CN104580344A - 用于生成资源访问控制决策的方法和系统 - Google Patents

用于生成资源访问控制决策的方法和系统 Download PDF

Info

Publication number
CN104580344A
CN104580344A CN201410389631.7A CN201410389631A CN104580344A CN 104580344 A CN104580344 A CN 104580344A CN 201410389631 A CN201410389631 A CN 201410389631A CN 104580344 A CN104580344 A CN 104580344A
Authority
CN
China
Prior art keywords
resource
user
value
access
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410389631.7A
Other languages
English (en)
Other versions
CN104580344B (zh
Inventor
郑葆诚
L·柯福德
K·K·辛格
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of CN104580344A publication Critical patent/CN104580344A/zh
Application granted granted Critical
Publication of CN104580344B publication Critical patent/CN104580344B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种用于生成资源访问控制决策的方法和系统。提供生成资源访问控制决策。基于与资源访问请求的上下文关联的估计风险值,调节与请求访问受保护资源的用户的用户标识符关联的用户信任值。基于与请求访问所述受保护资源的所述用户关联的调节后的用户信任值,生成所述资源访问控制决策。

Description

用于生成资源访问控制决策的方法和系统
技术领域
本公开一般地涉及资源访问控制策略,更具体地说,涉及基于与受保护资源关联的调整后的资源值以及与请求访问受保护资源的用户关联的调节后的用户信任值,生成资源访问控制决策。
背景技术
传统的资源访问控制策略僵化而不灵活。这种不灵活性导致许可许多异常以允许继续进行合法资源访问请求。为了解决这种不灵活性问题,引入基于风险的访问控制(RBA)策略,以便通过承担传统访问控制策略禁止的计算后的风险,在资源访问控制中提供受控灵活性。
发明内容
根据一个示例性实施例,提供一种用于生成资源访问控制决策的计算机实现的方法。计算机基于与资源访问请求的上下文关联的估计风险值,调节与请求访问受保护资源的用户的用户标识符关联的用户信任。所述计算机基于与请求访问所述受保护资源的所述用户关联的调节后的用户信任值,生成所述资源访问控制决策。根据其它示例性实施例,提供一种用于生成资源访问控制决策的计算机系统和计算机程序产品。
附图说明
图1是其中可以实现各示例性实施例的数据处理系统网络的图形表示;
图2是其中可以实现各示例性实施例的数据处理系统的示意图;
图3是示出根据一个示例性实施例的资源访问控制系统的示意图;
图4是示出根据一个示例性实施例的资源访问控制过程的示意图;
图5是示出根据一个示例性实施例的基于信任/值/风险的访问控制策略的示意图;以及
图6A-6B是示出根据一个示例性实施例的用于管理受保护资源的访问控制的过程的流程图。
具体实施方式
本发明可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本发明的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本发明操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本发明的各个方面。
这里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
现在参考附图,具体地说参考图1-3,提供其中可以实现各示例性实施例的数据处理环境的示意图。应该理解,图1-3只是实例并且并非旨在断言或暗示有关其中可以实现不同实施例的环境的任何限制。可以对所示环境做出许多修改。
图1示出其中可以实现各示例性实施例的数据处理系统网络的图形表示。网络数据处理系统100是其中可以实现各示例性实施例的计算机和其它设备的网络。网络数据处理系统100包含网络102,网络102是用于在网络数据处理系统100中连接在一起的计算机和其它各种设备之间提供通信链路的介质。网络102可以包括连接,例如有线通信链路、无线通信链路或光缆。
在所示实例中,服务器104和服务器106连同存储单元108一起连接到网络102。服务器104和服务器106例如可以是与网络102具有高速连接的服务器计算机。此外,服务器104和/或服务器106可以提供对受保护资源116的受控访问,受保护资源116也连接到网络102。
客户机110、112和114也连接到网络102。客户机110、112和114是到服务器104和/或服务器106的客户机。在所示实例中,服务器104和/或服务器106可以为客户机110、112和114提供信息,例如引导文件、操作系统映像和应用。客户机110、112和114的用户可以使用客户机110、112和114请求和获得对受保护资源116的访问,受保护资源116由服务器104和/或服务器106保护。
客户机110、112和114例如可以是具有到网络102的有线通信链路的个人计算机、网络计算机和/或便携式计算机,例如膝上型计算机。此外,客户机110、112和114可以是具有到网络102的无线通信链路的移动数据处理系统,例如蜂窝电话、智能电话、个人数字助理、游戏设备或手持式计算机。应该注意,客户机110、112和114可以表示连接到网络102的计算机和移动数据处理系统的任意组合。
在该实例中,客户机110、112和114分别包括生物特征测量设备118、120和122。客户机110、112和114可以使用生物特征测量设备118、120和122捕获和记录对应于客户机110、112和114的用户的生物特征数据。生物特征测量设备118、120和122例如可以包括诸如摄像机之类的成像设备和/或诸如麦克风之类的声音捕获设备,以便捕获或记录用户的图像或用户的语音记录。客户机110、112和114可以使用捕获的生物特征数据认证特定客户机设备的特定用户。此外,客户机110、112和114可以在服务器104或服务器106允许访问受保护资源116之前,将捕获的生物特征数据发送到服务器104或服务器106以进行用户认证。
此外,客户机110、112和114分别包括上下文信息124、126和128。上下文信息124、126和128例如可以是有关客户机110、112和114的唯一设备标识符和地理位置数据。客户机110、112和114可以使用地理位置数据确定客户机110、112和114在地理区域或建筑结构中的定位。地理位置数据例如可以由嵌入在客户机110、112和114中的全球定位系统(GPS)收发器提供。客户机110、112和114可以在允许访问受保护资源116之前,将上下文信息124、126和128发送到服务器104或服务器106以便确定对受保护资源116的访问请求的上下文。
受保护资源116表示一个或多个不同受保护资源的集合。受保护资源例如可以是网络数据处理系统100中仅限于授权用户访问的网络、文档、软件应用或硬件设备。授权用户是具有访问受保护资源116的权限的人员。访问受保护资源116的权限例如可以由分配给授权用户的角色来授予。角色可以包括一个或多个分配的权限的集合,这些权限用于针对一个或多个受保护资源执行特定任务或动作。权限是访问受保护资源的特权或权利。访问特权或访问权利例如可以为被分配有该特定访问特权或访问权利的用户授予读取、写入、删除和/或修改受保护文档的能力。作为另一个实例,访问特权或访问权利可以为被分配用户授予访问和使用安全硬件设备、软件应用或网络(例如安全计算机、财务应用或存储区域网络)的能力。
存储单元108是能够以结构化或非结构化格式存储数据的网络存储设备。存储单元108例如可以提供以下项的存储:多个不同用户的姓名和标识号;与多个不同用户的每一个关联的用户信任值;多个不同用户的每一个的用户历史数据或访问控制日志,其可以包括先前访问的受保护资源的列表、何时访问受保护资源,以及用户针对受保护资源执行什么动作;多个不同受保护资源的名称和标识号;以及与多个不同受保护资源的每一个关联的资源值。此外,存储单元108可以存储其它数据,例如可以包括用户名、密码的认证数据和/或与多个不同用户的每一个关联的生物特征数据。
此外,应该注意,网络数据处理系统100可以包括任意数量的其它服务器设备、客户机设备和其它设备(未示出)。位于网络数据处理系统100中的程序代码可以存储在计算机可读存储介质中,并且下载到计算机或其它设备以便使用。例如,可以将程序代码存储在服务器104上的计算机可读存储介质中,并且通过网络102下载到客户机110以便在客户机110上使用。
在所示实例中,网络数据处理系统100是因特网,同时网络102代表全球范围内使用传输控制协议/网际协议(TCP/IP)协议集来相互通信的网络和网关的集合。在因特网的核心是主节点或主机之间的高速数据通信线路的主干,它包括数以千计的商业、政府、教育以及其它路由数据和消息的计算机系统。当然,网络数据处理系统100也可以被实现为许多不同类型的网络,例如内联网、互联网、局域网(LAN)或广域网(WAN)。图1旨在作为一个实例,并非旨在作为对不同示例性实施例的体系结构限制。
现在参考图2,示出根据一个示例性实施例的数据处理系统的示意图。数据处理系统200是计算机的一个实例,例如图1中的服务器104,实现示例性实施例的过程的计算机可读程序代码或指令可以位于其中。在该示例性实例中,数据处理系统200包括通信结构202,通信结构202在处理器单元204、存储器206、永久性存储装置208、通信单元210、输入/输出(I/O)单元212和显示器214之间提供通信。
处理器单元204用于执行可以被加载到存储器206的软件应用或程序的指令。处理器单元204可以是一个或多个处理器的集合或者可以是多处理器核心,具体取决于特定实现。此外,处理器单元204可以使用一个或多个异构处理器系统来实现,其中在单个芯片上同时存在主处理器与辅助处理器。作为另一个示例性实例,处理器单元204可以是包含同一类型的多个处理器的对称多处理器系统。
存储器206和永久性存储装置208是存储设备216的实例。计算机可读存储设备是任何能够存储信息的硬件,所述信息例如包括但不限于数据、功能形式的计算机可读程序代码和/或其它合适的临时性和/或持久性信息。此外,计算机可读存储设备不包括传播介质。在这些实例中,存储器206例如可以是随机存取存储器或任何其它合适的易失性或非易失性存储器件。永久性存储装置208可以采取各种形式,具体取决于特定实现。例如,永久性存储装置208可以包含一个或多个设备。例如,永久性存储装置208可以是硬盘驱动器、闪存、可重写光盘驱动器、可重写磁带驱动器或上述某种组合。永久性存储装置208使用的介质可以是移动的。例如,可移动硬盘驱动器可以用于永久性存储装置208。
在该实例中,永久性存储装置208存储基于信任/值/风险的访问控制策略218、用户简档220、资源表222以及估计风险值224。当然,永久性存储装置208可以存储不同示例性实施例使用的任何类型的信息、数据、程序或模块。
基于信任/值/风险的访问控制策略218表示一个或多个不同的基于信任/值/风险的访问控制策略的集合。基于信任/值/风险的访问控制策略将与受保护资源关联的资源值、与请求访问受保护资源的用户关联的用户信任值,以及与受保护资源的访问请求的上下文关联的估计风险值分成三个不同的组成部分。例如,对于对特定受保护资源的访问请求,数据处理系统200使用对应的风险(数据处理系统200从包含在访问请求中的上下文信息定量估计),调节与请求访问受保护资源的用户关联的用户信任值。然后,数据处理系统200使用调节后的用户信任值以及与受保护资源关联的资源值来生成资源访问控制决策,例如有关受保护资源的授予访问、减轻访问风险或拒绝访问。
用户简档220表示与多个不同用户关联的多个不同用户简档。数据处理系统200可以将多个不同用户中的每个用户与一个或多个用户简档的集合关联。用户简档220包括用户标识符226、用户信任值228、用户角色230、用户生物特征数据232、用户资源访问历史日志234,以及用户行为简档236。但是,应该注意,用户简档220可以包括比所示更多或更少的数据。例如,用户简档可以不包括生物特征数据232。此类实施例可以以任意组合包括以下各项的简档:有关其中任一项的设备行为、程序、应用数据、传感器数据、历史数据,以及可用于或存储在设备中的任何其它上下文信息。此类简档可以用于计算采用任意组合的以下各项的简档:用户、多个用户中的用户组或子集、一个或多个设备中用户使用的的设备。
用户标识符226表示与多个不同用户关联的多个不同唯一标识符。数据处理系统200可以将多个不同用户中的每个用户与一个或多个用户标识符的集合关联。用户标识符例如可以是唯一用户标识号、唯一用户名或唯一网络地址,例如电子邮件地址。数据处理系统200可以使用用户标识符226唯一地标识每个不同用户。
设备标识符227表示与多个不同客户机设备关联的多个不同唯一标识符。数据处理系统200可以将多个不同客户机设备中的每个设备与一个或多个设备标识符的集合关联。设备标识符例如可以是唯一设备标识号、唯一标签或唯一网络地址,例如IEMI号。数据处理系统200可以使用设备标识符227唯一地标识每个不同客户机设备。此外,数据处理系统200可以将每个不同用户与一个或多个客户机设备关联。此外,数据处理系统200可以将一个或多个客户机设备与每个不同用户关联。
用户信任值228表示与多个不同用户关联的多个不同用户信任值。数据处理系统200可以将多个不同用户中的每个用户与一个或多个信任值的集合关联。用户信任值是对应于特定用户的量化可信度级别。数据处理系统200可以使用用户信任值228确定不同用户访问受保护资源(例如图1中的受保护资源116)的可信度级别。
用户角色230表示与多个不同用户关联的多个不同角色。数据处理系统200可以将多个不同用户中的每个用户与一个或多个角色的集合关联。用户角色可以包括一个或多个被分配权限的集合,这些权限用于访问一个或多个不同受保护资源的集合。数据处理系统200可以使用用户角色230确定分配给每个不同用户以便访问受保护资源的权限。
用户生物特征数据232表示与多个不同用户关联的多个不同用户生物特征数据。数据处理系统200可以将多个不同用户中的每个用户与对应于每个特定用户的生物特征数据关联。生物特征数据例如可以包括声纹、面部图像、视网膜图像、指纹、手纹、签名或其任意组合。数据处理系统200可以在允许用户访问受保护资源之前,使用用户生物特征数据232检验用户的身份。例如,数据处理系统200可以从具有一个或多个生物特征测量设备(例如图1中的客户机110的生物特征测量设备118)集合的客户机设备接收对应于请求访问受保护资源的特定用户的生物特征数据。数据处理系统200然后可以将对应于请求访问受保护资源的特定用户的所接收的生物特征数据与存储的用户生物特征数据232相比较,以便在允许该特定用户访问受保护资源之前检验特定用户的身份。对于特定类型的生物特征数据(例如声纹),所接收的生物特征数据与所存储的生物特征数据的比较可以生成匹配得分,其指示接收的生物特征数据和存储的生物特征数据之间的相似度。可以将不同类型生物特征数据的匹配得分组合成整体匹配得分。生成和组合匹配得分的过程可以在服务器侧实现(如图2中所示),但也可以在客户机侧(例如图1中的客户机110、112或114)实现。
用户资源访问历史日志234表示与多个不同用户关联的多个不同用户资源访问历史日志。数据处理系统200可以将多个不同用户中的每个用户与一个或多个资源访问历史日志的集合关联。用户资源访问历史日志包含以下各项的记录:特定用户在预定时间段内访问的每个受保护资源、特定用户何时访问和退出受保护资源,以及特定用户在访问受保护资源时采取的动作。用户资源访问历史日志可以包括其它信息,例如特定用户访问受保护资源使用的客户机设备的标识和客户机设备在访问受保护资源时的地理位置,以及可以用于进一步标识用户、访问设备的其它上下文信息和/或构造用于评估资源访问风险的使用简档。用户资源访问历史日志例如可以包括先进/先出(FIFO)数据表。数据处理系统200可以使用用户资源访问历史日志234确定特定用户和/或设备对受保护资源的访问模式,以及基于任意数量的相关上下文因素确定授予用户的先前资源访问权限。
用户行为简档236表示与多个不同用户关联的多个不同用户行为简档。数据处理系统200可以将多个不同用户中的每个用户与一个或多个行为简档的集合关联。用户行为简档例如可以包括特定用户对受保护资源的确定的访问模式。确定的访问模式例如可以是特定用户在一周的特定天内使用具有特定上下文(例如,在特定时间在特定地理位置)的特定客户机设备仅访问特定受保护资源。数据处理系统200可以在允许访问受保护资源之前使用用户行为简档236帮助检验特定用户的身份。
资源表222是数据处理系统200保护的所有资源的列表。资源表222包括资源标识符238和资源值240。资源标识符238表示对应于多个不同受保护资源的多个不同资源标识符。数据处理系统200使用资源标识符238唯一地标识多个不同受保护资源中的每一个。
资源值240表示对应于多个不同受保护资源的多个不同资源值。数据处理系统200可以将资源值与每个不同受保护资源相关联。但是,应该注意,多个受保护资源可以具有相同的资源值。资源值表示特定资源的价值、重要性级别或敏感性级别。例如,对应于特定受保护资源的资源值越高,对应的受保护资源对企业、组织、机构或政府机构就越重要。
估计风险值224表示对应于风险级别的多个不同估计风险值,所述风险级别与基于每个特定资源访问请求的上下文访问多个不同受保护资源关联。风险是所计算的用户访问一个或多个受保护资源的负面影响。数据处理系统200可以从包含在每个访问请求中的信息确定每个特定资源访问请求的上下文。例如,包括在特定访问请求中的上下文信息可以包括请求访问特定受保护资源的客户机设备的标识以及客户机在访问请求时的地理位置。可以经由地理定位设备(例如,图1中的客户机114的地理定位设备128)确定客户机设备在访问请求时的地理位置。
在该实例中,通信单元210提供与其它数据处理系统或设备的通信。通信单元210可以通过使用物理和无线通信链路两者之一或全部来提供通信。物理通信链路例如可以使用电线、电缆、通用串行总线或者任何其它物理技术,针对数据处理系统200建立物理通信链路。无线通信链路例如可以使用短波、高频、超高频、微波、无线保真(Wi-Fi)、蓝牙技术、全球移动通信系统(GSM)、码分多址(CDMA)、第二代(2G)、第三代(3G)、第四代(4G)或者任何其它无线通信技术或标准,针对数据处理系统200建立无线通信链路。
输入/输出单元212允许使用其它可以连接到数据处理系统200的设备来输入和输出数据。例如,输入/输出单元212可以通过小键盘、键盘、鼠标和/或某种其它合适的输入设备来提供连接以实现用户输入。显示器214提供用于向用户显示信息的机构。此外,显示器214可以提供触摸屏能力。
用于操作系统、应用和/或程序的指令可以位于存储设备216中,存储设备216通过通信结构202与处理器单元204通信。在该示例性实例中,指令以功能形式位于永久性存储装置208中。这些指令可以加载到存储器206以便由处理器单元204运行。处理器单元204可以使用计算机实现的指令(其可以位于存储器(例如存储器206)中)执行不同实施例的过程。这些指令称为程序代码、计算机可用程序代码或计算机可读程序代码,它们可以由处理器单元204中的处理器读取和运行。在不同的实施例中,程序代码可以包含在不同的物理计算机可读存储器件(例如存储器206或永久性存储装置208)中。
程序代码242以功能形式位于选择性地可移动的计算机可读介质244中,并且可以加载或传输到数据处理系统200以便由处理器单元204运行。程序代码242和计算机可读介质244形成计算机程序产品246。在一个实例中,计算机可读介质244可以是计算机可读存储介质248或计算机可读信号介质250。计算机可读存储介质248例如可以包括光盘或磁盘,其被插入或放置到属于永久性存储装置208的一部分的驱动器或其它设备中,以便传输到属于永久性存储装置208的一部分的存储设备(例如硬盘驱动器)。计算机可读存储介质248还可以采取永久性存储装置的形式,例如连接到数据处理系统200的硬盘驱动器、拇指驱动器或闪存。在某些情况下,计算机可读存储介质248可能无法从数据处理系统200移除。
备选地,可以使用计算机可读信号介质250,将程序代码242传输到数据处理系统200。计算机可读信号介质250例如可以是包含程序代码242的传播数据信号。例如,计算机可读信号介质250可以是电磁信号、光信号和/或任何其它合适类型的信号。这些信号可以通过通信链路传输,通信链路例如包括无线通信链路、光缆、同轴电缆、电线和/或任何其它合适类型的通信链路。换言之,在所述示例性实例中,通信链路和/或连接可以是物理或无线的。计算机可读介质还可以采取非有形介质的形式,例如包含程序代码的通信链路或无线传输。
在某些示例性实施例中,可以通过网络借助计算机可读信号介质250将程序代码242从另一个设备或数据处理系统下载到永久性存储装置208,以便在数据处理系统200中使用。例如,可以通过网络将存储在服务器数据处理系统内的计算机可读存储介质中的程序代码从该服务器下载到数据处理系统200。提供程序代码242的数据处理系统可以是服务器计算机、客户机计算机,或者能够存储和传输程序代码242的某种其它设备。
针对数据处理系统200示出的不同组件并非旨在提供有关可以实现不同实施例的方式的体系架构限制。可以在如下数据处理系统中实现不同的示例性实施例:该系统包括除了针对数据处理系统200示出的那些组件之外的组件或替代那些组件的组件。图2中所示的其它组件可以不同于所示的示例性实例。可以使用任何能够执行程序代码的硬件设备或系统来实现不同实施例。作为一个实例,数据处理系统200可以包括与无机组件集成的有机组件和/或可以完全由有机组件(不包括人类)组成。例如,存储器件可以由有机半导体组成。
作为另一个实例,数据处理系统200中的计算机可读存储设备是任何可以存储数据的硬件装置。存储器206、永久性存储装置208和计算机可读存储介质248是有形形式的物理存储设备的实例。
在另一个实例中,总线系统可以用于实现通信结构202并且可以包括一条或多条总线,例如系统总线或输入/输出总线。当然,总线系统可以使用任何合适类型的体系架构来实现,该体系架构在连接到总线系统的不同组件或设备之间提供数据传输。此外,通信单元可以包括一个或多个用于发送和接收数据的设备,例如调制解调器或网络适配器。此外,存储器例如可以是存储器206,或者例如在接口中发现的高速缓存,以及可以存在于通信结构202中的存储控制器集线器。
在开发各示例性实施例的过程中,发现先前基于风险的访问控制策略相对简单,并且对于许多实际应用情形,这些简单的访问控制策略缺少足够的灵活性以便描述用户请求的受保护资源的值、与请求访问受保护资源的用户关联的信任以及访问请求的上下文之间的复杂权衡和交互。这些早期基于风险的访问控制策略将资源值、用户信任值和访问请求的上下文集中在一起成为一个风险值。这种风险值可以与许多不同用户请求关联,这些用户请求具有截然不同的资源值、用户信任值以及与访问请求的上下文关联的风险值的组合。此外,指定基于风险的访问控制策略时的灵活性受限,这转而限制基于风险的访问控制策略能够提供多少灵活性。
各示例性实施例提供一种基于信任/值/风险的访问控制策略,该策略将用户信任值、资源值以及与资源访问请求的上下文关联的估计风险值分成三个不同的组成部分。对于一个特定访问请求,各示例性实施例利用与该特定访问请求关联的风险(从该特定访问请求的上下文定量估计),调节与请求用户关联的信任值。然后,各示例性实施例利用调节后的用户信任值以及与请求的受保护资源关联的资源值生成访问控制决策。通过将用户信任值、资源值以及与资源访问请求的上下文关联的估计风险值相分离,各示例性实施例在指定资源访问控制策略时实现更多的灵活性。此外,因为各示例性实施例从资源访问请求的上下文估计与访问受保护资源的用户关联的风险,所以基于信任/值/风险的访问控制策略是上下文感知资源访问控制策略。因此,各示例性实施例能够基于特定用户发出的资源访问请求的上下文,调节或调整与该特定用户关联的用户信任值。
各示例性实施例通过检查与资源访问请求关联的信息,确定资源访问请求的上下文,该上下文可以被视为与有关受保护资源的网络安全性相关,例如与请求访问受保护资源的用户关联的客户机设备的物理地理位置、对应于客户机设备的物理地理位置的安全级别、发出资源访问请求的时间、对应于请求访问受保护资源的用户的用户行为简档、对应于请求访问受保护资源的用户使用的客户机设备的安全级别、对应于请求访问受保护资源的用户的资源访问历史日志等。因此,各示例性实施例的基于信任/值/风险的访问控制策略是上下文感知和上下文自适应的灵活资源访问控制策略。
此外,通过在基于信任/值/风险的访问控制策略中将与受保护资源关联的资源值和与请求访问受保护资源的用户关联的用户信任值相分离,各示例性实施例能够在紧急情况下处理资源访问请求。紧急情况是需要立即处理和立即解决的情况,例如当提供联机服务时,应支付用于该提供的服务的款项。在紧急情况下,各示例性实施例可以增加与请求访问受保护资源的用户关联的调节后的用户信任值以便解决紧急需要。备选地,各示例性实施例可以减小与受保护资源关联的资源值以便在紧急情况下允许访问受保护资源,因此减小所请求的受保护资源的重要性。
因此,各示例性实施例使资源访问控制决策基于与请求的受保护资源关联的资源值以及与请求访问受保护资源的用户关联的用户信任值。应该注意,与请求访问受保护资源的用户关联的用户信任值随着与请求的受保护资源关联的资源值而改变。例如,在大多数情况下,用户信任值随着资源值增加而减小,但紧急情况除外。
用户信任值还受资源访问请求的上下文的影响。例如,请求访问受保护资源的用户可以是可信的(例如,具有与用户关联的高用户信任值),但该用户在具有低安全级别的地理位置中使用客户机设备,所以如果许可访问所请求的受保护资源,则所请求的受保护资源(例如敏感文档)很可能受到危害。这意味着资源访问请求包含的风险值高于用户在更安全位置中的情况,使得与该特定资源访问请求的用户关联的用户信任值将根据估计风险而减小。作为另一个实例,用户认证子系统可能没有对以下情况的高置信度级别:请求访问受保护资源的用户是用户声称的那个人。在这种情况下,有关用户身份的不确定性导致较高的估计风险值。作为进一步实例,请求访问受保护资源的用户可能已经被给予在短时间内访问大量受保护资源的权限。因此,假设用户访问另一个受保护资源,则存在较高的风险,这是由于以下原因所致:如果访问设备丢失、被盗或以其它方式受到损害,则更多受保护资源可能泄漏。
所有上面这些情况表明存在某一级别的风险,并且各示例性实施例将根据与资源访问请求的上下文关联的估计风险,减小与请求访问受保护资源的用户关联的用户信任值。与用户关联的有效调节后的用户信任值不仅由与所请求的受保护资源关联的资源值确定,而且还受资源访问请求的上下文的影响,该上下文对于每个请求都是唯一的。各示例性实施例的基于信任/值/风险的访问控制策略能够处理和适应动态变化的上下文,这些上下文随请求而改变。
因此,各示例性实施例分离资源值、用户信任值以及估计风险值。各示例性实施例从与资源访问请求关联的上下文定量估计风险值,并且基于估计风险值调节与请求访问受保护资源的用户关联的用户信任值。各示例性实施例然后基于与请求的受保护资源关联的资源值和调节后的用户信任值,生成资源访问控制决策。因此,从策略是上下文感知和上下文自适应的意义上说,各示例性实施例的基于信任/值/风险的访问控制策略是灵活的。通过从资源访问请求的上下文定量估计风险,各示例性实施例考虑动态上下文更改而无需枚举所有可能的上下文。
各示例性实施例的基于信任/值/风险的访问控制策略模型可以包括多个不同模块。例如,所述模型可以包括针对不同资源值指定与用户关联的用户信任值的模块,假设安全上下文,例如用户在安全位置中使用具有已知安全配置的公知访问设备。应该注意,用户信任值是依赖于所请求的受保护资源的资源值的值。例如,用户信任值通常随着请求的受保护资源的资源值增加而减小。
基于信任/值/风险的访问控制策略模型还可以包括基于估计风险值调节用户信任值的模块。所述模型还可以包括将资源值分配给每个受保护资源的模块。此外,所述模型还可以包括在紧急情况下调整用户信任值或受保护资源的资源值的模块。调节后的用户信任值增加或者资源值减小。此外,所述模型可以包括将<调节后的用户信任值,资源值>元组映射到资源访问控制决策的模块。应该注意,该映射可以与请求访问受保护资源的用户的身份无关。此外,应该注意,调节后的用户信任值或资源值可能已在紧急情况下调整。策略模型还可能需要来自风险估计器模块的风险估计。但是,应该注意,风险估计器模块可以不包括在策略模型中。
基于信任/值/风险的访问控制策略需要直接或间接来自多个数据源的数据输入。例如,所述策略可以从风险估计器接收输入以便提供与特定资源访问请求关联的风险估计。所述策略还可以针对每个用户接收从与用户请求的受保护资源关联的资源值到与资源值的用户关联的用户信任值的映射。所述策略还可以接收从请求的受保护资源到其关联的资源值的映射。对于每个请求的受保护资源,映射是量化受保护资源的值、重要性或敏感性的机制。该映射机制可以是静态映射机制,例如数据库表。备选地,可以使用文档分类器以计算方式实现映射机制,该文档分类器从对应于文档和/或文档内容的元数据计算受保护文档资源的值。此外,可以从包含在资源访问请求中的信息获得资源值,例如银行交易(例如,资金转移)的货币值。此外,所述策略还可以从这样的模块接收输入,该模块在紧急情况下调整与请求访问受保护资源的用户关联的调节后的用户信任值或者与请求的受保护资源关联的资源值。企业通常放宽资源访问控制,以便企业人员可以快速访问受保护资源以处理紧急情况。如果企业不希望以这种方式处理紧急情况,则该紧急调整器模块可以是输入和输出相同的恒等函数。
现在参考图3,其是示出根据一个示例性实施例的资源访问控制系统的示意图。资源访问控制系统300可以在计算机(例如图1中的服务器104或图2中的数据处理系统200)中实现。资源访问控制系统300可以包括多个不同模块或软件组件。例如,资源访问控制系统300包括请求接收器模块302、资源-值映射模块304、用户-信任映射模块306、风险估计器模块308、用户信任值调整器模块309、用户信任值调节器模块310、紧急资源值调整器模块312,以及策略引擎314。但是,应该注意,资源访问控制系统300可以包括比所示更多或更少的模块。换言之,资源访问控制系统300可以添加一个或多个未示出模块,组合两个或更多示出模块,将模块拆分为两个或更多其它模块等。
当资源访问控制系统300接收资源访问请求316时,资源访问控制系统300生成资源访问决策,以便确定是许可、拒绝还是需要缓解所请求的对受保护资源(例如图1中的受保护资源116)的访问。在该实例中,资源访问请求316包括用户标识318、资源标识320,以及资源访问请求的上下文322。但是,应该注意,资源访问请求316可以包括不同示例性实施例需要的任何数据或信息。
资源访问控制系统300使用请求接收器模块302,从连接到网络的客户机设备(例如图1中连接到网络102的客户机110)接收资源访问请求316。请求接收器模块302从资源访问请求316中提取资源标识,并且将提取的资源标识324输入到资源-值映射模块304中。资源-值映射模块304确定资源值330,资源值330与对应于请求的受保护资源的资源标识324关联。如果资源访问控制系统300将资源访问请求316作为紧急情况处理,则资源访问控制系统300利用紧急资源值调整器模块312接收紧急值336以便相应地调整(即,减小)请求的受保护资源的资源值330,以生成调整后的资源值338。但是,应该注意,紧急值336可以是零(0)值,这意味着资源值330和调整后的资源值338将是基于零紧急值的相同值。
此外,请求接收器模块302从资源访问请求316中提取用户标识,并且将提取的用户标识326输入到用户-信任映射模块306中。用户-信任映射模块306基于所请求的受保护资源的值,确定针对请求访问受保护资源的用户放置多少“信任”。换言之,用户-信任映射模块306确定与用户关联的资源相关信任值332,然后将与用户关联的资源相关信任值332输入到用户信任值调整器模块309中。用户信任值调整器模块309使用紧急值336调整与用户关联的资源相关信任值332,以便生成调整后的用户信任值333。用户信任值调整器模块309将调整后的用户信任值333输出到用户信任值调节器模块310。
此外,请求接收器模块302从资源访问请求316中提取上下文信息328,并且将提取的资源访问请求的上下文328输入到风险估计器模块308中。风险估计器模块308基于资源访问请求的上下文328,估计与资源访问请求316关联的风险。风险估计器模块308生成估计风险334,并且将估计风险334输入到用户信任值调节器模块310中。
用户信任值调节器模块310基于估计风险334调节调整后的用户信任值333,以便生成调节后的用户信任值340。用户信任值调节器模块310将调节后的用户信任值340输入到策略引擎314中。然后,策略引擎314根据基于信任/值/风险的访问控制策略(例如图2中的基于信任/值/风险的访问控制策略218),将输入的<调节后的用户信任值340,调整后的资源值338>元组映射到访问控制决策。然后,策略引擎314将资源访问控制决策输出342发送到访问实施点。访问实施点可以位于客户机、服务器上,或者部分在客户机上部分在服务器上。资源访问控制决策输出342可以是用于允许用户访问请求的受保护资源的决策、用于拒绝用户访问请求的受保护资源的决策,或者用于使用风险减轻措施减轻访问风险以便允许请求的决策。应该注意,资源访问控制系统300可以在紧急情况下调整资源值330或调节后的用户信任值340。
在该实例中,资源访问控制系统300将与用户关联的资源相关信任值332表示为映射,例如(与特定用户关联的资源值相关用户信任值)=ValueDependentTrustuser(资源值)。应该注意,用户-信任映射模块306未将调整后的资源值338作为输入,并且用户信任值调节器模块310调节整个ValueDependentTrustuser映射。策略引擎314然后使用调整后的资源值338和调节后的ValueDependentTrustuser映射(即,调节后的用户信任值340)作为输入,以便生成资源访问控制决策输出342。
作为一个备选示例性实施例,用户-信任映射模块306可以接收资源值330作为输入,以便用户-信任映射将产生用户信任值而不是ValueDependentTrustuser映射。因此,用户信任值调节器模块310调节该用户信任值。策略引擎314使用调整后的资源值338和调节后的用户信任值340作为输入,以便生成资源访问控制决策输出342。
资源访问控制系统300通过实施多个步骤,设置基于信任/值/风险的访问控制策略。例如,资源访问控制系统300可以首先评估资源值并将其分配给由资源访问控制系统300保护的每个资源。这些资源值不必是设置值(例如,货币值),而且还可以是无单位效用数值或敏感性级别。该资源值分配可以是映射,例如资源值=ResourceValue(资源标识符)。对于每个请求的受保护资源,映射是量化受保护资源的值或敏感性级别的机制。该机制可以是静态映射,例如数据库表。备选地,资源访问控制系统300可以例如使用文档分类器以计算方式实现该机制,以便从对应于文档和/或文档内容的元数据计算受保护文档的资源值。此外,资源访问控制系统300可以从包含在资源访问请求中的信息获得资源值,例如银行交易中的资金转移的货币值。但是,应该注意,各示例性实施例不依赖于任何特定类型的资源评估或资源评估机制。
其次,资源访问控制系统300可以将每个用户的与用户关联的资源相关信任值332指定为映射,例如(与用户关联的资源值相关用户信任值)=ValueDependentTrustuser(资源值)。资源访问控制系统300可以以多种不同方式实现ValueDependentTrustuser映射。两个实例可以是数据库表和数学函数。其它实现也是可能的。应该注意,各示例性实施例不依赖于从与请求的受保护资源关联的资源值到与请求访问受保护资源的用户关联的用户信任值的任何特定映射,各示例性实施例也不依赖于映射的任何特定实现。
第三,资源访问控制系统300可以指定/实现风险估计器,例如风险估计器模块308。风险估计器模块308基于资源访问请求的上下文(例如资源访问请求的上下文328),产生量化后的风险估计。例如,风险估计=RiskEstimator(资源访问请求的上下文)。应该注意,各示例性实施例不依赖于任何特定风险估计器。
第四,资源访问控制系统300可以指定/实现用户信任调节器,例如用户信任值调节器模块310,其基于来自风险估计器的风险估计(例如来自风险估计器模块308的估计风险334),调节与用户关联的信任值。例如,(调节后的信任)=TrustModulator(与用户关联的资源值相关用户信任值,从与资源访问请求关联的上下文定量估计的风险)。应该注意,各示例性实施例不依赖于任何特定用户信任调节器。
第五,资源访问控制系统300可以指定/实现资源值调整器,例如紧急资源值调整器模块312,以便在紧急情况下调整(即,减小)与请求的受保护资源关联的资源值。应该注意,各示例性实施例不依赖于任何特定资源值调整器。此外,资源值调整器可以是恒等函数。换言之,资源调整器不调整资源值。作为资源值调整器的替代物,各示例性实施例可以使用在紧急情况下调整(即,增加)调节后的用户信任值(例如调节后的用户信任值340)的用户信任值调整器。
第六,资源访问控制系统300可以指定/实现多个不同的资源访问控制决策选项。通常,资源访问控制系统300可以实现资源访问控制决策选项,例如允许、拒绝和减轻。但是,应该注意,特定的基于信任/值/风险的访问控制策略可以包括它自己的决策选项集合。减轻选项可以包括广泛的选项,例如生成附加用户认证质询以便检验用户身份,编辑受保护资源内容以便减小面临风险的资源值,删除客户机设备上当前可用于用户的受保护资源内容,向用户发送请求以便更改资源访问请求的上下文(例如请求用户更改地理位置和/或更改客户机设备),以及其它风险减轻策略。资源访问控制系统300可以单独或组合使用这些减轻选项。但是,应该注意,各示例性实施例不依赖于任何特定资源访问控制决策选项集合。
第七,资源访问控制系统300可以将资源访问控制策略指定/实现为映射,例如PolicyMapping(请求的受保护资源的值,与请求访问受保护资源的用户关联的用户信任值)=(资源访问控制决策选项)。资源访问控制决策选项是上面列出的那些选项之一。典型的映射/策略将包括“如果…则”规则,例如,如果用户信任值在范围rt1内并且资源值在范围rval1内,则资源访问控制决策=选项opti;否则如果用户信任值在范围rt2内并且资源值在范围rval2内,则资源访问控制决策=选项optj;否则资源访问控制决策=optdefault。“如果…则”规则不是用于指定映射/策略的唯一方式。例如,资源访问控制系统300可以将策略指定为数学函数f等等。数学函数例如可以是决策=f(用户信任值,资源值)。但是,应该注意,各示例性实施例不依赖于任何特定方式来指定或实现此类映射。
第八,资源访问控制系统300可以指定/实现资源访问请求的接收器,例如请求接收器模块302。一种实例实现是接受资源访问请求的反向代理服务器。此外,资源访问请求接收器还可以协调和/或执行用户认证、授权以及资源访问控制实施。应该注意,各示例性实施例不依赖于任何特定类型的资源访问请求接收器。
现在参考图4,其是示出根据一个示例性实施例的资源访问控制过程的示意图。资源访问控制过程400可以在计算机(例如图1中的服务器104或图2中的数据处理系统200)中实现。资源访问控制过程400始于在402接收对受保护资源(例如图1中的受保护资源116)的资源访问请求。可以例如从连接到网络的客户机设备(例如图1中连接到网络102的客户机110)接收资源访问请求。资源访问请求例如可以是图3中的资源访问请求。然后,资源访问控制过程400在404从资源访问请求中提取与请求的受保护资源关联的资源标识符,在406从资源访问请求中提取与请求访问受保护资源的用户关联的用户标识符,并且在408从对应于资源访问请求的上下文信息确定资源访问请求的上下文。
然后,资源访问控制过程400在410检索对应于所提取的资源标识的资源值,并且在412接收紧急值。资源访问控制过程400在414基于检索的资源值和接收的紧急值,调整资源值以便生成调整后的资源值。但是,应该注意,紧急值可以是零值。换言之,如果在412接收的紧急值是零值,则调整后的资源值等于在410检索的资源值。
此外,资源访问控制过程400在416检索对应于所提取的用户标识符的用户信任值,并且在418估计与资源访问请求的上下文关联的风险值。此外,资源访问控制过程400在419基于所接收的紧急值,调整所检索的用户信任值。此外,资源访问控制过程400在420基于估计风险值,调节调整后的用户信任值。然后,资源访问控制过程400在422基于调整后的资源值和调节后的用户信任值,生成资源访问控制决策。随后,资源访问控制过程400在424经由网络,将资源访问控制决策输出到客户机设备。
现在参考图5,其是示出根据一个示例性实施例的基于信任/值/风险的访问控制策略的示意图。基于信任/值/风险的访问控制策略500例如可以是图2中的基于信任/值/风险的访问控制策略218。此外,基于信任/值/风险的访问控制策略500可以在计算机(例如图1中的服务器104或图2中的数据处理系统200)中实现。
在该实例中,基于信任/值/风险的访问控制策略500被示出为沿着资源值轴502和用户信任值轴504放置的多个决策方框。沿着资源值轴502和用户信任值轴504放置的多个决策方框中的每个决策方框包括决策,例如用于允许用户访问受保护资源的决策、用于允许用户访问受保护资源并且记录的决策,以及用于拒绝用户访问受保护资源的决策。受保护资源例如可以是图1中的受保护资源116。用于允许用户访问受保护资源并且记录的决策是如下决策:允许用户访问受保护资源,而且减轻响应是记录与访问关联的事件,例如用户的姓名和标识符、用户访问的受保护资源的名称和标识符、用户在访问受保护资源时采取的动作、访问日期和时间等。但是,应该注意,基于信任/值/风险的访问控制策略500可以包括其它决策,例如遵从上级的决策。
基于信任/值/风险的访问控制策略500使用与用户关联的信任曲线506,定义与特定用户关联的用户信任值。此外,基于信任/值/风险的访问控制策略500可以通过沿着资源值轴502水平移动多个决策方框,调整与请求的受保护资源关联的资源值。沿着资源值轴502向左水平移动多个决策方框导致受保护资源的资源值减小。同样,沿着资源值轴502向右水平移动多个决策方框导致受保护资源的资源值增大。应该注意,沿着资源值轴502水平移动决策方框在数学上相当于将与用户关联的信任曲线506沿着相反方向水平移动相同的量。
基于信任/值/风险的访问控制策略500基于估计风险,通过向下移动与用户关联的信任曲线506,调节与请求访问受保护资源的用户关联的用户信任值,例如根据估计风险向下移动的用户信任曲线508。根据估计风险向下移动的用户信任曲线508(即,调节后的用户信任曲线)与请求的受保护资源的资源值510相交处的决策方框提供资源访问控制决策512。在该实例中,资源访问控制决策512是用于允许用户访问请求的受保护资源的决策。
现在参考图6A-6B,其是示出根据一个示例性实施例的用于管理受保护资源的访问控制的过程的流程图。图6A-6B中所示的过程可以在计算机(例如图1中的服务器104或图2中的数据处理系统200)中实现。
所述过程开始,此时计算机经由网络从客户机设备接收对受保护资源的资源访问请求,该请求包括受保护资源的资源标识符、与资源访问请求关联的用户的用户标识符以及资源访问上下文信息(步骤602)。受保护资源例如可以是图1中的受保护资源116。客户机设备例如可以是图1中的客户机110。网络例如可以是图1中的网络102。包括受保护资源的资源标识符、与资源访问请求关联的用户的用户标识符以及资源访问上下文信息的资源访问请求例如可以是图3中包括用户标识符318、资源标识符320以及资源访问请求的上下文322的资源访问请求316。
随后,计算机从资源访问请求中提取受保护资源的资源标识符和用户的用户标识符(例如图3中的资源标识符324和用户标识符326)(步骤604)。此外,计算机从包括在资源访问请求中的资源访问上下文信息确定资源访问请求的上下文(例如图3中的资源访问请求的上下文326)(步骤606)。此外,计算机使用资源标识符-资源值映射,检索与受保护资源的资源标识符关联的资源值(例如图3中的资源值330)(步骤608)。计算机还接收与资源访问请求关联的紧急值(例如图3中的紧急值336)(步骤610)。
然后,计算机使用与资源访问请求关联的接收的紧急值,调整与受保护资源的资源标识符关联的资源值(例如图3中的调整后的资源值338)(步骤612)。此外,计算机使用用户标识符-用户信任值映射,检索与用户的用户标识符关联的用户信任值(例如图3中的与用户关联的资源相关信任值332)(步骤614)。此外,计算机使用接收的紧急值,调整检索的用户信任值(步骤615)。但是,应该注意,步骤615可以是步骤612的替代物。换言之,不同示例性实施例可以调整检索的用户信任值而不是检索的资源值。计算机还估计与确定的资源访问请求的上下文关联的风险值(例如图3中的估计风险334)(步骤616)。
然后,计算机基于与确定的资源访问请求的上下文关联的估计风险值,调节与用户的用户标识符关联的用户信任值(例如图3中的调节后的用户信任值340)(步骤618)。此外,计算机基于调整后的资源值和调节后的用户信任值,生成资源访问控制决策(步骤620)。随后,计算机经由网络,将基于调整后的资源值和调节后的用户信任值的所生成的资源访问控制决策(例如图3中的资源访问控制决策输出342)输出到客户机设备(步骤622)。之后,所述过程结束。
因此,各示例性实施例提供一种用于基于与受保护资源关联的调整后的资源值以及与请求访问受保护资源的用户关联的调节后的用户信任值,生成资源访问控制决策的计算机实现的方法、计算机系统和计算机程序产品。出于示例目的给出了对本发明的不同实施例的描述,但所述描述并非旨在是穷举的或是限于所公开的实施例。在不偏离所述实施例的范围和精神的情况下,对于所属技术领域的普通技术人员来说许多修改和变化都将是显而易见的。在此使用的术语的选择,旨在最好地解释实施例的原理、实际应用或对市场中的技术的技术改进,或者使所属技术领域的其它普通技术人员能理解在此所公开的实施例。
附图中的流程图和框图显示了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。

Claims (19)

1.一种用于生成资源访问控制决策的计算机实现的方法,所述计算机实现的方法包括:
由计算机基于与资源访问请求的上下文关联的估计风险值,调节与请求访问受保护资源的用户的用户标识符关联的用户信任值;以及
由所述计算机基于与请求访问所述受保护资源的所述用户关联的调节后的用户信任值,生成所述资源访问控制决策。
2.根据权利要求1的计算机实现的方法,还包括:
由所述计算机将所生成的资源访问控制决策输出到与请求访问所述受保护资源的所述用户关联的实施点,其中所生成的资源访问控制决策是以下项之一:用于允许所述用户访问所述受保护资源的决策、用于拒绝所述用户访问所述受保护资源的决策,或者用于使用风险减轻措施减轻访问风险的决策。
3.根据权利要求2的计算机实现的方法,其中所述风险减轻措施包括以下项中的至少一个:生成附加用户认证质询以便检验所述用户的身份,编辑受保护资源内容以便减小面临风险的资源值,删除客户机上当前可用于所述用户的所述受保护资源的内容,以及向所述用户发送请求以便通过更改地理位置和客户机上下文中的至少一个来更改所述资源访问请求的所述上下文以减轻风险。
4.根据权利要求1的计算机实现的方法,还包括:
由所述计算机使用与所述资源访问请求关联的紧急值,调整与所述受保护资源的资源标识符关联的资源值;以及
由所述计算机基于与所述受保护资源关联的调整后的资源值以及与请求访问所述受保护资源的所述用户关联的调节后的用户信任值,生成所述资源访问控制决策。
5.根据权利要求1的计算机实现的方法,还包括:
由所述计算机使用与所述资源访问请求关联的紧急值,调整与请求访问所述受保护资源的所述用户关联的所述用户信任值;
由计算机基于与资源访问请求的所述上下文关联的所述估计风险值,调节与请求访问所述受保护资源的所述用户关联的调整后的用户信任值;以及
由所述计算机基于与请求访问所述受保护资源的所述用户关联的调节后的已调整用户信任值,生成所述资源访问控制决策。
6.根据权利要求4的计算机实现的方法,还包括:
由所述计算机接收所述资源访问请求,所述资源访问请求包括所述受保护资源的所述资源标识符、请求访问所述受保护资源的所述用户的所述用户标识符,以及标识来自客户机的所述资源访问请求的所述上下文的上下文信息。
7.根据权利要求6的计算机实现的方法,还包括:
由所述计算机从所述资源访问请求中提取所述受保护资源的所述资源标识符以及所述用户的所述用户标识符。
8.根据权利要求6的计算机实现的方法,还包括:
由所述计算机从包括在所述资源访问请求中的所述上下文信息,确定所述资源访问请求的所述上下文。
9.根据权利要求4的计算机实现的方法,还包括:
由所述计算机使用资源标识符-资源值映射,检索与所述受保护资源的所述资源标识符关联的所述资源值;以及
由所述计算机使用用户标识符-用户信任值映射,检索与所述用户的所述用户标识符关联的所述用户信任值。
10.根据权利要求1的计算机实现的方法,其中所述资源访问请求的所述上下文包括以下项中的至少一个:与请求访问所述受保护资源的所述用户关联的客户机的地理位置、与所述客户机的所述地理位置对应的安全级别、发出所述资源访问请求的时间、与请求访问所述受保护资源的所述用户对应的用户行为简档、与请求访问所述受保护资源的所述用户使用的所述客户机对应的安全级别、与请求访问所述受保护资源的所述用户对应的资源访问历史日志,以及所述用户当前访问的多个受保护资源及其对应的资源值。
11.根据权利要求1的计算机实现的方法,其中所述计算机利用基于信任/值/风险的访问控制策略来确定所述资源访问控制决策,并且其中所述基于信任/值/风险的访问控制策略将与所述受保护资源关联的所述资源值、与请求访问所述受保护资源的所述用户关联的所述用户信任值,以及与所述访问请求的所述上下文关联的所述估计风险值分成三个不同的组成部分。
12.根据权利要求1的计算机实现的方法,其中所述计算机为由所述计算机保护的多个受保护资源中的每个受保护资源分配一个资源值。
13.一种用于生成资源访问控制决策的计算机系统,所述计算机系统包括:
被配置为基于与资源访问请求的上下文关联的估计风险值,调节与请求访问受保护资源的用户的用户标识符关联的用户信任值的装置;以及
被配置为基于与请求访问所述受保护资源的所述用户关联的调节后的用户信任值,生成所述资源访问控制决策的装置。
14.根据权利要求13的计算机系统,还包括:
被配置为将所生成的资源访问控制决策输出到与请求访问所述受保护资源的所述用户关联的实施点的装置,其中所生成的资源访问控制决策是以下项之一:用于允许所述用户访问所述受保护资源的决策、用于拒绝所述用户访问所述受保护资源的决策,或者用于使用风险减轻措施减轻访问风险的决策。
15.根据权利要求14的计算机系统,其中所述风险减轻措施包括以下项中的至少一个:生成附加用户认证质询以便检验所述用户的身份,编辑受保护资源内容以便减小面临风险的资源值,删除客户机上当前可用于所述用户的所述受保护资源的内容,以及向所述用户发送请求以便通过更改地理位置和客户机上下文中的至少一个来更改所述资源访问请求的所述上下文以减轻风险。
16.根据权利要求13的计算机系统,还包括:
被配置为使用与所述资源访问请求关联的紧急值,调整与所述受保护资源的资源标识符关联的资源值的装置;以及
被配置为基于与所述受保护资源关联的调整后的资源值以及与请求访问所述受保护资源的所述用户关联的调节后的用户信任值,生成所述资源访问控制决策的装置。
17.根据权利要求13的计算机系统,还包括:
被配置为使用与所述资源访问请求关联的紧急值,调整与请求访问所述受保护资源的所述用户关联的所述用户信任值的装置;
被配置为基于与资源访问请求的所述上下文关联的所述估计风险值,调节与请求访问所述受保护资源的所述用户关联的调整后的用户信任值的装置;以及
被配置为基于与请求访问所述受保护资源的所述用户关联的调节后的已调整用户信任值,生成所述资源访问控制决策的装置。
18.根据权利要求16的计算机系统,还包括:
被配置为接收所述资源访问请求的装置,所述资源访问请求包括所述受保护资源的所述资源标识符、请求访问所述受保护资源的所述用户的所述用户标识符,以及标识来自客户机的所述资源访问请求的所述上下文的上下文信息。
19.根据权利要求18的计算机系统,还包括:
被配置为从所述资源访问请求中提取所述受保护资源的所述资源标识符以及所述用户的所述用户标识符的装置。
CN201410389631.7A 2013-10-10 2014-08-08 用于生成资源访问控制决策的方法和系统 Active CN104580344B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201361889310P 2013-10-10 2013-10-10
US61/889,310 2013-10-10
US14/281,955 US9432375B2 (en) 2013-10-10 2014-05-20 Trust/value/risk-based access control policy
US14/281,955 2014-05-20

Publications (2)

Publication Number Publication Date
CN104580344A true CN104580344A (zh) 2015-04-29
CN104580344B CN104580344B (zh) 2018-07-17

Family

ID=52810816

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410389631.7A Active CN104580344B (zh) 2013-10-10 2014-08-08 用于生成资源访问控制决策的方法和系统

Country Status (2)

Country Link
US (1) US9432375B2 (zh)
CN (1) CN104580344B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106503493A (zh) * 2016-11-03 2017-03-15 Tcl集团股份有限公司 一种应用权限管理方法及系统
CN108702360A (zh) * 2016-02-15 2018-10-23 思科技术公司 使用动态网络属性的数字资产保护策略
CN110300125A (zh) * 2019-02-02 2019-10-01 奇安信科技集团股份有限公司 Api访问控制方法及api访问代理装置
CN113472729A (zh) * 2020-03-31 2021-10-01 瞻博网络公司 基于角色的访问控制策略自动生成
CN116244752A (zh) * 2023-05-08 2023-06-09 西安大合智能科技有限公司 一种基于fpga的文件管理方法

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9842204B2 (en) 2008-04-01 2017-12-12 Nudata Security Inc. Systems and methods for assessing security risk
CA2757290C (en) 2008-04-01 2020-12-15 Leap Marketing Technologies Inc. Systems and methods for implementing and tracking identification tests
AU2013204965B2 (en) 2012-11-12 2016-07-28 C2 Systems Limited A system, method, computer program and data signal for the registration, monitoring and control of machines and devices
JP6181573B2 (ja) * 2014-02-18 2017-08-16 Kddi株式会社 データ共有システム、データ共有方法およびプログラム
US9298899B1 (en) * 2014-09-11 2016-03-29 Bank Of America Corporation Continuous monitoring of access of computing resources
US10412106B2 (en) * 2015-03-02 2019-09-10 Verizon Patent And Licensing Inc. Network threat detection and management system based on user behavior information
US9807094B1 (en) * 2015-06-25 2017-10-31 Symantec Corporation Systems and methods for dynamic access control over shared resources
US9979747B2 (en) 2015-09-05 2018-05-22 Mastercard Technologies Canada ULC Systems and methods for detecting and preventing spoofing
US10482231B1 (en) * 2015-09-22 2019-11-19 Amazon Technologies, Inc. Context-based access controls
US9875373B2 (en) * 2015-09-28 2018-01-23 International Business Machines Corporation Prioritization of users during disaster recovery
US9870454B2 (en) 2015-12-16 2018-01-16 International Business Machines Corporation Determine security access level based on user behavior
US10091230B1 (en) * 2015-12-28 2018-10-02 EMC IP Holding Company LLC Aggregating identity data from multiple sources for user controlled distribution to trusted risk engines
US10846389B2 (en) * 2016-07-22 2020-11-24 Aetna Inc. Incorporating risk-based decision in standard authentication and authorization systems
EP3376464A1 (en) * 2017-03-14 2018-09-19 Electronics and Telecommunications Research Institute Trust-based resource sharing method and system
US10007776B1 (en) 2017-05-05 2018-06-26 Mastercard Technologies Canada ULC Systems and methods for distinguishing among human users and software robots
US10127373B1 (en) 2017-05-05 2018-11-13 Mastercard Technologies Canada ULC Systems and methods for distinguishing among human users and software robots
US9990487B1 (en) 2017-05-05 2018-06-05 Mastercard Technologies Canada ULC Systems and methods for distinguishing among human users and software robots
US9882918B1 (en) 2017-05-15 2018-01-30 Forcepoint, LLC User behavior profile in a blockchain
US10915643B2 (en) 2017-05-15 2021-02-09 Forcepoint, LLC Adaptive trust profile endpoint architecture
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US10447718B2 (en) 2017-05-15 2019-10-15 Forcepoint Llc User profile definition and management
US10917423B2 (en) 2017-05-15 2021-02-09 Forcepoint, LLC Intelligently differentiating between different types of states and attributes when using an adaptive trust profile
US10999297B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Using expected behavior of an entity when prepopulating an adaptive trust profile
US10862927B2 (en) 2017-05-15 2020-12-08 Forcepoint, LLC Dividing events into sessions during adaptive trust profile operations
US10129269B1 (en) 2017-05-15 2018-11-13 Forcepoint, LLC Managing blockchain access to user profile information
US10262149B2 (en) 2017-06-16 2019-04-16 International Business Machines Corporation Role access to information assets based on risk model
US10318729B2 (en) 2017-07-26 2019-06-11 Forcepoint, LLC Privacy protection during insider threat monitoring
US10510089B2 (en) * 2017-08-14 2019-12-17 Uber Technologies, Inc. Computing estimated value of providing service among geographical regions
EP3474095A1 (en) * 2017-10-23 2019-04-24 Mastercard International Incorporated System and method for specifying rules for operational systems
US10997295B2 (en) 2019-04-26 2021-05-04 Forcepoint, LLC Adaptive trust profile reference architecture
US11048500B2 (en) 2019-07-10 2021-06-29 International Business Machines Corporation User competency based change control
US11341255B2 (en) * 2019-07-11 2022-05-24 Blackberry Limited Document management system having context-based access control and related methods
US11314871B2 (en) 2020-01-22 2022-04-26 Forcepoint, LLC Disrupting a cyber kill chain when performing security operations
CN112351005B (zh) * 2020-10-23 2022-11-15 杭州安恒信息技术股份有限公司 物联网通信方法、装置、可读存储介质及计算机设备
US20220210173A1 (en) * 2020-12-31 2022-06-30 Fortinet, Inc. Contextual zero trust network access (ztna) based on dynamic security posture insights
CN112953920B (zh) * 2021-02-01 2022-07-01 福建多多云科技有限公司 一种基于云手机的监控管理方法
CN112511569B (zh) * 2021-02-07 2021-05-11 杭州筋斗腾云科技有限公司 网络资源访问请求的处理方法、系统及计算机设备
US20220311775A1 (en) * 2021-03-26 2022-09-29 Rowan University Behavior-based access control management for application software of computing devices
US11921842B2 (en) 2021-06-14 2024-03-05 Kyndryl, Inc. Multifactor authorization on accessing hardware resources
US20230049749A1 (en) * 2021-08-13 2023-02-16 People Center, Inc. Resource Provisioning Based on Estimation of Risk
CN114760118B (zh) * 2022-04-01 2023-01-31 广西壮族自治区数字证书认证中心有限公司 一种零信任架构中具有隐私保护的信任评估方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110035788A1 (en) * 2009-08-05 2011-02-10 Conor Robert White Methods and systems for authenticating users
CN102299915A (zh) * 2010-06-24 2011-12-28 微软公司 基于网络层声明的访问控制
CN102484640A (zh) * 2009-08-28 2012-05-30 国际商业机器公司 数据处理系统中的威胁检测

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7530110B2 (en) 2005-05-06 2009-05-05 International Business Machines Corporation System and method for fuzzy multi-level security
US7832007B2 (en) 2006-01-10 2010-11-09 International Business Machines Corporation Method of managing and mitigating security risks through planning
US20080016547A1 (en) 2006-07-11 2008-01-17 International Business Machines Corporation System and method for security planning with hard security constraints
US8132259B2 (en) 2007-01-04 2012-03-06 International Business Machines Corporation System and method for security planning with soft security constraints
US20080288330A1 (en) 2007-05-14 2008-11-20 Sailpoint Technologies, Inc. System and method for user access risk scoring
SE534334C2 (sv) 2009-05-07 2011-07-12 Axiomatics Ab Ett system och förfarande för att styra policydistribuering med partiell evaluering
US8474018B2 (en) 2010-09-03 2013-06-25 Ebay Inc. Role-based attribute based access control (RABAC)
US8881226B2 (en) 2011-09-16 2014-11-04 Axiomatics Ab Provisioning user permissions using attribute-based access-control policies
US9594921B2 (en) 2012-03-02 2017-03-14 International Business Machines Corporation System and method to provide server control for access to mobile client data

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110035788A1 (en) * 2009-08-05 2011-02-10 Conor Robert White Methods and systems for authenticating users
CN102484640A (zh) * 2009-08-28 2012-05-30 国际商业机器公司 数据处理系统中的威胁检测
CN102299915A (zh) * 2010-06-24 2011-12-28 微软公司 基于网络层声明的访问控制

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108702360A (zh) * 2016-02-15 2018-10-23 思科技术公司 使用动态网络属性的数字资产保护策略
CN106503493A (zh) * 2016-11-03 2017-03-15 Tcl集团股份有限公司 一种应用权限管理方法及系统
CN110300125A (zh) * 2019-02-02 2019-10-01 奇安信科技集团股份有限公司 Api访问控制方法及api访问代理装置
CN110300125B (zh) * 2019-02-02 2022-07-08 奇安信科技集团股份有限公司 Api访问控制方法及api访问代理装置
CN113472729A (zh) * 2020-03-31 2021-10-01 瞻博网络公司 基于角色的访问控制策略自动生成
US11595393B2 (en) 2020-03-31 2023-02-28 Juniper Networks, Inc. Role-based access control policy auto generation
CN113472729B (zh) * 2020-03-31 2023-06-16 瞻博网络公司 基于角色的访问控制策略自动生成
CN116244752A (zh) * 2023-05-08 2023-06-09 西安大合智能科技有限公司 一种基于fpga的文件管理方法

Also Published As

Publication number Publication date
US20150106888A1 (en) 2015-04-16
CN104580344B (zh) 2018-07-17
US9432375B2 (en) 2016-08-30

Similar Documents

Publication Publication Date Title
CN104580344A (zh) 用于生成资源访问控制决策的方法和系统
US11106655B2 (en) Asset management system, method, apparatus, and electronic device
US8584219B1 (en) Risk adjusted, multifactor authentication
US9473511B1 (en) Geographical location authentication
US20160191484A1 (en) Secure Inmate Digital Storage
US8893291B2 (en) Security through metadata orchestrators
US20150135258A1 (en) Mechanism for facilitating dynamic context-based access control of resources
CN105989275B (zh) 用于认证的方法和系统
US20160034834A1 (en) Capturing evolution of a resource memorandum according to resource requests
CN105531977B (zh) 用于同步和远程数据访问的移动设备连接控制的方法和系统
CN110458572B (zh) 用户风险的确定方法和目标风险识别模型的建立方法
US10282461B2 (en) Structure-based entity analysis
US11321479B2 (en) Dynamic enforcement of data protection policies for arbitrary tabular data access to a corpus of rectangular data sets
US20230289827A1 (en) User provisioning management in a database system
US9449181B1 (en) Control and enforcement of access of user data
US20180349983A9 (en) A system for periodically updating backings for resource requests
US11599622B2 (en) System for resource monitoring and transmitting electronic alerts using event-based triggers
US20210209246A1 (en) Blockchain Network to Protect Identity Data Attributes Using Data Owner-Defined Policies
US20180337929A1 (en) Access Control in a Hybrid Cloud Infrastructure - Cloud Technology
CN115242433B (zh) 数据处理方法、系统、电子设备及计算机可读存储介质
US11647004B2 (en) Learning to transform sensitive data with variable distribution preservation
US20240061950A1 (en) Event based network micro-segmentation modeling for user authenticated access to distributed network system segments
US11451550B2 (en) System for automated electronic data exfiltration path identification, prioritization, and remediation
WO2023181219A1 (ja) 分析装置、分析方法及び非一時的なコンピュータ可読媒体
US20230344822A1 (en) System for secured electronic data access through machine-learning based analysis of combined access authorizations

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant