CN116029387A - 自动资源访问策略生成和实施 - Google Patents
自动资源访问策略生成和实施 Download PDFInfo
- Publication number
- CN116029387A CN116029387A CN202211330547.9A CN202211330547A CN116029387A CN 116029387 A CN116029387 A CN 116029387A CN 202211330547 A CN202211330547 A CN 202211330547A CN 116029387 A CN116029387 A CN 116029387A
- Authority
- CN
- China
- Prior art keywords
- access
- resource
- computer
- user
- context
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及自动资源访问策略生成和实施。提供了自动生成和实施访问策略的功能。基于输入经过训练的机器学习模型的提取的资源的属性,从经过训练的计算机学习模型获得访问资源所需用户访问情境的输出。使用访问资源所需用户访问情境的输出作为对资源的访问策略来控制用户对资源的访问。
Description
技术领域
本公开一般涉及访问控制,更具体地说,涉及自动生成和实施用于对受保护资源进行基于情境的访问控制的访问策略。
背景技术
访问控制是对诸如包含敏感材料、信息或数据的受保护文档、文件、硬件、软件之类的资源的访问的选择性限制。访问的行为可意味着消费或使用。访问资源的允许称为授权。授权是指定用户对受保护资源的访问权利或特权的功能。授权用户访问特定资源就是定义访问策略。
随着远程工作、共享办公空间等新的工作方式变得越来越流行和广泛,对受保护资源的适当访问控制的要求也随着工作方式的多样化而变化。基于角色的访问控制是一种访问控制机制,它根据请求访问受保护资源的用户被分配的角色来控制对受保护资源的访问。例如,被分配了“管理员”角色的用户可以以任何方式访问受保护文档,例如读取、更新和删除,而被分配了“普通用户”角色的用户则不被允许编辑受保护文档,而只能查看文档。然而,在新的工作方式中,使用基于角色的访问控制可能无法提供足够的资源安全性。例如,可能会出现被授权访问特定资源的用户与未被授权访问该资源的用户位于同一房间的情况。此外,也可能出现被授权用户请求从其他人可以查看受保护资源的未授权位置(如餐厅)访问受保护资源的情况。在上述两种情况下,基于角色的访问控制都会在缺乏适当的资源安全性的情况下授予对资源的访问权。
另一种访问控制机制是基于情境的访问控制。基于情境的访问控制根据多个预定义的访问控制策略来确定用户的情境在请求访问受保护资源时是否满足该多个预定义访问控制策略之一。如果是,则授予访问权。否则,访问将被拒绝。然而,当前的基于情境的访问控制***由于需要为资源访问定义大量的访问控制策略而存在问题。例如,使用当前基于情境的访问控制,必须为每个受保护资源预定义一组策略。每个受保护资源的用户访问情境的数量可能相当大。每个策略都是由这些用户访问情境的组合来表达的。换句话说,所需访问策略的数量至少是资源数量乘以M,其中M是预定义访问情境数量的二次方。因此,情境类型的数量太大,以至于无法由用户(例如,安全分析师、***管理员等)手动地预定义。因此,基于情境的访问控制可能由于缺少与请求访问特定资源的用户的当前情境匹配的预定义用户访问情境而不允许否则会被授权的用户访问特定资源。
发明内容
根据一个示例性实施例,提供了一种用于自动生成和实施访问策略的计算机实现的方法。计算机计算机基于输入经过训练的机器学习模型的提取的资源的属性,从经过训练的计算机学习模型获得访问资源所需用户访问情境的输出。计算机使用访问资源所需用户访问情境的输出作为对资源的访问策略来控制用户对资源的访问。根据其他示例性实施例,提供了一种用于自动生成和实施访问策略的计算机***和计算机程序产品。因此,示例性实施例通过利用用户在请求访问资源时所需的用户访问情境来提高资源的安全性,从而在资源访问控制领域提供了技术效果和实际应用。
此外,示例性实施例可选地计算机将有权访问资源的可信用户访问资源时的用户访问情境与资源的属性相关联,记录用户访问情境与资源的属性之间的关联,并将用户访问情境和资源的属性作为训练数据输入机器学习模型,以形成经过训练的机器学习模型。因此,示例性实施例用经训练的机器学习模型来自动生成和实施带有所需用户访问情境的访问策略,提高了计算机保护资源的性能。
附图说明
图1是其中可以实施示例性实施例的数据处理***网络的图示;
图2是其中可以实施示例性实施例数据处理***的示意图;
图3是根据示例性实施例的访问策略生成器的示例的示意图;
图4是根据示例性实施例的用于访问控制策略的用户访问情境的示例的示意图;
图5是根据示例性实施例的训练数据收集过程的示例的示意图;
图6是根据示例性实施例的机器学习模型训练过程的示例的示意图;
图7是例示根据示例性实施例、当存在访问策略时的资源访问控制过程的示例;
图8是例示根据示例性实施例、当不存在访问策略时的资源访问控制过程的示例;
图9是根据示例性实施例的低维向量生成过程的示例的示意图;
图10是根据示例性实施例的资源属性低维向量生成过程的示例的示意图;
图11是根据示例性实施例相似访问策略添加过程的示例的示意图;
图12是说明根据示例性实施例的控制对受保护资源的访问的过程的流程图;和
图13是说明根据示例性实施例的自动生成和实施访问策略的过程的流程图。
具体实施方式
本发明可以是任何可能的技术细节集成水平的***、方法、和/或计算机程序产品。计算机程序产品可包括其上具有用于使处理器执行本发明的各方面的计算机可读程序指令的计算机可读存储介质。
计算机可读存储介质可以是可保留和存储供指令执行设备使用的指令的有形设备。计算机可读存储介质可以是,例如但不限于,电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备、或者上述的任意合适的组合。计算机可读存储介质的更具体示例的非穷尽列表包括以下各项:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式紧凑盘只读存储器(CD-ROM)、数字通用盘(DVD)、记忆棒、软盘、诸如穿孔卡或具有记录在其上的指令的槽中的凸出结构之类的机械编码设备、以及上述各项的任何合适的组合。如本文所使用的计算机可读存储介质不应被解释为瞬态信号本身,例如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如,穿过光纤电缆的光脉冲)或通过导线发射的电信号。
本文所述的计算机可读程序指令,可以从计算机可读存储介质下载到相应的计算/处理设备,或者通过网络(例如,互联网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光传输纤维、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配器卡或网络接口接收来自网络的计算机可读程序指令,并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或以一种或多种编程语言的任何组合编写的源代码或目标代码,这些编程语言包括面向对象的编程语言(如Java、Smalltalk、C++等)和常规的过程编程语言(如“C”编程语言或类似的编程语言)。计算机可读程序指令可以完全地在用户计算机上执行、部分在用户计算机上执行、作为独立软件包执行、部分在用户计算机上部分在远程计算机上执行或者完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接至用户计算机,或者可连接至外部计算机(例如,使用互联网服务提供商通过互联网)。在一些实施例中,包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)的电子电路可以通过利用计算机可读程序指令的状态信息来使电子电路个性化来执行计算机可读程序指令,以便执行本发明的各方面。
本文参照根据本发明实施例的方法、装置(***)和计算机程序产品的流程图和/或框图来描述本发明的各个方面。应当理解,流程图和/或框图的每个框以及流程图和/或框图中各框的组合,都可以通过计算机可读程序指令实现。
这些计算机可读程序指令可被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现在流程图和/或框图的或多个框中指定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置、和/或其他设备以特定方式工作,从而,其中存储有指令的计算机可读存储介质包括包含实现流程图和/或框图的框中规定的功能/动作的方面的指令的制造品。
也可将计算机可读程序指令加载到计算机、其他可编程数据处理装置、或其他设备上,使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤,以产生计算机实现的处理,使得在计算机、其他可编程装置或其他设备上执行的指令实现流程图和/或框图中的或多个方框中规定的功能/动作。
附图中的流程图和框图示出了根据本发明的各种实施例的***、方法和计算机程序产品的可能实现方式的架构、功能和操作。对此,流程图或框图中的每个框可表示指令的模块、段或部分,其包括用于实现指定的逻辑功能的一个或多个可执行指令。在一些备选实现中,框中标注的功能可以不按照图中标注的顺序发生。例如,取决于所涉及的功能,连续示出的两个框实际上可以基本上同时执行,或者这些框有时可以以相反的顺序执行。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作或执行专用硬件与计算机指令的组合的专用的基于硬件的***来实现。
现在参考附图,特别是参考图1和图2,提供其中可以实施示例性实施例的数据处理环境的示意图。应当认识到,图1和图2仅作为示例,并不意在断言或暗示对可以实现不同实施例的环境的任何限制。可以对所示环境进行许多修改。
图1示出其中可以实施示例性实施例的数据处理***网络的图示。网络数据处理***100是计算机、数据处理***和其他设备的网络,其中可以实现示例性实施例。网络数据处理***100包含网络102,其是用于在网络数据处理体系100内连接在一起的计算机、数据处理***和其他设备之间提供通信链路的媒介。网络102可以包括诸如有线通信链路、无线通信链路、光纤电缆之类的连接。
在所示的示例中,服务器104和服务器106与存储108一起连接到网络102。服务器104与服务器106例如可以是与网络102高速连接的服务器计算机。服务器104及服务器106也可以各自代表一个或多个数据中心中的服务器集群。或者,服务器104和服务器106可以各自表示一个或多个云环境中的多个计算节点。
此外,服务器104和服务器106控制客户端设备用户对资源110的访问。资源110代表一组受保护资源。该组受保护资源可对应于诸如企业、公司、商号、组织、机构、代理之类的实体。受保护资源在访问之前需要用户授权。例如,资源110可以是受保护的文档、数据集、数据库、存储设备、安全存储器、处理器、计算机、网络、网络设备、应用程序等。服务器104和服务器106通过使用经过训练的机器学习来自动生成和实施基于用户访问情境的策略来控制对资源110的访问。
客户端112、客户端114和客户端116也连接到网络102。客户端112、114和116是服务器104和服务器106的客户端。在本例中,客户端112、116和116被显示为具有到网络102的有线通信链接的台式计算机或个人计算机。但是,应当指出,客户端112、114、116只是示例,可以代表其他类型的数据处理***,诸如网络计算机、膝上型计算机、手持计算机、智能手机、智能眼镜、智能电视、智能车辆等。例如,客户端112、114和116的用户可以利用客户端112、114和116来执行工作职责并访问受服务器104和服务器106保护的资源110。
存储器108是一种能够存储任何类型的结构化格式或非结构化格式数据的网络存储设备。此外,存储器108可以代表多个网络存储设备。此外,存储器108可以存储多个客户端设备的标识符和网络地址、多个客户端设备用户的标识符、资源配置文件(例如标识符、属性等)、访问策略等。此外,存储器108可以存储其他类型的数据,诸如认证或凭证数据,其可以包括与例如客户端设备用户、***管理员、安全分析师等相关联的用户名、密码、生物特征数据等。
此外,应当指出是,网络数据处理***100可包括任何数量的其它服务器、客户端、存储设备和未显示的其他设备。位于网络数据处理***100中的程序代码可以存储在计算机可读存储介质或一组计算机可读存储介质上,并下载到计算机或其他数据处理设备上以供使用。例如,程序代码可以存储在服务器104上的计算机可读存储介质上,并通过网络102下载到客户端112以在客户端112上使用。
在所示的示例中,网络数据处理***100可以实现为许多不同类型的通信网络,诸如因特网、内部网、广域网(WAN)、局域网(LAN)、电信网络或其任何组合。图1仅用作示例,而非对不同示例性实施例的架构限制。
本文所用的“多个”(a number of),当用于项目时,是指一个或多个项目。例如,“多个不同类型的通信网络”是一个或多个不同类型的通讯网络。类似地,当用于项目时,“一组”指的是一个或多个项目。
此外,当用于项目列表时,术语“至少一个”表示可以使用一个或多个所列项目的不同组合,并且可能只需要列表中每个项目的一个。换言之,“至少一个”是指可以使用列表中的项目的任何组合和任何数量的项目,但并非列表中的所有项目都是必需的。项目可以是特定的对象、事物或类别。
例如但非限定,“项目A、项目B或项目C中的至少一个”可包括项目A、项目A和项目B、或项目B。这个例子也可包括项目B、A和C,或项目C。当然,这些项目的任何组合都可存在。在一些示例性示例中,“至少一个”可以是(例如,但不限于)项目A中的两个;项目B中的一个;项目C中的10个;项目B中的4个和项目C中的7个;或其他合适的组合。
现在参考图2,根据示例性实施例示出数据处理***的示意图。数据处理***200是诸如图1中的服务器104的计算机的示例,实现示例性实施例的资源访问控制过程的计算机可读程序代码或指令可位于其中。在本示例中,数据处理***200包括通信结构202,其提供处理器单元204、存储器206、持久存储器208、通信单元210、输入/输出(I/O)单元212和显示器214之间的通信。
