[发明专利]用于生成资源访问控制决策的方法和系统

权利要求书

1.一种用于生成资源访问控制决策的计算机实现的方法，所述计算机实现的方法包括：

由所述计算机使用与资源访问请求关联的紧急值，调整与受保护资源的资源标识符关联的资源值；

由计算机基于与资源访问请求的上下文关联的估计风险值，调节与请求访问受保护资源的用户的用户标识符关联的用户信任值；以及

由所述计算机基于与所述受保护资源关联的调整后的资源值以及与请求访问所述受保护资源的所述用户关联的调节后的用户信任值，生成所述资源访问控制决策。

2.根据权利要求1的计算机实现的方法，还包括：

由所述计算机将所生成的资源访问控制决策输出到与请求访问所述受保护资源的所述用户关联的实施点，其中所生成的资源访问控制决策是以下项之一：用于允许所述用户访问所述受保护资源的决策、用于拒绝所述用户访问所述受保护资源的决策，或者用于使用风险减轻措施减轻访问风险的决策。

3.根据权利要求2的计算机实现的方法，其中所述风险减轻措施包括以下项中的至少一个：生成附加用户认证质询以便检验所述用户的身份，编辑受保护资源内容以便减小面临风险的资源值，删除客户机上当前可用于所述用户的所述受保护资源的内容，以及向所述用户发送请求以便通过更改地理位置和客户机上下文中的至少一个来更改所述资源访问请求的所述上下文以减轻风险。

4.根据权利要求1的计算机实现的方法，还包括：

由所述计算机使用与所述资源访问请求关联的紧急值，调整与请求访问所述受保护资源的所述用户关联的所述用户信任值；

由计算机基于与资源访问请求的所述上下文关联的所述估计风险值，调节与请求访问所述受保护资源的所述用户关联的调整后的用户信任值；以及

由所述计算机基于与请求访问所述受保护资源的所述用户关联的调节后的已调整用户信任值，生成所述资源访问控制决策。

5.根据权利要求1的计算机实现的方法，还包括：

由所述计算机接收所述资源访问请求，所述资源访问请求包括所述受保护资源的所述资源标识符、请求访问所述受保护资源的所述用户的所述用户标识符，以及标识来自客户机的所述资源访问请求的所述上下文的上下文信息。

6.根据权利要求5的计算机实现的方法，还包括：

由所述计算机从所述资源访问请求中提取所述受保护资源的所述资源标识符以及所述用户的所述用户标识符。

7.根据权利要求5的计算机实现的方法，还包括：

由所述计算机从包括在所述资源访问请求中的所述上下文信息，确定所述资源访问请求的所述上下文。

8.根据权利要求1的计算机实现的方法，还包括：

由所述计算机使用资源标识符-资源值映射，检索与所述受保护资源的所述资源标识符关联的所述资源值；以及

由所述计算机使用用户标识符-用户信任值映射，检索与所述用户的所述用户标识符关联的所述用户信任值。

9.根据权利要求1的计算机实现的方法，其中所述资源访问请求的所述上下文包括以下项中的至少一个：与请求访问所述受保护资源的所述用户关联的客户机的地理位置、与所述客户机的所述地理位置对应的安全级别、发出所述资源访问请求的时间、与请求访问所述受保护资源的所述用户对应的用户行为简档、与请求访问所述受保护资源的所述用户使用的所述客户机对应的安全级别、与请求访问所述受保护资源的所述用户对应的资源访问历史日志，以及所述用户当前访问的多个受保护资源及其对应的资源值。

10.根据权利要求1的计算机实现的方法，其中所述计算机利用基于信任/值/风险的访问控制策略来确定所述资源访问控制决策，并且其中所述基于信任/值/风险的访问控制策略将与所述受保护资源关联的所述资源值、与请求访问所述受保护资源的所述用户关联的所述用户信任值，以及与所述访问请求的所述上下文关联的所述估计风险值分成三个不同的组成部分。