CN108292346A - 从静态权限和访问事件中提取物理访问控制策略 - Google Patents
从静态权限和访问事件中提取物理访问控制策略 Download PDFInfo
- Publication number
- CN108292346A CN108292346A CN201680069338.XA CN201680069338A CN108292346A CN 108292346 A CN108292346 A CN 108292346A CN 201680069338 A CN201680069338 A CN 201680069338A CN 108292346 A CN108292346 A CN 108292346A
- Authority
- CN
- China
- Prior art keywords
- record
- strategy
- processor
- rule
- rights
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00571—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C2009/00753—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys
- G07C2009/00769—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C2209/00—Indexing scheme relating to groups G07C9/00 - G07C9/38
- G07C2209/04—Access control involving a hierarchy in access rights
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
一种用于生成至少一个策略的系统包括:静态权限数据库,所述静态权限数据库包含多个静态权限记录,所述静态权限记录标识至少一个凭证持有者对至少一个资源的访问权限;策略数据库;以及处理器,所述处理器用于分析所述多个静态权限记录以生成所述至少一个策略,其中所述至少一个策略的执行结果对应于所述多个静态权限记录。
Description
本文所公开的主题涉及从物理访问控制的静态权限中提取基于规则的策略,并涉及一种用于从物理访问控制的静态权限中提取基于规则的策略的系统和方法。
相关技术的描述
通常,物理访问控制系统,例如建筑物访问控制系统确保只有授权用户(凭证持有者、持卡人)在合适的环境下才能访问受保护区域。例如,物理访问控制系统可以将提供的凭证与存储的静态权限进行比较,以允许或拒绝在给定时间访问某一区域。另外,这种静态权限可以涉及单个资源(单个读卡器)或资源分组(某一区域内的一批读卡器)。静态权限还可以涉及访问被允许或拒绝时的具体情况(诸如,一周内的时间)。
物理访问控制系统需要执行添加、移除和更新静态权限之类的管理任务,以确保物理访问控制系统的适当的静态权限和有效使用。管理任务通常会利用手动操作,这相当费时并且会引入错误权限记录的风险。基于规则的策略可以有效地管理会影响权限记录的正确性的动态改变,诸如用户属性、组织结构、资源属性(诸如敏感度等级)等的改变。现有的使用这类基于规则的策略的访问控制系统正使用所述策略来动态处理个别访问请求,这要求系统能够实时地运行规则引擎来处理访问请求。能够进行动态处理的这类系统往往与使用软件和硬件架构的现有物理访问控制系统不兼容,所述软件和硬件架构要求确定访问的静态权限的可用性。因此,过渡到能够进行动态处理的系统需要创建基于规则的策略,所述基于规则的策略对应于先前定义的传统系统的静态权限。手动创建对应的基于规则的策略将是昂贵且不切实际的。希望一种可从静态权限生成基于规则的策略的系统和方法。
发明内容
根据一个实施方案,一种用于生成至少一个策略的系统包括:静态权限数据库,静态权限数据库包含多个静态权限记录,静态权限记录标识至少一个凭证持有者对至少一个资源的访问权限;策略数据库;以及处理器,处理器用于分析多个静态权限记录以生成至少一个策略,其中至少一个策略的执行结果对应于多个静态权限记录。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括:处理器利用模式挖掘来分析多个静态权限记录以生成至少一个策略。
除了上文所述特征中的一个或多个之外,或者作为替代方案,另外的实施方案还可以包括:至少一个策略是一条或多条规则的集合并且每一规则都包括用户属性、资源属性和环境属性中的至少一项,每一规则还都包括访问决策,访问决策确定满足用户属性的对应的用户在满足环境属性的环境中是否能够访问满足资源属性的至少一个资源。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括:处理器分析每一规则对至少一个策略的影响。
除了上文所述特征中的一个或多个之外,或者作为替代方案,另外的实施方案还可以包括:处理器响应于管理员输入而从至少一个策略中选择性地添加、移除或修改每一规则。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括处理器分析每一规则以确定规则复杂性度量。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括处理器利用多个静态权限记录分析每一规则以确定规则准确性度量。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括处理器利用多个静态权限记录分析每一规则以确定规则统计显著性度量。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括处理器分析多个静态权限以生成异常数据库。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括违规数据库,违规数据库包含违反如由处理器计算出的策略中的一个或多个的多个静态权限记录。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括已发生的违规数据库,已发生的违规数据库包含违反如由处理器计算出的策略中的一个或多个的多个静态权限记录。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括例外数据库,例外数据库包含豁免多个策略的多个例外静态权限记录。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括处理器分析多个例外静态权限记录以生成至少一个策略。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括:静态权限数据库包含:访问事件数据库,访问事件数据库包含多个访问事件记录中的至少一个;以及管理员日志数据库,管理员日志数据库包含管理员动作日志;并且处理器分析多个访问事件记录中的至少一个和管理员动作日志以生成至少一个策略。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括:处理器针对多个访问事件记录中的至少一个和管理员动作日志,利用多个静态权限记录分析每一规则,以确定加权的规则准确性度量。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括:处理器响应于分析多个访问事件记录而提高规则加权准确性度量。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括:处理器针对多个访问事件记录中的至少一个和管理员动作日志,具有多个静态权限记录分析每一规则,以确定加权的规则统计显著性度量。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括:处理器响应于分析多个访问事件记录而提高规则加权统计显著性度量。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括策略编辑器以显示至少一个策略。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括:响应于多个访问事件记录而经由策略编辑器布置至少一个策略。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括:响应于以下各项中的至少一个而布置至少一个策略:具有选定用户属性的凭证持有者的数量、具有对选定访问级别的静态权限的凭证持有者的数量以及将其权限用于选定访问级别的凭证持有者的数量。
根据一个实施方案,一种生成至少一个策略的方法包括:在静态资源数据库中提供多个静态权限记录,静态权限记录标识至少一个凭证持有者对至少一个资源的访问权限;经由处理器分析多个静态权限记录;经由处理器生成至少一个策略,其中至少一个策略的执行结果对应于多个静态权限记录;以及在策略数据库中提供多个策略。
根据一个实施方案,一种体现在有形计算机可读存储介质上的计算机程序产品,所述计算机程序产品包括用于使处理器执行操作的指令,所述操作包括:在静态资源数据库中提供多个静态权限记录,多个静态权限记录标识至少一个凭证持有者对至少一个资源的访问权限;经由处理器分析多个静态权限记录;经由处理器生成至少一个策略,其中至少一个策略的执行结果对应于多个静态权限记录;以及在策略数据库中提供多个策略。
根据一个实施方案,一种用于生成至少一个策略的系统包括:访问事件数据库,访问事件数据库包含多个访问事件记录中的至少一个;以及处理器,处理器用于分析多个访问事件记录以生成至少一个策略,其中至少一个策略的执行结果对应于多个访问事件记录。
根据一个实施方案,一种用于生成至少一个异常记录的系统包括:静态权限数据库,静态权限数据库包含多个静态权限记录,静态权限记录标识至少一个凭证持有者对至少一个资源的访问权限,和访问事件数据库,访问事件数据库包含多个访问事件记录;异常数据库,异常数据库用于包含至少一个异常记录;以及处理器,处理器用于分析多个静态权限记录和多个访问事件记录以生成至少一个异常记录,其中至少一个异常记录对应于多个静态权限记录和多个访问事件记录中的至少一个的统计异常值。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括用户界面提示管理员将至少一个异常记录声明为例外记录。
除了上文所述特征中的一个或多个之外,或作为替代方案,另外的实施方案还可以包括处理器分析例外记录以确定策略统计显著性和策略准确性值中的至少一个。
通过结合附图所进行的以下描述,其他方面、特征和技术将变得更加显而易见。
附图说明
在说明书结束时在权利要求书中特别指出并清楚地要求保护本主题。实施方案的前述和其他特征及优点根据以下结合附图进行的详细描述将变得显而易见,其中相同元件在若干附图中具有相同编号:
图1是根据本发明的实施方案的物理访问控制系统的示意图;
图2示出根据本发明的实施方案的用于与物理访问控制系统一起使用的示例性生成系统的示意图;以及
图3是根据本发明的实施方案的从物理访问控制系统内的静态权限生成基于规则的策略的方法的流程图。
具体实施方式
现在参考附图,图1示出了根据一实施方案的用于基于规则的策略生成系统和方法的示例性物理访问控制系统100的总体示意图。在一实施方案中,物理访问控制系统100是用来控制对资源的访问的物理访问控制系统。物理访问控制系统100包括资源102、访问控制处理器104和存储库106。
物理访问控制系统100的资源102可以包括由读卡器、锁、门、或其他物理屏障保护的区域或资源。在示例性实施方案中,凭证101(诸如标识卡)用于与资源102介接。在某些实施方案中,资源可以是物理的或逻辑的。在某些实施方案中,多个资源102被一起分组在某一区域的资源集合中。
存储库106包含静态权限记录,所述静态权限记录提供有关特定用户和特定资源的访问信息。在示例性实施方案中,静态权限记录包括有关诸如时间之类的访问细节的信息。在某些实施方案中,静态权限记录提供对具有对应的凭证的某一用户在某一时间要访问某一资源或资源组的允许或拒绝确定。在某些实施方案中,静态权限记录和诸如访问事件日志、管理员日志等之类的其他信息源可以进一步提供权限使用情况、持卡人访问行为以及访问被拒绝事件。如前所述,静态权限记录可能与基于规则的策略管理系统不兼容,需要创建与传统静态权限记录相对应的策略以过渡到基于规则的策略管理系统。创建与静态权限对应的策略可能会花费大量时间,并可能会产生错误。存储库106可以包含多个数据库或存储库。在这样的策略生成期间和之后,存储库106还可以包含相应的基于规则的策略。
访问控制处理器104可以是响应于存储在存储介质上的程序指令而执行操作的通用处理器。访问控制处理器104从资源102接收输入,并且处理所接收的输入并基于存储在存储库106中的记录而产生允许或拒绝确定。在示例性实施方案中,访问控制处理器104基于静态权限记录而提供允许或拒绝用户访问的实时或近实时确定。访问控制处理器104通过检查系统中是否存在允许凭证持有者在一天的给定时间打开门的静态权限,来响应进入请求。在所示的实施方案中,只有存储了这样的权限,才允许访问资源。按照惯例,访问控制处理器104是简单的处理器,所述简单的处理器用来将由资源102提供的凭证与由存储库106接收的静态记录进行比较。在过渡到基于规则的策略系统之后,可替换掉访问控制处理器104或将其重新编程为允许动态操作。与这样的系统介接的基于规则的策略生成系统允许与静态权限对应的基于规则的策略的流线化、自动化和更稳健的生成,而不会产生手动生成对应于/解释先前的静态权限集的策略的成本。
虽然所公开的实施方案中示出和描述了特定的物理访问控制系统,但是应了解到,其他配置和/或机器包括可以在商业建筑物、车辆中操作的其他访问控制系统,其他应用也可以受益于所公开的实施方案。
如图2所示,基于规则的生成系统200与存储库206介接。基于规则的生成系统200包括处理器201,所述处理器可以是计算机或服务器的一部分。处理器201可以是响应于存储在存储介质上的程序指令而执行操作的通用处理器。在示例性实施方案中,存储库206是物理访问控制系统的存储库,所述存储库利用静态权限来相对于资源或资源组执行允许或拒绝确定。在所示实施方案中,存储库206也是与静态权限相对应的基于规则的策略的存储库。生成系统200包括存储库206、管理应用程序220和权限分析器224。生成系统200的组件可以是物理连接的或操作性地连接的。
在示例性实施方案中,存储库206包含访问控制数据库208、策略数据库210、例外数据库212以及违规数据库214。在某些实施方案中,存储库206包含访问控制数据库208、策略数据库210和一个组的组合,所述组包括但不限于:例外数据库212和违规数据库214。
在示例性实施方案中,访问控制数据库208包括存储库106的访问控制数据库中预期的信息。在某些实施方案中,访问控制数据库208包含由访问控制系统捕获的标准数据,诸如关于用户、资源、权限、活动日志等之类的信息。在某些实施方案中,访问控制数据库209可以包括访问事件数据库209中的访问事件记录。
在示例性实施方案中,策略数据库210包含基于规则的策略,它们对应于诸如物理访问控制存储库106之类的物理访问控制系统的静态权限。这类策略基于用户、资源和环境的属性,将适当的访问权限描述为逻辑规则的结果,其中资源指代区域、门、锁等,而环境指代时间、威胁级别等。例如,策略可能包含规则1和2,其中规则1规定不是美国公民的用户在任何给定时间都不能访问标示为正实施出口控制的区域,而规则2规定为工程部门成员的用户应能在工作日的上午7点到下午8点访问标示为研究实验室的区域。在示例性实施方案中,存储库中存储了多个策略。
权限分析器224可以允许从基于静态权限的访问控制系统过渡到基于规则的策略系统。在示例性实施方案中,由权限分析器224创建策略以对应于或以其他方式解释传统静态权限。权限分析器224对静态权限执行分析以找到可用于确定基于规则的策略的模式。有利的是,权限分析器224可以另外分析访问模式和管理员日志以检测异常并关闭可能的安全漏洞。
在示例性实施方案中,权限分析器224利用包括但不限于频繁项集挖掘的算法,其中从持卡人静态权限数据库中提取频繁持卡人属性值(项目)。在某些实施方案中,可以使用若干种方法,包括但不限于模式挖掘等。如果项集对于给定访问级别具有足够的区别性(置信度),则提取规则。例如,对于给定的访问级别,如果具有所述访问级别的100位持卡人中的70位也具有研发部门的访问级别,而在没有所述访问级别的500位持卡人中有10位也具有研发部门的访问级别,则权限分析器224可以创建规则以给研发部门的每个人授予所述给定访问级别,并声明500位中的这10位持卡人为可能的违规,并可能缺少权限。
在另一示例中,对于给定的访问级别,如果没有所述访问级别的500个持卡人中的300个也具有Badge type HQ-Emp和与经理不同的头衔,而具有所述访问级别的100个持卡人中的0个也具有等于HQ-Emp的Badge type和与经理不同的头衔,权限分析器224可以创建规则,如果Badge-Type等于HQ-Emp并且头衔不是经理,则拒绝所述访问级别。
在某些实施方案中,权限分析器224可以将现有正式策略(由管理员书写或由算法学习)作为输入,以便理解哪些属性和访问级别与安全性相关,并且尝试改进现有的正式策略完整性。
有利地,权限分析器224可以生成关于所生成的规则的质量的分析和度量。在示例性实施方案中,只有当规则的置信度高于阈值时,权限分析器224才会创建规则。在其他实施方案中,权限分析器224可以使用解释力或复杂性的阈值来确定是否创建规则。在某些实施方案中,权限分析器224可以基于每一规则的解释力、置信度和复杂性来对每一规则进行分析和评分。
置信度是满足规则条件并体验规则描述的结果的持卡人的百分比。一般而言,置信度可以用作衡量规则的准确性的度量。
解释力是体验规则描述的结果并满足规则的条件的持卡人的百分比。一般而言,解释力可以用作衡量规则的统计显著性的度量。
例如,权限分析器224标识具有Badge Type“承包商”的持卡人中的98%不具有访问级别“Lab NY”。如果权限分析器224将这种关系标识为规则,则所述规则适用于没有访问权限级别“Lab NY”的持卡人的60%。在此示例中,规则的置信度是98%,解释力是60%。如果置信度百分比较高,则可以认为所述规则是准确的,而如果置信度较低,则不能认为所述规则是准确的。在示例性实施方案中,生成规则的过程可以继续,直到基于规则的策略可以解释整个静态权限集合,使得所有规则能够解释所有权限分配或不设置权限分配。
另外,也可以考虑规则的复杂性。复杂性可以通过规则中若干属性来评估。如果规则的复杂性很高,规则可能是特定的,并且难以解释,而如果规则的复杂性较低,则规则是通用的,并且更易于解释。
在某些实施方案中,置信度和解释力度量可进一步被加权,以作为加权度量来评估。在某些实施方案中,权重可以指定重要性以及给定权限是正确的可能性。在某些实施方案中,可以分析访问事件数据库209以确定权限使用情况、持卡人访问行为和访问被拒绝事件。访问事件数据库209可以包括带有时间戳的日志,日志包含关于持卡人权限访问动作的信息,诸如访问被允许或被拒绝的条目。分析可以包括使用权限来确定持卡人是否使用已分配的权限。例如,如果权限已分配给持卡人但尚未使用,则此权限的权重会降低。替代地,如果权限已分配给了持卡人并经常使用,则此权限的权重会增加。分析还可以包括分析持卡人的信誉和行为。在某些实施方案中,从访问事件数据库209中提取持卡人访问模式。例如,基于持卡人访问模式中的频率,可以以这样的方式来计算信誉分数:具有不规律/不一致访问模式的持卡人的信誉低一些,而具有一致/不变访问模式的持卡人的信誉高一些。在某些实施方案中,对持卡人的权限分配的权重将取决于持卡人的信誉。另外,分析还可以包括分析访问被拒绝的情况。在某些实施方案中,访问事件数据库209还记录访问被拒绝的情况(有人试图进入房间,而读卡器拒绝访问)。例如,如果持卡人没有权限,但在访问事件数据库209中观察到发生了多次访问被拒绝的情况,则不设置所述权限的权重下降。类似地,访问被拒绝之后为被拒绝的持卡人增加权限会增加权限存在的权重。
在某些实施方案中,可以分析管理员活动日志以确定加权信息。管理员日志可以记录管理员动作,诸如修改持卡人属性、添加或移除权限等。在某些实施方案中,分析可以确定给定管理员的信誉并对其赋予权重。例如,可以基于管理员执行管理任务的时间长度、分配特定权限的经验级别和管理员之前错误分配权限的历史记录,为每个管理员计算信誉分数。如果在分配权限时,管理员信誉较低,则权限的权重就会降低。分析可以进一步包括在配置期间对权衡上下文。例如,如果分配了权限,管理员将许多其他权限分配给同一持卡人,则权限的权重会降低(因为可能会出错)。替代地,如果管理员仅向一些持卡人分配了所述特定权限(经过深思熟虑的行为),则权限的权重会增加。在某些实施方案中,分析并加权权限和/或持卡人历史。例如,如果持卡人的属性被修改并且未导致权限更改,则所述持卡人的权限权重下降。替代地,如果我们在权限历史中观察到有效期通常设置为几天,并且持卡人在更长的时间段(例如1个月)内具有此权限,则持卡人权限的权重降低。
在某些实施方案中,权限分析器224可以利用推理引擎来加权置信度和解释力度量以考虑权限分配的加权值。在某些实施方案中,为了计算加权度量,给由给定规则解释的每个权限赋予权重,并且给其一个乘数,以使被认为更重要的那些权限具有更大的影响力。在某些实施方案中,计算并利用加权解释力和加权置信度度量。
在示例性实施方案中,规则的解释力、置信度和复杂性可以经由策略编辑器218和管理应用程序220呈现给管理员。通过审查规则的解释力、置信度和复杂性,可以确定规则对总体策略的影响。某一候选规则对当前正式策略的影响与下列因素有关:所述候选规则准确能够解释的,而当前正式策略未解释的若干权限,实现此候选规则导致的策略复杂性的增大。策略编辑器218可以显示建议的规则以及规则对整体策略的影响。另外,策略编辑器218还可以显示组合、增加、移除、覆写和调整规则层级的影响。此外,可以基于提供的反馈,建议附加规则。如果管理员接受提出的规则,则可以将所述规则合并为正式的策略规则。另外,还可以将其他规则存储为统计上显著的规则。在某些实施方案中,可对规则进行分类以在策略编辑器218中以期望的顺序示出。在某些实施方案中,分类可以基于具有给定用户属性的凭证持有者的数量(例如涉及来自研发部门的凭证持有者的规则首先显示,因为所有凭证持有者中有75%来自研发部门)。在某些实施方案中,策略编辑器可以基于具有对给定访问级别的静态权限的凭证持有者的数量来对规则进行分类(例如,涉及具有对“EH周边大门”的静态权限的凭证持有者的规则首先显示,因为所有凭证持有者中100%都可以访问“EH周边大门”)。在某些实施方案中,策略编辑器218可以基于使用了给定访问级别的静态权限的凭证持有者的数量来对规则进行分类(例如,涉及具有对“EH周边大门”的静态权限的凭证持有者的规则首先显示,因为所有凭证持有者中80%使用对“EH周边大门”的访问权限)。
权限分析器224可以假设如果除了一些持卡人(置信度阈值)之外在绝大多数持卡人(解释阈值)之间共享某一模式(规则),则那些少数持卡人可能是异常。例如,权限分析器224识别出98%的具有Badge Type“承包商”的持卡人被拒绝对访问级别“Lab NY”进行访问。这意味着持有访问级别为“Lab NY”且持有Badge Type“承包商”的持卡人中有2%可能拥有Lab NY的异常权限。可以将这样的异常权限标识为需要纠正的违规或者作为要被允许的例外。
在示例性实施方案中,管理应用程序220和权限分析器224允许管理员自动识别违反了选定策略的访问权限,并将违规访问权限登记在违规存储库214中,然后,分析并解决策略违规情况。在示例性实施方案中,违规数据库214包含静态权限不同于预期结果的违规记录。在将策略应用于特定用户或用户组之后,将结果与相应的静态权限中的每一个进行比较以记录偏差或违规。在示例性实施方案中,这类违规会在偏差包括高于预期的权限或低于预期的权限时出现。在示例性实施方案中,所产生的违规可导致规则被改变或者针对所述静态权限,准许例外。在示例性实施方案中,违规存储库或数据库214包含违规的列表,包括过去发生的或当前正在发生的违规。对于每个违规,违规存储库214都存储对其所违反的策略的特定版本的引用以及其被检测到的日期/时间。在某些实施方案中,违规存储库可以包含已发生的违规存储库,已发生的违规存储库包含违规记录,其中访问记录不同于所创建的策略的预期结果。
在某些实施方案中,管理应用程序220和权限分析器224允许管理员进一步在例外存储库212声明策略违规的例外(其还可以包括到期日期),然后,这些违规不再被视为违规,直到例外过期或被明确吊销。在示例性实施方案中,例外数据库212包含对例外的记录,这些例外被指定为可豁满足策略的要求,从而允许经评估的例外继续违反规则或策略。在某些实施方案中,例外还可以与期满时间相关联,在此时间之后,与策略不相符的权限将被视为违规。
在某些实施方案中,来自违规存储库214的违规以及来自例外存储库212的例外一般可以被识别为异常数据库211中的异常。在某些实施方案中,异常数据库211的每个异常都对应于相对于至少一个规则和多个静态权限记录的统计异常值。有利的是,异常数据库211中的这些异常可由权限分析器224分析以确定附加或其他策略。在某些实施方案中,似乎是策略的例外情况实际上是在系统中未捕获的另一个规则的实例。例如,来自B1楼D1部门的所有成员都可以豁免具有对访问级别AL1的权限,即使现行规则不允许这样。因此,如果权限分析器224检查捕获到的异常并确定异常遵循某种特定模式,则权限分析器224可以建议允许来自D1和B1的成员具有访问级别AL1。有利地,如果包括了这样的规则,则可以从系统中消除一些例外,并且不再需要管理员手动提供这种例外。
在某些实施方案中,权限分析器224的功能可并入管理应用程序220中,而在其他实施方案中,权限分析器224是单独的组件,而在其他实施方案中,权限分析器224可以任何适当的方式配置。
图3示出了用于为物理访问控制系统生成基于规则的策略的方法300。在操作302中,在静态资源数据库中提供多个静态权限记录,这些静态权限记录标识至少一个凭证持有者对至少一个资源的访问权限。在某些实施方案中,静态权限记录是预先存在的。在示例性实施方案中,访问控制数据库包含由访问控制系统捕获的标准数据,诸如关于用户、资源、权限、活动日志等的信息。在操作304中,经由处理器分析多个静态权限记录,诸如在操作306中所述。在某些实施方案中,处理器可以进一步分析对应的访问事件记录和管理员日志以对每个静态权限记录和所产生的策略进行加权。在操作306中,识别模式以分析多个静态权限记录。在示例性实施方案中,权限分析器利用诸如模式挖掘之类的机器学习技术,其中从持卡人静态权限数据库中提取持卡人属性值(项目)的频繁组合。
在操作308中,经由处理器生成至少一个策略,其中所述策略的执行结果对应于多个静态权限记录。如果项目集对于给定的访问级别具有区分性、显著性和简单性(基于置信度、解释力和复杂性阈值),则权限分析器可以建议一条规则。
在操作310、312和314中,计算与评估基于规则的策略有关的度量。这些度量可以独立或同时计算。在操作310中,经由处理器分析每一规则以确定规则复杂性度量。复杂性可以通过规则中若干属性来评估。如果规则的复杂性很高,规则可能是特定的,并且难以解释,而如果规则的复杂性较低,则规则是通用的,并且更易于解释。
在操作312中,经由处理器利用多个静态权限记录来分析每一规则以确定规则置信度度量。置信度是满足规则条件并体验规则描述的结果的持卡人的百分比。在某些实施方案中,通过分析访问事件数据库和管理员日志,规则置信度度量可以是加权置信度度量。
在操作314中,经由处理器利用多个静态权限记录来分析每一规则以确定规则解释力度量。解释力是体验规则描述的结果并满足规则的条件的持卡人的百分比。在某些实施方案中,通过分析访问事件数据库和管理员日志,规则解释力度量可以是加权置信度度量。
在操作316中,响应于管理员输入,经由处理器,从至少一个策略中选择性地添加或移除每一规则或对每一规则进行修改。在示例性实施方案中,规则的解释力、置信度和复杂性可以经由策略编辑器和管理应用程序呈现给管理员。通过审查规则的解释力、置信度和复杂性,可以确定规则对总体策略的影响。管理员可以利用此信息来确定是否应添加规则或从策略中移除规则。
在操作318中,在策略数据库中设置多个策略。在示例性实施方案中,策略可以是先前记录的,或者可以使用本文的方法来记录。在示例性实施方案中,策略存储库包括基于用户、资源和环境的属性而将适当的访问权限描述为逻辑规则的结果的策略。
在操作320中,将多个违规记录在违规数据库中。在示例性实施方案中,违规数据库包含违规的列表,包括过去发生的或当前正在发生的违规。在某些实施方案中,对于每个违规,违规存储库都存储对其所违反的策略的特定版本的引用以及其被检测到的日期/时间。
在操作322中,在例外数据库中记录将从多个策略中排除的多个例外静态权限记录。在审查到违规之后,将记录与定义的策略不相符的例外静态权限记录。在某些实施方案中,利用如前所述的例外数据库。在其他实施方案中,利用任何合适的方法。在某些实施方案中,例外和违规通常可以存储在异常数据库中。因此,在某些实施方案中,权限分析器可以审查所捕获的异常并确定如果异常遵循特定模式,则权限分析器可以建议新的规则或策略。
如上所述,示例性实施方案可以呈处理器实施过程和用于实践这些过程的装置,诸如处理器201。示例性实施方案还可以呈包含体现在诸如为软盘、CD ROM、硬盘驱动器或任何其他计算机可读存储介质的有形介质中的指令的计算机程序代码的形式,其中当计算机程序代码被加载到计算机中并由其执行时,所述计算机成为用于实践示例性实施方案的装置。示例性实施方案还可以呈计算机程序代码的形式,例如,不管所述计算机程序代码存储在存储介质中、加载到计算机中/或由其执行,或者通过某种传输介质传输、加载到计算机中和/或由其执行,或者通过某种传输介质诸如电线或电缆、通过光纤或经由电磁辐射来传输,其中当计算机程序代码被加载到计算机中并且由其执行时,所述计算机成为用于实践示例性实施方案的装置。当在通用微处理器上实施时,计算机程序代码段配置微处理器以产生特定的逻辑电路。
本文使用的术语仅仅是为了描述具体实施方案的目的,而不是意在限制这些实施方案。虽然已经出于说明和描述的目的呈现了对本发明实施方案的描述,但是所述描述并不意在是详尽的或受限于呈所公开形式的实施方案。在不脱离实施方案的范围和精神的情况下,未在此描述的许多修改、变化、改变、置换或等效布置对于本领域普通技术人员而言将是显而易见的。另外,虽然已描述了各种实施方案,但应理解,各方面可仅包括所描述实施方案中的一些。因此,实施方案不被视为受以上描述的限制,而仅受所附权利要求书的范围限制。
Claims (27)
1.一种用于生成至少一个策略的系统,所述系统包括:
静态权限数据库,所述静态权限数据库包含标识至少一个凭证持有者对至少一个资源的访问权限的多个静态权限记录;
策略数据库;以及
处理器,所述处理器用于分析所述多个静态权限记录以生成所述至少一个策略,其中所述至少一个策略的执行结果对应于所述多个静态权限记录。
2.根据权利要求1所述的系统,其中所述处理器利用模式挖掘来分析所述多个静态权限记录以生成所述至少一个策略。
3.根据权利要求1所述的系统,其中所述至少一个策略是一条或多条规则的集合,并且每一规则都包括用户属性、资源属性和环境属性中的至少一个,每一规则还包括访问决策,所述访问决策确定满足所述用户属性的对应的用户在满足所述环境属性的环境中是否能够访问满足所述资源属性的所述至少一个资源。
4.根据权利要求3所述的系统,其中所述处理器分析每一规则对所述至少一个策略的影响。
5.根据权利要求3所述的系统,其中所述处理器响应于管理员输入而从所述至少一个策略中选择性地添加、移除或修改每一规则。
6.根据权利要求3所述的系统,其中所述处理器分析每一规则以确定规则复杂性度量。
7.根据权利要求3所述的系统,其中所述处理器利用所述多个静态权限记录分析每一规则以确定规则准确性度量。
8.根据权利要求3所述的系统,其中所述处理器利用所述多个静态权限记录分析每一规则以确定规则统计显著性度量。
9.根据权利要求1所述的系统,其中所述处理器分析所述多个静态权限以生成异常数据库。
10.根据权利要求1所述的系统,其还包括违规数据库,所述违规数据库包含违反如由所述处理器计算出的策略中的一个或多个的多个静态权限记录
11.根据权利要求1所述的系统,其还包括已发生的违规数据库,所述已发生的违规数据库包含违反如由所述处理器计算出的策略中的一个或多个的多个访问事件记录。
12.根据权利要求1所述的系统,其还包括例外数据库,所述例外数据库包含豁免所述多个策略的多个例外静态权限记录。
13.根据权利要求12所述的系统,其中所述处理器分析所述多个例外静态权限记录以生成所述至少一个策略。
14.根据权利要求3所述的系统,其中所述静态权限数据库包含:访问事件数据库,所述访问事件数据库包含多个访问事件记录中的至少一个,以及管理员日志数据库,所述管理员日志数据库包含管理员动作日志,并且所述处理器分析所述多个访问事件记录中的至少一个和所述管理员动作日志以生成所述至少一个策略。
15.根据权利要求14所述的系统,其中所述处理器针对所述多个访问事件记录中的至少一个和所述管理员动作日志,利用所述多个静态权限记录分析每一规则以确定加权规则准确性度量。
16.根据权利要求15所述的系统,其中所述处理器响应于分析所述多个访问事件记录而增加所述规则加权准确性度量。
17.根据权利要求14所述的系统,其中所述处理器针对所述多个访问事件记录中的至少一个和所述管理员动作日志,利用所述多个静态权限记录分析每一规则以确定加权规则统计显著性度量。
18.根据权利要求17所述的系统,其中所述处理器响应于分析所述多个访问事件记录而增加所述规则加权统计显著性度量。
19.根据权利要求14所述的系统,其还包括用于显示所述至少一个策略的策略编辑器。
20.根据权利要求19所述的系统,其中响应于所述多个访问事件记录而经由所述策略编辑器布置所述至少一个策略。
21.根据权利要求19所述的系统,其中响应于以下各项中的至少一个而布置所述至少一个策略:具有选定用户属性的凭证持有者的数量、具有对选定访问级别的静态权限的凭证持有者的数量以及将其权限用于选定访问级别的凭证持有者的数量。
22.一种生成至少一个策略的方法,其包括:
在静态资源数据库中提供多个静态权限记录,所述多个静态权限记录标识至少一个凭证持有者对所述至少一个资源的访问权限;
经由处理器分析所述多个静态权限记录;
经由所述处理器生成所述至少一个策略,其中所述至少一个策略的执行结果对应于所述多个静态权限记录;以及
在策略数据库中提供所述多个策略。
23.一种体现在有形计算机可读存储介质上的计算机程序产品,所述计算机程序产品包括用于使处理器执行操作的指令,所述操作包括:
在静态资源数据库中提供多个静态权限记录,所述多个静态权限记录标识至少一个凭证持有者对所述至少一个资源的访问权限;
经由处理器分析所述多个静态权限记录;
经由所述处理器生成所述至少一个策略,其中所述至少一个策略的执行结果对应于所述多个静态权限记录;以及
在策略数据库中提供所述多个策略。
24.一种用于生成至少一个策略的系统,所述系统包括:
访问事件数据库,所述访问事件数据库包含多个访问事件记录中的至少一个;以及
处理器,所述处理器用于分析所述多个访问事件记录以生成所述至少一个策略,其中所述至少一个策略的执行结果对应于所述多个访问事件记录。
25.一种用于生成至少一个异常记录的系统,所述系统包括:
静态权限数据库,所述静态权限数据库包含:标识至少一个凭证持有者对至少一个资源的访问权限的多个静态权限记录,以及含有多个访问事件记录的访问事件数据库;
异常数据库,所述异常数据库用于包含所述至少一个异常记录;以及
处理器,所述处理器用于分析所述多个静态权限记录和所述多个访问事件记录以生成至少一个异常记录,其中所述至少一个异常记录对应于所述多个静态权限记录和所述多个访问事件记录中的至少一个的统计异常值。
26.根据权利要求25所述的系统,其中用户界面提示管理员将所述至少一个异常记录声明为例外记录。
27.根据权利要求26所述的系统,其中所述处理器分析所述例外记录以确定策略统计显著性和策略准确性值中的至少一个。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562259893P | 2015-11-25 | 2015-11-25 | |
US62/259893 | 2015-11-25 | ||
PCT/US2016/062465 WO2017091434A1 (en) | 2015-11-25 | 2016-11-17 | Extraction of policies from static permissions and access events for physical access control |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108292346A true CN108292346A (zh) | 2018-07-17 |
Family
ID=57517988
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680069338.XA Pending CN108292346A (zh) | 2015-11-25 | 2016-11-17 | 从静态权限和访问事件中提取物理访问控制策略 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10430594B2 (zh) |
CN (1) | CN108292346A (zh) |
WO (1) | WO2017091434A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109920119A (zh) * | 2019-04-17 | 2019-06-21 | 深圳市商汤科技有限公司 | 门禁设置方法及装置 |
CN110990864A (zh) * | 2019-11-27 | 2020-04-10 | 支付宝(杭州)信息技术有限公司 | 一种报表权限管理方法、装置及设备 |
CN113472729A (zh) * | 2020-03-31 | 2021-10-01 | 瞻博网络公司 | 基于角色的访问控制策略自动生成 |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11687810B2 (en) | 2017-03-01 | 2023-06-27 | Carrier Corporation | Access control request manager based on learning profile-based access pathways |
EP3590099A1 (en) * | 2017-03-01 | 2020-01-08 | Carrier Corporation | Compact encoding of static permissions for real-time access control |
US10891816B2 (en) * | 2017-03-01 | 2021-01-12 | Carrier Corporation | Spatio-temporal topology learning for detection of suspicious access behavior |
CN107943523B (zh) * | 2017-11-15 | 2021-03-16 | 中国银行股份有限公司 | 一种电子银行的用户权限判定方法和装置 |
US10607022B2 (en) * | 2018-02-13 | 2020-03-31 | Bank Of America Corporation | Vertically integrated access control system for identifying and remediating flagged combinations of capabilities resulting from user entitlements to computing resources |
US10659469B2 (en) | 2018-02-13 | 2020-05-19 | Bank Of America Corporation | Vertically integrated access control system for managing user entitlements to computing resources |
US11489839B2 (en) * | 2019-01-31 | 2022-11-01 | Salesforce, Inc. | Automatic user permission refinement through cluster-based learning |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101674334A (zh) * | 2009-09-30 | 2010-03-17 | 华中科技大学 | 一种网络存储设备的访问控制方法 |
CN102592092A (zh) * | 2012-01-09 | 2012-07-18 | 中标软件有限公司 | 一种基于SELinux安全子系统的策略适配系统及方法 |
US20140173404A1 (en) * | 2012-12-17 | 2014-06-19 | Amadeus S.A.S. | Recommendation engine for interactive search forms |
CN104125335A (zh) * | 2014-06-24 | 2014-10-29 | 小米科技有限责任公司 | 权限管理方法、装置及系统 |
Family Cites Families (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6820082B1 (en) | 2000-04-03 | 2004-11-16 | Allegis Corporation | Rule based database security system and method |
US7249369B2 (en) | 2000-07-10 | 2007-07-24 | Oracle International Corporation | Post data processing |
US20030191730A1 (en) | 2002-04-05 | 2003-10-09 | Compaq Information Technologies Group, L.P. | Unobtrusive rule-based computer usage enhancement system |
US7779247B2 (en) | 2003-01-09 | 2010-08-17 | Jericho Systems Corporation | Method and system for dynamically implementing an enterprise resource policy |
US20070143851A1 (en) | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
US20070143827A1 (en) | 2005-12-21 | 2007-06-21 | Fiberlink | Methods and systems for intelligently controlling access to computing resources |
US7636698B2 (en) * | 2006-03-16 | 2009-12-22 | Microsoft Corporation | Analyzing mining pattern evolutions by comparing labels, algorithms, or data patterns chosen by a reasoning component |
US8548452B2 (en) | 2006-04-13 | 2013-10-01 | Blackberry Limited | System and method for controlling device usage |
US20070282778A1 (en) * | 2006-06-05 | 2007-12-06 | International Business Machines Corporation | Policy-based management system with automatic policy selection and creation capabilities by using singular value decomposition technique |
US9111088B2 (en) | 2006-08-14 | 2015-08-18 | Quantum Security, Inc. | Policy-based physical security system for restricting access to computer resources and data flow through network equipment |
US8234704B2 (en) | 2006-08-14 | 2012-07-31 | Quantum Security, Inc. | Physical access control and security monitoring system utilizing a normalized data format |
US8010991B2 (en) | 2007-01-29 | 2011-08-30 | Cisco Technology, Inc. | Policy resolution in an entitlement management system |
WO2008097191A1 (en) | 2007-02-07 | 2008-08-14 | Encentuate Pte Ltd | Non-invasive usage tracking, access control, policy enforcement, audit logging, and user action automation on software applications |
US20080218373A1 (en) * | 2007-03-06 | 2008-09-11 | Lanigan William P | Intelligent keyfob management system |
US7809667B1 (en) | 2007-06-27 | 2010-10-05 | Emc Corporation | Rule-based network resource compliance |
US8423483B2 (en) | 2008-05-16 | 2013-04-16 | Carnegie Mellon University | User-controllable learning of policies |
US8667556B2 (en) | 2008-05-19 | 2014-03-04 | Cisco Technology, Inc. | Method and apparatus for building and managing policies |
US8762304B2 (en) | 2009-11-03 | 2014-06-24 | Hewlett-Packard Development Company, L.P. | Policy scheduling |
US10019677B2 (en) | 2009-11-20 | 2018-07-10 | Alert Enterprise, Inc. | Active policy enforcement |
WO2011063269A1 (en) | 2009-11-20 | 2011-05-26 | Alert Enterprise, Inc. | Method and apparatus for risk visualization and remediation |
US9215236B2 (en) | 2010-02-22 | 2015-12-15 | Avaya Inc. | Secure, policy-based communications security and file sharing across mixed media, mixed-communications modalities and extensible to cloud computing such as SOA |
US20110209197A1 (en) | 2010-02-23 | 2011-08-25 | Donna Sardanopoli | Web-based audit system and related audit tool |
US9094812B2 (en) | 2010-11-02 | 2015-07-28 | Tekelec, Inc. | Methods, systems, and computer readable media for providing interactive user controlled policy |
US20120117608A1 (en) | 2010-11-09 | 2012-05-10 | Motorola, Inc. | Certificate policy management tool |
US8983877B2 (en) | 2011-03-21 | 2015-03-17 | International Business Machines Corporation | Role mining with user attribution using generative models |
US8694629B2 (en) | 2011-10-03 | 2014-04-08 | Alcatel Lucent | Hierarchical metering policy attributes |
US8635689B2 (en) | 2011-10-27 | 2014-01-21 | International Business Machines Corporation | Hybrid role mining |
US8874766B2 (en) | 2012-03-09 | 2014-10-28 | Mcafee, Inc. | System and method for flexible network access control policies in a network environment |
US20140129457A1 (en) | 2012-11-02 | 2014-05-08 | Stroz Friedberg, LLC | An interactive organizational decision-making and compliance facilitation portal |
US9137263B2 (en) * | 2013-01-04 | 2015-09-15 | International Business Machines Corporation | Generating role-based access control policies based on discovered risk-averse roles |
US9460417B2 (en) | 2013-03-15 | 2016-10-04 | Futurewei Technologies, Inc. | Using dynamic object modeling and business rules to dynamically specify and modify behavior |
US9246945B2 (en) | 2013-05-29 | 2016-01-26 | International Business Machines Corporation | Techniques for reconciling permission usage with security policy for policy optimization and monitoring continuous compliance |
US9264451B2 (en) | 2013-09-17 | 2016-02-16 | International Business Machines Corporation | Generation of attribute based access control policy from existing authorization system |
US20150100333A1 (en) * | 2013-10-08 | 2015-04-09 | Clinical Lenz, Inc. | Systems and methods for verifying protocol compliance |
-
2016
- 2016-11-17 US US15/778,470 patent/US10430594B2/en active Active
- 2016-11-17 CN CN201680069338.XA patent/CN108292346A/zh active Pending
- 2016-11-17 WO PCT/US2016/062465 patent/WO2017091434A1/en active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101674334A (zh) * | 2009-09-30 | 2010-03-17 | 华中科技大学 | 一种网络存储设备的访问控制方法 |
CN102592092A (zh) * | 2012-01-09 | 2012-07-18 | 中标软件有限公司 | 一种基于SELinux安全子系统的策略适配系统及方法 |
US20140173404A1 (en) * | 2012-12-17 | 2014-06-19 | Amadeus S.A.S. | Recommendation engine for interactive search forms |
CN104125335A (zh) * | 2014-06-24 | 2014-10-29 | 小米科技有限责任公司 | 权限管理方法、装置及系统 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109920119A (zh) * | 2019-04-17 | 2019-06-21 | 深圳市商汤科技有限公司 | 门禁设置方法及装置 |
CN110990864A (zh) * | 2019-11-27 | 2020-04-10 | 支付宝(杭州)信息技术有限公司 | 一种报表权限管理方法、装置及设备 |
CN113472729A (zh) * | 2020-03-31 | 2021-10-01 | 瞻博网络公司 | 基于角色的访问控制策略自动生成 |
US11595393B2 (en) | 2020-03-31 | 2023-02-28 | Juniper Networks, Inc. | Role-based access control policy auto generation |
CN113472729B (zh) * | 2020-03-31 | 2023-06-16 | 瞻博网络公司 | 基于角色的访问控制策略自动生成 |
Also Published As
Publication number | Publication date |
---|---|
WO2017091434A1 (en) | 2017-06-01 |
US10430594B2 (en) | 2019-10-01 |
US20180341778A1 (en) | 2018-11-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108292346A (zh) | 从静态权限和访问事件中提取物理访问控制策略 | |
CN107111700B (zh) | 对物理访问控制的静态权限的基于策略的审核 | |
CN105283852B (zh) | 一种模糊跟踪数据的方法及系统 | |
Arfelt et al. | Monitoring the GDPR | |
US8943575B2 (en) | Method and system for policy simulation | |
CN1964359B (zh) | 用于远程验证系统完整性的方法和系统 | |
CN102667712B (zh) | 用于同时定义和实行访问控制和完整性策略的系统、方法和装置 | |
CN105871854A (zh) | 基于动态授权机制的自适应云访问控制方法 | |
WO2011054555A1 (en) | Method and system for managing security objects | |
CN112800290A (zh) | 一种追溯数据获取方法、装置及设备 | |
CN107918911A (zh) | 用于执行安全网上银行交易的系统和方法 | |
Adelyar et al. | Towards a secure agile software development process | |
Ivanova | The data protection impact assessment as a tool to enforce Non-discriminatory AI | |
CN112330355B (zh) | 消费券交易数据处理方法、装置、设备及存储介质 | |
Parkinson et al. | Identifying high-risk over-entitlement in access control policies using fuzzy logic | |
CN112883394B (zh) | 一种基于区块链的大数据安全处理方法及系统 | |
KR102183282B1 (ko) | 허가형 블록체인을 이용한 핵물질 추적 및 관리 방법 및 시스템 | |
Daoudagh et al. | GRADUATION: a GDPR-based mutation methodology | |
Kothari et al. | Prediction without Preclusion: Recourse Verification with Reachable Sets | |
Stanik | System risk model of the IT system supporting the processing of documents at different levels of sensitivity | |
Doinea | Open Source Security–Quality Requests | |
Ficco et al. | Security SLAs for cloud services: Hadoop case study | |
Stanton et al. | Cybersecurity Best Practices | |
Society of Fire Protection Engineers AGuerrazzi@ sfpe. org | Sensitivity and Uncertainty Analysis | |
Pathakamuri et al. | PaaS platform security enhancement using fuzzy based access control and trust based signature |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |