存储和访问从一个或多个装置中收集的数据。该系统进一步被提供有由系统可执行并且配置成处理所述数据或其任何子集的一个或多个评估组件。例如,这些评估组件可以经由应用组件为用户提供数据分析能力。该系统进一步被提供有配置成向应用组件提供授权信息的授权组件,以用于准予或拒绝用户访问以处理所述数据的至少一个子集,所述准予或拒绝是基于存储在针对注册的用户的用户目录中的用户特定数据。可以经由应用组件向用户发送准予或拒绝。用户目录可以包括针对每个注册用户的记录。这种用户记录通常包含作为用户特定信息的用户凭证(姓名、密码等)、联系信息或其它相关用户信息。
为了解决前述技术问题,本发明范围内的用户专用数据包括关于与用户相关联的地理位置的数据和关于用户被授权访问哪种数据的装置类型的数据。与用户相关联的地理位置可以是针对其用户在组织内(例如在公司内)具有责任的位置。所述地理位置不必要是用户或组织驻留的位置,但也可以是用户或组织驻留的位置。术语“位置”可以指类似欧洲、国家、城市或任何其它任意定义的较小或较大区域(例如,工厂建筑物)的区域。这些用户专用数据可以实现为用户记录的一部分,但也可以与用户记录分开存储,但仍然与用户相关联。
授权组件可以例如实现为RBAC系统。接口组件、数据存储设备和访问组件、评估组件和授权组件也可以根据具体情况全部地或部分地实现为应用组件本身的子组件。本发明的第二方面被描述为一种向由用户操作的客户端计算机准予或拒绝对计算机系统上的处理数据访问的计算机实现的方法,所述数据是从多个装置中收集的。该方法可以由如以上所描述的计算机系统执行:在这种计算机系统上运行的应用接收请求以处理从多个装置收集的所述数据。该请求由在由用户操作的客户端计算机上运行的客户端计算机程序发送。客户端计算机程序(例如浏览器)也可以在计算机系统本身上运行。在本发明的范围内并且为了简单起见,以下两个备选实施例统称为“客户端计算机”。应用从用户目录中检索用户特定数据。然后应用检查,所述用户特定数据是否与装置特定数据匹配,并且基于匹配结果,应用向客户端计算机(即,向用户)准予或拒绝访问所请求的数据处理。
本发明的第三方面被描述为一种向由用户操作的客户端计算机准予或拒绝对计算机系统上的处理数据的访问的计算机实现的方法,所述数据是从多个装置中收集的。该方法还可以由如以上所描述的计算机系统执行:在计算机系统上运行的应用接收请求以处理所述收集的数据。该请求由客户端计算机发送。应用检索与用户相关联的地理位置上的数据以及与来自用户目录的用户相关联的装置类型的数据。该检索可以例如经由授权服务或通过直接访问用户目录的应用来实现。应用检索关于装置或多个装置的地理位置的数据以及数据从其中被请求以被处理的装置或多个装置的类型。例如当从多个装置收集数据时,这种装置特定数据可以被传递到计算机系统。这些装置特定数据的检索可以例如经由平台服务来实现,该平台服务配置成具有对数据存储设备的直接或间接(经由其它服务)访问。然后,应用检查装置的所述地理位置和装置类型是否关于与用户目录中的用户相关联的地理位置和装置类型的一个或多个数据匹配,并且基于匹配结果,向客户端计算机/用户准予或拒绝访问所请求的数据处理。
本发明的第四方面被描述为计算机程序产品,当被加载到计算装置的存储器中并且由计算装置的至少一个处理器执行时,使该计算装置如根据权利要求1至10中任一项所述的系统那样来执行,和/或使计算装置能够如权利要求11至14中任一项所述的方法。
以下部分描述了前述方面的有利实施例:
本发明的第一有利实施例特征在于,所述用户特定数据包括用户在组织内持有的一个或多个角色的数据。术语角色描述用户作为组织成员不得不执行的任务的集合。这是RBAC上下文的常用术语。角色到针对具体角色允许的数据处理操作的映射可以例如通过用户目录中的表来实现。在将一个或多个角色还指派给装置特定数据(即指派给装置和/或装置类型)的情况下,应用还可以检查用户特定数据中的角色条目是否与装置特定数据中的角色条目匹配,并且因此可以将授权限制在更进一步级别。
本发明的第二有利实施例特征在于,关于地理位置和装置类型的用户特定数据被耦合以形成第一数据对象。这种第一数据对象在下文中备选地称为责任对象区域(AoR)。
本发明的第三有利实施例特征在于,第一数据对象和关于一个或多个角色的数据被耦合以形成第二数据对象。这种第二数据对象在本文中备选地称为授权信息对象或授权对象。
本发明的又一有利实施例特征在于,为注册用户呈现多个第二数据对象。
本发明的又一有利实施例特征在于,多个第二数据对象形成第三数据对象,该第三数据对象与一个注册用户相关联。这种第三数据对象在下文中也备选地称为授权包。
本发明的又一有利实施例特征在于,访问的准予或拒绝进一步基于与要处理的所请求的数据相关联的装置特定数据。这种装置特定数据可包括关于装置的地理位置的数据和装置类型的数据。关于地理位置的这种数据可以与以上针对用户特定数据描述的类型相同。装置类型的数据也是如此。
本发明的又一有利实施例特征在于,装置特定数据进一步包括与装置有关的时间数据。这些时间数据指定在其期间装置驻留或已经驻留在具体地理位置的时间。时间数据可以包括定义时间时段的开始日期和开始时间以及结束日期和结束时间。这种时间数据可用于装置驻留或已经驻留的每个地理位置。对于同一级别的位置,例如城市类型的位置,不允许相应时间时段重叠。它们可能在不同级别的位置上重叠,例如对于国家和相应国家的城市。装置特定时间数据反映具体装置的位置历史。换句话说,关于具体装置或由具体装置在具体位置处生成的数据与时间间隔相关联,该时间间隔指定在其期间具体装置在具体位置处操作的时间。也就是说,时间数据允许基于相应数据的时间戳来区分与关于各种位置的具体装置相关联的数据。
本发明的又一有利实施例特征在于,关于地理位置和装置类型的装置特定数据被耦合以形成第四数据对象。
本发明的又一有利实施例特征在于,第四数据对象和一个或多个时间数据被耦合以形成第五数据对象。一个或多个时间数据考虑该情况,其中某个装置在不同时间驻留在相同位置。这种第五数据对象在下文中备选地称为位置信息对象。
在本发明的又一有利实施例中,多个位置信息对象被耦合以形成第六数据对象,该第六数据对象与一个装置相关联。在下文中这种第六数据对象备选地称为位置包对象或位置包。
这种耦合允许容易的查询或匹配过程,并且可以由结构、类别或其它已知容器来实现。
在本发明的又一有利实施例中,准予对所请求的数据处理的访问,或者备选地,仅当在要处理所请求的数据具有关联的一个或多个时间值的情况下,相关联的一个或多个时间值与有关装置的时间数据匹配时,才准予对所请求的数据处理的访问。例如:如果针对数据处理的请求包含对于具体年份中具体位置中的具体装置的查询,则准予访问,或者仅如果在具体年份中在具体位置中叙述的具体装置时,才准予访问。
本发明的又一有利实施例特征在于,应用从用户目录中检索关于与用户相关联的一个或多个角色的数据。此外,应用检索关于与所请求的数据处理相关联的一个或多个角色的数据,并且在准予访问所请求的数据处理之前,应用检查关于与用户相关联的一个或多个角色的数据是否与关于所请求的数据处理相关联的一个或多个角色的数据相匹配。
在本发明的又一有利实施例中,应用查询第三数据对象(授权包)并且从包含在第三数据对象中的一个或多个第二数据对象中检索授权信息。然后,应用检查关于与所请求的数据处理相关联的多个装置的地理位置的数据和装置类型的数据是否与检索到的授权信息匹配。基于匹配的结果,准予或拒绝对所请求的数据处理的访问。
换句话说,本发明特征在于,为了检查地理位置和装置类型是否关于与用户相关联的地理位置和装置类型的一个或多个数据匹配,应用查询第三数据对象(授权包)并且检查关于与所请求的数据处理相关联的多个装置的地理位置和装置类型的数据是否与包含在第三数据对象中的一个或多个第二数据对象(授权信息)中的数据匹配。
在本发明的又一有利实施例中,应用可以额外地检查与所请求的数据处理相关联的一个或多个角色是否与包含在第三数据对象中的一个或多个第二数据对象中的数据匹配。
在本发明的又一有利实施例中,在要处理的所请求的数据具有相关联的一个或多个时间值的情况下,应用进一步识别与多个装置有关的时间数据。如果相关联的一个或多个时间值与有关装置的时间数据匹配,则应用准予客户端计算机访问。
在本发明的又一有利实施例中,从与相应装置相关联的位置包对象中检索包括位置数据、类型数据和时间数据的装置特定数据。
本发明的不同方面和有利实施例允许对计算机系统中、具体来说是在基于云的lloT系统中的信息进行细粒度访问控制。授权组件作为计算机系统中的组件被引入,其与计算机系统中的应用、API、用户目录和其它服务一起工作,以基于角色和AoR的组合而提供关于授权的服务。授权组件管理授权包,并且有助于从计算机系统的不同部分提取授权的概念。当与RBAC方法相比时,由于RBAC系统中的角色数量将激增并且将变得难以管理,所提议的系统和方法更不麻烦而且更不易出错并且需要更少的存储器空间。更重要地,根据本发明的系统和方法降低了无意中准予给不应该被准予的区域的访问的概率,从而也降低了信息泄漏或其它类型事件的概率。当应用或服务将访问或授权数据存储在日志文件中时,本发明还协助审计和故障分析,因为关于相关联的区域和访问的更多相关信息将是可用的。
附图说明
图1是根据本发明实施例的简化计算机系统。
图2是根据本发明实施例的简化授权包。
图3是根据本发明实施例的简化用户记录。
图4是根据本发明实施例的用于定义AoR的简化方案。
图5是根据本发明实施例的AoR的简化示例。
图6是根据本发明实施例的简化位置包。
图7是根据本发明实施例的授权过程的简化流程图。
图8是根据本发明实施例的用于将授权包对象添加到计算机系统的过程的简化泳道图。
图9是根据本发明实施例的用于修改授权包对象的过程的简化泳道图。
图10是根据本发明实施例的用于计算机系统的授权过程的简化泳道图。
图11是在其中授权失败的授权过程的简化泳道图。
图12是在其中授权失败的第二授权过程的简化泳道图。
图13是根据本发明实施例的包括时间信息的授权过程的简化泳道图。
图14是在其中授权失败的根据本发明实施例的包括时间信息的授权过程的简化泳道图。
具体实施方式
图1是根据本发明的实施例的简化计算机系统1010的示例。计算机系统1010由用户通过客户端计算机1020操作。系统1010指示可用于本发明目的的lloT网络架构的简化视图。它并非旨在成为lloT架构的全面表示。lloT系统可以连接到属于工业系统领域的前提装置(或反之亦然)。这些装置可以产生对lloT系统有用的信息。在该示例中,工业领域1100包括指示为1101到1104的多个装置。这些装置经由网关1092到1094连接到系统1010的网关1091并且将信息(例如1101a和1101b)分别地发送给数据存储设备并且访问服务器1080。这些信息尤其可以包括关于地理位置和装置类型的信息。它们作为装置数据1300存储在系统1010的数据存储1070中。系统1010包括分析组件1110,所述分析组件1110配置成提供数据分析能力。分析组件1110借助于数据访问API 1122可以访问装置数据1300,所述数据访问API 1122是数据存储设备和访问服务器1080的一部分。系统1010进一步包括应用组件1030,所述应用组件配置成与客户端计算机1020相互作用并且为客户端计算机1020提供数据处理服务。应用1030配置成经由API 1121和1122与分析组件1110和数据存储设备和访问服务器1080相互作用。应用1030提供用于对收集的数据进行解释、分析和做决定的部件。因为这些数据可以影响业务决策,所以这些数据可能是敏感的,并且如果数据的敏感性需要这样做,则需要以细粒度的方式严格控制对信息的访问。通常,存在大量用户和对应的客户端计算机1020。然而,并非每个用户都可以被允许访问可用数据的所有部分。为了解决该问题,用户目录1050提供了存储用户特定数据1060的部件,其包括关于用户的地理位置1061的数据和关于用户可以访问的数据的装置类型1062的数据。系统1010进一步包括授权服务1040,其配置成向应用1030提供关于用户目录1050中的用户特定数据1060的信息。授权服务1040进一步配置成提供关于适用于用户角色的角色和许可的信息。使用该信息,应用1030可以向客户端计算机1020准予或拒绝访问所请求的数据处理操作。在准予的情况下,应用1030可以请求平台服务1200基于用户特定数据1060执行数据处理操作。由平台服务1200也可以检索装置特定数据。授权服务1040可以是如图中所示的单独服务,但是也可以是在应用1030中构建的模块。在此上下文中“进行/可以访问”意味着准予用户访问与装置数据有关的所有(所请求的)数据处理操作。
图2示出了作为本发明的示范性实施例的用于在用户目录1050中存储用户特定信息的第三数据对象、授权包2000。授权包2000包含一个到n个授权信息对象2100、2200、2300,其每个包含第一数据对象2110、2310,其定义了责任区域(AoR),以及描述用户在组织内持有或与用户相关联的角色的1到n个数据对象2120、2130。AoR包含关于用户的地理位置2111的和对其用户可以访问的装置类型2112的数据对象。授权包2000是容器,例如以XML实现。备选地使用其它编程语言(例如C++)的容器。每个授权信息对象在容器内应是唯一的,并且在一个授权包中应存在至少一个授权信息对象。每个用户可以具有一个相关联的授权包2000。授权包2000可以存储在针对每个用户的用户记录中的透明属性中。在图3中给出了示例。
图3示出了根据本发明的用户记录3010的示范性结构。用户记录3010包括用户凭证3011(例如,姓名、密码)、联系信息3012(例如地址等)、其它信息3013和授权包3014。
图4和图5给出了如何定义责任区域(AoR)的示例。使用以组织的名称开始的名称空间可以定义AoR,如图4中所示。组织名称在其中表示用于AoR的名称空间,并且后续区域级别表示适用于组织的业务操作的层次。在图5中给出了使用XML的AoR定义的示例。该示例示出了配置AoR的两种情况:基于位置和基于装置类型。在基于位置的配置(XYZCOMP.Region.*)的情况下,示例中的AoR名称空间包含基于国家、城市工厂和装置级别的层次。如果为用户指配了XYZCOMP.EU.*中的角色,则该用户有权访问与用于位于XYZCOMP.EU层次中的所有城市和工厂中的装置有关的数据的数据操作过程。在基于设备类型的配置(XYZCOMP.APAC.*)的情况下,AoR名称空间包含基于属于组织的设备类型的层次。例如,名称空间“XYZCOMP.APAC. Country2. Motors.*”允许使用访问与属于“XYZCOMP.APAC.Country2”名称空间的“Motor”设备有关的所有数据操作过程。额外地,位置和装置类型的组合是可能的,如在“XYZCOMP.APAC.Country2.Plant1.Robots*”命名空间中图示的那样。这允许对与位于APAC/Country2位置的具体“Plant1”中的“Robots”有关的所有数据操作过程的访问权限。“*”用作通配符以指示名称空间中层次之下的所有内容。例如,XYZCOMP.*指示表示属于“XYZCOMP”命名空间的所有国家、位置、工厂、设备类型等的AoR。AoR确定用于访问用户的更精细控制。与相关联的角色一起,AoR确定用户可以访问信息的哪个部分的。
图6示出作为本发明的示范性实施例的第六数据对象,包括装置特定数据的位置包6000。位置包6000包含一个或多个位置信息对象1到n,6100、6200、6300。该位置信息对象包含(类似图2中的)AoR对象6110、6310。AoR对象包含关于相应装置所驻留的地理位置的数据对象6111、6311以及装置类型6112、6312的数据。一个或多个位置信息对象6100、6200、6300进一步包括与装置有关的时间数据。该时间数据分别地包括开始日期和时间对象6120、6320,以及分别地包括结束日期和时间对象6130、6330。两个时间数据都定义了在其期间装置驻留或已经驻留在具体位置的时间时段。虽然位置包6000可以具有多个位置信息对象,所述多个位置信息对象具有指示装置在不同地理位置上的移动的位置和时间信息,但是在当位置信息不同的时间时段方面应该没有重叠。这意味着装置不能同时驻留在不同的位置。在结束日期和时间尚不可用的情况下,则日期和时间对象可能为空的或打开的。装置可以具有指配的一个位置包6000。它可以存储在装置的元数据中,例如存储在数据存储1070中的装置数据1300中。根据具体情况,平台服务1200可以周期性地更新或通知关于包括先前和当前位置的装置位置信息连同时间信息,并且该信息可以维持在计算机系统中以用于由授权服务1040或应用1030使用。位置包也可以实现为容器,例如使用XML。如果授权包中的用户的角色和AoR的组合与装置的AoR连同位置包中的持续期信息不匹配,则应用可以拒绝对操作的访问。
图7示出了作为本发明的实施例的用于考虑用户发起的动作的角色和AoR的组合来执行授权的简化流程图。在开始步骤7001之后,存在对计算机系统中的应用的常规用户登录7002,跟随有传统的授权7003。在成功的情况下,在步骤7004中应用检查根据本发明的授权包是否是可用的,并且如果是,则检索与授权信息对象中的AoR相关联的角色信息和AoR,并且然后在步骤7005中等待用户动作。如果用户请求对关于与一个或多个装置有关的数据的数据处理操作7008(例如读取数据),在步骤7006中应用检索与对其数据请求操作的装置或每个装置相关联的AoR,然后检查用户的授权包的任何授权信息对象中是否存在相同的AoR。在进一步实施例中,在步骤7006中应用额外地检查所请求的数据的时间持续期是否落在与针对所请求的装置的AoR相关联的时间信息的范围内。然后,在步骤7007中应用检查在步骤7004中检索的相关联的角色是否提供对执行所请求的操作的许可。可以从用户目录中可用的角色描述对象中检索该信息。如果该步骤成功,则允许执行操作7008。否则,拒绝操作7008并且向用户示出适合的错误消息。
在该过程的进一步实施例中,操作7008将被允许对应于与AoR相关联的时间信息的数据。如果操作7008对属于不同时间时段的数据被请求,则不许可该操作。
图8示出了作为本发明的实施例的描述了向计算机系统添加包括根据本发明的授权包的新用户的过程的简化泳道图。计算机系统可以是如图1所述的计算机系统。它至少被提供有授权服务8001、用户目录8002和应用8003。它由客户端8004访问。在该示例中,由管理员用户经由客户端8004访问系统。管理员用户配置有支持类似用户目录8002中的用户的添加/删除之类的管理操作的AoR和角色。对其执行操作的资源是用户目录,因为新用户记录和授权包被创建并且保存在用户记录中。在步骤8005中管理员用户经由客户端8004向应用8003发送管理员登录请求。在步骤8006中应用8003从用户目录8002执行用户的认证,并且在步骤8007从授权服务8001中检索用于用户的授权信息。在步骤8008中向客户端8004提供登录成功消息。在步骤8009中客户端8004将新的常规用户数据(类似新用户的用户凭证)发送到应用8003。在步骤8010中检查来自步骤8007的授权信息以确保管理员用户被授权将新用户添加到用户目录8002,在步骤8011中应用8003将新用户记录添加到用户目录8002。在步骤8012中提供成功消息。在步骤8013中客户端8004将AoR数据和角色数据作为新用户的进一步用户特定数据而发送,具体来说是作为授权信息发送到应用8003。在步骤8014中的授权信息的检查之后,在步骤8015中应用8003将授权信息发送给授权服务8001,授权服务8001利用该信息配置授权包,并且在步骤8016中将该新授权包添加到用户目录8002中的用户记录。成功消息8017、8018、8019完成该过程。
图9示出了作为本发明的实施例的描述修改用户的授权包的过程的简化泳道图。类似如图1中所描述的计算机系统的计算机系统至少提供有授权服务9001、用户目录9002和应用9003。由管理员用户经由客户端9004访问该系统(与图8相比较)。登录步骤9005、9006、9007和9008与图8中所描述的登录步骤相同。在成功登录之后,在步骤9009中客户端9004将修改信息发送到应用9003。在步骤9010中应用9003检查管理员用户是否被授权修改用户信息,并且如果是,则在步骤9011中将修改信息发送给授权服务9001,然后其在步骤9012中将修改的授权包添加到用户目录9002。成功消息9013、9014和9015完成该过程。
图10示出了作为本发明的实施例的描述了用于在根据本发明的计算机系统上执行数据处理操作的鉴别和授权的过程的简化泳道图。计算机系统可以是如图1中所描述的计算机系统。它至少提供有平台服务10001、授权服务10002、用户目录10003和应用10004。它由客户端计算机10005访问。作为初始步骤10006,用户经由客户端计算机10005执行对应用10004的登录。在传统鉴别10007之后,在步骤10008中应用10004请求授权服务10002以检索用于请求用户的授权包。在步骤10009中提供登录成功。在成功登录之后,在步骤10010,用户发送关于数据的信息,其想要访问应用10004,其中数据包括装置信息和时间信息,例如装置类型和具体年份或具体时间时段。然后在步骤10011中应用10004检索与从平台服务10001中要访问的所请求的数据相关联的一个或多个位置包。然后在步骤10012中应用10004检查位置包中的时间数据和AoR数据是否与在步骤10010中接收的授权包中的AoR数据和时间数据匹配。如果该检查成功,则在步骤10013中应用10004检查位置包中的角色数据是否与授权包中的角色数据匹配。如果该检查成功,则在步骤10014中应用10004从平台服务10001中检索所请求的信息,并且在成功消息10015之后,在步骤10016中准予客户端10005访问。应注意执行AoR匹配检查和角色匹配检查所按的顺序是不相关的。
图11示出了作为本发明的实施例的描述了用于在如图10中已经所描述的计算机系统上执行数据处理操作的鉴别和授权的过程的简化泳道图。存在平台服务11001、授权服务11002、用户目录l1003、应用11004和客户端11005。在登录11006、鉴别11007、授权11008和成功消息11009之后,用户提供访问信息11010(见图10中的10010)。这种访问信息11010可以包括描述所请求的数据应该属于的时间或时间时段的时间数据。例如:用于某个年份X中具体装置X的数据(在图13和14中更详细地所描述)。在一个或多个位置包11011的检索之后,然后在步骤11012中应用11004检查AoR数据是否匹配,并且如果AoR数据匹配,则装置X的位置包中的时间数据与在步骤11010中接收的用户的授权包中的AoR数据以及时间数据匹配。由于在该示例中AoR数据不匹配,因此应用11004拒绝访问步骤11013中的信息而不考虑时间或角色信息。
图12示出了作为本发明的实施例的描述了在匹配步骤11012成功的情况下图11中所描述的过程的继续的简化泳道图。除了图12中编号从12001而不是从11001开始的之外,系统和编号是相同的。在该示例中,相关联用户AoR的角色不准予对信息12013执行所请求的操作的许可。因此,在步骤12014中拒绝访问。
图13示出了作为本发明的实施例的描述了用于在计算机系统上执行数据处理操作的鉴别和授权的过程的简化泳道图,其中对历史数据(例如来自2015年的历史数据)请求数据处理。系统的组件与先前图中已经所描述的组件相同:平台服务13001、以及授权服务13002、用户目录13003、应用13004和客户端13005。编号从13001而不是从12001开始。在登录13006和鉴别13007之后,应用13004经由授权服务13002检索授权包13016。授权包13016包含如用户AoR AoR1。然后在步骤13010中用户请求读取来自2015年的历史数据。然后在步骤13011中应用13004检索与所请求的历史数据相关联的位置包13015。然后在步骤13012中应用13004检查位置包13015中的任何AoR数据是否与授权包13016中的任何AoR数据匹配。由于两个包都包含AoR1,因此该匹配成功并且应用可以进行到时间匹配步骤13013。由于与AoR1相关联的时间时段与所请求的2015年一致,因此该匹配也是成功的。因此,在后续步骤2014中应用13004检查与相关联的用户AoR的角色是否准予对执行所请求的操作13010(即对访问所请求的数据)的许可。如果许可该操作,则在步骤13017中应用13004准予对所请求的信息的访问。
图14示出了作为本发明的实施例的描述了与图13中所描述的几乎相同的过程的简化泳道图。不同之处在于用户具有在其授权包14016中指配的AoR2。系统是相同的,然而,编号从14001而不是从13001开始。虽然在步骤14012中AoR匹配是成功的,但是因为位置包14015包括AoR2位置,所以在步骤14013中的时间匹配失败,因为位置信息2中的打开时间时段具有2016年1月1日的开始日期,这在所请求的年份2015之外。因此,在步骤14014中拒绝访问。
Claims (12)
1.一种用于授权用户处理从一个或多个装置中接收的数据的计算机系统,包括:
- 接口组件,所述接口组件配置成接收所述数据,
- 应用组件,所述应用组件配置成从所述用户接收请求,其中所述请求包括用于至少对所述数据的子集执行数据处理操作的一个或多个请求,
- 数据存储设备和数据访问组件,所述数据存储设备和所述数据访问组件配置成存储和访问所述数据,
- 一个或多个评估组件,所述一个或多个评估组件配置成处理所述数据,以及
- 授权组件,所述授权组件配置成准予或拒绝所述用户访问以至少处理所述数据的子集,所述准予或拒绝基于存储在针对注册的用户的用户目录中的用户特定数据,并且进一步基于与请求数据相关的装置特定数据,
其中所述用户特定数据包括:
- 关于与所述用户相关联的地理位置的数据以及关于用户被授权以进行访问的类型的装置类型的数据,
其中所述装置特定数据包括:
- 关于多个装置的所述地理位置和所述装置类型的装置特定数据,以及
-. 经由时间间隔反映一个或多个相应的特定装置的位置历史的装置特定时间数据,所述时间间隔指定一个或多个特定装置在相应的特定位置操作的时间;
所述授权组件还被配置成检查所述装置特定地理位置和装置类型是否与相应的用户特定数据相匹配。
2.如权利要求1所述的系统,其中,所述用户特定数据包括关于所述用户在组织内持有的一个或多个角色的数据。
3.如权利要求1或2所述的系统,其中,关于所述地理位置和所述装置类型的所述用户特定数据被耦合以形成第一数据对象。
4.如权利要求3所述的系统,其中,所述第一数据对象和关于所述一个或多个角色的所述数据被耦合以形成第二数据对象,并且其中多个第二数据对象与所述注册的用户相关联。
5.如权利要求4所述的系统,其中,所述多个第二数据对象被耦合以形成与一个注册的用户相关联的第三数据对象。
6.如权利要求1所述的系统,其中,关于所述地理位置和所述装置类型的所述装置特定数据被耦合以形成第四数据对象。
7.如权利要求6所述的系统,其中,所述第四数据对象和一个或多个时间数据被耦合以形成第五数据对象,并且其中多个第五数据对象被耦合以形成与一个装置相关联的第六数据对象。
8.一种准予或拒绝由用户操作的客户端计算机访问以在计算机系统上处理数据的计算机实现的方法,所述数据是从多个装置中收集的,所述方法包括步骤:
- a)应用接收对处理所述数据的请求,所述请求由所述客户端计算机发送,
- b)所述应用检索关于与所述用户相关联的地理位置以及关于与来自用户目录的所述用户相关联的所述装置类型的用户特定数据,
- c)所述应用检索关于所述多个装置的所述地理位置和所述装置类型的装置特定数据,并且进一步检索经由时间间隔反映一个或多个相应的特定装置的位置历史的装置特定时间数据,所述时间间隔指定一个或多个特定装置在相应的特定位置操作的时间,
- d)所述应用检查装置特定地理位置和装置类型是否与相应的用户特定数据匹配,基于所述匹配的结果,
- e)向所述客户端计算机准予或拒绝访问所请求的数据处理。
9.如权利要求8所述的方法,进一步包括:
- 所述应用检索关于与来自用户目录的所述用户相关联的一个或多个角色的数据,
- 所述应用检索关于与所请求的数据处理相关联的一个或多个角色的数据,并且在准予或拒绝对所请求的数据处理的访问之前,
- 所述应用检查关于所述一个或多个角色的所述数据是否与关于与所请求的数据处理相关联的所述一个或多个角色的所述数据匹配。
10.如权利要求8或9所述的方法,包括:
- 所述应用在步骤d)中,查询第三数据对象,其中所述准予或拒绝进一步基于与请求要处理的所述数据相关联的装置特定数据,并且检查关于所述多个装置的所述装置类型和所述地理位置的所述数据以及关于与所请求的数据相关联的一个或多个角色的所述数据是否与包含在所述第三数据对象中的一个或多个第二数据对象中的所述数据匹配。
11.如权利要求8或9所述的方法,包括:
- 在要执行所请求的数据具有相关联的一个或多个时间值的情况下,所述应用进一步识别与所述多个装置有关的时间数据,由此所述时间数据指定一个或多个时间时段,在所述一个或多个时间时段期间装置驻留在相应地理位置中,以及
- 如果所述相关联的一个或多个时间值与有关所述装置的所述时间数据匹配,则所述应用准予访问所述客户端计算机。
12.一种计算机可读介质,其上存储有指令,所述指令由所述计算装置的至少一个处理器执行时,使所述计算装置能够执行根据权利要求8至11中任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN201641042760 | 2016-12-15 | ||
| IN201641042760 | 2016-12-15 | ||
| PCT/EP2017/079324 WO2018108423A1 (en) | 2016-12-15 | 2017-11-15 | System and method for user authorization |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110063065A CN110063065A (zh) | 2019-07-26 |
| CN110063065B true CN110063065B (zh) | 2022-10-14 |
Family
ID=60331611
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780077499.8A Active CN110063065B (zh) | 2016-12-15 | 2017-11-15 | 用于用户授权的系统和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11019493B2 (zh) |
| EP (1) | EP3556129B1 (zh) |
| JP (1) | JP7072574B2 (zh) |
| CN (1) | CN110063065B (zh) |
| WO (1) | WO2018108423A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7073952B2 (ja) * | 2018-07-09 | 2022-05-24 | 横河電機株式会社 | データ収集システム及びデータ収集方法 |
| EP3853787A1 (en) * | 2018-09-18 | 2021-07-28 | ABB Schweiz AG | A method of controlling data transfer in a manufacturing plant and a system thereof |
| US11379560B2 (en) * | 2019-03-18 | 2022-07-05 | ServiceNow Inc. | Systems and methods for license analysis |
| CN114157438A (zh) * | 2020-08-18 | 2022-03-08 | 深圳富桂精密工业有限公司 | 网络设备管理方法、装置及计算机可读存储介质 |
| EP4268410A1 (en) | 2020-12-28 | 2023-11-01 | Keyfactor, Inc. | Remote certificate authority management |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002080084A2 (en) * | 2000-10-19 | 2002-10-10 | One Zone Networks | Method of managing data |
| CN104950836A (zh) * | 2014-03-26 | 2015-09-30 | 洛克威尔自动控制技术股份有限公司 | 使用工业云代理的预置型数据收集和摄取 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7185192B1 (en) * | 2000-07-07 | 2007-02-27 | Emc Corporation | Methods and apparatus for controlling access to a resource |
| US7644086B2 (en) * | 2005-03-29 | 2010-01-05 | Sas Institute Inc. | Computer-implemented authorization systems and methods using associations |
| JP2010015419A (ja) | 2008-07-04 | 2010-01-21 | Yokogawa Electric Corp | プラント情報処理システムおよびプラント情報処理方法 |
| JP2010128651A (ja) | 2008-11-26 | 2010-06-10 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツ提供システム及びコンテンツ提供システムにおけるパーソナライズ方法 |
| US10649412B2 (en) * | 2013-03-15 | 2020-05-12 | Fisher-Rosemount Systems, Inc. | Method and apparatus for seamless state transfer between user interface devices in a mobile control room |
| US20150065172A1 (en) * | 2013-09-03 | 2015-03-05 | International Business Machines Corporation | Geographic area and category specific content sharing between mobile devices |
| US9582642B2 (en) * | 2014-05-30 | 2017-02-28 | Apple Inc. | Managing user information—background processing |
| JP6344170B2 (ja) | 2014-09-12 | 2018-06-20 | 株式会社リコー | 機器、管理モジュール、プログラムおよび制御方法 |
| US9094407B1 (en) * | 2014-11-21 | 2015-07-28 | Citrix Systems, Inc. | Security and rights management in a machine-to-machine messaging system |
| US10445754B2 (en) * | 2015-09-14 | 2019-10-15 | The Western Union Company | Multi-network transaction analysis |
-
2017
- 2017-11-15 WO PCT/EP2017/079324 patent/WO2018108423A1/en unknown
- 2017-11-15 CN CN201780077499.8A patent/CN110063065B/zh active Active
- 2017-11-15 JP JP2019531977A patent/JP7072574B2/ja active Active
- 2017-11-15 EP EP17798203.0A patent/EP3556129B1/en active Active
-
2019
- 2019-06-11 US US16/436,941 patent/US11019493B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002080084A2 (en) * | 2000-10-19 | 2002-10-10 | One Zone Networks | Method of managing data |
| CN104950836A (zh) * | 2014-03-26 | 2015-09-30 | 洛克威尔自动控制技术股份有限公司 | 使用工业云代理的预置型数据收集和摄取 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3556129B1 (en) | 2020-12-30 |
| JP2020502672A (ja) | 2020-01-23 |
| EP3556129A1 (en) | 2019-10-23 |
| CN110063065A (zh) | 2019-07-26 |
| US20190297085A1 (en) | 2019-09-26 |
| WO2018108423A1 (en) | 2018-06-21 |
| US11019493B2 (en) | 2021-05-25 |
| JP7072574B2 (ja) | 2022-05-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110063065B (zh) | 用于用户授权的系统和方法 | |
| US11962614B2 (en) | Techniques for cloud security monitoring and threat intelligence | |
| AU2018374912B2 (en) | Model training system and method, and storage medium | |
| US11741100B2 (en) | Providing matching security between data stores in a database system | |
| US9390255B2 (en) | Privileged account manager, dynamic policy engine | |
| JP2012009027A (ja) | 動的アクセスコントロールを用いるポリシーの生成 | |
| US11755768B2 (en) | Methods, apparatuses, and systems for data rights tracking | |
| US7730179B2 (en) | System and method for policy-based registration of client devices | |
| US20160004850A1 (en) | Secure download from internet marketplace | |
| US20200233907A1 (en) | Location-based file recommendations for managed devices | |
| US20180173886A1 (en) | Collaborative Database to Promote Data Sharing, Synchronization, and Access Control | |
| US10333939B2 (en) | System and method for authentication | |
| JP6708083B2 (ja) | アプリケーション開発環境提供システム、アプリケーション開発環境提供方法、アプリケーション開発環境提供プログラム、及び端末装置 | |
| US10116701B2 (en) | Device-type based content management | |
| US20240054150A1 (en) | Systems and methods for automated data governance | |
| US10757216B1 (en) | Group profiles for group item recommendations | |
| US20120079278A1 (en) | Object security over network | |
| US12045365B2 (en) | Governed database connectivity (GDBC) through and around data catalog to registered data sources | |
| JP2023063980A (ja) | データ管理プログラム、データ管理方法、およびデータ管理装置 | |
| CN114282195A (zh) | 应用权限管理方法、装置、计算机设备、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |