一种针对Web协同的授权用户风险评估方法及系统与流程

本发明属于授权与认证系统的用户风险评估
技术领域：
，特别是涉及一种针对web协同的授权用户风险评估方法及系统。
背景技术：
：基于web的协同是指多个域内自治组织允许其合作者、用户和职员通过本地或远程连接来共同完成某项任务的系统。在云计算中，软件及服务saas(softwareasaservice)是一种典型的在线协同系统。例如，acrobat.com,box.net,googleapps,msofficelive等提供了基于saas的协同服务。许多的软件决策者根据经济和性能评估，都愿意将自己的协同任务加载到第三方协同平台。但是随和用户数量的增加，协同平台的安全得到了广大学者的关注。因此，目前请求认证和授权是保证协同平台安全的主要技术，例如，googlecloudstorage和microsoftazure等都是通过访问令牌的认证来确保平台不受攻击。利用oauth2.0来归约访问令牌，像文件、图像和数据都以对象的方式存储，并通过uris访问，这些对象的拥有者制定对协同平台进行共享访问对象的规则(例如：读、写和执行等)，并利用访问控制列表作为安全服务器中的认证模块。当服务请求者访问对象时，利用带有对象哈希码的令牌向安全服务发出访问请求，当安全服务收到访问请求时，将其请求转发给认证模块，认证模块读取访问控制列表的策略，决定对访问请求进行授权或者拒绝。如果用户被认证，并且访问控制列表允许用户请求操作，那么这个访问将会被允许直到令牌过期。否则，这个用户请求将会失败。然而，基于令牌的授权与认证不是基于请求实体的属性，也没有绑定用户声明的行为和动作，也没有表示在令牌发出和请求者实际使用令牌时间之间，服务请求者的行为。访问请求被授权仅仅基于请求者的身份和令牌的验证。针对已经获取有效令牌并被授权的用户在访问文件系统时，保证被请求数据的安全是域内攻击研究的一个重点。下面我们用医疗云中的一个实例来说明我们工作的研究问题。在远程医疗中，监控病人的生命数据对于准确的诊断是非常重要的，所有的数据都通过可穿戴的传感器进行收集。医疗云(例如salesforce.com)提供者可以对病人的电子医疗记录ehr(electronichealthrecord)进行存储、处理和分析，为医生可以准确的对病人的身体状态进行诊断提供依据。假设某个医院h1通过使用医疗云辅助为病人进行诊断，而病人p购买了保险公司i的医疗保险，并分配给主治医生m进行诊断。医护人员通过可穿戴的设备为病人收集相关的生理参数，包括心跳、血压、血糖、体温和尿量等，并且将这些数据托管给远程医疗云c进行管理。医院作为病人生理数据的拥有者，可以分配给医护人员和医生m的操作权限。医疗云通过使用基于令牌的访问控制来执行不同请求者的认证与授权，同时，也可以允许另一个医院h2的医疗专家访问病人的her。当开始诊断时，首先由医护人员通过智能电话中的app向医疗云c发出请求，并检索病人p当前的身体状态。在医护人员向医疗云c发出请求，并得到认证与授权的过程中，会出现如下几个方面的安全问题：(1)h1和h2的医生或其他职员向医疗云c发送请求，企图进行恶意操作或篡改用户的生理健康数据。(2)h1和h2的医生或其他职员将病人p的生理健康数据her暴露给保险公司i，保险公司则可以根据病人的身体状态在后续的保险中提高价格。因此，虽然医疗团队中的成员已经获得了身份认识和有效令牌，但也有可能对病人的生理健康数据产生威胁。前一种对于恶意的操作和对病人生理数据的篡改没有及时恢复，及有可能会对病人的身体造成伤害，同时对医院的动作和信誉造成负面影响；后一种由于医护人员暴露了病人的隐私数据，可能会造成病人的经济损失。所以，基于令牌的身份认证与授权机制很难防止来自内部人员对数据的威胁。并且需要增加一种基于软安全属性，对内部人员的操作进行评估，获取恶意操作与篡改的证据，降低恶意操作人员的访问等级或者拒绝此类人员的访问，从而保证用户数据的安全与隐私。在多域系统中，认证与授权机制为防止域内数据被未授权用户访问并恶意暴露与篡改并保证其安全的主要方法。但是利用风险评估方法去约束被授权用户的行为，防止域内请求者恶意操作或暴露用户数据是访问控制问题中的挑战。p.cheng等人提出了一种多层级的安全访问控制模型，利用未授权暴露的概率和被暴露信息的价值来评估访问风险，将主体和客体的安全许可等级抽象成请求者的诱惑指数来定义暴露概率。díaz-lópezd等人将资源划分为不同的风险等级，不同风险等级的资源对应不同的访问控制策略，当请求者对某一资源发出访问请求时，可以根据资源的不同进行自适应对授权或拒绝其访问。郑雷雷等人提出一种基于故障树分析法构建信息安全风险评估模型，通过定性与定量分析找到影响风险评估的主要因素。冯登国等人分析了云计算的特征，综述了安全相关的技术，并分析其在云计算中的应用。其中风险评估作为可信访问中的技术可以对云服务访问提供安全支持。高妮等人等人提出了一种基于贝叶斯攻击图的动态风险评估模型，运用贝叶斯推理方法对单步攻击行为的后验概率进行动态更新,最终实现对目标网络整体安全性的评估。技术实现要素：本发明的目的是为克服上述现有技术的不足而提供针对web协同的授权用户风险评估方法及系统，本发明通过对基于web协同的平台框架的描述以及对可预测的风险服务进行建模,以获取风险值供认证与授权服务器参考，决定是否对请求者授权，如果请求风险高于某个阈值，则将会拒绝请求，从而预测授权用户对系统操作的安全性。本发明公开了一种针对web协同系统的授权用户风险评估方法，包括以下步骤：步骤1：采集访问请求中的各参数；步骤2：根据上述参数，生成风险评估模型；步骤3：根据风险评估模型，输出访问请求的风险值；步骤4：根据访问请求的风险值决定给予请求者授权或拒绝授权。优选的，所述步骤1中的参数包括请求者id、请求者的安全等级、对象、对象属性、对象类型和访问模式；所述对象属性包括机密性、完整性和可用性，所述对象类型为obt＝{topsecret,secret,confidentiality,sensitive,non-sensitive}；所述访问模式包括view、edit和execute，分别表示为可读、可写、可执行。优选的，所述根据上述参数，生成风险评估模型：其中，r表示风险值，c、i和a分别表示访问对象的机密性、完整性和可用性；paj表示历史数据中的访问模式发生的概率，s表示对象敏感度，υ表示风险容忍参数，λ表示对协同平台主观的衰减率，表示请求者信誉度。优选的，采用inversegompertz函数对请求者的信誉度建模，包括：初始化时，给每个请求者最大的信誉度，根据访问策略，使其能够访问各个敏感层级的数据，当发现请求者恶意交互时，其信誉度的值就会下降，直到信誉度为0，并收回访问令牌。优选的，其中，tk表示请求者恶意操作的次数，所述ψ表示信誉值最的上渐近线，b为控制信誉值的置换，φ节衰减率。本发明还公开了一种针对web协同系统的授权用户风险评估系统，包括参数采集模块，用于采集访问请求中的各参数；对象敏感度权值获取模块，用于获取访问请求的对象敏感度权值；对象安全等级权值，用于获取访问请求的安全等级权值；对象敏感度获取模块，用于根据对象数据库获取对象敏感度；信誉计算模块，用于得到请求用户的信誉值；风险评估模块，用于根据风险评估模型，计算得到访问请求的风险值；请求处理器，用于根据认证与授权服务器发送的请求，调用对象敏感度权值获取对象敏感权值，调用对象安全等级权值获取对象安全等级权值，调用对象敏感期获取模块获取对象敏感度，调用信誉计算模块得到用户信誉值，调用风险评估模块得到访问请求的风险值，并将该风险值返回给认证与授权服务器。优选的，所述采集访问请求中的参数包括请求者id、请求者的安全等级、对象、对象属性、对象类型和访问模式；所述对象属性包括机密性、完整性和可用性，所述对象类型为obt＝{topsecret,secret,confidentiality,sensitive,non-sensitive}；所述访问模式包括view、edit和execute，分别表示为可读、可写、可执行。优选的，所述对象敏感度权值获取模块，基于：其中，ws利用访问请求者对访问模式误操作的效用值来表示；υ表示风险容忍参数，-cj表示访问请求对数据对象造成的损害，通过历史数据中的访问模式发生的概率计算得到：cj＝(c×paj)+(i×paj)+(a×paj)(3)其中，c、i和a分别表示访问对象的机密性、完整性和可用性；paj表示历史数据中的访问模式发生的概率。优选的，所述对象安全等级权值，基于：其中，λ表示对协同平台主观的衰减率，表示请求者信誉度；所述信誉计算模块，基于：其中，tk表示请求者恶意操作的次数；ψ表示信誉值最的上渐近线，b为控制信誉值的置换，φ调节衰减率。有益效果：本发明与现有技术相比，本发明可以很好的解决域内已授权请求者对数据的非法修改或暴露，给数据拥有者带来经济损失。附图说明图1是基于web的协同框架的示意图；图2是风险评估框架的示意图；图3是ws的模拟曲线的示意图；图4是wl的模拟曲线的示意图；图5是访问模式所对应的风险值的示意图。具体实施方式下面结合附图和实施例进一步阐述本发明。本发明的一种针对web协同系统的授权用户风险评估方法，可以有效的防止已授权用户对用户隐私与敏感数据的恶意操作与暴露。经第一阶段描述了基于web协同的平台框架以及第二阶段对可预测的风险服务进行建模；从而达到评估授权用户风险的目的。其中：本发明提出的一种基于web协同的平台框架，包括如下具体内容：根据请求的域的不同，基于web的协同平台包含两种请求方式，即本地请求和远程请求。本地请求是指在数据上传时，由数据的拥有者(数据服务器管理员)设定并分配给指定用户的权限，而这些特定用户的请求，称为本地请求。如：实例中h1的医护人员或主治医生；远程请求是指将数据对象以共享的方式提供给特定用户的访问。如：实例中h2的主治医生。风险评估框架包括以下参与者：(1)数据对象的拥有者owi(objectowner)：数据对象的拥有者owi是本地域用户，他们可以设置数据对象的访问等级(图1中的第1步和第2步)，通常等级分为三级，即可读(view)、可写(edit)、可执行(execute)。在完成协同操作后，将反馈发送给风险评估服务(图1中的第3步)。(2)共享的数据对象oi(shareobject)：数据对象oi是被对象拥有者在协同平台上共享的实体，包括文本、图像等。每个数据对象都有相应的敏感度，可以用一个偏序关系表示，即：to-secret＜secret＜confidential＜unclassified。(3)请求者(requester)：请求者是来自本地或远程的用户，在初始状态需要从认证与授权服务器获取有效的令牌(图1的第4步)。如果请求者获取了令牌，并通过了认证服务器对其访问策略的验证，则可以带着令牌访问被数据对象拥有者owi共享的数据对象oi。也有可能发现请求者的访问风险(图1的第10步)。任何用户都有对应的信誉值和安全等级，根据信誉度可以将用户分为三级：诚实(honest)、自私(selfish)和恶意(malicious)，即：honest＜selfish＜malicious。(4)认证与授权服务器(authenticationandauthorizationserver)：数据对象拥有者owi可以在认证与授权服务器定义对象oi的访问策略，并根据此策略授予或拒绝请求者(图1的第5步和第9步)。(5)rmweb服务(rmwebservice)：这是本文所提出的请求风险评估服务，被认证与授权服务器所调用，通过rm服务获取请求者的请求风险值，认证与授权服务器通过风险值决定是否对访问请求者授权(图1的第7步和第8步)。也可能收到对象拥有者owi的反馈(图1的第3步)。本发明提出的一种对可预测的风险服务进行建模，包括如下具体内容：(1)风险评估模型定义1访问请求(accessrequest)，可以用一个四元组来表示，即(uid,ul,a_m,obp,obt)，其中uid表示请求者id，u1表示请求者的安全等级；ob包括obp表示对象，对象包括三种属性obpobp＝{c,i,a}，其中c表示机密性(confidentiality)，i表示完整性(integrity)，a表示可用性(availability)；而对象包括5种类型obt，obt＝{topsecret,secret,confidentiality,sensitive,non-sensitive}，a_m表示访问模式，a_m＝{view,edit,execute}，分别表示为可读、可写、可执行。不同的访问模式对不同类型的对象进行访问，对其威胁也不同，举例说明如表1所示：表1访问模式对对象属性的影响访问模式对象类型ciaviewsensitive100viewnon-sensitive000editsensitive011editnon-sensitive011executesensitive011executenon-sensitive011对权值回归模型对风险值进行建模，即：r＝ws×s+wl×l(1)其中，ws表示对象敏感度的权值；s表示对象敏感度；wl表示请求者安全等级权值；l表示请求者的安全等级。其中ws和wl可以表示：其中，ws可以利用访问请求者对访问模式误操作的效用值来表示；υ表示风险容忍参数，取值在[0,1]之间；-cj表示访问请求可能对数据对象造成的损害，可以通过历史数据中的访问模式发生的概率计算得到，即：cj＝(c×paj)+(i×paj)+(a×paj)(3)其中，c、i和a分别表示访问对象的机密性、完整性和可用性；paj表示历史数据中的访问，模式发生的概率。其中，λ表示对协同平台主观的衰减率(uncertaintyparameter)，取值为区间[0,1]之间；表示请求者信誉度，我们利用inversegompertz函数对请求者的信誉度建模。在初始化时，给每个请求者最大的信誉度，根据访问策略，使其能够访问各个敏感层级的数据。当发现请求者恶意交互时，其信誉度的值就会下降，直到信誉度为0，并收回访问令牌。因此，请求者信誉度可以表示为：其中，tk表示请求者恶意操作的次数，所述ψ表示信誉值最的上渐近线，b为控制信誉值的置换，φ调节衰减率，ψ、b和φ表示gompertz参数(gompertzparameter)。综合式(1)、(2)、(3)、(4)和(5)可以得到风险值的计算模型为：其中，r表示风险值，c、i和a分别表示访问对象的机密性、完整性和可用性；paj表示历史数据中的访问模式发生的概率，s表示对象敏感度，υ表示风险容忍参数，λ表示对协同平台主观的衰减率，表示请求者信誉度。(2)风险评估框架由图1可知，当请求用户向数据对象发送请求时，首先向认证与授权服务器请求，获得认证并得到有效的令牌。这时，授权与认证服务器向风险评估服务发出请求，得到请求用户的风险值。在这个过程当中，首先认证与授权服务器将请求发送给请求处理器，请求处理器分别调用uncertainly函数获得ws的值，调用utility函数得到wl，并通过对象数据库得到对象的敏感度，同时通过信誉计算模块得到请求用户的信誉值。利用前期得到的ws、wl、l和s值，然后通过权值线性回归函数获取访问请求的风险值。并将访问请求的风险值返回给认证与授权服务器。认证与授权服务器根据风险值决定是给予该请求者授权，还是拒绝此次服务。具体的调用过程如图2所示。实施例：我们通过模拟实验获取权值回归中权值其及参与之间的关系，模拟实验参数取值如表2所示：表2模拟实验参数值图3表示模拟ws曲线，其中横轴表示访问请求可能对数据对象造成的损害(expecteddamage)-cj，纵轴表示效用ws。图3显示了潜在的恶意请求者通过恶意操作获取不同敏感度的共享对象的效用(utility)，风险容忍参数(risktoleranceparameter)υ控制效用增长率。对于较低的风险容忍度，协同平台可能会选择敏感度较低的对象向请求者共享。但是对于关键操作，需要将风险容忍参数调高，以保证远程用户可以访问到敏感数据对象。图4表示wl的模拟曲线，其中外轴表示wl，内轴表示信誉度的值。图4说明了随着信誉度值的减少，其wl值也在减少。当c＝0.7，λ＝0.25时，其衰减得最快；当c＝0.7，λ＝0.65时，其wl衰减得最慢；当c＝0.7，λ＝0.45时，其wl衰减得速度介于c＝0.7，λ＝0.65和c＝0.7，λ＝0.45之间。我们在3种不同的访问模式下，计算平均风险值并对其进行模拟，如图5所示。例如，访问模式为eidt和execute的风险值始终高于访问模式为view的风险。因此，由访问模式为view对共享对象所造成的破坏比其它两种访问模式要低，协同平台可能会将高敏感度的数据对象授权给访问模式为view的访问请求者。当前第1页12