用于控制和提供资源访问的方法技术

提供了一种用于控制对资源的访问权的方法。所述方法包括从第一用户接收与提供对所述资源的访问权的业务标准有关的第一输入；从第二用户接收与用于提供对所述资源的访问权的应用特定标准相关的第二输入；基于所述输入生成一个或多个访问控制规则；接收访问请求；以及基于所述规则和与所述访问权相关的任何条件来确定是否准许访问请求。所述方法有效地将业务相关标准与用于访问确定的应用特定标准分离，从而确保业务涉众和应用所有者各自具有独立的能力来为生成访问控制规则和策略提供输入。输入。输入。

【技术实现步骤摘要】
【国外来华专利技术】用于控制和提供资源访问的方法
[0001]相关申请的交叉引用
[0002]本申请要求2019年2月28日提交的美国临时专利申请序列号62/811,947的利益，其全部内容通过引用结合于此。


[0003]本公开涉及资源访问控制和提供的领域。更具体地，本公开涉及一种基于从业务涉众和应用所有者的独立输入导出的规则和策略来控制和提供对资源的访问的方法。

技术介绍

[0004]商业实体和组织通常会运行应用并生成信息，这些应用和信息是敏感和/或专有的。因此，应仔细控制对这些应用和信息的访问，以避免潜在成本和/或不利结果。传统上，访问控制是通过使用基于角色的访问控制(RBAC)软件实现的，该软件通常基于员工的职别来分配访问权。
[0005]然而，在许多情况下，基于员工职别的访问权分配可能无法考虑与特定资源访问权的最佳确定相关的其他因素。例如，在特定时间间隔期间提供访问和在该特定时间间隔之外拒绝访问可能是有利的。作为另一个示例，基于正在执行的业务功能，访问分配可能适合于特定员工，在这种情况下，职别可能无法提供足够的信息来作出与访问有关的适当确定。此外，可能有多个参与方具有与访问确定相关的独立利益，因此需要促进考虑了来自独立参与方的单独输入的访问分配。此外，还需要对可能发生的访问分配和规则更改进行管理和跟踪，特别是考虑到对所有受影响方的潜在影响。

技术实现思路

[0006]本公开通过其各个方面、实施例和/或特定特征或子组件中的一个或多个，除其他外，提供了基于从业务涉众和应用所有者的独立输入导出的规则和策略来控制和提供对资源的访问权的各种系统、服务器、设备、方法、介质、程序以及平台。
[0007]根据本公开的一个方面，提供了一种用于控制对资源的访问权的方法。所述方法由至少一个处理器实现。所述方法包括：从第一用户接收第一输入，所述第一输入涉及用于提供对所述资源的访问权的业务标准；从第二用户接收第二输入，所述第二输入涉及用于提供对所述资源的访问权的应用特定标准；基于所述第一输入和所述第二输入，生成用于提供对所述资源的访问权的至少一个规则；从第三用户接收资源访问请求，所述资源访问请求包括涉及所述第三用户的标识的信息；基于所述至少一个规则和包括在所述资源访问请求中的信息，确定是否授予对所述资源的访问权和决定授予所述访问权所依赖的至少一个条件；以及向所述第三用户发送指示所述确定的结果的消息。
[0008]所述业务标准可包括以下中的至少一个：将被授予所述访问权的实体的指示，以及授予所述访问权所依赖的条件的指示。
[0009]所述第一输入可包括以下中的至少一个：人员的姓名、员工的职别、群组的名称、
组织标识、访问时间信息、允许的访问位置以及所述访问权的操作方面。
[0010]所述应用特定标准可包括以下中的至少一个：将被授予所述访问权的实体的指示，以及授予所述访问权所依赖的条件的指示。
[0011]所述第二输入可包括以下中的至少一个：人员的姓名、员工的职别、群组的名称、组织标识、访问时间信息、允许的访问位置以及所述访问权的操作方面。
[0012]所述方法可还包括：通过执行访问管理认证来验证所述确定的结果。
[0013]所述访问管理认证可包括策略认证、角色认证、异常认证、职责分离认证和访问终止认证中的至少一个。
[0014]当所述确定的结果指示将向所述第三用户授予所述访问权时，所述方法可还包括：认证所述第三用户的标识并响应于成功认证而向所述第三用户授予所述访问权。
[0015]所述方法可还包括：在存储器中存储与所述访问权授予的记录有关的信息；以及基于所存储的信息调整所述至少一个规则。
[0016]所述方法可还包括：从所述第一用户和所述第二用户中的至少一个接收与提议的访问规则变更有关的请求；以及根据所述接收到的请求调整所述至少一个规则。
[0017]根据本公开的另一方面，提供了一种用于控制对资源的访问权的计算设备。所述计算设备包括：处理器；存储器；以及通信接口，耦接至所述处理器和所述存储器中的每一个。所述处理器被配置为：经由所述通信接口从第一用户接收第一输入，所述第一输入涉及提供对所述资源的访问权的业务标准；经由所述通信接口从第二用户接收第二输入，所述第二输入涉及用于提供对所述资源的访问权的应用特定标准；基于所述第一输入和所述第二输入，生成用于提供对所述资源的访问权的至少一个规则；经由所述通信接口从第三用户接收资源访问请求，所述资源访问请求包括涉及所述第三用户的标识的信息；基于所述至少一个规则和包括在所述资源访问请求中的信息，确定是否授予对所述资源的访问权和决定授予所述访问权所依赖的至少一个条件；以及经由所述通信接口向所述第三用户发送指示所述确定的结果的消息。
[0018]所述业务标准可包括以下中的至少一个：将被授予所述访问权的实体的指示，以及授予所述访问权所依赖的条件的指示。
[0019]所述第一输入可包括以下中的至少一个：人员的姓名、员工的职别、群组的名称、组织标识、访问时间信息、允许的访问位置以及所述访问权的操作方面。
[0020]所述应用特定标准可包括以下中的至少一个：将被授予所述访问权的实体的指示，以及授予所述访问权所依赖的条件的指示。
[0021]所述第二输入可包括以下中的至少一个：人员的姓名、员工的职别、群组的名称、组织标识、访问时间信息、允许的访问位置以及所述访问权的操作方面。
[0022]所述处理器可还被配置为：通过执行访问管理认证来验证所述确定的结果。
[0023]所述访问管理认证可包括策略认证、角色认证、异常认证、职责分离认证和访问终止认证中的至少一个。
[0024]当所述确定的结果指示将向所述第三用户授予所述访问权时，所述处理器可还被配置为：认证所述第三用户的标识并响应于成功认证而向所述第三用户授予所述访问权。
[0025]所述处理器可还被配置为：在所述存储器中存储与所述访问权授予的记录有关的信息；以及基于所存储的信息调整所述至少一个规则。
[0026]所述处理器可还被配置为：从所述第一用户和所述第二用户中的至少一个接收与提议的访问规则变更有关的请求；以及基于所述接收到的请求调整所述至少一个规则。
附图说明
[0027]在以下的详细描述中，通过本公开的优选实施例的非限制性示例，参考所述多个附图，进一步描述了本公开，在若干附图的视图中，相似的附图标记表示相似的要素。
[0028]图1示出了用于控制和提供对资源的访问权的示例性计算机系统。
[0029]图2示出了具有访问控制设备的网络环境的示例图。
[0030]图3示出了用于基于从多个相关方的独立输入导出的规则和策略来控制和提供对资源的访问权的示例性系统。
[0031]图4是用于控制和提供对资源的访问权的示例性过程的流程图。
[0032]图5示出了逻辑策略模型的示例图，该逻辑策略模型在接受各方输入的同时提供访问控制系统的管理和连续性。
[0033]图6本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于控制对资源的访问权的方法，所述方法由至少一个处理器实现，所述方法包括：从第一用户接收第一输入，所述第一输入涉及用于提供对所述资源的访问权的业务标准；从第二用户接收第二输入，所述第二输入涉及用于提供对所述资源的访问权的应用特定标准；基于所述第一输入和所述第二输入，生成用于提供对所述资源的访问权的至少一个规则；从第三用户接收资源访问请求，所述资源访问请求包括涉及所述第三用户的标识的信息；基于所述至少一个规则和包括在所述资源访问请求中的信息，确定是否授予对所述资源的访问权和决定授予所述访问权所依赖的至少一个条件；以及向所述第三用户发送指示所述确定的结果的消息。2.根据权利要求1所述的方法，其中，所述业务标准包括以下中的至少一个：将被授予所述访问权的实体的指示，以及授予所述访问权所依赖的条件的指示。3.根据权利要求2所述的方法，其中，所述第一输入包括以下中的至少一个：人员的姓名、员工的职别、群组的名称、组织标识、访问时间信息、允许的访问位置以及所述访问权的操作方面。4.根据权利要求1所述的方法，其中，所述应用特定标准包括以下中的至少一个：将被授予所述访问权的实体的指示，以及授予所述访问权所依赖的条件的指示。5.根据权利要求4所述的方法，其中，所述第二输入包括以下中的至少一个：人员的姓名、员工的职别、群组的名称、组织标识、访问时间信息、允许的访问位置以及所述访问权的操作方面。6.根据权利要求1所述的方法，还包括：通过执行访问管理认证来验证所述确定的结果。7.根据权利要求6所述的方法，其中，所述访问管理认证包括策略认证、角色认证、异常认证、职责分离认证、和访问终止认证中的至少一个。8.根据权利要求1所述的方法，其中，当所述确定的结果指示将向所述第三用户授予所述访问权时，所述方法还包括：认证所述第三用户的标识，并响应于成功认证而向所述第三用户授予所述访问权。9.根据权利要求1所述的方法，还包括：在存储器中存储与所述访问权授予的记录有关的信息；以及基于所存储的信息调整所述至少一个规则。10.根据权利要求1所述的方法，还包括：从所述第一用户和所述第二用户中的至少一个接收与提议的访问规则变更有关的请求；以及
根据所述接收到的请求调整所述至少一个规则。11.一种用于控制对资源的访问权的计算设备，所述计算设备包括：处理器；存储器；以及通信接口，耦接至所述处理器和所述存储器中的每一个，其中，所述处理...

【专利技术属性】
技术研发人员：R，
申请(专利权)人：摩根大通国家银行，
类型：发明
国别省市：