处理器单元204用于执行可加载到存储器206中的软件应用程序和程序的指令。根据具体实现,处理器单元204可以是一组一个或多个硬件处理器设备的集合,也可以是多核处理器。
存储器206和持久存储器208是存储设备216的示例。如本文所用的,计算机可读存储设备或计算机可读存储介质是能够存储信息的任何硬件,信息诸如是但不限于数据、功能形式的计算机可读程序代码、和/或其他合适的信息,无论是暂时的还是持久的。此外,计算机可读存储设备或计算机可读存储介质不包括诸如瞬态信号的传播介质。此外,计算机可读存储设备或计算机可读存储介质可以代表一组计算机可读存储设备或一组计算机读存储介质。在这些示例中,存储器206例如可以是随机存取存储器(RAM)或任何其他合适的易失性或非易失性存储设备,诸如闪存。持久存储器208可以采取各种形式,具体取决于具体的实现。例如,持久存储器208可以包含一个或多个设备。例如,持久存储器208可以是磁盘驱动器、固态驱动器、可重写光盘、可重写磁带,或以上的某种组合。持久存储器208使用的介质可以是可移动的。例如,可移动硬盘驱动器可用于持久存储器208。
在本示例中,持久存储器208存储资源访问控制器218。然而,应当注意的是,即使资源访问控制器218被示为驻留在持久存储器204中,在可替代的示例性实施例中,资源访问控制器218可以是数据处理***200的单独组件。例如,资源访问控制器218可以是耦合到通信结构202的硬件组件或硬件组件与软件组件的组合。在另一个可替代的示例性实施例中,资源访问控制器218的第一组组件可位于数据处理***200中,而资源访问控制器218的第二组组件则可位于诸如图1中的服务器106的第二数据处理***中,。
资源访问控制器218使用基于用户访问情境的访问控制策略控制对诸如图1中的资源110的一个或多个受保护资源的访问。此外,在当前不存在针对特定资源的基于用户访问情境的访问控制策略时,资源访问控制器218指示访问策略生成器为该特定资源自动生成并实施基于用户访问语境的访问控制政策。因此,数据处理***200作为专用计算机***来运行,其中数据处理***200中的资源访问控制器218使得能够选择性地控制客户端设备用户对受保护资源的访问,以提高资源安全性。特别地,与目前没有资源访问控制器218的通用计算机***相比,资源访问控制器218将数据处理***200转变为专用计算机***。
在本例中,通信单元210通过网络(如图1中的网络102)提供与其他计算机、数据处理***和设备的通信。通信单元210可以通过使用物理和无线通信链路来提供通信。物理通信链路可利用电线、电缆、通用串行总线或任何其他物理技术为数据处理***200建立物理通信链路。无线通信链路可使用短波、高频、超高频、微波、无线保真度(Wi-Fi)、
技术、全球移动通信***(GSM)、码分多址(CDMA)、第二代(2G)、第三代(3G)、***(4G)、4G长期演进(LTE)、LTE高级、第五代(5G)或任何其他无线通信技术或标准来为数据处理***200建立无线通信链路。
输入/输出单元212允许与可能连接到数据处理***200的其他设备输入和输出数据。例如,输入/输出单元212可以通过小键盘、键盘、鼠标、麦克风和/或其他合适的输入设备为用户输入提供连接。显示器214提供了向用户显示信息的机制,并可包括允许用户通过用户界面或输入数据进行屏幕选择的触屏功能。
操作***、应用程序和/或程序的指令可能位于通过通信结构202与处理器单元204通信的存储设备216中。在这个示例中,指令在持久存储器208上以功能形式(functional form)存在。这些指令可以加载到存储器206中,由处理器单元204运行。不同实施例的过程可以由处理器单元205用计算机实现的指令来执行,这些指令可以位于诸如存储器206的存储器中。这些程序指令被称为程序代码、可由处理器单元204中的处理器读取和运行的计算机可用程序代码或计算机可读程序代码。在不同的实施例中,程序指令可以体现在不同的物理计算机可读存储设备上,诸如存储器206或持久存储器208上。
程序代码220以功能形式位于选择性地可移除的计算机可读介质222上,并可加载或传输到数据处理***200,以由处理器单元204运行。程序代码220和计算机可读介质222构成计算机程序产品224。在一个示例中,计算机可读介质222可以是计算机可读存储介质226或计算机可读信号介质228。
在这些示例性示例中,计算机可读存储介质226是用于存储程序代码220的物理或有形存储设备,而非传播或传输程序代码220的媒介。计算机可读存储介质226可以包括例如***或放置在作为持久存储器208的一部分的驱动器或其他设备中光盘或磁盘,用于传输到作为持久存储器208的一部分的存储设备(如硬盘驱动器)上。计算机可读存储介质226也可以采取诸如硬盘驱动器、拇指驱动器的持久存储器的形式,或连接到数据处理***200的闪存。
可替代地,程序代码220可以用计算机可读信号介质228传输到数据处理***200。例如,计算机可读信号介质228可以是包含程序代码220的传播数据信号。例如,计算可读信号介质228可以是电磁信号、光信号或任何其他合适类型的信号。这些信号可以通过诸如无线通信链路、光缆、同轴电缆、电线的通信链路或任何其他合适类型的通信链路来传输。
此外,如本文所用,“计算机可读介质222”可以是单数或复数。例如,程序代码220可以位于以单个存储设备或***为形式的计算机可读介质222中。在另一个示例中,程序代码220可以位于分布在多个数据处理***中的计算机可读介质222中。换句话说,程序代码220中的一些指令可以位于一个数据处理***中,而程序代码220的其他指令可以位于另一个或多个数据处理体系中。例如,程序代码220的一部分可以位于服务器计算机中的计算机可读介质222中,而程序代码220中的另一部分则可以位于一组客户端计算机中的计算机可读介质222中。
所示的数据处理***200的不同组件并不意味着对不同实施例的实现方式提供架构限制。在一些示例性示例中,一个或多个组件可并入另一组件中或以其他方式形成另一组件的一部分。例如,在一些示例性示例中,存储器206或其部分可并入处理器单元204中。不同的示例性实施例可以在包括所示的数据处理***200的组件以外的或替代这些组件的组件的数据处理***中实现。图2中所示的其他组件可以与所示的说明性示例不同。可以使用能够运行程序代码220的任何硬件设备或***来实现不同的实施例。
在另一个示例中,总线***可用于实现通信结构202,并且可由诸如***总线或输入/输出总线的一条或多条总线组成。当然,总线***可以用在连接到总线***的不同组件或设备之间提供数据传输的任何适当类型的体系结构来实现。
如本文所用,用户访问情境是与请求访问受保护资源的用户对应的任何情况、环境、设置等。例如,用户访问情境可以是“用户在家”、“用户在工作”、“用户独自一人”、“用户不是独自一人”或“用户是所请求文档的作者”等。访问策略定义用户访问特定受保护资源所需的用户访问情境。基于用户访问情境的访问控制策略的一个具体示例可以是“文档A只能由独自一人并拥有管理特权的授权用户从家访问。”
示例性实施例自动生成并实施与受保护资源对应的适当访问控制策略。示例性实施例利用访问策略生成器,其利用机器学习自动生成和实施基于用户访问情境的访问控制策略,以控制对受保护资源的访问。示例性实施例的访问策略生成器可以为任何受保护资源自动生成适当的基于用户访问情境的策略。访问策略生成器包括例如资源属性提取器,用于识别和提取与所请求资源对应的一组属性;用户访问情境生成器,其使用经过训练的机器学习模型为所请求资源生成所需的用户访问情境;访问策略验证器,用于确定所生成的访问策略候选的有效性;以及访问策略选择器,用于为特定的所请求资源选择最合适(例如,最安全)的访问策略。因此,示例性实施例通过用经过训练的机器学习模型来自动生成和实施带有所需用户访问情境的访问策略,提高了计算机保护资源的性能。
受保护资源的属性是描述某个特定受保护的资源的任何元素、特征、特性、特质、属性等。例如,资源的属性可以是受保护资源的名称或标识符、受保护资源创建或投入使用的日期、受保护资源的作者、创建受保护资源所在的位置、对受保护资源访问的允许类型。用户访问情境生成器是经过训练的机器学习模型,其可包含一组基于收集的训练数据的二元分类器。此外,访问策略生成器可以利用低维向量生成器(例如,字到向量(word2vec)模型)或其他可能的实现来提取资源属性或识别相似访问控制策略作为潜在候选策略。示例性实施例可以利用定义的最大策略距离阈值,对可能与生成的访问控制策略相似的资源访问控制策略候选的安全性和便利性进行定量控制。
示例性实施例从多个受信任(例如,授权)的用户收集用户访问情境生成器的训练数据。例如,示例性实施例在***首次初始化和运行时将受保护资源访问限限于可信用户。示例性实施例允许可信用户使用各种不同的用户访问情境随机访问受保护资源。示例性实施例记录可信用户在请求访问不同的受保护资源时的各种用户访问情境,还记录对应于每个请求资源的属性。示例性实施例利用所记录的用户访问情境和所记录的资源属性作为用户访问情境生成器的机器学习模型的训练数据。
因此,示例性实施例能够通过用机器学习考虑自然语言的用户访问情境来生成和实施灵活的资源访问控制策略。因此,示例性实施例提供的一个或多个技术解决方案克服了自动生成和实施资源访问控制策略的技术问题。因此,这些一个或多个技术解决方案通过利用用户请求访问资源时所需的用户访问情境来提高资源的安全性,从而在资源访问控制领域提供了技术效果和实际应用。
现在参考图3,根据示例性实施例示出说明访问策略生成器的示例的示意图。访问策略生成器300可以在诸如图1中的服务器104或图2中的数据处理***200的计算机中实现。访问策略生成器300自动生成带有访问受保护资源所需用户访问情境的资源访问控制策略。
在这个示例中,访问策略生成器300包括资源属性提取器302、用户访问情境生成器304、访问策略验证器306和访问策略选择器308。访问策略生成器300利用资源属性提提器302来提取与由计算机保护的相应资源对应的一组属性。资源属性提取器302从资源数据库310中提取资源的属性。资源库310存储与计算机保护的每个资源对应的配置文件(profiles)。资源配置文件可以包括例如资源的标识符(例如,名称)、资源被创建或投入服务的日期、受保护资源被创建或投入服务的位置、允许的资源访问类型,等等。
访问策略生成器300用用户访问情境生成器304来自动生成所请求资源所需的用户访问情境或所需的一组用户访问情境。用户访问情境生成器304包括一个由一组二元分类器312组成的经过训练的机器学习模型。经过训练的计算机学习模型基于从一组用各种用户访问情境访问资源的可信用户收集的训练数据。二元分类器312集合中的每个二元分类器将所请求资源的属性作为输入,并输出访问资源时所需的特定用户访问情境(true(真)或false(假))。
访问策略生成器300用访问策略验证器306来确定生成的访问策略候选对特定的所请求资源是否有效。例如,如果访问策略验证器306确定某个特定访问策略候选与该特定资源的一个或多个其他访问策略不兼容,则访问策略验证器306会删除或去除作为该特定资源的可能候选的该特定访问策略。如果特定资源有多个访问策略候选,则访问策略生成器300用访问策略选择器308来为该特定资源选择最合适的访问策略候选。为该特定资源选择最合适的访问策略候选后,访问策略选择器308将该特定资源的选定访问策略存储在访问策略数据库314中。访问策略数据库31存储为受计算机保护的资源生成的所有访问策略。
现在参考图4,根据示例性实施例示出用于访问控制策略的用户访问情境的示例的示意图。用于访问控制策略的用户访问情境400可以在诸如图3中的用户访问情境生成器304的用户访问情境生成器中实现,。
在此示例中,访问控制策略400的用户访问情境范围从不安全访问策略402到更安全访问策略404。用于访问特定资源的不安全访问策略402由用户访问情境空集(例如“{}”)来表示,而更安全访问策略404则由用户访问情境的组合(例如,“{AtOffice,Alone,IsEditor}”来表示。换句话说,不包括用户访问情境的访问策略是最不安全或最危险的,而包括所有用户访问情境在内的访问策略则是最安全或最不危险的。
如本文所用的术语“情境”(context/contexts),按单数理解时是指可计数的原子情境,例如“{AtOffice}”(在办公室)、“{Alone}”(独自一人)或“{IsEditor}”(是编辑者),其由管理示例性实施例的基于情境的访问控制***的***管理员提供。按复数理解时是指情境的组合,例如,“{AtOffice,Alone},{Alone,IsEditor},以及{AttOffice,IsEditer}”。因此,生成的访问策略的格式可能有所不同。
例如,利用最安全访问策略选择的示例性实施例,情境可以是例如{AtOffice,Alone}。换言之,利用最安全访问策略选择的示例性实施例,为了满足该特定访问策略,在资源访问请求时,用户应在用户的办公室中且独自一人。可替代地,利用析取(disjunct)访问策略选择的示例性实施例,情境的组合可以是例如{{AtOffice,Alone}、{Alone,IsEditor}}。换言之,利用析取访问策略选择的示例性实施例,在资源访问请求时,用户应或者在用户的办公室中且独自一人,或者独自一人且是编辑者,才满足该特定访问策略。因此,在有多个具有相同安全级别的访问策略候选时,利用析取访问策略选择的示例性实施例允许用户对用户访问情境进行析取,而利用最安全的访问策略选择的示例性实施例每次只严格输出最安全的访问策略。例如,使用最安全的访问策略选择的示例性实施例,如果针对某特定资源有多个访问策略候选,例如访问策略候选“A”和“B”,那么,当示例性实施例确定访问策略候选“A”是更安全的访问策略时,示例性实施例为该特定资源选择访问策略候选对象“A”。
现在参考图5,根据示例性实施例示出训练数据收集过程的示例的示意图。训练数据收集过程500可在诸如图1中的服务器104或图2中的数据处理***200的计算机中实现。
在本例中,训练数据收集过程500包括一组可信用户502、资源数据库504、资源属性提取器506、每个所请求的资源508的属性、资源访问控制器510和资源访问日志512。可信用户组502代表多个有权访问受计算机保护的诸如图1中的资源110的资源的用户。资源数据库504和资源属性提取器506可以是例如图3中的资源数据库310和资源属性提取器302。资源访问控制器510可以是图2中的资源访问控制器218。资源访问日志512表示受计算机保护的每个访问资源的日志、记录或提要。
在本例中,要受计算机访问控制的资源是“{资源A,资源B}”;要处理的用户访问情境是“{AtOffice,Alone,IsEditor}”;资源属性提取器506假定可以从与资源A和资源B对应的配置文件中提取资源名称、最后更新日期和访问类型(例如读/写)。此外,当计算机首次运行时,计算机将资源访问权局限于可信用户组502,并允许可信用户组502的所有可信用户用各种用户访问情境来访问受计算机保护的资源。
在514,资源数据库504接收来自可信用户组502的资源访问请求。在516,资源属性提取器506提取可信用户组502请求的资源(例如,资源A和资源B)的属性。每个所请求资源的属性508表示可信用户组502请求的提取的资源的属性。每个所请求资源的属性508显示资源A的属性包括:“名称:Sales Information (Confidential).xlsx;最后更新日期:01/02/1999;访问类型:Read”。此外,每个所请求资源的属性508显示资源B的属性包括:“文件名:Test history.log;最后更新日期:01/02/1999;访问类型:Write”。
在518,资源访问控制器510在可信用户组502访问资源时在资源访问日志512中记录可信用户组502的每个相应用户资源访问请求的用户访问情境和每个所请求资源的属性。在本例中,资源访问控制器510在资源访问日志512中记录针对资源A的“自用户访问情境{AtOffice,Alone}后的最后更新日期:01/02/1999,对名为‘Sales Information(Confidential).xlsx’的文件的读取访问”,以及针对资源B的“自用户访问情境{IsEditor}后的最后更新日期:01/02/1999,对名为‘Test History.log’的文件的写入访问”。
现在参考图6,根据示例性实施例示出机器学习模型训练的过程的示例图。机器学习模型训练过程600可以在诸如图1中的服务器104或图2中的数据处理***200的计算机中实现。
在此示例中,机器学习模型训练过程600包括资源访问日志602,诸如图5中的资源访问日志512。计算机使用资源访问日志502中记录的数据作为训练数据(例如,训练数据606)。在这个例子中,记录在资源访问日志602中的数据包括“自用户访问情境{AtOffice,Alone}后的最后更新日期:01/02/1999,对名为‘Sales Information (Confidential).xlsx’的文件的读取访问”,以及针对资源B的“自用户访问情境{IsEditor}后的最后更新日期:01/02/1999,对名为‘Test History.log’的文件的写入访问”,类似于图5中所示的示例。机器学习模型训练过程600利用数据清洗器604对记录的数据执行数据清洗。数据清洗或数据清理是从数据库、记录、文件之类中检测和纠正、删除损坏的或不准确的数据的过程,是指识别数据的不完整、不正确、不准确或不相关部分,然后替换、修改或删除损坏的或粗糙的数据。
机器学习模型训练过程600将训练数据606连同正确答案一起输入机器学习模型610的二元分类器608。机器学习模型训练过程600将训练数据606的“((‘SalesInformation(Confidential).xlsx’,01/02/2021,read),true)”以及“((‘TestResult.log’,0I/02/1999,write),false)”输入针对“AtOffice”用户访问情境的二元分类器。机器学习模型训练过程600也将训练数据606的“((‘Sales Information(Confidential).xlsx’,01/02/2021,read),true)”以及“((‘Test Result.log’,01/02/1999,write),false)”输入针对“Alone”用户访问情境的二元分类器。此外,机器学习模型训练过程600将训练数据606的“((‘Test Result.log’,0I/02/1999,write),true)”以及“((‘Sales Information(Confidential).xlsx’,01/02/2021,read),false)”输入针对“IsEditor”用户访问情境的二元分类器。因此,机器学习模型训练过程600训练机器学习模型610在特定资源属性满足所需的用户访问情境时返回“true”,否则,即在特定资源属性不满足所需的用户访问情境时,机器学习模型610返回“false”。
现在参考图7,根据示例性实施例示出说明存在访问策略时的资源访问控制的过程的示例的示意图。访问策略存在时的资源访问控制过程700可以在诸如图1中的服务器104或图2中的数据处理***200的计算机中实现。
在本示例中,访问策略存在时的资源访问控制的过程700包括资源访问控制器702,诸如图2中的资源访问控制器218或图5中的资源访问控制器510;访问策略数据库704,诸如图3中的访问策略数据库314;以及资源数据库706,诸如图3中资源数据库310或图5中资源数据库504。在708,普通用户710向资源访问控制器702发送带有用户访问情境(例如,针对所请求资源:“Sales Information(Confidential).xlsx”的用户访问情境:{AtOffice,Alone})的资源访问请求。普通用户710表示请求访问受计算机保护的资源的任何类型的用户。
在712,资源访问控制器702检查访问策略数据库704,查找与所请求资源“SalesInformation (Confidential).xlsx”对应的访问策略。在714,访问策略数据库704返回该访问策略(例如,{AtOffice,Alone}是访问所请求资源“Sales Information(Confidential).xlsx”所需的用户访问情境)。在716,资源访问控制器702确定,普通用户710在请求访问资源“Sales Information(Confidential).xlsx”时的用户访问情境{AtOffice,Alone},满足了资源“Sales Information(Confidential).xlsx”的所需用户访问情境为{AtOffice、Alone}的访问策略。因此,在718,资源访问控制器702指示资源数据库706向普通用户710发送所请求资源“Sales Information(Confidential).xlsx”。
现在参考图8,根据示例性实施例示出说明访问策略不存在时的资源访问控制的过程的示例的示意图。访问策略不存在时的资源访问控制过程800可以在诸如图1中的服务器104或图2中的数据处理***200的计算机中实现。
在本例中,访问策略不存在时的资源访问控制的过程800包括资源访问控制器802、访问策略数据库804、资源数据库806和访问策略生成器808。资源访问控制器802、访问策略库804和资源库806可以是例如图7中的资源访问控制器702、访问策略数据库704和资源数据库706。访问策略生成器808可以是例如图3中的访问策略生成器300。
在810,普通用户812向资源访问控制器802发送带有用户访问情境(例如,针对所请求资源:“Sales Information(Confidential).xlsx”的用户访问情境:{AtOffice,Alone})的资源访问请求。在814,资源访问控制器802检查访问策略数据库804中与资源“Sales Information(Confidential).xlsx”对应的访问策略。资源访问控制器802在搜索期间确定,访问策略数据库804中不存在与所请求资源“Sales Information(Confidential).xlsx”对应的访问策略。因此,在816,资源访问控制器802指示访问策略生成器808为所请求资源“Sales Information (Confidential).xlsx”生成访问策略。
访问策略生成器808利用资源属性提取器818从资源数据库806中提取与所请求资源“Sales Information (Confidential).xlsx”对应的一组属性。然后,资源属性提提器818输入该组提取的属性(例如,[资源A];名称:Sales Information (Confidential).xlsx;最后更新日期:2021 02月01日;访问类型:Read)。应注意,用户访问情境生成器820包括诸如图6中的机器学习模型610的、已经用从一组可信用户收集的训练数据训练过的机器学习模型,其。
在822,用户访问情境生成器820基于提取的所请求资源的该组属性,生成所请求资源“Sales Information(Confidential).xlsx”的访问策略候选集合(例如,带有所需用户访问情境{AtHome,AtOffice}的访问策略候选A;带有所需用户访问情境{AtOffice,Alone}的访问策略候选B;以及带有所需用户访问情境{Alone}的访问策略候选C)。然后,用户访问情境生成器820将所请求资源“Sales Information(Confidential).xlsx”的访问策略候选集合输入访问策略验证器824。
访问策略验证器824确定,与访问策略候选A对应的{AtHome,AtOffice}的用户访问情境相互不兼容。因此,访问策略验证器824排除将带有所需用户访问情境{AtHome,AtOffice}的访问策略候选A作为访问策略候选。在826,访问策略验证器824向访问策略选择器828发送其余有效的访问策略候选(例如,带有所需访问情境{AtOffice,Alone}的访问策略候选B和带有所需用户访问情境{Alone}的访问策略候选C)。
访问策略选择器828根据最安全的访问策略选择过程,为所请求资源“SalesInformation(Confidential).xlsx”选择更安全的访问策略(例如,带有所需用户访问情境{AtOffice,Alone}的候选策略B)。在830,访问策略选择器828将为所请求资源“SalesInformation(Confidential).xlsx”选择的更安全的访问策略(例如,带有所需用户访问情境{AtOffice,Alone}的策略候选B)添加到访问策略数据库804。
现在参考图9,根据示例性实施例示出说明低维向量生成过程的示例的示意图。低维向量生成过程900可以在诸如图1中的服务器104或图2中的数据处理***200的计算机中实现。
在本例中,低维向量生成过程900包括访问策略生成器902。访问策略生成器902类似于图3中的访问策略生成器300和图8中的访问策略生成器808。例如,访问策略生成器802包括资源属性提取器904、用户访问情境生成器906、访问策略验证器908,然而,资源属性提取器904包括低维向量生成器912,并且访问策略选择器910包括相似访问策略候选生成器914。
低维向量生成器912输出从资源数据库916提取的与所请求资源对应的属性的使用word2vec(字到向量)模型的低维向量表示(参见图10的示例),而非不是自然语言的表示。相似访问策略候选生成器914生成允许在定义的最大距离阈值内的用户访问情境的相似访问策略候选,该阈值考虑了用户访问情境生成器906生成的访问策略的自然语言距离(见图11的示例)。
现在参考图10,根据示例性实施例示出资源属性低维向量生成过程的示例的示意图。资源属性低维向量生成过程1000可以在诸如图1中的服务器104或图2中的数据处理***200的计算机中实现。
在本例中,资源属性低维向量生成过程1000包括所请求资源1002(例如,[资源A])。在1004,资源属性低维向量生成过程1000使用诸如图9中的资源属性提取器904的资源属性提取器,从诸如图9中的资源数据库916的资源数据库提取与所请求资源A对应的一组属性(例如,名称:Sales Information (Confidential).xlsx;最后更新日期:01/02/2021;访问类型:Read)。
资源属性低维向量生成过程1000为与所请求资源对应的属性组生成原始高维向量1006。然后,资源属性低维向量生成过程1000利用诸如图9中的低维向量生成器912的低维向量生成器的word2vec模型1008,为与所请求资源对应的属性组生成期望低维向量1010。
现在参考图11,根据示例性实施例示出说明相似访问策略添加过程的示例的示意图。相似访问策略添加过程1100可以在诸如图1中的服务器104或图2中的数据处理***200的计算机中实现。
在此示例中,相似访问策略添加过程1100包括访问策略1102(例如,带有所需用户访问情境{AtShibuyaOffice,Alone,IsEditor}的访问策略),该策略由诸如图9中的用户访问情境生成器906的用户访问情境生成器生成。所需用户访问情境AtShibuyaOffice(在涩谷办公室)、Alone和IsEditor分别由向量V1、V2和V3表示。相似访问策略添加过程1100包括相似访问策略1104(例如,带有所需用户访问情境{AtShinjukuOffice,Alone,IsEditor}的访问策略),该访问策略由诸如图9中的相似访问策略候选生成器914的相似访问策略候选生成器生成。所需用户访问情境AtShinjukuOffice(在新宿办公室)、Alone和IsEditor分别由向量V4、V2和V3表示。如果访问策略1102的V1、V2、V3与相似访问策略1104的V4、V2和V3之间的距离小于或等于定义的最大距离阈值,则相似访问策略添加过程1100将带有所需用户访问情境{AtShinjukuOffice,Alone,IsEditor}的相似访问策略1104作为访问策略添加到访问策略数据库,诸如图9中的访问策略数据库918。
现在参考图12,根据示例性实施例示出说明控制对受保护资源的访问的过程的流程图。图12所示的过程可以在诸如图1中的服务器104或图2中的数据处理***200的计算机中实现。
过程开始时,计算机允许在访问资源时具有各种用户访问情境的可信用户访问资源(步骤1202)。这些资源是受计算机保护的。计算机提取被可信用户访问的资源的属性(步骤1204)。计算机在资源访问日志中记录可信用户在访问资源时的各种用户访问情境以及资源的属性(步骤1206)。计算机使用在资源访问日志中记录的可信用户在访问资源时的各种用户访问情境以及资源的属性来训练用户访问情境生成器的机器学习模型(步骤1208)。
计算机通过请求访问资源的任何类型的用户激活基于情境的资源访问控制(步骤1210)。计算机通过网络从客户端设备接收具有用户访问情境的用户访问资源的请求(步骤1212)。计算机在访问策略数据库中搜索与用户请求的资源对应的访问策略(步骤1214)。
计算机根据搜索来确定访问策略数据库中是否存在针对资源的访问策略(步骤1216)。如果计算机确定访问策略数据库中不存在针对资源的访问策略,步骤1216的输出为“否”,则计算机指示用户访问情境生成器使用经过训练的机器学习模型为资源生成带有访问资源所需用户访问情境的访问策略(步骤1218)。此后,过程进行到步骤1220。如果计算机确定访问策略数据库中确实存在针对资源的访问策略,步骤1216的输出为“是”,则计算机确定用户的用户访问情境是否满足资源的访问策略的所需用户访问情境(步骤1220)。如果计算机确定用户的用户访问情境不满足资源的访问策略的所需用户访问情境,步骤1220的输出为“否”,则计算机拒绝用户对资源的访问(步骤1222)。此后,过程返回到步骤1212,计算机在此等待接收另一个资源访问请求。如果计算机确定用户的用户访问情境确实满足资源的访问策略的所需用户访问情境,步骤1220的输出为“是”,则计算机授予用户对资源的访问权(步骤1224)。此后,过程返回到步骤1212,计算机在此等待接收另一个资源访问请求。
现在参考图13,根据示例性实施例示出说明自动生成和实施访问控制策略的过程的流程图。图13所示的过程可以在诸如图1中的服务器104或图2中的数据处理***200的计算机中实现。
过程开始时,计算机将有权访问资源的可信用户访问资源时的用户访问情境与资源的属性相关联(步骤1302)。计算机记录用户访问情境与资源的属性之间的关联(步骤1304)。用户访问情境包括以下的至少之一:请求访问资源时用户所在位置、用户请求访问资源的时间、用户请求访问该位置的资源时是否有任何其他用户在场。计算机将用户访问情境和资源的属性作为训练数据输入机器学习模型,以形成经过训练的机器学习模型(步骤1306)。
计算机在接收到新用户访问某资源的请求时,提取资源的属性以形成提取的资源的属性(步骤1308)。计算机将提取的资源的属性输入到经过训练的机器学习模型(步骤1310)。计算机基于输入到经过训练的机器学习模型的提取的资源的属性,从经过训练的计算机学习模型获得访问资源所需用户访问情境的输出(步骤1312)。如果有多个所需用户访问情境的输出,计算机按照安全级别或程度,基于最安全访问策略选择过程或析取访问策略选择过程的其中之一来选择特定的用户访问情境。计算机用该访问资源所需用户访问情境的输出作为资源的访问策略来控制新用户对资源的访问(步骤1314)。此后,过程终止。
因此,本发明的示例性实施例提供了一种计算机实现的方法、计算机***和计算机程序产品,用于自动生成和实施用于对受保护资源进行基于情境的访问控制的访问策略。本发明的各种实施例的描述是为了说明的目的而提出的,但并非是穷尽性的或仅限于所公开的实施例。在不脱离所述实施例的范围和精神的情况下,许多修改和变体对于本领域的普通技术人员来说是显而易见的。本文使用的术语是为了最好地解释实施例的原理、实际应用或相对于市场上发现的技术的技术改进,或者使本领域的普通技术人员能够理解本文所公开的实施例。
Claims (13)
1.一种用于自动生成和实施访问策略的计算机实现的方法,该计算机实现的方法包括:
由计算机基于输入经过训练的机器学习模型的提取的资源的属性,从经过训练的计算机学习模型获得访问资源所需用户访问情境的输出;
由计算机使用访问资源所需用户访问情境的输出作为对资源的访问策略来控制用户对资源的访问。
2.根据权利要求1所述的计算机实现的方法,进一步包括:
由计算机在接收到用户访问资源的请求时提取资源的属性,以形成提取的资源的属性;
由计算机将提取的资源的属性输入经过训练的机器学习模型。
3.根据权利要求1所述的计算机实现的方法,进一步包括:
由计算机将有权访问资源的可信用户访问资源时的用户访问情境与资源的属性相关联;
由计算机记录用户访问情境与资源的属性之间的关联;
由计算机将用户访问情境和资源的属性作为训练数据输入机器学习模型,以形成经过训练的机器学习模型。
4.根据权利要求1所述的计算机实现的方法,其中,用户访问情境包括以下的至少之一:请求访问资源时用户所在位置、用户请求访问资源的时间、用户请求访问该位置的资源时任何其他用户在场或不在场。
5.根据权利要求1所述的计算机实现的方法,进一步包括:
由计算机允许访问资源时具有各种用户访问情境的可信用户访问资源,其中资源是受计算机保护的;
由计算机提取可信用户访问的资源的属性;
由计算机在资源访问日志中记录访问资源时可信用户的各种用户访问情境和资源的属性。
6.根据权利要求5所述的计算机实现的方法,进一步包括:
由计算机用在资源访问日志中记录的记录访问资源时可信用户的各种用户访问情境和资源的属性来训练机器学习模型;
由计算机通过请求访问资源的任何类型的用户激活基于情境的资源访问控制。
7.根据权利要求1所述的计算机实现的方法还包括:
由计算机计算机通过网络从客户端设备接收具有用户访问情境的用户访问资源的请求;
由计算机在访问策略数据库中搜索与用户请求的资源对应的访问策略。
8.根据权利要求7所述的计算机实现的方法,进一步包括:
由计算机根据搜索来确定访问策略数据库中是否存在针对资源的访问策略;
响应于计算机确定访问策略数据库中不存在针对资源的访问策略,由计算机指示用户访问情境生成器使用经过训练的机器学习模型为资源生成带有访问资源所需用户访问情境的访问策略。
9.根据权利要求8所述的计算机实现的方法,进一步包括:
响应于计算机确定访问策略数据库中确实存在针对资源的访问策略,由计算机确定用户的用户访问情境是否满足资源的访问策略的所需用户访问情境;
响应于计算机确定用户的用户访问情境不满足资源的访问策略的所需用户访问情境,由计算机拒绝用户对资源的访问。
10.根据权利要求9所述的计算机实现的方法,进一步包括:
响应于计算机确定用户的用户访问情境确实满足资源的访问策略的所需用户访问情境,由计算机授予用户对资源的访问权。
11.根据权利要求1所述的计算机实现的方法,其中,当存在多个所需用户访问情境的输出时,计算机按照安全级别基于最安全访问策略选择过程或析取访问策略选择过程的其中之一来选择特定的用户访问情境。
12.一种用于自动生成和实施访问策略的计算机***,该计算机***包括:
总线***;
连接到总线***的存储设备,其中,存储设备存储程序指令;
连接到总线***的处理器,其中,处理器执行程序指令以执行根据权利要求1至11中任一项所述的方法。
13.一种用于自动生成和实施访问策略的计算机程序产品,该计算机程序产品包括随附的程序指令,程序指令可由计算机执行,以使计算机执行权利要求1至11中任一项所述的方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/452,084 US20230129276A1 (en) | 2021-10-25 | 2021-10-25 | Automatic Resource Access Policy Generation and Implementation |
| US17/452084 | 2021-10-25 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116029387A true CN116029387A (zh) | 2023-04-28 |
Family
ID=86056942
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211330547.9A Pending CN116029387A (zh) | 2021-10-25 | 2022-10-24 | 自动资源访问策略生成和实施 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230129276A1 (zh) |
| JP (1) | JP2023064094A (zh) |
| CN (1) | CN116029387A (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11704441B2 (en) * | 2019-09-03 | 2023-07-18 | Palantir Technologies Inc. | Charter-based access controls for managing computer resources |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7908663B2 (en) * | 2004-04-20 | 2011-03-15 | Microsoft Corporation | Abstractions and automation for enhanced sharing and collaboration |
| JP5348143B2 (ja) * | 2008-12-08 | 2013-11-20 | 日本電気株式会社 | 個人情報交換システム、個人情報提供装置、そのデータ処理方法、およびそのコンピュータプログラム |
| WO2017147036A1 (en) * | 2016-02-23 | 2017-08-31 | Carrier Corporation | Extraction of policies from natural language documents for physical access control |
| CN109792439B (zh) * | 2016-09-16 | 2021-08-27 | 甲骨文国际公司 | 用于威胁检测的动态策略注入和访问可视化 |
| US11184359B2 (en) * | 2018-08-09 | 2021-11-23 | Microsoft Technology Licensing, Llc | Automated access control policy generation for computer resources |
| US11256817B2 (en) * | 2019-02-11 | 2022-02-22 | Red Hat, Inc. | Tool for generating security policies for containers |
-
2021
- 2021-10-25 US US17/452,084 patent/US20230129276A1/en active Pending
-
2022
- 2022-10-24 JP JP2022170070A patent/JP2023064094A/ja active Pending
- 2022-10-24 CN CN202211330547.9A patent/CN116029387A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20230129276A1 (en) | 2023-04-27 |
| JP2023064094A (ja) | 2023-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10581919B2 (en) | Access control monitoring through policy management | |
| US10454975B1 (en) | Conditional comptuing resource policies | |
| US11588855B2 (en) | Policy approval layer | |
| US20200394327A1 (en) | Data security compliance for mobile device applications | |
| EP3133507A1 (en) | Context-based data classification | |
| US10931673B2 (en) | Policy activation for client applications | |
| US10944561B1 (en) | Policy implementation using security tokens | |
| US10992657B1 (en) | Multi-account entity based access control | |
| US11914687B2 (en) | Controlling access to computer resources | |
| WO2017143879A1 (zh) | 文件的权限管理方法及装置 | |
| US12039087B2 (en) | Charter-based access controls for managing computer resources | |
| US10445514B1 (en) | Request processing in a compromised account | |
| CN113574528B (zh) | 用于提供针对did数据的遵守策略的存储的计算***和方法 | |
| US10326731B2 (en) | Domain name service information propagation | |
| CN110084053A (zh) | 数据脱敏方法、装置、电子设备及存储介质 | |
| CN116029387A (zh) | 自动资源访问策略生成和实施 | |
| CN114491501A (zh) | 用于保护密码登录的基于规则的过滤 | |
| US11425126B1 (en) | Sharing of computing resource policies | |
| CN111753304B (zh) | 用于基于访问权在计算设备上执行任务的***和方法 | |
| US20210264107A1 (en) | Understanding and mediating among diversely structured operational policies | |
| CN114626084A (zh) | 用于控制对数据的访问的安全智能容器 | |
| US20200104696A1 (en) | Service account prediction using user name | |
| US11657141B2 (en) | Providing an indication of user-tailored password strength | |
| CN114338069A (zh) | 授予对用户的数据的访问权的***和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |