一种用户访问控制方法、系统及电子设备与流程

本说明书实施例涉及信息安全，尤其涉及一种用户访问控制方法、系统及电子设备。

背景技术：

1、在信息化的社会中，信息交互发生的频次越来越多，然而随着信息和数据访问需求的增加，人们对数据的安全和私有性越来越关注，因此在现在的社交网络中，对数据进行访问控制处理尤其重要。传统的访问控制就是拿数据请求方的社交属性进行访问控制策略验证，满足验证的数据请求方才能通过访问控制。

2、零信任安全是在网络发展的历程中由需求推动产生。sdp(software definedperimeter，软件定义边界)是由云安全联盟(cloudsecurity alliance，csa)开发的一种安全框架。sdp作为零信任概念的扩展，可以抑制威胁并减少攻击面，防止基于网络及利用应用程序漏洞的攻击。

3、sdp防护架构将资源隐藏在sdp网关后面且sdp网关不可见。所有发起访问的客户端需要在策略中心(sdp控制器)通过单包认证(single packet authorization,spa)后，sdp控制器确定客户端可以连接的网关并通知网关接收来自客户端的通信，客户端向每个可接受连接的网关发起单包授权并创建与这些网关的双向加密连接，然后基于双向加密连接访问业务。

技术实现思路

1、有鉴于此，本说明书实施例提供了一种用户访问控制方法、系统及电子设备，用于解决现有技术中传统的访问控制方法在实际应用中存在一定的局限性的问题。

2、本说明书实施例采用下述技术方案：

3、本说明书实施例提供一种用户访问控制方法，所述用户访问控制方法应用于基于区块链网络的sdp系统，所述方法包括：

4、采集用户在访问资源服务器时的访问数据，所述资源服务器为向用户提供业务资源的区块链节点，所述访问数据包括所述用户在通过终端设备节点首次访问所述资源服务器时的可信认证数据；

5、对所述访问数据进行特征提取，得到所述用户对应的访问特征数据；

6、通过对所述访问特征数据进行分析处理，识别所述用户的正常行为模式和异常行为模式；

7、根据所述正常行为模式和异常行为模式计算所述用户的行为相似度和行为可信度；

8、利用所述行为相似度和所述行为可信度生成所述用户对应的动态访问控制策略，使得所述终端设备节点根据所述动态访问控制策略执行对应的访问控制操作。

9、优选的，所述访问数据是用户在访问资源服务器时的行为数据，以及用户注册信息、用户登录数据。

10、优选的，所述访问数据还包括所述用户的历史行为数据，所述历史行为数据用于判断所述用户的访问行为是否异常。

11、优选的，对所述访问数据进行特征提取，包括：

12、对所述访问数据进行预处理；

13、将预处理后的数据转换为机器学习算法可用的特征向量，得到访问特征数据。

14、优选的，所述特征向量包括用户特征、时间型特征、空间特征、操作特征和历史行为特征。

15、优选的，对所述访问数据进行预处理，具体包括：

16、对所述访问数据依次进行数据清洗、特征选择和特征提取，得到访问特征数据。

17、优选的，通过对所述访问特征数据进行分析处理，识别所述用户的正常行为模式和异常行为模式，具体包括：

18、将所述访问特征数据中的历史行为特征一一进行分析比较，得到分析结果；

19、根据所述分析结果识别判断所述用户的正常行为模式和异常行为模式。

20、优选的，将所述访问特征数据中的历史行为特征一一进行分析比较，包括：

21、将所述用户两次登录时间之间的操作行为记录为一组历史行为数据，分别提取每组历史行为数据的历史行为特征；

22、通过比较每组历史行为特征来识别判断所述用户的正常行为模式和异常行为模式。

23、优选的，根据所述正常行为模式和异常行为模式计算所述用户的行为相似度，具体包括：

24、计算每组所述历史行为特征之间的单一特征相似度；

25、根据所述单一特征相似度计算所述用户的行为相似度。

26、优选的，根据所述正常行为模式和异常行为模式计算所述用户的行为可信度，具体包括：

27、计算所述用户当前的访问行为特征与所述历史行为特征对于各个单一特征之间的偏离程度；

28、根据所述偏离程度计算所述用户的行为可信度，所述行为可信度是指用户当前的访问行为是可信的访问行为的程度。

29、优选的，利用所述行为相似度和所述行为可信度生成所述用户对应的动态访问控制策略，包括：

30、根据机器学习算法对对所述行为相似度和所述行为可信度进行训练，得到训练结果；

31、根据所述训练结果动态生成所述用户对应的动态访问控制策略。

32、本说明书实施例还提供一种用户访问控制系统，所述用户访问控制系统为基于区块链网络的sdp系统，所述系统包括：

33、采集模块，采集用户在访问资源服务器时的访问数据，所述资源服务器为向用户提供业务资源的区块链节点，所述访问数据包括所述用户在通过终端设备节点首次访问所述资源服务器时的可信认证数据；

34、特征提取模块，对所述访问数据进行特征提取，得到所述用户对应的访问特征数据；

35、特征分析模块，通过对所述访问特征数据进行分析处理，识别所述用户的正常行为模式和异常行为模式；

36、计算模块，根据所述正常行为模式和异常行为模式计算所述用户的行为相似度和行为可信度；

37、策略生成模块，利用所述行为相似度和所述行为可信度生成所述用户对应的动态访问控制策略，使得所述终端设备节点根据所述动态访问控制策略执行对应的访问控制操作。

38、本说明书实施例还提供一种电子设备，包括至少一个处理器及存储器，存储器存储有程序，并且被配置成至少一个处理器执行以下步骤：

39、采集用户在访问资源服务器时的访问数据，所述资源服务器为向用户提供业务资源的区块链节点，所述访问数据包括所述用户在通过终端设备节点首次访问所述资源服务器时的可信认证数据；

40、对所述访问数据进行特征提取，得到所述用户对应的访问特征数据；

41、通过对所述访问特征数据进行分析处理，识别所述用户的正常行为模式和异常行为模式；

42、根据所述正常行为模式和异常行为模式计算所述用户的行为相似度和行为可信度；

43、利用所述行为相似度和所述行为可信度生成所述用户对应的动态访问控制策略，使得所述终端设备节点根据所述动态访问控制策略执行对应的访问控制操作。

44、本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果：

45、通过对采集的用户的访问数据进行特征提取，对得到的访问特征数据进行分析处理，识别用户的正常行为模式和异常行为模式，以此计算用户的行为相似度和行为可信度，从而可以生成用户对应的动态访问控制策略，使得终端设备节点可以根据动态访问控制策略执行对应的访问控制操作。

46、这样，可以通过对用户行为的实时分析，提取用户各种类型的访问特征，通过对各种类型的访问特征的综合分析，实现对访问权限的动态调整，避免单一考虑部分访问特征，而造成用户访问控制的局限性，提高访问控制的准确性和安全性，具有较强的适应性和可扩展性，可应用于各种复杂的应用场景，为信息安全领域提供了一种有效的访问控制手段。