CN114553487A - 一种基于图谱的访问控制方法及系统 - Google Patents

一种基于图谱的访问控制方法及系统 Download PDF

Info

Publication number
CN114553487A
CN114553487A CN202210075635.2A CN202210075635A CN114553487A CN 114553487 A CN114553487 A CN 114553487A CN 202210075635 A CN202210075635 A CN 202210075635A CN 114553487 A CN114553487 A CN 114553487A
Authority
CN
China
Prior art keywords
user
community
attribute
credibility
nodes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210075635.2A
Other languages
English (en)
Other versions
CN114553487B (zh
Inventor
曹敏
苏玉
许绘香
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Institute of Technology
Original Assignee
Zhengzhou Institute of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Institute of Technology filed Critical Zhengzhou Institute of Technology
Priority to CN202210075635.2A priority Critical patent/CN114553487B/zh
Publication of CN114553487A publication Critical patent/CN114553487A/zh
Application granted granted Critical
Publication of CN114553487B publication Critical patent/CN114553487B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9024Graphs; Linked lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明提供了一种基于图谱的访问控制方法及系统,设置大数据分析的数据源,得到用户属性,基于所述用户属性构建用户图谱,根据用户图谱以及设置的属性权重值,对用户进行社区划分,并计算社区的可信任度;然后,根据环境属性调整系统风险等级,所述环境属性包括资源所在主机的资源利用率、单位时间内被攻击次数;若系统风险等级大于第一阈值,则基于用户属性、资源属性根据控制规则控制用户访问权限,否则,利用所述可信任度对控制规则进行调整,根据用户属性、资源属性以及调整后的控制规则控制用户访问权限。本发明利用用户图谱进行社区划分,并结合系统的安全性,提高了ABAC访问控制方法的灵活性。

Description

一种基于图谱的访问控制方法及系统
技术领域
本发明涉及访问控制领域,尤其涉及基于图谱的访问控制方法及系统。
背景技术
互联网的快速发展给人们生活带来了很多便利,而这离不开信息安全,访问控制是信息安全的重要内容,访问控制主要包括三个元素,访问主体、访问权限、访问资源,其基本原理是访问主体根据访问权限项访问资源,防止访问主体对非权限内资源的访问。按照访问控制实现的方式可以分为自主访问控制(Discretionary Access Control,DAC)、强制访问控制(Mandatory Access Control,MAC)、基于角色的访问控制(Role-Based AccessControl,RBAC)和基于属性的访问控制(Attribute Based Access Control,ABAC)。自主访问控制、强制访问控制以及基于角色的访问控制虽然实现起来比较简单,但是灵活性较差,例如RBAC中,如果一个用户的角色为Guest,则无论环境等如何变化,该用户只能访问允许Guest访问的资源。相较于前三种访问控制方法,ABAC策略具有一定的灵活性,在ABAC策略中包括用户、资源、操作、环境四个元素,其中用户、资源、环境又包括多个属性,属性的变化会引起权限的变化,例如一个用户包括两个属性:级别为Level 5、累计在线时长为100h,其只能访问系统中的文件A,当级别变为Level 6后,系统能自动判断出属性的变化,其权限扩大到能够访问系统中的文件B。
然而,虽然基于属性的访问控制方法能根据用户、资源以及环境的属性变化实现权限的动态管理,但是属性值是固定的,其灵活性仍然有很大的局限性,用户必须到达某个属性值才能访问资源,这种情况已经和开放互联网的快速发展严重不适应。
发明内容
为了提高基于属性的访问控制的灵活性,结合用户的图谱,本发明提供了一种基于图谱的访问控制方法,所述方法包括以下步骤:
S1,设置大数据分析的数据源,对数据源中的结构化、半结构化、非结构化数据进行分析,得到用户属性,基于所述用户属性构建用户图谱,根据所述用户图谱以及设置的属性权重值,对用户进行社区划分,并计算社区的可信任度;
S2,根据环境属性调整系统风险等级,所述环境属性包括资源所在主机的资源利用率、单位时间内被攻击次数;若系统风险等级大于第一阈值,则基于用户属性、资源属性根据控制规则控制用户访问权限,否则,利用所述可信任度对控制规则进行调整,根据用户属性、资源属性以及调整后的控制规则控制用户访问权限。
优选地,所述根据所述用户图谱以及设置的属性权重值,对用户进行社区划分,并计算社区的可信任度,具体包括以下步骤:
S11,以所述用户图谱中任一节点A为起始,按照公式
Figure BDA0003483860600000021
计算与节点A相连的其他节点与节点A的亲疏度r,将亲疏度位于预设范围的节点划分为一个社区,其中n为两个节点具有相同属性值的数量,weighti为具有相同属性值的属性的权重值;
S12,判断是否有节点不属于任何社区,如果有,对于剩余节点执行S11,直到所有节点都属于一个社区;
S13,计算社区的可信任度s,所述
Figure BDA0003483860600000022
所述m为社区中边的个数,rj为社区第j条边的亲疏度,r0为所述用户图谱中所有节点中最大亲疏度。
优选地,所述根据环境属性调整系统风险等级,具体为:
设置系统风险等级为10级,根据公式
Figure BDA0003483860600000031
算风险等级d,若计算得到的风险等级d>10,则d=10;其中u为主机的资源利用率、k为单位时间内被攻击次数,d0为系统初始风险等级。
优选地,所述根据所述可信任度对控制规则进行调整,具体为:若用户所在社区的可信度大于第二阈值,则降低控制规则中属性的标准,若用户所在社区的可信度等于第二阈值,则不改变控制规则标准,若用户所在社区的可信任度小于第二阈值,则提高控制规则中属性的标准。
优选地,所述用户属性至少包括用户级别、注册时间。
另一方面,本发明还提供了一种基于图谱的访问控制系统,所述系统包括以下模块:
用户社区划分模块,用于设置大数据分析的数据源,对数据源中的结构化、半结构化、非结构化数据进行分析,得到用户属性,基于所述用户属性构建用户图谱,根据所述用户图谱以及设置的属性权重值,对用户进行社区划分,并计算社区的可信任度;
访问控制模块,用于根据环境属性调整系统风险等级,所述环境属性包括资源所在主机的资源利用率、单位时间内被攻击次数;若系统风险等级大于第一阈值,则基于用户属性、资源属性根据控制规则控制用户访问权限,否则,利用所述可信任度对控制规则进行调整,根据用户属性、资源属性以及调整后的控制规则控制用户访问权限。
优选地,所述根据所述用户图谱以及设置的属性权重值,对用户进行社区划分,并计算社区的可信任度,具体包括以下单元:
亲疏度计算单元,用于以所述用户图谱中任一节点A为起始,按照公式
Figure BDA0003483860600000041
计算与节点A相连的其他节点与节点A的亲疏度r,将亲疏度位于预设范围的节点划分为一个社区,其中n为两个节点具有相同属性值的数量,weighti为具有相同属性值的属性的权重值;
社区计算单元,判断是否有节点不属于任何社区,如果有,对于剩余节点执行所述亲疏度计算单元,直到所有节点都属于一个社区;
可信任度计算单元,计算社区的可信任度s,所述
Figure BDA0003483860600000042
所述m为社区中边的个数,rj为社区第j条边的亲疏度,r0为所述用户图谱中所有节点中最大亲疏度。
优选地,所述根据环境属性调整系统风险等级,具体为:
设置系统风险等级为10级,根据公式
Figure BDA0003483860600000043
算风险等级d,若计算得到的风险等级d>10,则d=10;其中u为主机的资源利用率、k为单位时间内被攻击次数,d0为系统初始风险等级。
优选地,所述根据所述可信任度对控制规则进行调整,具体为:若用户所在社区的可信度大于第二阈值,则降低控制规则中属性的标准,若用户所在社区的可信度等于第二阈值,则不改变控制规则标准,若用户所在社区的可信任度小于第二阈值,则提高控制规则中属性的标准。
优选地,所述用户属性至少包括用户级别、注册时间。
此外,本发明还提供了一种计算机可读存储介质,用于存储计算机程序指令,所述计算机程序指令在被处理器执行时实现如上所述的方法。
最后,本发明还提供了一种电子设备,包括存储器和处理器,所述存储器用于存储一条或多条计算机程序指令,其中,所述一条或多条计算机程序指令被所述处理器执行以实现如上所述的方法。
本发明首先利用大数据分析技术,获取用户的属性,然后根据用户的属性构建用户图谱,将用户分类,对于信任度高的用户社区,采用宽松的访问策略,对于信任度低的用户社区,采用更为严格的访问策略;此外,还根据当前外界的环境判断资源所在的主机是否处于高负载以及安全的环境,如果负载较大、最近经常受到外界攻击,则主动提高系统的安全等级。本发明具有如下有益效果:1.对基于属性的访问控制方法进行了改进,克服了ABAC策略中不够灵活的缺点,能够根据用户所在社区的信任度采取不同的安全措施;2.利用ABAC策略中的环境属性自主调整系统安全等级,并结合用户社区的信任度对访问控制规则进行动态调整。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明第一实施例的流程图;
图2为本发明的用户图谱示意图;
图3为本发明社区划分及信任度计算的流程图;
图4为本发明一个实施例的架构图;
图5为本发明的第四实施方式的示意图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
实施例一
如图1所示,本发明提供了一种基于图谱的访问控制方法,所述方法包括以下步骤:
S1,设置大数据分析的数据源,对数据源中的结构化、半结构化、非结构化数据进行分析,得到用户属性,基于所述用户属性构建用户图谱,根据所述用户图谱以及设置的属性权重值,对用户进行社区划分,并计算社区的可信任度;
不同系统的用户不同,企业资源系统的用户对象为企业员工,同时还可能有部分销售商和消费者;而对于开放互联网的共享资源网站,其用户主要是广大网民。不同系统获取用户属性的方式也有所区别,在使用本发明提供的访问控制方法时,需要根据系统用户群体设置大数据分析的数据源,在一个实施例中,对于开放的共享网站,设置的数据源为社交软件、微博、网络爬虫爬取的网站等,而对于高校内部的共享资源系统,设置的数据源为校内教职工数据库、校内网站、学生信息数据库等。在一些情况下,还可以对网站或数据的视频、图片进行分析以获取用户属性。由于不同的数据源涉及到不同的数据个数,而且数据量比较大,需要从繁杂的信息中提取用户属性,本发明采用大数据分析的方式对数据源数据进行分析。
在提取到用户属性后,根据用户的属性构建用户图谱,例如用户属性包括用户级别、注册时长、毕业院校、任职公司,则根据这四个属性建立用户的图谱,在下面的说明中,本发明以此四个属性为了进行说明,但是本领域技术人员应知晓,本发明并不局限于上述四个属性。
如图2所示,为根据5个用户构建的图谱,用户A、B、C为校友,用户B、D、E为同事,其中D、E也为校友。在构建用户的图谱时,只要两个用户具有一个属性具有关联性即可建立二者的连接关系。
根据所述用户图谱以及设置的属性权重值,对用户进行社区划分,并计算社区的可信任度,在下面会对此做详细说明,具体可参见下面的内容。
S2,根据环境属性调整系统风险等级,所述环境属性包括资源所在主机的资源利用率、单位时间内被攻击次数;若系统风险等级大于第一阈值,则基于用户属性、资源属性根据控制规则控制用户访问权限,否则,利用所述可信任度对控制规则进行调整,根据用户属性、资源属性以及调整后的控制规则控制用户访问权限。
环境因素直接影响到系统的安全和访问的可达性,本发明根据资源所在的主机的资源利用率和单位时间内被攻击次数判断资源所在的系统的情况,这里以系统风险等级的方式表述,风险等级越大系统所处环境越糟糕,越无法满足用户请求,若风险等级越小,则说明现在系统越处于安全环境且能够满足用户请求环境中。当系统风险等级大于第一阈值时,仍然根据ABAC访问控制策略控制用户访问权限,当系统风险等级小于或等于第一阈值时,在用户访问系统资源时,根据步骤S1计算的可信任度对控制规则进行调整。在一个实施例中,主机的资源利用率为主机的CPU利用率,如果主机为集群,则资源利用率为集群的CPU平均利用率。
用户访问的系统资源可以是文档、图片、视频或者系统的某个功能。在另外一个具体实施例中,可以先计算系统风险等级,然后执行S1,当系统风险等级大于第一阈值时,则无需再进行社区划分以及计算可信任度。
控制规则是ABAC策略中匹配规则,例如一个规则rule=(Level>10)&(Age>18),表示用户级别为10级以上,年龄大于18岁才能访问与该规则对应的资源。
不同的用户属性重要性不同,例如Level的重要性大于Title,在一个具体实施例中,所述根据所述用户图谱以及设置的属性权重值,对用户进行社区划分,并计算社区的可信任度,如图3所示,具体包括以下步骤:
S11,以所述用户图谱中任一节点A为起始,按照公式
Figure BDA0003483860600000081
计算与节点A相连的其他节点与节点A的亲疏度r,将亲疏度位于预设范围的节点划分为一个社区,其中n为两个节点具有相同属性值的数量,weighti为具有相同属性值的属性的权重值;
S12,判断是否有节点不属于任何社区,如果有,对于剩余节点执行S11,直到所有节点都属于一个社区;
例如,节点A和节点B具有相同属性为college、hometown,college和hometown的值相同,也即用户A和用户B既是校友又是同乡,college的权重为0.5,hometown的权重为0.2,则r为0.7;若亲疏度大于0.6的用户划分为一个社区,则用户A和用户B为同一个社区,而如果另外一个用户C和A仅仅hometown相同,A、C的亲疏度为0.2,则不会将二者划分到一个社区。通过调整预设范围可以实现对社区紧凑度的调整。
在计算完A与其他所有节点的亲疏度后,以与A位于同一社区的其他节点为起始,判断与其他节点亲疏度位于预设范围的节点,直到第一个社区计算完毕,然后执行S12。若一个社区只有一个节点,则该节点或者说该用户为高危险用户,则不允许该用户访问任何资源,这有助于防止陌生人访问资源。
在另外一个实施例中,亲疏度r还可以根据属性的关系计算,例如A节点和B节点company相同,Level值不同,由于company相同,进一步会涉及到Level,此时,先计算company的权重值,然后计算Level的权重,将两者相加作为最终的亲疏度。在这个亲疏度的计算中会涉及到属性的包含关系。
此外,还可以根据父属性包括的子属性计算父属性的权重值,例如将company作为一个父属性,company又包括title、level等子属性,进而根据子属性计算得到父属性的权重值,最后计算得到两个节点的亲疏度。
S13,计算社区的可信任度s,所述
Figure BDA0003483860600000091
所述m为社区中边的个数,rj为社区第j条边的亲疏度,r0为所述用户图谱中所有节点中最大亲疏度。
一个社区中的节点聚集度越高,表明该社区可靠性越高,通过平均亲疏度可以计算社区的聚集度,为了归一化,将其越所有节点的最大亲疏度作为分母。
系统的风险等级可以有多种,对于要求细粒度控制的可设置更多的风险等级,对于资源控制的粒度大的系统,可设置较少的风险等级,在一个具体实施例中,所述根据环境属性调整系统风险等级,具体为:
设置系统风险等级为10级,根据公式
Figure BDA0003483860600000092
算风险等级d,若计算得到的风险等级d>10,则d=10;其中u为主机的资源利用率、k为单位时间内被攻击次数,d0为系统初始风险等级。假设d0=2,表1为根据上式计算得到的风险等级:
表1
Figure BDA0003483860600000101
控制规则也即匹配规则,根据请求资源的用户属性和社区可信度判断是否允许访问资源,若社区可信度较大,则降低控制规则中属性的标准,若可信度较小,需要提高控制规则中属性的值。所述根据所述可信任度对控制规则进行调整,具体为:若用户所在社区的可信度大于第二阈值,则降低控制规则中属性的标准,若用户所在社区的可信度等于第二阈值,则不改变控制规则标准,若用户所在社区的可信任度小于第二阈值,则提高控制规则中属性的标准。
仍以规则rule=(Level>10)&(Age>18)为例,当社区的可信度为0.5,第二阈值为0.6,则该社区中用户为不可靠用户,需要提升规则中的值,改变后的规则为rule=(Level>11)&(Age>18),则将Level提升到11级之上,也即可信度为0.5的社区,只有Level大于11,且年龄大于18岁的用户才能访问对应的资源;
当社区的可信度为0.7,第二阈值为0.6,则该社区中的用户为可靠用户,可降低规则中的值,改变后的规则为rule=(Level>8)&(Age>18),也即可信度为0.7的社区,只要Level大于8,且年龄大于18岁的用户都可以访问对应的资源。
在另外一个具体的实施例中,改变控制规则属性的值是以社区的可信度和第二阈值确定改变的幅度。如可信度为0.7,第二阈值为0.6,则规则中所有的属性较小0.1倍,即新的Level为10*(1-0.1)=9,年龄age为18*(1-0.1)=16.2,然后根据系统风险等级确定向上取整还是向下取整,若为向下取整则为16。
在另外一个实施例中,所述用户属性至少包括用户级别、注册时间。不同的系统的用户属性不同,而且还可以对属性进行细分,父属性包括子属性,在一个实施例中,根据子属性权重计算父属性的权重。
实施例二
图3示出了本发明的架构图,本发明还提供了一种基于图谱的访问控制系统,用户访问资源时,先获取该用户的社区,然后根据控制规则进行判断是否允许访问资源。所述系统包括以下模块:
用户社区划分模块,用于设置大数据分析的数据源,对数据源中的结构化、半结构化、非结构化数据进行分析,得到用户属性,基于所述用户属性构建用户图谱,根据所述用户图谱以及设置的属性权重值,对用户进行社区划分,并计算社区的可信任度;
访问控制模块,用于根据环境属性调整系统风险等级,所述环境属性包括资源所在主机的资源利用率、单位时间内被攻击次数;若系统风险等级大于第一阈值,则基于用户属性、资源属性根据控制规则控制用户访问权限,否则,利用所述可信任度对控制规则进行调整,根据用户属性、资源属性以及调整后的控制规则控制用户访问权限。
优选地,所述根据所述用户图谱以及设置的属性权重值,对用户进行社区划分,并计算社区的可信任度,具体包括以下单元:
亲疏度计算单元,用于以所述用户图谱中任一节点A为起始,按照公式
Figure BDA0003483860600000111
计算与节点A相连的其他节点与节点A的亲疏度r,将亲疏度位于预设范围的节点划分为一个社区,其中n为两个节点具有相同属性值的数量,weighti为具有相同属性值的属性的权重值;
社区计算单元,判断是否有节点不属于任何社区,如果有,对于剩余节点执行所述亲疏度计算单元,直到所有节点都属于一个社区;
可信任度计算单元,计算社区的可信任度s,所述
Figure BDA0003483860600000121
所述m为社区中边的个数,rj为社区第j条边的亲疏度,r0为所述用户图谱中所有节点中最大亲疏度。
优选地,所述根据环境属性调整系统风险等级,具体为:
设置系统风险等级为10级,根据公式
Figure BDA0003483860600000122
算风险等级d,若计算得到的风险等级d>10,则d=10;其中u为主机的资源利用率、k为单位时间内被攻击次数,d0为系统初始风险等级。
优选地,所述根据所述可信任度对控制规则进行调整,具体为:若用户所在社区的可信度大于第二阈值,则降低控制规则中属性的标准,若用户所在社区的可信度等于第二阈值,则不改变控制规则标准,若用户所在社区的可信任度小于第二阈值,则提高控制规则中属性的标准。
优选地,所述用户属性至少包括用户级别、注册时间。
实施例三
本发明还提供了一种计算机可读存储介质,用于存储计算机程序指令,所述计算机程序指令在被处理器执行时实现如实施例一所述的方法。
实施例四
如图4所示,本发明还提供了一种电子设备,包括存储器和处理器,所述存储器用于存储一条或多条计算机程序指令,其中,所述一条或多条计算机程序指令被所述处理器执行以实现如实施例一所述的方法。
在一个实施例中,所述电子设备位于用户和主机之间,有电子设备确定是否允许用户请求主机的资源。主机可是一台服务器,也可以是一个集群。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。

Claims (10)

1.一种基于图谱的访问控制方法,其特征在于,所述方法包括以下步骤:
S1,设置大数据分析的数据源,对数据源中的结构化、半结构化、非结构化数据进行分析,得到用户属性,基于所述用户属性构建用户图谱,根据所述用户图谱以及设置的属性权重值,对用户进行社区划分,并计算社区的可信任度;
S2,根据环境属性调整系统风险等级,所述环境属性包括资源所在主机的资源利用率、单位时间内被攻击次数;若系统风险等级大于第一阈值,则基于用户属性、资源属性根据控制规则控制用户访问权限,否则,利用所述可信任度对控制规则进行调整,根据用户属性、资源属性以及调整后的控制规则控制用户访问权限。
2.如权利要求1所述的访问控制方法,其特征在于,所述根据所述用户图谱以及设置的属性权重值,对用户进行社区划分,并计算社区的可信任度,具体包括以下步骤:
S11,以所述用户图谱中任一节点A为起始,按照公式
Figure FDA0003483860590000011
计算与节点A相连的其他节点与节点A的亲疏度r,将亲疏度位于预设范围的节点划分为一个社区,其中n为两个节点具有相同属性值的数量,weighti为具有相同属性值的属性的权重值;
S12,判断是否有节点不属于任何社区,如果有,对于剩余节点执行S11,直到所有节点都属于一个社区;
S13,计算社区的可信任度s,所述
Figure FDA0003483860590000012
所述m为社区中边的个数,rj为社区第j条边的亲疏度,r0为所述用户图谱中所有节点中最大亲疏度。
3.如权利要求1所述的访问控制方法,其特征在于,所述根据环境属性调整系统风险等级,具体为:
设置系统风险等级为10级,根据公式
Figure FDA0003483860590000021
计算风险等级d,若计算得到的风险等级d>10,则d=10;其中u为主机的资源利用率、k为单位时间内被攻击次数,d0为系统初始风险等级。
4.如权利要求1-3任一项所述的访问控制方法,其特征在于,所述根据所述可信任度对控制规则进行调整,具体为:若用户所在社区的可信度大于第二阈值,则降低控制规则中属性的标准,若用户所在社区的可信度等于第二阈值,则不改变控制规则标准,若用户所在社区的可信任度小于第二阈值,则提高控制规则中属性的标准。
5.如权利要求1-4任一项所述的访问控制方法,其特征在于,所述用户属性至少包括用户级别、注册时间。
6.一种基于图谱的访问控制系统,其特征在于,所述系统包括以下模块:
用户社区划分模块,用于设置大数据分析的数据源,对数据源中的结构化、半结构化、非结构化数据进行分析,得到用户属性,基于所述用户属性构建用户图谱,根据所述用户图谱以及设置的属性权重值,对用户进行社区划分,并计算社区的可信任度;
访问控制模块,用于根据环境属性调整系统风险等级,所述环境属性包括资源所在主机的资源利用率、单位时间内被攻击次数;若系统风险等级大于第一阈值,则基于用户属性、资源属性根据控制规则控制用户访问权限,否则,利用所述可信任度对控制规则进行调整,根据用户属性、资源属性以及调整后的控制规则控制用户访问权限。
7.如权利要求6所述的访问控制系统,其特征在于,所述根据所述用户图谱以及设置的属性权重值,对用户进行社区划分,并计算社区的可信任度,具体包括以下单元:
亲疏度计算单元,用于以所述用户图谱中任一节点A为起始,按照公式
Figure FDA0003483860590000031
计算与节点A相连的其他节点与节点A的亲疏度r,将亲疏度位于预设范围的节点划分为一个社区,其中n为两个节点具有相同属性值的数量,weighti为具有相同属性值的属性的权重值;
社区计算单元,判断是否有节点不属于任何社区,如果有,对于剩余节点执行所述亲疏度计算单元,直到所有节点都属于一个社区;
可信任度计算单元,计算社区的可信任度s,所述
Figure FDA0003483860590000032
所述m为社区中边的个数,rj为社区第j条边的亲疏度,r0为所述用户图谱中所有节点中最大亲疏度。
8.如权利要求6所述的访问控制系统,其特征在于,所述根据环境属性调整系统风险等级,具体为:
设置系统风险等级为10级,根据公式
Figure FDA0003483860590000033
计算风险等级d,若计算得到的风险等级d>10,则d=10;其中u为主机的资源利用率、k为单位时间内被攻击次数,d0为系统初始风险等级。
9.如权利要求6-8任一项所述的访问控制系统,其特征在于,所述根据所述可信任度对控制规则进行调整,具体为:若用户所在社区的可信度大于第二阈值,则降低控制规则中属性的标准,若用户所在社区的可信度等于第二阈值,则不改变控制规则标准,若用户所在社区的可信任度小于第二阈值,则提高控制规则中属性的标准。
10.如权利要求6-9任一项所述的访问控制系统,其特征在于,所述用户属性至少包括用户级别、注册时间。
CN202210075635.2A 2022-01-22 2022-01-22 一种基于图谱的访问控制方法及系统 Active CN114553487B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210075635.2A CN114553487B (zh) 2022-01-22 2022-01-22 一种基于图谱的访问控制方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210075635.2A CN114553487B (zh) 2022-01-22 2022-01-22 一种基于图谱的访问控制方法及系统

Publications (2)

Publication Number Publication Date
CN114553487A true CN114553487A (zh) 2022-05-27
CN114553487B CN114553487B (zh) 2023-05-26

Family

ID=81671076

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210075635.2A Active CN114553487B (zh) 2022-01-22 2022-01-22 一种基于图谱的访问控制方法及系统

Country Status (1)

Country Link
CN (1) CN114553487B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115378988A (zh) * 2022-10-25 2022-11-22 国网智能电网研究院有限公司 基于知识图谱的数据访问异常检测及控制方法、装置

Citations (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1805449A (zh) * 2006-01-13 2006-07-19 南京邮电大学 基于信任模型的动态角色访问控制方法
CN101729321A (zh) * 2009-12-22 2010-06-09 北京理工大学 一种基于信任评估机制的动态跨域访问控制方法
CN101888341A (zh) * 2010-07-20 2010-11-17 上海交通大学 在分布式多信任域环境下基于可计算信誉度的访问控制方法
WO2011116528A1 (en) * 2010-03-26 2011-09-29 Nokia Corporation Method and apparatus for providing a trust level to access a resource
US20130268357A1 (en) * 2011-09-15 2013-10-10 Stephan HEATH Methods and/or systems for an online and/or mobile privacy and/or security encryption technologies used in cloud computing with the combination of data mining and/or encryption of user's personal data and/or location data for marketing of internet posted promotions, social messaging or offers using multiple devices, browsers, operating systems, networks, fiber optic communications, multichannel platforms
CN107395430A (zh) * 2017-08-16 2017-11-24 中国民航大学 一种云平台动态风险访问控制方法
CN108702367A (zh) * 2016-02-26 2018-10-23 甲骨文国际公司 用于发现和管理应用的安全性的技术
US20180367547A1 (en) * 2017-06-19 2018-12-20 International Business Machines Corporation Detecting malicious beaconing communities using lockstep detection and co-occurrence graph
CN110264749A (zh) * 2019-07-19 2019-09-20 郑州工程技术学院 基于云计算交通信号灯控制方法、装置、存储器及处理器
WO2019226794A1 (en) * 2018-05-25 2019-11-28 Uptake Technologies, Inc. Hybrid role and attribute based access control system
US20190364051A1 (en) * 2018-05-25 2019-11-28 Uptake Technologies, Inc. Organization based access control system
CN112364366A (zh) * 2020-11-26 2021-02-12 中国人民解放军国防科技大学 基于区块链的联盟数据共享访问控制方法及系统
CN112530587A (zh) * 2020-12-22 2021-03-19 云南财经大学 医疗大数据访问控制用二维动态信任评价模型的构建方法
CN112738194A (zh) * 2020-12-25 2021-04-30 南京联成科技发展股份有限公司 一种安全运维管理的访问控制系统
CN112966245A (zh) * 2021-04-07 2021-06-15 中国南方电网有限责任公司 一种基于信息度量的电网信息系统访问控制方法和系统
CN113282692A (zh) * 2021-05-22 2021-08-20 齐维潇 一种智慧城市的大数据共享方法及装置
CN113377739A (zh) * 2021-05-19 2021-09-10 朗新科技集团股份有限公司 知识图谱应用方法、平台、电子设备及存储介质
CN113449107A (zh) * 2021-06-29 2021-09-28 金陵科技学院 面向地理大数据的分布式自适应访问控制方法
CN113536258A (zh) * 2021-07-29 2021-10-22 中国建设银行股份有限公司 终端访问的控制方法及装置、存储介质及电子设备

Patent Citations (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1805449A (zh) * 2006-01-13 2006-07-19 南京邮电大学 基于信任模型的动态角色访问控制方法
CN101729321A (zh) * 2009-12-22 2010-06-09 北京理工大学 一种基于信任评估机制的动态跨域访问控制方法
WO2011116528A1 (en) * 2010-03-26 2011-09-29 Nokia Corporation Method and apparatus for providing a trust level to access a resource
CN101888341A (zh) * 2010-07-20 2010-11-17 上海交通大学 在分布式多信任域环境下基于可计算信誉度的访问控制方法
US20130268357A1 (en) * 2011-09-15 2013-10-10 Stephan HEATH Methods and/or systems for an online and/or mobile privacy and/or security encryption technologies used in cloud computing with the combination of data mining and/or encryption of user's personal data and/or location data for marketing of internet posted promotions, social messaging or offers using multiple devices, browsers, operating systems, networks, fiber optic communications, multichannel platforms
CN108702367A (zh) * 2016-02-26 2018-10-23 甲骨文国际公司 用于发现和管理应用的安全性的技术
US20180367547A1 (en) * 2017-06-19 2018-12-20 International Business Machines Corporation Detecting malicious beaconing communities using lockstep detection and co-occurrence graph
CN107395430A (zh) * 2017-08-16 2017-11-24 中国民航大学 一种云平台动态风险访问控制方法
US20190364051A1 (en) * 2018-05-25 2019-11-28 Uptake Technologies, Inc. Organization based access control system
WO2019226794A1 (en) * 2018-05-25 2019-11-28 Uptake Technologies, Inc. Hybrid role and attribute based access control system
CN110264749A (zh) * 2019-07-19 2019-09-20 郑州工程技术学院 基于云计算交通信号灯控制方法、装置、存储器及处理器
CN112364366A (zh) * 2020-11-26 2021-02-12 中国人民解放军国防科技大学 基于区块链的联盟数据共享访问控制方法及系统
CN112530587A (zh) * 2020-12-22 2021-03-19 云南财经大学 医疗大数据访问控制用二维动态信任评价模型的构建方法
CN112738194A (zh) * 2020-12-25 2021-04-30 南京联成科技发展股份有限公司 一种安全运维管理的访问控制系统
CN112966245A (zh) * 2021-04-07 2021-06-15 中国南方电网有限责任公司 一种基于信息度量的电网信息系统访问控制方法和系统
CN113377739A (zh) * 2021-05-19 2021-09-10 朗新科技集团股份有限公司 知识图谱应用方法、平台、电子设备及存储介质
CN113282692A (zh) * 2021-05-22 2021-08-20 齐维潇 一种智慧城市的大数据共享方法及装置
CN113449107A (zh) * 2021-06-29 2021-09-28 金陵科技学院 面向地理大数据的分布式自适应访问控制方法
CN113536258A (zh) * 2021-07-29 2021-10-22 中国建设银行股份有限公司 终端访问的控制方法及装置、存储介质及电子设备

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
D. NABIL等: ""ABAC Conceptual Graph Model for Composite Web Services"" *
刘敖迪等: "\" 基于深度学习的ABAC访问控制策略自动化生成技术\"" *
姚志强: "" 以社区域为中心基于信任的访问控制"" *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115378988A (zh) * 2022-10-25 2022-11-22 国网智能电网研究院有限公司 基于知识图谱的数据访问异常检测及控制方法、装置
CN115378988B (zh) * 2022-10-25 2023-02-24 国网智能电网研究院有限公司 基于知识图谱的数据访问异常检测及控制方法、装置

Also Published As

Publication number Publication date
CN114553487B (zh) 2023-05-26

Similar Documents

Publication Publication Date Title
US9807097B1 (en) System for managing access to protected resources
US10430605B1 (en) Differentially private database permissions system
US7836056B2 (en) Location management of off-premise resources
US9934323B2 (en) Systems and methods for dynamic mapping for locality and balance
CN110489558B (zh) 文章聚合方法和装置、介质和计算设备
EP2406930B1 (en) Secure client-side aggregation of web applications
US8667578B2 (en) Web management authorization and delegation framework
US20150101014A1 (en) Provisioning authorization claims using attribute-based access-control policies
US7370344B2 (en) Computer-implemented data access security system and method
US9111104B2 (en) Entitlements determination via access control lists
KR20100074117A (ko) 탐색 필터링
CN108924115B (zh) 一种空间服务权限控制方法及系统
CN112564988A (zh) 告警处理方法、装置及电子设备
US7181513B1 (en) Restricting access to requested resources
Mazzoleni et al. XACML policy integration algorithms: not to be confused with XACML policy combination algorithms!
CN114553487B (zh) 一种基于图谱的访问控制方法及系统
CN112016078A (zh) 一种登录设备的封禁检测方法、装置、服务器和存储介质
CN108133136B (zh) 攻击节点侦测装置、方法及其计算机可读取储存媒体
Ramasamy et al. Advanced heuristics for selecting friends in social internet of things
CN114175577A (zh) 敏感信息的信息屏障
US20130174234A1 (en) Light-weight credential synchronization
CN112364243B (zh) 一种基于大数据的信息推荐系统
Xu et al. A multi‐dimensional index for privacy‐preserving queries in cloud computing
WO2022260808A1 (en) Property-level visibilities for knowledge-graph objects
CN116089941A (zh) 机器学习系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant