[发明专利]涉及安全热图的技术

说明书

一种技术利用与地理区域相关联的安全热图。该技术涉及：由服务器接收位于地理区域内的一个或多个端点设备的当前热度分数。该技术还涉及：由服务器基于一个或多个端点设备的当前热度分数为地理区域内的区域提供其各自的合计热度分数。该技术还涉及：由服务器基于地理区域内的区域各自的合计热度分数生成定义地理区域内的一个或多个安全区的安全热图。该技术还涉及：由服务器基于安全热图在一个或多个端点设备上强加安全策略。

背景技术

执行身份验证的常规方法涉及将来自用户操作的用户设备的当前的身份验证因素组与预期的身份验证因素组进行比较。如果当前的身份验证因素组与预期的身份验证因素组相匹配，则认为身份验证成功。然而，如果当前的身份验证因素组与预期的身份验证因素组不匹配，则认为身份验证不成功。

这种身份验证可被用于控制对计算机化资源的访问。按照这些思路，如果认为身份验证成功，则向用户设备提供对计算机化资源的访问。然而，如果认为身份验证不成功，则拒绝用户设备对计算机化资源的访问。

发明内容

应当理解，上述常规身份验证方法非常不灵活。例如，当公司员工在公司办公室登录工作笔记本电脑时，要求相对较弱的身份验证形式可能是便利的。然而，当笔记本电脑当前驻留在不太受信任的环境中(诸如在另一座城市的咖啡馆或酒店)时，在同一台工作笔记本电脑上可能需要更强的身份验证形式进行身份验证。遗憾的是，上述常规身份验证方法的局限性在于它没有基于工作笔记本电脑的位置强加不同类型的身份验证。

解决这种缺乏灵活性的一种方法是让公司在公司的办公设施中安装地理围栏技术。按照这些思路，公司可能会添加专用设备(例如，无线收发器，诸如IEEE 802.11或802.15收发器等)，以在公司的办公设施上建立固定的地理围栏区。于是，当员工在地理围栏区域内使用笔记本电脑时，员工需要使用标准身份验证形式(例如密码)登录，因为该员工目前在公司的办公设施内。然而，当员工在地理围栏区外使用笔记本电脑时，员工需要使用更强的身份验证形式(例如，密码和一次性密码(OTP))登录，因为员工目前处于受信任度较低的区域。

改进的技术涉及使用热图来控制对受保护资源的访问，所述热图定义地理区域内的不同可信度区。例如，(i)当端点设备位于由热图定义的受信任区内时端点设备可能需要相对较弱的身份验证，(ii)当端点设备位于由热图定义的受信任度较低的区内时端点设备可能需要较强的身份验证，等等。此外，由热图定义的区可以基于各种因素(诸如附近存在/不存在其他可信赖设备、一天中的时间、最近的事件等)随时间改变(例如，区之间的边界可能会移动，区可能会增大/缩小等)。利用这样的改进的技术，热图使得能够在任何地理区域上建立用于访问控制的虚拟地理围栏。

例如，假设公司的员工将笔记本电脑等端点设备带去参加州外会议，以使该员工能够访问受保护的资源，诸如机密文件、电子邮件、虚拟桌面等。数据中心可以远程监测端点设备的当前位置(例如，经由从笔记本电脑发送的位置信号来实现)，并且查看员工是否独自在不熟悉的位置。由此，数据中心可以生成热图，该热图为不熟悉的位置定义低可信度区，由于端点设备位于低可信度区内，因此需要来自端点设备的强身份验证，诸如有效密码和来自员工拥有的硬件令牌的有效OTP。在这种情况下，员工必须拥有和操作硬件令牌才能获得用于实现成功身份验证的OTP这种负担被认为是可以接受的。此类功能防止出现不期望的情况，诸如有人窃取端点设备并且尝试从远程位置访问受保护资源。