本发明专利技术涉及自动资源访问策略生成和实施。提供了自动生成和实施访问策略的功能。基于输入经过训练的机器学习模型的提取的资源的属性,从经过训练的计算机学习模型获得访问资源所需用户访问情境的输出。使用访问资源所需用户访问情境的输出作为对资源的访问策略来控制用户对资源的访问。制用户对资源的访问。制用户对资源的访问。
【技术实现步骤摘要】
自动资源访问策略生成和实施
[0001]本公开一般涉及访问控制,更具体地说,涉及自动生成和实施用于对受保护资源进行基于情境的访问控制的访问策略。
技术介绍
[0002]访问控制是对诸如包含敏感材料、信息或数据的受保护文档、文件、硬件、软件之类的资源的访问的选择性限制。访问的行为可意味着消费或使用。访问资源的允许称为授权。授权是指定用户对受保护资源的访问权利或特权的功能。授权用户访问特定资源就是定义访问策略。
[0003]随着远程工作、共享办公空间等新的工作方式变得越来越流行和广泛,对受保护资源的适当访问控制的要求也随着工作方式的多样化而变化。基于角色的访问控制是一种访问控制机制,它根据请求访问受保护资源的用户被分配的角色来控制对受保护资源的访问。例如,被分配了“管理员”角色的用户可以以任何方式访问受保护文档,例如读取、更新和删除,而被分配了“普通用户”角色的用户则不被允许编辑受保护文档,而只能查看文档。然而,在新的工作方式中,使用基于角色的访问控制可能无法提供足够的资源安全性。例如,可能会出现被授权访问特定资源的用户与未被授权访问该资源的用户位于同一房间的情况。此外,也可能出现被授权用户请求从其他人可以查看受保护资源的未授权位置(如餐厅)访问受保护资源的情况。在上述两种情况下,基于角色的访问控制都会在缺乏适当的资源安全性的情况下授予对资源的访问权。
[0004]另一种访问控制机制是基于情境的访问控制。基于情境的访问控制根据多个预定义的访问控制策略来确定用户的情境在请求访问受保护资源时是否满足该多个预定义访问控制策略之一。如果是,则授予访问权。否则,访问将被拒绝。然而,当前的基于情境的访问控制系统由于需要为资源访问定义大量的访问控制策略而存在问题。例如,使用当前基于情境的访问控制,必须为每个受保护资源预定义一组策略。每个受保护资源的用户访问情境的数量可能相当大。每个策略都是由这些用户访问情境的组合来表达的。换句话说,所需访问策略的数量至少是资源数量乘以M,其中M是预定义访问情境数量的二次方。因此,情境类型的数量太大,以至于无法由用户(例如,安全分析师、系统管理员等)手动地预定义。因此,基于情境的访问控制可能由于缺少与请求访问特定资源的用户的当前情境匹配的预定义用户访问情境而不允许否则会被授权的用户访问特定资源。
技术实现思路
[0005]根据一个示例性实施例,提供了一种用于自动生成和实施访问策略的计算机实现的方法。计算机计算机基于输入经过训练的机器学习模型的提取的资源的属性,从经过训练的计算机学习模型获得访问资源所需用户访问情境的输出。计算机使用访问资源所需用户访问情境的输出作为对资源的访问策略来控制用户对资源的访问。根据其他示例性实施例,提供了一种用于自动生成和实施访问策略的计算机系统和计算机程序产品。因此,示例
性实施例通过利用用户在请求访问资源时所需的用户访问情境来提高资源的安全性,从而在资源访问控制领域提供了技术效果和实际应用。
[0006]此外,示例性实施例可选地计算机将有权访问资源的可信用户访问资源时的用户访问情境与资源的属性相关联,记录用户访问情境与资源的属性之间的关联,并将用户访问情境和资源的属性作为训练数据输入机器学习模型,以形成经过训练的机器学习模型。因此,示例性实施例用经训练的机器学习模型来自动生成和实施带有所需用户访问情境的访问策略,提高了计算机保护资源的性能。
附图说明
[0007]图1是其中可以实施示例性实施例的数据处理系统网络的图示;
[0008]图2是其中可以实施示例性实施例数据处理系统的示意图;
[0009]图3是根据示例性实施例的访问策略生成器的示例的示意图;
[0010]图4是根据示例性实施例的用于访问控制策略的用户访问情境的示例的示意图;
[0011]图5是根据示例性实施例的训练数据收集过程的示例的示意图;
[0012]图6是根据示例性实施例的机器学习模型训练过程的示例的示意图;
[0013]图7是例示根据示例性实施例、当存在访问策略时的资源访问控制过程的示例;
[0014]图8是例示根据示例性实施例、当不存在访问策略时的资源访问控制过程的示例;
[0015]图9是根据示例性实施例的低维向量生成过程的示例的示意图;
[0016]图10是根据示例性实施例的资源属性低维向量生成过程的示例的示意图;
[0017]图11是根据示例性实施例相似访问策略添加过程的示例的示意图;
[0018]图12是说明根据示例性实施例的控制对受保护资源的访问的过程的流程图;和
[0019]图13是说明根据示例性实施例的自动生成和实施访问策略的过程的流程图。
具体实施方式
[0020]本专利技术可以是任何可能的技术细节集成水平的系统、方法、和/或计算机程序产品。计算机程序产品可包括其上具有用于使处理器执行本专利技术的各方面的计算机可读程序指令的计算机可读存储介质。
[0021]计算机可读存储介质可以是可保留和存储供指令执行设备使用的指令的有形设备。计算机可读存储介质可以是,例如但不限于,电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备、或者上述的任意合适的组合。计算机可读存储介质的更具体示例的非穷尽列表包括以下各项:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式紧凑盘只读存储器(CD
‑
ROM)、数字通用盘(DVD)、记忆棒、软盘、诸如穿孔卡或具有记录在其上的指令的槽中的凸出结构之类的机械编码设备、以及上述各项的任何合适的组合。如本文所使用的计算机可读存储介质不应被解释为瞬态信号本身,例如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如,穿过光纤电缆的光脉冲)或通过导线发射的电信号。
[0022]本文所述的计算机可读程序指令,可以从计算机可读存储介质下载到相应的计算/处理设备,或者通过网络(例如,互联网、局域网、广域网和/或无线网络)下载到外部计
算机或外部存储设备。网络可以包括铜传输电缆、光传输纤维、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配器卡或网络接口接收来自网络的计算机可读程序指令,并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储介质中。
[0023]用于执行本专利技术的操作的计算机可读程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或以一种或多种编程语言的任何组合编写的源代码或目标代码,这些编程语言包括面向对象的编程语言(如Java、Smalltalk、C++等)和常规的过程编程语言(如“C”编程语言或类似的编程语言)。计算机可读程序指令可以完全地在用户计算机上执行、部分在用户计算机上执行、作为独立软件包执行、部分在用户计算机上部分在远程计算机上执行本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于自动生成和实施访问策略的计算机实现的方法,该计算机实现的方法包括:由计算机基于输入经过训练的机器学习模型的提取的资源的属性,从经过训练的计算机学习模型获得访问资源所需用户访问情境的输出;由计算机使用访问资源所需用户访问情境的输出作为对资源的访问策略来控制用户对资源的访问。2.根据权利要求1所述的计算机实现的方法,进一步包括:由计算机在接收到用户访问资源的请求时提取资源的属性,以形成提取的资源的属性;由计算机将提取的资源的属性输入经过训练的机器学习模型。3.根据权利要求1所述的计算机实现的方法,进一步包括:由计算机将有权访问资源的可信用户访问资源时的用户访问情境与资源的属性相关联;由计算机记录用户访问情境与资源的属性之间的关联;由计算机将用户访问情境和资源的属性作为训练数据输入机器学习模型,以形成经过训练的机器学习模型。4.根据权利要求1所述的计算机实现的方法,其中,用户访问情境包括以下的至少之一:请求访问资源时用户所在位置、用户请求访问资源的时间、用户请求访问该位置的资源时任何其他用户在场或不在场。5.根据权利要求1所述的计算机实现的方法,进一步包括:由计算机允许访问资源时具有各种用户访问情境的可信用户访问资源,其中资源是受计算机保护的;由计算机提取可信用户访问的资源的属性;由计算机在资源访问日志中记录访问资源时可信用户的各种用户访问情境和资源的属性。6.根据权利要求5所述的计算机实现的方法,进一步包括:由计算机用在资源访问日志中记录的记录访问资源时可信用户的各种用户访问情境和资源的属性来训练机器学习模型;由计算机通过请求访问资源的任何类型的用户激活基于情境的资源访问控制。7.根据权利要求1所述的计算机实现的方法还包括:由计算机计算...
【专利技术属性】
技术研发人员:佐竹佑规,许鸣琴,中岛文,泽田树,半泽顺一,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。