具体实施方式

常规用户设备中存在强加严格身份验证要求的缺陷。例如，如果用户设备位于诸如用户办公室之类的已建立的位置，则经由此类用户设备的成功验证可能严格要求正确的密码，并且如果用户设备位于新位置，则可能严格要求正确的密码和正确的一次性密码(OTP)二者。由于缺乏灵活性，所以新位置的整个用户团队的用户设备将需要整个用户团队都提供正确的密码和正确的OTP，即使整个用户团队在一起(即，由于多个用户在一起使得安全风险显著降低的情形下)亦如此。

然而，改进的技术针对使用定义地理区域内的不同可信度区的热图来控制对一组受保护资源的访问。按照这些思路，(i)当端点设备位于由热图定义的受信任区内时，端点设备可以强加标准安全要求，(ii)当端点设备位于由热图定义的受信任度较低的区内时，可以强加较强的安全要求，等等。此外，由热图定义的区可能会基于各种因素(诸如附近存在/不存在其他可信赖设备、一天中的时间、最近的事件等)随时间改变(例如，区之间的边界可能会移动，区域可能会增大/缩小等)。利用这样的技术和灵活性，热图使得能够在任何地理区域上建立用于访问控制的虚拟地理围栏。

本文公开的具体实施例、示例和实现方式的各个特征可以以具有技术意义的任何期望方式组合。此外，这类特征由此以这种方式组合以形成所有可能的组合、排列和变体，除非这类组合、排列和/或变体已经被明确排除或是不切实际的。认为本文中存在对此类组合、排列和变体的支持。

图1是使用定义地理区域内的不同可信度区的热图来控制对一组受保护资源的访问的计算机化系统20的方框图。计算机化系统20包括端点设备22(1)、22(2)、22(3)、……(统称为端点设备22)，访问控制电路24，一组受保护资源服务器26，和通信介质28。

每个端点设备22被构造和布置为代表人类用户执行有用的工作(例如，访问文件/电子邮件/账户/其他数据/虚拟桌面/等，运行应用程序，完成交易，生成/编辑/输出内容，消费或提供其他电子服务，它们的组合等)。适用于端点设备22的电子装置包括智能电话、平板电脑、便携式膝上型电脑、台式计算机、工作站、工作区集线器、专用设备、它们的组合等。

访问控制电路24被构造和布置成使用定义地理区域内的不同可信度区的热图来控制对一个或多个受保护资源26的访问。如稍后将进一步详细解释的，这种热图使用使访问控制电路24能够出于安全目的在远程地理区域上动态地构建虚拟地理围栏。

访问控制电路24可以由不同的设备配置形成，诸如由单个服务器计算机、由组织为集群的多个计算机、由服务器群等形成。此外，访问控制电路24可以位于单个位置，或位于多个位置。

每个受保护资源服务器26被构造和布置成：当访问控制电路24授予端点设备22访问受保护资源的访问权时(例如，在成功身份验证之后)向端点设备22提供对该受保护资源的访问。此外，当访问控制电路24不准许访问受保护资源时(例如，在没有成功身份验证的情况下)，受保护资源服务器26拒绝对受保护资源的访问。例如，受保护资源服务器26包括企业设备、远程托管应用程序和/或提供远程服务的虚拟化平台、远程内容服务器、远程交易服务器、网关、数据中心、它们的组合等。

通信介质28被构造和布置成：将计算机化系统20的各种组件连接在一起以使得这些组件能够交换电子信号30(例如，参见双箭头30)。通信介质28的至少一部分被示为云以指示通信介质28能够具有多种不同的结构(例如，有线、无线，它们的组合等)和拓扑结构(例如，骨干网、轮辐、环、不规则形，它们的组合等)。按照这些思路，通信介质28可以包括基于铜的数据通信设备和布线、光纤设备和布线、无线设备、它们的组合等。此外，通信介质28能够支持基于LAN的通信、无线或蜂窝通信、及其组合等。

在计算机化系统20的操作期间，端点设备22作为计算机化系统20内的端点设备操作以在一个或多个位置执行有用的工作。这种工作可能涉及访问一组受保护的资源，诸如文件、电子邮件、虚拟桌面、数据库、服务、它们的组合等。这种访问可以是远程的(即，访问受保护资源服务器26)和/或是本地的(即，访问端点设备内的受保护资源22)。为此目的，一些用户可能会在经常往返于不同地点时和/或在不同地点操作智能手机和平板电脑。此外，其他用户可能会主要在办公室工作时操作笔记本电脑，偶尔在家中操作笔记本电脑，等等。此外，其他用户可能会在办公室操作台式计算机，并且在极少数情况下移动台式计算机(例如，当搬到新的办公地点时，当从主要在家工作转到办公室的新职能时，等等)等。此外，一些用户可能操作计算机化系统20内的多个端点设备22(例如，用户可以操作智能电话和工作站等)。

在这种操作期间，计算机化系统20执行操作来针对不同的地理位置构建热图，然后使用热图来控制对计算机化系统20内的受保护资源的访问。虽然在本文中这种操作将被称为由访问控制电路24执行，但这类操作可以在计算机化系统20的各个组件之间(例如，在访问控制电路24、端点设备22、受保护资源服务器26、它们的组合等之间)以分布式方式执行。

这种访问控制操作包括检索每个端点设备22的安全分数(S)和移动性分数(M)的检索操作。安全分数(S)是由该端点设备22贡献的当前可信度度量。此外，移动性分数(M)是该端点设备22的当前移动性度量。

此外，访问控制操作包括在端点设备22在计算机化系统20内的不同地理位置之间移动时跟踪它们的地理位置。这种跟踪可以基于来自每个端点设备22(例如，来自每个端点设备22内的全球定位系统(GPS)电路)的位置信号、来自蜂窝塔的位置信号、来自相邻的附近设备(例如，无线接入点)的位置信号、它们的组合等。

此类操作还包括执行热度分数生成操作以针对存在至少一个端点设备22的每个区域(即，每个地理位置)生成总体热度分数(OH)。在一些布置中，某些热度分数生成操作涉及：基于端点设备22的安全分数(S)和移动性分数(M)生成表示每个端点设备22的“热度”的度量的个体热度分数(H)。关于基于来自该端点设备22的安全分数(S)和移动性分数(M)的端点设备22的个体热度分数(H)，个体热度分数(H)表示该端点设备22对该端点设备22当前驻留的区域(例如，地理位置)的本地可信度贡献。

热度分数生成操作还涉及：针对每个区域，根据当前驻留在该区域中的所有端点设备22的个体热度分数(H)生成该区域的合计热度分数(例如，将该区域中端点设备22的个体热度分数(H)相加)作为该区域的总体热度分数(OH)。因此，总体热度分数(OH)表示该区域的地区特定的可信度度量。在一些布置中，每个区域的粒度基于标识端点设备22的具体地理位置的端点设备位置信号的精度(例如，3米乘3米的面积、10米乘10米的面积、一英亩面积等)。

此外，这些操作涉及：选择一组热度分数阈值，以用于识别不同可信度区之间的边界。这种选择可以涉及在预定义的不同的热度分数阈值组中进行选择，对默认的阈值组进行调整，它们的组合等。多种因素可能影响对热度分数阈值组的选择，诸如一天中的时间、是否已经存在最近的安全事件等。在一些布置中，对一个或多个热度分数阈值的选择是基于分析(例如，随时间的机器学习/人工智能的应用，基于当前因素与简档或历史因素的比较等)。

随后，系统20将该组热度分数阈值应用于每个区域的总体热度分数(OH)以识别每个区域的适当安全级别。组合已识别的相邻区域的安全级别得到覆盖具有不同安全区的地理区域的热图，其中每个安全区包括具有相同可信度级别的区域。即，每个安全区内的各区域具有在所选的那组热度分数阈值所定义的同一范围内的总体热度分数(OH)。

例如，特定热图可以包括高可信度的第一区、低可信度的第二区等。特定热图中的区的具体数量取决于在所选的那组热度分数阈值内阈值是如何定义的(例如，定义了多少个阈值范围)以及形成由该特定热图覆盖的地理区域的各区域的总体热度分数(OH)的多样性。

图2示出了系统20生成并且用来控制对计算机化系统20内受保护资源的访问的热图60。在一些布置中，热图60驻留在存储库62内，该存储库驻留在访问控制电路24内(也参见图1)。

图2中示出了覆盖特定地理区域的示例热图60(n)的图示。如图所示，示例热图60(n)包括由界限或边界72(1)、72(2)(统称为边界72)分隔的多个可信度区70(1)、70(2)、70(3)(统称为安全区70)。区70(1)(即，热图60内最暗的区域)表示高可信度的区域，因为属于区70(1)的每个区域的总体热度分数(OH)落在针对高可信度的阈值范围内。此外，区70(2)(即，热图60内的次暗区域)表示中等可信度的区域，因为属于区70(2)的每个区域的总体热度分数(OH)落在不同的针对中等可信度的阈值范围内。此外，区70(3)(即，热图60内最亮的区域)表示低可信度的区域，因为属于区70(3)的每个区域的总体热度分数(OH)落在另一不同的针对低可信度的阈值范围内。

本质上，每个区70可以被认为是由系统20生成的虚拟地理围栏区域，用于基于来自邻域中的多个端点设备22的输入(例如，以众包方式)强加特定安全级别。对于高可信度的第一区70(1)中的任何端点设备22(也参见图1)，系统20强加第一安全级别(例如，标准的身份验证形式)，诸如要求密码。然而，对于中等可信度的第二区70(2)中的任何端点设备22，系统20强加第二安全级别(例如，更强的身份验证形式)，诸如要求密码和来自用户发出的硬件令牌的OTP。此外，对于低可信度的第三区70(3)中的任何端点设备22，系统20强加第三安全级别(例如，进一步加强的身份验证形式)，诸如要求密码、OTP和特定的生物特征因素(例如，指纹扫描、视网膜扫描、声纹样本等)。因此，这种操作提供了一种用于基于其他端点设备22的存在与否来强加安全性的灵活有效的技术。

图3示出了根据某些实施例的一组热度分数阈值80。这组热度分数阈值80可以驻留在由访问控制电路24(也参见图1)维护的多组阈值数据库82中，或者可以响应于各种因素的应用从默认组生成，所述因素诸如一天中的时间、本地/全球事件等(例如，其中系统20修改一个或多个热度分数阈值80)。

如图3中所示，各种热度分数阈值80定义了针对不同的安全级别的不同的热区范围90。例如，阈值1和阈值2定义了针对安全级别A的热区范围90(A)。类似地，阈值2和阈值3定义了针对安全级别B的热区范围90(B)，阈值3和阈值4定义了针对安全级别C的热区范围90(C)，依此类推。

在这一点上，应当理解，每个热图60可以随时间动态变化。特别地，当用户操作计算机化系统20内的个体端点设备22时，系统20例行地接收每个端点设备22的新的安全分数(S)、移动性分数(M)和位置。因此，对于个体端点设备22，安全分数(S)、移动性分数(M)和位置中的任何一个可能改变。因此，每个区域的个体热度分数(H)和/或总体热度分数(OH)可能改变。

此外，所选的那组热度分数阈值80可以随时间改变。例如，所选的那组热度分数阈值80可能因各种因素而改变，诸如基于一天/一周中的时间而改变，由于检测到的本地或全球事件而改变，等等。

随着这些各种参数动态地改变，热图60可以改变(例如，安全区70之间的边界可以移动，安全区70的大小可以增大/减小等)。这种操作允许热图60实时地演变，并且因此随时间对端点设备22强加不同的安全要求。现在将参考图4提供进一步的细节。

图4是根据某些实施例的适于在图1的计算机化系统20中使用的电子设备100的方框图。电子设备100被构造和布置成执行早先描述的被认为属于访问控制电路24(也参见图1)的访问控制操作中的至少一些。如图所示，电子设备100包括通信接口110、存储器112和处理器114。

通信接口110被构造和布置成将电子设备100连接到通信介质28(图1)。因此，通信接口110使电子设备100能够与计算机化系统20的其他组件通信。这类通信可以是基于线路的或无线的(即，基于IP的、蜂窝的、它们的组合等等)。

存储器112旨在既表示易失性存储器(例如，DRAM、SRAM等)也表示非易失性存储器(例如，闪存、磁盘驱动器等)。存储器112存储各种软件构造120，包括操作系统122、专用代码和数据124、以及其他代码和数据126。

处理器114可以被实现为一个或多个处理器，并且被构造和布置成根据被存储在存储器112中的各种软件构造120来操作。特别地，处理器114在执行操作系统122时管理电子设备100的各种资源(例如，存储器分配、处理器周期、硬件兼容性等)。

此外，根据专用代码和数据124操作的处理器114形成专用控制电路，以构建针对不同地理区域的热图60和/或使用热图60来控制对计算机化系统20内的受保护资源的访问。因此，根据一些布置，这种专用控制电路可以维护热图存储库62(也参见图2)和/或热度分数阈值数据库82(也参见图3)。在一些布置中，专用控制电路与其他安全服务(诸如分析、人工智能、机器学习、它们的组合等)相关联。

此外，根据其他代码和数据126操作的处理器114形成其他专用电路以执行其他操作。按照这些思路，其他代码和数据126可以包括下述项的数据库：用于各种身份验证技术(例如，密码、OTP、基于知识的身份验证、生物特征身份验证、多因素身份验证、它们的组合等)的用户简档、用于与各种外部受保护资源服务器26(图1)通信的信息、用于其他安全相关服务的参数/数据(例如，特权、权限、策略/规则等)等等。

应当理解，电子设备100也可以包括附加电路。例如，电子设备100可以包括服务器、位置传感器/检测器、网关、通信设备等，其实现和/或提供对受保护数据、受保护服务等的访问控制。

应当理解，上述电子设备100可以以多种方式实现，包括经由一个或多个运行专用软件的处理器(或核)、专用IC(ASIC)、现场可编程门阵列(FPGA)和相关联的程序、离散组件、模拟电路、其他硬件电路、它们的组合等等。在一个或多个处理器执行软件的上下文中，计算机程序产品130能够将软件构造120的全部或部分传送到电子设备100。计算机程序产品130具有非暂时性和非易失性计算机可读介质，其存储一组指令以控制电子设备100的一个或多个操作。合适的计算机可读存储介质的示例包括以非易失性方式存储指令的有形制品和设备，诸如CD ROM、闪存、磁盘存储器、磁带存储器等。现在将根据某些实施例提供进一步的细节。

安全性

根据某些实施例，为计算机化系统20(也参见图1)的每个端点设备22提供安全分数(S)。安全分数(S)用作该端点设备22贡献的当前可信度度量。例如，当前的低安全分数(S)可以指示端点设备22的低的信任贡献，而当前的高安全分数(S)可以指示端点设备22的高的信任贡献。

在一些布置中，每个端点设备22执行内部操作以提供相应的安全分数(S)。这种操作在端点设备22之间分布生成安全分数(S)的工作，从而释放诸如访问控制电路24(图1)之类的其他设备的资源以执行其他有用的操作。

在其他布置中，外部设备(例如，数据中心)远程监测和/或评估每个端点设备22的各种特性，并为该端点设备22生成相应安全分数(S)。这种操作消除了端点设备22的负担(以及本地黑客攻击的可能性)，从而释放端点设备22以执行其他有用的操作。

图5示出了端点设备22的安全分数(S)的特定方面150。诸如设备位置、设备所有者、设备时间/日期、安装的应用程序目录、安装的应用程序信誉、应用程序登录用户、连接的无线网络信息等各个方面150中的每一个方面表示对安全分数(S)有贡献的具体参数(或属性)。其他方面也适用于推导安全分数(S)，诸如指示端点设备22当前是被(例如，由公司指派的第三方服务等)管理还是仅仅被所有者以临时(ad hoc)方式配置的一个或多个参数，等等。

此外，一些较高级别方面150可以具有较低级别方面150，所述较低级别方面150对较高级别方面150的权重有贡献。例如，设备位置方面150可以基于较低级别方面150，诸如端点设备22是在特定区(例如，参见图2中的安全区70)内还是在特定区之外(例如，在诸如相邻区或指定的地理围栏区之类的另一区中，在当前没有已建立的区70的区域中等)。类似地，诸如无线网络名称和类型、无线网络信誉、无线网络信号强度、无线网络加密级别、无线网络身份验证方法、和其他无线网络安全设置之类的较低级别方面150对连接的无线网络信息方面150有贡献。

在外部设备(例如，图1中的访问控制电路24)远程监测和/或评估端点设备22的各种特性的上下文中，外部设备可以执行广泛的计算和/或行为比较来为该端点设备22生成安全分数(S)。按照这些思路，外部设备甚至可以使用第三方组织来提供分析服务。在一些布置中，分析服务包括提升/降低初步安全分数(S’)以生成安全分数(S)的操作，该安全分数被用作端点设备22的个体热度分数(H)的输入。

根据某些实施例，端点设备22中的一个或多个可以是注册的或管理的设备(例如，由企业或组织以持续方式配置/供应的设备)。这些端点设备22可以例行地与访问控制电路24通信(例如，提供状态，接收指导在端点设备22上运行的特定应用程序/进程的操作的控制参数/新的策略设置/等，等等)。这类特征可以影响这些端点设备22的安全分数(S)，以及影响对受保护资源集的访问控制。

移动性

根据某些实施例，为计算机化系统20的每个端点设备22提供移动性分数(M)(也参见图1)。移动性分数(M)用作由该端点设备22贡献的当前移动性度量。例如，当前的低移动性分数(M)可以指示端点设备22的低的移动性，以及当前的高移动性分数(M))可以指示端点设备22的高的移动性。

在一些布置中，每个端点设备22执行内部操作以提供相应的移动性分数(M)。这种操作在端点设备22之间分布生成移动性分数(M)的工作，从而释放诸如访问控制电路24(图1)之类的其他设备的资源以执行其他有用的操作。

在其他布置中，外部设备(例如，数据中心)远程监测和/或评估每个端点设备22的各种特性，并且为该端点设备22生成相应的移动性分数(M)。这种操作消除了端点设备22的生成移动性分数(M)的负担(以及本地黑客攻击的可能性)，从而释放端点设备22以执行其他有用的操作。

例如，表1显示了为在特定半径内例行行进的不同端点设备类型生成的各种移动性分数(M)。按照这些思路，在10米半径内操作的工作区集线器提供的移动性分数为10，在1米半径内操作的办公室中的工作站提供的移动性分数为1，等等。

表1

如表1中所示，通常不会长距离行进的某些端点设备类型提供相对较低的移动性分数。例如，为日常行进10米的工作区集线器和日常行进1米的工作站提供相对较低的移动性分数。

相比之下，通常长途行进的其他端点设备类型提供相对较高的移动性分数。例如，对于日常行进5公里的笔记本电脑和日常行进10公里的智能手机，提供相对较高的移动性分数。

此外，应当理解，一些行进距离适中的端点设备类型可能具有中等移动性分数。例如，表1提供了日常行进100米的办公室中的平板电脑的中等移动性分数。

根据某些实施例，日常距离越大，移动性分数越高(反之亦然)。因此，办公室中仅行进50米的办公平板电脑比办公室中行进100米的办公平板电脑具有低的移动性分数。此外，日常行进500米的办公平板电脑比日常行进100米的办公平板电脑具有高的移动性分数。

其他布置/配置也适合使用。例如，在其他实施例中，日常距离越大，移动性分数越低(反之亦然)。

应当理解，表1(或类似类型的存储库)中的信息是作为示例提供的，并且其他字段、数据、移动性分数布置等也适合使用。按照这些思路，应该了解，在数字工作空间中，有多种端点设备。一些端点设备具有富足的移动性，诸如受管理的移动设备，因为人类用户每天都可以随身携带它们。然而，其他端点设备相对固定，诸如办公室隔间中的工作站、物联网(IOT)设备(诸如Raspberry Pi)、或通常移动性为在办公设施内的工作区集线器等。

此外，根据某些实施例，系统20通过下述方式来为每个端点设备提供相应的移动性分数：基于(i)每个端点设备的设备类型，(ii)该端点设备的日常行进测量值，以及(iii)该端点设备的历史跟踪数据与该端点设备的当前跟踪数据之间的比较，导出该端点设备的相应移动性值。所述相应移动性值可以用作标识该端点设备的当前移动性度量的移动性分数。

其他标准/参数/特征也可能影响端点设备的移动性值。例如，对于由不同用户操作的设备，可以跟踪各种移动数据，并且将历史移动数据与这些设备的当前移动数据进行比较。具体地，可以针对由第一用户操作的第一设备跟踪和比较第一移动性数据。同样，可以针对由第二用户操作的第二设备跟踪和比较第二移动性数据，等等。因此，由于每个用户的移动数据历史的差异，由第一用户操作的第一设备的移动值与由第二用户操作的第二设备的移动值可以不相同，尽管这些设备在硬件版本、软件版本、固件、更新等方面是相同的。

图6示出了端点设备22的地理位置数据170，其通过将端点设备22的位置信息180与端点设备22的移动性分数(M)组合(或捆绑)而形成。例如，特定端点设备22的地理位置数据170包括经度、纬度和海拔(可选)。这种地理位置数据170可以由访问控制电路24(图1)捕获/维护。

在一些布置中，端点设备22执行操作以生成移动性分数(M)并且形成地理位置数据170，然后端点设备22将所有地理位置数据170传输到外部设备(例如，数据中心)。在其他布置中，由端点设备22生成和传输地理位置数据170的分量中的少于全部分量的部分分量(例如，仅位置信息180)。

应当理解，对于端点设备22的位置数据180(即，经度和纬度读数)存在多种合适的来源。一种合适的来源是端点设备22自身内的全球定位系统电路(即，直接从端点设备22接收位置数据)。另一种合适的来源是映射到本地网络设备的地理位置信息，例如蜂窝塔位置、IP连接位置、无线接入点、它们的组合等(即，从中间的设备接收位置数据180)。

单个端点设备的热度分数

图7示出了用于构建热图(也参见图2)的安全区的各种因素190。如上所述，对于每个端点设备22，提供以下内容：安全分数(S)、移动性分数(M)和地理位置数据170。利用此类各个端点设备信息，当端点设备22位于由该端点设备22的地理位置数据170标识的当前地理位置时，安全分数(S)和移动性分数(M)使得能够生成该端点设备22的个体热度分数(H)。

作为示例，等式(1)提供了用于生成端点设备22在特定时间(t)的个体热度分数(H)的合适技术。

(S_t)是时间(t)处的安全分数(S)。(M_t)是时间(t)处的移动性分数(M)。

在该示例中，等式(1)给安全分数(S)设置比移动性分数(M)的权重高的权重(例如，作为黄金比例)。用于导出端点设备22的个体热度分数(H)的其他权重和技术也适合使用。

热图生成

仍然参考图7，热图的安全区基于不同区域的总体热度分数(OH)，并且此类总体热度分数(OH)是从每个端点设备22的个体热度分数(H)和地理位置数据170导出的。即，利用计算机化系统20(图1)内的每个端点设备22的可获得的个体热度分数(H)，系统20(例如，图1的访问控制电路24)生成覆盖端点设备22当前所在的地理区域的热图60(也参见图2)。

特别地，对于热图60中的每个区域，系统20合计该区域中端点设备22的个体热度分数(H)以提供该区域的总体热度分数(OH)(即，每个区域接收当前处在该区域中的端点设备22的个体热度分数(H)的总和)。因此，系统20生成由热图60覆盖的地理区域中的区域的总体热度分数(OH)的阵列。

然后系统20将一组阈值80应用于总体热度分数(OH)的阵列以在热图60内形成不同的可信度区70(例如，参见图2)。按照这些思路，热图60内的一些区域的总体热度分数(OH)可能落在高可信度的第一区70(1)的范围内，热图60内的其他区域的总体热度分数(OH)可能落在中等可信度的第二区70(2)的范围内，以此类推。

通过将一组阈值80应用于地理区域内的所有区域的总体热度分数(OH)以识别该区域对应的特定区70，系统20形成热图60(也参见图3)。因此，热图60本质上是虚拟的安全众包地理围栏区域。因此，强加在地理区域内的端点设备22上的具体安全级别(例如，成功身份验证的要求)取决于每个端点设备22驻留在哪个区70中。例如，在相对较低可信度的第一区的第一端点设备22具有的强加于其上的安全形式比在相对较高可信度的第二区中的第二端点设备22具有的强加于其上的安全形式要高。

在其他布置中，管理员可以定制以不同方式生成总体热度分数(OH)的替代程序。按照这些思路，在生成总体热度分数(OH)时可以引入其他因素。

此外，存在绘制热图60的不同方法。绘制热图的一种方法涉及多元函数深度(MFD)或R。直到现在，这些函数只是普通的数学方程，并且之前没有一个被应用于使用安全分数(S)和移动性分数(M)作为输入，或者将它们的总和在某些数学算法中使用。然而，根据本文公开的某些实施例，热图60可以被视为固定区块(或区域)的阵列，并且由于多元函数深度(MFD)，这些区块组合以形成不同的区70。通过合并每个区域的总体热度分数(OH)，现在写为∑H(t)，得到以下等式：

MFD(XP_Y；t)＝D(X(t)P_Y(t))∑H(t) 等式(2)

本文中，等式2识别特定端点设备22落入哪个区域(或区块)。此外，每个区块的安全级别基于当前时间(t)。

应当理解，只要提供端点设备22的经度、纬度、安全分数(S)和移动性分数(M)，就可以用下述不同元素的计数/深度绘制热图60：安全和移动性。

再举一个示例，类似地，函数深度(FD)

FD(X_t，Y_t，t)＝D(X_t，Y_t)∑H(t) 等式(3)

本文中，(X)表示单个端点设备22的水平坐标，而(Y)表示垂直坐标。系统20确定端点设备22落入哪个区域，从而有端点设备的安全分数(S)和移动性分数(M)分布以及它们的走向趋势的全视图。

进一步的访问控制细节

图8是根据某些实施例由计算机化系统20(例如，图1的访问控制电路24)执行以控制对一组受保护资源的访问的过程200的流程图。该过程涉及使用热图，该热图针对不同的安全级别定义了不同的虚拟地理围栏区域。

在202处，访问控制电路24接收端点设备数据。此类数据可以包括端点设备的安全分数、移动性分数和地理位置数据(以及其他数据)。

在204处，访问控制电路24基于端点设备数据生成具有安全区的一个或多个热图。每个热图可以包括一个或多个安全区。

在206处，访问控制电路24基于端点设备数据选择安全区。按照这些思路，对于特定端点设备，访问控制电路24可以基于该端点设备的地理位置数据来识别特定热图和该热图中的特定安全区。

在208处，访问控制电路24基于所选择的安全区应用一个或多个安全策略设置。按照这些思路，对于特定端点设备，访问控制电路24可以基于所选择的安全区来选择特定安全级别，并且将所选择的安全级别传递给特定端点设备以控制对一组受保护资源的访问。例如，所选择的安全级别可以定义为了访问控制电路24准许对该组受保护资源的访问而必须满足的特定身份验证过程。其他示例包括权限分配、部署服务、执行交易和/或更新等。

图9是根据某些其他实施例由计算机化系统20(例如，图1的访问控制电路24)执行以控制对一组受保护资源的访问的过程300的流程图。该过程涉及使用热图，该热图针对不同的安全级别定义了不同的虚拟地理围栏区域。

在302处，访问控制电路24接收标识端点设备的当前地理位置的位置信号。这种位置信号的来源可以包括端点设备、无线设备和/或蜂窝设备等的GPS电路。

在304处，访问控制电路24识别覆盖端点设备的当前地理位置的热图。按照这些思路，访问控制电路24可以基于由位置信号标识的当前地理位置执行热图识别操作，该热图识别操作识别覆盖包含端点设备的当前地理位置的地理区域的热图(也参见图2)。热图可以定义该地理区域内的多个安全区。

在306处，访问控制电路24基于热图所定义的哪个安全区覆盖端点设备的当前地理位置来选择特定安全级别。按照这些思路，访问控制电路24可以执行安全级别选择操作，该安全级别选择操作基于热图所定义的多个安全区中的哪个安全区覆盖端点设备的当前地理位置，从多个安全级别中选择特定安全级别。特定安全级别可以强加端点设备必须满足的一组安全要求，以便该端点设备访问该组受保护资源。在一些布置中，强加的特定类型的安全性是身份验证。然而，其他类型的安全性也适合被使用，诸如特权、权限等。

如上所述，改进的技术涉及使用热图60来控制对受保护资源的访问，该热图定义了地理区域内的不同可信度区70。例如，(i)当端点设备22在由热图定义的受信任区内时端点设备22可能需要相对较弱的身份验证，(ii)当端点设备22在由热图60定义的受信任度较低的区内时端点设备22可能需要较强的身份验证，依此类推。此外，由热图60定义的区70可能会基于各种因素(诸如附近存在/不存在其他可信赖端点设备22、一天中的时间、最近的事件等)随时间改变(例如，区70之间的边界可能会移动，区70可能会增大/缩小等)。利用这样的改进的技术，热图60使得能够在任何地理区域上建立用于访问控制的虚拟地理围栏。

此外，应该理解，上述这些技术不仅仅是简单地执行访问控制。确切而言，该技术涉及一组热图(例如，通过来自端点设备22的众包输入导出的虚拟地理围栏)的生成和利用。因此，这种操作提供了原本通过基本的身份验证形式无法实现的灵活性。

进一步的热图详情

图10到图12示出了根据某些实施例的特定热图细节。图10是由计算机化系统20执行以生成安全热图60并且使用安全热图60在端点设备上强加安全性的过程400的流程图。图11和图12示出了特定地理区域在不同操作时间的示例安全热图60，以说明在该地理区域内安全区70可以如何随时间改变(例如，扩展、收缩、移动等)(也参见图2)。

参考图10，在402处，当用户操作端点设备并且在不同位置之间移动时，计算机化系统20接收端点设备(例如，企业发出的设备、注册的设备等)的当前热度分数(H)。按照这些思路，计算机化系统20(例如，访问控制电路24)可以维护和更新每个端点设备的安全分数(S)(例如，当前可信度度量)和移动性分数(M)(例如，当前移动性度量)。此外，计算机化系统20可以基于端点设备各自的安全分数(S)和各自的移动性分数(M)生成每个端点设备各自的当前热度分数(H)(也参见等式(1))。

在404处，计算机化系统20基于当前热度分数提供合计热度分数。特别地，对于地理区域内的每个区域，计算机化系统20可以基于当前驻留在该区域中的端点设备的当前热度分数(H)来计算该区域的总体热度分数(OH)。

在406处，计算机化系统20基于合计热度分数生成安全热图。按照这些思路，计算机化系统20可以针对地理区域内的区域，从多个可选择的安全级别中选择安全级别。这种选择可以基于将每个区域的合计热度分数与一组预定义的阈值范围90进行比较，并且基于合计热度分数与特定阈值范围90的匹配来选择特定安全级别(也参见图3)。因此，热图可以定义地理区域内的一个或多个安全区70。

在408处，计算机化系统20基于热图在端点设备上强加安全性。例如，计算机化系统20可以基于针对地理区域内的特定区域选择的安全级别为当前驻留在该区域中的所有端点设备选择一组特定的安全策略。该组安全策略可以指示端点设备需要某些形式的身份验证以控制对计算机系统20内的特定受保护资源的访问，允许或阻止端点设备上的某些应用程序的操作，向端点提供某些特权或服务设备，及其组合等。

根据某些实施例，计算机化系统20(例如，例行地，响应于事件，它们的组合等)重新执行过程400的全部或部分。例如，计算机化系统20可以例行地重新生成热图，诸如每分钟、每五分钟、每15分钟、每30分钟、每小时生成一次等。

图11通过示例示出了针对特定地理区域的在特定时间(T0)的安全热图60(T0)。热图60(T0)包括以二维阵列布置的区块420。每个区块420与地理区域内的特定区域相关联，并且具有对应的合计热度分数和基于合计热度分数选择的安全级别430。

通过示例，热图60(T0)的生成基于一组预定义阈值范围90，该组预定义阈值范围90定义不同的安全级别430，即高安全级别430(H)、中等安全级别430(M)以及低安全级别430(L)。在其他布置中，该组预定义阈值范围90定义了不同数量(例如，一个、二个、四个、五个等)的安全级别430。此外，该组预定义阈值范围90可以仅应用于特定地理区域或应用于多个地理区域。

如图11中所示，具有相同选定安全级别的区块420的组合形成热图60(T0)内的不同安全区70。在该示例中，具有最高安全级别430(H)的区块420形成安全区70(H)，其是热图60(T0)定义的最大安全区(仅作为示例)。此外，具有中等安全级别430(M)的区块420形成安全区70(M)。此外，具有最低安全级别430(L)的区块420形成安全区70(L)，其是由热图60(T0)定义的最小安全区(仅作为示例)。

在时间(T0)处并且根据地理区域的热图60(T0)，计算机化系统20基于端点设备在地理区域内的位置而对端点设备强加安全性。即，对与安全区70(H)对应的区域中的端点设备强加高安全级别，对与安全区70(M)对应的区域中的端点设备强加中等安全级别，以及对与安全区70(L)对应的区域中的端点设备强加低安全级别。

图12通过示例示出了针对特定地理区域的在特定时间(T1)新生成的安全热图60(T1)。此处，在生成热图60(T1)之前，计算机化系统20已经从过去的时间(T0)开始等待了一些时间。在此期间，一些端点设备可能已经移动、刚刚打开、最近停用、变为新注册等等。

通过示例，热图60(T1)的生成基于在生成热图60(T0)时使用的同一组预定义阈值范围90。然而，应当理解，该组预定义阈值范围90可以随时间改变或更新，例如由管理员来改变或更新，响应于事件来改变或更新，等等。

如图12中所示，热图60(T1)内形成不同安全区70的具有相同选定安全级别的区块420的组合相对于热图60(T0)中的具有相同选定安全级别的区块420的组合已经发生改变(图11)。特别地，有更多区块420具有中等安全级别430(M)，其形成安全区70(M)。此外，有更少区块420具有最低安全级别430(L)，其形成安全区70(L)。因此，各区70的形状和位置已经改变。尽管如此，在时间(T1)处，计算机化系统20根据热图60(T1)对端点设备强加安全性。

如前所述，计算机化系统20可以周期性地生成针对地理区域的安全热图60。计算机化系统20还可以响应于一个或多个事件生成针对地理区域的安全热图60。

图13是由计算机化系统20响应于重大事件而执行的过程500的流程图。根据某些实施例，除了执行过程400(也参见图10)之外，还可以执行过程500。

在502处，计算机化系统20检测到重要事件。按照这些思路，计算机化系统20可以接收指示区域特定事件的发生的指示信号。例如，计算机化系统20可以接收报告在预定义的时间量内驻留在特定区域内的端点设备的数量的改变已经超过预定义的阈值数量的消息。作为另一示例，计算机化系统20可以接收指示驻留在特定区域内的预定义数量的端点设备已经检测到安全事件(例如，越狱尝试、预定义的时间量期间不成功的登录限制、病毒或恶意软件、恶意行为，它们的组合等)。

在504处，计算机化系统20更新对应于该事件的区域的总体热度分数。特别地，计算机化系统20可以计算特定区域的新的合计热度分数，并且用特定区域的新的合计热度分数替换较早的合计热度分数。计算机化系统20可以仅计算该事件发生的区域的总体热度分数。然而，取决于情况，计算机化系统20也可以计算其他区域(诸如紧邻区域、特定距离内的相邻区域、针对覆盖该区域的相同地理区域的热图所标识的所有区域，等等)的总体热度分数。

在506处，计算机化系统20确定安全级别是否由于该区域的总体热度分数的更新而发生任何改变。如果没有，则计算机化系统进行到508，并且在508处，计算机化系统20为该区域维持相同的安全性。然而，如果安全级别有变化，则计算机化系统20进行到510，并且在510处，计算机化系统20基于该区域的更新的总体热度分数修改该区域的安全性。应当理解，如果其他区域的总体热度分数也发生了改变，则计算机化系统20可以对其他区域执行类似的操作。

应当理解，修改热图内的任何区域的安全性有效地更新了热图(例如，参见图11和图12中的热图60(T0)和60(T1))。因此，发生安全性改变的区域内的其他端点设备也将受到影响。特别地，计算机化系统20可以为该区域选择一组新的安全策略，然后将这组新的安全策略强加给当前在该区域中的所有端点设备。

此外，在510(参见图13)之后的512处，计算机化系统20可以可选地执行一项或多项补救活动。例如，响应于安全性的改变，计算机化系统20可以输出信号警告人类管理员，计算机化系统20可以修改一个或多个预定义阈值90(图3)，等等。

虽然已经具体地示出和描述了本发明的各种实施例，但是本领域技术人员将理解，在不脱离由所附权利要求定义的本发明的精神和范围的情况下，可以在形式和细节上做出各种改变。

例如，应当理解，受保护资源服务器26(图1)的各种组件能够在云中实现或“移动到”云，即，移到分布在网络上的远程计算机资源。本文中，各种计算机资源可以紧密分布(例如，单个设施中的服务器群)或分布在相对较大的距离上(例如，在校园、不同城市、海岸到海岸等)。在这些情况下，连接资源的网络能够具有多种不同的拓扑结构，包括主干、轮辐、环、不规则形，它们的组合等。此外，网络可以包括基于铜的数据通信设备和布线、光纤设备和布线、无线设备，它们的组合等。此外，网络能够支持基于LAN的通信、基于蜂窝的通信，它们的组合等等。此类修改和增强旨在属于本发明的各种实施例。