本发明涉及网络实体权限管理,具体而言,涉及一种网络实体权限动态调整方法和功能架构。
背景技术:
1、权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。不良的权限管理系统,必然留下系统漏洞,给黑客可趁之机。很多软件可以轻松通过url侵入、sql注入等模式,轻松越权获得未授权数据。甚至对系统数据进行修改、删除,造成巨大损失。
2、目前针对权限管理主要有两种方式:一是基于静态的角色进行权限分配,另一种是将访问资源粗粒度的分为高中低等级别,根据访问主体信任值的变化情况授权其相应等级的资源访问权限。第一种方式依赖对访问主体的身份认证及鉴权过程,且容易导致假冒的访问主体访问资源,带来安全风险;第二种通过对访问主体的信任值进行持续评估,并事先设定某个范围信任值可以访问特定资源,根据信任值的变化情况调整可以访问的资源权限,但此方式调整粒度较粗,无法根据信任值的微小变化进行权限精准调整。
技术实现思路
1、本发明旨在至少解决现有技术中存在依赖对访问主体的身份认证及鉴权过程的方式容易导致假冒的访问主体访问资源,存在安全风险;对访问主体的信任值进行持续评估的方式调整粒度较粗,无法根据信任值的微小变化进行权限精准调整的技术问题之一。
2、为此,本发明第一方面提供了一种网络实体权限动态调整方法。
3、本发明第二方面提供了一种网络实体权限动态调整功能架构。
4、本发明提供的一种网络实体权限动态调整方法,包括:
5、通过调整因子持续对外部输入进行感知,监测网络实体信任值变化情况和场景需求变化情况;
6、网络实体信任值发生变化时,进入基于权限阈值调整环节,针对网络实体访问环境变化情况,对权限阈值进行相应调整,将调整后的权限阈值和变化的网络实体信任值进行比较,若信任值大于调整后的权限阈值,则为网络实体分配相应的资源权限,若信任值小于调整后的权限阈值,则拒绝授权;其中,权限阈值表示网络实体获取权限所需要的最低的信任值;
7、场景需求发生变化时,进入知识库匹配环节,根据权限知识库中对特定场景下特定角色和信任值的授权要求,对匹配的场景进行权限调整。
8、根据本发明上述技术方案的网络实体权限动态调整方法,还可以具有以下附加技术特征:
9、在上述技术方案中,在基于权限阈值调整环节中,采用自适应阈值调节算法对权限阈值进行相应调整;
10、所述自适应阈值调节算法包括:
11、将网络实体信任值的取值范围划分为若干个相等的连续区间,各个区间端点值记为q={q1,q2,…,qm,…},将集合q中的每一个元素定义为初始权限阈值,各个区间的间隔用d表示;
12、对每个初始权限阈值设置2k个区间,为每一个区间设置一个标记值pmi,其中i∈{[-k,k],z},pmi初始值为0;
13、当网络实体信任值时,pmi值增加1;并设置一个累积访问次数s,用于表示在经历s次不含危险操作的访问后,对权限阈值进行一次修改。
14、在上述技术方案中,在经历s次不含危险操作的访问后,对权限阈值进行修改的方法为:
15、
16、其中,qm′表示调整后的权限阈值。
17、在上述技术方案中,在基于权限阈值调整环节中,将每次的授权信息存入权限知识库,所述授权信息包括网络实体身份信息、信任值授权要求和授权结果。
18、在上述技术方案中,所述权限知识库包括典型场景下特定角色和特定信任值的网络实体可以具备的资源权限。
19、在上述技术方案中,所述网络实体包括但不限于用户、设备或服务。
20、本发明还提供了一种网络实体权限动态调整功能架构,,包括:
21、基础支撑层,具有自适应阈值调节算法和权限知识库;其中,所述自适应阈值调节算法用于根据网络实体访问环境变化情况,动态对权限阈值进行自适应调节,所述权限知识库用于记载特定场景下特定角色和信任值的授权要求;
22、功能实现层,通过依托基础支撑层中的自适应阈值调节算法和权限知识库,基于调整因子感知,实现权限阈值的调整和权限知识库的匹配;其中,权限阈值的调整通过对网络实体的访问环境变化情况进行判断,确定是否需要进行权限阈值调整,若需要调整则基于自适应阈值调节算法实现权限阈值的调节生成;权限知识库的匹配基于权限知识库,通过场景匹配实现网络实体相应权限匹配;
23、业务应用层,基于权限阈值调整和权限知识库匹配相结合,实现不同需求下网络实体权限的调整。
24、根据本发明上述技术方案的网络实体权限动态调整功能架构,还可以具有以下附加技术特征:
25、在上述技术方案中,所述自适应阈值调节算法包括:
26、将网络实体信任值的取值范围划分为若干个相等的连续区间,各个区间端点值记为q={q1,q2,…,qm,…},将集合q中的每一个元素定义为初始权限阈值,各个区间的间隔用d表示;
27、对每个初始权限阈值设置2k个区间,记为qmi,为每一个区间设置一个标记值pmi,其中i∈{[-k,k],z},pmi初始值为0;
28、当网络实体信任值时,pmi值增加1;并设置一个累积访问次数s,用于表示在经历s次不含危险操作的访问后,对权限阈值进行一次修改,修改的方法为:
29、
30、其中,qm′表示调整后的权限阈值。
31、在上述技术方案中,所述权限知识库通过专家经验进行构建,包括典型场景下特定角色和特定信任值的网络实体可以具备的资源权限。
32、在上述技术方案中,所述网络实体包括但不限于:用户、设备或服务;所述典型场景包括但不限于防护等级、任务类型。
33、综上所述,由于采用了上述技术特征,本发明的有益效果是:
34、1、本发明针对的权限调整对象不仅仅是用户,而是包含网络空间的用户、设备、服务等网络实体,实现了更大范围的资源访问对象覆盖。
35、2、本发明设计的基于自适应阈值进行权限调整的方式,可有效解决当前信任服务缺乏自适应能力、权限管控相对静态、权限管控粒度粗、权限调整难的问题,能够根据访问环境变化情况自适应调节阈值,进而实现网络实体信任值变化幅度较小时的权限细粒度动态调整。
36、3、本发明设计的基于自适应阈值和知识库相结合的方式进行权限调整,可以满足多样化场景下的权限快速调整需求。
37、本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
1.一种网络实体权限动态调整方法,其特征在于,包括:
2.根据权利要求1所述的网络实体权限动态调整方法,其特征在于,在基于权限阈值调整环节中,采用自适应阈值调节算法对权限阈值进行相应调整;
3.根据权利要求2所述的网络实体权限动态调整方法,其特征在于,在经历s次不含危险操作的访问后,对权限阈值进行修改的方法为:
4.根据权利要求3所述的网络实体权限动态调整方法,其特征在于,在基于权限阈值调整环节中,将每次的授权信息存入权限知识库,所述授权信息包括网络实体身份信息、信任值授权要求和授权结果。
5.根据权利要求1所述的网络实体权限动态调整方法,其特征在于,所述权限知识库包括典型场景下特定角色和特定信任值的网络实体可以具备的资源权限。
6.根据权利要求1所述的网络实体权限动态调整方法,其特征在于,所述网络实体包括但不限于用户、设备或服务。
7.一种网络实体权限动态调整功能架构,其特征在于,包括:
8.根据权利要求7所述的网络实体权限动态调整功能架构,其特征在于,所述自适应阈值调节算法包括:
9.根据权利要求7所述的网络实体权限动态调整功能架构,其特征在于,所述权限知识库通过专家经验进行构建,包括典型场景下特定角色和特定信任值的网络实体可以具备的资源权限。
10.根据权利要求9所述的网络实体权限动态调整功能架构,其特征在于,所述网络实体包括但不限于:用户、设备或服务;