CN115086075A - 一种行为可信的强制访问控制方法及装置 - Google Patents
一种行为可信的强制访问控制方法及装置 Download PDFInfo
- Publication number
- CN115086075A CN115086075A CN202210855763.9A CN202210855763A CN115086075A CN 115086075 A CN115086075 A CN 115086075A CN 202210855763 A CN202210855763 A CN 202210855763A CN 115086075 A CN115086075 A CN 115086075A
- Authority
- CN
- China
- Prior art keywords
- access control
- information
- workflow
- information flow
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Abstract
本发明公开了一种行为可信的强制访问控制方法及装置,强制访问控制方法包括:在传统基于对象的强制访问控制基础上增加对对应业务工作流及信息流进行安全标记并加载;截获主体向客体发出的请求,在传统对其中信息进行预设的访问控制策略检查的基础上,利用AI学习算法进行对应工作流和信息流的可信判别;利用设计的自动化强制访问控制策略编排框架监控并审计访问控制的全过程,并根据监控反馈进行安全级别调整。对传统的强制访问控制主体进行了扩展,解决现有访问控制体系都存在对专用或简单系统较有效,但对通用或大型系统并不适用的问题。
Description
技术领域
本发明涉及信息安全技术领域,更具体地说,涉及一种行为可信的强制访问控制方法及装置。
背景技术
访问控制是一种有效的计算机安全解决方案,也是最直观最自然的一种方案,直到目前还是绝大多数系统的基础必配策略。访问控制主要是针对信息保密性和信息完整性问题的解决方案。
强制访问控制是主要的安全机制之一,其核心是为主体、客体做标记,根据标记的安全级别,参照策略模型决定访问控制权限,保证数据的单向流动。客体,是一种既包含有信息,又可以被访问的实体(文件、目录、记录、程序、网络节点等)。主体,是一种可以操作客体,使信息在客体之间流动的实体(进程或用户)。通常,主体同时也是一个客体。因为当一个程序存放在内存或硬盘上时,那么它就与其它数据一样被当作客体,可供其它主体访问,但当这个程序运行起来去访问别的客体,它就成为了主体。安全标记,可能是安全级别或者其他用于策略判断的标记,典型的安全级别从低到高包括:公开、秘密、机密、高密。
访问控制技术始终在随着计算机技术一起发展。早期的计算机非常昂贵,主要应用于军事、金融等特殊应用场景,当时访问控制技术也比较严格,以强制访问控制为主。随着计算机在企业的广泛应用,针对企业内按角色分配权限的场景,基于角色的访问控制成为主流。现在,分布式计算、云服务、互联网、物联网逐渐得到广泛应用,对访问控制的灵活性要求越来越高。
现有的强制访问控制主要包括BLP、BIBA、自主访问控制模型基于角色的访问控制和基于属性的访问控制模型等。这些强制访问控制体系都集中于主体对客体内容的强制访问控制,对于主客体之间的行为是否可信,以及主客体间的信息流、被管控业务的工作流是否可信尚缺乏对应的安全管控方法,尤其是适应当前网络空间安全的自动化和智能化的行为级的访问控制技术与系统。而且,由于算力的限制,访问控制粒度细化带来响应性能的急剧下降,使得现有访问控制体系都存在对专用或简单系统较有效,但对通用或大型系统并不太适用的问题。
发明内容
本发明提供了一种行为可信的强制访问控制方法及装置,解决现有访问控制体系都存在对专用或简单系统较有效,但对通用或大型系统并不太适用的问题。
为解决上述问题,一方面,本发明提供一种行为可信的强制访问控制方法,包括:
对对象访问控制的业务中涉及的工作流及信息流进行安全标记并加载;
截获主体向客体发出的请求,对其中信息进行预设的访问控制策略检查,利用预设的AI学习算法进行所述工作流及信息流的可信判别;
利用预设的自动化强制访问控制策略编排框架监控并审计访问控制的全过程,并根据监控反馈进行安全级别调整。
对对象访问控制的业务中涉及的工作流及信息流进行安全标记并加载,包括:
对工作流进行安全标记;
对信息流进行安全标记。
所述对工作流进行安全标记,包括:
利用预设的工作流引擎将标准业务流程映射为对应的工作流;
利用预设的人工智能算法对生成的工作流进行特征提取,并生成对应工作流的特征标识;
将特征标识存储在对应的合法业务工作流特征表中,并对工作流制定对应的访问控制策略,从而形成合法业务工作流的访问控制规则表;
根据访问控制规则表对工作流进行安全标记。
所述对信息流进行安全标记,包括:
利用预设的信息流引擎将工作流映射为网络中对应合法业务的信息流;
利用预设的人工智能算法对生成的信息流进行特征提取,并生成对应的信息流的特征标识;
将特征标识存储在对应的合法业务信息流特征表中,并对信息流制定对应的访问控制策略,从而形成合法业务信息流的访问控制规则表;
根据生成的访问控制规则表对信息流进行安全标记。
所述截获主体向客体发出的请求,对其中信息进行预设的访问控制策略检查,利用预设的AI学习算法进行所述工作流及信息流的可信判别,包括:
当主体发出访问客体的请求后,通过预设的系统安全机制截获所述请求,并从所述请求中取出访问控制相关的主体信息、客体信息及操作信息,并对客体信息进行有效性检查;
若客体信息有效,则获取主体及客体的安全标记,并依据预设的强制访问控制策略对所述请求进行策略符合性检查;若所述请求符合强制访问控制策略,则允许所述主体访问所述客体。
所述当主体发出访问客体的请求后,通过预设的系统安全机制截获所述请求,并从所述请求中取出访问控制相关的主体信息、客体信息及操作信息,并对客体信息进行有效性检查,包括:
直接获取传统强制访问控制要求的操作信息,判断所述操作信息是否有效,若有效则根据操作信息及预设的工作流引擎获取对应业务的工作流,否则判别为非法操作并拒绝访问;
提取所述工作流的特征信息;
将所述工作流的特征信息与所述合法业务工作流特征表中的信息进行比对,若比对成功则利用预设的信息流引擎将所述工作流中的信息流进行提取,否则判别为非法业务并拒绝访问;
提取所述信息流的特征信息;
将所述信息流的特征信息与所述合法业务信息流特征表中的信息进行比对,若比对成功则获取主体及客体的安全标记,并依据预设的强制访问控制策略对所述请求进行策略符合性检查,否则判别为非法业务并拒绝访问。
所述若客体信息有效,则获取主体及客体的安全标记,并依据预设的强制访问控制策略对所述请求进行策略符合性检查;若所述请求符合强制访问控制策略,则允许所述主体访问所述客体,包括:
对传统强制访问控制要求的操作信息进行基于安全标记的操作信息访问控制检测,若符合预设的操作内容访问控制策略则对工作流进行基于安全标记的工作流访问控制检测,否则被系统拒绝执行;
若符合预设的工作流访问控制策略则对信息流进行基于安全标记的信息流访问控制检测,否则被系统拒绝执行;
若符合预设的信息流访问控制策略则监控并审计访问控制的全过程,根据监控反馈进行安全级别调整,否则被系统拒绝执行。
一方面,提供一种行为可信的强制访问控制装置,包括:
标记模块,用于对对象访问控制的业务中涉及的工作流及信息流进行安全标记并加载;
检查模块,用于截获主体向客体发出的请求,对其中信息进行预设的访问控制策略检查,利用预设的AI学习算法进行所述工作流及信息流的可信判别;
调整模块,利用预设的自动化强制访问控制策略编排框架监控并审计访问控制的全过程,并根据监控反馈进行安全级别调整。
所述标记模块包括工作流标记子模块及信息流标记子模块;
工作流标记子模块用于对工作流进行安全标记;其中,利用预设的工作流引擎将标准业务流程映射为对应的工作流;利用预设的人工智能算法对生成的工作流进行特征提取,并生成对应工作流的特征标识;将特征标识存储在对应的合法业务工作流特征表中,并对工作流制定对应的访问控制策略,从而形成合法业务工作流的访问控制规则表;根据访问控制规则表对工作流进行安全标记;
信息流标记子模块用于对信息流进行安全标记;其中,利用预设的信息流引擎将工作流映射为网络中对应合法业务的信息流;利用预设的人工智能算法对生成的信息流进行特征提取,并生成对应的信息流的特征标识;将特征标识存储在对应的合法业务信息流特征表中,并对信息流制定对应的访问控制策略,从而形成合法业务信息流的访问控制规则表;根据生成的访问控制规则表对信息流进行安全标记;
所述检查模块包括第一检查子模块及第二检查子模块;
第一检查子模块用于当主体发出访问客体的请求后,通过预设的系统安全机制截获所述请求,并从所述请求中取出访问控制相关的主体信息、客体信息及操作信息,并对客体信息进行有效性检查;其中,直接获取传统强制访问控制要求的操作信息,判断所述操作信息是否有效,若有效则根据操作信息及预设的工作流引擎获取对应业务的工作流,否则判别为非法操作并拒绝访问;提取所述工作流的特征信息;将所述工作流的特征信息与所述合法业务工作流特征表中的信息进行比对,若比对成功则利用预设的信息流引擎将所述工作流中的信息流进行提取,否则判别为非法业务并拒绝访问;提取所述信息流的特征信息;将所述信息流的特征信息与所述合法业务信息流特征表中的信息进行比对,若比对成功则获取主体及客体的安全标记,并依据预设的强制访问控制策略对所述请求进行策略符合性检查,否则判别为非法业务并拒绝访问;
第二检查子模块用于在客体信息有效时,则获取主体及客体的安全标记,并依据预设的强制访问控制策略对所述请求进行策略符合性检查;若所述请求符合强制访问控制策略,则允许所述主体访问所述客体;其中,对传统强制访问控制要求的操作信息进行基于安全标记的操作信息访问控制检测,若符合预设的操作内容访问控制策略则对工作流进行基于安全标记的工作流访问控制检测,否则被系统拒绝执行;若符合预设的工作流访问控制策略则对信息流进行基于安全标记的信息流访问控制检测,否则被系统拒绝执行;若符合预设的信息流访问控制策略则监控并审计访问控制的全过程,根据监控反馈进行安全级别调整,否则被系统拒绝执行。
一方面,提供一种计算机可读存储介质,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行以上所述的一种行为可信的强制访问控制方法。
本发明的有益效果是:在传统基于内容的强制访问控制系统基础上,将安全与业务进行耦合,通过业务主体、客体、内容、状态机、操作链和服务树的标记、识别、鉴权、授权、包过滤等安全机制与访问控制措施,实现基于业务信息流和工作流的全生命周期访问控制;基于算力支撑平台提供的算力支持,通过全面的内容检测,信息流和工作流的可信验证,实现细粒度和透明化的强制访问控制,提供大型复杂应用系统安全检测和及时响应,超越现有访问控制系统的安全粒度与强度。利用设计的自动化强制访问控制策略编排框架实现自动化和智能化的强制访问控制策略编排,减少了强制访问控制策略设计、制定、执行、修改过程中的人工介入,降低了人为错误发生的概率,实现了访问控制策略的自适应动态调整,并提升了访问控制功能执行的效率。将传统的强制访问控制主体进行了扩展,实现了对用户、设备、业务(系统和应用)的数字化和访问控制,并通过对其全生命周期细粒度的动态强制访问控制,实现了“零信任”的理念。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种行为可信的强制访问控制方法的流程图。
图2是本发明一实施例提供的强制访问策略编排框架的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本发明中,“示例性”一词用来表示“用作例子、例证或说明”。本发明中被描述为“示例性”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本发明,给出了以下描述。在以下描述中,为了解释的目的而列出了细节。应当明白的是,本领域普通技术人员可以认识到,在不使用这些特定细节的情况下也可以实现本发明。在其它实例中,不会对公知的结构和过程进行详细阐述,以避免不必要的细节使本发明的描述变得晦涩。因此,本发明并非旨在限于所示的实施例,而是与符合本发明所公开的原理和特征的最广范围相一致。
1、本发明提出一种行为可信的强制访问控制方法,在传统访问控制的基础上,创新性地引入工作流和信息流的访问控制策略,实现全网、全系统、全生命周期的行为可信性,真正实现细粒度的行为可信的实时的强制访问控制,满足当前网络空间安全的防护要求。
2、本发明提出一种行为可信的强制访问控制系统,通过业务与安全的耦合,在业务系统内容、信息流、工作流的细粒度安全检查的基础上,基于自动化强制访问控制编排框架实现了自动化和智能化的动态访问控制策略编排,支持形式化表示的行为可信功能与验证。
3、将传统的强制访问控制主体进行了扩展,实现了对用户、设备、业务(系统和应用)的数字化和访问控制,并通过对其全生命周期细粒度的动态强制访问控制,实现了“零信任”的理念。
4、基于算力支撑平台提供的算力支持,满足细粒度透明化的行为级访问控制需要,实现行为可信的强制访问控制。
本发明对传统的强制访问控制模型进行了扩展和改进,提出了一种基于行为可信的强制访问控制方法,对传统的强制访问控制主体进行了扩展,实现了对用户、设备、业务(系统和应用)的数字化和访问控制,对传统的只关注于主客体之间内容的强制访问控制系统进行了升级和扩展,提出了基于全生命周期“内容+工作流+信息流”的细粒度强制访问控制系统,其效果符合“零信任”的思想理念,从而实现被管控对象的行为可信,满足当前网络空间安全防御的发展要求。
总之,本案增强了如下4个访问控制功能:
1、工作流的访问控制:业务工作流的行为链、服务树、状态机的生成、监测、评估、管理控制。
2、信息流的访问控制:基于无干扰模型的信息流控制技术,对业务工作流的状态机、操作链、服务树的生成、监测、评估、管理控制过程进行安全隔离和干扰影响等的形式化建模、仿真与验证,实现内容的可信性。
3、自动化强制访问控制策略编排框架:利用此框架监控并审计访问控制的全过程,并根据监控反馈进行安全级别调整。
4、算力支撑平台:为细粒度的内容、工作流、信息流等的动态实时映射、检测、分析与判别,安全管理与控制提供算法和算力支持。
参见图1,图1是本发明一实施例提供的一种行为可信的强制访问控制方法的流程图,所述强制访问控制方法包括步骤S1-S3:
S1、对对象访问控制的业务中涉及的工作流及信息流进行安全标记并加载;步骤S1包括步骤S11-S12:
S11、对工作流进行安全标记;步骤S11包括步骤S111-S114:
S111、利用预设的工作流引擎将标准业务流程映射为对应的工作流。
本实施例中,利用对应工作流引擎将标准业务流程映射为对应工作流的表现形式(表现形式包括行为链、服务树、状态机)。
S112、利用预设的人工智能算法对生成的工作流进行特征提取,并生成对应工作流的特征标识。
本实施例中,利用人工智能算法对生成的标准工作流进行特征提取,生成对应工作流的特征标识。
S113、将特征标识存储在对应的合法业务工作流特征表中,并对工作流制定对应的访问控制策略,从而形成合法业务工作流的访问控制规则表。
本实施例中,将特征标识存储在对应的合法业务工作流特征表中,并对每种工作流制定对应的访问控制策略,形成合法业务工作流的访问控制规则表。
S114、根据访问控制规则表对工作流进行安全标记。
本实施例中,根据生成的访问控制规则表,对生成的各个合法业务工作流进行安全标记。
S12、对信息流进行安全标记。步骤S12包括步骤S121-S124:
S121、利用预设的信息流引擎将工作流映射为网络中对应合法业务的信息流。
本实施例中,利用信息流映射引擎将生成的合法业务工作流映射为网络中对应合法业务的信息流。
S122、利用预设的人工智能算法对生成的信息流进行特征提取,并生成对应的信息流的特征标识。
本实施例中,利用人工智能算法对生成的合法业务的信息流进行特征提取,生成对应的信息流的特征标识。
S123、将特征标识存储在对应的合法业务信息流特征表中,并对信息流制定对应的访问控制策略,从而形成合法业务信息流的访问控制规则表。
本实施例中,将特征标识存储在对应的合法业务信息流特征表中,并对每种信息流制定对应的访问控制策略,形成合法业务信息流的访问控制规则表。
S124、根据生成的访问控制规则表对信息流进行安全标记。
本实施例中,根据生成的访问控制规则表,对生成的各个合法业务信息流进行安全标记。
综上,步骤S1首先通过系统初始化:对管控主体中所涉及的用户、设备及其业务(系统和应用)进行数字化映射处理,利用自动化强制访问策略编排框架自动确定所需强制访问控制策略,并完成对主体、客体、业务流程对应的工作流、信息流进行安全标记。其中,业务流程到工作流的映射可采用对应的工作流引擎完成,根据所选工作流引擎的差异,具体可映射为对应的业务行为链、服务树或状态机。对这些业务工作流生成的行为链、服务树、状态机的生成、监测、评估、管理控制过程则会生成对应的信息流。
其次,启动系统:系统启动时,加载主体、客体和业务对应工作流、信息流的安全标记以及访问控制规则表,对获得的初始化信息进行加载。
S2、截获主体向客体发出的请求,对其中信息进行预设的访问控制策略检查,利用预设的AI学习算法进行所述工作流及信息流的可信判别;步骤S2包括步骤S21-S22:
S21、当主体发出访问客体的请求后,通过预设的系统安全机制截获所述请求,并从所述请求中取出访问控制相关的主体信息、客体信息及操作信息,并对客体信息进行有效性检查;步骤S21包括步骤S211-S215:
S211、直接获取传统强制访问控制要求的操作信息,判断所述操作信息是否有效,若有效则根据操作信息及预设的工作流引擎获取对应业务的工作流,否则判别为非法操作并拒绝访问。
本实施例中,直接获取传统强制访问控制要求的操作内容信息,判断其是否有效,若符合则根据操作内容信息依据工作流引擎获取对应业务工作流,否则判别为非法操作,拒绝访问。
S212、提取所述工作流的特征信息。
本实施例中,利用与步骤S1中同样的AI算法(人工智能算法)提取该工作流的特征信息。AI算法的作用是提取工作流和信息流的特征,以便进行是否合法的判别。涉及的算法与模型要根据具体业务进行选择。例如可以是但不限于如下学习算法,以及他们之间相应组合和集成:k-均值聚类、层次聚类、主成分分析、独立成分分析、支持向量机,决策树,朴素贝叶斯算法等;而且,基于这些学习算法,还可以采用一种集成学习算法,如Adaboost、随机森林等,选取最好的算法结果作为最后的学习结果。
S213、将所述工作流的特征信息与所述合法业务工作流特征表中的信息进行比对,若比对成功则利用预设的信息流引擎将所述工作流中的信息流进行提取,否则判别为非法业务并拒绝访问。
本实施例中,将此信息与前文生成的合法业务工作流特征表中的信息进行比对,若符合则利用信息流引擎将此工作流对应的信息流进行提取,否则判别为非法业务,拒绝访问。
S214、提取所述信息流的特征信息。
本实施例中,利用与步骤S1中同样的AI算法提取该信息流的特征信息。
S215、将所述信息流的特征信息与所述合法业务信息流特征表中的信息进行比对,若比对成功则执行步骤S22,否则判别为非法业务并拒绝访问。
本实施例中,将此信息与前文生成的合法业务信息流特征表中的信息进行比对,若符合则进入下一步,否则判别为非法信息,拒绝访问。
综上,步骤S21中,当执行程序主体发出访问客体的请求后,系统安全机制截获该请求,并从中取出访问控制相关的主体、客体、操作三要素信息,并判断客体信息是否有效。这里的客体信息除了传统的内容信息外还包括操作业务对应的工作流和信息流。
S22、若客体信息有效,则获取主体及客体的安全标记,并依据预设的强制访问控制策略对所述请求进行策略符合性检查;若所述请求符合强制访问控制策略,则允许所述主体访问所述客体。步骤S22包括步骤S221-S223:
S221、对传统强制访问控制要求的操作信息进行基于安全标记的操作信息访问控制检测,若符合预设的操作内容访问控制策略则对工作流进行基于安全标记的工作流访问控制检测,否则被系统拒绝执行。
本实施例中,直接对传统强制访问控制要求的操作内容信息进行基于安全标记的访问控制检测,若符合访问控制策略则进入下一步,否则被系统拒绝执行。
S222、若符合预设的工作流访问控制策略则对信息流进行基于安全标记的信息流访问控制检测,否则被系统拒绝执行。
本实施例中,针对提取的业务工作流进行基于安全标记的访问控制检测,若符合访问控制策略则进入下一步,否则被系统拒绝执行。
S223、若符合预设的信息流访问控制策略则执行步骤S3,否则被系统拒绝执行。
本实施例中,针对提取的业务信息流进行基于安全标记的访问控制检测,若符合访问控制策略则进入下一步,否则被系统拒绝执行。
综上,步骤S22通过查询主体、客体安全标记得到安全标记信息,并依据强制访问控制策略对该请求和响应实施策略符合性检查。如果该请求和响应符合系统强制访问控制策略,则系统将允许该主体执行资源访问。否则,该请求将被系统拒绝执行。
S3、利用预设的自动化强制访问控制策略编排框架监控并审计访问控制的全过程,并根据监控反馈进行安全级别调整。
本实施例中,步骤S3包括步骤S31-S32:
S31、动态级别调整;其中,自动化强制访问控制策略编排框架对访问控制全过程进行动态监控,根据监控反馈动态进行安全级别调整。级别调整后,由自动化架构智能生成新的强制访问控制策略及相关信息,并自动更新到访问控制内核。
S32、全程审计;其中,在整个访问控制的全过程,所有安全配置的修改调整及主体对客体(内容、工作流、信息流)的访问信息都支持进行日志审计。
为实现上述方法,本专利在算力支撑的基础上,设计了自动化的强制访问策略编排框架,强制访问控制策略自动生成、自动配置、自动检测、自动执行和自动修正,实现了策略设计与执行的自动化与智能化,为强制访问控制策略的动态调整提供了技术支撑,并支持形式化的表示与验证,其自动化强制访问策略编排框架体现在3个层次上,分别为算力支撑下的目标驱动的安全管理平台、以控制器的能力来支撑的强制访问控制系统(控制器)和以网络空间为基础的分布式数据平面。自动化强制访问控制策略编排框架对访问控制全过程进行动态监控,根据监控反馈动态进行安全级别调整。可以根据需要由管理员或自动化编排框架自身进行级别调整,级别调整后,由自动化架构智能生成新的强制访问控制策略及相关信息,并自动更新到访问控制内核。
最上层:算力支撑下的目标驱动的安全管理平台为框架最上层,其功能在于在强大的算力支撑的基础上,将管理平面用户或应用的意图,映射为逻辑集中的控制平面可以理解的策略。这使安全策略管理员从庞杂细碎的手工配置中抽出身来,以便他们把主要精力聚焦在强制访问安全设计目标的确定和达成上。这里涉及的主要是策略语言,它包括策略描述的定义和编译。
中间层:控制器的能力来支撑的强制访问控制系统为框架的中间层,其功能在于依据具体的强制访问控制模型与协议,同时根据策略目标状态,该层可求解策略部署方案,并验证策略的一致性。其中,策略和状态组成闭环控制的整体。控制器根据特定的策略目标状态部署相应的策略以实现管理员意图。细化来看,策略部署的正确性也需要一个下发和校验的闭环来保障,状态获取的针对性也同样需要一个配置和监测的闭环来支撑。
底层:以网络空间为基础的分布式数据平面为框架最下层。该层完成网络空间强制访问控制的策略匹配与状态监测,并执行相应的访问控制功能。
另外,参见如2,图2是本发明一实施例提供的强制访问策略编排框架的结构示意图,强制访问策略编排框架在硬件实现上,包括了安全管理平台、算力支撑系统、强制访问控制系统(控制器)、检测模块、配置模块、执行器、传感器。“安全管理平台”在“算力支撑系统”的支持下将管理平面用户或应用的意图,映射为逻辑集中的控制平面可以理解的策略,并生成策略目标状态。然后将此目标状态下发到“强制访问控制系统(控制器)”。控制器依据此策略目标状态和具体的强制访问控制模型与协议,生成策略部署方案,并验证策略的一致性。其中,指令和状态组成闭环控制的整体。策略部署的正确性也需要一个下发和校验的闭环来保障,状态获取的针对性也同样需要一个配置和监测的闭环,来支撑。在此过程中,可以根据“检测模块”对状态的检测反馈,联合“配置模块”对策略方案进行“安全级别调整”和“策略的自动化调整和编排”最后以此策略方案完成对底层“网络空间系统”中各种业务应用的资源访问请求的强制访问控制功能。“执行器”对“强制访问控制系统(控制器)”发出的指令进行执行,“传感器”负责对“网络空间系统”的状态进行采集和传感。“监测模块”进行对“访问控制”进行了动态监控并对监控结果进行反馈,联合“配置模块”进行“安全级别调整”和“策略的自动化调整和编排”。“指令”是强制访问控制系统(控制器)发出的指令,“状态”是网络空间系统的当前状态。“策略目标状态”是针对用户或应用的安全目标而设计的平台可以理解的目标策略的当前状态。“映射”是指“利用对应工作流引擎将标准业务流程映射为对应工作流的表现形式(行为链、服务树、状态机)”及“利用信息流映射引擎将生成的合法业务工作流映射为网络中对应合法业务的信息流。”等功能。“分析”和“判别”是指分析判断对应工作流、信息流是否合法,详见对应的“工作流、信息流判别”操作步骤。包括具体学习中涉及的AI算法引擎也由本“算力支持平台”提供。其中,“监测模块”进行对“访问控制”进行了动态监控,“访问控制”由“强制访问控制系统(控制器)”产生。“监测模块”进行对“访问控制”进行了动态监控并对监控结果进行反馈,联合“配置”模块进行“安全级别调整”。
由此,解决了传统的强制方法控制策略调整方式是由管理员手动进行策略调整,而“自动化强制访问控制策略编排框架”则可以“由管理员或自动化编排框架自身进行级别调整”对原有的功能进行了扩展,在保留“管理员调整策略”功能的基础上,可以实现“策略的自动化调整和编排”。此“自动化强制访问控制策略编排框架”是一套体系框架结构,可以根据实际需要集成不同的监控和策略调整算法模块,所以在本案中提出该框架对原有手动策略调整方式的改进。
本发明提供的一种行为可信的强制访问控制装置包括:
标记模块,用于对对象访问控制的业务中涉及的工作流及信息流进行安全标记并加载;
检查模块,用于截获主体向客体发出的请求,对其中信息进行预设的访问控制策略检查,利用预设的AI学习算法进行所述工作流及信息流的可信判别;
调整模块,用于利用预设的自动化强制访问控制策略编排框架监控并审计访问控制的全过程,并根据监控反馈进行安全级别调整。
所述标记模块包括工作流标记子模块及信息流标记子模块;
工作流标记子模块用于对工作流进行安全标记;其中,利用预设的工作流引擎将标准业务流程映射为对应的工作流;利用预设的人工智能算法对生成的工作流进行特征提取,并生成对应工作流的特征标识;将特征标识存储在对应的合法业务工作流特征表中,并对工作流制定对应的访问控制策略,从而形成合法业务工作流的访问控制规则表;根据访问控制规则表对工作流进行安全标记;
信息流标记子模块用于对信息流进行安全标记;其中,利用预设的信息流引擎将工作流映射为网络中对应合法业务的信息流;利用预设的人工智能算法对生成的信息流进行特征提取,并生成对应的信息流的特征标识;将特征标识存储在对应的合法业务信息流特征表中,并对信息流制定对应的访问控制策略,从而形成合法业务信息流的访问控制规则表;根据生成的访问控制规则表对信息流进行安全标记;
所述检查模块包括第一检查子模块及第二检查子模块;
第一检查子模块用于当主体发出访问客体的请求后,通过预设的系统安全机制截获所述请求,并从所述请求中取出访问控制相关的主体信息、客体信息及操作信息,并对客体信息进行有效性检查;其中,直接获取传统强制访问控制要求的操作信息,判断所述操作信息是否有效,若有效则根据操作信息及预设的工作流引擎获取对应业务的工作流,否则判别为非法操作并拒绝访问;提取所述工作流的特征信息;将所述工作流的特征信息与所述合法业务工作流特征表中的信息进行比对,若比对成功则利用预设的信息流引擎将所述工作流中的信息流进行提取,否则判别为非法业务并拒绝访问;提取所述信息流的特征信息;将所述信息流的特征信息与所述合法业务信息流特征表中的信息进行比对,若比对成功则获取主体及客体的安全标记,并依据预设的强制访问控制策略对所述请求进行策略符合性检查,否则判别为非法业务并拒绝访问;
第二检查子模块用于在客体信息有效时,则获取主体及客体的安全标记,并依据预设的强制访问控制策略对所述请求进行策略符合性检查;若所述请求符合强制访问控制策略,则允许所述主体访问所述客体;其中,对传统强制访问控制要求的操作信息进行基于安全标记的操作信息访问控制检测,若符合预设的操作内容访问控制策略则对工作流进行基于安全标记的工作流访问控制检测,否则被系统拒绝执行;若符合预设的工作流访问控制策略则对信息流进行基于安全标记的信息流访问控制检测,否则被系统拒绝执行;若符合预设的信息流访问控制策略则监控并审计访问控制的全过程,根据监控反馈进行安全级别调整,否则被系统拒绝执行。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。为此,本发明实施例提供一种存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本发明实施例所提供的任一种行为可信的强制访问控制方法中的步骤。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本发明实施例所提供的任一种行为可信的强制访问控制方法中的步骤,因此,可以实现本发明实施例所提供的任一种行为可信的强制访问控制方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种行为可信的强制访问控制方法,其特征在于,包括:
对对象访问控制的业务中涉及的工作流及信息流进行安全标记并加载;
截获主体向客体发出的请求,对其中信息进行预设的访问控制策略检查,利用预设的AI学习算法进行所述工作流及信息流的可信判别;
利用预设的自动化强制访问控制策略编排框架监控并审计访问控制的全过程,并根据监控反馈进行安全级别调整。
2.根据权利要求1所述的强制访问控制方法,其特征在于,对对象访问控制的业务中涉及的工作流及信息流进行安全标记并加载,包括:
对工作流进行安全标记;
对信息流进行安全标记。
3.根据权利要求2所述的强制访问控制方法,其特征在于,所述对工作流进行安全标记,包括:
利用预设的工作流引擎将标准业务流程映射为对应的工作流;
利用预设的人工智能算法对生成的工作流进行特征提取,并生成对应工作流的特征标识;
将特征标识存储在对应的合法业务工作流特征表中,并对工作流制定对应的访问控制策略,从而形成合法业务工作流的访问控制规则表;
根据访问控制规则表对工作流进行安全标记。
4.根据权利要求3所述的强制访问控制方法,其特征在于,所述对信息流进行安全标记,包括:
利用预设的信息流引擎将工作流映射为网络中对应合法业务的信息流;
利用预设的人工智能算法对生成的信息流进行特征提取,并生成对应的信息流的特征标识;
将特征标识存储在对应的合法业务信息流特征表中,并对信息流制定对应的访问控制策略,从而形成合法业务信息流的访问控制规则表;
根据生成的访问控制规则表对信息流进行安全标记。
5.根据权利要求4所述的强制访问控制方法,其特征在于,所述截获主体向客体发出的请求,对其中信息进行预设的访问控制策略检查,利用预设的AI学习算法进行所述工作流及信息流的可信判别,包括:
当主体发出访问客体的请求后,通过预设的系统安全机制截获所述请求,并从所述请求中取出访问控制相关的主体信息、客体信息及操作信息,并对客体信息进行有效性检查;
若客体信息有效,则获取主体及客体的安全标记,并依据预设的强制访问控制策略对所述请求进行策略符合性检查;若所述请求符合强制访问控制策略,则允许所述主体访问所述客体。
6.根据权利要求5所述的强制访问控制方法,其特征在于,所述当主体发出访问客体的请求后,通过预设的系统安全机制截获所述请求,并从所述请求中取出访问控制相关的主体信息、客体信息及操作信息,并对客体信息进行有效性检查,包括:
直接获取传统强制访问控制要求的操作信息,判断所述操作信息是否有效,若有效则根据操作信息及预设的工作流引擎获取对应业务的工作流,否则判别为非法操作并拒绝访问;
提取所述工作流的特征信息;
将所述工作流的特征信息与所述合法业务工作流特征表中的信息进行比对,若比对成功则利用预设的信息流引擎将所述工作流中的信息流进行提取,否则判别为非法业务并拒绝访问;
提取所述信息流的特征信息;
将所述信息流的特征信息与所述合法业务信息流特征表中的信息进行比对,若比对成功则获取主体及客体的安全标记,并依据预设的强制访问控制策略对所述请求进行策略符合性检查,否则判别为非法业务并拒绝访问。
7.根据权利要求6所述的强制访问控制方法,其特征在于,所述若客体信息有效,则获取主体及客体的安全标记,并依据预设的强制访问控制策略对所述请求进行策略符合性检查;若所述请求符合强制访问控制策略,则允许所述主体访问所述客体,包括:
对传统强制访问控制要求的操作信息进行基于安全标记的操作信息访问控制检测,若符合预设的操作内容访问控制策略则对工作流进行基于安全标记的工作流访问控制检测,否则被系统拒绝执行;
若符合预设的工作流访问控制策略则对信息流进行基于安全标记的信息流访问控制检测,否则被系统拒绝执行;
若符合预设的信息流访问控制策略则监控并审计访问控制的全过程,根据监控反馈进行安全级别调整,否则被系统拒绝执行。
8.一种行为可信的强制访问控制装置,其特征在于,包括:
标记模块,用于对对象访问控制的业务中涉及的工作流及信息流进行安全标记并加载;
检查模块,用于截获主体向客体发出的请求,对其中信息进行预设的访问控制策略检查,利用预设的AI学习算法进行所述工作流及信息流的可信判别;
调整模块,利用预设的自动化强制访问控制策略编排框架监控并审计访问控制的全过程,并根据监控反馈进行安全级别调整。
9.根据权利要求8所述的强制访问控制装置,其特征在于,所述标记模块包括工作流标记子模块及信息流标记子模块;
工作流标记子模块用于对工作流进行安全标记;其中,利用预设的工作流引擎将标准业务流程映射为对应的工作流;利用预设的人工智能算法对生成的工作流进行特征提取,并生成对应工作流的特征标识;将特征标识存储在对应的合法业务工作流特征表中,并对工作流制定对应的访问控制策略,从而形成合法业务工作流的访问控制规则表;根据访问控制规则表对工作流进行安全标记;
信息流标记子模块用于对信息流进行安全标记;其中,利用预设的信息流引擎将工作流映射为网络中对应合法业务的信息流;利用预设的人工智能算法对生成的信息流进行特征提取,并生成对应的信息流的特征标识;将特征标识存储在对应的合法业务信息流特征表中,并对信息流制定对应的访问控制策略,从而形成合法业务信息流的访问控制规则表;根据生成的访问控制规则表对信息流进行安全标记;
所述检查模块包括第一检查子模块及第二检查子模块;
第一检查子模块用于当主体发出访问客体的请求后,通过预设的系统安全机制截获所述请求,并从所述请求中取出访问控制相关的主体信息、客体信息及操作信息,并对客体信息进行有效性检查;其中,直接获取传统强制访问控制要求的操作信息,判断所述操作信息是否有效,若有效则根据操作信息及预设的工作流引擎获取对应业务的工作流,否则判别为非法操作并拒绝访问;提取所述工作流的特征信息;将所述工作流的特征信息与所述合法业务工作流特征表中的信息进行比对,若比对成功则利用预设的信息流引擎将所述工作流中的信息流进行提取,否则判别为非法业务并拒绝访问;提取所述信息流的特征信息;将所述信息流的特征信息与所述合法业务信息流特征表中的信息进行比对,若比对成功则获取主体及客体的安全标记,并依据预设的强制访问控制策略对所述请求进行策略符合性检查,否则判别为非法业务并拒绝访问;
第二检查子模块用于在客体信息有效时,则获取主体及客体的安全标记,并依据预设的强制访问控制策略对所述请求进行策略符合性检查;若所述请求符合强制访问控制策略,则允许所述主体访问所述客体;其中,对传统强制访问控制要求的操作信息进行基于安全标记的操作信息访问控制检测,若符合预设的操作内容访问控制策略则对工作流进行基于安全标记的工作流访问控制检测,否则被系统拒绝执行;若符合预设的工作流访问控制策略则对信息流进行基于安全标记的信息流访问控制检测,否则被系统拒绝执行;若符合预设的信息流访问控制策略则监控并审计访问控制的全过程,根据监控反馈进行安全级别调整,否则被系统拒绝执行。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行权利要求1至7任一项所述的一种行为可信的强制访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210855763.9A CN115086075B (zh) | 2022-07-21 | 2022-07-21 | 一种行为可信的强制访问控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210855763.9A CN115086075B (zh) | 2022-07-21 | 2022-07-21 | 一种行为可信的强制访问控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115086075A true CN115086075A (zh) | 2022-09-20 |
| CN115086075B CN115086075B (zh) | 2022-12-27 |
Family
ID=83260144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210855763.9A Active CN115086075B (zh) | 2022-07-21 | 2022-07-21 | 一种行为可信的强制访问控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115086075B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115664851A (zh) * | 2022-12-14 | 2023-01-31 | 深圳市永达电子信息股份有限公司 | 一种基于业务行为的安全管控方法及装置 |
| CN116668197A (zh) * | 2023-07-28 | 2023-08-29 | 深圳市永达电子信息股份有限公司 | 信息流无干扰策略的网络强制访问控制实现方法及装置 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作系统强制访问控制机制的实施方法 |
| CN102904889A (zh) * | 2012-10-12 | 2013-01-30 | 北京可信华泰信息技术有限公司 | 支持跨平台统一管理的强制访问控制系统及方法 |
| CN107612929A (zh) * | 2017-10-18 | 2018-01-19 | 南京航空航天大学 | 一种基于信息流的多级安全访问控制模型 |
| CN108712369A (zh) * | 2018-03-29 | 2018-10-26 | 中国工程物理研究院计算机应用研究所 | 一种工业控制网多属性约束访问控制决策系统和方法 |
| CN110073301A (zh) * | 2017-08-02 | 2019-07-30 | 强力物联网投资组合2016有限公司 | 工业物联网中具有大数据集的数据收集环境下的检测方法和系统 |
| US20190258953A1 (en) * | 2018-01-23 | 2019-08-22 | Ulrich Lang | Method and system for determining policies, rules, and agent characteristics, for automating agents, and protection |
| US20200213336A1 (en) * | 2018-12-26 | 2020-07-02 | International Business Machines Corporation | Detecting inappropriate activity in the presence of unauthenticated API requests using artificial intelligence |
| CN112231726A (zh) * | 2020-10-16 | 2021-01-15 | 中国南方电网有限责任公司 | 访问控制方法、装置、计算机设备及可读存储介质 |
| CN113240116A (zh) * | 2021-07-12 | 2021-08-10 | 深圳市永达电子信息股份有限公司 | 基于类脑平台的智慧防火云系统 |
| CN114697141A (zh) * | 2022-05-30 | 2022-07-01 | 深圳市永达电子信息股份有限公司 | 一种基于状态机的c4isr态势感知分析系统及方法 |
| CN114757592A (zh) * | 2022-06-15 | 2022-07-15 | 北京乐开科技有限责任公司 | 一种工作流引擎与rpa融合的编排方法及系统 |
-
2022
- 2022-07-21 CN CN202210855763.9A patent/CN115086075B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作系统强制访问控制机制的实施方法 |
| CN102904889A (zh) * | 2012-10-12 | 2013-01-30 | 北京可信华泰信息技术有限公司 | 支持跨平台统一管理的强制访问控制系统及方法 |
| CN110073301A (zh) * | 2017-08-02 | 2019-07-30 | 强力物联网投资组合2016有限公司 | 工业物联网中具有大数据集的数据收集环境下的检测方法和系统 |
| CN107612929A (zh) * | 2017-10-18 | 2018-01-19 | 南京航空航天大学 | 一种基于信息流的多级安全访问控制模型 |
| US20190258953A1 (en) * | 2018-01-23 | 2019-08-22 | Ulrich Lang | Method and system for determining policies, rules, and agent characteristics, for automating agents, and protection |
| CN108712369A (zh) * | 2018-03-29 | 2018-10-26 | 中国工程物理研究院计算机应用研究所 | 一种工业控制网多属性约束访问控制决策系统和方法 |
| US20200213336A1 (en) * | 2018-12-26 | 2020-07-02 | International Business Machines Corporation | Detecting inappropriate activity in the presence of unauthenticated API requests using artificial intelligence |
| CN112231726A (zh) * | 2020-10-16 | 2021-01-15 | 中国南方电网有限责任公司 | 访问控制方法、装置、计算机设备及可读存储介质 |
| CN113240116A (zh) * | 2021-07-12 | 2021-08-10 | 深圳市永达电子信息股份有限公司 | 基于类脑平台的智慧防火云系统 |
| CN114697141A (zh) * | 2022-05-30 | 2022-07-01 | 深圳市永达电子信息股份有限公司 | 一种基于状态机的c4isr态势感知分析系统及方法 |
| CN114757592A (zh) * | 2022-06-15 | 2022-07-15 | 北京乐开科技有限责任公司 | 一种工作流引擎与rpa融合的编排方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 李肯立等: "基于神经网络的访问控制策略优化模型", 《计算机科学》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115664851A (zh) * | 2022-12-14 | 2023-01-31 | 深圳市永达电子信息股份有限公司 | 一种基于业务行为的安全管控方法及装置 |
| CN116668197A (zh) * | 2023-07-28 | 2023-08-29 | 深圳市永达电子信息股份有限公司 | 信息流无干扰策略的网络强制访问控制实现方法及装置 |
| CN116668197B (zh) * | 2023-07-28 | 2023-11-28 | 深圳市永达电子信息股份有限公司 | 信息流无干扰策略的网络强制访问控制实现方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115086075B (zh) | 2022-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11178182B2 (en) | Automated access control management for computing systems | |
| CN115086075B (zh) | 一种行为可信的强制访问控制方法及装置 | |
| US10924514B1 (en) | Machine learning detection of fraudulent validation of financial institution credentials | |
| US11405400B2 (en) | Hardening based on access capability exercise sufficiency | |
| US9053302B2 (en) | Obligation system for enterprise environments | |
| US20200092298A1 (en) | Avoiding user session misclassification using configuration and activity fingerprints | |
| US10069868B2 (en) | Systems and methods to facilitate multi-factor authentication policy enforcement using one or more policy handlers | |
| EP3067817B1 (en) | Dynamic data masking for mainframe application | |
| US8789162B2 (en) | Method and apparatus for making token-based access decisions | |
| US20150310195A1 (en) | Characterizing user behavior via intelligent identity analytics | |
| US20150101014A1 (en) | Provisioning authorization claims using attribute-based access-control policies | |
| EP3805962B1 (en) | Project-based permission system | |
| US10664619B1 (en) | Automated agent for data copies verification | |
| CN110138767B (zh) | 事务请求的处理方法、装置、设备和存储介质 | |
| CN109753783A (zh) | 一种基于机器学习的单点登录方法、装置及计算机可读存储介质 | |
| US20100185451A1 (en) | Business-responsibility-centric identity management | |
| US20230208880A1 (en) | Automating trust in software upgrades | |
| US20150033367A1 (en) | Solution for Continuous Control and Protection of Enterprise Data Based on Authorization Projection | |
| CN114499922A (zh) | 一种智能化的零信任动态授权方法 | |
| CN111917801A (zh) | 私有云环境下基于Petri网的用户行为认证方法 | |
| Wang et al. | Security violation detection for rbac based interoperation in distributed environment | |
| WO2024032032A1 (zh) | 云平台测试方法、装置、服务节点及云平台 | |
| CN109948360B (zh) | 一种用于复杂场景的多控制域安全内核构建方法及系统 | |
| Urbanczyk et al. | Application of a Government Data Center (GDC) Reference Model for Security Management Analysis | |
| CN117609991A (zh) | 操作拦截方法、装置、设备、存储介质及程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |