CN111865885B - 一种访问控制方法、装置、设备及存储介质 - Google Patents

一种访问控制方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN111865885B
CN111865885B CN201910363773.9A CN201910363773A CN111865885B CN 111865885 B CN111865885 B CN 111865885B CN 201910363773 A CN201910363773 A CN 201910363773A CN 111865885 B CN111865885 B CN 111865885B
Authority
CN
China
Prior art keywords
login account
security level
behavior data
determining
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910363773.9A
Other languages
English (en)
Other versions
CN111865885A (zh
Inventor
袁刘
蒋礼青
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Suzhou Software Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201910363773.9A priority Critical patent/CN111865885B/zh
Publication of CN111865885A publication Critical patent/CN111865885A/zh
Application granted granted Critical
Publication of CN111865885B publication Critical patent/CN111865885B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例公开了一种访问控制方法、访问控制装置、设备及存储介质。所述访问控制方法包括:获取登录账号的行为数据;根据所述登录账号对应的历史行为数据和所述行为数据,确定所述登录账号的安全级别;根据所述安全级别,确定所述登录账号的访问权限;如此,能够根据行为数据动态调整登录账号的访问权限,避免在登录账号发生异常或者行为数据存在风险的情况下造成的损失。

Description

一种访问控制方法、装置、设备及存储介质
技术领域
本申请实施例涉及计算机技术领域,涉及但不限于一种访问控制方法、装置、设备及存储介质。
背景技术
在相关技术中,Openstack云平台的访问控制模型利用了标准的基于角色访问控制(Role-based Access Control,RBAC)模型。因其通过角色授予访问权限,将访问权限与用户分离,使授权工作简单、灵活。
用户通过认证后,便拥有全部访问权限。随着云计算广泛的应用,云平台的安全性也日趋重要。当发生用户账号被盗或者用户误操作操作时,用户的计算、存储等资源会完全暴露,可能会被盗取或者破坏,造成无法弥补的财产损失。
发明内容
本申请实施例提供一种访问控制方法、装置、设备及存储介质。
本申请实施例的技术方案是这样实现的:
本申请实施例提供了一种访问控制方法,所述方法包括:
获取登录账号的行为数据;
根据所述登录账号对应的历史行为数据和所述行为数据,确定所述登录账号的安全级别;
根据所述安全级别,确定所述登录账号的访问权限。
本申请实施例还提供了一种访问控制装置,所述装置包括:获取模块、第一确定模块和第二确定模块;其中,
所述获取模块,用于获取登录账号的行为数据;
所述第一确定模块,用于根据所述登录账号对应的历史行为数据和所述行为数据,确定所述登录账号的安全级别;
所述第二确定模块,用于根据所述安全级别,确定所述登录账号的访问权限。
本申请实施例还提供了一种访问控制设备,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器;其中,所述处理器用于运行所述计算机程序时,执行应用于终端设备的上述方案中所述访问控制方法中的步骤。
本申请实施例还提供了一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现应用于终端设备的上述方案中所述访问控制方法中的步骤。
本申请实施例所提供的访问控制方法、装置、设备及存储介质,获取登录账号的行为数据;根据所述登录账号对应的历史行为数据和所述行为数据,确定所述登录账号的安全级别;根据所述安全级别,确定所述登录账号的访问权限;如此,能够根据行为数据动态调整登录账号的访问权限,避免在登录账号发生异常或者行为数据存在风险的情况下造成的损失。
附图说明
图1为本申请实施例的访问控制方法的一种实现流程示意图;
图2为本申请实施例的访问控制装置的一种组成结构示意图;
图3为本申请实施例的访问控制方法的又一种实现流程示意图;
图4为本申请实施例的访问项目、角色、访问权限及安全级别的对应关系示例图;
图5为本申请实施例的访问控制方法的具体实现流程示例图;
图6为本申请实施例的访问控制装置的又一种组成结构示意图;
图7为本申请实施例的访问控制设备的一种硬件装置示意图。
具体实施方式
下面结合附图及具体实施例对本申请作进一步详细的说明。
图1为本申请实施例中的访问控制方法的一种实现流程示意图,如图1所示,该方法包括以下步骤:
步骤101:获取登录账号的行为数据;
用户通过终端对服务器进行访问的过程中,用户使用登录账号登录服务器,登录成功后,用户通过终端与服务器进行会话,服务器获取该登录账号在上述访问过程中的行为数据。这里,访问过程包括两方面:登录过程和会话过程。
这里,行为数据可包括两方面:登录信息和会话信息。其中,登录信息为用户使用登录账号在服务器上进行登录过程中的信息,比如:登录设备标识、登录时间、登录地点和认证方式等。会话信息为登录成功后会话过程中的信息,比如:区域停留时间、鼠标点击的频率、滚屏速度、鼠标移动速度、网络环境信息等。
步骤102:根据所述登录账号对应的历史行为数据和所述行为数据,确定所述登录账号的安全级别;
服务器以登录账号为索引获取该登录账号的历史行为数据。其中,历史行为数据为该登录账号在本次登录之前登录服务器时,对服务器进行访问时所获取的行为数据。服务器可以将所获取的该登录账号的历史行为数据存储,在需要对历史行为数据进行处理时,再从本地获取登录账号的历史行为数据。
这里,获取登录账号的行为数据后,将获取的行为数据与登录账号的历史行为数据进行比较,确定登录账号的安全级别。比如:以行为数据为登录地点为例,如果获取的登录地点为M1,历史登录地点包括M1、M2、M3,可见,历史登录地点包括获取的登录地点,说明登录账号为正常登录,登录账号的安全级别为A。
其中,登录账号的安全级别可包括多个级别,为了便于理解,以安全级别包括:A、B、C、D为例进行说明,其中,A、B、C、D的级别依次降低,不同的安全级别表征的登录状态不同,比如:安全级别A表征登录账号正常登录,安全级别D表征登录账号异常登录。
步骤103:根据所述安全级别,确定所述登录账号的访问权限。
这里,不同的安全级别对应不同的访问权限,在根据安全级别确定该安全级别对应的访问权限时,高的安全级别对应的访问权限可包括低的安全级别对应的访问权限。比如:安全级别A对应访问权限1,安全级别B对应访问权限2,安全级别C对应访问权限3,安全级别D对应访问权限4,当登录账号的安全级别为B时,可以确定登录账号的访问权限包括访问权限2、访问权限3、访问权限4。
在本申请实施例中,获取登录账号的行为数据;根据所述登录账号对应的历史行为数据和所述行为数据,确定所述登录账号的安全级别;根据所述安全级别,确定所述登录账号的访问权限;如此,能够根据行为数据动态调整登录账号的访问权限,避免在登录账号发生异常或者行为数据存在风险的情况下造成的损失。
本申请实施例中还提供一种访问控制方法,该方法包括以下步骤:
步骤21:获取登录账号的行为数据;
其中,步骤21参见上述实施例中的步骤101。
步骤22:获取所述登录账号的历史行为数据;
所获取的历史行为数据可以为经过基于密度峰值的空间聚类算法(Clusteringby Fast Search and Find of Density Peaks,CFSFDP)处理后的数据。经过CFSFDP处理后的历史行为数据形成一个聚类区域,该聚类区域具有类中心点和边界区域点集。在服务器中,以登录账号为索引对历史行为数据进行保存。
步骤23:确定所述行为数据与所述历史行为数据之间的相似度;
其中,不同的相似度表征不同的含义,为了便于理解,以不同的相似度分别表征:完全相似、大部分相似、少部分相似、完全不相似为例进行说明。
这里,获取登录账号的行为数据和历史行为数据后,将获取的行为数据与登录账号的历史行为数据进行比较,确定行为数据与历史行为数据之间的相似度。比如:以行为数据为登录地点为例,如果获取的登录地点为M1,历史登录地点的聚类区域为En,其中,M1、M2、M3为En中的登录地点,可见,当前登录地点和历史登录地点完全相似;又比如:以行为数据为登录地点为例,如果获取的登录地点为M4,历史登录地点的聚类区域为En,其中,M1、M2、M3为En中的登录地点,可见,当前登录地点和历史登录地点完全不相似。
步骤24:根据所述相似度,确定所述登录账号的安全级别;
在实际应用中,相似度与登录账号的安全级别之间可存在对应关系。比如:不同的相似度分别表征:完全相似、大部分相似、少部分相似、完全不相似;登录账号的安全级别包括:A、B、C、D;如果相似度表征完全相似,对应的登录账号的安全级别为A;如果相似度表征大部分相似,对应的登录账号的安全级别为B;如果相似度表征少部分相似,对应的登录账号的安全级别为C;如果相似度表征完全不相似,对应的登录账号的安全级别为D。同上例,比如,当前登录地点和历史登录地点完全相似,则登录账号的安全级别为A;又比如:当前登录地点和历史登录地点大部分相似,则登录账号的安全级别为B。
步骤25:根据所述安全级别,确定所述登录账号的访问权限。
其中,步骤25参见上述实施例中的步骤103。
在本申请实施例中,能够根据行为数据和历史行为数据,确定两者之间的相似度,根据相似度确定登录账号的安全级别。
本申请实施例中还提供一种访问控制方法,该方法包括以下步骤:
步骤31:获取登录账号的行为数据;
步骤32:获取所述登录账号的历史行为数据;
其中,步骤31至步骤32分别参见上述实施例中的步骤21至步骤22。
步骤33:确定所述行为数据与所述历史行为数据之间的行为距离;
这里,确定行为数据与历史行为数据之间的行为距离时,可采用闵可夫斯基衡量标准,闵可夫斯基衡量标准的计算公式如公式(1)所示:
Figure BDA0002047603690000061
其中,dq(xi,xj)表征xi、xj之间的行为距离,xi、xj分别表征历史行为数据、行为数据,q>0,D是空间的维数,k表征第k维空间,i≥0,j≥0,xik、xjk表征第k维空间中的两个行为数据点。
步骤34:根据所述行为距离,确定所述行为数据与所述历史行为数据之间的相似度;
这里,根据行为距离,确定行为数据与历史行为数据之间的相似度时,可执行以下步骤:
1、确定行为数据的聚类区域的截断距离;
2、确定历史行为数据的聚类区域的截断距离;
需要说明的是,行为数据的聚类区域的截断距离、历史行为数据的聚类区域的截断距离可根据实际情况进行预设。
3、根据行为数据的聚类区域的截断距离和历史行为数据的聚类区域的截断距离,确定两者之中最小的截断距离;
4、分别确定行为数据的聚类区域中的数据点个数N1,历史行为数据的聚类区域中的数据点个数N2
5、确定N1和N2的乘积M(N1,N2);
6、将行为距离dq(xi,xj)除以M(N1,N2)得到的结果,与最小的截断距离进行比较,确定行为数据与所述历史行为数据之间的相似度。
下面举例来说明确定行为数据与历史行为数据之间的相似度的方法:
假如一登录账号的历史行为数据的聚类区域为EA,pi为EA中的数据点,q为登录账号的当前登录信息数据点,所以EB=q,Dist{p,q}表示p和q之间的闵可夫斯基距离,∑ijDist{pi,qj}表征行为数据与历史行为数据之间的行为距离,历史行为数据的边界区域中的数据点个数为NA,行为数据边界区域中的数据点个数为NB=1,如公式(2)所示:
Figure BDA0002047603690000071
dc(A,B)的计算公式如公式(3)所示,其dc为截断距离,可根据实际情况进行预设。
dc(A,B)=min{dcA,dcB} (3);
EA,EB满足的类间相似度,如公式(4)所示:
Figure BDA0002047603690000072
这里,m为行为数据与历史行为数据之间的相似度。其中,m的取值范围不同,表征的相似度不同。
步骤35:确定所述登录账号的初始安全级别;
这里,初始安全级别可以为初次在服务器上注册并登录时,服务器为登录账号分配的,也可以为登录账号上次登录时的安全级别。
在该登录账号初次在服务器上注册并登录时,服务器会为该登录账号分配初始安全级别,根据服务器的分配确定该登录账号的初始安全级别,或者,服务器确定该登录账号上次登录时的安全级别,将该安全级别作为初始安全级别。
步骤36:根据所述相似度和所述初始安全级别,确定所述登录账号的安全级别;
这里,在确定相似度和初始安全级别后,根据相似度和初始安全级别,确定登录账号的安全级别。比如:初始安全级别为A,相似度为G4,表征完全不相似,说明该登录账号为异常登录,将登录账号的安全级别由初始安全级别A调整到D。
步骤37:根据所述安全级别,确定所述登录账号的访问权限。
其中,步骤37参见上述实施例中的步骤103。
在本申请实施例中,能够根据行为数据与历史行为数据之间的行为距离,确定行为数据与历史行为数据之间的相似度;根据相似度和确定的登录账号的初始安全级别,确定登录账号的安全级别。
本申请实施例中还提供一种访问控制方法,该方法包括以下步骤:
步骤41:获取登录账号的行为数据;
步骤42:根据所述登录账号对应的历史行为数据和所述行为数据,确定所述登录账号的安全级别;
其中,步骤41至步骤42分别参见上述实施例中的步骤101至步骤102。
步骤43:确定所述登录账号对应的访问项目和访问角色;
在实际应用中,在服务器上可运行多个项目,每一个项目对应一组资源,比如:计算、存储、网络资源等。在不同的项目下,登录账号对应不同的角色,在服务器上可预先存储登录账号、项目、角色之间的对应关系。
当用户使用登录账号在服务器上登录后,该登录账号对服务器的某个项目发起访问请求,服务器接收到访问请求后,对访问请求进行解析,确定登录账号所访问的项目即访问项目,并根据预先存储的登录账号、项目、角色之间的对应关系,确定登录账号在访问项目中的角色即访问角色。
步骤44:根据所述访问项目、所述访问角色和所述安全级别,确定所述登录账号的访问权限。
在实际应用中,访问项目、访问角色、安全级别、访问权限之间存在对应关系,比如:访问项目包括:项目1、项目2;项目1中的角色包括:角色1、角色2,项目2中的访问角色包括:角色3、角色4;角色1包括:权限1、权限2,对应的安全级别分别包括A、B;角色2包括:权限3、权限4,对应的安全级别分别包括C、D;角色3包括:权限5、权限6,对应的安全级别分别包括A、B;角色4包括:权限7、权限8,对应的安全级别分别包括C、D。
这里,当确定访问项目、访问角色和安全级别后,根据登录账号访问的访问项目、访问角色和安全级别,确定登录账号的访问权限。同上例,比如:登录账号访问的访问项目为:项目1、访问角色为:角色2和安全级别为:C,通过访问项目、访问角色、安全级别、访问权限之间存在对应关系,可以确定登录账号的访问权限包括权限3、权限4。
在本申请实施例中,能够根据登录账号对应的访问项目、访问角色及确定的安全级别,确定登录账号的访问权限。
本申请实施例中还提供一种访问控制方法,该方法包括以下步骤:
步骤51:获取登录账号的行为数据;
步骤52:获取所述登录账号的历史行为数据;
步骤53:确定所述行为数据与所述历史行为数据之间的行为距离;
步骤54:根据所述行为距离,确定所述行为数据与所述历史行为数据之间的相似度;
步骤55:确定所述登录账号的初始安全级别;
其中,步骤51至步骤55分别参见上述实施例中的步骤31至步骤35。
步骤56:确定相似度的取值范围与安全级别的降级级数之间的对应关系;
这里,在确定相似度对应的安全级别的降级级数之前,需要首先确定相似度的取值范围与安全级别的降级级数之间的对应关系。比如:相似度的取值范围为(G1,G2)时,对应的安全级别的降级级数为0;相似度的取值范围为(G2,G3)时,对应的安全级别的降级级数为1;相似度的取值范围为(G3,G4)时,对应的安全级别的降级级数为2;相似度的取值范围为(G4,G5)时,对应的安全级别的降级级数为3。
其中,上述相似度的取值范围与安全级别的降级级数之间的对应关系可根据实际情况进行设定,并预先存储在服务器中。
需要说明的是,本申请实施例的步骤56只要在步骤57之前执行即可,本申请实施例不限定步骤56与步骤51至步骤55之间的执行顺序。
步骤57:根据所述对应关系,确定所述相似度对应的安全级别的降级级数;
这里,根据相似度的取值在对应关系中进行查表,确定该相似度所属的相似度的取值范围,并确定相似度的取值范围对应的安全级别的降级级数。同上例,比如:相似度的取值为1.2,取值范围(G2,G3)为(1,1.3),根据上述对应关系,可知该相似度对应的安全级别的降级级数为1。
步骤58:根据所述安全级别的降级级数,对所述初始安全级别进行降级,得到所述登录账号的安全级别;
这里,根据安全级别的降级级数,对步骤55确定的初始安全级别进行降级,从而获得登录账号的安全级别。同上例,比如:登录账号的初始安全级别为A,相似度对应的安全级别的降级级数为1,对初始安全级别降一级,得到登录账号的安全级别为B。
步骤59:根据所述安全级别,确定所述登录账号的访问权限。
其中,步骤59参见上述实施例中的步骤103。
在本申请实施例中,根据相似度的取值范围与安全级别的降级级数之间的对应关系,确定相似度对应的安全级别的降级级数,对初始安全级别进行降级,得到登录账号的安全级别,能够在登录账号发生异常或者行为数据存在风险的情况下对安全级别进行降级处理,减少损失。
本申请实施例中还提供一种访问控制方法,该方法包括以下步骤:
步骤61:获取登录账号的行为数据;
步骤62:根据所述登录账号对应的历史行为数据和所述行为数据,确定所述登录账号的安全级别;
步骤63:根据所述安全级别,确定所述登录账号的访问权限;
其中,步骤61至步骤63分别参见上述实施例中的步骤101至步骤103。
步骤64:接收指示变更所述登录账号的安全级别的变更请求;
这里,服务器在确定登录账号的访问权限后,基于所确定的访问权限控制用户通过终端对服务器的访问。
当用户需要对该登录账号的安全级别进行变更时,可基于该登录账号发起变更安全级别的变更请求,服务器接收到指示变更当前登录账号的安全级别的变更请求。
其中,所述变更请求可携带用户所需要变更的安全级别。
步骤65:响应所述变更请求,对所述登录账号进行认证;
这里,服务器对接收到变更请求进行响应,触发认证过程,重新对该登录账号进行认证。
步骤66:在认证成功后,对所述登录账号的安全级别进行调整。
这里,如果认证成功,表明该登录账号是安全的,则对该登录账号的安全级别进行调整,可调整为变更请求携带的安全级别;若认证失败,表明当前登录账户不安全,则不对该登录账号的安全级别进行调整。比如:登录账号当前的安全级别为C,变更请求携带变更后的安全级别为A,根据变更后的安全级别,对登录账号的安全级别调整完成后,登录账号当前的安全级别变更为A。
在安全级别调整完成后,服务端基于调整后的安全级别控制登录账号对服务器的访问。
在本申请实施例中,能够根据变更请求中携带的变更后的安全级别,对登录账号的安全级别进行调整,以使登录账号获得变更后的安全级别。
本申请实施例中以云平台的访问控制方法为例,通过具体场景对本申请实施例提供的访问控制方法进行说明。
本申请实施例解决在登录账号或者行为数据存在风险的情况下,动态调整访问权限所提出权限动态调整装置包括:行为追踪模块、数据存储模块、安全级别定义模块和权限控制模块组成。
行为追踪模块,对登录账号进行追踪,获得行为数据。行为数据包括:登录信息和会话信息。
当用户使用登录账号进行登录时,行为追踪模块会获取当前登录账号的登录信息,包括:登录设备标识、登录时间、登录地点以及登录的认证方式等,其中,登录地点可通过位置信息和IP信息获取。当会话开始后利用点击流Clickstream工具跟踪登录账号的点击流和每次的点击信息,获取当前会话信息,会话信息包括:区域停留时间、鼠标点击的频率、滚屏速度、鼠标移动速度、使用的网络环境信息,比如:上网环境等。
数据存储模块,用于存储登录信息和会话信息,数据存储模块会将行为追踪模块获取的数据以日志的形式保存在本地文件,同时做初步的处理保存于数据库中,数据存储模块中可保存历史行为数据,也可保存当前行为数据。
安全级别定义模块,从数据存储模块中读取历史行为数据,对历史行为数据进行聚类分析,将获得的类中心点、边界区域点集保存到知识库,从数据存储模块中读取当前行为数据,根据当前行为数据结合知识库中的信息进行计算并通过安全级别判定公式得出安全级别。当登录账号需要提高安全级别时,提供二次认证服务。
权限控制模块,根据安全级别与当前访问项目和角色,动态控制访问权限。
其中,安全级别可分为A、B、C、D四个级别,云平台的系统管理员统一分配云平台的所有访问权限或修改安全级别。登录账号可关联云平台中的一个或多个项目,在不同项目下,关联不同的角色。在一项目中,当前登录账号被分配指定角色后,会拥有该角色具有的一组访问权限,而每个访问权限也具有指定的安全级别,权限控制模块根据安全级别和登录账号对应的访问项目、角色,共同决定当前具有的访问权限。
图2是访问控制装置的一种组成结构示意图,如图2所示,访问控制装置200分为行为追踪模块201、数据存储模块202、安全级别定义模块203以及权限控制模块204。权限控制模块204根据当前登录账号对应的访问项目、角色和安全等级决定该登录账号拥有的访问权限。若登录账号正常登录,安全级别定义模块203判定该登录账号无风险,则当前登录账号具有对应角色的全部访问权限。
登录账号在云管理平台登录页面进行登录验证,完成登录验证后,行为追踪模块201记录登录账号当前的行为数据,数据存储模块202将实时采集的行为数据进行保存,安全级别定义模块203对行为数据进行实时的分析,判断当前的安全级别,权限控制模块204根据当前的安全级别、对应的访问项目、角色,确定相应的访问权限。
图3是本申请实施例的访问控制方法的又一种实现流程示意图,访问控制方法的实现流程包括:
步骤301:用户使用登录账号进行登录验证;
步骤302:行为追踪模块记录行为数据;
步骤303:数据存储模块对行为数据进行保存;
步骤304:安全级别定义模块根据行为数据判断安全级别;
安全级别定义模块使用的聚类算法可为基于密度峰值的空间聚类算法(Clustering by Fast Search and Find of Density Peaks,CFSFDP)并对距离计算方法进行优化。
为了提高空间聚类算法的准确性和适用性,结合历史行为数据的特点,经过多次试验验证,可使用闵可夫斯基衡量标准代替传统欧式距离,计算行为数据间的相似性,如公式(1)所示:
Figure BDA0002047603690000131
其中,dq(xi,xj)表征xi、xj之间的行为距离,xi、xj分别表征历史行为数据、行为数据,q>0,D是空间的维数,k表征第k维空间,i≥0,j≥0,xik、xjk表征第k维空间中的两个数据点。
登录异常的检测需要结合空间聚类算法所得的知识库进行,知识库的信息是以登录账号为单元进行保存,分别将每个登录账号的历史行为数据聚类结果保存到知识库中,即知识库中存的信息为CFSFDP算法针对所有登录账号的历史行为数据进行聚类之后算得的类中心点、边界区域点集E。
登录账号登录异常的检测方法包括:假如安全级别为A的登录账号的历史登录信息的边界区域点集为EA,pi为EA中的数据点,q为登录账号的当前登录信息数据点,所以EB=q,Dist{p,q}表示p和q之间的闵可夫斯基距离,∑ijDist{pi,qj}表征行为数据与历史行为数据之间的行为距离,边界区域中的数据点个数为NA,登录账号最新登录数据点个数为NB=1,如公式(2)所示:
Figure BDA0002047603690000141
dc(A,B)的计算公式如公式(3)所示,其dc为截断距离,可根据实际情况进行预设。
dc(A,B)=min{dcA,dcB} (3);
EA,EB满足的类间相似度,如公式(4)所示:
Figure BDA0002047603690000142
当0<m<=1时,为正常登录;当1<m<=1.2,则安全级别为A的登录账号的安全级别进行降级一档,从A则降到B;当1.2<m<=1.4则降级两档,从A降级到C,当m>1.4,则直接降到D级别。所有安全级别降到D即停止降级操作。
步骤305:权限控制模块根据安全级别决定登录账号可获得的访问权限;
权限控制模块,会根据安全级别定义模块计算出的安全级别,分配具体权限给登录账号,登录账号在页面操作时安全级别较高的操作时会被提示权限不足,如果想获得操作权限,可进行提高权限的验证,安全级别定义模块会根据权限级别对登录账号进行相应的验证要求。
步骤306:根据获得的访问权限决定可执行的操作。
在现有的Openstack云平台中,用户user代表访问OpenStack云服务的人或程序,可关联一个或多个项目project;在不同项目下,用户关联不同的角色role。其中,项目代表一组Openstack资源,比如:计算、存储和网络等,而角色是可执行一系列特定操作的用户特性,角色规定了用户在某个项目中的一系列权利和特权。
访问项目、角色、访问权限及安全级别的对应关系,如图4所示。
当前登录账号安全级别为B,在访问项目1所属角色为角色2,在访问项目2中所属角色为角色3。
在访问项目1中,由于当前登录账号所属角色为角色2,角色2中小于等于安全级别B的权限为权限3和权限4,所以在访问项目1中,当前登录账号拥有权限3和权限4。
在访问项目2中,由于当前登录账号所属角色为角色3,角色3中小于等于安全级别B的权限为权限2、3、4、5、6,所以当前登录账号拥有权限2、3、4、5、6。
具有安全等级A的登录账号登录系统进行访问的具体实现流程示例图,如图5所示,包括:
步骤501:登录账号登录系统;
其中,该登录账号具有安全等级A;在具有安全等级A的登录账号登录之前,安全级别定义模块已经通过空间聚类算法生成了一个知识库。
步骤502:获取登录账号的行为数据;
当用户使用登录账号进行登录时,行为追踪模块会获取具有安全等级A的登录账号的登录信息,包括:登录设备标识、登录时间、登录地点以及登录的认证方式等。当会话开始后利用Clickstream工具跟踪登录账号的点击流和每次的点击信息,获取当前会话信息,会话信息包括:区域停留时间、鼠标点击的频率、滚屏速度、鼠标移动时间、使用的网络环境信息。
步骤503:结合知识库运算并通过类间相似度进行安全级别判定;
通过具有安全等级A的登录账号的当前行为数据结合知识库保存的类中心点、边界区域点集E历史行为数据进行异常行为检测,其中空间聚类算法定期更新知识库。
步骤504:判断m是否满足0<m<=1,若是,则执行步骤507,若否,则执行步骤505;
步骤505:判断m是否满足1<m<=1.2,若是,则执行步骤508,若否,则执行步骤506;
步骤506:判断m是否满足1.2<m<=1.4,若是,则执行步骤509,若否,则执行步骤510;
步骤507:安全级别为A;
步骤508:安全级别降一级为B;
步骤509:安全级别降两级为C;
步骤510:安全级别降三级为D。
当0<m<=1时,为正常登录;当1<m<=1.2,则安全级别为A的登录账号的安全级别进行降级一档,安全级别从A则降到B;当1.2<m<=1.4则降级两档,从A降级到C;当m>1.4,则直接降到D级别。异常登录的具有安全等级的登录账号需要更高安全级别的操作需要进行二次认证,认证之后的数据将作为下一次空间聚类分析的重要数据。
异常登录的情况多种多样,单纯看用户对应的登录账号的登录的时间和上网环境并不能确认是异常,需要结合登录账号的所有属性进行判断是否异常。如果登录账号被盗用,虽然盗用者能登录系统,但是系统时刻会根据此登录账号对应的行为数据判断此用户对应的登录账号为异常登录,并将访问权限进行降级处理,提升了系统的安全性。
本申请实施例的技术方案和业界的云平台访问权限控制的技术方案相比,具有以下优点:
1.对行为数据做有效分析,动态判定安全级别,管理访问权限。
2.能够灵活的设定访问权限,防止登录账号被非法盗用。
3.能够保障个人隐私,提高云平台安全级别。
本申请实施例提供一种访问控制装置,图6为本申请实施例的访问控制装置的又一种组成结构示意图,如图6所示,访问控制装置600包括:获取模块601、第一确定模块602和第二确定模块603;其中,
获取模块601,用于获取登录账号的行为数据;
第一确定模块602,用于根据所述登录账号对应的历史行为数据和所述行为数据,确定所述登录账号的安全级别;
第二确定模块603,用于根据所述安全级别,确定所述登录账号的访问权限。
在一些实施例中,第一确定模块602包括:
第一获取子模块,用于获取所述登录账号的历史行为数据;
第一确定子模块,用于确定所述行为数据与所述历史行为数据之间的相似度;
第二确定子模块,用于根据所述相似度,确定所述登录账号的安全级别。
在一些实施例中,第一确定子模块包括:
第一确定单元,用于确定所述行为数据与所述历史行为数据之间的行为距离;
第二确定单元,用于根据所述行为距离,确定所述行为数据与所述历史行为数据之间的相似度。
在一些实施例中,访问控制装置600还包括:第三确定模块,用于确定所述登录账号的初始安全级别;
相应地,第二确定子模块,用于根据所述相似度和所述初始安全级别,确定所述登录账号的安全级别。
在一些实施例中,第二确定模块603包括:
第三确定子模块,用于确定所述登录账号对应的访问项目和访问角色;
第四确定子模块,用于根据所述访问项目、所述访问角色和所述安全级别,确定所述登录账号的访问权限。
在一些实施例中,第二确定子模块还包括:
第三确定单元,用于确定相似度的取值范围与安全级别的降级级数之间的对应关系;
相应地,第二确定子模块还包括:
第四确定单元,用于根据所述对应关系,确定所述相似度对应的安全级别的降级级数;
第五确定单元,用于根据所述安全级别的降级级数,对所述初始安全级别进行降级,得到所述登录账号的安全级别。
在一些实施例中,访问控制装置600还包括:
接收模块,用于接收指示变更所述登录账号的安全级别的变更请求;所述变更请求携带变更后的安全级别;
认证模块,用于响应所述变更请求,对所述登录账号进行认证;
调整模块,在认证成功后,对所述登录账号的安全级别进行调整。
需要说明的是,上述实施例提供的访问控制装置在进行访问控制时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的访问控制装置与访问控制方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图7为本申请实施例的访问控制设备的一种硬件装置示意图,如图7所示,所述装置包括处理器701和用于存储能够在处理器701上运行的计算机程序的存储器705;其中,所述处理器701用于运行所述计算机程序时,以实现上述实施例中提供的访问控制方法中的步骤。
这里需要指出的是:以上设备实施例项的描述,与上述方法描述是类似的,具有同方法实施例相同的有益效果,因此不做赘述。对于本申请终端实施例中未披露的技术细节,本领域的技术人员请参照本申请方法实施例的描述而理解,为节约篇幅,这里不再赘述。
在示例性实施例中,本申请实施例还提供了一种存储介质,可以为计算机可读存储介质,例如包括存储计算机程序的存储器705,上述计算机程序可由处理器701处理,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、FlashMemory、磁表面存储器、光盘、或CD-ROM等存储器。
本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器处理时实现上述实施例中提供的访问控制方法中的步骤。
这里需要指出的是:以上存储介质实施例项的描述,与上述方法描述是类似的,具有同方法实施例相同的有益效果,因此不做赘述。对于本申请终端实施例中未披露的技术细节,本领域的技术人员请参照本申请方法实施例的描述而理解,为节约篇幅,这里不再赘述。
需要说明的是,图7为本申请实施例访问控制设备的一种硬件实体示意图,如图7所示,访问控制设备700包括:一个处理器701、至少一个通信总线702、用户接口703、至少一个外部通信接口704和存储器705。其中,通信总线702配置为实现这些组件之间的连接通信。其中,外部通信接口704可以包括标准的有线接口和无线接口。
上述本申请实施例揭示的方法可以应用于所述处理器701中,或者由所述处理器701实现。所述处理器701可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过所述处理器701中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述处理器701可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述处理器701可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器705,所述处理器701读取存储器705中的信息,结合其硬件完成前述方法的步骤。
可以理解,本申请实施例的存储器(存储器705)可以是易失性存储器或者非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-OnlyMemory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-OnlyMemory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-OnlyMemory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random Access Memory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,Synchronous Dynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random AccessMemory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random AccessMemory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
以上所述,仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。

Claims (8)

1.一种访问控制方法,其特征在于,所述方法包括:
获取登录账号的行为数据;
获取所述登录账号的历史行为数据;
确定所述行为数据与所述历史行为数据之间的行为距离;
确定所述行为数据的聚类区域的截断距离和所述历史行为数据的聚类区域的截断聚类中,最小的截断距离;
确定所述行为数据的聚类区域中的数据点个数与所述历史行为数据的聚类区域中的数据点个数的乘积;
将所述行为距离除以所述乘积得到的结果,与所述最小的截断距离进行比较,确定所述行为数据与所述历史行为数据之间的相似度;
根据所述相似度,确定所述登录账号的安全级别;
根据所述安全级别,确定所述登录账号的访问权限。
2.根据权利要求1所述的方法,其特征在于,所述获取登录账号的行为数据之前,所述方法还包括:
确定所述登录账号的初始安全级别;
相应地,所述根据所述相似度,确定所述登录账号的安全级别,包括:
根据所述相似度和所述初始安全级别,确定所述登录账号的安全级别。
3.根据权利要求1所述的方法,其特征在于,所述根据所述安全级别,确定所述登录账号的访问权限,包括:
确定所述登录账号对应的访问项目和访问角色;
根据所述访问项目、所述访问角色和所述安全级别,确定所述登录账号的访问权限。
4.根据权利要求2所述的方法,其特征在于,所述根据所述相似度和所述初始安全级别,确定所述登录账号的安全级别之前,所述方法还包括:
确定相似度的取值范围与安全级别的降级级数之间的对应关系;
相应地,所述根据所述相似度和所述初始安全级别,确定所述登录账号的安全级别包括:
根据所述对应关系,确定所述相似度对应的安全级别的降级级数;
根据所述安全级别的降级级数,对所述初始安全级别进行降级,得到所述登录账号的安全级别。
5.根据权利要求2所述的方法,其特征在于,所述方法还包括:
接收指示变更所述登录账号的安全级别的变更请求;所述变更请求携带变更后的安全级别;
响应所述变更请求,对所述登录账号进行认证;
在认证成功后,对所述登录账号的安全级别进行调整。
6.一种访问控制装置,其特征在于,所述装置包括:获取模块、第一确定模块和第二确定模块;其中,
所述获取模块,用于获取登录账号的行为数据;
所述第一确定模块,用于获取所述登录账号的历史行为数据,确定所述行为数据与所述历史行为数据之间的行为距离,确定所述行为数据的聚类区域的截断距离和所述历史行为数据的聚类区域的截断聚类中,最小的截断距离,确定所述行为数据的聚类区域中的数据点个数与所述历史行为数据的聚类区域中的数据点个数的乘积,将所述行为距离除以所述乘积得到的结果,与所述最小的截断距离进行比较,确定所述行为数据与所述历史行为数据之间的相似度,根据所述相似度,确定所述登录账号的安全级别;
所述第二确定模块,用于根据所述安全级别,确定所述登录账号的访问权限。
7.一种访问控制设备,其特征在于,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器;其中,所述处理器用于运行所述计算机程序时,执行权利要求1至5任一项所述访问控制方法中的步骤。
8.一种存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至5任一项所述访问控制方法中的步骤。
CN201910363773.9A 2019-04-30 2019-04-30 一种访问控制方法、装置、设备及存储介质 Active CN111865885B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910363773.9A CN111865885B (zh) 2019-04-30 2019-04-30 一种访问控制方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910363773.9A CN111865885B (zh) 2019-04-30 2019-04-30 一种访问控制方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN111865885A CN111865885A (zh) 2020-10-30
CN111865885B true CN111865885B (zh) 2022-07-01

Family

ID=72965074

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910363773.9A Active CN111865885B (zh) 2019-04-30 2019-04-30 一种访问控制方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN111865885B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113127909B (zh) * 2021-04-30 2023-07-25 北京奇艺世纪科技有限公司 一种特征数据处理方法、装置、电子设备及存储介质
CN113676455B (zh) * 2021-07-22 2022-08-19 中国科学院深圳先进技术研究院 一种自适应跨域访问认证方法、系统、终端以及存储介质
CN114448645A (zh) * 2022-03-10 2022-05-06 广州虎牙科技有限公司 网页访问的处理方法、装置、存储介质、程序产品
CN114733207B (zh) * 2022-05-12 2023-08-01 深圳爱玩网络科技股份有限公司 一种基于特征分析的游戏账号监测分析预警管理系统
CN115442153B (zh) * 2022-10-25 2023-03-31 北京云成金融信息服务有限公司 一种用于供应链的数据管理方法及系统
CN116644477B (zh) * 2023-07-27 2023-09-26 恒丰银行股份有限公司 一种全流程权限运维管控方法、设备及介质
CN116996330B (zh) * 2023-09-27 2023-12-01 深圳市互盟科技股份有限公司 基于网络安全的数据中心访问控制管理系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104573434A (zh) * 2013-10-12 2015-04-29 深圳市腾讯计算机系统有限公司 帐户保护方法、装置及系统
CN106936806A (zh) * 2015-12-31 2017-07-07 阿里巴巴集团控股有限公司 一种账户异常登录的识别方法和装置
CN108377227A (zh) * 2018-01-11 2018-08-07 北京潘达互娱科技有限公司 服务器账号管理系统、账号登录方法、更新方法及设备
CN109409043A (zh) * 2018-09-03 2019-03-01 中国平安人寿保险股份有限公司 应用系统的登录方法、终端设备及介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104573434A (zh) * 2013-10-12 2015-04-29 深圳市腾讯计算机系统有限公司 帐户保护方法、装置及系统
CN106936806A (zh) * 2015-12-31 2017-07-07 阿里巴巴集团控股有限公司 一种账户异常登录的识别方法和装置
CN108377227A (zh) * 2018-01-11 2018-08-07 北京潘达互娱科技有限公司 服务器账号管理系统、账号登录方法、更新方法及设备
CN109409043A (zh) * 2018-09-03 2019-03-01 中国平安人寿保险股份有限公司 应用系统的登录方法、终端设备及介质

Also Published As

Publication number Publication date
CN111865885A (zh) 2020-10-30

Similar Documents

Publication Publication Date Title
CN111865885B (zh) 一种访问控制方法、装置、设备及存储介质
US10924514B1 (en) Machine learning detection of fraudulent validation of financial institution credentials
CN110298188B (zh) 动态访问权限的控制方法及系统
CN109325326B (zh) 非结构化数据访问时的数据脱敏方法、装置、设备及介质
CN115335827B (zh) 用于实现基于角色的访问控制聚类机器学习模型执行模块的方法和装置
US9148435B2 (en) Establishment of a trust index to enable connections from unknown devices
US20160241576A1 (en) Detection of anomalous network activity
US20110314558A1 (en) Method and apparatus for context-aware authentication
US8196197B2 (en) Preventing trivial character combinations
CN116545731A (zh) 一种基于时间窗动态切换的零信任网络访问控制方法及系统
CN106330958A (zh) 一种安全访问方法及装置
US10298558B2 (en) User authentication relying on recurring public events for shared secrets
WO2018093685A1 (en) Systems and methods for securing access to resources
CN105827645B (zh) 一种用于访问控制的方法、设备与系统
WO2021208758A1 (zh) 数据权限管理
CN114021184A (zh) 一种数据管理方法、装置、电子设备及存储介质
CN112134848B (zh) 融合媒体云自适应访问控制方法、装置、终端及介质
CN116418568A (zh) 一种基于动态信任评估的数据安全访问控制方法、系统及存储介质
CN116502209A (zh) 面向气象业务系统的智能权限动态管理方法、系统及终端
CN114138590A (zh) Kubernetes集群的运维处理方法、装置及电子设备
CN114036489A (zh) 一种基于大数据的信息安全管理方法及系统
US20180276398A1 (en) System and method for providing restricted access to production files in a code deployment environment
Izergin et al. Risk assessment model of compromising personal data on mobile devices
CN114006735B (zh) 一种数据保护方法、装置、计算机设备和存储介质
CN114915453A (zh) 访问响应方法以及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant