CN113486311A - 访问授权方法及装置 - Google Patents

访问授权方法及装置 Download PDF

Info

Publication number
CN113486311A
CN113486311A CN202110831847.4A CN202110831847A CN113486311A CN 113486311 A CN113486311 A CN 113486311A CN 202110831847 A CN202110831847 A CN 202110831847A CN 113486311 A CN113486311 A CN 113486311A
Authority
CN
China
Prior art keywords
security
value
user
accessed
trusted zone
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110831847.4A
Other languages
English (en)
Other versions
CN113486311B (zh
Inventor
程筱彪
徐雷
张曼君
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202110831847.4A priority Critical patent/CN113486311B/zh
Publication of CN113486311A publication Critical patent/CN113486311A/zh
Application granted granted Critical
Publication of CN113486311B publication Critical patent/CN113486311B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种访问授权方法及装置,属于通信技术领域。响应待访问用户对目标可信区的访问请求,确定待访问用户在目标可信区的第一安全值;确定目标可信区的同类可信区;获取待访问用户在同类可信区的第二安全值;依据第一安全值、第二安全值和预设的安全阈值,确定是否授权待访问用户的访问请求。该访问授权方法不仅考虑了待访问用户在目标可信区的安全信息,还考虑到待访问用户在目标可信区的同类可信区中的安全信息,并根据两者共同确定是否授权待访问用户的访问请求,安全认证维度较为丰富,并且,由于上述安全信息并非固定配置的信息,因此,安全认证灵活性也得以提高。

Description

访问授权方法及装置
技术领域
本发明涉及通信技术领域,具体涉及一种访问授权方法及装置。
背景技术
在大规模网络中,可以根据可信等级和业务类型将资源划分至不同的可信区中,每个可信区仅允许授权请求者进行访问,以此来保障可信区的安全性。其中,授权请求者是指通过安全认证的请求者。
现有技术中,安全认证标准通常为固定配置的可信策略,请求者通过可信策略管理器进行统一认证。这种安全认证方式对请求者的安全认证维度单一,且灵活性不高。
发明内容
为此,本发明提供一种访问授权方法及装置,以解决基于固定配置的可信策略对请求者进行安全认证,存在安全认证维度单一、灵活性低的问题。
为了实现上述目的,本发明第一方面提供一种访问授权方法,该方法包括:
响应待访问用户对目标可信区的访问请求,确定所述待访问用户在所述目标可信区的第一安全值;
确定所述目标可信区的同类可信区;
获取所述待访问用户在所述同类可信区的第二安全值;
依据所述第一安全值、所述第二安全值和预设的安全阈值,确定是否授权所述待访问用户的访问请求。
进一步地,所述响应待访问用户对目标可信区的访问请求,确定所述待访问用户在所述目标可信区的第一安全值,包括:
确定所述待访问用户在每个时间周期的访问成功次数和访问失败次数,其中,所述时间周期为预设的周期;
根据每个时间周期的访问成功次数、访问失败次数和调整因子,获得所述待访问用户的第一安全值。
进一步地,所述第一安全值通过公式(1)设置:
Figure BDA0003175748210000021
其中,i表示时间周期的序号,i的取值范围为{1,2,…,N},N为时间周期的总数量,且N为大于或等于1的整数,ai表示第i个时间周期的调整因子,Si表示待访问用户在第i个时间周期的访问成功次数,Fi表示待访问用户在第i个时间周期的访问失败次数,P1表示待访问用户的第一安全值。
进一步地,所述确定所述目标可信区的同类可信区,包括:
选取与所述目标可信区具有共同访问用户的可信区作为备选可信区;
确定每个所述共同访问用户在所述目标可信区的第一安全值,并基于所述共同访问用户在所述目标可信区的第一安全值构建第一安全向量;
确定每个所述共同访问用户在所述备选可信区的第一安全值,并基于所述共同访问用户在所述备选可信区的第一安全值构建第二安全向量;
依据所述第一安全向量和所述第二安全向量,获得所述备选可信区与所述目标可信区的拟合度;
根据所述拟合度和预设的拟合阈值,确定所述备选可信区是否为所述目标可信区的同类可信区。
进一步地,所述依据所述第一安全向量和所述第二安全向量,获得所述备选可信区与所述目标可信区的拟合度,包括:
计算所述第一安全向量与所述第二安全向量之间的余弦夹角,获得所述备选可信区与所述目标可信区的拟合度。
进一步地,所述获取所述待访问用户在所述同类可信区的第二安全值,包括:
获取所述待访问用户在每个所述同类可信区的安全评估值;
根据所述待访问用户在所述同类可信区的安全评估值以及所述目标可信区与所述同类可信区的拟合度,获得所述待访问用户在所述同类可信区的第二安全值。
进一步地,所述安全评估值是根据每个时间周期内所述待访问用户在所述同类可信区的访问成功次数、访问失败次数以及每个时间周期的调整因子,计算获得的数值。
进一步地,所述第二安全值通过公式(2)设置:
Figure BDA0003175748210000031
其中,j表示同类可信区的序号,j的取值范围为{1,2,…,M},M为同类可信区的总数量,且M为大于或等于1的整数,
Figure BDA0003175748210000032
表示第j个同类可信区对待访问用户的安全评估值,simj表示第j个同类可信区与目标可信区的拟合度,P2表示待访问用户的第二安全值。
进一步地,所述依据所述第一安全值、所述第二安全值和预设的安全阈值,确定是否授权所述待访问用户的访问请求,包括:
确定所述第一安全值对应的第一权重系数以及所述第二安全值对应的第二权重系数;
依据所述第一安全值、所述第一权重系数、所述第二安全值和所述第二权重系数,获得安全总值;
比较所述安全总值与所述预设的安全阈值,获得比较结果;
根据所述比较结果确定是否授权所述待访问用户的访问请求。
为了实现上述目的,本发明第二方面提供一种访问授权装置,该装置包括:
第一安全值确定模块,被配置为响应待访问用户对目标可信区的访问请求,确定所述待访问用户在所述目标可信区的第一安全值;
同类可信区确定模块,被配置为确定所述目标可信区的同类可信区;
第二安全值获取模块,被配置为获取所述待访问用户在所述同类可信区的第二安全值;
授权确定模块,被配置为依据所述第一安全值、所述第二安全值和预设的安全阈值,确定是否授权所述待访问用户的访问请求。
本发明具有如下优点:
本发明提供的访问授权方法,响应待访问用户对目标可信区的访问请求,确定待访问用户在目标可信区的第一安全值;确定目标可信区的同类可信区;获取待访问用户在同类可信区的第二安全值;依据第一安全值、第二安全值和预设的安全阈值,确定是否授权待访问用户的访问请求。该访问授权方法不仅考虑了待访问用户在目标可信区的安全信息,还考虑到待访问用户在目标可信区的同类可信区中的安全信息,并根据两者共同确定是否授权待访问用户的访问请求,安全认证维度较为丰富,并且,由于上述安全信息并非固定配置的信息,因此,安全认证灵活性也得以提高。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。
图1为本发明实施例提供的一种可信网络架构示意图;
图2为本发明实施例提供的一种访问授权方法的流程图;
图3为本发明实施例提供的一种第一安全值计算方法的流程图;
图4为本发明实施例提供的一种同类可信区确定方法的流程图;
图5为本发明实施例提供的一种第二安全值获取方法的流程图;
图6为本发明实施例提供的一种访问授权装置的组成方框图;
图7为本发明实施例提供的一种第一安全值确定模块的组成方框图;
图8为本发明实施例提供的一种同类可信区确定模块的组成方框图;
图9为本发明实施例提供的一种第二安全值获取模块的组成方框图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
可信是计算机领域中用于描述安全性能的属性之一。可信计算组织(TrustedComputing Group,TCG)用实体行为的预期性来定义可信:一个实体是可信的,如果它的行为总是以预期的方式,朝着预期的目标。在实际应用中,可将网络划分为若干个可信区,每个可信区对特定访问者开放,以提高网络的安全性能。然而,固定配置的安全认证标准认证维度单一,且灵活性较低。
有鉴于此,本申请实施例提供一种访问授权方法及装置,不仅考虑了待访问用户在目标可信区的安全信息,还考虑到待访问用户在目标可信区的同类可信区中的安全信息,并根据两者共同确定是否授权待访问用户的访问请求,安全认证维度较为丰富,并且,由于上述安全信息并非固定配置的信息,因此,安全认证灵活性也得以提高。
图1是本申请实施例提供的一种可信网络架构示意图。如图1所示,可信网络100中设置可信策略管理器101,且可信网络100被划分为N个可信区,分别是第一可信区110、第二可信区120、……、第N可信区1N0,其中,N是大于等于1的整数。
其中,第一可信区110允许第一请求者111、第二请求者112和第三请求者113访问,第二可信区120允许第四请求者访问121,第N可信区1N0允许第五请求者1N1和第六请求者1N2访问。
在一些实施例中,可信策略管理器101中配置有可信策略。当有请求者访问任意一个可信区时,可信区根据可信策略管理器101中的可信策略,确定是否允许访问者访问该可信区。例如,第一请求者111向第一可信区110发起访问请求,第一可信区110根据可信策略管理101中的可信策略,确定第一请求者111具有访问第一可信区110的权限,从而允许第一请求者111访问第一可信区。又如,第四请求者111向第一可信区110发起访问请求,第一可信区110根据可信策略管理101中的可信策略,确定第四请求者121不具有访问第一可信区110的权限,从而不允许第四请求者121访问第一可信区110。
需要说明的是,对可信区的划分可以依据业务类型和/或可信等级进行,也可以根据其他信息进行划分,本申请对此不作限定。
图2是本申请实施例提供的一种访问授权方法的流程图。如图2所示,该访问授权方法包括如下步骤:
步骤S201,响应待访问用户对目标可信区的访问请求,确定待访问用户在目标可信区的第一安全值。
其中,第一安全值可以表征待访问用户在目标可信区安全属性。通常情况下,第一安全值越高,则说明待访问用户在目标可信区的安全属性越强,反之,则说明待访问用户在目标可信区的安全属性越弱。
在一些实施例中,确定待访问用户在目标可信区的第一安全值,包括:确定待访问用户在每个时间周期的访问成功次数和访问失败次数;根据每个时间周期的访问成功次数、访问失败次数和调整因子,获得待访问用户的第一安全值,其中,时间周期为预设的周期。
步骤S202,确定目标可信区的同类可信区。
其中,同类可信区是指安全性等属性与目标可信区相似的可信区。
在一些实施例中,确定目标可信区的同类可信区,包括:选取与目标可信区具有共同访问用户的可信区作为备选可信区;确定每个共同访问用户在目标可信区的第一安全值,并基于共同访问用户在目标可信区的第一安全值构建第一安全向量;确定每个共同访问用户在备选可信区的第一安全值,并基于共同访问用户在备选可信区的第一安全值构建第二安全向量;依据第一安全向量和第二安全向量,获得备选可信区与目标可信区的拟合度;根据拟合度和预设的拟合阈值,确定备选可信区是否为目标可信区的同类可信区。
步骤S203,获取待访问用户在同类可信区的第二安全值。
在一些实施例中,获取待访问用户在同类可信区的第二安全值,包括:获取待访问用户在每个同类可信区的安全评估值;根据待访问用户在同类可信区的安全评估值以及目标可信区与同类可信区的拟合度,获得待访问用户在同类可信区的第二安全值。
其中,安全评估值是根据每个时间周期内待访问用户在同类可信区的访问成功次数、访问失败次数以及每个时间周期的调整因子,计算获得的数值。
步骤S204,依据第一安全值、第二安全值和预设的安全阈值,确定是否授权待访问用户的访问请求。
其中,预设的安全阈值可以根据经验或统计数据等信息进行设置,本申请对此不作限定。
在一些实施例中,将第一安全值和第二安全值相加,获得两个安全值之和,将安全值之和除以二,获得安全均值,并比较安全均值与预设的安全阈值的大小。当安全均值大于或等于预设的安全阈值的情况下,确定授权待访问用户的访问请求;当安全均值小于预设的安全阈值的情况下,确定不授权待访问用户的访问请求。
在另外一些实施例中,还可为第一安全值和第二安全值设置调整系数,进而根据调整系数、第一安全值、第二安全值和预设的安全阈值确定是否授权待访问用户的访问请求。例如,第一安全值的调整系数为μ,第二安全值的调整系数为(1-μ)。
P=P1*u+P2*(1-u)
其中,P1为第一安全值,P2为第二安全值,P为加权安全值。
假设预设的安全阈值为Pthr,当P大于或等于Pthr时,确定授权待访问用户的访问请求,当P小于Pthr时,确定不授权待访问用户的访问请求。
需要说明的是,通常情况下,第一安全值对结果的影响程度较第二安全值的影响程度要大,因此,第一安全值的调整系数通常较第二安全值的调整系数大。换言之,u的取值范围通常为大于0.5且小于1。
