CN110119603B - 控制对从电子信息系统请求的数据的访问 - Google Patents
控制对从电子信息系统请求的数据的访问 Download PDFInfo
- Publication number
- CN110119603B CN110119603B CN201910107961.5A CN201910107961A CN110119603B CN 110119603 B CN110119603 B CN 110119603B CN 201910107961 A CN201910107961 A CN 201910107961A CN 110119603 B CN110119603 B CN 110119603B
- Authority
- CN
- China
- Prior art keywords
- data
- user identity
- requested
- request
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/547—Remote procedure calls [RPC]; Web services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Mathematical Physics (AREA)
- Computing Systems (AREA)
- Medical Informatics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Manipulator (AREA)
Abstract
本公开的各实施例涉及控制对从电子信息系统请求的数据的访问。一种用于控制对从电子信息系统请求的数据的访问的访问控制方法。该方法包括:接收针对数据的请求;确定与请求相关联的用户身份;通过协调器从一个或多个数据源收集请求的数据以用于向认知引擎输入;分析请求的数据;基于分析请求的数据的结果,判定用户身份是否可以被允许访问请求的数据;通过用户身份提供反馈;以及基于反馈来更新学习模块。
Description
技术领域
本公开涉及数据处理系统,并且更具体地涉及控制对从电子信息系统请求的数据的访问。
背景技术
企业可以使用本地部署的工具和互联网/云上的工具两者来运行它们连续的递送过程。例如,代码(例如,用于应用、工具等)可以在如GitHub的基于web的开发平台上。客户关系管理(CRM)系统可以与用于项目管理的工具一起在本地部署。构建工具可以在本地部署并且测试工具可以在web上的某个地方(例如,Travis连续集成(CI))。
在出于历史原因/联网原因未被与实际部署工具集成的工具中可能需要用于部署的批准。另外,项目管理工具和代码管理工具可以被彼此隔离。
获得跨多个应用的统计(例如,多少部署是成功的;对于失败的部署,多少与真实代码改变比对基础设施问题相关?)以及强制执行过程可以是有挑战的。例如,部署可以在没有批准的情况下被启动。
系统的知识可以跨部门被分散并且数据相关和问题确定可能由于访问限制和/或专业要求而要求人类干预。
另外,仍然存在确保仅仅授权的人获得对具体信息和工具的访问的需要。
发明内容
本公开的各方面涉及一种用于控制对从电子信息系统请求的数据的访问的访问控制方法。该方法包括:接收针对数据的请求;确定与请求相关联的用户身份;通过协调器从一个或多个数据源收集请求的数据以用于向认知引擎输入;以及分析请求的数据。该方法还可以包括基于分析请求的数据的结果,确定用户身份是否被允许访问请求的数据。该方法还可以包括:通过用户身份提供反馈;以及基于反馈来更新学习模块。
本公开的另外的方面涉及一种用于控制对从电子信息系统请求的数据的访问的计算机程序产品。计算机程序产品包括计算机可读存储介质,其具有与其一起被体现的程序指令。程序指令可以由计算机系统可执行以使得计算机系统执行方法,该方法包括:接收针对数据的请求;确定与请求相关联的用户身份;通过协调器从一个或多个数据源收集请求的数据以用于向认知引擎输入;以及分析请求的数据。该方法还可以包括基于分析请求的数据的结果,确定用户身份是否被允许访问请求的数据。该方法还可以包括:通过用户身份提供反馈;以及基于反馈来更新学习模块。
本公开的另外的方面涉及一种用于控制对从电子信息系统请求的数据的访问的系统。该系统至少包括:机器人(bot),其被配置用于接收针对数据的请求;认知引擎,其被配置用于确定与请求相关联的用户身份并且分析请求的数据;协调器,其被配置用于从一个或多个数据源收集请求的数据以用于向认知引擎输入;API层,其被配置用于调用服务功能;服务,其被配置用于路由功能和数据;以及学习模块,其用于基于通过用户身份的反馈而被更新。
附图说明
本公开以及上述和其他目标和优点可以从实施例的以下详细描述而被最好地理解,但是不限于以下实施例。
图1描绘了根据本公开的一些实施例的用于控制对从电子信息系统请求的数据的访问的系统的示例控制顺序图。
图2描绘了根据本公开的一些实施例的用于控制对从电子信息系统请求的数据的访问的示例方法的流程图。
图3描绘了用于执行根据本公开的一些实施例的方法的示例数据处理系统。
尽管本公开可修改为各种修改和备选形式,但它的其特性已经通过示例的方式在附图中被示出并且将被详细描述。然而,应当理解,本公开并不旨在被限制于所描述的特定实施例。相反,本发明要涵盖落入本公开的精神和范围内的所有修改、等效方案和备选方案。
具体实施方式
在附图中,类似的元件利用等同的附图标记来指代。附图仅仅是示意性表示,并不旨在描绘本公开的具体参数。此外,附图旨在仅仅描绘本公开的典型实施例并且因此不应当被认为限制本公开的范围。
本文中描述的说明性实施例提供了一种用于控制对从电子信息系统请求的数据的访问的方法。说明性实施例可以用于一种方法,该方法用于:(i)接收针对数据的请求;(ii)确定与请求相关联的用户身份;(iii)通过协调器从一个或多个数据源收集请求的数据以用于向认知引擎输入;(iv)分析请求的数据;(v)基于分析请求的数据的结果,判定用户身份是否可以被允许访问请求的数据;(vi)通过用户身份提供反馈;以及(vii)基于反馈来更新学习模块。
本公开的各方面可以使用认知技术来构建自动响应器(例如,在计算机上执行的并且经由显示器与用户交互的应用),其不仅通过对已知问题提出可能的解决方案(例如,对问题提供回答,提供针对相关主题专家的联系信息,等等)来与用户交互,而且还可以建议可能的恢复动作(例如,提供关于如何升级权限(permission)级别、恢复密码等等的指令)。根据一些实施例,自动响应器可以标识具有需要的专业知识的人,可以基于安全策略来否定回答,并且可以在尝试的策略违反的情况下通知适当的人/工具。
例如,用户身份可能不再能够访问服务。根本原因可以被标识为密码改变。机器人在问题描述(例如,从用户身份接收请求)之后可以分析服务的日志并且可以访问若干工具并标识可能的原因。如果用户身份未被授予重置密码(其也可以由机器人检查),则用户身份可以被通知(例如,通过提供用于密码重置的指令集或者通过提供关于如何提交请求以获得需要的访问级别的指令)。在一些实施例中,如果用户身份尝试密码改变,则可以通知安全服务。
图1描绘了根据本公开的一些实施例的用于控制对从电子信息系统请求的数据的访问的系统100的示例控制顺序图。
系统100包括:(i)机器人10,其被配置用于接收针对数据的请求;(ii)认知引擎12,其被配置用于确定与请求相关联的用户身份50和/或分析请求的数据;(iii)协调器14,其被配置用于从一个或多个数据源收集请求的数据以用于向认知引擎12输入;(iv)应用编程接口(API)层16,其被配置用于调用服务功能;(v)服务18,其被配置用于路由功能和/或数据;以及(iv)学习模块20,其用于基于通过用户身份50的反馈而被更新。
机器人10使用自然语言(例如,文本或语音)与用户身份50对接。用户身份50将针对数据的请求S100发送给机器人10。机器人10包括能够标识与请求相关联的用户身份50的认证系统。用户身份50可能需要使用证书来获得对机器人10的访问(例如,用户名和密码、个人标识号(PIN)等等)。机器人10在操作S102中将请求转发到认知引擎12。
认知引擎12在操作S104中对请求进行翻译并将其转发到协调器14。认知引擎12可以被配置为理解人类语言并且可以使用可使用API层16获得的结构化和非结构化数据的语料库。在一些实施例中,认知引擎12可以对请求分类。
请求的分类可以指示请求的信息是否可从公共源获得,或者请求的信息是否应当从一个或多个工具(例如,使用协调器14)取回,或者请求的信息是否需要附加的语料库。
协调器14可以基于来自分类学的信息和/或关于机器人10可以报告和/或采取动作的过程的信息来判定要使用的工具。
协调器14可以被配置为基于机器人10的输入来标识与哪些工具和/或数据源交互。协调器14可以在不同工具和/或数据源被查询的情况下组合输出。协调器14将在操作S106和S112中示出的API调用发送给服务18(经由API层16)。
在一些实施例中,协调器14还可以被配置为使用用于确定与用户身份50相关联的权限的查询工具。
API层16可以被提供为用于通过服务功能将请求转发到外部服务18的桥。在一些实施例中,认知引擎12和/或协调器14可以传输使用API层16获得的数据。
API层16(在一些实施例中,也被称为桥层)可以负责跨防火墙、VPN连接,和/或连接跨云提供商分布的和在本地部署的数据中心上的应用的任何其他功能。
服务18可以被配置为从API层16接收如在操作S108和S114中示出的服务功能。另外,服务18可以被配置为将如在操作S110和S116中示出的服务响应直接递送到协调器14。
安全控制器(未示出)可以被配置为联合(federate)不同数据源和非结构化数据。安全控制器可以被配置为确定咨询机器人10的用户身份50是否被授予访问所要求的信息和/或是否被授予执行请求的动作(例如,基于安全权限)。例如,用户身份50可以具有足够的权限来访问wiki页面、开票、看见密码、查看报告等等。相反,用户身份50可以不具有足够的权限来看见薪水、地址、社会保险号码、或者其他信息。
协调器14将响应转发到认知引擎12,操作S118,从其翻译的响应可以在操作S120中被转发到机器人10。机器人10可以在操作S122中向用户身份50通知该响应。
用户身份50在操作S124中将反馈发送给机器人10。翻译的反馈可以在操作S126中被转发到认知引擎12。认知引擎12在操作S128中将已验证的反馈转发到协调器14。协调器14可以被配置为将信息发送给学习模块20以便在操作S130中更新规则。依赖于认知计算的学习模块20可以因此基于用户反馈和交互来学习并调谐随后的用户交互。
机器人10还可以通过另一系统(例如,而非通过人类)而被对接。
图1旨在表示根据本公开的实施例的用于控制对数据的访问的示例控制顺序的主要部件/操作。然而,在一些实施例中,个体部件/操作可以具有比图1中示出的更大的或更少的复杂度,并且除了图1中示出的部件/操作之外的部件/操作可以存在。另外,在一些实施例中,图1中示出的各种部件/操作可以具有比图1中示出的更大的、更少的或不同的功能。
图2描绘了根据本公开的一些实施例的用于控制对从电子信息系统请求的数据的访问的示例方法222的流程图。在各种实施例中,方法222可以由一个或多个处理器实施。在一些实施例中,方法222可以由例如图1的系统100实施。
在被认证之后,用户身份(例如,图1的用户身份50)按照自然语言(例如,文本或语音)将请求发送给机器人(例如,图1的机器人10)。请求可以是简单的问题或执行动作的请求。请求可以由机器人在操作S200中接收并解读。
请求的数据的范围可以被确定,并且基于该范围,可以确定用户身份是否被允许访问请求的数据。范围可以包括关于请求的数据是否是公共的信息。
在操作S202中,可以根据在认知引擎(例如,图1的认知引擎12)中定义的实体和意图来对请求分类。例如,实体可以是指用户身份信息(例如,角色、权限、位置、历史信息等等)、请求的数据的类型、请求的数据的位置(例如,数据被存储于其中的位置、或者与特定位置相关的数据)等等。意图可以是指例如查看数据、修改数据、传输数据、执行动作、安装程序等等。
根据分类,可以在操作S204中确定必要的数据源,特别是在请求的数据可以从公共源(例如,维基百科、一般认知语料库)取回到的情况下。对于其他源,可能有必要调用协调器(例如,图1的协调器14)以使用若干工具来取回数据。还可能有必要基于请求的数据来取回附加的认知语料库(例如,法律)、人力资源(HR)语料库和数据库和/或地理数据。地理数据可以例如为关于特殊规定的数据,诸如欧盟(EU)规定(例如,要求数据必须被存储于特定位置中的规定)。
在操作S206中,确定请求是否可以被公共信息满足。如果请求可以被公共信息满足,则可以在操作S208中生成回答并将回答返回给用户身份。
在操作S210中,确定请求是否需要附加的数据(法律、HR、地理、或其他数据)。
如果不是这种情况,则在操作S212中协调器(例如,图1的协调器14)可以被调用。协调器可以负责调用获得所需要的数据需要的所有工具。工具在这种意义上可以是另一软件、硬件设备、数据库、WIKI、论坛或另一信息源。
如果在操作S210中判定需要附加的数据,则可以在操作S220中收集附加的数据并在操作S212中将附加的数据转发到协调器。出于该目的,可以查询附加的数据源。附加的数据源可以例如为其他认知语料库(例如,法律)、关于用户身份的地理信息、用户身份的HR位置、或者关于保密数据的信息。
附加的数据可以被传输到协调器使得可以被查询的工具的集合可以被精简(例如,限制、简化等等),或者使得在工具中使用的查询的类型可以包括特定参数(例如,获得仅仅针对特定地理区域的数据)以便限制取回的数据。
从一个或多个数据源收集数据可以包括协调器将请求转发到一个或多个数据源,收集由数据源生成的对请求的响应,和/或将响应合并为请求的数据的合并的集合。
在一些实施例中,协调器从机器人接收关于与哪些工具和/或数据源交互的信息。
协调器在操作S214中调用各种工具以便获得请求的数据。要调用哪些工具基于分类信息和/或根据定义机器人被配置为报告或采取动作的过程的结构化信息。
来自操作S220的分析还可以决定对工具的选择(例如,出于隐私原因,仅仅来自特定组的国家的数据可以被分析)。
从各种工具并且从附加的源取回的获得的数据可以之后在操作S216中被分析并且被组合以获得回答。例如,操作S216可以包括提供日志分析和/或状态报告。
分析的结果可以与关于各种遍历的工具的法律约束好用户身份具有的角色的列表一起被传输到负责在关于什么回答要发送回到用户身份的操作S218中生成适当的响应的部件。如果存在关于信息的法律约束或来自不是由协调器管理的其他源的约束,则回答可以例如为“你未被授权获得该数据”或者“你需要遵循该附加的流程来获得对该数据的访问”。如果不存在法律障碍并且用户身份可以被授予访问所有遍历的工具,则回答可以在操作S208中被返回给用户身份。如果不存在法律障碍但是用户身份不具有对遍历的工具中的一些的访问,而且认知软件建议授予对信息的访问因为其不是安全暴露,则信息可以被返回给用户身份。例如,用户身份可以不具有足以查看请求的数据的权限,然而,认知软件可以确定请求的数据的至少一部分不是敏感的并且适合于由用户身份查看。基于由认知软件的确定,请求的数据的至少一部分可以被提供给用户身份。在一些实施例中,请求的数据的至少一部分可以与用户身份不与用于访问所有请求的数据的适当的权限相关联的通知和关于如何请求适当的授权以访问所有请求的数据的指令一起被提供给用户身份。
反馈可以由用户身份提供以用于基于反馈来更新学习模块(例如,图1的学习模块20)。学习模块可以被配置为基于经由认知计算的用户反馈和交互来学习用户交互。
有利地,在一些实施例中,本公开不依赖于关于工具的集合的原子权限的求和。例如,为了获得指定信息,可能有必要遍历第一工具、第二工具和第三工具。在这一示例中,用户身份可以被授权访问第一工具和第三工具,但是未被授予访问第二工具。第二工具可以不具有粒度权限(例如,第二工具可以被限制看见所有数据或不能看见数据)。用户身份可能对数据的小子集感兴趣。在本公开的一些实施例中,抽象层必须以另一组权限和将添加所需要的附加的粒度的作用(例如,提供对与第二工具相关联的数据的小子集的粒度访问)跨所有三个工具被构建。在本公开的其他实施例中,关于一条信息是否应当对用户身份可见的检测可以不被编码于任何特定层中,而是相反可以依赖于认知分类器已经被定义并且因此可以基于跨多个认知语料库和传统数据源的交互。因此,认知引擎可以被训练并且可以随仅仅投资于分类器上的时间演变,同时只要要被调用的工具保持相同,协调器调用各种工具的规则就可以保持相同。最终决策可以部分地依赖于用户在各种工具和数据源上具有的直接权限。另外,最终决策可以部分地依赖于由认知引擎和/或学习模块生成的见解。
本公开的另外的优点可以是分类器、意图和实体是认知应用的基石。它们可以由机器人被配置为回答的话题的技术人员定义。此人不必需要编程技术。因此,至少在本公开的各方面实施动态认知学习以增强静态网络安全权限的程度下,本公开的各方面提供改进的可用性。
在最简单的实施例中的协调器不需要认知功能,因为基于分类器、由机器人理解的意图和实体,其可以调用工具的良好定义的链。例如,可以存在可以根据每个组合(分类器、意图、实体)触发的预定义工作流程的列表。
由于协调器具有关于如何设法获得各种工具的所有信息,所以其还能够查询各种工具来理解哪些权限与用户相关联。出于性能原因,数据可以被高速缓存。
现在参考图3,示出了数据处理系统310的示意性示例。数据处理系统310是适当的数据处理系统的仅仅一个示例并且不旨在暗示对本文描述的本公开的实施例的使用或功能的范围的任何限制。无论如何,数据处理系统310能够被实施和/或执行上文中阐述的功能中的任何。
在数据处理系统310中,可以存在计算机系统/服务器312,其可以利用许多其他通用或专用计算系统环境或配置来操作。适合于与计算机系统/服务器312一起使用的公知的计算系统、环境和/或配置的示例包括但不限于包括以上系统或设备中的任何的个人计算机(PC)系统、服务器计算机系统、薄客户机、厚客户机、手持或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子设备、网络PC、微型计算机系统、大型计算机系统和分布式云计算环境。
可以在由计算机系统执行的诸如程序模块的计算机系统可执行指令的总体背景下描述计算机系统/服务器312。总体上,程序模块可以包括例程、程序、对象、组件、逻辑、数据结构等等,其执行特定任务或实现特定抽象数据类型。计算机系统/服务器312可以被实践在分布式云计算环境中,其中任务由通过通信网络链接的远程处理设备执行。在分布式云计算环境中,程序模块可以被定位在包括存储器存储设备的本地计算机系统存储介质和远程计算机系统存储介质两者中。
如图3所示,数据处理系统310中的计算机系统/服务器312可以按照通用计算设备的形式被示出。计算机系统/服务器312的部件可以包括但不限于一个或多个处理器或处理单元316、系统存储器328以及将包括系统存储器328的各种系统部件耦合到处理器316的总线318。
总线318表示若干类型的总线结构中的任何中的一个或多个,包括存储器总线或存储器控制器、外围设备总线、加速图形端口以及使用各种总线架构中的任何的处理器或本地总线。通过举例而非限制性的方式,这样的架构包括工业标准架构(ISA)总线、微通道架构(MCA)总线、增强ISA(EISA)总线、视频电子标准联合会(VESA)本地总线、以及外围设备部件互连(PCI)总线。
计算机系统/服务器312通常包括各种计算机系统可读介质。这样的介质可以为可以可由计算机系统/服务器312访问的任何可用介质,并且其包括易失性介质和非易失性介质、可移动介质和不可移动介质两者。
系统存储器328可以包括以易失性存储器的形式的计算机系统可读介质,例如随机访问存储器(RAM)330和/或缓存332。计算机系统/服务器312还可以包括其他可移动的/不可移动的、易失性的/非易失性的计算机系统存储介质。仅仅通过举例的方式,存储设备334可以被提供用于从不可移动的、非易失性磁性介质(未示出并通常被称为“硬盘驱动器”)读取和写入到不可移动的、非易失性磁性介质。尽管未示出,可以提供用于从可移动的、非易失性磁性介质(例如,“软盘”)读取和写入到可移动的、非易失性磁盘的磁盘驱动器和用于从可移动的、非易失性光盘读取和写入到可移动的、非易失性光盘(例如,CD-ROM、DVD-ROM或其他光学介质)的光盘驱动器。在这样的实例中,每个可以通过一个或多个数据介质接口被连接到总线318。如下面将进一步描绘并描述的,存储器328可以包括至少一个程序产品,其具有被配置为实现本公开的实施例的功能的程序模块的集合(例如,至少一个)。
具有程序模块342的集合(至少一个)的程序/实用工具340可以通过举例而非限制性的方式被存储在存储器328以及操作系统、一个或多个应用程序、其他程序模块和程序数据中。操作系统、一个或多个应用程序、其他程序模块和程序数据或其特定组合中的每个可以包括网络化环境的实施方式。程序模块342大体实现如本文中所描述的本公开的实施例的功能和/或方法。
计算机系统/服务器312还可以与以下各项通信:诸如键盘、指点设备、显示器324等等的一个或多个外部设备314;使得用户能够与计算机系统/服务器312交互的一个或多个设备;和/或使得计算机系统/服务器312能够与一个或多个其他计算设备通信的任何设备(例如,网络卡、调制调解器等等)。这样的通信可以经由输入/输出(I/O)接口322进行。而且,计算机系统/服务器312可以经由网络适配器320与诸如局域网(LAN)、一般的广域网(WAN)和/或公共网络(例如,互联网)的一个或多个网络通信。如所描绘的,网络适配器320经由总线318与计算机系统/服务器312的其他部件通信。应当理解,尽管未示出,但是可以结合计算机系统/服务器312使用其他硬件和/或软件部件。示例包括但不限于:微代码、设备驱动器、冗余处理单元、外部盘驱动阵列、RAID系统、磁带驱动器和数据归档存储系统等等。
为清楚起见,现在提供了本公开的若干示例实施例。在第一示例中,用户执行应用(例如,自动响应器),作为执行应用的部分,将证书提供给应用(例如,用户名、密码、诸如口头短语、面部标识、指纹标识等等的生物标识信息)。用户可以之后向应用提供针对数据的请求(例如,经由向应用输入的文本问题、短语、或(一个或多个)词语,或者经由向应用说出的问题)。应用接收针对数据的请求并收集关于与提供给应用的证书相关联的用户身份的信息(例如,用户的角色、用户的权限级别、用户的安全调查、用户的位置和/或关于用户的历史信息,诸如先前查询、先前历史请求、用户与之相关联的程序项目等等)。应用可以使用协调器来从多个数据源收集请求的数据并将请求的数据向认知引擎中输入。多个数据源可以包括互联网数据源(例如,网站)、内部数据源(例如,数据库)、公共数据、私有数据、保密数据和/或其他类型的数据。认知引擎可以分析所收集的数据、用户身份信息、以及向应用输入的请求。认知引擎可以生成适当的响应并经由应用接口将响应提供给用户。
在用户不具有访问数据的权限的情况下,应用可以指示用户不可以访问数据并且还与通知一起提供如何请求对数据的访问的指令。指令可以包括例如关于如何定位、准备并提及针对提高的权限级别的请求的指令。指令还可以包括例如针对被授权访问该数据的一个或多个人的联系信息并且可以提供对用户问题的适当的回答而不一定允许用户完全访问受限制的数据。在一些实施例中,认知引擎可以确定,尽管用户不具有访问请求的数据的必要授权,但是回答的本质可以适合于提供给用户。
例如,用户可以提交诸如“在国家y中存在多少雇员”的问题。为了确定回答可能要求认知引擎查询包括用户不能够访问的保密雇员信息的数据库。然而,认知引擎可以确定近似的回答,而没有任何详细信息,不构成安全危险并且可以因此提供诸如“在1000与1200之间”的回答而不提供用户对敏感信息中的任何的直接访问。
在另一示例中,用户可以请求访问软件开发工具或项目管理工具。用户可能不具有足够的权限来下载工具,但是认知引擎可以确定与当用户具有对请求的工具的访问时相同的项目相关联的所有个体。作为响应,认知引擎可以将请求的工具提供给用户,向用户提供请求的工具的试用版,和/或提供详述用户如可以请求修改的权限级别以便具有对请求的工具的访问的指令。
在一些实施例中,用户将反馈提供给认知引擎。反馈可以包括但不限于拇指向上或拇指向下、多个星星、表情符号、数字评级、百分比评级和/或文本反馈。应用可以使用反馈来自动地并且连续地改进应用。
因此,至少在本公开的各方面使得认知计算能够被应用到权限级别和与敏感信息相关联的安全规则的程度下,本公开的各方面提供计算机技术中的改进。这些安全规则已经在传统上排他性地依赖于静态规则(例如,角色)。对这样的静态规则的异常处理和/或修改已经在传统上要求基于人类判断的耗时的行政批准。有利地,本公开的各方面提供了使用应用接口(例如,机器人)、认知引擎、协调器、API层、服务功能以及学习模块对敏感信息的恰当粒度的访问。
本公开的各方面(例如,图1的认知引擎12、图1的协调器14和/或图1的学习模块20)可以利用机器学习,机器学习诸如但不限于决策树学习、关联规则学习、人工神经网络、深度学习、归纳逻辑编程、支持向量机、聚类、贝叶斯网络、强化学习、表示学习、相似度/度量训练、稀疏词典学习、遗传算法、基于规则的学习和/或其他机器学习技术。
例如,本公开的各方面可以被配置为使用以下示例技术中的一种或多种来执行机器学习:K近邻(KNN)、学习向量量化(LVQ)、自组织映射(SOM)、逻辑回归、普通最小二乘回归(OLSR)、线性回归、逐步回归、多变量自适应回归样条(MARS)、脊回归、最小绝对收缩和选择算子(LASSO)、弹性网、最小角度回归(LARS)、概率分类器、朴素贝叶斯分类器、二元分类器、线性分类器、分层分类器、典型相关分析(CCA)、因子分析、独立成分分析(ICA)、线性判别分析(LDA)、多维尺度化(MDS)、非负度量因子分解(NMF)、部分最小二乘回归(PLSR)、主成分分析(PCA)、主成分回归(PCR)、萨蒙映射、t分布随机邻居嵌入(t-SNE)、自助聚集、系综平均、梯度提升决策树(GBRT)、梯度提升机(GBM)、归纳偏置算法、Q学习、时间差分(TD)学习、apriori算法、等价类转换(ECLAT)算法、高斯过程回归、基因表达编程、集群数据处理方法(GMDH)、归纳逻辑编程、基于实例的学习、逻辑模型树、信息模糊网络(IFN)、隐马尔科夫模型、高斯朴素贝叶斯、多项式朴素贝叶斯、平均单相依估计器(AODE)、贝叶斯网络(BN)、分类和回归树(CART)、卡方自动交互检测(CHAID)、期望最大算法、前向反馈神经网络、逻辑学习机、自组织图、单链接聚类、模糊聚类、分层级聚类、波尔茨曼机、卷积神经网络、递归神经网络、分层暂时存储器(HIM)和/或其他机器学习技术。
本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是——但不限于——电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开的操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本公开的各个方面。
这里参照根据本公开的实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以按照不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
对本公开的描述已经出于说明的目的被呈现,但是并不旨在为穷举的或限于所公开的实施例。在不脱离所描述的实施例的范围和精神的情况下,许多修改和变型对于本领域技术人员将是显而易见的。本文中使用的术语被选择以最好地说明实施例的原理、对在市场中找到的技术的实践应用或技术改进或者以使得本领域其他普通技术人员能够理解本文中公开的实施例。
本公开的实施例还可以被递送作为与客户公司、非营利组织、政府实体、内部组织结构等等的服务参与的部分。这些实施例可以包括将计算机系统配置为执行本文中描述的方法中的一些或全部,以及部署实施本文中描述的方法中的一些或全部的软件、硬件和web服务。这些实施例还可以包括分析客户的操作,响应于分析而创建推荐,构建实施推荐的子集的系统,将系统集成到现有过程和基础设施中,合并对系统的使用,将费用分配给系统的用户,以及针对使用系统的费用进行计费、开发票或以其他方式接收。
本公开中讨论的任何优点是示例优点,并且存在可以包含讨论的优点中的全部、没有一个、或一些而同时保持在本公开的精神和范围内的实施例。
Claims (22)
1.一种用于控制对从电子信息系统请求的数据的访问的访问控制方法,所述方法包括:
从用户身份接收证书和针对所述数据的请求;
收集与证书相关联的用户身份信息;
通过认知引擎对所述请求进行分类,从而导致所述请求的分类,
其中所述认知引擎根据所述用户身份信息和至少一个被定义的意图对所述请求进行分类;
基于所述请求确定取回附加数据,所述附加数据选自包括人力资源数据、有关法律约束的数据、和/或法规数据的组;
取回所述附加数据;
基于所述分类,通过协调器从一个或多个数据源收集请求的所述数据以用于向认知引擎输入;
分析所述请求的数据和所述附加数据;
基于所述分析的结果,确定所述用户身份是否被允许访问所述请求的数据;
获得来自所述用户身份的反馈;以及
基于所述反馈来更新学习模块。
2.根据权利要求1所述的方法,其中所述方法还包括确定请求的所述数据的范围,并且其中判定所述用户身份是否被允许访问请求的所述数据基于请求的所述数据的所述范围。
3.根据权利要求2所述的方法,其中请求的所述数据的所述范围包括关于请求的所述数据是否是公共数据的信息。
4.根据权利要求1所述的方法,其中从一个或多个数据源收集所述请求的数据包括通过所述协调器来执行包括以下各项的方法:
将所述请求转发给所述一个或多个数据源;
收集对所述请求的响应,其中所述响应由所述数据源生成;以及
将所述响应合并为请求的数据的合并的集合。
5.根据权利要求1所述的方法,还包括使用包括认证系统的机器人按照自然语言与所述用户交互。
6.根据权利要求5所述的方法,还包括在所述协调器处并且从所述机器人接收标识要使用哪些工具和数据源的信息。
7.根据权利要求1所述的方法,还包括使用应用编程接口(API)层作为桥将所述请求转发给外部服务。
8.根据权利要求7所述的方法,还包括通过认知引擎来传输使用所述API层而被获得的数据。
9.根据权利要求8所述的方法,其中所述认知引擎被配置为执行自然语言处理。
10.根据权利要求1所述的方法,其中所述附加数据选自由人力资源数据、有关法律约束的数据、和/或法规数据构成的组。
11.根据权利要求1所述的方法,其中确定所述用户身份是否被允许访问请求的所述数据至少部分地基于被配置为联合不同数据源和非结构化数据的安全控制器。
12.根据权利要求1所述的方法,还包括使用被配置用于认知计算的学习模块基于用户反馈来学习用户交互。
13.根据权利要求1所述的方法,其中收集请求的所述数据还包括:
标识来自公共源的信息;以及
调用所述协调器以使用多个工具来取回数据。
14.根据权利要求1所述的方法,其中所述协调器被配置为基于来自分类器的信息和从与所述用户身份对接的机器人接收的信息来标识要被使用的至少一个工具。
15.根据权利要求1所述的方法,其中所述协调器被配置为使用用于确定与所述用户身份相关联的权限的查询工具。
16.根据权利要求1所述的方法,还包括:
确定所述用户身份未被允许访问请求的所述数据;
向所述用户身份提供指示所述用户身份未被允许访问请求的所述数据的通知;以及
利用所述通知提供用于请求用于访问请求的所述数据的适当的授权的指令。
17.根据权利要求16所述的方法,还包括:
利用所述通知并且响应于确定所述用户身份未被允许访问请求的所述数据,响应于使用认知计算确定请求的所述数据的至少一部分针对由所述用户身份查看是安全的,提供请求的数据的所述至少一部分。
18.一种用于控制对从电子信息系统请求的数据的访问的计算机程序产品,所述计算机程序产品包括:计算机可读存储介质,所述计算机可读存储介质具有与其一起被体现的程序指令,所述程序指令由计算机系统可执行以使得所述计算机系统执行根据权利要求1-17中的任一项所述的方法。
19.一种用于控制对从电子信息系统请求的数据的访问的系统,所述系统至少包括:
机器人,其被配置用于从用户身份接收证书和针对所述数据的请求,所述机器人进一步配置用于将所述请求转发到认知引擎;
所述认知引擎被配置用于确定与所述请求相关联的所述用户身份、分析所述请求的数据,并且根据与所述证书相关联的用户身份信息和至少一个被定义的意图对所述请求进行分类,所述分类导致所述请求的分类;
所述认知引擎进一步被配置用于基于所述请求确定取回附加数据,所述附加数据选自包括人力资源数据、有关法律约束的数据、和/或法规数据的组;
协调器,其被配置用于基于所述分类,从一个或多个数据源收集所述请求的数据以用于向所述认知引擎输入,所述协调器进一步配置用于取回所述附加数据,所述协调器进一步被配置为使用用于确定与所述用户身份相关联的权限的查询工具;
API层,其被配置用于调用服务功能;
服务,其被配置用于路由功能和数据;以及
学习模块,其用于基于通过所述用户身份的反馈而被更新。
20.根据权利要求19所述的系统,其中所述附加数据选自由人力资源数据、有关法律约束的数据、和/或法规数据构成的组。
21.一种计算机系统,包括:
处理器;
计算机可读存储器,其被耦合到所述处理器,所述计算机可读存储器包括指令,所述指令当由所述处理器执行时,执行根据权利要求1-17中的任一项所述的方法。
22.一种用于控制对从电子信息系统请求的数据的访问的系统,所述系统包括分别用于执行根据权利要求1-17中的任一项所述的方法的步骤的模块。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/888,278 | 2018-02-05 | ||
| US15/888,278 US11055420B2 (en) | 2018-02-05 | 2018-02-05 | Controlling access to data requested from an electronic information system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110119603A CN110119603A (zh) | 2019-08-13 |
| CN110119603B true CN110119603B (zh) | 2023-06-30 |
Family
ID=67475115
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910107961.5A Active CN110119603B (zh) | 2018-02-05 | 2019-02-02 | 控制对从电子信息系统请求的数据的访问 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US11055420B2 (zh) |
| CN (1) | CN110119603B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020160854A (ja) * | 2019-03-27 | 2020-10-01 | 株式会社日立製作所 | コード管理システム、及びコード管理方法 |
| EP3786826A1 (en) * | 2019-08-30 | 2021-03-03 | Barclays Execution Services Limited | Secure validation pipeline in a third party cloud environment |
| CA3151331A1 (en) * | 2019-09-30 | 2021-04-08 | John Alden | Third-party access-control support using role history analysis |
| US11501257B2 (en) * | 2019-12-09 | 2022-11-15 | Jpmorgan Chase Bank, N.A. | Method and apparatus for implementing a role-based access control clustering machine learning model execution module |
| US11562749B2 (en) * | 2020-05-01 | 2023-01-24 | Adp, Inc. | System and method for query authorization and response generation using machine learning |
| US11570178B2 (en) * | 2020-10-26 | 2023-01-31 | International Business Machines Corporation | Method and system for checking permissions compatibility between a configuration management system and an orchestration system of a computing cluster |
| CN117980835A (zh) * | 2021-09-27 | 2024-05-03 | 西门子股份公司 | 用于提供与信息系统相关联的服务的方法和系统 |
| CN113591134B (zh) * | 2021-09-28 | 2021-12-14 | 广东机电职业技术学院 | 一种威胁情报大数据共享方法及系统 |
| US11895121B1 (en) * | 2023-03-20 | 2024-02-06 | Capitis Solutions Inc. | Efficient identification and remediation of excessive privileges of identity and access management roles and policies |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9438604B1 (en) * | 2015-07-02 | 2016-09-06 | International Business Machines Corporation | Managing user authentication in association with application access |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8914411B1 (en) | 2002-01-10 | 2014-12-16 | Verizon Patent And Licensing Inc. | Method, system and computer program product for controlling data access through question and answer mechanism |
| US20080028453A1 (en) * | 2006-03-30 | 2008-01-31 | Thinh Nguyen | Identity and access management framework |
| US8341405B2 (en) | 2006-09-28 | 2012-12-25 | Microsoft Corporation | Access management in an off-premise environment |
| US8793761B2 (en) | 2011-08-10 | 2014-07-29 | International Business Machines Corporation | Cognitive pattern recognition for computer-based security access |
| US20150363481A1 (en) | 2012-09-06 | 2015-12-17 | Michael N. Haynes | Systems, Devices, and/or Methods for Managing Information |
| US9565305B2 (en) | 2014-06-12 | 2017-02-07 | Sriram Chakravarthy | Methods and systems of an automated answering system |
| US9519688B2 (en) * | 2014-10-18 | 2016-12-13 | International Business Machines Corporation | Collection and storage of a personalized, searchable, unstructured corpora |
| US10586156B2 (en) * | 2015-06-25 | 2020-03-10 | International Business Machines Corporation | Knowledge canvassing using a knowledge graph and a question and answer system |
| US10783179B2 (en) * | 2015-08-03 | 2020-09-22 | International Business Machines Corporation | Automated article summarization, visualization and analysis using cognitive services |
| US10445655B2 (en) * | 2015-09-29 | 2019-10-15 | Cognitive Scale, Inc. | Cognitive learning framework |
| US10530776B2 (en) * | 2016-06-29 | 2020-01-07 | International Business Machines Corporation | Dynamic cognitive access control list management |
| US10257241B2 (en) * | 2016-12-21 | 2019-04-09 | Cisco Technology, Inc. | Multimodal stream processing-based cognitive collaboration system |
| US10817515B2 (en) * | 2017-07-26 | 2020-10-27 | International Business Machines Corporation | Cognitive data filtering for storage environments |
-
2018
- 2018-02-05 US US15/888,278 patent/US11055420B2/en active Active
-
2019
- 2019-02-02 CN CN201910107961.5A patent/CN110119603B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9438604B1 (en) * | 2015-07-02 | 2016-09-06 | International Business Machines Corporation | Managing user authentication in association with application access |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110119603A (zh) | 2019-08-13 |
| US11055420B2 (en) | 2021-07-06 |
| US20190243979A1 (en) | 2019-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110119603B (zh) | 控制对从电子信息系统请求的数据的访问 | |
| US11544273B2 (en) | Constructing event distributions via a streaming scoring operation | |
| EP3925194B1 (en) | Systems and methods for detecting security incidents across cloud-based application services | |
| US11379607B2 (en) | Automatically generating security policies | |
| US11595430B2 (en) | Security system using pseudonyms to anonymously identify entities and corresponding security risk related behaviors | |
| US11755585B2 (en) | Generating enriched events using enriched data and extracted features | |
| US11436512B2 (en) | Generating extracted features from an event | |
| US11811799B2 (en) | Identifying security risks using distributions of characteristic features extracted from a plurality of events | |
| US20160006629A1 (en) | Appliance clearinghouse with orchestrated logic fusion and data fabric - architecture, system and method | |
| CN111344721A (zh) | 使用认知计算的异常检测 | |
| US11080109B1 (en) | Dynamically reweighting distributions of event observations | |
| US11245727B2 (en) | Adaptive identity broker for governance of decentralized identities across multiple heterogeneous identity networks | |
| US20210342339A1 (en) | Method for Defining and Computing Analytic Features | |
| Kumar et al. | Development of a cloud-assisted classification technique for the preservation of secure data storage in smart cities | |
| US20240005034A1 (en) | Sensitive information disclosure prediction system for social media users and method thereof | |
| US20220277176A1 (en) | Log classification using machine learning | |
| US11810012B2 (en) | Identifying event distributions using interrelated events | |
| You | An Adaptive Machine Learning Framework for Access Control Decision Making | |
| US20230325523A1 (en) | Regulation based protection of data for storage systems | |
| US20240193612A1 (en) | Actionable insights for resource transfers | |
| US20240193501A1 (en) | Interface for management of resource transfers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220308 Address after: British Virgin Islands Applicant after: Green City Plaza Co.,Ltd. Address before: New York grams of Armand Applicant before: International Business Machines Corp. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |