一种基于用户行为的跨云认证服务方法

一种基于用户行为的跨云认证服务方法
【专利摘要】本发明提供了一种基于用户行为的跨云认证服务方法，主要包括以下步骤：用户行为数据收集，基于用户行为的用户信任管理，提供基于用户行为的身份认证服务。该认证服务方法针对云计算模式下用户和服务提供商的互信问题，从用户行为分析、用户行为学习和用户行为认证等多个方面给出处理方案，从而构建一种基于用户行为的跨云认证服务方法。通过收集用户在不同云服务平台下的行为，对用户的总体信任度进行评估，解决用户在不同公有云之间信任度的差异性问题，为跨多个云服务平台的用户进行访问控制时提供可靠依据，同时针对用户身份可信而行为不一定可信的问题，提供根据用户在不同云服务平台的行为对用户进行身份认证的解决方法，为云应用系统提供可信的安全保障基础设施。
【专利说明】—种基于用户行为的跨云认证服务方法

【技术领域】
[0001]本发明提供了一种基于用户行为的云认证服务方法，属于云服务安全认证领域。

【背景技术】
[0002]云计算是一种基于互联网的计算泛型，能够向各种互联网应用提供硬件服务、基础架构服务、平台服务、软件服务、存储服务等。在云计算模式中，数据存储在云端，应用和服务存储在云端，充分利云端计算能力，满足用户业务需求。云计算在推广和应用过程中，安全风险问题受到各方重视。云计算安全防护包括权限控制、认证服务、安全审计、配置管理等安全基础服务。云用户和云服务提供商之间的信任问题是云计算发展关注的关键问题之一。从云用户的角度，由于缺乏对数据、设备和环境的可控性导致对云服务提供者的不信任；从云服务提供者的角度，为了将不安全因素从用户端源头进行有效控制，必须对用户的身份、行为等进行审核。云服务平台是一种基于云计算基础设施架构并通过互联网为用户提供按需资源(包括计算、存储、网络、软件等)的服务平台。为了实现云终端用户和云服务提供者的互信，需要通过认证机制加以保障。现有不少身份认证的静态信任机制能解决用户在单个云服务平台中的身份认证的问题，但是，用户可能会使用多个不同的云服务平台，当用户信息遭到泄露时，可能会导致多个云服务平台被非法访问。本发明从用户在不同云服务平台的行为着手，提出了基于用户行为的跨云认证服务，以适应降低合法身份用户对云服务平台资源非法访问风险的需求，其特点是能够避免多个云服务平台被同一合法身份用户的非法访问。


【发明内容】

[0003]本发明所要解决的技术问题是:克服现有技术对合法身份的恶意用户一直隐藏身份进行危害行为的预防不足以及由于用户交互行为数据不足而导致信任评估结果不具有稳定性和代表性等不足，提供一种安全可靠的身份认证方法和机制，以解决用户与多个不同云服务平台的身份认证问题，并收集用户在不同云服务平台的用户交互行为，提供可靠的用户行为信用评估，同时能够降低合法身份用户对云服务平台资源的非法访问的风险。
[0004]本发明的基于用户行为的跨云认证服务方法，实施步骤包括:用户行为数据的收集、基于用户行为信用管理和提供基于用户行为的身份认证服务。
[0005]所述用户行为数据收集步骤实现过程如下:
[0006](11)提供服务器日志的分析接口，通过分析服务器日志文件获取有用的数据，为不同服务器格式的日志文件提供相应类型的日志解析接口 ；
[0007](12)制定统一的用户行为数据格式，将日志文件的解析结果转换成统一的格式；
[0008](13)各云服务平台调用数据处理接口，传送用户行为数据给用户行为数据收集模块；
[0009](14)用户行为数据收集模块将接收到的用户行为数据进行相应的处理操作(如数据清洗，删除无用或者冗余的数据)，从而得到能够真实反应用户身份合法性的有效用户行为数据，并按照用户进行归类，将最终的用户行为数据存入数据库中；
[0010](15)用户行为数据收集模块将定期对行为数据库中的历史数据进行管理，包括清理时效性较高的行为数据、删除过期无用的历史用户行为数据，从而为下一步骤信任管理提供有效数据输入，提高对用户信任管理的效率。
[0011]所述基于用户行为的用户信任管理步骤实现过程如下:
[0012](21)将用户行为数据进行聚类，根据每一类的用户行为进行分析，判断每一类行为对用户信用的影响，给定每一类行为一个权值以代表该类行为对用户信用的影响程度，获得一个表示所有用户行为对用户信用度影响的权值表；
[0013](22)对每个用户读取用户行为数据库中的用户行为数据，按照之前的聚类标准，用一个行为集合表示用户的行为，同时查找用户行为权值表，生成该用户对应的行为权值集合，表明用户在各种云服务平台下的用户行为以及用户行为影响；
[0014](23)将用户行为集合以及行为权值集合作为输入数据，根据信用度评估模型，计算出每个用户基于用户行为最新的信用度，即是综合用户在各云服务平台下的用户行为数据得出的总体信任度，从而得到一个总体信用度列表；
[0015](24)将用户行为总体信用度列表推送给本验证服务方法提供接口的云服务平台；
[0016](25)对用户行为数据有更新的用户重新计算用户总体信用度，将有效的用户数据再进行步骤(21)、(22)的操作，将用户行为的集合以及行为权值集合作为数据输入，根据信用度评估模型，计算出该用户的新总体信用度，并与原来的总体信用度作对比:
[0017]a、若总体信用度波动比较大(根据信用度评估模型的输出结果，用户的信任级别发生改变)，则将用户的基本信息及新信用度添加到用户总体信用度更新列表，并将该列表推送给本验证服务方法提供接口的可信云服务平台；
[0018]b、若用总体户信用度波动不大(根据信用度评估模型的输出结果，用户的信任级别未改变)，则将用户的最新总体信用度进行保存，由本身份验证服务接口定期推送最新信用度给本验证服务方法提供接口的可信云服务平台。
[0019]所述步骤(25)中的信用度评估模型实现步骤如下:
[0020](251)从用户行为数据库中读出用户行为数据，为每个用户生成一个行为集合A=(A1, A2, A3, *.., Ai,…AJ , Ai 表不一种行为；
[0021](252)根据行为集内每个行为的特征信息，如该行为发生的时间、该行为本身对用户信任的影响特点等，动态地生成一个与行为集对应的行为权重集合P = (P1, P2, P3,…，Pi,…PJ，Pi表示对应该用户行为Ai对该用户信任度的影响程度；
[0022](253)设定用户最终的信任级别集R = (RijR2jR3, R4, R5I，对应的含义为{不信任，弱?目任，一般?目任，?目任，完全?目任}；
[0023](254)将行为集A与权重集P作为输入，利用模糊聚类和信息熵等方法建立数学模型，输出信任度；
[0024](255)将信任度与信任级别集相对应，如果信任度为O?0.1则为不信任，如果信任度为0.1?0.35为弱信任，如果信任度为0.35?0.5为一般信任，0.5?0.85为信任，
0.85?I为完全信任。
[0025]所述基于用户行为的身份认证步骤实现过程如下:
[0026](31)为云服务平台提供用户认证接口，使平台能够接受身份认证的请求；
[0027](32)云服务平台数据收集接口接收用户的最新行为数据，之后对用户行为数据进行分析与处理；
[0028](33)按照用户读取行为数据库中的指定用户行为历史数据以及历史身份验证结果，同时对数据进行分类与整理；
[0029](34)将用户的历史行为数据以及历史身份认证结果作为输入样本，基于机器监督学习进行训练学习从而得出用户行为认证策略；
[0030](35)将用户的最新行为数据作为基于历史行为数据的行为认证策略的输入，最终输出身份认证结果；
[0031](36)将用户的身份认证结果返回给云服务平台。
[0032]本发明与现有技术相比的优点在于:
[0033](I)本发明提供了用户行为收集方法，为不同的云服务平台提供了可用的用户行为获取和分析方法。
[0034](2)本发明通过收集用户在不同云服务平台的用户行为数据并进行分析，得到总体的用户信用度，为跨多个云服务平台提供可靠的行为认证和访问控制依据，针对用户身份可信的而其行为不一定是可信的安全风险进行防御，从而同时提升多个云服务平台的安全性保障。
[0035](3)本发明通过提供跨多个云服务平台的用户行为数据，能弥补单个云服务平台基于自身收集用户行为数据的片面性问题。

【专利附图】

【附图说明】
[0036]图1为本发明基于用户行为的身份认证服务的认证过程；
[0037]图2为本发明用户行为数据收集的实现过程；
[0038]图3为本发明用户信任管理实现过程。

【具体实施方式】
[0039]下面结合附图对本发明进行详细说明
[0040]如图1所示，本发明基于用户行为的身份认证服务的整个认证过程如下:
[0041](I)通过为各云服务平台提供用户认证接口接受身份认证的请求；
[0042](2)获取用户的最新行为数据，向云服务平台发送收集指定用户的最新行为数据请求，各云服务平台分析该用户最新的交互行为并提取出其实时行为数据并用作此用户身份合法性判断依据，将用户的实时行为数据推送给用户认证接口模块，接口对接收到的用户行为数据进行分析与处理；
[0043](3)用户认证模块按照用户读取行为数据库中指定用户行为历史数据，同时对数据按照行为类型以及对用户身份合法性的影响进行分类与整理；
[0044](4)将用户的历史行为数据以及历史身份认证结果作为样本，进行基于机器监督学习的训练和学习，确定适应该用户的认证策略函数的参数值，即得出该用户此时最具稳定性和代表性的基于用户行为数据并用于判断用户身份合法性的认证策略；
[0045](5)将用户的最新行为数据作为基于历史行为数据的行为认证策略函数的输入，该函数的输出结果即用户的身份认证结果(“认证成功”或“认证失败”);
[0046](6)将用户的身份认证结果返回给云服务平台。
[0047]用户行为数据收集分析过程如图2所示:
[0048](I)从各云服务平台中获取服务器的日志文件，加载这些日志文件到用户行为数据收集模块，为不同类型的服务器产生的日志文件提供不同的解析接口 ；
[0049](2)解析接口读取日志文件中的一条记录；
[0050](3)对该条记录进行解析，提取该条记录中的用户行为数据；
[0051](4)判断该条用户行为数据对用户身份合法性的判断是否有效，若有效则进行进入下一个步骤，若无效则丢弃该行为数据，跳转到步骤(2)读取下一条日志；
[0052](5)将该条有效的行为数据进行数据清理及删除冗余等处理；
[0053](6)将得到的用户行为数据存入数据库中；
[0054](7)判断日志文件是否分析完，若是则解析完成，结束本过程；否则，转入步骤(2)继续分析未处理的日志文件。
[0055]用户信任管理实现过程如图3所示:
[0056](I)获取用户列表；
[0057](2)按照用户读取数据库中在所有云服务平台的用户行为数据；
[0058](3)按照聚类标准，生成用户行为集合来表示用户的行为，即集合A= {A1； A2,A3,…，Ai,…AJ，其中Ai表不一种行为；
[0059](4)生成该用户的一个对应行为权值集合，即集合P = {P1;P2，P3，-,Pi, -PJ,Pi表示该用户行为Ai对该用户总体信任度的影响程度；
[0060](5)将用户行为的集合以及行为权值集合作为数据输入，根据信用度评估模型，计算出每个用户的总体信用度，根据用户的总体信任度得出用户的总体信任级别，即信任集合R = {R1; R2, R3, R4, R5I，对应的含义为{不信任，弱信任，一般信任，信任，完全信任}；
[0061](6)将新的总体信用度以及用户的总体信任级别存储到用户信任度管理数据库中，并对信任度的历史数据进行管理，用于显示用户的历史总体信任度的波动情况，并作为一类特殊的用户行为数据配合普通用户行为数据对用户身份的合法性的动态判断；
[0062](7)对用户总体信用度的波动大小进行判断，若用户的总体信用度对应的总体信任级别发生变化，那么就是总体信用度波动较大，反之，则属于总体信用度波动较小；
[0063](8)若总体信用度波动比较大，则将用户的基本信息及新总体信用度添加到用户总体信用度实时更新列表，并将更新的总体信用度列表推送给本验证服务方法提供接口的可信云服务平台；若用户的总体信用度波动不大，则将用户的最新总体信用度进行保存，等待本身份验证服务接口定期推送最新总体信用度给本验证服务方法提供接口的可信云服务平台；
[0064](9)若所有用户都评估完成，则进入下一个步骤；否则，转入步骤(2)继续对下一个用户的用户行为数据进行分析；
[0065](10)将用户行为总体信用度列表推送给与本身份认证平台相互信任的所有云服务平台；
[0066](11)信用度评估结束。
【权利要求】
1.一种基于用户行为的跨云认证服务方法，其特征在于包括:用户行为数据的收集步骤、基于用户行为信任管理步骤和提供基于用户行为的身份认证服务步骤； 所述用户行为数据收集步骤实现过程如下: (11)提供不同类型服务器日志的分析接口，通过分析服务器日志文件获取有用的数据，为不同服务器的不同日志文件提供相应类型格式的解析接口； (12)制定统一的用户行为数据格式，将日志文件的解析结果转换成制定的标准格式； (13)各云服务平台调用数据处理接口，传送用户行为数据给本发明提出的用户行为数据收集模块； (14)用户行为数据收集模块将接收到的用户行为数据进行相应的处理操作(如数据清洗，删除无用或者冗余的数据)，从而得到能够真实反应用户身份合法性的有效用户行为数据，并按照用户进行归类，将最终的用户行为数据存入数据库中； (15)用户行为数据收集模块将定期对行为数据库中的历史数据进行管理，包括清理时效性较高的用户行为数据，删除过期无用的历史用户行为数据，从而为下一步骤信任管理提供有效数据输入，进而提高对用户信任管理的效率； 所述基于用户行为的用户信任管理步骤实现过程如下: (21)将用户行为数据进行聚类，根据每一类的用户行为进行分析，判断每一类行为对用户信用的影响，给定每一类行为一个权值以代表该类行为对用户信用的影响程度，最终得出一个能简单明了表示出所有用户行为对用户信用度影响的权值表； (22)根据用户读取数据库中的用户行为数据，按照之前的聚类标准，用一个行为集合来表示用户的行为，同时查找步骤(21)得出的用户行为权值表，生成该用户对应的行为权值集合，表明用户在各种云服务平台下的用户行为以及用户行为影响； (23)将用户行为的集合以及行为权值集合作为初始数据输入，根据信用度评估模型，计算出每个用户基于用户行为最新的信用度，即是综合用户在各云服务平台下的用户行为数据得出的总体信任度，从而得到一个总体信用度列表； (24)将用户行为总体信用度列表推送给本验证服务方法提供接口的可信云服务平台； (25)对用户行为数据有更新的用户进行重新计算用户总体信用度，将有效的用户数据再进行步骤(21)、(22)的操作，将用户行为的集合以及行为权值集合作为数据输入，根据信用度评估模型，计算出该用户的新总体信用度，并与原来的总体信用度作对比: a、若用户总体信用度波动比较大，则将用户的基本信息及新总体信用度添加到用户总体信用度更新列表，并将该更新总体信用度列表推送给本验证服务方法提供接口的可信云服务平台； b、若用户的总体信用度波动不大，则将用户的最新总体信用度进行保存，等待本身份验证服务接口定期推送最新总体信用度给本验证服务方法提供接口的可信云服务平台； 所述基于用户行为的身份认证步骤实现过程如下: (31)为云服务平台提供用户认证接口，使平台能够接受身份认证的请求； (32)云服务平台数据收集接口接收用户的最新行为数据，之后对用户行为数据进行分析与处理； (33)按照用户读取行为数据库中的指定用户行为历史数据以及历史身份验证结果，同时对数据进行分类与整理； (34)将用户的历史行为数据以及历史身份认证结果作为输入样本，基于机器监督学习进行训练学习从而得出用户行为认证策略； (35)将用户的最新行为数据作为基于历史行为数据的行为认证策略的输入，最终输出身份认证结果； (36)将用户的身份认证结果返回给云服务平台。
2.根据权利要求1所述的基于用户行为的跨云认证服务方法，其特征在于:步骤(25)中的信用度评估模型实现步骤如下: (251)用户的行为数据从行为数据库中读出，用户生成一个行为集合A= {A1； A2,A3,...，Ai,…AJ , Ai表不一种行为； (252)根据行为集内每个行为的特点，如该行为发生的时间、该行为本身对用户信任的影响特点等，动态地生成一个与行为集对应的行为权重集合P = (P1,P2,P3,…，Pi,…PJ，Pi表示对应该用户行为Ai对该用户信任度的影响程度； (253)设定用户最终的信任级别集R= (R1, R2, R3, R4，R5K对应的含义为{不信任，弱?目任，一般?目任，/[目任，完全/[目任}； (254)然后将行为集A与权重集P作为输入，利用模糊聚类和信息熵等方法建立数学模型，输出信任度； (255)将信任度与信任级别集相对应，如果信任度为O?0.1则为不信任，如果信任度为0.1?0.35为弱信任，如果信任度为0.35?0.5为一般信任，0.5?0.85为信任，0.85?I为完全信任。
【文档编号】H04L29/08GK104202339SQ201410493582
【公开日】2014年12月10日 申请日期:2014年9月24日 优先权日:2014年9月24日
【发明者】陈宁江, 朱莉蓉, 黄汝维, 谭瑛, 何子龙, 李湘, 贾炅昊 申请人:广西大学