本实施例中,响应待访问用户对目标可信区的访问请求,确定待访问用户在目标可信区的第一安全值;确定目标可信区的同类可信区;获取待访问用户在同类可信区的第二安全值;依据第一安全值、第二安全值和预设的安全阈值,确定是否授权待访问用户的访问请求。该访问授权方法不仅考虑了待访问用户在目标可信区的安全信息,还考虑到待访问用户在目标可信区的同类可信区中的安全信息,并根据两者共同确定是否授权待访问用户的访问请求,安全认证维度较为丰富,并且,由于上述安全信息并非固定配置的信息,因此,安全认证灵活性也得以提高。
图3是本申请实施例提供的一种第一安全值计算方法的流程图。如图3所示,该第一安全值计算方法包括如下步骤:
步骤S301,确定待访问用户在每个时间周期的访问成功次数和访问失败次数。
其中,时间周期为预设的周期。
在一些实施例中,预设时间周期为5分钟,以11:00:00(时:分:秒)作为第一个时间周期的起始时间,11:05:00作为第一个时间周期的结束时间,以此类推,在相邻的6个时间周期(即30分钟)内,待访问用户的访问记录如表1所示。
表1待访问用户的访问记录
序号 访问时间(时:分:秒) 访问状态
1 11:01:23 成功
2 11:02:15 失败
3 11:02:57 成功
4 11:03:06 成功
5 11:05:06 失败
6 11:05:48 成功
7 11:06:15 成功
8 11:10:33 成功
9 11:11:03 失败
10 11:16:03 成功
11 11:17:43 成功
12 11:18:08 失败
13 11:19:26 成功
14 11:20:36 成功
15 11:24:58 失败
16 11:28:05 成功
其中,序号1~4属于第一个时间周期的访问记录;序号5~7属于第二个时间周期的访问记录;序号8~9属于第三个时间周期的访问记录;序号10~13属于第四个时间周期的访问记录;序号14~15属于第五个时间周期的访问记录;序号16属于第六个时间周期的访问记录。
基于此,确定待访问用户在第一个时间周期的访问成功次数为3,访问失败次数为1;待访问用户在第二个时间周期的访问成功次数为2,访问失败次数为1;待访问用户在第三个时间周期的访问成功次数为1,访问失败次数为1;待访问用户在第四个时间周期的访问成功次数为3,访问失败次数为1;待访问用户在第五个时间周期的访问成功次数为1,访问失败次数为1;待访问用户在第六个时间周期的访问成功次数为1,访问失败次数为0。
步骤S302,根据每个时间周期的访问成功次数、访问失败次数和调整因子,获得待访问用户的第一安全值。
其中,调整因子与每个时间周期相对应,用于表征该时间周期对第一安全值的影响程度。
在一些具体实现中,调整因子与时间周期对应的周期数具有正相关关系。即,距离当前时刻越近的时间周期,其调整因子越大,反之,则其调整因子越小。
例如,调整因子通过如下公式进行设置:
ai=2i-N
其中,N为时间周期的总数量,i为时间周期对应的周期数,i的取值范围为{1,2,…,N},且N为大于或等于1的整数,ai为第i个时间周期对应的调整因子。
又如,调整因子与时间周期的周期数存在线性正相关关系,即ai=k*i,其中,i为该时间周期对应的周期数,i的取值范围为{1,2,…,N},N为时间周期的总数量,且N为大于或等于1的整数,k为影响系数,且k>0。
需要说明的是,以上对于调整因子的设置方式仅是举例说明,只要符合与时间周期的周期数具有正相关关系规律的调整因子均可被用来计算第一安全值,本申请对此不作限定。
在一些实施例中,通过如下公式计算待访问用户的第一安全值:
Figure BDA0003175748210000101
其中,i为时间周期对应的周期数,i的取值范围为{1,2,…,N},N表示时间周期的总数量且N为大于或等于1的整数,ai为第i个时间周期对应的调整因子,Si为第i个时间周期对应的访问成功次数,Fi为第i个时间周期对应的访问失败次数,P1为第一安全值。
根据表1内容可知:
Figure BDA0003175748210000102
Figure BDA0003175748210000103
本实施例中,根据待访问用户对目标可信区的访问成功次数和访问失败次数,可以较为准确地确定待访问用户在目标可信区的第一安全值,从而便于了解待访问用户在目标可信区的安全程度。
图4是本申请实施例提供的一种同类可信区确定方法的流程图。如图4所示,该同类可信区确定方法包括如下步骤:
步骤S401,选取与目标可信区具有共同访问用户的可信区作为备选可信区。
在一些实施例中,获取目标可信区的访问记录,确定目标可信区的历史访问者,获取历史访问者的可信区访问记录,该可信区访问记录即为该历史访问者对其他可信区的访问记录,由此获得备选可信区。
例如,待访问用户use1对目标可信区SA1发起访问请求,SA1的访问记录的历史访问者包括use2、use3、use4和use5。其中,use2曾经访问的可信区除了SA1之外,还包括SA2和SA3;use3曾经访问的可信区除了SA1之外,还包括SA4;use4曾经访问的可信区除了SA1之外,还包括SA2、SA3和SA5;use5曾经访问的可信区除了SA1之外,还包括SA3和SA4。由此可以确定,备选可信区包括SA2、SA3、SA4和SA5。
步骤S402,确定每个共同访问用户在目标可信区的第一安全值,并基于共同访问用户在目标可信区的第一安全值构建第一安全向量。
其中,单个共同访问用户在目标可信区的第一安全值即为第一安全向量的元素,所有共同访问用户在目标可信区的第一安全值即构成第一安全向量。
例如,共同访问者包括use2、use3、use4和use5。其中,use2在目标可信区的第一安全值为P12,use3在目标可信区的第一安全值为P13,use4在目标可信区的第一安全值为P14,use5在目标可信区的第一安全值为P15,由此可以构建SA1对应的第一安全向量V1={P12,P13,P14,P15}。
需要说明的是,计算共同访问用户在目标可信区的第一安全值的方法与上一实施例中计算第一安全值的方法相同,在此不再赘述。
步骤S403,确定每个共同访问用户在备选可信区的第一安全值,并基于共同访问用户在备选可信区的第一安全值构建第二安全向量。
其中,单个共同访问用户在备选可信区的第一安全值即为第一安全向量的元素,所有共同访问用户在备选可信区的第一安全值即构成第二安全向量。
例如,use2在SA2的第一安全值为P22,use3在SA2的第一安全值为P23,use4在SA2的第一安全值为P24,use5在SA2的第一安全值为P25,由此可以构建SA2对应的第二安全向量V2={P22,P23,P24,P25}。
针对SA3,同样可以构建其对应的第二安全向量V3={P32,P33,P34,P35},其中,P32表示use2在SA3的第一安全值,P33表示use3在SA3的第一安全值,P34表示use4在SA3的第一安全值,P35表示use5在SA3的第一安全值。
SA4、SA5与SA3类似,在此不再赘述。
需要说明的是,计算共同访问用户在备选可信区的第一安全值的方法与上一实施例中计算第一安全值的方法相同,在此不再赘述。
步骤S404,依据第一安全向量和第二安全向量,获得备选可信区与目标可信区的拟合度。
其中,拟合度用于表征向量之间的相似程度。
在一些实施例中,通过向量之间的余弦夹角确定两个向量的拟合度。余弦夹角的计算公式如下:
Figure BDA0003175748210000121
其中,b和c分别代表两个向量,cosθ表示b和c之间的余弦夹角,|b|表示b的长度,|c|表示c的长度,<b,c>表示b和c的内积。
以第一安全向量V1和第二安全向量V2为例,计算V1和V2两者之间的拟合度。具体地,
Figure BDA0003175748210000122
其中,sim(V1,V2)表示V1和V2之间的拟合度(拟合度等于V1和V2的余弦夹角值),其他参数解释参见本实施例步骤S401~步骤S403的内容,在此不再赘述。
需要说明的是,在依据第一安全向量和第二安全向量,获取备选可信区与目标可信区的拟合度时,除了基于向量的余弦夹角方法之外,还可以基于皮尔逊相关系数法、欧几里得距离法、Tanimoto系数(又名广义Jaccard相似系数)法以及曼哈顿距离法等技术手段,本申请对此不作限定。
步骤S405,根据拟合度和预设的拟合阈值,确定备选可信区是否为目标可信区的同类可信区。
其中,备选可信区的数量可以是一个或多个。在实际应用中,并非具有相同访客的可信区之间即具有较高的相似度,因此,还需要从这些备选可信区中进一步选取出目标可信区的同类可信区。
在一些实施例中,根据拟合度和预设的拟合阈值,确定备选可信区是否为目标可信区的同类可信区。具体地,在拟合度大于或等于拟合阈值的情况下,确定备选可信区是目标可信区的同类可信区;在拟合度小于拟合阈值的情况下,确定备选可信区不是目标可信区的同类可信区。
其中,拟合阈值可以根据经验、统计数据等信息进行设置,本申请对此不作限定。
本实施例中,根据共同访问用户确定备选可信区,分别构建共同访问用户在目标可信区的第一安全向量以及共同访问用户在备选可信区的第二安全向量,根据第一安全向量和第二安全向量计算备选可信区与目标可信区之间的拟合度,从而根据拟合度和预设拟合阈值,从备选可信区中进一步筛选与目标可信区相似性更高的备选可信区作为同类可信区。
图5是本申请实施例提供的一种第二安全值获取方法的流程图。
如图5所示,该第二安全值获取方法包括如下步骤:
步骤S501,获取待访问用户在每个同类可信区的安全评估值。
其中,安全评估值是指同类可信区对待访问用户的安全性给出的评估值。
在一些实施例中,同类可信区可以根据第一安全值的计算方法计算待访问用户在其中的第一安全值,并将该第一安全值作为待访问用户在该同类可信区的安全评估值。
需要说明的是,同类可信区也可以采用其他方法获得待访问用户的安全评估值,本申请对此不作限定。例如,预设安全评估指标体系,根据待访问用户针对每个安全评估指标的取值计算其安全评估值。
步骤S502,根据待访问用户在同类可信区的安全评估值以及目标可信区与同类可信区的拟合度,获得待访问用户在同类可信区的第二安全值。
在一些实施例中,通过如下公式计算待访问用户在同类可信区的第二安全值:
Figure BDA0003175748210000131
其中,M为同类可信区的总数量,M为大于或等于1的整数,j表示同类可信区的序号,j的取值范围为{1,2,…,M},Pj为待访问用户在第j个同类可信区的安全评估值,SA1表示目标可信区,SAj表示第j个同类可信区,sim(SA1,SAj)表示SA1和SAj之间的拟合度,P2表示待访问用户在同类可信区的第二安全值。
本实施例中,不仅考虑到待访问用户在同类可信区的安全评估值,还考虑到同类可信区与目标可信区的相似程度,从而可以获得更加准确合理的第二安全值,提高安全认证准确性。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
图6是本申请实施例提供的一种访问授权装置的组成方框图。
如图6所示,该访问授权装置600包括:
第一安全值确定模块601,被配置为响应待访问用户对目标可信区的访问请求,确定所述待访问用户在所述目标可信区的第一安全值。
其中,第一安全值可以表征待访问用户在目标可信区安全属性。通常情况下,第一安全值越高,则说明待访问用户在目标可信区的安全属性越强,反之,则说明待访问用户在目标可信区的安全属性越弱。
在一些实施例中,第一安全值确定模块601确定待访问用户在目标可信区的第一安全值,包括:确定待访问用户在每个时间周期的访问成功次数和访问失败次数,其中,时间周期为预设的周期;根据每个时间周期的访问成功次数、访问失败次数和调整因子,获得待访问用户的第一安全值。
同类可信区确定模块602,被配置为确定所述目标可信区的同类可信区。
其中,同类可信区是指安全性等属性与目标可信区相似的可信区。
在一些实施例中,同类可信区确定模块602确定目标可信区的同类可信区,包括:选取与目标可信区具有共同访问用户的可信区作为备选可信区;确定每个共同访问用户在目标可信区的第一安全值,并基于共同访问用户在目标可信区的第一安全值构建第一安全向量;确定每个共同访问用户在备选可信区的第一安全值,并基于共同访问用户在备选可信区的第一安全值构建第二安全向量;依据第一安全向量和第二安全向量,获得备选可信区与目标可信区的拟合度;根据拟合度和预设的拟合阈值,确定备选可信区是否为目标可信区的同类可信区。
第二安全值获取模块603,被配置为获取所述待访问用户在所述同类可信区的第二安全值。
在一些实施例中,第二安全值获取模块603获取待访问用户在同类可信区的第二安全值,包括:获取待访问用户在每个同类可信区的安全评估值;根据待访问用户在同类可信区的安全评估值以及目标可信区与同类可信区的拟合度,获得待访问用户在同类可信区的第二安全值。
其中,安全评估值是根据每个时间周期内待访问用户在同类可信区的访问成功次数、访问失败次数以及每个时间周期的调整因子,计算获得的数值。
授权确定模块604,被配置为依据所述第一安全值、所述第二安全值和预设的安全阈值,确定是否授权所述待访问用户的访问请求。
其中,预设的安全阈值可以根据经验或统计数据等信息进行设置,本申请对此不作限定。
在一些实施例中,授权确定模块604确定是否授权所述待访问用户的访问请求,包括:将第一安全值和第二安全值相加,获得安全值之和,将安全值除以二,获得安全均值,并比较安全均值与预设的安全阈值。当安全均值大于或等于预设的安全阈值的情况下,确定授权待访问用户的访问请求;当安全均值小于预设的安全阈值的情况下,确定不授权待访问用户的访问请求。
在另外一些实施例中,授权确定模块604还可为第一安全值和第二安全值设置调整系数,进而根据调整系数、第一安全值、第二安全值和预设的安全阈值确定是否授权待访问用户的访问请求。
本实施例中,第一安全值确定模块响应待访问用户对目标可信区的访问请求,确定待访问用户在目标可信区的第一安全值;通过同类可信区确定模块确定目标可信区的同类可信区;由第二安全值获取模块获取待访问用户在同类可信区的第二安全值;由授权确定模块依据第一安全值、第二安全值和预设的安全阈值,确定是否授权待访问用户的访问请求。该访问授权装置不仅考虑了待访问用户在目标可信区的安全信息,还考虑到待访问用户在目标可信区的同类可信区中的安全信息,并根据两者共同确定是否授权待访问用户的访问请求,安全认证维度较为丰富,并且,由于上述安全信息并非固定配置的信息,因此,安全认证灵活性也得以提高。
图7是本申请实施例提供的一种第一安全值确定模块的组成方框图。如图7所示,该第一安全值确定模块700包括:
次数确定单元701,被配置为确定待访问用户在每个时间周期的访问成功次数和访问失败次数。
第一安全值计算单元702,被配置为根据每个时间周期的访问成功次数、访问失败次数和调整因子,获得待访问用户的第一安全值。
本实施例中,根据待访问用户对目标可信区的访问成功次数和访问失败次数,可以较为准确地确定待访问用户在目标可信区的第一安全值,从而便于了解待访问用户在目标可信区的安全程度。
图8是本申请实施例提供的一种同类可信区确定模块的组成方框图。如图8所示,该同类可信区确定模块800包括:
备选选取单元801,被配置为选取与目标可信区具有共同访问用户的可信区作为备选可信区。
第一安全向量构建单元802,被配置为确定每个共同访问用户在目标可信区的第一安全值,并基于共同访问用户在目标可信区的第一安全值构建第一安全向量。
第二安全向量构建单元803,被配置为确定每个共同访问用户在备选可信区的第一安全值,并基于共同访问用户在备选可信区的第一安全值构建第二安全向量。
拟合度获取单元804,被配置为依据第一安全向量和第二安全向量,获得备选可信区与目标可信区的拟合度。
备选确定单元805,被配置为根据拟合度和预设的拟合阈值,确定备选可信区是否为目标可信区的同类可信区。
本实施例中,根据共同访问用户确定备选可信区,分别构建共同访问用户在目标可信区的第一安全向量以及共同访问用户在备选可信区的第二安全向量,根据第一安全向量和第二安全向量计算备选可信区与目标可信区之间的拟合度,从而根据拟合度和预设拟合阈值,从备选可信区中进一步筛选与目标可信区相似性更高的备选可信区作为同类可信区。
图9是本申请实施例提供的一种第二安全值确定模块的组成方框图。如图9所示,该第二安全值确定模块900包括:
安全评估值获取单元901,被配置为获取待访问用户在每个同类可信区的安全评估值。
第二安全值获取单元902,被配置为根据待访问用户在同类可信区的安全评估值以及目标可信区与同类可信区的拟合度,获得待访问用户在同类可信区的第二安全值。
本实施例中,不仅考虑到待访问用户在同类可信区的安全评估值,还考虑到同类可信区与目标可信区的相似程度,从而可以获得更加准确合理的第二安全值,提高安全认证准确性。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (10)

1.一种访问授权方法,其特征在于,包括:
响应待访问用户对目标可信区的访问请求,确定所述待访问用户在所述目标可信区的第一安全值;
确定所述目标可信区的同类可信区;
获取所述待访问用户在所述同类可信区的第二安全值;
依据所述第一安全值、所述第二安全值和预设的安全阈值,确定是否授权所述待访问用户的访问请求。
2.根据权利要求1所述的访问授权方法,其特征在于,所述响应待访问用户对目标可信区的访问请求,确定所述待访问用户在所述目标可信区的第一安全值,包括:
确定所述待访问用户在每个时间周期的访问成功次数和访问失败次数,其中,所述时间周期为预设的周期;
根据每个时间周期的访问成功次数、访问失败次数和调整因子,获得所述待访问用户的第一安全值。
3.根据权利要求2所述的访问授权方法,其特征在于,所述第一安全值通过公式(1)设置:
Figure FDA0003175748200000011
其中,i表示时间周期的序号,i的取值范围为{1,2,…,N},N为时间周期的总数量,且N为大于或等于1的整数,ai表示第i个时间周期的调整因子,Si表示待访问用户在第i个时间周期的访问成功次数,F表示待访问用户在第i个时间周期的访问失败次数,P1表示待访问用户的第一安全值。
4.根据权利要求1所述的访问授权方法,其特征在于,所述确定所述目标可信区的同类可信区,包括:
选取与所述目标可信区具有共同访问用户的可信区作为备选可信区;
确定每个所述共同访问用户在所述目标可信区的第一安全值,并基于所述共同访问用户在所述目标可信区的第一安全值构建第一安全向量;
确定每个所述共同访问用户在所述备选可信区的第一安全值,并基于所述共同访问用户在所述备选可信区的第一安全值构建第二安全向量;
依据所述第一安全向量和所述第二安全向量,获得所述备选可信区与所述目标可信区的拟合度;
根据所述拟合度和预设的拟合阈值,确定所述备选可信区是否为所述目标可信区的同类可信区。
5.根据权利要求4所述的访问授权方法,其特征在于,所述依据所述第一安全向量和所述第二安全向量,获得所述备选可信区与所述目标可信区的拟合度,包括:
计算所述第一安全向量与所述第二安全向量之间的余弦夹角,获得所述备选可信区与所述目标可信区的拟合度。
6.根据权利要求4所述的访问授权方法,其特征在于,所述获取所述待访问用户在所述同类可信区的第二安全值,包括:
获取所述待访问用户在每个所述同类可信区的安全评估值;
根据所述待访问用户在所述同类可信区的安全评估值以及所述目标可信区与所述同类可信区的拟合度,获得所述待访问用户在所述同类可信区的第二安全值。
7.根据权利要求6所述的访问授权方法,其特征在于,所述安全评估值是根据每个时间周期内所述待访问用户在所述同类可信区的访问成功次数、访问失败次数以及每个时间周期的调整因子,计算获得的数值。
8.根据权利要求6或7所述的访问授权方法,其特征在于,所述第二安全值通过公式(2)设置:
Figure FDA0003175748200000031
其中,j表示同类可信区的序号,j的取值范围为{1,2,…,M},M为同类可信区的总数量,且M为大于或等于1的整数,
Figure FDA0003175748200000032
表示第j个同类可信区对待访问用户的安全评估值,simj表示第j个同类可信区与目标可信区的拟合度,P2表示待访问用户的第二安全值。
9.根据权利要求1所述的访问授权方法,其特征在于,所述依据所述第一安全值、所述第二安全值和预设的安全阈值,确定是否授权所述待访问用户的访问请求,包括:
确定所述第一安全值对应的第一权重系数以及所述第二安全值对应的第二权重系数;
依据所述第一安全值、所述第一权重系数、所述第二安全值和所述第二权重系数,获得安全总值;
比较所述安全总值与所述预设的安全阈值,获得比较结果;
根据所述比较结果确定是否授权所述待访问用户的访问请求。
10.一种访问授权装置,其特征在于,包括:
第一安全值确定模块,被配置为响应待访问用户对目标可信区的访问请求,确定所述待访问用户在所述目标可信区的第一安全值;
同类可信区确定模块,被配置为确定所述目标可信区的同类可信区;
第二安全值获取模块,被配置为获取所述待访问用户在所述同类可信区的第二安全值;
授权确定模块,被配置为依据所述第一安全值、所述第二安全值和预设的安全阈值,确定是否授权所述待访问用户的访问请求。
CN202110831847.4A 2021-07-22 2021-07-22 访问授权方法及装置 Active CN113486311B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110831847.4A CN113486311B (zh) 2021-07-22 2021-07-22 访问授权方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110831847.4A CN113486311B (zh) 2021-07-22 2021-07-22 访问授权方法及装置

Publications (2)

Publication Number Publication Date
CN113486311A true CN113486311A (zh) 2021-10-08
CN113486311B CN113486311B (zh) 2023-06-02

Family

ID=77942016

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110831847.4A Active CN113486311B (zh) 2021-07-22 2021-07-22 访问授权方法及装置

Country Status (1)

Country Link
CN (1) CN113486311B (zh)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101005506A (zh) * 2006-01-17 2007-07-25 国际商业机器公司 用于信息处理的系统和方法
CN101208702A (zh) * 2005-06-06 2008-06-25 甲骨文国际公司 计算机执行的认证和授权体系结构
CN102099810A (zh) * 2008-05-16 2011-06-15 微软公司 移动设备辅助的安全计算机网络通信
US20120030426A1 (en) * 2010-07-27 2012-02-02 Infinidat Ltd. Method of access control to stored information and system thereof
CN102741851A (zh) * 2009-10-16 2012-10-17 阿莫洛格有限公司 提高用户账户访问安全性的系统和方法
CN107925668A (zh) * 2015-07-02 2018-04-17 康维达无线有限责任公司 资源驱动的动态授权框架
CN108063751A (zh) * 2017-10-20 2018-05-22 国网宁夏电力有限公司 一种用于新能源电厂的公网安全接入方法
CN110225002A (zh) * 2019-05-21 2019-09-10 平安科技(深圳)有限公司 业务办理方法及相关产品
CN111586019A (zh) * 2020-04-30 2020-08-25 中国银行股份有限公司 身份认证方法、装置及服务设备
US20200396239A1 (en) * 2019-06-12 2020-12-17 Paypal, Inc. Security Risk Evaluation for User Accounts
CN112262384A (zh) * 2018-05-02 2021-01-22 三星电子株式会社 用于资源访问认证的系统和方法
CN113068155A (zh) * 2021-03-25 2021-07-02 中国联合网络通信集团有限公司 业务开通方法和服务器

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101208702A (zh) * 2005-06-06 2008-06-25 甲骨文国际公司 计算机执行的认证和授权体系结构
CN101005506A (zh) * 2006-01-17 2007-07-25 国际商业机器公司 用于信息处理的系统和方法
CN102099810A (zh) * 2008-05-16 2011-06-15 微软公司 移动设备辅助的安全计算机网络通信
CN102741851A (zh) * 2009-10-16 2012-10-17 阿莫洛格有限公司 提高用户账户访问安全性的系统和方法
US20120030426A1 (en) * 2010-07-27 2012-02-02 Infinidat Ltd. Method of access control to stored information and system thereof
CN107925668A (zh) * 2015-07-02 2018-04-17 康维达无线有限责任公司 资源驱动的动态授权框架
CN108063751A (zh) * 2017-10-20 2018-05-22 国网宁夏电力有限公司 一种用于新能源电厂的公网安全接入方法
CN112262384A (zh) * 2018-05-02 2021-01-22 三星电子株式会社 用于资源访问认证的系统和方法
CN110225002A (zh) * 2019-05-21 2019-09-10 平安科技(深圳)有限公司 业务办理方法及相关产品
US20200396239A1 (en) * 2019-06-12 2020-12-17 Paypal, Inc. Security Risk Evaluation for User Accounts
CN111586019A (zh) * 2020-04-30 2020-08-25 中国银行股份有限公司 身份认证方法、装置及服务设备
CN113068155A (zh) * 2021-03-25 2021-07-02 中国联合网络通信集团有限公司 业务开通方法和服务器

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
程宏兵;赵紫星;叶长河;: "基于体系架构的云计算安全研究进展", 计算机科学 *
陈杰伟;关宇;刘军;: "基于属性安全值的强制访问控制模型", 计算机科学 *

Also Published As

Publication number Publication date
CN113486311B (zh) 2023-06-02

Similar Documents

Publication Publication Date Title
US10452824B2 (en) Method and apparatus for optimized access of security credentials via mobile edge-computing systems
US9740841B2 (en) Using biometric user-specific attributes
US20110314549A1 (en) Method and apparatus for periodic context-aware authentication
US20110314558A1 (en) Method and apparatus for context-aware authentication
JP2002041481A (ja) 生物学的測定評点の標準化方法及びノーマライザ
Wang et al. Location protection method for mobile crowd sensing based on local differential privacy preference
US20130031596A1 (en) Evaluating Detectability of Information in Authorization Policies
CN105578412B (zh) 一种基于位置服务的位置匿名方法及系统
Zhang et al. Privacy quantification model based on the Bayes conditional risk in Location-based services
CN108924120B (zh) 一种多维状态感知的动态访问控制方法
Huai et al. Privacy-aware Synthesizing for Crowdsourced Data.
CN111797433A (zh) 一种基于差分隐私的lbs服务隐私保护方法
Wu et al. TCPP: Achieving privacy-preserving trajectory correlation with differential privacy
CN113486311A (zh) 访问授权方法及装置
KR100727038B1 (ko) 네트워크 기반의 부동산 지수산정 시스템 및 그 방법
Zhao et al. EPLA: efficient personal location anonymity
CN116436683A (zh) 一种零信任电力网络设备接入安全信任评估方法及装置
Fan et al. A Closer Look: Evaluating Location Privacy Empirically
CN114820114A (zh) 一种企业多租户管理平台
Peng et al. Profile optimum planning for degradation analysis
CN114510731A (zh) 智能家居安全访问控制方法、装置及存储介质
CN113486344A (zh) 一种接口防刷方法、装置、服务端及存储介质
CN107342975B (zh) 不可信云环境下基于域划分的信任计算方法
Liang et al. A global optimal model for protecting privacy
Neto et al. Untrustworthiness: A trust-based security metric

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant