可以将由一组实体可访问的服务基于实体的特权级别,以不同的服务级别(例如,具有一组不同的特权)提供给每个实体。然而,许多用户试图通过该服务执行恶意活动,并且这样做而可能不受惩罚,如果检测的处罚是不合理的。相反,可以基于对具有可识别价值的资产的要求来确定实体的特权级别。可以通过将资产标识符提交给该服务来确定这种要求,例如,通过提交以真实成本购买的许可证密钥而识别出的软件许可证的证据。对于这种用户执行恶意活动的处罚可以包括无效这种资产标识符。以这个方式确定相应实体的特权级别提高了试图对服务恶意使用的处罚,并且因此提高了威慑力。
【技术实现步骤摘要】
通过对有价值资产的要求建立特权
技术介绍
在计算领域内,许多方案涉及具有特权级别的一组实体。作为第一示例,可以给一组用户提供服务,每个用户已经确定了该服务的特权级别,并且该服务可以给每个用户提供与该用户的特权级别相关联的不同级别的服务(例如,在文件共享服务中,相比于具有较低特权级别的用户,可以给具有较高特权级别的用户分配较大量的存储空间,和/或给予其更广泛的存取特权(accessprivilege))。作为第二示例,可以给一组装置提供服务(例如,被配置为将通信服务提供给一组无线装置的蜂窝通信网络),并且每个装置可以与不同的特权级别相关联(例如,服务的供应商直接给用户提供的高特权级别装置的第一集合;隶属于该服务的供应商的公司给用户提供的特权信赖级别的第二集合;以及未知公司给用户提供的低特权级别装置的第三集合)。具有较低特权级别的装置很可能被改变和/或被用于以未被授权的方式访问服务;因此,相比于具有较低特权级别的装置来说,可以给具有较高特权级别的装置提供较高级别的服务。在其中可以应用这种技术的特定方案包括对试图应用服务以便达到不怀好意的结果的检测和阻止,例如,访问另一个实体的帐户(例如,访问银行帐户,以便窃取资金,或者访问网络服务器的网络帐户,以便插入广告),发送未经请求的(unsolicited)大量电子邮件消息(“垃圾邮件”(spam))或者对目标执行分布式拒绝服务(“DDoS”)攻击。为了在广大范围上达到这些结果,这种企图的策动者(instigator)可以应用自动进程,例如,试图识别服务中的安全性弱点或者试图猜测不同个体帐户的身份证书(例如,用户ID和密码)的蛮力(brute-force)算法。这种服务的管理者可以应用各种技术来验证请求访问该服务的实体是人而非自动进程。作为一个这种技术,可以应用“captcha(全自动区分计算机和人类的图灵测试)”机制,其中生成以及呈现图像,所述图像难以被自动进程解释,但是相对来说更容易被真人解释(例如,在嘈杂背景上以扭曲方式呈现的文本)。只有在给出了图像内容的正确识别之后,才可以将该服务提供给实体。在这些及其他方案内,许多技术可以用来识别以及更新与特定实体相关联的特权级别。例如,可以应用不同级别的身份验证,以用更高程度的信用度确定(establish)用户或装置的身份(例如,请求和验证不断增加的与用户有关的信息的个人、私人、敏感和/或广泛的级别,或者以更好的粒度检查装置的部件)。例如,为了用更高程度的信用度验证实体的身份,captcha技术可以提供更加冗长或者更加复杂的captcha,或者可以用更高程度的精确度检查实体的响应。可以依照在实体中确定的信用度来确定实体的特权级别,并且可以以各种方式使用该实体的特权级别(例如,用来决定提供给实体的服务程度)。
技术实现思路
提供本
技术实现思路
而以简化形式对精选的观点进行介绍,在以下具体实施方式中将进一步描述这些观点。本
技术实现思路
没有打算标识所要求保护的主题的主要因素和基本特征,也没有打算用来限制所要求保护的主题的范围。为了确定实体的特权级别,服务可以检查、检验和验证关于实体的众多类型的信息。具体地,可能有利的是,基于实体与具有真实成本和价值的资产的关联(association),确定实体的身份。例如,当用户请求创建服务的帐户时,该服务可以请求用户识别一个或多个购买的产品,例如,在零售店购买的产品的收据。因此,基于所识别的资产的总价值(以及可能的可靠性),选出与用户相关联的特权(且可能是服务)的级别。对于恶意用户来说,这种技术可能格外难以进行欺骗。例如,自动的算法也许不能够以自动的方式注册许多帐户,因为这可以限制服务所识别出的这种资产的可用性。因此,可能有利的是,基于与各种实体相关联的资产以及这种资产的总价值,配置服务以确定和更新各种实体的特权级别。例如,资产可以包含各种软件产品的软件许可证,依照资产标识符(例如,许可证密钥或者注册号码)可以识别软件许可证的每一个,已经以特定价值交换购买了资产标识符(例如,该资产标识符的许可证成本(cost))。该服务可以请求实体识别这种资产标识符的集合,可以验证每个资产标识符,并且可以依照所识别的资产的数量和价值来设置实体的特权级别。然后,该服务可以将识别出的实体的特权级别用于各种方式,例如,用于选择提供给实体的服务的质量水平。相比于由另选的技术所识别出的,使用这种技术确定实体的特权级别将格外难以进行规避,并且因此可以提供更加可靠的实体特权级别。为了实现前述以及相关的目标,以下描述和附加的附图阐述了某些例证性的方面和实现方式。这些指示了其中可以使用一个或多个方面的各种方式的少数几个。从结合附图参考的以下详细描述中,将会明了本公开的其他方面、优点和新颖的特征。附图说明图1是具备给应用服务的实体分配特权级别的示范性方案的图示。图2是具备依据本文介绍的技术给应用服务的实体分配特权级别的示范性方案的图示。图3是图示给实体分配特权级别的示范性方法的流程图。图4是图示用于给实体分配特权级别的示范性系统的部件框图。图5是示范性计算机可读媒介的图示,该计算机可读媒介包括被配置为具体化本文阐述的一个或多个规定(provision)的处理器可执行指令。图6是具备使用验证票(verificationticket)识别实体要求的资产以及相应地为之分配的特权级别的示范性方案的图示。图7图示了其中可以实现本文阐述的一个或多个规定的示范性计算环境。具体实施方式现在,参照附图描述所要求保护的主题,其中相同的参考数字自始至终用来表示相同的元素。在以下描述中,为了解释起见,将阐述许多具体的细节以便提供对所要求保护的主题的透彻理解。然而,显然的是,在没有这些具体细节的情况下也可以实施所要求保护的主题。在其他实例中,以框图的形式示出结构和装置,以方便描述所要求保护的主题。在计算领域内,许多方案涉及一组实体(例如,用户或装置)的表示,其中,每个实体都与特权级别相关联。可以依照各种因素设置这个特权级别,例如,实体安全性方面的信用度(例如,用户的安全清算(securityclearance)级别,在装置上执行的安全性和完整性机制的强度)和/或实体认证方面的信用度(例如,保证从实体接收的通信是由那个实体发起,而不会由另一个实体伪造或者篡改的安全性机制的强度)。可以由服务以许多方式使用这些特权级别。作为一个示例,可以将服务提供给一组实体,例如,被配置为为这种实体接收、存储和发送电子邮件消息的电子邮件服务;被配置为接收文件、存储文件和发送文件给这种实体的文件服务;以及被配置为安装和维持在装置上存储的应用的应用服务(其中,装置或者这种装置的用户被识别为实体)。应用服务的实体被加以(attribute)不同级别的特权,并且该服务可以被配置为为这种实体提供不同级别的服务。例如,在文件服务中,相比于具有较低特权级别的实体而言,可以允许具有较高特权级别的实体存储更多或更大的文件,与更多用户共享这种文件,和/或下载更多由其他用户共享的文件。在其中这种技术可能格外有利的一种方案包含防护服务免于误用(misuse)。在众多现代的方案中,恶意用户可能试图以各种方式误用服务。作为第一示例,电子邮件服务可以被配置为向其他用户发送消息,而恶意用户可能设法通过电子本文档来自技高网...
【技术保护点】
一种利用具有处理器(64)的装置(62)识别实体(16)的特权级别(20)的方法(40),所述方法(40)包括:在所述处理器(64)上执行(44)的指令(86),其被配置为:给所述实体(16)分配(46)特权级别(20);在检测到所述实体(16)的活动(74)后,基于所述活动(74)调整(48)所述实体(16)的所述特权级别(20);以及在从所述实体(16)接收(50)到由所述实体(16)购买的资产(32)的资产标识符(36)后:验证(52)所述资产(32)的所述资产标识符(36);以及在验证所述资产标识符(36)之后,提高(54)所述实体(16)的所述特权级别(20)。
【技术特征摘要】
2011.03.31 US 13/0769081.一种利用具有处理器(64)的装置(62)给实体(16)提供服务的方法(40),所述方法(40)包括:在所述处理器(64)上执行(44)指令(86),其被配置为:给所述实体(16)分配(46)用于访问所述服务的特权级别(20);在检测到所述实体(16)的活动(74)后,基于所述活动(74)调整(48)所述实体(16)的所述特权级别(20);以及在从所述实体(16)接收(50)到对实体(16)针对与服务无关的软件资产的软件许可证的获取进行验证的软件许可证标识符(36)后:验证(52)用于实体对于软件资产的软件许可证的获取的所述软件许可证标识符(36);以及在验证所述软件许可证标识符(36)之后,提高(54)所述实体(16)的所述特权级别(20)。2.如权利要求1所述的方法:所述装置包括另选的验证技术;以及所述指令被配置为,在从实体接收到提高所述实体的所述特权级别的请求后:给所述实体呈现基于资产的软件许可证验证选项以及另选的软件许可证验证选项;在从所述实体接收到所述基于资产的软件许可证验证选项的选择后,从所述实体请求验证实体对于软件资产的软件许可证的获取的软件许可证标识符;以及在从所述实体接收到另选的验证选项的选择后,调用所述另选的软件许可证验证技术。3.如权利要求1所述的方法:所述装置包括具有与所述实体的所述特权级别相关联的服务质量的、被提供给相应的实体的服务;以及所述指令被配置为以与所述实体的所述特权级别相关联的所述服务质量将所述服务提供给所述实体。4.如权利要求1所述的方法:由所述实体以软件许可证成本获取所述软件许可证;以及提高所述实体的所述特权级别包括:与所述软件资产的所述软件许可证成本成比例地提高所述实体的所述特权级别。5.如权利要求1所述的方法:所述软件许可证标识符可由软件许可服务验证;以及所述指令被配置为:将所述软件许可证标识符发送给所述软件许可服务,以及从所述软件许可服务接收对所述软件许可证标识符的验证。6.如权利要求5所述的方法,所述指令被配置为:在从所述软件许可服务接收到软件许可标识符的验证后:生成表示所述软件许可标识符的验证的验证票,以及将所述验证票发送给所述实体;以及验...
【专利技术属性】
技术研发人员:E弗莱施曼,E吉伦,MR埃尔斯,RE樊凡特,HT博斯坦奇,
申请(专利权)人:微软公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。