一种基于信任值的动态访问控制方法及其控制系统与流程

1.本发明属于计算机权限管理和访问控制技术领域，特别是涉及一种基于信任值的动态访问控制方法及控制系统。


背景技术：

2.随着访问控制技术的不断革新，在rbac和abac的基本框架上，引入了一些新的访问控制安全方面的元素，更加全面的考虑了在云计算分布式环境下访问控制资源安全的各个方面，其中常见的包括信任度评估、用户行为评估和跨域访问。
3.信任或者信任度是源于社会学中的概念，表示一种依赖关系，是一种很抽象的概念，并没有详细的定义。信用度是对于实体对象的行为进行量化后的一种主观判定，只有行为变现良好的情况下，才会有较好的信任。在访问控制过程中，信用是一个抽象的概念，但是为了做信任的评价和测量，必须将信任量化为信任值即信任度，并且是一个直观的，设定范围的区间值，具体大小可以根据实际的应用场景来设定。且信任度的值是根据环境的变化而产生变化的，用户的操作和信任度变化息息相关。信任度往往还伴随着实时性，即伴随着用户的行为或者操作变化的及时程度，如果不能实时的反应用户的行为，这样的信任度并不能很好的反应用户行为。
4.在云计算分布式环境下，为了防止资源的闲置或者浪费，云中资源或者服务可以向其他域中的用户提供服务，那么在进行访问控制操作时，就会出现本地域操作和跨域操作两种。以openstack云计算管理平台为例，在实现跨域访问操作的时候，除了对用户的用户认证，即用户名和密码的验证，需要增加其他的安全评判条件，例如上面提到的用户信任度等等，利用用户在其他域中的资源访问操作的记录作为参考，跨域操作提供有效的数据，同时可以根据域和域之间的环境特性来判断域之间的相似性，为跨域访问操作的评定和评判加权，同时域和域之间的影响是相互的，用户在非本地域中的访问操作同样会影响其在原域中的信用值，使得访问控制更加细粒度，评判更加精确。
5.现有技术中，openstack仅实现了基本rbac模型，即简单的将用户与角色进行关联以及角色与权限之间的基本映射关系，显然这种访问控制模型是不能满足云计算分布式环境下的访问控制要求。主要有以下几个问题：
6.(1)跨域问题
7.云计算的分布式特点决定了用户的访问操作不可能单一的仅在某个域内完成，用户在某个域中完成了用户认证后登陆并对云中资源进行操作，根据云平台的资源调度和分配，用户可能在本地域登陆后访问的是其他域中的资源，所以需要考虑跨域操作。
8.(2)监控标准单一
9.openstack原生的基于角色的访问控制中每个角色有对应的权限，系统根据用户的信息赋予用户对应的角色，使用户拥有对应的访问权限，但是这样的访问控制有些简单，不能很好的处理复杂的云环境下的访问操作。
10.(3)keystone对象属性单一
11.openstack中的对象属性只有role，user，group，domain，project，属性单一，无法实现完成更细粒度的访问操作监控。
12.因此，现需要增加用户信任度属性相关字段，配合监控用户信任度，同时增加了用户操作行为的监控，保护资源的安全性。


技术实现要素：

13.基于以上问题，本发明公开了一种基于信任值的动态访问控制方法及控制系统。
14.为实现上述目的，本发明提供如下技术方案：
15.一种基于信任值的动态访问控制方法，包括以下步骤：
16.s1、用户ui第k次向系统提出访问请求，系统验证用户身份；
17.s2、系统获取该用户的初始信任值ta(ui)k，所述初始信任值ta(ui)k包括跨域直接信任值t
ak
和域间信任值t
bk
；
18.s3、判断是否满足：ta(ui)k≥ta(rs)，其中ta(rs)为信任值阈值，若不满足，则拒绝该用户继续访问，若满足，则允许该用户进行访问操作，进入s3；
19.s4、判断该初始信任值ta(ui)k所在的初始信任等级，并根据所述初始信任等级赋予用户功能访问权限；
20.s5、系统实时监控用户的操作行为，获取用户行为证据，计算用户的当前信任值ta(rt)k，实时确定用户的当前信任等级，并根据所述当前信任等级分配操作和访问权限；
21.s6、用户在安全和完整的进行一次访问操作之后，系统获取当前信任值并定义为该用户的最终信任值ta(fi)k，用户退出访问操作，其中在第k+1次向系统提出访问请求时，t
ak+1
＝ta(fi)k。
22.优选地，在该用户进行访问操作时，用户的当前信任值ta(rt)k的计算方法为：
23.获取用户行为，并将所述用户行为划分为n个特性，其中每个特性包括若干个证据，取m定义为所述特性中对应证据数量的最大值；
24.将所有证据类型标准化，建立模糊矩阵a＝{a
ij
}n×m，其中0≤a
ij
≤1；
25.采用九级度量法获得初始判断矩阵eq＝(eq
ij
)
mm
；
26.将初始判断矩阵eq转换为模糊一致矩阵q＝(q
ij
)m×m，其中
[0027][0028]
计算第i个特征的m个证据的权重向量w＝(w1，w2，
…
，wm)
t
；
[0029]
根据证据矩阵e＝(e
ij
)n×m和权重矩阵w＝(w
ij
)n，计算b＝e
×wt
，获取矩阵b的对角线上的值，并建立特性评估值矩阵f＝(f1,f2,
…
,fn)；
[0030]
计算用户的当前信任值ta(rt)k，
[0031][0032]
优选地，所述特性至少包括风险特性和性能特性，所述风险特性至少包括客体资源，资源脆弱性和威胁行为。
[0033]
优选地，所述威胁行为至少包括异常行为、违约行为和恶意行为，根据用户操作的
危险严重性判定威胁行为的威胁等级，并根据所述操作威胁等级对所述用户的威胁行为进行标准化取值；
[0034]
所述性能特性的证据数据形式包括百分比形式和固定数值形式，标准化的方法为：针对百分比形式的证据数据形式，则标准化数值取原数值；
[0035]
针对确定数值形式的证据数据形式，将其区分为正向证据、负向证据、固定型证据和区间型证据，并分别进行标准化。
[0036]
优选地，所述域间信任值t
bk
的计算方法为：
[0037]
获取用户访问过的所有云服务商c＝{c1，c2，
…
，cs}，其中第j个云服务商对用户ui的最终信任值为t(cj，ui)，则
[0038][0039]
其中tj为在第j个云服务商中访问成功的次数。
[0040]
优选地，初始信任值ta(ui)k的计算方法为：
[0041]
ta(ui)k＝α
×
t
ak
+β
×
t
bk
[0042]
其中:α+β＝1，α、β分别代表跨域信任值和域间信任值所占的比重。
[0043]
优选地，设定信任等级g＝(1，2，
…
，q)，若tm≤ta(ui)k≤t
m+1
，其中
[0044]
tm、t
m+1
(1≤m≤q－1)为一个等级信任值区间的最小值与最大值，则该用户的信任等级为m。
[0045]
优选地，若用户ui未提出访问需求，则该用户拥有基础查阅权限。
[0046]
本发明还提供一种基于信任值的动态访问控制系统，
[0047]
包括认证子模块、用户行为监控子模块和信任管理子模块；
[0048]
所述认证子模块用于验证用户身份，根据用户的初始信任值ta(ui)k和当前信任值ta(rt)k，判断是否满足信任值阈值，并赋予用户功能访问权限和分配操作权限；
[0049]
所述用户行为监控子模块用于监控用户的访问行为和操作，获取用户行为证据并进行标准化处理；
[0050]
所述信任管理子模块用于根据所述用户行为证据计算并更新所述用户的初始信任值和当前信任值。
[0051]
优选地，所述信任管理子模块包括证据数据库、运算中心和用户管理数据库，所述证据数据库用于获取来自所述用户行为监控子模块的用户行为证据，所述运算中心用于计算并更新所述用户的初始信任值和当前信任值，所述用户管理数据库用于存储所述用户的不同时间子片段内的当前信任度。
[0052]
与现有技术相比，本发明有以下优势：
[0053]
本发明提出了一种基于信任值的动态访问控制方法，在用户登入系统后，会根据用户信息及用户的之前的信任度，进行信用度加权计算，在动态监控时候，不仅仅监控用户信任度，同时增加了用户操作行为的监控，实施多标准监控用户行为。一旦监测到时高危行为，直接强制用户退出系统，保护资源的安全性，而传统方法依然会做信用度累计，所以本文的多标准监控，安全性和实时性更高。
附图说明
[0054]
附图1是本发明一种基于信任值的动态访问控制方法的方法流程图。
具体实施方式
[0055]
为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
[0056]
需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0057]
首先，为方便理解本发明实施例，先介绍一下该技术方案的总体设计思路：
[0058]
用户在登录openstack平台后，系统根据用户信用度确定是否有权限对申请访问的资源进行操作，若权限不足，提示用户并退出，若权限满足，用户可以对客体资源进行相应的访问操作，在操作过程中，系统会动态监控用户行为并计算实时信用度，当用户行为或用户的信用度不满足要求时，将强制用户退出系统。每次操作完成后，系统会根据用户的初始信用度，域间参考信任度和历史信任度进行综合评判，计算用户的最终信用度，保存并做为下次用户登录时的用户信用度。
[0059]
如图1所示，本发明公开了一种基于信任值的动态访问控制方法及控制系统，完整的访问流程为：
[0060]
s1、用户ui第k次向系统提出访问请求，系统验证用户身份；
[0061]
s2、系统获取该用户的初始信任值ta(ui)k，所述初始信任值ta(ui)k包括跨域直接信任值t
ak
和域间信任值t
bk
；
[0062]
其中，跨域直接信任值t
ak
的取值实际上为上一次访问结束的最终信任值ta(fi)
k-1
；所述域间信任值t
bk
的计算方法为：
[0063]
获取用户访问过的所有云服务商c＝{c1，c2，
…
，cs}，其中第j个云服务商对用户ui的最终信任值为t(cj，ui)，则
[0064][0065]
其中tj为在第j个云服务商中访问成功的次数。
[0066]
s3、判断是否满足：ta(ui)k≥ta(rs)，其中ta(rs)为信任值阈值，若不满足，则拒绝该用户继续访问，若满足，则允许该用户进行访问操作，进入下一步骤；
[0067]
s4、判断该初始信任值ta(ui)k所在的初始信任等级，并根据所述初始信任等级赋予用户功能访问权限；
[0068]
s5、系统实时监控用户的操作行为，获取用户行为证据，计算用户的当前信任值ta
(rt)k，实时确定用户的当前信任等级，并根据所述当前信任等级分配操作和访问权限；
[0069]
在该用户进行访问操作时，用户的当前信任值ta(rt)k的计算方法为：
[0070]
获取用户行为，并将所述用户行为划分为n个特性，其中每个特性包括若干个用户行为证据，其中各项证据可通过软硬件检测获得，取m定义为所述特性中对应证据数量的最大值；
[0071]
将所有证据类型标准化，建立模糊矩阵a＝{a
ij
}n×m，其中0≤a
ij
≤1；
[0072]
采用九级度量法获得初始判断矩阵eq＝(eq
ij
)
mm
；为了获得初始判断矩阵eq＝(eq
ij
)
mm
，构建各元素两两之间的比较矩阵，确定在目标中的相对权重，
[0073]
将初始判断矩阵eq转换为模糊一致矩阵q＝(q
ij
)m×m，其中
[0074][0075]
计算第i个特征的m个证据的权重向量w＝(w1，w2，
…
，wm)
t
，其中，
[0076][0077]
根据证据矩阵e＝(e
ij
)n×m和权重矩阵w＝(w
ij
)n，计算b＝e
×wt
，获取矩阵b的对角线上的值，并建立特性评估值矩阵f＝(f1,f2,
…
,fn)；
[0078]
计算用户的当前信任值ta(rt)k，
[0079][0080]
其中wf＝(w
f1
，w
f2
，
…
，w
fn
)是用户行为特性的权重。
[0081]
目前获取用户行为证据的方法主要有：利用已有的入侵检测系统如realsecur、snort等，它们具有入侵检测、行为审计和流量统计等功能，可以检测黑客入侵、糯虫攻击、端口扫描等恶意行为，获取用户非法连接次数，尝试非法越权次数，扫描重要端口次数，平均攻击其他用户次数等行为证据。利用已有的网络流量检测工具如band-widthd等，可以用来检测用户的ip异常率、查看用户的网络状态等行为证据。利用专门的网络数据采集工具如flunk的netflow tracker等，可以实时获取用户网络带宽占用率、用户平均携带病毒数等行为证据。利用服务器自带的审计和跟踪系统产生的系统事件记录如审计记录、系统日志、网络管理日志截获的各种不同的数据包、应用程序日志、以及相应的行为操作记录等。
[0082]
所述特性至少包括风险特性和性能特性，其中所述风险特性至少包括客体资源，资源脆弱性和威胁行为，所述性能特性至少包括内存占用率、响应时间和传输速度。
[0083]
其中针对风险特性，评估的用户行为证据为客体资源，资源脆弱性和威胁行为；云服务商中的客体资源价值表现了客体资源的重要性，与客体资源的等级成正比，重要性越高，等级越高。客体资源等级规定如表1和2所示：
[0084]
表1.客体资源等级表
[0085]
客体资源等级客体资源重要性量化值v1一般重要0-0.1v2重要0.2-0.3
v3较为重要0.4-0.5v4很重要0.6-0.7v5非常重要0.8-0.9
[0086]
表2.客体资源种类表
[0087]
等级资源种类描述1门户资源门户中公告，页面显示等等日常信息2应用软件播放器，日历，记事本等等日常软件3共享资源用户或者租户之间共享的数据资源4系统资源数据库，网络，操作系统等5基础设施存储资源池，服务器资源池等等基础设施
[0088]
资源脆弱性主要是表示云平台中软件或者应用的漏洞，系统后门等等安全隐患。客体资源的越高等级也越高，对资源的威胁越严重，具体情况如表3、表4所示：
[0089]
表3.客体资源脆弱等级表
[0090]
客体资源脆弱等级客体资源脆弱性量化值w1非常脆弱0-0.1w2很脆弱0.2-0.3w3较为脆弱0.4-0.5w4脆弱0.6-0.7w5一般脆弱0.8-0.9
[0091]
表4.客体资源脆弱等级描述表
[0092]
等级描述1对资源的威胁很小，可以忽略2对资源的危害很小3对资源的危害一般严重4对资源的危害很严重5对资源的危害非常严重
[0093]
用户对客体资源的威胁行为主要包括异常行为，违约行为和恶意行为，同样威胁行为越严重，等级越高，具体如表5和表6所示。
[0094]
表5.操作威胁等级表
[0095]
操作危险等级威胁严重性量化值a1非常严重0-0.1a2很严重0.2-0.3a3较为严重0.4-0.5a4影响很小0.6-0.7a5可忽略0.8-0.9
[0096]
表6.用户行为类型表
[0097]
量化值用户行为类型量化值0-0.3恶意行为为资源的高为申请，网络的dns攻击等不安全操作
0.4-0.6违约行为违反用户和云服务商签商的sla协协中约定行为0.7-0.9异常行为主要为行为异常，例如登陆地，ip，非习非操作等
[0098]
所述性能特性至少包括内存占用率、响应时间和传输速度等，其中包括百分比和确定数值两种证据数据形式。
[0099]
假设获取的初始行为证据向量为a＝(a1,a2,a3,
…
,an)，标准化后的行为证据向量为e＝(e1,e2,
…
,en)，标准化规则如下：
[0100]
针对百分比形式的证据数据形式，如内存占用率等，由于该数据已经在[0,1]范围内，则直接定义ei＝ai；
[0101]
针对确定数值形式的证据数据形式，如响应时间和传输速度等，则将其区分为正向证据、负向证据、固定型证据和区间型证据；其中取值越大越好的证据称为正向证据，取值越小越好的证据称为负向证据，取值越接近于某个固定值(设为μi)越好的指标，称为固定型证据；取值越接近或者落入某个固定区间(设为[d
i1
,d
i2
])越好的指标，称为区间型证据，其标准化公式为：
[0102][0103]
初始信任值ta(ui)k的计算方法为：
[0104]
ta(ui)k＝α
×
t
ak
+β
×
t
bk
[0105]
其中:α+β＝1，α、β分别代表跨域信任值和域间信任值所占的比重。
[0106]
设定信任等级g＝(1，2，
…
，q)，若tm≤ta(ui)k≤t
m+1
，其中
[0107]
tm、t
m+1
(1≤m≤q－1)为一个等级信任值区间的最小值与最大值，则该用户的信任等级为m。
[0108]
若用户ui未提出访问需求，则该用户拥有基础查阅权限，可以查阅普通使用者可以查看的资源。
[0109]
s6、用户在安全和完整的进行一次访问操作之后，系统获取当前信任值并定义为该用户的最终信任值ta(fi)k，用户退出访问操作，其中在第k+1次向系统提出访问请求时，t
ak+1
＝ta(fi)k。
[0110]
本发明还提供一种基于信任值的动态访问控制系统，包括认证子模块、用户行为监控子模块和信任管理子模块；
[0111]
所述认证子模块用于验证用户身份，根据用户的初始信任值ta(ui)k和当前信任值ta(rt)k，判断是否满足信任值阈值，并赋予用户功能访问权限和分配操作权限；所述用户行为监控子模块用于监控用户的访问行为和操作，获取用户行为证据并进行标准化处理，用户行为监控子模块监控用户行为时，会动态的判断用户行为是否是违约行为或恶意
行为，若是，直接强制用户退出访问操作。若不是继续监控；所述信任管理子模块用于根据所述用户行为证据计算并更新所述用户的初始信任值和当前信任值。
[0112]
所述信任管理子模块包括证据数据库、运算中心和用户管理数据库，所述证据数据库用于获取来自所述用户行为监控子模块的用户行为证据，所述运算中心用于计算并更新所述用户的初始信任值和当前信任值，所述用户管理数据库用于存储所述用户的不同时间子片段内的当前信任度。
[0113]
本发明中提出改进的基于信任度的访问控制方法及控制装置：用户在非本地域中进行的访问操作后，会记录用户信用度。结合域和域之间关系，将非本地域的信用度通过域间信任度相关系数加成，作为用户在域中的历史信用度计算中推荐信任度参数。在用户登入系统后，会根据用户的之前的信任度，分配不同的值进行信用度加权计算，即在安全操作情况下，当信用度小于用户初始信用度时候的信用度累计会较慢，直至信用度高于初始信用度才会给予正常的信用度累计，与传统方法相比信用度累计较慢；在动态监控用户操作时，会根据用户行为定不同的行为级别并给予不同的信用度加权值，操作危险性越高，信任度衰减越快，同时监控的时间片也会越短。在动态监控时候，不仅仅监控用户信任度，同时增加了用户操作行为的监控，实施多标准监控用户行为。一旦监测到时高危行为，直接强制用户退出系统，保护资源的安全性，而传统方法依然会做信用度累计，所以本文的多标准监控，安全性和实时性更高。
[0114]
以上仅为本发明的实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些均属于本发明的保护范围。