安全访问控制方法及装置制造方法及图纸

技术编号:16001172 阅读:27 留言:0更新日期:2017-08-15 15:25
本发明专利技术公开了一种安全访问控制方法,所述方法包括以下步骤:获取当前访问请求;根据预设安全模型对所述当前访问请求进行安全性预测,得到当前安全概率,所述预设安全模型用于反映访问请求和安全概率之间的对应关系;根据所述当前安全概率来控制所述当前访问请求的访问。本发明专利技术还公开了一种安全访问控制装置。本发明专利技术通过预设安全模型对所述当前访问请求进行安全性预测,根据预测的当前安全概率来控制所述当前访问请求的访问,从而克服了现有应用中的BLP模型缺乏对系统安全状态和风险的动态感知能力,提高了安全性。

Secure access control method and device

The invention discloses a security access control method, the method comprises the following steps: acquiring the current access request; according to the preset security model for the current request for safety prediction, get the current safety probability, the default security model is used to reflect the relationship between the access request and safety probability; to control the the current access request according to the current safety probability. The invention also discloses a secure access control device. The default security model for the current request for safety prediction, to control the current access request according to the current safety probability prediction, in order to overcome the existing BLP model in the application of the lack of dynamic perception of the security state of the system and the risk, improve the security.

【技术实现步骤摘要】
安全访问控制方法及装置
本专利技术涉及计算机
,尤其涉及一种安全访问控制方法及装置。
技术介绍
随着各种新型信息发布方式的不断涌现,随着计算机产业的迅猛发展,在计算机上处理的业务从基于原始的数学运算和文件处理(单机),以及简单连接内部局域网络的企业内部业务处理、自动化办公等应用发展到基于企业复杂的内部网络(Intranet)、企业所连接的外部网络(Extranet)、全球连通的互联网(Internet)等企业级的计算机处理系统以及世界范围内的业务处理和信息共享。对安全性需求较高的系统,如政府、军事部门或银行系统,资源多以不同密级的形式进行划分,整个系统采用严格的强制访问策略保护数据机密性和完整性。BLP(Bell-LaPadula)模型是DavidBell和LeonardLaPadula于1973年创立的模拟军事安全策略的计算机安全模型,其本质是对具有密级划分信息的访问控制,是最早最广泛的一种计算机多级安全策略模型。BLP模型通过给每个数据对象和用户定义一个安全级来表示信息的敏感性和能访问的数据对象范围,每个安全级由密级和部门集合组成。密级集合可表示为:{绝密(topsecret)、机密(secret)、秘密(confidential)、公开(un-classification)}。此集合是全序的、分层的,即:绝密>机密>秘密>公开。部门集则是非分层的、无序的,这一集合的元素依赖于所处的环境和应用领域。BLP模型定义了系统、系统状态和状态间转换规则,制定了一组安全特性,对系统状态和状态转换规则进行约束。图1给出了BLP模型所定义的系统的逻辑示意图。其中X表示请求序列集,Y表示结果序列集,Z表示状态序列集,下标t表示离散时刻集。在分布式环境下,任意时刻用户的请求是随机的;而系统对请求x做出的决策y∈Y是固定的,BLP中Y的取值有:{yes,no,?,error},任何时刻系统状态的取值都可以是Z中的任意一个,所以Z也是随机的。由于请求的多样性,BLP现有的安全公理和十条基本规则不能很好地适应系统的变化,以至于出现以下情况:第一,传统BLP模型的安全性是基于平稳性原则的。当主体和客体被创建后,它们的安全级在整个生命周期中都不会变化,能够访问的客体已经被指定。虽然平稳性原则能够保证模型的安全性,但是在实际应用中这种情况严重影响了系统的可用性,限制了主体的行为,尤其对于高安全级的非敏感信息,主体由于安全级别受限而不允许访问这些非密级数据。也就是说,“向下读,向上写”这一策略限制了高级别主体产生的非敏感(公开)信息流向低级别主体,以及高密级主体向非敏感客体写数据的合理要求。虽然Bell引入可信主体允许具有可信范围的主体在受控范围内违反ss-性质和*-性质,但是这些可信主体不受任何访问控制规则的限制,导致可信主体的权限过大,违背了最小特权原则。第二,在现有的BLP应用场景中,读写敏感客体的主体范围往往是确定的,某些敏感客体在其生存周期中可以被所有高于其安全级的主体读和低于其安全级的主体写,并且“向上写”也容易引发隐通道的问题。在实际情况下,某些包含敏感信息的客体不应该总是被高于其安全级的主体读,也不应该总是被低于其安全级的主体写,而是通过动态判断该客体是否允许跨级访问。综上所述,现有应用中的BLP模型缺乏对系统安全状态和风险的动态感知能力。上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
本专利技术的主要目的在于提供一种安全访问控制方法及装置,旨在解决现有应用中的BLP模型缺乏对系统安全状态和风险的动态感知能力的技术问题。为实现上述目的,本专利技术提供一种安全访问控制方法,所述方法包括以下步骤:获取当前访问请求;根据预设安全模型对所述当前访问请求进行安全性预测,得到当前安全概率,所述预设安全模型用于反映访问请求和安全概率之间的对应关系;根据所述当前安全概率来控制所述当前访问请求的访问。优选地,所述获取当前访问请求之前,所述方法还包括:建立最大熵模型;将BLP模型中的请求集与状态集作为所述最大熵模型的输入项,将BLP模型中的判断集作为所述最大熵模型的输出项,根据BLP模型中的规则确定所述最大熵模型的特征函数;求解所述最大熵模型中的初始参数向量;根据历史日志数据及所述初始参数向量对所述最大熵模型进行训练,以获得实际参数向量;将所述实际参数向量代入所述最大熵模型,并将代入实际参数向量后的最大熵模型作为所述预设安全模型。优选地,所述求解所述最大熵模型中的初始参数向量,具体包括:采用拟牛顿法BFGS迭代求解所述最大熵模型中的初始参数向量。优选地,所述根据预设安全模型对所述当前访问请求进行安全性预测,得到当前安全概率,具体包括:获取所述当前访问请求在所述请求集与状态集中分别对应的元素,将获取的元素代入所述预设安全模型中,得到当前安全概率。优选地,所述根据所述当前安全概率来控制所述当前访问请求的访问之后,所述方法还包括:根据所述当前安全概率调整所述BLP模型中的请求集、状态集及判断集之间的对应关系。此外,为实现上述目的,本专利技术还提供一种安全访问控制装置,所述装置包括:请求获取模块,用于获取当前访问请求;概率预测模块,用于根据预设安全模型对所述当前访问请求进行安全性预测,得到当前安全概率,所述预设安全模型用于反映访问请求和安全概率之间的对应关系;访问控制模块,用于根据所述当前安全概率来控制所述当前访问请求的访问。优选地,所述装置还包括:模型建立模块,用于建立最大熵模型;特征确定模块,用于将BLP模型中的请求集与状态集作为所述最大熵模型的输入项,将BLP模型中的判断集作为所述最大熵模型的输出项,根据BLP模型中的规则确定所述最大熵模型的特征函数;向量求解模块,用于求解所述最大熵模型中的初始参数向量;模型训练模块,用于根据历史日志数据及初始参数向量对所述最大熵模型进行训练,以获得实际参数向量;向量代入模块,用于将所述实际参数向量代入所述最大熵模型,并将代入实际参数向量后的最大熵模型作为所述预设安全模型。优选地,所述向量求解模块,具体用于采用拟牛顿法BFGS迭代求解所述最大熵模型中的初始参数向量。优选地,所述概率预测模块,具体用于获取所述当前访问请求在所述请求集与状态集中分别对应的元素,将获取的元素代入所述预设安全模型中,得到当前安全概率。优选地,所述装置还包括:集合调整模块,用于根据所述当前安全概率调整所述BLP模型中的请求集、状态集及判断集之间的对应关系。本专利技术通过预设安全模型对所述当前访问请求进行安全性预测,根据预测的当前安全概率来控制所述当前访问请求的访问,从而克服了现有应用中的BLP模型缺乏对系统安全状态和风险的动态感知能力,提高了安全性。附图说明图1为BLP模型所定义的系统的逻辑示意图;图2为本专利技术安全访问控制方法第一实施例的流程示意图;图3为本专利技术安全访问控制方法第二实施例的流程示意图;图4为本专利技术安全访问控制方法第三实施例的流程示意图;图5为本专利技术安全访问控制装置第一实施例的功能模块示意图;图6为本专利技术安全访问控制装置第二实施例的功能模块示意图;图7为本专利技术安全访问控制装置第三实施例的功能模块示意图;图8为合法用户攻击的各个检测结果的示意图。本专利技术目的的实现、本文档来自技高网
...
安全访问控制方法及装置

【技术保护点】
一种安全访问控制方法,其特征在于,所述方法包括以下步骤:获取当前访问请求;根据预设安全模型对所述当前访问请求进行安全性预测,得到当前安全概率,所述预设安全模型用于反映访问请求和安全概率之间的对应关系;根据所述当前安全概率来控制所述当前访问请求的访问。

【技术特征摘要】
1.一种安全访问控制方法,其特征在于,所述方法包括以下步骤:获取当前访问请求;根据预设安全模型对所述当前访问请求进行安全性预测,得到当前安全概率,所述预设安全模型用于反映访问请求和安全概率之间的对应关系;根据所述当前安全概率来控制所述当前访问请求的访问。2.如权利要求1所述的方法,其特征在于,所述获取当前访问请求之前,所述方法还包括:建立最大熵模型;将BLP模型中的请求集与状态集作为所述最大熵模型的输入项,将BLP模型中的判断集作为所述最大熵模型的输出项,根据BLP模型中的规则确定所述最大熵模型的特征函数;求解所述最大熵模型中的初始参数向量;根据历史日志数据及所述初始参数向量对所述最大熵模型进行训练,以获得实际参数向量;将所述实际参数向量代入所述最大熵模型,并将代入实际参数向量后的最大熵模型作为所述预设安全模型。3.如权利要求2所述的方法,其特征在于,所述求解所述最大熵模型中的初始参数向量,具体包括:采用拟牛顿法BFGS迭代求解所述最大熵模型中的初始参数向量。4.如权利要求2所述的方法,其特征在于,所述根据预设安全模型对所述当前访问请求进行安全性预测,得到当前安全概率,具体包括:获取所述当前访问请求在所述请求集与状态集中分别对应的元素,将获取的元素代入所述预设安全模型中,得到当前安全概率。5.如权利要求1~4中任一项所述的方法,其特征在于,所述根据所述当前安全概率来控制所述当前访问请求的访问之后,所述方法还包括:根据所述当前安全概率调整所述BLP模型中的请求集、状态集及判断集之间的对应...

【专利技术属性】
技术研发人员:杨黎
申请(专利权)人:深圳市证通电子股份有限公司
类型:发明
国别省市:广东,44

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1