CN113557541A - 用于临时职位实现模块的方法和装置 - Google Patents
用于临时职位实现模块的方法和装置 Download PDFInfo
- Publication number
- CN113557541A CN113557541A CN202080019139.4A CN202080019139A CN113557541A CN 113557541 A CN113557541 A CN 113557541A CN 202080019139 A CN202080019139 A CN 202080019139A CN 113557541 A CN113557541 A CN 113557541A
- Authority
- CN
- China
- Prior art keywords
- access
- requestor
- machine learning
- learning model
- processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000010801 machine learning Methods 0.000 claims abstract description 104
- 230000008520 organization Effects 0.000 claims abstract description 32
- 238000004891 communication Methods 0.000 claims description 45
- 230000015654 memory Effects 0.000 claims description 25
- 230000035945 sensitivity Effects 0.000 claims description 9
- 230000008569 process Effects 0.000 description 26
- 238000012545 processing Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 14
- 238000005457 optimization Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000003860 storage Methods 0.000 description 7
- 230000008901 benefit Effects 0.000 description 5
- 238000007796 conventional method Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000002776 aggregation Effects 0.000 description 4
- 238000004220 aggregation Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 230000000737 periodic effect Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 230000002085 persistent effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000005304 joining Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 238000012419 revalidation Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Computational Linguistics (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Information Transfer Between Computers (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
提供了用于实现机器学习模型执行模块的各种方法、装置和介质。处理器被配置为生成机器学习模型。所述机器学习模型包括与请求者对一个或多个临时职位的访问权相关的数据。所述处理器接收来自请求者的用以访问机器学习模型中的一个或多个临时职位的请求。所述处理器还确定请求者在组织内的群组或职位成员状态。所述处理器还使用机器学习模型实时动态评估接收到的请求,以基于请求者的成员状态授予或拒绝对一个或多个临时职位的访问权。
Description
相关申请的交叉引用
本申请要求2019年3月6日提交的美国临时专利申请序列号62/814677的权益,其全部内容通过引用结合于此。本申请还要求2020年2月21日提交的美国非临时专利申请序列号16/797520的权益,其全部内容通过引用结合于此。
技术领域
本公开总体涉及临时职位实现模块,更具体地,涉及用于实现动态机器学习模型执行模块的方法和装置,该动态机器学习模型执行模块用于实时动态授予对临时职位的访问权,以显著减少从计算设备接收的请求的处理时间。
背景技术
现今,许多拥有大量员工的公司或组织在职位(role)方面面临困难。例如,公司或组织可以将权限分配给职位,然后将人员(例如,员工)分配到这些职位。在此背景下,职位和群组可以互换使用。然后,每年至少几次,公司或组织可要求对职位具有访问权的人员的管理者重新认证该人员仍然需要该职位。例如,大多数公司或组织也可对敏感区域的访问进行定期重新认证,在此阶段,可要求对该职位具有访问权的人员的管理者确认该人员是否仍然需要具有访问权。对于非常大的公司,拥有非常大量的权限,这可能很快变得运转不灵。
鉴于上述情况,希望提供一种解决方案,以在非常短的时间内有效地处理职位访问和重新认证的请求,从而克服上述缺陷和缺点。
发明内容
本公开通过其各个方面、实施例和/或特定特征或子组件中的一个或多个,除其他外,提供各种用于实现动态机器学习模型执行模块的系统、服务器、设备、方法、介质、程序以及平台,所述动态机器学习模型执行模块用于实时动态授予对临时职位的访问权,以显著减少处理时间。各个方面、实施例、特征和/或子组件提供实现动态机器学习模型执行模块的优化处理,其中,所述动态机器学习模型执行模块可实时动态地确定是否应在请求时授予职位访问权,从而消除了常规技术的生成静态分配权限集的需要,并消除了重新认证处理的需要。根据本公开的示例性实施例的背景,临时职位可意味着不存在静态分配权限集,并且可以在请求时实时(例如,在大约100ms到大约1s的范围内,但本公开不限于此)进行确定是否授予对请求者请求的职位的访问权。根据示例性实施例,本文提及的请求者可以是个人(用户)或应用(服务)或其组合。
本公开通过其各个方面、实施例、特征和/或子组件中的一个或多个,提供实现动态机器学习模型执行模块的优化处理,其中,所述机器学习模型可用于持续审查已发生的访问,以确定访问是否适当,从而将动态机器学习模型执行模块转变为威胁检测系统以及访问管理系统。
如本文所述,各种实施例提供了用于实现动态机器学习模型执行模块的优化处理,其中,所述动态机器学习模型执行模块可自动执行访问有效性的持续重新验证,因此消除了任何周期性人工干预的需要,除非机器学习模型执行模块确定存在差异。根据示例性实施例,当机器学习模型执行模块确定存在差异时,它经由用户界面发送用于接收人工输入的通知以解决差异。
根据本公开的一个方面,公开了一种用于实现机器学习模型执行模块的方法,所述机器学习模型执行模块用于授予对临时职位的访问权。所述方法可包括:由处理器生成机器学习模型,所述机器学习模型包括与请求者对一个或多个临时职位的访问权相关的数据;由所述处理器接收来自请求者的计算设备的用以访问所述机器学习模型内的所述一个或多个临时职位的请求;由所述处理器确定所述请求者在组织内的群组或职位成员状态;以及由所述处理器使用所述机器学习模型实时动态评估接收到的请求,以基于所述请求者的成员状态授予或拒绝对一个或多个临时职位的访问权。
根据本公开的另一方面,所述方法可还包括:在授予或拒绝对一个或多个临时职位的访问权后,动态更新所述机器学习模型。
根据本公开的另一方面,所述方法可还包括:当对一个或多个临时职位的访问权已被拒绝时,由所述处理器向与所述请求者的计算设备不同的管理者的计算设备发送电子通知;由所述处理器自动接收来自所述管理者的计算设备的关于是否授予对一个或多个临时职位的访问权的批准或不批准;以及由所述处理器更新所述机器学习模型,以合并与从所述管理者的计算设备接收到的批准或不批准相关的数据。
根据本公开的另一方面,所述方法可还包括:应用预定义算法以在请求时实时动态确定访问控制,以授予或拒绝对所述请求者请求的职位的访问权。
根据本公开的另一方面,所述方法可还包括:基于以下一个或多个因素动态确定是否应授予访问权:谁创建了职位、其他人对所述职位的使用、组织的报告行或者项目代码或标记、所请求数据的敏感性以及是否提供了任何提示。根据示例性实施例,在动态地确定是否应该授予访问权时,所述机器学习模型可以被配置为准确地学习哪些属性和什么权重与访问确定相关。例如,所述机器学习模型可被配置为确定机器学习模型在确定所请求访问的适当性时将利用哪些属性和权重。
根据本公开的另一方面,所述方法可还包括:基于确定所述请求者请求的数据是否符合应用于所述数据的预定义分类方案,动态确定是否应授予访问权。
根据本公开的另一方面,所述方法可还包括:基于请求者的背景身份,动态确定是否应授予访问权。
根据本公开的另一方面,公开了一种用于实现机器学习模型执行模块的系统,所述机器学习模型执行模块用于授予对临时职位的访问权。所述系统包括:存储器;以及处理器,经由通信网络操作地连接到所述存储器,其中,所述处理器可被配置为:生成机器学习模型,所述机器学习模型包括与请求者对一个或多个临时职位的访问权相关的数据;接收来自请求者的计算设备的访问所述机器学习模型内的所述一个或多个临时职位的请求;确定所述请求者在组织内的群组或职位成员状态;以及使用所述机器学习模型实时动态评估接收到的请求,以基于所述请求者的成员状态授予或拒绝对一个或多个临时职位的访问权。
根据本公开的另一方面,所述处理器可还配置为:在授予或拒绝对一个或多个临时职位的访问权后,动态更新所述机器学习模型。
根据本公开的另一方面,所述处理器可还配置为:在对一个或多个临时职位的访问权已被拒绝时,向与所述请求者的计算设备不同的管理者的计算设备发送电子通知;自动接收来自所述管理者的计算设备的关于是否授予对一个或多个临时职位的访问权的批准或不批准;及更新所述机器学习模型,以合并与从所述管理者的计算设备接收到的批准或不批准相关的数据。
根据本公开的另一方面,所述处理器可还配置为:应用预定义算法以在请求时实时动态确定访问控制,以授予或拒绝对所述请求者请求的职位的访问权。
根据本公开的另一方面,所述处理器可还配置为:基于以下一个或多个因素动态确定是否应授予访问权:谁创建了职位、其他人对所述职位的使用、组织的报告行或者项目代码或标记、所请求数据的敏感性以及是否提供了任何提示。
根据本公开的另一方面,所述处理器可还配置为:基于确定所述请求者请求的数据是否符合应用于所述数据的预定义分类方案,动态确定是否应授予访问权。
根据本公开的另一方面,所述处理器可还配置为:基于请求者的背景身份,动态确定是否应授予访问权。
根据本公开的另一方面,公开了一种非暂时性计算机可读介质,其被配置为存储用于实现机器学习模型执行模块的指令,所述机器学习模型执行模块用于授予对临时职位的访问权。所述指令在被执行时,可促使处理器执行以下操作:生成机器学习模型,所述机器学习模型包括与请求者对一个或多个临时职位的访问权相关的数据;接收来自请求者的计算设备的访问所述机器学习模型内的所述一个或多个临时职位的请求;确定所述请求者在组织内的群组或职位成员状态;以及使用所述机器学习模型实时动态评估接收到的请求,以基于所述请求者的成员状态授予或拒绝对一个或多个临时职位的访问权。
根据本公开的另一方面,所述指令在被执行时,可还促使所述处理器执行以下操作:在授予或拒绝对一个或多个临时职位的访问权后,动态更新所述机器学习模型。
根据本公开的另一方面,所述指令在被执行时,可还促使所述处理器执行以下操作:在对一个或多个临时职位的访问权已被拒绝时,向与所述请求者的计算设备不同的管理者的计算设备发送电子通知;自动接收来自所述管理者的计算设备的关于是否授予对一个或多个临时职位的访问权的批准或不批准;及更新所述机器学习模型,以合并与从所述管理者的计算设备接收到的批准或不批准相关的数据。
根据本公开的另一方面,所述指令在被执行时,可还促使所述处理器执行以下操作:应用预定义算法以在请求时实时动态确定访问控制,以授予或拒绝对所述请求者请求的职位的访问权。
根据本公开的另一方面,所述指令在被执行时,可还促使所述处理器执行以下操作:基于以下一个或多个因素动态确定是否应授予访问权:谁创建了职位、其他人对所述职位的使用、组织的报告行或者项目代码或标记、所请求数据的敏感性以及是否提供了任何提示。
根据本公开的另一方面,所述指令在被执行时,可还促使所述处理器执行以下操作:基于确定所述请求者请求的数据是否符合应用于所述数据的预定义分类方案,动态确定是否应授予访问权。
根据本公开的另一方面,所述指令在被执行时,可还促使所述处理器执行以下操作:基于请求者的背景身份,动态确定是否应授予访问权。
附图说明
在以下的详细描述中,通过本公开的优选实施例的非限制性示例,参考所述多个附图,进一步描述了本公开,在若干附图的视图中,相似的附图标记表示相似的要素。
图1示出了根据示例性实施例的用于实现动态机器学习模型执行模块的计算机系统。
图2示出了根据示例性实施例的具有动态机器学习模型执行模块的网络环境的示例图。
图3示出了没有动态机器学习模型执行模块的传统系统的示例框图。
图4示出了根据示例性实施例的具有动态机器学习模型执行模块的系统的示例框图。
图5示出了根据示例性实施例的用于实现动态机器学习模型执行模块的示例性处理的流程图。
图6示出了根据示例性实施例的用于实现动态机器学习模型执行模块的示例性处理的流程图。
具体实施方式
通过本公开的一个或多个方面,本公开的实施例和/或特定特征或子组件旨在实现上文和下文具体描述的一个或多个优点。
这些示例还可以实现为一个或多个非暂时性计算机可读介质,其上存储有本技术的一个或多个方面的指令,如本文示例所描述和所示出的。一些示例中的指令包括可执行代码,在由一个或多个处理器执行时,所述可执行代码使处理器执行实现本文描述和示出的该技术示例的方法所必需的步骤。
如同本公开领域的传统方式,在附图中,根据功能块、单元和/或模块,描述和示出了示例性实施例。本领域技术人员将理解,这些块、单元和/或模块由电子(或光学)电路物理实现,例如逻辑电路、分立元件、微处理器、硬接线电路、存储器元件、布线连接等,可使用基于半导体的制造技术或其他制造技术形成。在由微处理器或类似装置实现的块、单元和/或模块的情况下,可以使用软件(例如,微码)对它们进行编程以执行本文讨论的各种功能,并且可以任选地由固件和/或软件驱动。可选地,每个块、单元和/或模块可以由专用硬件实现,或者作为执行一些功能的专用硬件和执行其他功能的处理器的组合(例如,一个或多个编程微处理器和相关电路)。此外,示例性实施例的每个块、单元和/或模块可以物理上分离为两个或多个相互作用和离散的块、单元和/或模块,而不脱离本发明构思的范围。此外,示例性实施例的块、单元和/或模块可以物理地组合成更复杂的块、单元和/或模块,而不脱离本公开的范围。
诸如“基本上”、“大约”或“近似”等术语可反映仅以较小的相对方式和/或以不会显著改变某些元件的操作、功能或结构的方式变化的数量、大小、方向或布局。例如,从“约0.1到约1”的范围可以涵盖诸如0.1周围的0%-5%偏差和1周围的0%-5%偏差的范围,特别是如果这种偏差保持与所列范围相同的效果。
图1是根据本文所述的实施例使用的示例性系统。系统100被一般性地示出并且可包括计算机系统102,其被一般性地指示。
计算机系统102可包括一组指令,所述指令可以被执行,以使计算机系统102单独或与其他描述的设备组合执行本文中公开的任何一个或多个方法或基于计算机的功能。计算机系统102可以作为独立设备操作,或者可以连接到其他系统或外围设备。例如,计算机系统102可以包括或被包括在任何一个或多个计算机、服务器、系统、通信网络或云环境中。更进一步地,所述指令可以在这种基于云的计算环境中操作。
在网络部署中,计算机系统102可以以服务器的能力运行,或者作为服务器-客户端用户网络环境中的客户端用户计算机、云计算环境中的客户端用户计算机、或者作为对等(或分布式)网络环境中的对等计算机系统运行。计算机系统102或其部分可实现为或并入各种设备,例如个人计算机、平板计算机、机顶盒、个人数字助理、移动设备、掌上电脑、膝上电脑、台式计算机、通信设备、无线智能电话、个人受信任设备、可穿戴设备、全球定位卫星(GPS)设备、web设备或能够执行一组指令(顺序或其他)的任何其他机器,这些指令指定了该机器要执行的操作。此外,虽然示出了单个计算机系统102,但附加实施例可包括单独或联合执行指令或执行功能的系统或子系统的任何集合。在本公开中,术语“系统”应包括单独或联合执行一组或多组指令以执行一个或多个计算机功能的系统或子系统的任何集合。
如图1所示,计算机系统102可以包括至少一个处理器104。处理器104是有形的和非暂时性的。如本文所用,“非暂时性”一词不应解释为永恒的状态特征,而应解释为将持续一段时间的状态特征。术语“非暂时性”明确否认短暂性特征,例如特定载波或信号的特征或在任何时间在任何地方仅暂时存在的其他形式。处理器104是制造品和/或机器部件。处理器104被配置为执行软件指令,以执行本文各种实施例中描述的功能。处理器104可以是通用处理器,或者可以是专用集成电路(ASIC)的一部分。处理器104还可以是微处理器、微型计算机、处理器芯片、控制器、微控制器、数字信号处理器(DSP)、状态机或可编程逻辑器件。处理器104还可以是逻辑电路,包括诸如现场可编程门阵列(FPGA)的可编程门阵列(PGA),或者包括离散门和/或晶体管逻辑的另一类型的电路。处理器104可以是中央处理单元(CPU)、图形处理单元(GPU)或两者。此外,本文描述的任何处理器可包括多个处理器、并行处理器或两者。多个处理器可以包括在单个设备或多个设备中,或者耦接到单个设备或多个设备。
计算机系统102还可包括计算机存储器106。计算机存储器106可包括通信中的静态存储器、动态存储器或两者。本文描述的存储器是可存储数据和可执行指令的有形存储介质,并且在其中存储指令期间是非暂时性的。同样,如本文所用,“非暂时性”一词不应解释为永恒的状态特征,而应解释为将持续一段时间的状态特征。术语“非暂时性”明确否认短暂性特征,例如特定载波或信号的特征或在任何时间在任何地方仅暂时存在的其他形式。存储器是制造品和/或机器部件。本文描述的存储器是计算机可读介质,计算机可以从中读取数据和可执行指令。本文所述的存储器可以是随机存取存储器(RAM)、只读存储器(ROM)、闪存、电可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、寄存器、硬盘、高速缓存、可移动磁盘、磁带、光盘只读存储器(CD-ROM)、数字多功能磁盘(DVD)、软盘、蓝光盘或本领域已知的任何其他形式的存储介质。存储器可以是易失性或非易失性的、安全的和/或加密的、不安全的和/或未加密的。当然,计算机存储器106可以包括存储器的任意组合或单个存储器。
计算机系统102还可包括视频显示器108,例如液晶显示器(LCD)、有机发光二极管(OLED)、平板显示器、固态显示器、阴极射线管(CRT)、等离子体显示器或任何其他已知显示器。
计算机系统102还可包括至少一个输入设备110,例如键盘、触敏输入屏幕或键盘、语音输入、鼠标、具有无线键盘的远程控制设备、耦接到语音识别引擎的麦克风、摄像机(例如,摄像机或静止摄像机)、光标控制设备、全球定位系统(GPS)设备、高度表、陀螺仪、加速计、接近传感器或其任何组合。本领域技术人员理解,计算机系统102的各种实施例可以包括多个输入设备110。此外,本领域技术人员还理解,上述示例性输入设备110并不意味着是详尽的,并且计算机系统102可以包括任何附加的或替代的输入设备110。
计算机系统102还可以包括介质读取器112,介质读取器112被配置为从本文所述的任何存储器读取任何一组或多组指令,例如软件。当由处理器执行时,这些指令可用于执行本文所述的一个或多个方法和处理。在特定实施例中,在计算机系统102执行期间,指令可完全或至少部分地驻留在存储器106、介质读取器112和/或处理器110内。
此外,计算机系统102可包括任何附加设备、组件、部件、外围设备、硬件、软件或其任何组合,这些设备、组件、部件、外围设备、硬件、软件或其任何组合通常已知并被理解为包括在计算机系统中或包含在计算机系统内,例如但不限于:网络接口114和输出设备116。输出设备116可以是但不限于扬声器、音频输出、视频输出、遥控输出、打印机或其任何组合。
计算机系统102的每个组件可以通过总线118或其他通信链路互连和通信。如图1所示,各组件可以互连并通过内部总线进行通信。然而,本领域技术人员理解,任何组件也可以通过扩展总线连接。此外,总线118可以通过任何标准或其他通常已知和理解的规范(例如但不限于外围组件互连、外围组件互连直通、并行高级技术附件、串行高级技术附件等)实现通信。
计算机系统102可以通过网络122与一个或多个附加计算机设备120通信。网络122可以是但不限于局域网、广域网、互联网、电话网络、短程网络或本领域公知和理解的任何其他网络。短程网络可包括例如蓝牙、Zigbee、红外、近场通信、超宽带或其任何组合。本领域技术人员理解,可以另外或替代地使用已知和理解的附加网络122,并且示例性网络122不是限制性的或详尽的。此外,尽管网络122在图1中被示为无线网络,但本领域技术人员理解,网络122也可以是有线网络。
附加计算机设备120在图1中示出为个人计算机。然而,本领域技术人员理解,在本申请的替代实施例中,计算机设备120可以是膝上型计算机、平板电脑、个人数字助理、移动设备、掌上电脑、台式计算机、通信设备、无线电话、个人可信设备、web设备、能够执行一组指令(顺序指令或其他指令)的服务器或任何其他设备,这些指令指定该设备要执行的操作。当然,本领域技术人员理解,以上列出的设备仅仅是示例性设备,并且在不脱离本申请的范围的情况下,设备120可以是本领域中公知和理解的任何附加设备或装置。例如,计算机设备120可以与计算机系统102相同或相似。此外,本领域技术人员同样理解,该设备可以是设备和装置的任意组合。
当然,本领域技术人员理解,计算机系统102的上述组件只是示例性的,而不是详尽和/或包含性的。此外,以上列出的组件的示例也意味着是示例性的,类似地,并不意味着是详尽的和/或包含性的。
根据本公开的各种实施例,本文描述的方法可以使用执行软件程序的硬件计算机系统来实现。此外,在示例性、非限制性实施例中,实施方式可以包括分布式处理、组件/对象分布式处理和并行处理。虚拟计算机系统处理可被构造为实现本文所述的方法或功能中的一个或多个,并且本文所述的处理器可用于支持虚拟处理环境。
如本文所述,各种实施例提供了用于实现动态机器学习模型执行模块的优化过程,其中动态机器学习模型执行模块可实时动态确定是否应在请求时授予对职位的访问权,从而消除了生成静态分配的权限集的常规需要,并消除了重新认证过程的需要。例如,通常,组织手动让其员工查看权限以确定是否合适。然而,如本文所述,各种实施例提供了用于实现动态机器学习模型执行模块的优化过程,其中动态机器学习模型执行模块可自动执行访问权有效性的持续重新验证,因此,消除了任何定期人工干预的需要,除非机器学习模型执行模块确定差异。根据示例性实施例,当机器学习模型执行模块确定差异时,它通过用户界面发送用于接收人工输入的通知以解决差异。
参考图2,用于实现动态机器学习模型执行模块的优化过程的示例性网络环境200的示意图,其中动态机器学习模型执行模块可实时动态确定是否应在请求时授予对职位的访问权。
根据示例性实施例,通过实现如图2所示的动态机器学习模型执行模块(DMLMEM)202,可以促进处理访问职位的访问请求的处理时间的显著减少。DMLMEM 202可以与如关于图1所述的计算机系统102相同或相似。DMLMEM 202可以存储可包括可执行指令的一个或多个应用,当由DMLMEM 202执行时,该可执行指令使DMLMEM 202执行动作,例如发送、接收或以其他方式处理网络消息,并执行下面参考附图描述和示出的其他动作。应用可以实现为其他应用的模块或组件。此外,应用可实现为操作系统扩展、模块、插件等。
更进一步,应用可以在基于云的计算环境中运行。应用可以在基于云的计算环境中可管理的虚拟机或虚拟服务器内或作为虚拟机或虚拟服务器执行。此外,应用,甚至DMLMEM 202本身,可以位于在基于云的计算环境中运行的虚拟服务器中,而不是绑定到一个或多个特定物理网络计算设备。此外,应用可以在DMLMEM 202上执行的一个或多个虚拟机(VM)中运行。此外,在这种技术的一个或多个实施例中,在DMLMEM 202上运行的虚拟机可以由虚拟机监控程序管理或监督。
在图2的网络环境200中,DMLMEM 202耦接到承载多个数据库206(1)-206(n)的多个服务器设备204(1)-204(n),并且还经由通信网络210耦接到多个客户端设备208(1)-208(n),诸如图1的计算机系统102的网络接口114,在DMLMEM 202、服务器设备204(1)-204(n)和/或客户端设备208(1)-208(n)之间操作地耦接和通信,所有这些设备都由通信网络210耦接在一起,但本公开不限于此。例如,还可以使用其他类型和/或数量的通信网络或系统,其具有到其他设备和/或元件的其他类型和/或数量的连接和/或配置。根据示例性实施例,在对服务要进行消费时,在图2的网络环境200中,DMLMEM 202可耦接到各种API、数据存储、数据库或可能需要授权的任何服务。
尽管DMLMEM 202、服务器设备204(1)-204(n)和/或客户端设备208(1)-208(n)可以经由其他拓扑结构耦接在一起,但通信网络210可以与关于图1所述的网络122相同或相似。此外,网络环境200可以包括其他网络设备,例如一个或多个路由器和/或交换机,这在本领域中是众所周知的,因此在此将不进行描述。这种技术提供了许多优点,包括方法、非暂时性计算机可读介质和DMLMEM,它们可以有效地将来自同一浏览器的多个客户端-服务器连接组合成每个浏览器的单个连接,以改善网络通信并降低功耗。
仅作为示例,通信网络210可以包括局域网(LAN)或广域网(WAN),并且可以使用以太网上的TCP/IP和行业标准协议,尽管可以使用其他类型和/或数量的协议和/或通信网络。本示例中的通信网络210可采用任何适当的接口机制和网络通信技术,包括例如任何适当形式的电信业务(例如,语音、调制解调器等)、公共交换电话网(PSTN)、基于以太网的分群组数据网(PDN)、其组合等。
DMLMEM 202可以是独立设备,也可以与一个或多个其他设备或装置集成,例如服务器设备204(1)-204(n)中的一个或多个。在一个特定示例中,DMLMEM 202可以包括服务器设备204(1)-204(n)中的一个或由其承载,并且还可以进行其他布置。此外,例如,DMLMEM202的一个或多个设备可以位于包括一个或多个公共、私有或云网络的相同或不同的通信网络中。
多个服务器设备204(1)-204(n)可以与关于图1描述的计算机系统102或计算机设备120相同或相似,包括关于其描述的任何特征或特征组合。例如,服务器设备204(1)-204(n)中的任何一个可以包括,除其他特征外,一个或多个处理器、存储器和通信接口,它们通过总线或其他通信链路耦接在一起,尽管可以使用其他数量和/或类型的网络设备。该示例中的服务器设备204(1)-204(n)可以根据例如基于HTTP和/或JavaScript对象表示法(JSON)协议处理经由通信网络210从DMLMEM 202接收的请求,尽管也可以使用其他协议。
服务器设备204(1)-204(n)可以是硬件或软件,或者可以表示池中具有多个服务器的系统,其中可以包括内部或外部网络。服务器设备204(1)-204(n)承载被配置为存储元数据集、数据质量规则和新生成的数据的数据库206(1)-206(n)。
尽管服务器设备204(1)-204(n)被示出为单个设备,但是服务器设备204(1)-204(n)各自的一个或多个动作可以分布在共同包括一个或多个服务器设备204(1)-204(n)的一个或多个不同的网络计算设备上。此外,服务器设备204(1)-204(n)不限于特定配置。因此,服务器设备204(1)-204(n)可以包含使用主/从方法操作的多个网络计算设备,其中服务器设备204(1)-204(n)的一个网络计算设备操作以管理和/或以其他方式协调其他网络计算设备的操作。
例如,服务器设备204(1)-204(n)可以作为集群架构、对等架构、虚拟机或云架构内的多个网络计算设备运行。因此,本文公开的技术不应被解释为限于单个环境,并且还设想了其他配置和架构。
多个客户端设备208(1)-208(n)也可以与关于图1描述的计算机系统102或计算机设备120相同或相似,包括关于其描述的任何特征或特征组合。在此上下文中,客户端设备指与通信网络210接口以从一个或多个服务器设备204(1)-204(n)或其他客户端设备208(1)-208(n)获取资源的任何计算设备。
根据示例性实施例,该示例中的客户端设备208(1)-208(n)可包括可促进DMLMEM202的实现的任何类型的计算设备,该DMLMEM 202可有效地优化处理,以显著减少对职位请求授予访问权的处理时间以及消除对某些职位重新认证的需要。客户端设备208(1)-208(n)可以是移动计算设备、桌面计算设备、膝上型计算设备、平板计算设备、虚拟机(包括基于云的计算机)等,其例如可以执行主机对话操作、电子邮件操作或语音到文本应用。
客户端设备208(1)-208(n)可以运行接口应用,例如标准web浏览器或独立客户端应用,这些应用可以提供接口以经由通信网络210与DMLMEM 202通信,从而传送用户请求。客户端设备208(1)-208(n)还可以包括,除其他特征外,例如,诸如显示屏或触摸屏的显示设备和/或诸如键盘的输入设备。
尽管本文描述和示出了具有DMLMEM 202、服务器设备204(1)-204(n)、客户端设备208(1)-208(n)和通信网络210的示例性网络环境200,但也可以使用其他拓扑结构中的其他类型和/或数量的系统、设备、组件和/或元件。应理解,本文描述的示例的系统用于示例性目的,因为用于实现示例的特定硬件和软件的许多变化是可能的,这将由相关领域的技术人员理解。
例如,网络环境200中描述的一个或多个设备,例如DMLMEM 202、服务器设备204(1)-204(n)或客户端设备208(1)-208(n),可以配置为在同一物理机上作为虚拟实例操作。例如,DMLMEM 202、服务器设备204(1)-204(n)或客户端设备208(1)-208(n)中的一个或多个可以在同一物理设备上操作,而不是作为通过通信网络210进行通信的单独设备。此外,可有更多或更少的DMLMEM 202、服务器设备204(1)-204(n)或客户端设备208(1)-208(n),不同于图2中所示。
此外,在任何示例中,两个或更多个计算系统或设备可替代任何一个系统或设备。因此,还可以根据需要实现诸如冗余和复制之类的分布式处理的原理和优点,以增加示例的设备和系统的鲁棒性和性能。这些示例还可以在使用任何合适的接口机制和业务技术扩展到任何合适网络的计算机系统上实现,例如仅包括任何合适形式的远程业务(例如,语音和调制解调器)、无线业务网络、蜂窝业务网络、分群组数据网络(PDN)、互联网、内部网及其组合。
图3示出了传统系统的示例框图,该系统示出了没有动态机器学习模型执行模块的计算设备。如图3所示,系统300可包括可经由通信网络310耦接到服务器305的计算设备301,通信网络310可以是如上参考图2所公开的通信网络210。为了访问可从服务器305访问的信息,一个或多个浏览器应用(浏览器)可在计算设备301上运行。浏览器可被配置为在计算设备301的本地操作系统内运行。
如图3所示,传统系统300可以包括用户的计算设备301、管理员的计算设备303、批准模块304、服务器305、重新批准模块307、群组所有者的管理员模块309、文件存储模块313、使用模块311和通信网络310。
通常,在加入组织时或当用户使用用户的计算设备301请求访问职位的新权限时,管理者的计算设备303接收此类请求(例如,通过手动票据请求)。管理者的计算设备303可由用户的管理者或主管使用。管理者或主管可以手动审查请求,并通过计算设备303发送他/她的关于用户对访问职位的批准或不批准的决定,以存储在批准模块304中。通常,除了管理者的批准之外,职位的所有者/群组所有者可能还必须批准或不批准访问请求,并将该决定存储到批准模块304中。一旦批准,用户可以通过经由通信网络310和服务器305利用使用模块311和文件存储模块313访问职位。
根据如图3所示的传统系统300,为了确保访问职位的权限保持在最低,可以有规律性重新认证周期,其可发生以确保对职位的访问权可只提供给仍然需要的。例如,在重新认证周期期间,用户的计算设备301可以向管理者的计算设备303发送用户仍然需要访问职位的请求。管理者的计算设备303重新批准该请求,并向重新批准模块307发送用户已被重新批准访问职位的通知。这种手动处理可能需要每个人(例如,用户的管理者)花费至少几分钟来审查,这对于大型组织而言,管理者不得不对组织内的大量用户进行批准,可导致大量时间的浪费。此外,当用户移动或离开组织时,必须将该用户拥有的任何群组/职位转移给其他人。可通过群组所有者的管理者模块309询问即将离职的用户的管理者,谁应该被分配到离职用户拥有的群组/职位。这种手动过程也可能需要大量的浪费时间。如果离职用户的管理者未确定应将谁分配给离职用户拥有的群组/职位,则默认情况下,离职用户的管理者可能成为此类群组/职位的所有者。当离职用户的管理者离开组织,并且该管理者的管理者可能最终拥有群组/职位时,此问题可能会永久存在。最终,首席执行官(CEO)将拥有所有群组/职位。这会在批准或不批准访问职位的请求时造成不必要的复杂性,并且可能很快变得非常不便。
本公开的各个方面、实施例、特征和/或子组件提供了实现动态机器学习模型执行模块的优化处理,其中,动态机器学习模型执行模块可实时动态确定是否应在请求时授予职位访问权,从而消除了常规技术的生成静态分配权限集的需要,并且消除了重新认证处理的需要。
根据如图3所示的常规系统300,职位可以是静态的。静态职位可能仅偶尔更新,例如,通过来自个人(用户)的手动票证请求,或者可能由于用户未使用职位而自动删除。如上通过参考图3所述,大多数组织还可以执行对敏感区域的访问的周期性重新认证,这需要用户的管理者手动重新确认是否仍然需要这种访问。
不同于常规系统,根据示例性实施例,通过利用本发明的DMLMEM202,可以实时(例如,近实时)动态地授予访问职位(动态职位)的决定。根据示例性实施例,基于个人使用(例如,如图4所示的计算设备401的请求者)或被视为在同一集群/群组中的其他请求者的使用,实时动态地提供(或移除)对职位的访问权。根据示例性实施例,本文提及的请求者可以是个人(用户)或应用(服务)或其组合。根据示例性实施例,在本公开的上下文中,用户也可以被称为应用。
图4示出了根据示例性实施例的具有动态机器学习模型执行模块的系统的示例性框图。
如图4所示,系统400可以包括请求者的计算设备401,其可以经由通信网络410耦接到动态机器学习模型执行模块(DMLMEM)403和一个或多个服务器。DMLMEM 403还可以耦接到管理者的计算设备415。在本公开的上下文中,请求者的计算设备401可由请求者使用,而管理者的计算设备415可由请求者的管理者或主管使用。通信网络410可以是本文参考图2公开的通信网络210。与常规系统不同,本公开的请求者的计算设备401和管理者的计算设备415可以配置为实现DMLMEM 403,该DMLMEM 403可以实时(例如,在100ms内)动态地授予或拒绝对职位的访问,从而消除了常规技术的生成静态分配权限集的需要,并消除了常规技术的重新认证过程的需要。
根据示例性实施例,DMLMEM 403可配置为自动执行访问有效性的持续重新验证,从而消除任何周期性人工干预的需要,除非DMLMEM 403确定存在差异。根据示例性实施例,当DMLMEM 403确定差异时,它经由嵌入在用户的计算设备401或管理者的计算设备415内的用户接口发送用于接收人工输入的通知以解决差异。根据示例性实施例,解决差异的批准可由请求者的管理者或目标(数据库/服务)的所有者或两者提供。根据示例性实施例,如图3所示,类似的批准模块303可以嵌入在用户的计算设备401、管理者的计算设备和/或目标(数据库/服务)计算设备中,并且这种批准模块可以用于对差异进行批准。
根据示例性实施例,DMLMEM 403可包括模型生成模块407、模型执行模块409、模型更新模块411和通信模块413。根据示例性实施例,模型生成模块407、模型执行模块409、模型更新模块411以及通信模块413各自可以由微处理器或类似物实现,并且可以使用软件(例如,微码)编程以执行本文讨论的各种功能,并且可以任选地由固件和/或软件驱动。可选地,模型生成模块407、模型执行模块409、模型更新模块411和通信模块413中的每一个都可以由专用硬件实现,或者作为执行一些功能的专用硬件和执行其他功能的处理器(例如,一个或多个已编程微处理器和相关电路)的组合。
根据示例性实施例,模型生成模块407可生成机器学习模型。机器学习模型可以包括与请求者对一个或多个临时职位的访问相关的数据。根据本公开的示例性实施例的上下文,临时职位可意味着不存在静态分配权限集,并且可由请求者的计算设备401的请求者在请求时实时(例如,在约100ms到约1s的范围内,但本公开不限于此)进行确定是否授予对请求者请求的职位的访问权。
DMLMEM 403可接收来自请求者的访问机器学习模型内的一个或多个临时职位的请求。模型执行模块409可确定请求者在组织内的群组或职位成员状态;并且可以使用机器学习模型实时动态地评估所接收的请求,以基于成员状态授予或拒绝对一个或多个临时职位的访问权。通信模块413可用于在DMLMEM 403和通信网络410以及使用服务器417、人力资源(HR)数据服务器419、文件服务器421、分类服务器425和汇聚服务器423中的每一个之间建立通信,但本公开不限于此。例如,根据示例性实施例,由模型生成模块407生成的机器学习模型可以使用来自适用于公司环境、当前目标的操作状态、组织威胁状态、或有关当前操作威胁环境的模型的其他输入的许多其他来源的关于请求者(用户或应用)和目标(例如,数据库/服务)两者的属性。
根据示例性实施例,模型更新模块411在授予或拒绝对由模型执行模块409执行的一个或多个临时职位的访问权后,实时动态更新由模型生成模块407生成的机器学习模型。根据示例性实施例,在学习模式下,DMLMEM 403可用作推荐引擎以建议对于所请求访问权的适用性,直到确定由模型生成模块407生成的机器学习模型授予或拒绝所请求访问权的准确性与人工确定相比足够高。根据示例性实施例,所谓“足够高”可基于组织的风险容限来确定。
根据示例性实施例,当对一个或多个临时职位的访问已被模型执行模块409拒绝时,DMLMEM 403可经由通信模块413向管理器的计算设备415发送电子通知。根据示例性实施例,电子通知可以是电子邮件、SMS、弹出消息、推送通知等形式,但本公开不限于此。
DMLMEM 403可经由通信模块413自动接收来自使用管理者的计算设备415的管理者的关于是否授予对一个或多个临时职位的访问权的批准或不批准。模型更新模块411可更新由模型生成模块407生成的机器学习模型,以合并与管理者的批准或不批准相关的数据。更新后的模型可存储在使用服务器417中。使用服务器417可从文件服务器421和汇聚服务器423访问与请求者相关的数据。分类服务器425可包括与应用于包括请求者信息数据的文件的标签相关的数据及应用于包括请求者信息数据的页面相关的数据。文件服务器421可访问来自分类服务器425的与应用于包括请求者信息数据的文件的标签相关的数据。汇聚服务器423可访问来自分类服务器425的与应用于包括请求者信息数据的页面的标签相关的数据。HR数据服务器419可存储敏感数据,例如,与请求者的就业状态、工资、特定职位的安全许可等相关的数据。
根据示例性实施例,DMLMEM 403可通过动态实时评估来自使用服务器417、HR数据服务器419、文件服务器421、汇聚服务器423和分类服务器425的所有数据来确定是否应授予访问职位的访问权。DMLMEM 403实时动态确定可以基于以下一个或多个因素:谁创建了职位、其他人对职位的使用、组织报告行或项目代码或标签、数据的敏感性以及是否提供了任何提示。
根据示例性实施例,当DMLMEM 403确定机器学习模型没有足够的信息来确定访问控制时,DMLMEM 403可以电子地向多个计算设备发送通知,以向DMLMEM 403发送关于特定访问请求场景的提示,并经由计算设备接收关于提示的额外数据的输入,以对访问控制进行最终确定。根据示例性实施例,当DMLMEM 403确定机器学习模型没有足够的数据来对访问控制进行最终确定时,它可以不执行从计算设备接收的提示。相反,DMLMEM 403向请求者的计算设备发送电子通知,通知DMLMEM 403不能自动确定对临时职位的访问请求的批准或不批准,并且它需要人工请求者的输入来确定对访问请求的批准或不批准。
根据示例性实施例,以下可包括当模型更新模块411更新或修改由模型生成模块407生成的模型时的特定示例(例如,特定事件):当请求者更换工作或更换同一组织内的部门时(应删除其以前的所有访问权,并基于其将加入的新集群提供新的访问权);开发人员开始新项目(现在他们需要能够为另一应用编写代码)。需要授予对代码存储库的访问权以提交代码(写而不是读);作为组织部门的一部分创建了新项目,例如投资银行业务(所有投资银行业务请求者和集团执行官都应该能够访问组织的这个新部门);人力资源部创建了新计划,为所有副总裁(VP)人员提供培训(所有VP应能够访问此新计划);以前分类为受限的数据现在分类为高度受限(所有员工都可以看到受限数据,但高度受限需要额外权限)。
根据示例性实施例,本公开的DMLMEM 403还可以基于请求者的背景身份(contextual identity)授予或拒绝对职位的访问权。例如,背景身份可与只有一个请求者的概念有关,但是该请求者应具有不同级别的访问权,这取决于请求者在哪个环境(例如,背景)中操作。因此,当请求者在其办公桌上操作时,该请求者应具有特定级别的访问权。然而,当请求者在通过VPN连接的家庭计算机上操作时,可具有其他级别的访问权。例如,请求者现在接到通知离开组织,但突然该请求者开始访问销售数据库中的每个线索(lead)。请求者的背景现在可能不再是完全信任的员工的背景。本公开的DMLMEM 403被配置为动态地确定请求者的这些活动,并且可以基于请求者的背景身份实时地授予或拒绝对职位的访问权,如上文所公开的。
根据示例性实施例,可能不需要重新认证请求者对职位的访问权。例如,每当某物变化时,无论是添加到个人的新项目还是新数据段被分类(或重新分类),本公开的DMLMEM403可以动态地确定谁应具有访问权(并由此延伸确定谁不应具有访问权)。
根据示例性实施例,本公开的DMLMEM 403还可应用预定义算法,以在请求时实时动态确定访问控制,以授予或拒绝对请求者请求的职位的访问权。
根据示例性实施例,本公开的DMLMEM 403还可基于确定请求者请求的数据是否符合应用于数据的预定义分类方案,实时动态地确定是否应授予访问权。根据示例性实施例,预定义的分类方案可以包括基于确定所请求的数据是否已经在公共域中或者该数据是否高度机密(可能仅需要组织内的授权人员访问)来对数据进行分类的规则。根据示例性实施例,预定义分类方案还可包括与请求者对数据的访问级别相对应的各种分类级别。例如,一个请求者可具有较低级别的访问权,该较低级别的访问权可允许请求者仅访问非机密/非敏感数据,而另一个请求者可具有较高级别的访问权,该较高级别的访问权可允许请求者访问机密/敏感数据和非机密/非敏感数据。
根据示例性实施例,非暂时性计算机可读介质可被配置为存储用于实现DMLMEM403以授予对临时职位的访问权的指令。根据示例性实施例,所述指令在被执行时,可使嵌入在DMLMEM 403内的处理器执行以下操作:生成机器学习模型,所述机器学习模型包括与请求者对一个或多个临时职位的访问权相关的数据;从请求者的计算设备接收请求以访问机器学习模型内的一个或多个临时职位;确定请求者在组织内的群组或职位成员状态;以及使用机器学习模型实时动态地评估所接收的请求,以基于请求者的成员状态授予或拒绝对一个或多个临时职位的访问。处理器可以与如图1所示的处理器104相同或相似,或者与如图2所示的嵌入在防欺诈应用模块202中的处理器相同或相似,或者与图4所示的嵌入在DMLMEM403中的处理器相同或相似。
根据示例性实施例,所述指令在被执行时,可进一步导致处理器104在授予或拒绝对一个或多个临时职位的访问权后实时动态更新机器学习模型。
根据示例性实施例,所述指令在被执行时,可进一步促使处理器104执行以下操作:当拒绝对一个或多个临时职位的访问权时,向管理者的计算设备(不同于请求者的计算设备)发送电子通知;自动从管理者的计算设备接收关于是否授予对一个或多个临时职位的访问权的批准或不批准;及实时更新机器学习模型,以合并与从管理者的计算设备接收到的批准或不批准相关的数据,但本公开不限于此。
根据示例性实施例,所述指令在被执行时,可进一步促使处理器104应用预定义算法以在请求时实时动态确定访问控制,以授予或拒绝对请求者请求的职位的访问权,但本公开不限于此。
根据示例性实施例,所述指令在被执行时,可进一步促使处理器104基于以下一个或多个因素实时动态确定是否应授予访问权:谁创建了职位、其他人对职位的使用、组织的报告行或项目代码或标签、所请求数据的敏感性以及是否提供了任何提示,但本公开不限于此。
根据示例性实施例,所述指令在被执行时,可进一步促使处理器104基于确定请求者请求的数据是否符合应用于数据的预定义分类方案,实时动态地确定是否应授予访问权,但本公开不限于此。
根据示例性实施例,所述指令在被执行时,可进一步使处理器104实时动态地确定是否应基于请求者的背景身份授予访问权,但本公开不限于此。
图5示出了根据示例性实施例的用于实现动态机器学习模型执行模块的示例性处理的流程图。动态机器学习模型执行模块可以是如图2所示的DMLMEM 202或如图4所示的DMLMEM 403。
在图5的处理500中,可以在步骤S502由模型生成模块生成机器学习模型。机器学习模型可以包括与请求者对一个或多个临时职位的访问权相关的数据。
在步骤S504,DMLMEM 403可接收来自请求者的请求,以访问在步骤S502生成的机器学习模型内的一个或多个临时职位。
在步骤S506,模型执行模块可确定请求者在组织内的群组或职位成员状态;并且可以使用机器学习模型实时动态地评估所接收的请求,以基于成员状态授予或拒绝对一个或多个临时职位的访问权。
在步骤S508,模型更新模块可在授予或拒绝对由模型执行模块执行的一个或多个临时职位的访问权后,实时动态更新由模型生成模块生成的机器学习模型。
在步骤S510,可更新由模型生成模块生成的模型。例如,当对一个或多个临时职位的访问权被模型执行模块拒绝时,DMLMEM 403可经由通信模块向管理者的计算设备发送电子通知。DMLMEM 403可经由通信模块自动接收来自使用管理者的计算设备的管理者的关于是否授予对一个或多个临时职位的访问权的批准或不批准。模型更新模块可更新模型生成模块生成的机器学习模型,以结合与管理者批准或不批准相关的数据。更新后的模型可存储在使用服务器中。根据示例性实施例,电子通知可是电子邮件、SMS等形式,但本公开不限于此。
例如,图6示出了根据示例性实施例的用于实现动态机器学习模型执行模块的示例性处理的流程图,其中,考虑了这种对访问权的拒绝。动态机器学习模型执行模块可以是如图2所示的DMLMEM 202或如图4所示的DMLMEM 403。
在图6的处理600中,在步骤S602,可由模型生成模块生成机器学习模型。机器学习模型可以包括与请求者对一个或多个临时职位的访问权相关的数据。
在步骤S604,DMLMEM 403可经由请求者的计算设备接收来自请求者的请求,以访问在步骤S602生成的机器学习模型内的一个或多个临时职位。根据示例性实施例,请求者的计算设备可以与如图4所示的请求者计算设备401相同或相似,但本公开不限于此。
在步骤S606,模型执行模块可确定请求者在组织内的群组或职位成员状态;并且可以使用机器学习模型实时动态地评估所接收的请求,以基于成员状态授予或拒绝对一个或多个临时职位的访问权。根据示例性实施例,模型执行模块可以与如图4中所示的模型执行模块409相同或相似,但本公开不限于此。
在步骤S608,模型更新模块可在授予或拒绝对由模型执行模块执行的一个或多个临时职位的访问权后,实时动态更新由模型生成模块生成的机器学习模型。根据示例性实施例,模型更新模块可以与如图4中所示的模型更新模块411相同或相似,但本公开不限于此。
在步骤S610,由模型生成模块生成的模型可以在授予或拒绝对一个或多个临时职位的访问权后动态更新机器学习模型。更新后的模型可以存储在使用服务器中。根据示例性实施例,使用服务器可以与如图4所示的使用服务器417相同或相似,但本公开不限于此。
有时,对所请求的职位的访问权可能被DMLMEM 403拒绝。本公开的处理600还可包括以下步骤来解决此类问题。
例如,在步骤S610,当对一个或多个临时职位的访问权被拒绝时,DMLMEM 403可实时动态地向管理者的计算设备发送电子通知。在步骤S614,DMLMEM 403可自动从管理者的计算设备接收关于是否授予对一个或多个临时职位的访问权的批准或不批准。在步骤S616,DMLMEM 403可动态地更新机器学习模型,以合并与从管理者的计算设备接收到的管理者的批准或不批准相关的数据。
根据示例性实施例,临时职位可不包括任何静态分配权限集,并且处理600还可包括:应用预定义算法实时动态确定请求时的访问控制,以授予或拒绝对请求者请求的职位的访问权。
根据示例性实施例,处理600还可包括:基于以下一个或多个因素实时动态确定是否应授予访问权:谁创建了职位、其他人对职位的使用、组织的报告行或项目代码或标签、所请求数据的敏感性以及是否提供了任何提示。
根据示例性实施例,处理600还可包括:基于确定请求者请求的数据是否符合应用于数据的预定义分类方案,实时动态地确定是否应授予访问权。
根据示例性实施例,处理600还可包括:基于请求者的背景身份实时动态确定是否应授予访问权。
根据以上图1至图6中公开的示例性实施例,由本公开带来的技术改进可以包括用于实现动态机器学习模型执行模块的平台,该动态机器学习模型执行模块用于实时动态地授予对临时职位的访问权以显著减少处理时间。本文关于图1至图6公开的各个方面、实施例、特征和/或子组件可提供实现动态机器学习模型执行模块的优化处理,其中,动态机器学习模型执行模块可实时动态确定是否应在请求时授予职位访问权,从而消除了常规技术的生成静态分配权限集的需要,并消除了重新认证处理的需要,但本公开不限于此。
尽管已参考几个示例性实施例描述了本发明,但可以理解,已经使用的词语是描述性和说明性的词语,而不是限制性词语。可以在所附权利要求的范围内进行修改,如当前所描述和修改的,而不偏离本公开的范围和精神。尽管已经参考特定装置、材料和实施例描述了本发明,但本发明并不限于所公开的细节;相反,本发明扩展到例如在所附权利要求书的范围内的所有功能等效的结构、方法和用途。
例如,虽然计算机可读介质可以描述为单个介质,但术语“计算机可读介质”包括单个介质或多个介质,例如中心化或分布式数据库和/或存储一组或多组指令的相关缓存和服务器。术语“计算机可读介质”还应包括能够存储、编码或承载一组指令以供处理器执行或者使计算机系统执行本文所公开的任何一个或多个实施例的任何介质。
计算机可读介质可包括非暂时性计算机可读介质和/或包括暂时性计算机可读介质。在特定的非限制示例性实施例中,计算机可读介质可包括诸如存储卡的固态存储器或容纳一个或多个非易失性只读存储器的其他封装。此外,计算机可读介质可以是随机存取存储器或其他易失性可重写存储器。此外,计算机可读介质可包括磁光或光学介质(例如,磁盘或磁带)或其他存储设备,以捕获载波信号,例如通过传输介质传送的信号。因此,本公开被认为包括可以存储数据或指令的任何计算机可读介质或其他等价物和后续介质。
尽管本文描述了可作为计算机可读介质中的计算机程序或代码段实现的特定实施例,但应理解的是,专用硬件实施方式,例如专用集成电路、可编程逻辑阵列和其他硬件设备,可以构造为实现本文所述的一个或多个实施例。可包括本文所述的各种实施例的应用可广泛地包括各种电子和计算机系统。因此,本申请可以包括软件、固件和硬件实施方式或其组合。本申请中的任何内容都不应被解释为仅通过软件而非硬件实现或可实现。
尽管本说明书描述了可参考特定标准和协议在特定实施例中实现的组件和功能,但本发明不限于此类标准和协议。此类标准定期被具有基本相同功能的更快或更高效的等效标准取代。因此,具有相同或类似功能的替换标准和协议被视为其等价物。
本文所述实施例的图示旨在提供对各种实施例的一般理解。附图不旨在用作利用本文所述结构或方法的装置和系统的所有元件和特征的完整描述。对于本领域技术人员而言,许多其他实施例可以是显见的。其他实施例可以被利用并从本公开中派生,使得可以在不脱离本公开的范围的情况下进行结构和逻辑的替换和更改。此外,附图仅具有代表性,并且可能没有按比例绘制。附图中的某些比例可能被夸大,而其他比例可能被最小化。因此,本公开和附图将被视为说明性的而非限制性的。
本公开的一个或多个实施例可在本文中单独和/或统称为“发明”,仅为方便起见,并不旨在主动将本申请的范围限制于任何特定发明或发明构思。此外,尽管本文已经说明和描述了特定实施例,但是应理解,设计用于实现相同或类似目的的任何后续布置可以替代所示的特定实施例。本公开旨在涵盖各种实施例的任何和所有后续适配或变化。对于本领域技术人员而言,通过审阅描述,上述实施例和本文未具体描述的其他实施例的组合将是显见的。
本公开的摘要被提交,应理解其不被用于解释或限制权利要求的范围或含义。此外,在前面的详细描述中,为了简化本公开,可以将各种特征组合在一起或在单个实施例中描述。本公开不应被解释为反映要求保护的实施例需要比每个权利要求中明确限定的更多特征的意图。相反,如随附的权利要求反映的,本发明的主题可以指向少于任何公开实施例的所有特征。因此,将随附权利要求并入详细说明书中,每个权利要求各自定义为单独要求保护的主题。
上述公开的主题被认为是说明性的,而不是限制性的,所附权利要求旨在涵盖所有此类修改、增强和其他实施例,这些修改、增强和实施例落入本公开的实质精神和范围内。因此,在法律允许的最大范围内,本公开的范围将由随附权利要求及其等价物的最广泛的允许解释来确定,并且不受以上详细描述的限制。
Claims (20)
1.一种用于实现机器学习模型执行模块的方法,所述机器学习模型执行模块用于授予对临时职位的访问权,所述方法包括:
由处理器生成机器学习模型,所述机器学习模型包括与请求者对一个或多个临时职位的访问权相关的数据;
由所述处理器接收来自请求者的计算设备的用以访问所述机器学习模型内的所述一个或多个临时职位的请求;
由所述处理器确定所述请求者在组织内的群组或职位成员状态;及
由所述处理器使用所述机器学习模型实时动态评估接收到的请求,以基于所述请求者的成员状态授予或拒绝对一个或多个临时职位的访问权。
2.根据权利要求1所述的方法,还包括:
在授予或拒绝对一个或多个临时职位的访问权后,动态更新所述机器学习模型。
3.根据权利要求1所述的方法,还包括:
当对一个或多个临时职位的访问权已被拒绝时,由所述处理器向与所述请求者的计算设备不同的管理者的计算设备发送电子通知;
由所述处理器自动接收来自所述管理者的计算设备的关于是否授予对一个或多个临时职位的访问权的批准或不批准;及
由所述处理器更新所述机器学习模型,以合并与从所述管理者的计算设备接收到的批准或不批准相关的数据。
4.根据权利要求1所述的方法,其中,临时职位不包括静态分配权限集,所述方法还包括:
应用预定义算法以在请求时实时动态确定访问控制,以授予或拒绝对所述请求者请求的职位的访问权。
5.根据权利要求1所述的方法,还包括:
基于以下一个或多个因素动态确定是否应授予访问权:谁创建了职位、其他人对所述职位的使用、组织的报告行或者项目代码或标记、所请求数据的敏感性、及是否提供了任何提示。
6.根据权利要求1所述的方法,还包括:
基于确定所述请求者请求的数据是否符合应用于所述数据的预定义分类方案,动态确定是否应授予访问权。
7.根据权利要求1所述的方法,还包括:
基于请求者的背景身份,动态确定是否应授予访问权。
8.一种用于实现机器学习模型执行模块的系统,所述机器学习模型执行模块用于授予对临时职位的访问权,所述系统包括:
存储器;及
处理器,经由通信网络操作地连接到所述存储器,
其中,所述处理器被配置为:
生成机器学习模型,所述机器学习模型包括与请求者对一个或多个临时职位的访问权相关的数据;
接收来自请求者的计算设备的用以访问所述机器学习模型内的所述一个或多个临时职位的请求;
确定所述请求者在组织内的群组或职位成员状态;及
使用所述机器学习模型实时动态评估接收到的请求,以基于所述请求者的成员状态授予或拒绝对一个或多个临时职位的访问权。
9.根据权利要求8所述的系统,其中,所述处理器还配置为:
在授予或拒绝对一个或多个临时职位的访问权后,动态更新所述机器学习模型。
10.根据权利要求8所述的系统,其中,所述处理器还配置为:
在对一个或多个临时职位的访问权已被拒绝时,向与所述请求者的计算设备不同的管理者的计算设备发送电子通知;
自动接收来自所述管理者的计算设备的关于是否授予对一个或多个临时职位的访问权的批准或不批准;及
更新所述机器学习模型,以合并与从所述管理者的计算设备接收到的批准或不批准相关的数据。
11.根据权利要求8所述的系统,其中,临时职位不包括静态分配权限集,所述处理器还配置为:
应用预定义算法以在请求时实时动态确定访问控制,以授予或拒绝对所述请求者请求的职位的访问权。
12.根据权利要求8所述的系统,其中,所述处理器还配置为:
基于以下一个或多个因素动态确定是否应授予访问权:谁创建了职位、其他人对所述职位的使用、组织的报告行或者项目代码或标记、所请求数据的敏感性、及是否提供了任何提示。
13.根据权利要求8所述的系统,其中,所述处理器还配置为:
基于确定所述请求者请求的数据是否符合应用于所述数据的预定义分类方案,动态确定是否应授予访问权。
14.根据权利要求8所述的系统,其中,所述处理器还配置为:
基于请求者的背景身份,动态确定是否应授予访问权。
15.一种非暂时性计算机可读介质,被配置为存储用于实现机器学习模型执行模块的指令,所述机器学习模型执行模块用于授予对临时职位的访问权,其中,所述指令在被执行时,使处理器执行以下操作:
生成机器学习模型,所述机器学习模型包括与请求者对一个或多个临时职位的访问权相关的数据;
接收来自请求者的计算设备的用以访问所述机器学习模型内的所述一个或多个临时职位的请求;
确定所述请求者在组织内的群组或职位成员状态;及
使用所述机器学习模型实时动态评估接收到的请求,以基于所述请求者的成员状态授予或拒绝对一个或多个临时职位的访问权。
16.根据权利要求15所述的非暂时性计算机可读介质,其中,所述指令在被执行时,还促使所述处理器执行以下操作:
在授予或拒绝对一个或多个临时职位的访问权后,动态更新所述机器学习模型。
17.根据权利要求15所述的非暂时性计算机可读介质,其中,所述指令在被执行时,还促使所述处理器执行以下操作:
在对一个或多个临时职位的访问权已被拒绝时,向与所述请求者的计算设备不同的管理者的计算设备发送电子通知;
自动接收来自所述管理者的计算设备的关于是否授予对一个或多个临时职位的访问权的批准或不批准;及
更新所述机器学习模型,以合并与从所述管理者的计算设备接收到的批准或不批准相关的数据。
18.根据权利要求15所述的非暂时性计算机可读介质,其中,所述指令在被执行时,还促使所述处理器执行以下操作:
应用预定义算法以在请求时实时动态确定访问控制,以授予或拒绝对所述请求者请求的职位的访问权。
19.根据权利要求15所述的非暂时性计算机可读介质,其中,所述指令在被执行时,还促使所述处理器执行以下操作:
基于以下一个或多个因素动态确定是否应授予访问权:谁创建了职位、其他人对所述职位的使用、组织的报告行或者项目代码或标记、所请求数据的敏感性、及是否提供了任何提示。
20.根据权利要求15所述的非暂时性计算机可读介质,其中,所述指令在被执行时,还促使所述处理器执行以下操作:
基于确定所述请求者请求的数据是否符合应用于所述数据的预定义分类方案,动态确定是否应授予访问权。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201962814677P | 2019-03-06 | 2019-03-06 | |
| US62/814,677 | 2019-03-06 | ||
| US16/797,520 US11316864B2 (en) | 2019-03-06 | 2020-02-21 | Method and apparatus for ephemeral roles implementing module |
| US16/797,520 | 2020-02-21 | ||
| PCT/US2020/021438 WO2020181203A1 (en) | 2019-03-06 | 2020-03-06 | Method and apparatus for ephemeral roles implementing module |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113557541A true CN113557541A (zh) | 2021-10-26 |
Family
ID=72335927
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080019139.4A Pending CN113557541A (zh) | 2019-03-06 | 2020-03-06 | 用于临时职位实现模块的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11316864B2 (zh) |
| EP (1) | EP3935471A4 (zh) |
| CN (1) | CN113557541A (zh) |
| WO (1) | WO2020181203A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11287869B2 (en) * | 2020-04-30 | 2022-03-29 | Marvell Asia Pte Ltd | System and methods for on-chip memory (OCM) port throttling for machine learning operations |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140196104A1 (en) * | 2013-01-04 | 2014-07-10 | Interntional Business Machines Corporation | Generating role-based access control policies based on discovered risk-averse roles |
| US20180131696A1 (en) * | 2016-11-09 | 2018-05-10 | Prosoft Technology, Inc. | Systems and methods for providing dynamic authorization |
| US20180181901A1 (en) * | 2016-12-28 | 2018-06-28 | Motorola Solutions, Inc. | Systems and methods for assigning roles to user profiles for an incident |
| WO2018191195A1 (en) * | 2017-04-10 | 2018-10-18 | Dipankar Dasgupta | Multi-user permission strategy to access sensitive information |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8474018B2 (en) | 2010-09-03 | 2013-06-25 | Ebay Inc. | Role-based attribute based access control (RABAC) |
| US8983877B2 (en) * | 2011-03-21 | 2015-03-17 | International Business Machines Corporation | Role mining with user attribution using generative models |
| US10095834B2 (en) | 2015-05-08 | 2018-10-09 | YC Wellness, Inc. | Integration platform and application interfaces for remote data management and security |
| US10606990B2 (en) | 2017-07-06 | 2020-03-31 | Ebay Inc. | Machine learning system for computing asset access |
-
2020
- 2020-02-21 US US16/797,520 patent/US11316864B2/en active Active
- 2020-03-06 WO PCT/US2020/021438 patent/WO2020181203A1/en unknown
- 2020-03-06 CN CN202080019139.4A patent/CN113557541A/zh active Pending
- 2020-03-06 EP EP20766819.5A patent/EP3935471A4/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140196104A1 (en) * | 2013-01-04 | 2014-07-10 | Interntional Business Machines Corporation | Generating role-based access control policies based on discovered risk-averse roles |
| US20180131696A1 (en) * | 2016-11-09 | 2018-05-10 | Prosoft Technology, Inc. | Systems and methods for providing dynamic authorization |
| US20180181901A1 (en) * | 2016-12-28 | 2018-06-28 | Motorola Solutions, Inc. | Systems and methods for assigning roles to user profiles for an incident |
| WO2018191195A1 (en) * | 2017-04-10 | 2018-10-18 | Dipankar Dasgupta | Multi-user permission strategy to access sensitive information |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200287904A1 (en) | 2020-09-10 |
| EP3935471A4 (en) | 2022-11-23 |
| US11316864B2 (en) | 2022-04-26 |
| WO2020181203A1 (en) | 2020-09-10 |
| EP3935471A1 (en) | 2022-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111771194B (zh) | 用于在分布式网络节点内生成和维护不可变的数字会议记录的系统和方法 | |
| CN115335827B (zh) | 用于实现基于角色的访问控制聚类机器学习模型执行模块的方法和装置 | |
| JP6951329B2 (ja) | デジタルアイデンティティを管理するためのシステム及び方法 | |
| US11222137B2 (en) | Storing and executing an application in a user's personal storage with user granted permission | |
| US11381567B2 (en) | Execution of an application within a scope of user-granted permission | |
| US20160105463A1 (en) | Managed real-time communications between user devices | |
| US11411959B2 (en) | Execution of application in a container within a scope of user-granted permission | |
| US10204237B2 (en) | Sensitive data service access | |
| US20150121456A1 (en) | Exploiting trust level lifecycle events for master data to publish security events updating identity management | |
| US11277366B2 (en) | Computing system with an email privacy filter and related methods | |
| CN105659558A (zh) | 具有单一、灵活、可插拔OAuth服务器的多个资源服务器和OAuth保护的RESTful OAuth同意管理服务,以及对OAuth服务的移动应用单点登录 | |
| US11089028B1 (en) | Tokenization federation service | |
| CN113614725A (zh) | 数据位置和政策遵守中的用户选择 | |
| US11755768B2 (en) | Methods, apparatuses, and systems for data rights tracking | |
| CN113574528A (zh) | 提供针对did数据的遵守策略的存储 | |
| CN114144780A (zh) | 用于控制和提供资源访问的方法 | |
| US10721236B1 (en) | Method, apparatus and computer program product for providing security via user clustering | |
| US9762584B2 (en) | Identity management system | |
| CN113557541A (zh) | 用于临时职位实现模块的方法和装置 | |
| Darnell et al. | 3 stages of a pan-african identity framework for establishing self-sovereign identity with blockchain | |
| US20230370473A1 (en) | Policy scope management | |
| CN115004149A (zh) | 用于控制对数据的访问的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40053730 Country of ref document: HK |