CN112334894A - 使用账户活动性使用限制的账户管理 - Google Patents
使用账户活动性使用限制的账户管理 Download PDFInfo
- Publication number
- CN112334894A CN112334894A CN201980040291.8A CN201980040291A CN112334894A CN 112334894 A CN112334894 A CN 112334894A CN 201980040291 A CN201980040291 A CN 201980040291A CN 112334894 A CN112334894 A CN 112334894A
- Authority
- CN
- China
- Prior art keywords
- account
- account activity
- activity
- inconsistent
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Social Psychology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
示出了用于降低用户账户对攻击的脆弱性的方法、系统和介质,方法、系统和介质涉及:针对用户账户创建规则,该规则包括与用户账户活动性属性对应的许可参数;监测用户账户的账户活动性。如果确定账户活动性属性与许可参数不一致,则用户账户被禁用。许可参数的示例是许可时间段,诸如开始时间、结束时间、重复定义、星期几定义、开始日期、结束日期和发生次数定义。其他示例是物理参数(诸如许可地理位置、许可设备或者许可网络)或者许可使用参数(诸如许可应用、许可数据访问或者许可域)。
Description
背景技术
随着使用远程计算机资源通过互联网而提供的服务和解决方案(诸如基于云的解决方案)的出现,已经引起可能易受恶意活动者的攻击的用户账户激增。例如,存在大量用于由用户使用互联网可访问的电子邮件、金融服务、健身、媒体以及许多其他服务和基于云的应用的账户。附加地,物联网(“IoT”)已经引入了数十亿被连接至互联网并且可能易受攻击的设备,诸如智能电话、智能手表和智能嵌入式设备。暴露于攻击的账户和设备的数量可以被视为攻击的表面积。暴露的账户和设备的数量越大,攻击者可用的表面积就越大。
由于大量潜在易受伤害的账户和设备,恶意活动者使用自动工具来扫描互联网以查找易受伤害的账户或者设备以及例如在受害机器上的恶意应用增加了。攻击者用于尝试获得对机器的访问的最常见的自动方法中的一种自动方法是:通过反复使用多个用户名和密码来强力攻击机器,直到攻破账户的尝试成功为止。
一旦攻击成功地访问一个机器,攻击者通常就使用一个机器上的破解的用户账户来横向攻击其他机器、系统和服务。一旦攻击者已经获得了针对用户账户的有效凭证,攻击者就可以使用凭证来远程地访问系统并且然后,使用远程访问工具来在系统中横向移动以采集附加凭证,搜索敏感信息,注入恶意软件以及访问其他域、设备和数据。例如,攻击者可以利用他们最初侵入到的用户账户来跳到其他机器,并且尝试获得在其他机器上可用的更多用户名和密码。
在另一示例中,攻击者主动使用非敏感账户来获得对敏感账户的访问。攻击者使用非敏感账户来标识网络中的管理员和管理员访问的机器。然后,他们可以访问域控制器中的数据,以尝试发现账户和对账户的资源和文件的访问以及获得针对被存储在已经被破解的计算机上的其他用户的凭证。然后,攻击者可以使用被盗的凭证来跨用户和资源横向移动以获得网络中的管理特权。
数百万用户账户的脆弱性呈现出严重的安全风险。例如,金融信息或者个人信息可能被获取和出售或者被利用来窃取资金。基础设施可能通过设备上的被破解的账户而被攻击。针对公共实体和私人实体的重要信息可能被盗、被毁坏或者被破坏。
针对这些以及其他技术挑战而呈现了本文提出的公开内容。
发明内容
在不需要账户时限制或者移除用户账户可以显著减小攻击面(例如暴露于攻击者的潜在易受伤害的账户的数量),并且限制了攻击者的侵入或者移动。所公开的技术将账户活动性(activity)限于指定时间、日期、基础设施、位置或者使用(usage)以降低账户的数量或者账户的可访问性。
例如,用户账户可以按需或者响应于特定的用户需要被激活或者被停用。用户账户可以是本地用户或者加入域的用户。需求标准的示例可以是手动需求(例如只能被访问一次的账户)、预定的访问时间线(例如仅在工作小时期间可访问的工作账户),或者被限于特定需要(诸如只能运行特定应用的账户)。
本技术通过将账户活动性限于减少的时间窗口、基础设施、位置或者使用来减小针对系统或者机器的攻击面。当较少的账户可访问和/或账户在更有限的时间内可访问时,系统或者机器的脆弱性被降低。还可以通过所公开的主题的实现来实现本文未具体提及的其他技术益处。
为了实现上面所简要提及的技术益处,本文所公开的技术的实现可以通过为用户账户创建包括与有关用户账户的账户活动性的属性相对应的许可(permitted)参数的规则,来管理用户账户以提高计算机系统的安全性。用户账户的账户活动性被监测以确定用户账户的账户活动性的属性是否与规则的许可参数不一致,并且如果是,则禁用用户账户。
在一个示例中,规则的许可参数是许可时间段,并且用户账户的被监测的账户活动性的属性是使用时间。对用户账户的账户活动性的属性是否与规则的许可参数不一致的确定涉及:确定用户账户的使用时间是否在规则的许可时间段之外。
在该示例中,许可时间段可以包括开始时间、结束时间、重复定义、星期几(a daysof the week)定义、开始日期、结束日期或者发生次数定义。使用时间属性可以包括账户活动性的时间、账户活动性的日期、账户活动性的星期几或者账户活动性的发生次数。用户账户的账户活动性的属性是否与规则的许可参数不一致的确定可以涉及:确定账户活动性的时间是否与开始时间或者结束时间不一致,账户活动性的日期是否与重复定义、开始日期或者结束日期不一致,账户活动性的星期几是否与星期几定义不一致,或者账户活动性的发生次数是否与发生次数定义不一致。
在另一示例中,规则的许可参数可以是物理参数,并且用户账户的账户活动性的属性是账户活动性的物理属性。对用户账户的账户活动性的属性是否与规则的许可参数不一致的确定涉及:确定对用户账户的使用的物理属性是否在规则的物理参数之外。
在该示例中,物理参数可以包括许可地理位置、许可设备或者许可网络。用户账户的账户活动性的物理属性可以是账户活动性发生的地理位置、被用于账户活动性的设备或者被用于账户活动性的网络。对用户账户的账户活动性的属性是否与规则的许可参数不一致的确定可以涉及:确定账户活动性发生的地理位置是否与许可地理位置不一致,被用于账户活动性的设备是否与许可设备不一致,或者被用于账户活动性的网络是否与许可网络不一致。
在又一示例中,规则的许可参数可以是许可使用参数,并且用户账户的账户活动性的属性包括账户活动性的使用属性。对用户账户的账户活动性的属性是否与规则的许可参数不一致的确定可以涉及:确定用户账户的账户活动性的使用属性是否在规则的许可使用参数之外。
在该示例中,许可使用参数可以包括许可应用、许可数据访问或者许可域。用户账户的账户活动性的使用属性可以包括被用于账户活动性的应用、账户活动性的数据访问、或者账户活动性的域访问。对用户账户的账户活动性的属性是否与规则的许可参数不一致的确定可以包括:确定被用于账户活动性的应用是否与许可应用不一致,账户活动性的数据访问是否与许可数据访问不一致,或者账户活动性的域访问是否与许可域不一致。
如上面所简要讨论的,本文所公开的技术的实现可以使计算机系统没那么易受攻击,从而避免由于被破解的和被毁坏的计算机资源而导致的低效率。更安全的计算机系统将为计算机系统的授权用户带来更高可用性和效率的计算机资源。还可以通过所公开的技术的实现来实现本文未具体标识的其他技术益处。
应该了解,上述主题可以被实现为计算机控制的装置、计算机实现的方法、计算设备,或者被实现为制品,诸如计算机可读介质。通过阅读以下具体实施方式和查看相关联的附图,这些以及各种其他特征将变得明显。
为了按照简化形式来简要地描述所公开的技术的一些方面而提供本发明内容,下面在具体实施方式中进一步描述了这些方面。本发明内容不旨在标识所要求保护的主题的关键特征或者本质特征,也不旨在本发明内容被用于限制所要求保护的主题的范围。此外,所要求保护的主题不限于解决在本公开的任何部分中所提到的任何或者所有缺点的实现。
附图说明
图1是示出了涉及被托管在远程服务提供方系统上的用户账户的说明性计算系统的网络架构图;
图2是示出了对在用于远程服务提供方系统的服务器集群中的横向攻击的说明的软件架构图;
图3A是示出了根据一个实施例的对用于利用账户规则的远程服务提供方系统的服务器集群的说明的软件架构图;
图3B是示出了根据一个实施例的对用于在远程服务提供方系统中定义账户规则的管理员用户界面的说明的示意图;
图4是示出了根据一个实施例的对在利用账户规则的远程服务提供方系统中的消息传递的说明的消息传递图;
图5A是示出了根据本文所公开的一个实施例的图示了以下操作的各个方面的例程的流程图:利用图3B所示管理用户界面来在图3A中所图示的远程服务提供方系统中定义账户规则;
图5B是示出了根据本文所公开的一个实施例的图示了在图3A中所图示的利用账户规则的远程服务提供方系统的操作的各个方面的例程的流程图;
图5C是示出了根据本文所公开的一个实施例的图示了以下操作的各个方面的例程的流程图:在图3A中所图示的远程服务提供方系统中应用账户规则以进行在图4中所图示的登录或者访问尝试;
图6是示出了用于可以实现本文所呈现的技术的各个方面的计算设备(诸如在图1、图2和图3A中所示出的计算设备)的说明性计算机硬件和软件架构的计算机架构图;
图7是图示了能够实现本文所呈现的技术的各个方面的分布式计算环境的网络图;以及
图8是图示了用于能够实现本文所呈现的技术的各个方面的计算设备(诸如在图1、图2和图3A中所示出的计算设备)的计算设备架构的计算机架构图。
具体实施方式
以下详细描述涉及用于定义和应用账户规则以控制对系统的访问的远程服务提供方系统。如上面所简要讨论的,可以访问远程服务提供方系统的大量用户账户和设备创建了在所公开的技术中所管理的攻击面。可以通过所公开的用于管理用户账户以减小远程服务提供方系统的攻击面的方法来提高远程服务提供方系统的安全性。在对资源和数据的保护方面,所公开的方法的提高的系统安全性可以给远程服务提供方带来显著的益处,这改善了资源利用、可用性和整体性能。
虽然在结合计算机系统上的操作系统和应用程序的执行来执行的程序模块的一般上下文中呈现了本文所描述的主题,但是本领域的技术人员要认识到:其他实现可以结合其他类型的程序模块来执行。通常,程序模块包括执行特定任务或者实现特定抽象数据类型的例程、程序、组件、数据结构以及其他类型的结构。此外,本领域的技术人员要了解:可以利用其他计算机系统配置来实践本文所描述的主题,包括:手持式设备、多处理器系统、基于微处理器的或者可编程的消费者电子产品、被嵌入在设备(诸如可穿戴设备、汽车、家庭自动化等)中的计算系统或者处理系统、小型计算机、大型计算机等。
在下面的详细描述中,参照形成附图的一部分并且通过对特定配置或者示例的说明方式而示出的附图。现在参照附图,其中在若干附图中,相同的附图标记表示相同的元件,将描述提供提高的安全性的远程服务提供方系统的各个方面。
图1是示出了涉及用户或者服务器计算设备104以及远程服务提供方系统120的说明性远程计算环境100的网络架构图。在该示例中,计算设备104A和104B是客户端设备,诸如个人计算机、膝上型计算机、平板计算机或者智能电话,并且计算设备104C和104D是服务器,诸如由消费者在其自己的房屋内操作和维护的服务器。在该示例中,客户端设备104A和104B以及服务器设备104C和104D通过网络110来与远程电子邮件服务提供方系统120的资源通信。
在该示例中,远程服务提供方系统120包括电子邮件服务模块122、域目录124、(诸如针对文本或者语音消息的)消息数据126、用于存储用户应用和操作数据的数据存储装置128以及用于存储与针对用户账户128的凭证相关的数据的凭证数据存储库130。
远程服务提供方系统120被配置为通过网络110来向计算设备104的用户提供服务,诸如电子邮件消息传递、文本消息传递、远程应用、远程存储等。例如,具有用户账户128的用户可以通过网络110登录到远程服务提供方系统120以利用电子邮件服务122。
攻击者还可以利用计算设备104来尝试通过网络110登录到或者访问远程服务提供方系统120。如上面所简要讨论的,在强力攻击技术中,攻击者将带着找到允许他们访问账户的一组凭证(例如用户名和密码组合)的意图,利用各种用户名或者账户标识符和密码来反复尝试登录到远程服务提供方系统。攻击者已经开发了用于生成大量用户名和密码组合并且利用这些用户名和密码组合来尝试进行登录的自动技术。在远程服务提供方系统120上可用的并且活动的用户账户越多,攻击者可以找到有效的用户名和密码组合的可能性就越大。
注意,可以使用远程计算机资源(例如“云”)执行计算机处理(诸如响应用户控制输入或者其他数据输入),来实现本文所讨论的远程服务提供方系统。在一些云计算场景中,一些操作可以被实现在一组计算资源(诸如客户端和服务器)中,而其他操作可以被实现在其他计算资源(诸如由一个或多个计算资源提供方提供的云资源)中。云计算环境可以包括由不同提供方提供的许多计算机资源提供方系统。计算资源提供方的示例包括:来自MICROSOFT CORPORATION的WINDOWS AZURE服务平台、来自AMAZON公司的AMAZON AWS、来自GOOGLE公司的GOOGLE云平台以及来自VMWARE公司的平台虚拟化软件和服务。
一旦攻击者已经获得向他们提供对远程服务提供方系统的访问的有效用户凭证,他们通常就将使用这些凭证来尝试访问其他系统资源(诸如其他机器、系统、数据和服务)而横向攻击系统。例如,攻击者可以使用远程访问工具来在系统中横向移动以采集附加凭证,搜索敏感信息,注入恶意软件以及访问其他域、设备和数据。
例如,攻击者可以尝试标识网络中的管理员以及管理员访问的机器。他们还可以尝试访问域控制器中的数据,以发现账户和获得对账户的资源和文件的访问。攻击者还可以搜索针对被存储在已经被破解的计算机上的其他用户的凭证。然后,攻击者可以使用这些被盗的凭证来跨用户和资源横向移动以获得网络中的管理特权。
图2是示出了对在用于远程服务提供方系统的服务器集群210中的横向攻击的说明的软件架构图。在该示例中,使用远程访问应用208的攻击者206使用被盗的用户凭证来在240中通过服务器212A获得对服务器集群210中的账户的访问。然后,攻击者使用(使用所包括的账户而获得的)访问来在242中访问域目录224以标识域中要攻击的其他设备或者系统。攻击者可以使用被破解的账户来在246中横向攻击集群210中的另一服务器212B。或者,攻击者可以在250中获得对凭证数据存储库230的访问以获得针对其他账户的凭证,攻击者将使用这些凭证来访问那些账户的数据和资源。
攻击者还可以搜索通信数据(诸如电子邮件服务222中的电子邮件消息或者消息数据226中的文本或者语音消息)以获得例如敏感信息(诸如破解的通信)或者附加的用户账户名称以用于附加的强力攻击。攻击者可以通过被破解的账户来访问数据存储装置228中的敏感数据,诸如文档、个人记录或者金融交易。
图3A是示出了根据所公开的技术的一个实施例的对用于利用账户规则的远程服务提供方系统的服务器集群310的说明的软件架构图。在该示例中,如同图2所示服务器集群210的服务器集群310包括电子邮件服务322、域目录324、消息数据326、数据存储装置328和凭证数据330。
附加地,服务器集群310包括规则引擎350,该规则引擎350访问账户规则存储库352中的账户规则。向服务器集群的管理员340提供管理用户界面,诸如管理应用342。管理应用342使得管理员340能够在344中定义账户规则存储库352中的账户规则。
使用用户应用304的用户306在308中经由集群(服务器集群310)中的一个服务器312来生成账户活动性(诸如登录或者访问尝试)。用户的账户标识符(例如用户名)在314中被提交给规则引擎350。规则引擎350使用账户标识符来确定账户规则存储库352中的任何账户规则是否与账户标识符有关。例如,可以定义与特定账户标识符或者账户标识符所属的域有关的账户规则。规则引擎350将有关的账户规则应用于用户的登录尝试的账户标识符,以确定要求阻止用户的账户的规则是否被触发。注意,规则引擎350可以是在服务器312或者服务器集群310的其他组件中的一个中执行的进程。
图3B是示出了根据所公开的技术的一个实施例的对管理员用户界面344(诸如可以经由管理员应用342而被呈现给管理员)的说明的示意图,该管理员用户界面344使得管理员能够定义用于远程服务提供方系统的账户规则存储库中的账户规则。例如,界面344可以在管理员创建账户或者域时被呈现给管理员。备选地,界面344可以被利用来为现有的账户或者域创建规则。在另一示例中,界面344可以由管理员用于定义应用于域的规则,在这种情况下,规则将应用于域中已经存在的账户以及在域中所创建的未来账户。
管理用户界面344包括账户或者域标识符字段346,该账户或者域标识符字段346标识将应用规则的账户或者域。界面344可以包括定义账户或者域可以被访问的时间的时间参数。在该示例中,界面344包括许可时间参数字段360,许可时间参数字段360可以定义针对规则的开始时间362和结束时间364以及重复计划366(例如许可访问的每日、每周、每月或者每年或者定义的星期几368,例如星期一到星期五)。
例如,在字段346中所标识的用户账户可以具有允许每天从早上8:00开始(字段362)到下午5:00结束(字段364)访问用户账户的许可时间参数。在由许可时间参数定义的周期之外的时间期间,远程服务提供方系统将拒绝对账户的访问。
管理用户界面344还可以包括许可数据参数370,诸如定义开始日期372以及定义的结束日期的字段。对字段374的选择可以被用于定义没有结束日期的开放式结束规则。字段376可以被用于定义在终止之前对账户的访问的发生次数N,例如在账户已经被访问N次之后终止使用账户的访问。字段378可以被用于定义针对结束日期所确定的日期,在该日期之后,账户或者域将不可访问。
例如,在字段346中所标识的账户可以具有在字段372中所定义的与员工的开始日期一致的开始日期,并且选择了字段374,使得账户不具有结束日期。在另一示例中,学生账户可以具有在字段372中所定义的与针对课程的开始日期一致的开始日期和在字段378中所定义的与该课程的最后日期一致的结束日期。在又一示例中,可以用N=1来定义账户,使得账户只能被访问一次。
管理用户界面344还可以包括许可物理参数380。例如,字段382A可以定义可以从其访问账户的地理区域。字段382B可以定义从其可以访问账户的一个或多个设备。字段382C可以定义从其可以访问账户的一个或多个网络域。
例如,在字段346中所标识的账户可以具有在字段370中所定义的美国地理区域,并且只能从美国内部访问账户。在另一示例中,可以在字段382B中定义员工的工作计算机,使得只能从工作计算机访问账户。在又一示例中,可以在字段382C中定义公司网络域,使得只能从公司网络内部访问账户。
管理用户界面344还可以包括许可使用参数390。例如,字段392A可以定义账户可以访问的特定应用。字段392B可以定义账户可以访问的数据存储库或者数据域。字段392C可以定义账户可以访问的一个或多个域。
例如,在字段346中所标识的账户可以被限于使用在字段392A中所定义的文字处理应用和数据库应用。在另一示例中,账户可以被限于访问在字段392B中所定义的人力资源数据库。在又一示例中,账户被限于访问在字段392C中所定义的公司域。
应该容易认识到:在不脱离本公开的范围的情况下,可以为规则定义除了在图3B的示例中所图示的那些规则之外的各种不同参数。
图4是示出了根据一个实施例的对在利用账户规则的远程服务提供方系统中的消息传递400的说明的消息传递图。在该示例中,在402中,管理员340利用图3A所示管理应用342和图3B所示管理用户界面344,来定义与被存储在账户规则存储库352中的账户或者域标识符相关的一个或多个账户规则。
在410中,图3A中的用户306生成账户活动性,诸如通过与用户的凭证一起向服务器312发送登录尝试或者访问请求。在412中,服务器312将来自用户的凭证的账户标识符发送给规则引擎350。在414中,规则引擎350使用账户标识符来向账户规则存储库352搜索与账户标识符有关的一个或多个规则,例如具有匹配的账户标识符的规则或者具有与账户标识符有关的域标识符的规则。在420中,规则引擎350从账户规则存储库352获得有关的账户规则,并且将该规则应用于账户标识符。
在430中,在该示例中,如果当前账户活动性属性未通过规则,例如在账户规则中所定义的许可时间参数之外进行登录尝试,则规则引擎通知服务器312登录或者访问尝试被拒绝。在432中,服务器312向用户306发送拒绝登录或者访问尝试的消息。
如果针对登录尝试的当前账户活动性属性通过规则,例如在账户规则中所定义的许可时间参数之内进行登录尝试,则规则引擎在440中通知服务器312登录或者访问尝试被允许。在442中,服务器312向用户306发送授权登录或者访问尝试的消息。
要了解,在与图3A和图4相关联的示例中所示出的架构和消息传递是说明性的,而不限制所公开的技术的范围。本领域的技术人员将容易认识到:其他架构和消息协议可以被利用以符合所公开的技术。
图5A是示出了根据本文所公开的一个实施例的图示了过程500的各个方面的例程的流程图,该过程500用于利用图3B所示管理用户界面来在图3A中所图示的远程服务提供方系统中定义账户规则。在该示例中,在以下上下文中调用过程500:管理员340利用具有管理用户界面344的管理应用342来定义将被存储在账户规则存储库352中的一个或多个账户规则。
在502中,管理用户界面344被用于为账户规则定义许可时间参数360。在504中,界面344被利用来为账户规则定义许可日期参数370。在506中,界面344被利用来为账户规则定义许可物理参数380。在508中,界面344被利用来为账户规则定义许可使用参数390。在510中,账户规则被存储在账户规则存储库352中。
本领域的技术人员将容易了解到:在不脱离所公开的技术的范围的情况下,各种方法可以被利用来定义账户规则。
图5B是示出了根据本文所公开的一个实施例的图示了在图3A中所示的利用账户规则的远程服务提供方系统300的过程530的各个方面的例程的流程图。在532中,该过程监测账户的活动性,例如通过分析账户的当前账户活动性属性。例如,该过程检测用户账户的登录尝试或者访问尝试。在534中,当在账户上检测到活动性时,针对账户的账户标识符被用于搜索与账户有关的一个或多个账户规则。例如,账户规则中的某一账户规则针对账户标识符或者账户标识符所属的相关域而被定义。注意,可以存在与用户凭证有关的多于一个账户规则。例如,为账户标识符定义一个规则,并且为账户所属的域定义另一规则。
如果没有找到有关的账户规则,则在536中控制分支到546,其中允许用户进行访问,这可以包括常规的授权操作。如果找到有关的账户规则,则在536中控制分支到540,并且账户规则的参数被应用于该账户活动性的当前账户活动性属性,例如时间、日期、位置、用户机器等。
如果通过在540中所应用的规则,例如当前账户活动性属性落入在账户规则中所定义的允许参数之内,则控制分支到546,其中允许账户活动性,例如完成登录尝试或者响应访问请求。如果未通过规则,则控制分支到544,其中账户活动性被拒绝,例如登录尝试被拒绝或者访问请求被阻止。
注意,如果多个账户规则与账户有关,则多个规则中的每个规则都被应用于账户活动性属性。如果账户活动性违反了多个账户规则中的一个账户规则的参数,则访问被拒绝。
图5C是示出了根据本文所公开的一个实施例的用于以下的操作的一个示例的流程图:在图5B中的540中向账户活动性属性应用账户规则,图5B图示了在图3A中所图示的远程服务提供方系统中向账户活动性应用账户规则的各个方面。
在552中,针对时间和日期账户活动性属性(用户登录或者访问尝试的时间和日期)检查为所应用的账户规则所定义的许可时间和日期参数(如果有的话)。例如,如果规则定义了允许在上午8:00与下午5:00之间的访问的时间参数和允许从星期一到星期五的访问的日期参数,则针对在规则中所定义的时间和日期参数检查登录尝试的时间和日期属性。如果登录尝试的时间或者日期属性不在规则的时间和日期参数要求之内,则在554中控制分支到570,其中登录尝试被拒绝。如果账户活动性属性在时间和日期参数要求之内,则在554中控制分支到556。
在556中,针对账户活动性的物理属性检查为所应用的账户规则所定义的许可物理参数(如果有的话)。例如,如果规则要求账户使用特定机器,则针对在账户规则中所定义的机器参数检查用户用于登录尝试的机器。如果机器属性(例如被用于登录尝试的机器)与在账户规则中所定义的机器参数不匹配,则在558中控制分支到570,其中登录尝试被拒绝。如果机器属性确实与所定义的机器参数相匹配,则在558中控制分支到560。
在560中,针对账户活动性的使用属性检查为所应用的账户规则所定义的许可使用参数(如果有的话)。例如,如果规则将账户限于使用特定应用,则针对为账户规则所定义的许可应用参数检查账户活动性的应用使用属性(例如启动文字处理应用)。如果账户活动性的应用使用属性与账户规则的许可应用参数不匹配,则在562中控制分支到570,其中账户活动性被拒绝。如果应用使用属性确实与账户规则的许可应用参数相匹配,则在562中控制分支到566,其中使账户通过,例如接受账户以进行远程服务提供方系统的处理。
通过限制用户账户的可用性和/或使用,所公开的技术减少了用户账户暴露于恶意攻击。例如,如果用户账户一天只能被访问8个小时,则该用户账户暴露于攻击被减少到一天24小时可访问的账户的暴露的三分之一。同样,被限于特定机器或者网络的账户可以减少该用户账户暴露于全球数亿个机器。类似地,在有限的时间段内(例如直到课程或者合同结束为止)可访问的账户,则账户在有限的时间段之前和之后的周期内的暴露才可以被消除。因此,可以使用所公开的技术来显著减小要攻击的账户的暴露表面积。
应该了解,虽然已经主要在所定义的账户规则被应用于限制登录或者其他类型的访问请求的上下文中呈现了本文所公开的实施例,但是本文所公开的技术可以类似地被应用于其他上下文,其中类似的功能性被利用来限制或者约束用户账户对远程服务提供方系统或者类似的系统的资源的访问。
图6是示出了用于能够执行本文所描述的软件组件的计算机600的架构的计算机架构图。在图6中所图示的架构是用于服务器计算机、移动电话、电子阅读器、智能电话、台式计算机、上网本计算机、平板计算机、膝上型计算机或者适合于执行本文所呈现的软件组件的另一类型的计算设备的架构。
在这点上,应该了解,在图6中所示出的计算机600可以被利用来实现能够执行本文所呈现的软件组件中的任何软件组件的计算设备。例如但不限于:参照图6所描述的计算架构可以被利用来实现在图1中所图示的计算设备104或者远程服务提供方系统120或者在图2和图3A中所图示并且在上面所描述的远程服务提供方系统200和300的组件中的一些或者全部组件,其能够执行本文所描述的各种软件组件。
图6中所图示的计算机600包括:中央处理单元602(“CPU”)、系统存储器604(包括随机存取存储器606(“RAM”)和只读存储器(“ROM”)608)以及将存储器604耦合至CPU 602的系统总线610。包含帮助在计算机600内的元件之间传递信息(诸如在启动期间)的基本例程的基本输入/输出系统(“BIOS”或者“固件”)被存储在ROM 608中。计算机600还包括一个或多个海量存储设备612,该一个或多个海量存储设备612用于存储操作系统621、应用程序622以及其他类型的程序和数据(包括但不限于:用户账户数据624和账户规则存储库626)。用户账户数据624和账户规则626可以被存储在彼此不同的存储设备中。
海量存储设备612通过被连接至总线610的海量存储控制器(未示出)被连接至CPU602。海量存储设备612及其相关联的计算机可读介质为计算机600提供非易失性存储。虽然对本文所包含的计算机可读介质的描述是指海量存储设备,诸如硬盘、CD-ROM驱动器、DVD-ROM驱动器或者USB存储密钥,但是本领域的技术人员应该了解,计算机可读介质可以是可以由计算机600访问的任何可用的计算机存储介质或者通信介质。
通信介质包括计算机可读指令、数据结构、程序模块或者已调制的数据信号(诸如载波或者其他传送机构)中的其他数据,并且包括任何递送介质。术语“已调制的数据信号”是指具有其按照对信号中的信息进行编码的方式被改变或者设置的特性中的一个或多个特性的信号。通过示例的方式而非限制,通信介质包括有线介质(诸如有线网络或者直接有线连接)和无线介质(诸如声学无线介质、射频、红外无线介质和其他无线介质)。上述内容中的任何内容的组合也应该被包括在计算机可读介质的范围内。
通过示例的方式而非限制,计算机存储介质可以包括在用于存储信息(诸如计算机可执行指令、数据结构、程序模块或者其他数据)的任何方法或者技术中所实现的易失性和非易失性、可移除和不可移除介质。例如,计算机存储介质包括但不限于:RAM、ROM、EPROM、EEPROM、闪速存储器或者其他固态存储器技术、CD-ROM、数字多功能盘(“DVD”)、HD-DVD、BLU-RAY或者其他光学存储装置、磁带盒、磁带、磁盘存储装置或者其他磁存储设备、或者可以被用于存储期望信息并且可以由计算机600访问的任何其他介质。出于权利要求书的目的,短语“计算机存储介质”及其变化不包括波或者信号本身或者通信介质。
根据各种配置,计算机600可以通过网络(诸如网络618)使用至远程计算机的逻辑连接来在联网环境中操作。计算机600可以通过被连接至总线610的网络接口单元620来连接至网络618。应该了解,网络接口单元620还可以被利用来连接至其他类型的网络和远程计算机系统。计算机600还可以包括用于接收和处理来自若干其他设备(包括键盘、鼠标、触摸输入或者电子触笔(在图6中未示出))的输入的输入/输出控制器616。类似地,输入/输出控制器616可以向显示屏或者其他类型的输出设备(同样在图6中未示出)提供输出。
应该了解,本文所描述的软件组件在被加载到CPU 602中并且被执行时,可以将CPU 602和整个计算机600从通用计算设备变换成被定制为支持本文所提出的功能性的专用计算设备。CPU 602可以由任何数量的晶体管或者其他分立电路元件构成,其可以单独地或者共同地假设任何数量的状态。更具体地,响应于本文所公开的软件模块内所包含的可执行指令,CPU 602可以操作为有限状态机。这些计算机可执行指令可以通过指定CPU 602在状态之间进行转换的方式来变换CPU 602,从而变换构成CPU 602的晶体管或者其他分立硬件元件。
对本文所提出的软件模块进行编码还可以变换本文所提出的计算机可读介质的物理结构。在本说明书的不同实现中,物理结构的特定变换取决于各种因子。这种因子的示例包括但不限于:被用于实现计算机可读介质的技术、计算机可读介质的特征是主要存储还是辅助存储等。例如,如果计算机可读介质被实现为基于半导体的存储器,则本文所公开的软件可以通过变换半导体存储器的物理状态而被编码在计算机可读介质上。例如,软件可以变换构成半导体存储器的晶体管、电容器或者其他分立电路元件的状态。软件还可以变换这种组件的物理状态以便在其上存储数据。
作为另一示例,可以使用磁技术或者光学技术来实现本文所公开的计算机可读介质。在这种实现中,当软件被编码在磁介质或者光学介质中时,本文所呈现的软件可以变换磁介质或者光学介质的物理状态。这些变换可以包括:更改在给定磁介质内特定位置的磁特性。这些变换还可以包括:更改在给定光学介质内的特定位置的物理特征或者特性,以改变那些位置的光学特性。在不脱离本说明书的范围和精神的情况下,物理介质的其他变换是可能的,提供前述示例仅为了支持该讨论。
鉴于上述内容,应该了解,在计算机600中发生许多类型的物理变换以便存储和执行本文所呈现的软件组件。还应该了解,在图6中所示出的用于计算机600的架构或者类似的架构可以被利用来实现其他类型的计算设备,包括:手持式计算机、视频游戏设备、嵌入式计算机系统、移动设备(诸如智能电话和平板电脑)以及本领域的技术人员已知的其他类型的计算设备。还预期计算机600可以不包括在图6中所示出的组件中的所有组件,可以包括在图6中未明确示出的其他组件,或者可以利用与在图6中所示出的架构完全不同的架构。
图7示出了可以提供源于云的资源(诸如由一个或多个远程服务提供方系统提供的资源)的说明性分布式计算环境702的各个方面,在该说明性分布式计算环境702中,可以执行本文所描述的软件组件。因此,在图7中所图示的分布式计算环境702可以被用于执行能够提供上面针对图1至图5所描述的功能性的程序代码和/或本文所描述的其他软件组件中的任何软件组件。
根据各种实现,分布式计算环境702在网络708上操作,与网络708通信,或者作为网络708的一部分。一个或多个客户端设备706A至706N(在下文中被统称为和/或被一般地称为“设备706”)可以经由网络708和/或其他连接(在图7中未图示)来与分布式计算环境702通信。
在图示的配置中,设备706包括:计算设备706A,诸如膝上型计算机、台式计算机或者其他计算设备;“板”或者平板计算设备(“平板计算设备”)706B;移动计算设备706C,诸如移动电话、智能电话或者其他移动计算设备;服务器计算机706D;和/或其他设备706N。应该理解,任何数量的设备706都可以与分布式计算环境702通信。本文参考图6和图8说明和描述了用于设备706的两个示例计算架构。应该理解,本文所说明和描述的图示客户端设备706和计算架构是说明性的,而不应该以任何方式被解释为限制性的。
在图示的配置中,分布式计算环境702包括应用服务器704、数据存储装置710和一个或多个网络接口712。根据各种实现,应用服务器704的功能性可以由作为网络708的一部分执行或者与网络708通信的一个或多个服务器计算机提供。应用服务器704可以托管各种服务,诸如虚拟机、门户和/或其他资源。在图示的配置中,应用服务器704托管一个或多个虚拟机714,该一个或多个虚拟机714用于托管应用,诸如用于实现上面针对图1至图5所描述的功能性的程序组件。应该理解,该配置是说明性的,而不应该以任何方式被解释为限制性的。应用服务器704还可以托管一个或多个web门户、链路页面、网站和/或其他信息(“web门户”)716,或者提供对它们的访问。
根据各种实现,应用服务器704还包括一个或多个邮箱服务718和一个或多个消息传递服务720。邮箱服务718可以包括电子邮件(“email”)服务。邮箱服务718还可以包括各种个人信息管理(“PIM”)服务,包括但不限于:日历服务、联系人管理服务、协作服务和/或其他服务。消息传递服务720可以包括但不限于:即时消息传递(“IM”)服务、聊天服务、论坛服务和/或其他通信服务。
应用服务器704还可以包括一个或多个社交网络服务722。社交网络服务722可以提供各种类型的社交网络服务,包括但不限于:用于共享或者发布状态更新、即时消息、链路、照片、视频和/或其他信息的服务;用于评论文章、产品、博客或者其他资源或者表现出对它们的兴趣的服务和/或其他服务。在一些配置中,社交网络服务722由FACEBOOK社交网络服务、LINKEDIN专业网络服务、FOURSQUARE地理网络服务等提供或者包括FACEBOOK社交网络服务、LINKEDIN专业网络服务、FOURSQUARE地理网络服务等。在其他配置中,社交网络服务722由其他服务、站点和/或提供方(可以被称为“社交网络提供方”)提供。例如,一些网站允许用户在各种活动性和/或上下文(诸如阅读已发表的文章,对商品或者服务进行评论,进行发表,协作,游戏等)期间经由电子邮件、聊天服务和/或其他方式来彼此交互。其他服务是可能的,并且预期了其他服务。
社交网络服务722可以包括评论服务、博客服务和/或微博服务。这种服务的示例包括但不限于:YELP评论服务、KUDZU评审服务、OFFICETALK企业微博服务、TWITTER消息传递服务和/或其他服务。应该了解,上面的服务列表不是详尽的,并且为了简洁起见,本文未提及许多附加的和/或备选的社交网络服务722。这样,上面所描述的配置是说明性的,而不应该以任何方式被解释为限制性的。
如同样在图7中所示出的,应用服务器704还可以托管其他服务、应用、门户和/或其他资源(“其他服务”)724。这些服务可以包括但不限于:流式视频服务(如NETFLIX流式视频服务)和生产率服务(诸如来自GOOGLE公司的GMAIL电子邮件服务)。因此,可以了解到,由分布式计算环境702的用户执行的活动性可以包括各种邮箱、消息传递、社交网络、群组对话、生产率、娱乐以及其他类型的活动性。对这些服务以及其他服务的使用可以被检测并且被用于利用本文所公开的技术来定制计算设备的操作。
如上面所提及的,分布式计算环境702可以包括数据存储装置710。根据各种实现,数据存储装置710的功能性由在网络708上操作或者与网络708通信的一个或多个数据库提供。数据存储装置710的功能性还可以由一个或多个服务器计算机提供,一个或多个服务器计算机被配置为托管用于分布式计算环境702的数据。数据存储装置710可以包括、托管或者提供一个或多个真实的或者虚拟的数据存储库726A至726N(在下文中被统称为和/或被一般地称为“数据存储库726”)。数据存储库726被配置为托管由应用服务器704使用或者创建的数据和/或其他数据。
分布式计算环境702可以与网络接口712通信或者通过网络接口712被访问。网络接口712可以包括用于支持两个或更多个计算设备之间的通信的各种类型的网络硬件和软件,包括但不限于:设备706和应用服务器704。应当了解,网络接口712还可以被利用来连接至其他类型的网络和/或计算机系统。
应该理解,本文所描述的分布式计算环境702可以利用任何数量的虚拟计算资源和/或其他分布式计算功能性来实现本文所描述的软件元件的任何方面,该其他分布式计算功能性可以被配置为执行本文所公开的软件组件的任何方面。还应该理解,设备706还可以包括真实的或者虚拟的机器,包括但不限于:服务器计算机、web服务器、个人计算机、游戏控制台或者其他类型的游戏设备、移动计算设备、智能电话和/或其他设备。这样,本文所公开的技术的各种实现使得被配置为访问分布式计算环境702的任何设备都能够利用本文所描述的功能性。
现在转向图8,将描述用于计算设备的说明性计算设备架构800,计算设备诸如:在图1中所图示的计算设备104或者远程服务提供方系统120、或者在图2和图3A中所图示的远程服务提供方系统200和300的组件中的一些或者全部组件,该计算设备能够执行本文所描述的各种软件组件。计算设备架构800可应用于部分地由于形状因子、无线连接性和/或蓄电池供电的操作而支持移动计算的计算设备。在一些配置中,计算设备包括但不限于:移动电话、平板设备、板设备、便携式视频游戏设备等。
计算设备架构800还可应用于在图7中所示出的任何设备706。此外,计算设备架构800的各个方面适用于传统的台式计算机、便携式计算机(例如膝上型电脑、笔记本电脑、超便携式计算机和上网本)、服务器计算机以及其他计算机设备(诸如本文所描述的那些计算机设备)。例如,本文在下面所公开的单点触摸方面和多点触摸方面可以被应用于利用触摸屏或者某种其他启用触摸的设备(诸如启用触摸的触控板或者启用触摸的鼠标)的台式计算机、膝上型计算机、可转换设备、智能电话或者平板计算机设备。计算设备架构800还可以被利用来实现在图1中所图示的计算设备104或者远程服务提供方系统120、或者在图2和图3A中所图示的远程服务提供方系统200和300的组件中的一些或者全部组件和/或用于实现或者消耗本文所描述的功能性的其他类型的计算设备。
在图8中所图示的计算设备架构800包括:处理器802、存储器组件804、网络连接性组件806、传感器组件808、输入/输出组件810和电力组件812。在图示的配置中,处理器802与存储器组件804、网络连接性组件806、传感器组件808、输入/输出(“I/O”)组件810和电力组件812通信。虽然在图8中所图示的单独的组件之间未示出连接,但是组件可以被电连接以便交互和实施设备功能。在一些配置中,组件被布置为经由一条或多条总线(未示出)来进行通信。
处理器802包括一个或多个CPU核,该一个或多个CPU核被配置为:处理数据,执行一个或多个应用程序的计算机可执行指令,并且与计算设备架构800的其他组件通信以便执行本文所描述的各种功能性。处理器802可以被利用来执行本文所呈现的软件组件的各个方面,并且特别是至少部分地利用启用触摸的输入的那些软件组件。
在一些配置中,处理器802包括被配置为使由CPU执行的操作加速的图形处理单元(“GPU”),这些操作包括但不限于:通过执行通用科学和工程计算应用以及图形密集型计算应用(诸如高分辨率视频(例如720P、1080P、4K和更大的分辨率)、视频游戏、3D建模应用等)而执行的操作。在一些配置中,处理器802被配置为与分立GPU(未示出)通信。在任何情况下,CPU和GPU都可以根据协同处理CPU/GPU计算模型而被配置,其中应用的顺序部分在CPU上执行,并且计算密集型部分由GPU加速。
在一些配置中,处理器802是片上系统(“SoC”)或者连同本文在下面所描述的其他组件中的一个或多个组件一起被包括在片上系统(“SoC”)中。例如,SoC可以包括处理器802、GPU、一个或多个网络连接性组件806以及一个或多个传感器组件808。在一些配置中,部分地利用层叠封装(“PoP”)集成电路封装技术来制造处理器802。此外,处理器802可以是单核处理器或者多核处理器。
可以根据可从英国剑桥的ARM HOLDINGS获得许可的ARM架构来创建处理器802。备选地,可以根据x86架构(诸如可从加利福尼亚州山景城的INTEL CORPORATION等获得)来创建处理器802。在一些配置中,处理器802是可从加利福尼亚州圣地亚哥的QUALCOMM获得的SNAPDRAGON SoC、可从加利福尼亚州圣克拉拉的NVIDIA获得的TEGRA SoC、可从韩国首尔的SAMSUNG获得的HUMMINGBIRD SoC、可从德克萨斯州达拉斯的TEXAS INSTRUMENTS获得的开放式多媒体应用平台(“OMAP”)SoC、上述SoC中的任何SoC的定制版本或者专有SoC。
存储器组件804包括RAM 814、ROM 816、集成存储存储器(“集成存储装置”)818和可移除存储存储器(“可移除存储装置”)820。在一些配置中,RAM 814或者其一部分、ROM816或者其一部分和/或RAM 814和ROM 816的某种组合被集成在处理器802中。在一些配置中,ROM 816被配置为存储固件、操作系统或者其一部分(例如操作系统内核)和/或引导程序,以从集成存储装置818或者可移除存储装置820加载操作系统内核。
集成存储装置818可以包括固态存储器、硬盘或者固态存储器和硬盘的组合。集成存储装置818可以被焊接或者以其他方式被连接至逻辑板,该逻辑板上还可以连接有处理器802和其他组件。这样,集成存储装置818被集成在计算设备中。集成存储装置818可以被配置为存储操作系统或者其部分、应用程序、数据和本文所描述的其他软件组件。
可移除存储装置820可以包括固态存储器、硬盘或者固态存储器和硬盘的组合。在一些配置中,代替集成存储装置818,提供可移除存储装置820。在其他配置中,提供可移除存储装置820作为附加的可选存储装置。在一些配置中,可移除存储装置820在逻辑上与集成存储装置818组合,使得总的可用存储可用并且作为集成存储装置818和可移除存储装置820的总的组合容量显示给用户。
可移除存储装置820被配置为被插入到可移除存储存储器插槽(未示出)或者其他机构中,可移除存储装置820通过该机构被插入并且被固定以支持连接,可移除存储装置820可以通过该连接来与计算设备的其他组件(诸如处理器802)通信。可移除存储装置820可以按照各种存储卡格式被实施,包括但不限于:PC卡、COMPACTFLASH卡、记忆棒、安全数字(“SD”)、miniSD、microSD、通用集成电路卡(“UICC”)(例如订户身份模块(“SIM”)或者通用SIM(“USIM”))、专有格式等。
可以理解:一个或多个存储器组件804可以存储操作系统。根据各种配置,操作系统包括但不限于:来自MICROSOFT CORPORATION的WINDOWS操作系统、来自加利福尼亚州库比蒂诺的APPLE公司的IOS操作系统和来自加利福尼亚州山景城的GOOGLE公司的ANDROID操作系统。还可以利用其他操作系统。
网络连接性组件806包括无线广域网组件(“WWAN组件”)822、无线局域网组件(“WLAN组件”)824和无线个人局域网组件(“WPAN组件”)826。网络连接性组件806支持至以及来自网络828的通信,该网络828可以是WWAN、WLAN或者WPAN。虽然图示了单个网络828,但是网络连接性组件806可以支持与多个网络的同时通信。例如,网络连接性组件806可以经由WWAN、WLAN或者WPAN中的一个或多个来支持与多个网络的同时通信。
网络828可以是WWAN,诸如利用一种或多种移动电信技术来经由WWAN组件822利用计算设备架构800向计算设备提供语音和/或数据服务的移动电信网络。移动电信技术可以包括但不限于:全球移动通信系统(“GSM”)、码分多址(“CDMA”)ONE、CDMA2000、通用移动电信系统(“UMTS”)、长期演进(“LTE”)和全球微波接入互操作性(“WiMAX”)。
此外,网络828可以利用各种信道接入方法(可以或者可以不按照上述标准来使用这些信道接入方法),包括但不限于:时分多址(“TDMA”)、频分多址(“FDMA”)、CDMA、宽带CDMA(“W-CDMA”)、正交频分复用(“OFDM”)、空分多址(“SDMA”)等。可以使用通用分组无线电服务(“GPRS”)、全球演进的增强型数据速率(“EDGE”)、包括高速下行链路分组接入(“HSDPA”)的高速分组接入(“HSPA”)协议族、增强型上行链路(“EUL”)或者被称为高速上行链路分组接入(“HSUPA”)、演进型HSPA(“HSPA+”)、LTE以及各种其他当前的和未来的无线数据接入标准来提供数据通信。网络828可以被配置为利用上述技术的任何组合来提供语音和/或数据通信。网络828可以被配置为或者适合于根据未来的生成技术来提供语音和/或数据通信。
在一些配置中,WWAN组件822被配置为提供与网络828的双多模式连接性。例如,WWAN组件822可以被配置为提供与网络828的连接性,其中网络828经由GSM和UMTS技术或者经由技术的某种其他组合来提供服务。备选地,多个WWAN组件822可以被利用来执行这种功能性,和/或提供附加的功能性以支持其他不兼容的技术(即,不能由单个WWAN组件支持)。WWAN组件822可以支持与多个网络(例如UMTS网络和LTE网络)的类似连接性。
网络828可以是根据一个或多个电气和电子工程师协会(“IEEE”)104.11标准(诸如IEEE 104.11a、104.11b、104.11g、104.11n和/或未来的104.11标准(在本文中被统称为WI-FI))来操作的WLAN。还预期了草案104.11标准。在一些配置中,WLAN利用一个或多个无线WI-FI接入点而实现。在一些配置中,无线WI-FI接入点中的一个或多个无线WI-FI接入点是与用作WI-FI热点的WWAN具有连接性的另一计算设备。WLAN组件824被配置为经由WI-FI接入点来连接至网络828。可以经由各种加密技术来保护这种连接,包括但不限于:WI-FI保护接入(“WPA”)、WPA2、有线等效保密(“WEP”)等。
网络828可以是根据红外数据协会(“IrDA”)、BLUETOOTH、无线通用串行总线(“USB”)、Z-Wave、ZIGBEE或者某种其他短距离无线技术来操作的WPAN。在一些配置中,WPAN组件826被配置为经由WPAN来支持与其他设备(诸如外围设备、计算机或者其他计算设备)的通信。
传感器组件808包括磁力计830、环境光传感器832、接近传感器834、加速度计836、陀螺仪838和全球定位系统传感器(“GPS传感器”)840。预期其他传感器(诸如但不限于:温度传感器或者冲击检测传感器)也可以被并入计算设备架构800。
磁力计830被配置为测量磁场的强度和方向。在一些配置中,磁力计830向被存储在一个存储器组件804中的罗盘应用程序提供测量值,以便在参考系中向用户提供包括基本方向(北、南、东和西)的准确方向。类似的测量值可以被提供给包括罗盘组件的导航应用程序。预期了磁力计830所获得的测量值的其他用途。
环境光传感器832被配置为测量环境光。在一些配置中,环境光传感器832向被存储在一个存储器组件804中的应用程序提供测量值,以便自动调整显示器(下面所描述的)的亮度以补偿弱光和强光环境。预期了环境光传感器832所获得的测量值的其他用途。
接近传感器834被配置为在不直接接触的情况下检测接近计算设备的物体或者事物的存在。在一些配置中,接近传感器834检测用户的身体(例如用户的脸部)的存在,并且将该信息提供给被存储在一个存储器组件804中的应用程序,该应用程序利用接近信息来启用或者禁用计算设备的某一功能性。例如,电话应用程序可以响应于接收到接近信息而自动禁用触摸屏(下面所描述的),使得用户的脸部不会在呼叫期间无意间结束通话或者启用/禁用电话应用程序内的其他功能性。预期了接近传感器834所检测到的接近的其他用途。
加速度计836被配置为测量适当的加速度。在一些配置中,来自加速度计836的输出由应用程序用作用于控制应用程序的某种功能性的输入机制。在一些配置中,来自加速度计836的输出被提供给应用程序以用于在风景模式和肖像模式之间进行切换,计算坐标加速度或者检测跌倒。预期了加速度计836的其他用途。
陀螺仪838被配置为测量并且维持定向。在一些配置中,来自陀螺仪838的输出由应用程序用作用于控制应用程序的某种功能性的输入机制。例如,陀螺仪838可以被用于准确地识别在视频游戏应用或者某种其他应用的3D环境内的移动。在一些配置中,应用程序利用来自陀螺仪838和加速度计836的输出来增强用户输入操作。预期了陀螺仪838的其他用途。
GPS传感器840被配置为接收来自GPS卫星的信号以用于计算位置。由GPS传感器840计算得出的位置可以由需要或者受益于位置信息的任何应用程序使用。例如,可以与导航应用程序一起使用由GPS传感器840计算得出的位置,以提供从该位置到目的地的方向或者从目的地到该位置的方向。此外,GPS传感器840可以被用于向外部基于位置的服务(诸如E911服务)提供位置信息。GPS传感器840可以利用一个或多个网络连接性组件806来获得经由WI-FI、WIMAX和/或蜂窝三角测量技术而生成的位置信息,以帮助GPS传感器840获得定位。GPS传感器840还可以被用于辅助型GPS(“A-GPS”)系统。
I/O组件810包括显示器842、触摸屏844、数据I/O接口组件(“数据I/O”)846、音频I/O接口组件(“音频I/O”)848、视频I/O接口组件(“视频I/O”)850和相机852。在一些配置中,显示器842和触摸屏844被组合。在一些配置中,数据I/O组件846、音频I/O组件848和视频I/O组件850中的两个或更多个被组合。I/O组件810可以包括被配置为支持下面所描述的各种接口的分立处理器,或者可以包括被内置到处理器802的处理功能性。
显示器842是被配置为以视觉形式呈现信息的输出设备。特别地,显示器842可以呈现图形用户界面(“GUI”)元素、文本、图像、视频、通知、虚拟按钮、虚拟键盘、消息传递数据、互联网内容、设备状态、时间、日期、日历数据、首选项、地图信息、位置信息以及能够以视觉形式来呈现的任何其他信息。在一些配置中,显示器842是利用任何有源或者无源矩阵技术以及任何背光技术(如果使用了的话)的液晶显示器(“LCD”)。在一些配置中,显示器842是有机发光二极管(“OLED”)显示器。预期了其他显示器类型。
触摸屏844是被配置为检测触摸的存在和位置的输入设备。触摸屏844可以是电阻式触摸屏、电容式触摸屏、表面声波触摸屏、红外触摸屏、光学成像触摸屏、色散信号触摸屏、声脉冲识别触摸屏,或者可以利用任何其他触摸屏技术。在一些配置中,触摸屏844作为透明层被并入在显示器842的顶部,以使得用户能够使用一个或多个触摸来与显示器842上所呈现的对象或者其他信息进行交互。在其他配置中,触摸屏844是被并入在不包括显示器842的计算设备的表面上的触摸板。例如,计算设备可以具有被并入在显示器842的顶部上的触摸屏和在与显示器842相对的表面上的触摸板。
在一些配置中,触摸屏844是单点触摸型触摸屏。在其他配置中,触摸屏844是多点触摸型触摸屏。在一些配置中,触摸屏844被配置为检测离散的触摸、单点触摸手势和/或多点触摸手势。为了方便起见,这些在本文中被统称为“手势”。现在将描述几种手势。应该理解,这些手势是说明性的,而不旨在限制所附权利要求书的范围。此外,所描述的手势、附加手势和/或备选手势可以被实现在用于与触摸屏844一起使用的软件中。这样,开发人员可以创建特定于特定应用程序的手势。
在一些配置中,触摸屏844支持轻击(tap)手势,其中用户在显示器842上所呈现的项上轻击触摸屏844一次。可以出于各种原因而使用轻击手势,包括但不限于:打开或者启动用户轻击的任何事物,诸如图形图标。在一些配置中,触摸屏844支持双击手势,其中用户在显示器842上所呈现的项上轻击触摸屏844两次。可以出于各种原因而使用双击手势,包括但不限于:分阶段地进行放大或者缩小。在一些配置中,触摸屏844支持轻击并保持手势,其中用户轻击触摸屏844并且维持接触达至少预定义时间。可以出于各种原因而使用轻击并保持手势,包括但不限于:打开上下文特定菜单。
在一些配置中,触摸屏844支持平移手势,其中用户将手指放在触摸屏844上并且在触摸屏844上移动手指的同时维持与触摸屏844的接触。可以出于各种原因而使用平移手势,包括但不限于:以受控的速度浏览屏幕、图像或者菜单。还预期了多个手指平移手势。在一些配置中,触摸屏844支持轻拂(flick)手势,其中用户沿用户想要屏幕移动的方向滑动手指。可以出于各种原因而使用轻拂手势,包括但不限于:水平或者垂直滚动菜单或者页面。在一些配置中,触摸屏844支持支援触控缩放(pinch and stretch)手势,其中用户用两根手指(例如拇指和食指)在触摸屏844上进行收缩运动或者使两根手指分开。可以出于各种原因而使用支援触控缩放手势,包括但不限于:逐渐放大或者缩小网站、地图或者图片。
虽然已经参照使用一根或多根手指来执行手势提出了上面所描述的手势,但是其他附加物(诸如脚趾)或者物体(诸如触控笔)可以被用于与触摸屏844进行交互。这样,上述手势应该被理解为是说明性的,而不应该以任何方式被解释为限制性的。
数据I/O接口组件846被配置为支持向计算设备输入数据和从计算设备输出数据。在一些配置中,数据I/O接口组件846包括被配置为例如为了进行同步操作而在计算设备与计算机系统之间提供有线连接性的连接器。连接器可以是专有连接器或者标准化连接器,诸如USB、微型USB、小型USB、USB-C等。在一些配置中,连接器是用于将计算设备与另一设备(诸如扩展坞、音频设备(例如数字音乐播放器)或者视频设备)对接的对接连接器。
音频I/O接口组件848被配置为向计算设备提供音频输入和/或输出能力。在一些配置中,音频I/O接口组件848包括被配置为收集音频信号的麦克风。在一些配置中,音频I/O接口组件848包括被配置成为耳机或者其他外部扬声器提供连接性的耳机插孔。在一些配置中,音频接口组件848包括用于输出音频信号的扬声器。在一些配置中,音频I/O接口组件848包括光学音频电缆输出。
音频I/O接口组件850被配置为向计算设备提供视频输入和/或输出能力。在一些配置中,视频I/O接口组件850包括视频连接器,该视频连接器被配置为从另一设备(例如视频媒体播放器,诸如DVD或者BLU-RAY播放器)接收视频作为输入,或者向另一设备(例如监视器、电视机或者某种其他外部显示器)发送视频作为输出。在一些配置中,视频I/O接口组件850包括高清晰度多媒体接口(“HDMI”)、小型HDMI、微型HDMI、显示端口或者用于输入/输出视频内容的专有连接器。在一些配置中,视频I/O接口组件850或者其部分与音频I/O接口组件848或者其部分组合。
相机852可以被配置为捕获静止图像和/或视频。相机852可以利用电荷耦合器件(“CCD”)或者互补金属氧化物半导体(“CMOS”)图像传感器来捕获图像。在一些配置中,相机852包括用于帮助在弱光环境下拍照的闪光灯。针对相机852的设定可以被实现为硬件或者软件按钮。
虽然未图示,但是一个或多个硬件按钮还可以被包括在计算设备架构800中。硬件按钮可以被用于控制计算设备的某个操作方面。硬件按钮可以是专用按钮或者多用途按钮。硬件按钮可以是机械按钮或者基于传感器的按钮。
图示的电力组件812包括一个或多个蓄电池854,该一个或多个蓄电池854可以被连接至蓄电池量表856。蓄电池854可以是可充电的或者一次性的。可充电蓄电池类型包括但不限于:锂聚合物、锂离子、镍镉和镍金属氢化物。每个蓄电池854可以由一个或多个电池制成。
蓄电池量表856可以被配置为测量蓄电池参数,诸如电流、电压和温度。在一些配置中,蓄电池量表856被配置为测量蓄电池的放电速率、温度、寿命以及其他因子的影响以在特定百分比的误差内预测剩余寿命。在一些配置中,蓄电池量表856向应用程序提供测量值,该应用程序被配置为利用测量值来向用户呈现有用的电力管理数据。电力管理数据可以包括以下一项或多项:所用蓄电池百分比、所剩蓄电池百分比、蓄电池状况、剩余时间、剩余容量(例如以瓦特小时为单位)、电流消耗和电压。
电力组件812还可以包括电力连接器(未示出),该电力连接器可以与一个或多个上述I/O组件810组合。电力组件812可以经由电力I/O组件810来与外部电力系统或者充电设备接口连接。还可以利用其他配置。
本文所提出的公开内容还涵盖以下条款中所阐述的主题:
条款1:一种用于在远程服务提供方系统中管理用户账户的计算机实现的方法,包括:针对用户账户创建规则,该规则包括与用户账户的账户活动性的属性对应的许可参数;监测用户账户的账户活动性;确定用户账户的账户活动性的属性是否与规则的许可参数不一致;以及如果用户账户的账户活动性的属性与规则的许可参数不一致,则禁用用户账户。
条款2:根据条款1的计算机实现的方法,其中:规则的许可参数包括许可时间段;用户账户的账户活动性的属性包括使用时间;以及确定用户账户的账户活动性的属性是否与规则的许可参数不一致包括:确定用户账户的使用时间是否在规则的许可时间段之外。
条款3:根据条款2的计算机实现的方法,其中:许可时间段包括以下一项或多项:开始时间、结束时间、重复定义、星期几定义、开始日期、结束日期和发生次数定义;使用时间属性包括以下一项或多项:账户活动性的时间、账户活动性的日期、账户活动性的星期几和账户活动性的发生次数;以及确定用户账户的账户活动性的属性是否与规则的许可参数不一致包括确定以下至少一项:账户活动性的时间是否与开始时间或者结束时间不一致;账户活动性的日期是否与重复定义、开始日期或者结束日期不一致;账户活动性的星期几是否与星期几定义不一致;以及账户活动性的发生次数是否与发生次数定义不一致。
条款4:根据条款1的计算机实现的方法,其中:规则的许可参数包括物理参数;用户账户的账户活动性的属性包括账户活动性的物理属性;以及确定用户账户的账户活动性的属性是否与规则的许可参数不一致包括:确定对用户账户的使用的物理属性是否在规则的物理参数之外。
条款5:根据条款4的计算机实现的方法,其中:物理参数包括以下一项或多项:许可地理位置、许可设备和许可网络;用户账户的账户活动性的物理属性包括以下一项或多项:账户活动性发生的地理位置、被用于账户活动性的设备和被用于账户活动性的网络;以及确定用户账户的账户活动性的属性是否与规则的许可参数不一致包括确定以下至少一项:账户活动性发生的地理位置是否与许可地理位置不一致;被用于账户活动性的设备是否与许可设备不一致;以及被用于账户活动性的网络是否与许可网络不一致。
条款6:根据条款1的计算机实现的方法,其中:规则的许可参数包括许可使用参数;用户账户的账户活动性的属性包括账户活动性的使用属性;以及确定用户账户的账户活动性的属性是否与规则的许可参数不一致包括:确定用户账户的账户活动性的使用属性是否在规则的许可使用参数之外。
条款7:根据条款6的计算机实现的方法,其中:许可使用参数包括以下一项或多项:许可应用、许可数据访问和许可域;用户账户的账户活动性的使用属性包括以下一项或多项:被用于账户活动性的应用、账户活动性的数据访问和账户活动性的域访问;以及确定用户账户的账户活动性的属性是否与规则的许可参数不一致包括确定以下至少一项:被用于账户活动性的应用是否与许可应用不一致;账户活动性的数据访问是否与许可数据访问不一致;以及账户活动性的域访问是否与许可域不一致。
条款8:一种远程服务提供方系统,该远程服务提供方系统包括:一个或多个处理器;以及其上存储有计算机可执行指令的至少一种计算机存储介质,这些计算机可执行指令在由一个或多个处理器执行时使一个或多个处理器:针对用户账户创建规则,该规则包括与用户账户的账户活动性的属性对应的许可参数;监测用户账户的账户活动性;确定用户账户的账户活动性的属性是否与规则的许可参数不一致;以及如果用户账户的账户活动性的属性与规则的许可参数不一致,则禁用用户账户。
条款9:根据条款8的远程服务提供方系统,其中:规则的许可参数包括许可时间段;用户账户的账户活动性的属性包括使用时间;以及用于确定用户账户的账户活动性的属性是否与规则的许可参数不一致的操作包括:用于确定用户账户的使用时间是否在规则的许可时间段之外的操作。
条款10:根据条款9的远程服务提供方系统,其中:许可时间段包括以下一项或多项:开始时间、结束时间、重复定义、星期几定义、开始日期、结束日期和发生次数定义;使用时间属性包括以下一项或多项:账户活动性的时间、账户活动性的日期、账户活动性的星期几和账户活动性的发生次数;以及用于确定用户账户的账户活动性的属性是否与规则的许可参数不一致的操作包括用于确定以下至少一项的操作:账户活动性的时间是否与开始时间或者结束时间不一致;账户活动性的日期是否与重复定义、开始日期或者结束日期不一致;账户活动性的星期几是否与星期几定义不一致;以及账户活动性的发生次数是否与发生次数定义不一致。
条款11:根据条款8的远程服务提供方系统,其中:规则的许可参数包括物理参数;用户账户的账户活动性的属性包括账户活动性的物理属性;以及用于确定用户账户的账户活动性的属性是否与规则的许可参数不一致的操作包括:用于确定对用户账户的使用的物理属性是否在规则的物理参数之外的操作。
条款12:根据条款11的远程服务提供方系统,其中:物理参数包括以下一项或多项:许可地理位置、许可设备和许可网络;用户账户的账户活动性的物理属性包括以下一项或多项:账户活动性发生的地理位置、被用于账户活动性的设备和被用于账户活动性的网络;以及用于确定用户账户的账户活动性的属性是否与规则的许可参数不一致的操作包括用于确定以下至少一项的操作:账户活动性发生的地理位置是否与许可地理位置不一致;被用于账户活动性的设备是否与许可设备不一致;以及被用于账户活动性的网络是否与许可网络不一致。
条款13:根据条款8的远程服务提供方系统,其中:规则的许可参数包括许可使用参数;用户账户的账户活动性的属性包括账户活动性的使用属性;以及用于确定用户账户的账户活动性的属性是否与规则的许可参数不一致的操作包括:用于确定用户账户的账户活动性的使用属性是否在规则的许可使用参数之外的操作。
条款14:根据条款13的远程服务提供方系统,其中:许可使用参数包括以下一项或多项:许可应用、许可数据访问和许可域;用户账户的账户活动性的使用属性包括以下一项或多项:被用于账户活动性的应用、账户活动性的数据访问和账户活动性的域访问;以及用于确定用户账户的账户活动性的属性是否与规则的许可参数不一致的操作包括用于确定以下至少一项的操作:被用于账户活动性的应用是否与许可应用不一致;账户活动性的数据访问是否与许可数据访问不一致;以及账户活动性的域访问是否与许可域不一致。
条款15:一种其上存储有计算机可执行指令的计算机存储介质,这些计算机可执行指令在由一个或多个处理器执行时使处理器执行一种用于在远程服务提供方系统中管理用户账户的方法,该方法包括:针对用户账户创建规则,该规则包括与用户账户的账户活动性的属性对应的许可参数;监测用户账户的账户活动性;确定用户账户的账户活动性的属性是否与规则的许可参数不一致;以及如果用户账户的账户活动性的属性与规则的许可参数不一致,则禁用用户账户。
条款16:根据条款15的计算机存储介质,其中:规则的许可参数包括许可时间段;用户账户的账户活动性的属性包括使用时间;以及用于确定用户账户的账户活动性的属性是否与规则的许可参数不一致的操作包括:用于确定用户账户的使用时间是否在规则的许可时间段之外的操作。
条款17:根据条款16的计算机存储介质,其中:许可时间段包括以下一项或多项:开始时间、结束时间、重复定义、星期几定义、开始日期、结束日期和发生次数定义;使用时间属性包括以下一项或多项:账户活动性的时间、账户活动性的日期、账户活动性的星期几和账户活动性的发生次数;以及确定用户账户的账户活动性的属性是否与规则的许可参数不一致包括确定以下至少一项:账户活动性的时间是否与开始时间或者结束时间不一致;账户活动性的日期是否与重复定义、开始日期或者结束日期不一致;账户活动性的星期几是否与星期几定义不一致;以及账户活动性的发生次数是否与发生次数定义不一致。
条款18:根据条款15的计算机存储介质,其中:规则的许可参数包括物理参数;用户账户的账户活动性的属性包括账户活动性的物理属性;以及确定用户账户的账户活动性的属性是否与规则的许可参数不一致包括:确定对用户账户的使用的物理属性是否在规则的物理参数之外。
条款19:根据条款18的计算机存储介质,其中:物理参数包括以下一项或多项:许可地理位置、许可设备和许可网络;用户账户的账户活动性的物理属性包括以下一项或多项:账户活动性发生的地理位置、被用于账户活动性的设备和被用于账户活动性的网络;以及确定用户账户的账户活动性的属性是否与规则的许可参数不一致包括用于确定以下至少一项的操作:账户活动性发生的地理位置是否与许可地理位置不一致;被用于账户活动性的设备是否与许可设备不一致;以及被用于账户活动性的网络是否与许可网络不一致。
条款20:根据条款15的计算机存储介质,其中:规则的许可参数包括以下一项或多项:许可应用、许可数据访问和许可域;用户账户的账户活动性的属性包括以下一项或多项:被用于账户活动性的应用、账户活动性的数据访问和账户活动性的域访问;以及确定用户账户的账户活动性的属性是否与规则的许可参数不一致包括确定以下至少一项:被用于账户活动性的应用是否与许可应用不一致;账户活动性的数据访问是否与许可数据访问不一致;以及账户活动性的域访问是否与许可域不一致。
基于前述内容,应该了解,已经公开了一种通过限制对远程服务提供方系统的资源的访问和用户账户对这些资源的访问来提高安全性的远程服务提供方系统。虽然已经用特定于计算机结构特征、方法动作和转换动作、特定计算机器以及计算机可读介质的语言描述了本文所提出的主题,但是要明白,在所附权利要求书中所阐述的主题不必限于本文所描述的特定特征、动作或者介质。相反,特定特征、动作和介质作为实现所要求保护的主题的示例形式而被公开。
上面所描述的主题仅通过示例的方式而提供,并且不应该被解释为限制性的。可以在不遵循所图示和所描述的示例配置和应用但是不脱离本公开的范围(在以下权利要求书中所阐述的)的情况下对本文所描述的主题进行各种修改和改变。
Claims (14)
1.一种用于在远程服务提供方系统中管理用户账户的计算机实现的方法,包括:
针对用户账户创建规则,所述规则包括与所述用户账户的账户活动性的属性对应的许可参数;
监测所述用户账户的所述账户活动性;
确定所述用户账户的所述账户活动性的所述属性是否与所述规则的所述许可参数不一致;以及
如果所述用户账户的所述账户活动性的所述属性与所述规则的所述许可参数不一致,则禁用所述用户账户。
2.根据权利要求1所述的计算机实现的方法,其中:
所述规则的所述许可参数包括许可时间段;
所述用户账户的所述账户活动性的所述属性包括使用时间;以及
确定所述用户账户的所述账户活动性的所述属性是否与所述规则的所述许可参数不一致包括:确定所述用户账户的所述使用时间是否在所述规则的所述许可时间段之外。
3.根据权利要求2所述的计算机实现的方法,其中:
所述许可时间段包括以下一项或多项:开始时间、结束时间、重复定义、星期几定义、开始日期、结束日期和发生次数定义;
使用时间属性包括以下一项或多项:所述账户活动性的时间、所述账户活动性的日期、所述账户活动性的星期几和所述账户活动性的发生次数;以及
确定所述用户账户的所述账户活动性的所述属性是否与所述规则的所述许可参数不一致包括确定以下至少一项:
所述账户活动性的所述时间是否与所述开始时间或者所述结束时间不一致,
所述账户活动性的所述日期是否与所述重复定义、所述开始日期或者所述结束日期不一致,
所述账户活动性的所述星期几是否与所述星期几定义不一致,以及
所述账户活动性的所述发生次数是否与所述发生次数定义不一致。
4.根据权利要求1所述的计算机实现的方法,其中:
所述规则的所述许可参数包括物理参数;
所述用户账户的所述账户活动性的所述属性包括所述账户活动性的物理属性;以及
确定所述用户账户的所述账户活动性的所述属性是否与所述规则的所述许可参数不一致包括:确定对所述用户账户的使用的所述物理属性是否在所述规则的所述物理参数之外。
5.根据权利要求4所述的计算机实现的方法,其中:
所述物理参数包括以下一项或多项:许可地理位置、许可设备和许可网络;
所述用户账户的所述账户活动性的所述物理属性包括以下一项或多项:所述账户活动性发生的地理位置、被用于所述账户活动性的设备和被用于所述账户活动性的网络;以及
确定所述用户账户的所述账户活动性的所述属性是否与所述规则的所述许可参数不一致包括确定以下至少一项:
所述账户活动性发生的所述地理位置是否与所述许可地理位置不一致,
被用于所述账户活动性的所述设备是否与所述许可设备不一致,以及
被用于所述账户活动性的所述网络是否与所述许可网络不一致。
6.根据权利要求1所述的计算机实现的方法,其中:
所述规则的所述许可参数包括许可使用参数;
所述用户账户的所述账户活动性的所述属性包括所述账户活动性的使用属性;以及
确定所述用户账户的所述账户活动性的所述属性是否与所述规则的所述许可参数不一致包括:确定所述用户账户的所述账户活动性的所述使用属性是否在所述规则的所述许可使用参数之外。
7.根据权利要求6所述的计算机实现的方法,其中:
所述许可使用参数包括以下一项或多项:许可应用、许可数据访问和许可域;
所述用户账户的所述账户活动性的所述使用属性包括以下一项或多项:被用于所述账户活动性的应用、所述账户活动性的数据访问和所述账户活动性的域访问;以及
确定所述用户账户的所述账户活动性的所述属性是否与所述规则的所述许可参数不一致包括确定以下至少一项:
被用于所述账户活动性的所述应用是否与所述许可应用不一致,
所述账户活动性的所述数据访问是否与所述许可数据访问不一致,以及
所述账户活动性的所述域访问是否与所述许可域不一致。
8.一种远程服务提供方系统,所述远程服务提供方系统包括:
一个或多个处理器;以及
其上存储有计算机可执行指令的至少一种计算机存储介质,所述计算机可执行指令在由所述一个或多个处理器执行时使所述一个或多个处理器:
针对用户账户创建规则,所述规则包括与所述用户账户的账户活动性的属性对应的许可参数;
监测所述用户账户的所述账户活动性;
确定所述用户账户的所述账户活动性的所述属性是否与所述规则的所述许可参数不一致;以及
如果所述用户账户的所述账户活动性的所述属性与所述规则的所述许可参数不一致,则禁用所述用户账户。
9.根据权利要求8所述的远程服务提供方系统,其中:
所述规则的所述许可参数包括许可时间段;
所述用户账户的所述账户活动性的所述属性包括使用时间;以及
用于确定所述用户账户的所述账户活动性的所述属性是否与所述规则的所述许可参数不一致的所述操作包括:用于确定所述用户账户的所述使用时间是否在所述规则的所述许可时间段之外的操作。
10.根据权利要求9所述的远程服务提供方系统,其中:
所述许可时间段包括以下一项或多项:开始时间、结束时间、重复定义、星期几定义、开始日期、结束日期和发生次数定义;
使用时间属性包括以下一项或多项:所述账户活动性的时间、所述账户活动性的日期、所述账户活动性的星期几和所述账户活动性的发生次数;以及
用于确定所述用户账户的所述账户活动性的所述属性是否与所述规则的所述许可参数不一致的所述操作包括用于确定以下至少一项的操作:
所述账户活动性的所述时间是否与所述开始时间或者所述结束时间不一致,
所述账户活动性的所述日期是否与所述重复定义、所述开始日期或者所述结束日期不一致,
所述账户活动性的所述星期几是否与所述星期几定义不一致,以及
所述账户活动性的所述发生次数是否与所述发生次数定义不一致。
11.根据权利要求8所述的远程服务提供方系统,其中:
所述规则的所述许可参数包括物理参数;
所述用户账户的所述账户活动性的所述属性包括所述账户活动性的物理属性;以及
用于确定所述用户账户的所述账户活动性的所述属性是否与所述规则的所述许可参数不一致的所述操作包括:用于确定对所述用户账户的使用的所述物理属性是否在所述规则的所述物理参数之外的操作。
12.根据权利要求11所述的远程服务提供方系统,其中:
所述物理参数包括以下一项或多项:许可地理位置、许可设备和许可网络;
所述用户账户的所述账户活动性的所述物理属性包括以下一项或多项:所述账户活动性发生的地理位置、被用于所述账户活动性的设备和被用于所述账户活动性的网络;以及
用于确定所述用户账户的所述账户活动性的所述属性是否与所述规则的所述许可参数不一致的所述操作包括用于确定以下至少一项的操作:
所述账户活动性发生的所述地理位置是否与所述许可地理位置不一致,
被用于所述账户活动性的所述设备是否与所述许可设备不一致,以及
被用于所述账户活动性的所述网络是否与所述许可网络不一致。
13.根据权利要求8所述的远程服务提供方系统,其中:
所述规则的所述许可参数包括许可使用参数;
所述用户账户的所述账户活动性的所述属性包括所述账户活动性的使用属性;以及
用于确定所述用户账户的所述账户活动性的所述属性是否与所述规则的所述许可参数不一致的所述操作包括:用于确定所述用户账户的所述账户活动性的所述使用属性是否在所述规则的所述许可使用参数之外的操作。
14.根据权利要求13所述的远程服务提供方系统,其中:
所述许可使用参数包括以下一项或多项:许可应用、许可数据访问和许可域;
所述用户账户的所述账户活动性的所述使用属性包括以下一项或多项:被用于所述账户活动性的应用、所述账户活动性的数据访问和所述账户活动性的域访问;以及
用于确定所述用户账户的所述账户活动性的所述属性是否与所述规则的所述许可参数不一致的所述操作包括用于确定以下至少一项的操作:
被用于所述账户活动性的所述应用是否与所述许可应用不一致,
所述账户活动性的所述数据访问是否与所述许可数据访问不一致,以及
所述账户活动性的所述域访问是否与所述许可域不一致。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/014,892 US11159568B2 (en) | 2018-06-21 | 2018-06-21 | Account management using account activity usage restrictions |
US16/014,892 | 2018-06-21 | ||
PCT/US2019/037127 WO2019245882A1 (en) | 2018-06-21 | 2019-06-14 | Account management using account activity usage restrictions |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112334894A true CN112334894A (zh) | 2021-02-05 |
Family
ID=67211859
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980040291.8A Pending CN112334894A (zh) | 2018-06-21 | 2019-06-14 | 使用账户活动性使用限制的账户管理 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11159568B2 (zh) |
EP (1) | EP3811251A1 (zh) |
CN (1) | CN112334894A (zh) |
WO (1) | WO2019245882A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112347425A (zh) * | 2021-01-08 | 2021-02-09 | 同盾控股有限公司 | 基于时间序列的密集子图检测的方法和系统 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11122071B2 (en) * | 2018-06-29 | 2021-09-14 | Forescout Technologies, Inc. | Visibility and scanning of a variety of entities |
CN112487451B (zh) * | 2020-11-30 | 2023-01-17 | 北京字跳网络技术有限公司 | 展示方法、装置和电子设备 |
US11888870B2 (en) | 2021-10-04 | 2024-01-30 | Microsoft Technology Licensing, Llc | Multitenant sharing anomaly cyberattack campaign detection |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1708162A (zh) * | 2004-06-04 | 2005-12-14 | 上海环达计算机科技有限公司 | 移动设备的身份判别方法及系统 |
US20080077489A1 (en) * | 2006-09-21 | 2008-03-27 | Apple Inc. | Rewards systems |
CN106657098A (zh) * | 2016-12-29 | 2017-05-10 | 郑州云海信息技术有限公司 | 一种登录Linux操作系统的认证方法、装置以及系统 |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE60036713T2 (de) | 1999-07-30 | 2008-07-24 | Safewww, Inc. | System und verfahren für gesicherte netzwerkstransaktionen |
US6400270B1 (en) | 2000-11-02 | 2002-06-04 | Robert Person | Wallet protection system |
WO2008094161A1 (en) | 2007-02-02 | 2008-08-07 | Facebook, Inc. | System and method for curtailing objectionable behavior in a web-based social network |
US20110307403A1 (en) * | 2010-06-11 | 2011-12-15 | Arad Rostampour | Systems and method for providing monitoring of social networks |
US9626725B2 (en) | 2010-12-23 | 2017-04-18 | Facebook, Inc. | Using social graph for account recovery |
US8375439B2 (en) * | 2011-04-29 | 2013-02-12 | International Business Machines Corporation | Domain aware time-based logins |
US9529993B2 (en) * | 2012-03-02 | 2016-12-27 | International Business Machines Corporation | Policy-driven approach to managing privileged/shared identity in an enterprise |
US9185095B1 (en) | 2012-03-20 | 2015-11-10 | United Services Automobile Association (Usaa) | Behavioral profiling method and system to authenticate a user |
US20140157382A1 (en) * | 2012-11-30 | 2014-06-05 | SunStone Information Defense, Inc. | Observable authentication methods and apparatus |
KR20140090847A (ko) * | 2013-01-10 | 2014-07-18 | (주)휴맥스 | 사용자 개인 계정을 기반으로 하는 제어 방법, 디바이스 및 시스템 |
CN103973441B (zh) * | 2013-01-29 | 2016-03-09 | 腾讯科技(深圳)有限公司 | 基于音视频的用户认证方法和装置 |
US20150121461A1 (en) * | 2013-10-24 | 2015-04-30 | Cyber-Ark Software Ltd. | Method and system for detecting unauthorized access to and use of network resources with targeted analytics |
US9450955B2 (en) * | 2014-01-13 | 2016-09-20 | Oracle International Corporation | Authenticator for user state management |
US9485271B1 (en) * | 2014-03-11 | 2016-11-01 | Symantec Corporation | Systems and methods for anomaly-based detection of compromised IT administration accounts |
RU2580432C1 (ru) | 2014-10-31 | 2016-04-10 | Общество С Ограниченной Ответственностью "Яндекс" | Способ для обработки запроса от потенциального несанкционированного пользователя на доступ к ресурсу и серверу, используемый в нем |
US9349014B1 (en) | 2015-01-23 | 2016-05-24 | Fmr Llc | Determining an indicator of aggregate, online security fitness |
WO2016177437A1 (en) | 2015-05-05 | 2016-11-10 | Balabit S.A. | Computer-implemented method for determining computer system security threats, security operations center system and computer program product |
US10264001B2 (en) | 2015-08-12 | 2019-04-16 | Wizard Tower TechnoServices Ltd. | Method and system for network resource attack detection using a client identifier |
US10440029B2 (en) | 2015-09-02 | 2019-10-08 | International Business Machines Corporation | Reducing risks associated with recertification of dormant accounts |
KR102436509B1 (ko) | 2015-12-07 | 2022-08-25 | 삼성전자주식회사 | 임시 계정 정보를 제공하는 방법, 장치 및 시스템 |
US20180033089A1 (en) | 2016-07-27 | 2018-02-01 | Intuit Inc. | Method and system for identifying and addressing potential account takeover activity in a financial system |
-
2018
- 2018-06-21 US US16/014,892 patent/US11159568B2/en active Active
-
2019
- 2019-06-14 WO PCT/US2019/037127 patent/WO2019245882A1/en active Application Filing
- 2019-06-14 CN CN201980040291.8A patent/CN112334894A/zh active Pending
- 2019-06-14 EP EP19737332.7A patent/EP3811251A1/en not_active Withdrawn
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1708162A (zh) * | 2004-06-04 | 2005-12-14 | 上海环达计算机科技有限公司 | 移动设备的身份判别方法及系统 |
US20080077489A1 (en) * | 2006-09-21 | 2008-03-27 | Apple Inc. | Rewards systems |
CN106657098A (zh) * | 2016-12-29 | 2017-05-10 | 郑州云海信息技术有限公司 | 一种登录Linux操作系统的认证方法、装置以及系统 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112347425A (zh) * | 2021-01-08 | 2021-02-09 | 同盾控股有限公司 | 基于时间序列的密集子图检测的方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
EP3811251A1 (en) | 2021-04-28 |
WO2019245882A1 (en) | 2019-12-26 |
US20190394240A1 (en) | 2019-12-26 |
US11159568B2 (en) | 2021-10-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3834115B1 (en) | Automated access control policy generation for computer resources | |
EP3854049B1 (en) | Nonce handler for single sign on authentication in reverse proxy solutions | |
US20160142387A1 (en) | Storage for encrypted data with enhanced security | |
US9942208B2 (en) | Updating stored encrypted data with enhanced security | |
US10992658B2 (en) | Client-side native application and browser identification for session control in proxy solutions | |
CN112334894A (zh) | 使用账户活动性使用限制的账户管理 | |
US20200287915A1 (en) | Automated generation and deployment of honey tokens in provisioned resources on a remote computer resource platform | |
US11956239B2 (en) | Identity misconfiguration detection for role-based access control | |
US10922388B2 (en) | Session control for client-side applications in proxy solutions | |
EP4272416A1 (en) | Interim connections for providing secure communication of content between devices | |
US10891385B2 (en) | Encryption at rest for cloud-resourced virtual machines | |
US11100243B2 (en) | Selective persistence of data utilized by software containers | |
US11539828B2 (en) | User interface process flow for posting content on a display device | |
US20230239286A1 (en) | Dynamic attachment of secure properties to machine identity with digital certificates | |
US11983261B2 (en) | Enhance single sign-on flow for secure computing resources | |
US11836250B2 (en) | Identification and mitigation of permissions elevating attack vector | |
US20230239163A1 (en) | Establishing pki chain of trust in air gapped cloud | |
US20220342976A1 (en) | Enhance single sign-on flow for secure computing resources |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |