基于世系数据和风险管理的访问控制系统技术方案

本发明专利技术公开了一种基于世系数据和风险管理的访问控制系统

【技术实现步骤摘要】
基于世系数据和风险管理的访问控制系统、方法及设备


[0001]本专利技术属于信息安全
，涉及一种访问控制系统
、
方法及设备，具体涉及一种基于世系数据和风险管理的访问控制系统
、
方法及设备
。

技术介绍

[0002]随着社会信息化和网络化发展，
21
世纪正逐渐成为一个数据化的时代，海量的数据将被生产
、
获取
、
存储
、
处理以及使用，如何管理数据，保障数据安全存储和共享成为了亟待解决的问题
。
大数据的主要特性包括大容量
、
多样性
、
快速度和真实性
。
大容量是指数据量巨大，
21
世纪是“万物互联”的时代，任何电子设备和程序都会在运行过程中产生数据，随着云计算和云存储等技术的发展，大量的数据被生产
、
存储以及使用；多样性是指数据的类型不再是单一的结构化数据，还包括了由
IoT
设备生产的原始数据
、
没有固定字段的半结构化数据和以视频图片为代表的随机的非结构化数据；快速度既是指数据产生速度快，也是指数据处理速度快；真实性是在前三种特性基础上非常重要的延展，大数据技术发展的主要目的是科学高效地运用数据，而运用数据的前提是确保数据的高质量，数据质量的评价有很多维度，其中最重要的便是数据的真实性，即数据的可信度
。
因此，保障数据安全以及提升数据可信度成为了大数据技术研究当中的一个重点研究方向
。
[0003]访问控制技术是确保数据安全存储和共享的通用技术，也是保障数据安全的重要手段
。
传统的访问控制模型包括
DAC(
自主访问控制
)、MAC(
强制访问控制
)、RBAC(
基于角色的访问控制
)、ABAC(
基于属性的访问控制
)
以及基于传统模型的结合其他领域进行优化改进的衍生模型，这些访问控制模型在传统的访问控制环境中发挥了巨大作用，有效保障了数据的安全，进而有效保障了系统的安全
。
目前使用最广泛的访问控制模型是
RBAC
模型，其基于角色进行授权的理念很符合日常生活中的习惯以及需求，大大简化了权限分配和权限验证的工作流程，但是其授权粒度不够精细以及在大型系统中容易出现角色爆炸的问题，导致其无法满足现代环境中对访问控制更高的要求，灵活性和安全性无法得到满足
。ABAC
模型是较新的一代访问控制模型，与
RBAC
通过角色授予用户权限这种粗粒度的访问控制模式不同，
ABAC
基于属性进行授权的理念可以实现细粒度的访问控制，但是其过于细致和固定的授权决策导致灵活性得不到满足，无法满足现代环境的复杂需求
。
[0004]传统的访问控制研究存在一些问题，首先是访问控制灵活性较低，虽然
RBAC
模型基于角色的思想很符合现实场景，但是存在粒度较粗以及角色爆炸的问题，
ABAC
模型实现了细粒度的访问控制，但是授权评估不够灵活
。
其次是传统的访问控制模型在授权评估的时候，没有充分利用数据的特性以及数据之间的关系，导致对评估不够充分
。
最后是传统的访问控制模型对于安全性考虑不足，缺少风险意识
。
[0005]针对灵活性较低的问题，研究人员提出基于分层属性的访问控制模型
HGABAC
，但该模型在授权评估方面灵活性依旧不足
。
针对完备性不足的问题，研究人员提出基于世系数据的访问控制模型
PBAC
，将世系数据引入访问控制机制当中，但是其存在两个问题：
1.
对环境感知不充分；
2.
模型较为抽象，需要结合其他模型
。
针对安全性较低的问题，许多研究
人员在访问控制模型当中引入了信任与风险机制，其中基于内容和风险感知的访问控制模型
RCBAC
提供了一种可行的思路，该模型通过对用户的访问行为计算风险，但是该模型计算风险参考的要素较少，评估不充分
。

技术实现思路

[0006]针对上述问题，本专利技术提供了一种基于世系数据和风险管理的访问控制系统
、
方法及设备，通过引入基础属性
、
关键属性和和信任机制，解决授权不够灵活的问题，提高系统灵活性；通过优化世系数据基础模型，解决系统对环境感知不足的问题，然后将世系数据引入访问控制当中，提高系统完备性；通过引入世系数据，并优化风险管理算法，解决风险计算不充分的问题，提高系统安全性
。
[0007]本专利技术的系统所采用的技术方案是：一种基于世系数据和风险管理的访问控制系统，包括基于属性和信任的用户身份和用户行为验证模块
、
基于世系数据的用户历史行为验证模块
、
基于风险管理的二次验证模块；
[0008]所述基于属性和信任的用户身份和用户行为验证模块，用于实现对用户请求的分析以及授权评估，包括对请求进行解析
、
查找相应访问控制策略以及根据请求和策略进行授权评估；
[0009]所述基于世系数据的用户历史行为验证模块，用于通过对数据进行溯源实现对用户历史访问请求以及历史访问行为的分析；
[0010]所述基于风险管理的二次验证模块，用于实现授权范围在安全可控情况下的扩展，通过该模块对一些特定的访问控制请求进行授权，同时不会对系统产生不可控的风险
。
[0011]本专利技术的方法所采用的技术方案是：一种基于世系数据和风险管理的访问控制方法，包括基于属性和信任的用户身份和用户行为验证
、
基于世系数据的用户历史行为验证
、
基于风险管理的二次验证；
[0012]所述基于属性和信任的用户身份和用户行为验证，用于实现对用户请求的分析以及授权评估，包括对请求进行解析
、
查找相应访问控制策略以及根据请求和策略进行授权评估；
[0013]所述基于世系数据的用户历史行为验证，用于通过对数据进行溯源实现对用户历史访问请求以及历史访问行为的分析；
[0014]所述基于风险管理的二次验证，用于实现授权范围在安全可控情况下的扩展，通过该模块对一些特定的访问控制请求进行授权，同时不会对系统产生不可控风险
。
[0015]作为优选，所述基于属性和信任的用户身份和用户行为验证，具体实现包括以下步骤：
[0016]步骤
A1
：根据用户访问请求获取用户属性集合
、
资源属性集合以及环境属性集合；
[0017]步骤
A2
：根据资源与策略的对应关系以及操作与策略的对应关系，获取访问控制策略集本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于世系数据和风险管理的访问控制系统，其特征在于：包括基于属性和信任的用户身份和用户行为验证模块
、
基于世系数据的用户历史行为验证模块
、
基于风险管理的二次验证模块；所述基于属性和信任的用户身份和用户行为验证模块，用于实现对用户请求的分析以及授权评估，包括对请求进行解析
、
查找相应访问控制策略以及根据请求和策略进行授权评估；所述基于世系数据的用户历史行为验证模块，用于通过对数据进行溯源实现对用户历史访问请求以及历史访问行为的分析；所述基于风险管理的二次验证模块，用于实现授权范围在安全可控情况下的扩展，通过该模块对一些特定的访问控制请求进行授权，同时不会对系统产生不可控风险
。2.
一种基于世系数据和风险管理的访问控制方法，其特征在于：包括基于属性和信任的用户身份和用户行为验证
、
基于世系数据的用户历史行为验证
、
基于风险管理的二次验证；所述基于属性和信任的用户身份和用户行为验证，用于实现对用户请求的分析以及授权评估，包括对请求进行解析
、
查找相应访问控制策略以及根据请求和策略进行授权评估；所述基于世系数据的用户历史行为验证，用于通过对数据进行溯源实现对用户历史访问请求以及历史访问行为的分析；所述基于风险管理的二次验证，用于实现授权范围在安全可控情况下的扩展，通过该模块对一些特定的访问控制请求进行授权，同时不会对系统产生不可控风险
。3.
根据权利要求2所述的基于世系数据和风险管理的访问控制方法，其特征在于，所述基于属性和信任的用户身份和用户行为验证，具体实现包括以下步骤：步骤
A1
：根据用户访问请求获取用户属性集合
、
资源属性集合以及环境属性集合；步骤
A2
：根据资源与策略的对应关系以及操作与策略的对应关系，获取访问控制策略集，若未获取到对应访问控制策略集，则根据资源或操作的层次结构查找对应策略集；步骤
A3
：解析策略获取属性谓词集合，属性谓词包括关键属性谓词和基础属性谓词，属性谓词的类别在设置访问控制策略时进行定义，针对属性谓词集合进行评估分析，关键属性谓词对应的属性必须满足关键属性谓词规定的范围，基础属性谓词对应的属性通过计算信任度进行评估分析
。4.
根据权利要求3所述的基于世系数据和风险管理的访问控制方法，其特征在于，步骤
A3
的具体实现包括以下子步骤：步骤
A3.1
：提取属性谓词集合中的关键属性谓词，并查找对应属性，若属性对应属性值满足属性谓词限制范围，则该项评估结果为真，否则为假；步骤
A3.2
：提取属性谓词集合中的基础属性谓词，并查找对应属性，添加到评估列表中，定义向量
(x1,x2,
…
,x
i
,
…
,x
m
)
和
(y1,y2,
…
,y
i
,
…
,y
n
)
，其中，
m
表示评估列表...

【专利技术属性】
技术研发人员：陈晶，何琨，晏茂源，杜瑞颖，李雨晴，吴聪，加梦，石闽，
申请(专利权)人：武汉大学，
类型：发明
国别省市：