用于保护电子设备的方法和计算机系统的制作方法
【专利摘要】实施例针对一种用于保护电子设备的计算机系统。所述系统包括至少一个处理器,其被配置为接收来自寻求访问所述设备的实体的至少一个通信。所述至少一个处理器被进一步配置为生成来自寻求访问所述设备的实体的至少一个通信的图。所述至少一个处理器被进一步配置为确定寻求访问所述设备的实体的认知特性和被授权访问所述设备的实体的认知身份之间的差异。所述至少一个处理器被进一步配置为至少部分基于所述差异大于阈值的确定,部署所述设备的安全措施。
【专利说明】
用于保护电子设备的方法和计算机系统
技术领域
[0001] 本公开总地设及保护电子设备,并且更具体地,设及基于由所述设备的用户进行 的通信的图分析保护电子设备。
【背景技术】
[0002] 电子设备(例如,诸如智能电话、平板计算机、膝上型计算机等的文本或语音输入 设备)的安全常常依赖于诸如用户密码和生物测定学(例如,指纹、面部辨识等)的传统安全 措施。运些安全措施可能受到危害,并且作为结果,所述电子设备可能被暴露给安全漏桐。
【发明内容】
[0003] 实施例针对一种具有计算机可读存储介质的计算机程序产品,所述计算机可读存 储介质具有W其实施的程序指令,其中所述计算机可读存储介质不是瞬时信号本身。所述 程序指令可由至少一个处理器电路读取W使得所述至少一个处理器电路执行保护设备的 方法。所述方法包括由所述至少一个处理器电路接收来自寻求访问所述设备的实体的至少 一个通信。所述方法还包括由所述至少一个处理器电路生成来自寻求访问所述设备的实体 的至少一个通信的图。所述方法还包括确定寻求访问所述设备的实体的认知特性和被授权 访问所述设备的实体的认知身份之间的差异。所述方法还包括至少部分基于所述差异大于 阔值的确定,部署所述设备的安全措施。
[0004] 实施例进一步针对一种用于保护电子设备的计算机实现的方法。所述方法包括由 计算机的至少一个处理器接收来自寻求访问所述设备的实体的至少一个通信。所述方法进 一步包括由计算机的至少一个处理器生成来自寻求访问所述设备的实体的至少一个通信 的图。所述方法进一步包括确定寻求访问所述设备的实体的认知特性和被授权访问所述设 备的实体的认知身份之间的差异。所述方法进一步包括至少部分基于所述差异大于阔值的 确定,部署所述设备的安全措施。
[0005] 实施例进一步针对一种用于保护电子设备的计算机系统。所述系统包括被配置为 接收来自寻求访问所述设备的实体的至少一个通信的至少一个处理器。所述至少一个处理 器被进一步配置为生成来自寻求访问所述设备的实体的至少一个通信的图。所述至少一个 处理器被进一步配置为确定寻求访问所述设备的实体的认知特性和被授权访问所述设备 的实体的认知身份之间的差异。所述至少一个处理器被进一步配置为至少部分基于所述差 异大于阔值的确定,部署所述设备的安全措施。
【附图说明】
[0006] 具体地指出并且在说明书末尾的权利要求中明确地要求保护被视为实施例的主 题。根据结合附图进行的下列详细描述,实施例的前述和其他特征W及优点是显而易见的, 其中:
[0007] 图1描绘根据本公开的实施例的用于保护电子设备的系统;
[0008] 图2描绘根据本公开的实施例的通信的图;
[0009] 图3描绘根据本公开的实施例的通信的图;
[0010] 图4描绘根据本公开的实施例的用于保护电子设备的处理流程;
[0011] 图5描绘根据本公开的实施例的云计算节点;
[0012] 图6描绘根据本公开的实施例的云计算环境;W及
[0013] 图7描绘根据本公开的实施例的抽象模型层。
【具体实施方式】
[0014] 本公开的实施例提供系统和方法,其对试图访问设备的实体(例如,设备用户)进 行的通信执行图文本分析,W便识别试图访问设备的实体的当前认知特性、W及试图访问 设备的实体的当前认知特性和被授权访问设备的实体(例如,被授权用户)的认知身份之间 的差别。在运里使用术语实体来指代任何存在或真实的事物,包括个体、群组和组织。如运 里使用的,术语认知指代脑组织的神经生理学行为。运些行为可W使得肌肉可测量地运动。 运些运动可W产生身体的姿势,例如语音装置的姿势,W便实施诸如语音声音的环境的变 化。在运里使用术语通信W包括源于脑组织的任何可测量的行为,包括神经生理学、肌肉运 动、姿势、或包括语音声音的环境的改变。如果当前认知特性和认知身份之间的差别大于阔 值,则所述系统和方法触发安全措施。也就是说,所述系统和方法在所确定的差别不超过阔 值时确定使用电子设备的设备用户是被授权使用电子设备的用户,并且如果所述差别超过 阔值,则确定设备用户不是被授权的用户。
[0015] 具体地,在一些实施例中,所述系统和方法创建对于电子设备的文本和语音到文 本输入的用户特有的拓扑模型。运些模型是紧凑的、容易计算的并且指示设备用户的身份, 从而在难W欺骗的简档中表示用户的认知特性。运些认知简档随后被用于支持可被挫败的 电子设备上的现有安全措施,因此确保被侵入的设备连续对它的用户施加某些安全测试, 并且运些连续的监视测试难W被连续欺骗。
[0016] 图1示出用于在设备上部署安全措施的系统100。在一些实施例中,系统100包括模 块、子模块和数据存储器,诸如通信获得模块102、图构造模块104、图文本分析模块106、安 全措施部署模块108、集群存储库110、图存储库112和认知身份存储库114。图1还示出电子 设备116和设备用户118。
[0017] 电子设备116是能够接收或收集由设备用户118进行的通信(例如,文本、说出的单 词、电子邮件)的设备。例如,电子设备包括诸如智能电话、智能表、平板计算机、膝上型计算 机等的移动设备W及诸如桌面型计算机、主机等的静止设备。电子设备116可W包括接收由 设备用户118进行的音频通信的一个或多个麦克风。电子设备103可W包括从设备用户118 接收文本通信的一个或多个部件,诸如虚拟或物理键盘或小键盘。
[0018] 在一些实施例中,电子设备116可W采用一个或多个安全措施,包括指纹扫描器、 密码/密钥锁、面部辨识技术、声音辨识技术等,其防止对电子设备116的未被授权的访问。 如运里将描述的,由系统100分析在电子设备116处接收到的通信W增强或触发安全措施。
[0019] 设备用户118是试图通过满足安全措施或通过绕过安全措施使用电子设备116的 人。也就是说,设备用户118可W是设备的被授权的或未被授权的用户。设备用户118可W包 括试图使用电子设备116的单个人或一组人。包括设备用户118的一组人可W包括例如共享 电子设备的家庭的成员、社交网络中的若干人、教室中的若干人、在工作场所的团队的成员 等。
[0020] 通信获得模块102通过从电子设备116接收或取得通信来获得在电子设备116处接 收的文本和/或音频通信。通信获得模块102还可W使用一个或多个现在已知的或W后开发 的语音到文本技术来将任何音频通信转换为文本通信。通信不仅包括设备用户132直接输 入到电子设备116的通信,还包括从各种其他源经由电子设备116接收的通信。运些源包括 例如电子邮件、即时消息、社交媒体内容(例如,推特(tweets)、脸书(Facebook)内容等)、电 话呼叫、传真、多媒体聊天等。
[0021] 图构造模块104从通信获得模块102接收设备用户的通信的文本。图构造模块104 随后对于设备用户118从接收的数据构建图。更具体地,在一些实施例中,图构造模块104从 接收的文本提取语法特征并且将提取的特征转换为向量。运些语法向量可W具有用于语法 类别的二进制分量,诸如动词、名词、代词、形容词、词根等。例如,在一些实施例中,向量[0, 1,0,0···]表示名词单词。
[0022] 图构造模块104还可W使用一个或多个现在已知的或W后开发的技术(例如,潜在 语义分析(Latent Se皿ntic Analysis)和Wor抓et)从接收的文本生成语义向量。文本中的 每一个通信的语义内容可W由向量表示,所述向量的分量通过在大的文件数据库上的单词 同现频率的奇异值分解来确定。
[0023] 由图构造模块104生成的图可W采用如下形式:沒-摔点添},其中节点N表示记 号(token)(例如,单词或词组),边E表示设备用户的通信中的时间优先(temporal precedence),并且每一个节点具有特征向量發,该特征向量隸在一些实施例中被定义为语 法和语义向量W及额外的非文本特征向量(例如,用于人的身份的预定向量)的直和 (direct sum)。也就是说,在一些实施例中,特征向量嫉由如下等式定义: S鑛鶴&;;;:潑%觀、,其中毅是特征向量,'%9&..是语法向量,礙*;!;:是语义向量,并且 苗sixs是非文本向量。
[0024] 图2中示出可由图构造模块104生成的示例图200。如所示,图200是包括通信(例 如,单词或词组)的有序集合的有向图,每一个通信具有特征向量。如果多于一次地进行相 同通信,则在该图中可W形成回路。当设备用户118表示一个人时,图构造模块104构建包括 所述人的通信的一个图。当设备用户118表示一组人时,图构造模块104构建包括该组中的 全部人的通信的一个图,或用于该组中的每一个人的一个图。如下文将进一步描述的,在一 些实施例中,在电子设备116中运行的化身(avatar)可W与设备用户118合作。在运些实施 例中,图构造模块104可W构建包括由设备用户118表示的一个或多个人的通信W及由化身 进行的通信的一个图。
[0025] 图3示出用于一组人(例如,被描绘为黑色、灰色和白色节点的Ξ个人)的图300。具 体地,例如,用于一人的节点被描绘为黑色,用于另一人的节点被描绘为白色,并且用于再 一人的节点被描绘为灰色。可W对于组中的全部人构建图300,或可W通过组合用于各个人 的图来构造图300。在一些实施例中,图300的节点可W与人的身份相关联。在一些实施例 中,在对存储在图存储库112中的通信的图执行图文本分析之后,图文本分析模块106可W 出于隐私的原因将那些图丢弃或隐匿化。在不同上下文内对用户的认知特性进行分类时, 例如在与其他特定个人进行电话通话的时候,多组用户的分析可w是有用的。
[0026] 当在设备用户118进行更多通信时从通信获得模块102接收来自设备用户118的更 多文本的时候,图构造模块104更新所述图。图构造模块104在图存储库112中存储用于设备 用户118的所生成的一个或多个图。
[0027] 图文本分析模块106对由图构造模块104生成的图执行图文本分析。作为图文本分 析的具体示例,在一些实施例中,图文本分析模块106基于各种拓扑特征分析由图构造模块 104生成的用于人的图G。各种特征包括图骨架(即,没有特征向量的图:Gsk=阳,E})的图论 拓扑测度,诸如度分布、小尺寸图案(motif)的密度、集群、中屯、性等。类似地,通过包括用于 所述图的每一个节点的特征向量可W提取额外的值。一个运种实例是广义Potts模型(例 如,抹…扳爲。满sT礙;)的磁化,使得考虑时间相近性(例如,两个节点之间的边的数目) 和特征相似性。合并所述通信的语法、语义和动态分量的运些特征随后被组合为表示样本 的多维特征向量F。该特征向量最后被用于训练标准分类器:Μ 游、、W区分 属于不同条件C的样本,使得对于每一个样本,所述分类器基于所提取的特征估计它的条件 身份:C(孤?邸命)-泌裝泌;僻g)。
[0028] 在一些实施例中,当设备用户118是一组人时,图文本分析模块106可W基于各种 因素对用于组中的不同人的节点给出不同权重。例如,用于主要用户的节点获得比用于次 要用户的节点更大的权重。在一些实施例中,当设备用户118是单个人时,图文本分析模块 106基于各种因素向不同的节点分配不同的权重。例如,由节点表示的通信发生得越是过 去,图文本分析模块106分配的节点的权重越低。
[0029] 集群存储库110存储表示不同的预定义的认知特性的图的不同的集群。不同的认 知特性的示例包括兴趣、知识、目标、希望、情感特性(例如,愤怒、挫败、烦恼、高兴、满足、冷 静、焦虑等)。在一些实施例中,基于被授权的人或被授权的多组人先前已经进行的通信准 备图和集群。
[0030] 图文本分析模块106将用于设备用户118的图与存储在集群存储库110中的先前生 成的图的集群相比较,W便确定设备用户118的当前认知特性。具体地,在多维文本特征空 间中绘制先前生成的图的特征向量W在该空间中形成集群。图文本分析模块106在所述空 间中绘制用于设备用户118的图的特征向量,W便基于例如所述图的图绘(plot)和所述集 群的图绘之间的距离确定所述图是否属于所述集群。如果所述图的图绘落在特定集群的特 征空间中,则由所述集群表示的对应的讨论特性被确定为设备用户118的认知特性。当由图 构造模块104更新用于设备用户118的通信的图时,设备用户118的认知特性可W改变。在一 些实施例中,图文本分析模块106还对于每一个集群确定图和集群之间的相关性的等级(例 如,图属于集群的可能性、在特征空间中图的图绘和集群的图绘之间的距离等)。图文本分 析模块106向安全措施部署模块108通知设备用户118的认知特性W及指示对应于所述认知 特性的图和集群之间的相关性的等级的数据。
[0031] 认知身份存储库114存储被授权使用电子设备116的人或多组人的预定义的认知 身份和简档。在一些实施例中,认知身份是被授权的人或一组人的认知特性的历史,并且认 知身份用作所述人或一组人的唯一身份。在一些实施例中,认知特性的历史还包括指示用 于所述人或一组人的图与表示所述历史中的认知特性的集群之间的相关性的等级的数据。
[0032] 安全措施部署模块108将由图文本分析模块106确定的认知特性与所针对的被授 权的人或所针对的一组人的认知身份相比较,W便确定设备用户118是否被授权使用电子 设备116。更具体地,在一些实施例中,安全措施部署模块108与电子设备116通信并且接收 或取得电子设备116的标识符。使用电子设备116的标识符,安全措施部署模块108识别被授 权使用电子设备116的用户或一组用户,并且从认知身份存储库114选择所述用户或一组用 户的认知身份。可替换地或结合地,安全措施部署模块108可W使用在电子设备处被认证 (例如,通过键入密钥/密码、通过提供指纹、通过示出面部等)的用户标识符,W从认知身份 存储库114选择认知身份。
[0033] 通过将由图文本分析模块106确定的认知特性与所选择的认知身份相比较,安全 措施部署模块10如角定认知特性是否与所选择的认知身份偏离或背离超过预定义的容限或 阔值(即,认知特性和所选择的认知身份之间的差别是否超过阔值)。如上所述,认知身份包 括被授权的人或一组人的历史认知特性。如果设备用户118的认知特性与历史认知特性背 离或偏离大于阔值,则安全措施部署模块108在电子设备处部署一个或多个安全措施。更具 体地,例如,安全措施部署模块10如角定到表示设备用户118的认知特性的集群的平均距离 和到表示被授权的人或组的认知特性的集群的平均距离是否相差大于阔值。作为另一示 例,安全措施部署模块10如角定用于设备用户118的图属于所述集群的(运行)平均可能性与 用于一个或多个被授权的用户的图属于所述集群的平均可能性是否相差了阔值可能性。作 为再一示例,安全措施部署模块10如角定用于设备用户118的认知特性的序列与用作一个或 多个被授权的用户的认知身份的认知特性的序列是否不同。
[0034] 如果设备用户118的认知特性与所选择的认知身份背离或偏离超过阔值,则安全 措施部署模块108在电子设备116处部署一个或多个安全措施。安全措施部署模块108可W 部署的安全措施包括通过电子设备116向设备用户118示出警告消息、限制设备用户使用电 子设备116的能力、向一个或多个被认证的用户使用的一个或多个其他设备发送一个或多 个警示消息、将设备用户118锁定到电子设备116之外等。运样,可W改进可在计算机系统 (例如,在下文中参考图5进一步描述的计算机系统12)中实现的系统100的功能。
[0035] 在一些实施例中,系统100还可W注意到与电子设备116的任何非常规交互(例如, 当电子设备116是智能电话或电话亭时)是对于与用户接口 120(例如,基于图像用户界面 (GUI)的键盘、触摸屏等)的先前的交互不寻常的、诸如与用户接口 120的交互的速率或压力 的触觉交互或活动。因此,除了设备用户118的语音通信W外,可W在确定设备用户118是否 是被授权的用户时对运些触觉交互和通信进行图分析和考虑。为了帮助信息收集,本公开 的一些实施例提供接收关于电子设备116的一个或多个活动的多个设备活动数据的多个软 件模块(未示出)、在电子设备116上执行的用于经由用户接口 120呈现用于指示电子设备 116的过去的活动的第一设备活动数据的提示的软件、在电子设备116上执行的用于经由用 户接口 120接收对所述提示的响应的软件、W及在电子设备116上执行的用于验证所述响应 的准确性并且在所述响应对应于所述第一设备活动数据时解锁电子设备116的软件。
[0036] 在一些实施例中,由系统100部署的安全措施可W与移动计算设备(例如,电子设 备116)的用途有关。在运些实施例的一些中,移动计算设备可W用于布防或撤防建筑安全 系统,并且其可W包括从授权环境传输电子安全凭证文件到移动计算设备。可W使用上面 描述的图文本分析来促成由移动计算设备W安全的方式布防和撤防建筑安全系统。更具体 地,由移动计算设备读取电子安全凭证文件w提取认证数据。然后,可w分析与设备相关联 的用户的其他最近通信。包括图文本分析的结果的认证数据从移动计算设备被传送并且在 建筑安全系统处被接收。在建筑安全系统内,认证数据被用于验证移动计算设备的用户被 授权与建筑安全系统通信。仅在电子安全凭证文件已经用于验证移动计算设备的用户被授 权与建筑安全系统通信的情况下,才使得移动计算设备能够与建筑安全系统通信。
[0037] 在一些实施例中,在电子设备116中实现系统100的至少一部分。也就是说,例如, 电子设备116可W执行上面描述的文本获得、图构造、图文本分析和/或安全措施触发。在其 他实施例中,电子设备116是仅远程连接到系统100的设备(例如,智能电话),其执行文本获 得、图构造、图文本分析和/或安全措施触发。
[0038] 图4图示用于基于通信的图的图文本分析保护电子设备的处理流程。在一些实施 例中,系统100执行图4中示出的处理流程。在方框410处,系统100从设备用户接收通信。在 一些实施例中,在电子设备116处从设备用户收集通信。在一些实施例中,系统100可W监视 设备用户与电子设备116的触觉交互W确定设备用户的触觉交互是否对于被授权的用户是 不寻常的。
[0039] 在方框420处,系统100生成设备用户的通信的图。在一些实施例中,设备用户包括 与在电子设备中运行的化身合作的人。生成设备用户的通信的图包括生成所述人和化身的 通信的图。
[0040] 在方框430处,系统100对图执行图文本分析W确定设备用户的认知特性、W及所 述认知特性和被授权的用户的认知身份之间的差别。基于由被授权的用户先前进行并且在 电子设备处和在被授权的用户使用的一个或多个其他电子设备处先前接收的通信预定义 被授权的用户的认知身份。在一些实施例中,被授权的用户包括被授权使用电子设备的一 组人。
[0041] 在方框440处,系统100响应于确定所述差别大于阔值来在电子设备上部署至少一 个安全措施。安全措施包括下列项目中的至少一个:通过电子设备向设备用户示出一个或 多个警告消息、限制设备用户使用电子设备的能力、发送一个或多个警示消息到一个或多 个其他设备W向被授权的用户通知电子设备的可能的安全漏桐、W及将设备用户锁定到电 子设备之外。
[0042] 在一些实施例中,作为安全措施,系统100使用在电子设备中运行的化身来响应关 于设备用户的当前认知特性和认知特性中的任何改变的询问。基于由被授权的用户先前进 行的通信来构造所述化身。在一些实施例中,化身与在例如社交网络服务器中运行的被授 权的用户的其他化身交互。在一些实施例中,可W被部署的安全措施包括触发所述其他化 身W发送询问到电子设备W供所述化身响应,W便验证认知特性中的改变是真正的安全威 胁。
[0043] 应当理解,尽管本公开包括关于云计算的详细描述,但其中记载的教导的实现方 式却不限于云计算环境。而是,能够结合现在已知或W后开发的任何其它类型的计算环境 而实现本公开的实施例。
[0044] 云计算是一种服务交付模式,用于对共享的可配置计算资源(例如网络、网络带 宽、服务器、处理、内存、存储、应用、虚拟机和服务)池进行方便、按需的网络访问,可配置计 算资源是能够W最小的管理成本或与服务提供者的最少的交互快速部署和释放的资源。运 种云模式可W包括至少五个特征、至少Ξ个服务模型和至少四个部署模型。
[0045] 特征如下:
[0046] 按需自助式服务:云的消费者在无需与服务提供者进行人为交互的情况下能够单 方面自动地按需部署诸如服务器时间和网络存储等的计算能力。
[0047] 广泛的网络接入:能力可W经由网络得到并且通过标准机制接入,所述标准机制 促进了通过不同种类的瘦客户机平台或厚客户机平台(例如移动电话、膝上型电脑和个人 数字助理(PDA))对云的使用。
[004引资源池:提供者的计算资源被归入池 W使用多租户(multi-tenant)模式服务于多 个消费者,其中按需将不同的实体资源和虚拟资源动态地分配和再分配。一般情况下,消费 者不能控制或知晓所提供的资源的确切位置,但可W在较高抽象程度上指定位置(例如国 家、特性或数据中屯、),因此具有位置无关性。
[0049] 迅速弹性:能够迅速、有弹性地(在某些情况下自动地)部署计算能力,W快速扩展 并且迅速释放来快速缩小。在消费者看来,用于部署的可用能力往往显得是无限的,并能在 任意时候获取任意数量的能力。
[0050] 测量的服务:云系统通过利用适于服务类型(例如存储、处理、带宽和活跃用户帐 号)的某种抽象程度的计量能力,自动地控制和优化资源效用。可W监测、控制和报告资源 使用情况,为所使用的服务的提供者和消费者双方提供透明度。
[0化1] 服务模型如下:
[0052] 软件即服务(SaaS):向消费者提供的能力是使用提供者在云基础架构上运行的应 用。可W通过诸如网络浏览器的瘦客户机接口(例如基于网络的电子邮件)从各种客户机设 备访问应用。可能除了有限的特定于用户的应用配置设置外,消费者不管理或控制包括网 络、服务器、操作系统、存储、或甚至单个应用能力的底层云基础架构。
[0053] 平台即服务(PaaS):向消费者提供的能力是在云基础架构上部署消费者创建或获 得的应用,运些应用利用提供者支持的程序设计语言和工具创建。消费者不管理或控制包 括网络、服务器、操作系统或存储的底层云基础架构,但对部署的应用具有控制权,对应用 托管环境配置可能具有控制权。
[0054] 基础架构即服务(laaS):向消费者提供的能力是消费者能够在其中部署并运行可 包括操作系统和应用的任意软件的处理、存储、网络和其他基础计算资源。消费者不管理或 控制底层的云基础架构,但是对操作系统、存储和部署的应用具有控制权,对选择的网络组 件(例如主机防火墙)可能具有有限的控制权。
[0化日]部署模型如下:
[0056] 私有云:云基础架构单独为某个组织运行。云基础架构可W由该组织或第Ξ方管 理并且可W存在于该组织内部或外部。
[0057] 共同体云:云基础架构被若干组织共享并支持有共同利害关系(例如任务使命、安 全要求、政策和合规考虑)的特定共同体。共同体云可W由共同体内的多个组织或第Ξ方管 理并且可W存在于该共同体内部或外部。
[005引公共云:云基础架构向公众或大型产业群提供并由出售云服务的组织拥有。
[0059]混合云:云基础架构由两个或更多云(私有云、共同体云或公共云)组成,运些云依 然是独特的实体,但是通过使数据和应用能够移植的标准化技术或私有技术(例如用于云 之间的负载平衡的云突发)绑定在一起。
[0060] 云计算环境是面向服务的,特点集中在无状态性、低禪合性、模块性和语义的互操 作性。云计算的核屯、是包含互连节点网络的基础架构。
[0061] 现在参考图5,示出了云计算节点的例子的示意图。云计算节点10仅仅是适合的云 计算节点的一个示例,意图不是对运里描述的实施例的使用范围或功能带来任何限制。无 论如何,云计算节点710能够被实现和/或执行W上所述的任何功能。
[0062] 在云计算节点10中具有计算机系统/服务器712,其可与众多其它通用或专用计算 系统环境或配置一起操作。可适于与计算机系统/服务器12-起使用的众所周知的计算系 统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、 厚客户机、手持或膝上设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子 产品、网络PC、小型计算机系统、大型计算机系统和包括上述任意系统或设备的分布式云计 算环境,等等。
[0063] 计算机系统/服务器12可W在由计算机系统执行的计算机系统可执行指令(诸如 程序模块)的一般语境下描述。通常,程序模块可W包括执行特定的任务或者实现特定的抽 象数据类型的例程、程序、目标程序、组件、逻辑、数据结构等。计算机系统/服务器12可W在 通过通信网络链接的远程处理设备执行任务的分布式云计算环境中实施。在分布式云计算 环境中,程序模块可W位于包括存储胆存设备的本地或远程计算系统存储介质上。
[0064] 如图5所示,云计算节点10中的计算机系统/服务器12W通用计算设备的形式表 现。计算机系统/服务器12的组件可W包括但不限于:一个或者多个处理器或者处理单元 16、系统存储器28、连接各种系统组件(包括系统存储器28)到处理单元16的总线18。
[0065] 总线18表示几类总线结构中的任何总线结构的一种或多种,包括存储器总线或者 存储器控制器、外围总线、加速图形端口、处理器或者使用多种总线结构中的任意总线结构 的局部总线。举例来说,并且非限制性地,运些体系结构包括工业标准体系结构(ISA)总线、 微通道体系结构(MAC)总线、增强型ISA化ISA)总线、视频电子标准协会(VESA)局部总线W 及外围组件互连(PCI)总线。
[0066] 计算机系统/服务器12典型地包括多种计算机系统可读介质。运些介质可W是能 够被计算机系统/服务器12访问的任意可获得的介质,并且其包括易失性和非易失性介质, 可移动的和不可移动的介质。
[0067] 系统存储器28可W包括易失性存储器形式的计算机系统可读介质,例如随机存取 存储器(RAM)30和/或高速缓存存储器32。计算机系统/服务器12可W进一步包括其它可移 动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可W被提 供用于读写不可移动的、非易失性磁介质(未显示,通常称为"硬盘驱动器")。尽管未示出, 可W提供用于对可移动非易失性磁盘(例如"软盘")读写的磁盘驱动器、W及用于对可移动 非易失性光盘(例如CD-R0M、DVD-R0M或者其它光介质)读写的光盘驱动器。在运些情况下, 每个驱动器可W通过一个或者多个数据介质接口与总线18相连。如下面将进一步示出并且 描述的,存储器28可W包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序 模块,运些程序模块被配置W执行本公开的实施例的功能。
[0068] 具有一组(至少一个)程序模块42的程序/实用工具40可W存储在存储器28中,运 样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块W及程序 数据。操作系统、一个或者多个应用程序、其它程序模块w及程序数据中的每一个或其某种 组合可能包括网络环境的实现。程序模块42通常执行如运里所述的本公开的实施例的功能 和/或方法。
[0069] 计算机系统/服务器12也可W与一个或多个外部设备14(例如键盘、指向设备、显 示器24等)通信,还可与一个或者多个使得用户能与该计算机系统/服务器12交互的设备通 信,和/或与使得该计算机系统/服务器12能与一个或多个其它计算设备进行通信的任何设 备(例如网卡,调制解调器等等)通信。运种通信可W通过输入/输出(I/O)接口 22进行。并 且,计算机系统/服务器12还可W通过网络适配器20与一个或者多个网络(例如局域网 (LAN)、一般的广域网(WAN)和/或公共网络(例如因特网))通信。如图所示,网络适配器20通 过总线18与计算机系统/服务器12的其它组件通信。应当明白,尽管未示出,其它硬件和/或 软件组件可W与计算机系统/服务器12结合使用。示例包括但不限于:微代码、设备驱动器、 冗余处理单元、外部盘驱动器阵列、RAID系统、磁带驱动器W及数据备份存储系统等。
[0070] 现在参考图6,显示了示例性的云计算环境50。如图所示,云计算环境50包括云消 费者使用的本地计算设备可W与其相通信的一个或者多个云计算节点10,本地计算设备例 如是个人数字助理(PDA)或移动电话54A、台式电脑54B、膝上型计算机54C和/或汽车计算机 系统54N。云计算节点10可W相互通信。可W在诸如如上所述的私有云、共同体云、公共云或 混合云或者它们的组合的一个或者多个网络中将云计算节点10进行物理或虚拟分组(未显 示)。运允许云计算环境50提供基础架构即服务、平台即服务和/或软件即服务,而云的消费 者无需在本地计算设备上维护资源。应当理解,图5显示的类型的计算设备54A-N仅仅是示 意性的,计算节点10W及云计算环境50可W经由任意类型的网络和/或网络可寻址的连接 (例如使用网络浏览器)与任意类型的计算机化设备通信。
[0071] 现在参考图7,显示了云计算环境50(图6)提供的一组功能抽象层。首先应当理解, 图7所示的组件、层W及功能都仅仅是示意性的,本公开的实施例不限于此。如所示,提供下 列层和对应功能:
[0072] 硬件和软件层60包括硬件和软件组件。硬件组件的例子包括:主机,例如 旧Μ够巧eries饭系统;基于RISC(精简指令集计算机)体系结构的服务器,例如IBM pSeries?系统;1歴绍郑ies.婚系统;iBMBladeCeiite雄系统;存储设备;网络和网络组件。 软件组件的例子包括:网络应用服务器软件,例如IBM WebSpherei)应用服务器软件;数据 库软件,例如IBMDB2饭.数据库软件。(IBM, zSeries ,pSe;ries ,xSe;ries ,BladeCente;r, WebSphere W及DB2是国际商业机器公司在全世界各地注册的商标)。
[0073] 虚拟层62提供抽象层,从该层可W提供下列虚拟实体的例子:虚拟服务器、虚拟存 储、虚拟网络(包括虚拟私有网络)、虚拟应用和操作系统,W及虚拟客户端。
[0074] 在一个示例中,管理层64可W提供下述功能:资源供应提供用于在云计算环境中 执行任务的计算资源和其它资源的动态获取。计量和定价提供在云计算环境内使用资源时 的成本跟踪、W及对于运些资源消耗的帐单或发票。在一个例子中,运些资源可W包括应用 软件许可。安全为云的消费者和任务提供身份验证,为数据和其它资源提供保护。用户口户 为消费者和系统管理员提供对云计算环境的访问。服务水平管理提供云计算资源的分配和 管理,W满足必需的服务水平。服务水平协议(SLA)计划和履行提供根据SLA预测其未来需 求的云计算资源的预先安排和供应。
[0075] 工作负载层66提供可W使用云计算环境的功能的示例。可W从该层提供的工作负 载和功能的示例包括:地图绘制与导航;软件开发及生命周期管理;虚拟教室的教学提供; 数据分析处理;交易处理;W及图文本分析和讨论主持(moderating)。
[0076] 本公开可W是系统、方法和/或计算机程序产品。计算机程序产品可W包括计算机 可读存储介质,其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。
[0077] 计算机可读存储介质可W是可W保持和存储由指令执行设备使用的指令的有形 设备。计算机可读存储介质例如可W是一-但不限于一一电存储设备、磁存储设备、光存储 设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的 更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存 储器(ROM)、可擦式可编程只读存储器化PROM或闪存)、静态随机存取存储器(SRAM)、便携式 压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上 存储有指令的打孔卡或凹槽内凸起结构、W及上述的任意合适的组合。运里所使用的计算 机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通 过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输 的电信号。
[0078] 运里所描述的计算机可读程序指令可W从计算机可读存储介质下载到各个计算/ 处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外 部存储设备。网络可W包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关 计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计 算机可读程序指令,并转发该计算机可读程序指令,W供存储在各个计算/处理设备中的计 算机可读存储介质中。
[0079] 用于执行本公开操作的计算机程序指令可W是汇编指令、指令集架构(ISA)指令、 机器指令、机器相关指令、微代码、固件指令、特性设置数据、或者W-种或多种编程语言的 任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言一诸如 Smalltalk、C++等,W及常规的过程式编程语言一诸如"C"语言或类似的编程语言。计算机 可读程序指令可W完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独 立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机 或服务器上执行。在设及远程计算机的情形中,远程计算机可W通过任意种类的网络一包 括局域网(LAN)或广域网(WAN)-连接到用户计算机,或者,可W连接到外部计算机(例如利 用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令 的特性信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程口阵列(FPGA)或可 编程逻辑阵列(PLA),该电子电路可W执行计算机可读程序指令,从而实现本公开的各个方 面。
[0080] 运里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/ 或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框W及流程图和/ 或框图中各方框的组合,都可W由计算机可读程序指令实现。
[0081] 运些计算机可读程序指令可W提供给通用计算机、专用计算机或其它可编程数据 处理装置的处理器,从而生产出一种机器,使得运些指令在通过计算机或其它可编程数据 处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功 能/行为的装置。也可w把运些计算机可读程序指令存储在计算机可读存储介质中,运些指 令使得计算机、可编程数据处理装置和/或其他设备W特定方式工作,从而,存储有指令的 计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中 规定的功能/行为的各个方面的指令。
[0082] 也可W把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它 设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,W产 生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的 指令实现流程图和/或框图中的一个或多个方框中规定的功能/行为。
[0083] 附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程 序产品的可能实现的体系架构、功能和操作。在运点上,流程图或框图中的每个方框可W代 表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用 于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也 可不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可W基本并行地执 行,它们有时也可W按相反的顺序执行,运依所设及的功能而定。也要注意的是,框图和/或 流程图中的每个方框、W及框图和/或流程图中的方框的组合,可W用执行规定的功能或行 为的专用的基于硬件的系统来实现,或者可W用专用硬件与计算机指令的组合来实现。本 公开的各种实施例的描述出于示例的目的已经被呈现,但不意图是穷尽性的或限于所公开 的实施例。许多修改和变化对本领域普通技术人员将是显而易见的,而不背离所描述的实 施例的范围和精神。运里使用的术语被选择W最好地解释实施例的原理、实践应用或在市 场上发现的技术的技术改进,或W使得本领域其他普通技术人员能够理解运里公开的实施 例。
【主权项】
1. 一种用于保护电子设备的计算机实现的方法,包括: 由计算机的至少一个处理器接收来自寻求访问所述设备的实体的至少一个通信; 确定寻求访问所述设备的实体的认知特性和被授权访问所述设备的实体的认知身份 之间的差异;以及 至少部分基于所述差异大于阈值的确定,部署所述设备的安全措施。2. 如权利要求1所述的方法,还包括: 由计算机的至少一个处理器生成来自寻求访问所述设备的实体的至少一个通信的图; 由计算机的至少一个处理器对所述图执行图分析以确定: 寻求访问所述设备的实体的认知特性;以及 所述认知特性和所述认知身份之间的差异。3. 如权利要求1所述的方法,其中: 至少部分基于来自被授权访问所述设备的实体的至少一个通信预定义所述认知身份; 以及 进一步以上下文特定的方式预定义所述认知身份,其中所述上下文是被授权访问账户 的实体正在与之对话的实体的身份。4. 如权利要求1所述的方法,还包括: 使用在所述设备中运行的化身来响应关于寻求访问所述设备的实体的当前认知特性 的询问,并且还响应所述认知特性中的任何改变,其中所述化身至少部分基于来自被授权 访问所述设备的实体的至少一个通信被构造; 其中所述化身与被授权访问所述设备的实体的其他化身交互; 其中所述其他化身在社交网络服务器中运行; 其中所述安全措施包括触发所述其他化身发送询问到所述电子设备;以及 其中所述化身响应来自所述其他化身的询问。5. 如权利要求1所述的方法,其中寻求访问所述设备的实体包括与在所述设备中运行 的化身合作的人,其中生成来自寻求访问所述设备的实体的至少一个通信的图包括生成所 述人的和所述化身的至少一个通信的图。6. 如权利要求1所述的方法,其中被授权使用所述设备的实体包括被授权使用所述设 备的一组人。7. 如权利要求1所述的方法,其中所述方法还包括使用所述电子设备来监视寻求对访 问所述设备的授权的实体的触觉交互,以确定所述触觉交互是否与被授权访问所述设备的 实体的特征冲突。8. 如权利要求1所述的方法,其中所述安全措施包括下列项目中的至少一个: 显示至少一个警告消息; 限制所述设备的功能; 发送至少一个警示消息到被授权访问所述设备的实体,以向被授权访问所述设备的实 体通知可能的被尝试的安全漏洞;以及 锁定所述设备以防止访问它的进一步尝试。9. 一种用于保护电子设备的计算机系统,所述系统包括: 至少一个处理器,被配置为接收来自寻求访问所述设备的实体的至少一个通信; 所述至少一个处理器被进一步配置为确定寻求访问所述设备的实体的认知特性和被 授权访问所述设备的实体的认知身份之间的差异;以及 所述至少一个处理器被进一步配置为至少部分基于所述差异大于阈值的确定,部署所 述设备的安全措施。10. 如权利要求9所述的系统,还包括: 所述至少一个处理器被进一步配置为生成来自寻求访问所述设备的实体的至少一个 通信的图; 所述至少一个处理器被进一步配置为对所述图执行图分析以确定: 寻求访问所述设备的实体的认知特性;以及 所述认知特性和所述认知身份之间的差异。11. 如权利要求9所述的系统,其中: 至少部分基于来自被授权访问所述设备的实体的至少一个通信预定义所述认知身份; 以及 进一步以上下文特定的方式预定义所述认知身份,其中所述上下文是被授权访问账户 的实体正在与之对话的实体的身份。12. 如权利要求9所述的系统,还包括: 所述至少一个处理器被进一步配置为使用在所述设备中运行的化身来响应关于寻求 访问所述设备的实体的当前认知特性的询问,并且被进一步配置为响应所述认知特性中的 任何改变,其中所述化身至少部分基于来自被授权访问所述设备的实体的至少一个通信被 构造; 其中所述化身与被授权访问所述设备的实体的其他化身交互; 其中所述其他化身在社交网络服务器中运行; 其中所述安全措施包括触发所述其他化身发送询问到所述电子设备;以及 其中所述化身响应来自所述其他化身的询问。13. 如权利要求9所述的系统: 其中寻求访问所述设备的实体包括与在所述设备中运行的化身合作的人;以及 其中生成来自寻求访问所述设备的实体的至少一个通信的图包括生成所述人的和所 述化身的至少一个通信的图。14. 如权利要求9所述的系统,其中所述安全措施包括下列项目中的至少一个: 显示至少一个警告消息; 限制所述设备的功能; 发送至少一个警示消息到被授权访问所述设备的实体,以向被授权访问所述设备的实 体通知可能的被尝试的安全漏洞;以及 锁定所述设备以防止访问它的进一步尝试。
【文档编号】G06F21/31GK105989261SQ201610157626
【公开日】2016年10月5日
【申请日】2016年3月18日
【发明人】G.A.切基, J.R.科兹洛斯基, C.A.皮科弗, I.里什
【申请人】国际商业机器公司