【技术实现步骤摘要】
本公开涉及数字信息传输,具体涉及一种适用于云计算环境下的安全访问控制方法及系统。
技术介绍
1、随着云计算技术的迅猛发展,越来越多的企业和组织将其核心业务和数据迁移至云平台,以期享受云计算带来的灵活性、可扩展性和成本效益。然而,这种转变也引发了对数据安全和隐私保护的深刻关注,尤其是在涉及敏感信息的场景中,确保只有经过授权的用户能够访问这些数据变得至关重要。云计算环境的特点,如多租户架构、广泛的网络访问以及资源的动态分配,使得传统的访问控制方法难以有效应对日益复杂的安全挑战。因此,如何在保证灵活性的同时实现精细化的安全访问控制,成为当前云计算领域亟需解决的问题。
2、在现有技术中,通过采用静态的访问控制列表进行访问用户的权限管理。可以理解的是,访问控制列表(access control list,acl)是一种用于管理和控制对计算机系统、网络或文件资源的访问权限的机制,作为一个数据结构用于定义哪些用户或用户组可以访问特定的资源,以及他们对这些资源的操作权限。考虑到静态的访问控制列表无法根据实际访问情况的变化,如用户的角色、访问时间、地理位置等的变化,动态调整访问权限,缺乏灵活性和动态响应机制,难以在快速频繁变化的云计算环境中适应精细化的安全访问控制需求。
技术实现思路
1、为了解决
技术介绍
中提出的技术问题,本公开的目的在于提供一种适用于云计算环境下的安全访问控制方法及系统,所采用的技术方案具体如下:
2、本公开的第一方面提供了一种适用于云计算环境下的安全访问控
3、获取用户的访问属性数据,其中访问属性数据包括关联于用户的静态属性数据以及关联于访问行为的动态属性数据;
4、基于访问属性数据,获取每个用户对应的访问特征情况;
5、基于全体用户的访问特征情况以及对应的每个访问属性数据,获取每个用户对应的访问异常情况;
6、基于全体用户的访问异常情况,自全体用户中筛选出存在异常访问风险的标记用户,并对标记用户的访问权限进行调整,标记用户调整后的访问权限小于标记用户调整前的访问权限。
7、在上述第一方面的一种可能的实现中,静态属性数据包括用户身份信息以及初始的用户访问权限信息:
8、动态属性数据包括访问行为对应的访问时间信息、访问地址信息、访问资源记录信息、访问操作记录信息、访问会话记录信息以及异常访问行为信息中的至少一种或多种的组合。
9、在上述第一方面的一种可能的实现中,在基于访问属性数据,获取每个用户对应的访问特征情况的过程中,包括如下步骤:
10、基于访问属性数据,获得对应用户的多个访问习惯指标,每个访问习惯指标对应一个安全访问场景,且每个访问习惯指标对应一个数值;
11、对每个用户的全部访问习惯指标进行求和,以获取每个用户对应的访问特征值,并将访问特征值作为访问特征情况。
12、在上述第一方面的一种可能的实现中,访问习惯指标包括身份验证异常指标,采用预设时段内用户访问身份验证错误次数与用户访问身份验证总次数的比值表征身份验证异常指标;
13、和/或
14、访问习惯指标包括访问操作复杂度指标,采用预设时段内用户的访问操作次数与访问数据类型数量的乘积表征访问操作复杂度指标。
15、在上述第一方面的一种可能的实现中,在基于全体用户的访问特征情况获取每个用户对应的访问异常情况的过程中,包括如下步骤:
16、将全体用户的访问特征值按照从小到大的顺序进行排列,以获得访问特征值序列;
17、基于层次聚类算法对访问特征值序列进行聚类,以获得多个特征聚类簇;
18、基于不同特征聚类簇中每个用户的访问特征值以及访问习惯指标,获取每个用户对应的访问异常值,访问异常值关联于用户所在特征聚类簇的访问特征值均值与全体用户的访问特征值均值的比值,以及用户的每个访问习惯指标与同一特征聚类簇中对应的访问习惯指标方差的比值;
19、将访问异常值作为访问异常情况。
20、在上述第一方面的一种可能的实现中,在基于全体用户的访问异常情况自全体用户中筛选出存在异常访问风险的标记用户的过程中,包括如下步骤:
21、根据全体用户的访问异常值的中位数以及每个用户的访问异常值,获取每个用户对应的四分位判断值;
22、根据每个用户对应的四分位判断值进行聚类,以获取多个异常聚类簇;
23、根据每个异常聚类簇中的用户对应的四分位判断值,获取每个异常聚类簇所属的四分位范围并构建箱线图;
24、将箱线图中未处于箱体及其预设延伸部分的访问异常值对应的用户作为存在异常访问风险的标记用户。
25、在上述第一方面的一种可能的实现中,该种安全访问控制方法还包括如下步骤:
26、对存在异常访问风险的标记用户发起身份鉴权请求,身份鉴权请求包括至少两个身份鉴权路径;
27、在标记用户通过身份鉴权请求对应的身份验证流程的情况下,向用户告知访问权限的调整内容和/或调整原因。
28、在上述第一方面的一种可能的实现中,该种安全访问控制方法还包括如下步骤:
29、定期对于标记用户对应的访问特征情况进行更新,并根据更新的访问特征情况判断标记用户是否持续存在异常访问风险;
30、在标记用户不存在异常访问风险的情况下,对标记用户的访问权限进行恢复或部分恢复;或
31、在标记用户不存在异常访问风险且通过身份鉴权请求对应的身份验证流程的情况下,对标记用户的访问权限进行恢复或部分恢复。
32、在上述第一方面的一种可能的实现中,该种安全访问控制方法还包括如下步骤:
33、接受存在异常访问风险的标记用户发起访问权限调整请求;
34、在标记用户通过身份鉴权请求对应的身份验证流程的情况下,基于标记用户的访问属性数据,根据访问权限调整请求对标记用户的访问权限进行恢复或部分恢复。
35、本公开的第二方面提供了一种适用于云计算环境下的安全访问控制系统,用于实现前述第一方面提供的适用于云计算环境下的安全访问控制方法,具体可以包括:
36、访问属性数据获取单元,用于获取用户的访问属性数据,访问属性数据包括关联于用户的静态属性数据以及关联于访问行为的动态属性数据;
37、访问特征情况获取单元,用于基于访问属性数据,获取每个用户对应的访问特征情况;
38、访问异常情况获取单元,用于基于全体用户的访问特征情况以及对应的每个访问属性数据,以获取每个用户对应的访问异常情况;
39、访问权限调整单元,用于基于全体用户的访问异常情况,自全体用户中筛选出存在异常访问风险的标记用户,并对标记用户的访问权限进行调整,标记用户调整后的访问权限小于标记用户调整前的访问权限。
40、与
技术介绍
相比,本公开具有如下的有益效果:
41、本文档来自技高网...
【技术保护点】
1.一种适用于云计算环境下的安全访问控制方法,其特征在于,所述安全访问控制方法包括如下步骤:
2.根据权利要求1所述的适用于云计算环境下的安全访问控制方法,其特征在于,所述静态属性数据包括用户身份信息以及初始的用户访问权限信息:
3.根据权利要求1所述的适用于云计算环境下的安全访问控制方法,其特征在于,在基于所述访问属性数据,获取每个用户对应的访问特征情况的过程中,包括如下步骤:
4.根据权利要求3所述的适用于云计算环境下的安全访问控制方法,其特征在于,所述访问习惯指标包括身份验证异常指标,采用预设时段内用户访问身份验证错误次数与用户访问身份验证总次数的比值表征所述身份验证异常指标;
5.根据权利要求3所述的适用于云计算环境下的安全访问控制方法,其特征在于,在基于全体用户的所述访问特征情况获取每个用户对应的访问异常情况的过程中,包括如下步骤:
6.根据权利要求5所述的适用于云计算环境下的安全访问控制方法,其特征在于,在基于全体用户的所述访问异常情况自全体用户中筛选出存在异常访问风险的标记用户的过程中,包括如下步骤:>
7.根据权利要求1所述的适用于云计算环境下的安全访问控制方法,其特征在于,还包括如下步骤:
8.根据权利要求7所述的适用于云计算环境下的安全访问控制方法,其特征在于,还包括如下步骤:
9.根据权利要求7所述的适用于云计算环境下的安全访问控制方法,其特征在于,还包括如下步骤:
10.一种适用于云计算环境下的安全访问控制系统,用于实现如权利要求1至权利要求9中任意一项所述的适用于云计算环境下的安全访问控制方法,其特征在于,包括:
...【技术特征摘要】
1.一种适用于云计算环境下的安全访问控制方法,其特征在于,所述安全访问控制方法包括如下步骤:
2.根据权利要求1所述的适用于云计算环境下的安全访问控制方法,其特征在于,所述静态属性数据包括用户身份信息以及初始的用户访问权限信息:
3.根据权利要求1所述的适用于云计算环境下的安全访问控制方法,其特征在于,在基于所述访问属性数据,获取每个用户对应的访问特征情况的过程中,包括如下步骤:
4.根据权利要求3所述的适用于云计算环境下的安全访问控制方法,其特征在于,所述访问习惯指标包括身份验证异常指标,采用预设时段内用户访问身份验证错误次数与用户访问身份验证总次数的比值表征所述身份验证异常指标;
5.根据权利要求3所述的适用于云计算环境下的安全访问控制方法,其特征在于,在基于全体用户的所述...
【专利技术属性】
技术研发人员:李宁,李佳鑫,
申请(专利权)人:北京天地和兴科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。