1.此所公开主题大体上涉及用于控制服务器网络中的访问的方法、系统和产品,并且在一些特定实施例中,涉及一种用于基于图形而控制服务器网络中的访问的方法、系统和计算机程序产品。
背景技术:
2.某些网络(例如,局域网、广域网、城域网、电话网络、专用网络、临时网络、内联网、因特网、基于光纤的网络、云计算网络、应用程序托管网络等)可以包括多个服务器。另外,(例如,用户、应用程序、服务、管理员等)在一些此类服务器上的账户可能需要访问网络内的其它服务器上的账户,例如以实现(例如,应用程序、服务等的)某种功能或履行(例如,用户、管理员等的)某种职责。为了促进和/或加快此类访问,可以向一些服务器上的一些账户授予对其它服务器上的账户的直接和/或无凭证访问(例如,基于密钥的访问)的权限。此类直接和/或无凭证访问可以包括请求访问的源实体(例如,第一账户)和向其请求访问的目标实体(例如,第二账户)。
3.然而,此类直接和/或无凭证访问还可以创建间接(例如,过渡性)访问。例如,另一账户(例如,第三账户)可以访问(例如,直接和/或无凭证访问)源实体(例如,第一账户),使得另一账户(例如,第三账户)可以通过源账户(例如,第一账户)获得对目标实体(例如,第二账户)的访问权限。在某些情况下,当源实体(例如,第一账户)被授予访问权限时,此类间接(例如,过渡性)访问对于目标实体(例如,第二账户)可能是非预期和/或未知的。另外,实体(例如,目标实体/第二账户)可能难以检测和/或确定是否存在一个或多个间接(例如,过渡性)访问或哪些实体可以使用此类间接访问。此外,随着网络大小增加,此类间接(例如,过渡性)访问的次数可能会增加(例如,指数增加、几何增加等)。
4.此外,即使发现了此类间接(例如,过渡性)访问,目标实体(例如,第二账户)也可能难以确定能够访问(例如,有凭证(credentialed)地访问和/或基于密码访问)另一账户(例如,第三账户等)的用户(例如,人类用户、应用程序、服务等)的数量和/或量化间接访问。因而,(例如,目标实体、管理员等)可能难以判断间接(例如,过渡性)访问是否应终止一个或多个直接和/或无凭证访问。
5.此外,人工评估服务器网络(尤其是具有数十台、数百台甚至数千台服务器的相对庞大的网络)中的每次直接访问以标识间接(例如,过渡性)访问并分析其影响可能需要大量的时间、费用和资源投入(例如,人力资源和计算机资源),并且这种人工过程可能会引入潜在的人为错误。另外或替代地,如果每个请求者/源实体必须等待访问请求的人工审核,则此类请求的等待时间可能很长和/或可能随着网络中直接和/或间接访问的次数增加而增加,所有这些都可能是低效的。
6.此外,如果此类间接(例如,过渡性)访问未被适当标识和/或监测,则攻击者(例如,计算机黑客、无良/恶意用户等)可能只需通过访问能够间接访问其它账户的一个账户
就能获得对未知数量的账户和/或服务器的访问权限。
技术实现要素:
7.因此,当前公开的主题的目标是提供用于控制服务器网络中的访问的方法、系统和计算机程序产品。
8.根据非限制性实施例,提供一种用于控制服务器网络中的访问的方法。在一些非限制性实施例中,一种用于控制服务器网络中的访问的方法,其中每个服务器可以与至少一个账户相关联,所述方法可以包括生成一组节点,所述一组节点包括服务器网络中的每个服务器的每个账户的节点。对于所述一组节点中的每个相应节点,可以确定所述一组节点中能够无凭证访问相应节点的至少一个其它节点。对于所述一组节点中的每个相应节点,可以生成将相应节点连接到能够无凭证访问相应节点的其它节点中的每一个的边缘。所述一组节点和边缘可以限定图形。可以基于与其它节点的账户相关联的用户数量而确定每个边缘的权重。对于所述一组节点中的至少一个第一节点,可以确定所述一组节点中的至少一个第二节点。第二节点可以经由从第二节点经过能够无凭证访问第一节点的其它节点中的至少一个的边缘路径间接访问第一节点。对于至少一个第二节点中的每个相应第二节点,可以基于边缘路径的每个边缘的权重而确定相应第二节点与第一节点之间的边缘路径的权重。
9.在一些非限制性实施例中,所述一组节点中的每个节点可以包括公钥。另外或替代地,对于所述一组节点中的每个相应节点,能够无凭证访问相应节点的其它节点可以包括与相应节点的公钥相关联的私钥。
10.在一些非限制性实施例中,每个账户可以与账户类型相关联;每个账户可以与应用程序相关联,所述应用程序可以具有应用程序关键性等级;和/或每个服务器可以与环境类型相关联。另外或替代地,确定每个边缘的权重可以包括进一步基于以下中的至少一项而确定每个边缘的权重:相应节点的账户的账户类型、至少一个其它节点的账户的账户类型、相应节点的服务器的环境、至少一个其它节点的服务器的环境、与相应节点的账户相关联的应用程序的应用程序关键性等级、与至少一个其它节点的账户相关联的应用程序的应用程序关键性等级、其任何组合等。另外或替代地,确定每个边缘的权重可以包括进一步基于相应节点的账户和至少一个其它节点的账户是否为同一账户而确定每个边缘的权重。
11.在一些非限制性实施例中,可以基于第二节点与第一节点之间经过其它节点中的至少一个的边缘路径的权重而终止第一节点与其它节点中的至少一个之间的无凭证访问。
12.在一些非限制性实施例中,可以接收与用于确定每个边缘的权重的规则相关联的规则配置文件。另外或替代地,确定每个边缘的权重可以包括进一步基于规则配置文件而确定每个边缘的权重。
13.根据非限制性实施例,提供一种用于控制网络中的访问的系统。在一些非限制性实施例中,用于控制网络中的访问的系统可以包括服务器网络。每个服务器可以与至少一个账户相关联。系统可以进一步包括至少一个处理器和包括指令的至少一个非瞬态计算机可读介质,所述指令引导所述至少一个处理器生成一组节点,所述一组节点包括服务器网络中的每个服务器的每个账户的节点。对于所述一组节点中的每个相应节点,可以确定所述一组节点中能够无凭证访问相应节点的至少一个其它节点。对于所述一组节点中的每个
相应节点,可以生成将相应节点连接到能够无凭证访问相应节点的其它节点中的每一个的边缘。所述一组节点和边缘可以限定图形。可以基于与其它节点的账户相关联的用户数量而确定每个边缘的权重。对于所述一组节点中的至少一个第一节点,可以确定所述一组节点中的至少一个第二节点。第二节点可以经由从第二节点经过能够无凭证访问第一节点的其它节点中的至少一个的边缘路径间接访问第一节点。对于至少一个第二节点中的每个相应第二节点,可以基于边缘路径的每个边缘的权重而确定相应第二节点与第一节点之间的边缘路径的权重。
14.在一些非限制性实施例中,所述一组节点中的每个节点可以包括公钥。另外或替代地,对于所述一组节点中的每个相应节点,能够无凭证访问相应节点的其它节点可以包括与相应节点的公钥相关联的私钥。
15.在一些非限制性实施例中,每个账户可以与账户类型相关联;每个账户可以与应用程序相关联,所述应用程序可以具有应用程序关键性等级;和/或每个服务器可以与环境类型相关联。另外或替代地,确定每个边缘的权重可以包括进一步基于以下中的至少一项而确定每个边缘的权重:相应节点的账户的账户类型、至少一个其它节点的账户的账户类型、相应节点的服务器的环境、至少一个其它节点的服务器的环境、与相应节点的账户相关联的应用程序的应用程序关键性等级、与至少一个其它节点的账户相关联的应用程序的应用程序关键性等级、其任何组合等。另外或替代地,确定每个边缘的权重可以包括进一步基于相应节点的账户和至少一个其它节点的账户是否为同一账户而确定每个边缘的权重。
16.在一些非限制性实施例中,可以基于第二节点与第一节点之间经过其它节点中的至少一个的边缘路径的权重而终止第一节点与其它节点中的至少一个之间的无凭证访问。
17.在一些非限制性实施例中,可以接收与用于确定每个边缘的权重的规则相关联的规则配置文件。另外或替代地,确定每个边缘的权重可以包括进一步基于规则配置文件而确定每个边缘的权重。
18.根据非限制性实施例,提供一种用于控制服务器网络中的访问的计算机程序产品,每个服务器与至少一个账户相关联。计算机程序产品可以包括至少一个非瞬态计算机可读介质,所述至少一个非瞬态计算机可读介质包括一个或多个指令,所述一个或多个指令在由至少一个处理器执行时使所述至少一个处理器生成一组节点,所述一组节点包括服务器网络中的每个服务器的每个账户的节点。对于所述一组节点中的每个相应节点,可以确定所述一组节点中能够无凭证访问相应节点的至少一个其它节点。对于所述一组节点中的每个相应节点,可以生成将相应节点连接到能够无凭证访问相应节点的其它节点中的每一个的边缘。所述一组节点和边缘可以限定图形。可以基于与其它节点的账户相关联的用户数量而确定每个边缘的权重。对于所述一组节点中的至少一个第一节点,可以确定所述一组节点中的至少一个第二节点。第二节点可以经由从第二节点经过能够无凭证访问第一节点的其它节点中的至少一个的边缘路径间接访问第一节点。对于至少一个第二节点中的每个相应第二节点,可以基于边缘路径的每个边缘的权重而确定相应第二节点与第一节点之间的边缘路径的权重。
19.在一些非限制性实施例中,所述一组节点中的每个节点可以包括公钥。另外或替代地,对于所述一组节点中的每个相应节点,能够无凭证访问相应节点的其它节点可以包括与相应节点的公钥相关联的私钥。
20.在一些非限制性实施例中,每个账户可以与账户类型相关联;每个账户可以与应用程序相关联,所述应用程序可以具有应用程序关键性等级;和/或每个服务器可以与环境类型相关联。另外或替代地,确定每个边缘的权重可以包括进一步基于以下中的至少一项而确定每个边缘的权重:相应节点的账户的账户类型、至少一个其它节点的账户的账户类型、相应节点的服务器的环境、至少一个其它节点的服务器的环境、与相应节点的账户相关联的应用程序的应用程序关键性等级、与至少一个其它节点的账户相关联的应用程序的应用程序关键性等级、其任何组合等。另外或替代地,确定每个边缘的权重可以包括进一步基于相应节点的账户和至少一个其它节点的账户是否为同一账户而确定每个边缘的权重。
21.在一些非限制性实施例中,可以基于第二节点与第一节点之间经过其它节点中的至少一个的边缘路径的权重而终止第一节点与其它节点中的至少一个之间的无凭证访问。
22.在一些非限制性实施例中,可以接收与用于确定每个边缘的权重的规则相关联的规则配置文件。另外或替代地,确定每个边缘的权重可以包括进一步基于规则配置文件而确定每个边缘的权重。
23.在以下编号条款中阐述其它实施例:
24.条款1:一种用于控制服务器网络中的访问的方法,每个服务器与至少一个账户相关联,所述方法包括:利用至少一个处理器,生成一组节点,所述一组节点包括服务器网络中的每个服务器的每个账户的节点;对于所述一组节点中的每个相应节点,利用至少一个处理器,确定所述一组节点中能够无凭证访问所述相应节点的至少一个其它节点;对于所述一组节点中的每个相应节点,利用至少一个处理器,生成将所述相应节点连接到所述一组节点中能够无凭证访问所述相应节点的所述至少一个其它节点中的每一个的边缘,所述一组节点和所述边缘包括图形;利用至少一个处理器,基于与所述至少一个其它节点的所述账户相关联的用户数量而确定每个边缘的权重;对于所述一组节点中的至少一个第一节点,利用至少一个处理器,确定所述一组节点中的至少一个第二节点,所述至少一个第二节点能够经由从所述至少一个第二节点经过能够无凭证访问所述至少一个第一节点的所述至少一个其它节点中的至少一个的边缘路径间接访问所述至少一个第一节点;以及对于所述至少一个第二节点中的每个相应第二节点,利用至少一个处理器,基于所述边缘路径的所述每个边缘的所述权重而确定所述相应第二节点与所述至少一个第一节点之间的所述边缘路径的权重。
25.条款2:根据条款1所述的方法,其中所述一组节点中的每个节点包括公钥。
26.条款3:根据条款1或2所述的方法,其中,对于所述一组节点中的每个相应节点,所述一组节点中能够无凭证访问所述相应节点的所述至少一个其它节点包括与所述相应节点的所述公钥相关联的私钥。
27.条款4:根据任何前述条款所述的方法,其中每个账户与账户类型相关联,每个账户与具有应用程序关键性等级的应用程序相关联,并且每个服务器与环境类型相关联,并且其中确定每个边缘的所述权重包括进一步基于以下中的至少一项而确定每个边缘的所述权重:所述相应节点的所述账户的所述账户类型、所述至少一个其它节点的所述账户的所述账户类型、所述相应节点的所述服务器的所述环境、所述至少一个其它节点的所述服务器的所述环境、与所述相应节点的所述账户相关联的所述应用程序的所述应用程序关键性等级,或与所述至少一个其它节点的所述账户相关联的所述应用程序的所述应用程序关
键性等级。
28.条款5:根据任何前述条款所述的方法,其中确定每个边缘的所述权重包括进一步基于所述相应节点的所述账户和所述至少一个其它节点的所述账户是否为同一账户而确定每个边缘的所述权重。
29.条款6:根据任何前述条款所述的方法,还包括利用至少一个处理器,基于所述至少一个第二节点与所述至少一个第一节点之间经过所述至少一个其它节点中的所述至少一个的所述边缘路径的所述权重而终止所述至少一个第一节点与所述至少一个其它节点中的所述至少一个之间的无凭证访问。
30.条款7:根据任何前述条款所述的方法,还包括利用至少一个处理器,接收与用于确定每个边缘的所述权重的规则相关联的规则配置文件,其中确定每个边缘的所述权重包括进一步基于所述规则配置文件而确定每个边缘的所述权重。
31.条款8:一种用于控制网络中的访问的系统,包括:服务器网络,每个服务器与至少一个账户相关联;至少一个处理器;以及包括指令的至少一个非瞬态计算机可读介质,所述指令引导所述至少一个处理器进行以下操作:生成一组节点,所述一组节点包括服务器网络中的每个服务器的每个账户的节点;对于所述一组节点中的每个相应节点,确定所述一组节点中能够无凭证访问所述相应节点的至少一个其它节点;对于所述一组节点中的每个相应节点,生成将所述相应节点连接到所述一组节点中能够无凭证访问所述相应节点的所述至少一个其它节点中的每一个的边缘,所述一组节点和所述边缘包括图形;基于与所述至少一个其它节点的所述账户相关联的用户数量而确定每个边缘的权重;对于所述一组节点中的至少一个第一节点,确定所述一组节点中的至少一个第二节点,所述至少一个第二节点能够经由从所述至少一个第二节点经过能够无凭证访问所述至少一个第一节点的所述至少一个其它节点中的至少一个的边缘路径间接访问所述至少一个第一节点;以及对于所述至少一个第二节点中的每个相应第二节点,基于所述边缘路径的所述每个边缘的所述权重而确定所述相应第二节点与所述至少一个第一节点之间的所述边缘路径的权重。
32.条款9:根据条款8所述的系统,其中所述一组节点中的每个节点包括公钥。
33.条款10:根据条款8或9所述的系统,其中,对于所述一组节点中的每个相应节点,所述一组节点中能够无凭证访问所述相应节点的所述至少一个其它节点包括与所述相应节点的所述公钥相关联的私钥。
34.条款11:根据条款8至10中任一项所述的系统,其中每个账户与账户类型相关联,每个账户与具有应用程序关键性等级的应用程序相关联,并且每个服务器与环境类型相关联,并且其中确定每个边缘的所述权重包括进一步基于以下中的至少一项而确定每个边缘的所述权重:所述相应节点的所述账户的所述账户类型、所述至少一个其它节点的所述账户的所述账户类型、所述相应节点的所述服务器的所述环境、所述至少一个其它节点的所述服务器的所述环境、与所述相应节点的所述账户相关联的所述应用程序的所述应用程序关键性等级,或与所述至少一个其它节点的所述账户相关联的所述应用程序的所述应用程序关键性等级。
35.条款12:根据条款8至11中任一项所述的系统,其中确定每个边缘的所述权重包括进一步基于所述相应节点的所述账户和所述至少一个其它节点的所述账户是否为同一账户而确定每个边缘的所述权重。
36.条款13:根据条款8至12中任一项所述的系统,其中所述指令进一步引导所述至少一个处理器基于所述至少一个第二节点与所述至少一个第一节点之间经过所述至少一个其它节点中的所述至少一个的所述边缘路径的所述权重而终止所述至少一个第一节点与所述至少一个其它节点中的所述至少一个之间的无凭证访问。
37.条款14:根据条款8至13中任一项所述的系统,其中所述指令进一步引导所述至少一个处理器接收与用于确定每个边缘的所述权重的规则相关联的规则配置文件,其中确定每个边缘的所述权重包括进一步基于所述规则配置文件而确定每个边缘的所述权重。
38.条款15:一种用于控制服务器网络中的访问的计算机程序产品,每个服务器与至少一个账户相关联,所述计算机程序产品包括至少一个非瞬态计算机可读介质,所述非瞬态计算机可读介质包括一个或多个指令,所述一个或多个指令在由至少一个处理器执行时使所述至少一个处理器进行以下操作:生成一组节点,所述一组节点包括服务器网络中的每个服务器的每个账户的节点;对于所述一组节点中的每个相应节点,确定所述一组节点中能够无凭证访问所述相应节点的至少一个其它节点;对于所述一组节点中的每个相应节点,生成将所述相应节点连接到所述一组节点中能够无凭证访问所述相应节点的所述至少一个其它节点中的每一个的边缘,所述一组节点和所述边缘包括图形;基于与所述至少一个其它节点的所述账户相关联的用户数量而确定每个边缘的权重;对于所述一组节点中的至少一个第一节点,确定所述一组节点中的至少一个第二节点,所述至少一个第二节点能够经由从所述至少一个第二节点经过能够无凭证访问所述至少一个第一节点的所述至少一个其它节点中的至少一个的边缘路径间接访问所述至少一个第一节点;以及对于所述至少一个第二节点中的每个相应第二节点,基于所述边缘路径的所述每个边缘的所述权重而确定所述相应第二节点与所述至少一个第一节点之间的所述边缘路径的权重。
39.条款16:根据条款15所述的计算机程序产品,其中所述一组节点中的每个节点包括公钥,并且其中,对于所述一组节点中的每个相应节点,所述一组节点中能够无凭证访问所述相应节点的所述至少一个其它节点包括与所述相应节点的所述公钥相关联的私钥。
40.条款17:根据条款15或16所述的计算机程序产品,其中每个账户与账户类型相关联,每个账户与具有应用程序关键性等级的应用程序相关联,并且每个服务器与环境类型相关联,并且其中确定每个边缘的所述权重包括进一步基于以下中的至少一项而确定每个边缘的所述权重:所述相应节点的所述账户的所述账户类型、所述至少一个其它节点的所述账户的所述账户类型、所述相应节点的所述服务器的所述环境、所述至少一个其它节点的所述服务器的所述环境、与所述相应节点的所述账户相关联的所述应用程序的所述应用程序关键性等级,或与所述至少一个其它节点的所述账户相关联的所述应用程序的所述应用程序关键性等级。
41.条款18:根据条款15至17中任一项所述的计算机程序产品,其中确定每个边缘的所述权重包括进一步基于所述相应节点的所述账户和所述至少一个其它节点的所述账户是否为同一账户而确定每个边缘的所述权重。
42.条款19:根据条款15至18中任一项所述的计算机程序产品,其中所述指令进一步引导所述至少一个处理器基于所述至少一个第二节点与所述至少一个第一节点之间经过所述至少一个其它节点中的所述至少一个的所述边缘路径的所述权重而终止所述至少一个第一节点与所述至少一个其它节点中的所述至少一个之间的无凭证访问。
43.条款20:根据条款15至19中任一项所述的计算机程序产品,其中所述指令进一步引导所述至少一个处理器接收与用于确定每个边缘的所述权重的规则相关联的规则配置文件,并且其中确定每个边缘的所述权重包括进一步基于所述规则配置文件而确定每个边缘的所述权重。
44.在参考附图考虑以下描述和所附权利要求书之后,当前公开的主题的这些和其它特征和特性,以及相关结构元件和各部分组合的操作方法和功能以及制造经济性将变得更加显而易见,所有附图形成本说明书的部分,其中相同的附图标记表示各图中的对应部分。然而,应明确地理解,图式仅出于说明和描述目的,并非旨在作为所公开主题的限制的定义。除非上下文另外明确规定,否则在本说明书和权利要求书中所用时,单数形式“一”及“所述”包括多个指示物。
附图说明
45.下文参考附图中示出的示例性实施例更详细地解释所公开主题的额外优点和细节,在附图中:
46.图1是可以根据当前公开的主题的原理实施本文所描述的方法、系统和/或计算机程序产品的电子支付网络的非限制性实施例的图;
47.图2是图1的一个或多个装置的组件的非限制性实施例的图;
48.图3是根据当前公开的主题的原理的用于控制服务器网络中的访问的系统的非限制性实施例的图;
49.图4是根据当前公开的主题的原理的用于控制服务器网络中的访问的过程的非限制性实施例的流程图;并且
50.图5a
‑
5b是根据当前公开的主题的原理的图3所示的过程的非限制性实施例的实施方案的非限制性实施例的图;并且
51.图5c是根据当前公开的主题的原理的图3所示过程的非限制性实施例的图形的非限制性实施例的图。
具体实施方式
52.下文出于描述的目的,术语“端”、“上”、“下”、“右”、“左”、“竖直”、“水平”、“顶部”、“底部”、“横向”、“纵向”以及其衍生词应涉及所公开主题如其在附图中的定向。然而,应理解,除了明确指定相反情况之外,所公开主题可以采用各种替代变化和步骤序列。还应理解,附图中示出的以及在以下说明书中描述的特定装置和过程仅仅是所公开主题的示例性实施例或方面。因此,除非另有指示,否则与本文公开的实施例或方面相关联的特定维度和其它物理特性不应被视为限制。
53.本文所使用的方面、组件、元件、结构、动作、步骤、功能、指令等都不应当被理解为关键的或必要的,除非明确地如此描述。并且,如本文所使用,冠词“一”希望包括一个或多个项目,且可与“一个或多个”和“至少一个”互换使用。此外,如本文中所使用,术语“集合”希望包括一个或多个项目(例如,相关项目、不相关项目、相关项目与不相关项目的组合和/或其类似者),并且可与“一个或多个”或“至少一个”互换使用。在希望仅有一个项目的情况下,使用术语“一个”或类似语言。且,如本文中所使用,术语“具有”等希望是开放式术语。另
外,除非另外明确陈述,否则短语“基于”希望意味着“至少部分地基于”。
54.如本文中所使用,术语“通信”和“传送”可指信息(例如,数据、信号、消息、指令、命令等)的接收、接受、发送、传送、提供等。一个单元(例如,装置、系统、装置或系统的组件、其组合等)与另一单元通信意味着所述一个单元能够直接或间接地从所述另一单元接收信息和/或向所述另一单元发送信息。这可指在本质上有线和/或无线的直接或间接连接(例如,直接通信连接、间接通信连接等)。另外,尽管所发送的信息可以在第一单元与第二单元之间被修改、处理、中继和/或路由,但这两个单元也可以彼此通信。例如,即使第一单元被动地接收信息且不会主动地将信息发送到第二单元,第一单元也可以与第二单元通信。又如,如果至少一个中间单元(例如,位于第一单元和第二单元之间的第三单元)处理从第一单元接收的信息并且将处理后的信息传送到第二单元,则第一单元可以与第二单元通信。在一些非限制性实施例中,消息可以指包括数据的网络数据包(例如,数据包等)。应了解,可能有许多其它布置。
55.如本文中所使用,术语“发行方机构”、“便携式金融装置发行方”、“发行方”或“发行方银行”可指代向客户提供账户用于进行交易(例如,支付交易)(例如发起信用和/或借记支付)的一个或多个实体。例如,发行方机构可向客户提供唯一地标识与所述客户相关联的一个或多个账户的账户标识符,例如主账号(pan)。账户标识符可以在例如实体金融工具(例如,支付卡)等便携式金融装置上实施,和/或可以是电子的且用于电子支付。术语“发行方机构”和“发行方机构系统”也可指代由发行方机构或代表发行方机构操作的一个或多个计算机系统,例如执行一个或多个软件应用程序的服务器计算机。例如,发行方机构系统可以包括用于授权交易的一个或多个授权服务器。
56.如本文中所使用,术语“账户标识符”可包括与用户账户相关联的一种或多种类型的标识符(例如,pan、卡号、支付卡号、令牌等)。在一些非限制性实施例中,发行方机构可能向用户提供唯一地标识与所述用户相关联的一个或多个账户的账户标识符(例如,pan、令牌,等等)。账户标识符可在物理金融工具(例如,便携式金融工具、支付卡、信用卡、借记卡等)上体现,和/或可为传送到用户使得用户可用于电子支付的电子信息。在一些非限制性实施例中,账户标识符可以是原始账户标识符,其中原始账户标识符在创建与账户标识符相关联的账户时提供给用户。在一些非限制性实施例中,账户标识符可以是在原始账户标识符提供给用户之后被提供给用户的账户标识符(例如,补充账户标识符)。例如,如果原始账户标识符被遗忘、被盗等,则补充账户标识符可提供给用户。在一些非限制性实施例中,账户标识符可直接或间接与发行方机构相关联,使得账户标识符可以是映射到pan或其它类型的标识符的令牌。账户标识符可以是文数字、字符和/或符号的任何组合等。发行方机构可以与唯一地标识发行方机构的银行标识号(bin)相关联。
57.如本文中所使用,术语“支付令牌”或“令牌”可指代用作例如pan的账户标识符的替代或替换标识符的标识符。令牌可与一种或多种数据结构(例如,一个或多个数据库等)中的pan或其它账户标识符相关联,使得所述令牌可用于进行交易(例如,支付交易)而无需直接使用账户标识符,例如pan。在一些示例中,例如pan的账户标识符可以与用于不同个人、不同用途和/或不同目的的多个令牌相关联。例如,支付令牌可包括可以用作原始账户标识符的替代的一连串数字和/或字母数字字符。例如,支付令牌“4900 0000 0000 0001”可用于代替pan“4147 0900 0000 1234”。在一些非限制性实施例中,支付令牌可以是“保留
格式的”,并且可以具有与现有支付处理网络中使用的账户标识符一致的数字格式(例如,iso 8583金融交易消息格式)。在一些非限制性实施例中,支付令牌可代替pan用来发起、授权、结算或解决支付交易,或在通常会提供原始凭证的其它系统中表示原始凭证。在一些非限制性实施例中,可以生成令牌值,使得可能无法以计算方式从令牌值得到原始pan或其它账户标识符的恢复。此外,在一些非限制性实施例中,令牌格式可被配置成允许接收支付令牌的实体将其标识为支付令牌,并辨识发行所述令牌的实体。
58.如本文中所使用,术语“预配”可指代使得装置能够使用资源或服务的过程。例如,提供可能涉及使得装置能够使用账户来执行交易。另外或替代地,预配可包括将与账户数据(例如,表示账号的支付令牌)相关联的预配数据添加到装置。
59.如本文中所使用,术语“令牌请求者”可指代试图根据当前公开的主题的实施例实施令牌化的实体。例如,令牌请求者可以通过向令牌服务提供商提交令牌请求消息来发起使pan令牌化的请求。另外或替代地,一旦请求者已响应于令牌请求消息而接收支付令牌,令牌请求者就可能不再需要存储与令牌关联的pan。在一些非限制性实施例中,请求者可以是被配置成执行与令牌相关联的动作的应用程序、装置、过程或系统。例如,请求者可以请求注册网络令牌系统、请求令牌生成、令牌激活、令牌去激活、令牌交换、其它令牌生命周期管理相关过程和/或任何其它令牌相关过程。在一些非限制性实施例中,请求者可以通过任何合适的通信网络和/或协议(例如,使用https、soap和/或xml接口等等)与网络令牌系统连接。例如,令牌请求者可包括卡存档(card
‑
on
‑
file)商家、收单方、收单方处理器、代表商家操作的支付网关、支付使能者(enabler)(例如,原始设备制造商、移动网络运营商等)、数字钱包提供商、发行方、第三方钱包提供商、支付处理网络等。在一些非限制性实施例中,令牌请求者可以针对多个域和/或信道请求令牌。另外或替代地,令牌化生态系统内的令牌服务提供商可以唯一地注册和标识令牌请求者。例如,在令牌请求者注册期间,令牌服务提供商可以正式处理令牌请求者的应用程序以参与令牌服务系统。在一些非限制性实施例中,令牌服务提供商可以收集关于请求者的性质和令牌的相关使用的信息,以验证并正式批准令牌请求者并建立适当的域限制控制。另外或替代地,可以向成功注册的令牌请求者分配令牌请求者标识符,所述令牌请求者标识符也可以被输入并在令牌库内维护。在一些非限制性实施例中,可以吊销令牌请求者标识符,和/或可以向令牌请求者分配新的令牌请求者标识符。在一些非限制性实施例中,此信息可由令牌服务提供商进行报告和审计。
60.如本文中所使用,术语“令牌服务提供商”可指代包括令牌服务系统中的一个或多个服务器计算机的实体,所述实体生成、处理并维护支付令牌。例如,令牌服务提供商可以包括存储所生成令牌的令牌库或与所述令牌库通信。另外或替代地,令牌库可维护令牌与由令牌表示的pan之间的一对一映射。在一些非限制性实施例中,令牌服务提供商能够预留授权的bin作为令牌bin以发行可以提交给令牌服务提供商的pan的令牌。在一些非限制性实施例中,令牌化生态系统的各种实体可以承担令牌服务提供商的角色。例如,支付网络和发行方或其代理方可以通过实施根据当前公开的主题的非限制性实施例的令牌服务而成为令牌服务提供商。另外或替代地,令牌服务提供商可以将报告或数据输出提供给有关被批准、待决或被拒绝的令牌请求的报告工具,包括任何分配的令牌请求者id。令牌服务提供商可将与基于令牌的交易相关的数据输出提供给报告工具和应用程序,并且按需要在报告输出中呈现令牌和/或pan。在一些非限制性实施例中,emvco标准组织可以发布限定令牌化
系统可如何操作的规范。例如,此类规范可以是信息性的,但它们并不意图限制任何当前公开的主题。
61.如本文中所使用,术语“令牌库”可指代维护已建立的令牌到pan映射的存储库。例如,令牌库还可以维护令牌请求者的其它属性,这些属性可以在注册时确定,和/或可以由令牌服务提供商使用以在交易处理期间应用域限制或其它控制。在一些非限制性实施例中,令牌库可以是令牌服务系统的一部分。例如,令牌库可被提供为令牌服务提供商的一部分。另外或替代地,令牌库可以是令牌服务提供商可访问的远程存储库。在一些非限制性实施例中,令牌库因其中存储和管理的数据映射的敏感性质而可受到强大的基础物理和逻辑安全性的保护。另外或替代地,令牌库可以由任何合适的实体操作,所述实体包括支付网络、发行方、清算所、其它金融机构、交易服务提供商等。
62.如本文中所使用,术语“商家”可指代一个或多个实体(例如,基于交易(例如,支付交易)向用户(例如,客户、消费者、商家的客户等)提供商品和/或服务和/或对商品和/或服务的访问的零售企业的运营者)。如本文所使用,术语“商家系统”可以指由商家或代表商家操作的一个或多个计算机系统,例如执行一个或多个软件应用程序的服务器计算机。如本文中所使用,术语“产品”可指代由商家提供的一个或多个商品和/或服务。
63.如本文中所使用,“销售点(pos)装置”可指代可由商家使用以起始交易(例如,支付交易)、参与交易和/或处理交易的一个或多个装置。举例来说,pos装置可包括一个或多个计算机、外围装置、读卡器、近场通信(nfc)接收器、射频标识(rfid)接收器和/或其它非接触式收发器或接收器、基于接触的接收器、支付终端、计算机、服务器、输入装置等。
64.如本文所用,“销售点(pos)系统”可以指商户用来进行交易的一个或多个计算机和/或外围装置。例如,pos系统可包括一个或多个pos装置,和/或可用于进行支付交易的其它类似装置。pos系统(例如,商家pos系统)还可以包括被编程或配置成通过网页、移动应用程序等等处理在线支付交易的一个或多个服务器计算机。
65.如本文中所使用,术语“交易服务提供商”可以指代接收来自商家或其它实体的交易授权请求且在一些情况下通过交易服务提供商与发行方机构之间的协议来提供支付保证的实体。在一些非限制性实施例中,交易服务提供商可包括信用卡公司、借记卡公司等。如本文中所使用,术语“交易服务提供商系统”还可指代由交易服务提供商或代表交易服务提供商操作的一个或多个计算机系统,例如执行一个或多个软件应用的交易处理服务器。交易处理服务器可以包括一个或多个处理器,并且在一些非限制性实施例中可以由交易服务提供商或代表交易服务提供商操作。
66.如本文中所使用,术语“收单方”可以指由交易服务提供商许可且由交易服务提供商批准可以使用与交易服务提供商相关联的便携式金融装置发起交易(例如,支付交易)的实体。如本文中所使用,术语“收单方系统”也可以指由收单方或代表收单方操作的一个或多个计算机系统、计算机装置等等。收单方可发起的交易可包括支付交易(例如,购买、原始信用交易(oct)、账户资金交易(aft)等)。在一些非限制性实施例中,收单方可以由交易服务提供商授权以与商家或服务提供商签约,来使用交易服务提供商的便携式金融装置发起交易。收单方可以与支付服务商签合约,以使支付服务商能够向商家提供赞助。收单方可以根据交易服务提供商规章监视支付服务商的合规性。收单方可以对支付服务商进行尽职调查,并确保在与受赞助的商家签约之前进行适当的尽职调查。收单方可能对收单方操作或
赞助的所有交易服务提供商计划负责任。收单方可以负责收单方支付服务商、由收单方支付服务商赞助的商家等的行为。在一些非限制性实施例中,收单方可以是金融机构,例如银行。
67.如本文中所使用,术语“电子钱包”、“电子钱包移动应用”和“数字钱包”可指代被配置成起始和/或进行交易(例如,支付交易、电子支付交易等)的一个或多个电子装置和/或一个或多个软件应用。例如,电子钱包可包括用户装置(例如,移动装置)执行用于维护和向用户装置提供交易数据的应用程序和服务器侧软件和/或数据库。如本文中所使用,术语“电子钱包提供商”可包括为用户(例如,客户)提供和/或维护电子钱包和/或电子钱包移动应用程序的实体。电子钱包提供商的示例包括但不限于googleandroidapple和samsung在一些非限制性示例中,金融机构(例如,发行方机构)可以是电子钱包提供商。如本文中所使用,术语“电子钱包提供商系统”可指代由电子钱包提供商或代表电子钱包提供商操作的一个或多个计算机系统、计算机装置、服务器、服务器群组等。
68.如本文所使用,术语“便携式金融装置”可以指代支付卡(例如,信用卡或借记卡)、礼品卡、智能卡、智能介质、工资卡、医疗保健卡、腕带、含有账户信息的机器可读介质、钥匙链装置或吊坠、rfid应答器、零售商折扣或会员卡、蜂窝电话、电子钱包移动应用程序、个人数字助理(pda)、寻呼机、安全卡、计算机、访问卡、无线终端、应答器等。在一些非限制性实施例中,便携式金融装置可以包括易失性或非易失性存储器以存储信息(例如,账户标识符、账户持有人的姓名和/或其类似者)。
69.如本文所使用,术语“支付网关”可指代实体和/或由此类实体或代表此类实体操作的支付处理系统,所述实体(例如商家服务提供商、支付服务提供商、支付服务商、与收单方有合约的支付服务商、支付集合人(payment aggregator)等)提供支付服务(例如交易服务提供商支付服务、支付处理服务等)给一个或多个商家。支付服务可与由交易服务提供商管理的便携式金融装置的使用相关联。如本文中所使用,术语“支付网关系统”可指代由支付网关或代表支付网关操作的一个或多个计算机系统、计算机装置、服务器、服务器群组等,和/或支付网关本身。术语“支付网关移动应用”可指代被配置成提供交易(例如,支付交易、电子支付交易等)的支付服务的一个或多个电子装置和/或一个或多个软件应用。
70.如本文中所使用,术语“客户端”和“客户端装置”可指代用于发起或促进交易(例如,支付交易)的一个或多个客户端侧装置或系统(例如,在交易服务提供商的远程处)。作为一实例,“客户端装置”可指代由商家使用的一个或多个pos装置、由收单方使用的一个或多个收单方主机计算机、由用户使用的一个或多个移动装置等。在一些非限制性实施例中,客户端装置可以是被配置成与一个或多个网络通信并发起或促进交易的电子装置。例如,客户端装置可以包括一个或多个计算机、便携式计算机、膝上型计算机、平板计算机、移动装置、蜂窝电话、可穿戴装置(例如,手表、眼镜、镜片、衣物等)、个人数字助理(pda)等。此外,术语“客户端”还可以指代拥有、利用和/或操作客户端装置以发起交易(例如,发起与交易服务提供商的交易)的实体(例如,商家、收单方等)。
71.如本文中所使用,术语“服务器”可指代经由网络(例如,公用网络、因特网、专用网络等)与客户端装置和/或其它计算装置通信且在一些示例中促进其它服务器和/或客户端装置之间的通信的一个或多个计算装置(例如,处理器、存储装置、类似的计算机组件等)。
应了解,可能有各种其它布置。如本文中所使用,术语“系统”可指代一个或多个计算装置或计算装置的组合(例如,处理器、服务器、客户端装置、软件应用程序、这些计算装置的组件等)。如本文中所使用对“装置”、“服务器”、“处理器”等的提及可指代陈述为执行先前步骤或功能的先前陈述的装置、服务器或处理器、不同的服务器或处理器,和/或服务器和/或处理器的组合。例如,如说明书和权利要求书所使用,陈述为执行第一步骤或第一功能的第一服务器或第一处理器可指代陈述为执行第二步骤或第二功能的相同或不同服务器或相同或不同处理器。
72.所公开的主题的非限制性实施例涉及用于控制服务器网络中的访问的系统、方法和计算机程序产品,包括但不限于用于基于图形而控制服务器网络中的访问的系统、方法和计算机程序产品。例如,所公开的主题的非限制性实施例使用图形来控制服务器网络中的访问,其中每个主机的每个账户的节点和(定向)边缘表示节点之间的直接/无凭证访问,其中边缘是基于已连接节点而加权的,所述已连接节点包括每个节点的账户的有凭证(例如,基于密码)的用户。此类实施例提供了能够标识节点之间的间接(例如,过渡性)访问的技术和系统。例如,通过遍历图形,可以从目标节点(例如,第一节点)经过源节点(例如,能够直接/无凭证访问第一节点的第二节点)到第三节点标识至少一个边缘路径,所述第三节点已通过源节点获得对目标节点的访问权限(例如,无意获得的间接/过渡性访问权限)。因此,可以确定和/或标识能够间接访问每个目标节点的节点(例如,第三节点等)。另外或替代地,基于有凭证(例如,基于密码等)的用户(例如,人类用户、应用程序、服务等)的数量或与路径中的每个节点相关联的其它准则/因素(例如,源节点和/或间接连接的节点,例如第三节点等),可以向每个边缘(或路径中的每个节点)分配权重。因此,沿着路径的每个边缘(或每个节点)的总权重不仅可以指示(例如,量化)由无凭证访问引起的间接/过渡性访问的次数,还可以指示(例如,经由直接和/或间接访问)已经(无意)获得访问权限的有凭证用户的数量以及与访问所带来的风险相关联的其它准则/因素。此外,此类加权/量化可以(例如,使目标实体、管理员等)能够确定间接(例如,过渡性)访问是否应终止一个或多个直接和/或无凭证访问。另外或替代地,图形的大小可以随着网络的大小增加而增加,并且可以随着图形增长而(例如,重复地、周期性地、连续地等)应用相同的图形遍历和加权技术。因此,所公开的技术和系统是可扩展的,同时提高效率。另外或替代地,所公开的技术和系统减少和/或消除了对直接/无凭证访问和/或间接/过渡性访问进行人工审核的需要,因此减少和/或消除了人为错误的可能性,并且提高了效率,同时减少了等待时间。此外,使用所公开的技术和系统,可以自动地(例如,重复地、周期性地、连续地等)更新图形和权重,因此,此类输出可以持续地用于确定是否终止访问和/或批准新的访问请求,从而提高效率,同时减少等待时间。另外或替代地,由于所公开的技术可以允许维护(例如,自动地、重复地、周期性地、连续地更新等)最新图形,因此可以快速(例如,立刻、实时等)标识和/或确定(例如,计算机黑客、无良/恶意用户等的)任何攻击和/或破坏的影响。
73.出于说明的目的,在以下描述中,虽然关于用于控制服务器网络中的访问,例如基于图形而控制服务器网络中的访问的方法、系统和计算机程序产品描述了当前公开的主题,但本领域的技术人员将认识到所公开的主题不限于说明性实施例。例如,本文所描述的方法、系统和计算机程序产品可以与各种设置一起使用,所述设置例如控制适合使用网络的任何设置中的访问,所述网络例如电子支付网络、计算网络、临时网络、本地网络、专用网
络、虚拟专用网络、蜂窝网络、电话网络、因特网等。
74.现在参考图1,图1是可以实施如本文所描述的系统、产品和/或方法的电子支付网络100的非限制性实施例的图。如图1所示,电子支付网络100包括交易服务提供商系统102、发行方系统104、客户装置106、商家系统108、收单方系统110和网络112。
75.交易服务提供商系统102可以包括能够经由网络112从发行方系统104、客户装置106、商家系统108和/或收单方系统110接收信息和/或将信息传送到它们的一个或多个装置。例如,交易服务提供商系统102可以包括计算装置,例如服务器(例如,交易处理服务器)、服务器群组和/或其它类似装置。在一些非限制性实施例中,交易服务提供商系统102可以与本文所描述的交易服务提供商相关联。在一些非限制性实施例中,交易服务提供商系统102可以与数据存储装置通信,所述数据存储装置对于交易服务提供商系统102可以是本地的或远程的。在一些非限制性实施例中,交易服务提供商系统102能够从数据存储装置接收信息,将信息存储在数据存储装置中,将信息传送到数据存储装置,或搜索存储在数据存储装置中的信息。
76.发行方系统104可以包括能够经由网络112从交易服务提供商系统102、客户装置106、商家系统108和/或收单方系统110接收信息和/或将信息传送到它们的一个或多个装置。例如,发行方系统104可以包括计算装置,例如服务器、服务器群组和/或其它类似装置。在一些非限制性实施例中,发行方系统104可以与如本文所描述的发行方机构相关联。例如,发行方系统104可以与向与客户装置106相关联的用户发行信用账户、借记账户、信用卡、借记卡等的发行方机构相关联。
77.客户装置106可以包括能够经由网络112从交易服务提供商系统102、发行方系统104、商家系统108和/或收单方系统110接收信息和/或将信息传送到它们的一个或多个装置。另外或替代地,每个客户装置106可以包括能够经由网络112、另一网络(例如,临时网络、本地网络、专用网络、虚拟专用网络等)和/或任何其它合适的通信技术从其它客户装置106接收信息和/或将信息传送到所述其它客户装置的装置。例如,客户装置106可以包括客户端装置等。在一些非限制性实施例中,客户装置106能够或不能够经由短程无线通信连接(例如,nfc通信连接、rfid通信连接、通信连接、通信连接等)(例如从商家系统108或从另一客户装置106)接收信息,和/或经由短程无线通信连接(例如向商家系统108)传送信息。
78.商家系统108可以包括能够经由网络112从交易服务提供商系统102、发行方系统104、客户装置106和/或收单方系统110接收信息和/或将信息传送到它们的一个或多个装置。商家系统108还可以包括能够经由网络112、与客户装置106的通信连接(例如,nfc通信连接、rfid通信连接、通信连接、通信连接等)等从客户装置106接收信息,和/或经由网络、通信连接等将信息传送到客户装置106的装置。在一些非限制性实施例中,商家系统108可以包括计算装置,例如服务器、服务器群组、客户端装置、客户端装置群组和/或其它类似装置。在一些非限制性实施例中,商家系统108可以与如本文所描述的商家相关联。在一些非限制性实施例中,商家系统108可以包括一个或多个客户端装置。例如,商家系统108可以包括允许商家将信息传送到交易服务提供商系统102的客户端装置。在一些非限制性实施例中,商家系统108可以包括能够供商家用于与用户进行交易的一个或多个装置,例如计算机、计算机系统和/或外围装置。例如,商家系统108可以包括pos装置
和/或pos系统。
79.收单方系统110可以包括能够经由网络112从交易服务提供商系统102、发行方系统104、客户装置106和/或商家系统108接收信息和/或将信息传送到它们的一个或多个装置。例如,收单方系统110可包括计算装置、服务器、服务器群组等。在一些非限制性实施例中,收单方系统110可以与如本文所述的收单方相关联。
80.网络112可以包括一个或多个有线和/或无线网络。例如,网络112可包括蜂窝网络(例如,长期演进(lte)网络、第三代(3g)网络、第四代(4g)网络、码分多址(cdma)网络等)、公共陆地移动网络(plmn)、局域网(lan)、广域网(wan)、城域网(man)、电话网络(例如,公共交换电话网络(pstn))、专用网络(例如,与交易服务提供商相关联的专用网络)、临时网络、内联网、因特网、基于光纤的网络、云计算网络等,和/或这些或其它类型的网络的组合。
81.作为示例提供图1所示的系统、装置和/或网络的数目和布置。可存在额外系统、装置和/或网络、更少系统、装置和/或网络、不同的系统、装置和/或网络,和/或以与图1所示的那些不同的方式布置的系统、装置和/或网络。此外,可在单个系统和/或装置内实施图1中展示的两个或更多个系统或装置,或图1中展示的单个系统或装置可实施为多个分布式系统或装置。另外或替代地,电子支付网络100的一组系统(例如,一个或多个系统)或一组装置(例如,一个或多个装置)可以执行被描述为由电子支付网络100的另一组系统或另一组装置执行的一个或多个功能。
82.现在参考图2,图2是装置200的示例组件的图。装置200可以对应于交易服务提供商系统102的一个或多个装置、发行方系统104的一个或多个装置、客户装置106、商家系统108的一个或多个装置,和/或收单方系统110的一个或多个装置。在一些非限制性实施例中,交易服务提供商系统102、发行方系统104、客户装置106、商家系统108和/或收单方系统110可以包括至少一个装置200和/或装置200的至少一个组件。如图2所示,装置200可包括总线202、处理器204、存储器206、存储组件208、输入组件210、输出组件212,和通信接口214。
83.总线202可包括准许装置200的组件之间的通信的组件。在一些非限制性实施例中,处理器204可以在硬件、软件、固件或其组合中实施。例如,处理器204可以包括处理器(例如,中央处理单元(cpu)、图形处理单元(gpu)、加速处理单元(apu)等)、微处理器、数字信号处理器(dsp),和/或可被编程为执行某一功能的任何处理组件(例如,现场可编程门阵列(fpga)、专用集成电路(asic)等)等。存储器206可以包括随机存取存储器(ram)、只读存储器(rom),和/或存储供处理器204使用的信息和/或指令的另一类型的动态或静态存储装置(例如,闪存存储器、磁存储器、光学存储器等)。
84.存储组件208可以存储与装置200的操作和使用相关联的信息和/或软件。例如,存储组件208可以包括硬盘(例如,磁盘、光盘、磁光盘、固态磁盘等)、压缩光盘(cd)、数字多功能光盘(dvd)、软盘、盒带、磁带和/或另一类型的计算机可读介质,以及对应的驱动器。
85.输入组件210可以包括准许装置200例如经由用户输入(例如,触摸屏显示器、键盘、小键盘、鼠标、按钮、开关、麦克风、摄像头等)接收信息的组件。另外或替代地,输入组件210可以包括用于感测信息的传感器(例如,全球定位系统(gps)组件、加速度计、陀螺仪、致动器等)。输出组件212可包括从装置200提供输出信息的组件(例如显示器、扬声器、一个或多个发光二极管(led)等)。
86.通信接口214可包括收发器式组件(例如,收发器、单独的接收器和发送器等),其使装置200能够例如经由有线连接、无线连接或有线和无线连接的组合与其它装置通信。通信接口214可以准许装置200接收来自另一装置的信息和/或向另一装置提供信息。例如,通信接口214可以包括以太网接口、光学接口、同轴接口、红外接口、射频(rf)接口、通用串行总线(usb)接口、接口、接口、接口、蜂窝网络接口等。
87.装置200可以执行本文描述的一个或多个过程。装置200可以基于处理器204执行由例如存储器206和/或存储组件208的计算机可读介质存储的软件指令来执行这些过程。计算机可读介质(例如,非瞬态计算机可读介质)在本文中定义为非瞬态存储器装置。非瞬态存储器装置包括位于单个物理存储装置内部的存储器空间或散布于多个物理存储装置上的存储器空间。
88.软件指令可以经由通信接口214从另一计算机可读介质或从另一装置读取到存储器206和/或存储组件208中。在被执行时,存储在存储器206和/或存储组件208中的软件指令可以使处理器204执行本文描述的一个或多个过程。另外或替代地,硬接线电路可替代或结合软件指令使用以执行本文中所描述的一个或多个过程。因此,本文所描述的实施例不限于硬件电路和软件的任何特定组合。
89.图2中所示的组件的数目和布置作为示例提供。在一些非限制性实施例中,装置200可以包括与图2中所示的那些相比额外的组件、更少的组件、不同的组件,或不同地布置的组件。另外或替代地,装置200的一组组件(例如一个或多个组件)可执行被描述为由装置200的另一组组件执行的一个或多个功能。
90.现在参考图3,图3是用于控制服务器网络中的访问的示例性系统300的非限制性实施例的图。如图3所示,系统300可以包括多个数据源(例如,账户数据302d、密钥数据302e、用户/特权数据302f、关键性数据302g等)、图形平台302h、规则/配置文件302i、治理平台302j、输出数据库302k和用户装置302u。在一些非限制性实施例中,多个数据源(例如,302d
‑
302g)、图形平台302h、规则/配置文件302i、治理平台302j、输出数据库302k和用户装置302u可以与交易服务提供商系统102(例如,交易服务提供商系统102的一个或多个装置)相同、类似,或可以是所述交易服务提供商系统的部分。另外或替代地,多个数据源(例如,302d
‑
302g)、图形平台302h、规则/配置文件302i、治理平台302j、输出数据库302k和用户装置302u中的至少一些可以(例如,完全地、部分地等)由与交易服务提供商系统102分开或包括所述交易服务提供商系统的另一系统、另一装置、另一系统群组或另一装置群组实施,所述另一系统、另一装置、另一系统群组或另一装置群组例如发行方系统104(例如,发行方系统104的一个或多个装置)、客户装置106、商家系统108(例如,商家系统108的一个或多个装置)、收单方系统110(例如,收单方系统110的一个或多个装置)等。在一些非限制性实施例中,多个数据源(例如,302d
‑
302g)、图形平台302h、规则/配置文件302i、治理平台302j、输出数据库302k和用户装置302u可以被配置成执行(例如,完全地、部分地等)图4的过程400,如下文进一步描述。
91.在一些非限制性实施例中,账户数据302d可以包括与服务器网络中的账户相关联的数据的数据库。例如,服务器网络中的每个服务器可以与至少一个账户相关联。在一些非限制性实施例中,每个账户可以包括外壳账户、操作系统账户、unix账户等。在一些非限制性实施例中,每个账户可以包括账户类型。例如,每个账户可以具有以下类型中的至少一
项:根账户(例如,对整个操作系统具有最广泛(全部等)访问和/或权限的账户,例如根、超级用户、管理员(admin)、主管等)、服务账户(例如,应用程序、可执行程序、服务、系统、操作等的账户,与根账户相比,其在操作系统中的访问和/或权限可能有所减少)、用户账户(例如,供人类用户访问服务器和/或服务器网络的账户,与根账户相比,其在操作系统中的访问和/或权限可能有所减少)等。在一些非限制性实施例中,每个账户可以与在服务器环境(例如,账户的相应服务器、服务器网络中的多个服务器等)中运行的应用程序相关联。在一些非限制性实施例中,账户数据302d可以存储在逗号分隔值(csv)文件、电子表格、结构化查询语言(sql)数据库、非sql数据库、消息传递集群(例如,apache
tm
等)、分布式文件系统(例如,apache
tm
区块链等)等中的至少一个中。
92.在一些非限制性实施例中,密钥数据302e可以包括与用于访问(例如,直接和/或无凭证访问)服务器网络中的服务器的密钥(例如,公钥、私钥等)相关联的数据的数据库。在一些非限制性实施例中,此类直接和/或无凭证访问可以是基于密钥的访问,例如,公钥密码、不对称密码、私钥密码、安全外壳(ssh)网络协议、密钥管理器(例如,通用密钥管理器(ukm))等。在一些非限制性实施例中,所述一组节点中的每个节点可以包括(例如,存储、被分配等)公钥。另外或替代地,对于每个相应节点,能够无凭证访问相应节点的至少一个其它节点可以包括(例如,存储、被分配等)与相应节点的公钥相关联的私钥。在一些非限制性实施例中,公钥和私钥可以是ssh密钥等。在一些非限制性实施例中,密钥数据302e可以存储在密钥管理器(例如,ssh密钥管理器)、csv文件、电子表格、sql数据库、非sql数据库、消息传递集群(例如,apache
tm
等)、分布式文件系统(例如,apache
tm
区块链等)等中的至少一个中。
93.在一些非限制性实施例中,用户/特权数据302f可以包括与用户相关联的数据的数据库、(例如,用户)访问账户的特权等。例如,用户/特权数据302f可以包括用户标识符、每个用户标识符的访问权/特权、与此类用户标识符相关联的密码、unix特权管理器(upm)数据、甲骨文身份管理(oim)数据等。在一些非限制性实施例中,用户可以包括人类用户和/或服务用户(例如,为其创建用户标识符的应用程序、服务等)。在一些非限制性实施例中,用户/特权数据302f可以用于基于密码访问账户(例如,存储在账户数据302d中的账户)。在一些非限制性实施例中,用户/特权数据302f可以存储在特权管理器(例如,upm)、csv文件、电子表格、sql数据库、非sql数据库、消息传递集群(例如,apache
tm
等)、分布式文件系统(例如,apache
tm
区块链等)等中的至少一个中。
94.在一些非限制性实施例中,用户/特权数据302f可以包括与服务器和/或其操作系统(例如,unix)中的账户的访问权和权限相关联的数据。另外或替代地,用户/特权数据302f可以为例如用户账户和/或服务账户等账户(例如,unix账户)提供访问提升权、模拟权等。
95.在一些非限制性实施例中,一些用户和/或服务可以有凭证(例如,基于密码等)地访问节点的账户和/或具有与节点的账户相关联的模拟权。例如,用户(或服务)a、b和c可以各自访问账户a1等。
96.在一些非限制性实施例中,关键性数据302g可以包括与每个应用程序的关键性等级相关联的数据的数据库。例如,每个应用程序的关键性等级可以是应用程序基于多个因
素相对于其它应用程序的关键性评分和/或排名。在一些非限制性实施例中,此类因素可以包括数据(例如,由应用程序处理的数据)的敏感性、(例如,失去应用程序服务的)业务影响、潜在声誉损害、潜在经济损失、运作风险、个人安全风险、潜在违法等。在一些非限制性实施例中,关键性等级可以是定性的(例如,极高、高、中、低、极低等)、定量的(例如,介于0与1之间、0与10之间等的数字)、相对排名(例如,对所有应用程序从最低到最高、从最高到最低等进行排名)等。在一些非限制性实施例中,关键性数据302g可以存储在csv文件、电子表格、sql数据库、非sql数据库、消息传递集群(例如,apache
tm
等)、分布式文件系统(例如,apache
tm
区块链等)等中的至少一个中。
97.在一些非限制性实施例中,图形平台302h可以包括系统的一个或多个装置(例如,服务器网络中的至少一个服务器;交易服务提供商系统102、发行方系统104、客户装置106、商家系统108和/或收单方系统110的一个或多个装置;等)。例如,图形平台302h可以包括计算装置、客户端装置、服务器、服务器群组和/或其它类似装置。在一些非限制性实施例中,图形平台302h可以与数据源(例如,账户数据302d、密钥数据302e、用户/特权数据302f、关键性数据302g等)通信,所述数据源对于图形平台302h可以是本地的或远程的。另外或替代地,图形平台302h可以与规则/配置文件302i通信和/或被配置成接收所述规则/配置文件,所述规则/配置文件对于图形平台302h可以是本地的或远程的。在一些非限制性实施例中,图形平台302h能够从用户装置302u接收信息、将信息存储在所述用户装置中、将信息传送到所述用户装置,或搜索存储在所述用户装置中的信息,所述用户装置对于图形平台302h可以是本地的或远程的。在一些非限制性实施例中,图形平台302h能够从治理平台302j接收信息,将信息存储在所述治理平台中,将信息传送到所述治理平台,或搜索存储在所述治理平台中的信息,所述治理平台对于图形平台302h可以是本地的或远程的。在一些非限制性实施例中,图形平台302h能够从输出数据库302k接收信息、将信息存储在所述输出数据库中、将信息传送到所述输出数据库,或搜索存储在所述输出数据库中的信息,所述输出数据库对于图形平台302h可以是本地的或远程的。
98.在一些非限制性实施例中,治理平台302j可以包括系统的一个或多个装置(例如,服务器网络中的至少一个服务器;交易服务提供商系统102、发行方系统104、客户装置106、商家系统108和/或收单方系统110的一个或多个装置;等)。例如,治理平台302j可以包括计算装置、客户端装置、服务器、服务器群组和/或其它类似装置。在一些非限制性实施例中,治理平台302j能够从图形平台302h接收信息,将信息存储在所述图形平台中,将信息传送到所述图形平台,或搜索存储在所述图形平台中的信息,所述图形平台对于治理平台302j可以是本地的或远程的。在一些非限制性实施例中,治理平台302j能够从输出数据库302k接收信息、将信息存储在所述输出数据库中、将信息传送到所述输出数据库,或搜索存储在所述输出数据库中的信息,所述输出数据库对于治理平台302j可以是本地的或远程的。
99.在一些非限制性实施例中,输出数据库302k可以包括与图形平台302h和/或治理平台302j的输出相关联的数据的数据库。在一些非限制性实施例中,输出数据库302k可以包括特权管理器(例如,upm)、sql数据库、非sql数据库、消息传递集群(例如,apache
tm
等)、分布式文件系统(例如,apache
tm
区块链等)等中的至少一个。
100.在一些非限制性实施例中,用户装置302u可以包括能够从图形平台302h、治理平
台302j和/或输出数据库302k接收信息和/或将信息传送到所述图形平台、所述治理平台和/或所述或输出数据库的一个或多个装置(例如,服务器网络中的至少一个服务器;交易服务提供商系统102、发行方系统104、客户装置106、商家系统108和/或收单方系统110的一个或多个装置;等)。另外或替代地,每个用户装置302u可以包括能够从其它用户装置302u接收信息和/或将信息传送到所述其它用户装置的装置。例如,用户装置302u可以包括客户端装置等。
101.现在参考图4,图4是用于控制网络中的访问的过程400的非限制性实施例的流程图。在一些非限制性实施例中,过程400的一个或多个步骤可以由图形平台302h(例如,图形平台302h的一个或多个装置)(例如,完全地、部分地等)执行。在一些非限制性实施例中,过程400的一个或多个步骤可以(例如,完全地、部分地等)由与图形平台302h分开或包括所述图形平台的另一系统、另一装置、另一系统群组或另一装置群组执行,所述另一系统、另一装置、另一系统群组或另一装置群组例如系统300(例如,系统300的一个或多个装置)、交易服务提供商系统102(例如,交易服务提供商系统102的一个或多个装置)、发行方系统104(例如,发行方系统104的一个或多个装置)、客户装置106、商家系统108(例如,商家系统108的一个或多个装置)、收单方系统110(例如,收单方系统110的一个或多个装置)等。在一些非限制性实施例中,服务器网络可以(例如,完全地、部分地等)作为一个系统(例如,系统300、交易服务提供商系统102、发行方系统104、商家系统108、收单方系统110等中的一个)的一部分来实施。另外或替代地,服务器网络中的至少一个服务器可以由另一个单独系统(例如,第三方系统;系统300、交易服务提供商系统102、发行方系统104、商家系统108或收单方系统110中的至少一个装置;等)(例如,完全地、部分地等)实施。
102.如图4所示,在步骤402处,过程400可以包括生成节点。例如,图形平台302h可以生成一组节点。在一些非限制性实施例中,所述一组节点可以包括服务器网络中的每个服务器的每个账户的节点。另外或替代地,图形平台302h可以基于账户数据302d而确定哪些账户与每个服务器相关联,如本文所描述。
103.出于说明的目的,现在参考图5a和5b,图5a和5b是与图3所示的过程300相关的非限制性实施例的示例性实施方案500的图。如图5a
‑
5b所示,实施方案500可以包括多个服务器和/或主机,例如,服务器h1、服务器h2和服务器h3。在一些非限制性实施例中,服务器(例如,h1
‑
h3)可以与系统300相同、类似,或可以是所述系统的部分。另外或替代地,服务器(例如,h1
‑
h3)中的至少一些可以(例如,完全地、部分地等)由与系统300分开或包括所述系统的另一系统、另一装置、另一系统群组或另一装置群组实施,所述另一系统、另一装置、另一系统群组或另一装置群组例如交易服务提供商系统102(例如,交易服务提供商系统102的一个或多个装置)、发行方系统104(例如,发行方系统104的一个或多个装置)、客户装置106、商家系统108(例如,商家系统108的一个或多个装置)、收单方系统110(例如,收单方系统110的一个或多个装置)等。在一些非限制性实施例中,服务器(例如,h1
‑
h3)可以被配置成(例如,完全地、部分地等)执行过程400。
104.在一些非限制性实施例中,服务器(例如,h1
‑
h3)中的每一个可以与至少一个账户(例如,账户a1、账户a2和/或账户a3)相关联,如本文所描述。在一些非限制性实施例中,至少一个账户(例如,账户a1)可以与多个服务器(例如,服务器h1和服务器h2)相关联。
105.在一些非限制性实施例中,每个账户(例如,a1
‑
a3)可以与账户类型、应用程序等
相关联,如本文所描述。另外或替代地,每个服务器(例如,h1
‑
h3)可以与环境类型相关联,如本文所描述。在一些非限制性实施例中,每个环境可以属于至少一个类别,包括生产或非生产。例如,生产环境可以是应用程序、服务等可供客户(例如,外部客户)使用的环境。另外或替代地,非生产环境是应用程序、服务等不可供客户(例如,外部客户)使用但可供至少一个内部用户使用的环境(例如,内部环境)。例如,非生产环境可以包括开发、质量保证、测试、实验室、集成和/或类似环境。在一些非限制性实施例中,每个应用程序可以具有关键性等级,如本文所描述。
106.在一些非限制性实施例中,至少一个服务器(例如,h1
‑
h3)上的至少一个账户(例如,a1
‑
a3)可以直接和/或无凭证访问至少一个其它账户和/或服务器,如本文所描述。出于说明的目的,如图5a所示,服务器h1上的账户a1可以(定向)直接和/或无凭证访问服务器h1上的账户a2,如本文所描述。另外或替代地,服务器h2上的账户a1可以(定向)直接和/或无凭证访问服务器h3上的账户a3,如本文所描述。
107.在一些非限制性实施例中,可以授予新的访问(例如,新的直接和/或无凭证访问)的权限。出于说明的目的,如图5b所示,可以授予服务器h1上的账户a1直接和/或无凭证访问服务器h2上的账户a1的权限,如本文所描述。另外或替代地,可以授予服务器h2上的账户a1直接和/或无凭证访问服务器h1上的账户a1的权限,如本文所描述。
108.在一些非限制性实施例中,至少一个服务器(例如,h1
‑
h3)上的至少一个账户(例如,a1
‑
a3)可以间接和/或过渡性访问至少一个其它账户和/或服务器,如本文所描述。出于说明的目的,如图5b所示,由于在服务器h1上的账户a1与服务器h2上的账户a1之间授予直接和/或无凭证访问的权限,服务器h1上的账户a1可以通过服务器h2上的账户a1获得对服务器h3上的账户a3的间接和/或过渡性访问权限,如本文所描述。另外或替代地,服务器h2上的账户a1可以通过服务器h1上的账户a1获得对服务器h1上的账户a2的间接和/或过渡性访问权限,如本文所描述。
109.现在参考图5c,图5c是与图3所示的过程300相关的非限制性实施例的示例性图形550的图。如图5c所示,图形550可以包括一组节点,例如节点n1、节点n2、节点n3和节点n4。例如,图形平台302h可以生成所述一组节点(n1
‑
n4)。在一些非限制性实施例中,所述一组节点可以包括服务器网络(例如,实施方案500)中的每个服务器(例如,h1
‑
h3)的每个账户(例如,a1
‑
a3)的节点(例如,n1
‑
n4),如本文所描述。另外或替代地,每个节点(例如,n1
‑
n4)可以是通过网络连接到其它节点(例如,n1
‑
n4)中的至少一个的单独装置、单独服务器、单独计算系统等,如本文所描述。
110.出于说明的目的,如图5c所示,节点n1可以与服务器h1上的账户a1相关联。另外或替代地,节点n2可以与服务器h1上的账户a2相关联。另外或替代地,节点n3可以与服务器h2上的账户a1相关联。另外或替代地,节点n4可以与服务器h3上的账户a3相关联。
111.再次参考图4,在步骤404处,过程400可以包括确定节点之间的访问(例如,直接和/或无凭证访问)。例如,图形平台302h可以(例如,针对所述一组节点中的每个相应节点)确定所述一组节点(例如,n1
‑
n4)中能够直接和/或无凭证访问相应节点的至少一个其它节点。另外或替代地,图形平台302h可以基于密钥数据302e而确定哪一(哪些)其它节点能够直接和/或无凭证访问每个相应节点,如本文所描述。
112.出于说明的目的,如图5b
‑
5c所示,至少一个节点(例如,n1
‑
n3)可以直接和/或无
凭证访问至少一个其它节点,如本文所描述。例如,节点n1可以直接和/或无凭证访问节点n2,并且节点n1可以直接和/或无凭证访问节点n3,如本文所描述。另外或替代地,节点n3可以直接和/或无凭证访问节点n1,并且节点n3可以直接和/或无凭证访问节点n4,如本文所描述。
113.在一些非限制性实施例中,至少一个节点可以直接和/或无凭证访问自身(例如,自访问,例如,节点可以具有与节点的公钥相关联的私钥等)。例如,节点n1可以直接和/或无凭证访问自身(例如,自访问),如本文所描述。
114.在一些非限制性实施例中,此类直接和/或无凭证访问可以是基于密钥的访问,例如,公钥密码、不对称密码、私钥密码、安全外壳(ssh)网络协议、密钥管理器(例如,通用密钥管理器(ukm))等。在一些非限制性实施例中,所述一组节点中的每个节点可以包括(例如,存储、被分配等)公钥。另外或替代地,对于每个相应节点,能够无凭证访问相应节点的至少一个其它节点可以包括(例如,存储、被分配等)与相应节点的公钥相关联的私钥。在一些非限制性实施例中,公钥和私钥可以是ssh密钥等。
115.出于说明的目的,为了生成节点并确定直接/无凭证访问,图形平台302h可以执行以伪码表示的以下算法:
116.算法1
117.1)按节点(例如,账户和服务器/主机的组合)将私钥标识符(例如,指纹标识符(fid))分组成列表(例如,pkaccthostgrouped)
118.2)对于pkaccthostgrouped中的每个节点(例如,账户/主机组合)
119.a.(例如,从账户数据302d)获取账户类型(例如,用户、服务或根)
120.b.获取用户/特权数据302f(例如,用户、upm访问等)
121.c.获得环境类型(例如,来自每个服务器)和相关联的关键性等级(例如,来自关键性数据302g)
122.d.获取相关联fid的列表
123.e.对于每个fid:
124.i.为节点的所有属性创建私钥属性列表/字典(例如,pkattributesdict)
125.ii.创建节点(例如,包括账户(acct)、服务器(主机)、fid、用户/特权(upm)、私钥、pkattributesdict)
126.iii.将节点(例如,账户/主机组合)添加到链(例如,pkchain[accthost])
[0127]
iv.将节点添加到列表(例如,nodelist),并将nodelist中的节点的索引添加到列表/字典(例如,ahdict[accthost])
[0128]
v.将节点添加到节点字典(nodedict[acct,host,fid])
[0129]
再次参考图4,在步骤406处,过程400可以包括生成边缘。例如,对于每个相应节点,图形平台302h可以生成将相应节点连接到能够直接和/或无凭证访问相应节点的其它节点中的每一个的边缘。在一些非限制性实施例中,所述一组节点和边缘可以限定图形。
[0130]
在一些非限制性实施例中,边缘可以是定向的。例如,一个边缘可以表示一个节点(例如,其它节点中的一个)可以直接和/或无凭证访问另一节点(例如,相应节点),但反过来不一定如此(例如,相应节点不一定可以访问其它节点)。另外或替代地,如果两个节点(例如,相应节点和其它节点中的一个)各自能够访问另一个节点,则可以生成两个定向边
缘:从第一(例如,其它)节点到第二(例如,相应)节点的一个边缘,以及从第二节点到第一节点的一个边缘。
[0131]
在一些非限制性实施例中,至少一个边缘(例如,一些边缘、所有边缘等)可以是无方向的和/或双向的。例如,两个节点(例如,相应节点与其它节点中的一个)之间的双向边缘可以表示这两个节点中的每一个都能够访问另一个节点。
[0132]
出于说明的目的,如图5c所示,可以针对能够直接和/或无凭证访问至少一个其它节点的每个节点(例如,n1
‑
n3)生成边缘(例如,e1
‑
e5),如本文所描述。例如,可以基于能够直接和/或无凭证访问节点n2的节点n1而生成边缘e3,并且可以基于能够直接和/或无凭证访问节点n3的节点n1而生成边缘e1,如本文所描述。另外或替代地,可以基于能够直接和/或无凭证访问节点n1的节点n3而生成边缘e4,并且可以基于可以直接和/或无凭证访问节点n4的节点n3而生成边缘e2,如本文所描述。在一些非限制性实施例中,可以基于能够直接和/或无凭证访问自身(例如,自访问)的节点n1而生成边缘e5,如本文所描述。
[0133]
出于说明的目的,为了生成图形的边缘,图形平台302h可以执行以伪码表示的以下算法:
[0134]
算法2
[0135]
1)对于每个fid:
[0136]
a.获取相关联的私钥和节点(例如,账户/主机)组合的列表(例如,pkaccthosts)
[0137]
b.获取相关联公钥/授权密钥和节点(例如,账户/主机)组合的列表(例如,akaccthosts)
[0138]
c.对于pkaccthosts中的每个私钥/账户/主机组合(例如,pkaccthost):
[0139]
i.从节点字典(例如,nodedict[acct,host,fid])获取对应节点ii.对于每个公钥/账户/主机组合(akaccthosts中的akaccthost_)
[0140]
1.(例如,从账户数据302d)获取账户类型(例如,用户、服务或根)
[0141]
2.获取用户/特权数据302f(例如,用户、upm访问等)
[0142]
3.获得环境类型(例如,来自每个服务器)和相关联的关键性等级(例如,来自关键性数据302g)
[0143]
4.为节点的所有属性创建公钥属性列表/字典(例如,akattributesdict)
[0144]
5.如果公钥/账户/主机组合不在私钥链中(例如,akaccthost不在pkchain中)
[0145]
a.如果公钥/账户/主机组合和对应的fid在节点字典中(例如,acct、主机和fid在nodedict中)
[0146]
i.从节点字典获取目标节点
[0147]
ii.将边缘从源节点添加到目标节点
[0148]
6.否则,如果公钥/账户/主机组合在私钥链中(例如,akaccthost在pkchain中)
[0149]
a.将目标节点(例如,destnodes)设置成等于私钥链中的公钥/账户/主机组合(destnode=pkchain[akaccthost])
[0150]
b.对于目标节点列表(例如,destnodes)中的每个目标节点(例如,destnode)
[0151]
i.将边缘从源节点添加到目标节点
[0152]
7.如果公钥/账户/主机组合和对应的fid不在节点字典中(例如,acct、主机和fid不在nodedict中):
[0153]
a.创建新的目标节点(例如,destnode=节点(acct、主机、fid、用户、upm、公共、akattributesdict))
[0154]
b.将边缘从源节点添加到目标节点(例如,destnode)
[0155]
c.将目标节点(例如,destnode)添加到节点列表(nodelist,将索引添加到accthostdict)
[0156]
d.将目标节点添加到节点字典
[0157]
2)将所有边缘添加到有向图形
[0158]
再次参考图4,在步骤408处,过程400可以包括确定权重。例如,图形平台302h可以确定每个边缘(例如,e1
‑
e5)、每个节点(例如,n1
‑
n4)等的权重。另外或替代地,图形平台302h可以基于账户数据302d、密钥数据302e、用户/特权数据302f和/或关键性数据302g而确定权重,如本文所描述。
[0159]
在一些非限制性实施例中,图形平台302h可以确定每个边缘(例如,e1
‑
e5)的权重。例如,每个边缘(例如,e1
‑
e5)的权重可以基于与其它节点(例如,能够直接和/或无凭证访问相应节点的节点)的账户相关联的用户数量。另外或替代地,图形平台302h可以基于账户数据302d和/或用户/特权数据302f而确定与每个账户相关联的用户数量。在一些非限制性实施例中,一些用户和/或服务可以有凭证(例如,基于密码等)地访问节点的账户和/或具有与节点的账户相关联的模拟权。例如,用户(或服务)a、b和c可以各自访问节点n1的账户a1。另外或替代地,由于对节点n1的有凭证访问,用户a、b和c中的每一个可以(经由边缘e1)直接访问节点n3并且(经由边缘e1和e2,即,跃点1a和跃点2a)间接访问节点n4。
[0160]
在一些非限制性实施例中,每个账户(例如,a1
‑
a3)可以与(例如,账户数据302d中的)账户类型相关联,每个账户可以与具有(例如,关键性数据302g中的)应用程序关键性等级的应用程序相关联,每个服务器(例如,h1
‑
h3)可以与环境类型相关联等。另外或替代地,确定每个边缘(例如,e1
‑
e5)的权重可以包括进一步基于以下中的至少一项而确定每个边缘的权重:相应节点的账户(例如,a1
‑
a3)的账户类型、由边缘(例如,e1
‑
e5)连接的其它节点的账户的账户类型、相应节点的服务器(例如,h1
‑
h3)的环境、由边缘连接的其它节点的服务器的环境、与相应节点的账户相关联的应用程序的应用程序关键性等级,或与由边缘连接的其它节点的账户相关联的应用程序的应用程序关键性等级。在一些非限制性实施例中,确定每个边缘(例如,e1
‑
e5)的权重可以包括进一步基于相应节点(例如,n1
‑
n4)的账户(例如,a1
‑
a3)和至少一个其它节点的账户是否为同一账户(例如,同一账户能够访问多个服务器,从而产生多个节点等)而确定每个边缘的权重。
[0161]
在一些非限制性实施例中,图形平台302h可以接收与用于确定每个边缘(例如,e1
‑
e5)和/或节点(例如,n1
‑
n4)的权重的规则相关联的规则配置文件302i。另外或替代地,确定每个边缘(例如,e1
‑
e5)和/或节点(例如,n1
‑
n4)的权重可以包括进一步基于规则配置文件302i而确定权重。在一些非限制性实施例中,规则配置文件302i可以是电子表格、csv文件、可扩展标记语言(xml)文件等。另外或替代地,规则配置文件302i可以包括字段、参数、特征、属性、变量、设置、一组规则等。另外或替代地,规则配置文件302i可以包括与以下各项相关联的数据:哪些数据应用作(例如,来自例如账户数据302d、密钥数据302e、用户/特权数据302f、关键性数据302g等数据源的)输入、在何处以及如何获得数据(例如,前述数据源等中的一个处的地址)、应使用数据的哪些部分、特征、属性、字段、参数等,应如何基于
数据进行确定等。
[0162]
在一些非限制性实施例中,可以用与用于确定每个边缘(例如,e1
‑
e5)的权重的方式相同或类似的方式来确定每个节点(例如,n1
‑
n4)的权重,如上文所描述。另外或替代地,代替将权重分配给每个边缘(例如,e1
‑
e5),可以将权重分配给节点(例如,n1
‑
n4)中的一个,例如由边缘连接到相应节点的其它节点。
[0163]
出于说明的目的,为了计算图形的边缘的权重,图形平台302h可以执行以伪码表示的以下算法:
[0164]
算法3
[0165]
1)(例如,从账户数据302d)获取源节点账户类型的权重
[0166]
a.如果它是根账户,则向权重中加一(例如,权重=权重 1)
[0167]
b.如果它是服务账户,则向权重中加三(例如,权重=权重 3)
[0168]
c.如果它是用户账户,则向权重中加五(例如,权重=权重 5)
[0169]
2)(例如,从账户数据302d)获取目标节点账户类型的权重
[0170]
a.如果它是根账户,则向权重中加一(例如,权重=权重 1)
[0171]
b.如果它是服务账户,则向权重中加三(例如,权重=权重 3)
[0172]
c.如果它是用户账户,则向权重中加五(例如,权重=权重 5)
[0173]
3)如果源节点和目标节点具有(例如,来自账户数据302d的)相同账户名称,则向权重中加一(例如,权重=权重 1)
[0174]
4)(例如,从每个服务器)获取每个节点的环境类型的权重
[0175]
a.如果源环境是非生产并且目标是生产,则向权重中加十(例如,权重=权重 10)
[0176]
b.如果源环境是生产并且目标是非生产,则向权重中加五(例如,权重=权重 5)
[0177]
5)(例如,从关键性数据302g)获取关键性等级权重
[0178]
a.如果源关键性等级小于目标关键性等级,则向权重中加五(例如,权重=权重 5)
[0179]
b.如果源关键性等级大于目标关键性等级,则向权重中加十(例如,权重=权重 10)
[0180]
6)(例如,从用户/特权数据302f,例如upm等)获取源用户权重
[0181]
a.如果源节点的用户权限数量大于0,则将用户权限数量加到权重评分中(例如,权重=权重 用户权限数量)
[0182]
7)返回源节点与目标节点之间的边缘的边缘权重
[0183]
再次参考图4,在步骤410处,过程400可以包括确定节点之间的间接访问(例如,过渡性访问等)。例如,图形平台302h可以针对所述一组节点(例如,n1
‑
n4)中的至少一个(例如,一些、所有等)第一节点确定至少一个第二节点能够经由从第二节点经过能够直接和/或无凭证访问至少一个第一节点的至少一个其它节点的边缘路径(例如,e1
‑
e5)间接(例如,过渡性等)访问第一节点。
[0184]
在一些非限制性实施例中,图形平台302h可以使用图形遍历算法(例如,广度优先遍历、深度优先遍历等)遍历来自给定节点(例如,第一节点)的所有路径。另外或替代地,处理器或装置可以基于路径而确定能够间接(例如,过渡性等)访问给定节点(例如,第一节点)的所有节点(例如,第二节点)。在一些非限制性实施例中,(例如,图形平台302h、输出数
据库302k等)可以存储每个给定(例如,第一)节点的路径。另外或替代地,可以针对图形的每个相应节点重复图形遍历算法,和/或(例如,图形平台302h、输出数据库302k等)可以存储从每个相应节点到能够间接访问所述相应节点的每个节点的路径。
[0185]
出于说明的目的,如图5c所示,在一些非限制性实施例中,至少一个节点(例如,n1或n3)可以间接和/或过渡性访问至少一个其它节点(例如,分别访问n4或n2),如本文所描述。例如,节点n1可以经由从节点n1到节点n3的边缘e1(例如,跃点1a)和从节点n3到节点n4的边缘e2(例如,跃点2a)间接和/或过渡性访问节点n4,如本文所描述。在一些非限制性实施例中,沿着用于间接和/或过渡性访问的边缘路径的每个边缘可以称为跃点。例如,参考从节点n1到节点n4的间接和/或过渡性访问,跃点1a可以指代从节点n1到节点n3的边缘e1,并且跃点2a可以指代从节点n3到节点n4的边缘e2。另外或替代地,节点n3可以经由从节点n3到节点n1的边缘e4(例如,跃点1b)和从节点n1到节点n2的边缘e3(例如,跃点2b)间接和/或过渡性访问节点n2,如本文所描述。
[0186]
再次参考图4,在步骤412处,过程400可以包括确定每个路径的权重。例如,图形平台302h可以针对每个相应第二节点(例如,能够间接访问另一个节点的每个相应节点)基于边缘路径的每个边缘的权重而确定相应第二节点与第一节点之间的边缘路径的权重。
[0187]
在一些非限制性实施例中,每个路径的权重可以是路径的每个边缘的权重的总和。
[0188]
在一些非限制性实施例中,图形平台302h(和/或治理平台302j)可以从用户装置302u接收查询。例如,查询可以标识图形的相应节点。另外或替代地,图形平台302h(和/或治理平台302j)可以响应于查询而将输出数据(例如,图形的节点和边缘、图形的至少一部分的目视表示、连接到相应节点的所有路径的总权重、每个路径(和/或其所有节点)的标识和/或权重,包括对相应节点的至少一个间接访问等)传送到用户装置302u。在一些非限制性实施例中,用户装置302u可以接收输出数据,显示输出数据,存储输出数据等。
[0189]
出于说明的目的,图形平台302h可以通过执行以伪码表示的以下算法来(例如,自动地/自主地,响应于查询等)确定到每个根节点的边缘路径的权重:
[0190]
算法4
[0191]
1)用公钥构建所有根的列表(目标)
[0192]
a.对于节点字典中的每个账户/主机/fid组合(nodedict中的acct、主机、fid):
[0193]
i.如果节点是根账户(acct、主机、fid中的
‘
根’),并且节点具有公钥(nodedict[acct,host,fid].pubfid)
[0194]
1.将节点添加到根列表(roots.append(nodedict[acct,host,fid])
[0195]
2)对于根列表中的每个根
[0196]
a.从根运行图形遍历(例如,广度优先搜索(bfs))(此返回能够访问根的所有节点的图形,被称为rootgraph)
[0197]
b.对于rootgraph中的每个边缘
[0198]
i.计算两个节点之间的边缘权重
[0199]
ii.将边缘权重添加到总图形权重
[0200]
c.获取当前根的相邻项
[0201]
d.反转图形(使方向翻转朝向根)
[0202]
e.对于rootgraph中的每个节点(bfsnodelist)
[0203]
i.检查节点是否为用户账户
[0204]
ii.获取节点的用户(例如,upm)权限
[0205]
iii.将所有不同的主机添加到组distincthostaccess
[0206]
iv.获取最大跃点数
[0207]
f.对于相邻项列表中的每个节点(获取具有最短路径的所有节点)
[0208]
i.将账户和主机信息添加到组directhostaccess
[0209]
g.反转有向图形
[0210]
h.绘制图形的图式
[0211]
i.将相关联的列添加到高级别数据表
[0212]
出于说明的目的,所有根节点的输出(例如,高级别数据表)可以包括下表的列:
[0213]
表1
[0214][0215]
出于说明的目的,图形平台302h可以通过执行以伪码表示的以下算法来(例如,响应于查询等)确定到特定节点(例如,特定服务器/主机的根)的边缘路径的权重:
[0216]
算法5
[0217]
1)提示用户输入特定的根主机名
[0218]
2)获取所述特定根主机组合的所有fid(indexlist)
[0219]
3)对于indexlist中的每个索引
[0220]
a.如果索引是具有公钥的根
[0221]
i.移除自访问,即,通过indexlist进行迭代并移除具有不同fid的任何账户主机组合
[0222]
b.用账户和主机组合构建每个根(rootgraph)
[0223]
c.绘制有向rootgraph
[0224]
d.获取图形中的所有叶节点,并存储在列表(leafnodes)中
[0225]
e.对于叶节点列表中的每个叶节点
[0226]
i.获取所有简单路径并存储在列表(路径)中
[0227]
ii.对于路径中的每个路径
[0228]
1.将根主机添加到根主机数据帧
[0229]
2.将路径数量添加到pathnumber数据帧
[0230]
3.将总跃点添加到totalhops数据帧
[0231]
4.对于路径中的每个节点
[0232]
a.获取所述特定节点的用户(例如,upm)访问权限
[0233]
b.获取节点信息(账户、主机、fid、用户(例如,upm)权限数量)
[0234]
c.如果已经过路径中的第一个节点
[0235]
i.获取先前节点与当前节点之间的边缘权重
[0236]
ii.将边缘权重添加到总路径权重
[0237]
4)将所有列添加到请求的根主机数据的表
[0238]
出于说明的目的,特定根节点的输出(例如,根主机数据表)可以包括下表的列:
[0239]
表2
[0240][0241]
出于说明的目的,图形平台302h可以通过执行以伪码表示的以下算法来(例如,向用户装置302u、输出数据库302k等)输出表和/或文件,所述表和/或文件包括来自图形的所有间接(例如,过渡性)访问和/或每次间接访问的路径的权重:
[0242]
算法6
[0243]
1)获取所有公共根账户
[0244]
2)对于所有根(例如,对于被称为根的列表中的每个根)
[0245]
a.创建根图形(rootgraph)
[0246]
b.移除自访问(对于rootgraph中的每个节点)
[0247]
i.如果节点具有与当前根相同的账户和主机但具有不同的fid,则移除节点
[0248]
c.朝向当前根反转图形方向
[0249]
d.获取所有叶节点(leafnodes)
[0250]
e.遍历每个叶节点(例如,对于leafnodes中的每个叶)
[0251]
i.获取从叶节点到当前根的所有路径
[0252]
1.遍历路径(例如,对于被称为路径的组中的每个路径)
[0253]
a.对于当前路径中的每个节点
[0254]
i.如果访问计数小于路径长度减二,则获取所述节点的字典属性
[0255]
3)将所有列添加到规则引擎表
[0256]
出于说明的目的,输出(例如,规则引擎表)可以包括下表的列:
[0257]
表3
[0258][0259]
在一些非限制性实施例中,图形平台302h可以(例如,从用户装置302u等)接收评
估两个节点之间和/或现有节点与新节点之间的新的直接/无凭证访问的请求。例如,请求可以标识图形的向其请求直接/无凭证访问的相应节点。另外或替代地,图形平台302h可以模拟插入对应于新的直接/无凭证访问的新的边缘和/或模拟将新的节点插入图形中。另外或替代地,图形平台302h可以基于边缘或节点的模拟插入而至少部分地重复步骤402
‑
412,并且可以传送输出数据(例如,图形的节点和边缘、图形的至少一部分的目视表示、连接到新的/模拟的边缘和/或节点的所有路径的总权重、连接到新的/模拟的边缘和/或节点的每个路径(和/或其所有节点)的标识和/或权重等)。在一些非限制性实施例中,用户装置302u可以接收输出数据,显示输出数据,存储输出数据等。
[0260]
继续参考图4,在步骤414处,过程400可以包括终止访问。例如,图形平台302h、治理平台302j、用户装置302u等可以终止至少一个第一节点与其它节点中的至少一个之间的无凭证访问。在一些非限制性实施例中,可以基于经过其中的边缘路径的权重(例如,至少一个第二节点与第一节点之间经过其它节点的边缘路径的总权重)而终止访问。另外或替代地,可以基于规则/配置文件302i而终止访问,所述规则/配置文件可以包括用于基于此类路径的权重而终止访问的规则(例如,用于图形平台302h和/或治理平台302j)。
[0261]
尽管已出于说明的目的而基于当前被认为是最实用和优选的实施例详细描述了所公开主题,但应理解,此类细节仅用于所述目的,并且所公开主题不限于所公开实施例,而相反,旨在涵盖在所附权利要求书的精神和范围内的修改和等效布置。例如,应理解,当前所公开主题尽可能地考虑任何实施例的一个或多个特征可以与任何其它实施例的一个或多个特征组合。
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
