CN117278329A - 一种基于零信任网关的应用资源动态控制访问方法 - Google Patents
一种基于零信任网关的应用资源动态控制访问方法 Download PDFInfo
- Publication number
- CN117278329A CN117278329A CN202311550387.3A CN202311550387A CN117278329A CN 117278329 A CN117278329 A CN 117278329A CN 202311550387 A CN202311550387 A CN 202311550387A CN 117278329 A CN117278329 A CN 117278329A
- Authority
- CN
- China
- Prior art keywords
- access
- equipment
- degree
- cluster
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000011156 evaluation Methods 0.000 claims abstract description 17
- 230000002159 abnormal effect Effects 0.000 claims description 12
- 230000008569 process Effects 0.000 claims description 12
- 230000005856 abnormality Effects 0.000 claims description 11
- 238000010606 normalization Methods 0.000 claims description 6
- 230000003542 behavioural effect Effects 0.000 claims description 5
- 238000012163 sequencing technique Methods 0.000 claims description 4
- 238000003064 k means clustering Methods 0.000 claims description 3
- 238000009825 accumulation Methods 0.000 claims description 2
- 230000006399 behavior Effects 0.000 description 12
- 230000006870 function Effects 0.000 description 6
- 230000001105 regulatory effect Effects 0.000 description 6
- 230000001276 controlling effect Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 239000008358 core component Substances 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 208000033999 Device damage Diseases 0.000 description 1
- 206010052804 Drug tolerance Diseases 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000026781 habituation Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及控制访问技术领域,具体涉及一种基于零信任网关的应用资源动态控制访问方法。该方法包括:获取访问数据和登录时的数据;根据访问数据获取设备的设备安全度;将所有设备分类获取第一聚类簇和第二聚类簇;根据两个聚类簇的设备数量、访问主体登录时的数据、设备的使用次数获取访问主体的习惯因子;根据习惯因子、设备安全度和时间网速获取设备异常度,以此获取综合信任度;根据综合信任度访问不同节点;通过节点之间的关联性和当前与历史之间节点的相似性获取调节后的综合信任度;并以此结束动态访问。本发明提高了用户信任评估的精度与效率,同时提高了访问系统的安全性。
Description
技术领域
本发明涉及控制访问技术领域,具体涉及一种基于零信任网关的应用资源动态控制访问方法。
背景技术
访问控制机制可以使安全可信的访问主体获取到所需要的权限,任何多用户的访问系统都离不开对访问系统访问控制的需求,都需要解决实体鉴别、数据保密性、数据完整性等访问控制安全服务问题。
零信任体系中访问主体永远不会被隐式的单纯依据位置信息授予,而必须不断进行评估,根据综合信任值分配权限.同时依据最小权限的原则,可以有效防止内部的横向攻击。在零信任访问控制体系中,通过信任评估模型和算法,实现基于身份的信任评估能力,只有通过信任评估,访问控制访问系统才会授予访问主体操作权限。其中对访问主体的信任评估是零信任网关中的核心组件,其和动态访问控制引擎联动,为其提供信任等级评估作为授权判定依据。而不当的信用评估算法会导致信用评估精度较低,从而影响了访问系统安全。
发明内容
为了解决信用评估算法精度较低的技术问题,本发明提供了一种基于零信任网关的应用资源动态控制访问方法,所采用的技术方案具体如下:
本发明提出了一种基于零信任网关的应用资源动态控制访问方法,该方法包括以下步骤:
将访问系统中不同类型的数据作为一个节点,获取每个访问主体的访问数据,通过访问系统获取访问主体每次登录时的IP地址,时间以及网速;
根据访问主体的访问数据获取访问主体每个设备的设备安全度;
将每个访问主体的所有设备通过聚类算法进行分类获取第一聚类簇和第二聚类簇;根据第一聚类簇和第二聚类簇的设备数量、访问主体的设备数量、访问主体每次登录时的IP地址、每个设备的使用次数获取访问主体的习惯因子;根据访问主体的习惯因子、设备的设备安全度以及设备登录时的时间和网速获取当前设备的异常度;将设备的设备安全度与异常度的比值归一化记为设备的综合信任度;
对于每个节点给予其权限值,根据综合信任度访问不同节点;将当前访问的节点组成一条节点序列与历史访问的节点比较获取当前设备的最大相似性,通过当前设备节点之间的关联性获取当前设备的最大关联性;根据最大相似性、最大关联性以及设备的综合信任度获取设备调节后的综合信任度;
当综合信任度调整后无法获取待访问节点的权限时,结束动态访问。
优选的,所述获取每个访问主体的访问数据的方法为:
所述每个访问主体的访问数据包括设备信息、设备数量以及每个设备的登录次数。
优选的,所述设备信息的获取方法为:
对于每个设备存在一个标识符,所述标识符由数字证书和网卡的MAC地址表示;
对于一个访问系统,访问主体使用过的设备访问后标识符都会保存,每个访问系统保存一个系统标识符库;
将设备的标识符与系统标识符库中的每个标识符使用编辑距离算法获取编辑距离,将最小编辑距离记为设备的匹配值;
对于每个设备,利用现有安全软件获取每个设备的评分记为设备的安全评估值,将设备的安全评估值、设备的匹配值、设备中异常应用程序的数量以及设备中安全软件的版本号记为设备的设备信息。
优选的,所述根据访问主体的访问数据获取访问主体每个设备的设备安全度的方法为:
式中,表示设备的安全评估值,表示设备的匹配值,表示设备的异常应用程
序的数量,表示设备的安全软件的当前版本,表示设备的安全软件的最新版本,表示极
小整数,表示线性归一化函数,表示设备的设备安全度。
优选的,所述将每个访问主体的所有设备通过聚类算法进行分类获取第一聚类簇和第二聚类簇的方法为:
将访问主体的所有设备使用K-means聚类算法对设备进行聚类,K值设置为2,聚类距离为设备之间的使用次数的差异;
对于两个聚类簇,获取聚类簇聚类中心对应的设备的使用次数,将使用次数最大的聚类中心所在的聚类簇记为第一聚类簇,将使用次数最小的聚类中心所在的聚类簇记为第二聚类簇。
优选的,所述根据第一聚类簇和第二聚类簇的设备数量、访问主体的设备数量、访问主体每次登录时的IP地址、每个设备的使用次数获取访问主体的习惯因子的方法为:
式中,表示访问主体所使用的设备数量,表示访问主体所登录时的所有IP地
址种类个数,表示第一聚类簇中第i1个设备的使用次数,表示第二聚类簇中第i2个设
备的使用次数,表示第一聚类簇的设备数量,表示第二聚类簇的设备数量,表
示线性归一化函数,表示访问主体的习惯因子。
优选的,所述根据访问主体的习惯因子、设备的设备安全度以及设备登录时的时间和网速获取当前设备的异常度的方法为:
将当前设备的登录时间与每个历史设备的登录时间的差值的绝对值记为第一差值,将当前设备的网速值与每个历史设备的网速值的差值的绝对值记为第二差值,当前设备与每个历史设备的第一差值和第二差值的乘积累加记为第一计量和,将当前设备的异常度和设备安全度的和记为第一和值,将第一计量和与第一和值的乘积作为当前设备的异常度。
优选的,所述对于每个节点给予其权限值,根据综合信任度访问不同节点的方法为:
在0到1的区间内,设置预设阈值,将0到预设阈值构成第一区间,预设阈值到1构成第二区间,若综合信任度在第一区间内,则为异常访问,拒绝访问主体的访问,若综合信任度在第二区间内,则允许访问主体访问;
若综合信任度大于等于节点的权限值,访问主体可以访问此节点以及其权限值以下的所有节点。
优选的,所述将当前访问的节点组成一条节点序列与历史访问的节点比较获取当前设备的最大相似性,通过当前设备节点之间的关联性获取当前设备的最大关联性的方法为:
将所有节点分为已访问节点和未访问节点,将未访问节点中权限值最小的节点记为待访问节点,将待访问节点与每个未访问节点使用Apriori算法获取两个节点的关联性,将其中最大的关联性记为最大关联性;
将当前的所有已访问节点按照权限值从大到小的顺序排序获取一条节点序列记为当前节点序列,将此设备历史中的所有已访问的节点同样排序获取历史节点序列,获取当前节点序列和历史节点序列的DTW距离,将DTW距离的反比作为两条节点序列的相似性,将其中最大的相似性记为最大相似性。
优选的,所述根据最大相似性、最大关联性以及设备的综合信任度获取设备调节后的综合信任度的方法为:
式中,表示最大关联性,表示最大相似性,表示以自然常数为底
的指数函数,表示用户的行为异常度,表示访问主体当前设备的综合信任度,表示访
问主体当前设备调节后的综合信任度。
本发明具有如下有益效果:本发明中通过对访问主体的访问设备相关数据构建设备安全度。同时通过访问主体所对应的登录用户登录设备的习惯性对设备安全度进行自适应修正,同时基于设备安全度与用户所对应的登录环境构建用户异常度。并基于设备安全度与用户异常度自适应构建用户的初步综合信任度,通过用户的访问行为数据与访问数据之间的关联性自适应构建访问行为异常度,并通过访问行为异常度实时对初步综合信任度进行调节,完成综合信任度的动态调节,基于调节后的综合信任度进行应用资源的动态控制访问,提高了用户信任评估的精度与效率,同时提高了访问系统的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1为本发明一个实施例所提供的一种基于零信任网关的应用资源动态控制访问方法流程图;
图2为一种基于零信任网关的应用资源动态控制访问方法的实施流程图。
具体实施方式
为了更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的一种基于零信任网关的应用资源动态控制访问方法,其具体实施方式、结构、特征及其功效,详细说明如下。在下述说明中,不同的“一个实施例”或“另一个实施例”指的不一定是同一实施例。此外,一或多个实施例中的特定特征、结构或特点可由任何合适形式组合。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。
一种基于零信任网关的应用资源动态控制访问方法实施例:
下面结合附图具体的说明本发明所提供的一种基于零信任网关的应用资源动态控制访问方法的具体方案。
请参阅图1,其示出了本发明一个实施例提供的一种基于零信任网关的应用资源动态控制访问方法流程图,该方法包括以下步骤:
步骤S001,将访问系统中不同类型的数据作为一个节点,获取每个访问主体的访问数据。
传统的访问控制模型主要由3个基本元素组成,即主体、客体、权限。其中主体即为发起访问请求的主体,客体即为访问系统中各待访问的数据,而权限为主体对客体的访问权限。对于主体访问的系统记为访问系统,其中将访问系统中不同类型的数据存在不同的安全等级,其中每个类型的数据看做一个节点,在访问系统接收到访问主体的访问请求时,必须验证和保护所有资源,严格执行访问控制,并检查和记录所有行为。每个用户作为一个访问主体,对于访问主体统计其访问数据,其中访问数据包括:设备信息、设备数量、每个设备的登录次数,所述访问系统可以为一个服务器。
至此,获取了每个访问主体的访问数据。
步骤S002,根据访问主体的访问数据获取访问主体每个设备的设备安全度。
传统的应用资源控制访问往往是基于身份进行的,根据访问主体的身份设置不同
的权限。一旦访问主体的访问系统内用户的账号密码被窃取时,就可以轻松的获取对访问
系统和数据的访问权限,并窃取数据资源,造成极其严重的后果。而零信任体系中访问主体
永远不会被隐式的单纯依据位置信息或身份授予,而必须不断进行评估,根据综合信任值
分配权限。对于每个节点,人为设置其不同的访问权限,将所设置的访问权限值规定为,其中1为权限最高,0.3为权限最低。其中对访问主体的信任评估是零信任网关中
的核心组件,其和动态访问控制引擎联动,为其提供信任等级评估作为授权判定依据。故对
访问主体的信任评估精度直接影响了访问系统安全。
在本实施例中,以一个访问主体为例,对于访问主体中的设备信息,由于每一个设备存在唯一标识符认证,标识符由数字证书和网卡的MAC地址表示;对于访问主体将要访问的访问系统,其每个访问过此访问系统的设备的标识符都会保存在访问系统中构成一个系统标识符库,标识符为字符串,而字符串可能存在格式变化、大小写差异或输入错误等情况,因此本实施例通过编辑距离算法获取设备的标识符与系统标识符库中的每个标识符的编辑距离,编辑距离越小,则说明两字符串的相似度越大,两字符串匹配成功率越大。其中将设备的标识符和系统标识符库中每个标识符计算的编辑距离的最小值作为匹配值。
对于每个设备,利用其安全软件获取设备的安全评估值,其中安全软件为设备自带的安全软件,也可使用市面上现有的安全软件,每个设备的设备信息包括设备的安全评估值、安全软件的版本信息、匹配值以及安全软件所检测出的异常应用程序的数量。根据每个设备的安全评估值、匹配值、异常应用程序个数以及安全软件的版本信息获取设备安全度,公式如下:
式中,表示设备的安全评估值,表示设备的匹配值,表示设备的异常应用程
序的数量,表示设备的安全软件的当前版本,表示设备的安全软件的最新版本,表示极
小整数,在本实施例中取0.01,在此的目的是为了防止分母为0,表示线性归一化函
数,表示设备的设备安全度。
其中,设备的匹配值越小,则说明访问主体的设备在访问系统中匹配成功的概率越大,安全评估值越大,设备安全度越大,异常应用程序的数量越少,设备安全度越大,最新版本与当前版本的差异越大,说明越有可能有更多的漏洞,设备安全度越小。设备安全度越大,说明设备越安全,其存在危险攻击行为的可能性越小,该设备在进行访问时对访问系统造成危害的可能性越小,其所对应的综合信任值越大。
至此,获取了访问主体设备的设备安全度。
步骤S003,将每个访问主体的所有设备通过聚类算法进行分类获取第一聚类簇和第二聚类簇;根据第一聚类簇和第二聚类簇设备数量、访问主体的设备数量、访问主体每次登录时的IP地址、每个设备的使用次数获取访问主体的习惯因子;根据访问主体的习惯因子、设备的设备安全度以及设备登录时的时间和网速获取当前设备的异常度;将设备的设备安全度与异常度的比值归一化记为设备的综合信任度。
由于设备会存在失窃的可能性,且计算的设备安全度往往是一个固定的静态数据,故仅凭设备安全度对综合信任值进行获取时,信用评估精度较低,难以满足动态控制访问的需求。
本实施例继续对身为访问主体的用户进行分析,构建异常度。每个用户可能具有多个设备,根据用户使用设备的变化状况构建用户设备的习惯因子,基于习惯因子对设备安全度进行修正构建异常度。有的用户经常出差,其所使用的设备与登录时的网络状况等数据在不断发生变化,故直接使用设备安全度对信任度进行评估,其精度较低。对于访问主体所登录的用户而言,统计该用户的所有使用的设备以及每台设备的使用次数。使用K-means聚类算法将所有的设备进行分类,聚类距离为使用次数的差异,设置K值为2,由此将所有设备分为了两类,比较两个聚类簇的聚类中心的设备的使用次数,将使用次数较大的聚类中心对应的聚类簇记为第一聚类簇,使用次数较小的聚类中心对应的聚类簇记为第二聚类簇,将第一聚类簇的设备数量记为M1,第二聚类簇的设备数量记为M2,基于此获取访问主体的习惯因子,公式如下:
式中,表示访问主体所使用的设备数量,表示访问主体所登录时的所有IP地
址种类个数,表示第一聚类簇中第i1个设备的使用次数,表示第二聚类簇中第i2个设
备的使用次数,表示第一聚类簇的设备数量,表示第二聚类簇的设备数量,表
示线性归一化函数,表示访问主体的习惯因子。
其中,由于使用聚类后将所有的设备分为了两类,若用户出差比较频繁,则会用到多个设备,每个设备的登录次数较少,但是出差次数较多,整体的登录次数较多,因此式中最后一项的比值较大,习惯因子越大;而若是用户几乎没有出差,依然有其余设备登录,则认为此时出现了安全风险,此时式中最后一项的比值较小,习惯因子越小;除此之外,IP地址种类个数越大,登录设备个数越多,代表用户出差次数越多,习惯因子越大。
习惯因子Z越大,则说明用户在使用设备进行访问时,使用不同的设备进行访问点的可能性越大,其在使用新设备进行访问时,使用上述步骤计算出的新设备访问所对应的设备安全度偏小,精度较低,故可通过习惯因子Z对其进行修正,进而获取每个设备精确的异常度F。
在每次访问主体进行访问系统访问时,保存访问主体此时的网速和时间,根据访问主体的习惯因子和其每个设备的设备安全度以及当前登录时间和网速与历史所有登录时间和网速的差异获取每个设备的异常度,公式如下:
式中,表示第j个设备的异常度,表示访问主体的习惯因子,表示访问主体对
于所有设备的所有使用次数,表示第i个使用次数对应的网速值,表示当前设备登录
时的网速值,表示当前设备登录时的登录时间,表示第i个使用次数对应的登录时间,
表示第j个设备的异常度。
所述时间的差异为分钟的差异,例如,其中当前时间为19点,历史中一天为18点,那么两者的差就是60分钟。
其中,当前网速与历史差异越大,当前登录时间与历史登录时间差异越大,则此时登录的设备越异常。
根据每个设备的异常度和设备安全度构建综合信任度,即令每个设备的设备安全度与每个设备的异常度的比值归一化后作为综合信任度。
至此,获取了访问主体每个设备的综合信任度。
步骤S004,对于每个节点给予其权限值,根据综合信任度访问不同节点;将当前访问的节点组成一条节点序列与历史访问的节点比较获取当前设备的最大相似性,通过当前设备节点之间的关联性获取当前设备的最大关联性;根据最大相似性、最大关联性以及设备的综合信任度获取设备调节后的综合信任度。
根据访问主体的访问需求与开放部分权限时,访问主体的实际访问行为数据与历史访问行为数据进行分析,构建对用户的访问行为数据构建访问主体行为异常度,并基于访问主体的行为异常度对用户的综合信任度进行自适应调节,并基于综合信任度予相应的权限,具体过程如下:
在本实施例中,设置两个区间,分别为[0, 0.3],(0.3,1],根据两个区间对访问主体的访问请求进行初步判断,当综合信任度位于(0.3, 1]区间内,则说明访问主体所对应的用户信息以及设备信息异常度较小,允许访问主体进行访问。否则说明访问主体所进行的访问为异常访问,拒绝访问主体的访问请求。
根据上述步骤对访问主体所对应的综合信任度进行了判断,若访问主体通过了访
问判断,则访问系统内对访问主体开放相应区间内的节点数据权限以供访问主体进行访
问,访问主体的综合信任度达到那个值,可以进入对应值及以下的节点进行访问。例如,计
算得到的综合信任度为0.7,则此时访问主体可以访问节点权限值为0.3,0.4,0.5,0.6,0.7
的节点。可基于访问主体的访问行为数据构建访问行为异常度H,基于访问行为异常度对访
问主体的初步综合信任度进行动态调控,得到调节后的综合信任度。
根据综合信任度访问完所有有权限的节点数据后,按照权限值从小到大的顺序,将无法访问的节点数据与有权限访问的节点数据计算其关联性,节点数据之间的关联性通过Apriori(关联规则挖掘)算法获取,此算法输入为两个节点的所有数据,输出为两个节点的关联性,将权限最小无法访问的节点与所有可访问的节点计算关联性,从中获取关联性的最大值记为最大关联性,除此之外,将访问系统内所有的节点按照从大到小的顺序进行编号,将历史中每一次访问时访问主题所访问的节点构成一条节点序列,将当前访问主体访问的所有节点构成一条当前节点序列,根据DTW算法计算当前节点序列与每条历史节点序列的DTW距离,取DTW距离的反比作为两条节点序列的相似性,将当前节点序列与所有历史节点序列的相似性的最大值记为最大相似性;根据最大相似性和最大关联性构建用户的行为异常度,根据行为异常度对综合信任度进行调控获取调节后的综合信任度,公式如下:
式中,表示最大关联性,表示最大相似性,表示以自然常数为底
的指数函数,表示用户的行为异常度,表示访问主体当前设备的综合信任度,表示访
问主体当前设备调节后的综合信任度。
至此,获取了访问主体当前设备在调节后的综合信任度。
步骤S005,当综合信任度调整后无法获取待访问节点的权限时,结束动态访问。
对综合信任度进行调节后,若有新的可以打开权限的节点,则继续上述操作不断调整综合信任度,打开权限值更高的节点,对综合信任度再进行判断,自适应完成访问主体的访问权限的动态调整,直到无法打开新的节点为止,此时结束动态调整,完成动态访问的整体流程如图2所示。
至此,完成了动态访问。
需要说明的是:上述本发明实施例先后顺序仅仅为了描述,不代表实施例的优劣。在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
Claims (10)
1.一种基于零信任网关的应用资源动态控制访问方法,其特征在于,该方法包括以下步骤:
将访问系统中不同类型的数据作为一个节点,获取每个访问主体的访问数据,通过访问系统获取访问主体每次登录时的IP地址,时间以及网速;
根据访问主体的访问数据获取访问主体每个设备的设备安全度;
将每个访问主体的所有设备通过聚类算法进行分类获取第一聚类簇和第二聚类簇;根据第一聚类簇和第二聚类簇的设备数量、访问主体的设备数量、访问主体每次登录时的IP地址、每个设备的使用次数获取访问主体的习惯因子;根据访问主体的习惯因子、设备的设备安全度以及设备登录时的时间和网速获取当前设备的异常度;将设备的设备安全度与异常度的比值归一化记为设备的综合信任度;
对于每个节点给予其权限值,根据综合信任度访问不同节点;将当前访问的节点组成一条节点序列与历史访问的节点比较获取当前设备的最大相似性,通过当前设备节点之间的关联性获取当前设备的最大关联性;根据最大相似性、最大关联性以及设备的综合信任度获取设备调节后的综合信任度;
当综合信任度调整后无法获取待访问节点的权限时,结束动态访问。
2.如权利要求1所述的一种基于零信任网关的应用资源动态控制访问方法,其特征在于,所述获取每个访问主体的访问数据的方法为:
所述每个访问主体的访问数据包括设备信息、设备数量以及每个设备的登录次数。
3.如权利要求2所述的一种基于零信任网关的应用资源动态控制访问方法,其特征在于,所述设备信息的获取方法为:
对于每个设备存在一个标识符,所述标识符由数字证书和网卡的MAC地址表示;
对于一个访问系统,访问主体使用过的设备访问后标识符都会保存,每个访问系统保存一个系统标识符库;
将设备的标识符与系统标识符库中的每个标识符使用编辑距离算法获取编辑距离,将最小编辑距离记为设备的匹配值;
对于每个设备,利用现有安全软件获取每个设备的评分记为设备的安全评估值,将设备的安全评估值、设备的匹配值、设备中异常应用程序的数量以及设备中安全软件的版本号记为设备的设备信息。
4.如权利要求3所述的一种基于零信任网关的应用资源动态控制访问方法,其特征在于,所述根据访问主体的访问数据获取访问主体每个设备的设备安全度的方法为:
式中,表示设备的安全评估值,/>表示设备的匹配值,/>表示设备的异常应用程序的数量,/>表示设备的安全软件的当前版本,/>表示设备的安全软件的最新版本,/>表示极小整数,/>表示线性归一化函数,/>表示设备的设备安全度。
5.如权利要求1所述的一种基于零信任网关的应用资源动态控制访问方法,其特征在于,所述将每个访问主体的所有设备通过聚类算法进行分类获取第一聚类簇和第二聚类簇的方法为:
将访问主体的所有设备使用K-means聚类算法对设备进行聚类,K值设置为2,聚类距离为设备之间的使用次数的差异;
对于两个聚类簇,获取聚类簇聚类中心对应的设备的使用次数,将使用次数最大的聚类中心所在的聚类簇记为第一聚类簇,将使用次数最小的聚类中心所在的聚类簇记为第二聚类簇。
6.如权利要求1所述的一种基于零信任网关的应用资源动态控制访问方法,其特征在于,所述根据第一聚类簇和第二聚类簇的设备数量、访问主体的设备数量、访问主体每次登录时的IP地址、每个设备的使用次数获取访问主体的习惯因子的方法为:
式中,表示访问主体所使用的设备数量,/>表示访问主体所登录时的所有IP地址种类个数,/>表示第一聚类簇中第i1个设备的使用次数,/>表示第二聚类簇中第i2个设备的使用次数,/>表示第一聚类簇的设备数量,/>表示第二聚类簇的设备数量,/>表示线性归一化函数,/>表示访问主体的习惯因子。
7.如权利要求1所述的一种基于零信任网关的应用资源动态控制访问方法,其特征在于,所述根据访问主体的习惯因子、设备的设备安全度以及设备登录时的时间和网速获取当前设备的异常度的方法为:
将当前设备的登录时间与每个历史设备的登录时间的差值的绝对值记为第一差值,将当前设备的网速值与每个历史设备的网速值的差值的绝对值记为第二差值,当前设备与每个历史设备的第一差值和第二差值的乘积累加记为第一计量和,将当前设备的异常度和设备安全度的和记为第一和值,将第一计量和与第一和值的乘积作为当前设备的异常度。
8.如权利要求1所述的一种基于零信任网关的应用资源动态控制访问方法,其特征在于,所述对于每个节点给予其权限值,根据综合信任度访问不同节点的方法为:
在0到1的区间内,设置预设阈值,将0到预设阈值构成第一区间,预设阈值到1构成第二区间,若综合信任度在第一区间内,则为异常访问,拒绝访问主体的访问,若综合信任度在第二区间内,则允许访问主体访问;
若综合信任度大于等于节点的权限值,访问主体可以访问此节点以及其权限值以下的所有节点。
9.如权利要求1所述的一种基于零信任网关的应用资源动态控制访问方法,其特征在于,所述将当前访问的节点组成一条节点序列与历史访问的节点比较获取当前设备的最大相似性,通过当前设备节点之间的关联性获取当前设备的最大关联性的方法为:
将所有节点分为已访问节点和未访问节点,将未访问节点中权限值最小的节点记为待访问节点,将待访问节点与每个未访问节点使用Apriori算法获取两个节点的关联性,将其中最大的关联性记为最大关联性;
将当前的所有已访问节点按照权限值从大到小的顺序排序获取一条节点序列记为当前节点序列,将此设备历史中的所有已访问的节点同样排序获取历史节点序列,获取当前节点序列和历史节点序列的DTW距离,将DTW距离的反比作为两条节点序列的相似性,将其中最大的相似性记为最大相似性。
10.如权利要求1所述的一种基于零信任网关的应用资源动态控制访问方法,其特征在于,所述根据最大相似性、最大关联性以及设备的综合信任度获取设备调节后的综合信任度的方法为:
式中,表示最大关联性,/>表示最大相似性,/>表示以自然常数为底的指数函数,/>表示用户的行为异常度,/>表示访问主体当前设备的综合信任度,/>表示访问主体当前设备调节后的综合信任度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311550387.3A CN117278329B (zh) | 2023-11-21 | 2023-11-21 | 一种基于零信任网关的应用资源动态控制访问方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311550387.3A CN117278329B (zh) | 2023-11-21 | 2023-11-21 | 一种基于零信任网关的应用资源动态控制访问方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117278329A true CN117278329A (zh) | 2023-12-22 |
| CN117278329B CN117278329B (zh) | 2024-01-16 |
Family
ID=89210873
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311550387.3A Active CN117278329B (zh) | 2023-11-21 | 2023-11-21 | 一种基于零信任网关的应用资源动态控制访问方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117278329B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871854A (zh) * | 2016-04-11 | 2016-08-17 | 浙江工业大学 | 基于动态授权机制的自适应云访问控制方法 |
| WO2018013925A1 (en) * | 2016-07-15 | 2018-01-18 | Idac Holdings, Inc. | Adaptive authorization framework for communication networks |
| US20190165941A1 (en) * | 2017-11-30 | 2019-05-30 | Cable Television Laboratories, Inc | Systems and methods for distributed trust model and framework |
| CN111143793A (zh) * | 2019-12-13 | 2020-05-12 | 支付宝(杭州)信息技术有限公司 | 访问控制方法和访问控制装置 |
| WO2022000155A1 (en) * | 2020-06-29 | 2022-01-06 | Nokia Shanghai Bell Co., Ltd. | Access control of service based management framework |
| CN115189927A (zh) * | 2022-06-24 | 2022-10-14 | 华北电力大学 | 一种基于零信任的电力网络安全防护方法 |
| WO2023274295A1 (zh) * | 2021-06-30 | 2023-01-05 | 上海云盾信息技术有限公司 | 基于云的互联网访问控制方法、装置、介质、设备和系统 |
| US20230142664A1 (en) * | 2017-06-30 | 2023-05-11 | Go Logic Decision Time, Llc | Entity-specific data-centric trust mediation |
| US20230179635A1 (en) * | 2021-11-24 | 2023-06-08 | Centurylink Intellectual Property Llc | Enhanced zero trust security systems, devices, and processes |
| WO2023159994A1 (zh) * | 2022-02-28 | 2023-08-31 | 华为技术有限公司 | 一种运维处理方法和终端设备 |
| CN116996330A (zh) * | 2023-09-27 | 2023-11-03 | 深圳市互盟科技股份有限公司 | 基于网络安全的数据中心访问控制管理系统 |
-
2023
- 2023-11-21 CN CN202311550387.3A patent/CN117278329B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871854A (zh) * | 2016-04-11 | 2016-08-17 | 浙江工业大学 | 基于动态授权机制的自适应云访问控制方法 |
| WO2018013925A1 (en) * | 2016-07-15 | 2018-01-18 | Idac Holdings, Inc. | Adaptive authorization framework for communication networks |
| US20230142664A1 (en) * | 2017-06-30 | 2023-05-11 | Go Logic Decision Time, Llc | Entity-specific data-centric trust mediation |
| US20190165941A1 (en) * | 2017-11-30 | 2019-05-30 | Cable Television Laboratories, Inc | Systems and methods for distributed trust model and framework |
| CN111143793A (zh) * | 2019-12-13 | 2020-05-12 | 支付宝(杭州)信息技术有限公司 | 访问控制方法和访问控制装置 |
| WO2022000155A1 (en) * | 2020-06-29 | 2022-01-06 | Nokia Shanghai Bell Co., Ltd. | Access control of service based management framework |
| WO2023274295A1 (zh) * | 2021-06-30 | 2023-01-05 | 上海云盾信息技术有限公司 | 基于云的互联网访问控制方法、装置、介质、设备和系统 |
| US20230179635A1 (en) * | 2021-11-24 | 2023-06-08 | Centurylink Intellectual Property Llc | Enhanced zero trust security systems, devices, and processes |
| WO2023159994A1 (zh) * | 2022-02-28 | 2023-08-31 | 华为技术有限公司 | 一种运维处理方法和终端设备 |
| CN115189927A (zh) * | 2022-06-24 | 2022-10-14 | 华北电力大学 | 一种基于零信任的电力网络安全防护方法 |
| CN116996330A (zh) * | 2023-09-27 | 2023-11-03 | 深圳市互盟科技股份有限公司 | 基于网络安全的数据中心访问控制管理系统 |
Non-Patent Citations (2)
| Title |
|---|
| 张海娟;: "普适计算环境下基于信任的模糊访问控制模型", 计算机工程与应用, no. 27 * |
| 谢人超等: "轨道交通移动边缘计算网络安全综述", 《通信学报》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117278329B (zh) | 2024-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6918245B2 (ja) | 本人確認方法および装置 | |
| US10924514B1 (en) | Machine learning detection of fraudulent validation of financial institution credentials | |
| CN106789885B (zh) | 一种大数据环境下用户异常行为检测分析方法 | |
| US5375244A (en) | System and method for granting access to a resource | |
| US20200293684A1 (en) | Data security hub | |
| US20170230418A1 (en) | Monitoring user authenticity | |
| EP3549050B1 (en) | Method and computer product and methods for generation and selection of access rules | |
| WO2018093685A1 (en) | Systems and methods for securing access to resources | |
| CN108924120B (zh) | 一种多维状态感知的动态访问控制方法 | |
| Shan et al. | An efficient and exact approach for detecting trends with binary endpoints | |
| CN114611145B (zh) | 一种基于互联网在线文档的数据安全共享平台 | |
| CA2653204C (en) | An automated adaptive method for identity verification with performance guarantees | |
| CN110855648A (zh) | 一种网络攻击的预警控制方法及装置 | |
| CN113435505A (zh) | 一种安全用户画像的构建方法与装置 | |
| WO2016048129A2 (en) | A system and method for authenticating a user based on user behaviour and environmental factors | |
| CN116684123A (zh) | 一种微隔离云环境下的动态信任度评估方法和装置 | |
| CN117278329B (zh) | 一种基于零信任网关的应用资源动态控制访问方法 | |
| CN113392385B (zh) | 一种云环境下的用户信任度量方法及系统 | |
| CN112272195B (zh) | 一种动态检测认证系统及其方法 | |
| Lu et al. | An user behavior credibility authentication model in cloud computing environment | |
| Bachrach et al. | Fingerprinting ratings for collaborative filtering—theoretical and empirical analysis | |
| CN116962091B (zh) | 一种精准访问的动态授权方法及系统 | |
| CN118504009B (zh) | 一种基于多数据源的动态数据隔离方法和系统 | |
| CN116488934A (zh) | 一种基于域控制器的网络安全管理方法及系统 | |
| CN116451190B (zh) | 基于互联网医疗业务系统的数据权限设置方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |