[发明专利]提供审计日志信息的方法和系统

说明书

技术领域

本发明一般涉及改进的数据处理系统，并具体涉及在联合计算环境中出于一致性证明(compliance demonstration)的目的以安全、受控方式提供对于用于满足联合审计功能所需的审计日志的适当访问。

背景技术

在当今的计算环境中，复杂的网络数据处理系统常常被需要用于促进大型企业中的工作。这些复杂网络甚至可以跨越位于多个世界范围的地点的区域，以及将因特网用作虚拟专用网络的一部分用以开展业务。在许多情况下，联合数据模型被用来允许企业部门共享和访问整个网络中的信息和资源。通过联合数据模型，其中多个数据源对于用户表现为一个数据源，数据在本地驻留并受控，并且系统中的客户端用户可以使用目录服务或到其它联合合作方的链接来访问数据，而不管用户的地点。

在联合环境中，一次性登录(SSO)环境被用于允许用户在无需进一步认证的情况下访问第三方网站，因为该第三方网站接受由用户所访问(以及用户被进行认证)的第一网站向该第三方网站呈现的用户的认证证明。例如，当一名公司雇员登录到企业门户时，启动该用户和企业门户之间的认证交互。当用户点击该门户中的特殊链接时(由于另一方公司充当对于该公司的第三方资源)，一次性登录动作被启动，并且用户接着一次性登录到所述另一方公司。这些其它公司可以包括这样的第三方资源，诸如医疗服务提供者或针对公司雇员的401k提供者，还可以包括其它第三方资源，诸如位于制造方的供应链管理资源。因此，企业门户不仅可以包括到公司自身之内的资源的链接，其还可以包括到由第三方托管的其它资源的链接。例如在汽车工业中，用户可以从供应商一次性登录到汽车制造商，其中用户可以实施供应链管理、检查库存、检查工程设计文档等。以此方式，用户可以基于用户在第一实体(身份提供者)处的认证而在第三方环境中实施与业务有关或与访问控制有关的任务。

一致性(compliance)是下述的一种能力，所述能力可以几乎实时地或事后确定在系统中出现了什么事件，或更具体地，确定已被允许发生的事件与用于指导系统内的系统可允许工作的整体策略相一致。为了检查系统的一致性，审计日志典型被用于确定在系统中谁在何时做了什么。例如，审计日志从安全视角记录谁在何时访问过资源。例如，当用户早上登录到工作场所门户或桌面时，一致性系统可被用于建立下述路径，其跟踪用户的动作以及用户在系统中访问的所有应用。还可以生成基于每个用户的报告，其示出了特定用户做了什么、以及该用户何时做的。还可以将规则应用到报告以标识用户的访问是否确实被系统所授权。因此，一致性可被用于验证定义了用户可以访问什么的适当的系统配置。换句话说，一致性确保系统配置被正确实现。

尽管一致性可被看成确保下述能力，所述能力确保安全策略被强制实施，但是一致性也可被应用于其它类型的策略，诸如服务级别协定(例如，对审计日志使用时间戳以确保整体的服务级别协定(SLA)被满足)、立法一致性(例如，关于控制或公开涉及隐私的信息)、或甚至策略管理本身(例如，谁在何时以及如何改变了策略、以及该策略是否与针对一致性策略管理的策略相一致)。

一致性常常通过审计日志技术来证明。例如，当尝试确定用户是否已正确地访问了资源时，从多个部件(诸如认证服务、会话管理服务、授权服务或应用)收集审计日志。这些审计日志被分析，以确定动作是否与管理可允许动作的策略相一致。这类事后证明是用于证明一致性以及确定一致性在哪里被违犯的标准方案。不过，这种现有方案在联合环境中是不合格的，在联合环境中作为用户的联合体验的一部分，用户从一个安全域或企业移动到另一个。在此情形中，由于联合环境包括完全不同的安全域和完全不同的企业，因此获得对另一个联合方的所需审计日志的访问常常是不可能的，因为联合环境中的公司可能出于多种原因不允许其它公司访问其审计日志。因此，如果一个雇员的公司想要建立包含关于该雇员在联合环境中访问了什么资源的信息的报告，则该公司仅可以建立针对该用户在公司域中做了什么的报告，因为该用户在其它联合合作方的域中的已记录的动作对于该公司不可用。