[发明专利]一种针对Web协同的授权用户风险评估方法及系统

权利要求书

1.一种针对Web协同系统的授权用户风险评估方法，其特征在于：包括以下步骤：

步骤1：采集访问请求中的各参数；各参数包括请求者ID、请求者的安全等级、对象、对象属性、对象类型和访问模式；所述对象属性包括机密性、完整性和可用性，所述对象类型为OB_t＝{Top secret,Secret,Confidentiality,Sensitive,Non-sensitive}；所述访问模式包括VIEW、EDIT和EXECUTE，分别表示为可读、可写、可执行；

步骤2：根据参数，生成风险评估模型，表示为：

其中，R表示风险值，C、I和A分别表示访问对象的机密性、完整性和可用性；P_aj表示历史数据中的访问模式发生的概率，s表示对象敏感度，υ表示风险容忍参数，λ表示对协同平台主观的衰减率，表示请求者信誉度；l表示请求者的安全等级；

步骤3：根据风险评估模型，输出访问请求的风险值；

步骤4：根据访问请求的风险值决定给予请求者授权或拒绝授权。

2.根据权利要求1所述的一种针对Web协同系统的授权用户风险评估方法，其特征在于：采用Inverse Gompertz函数对请求者的信誉度建模，包括：初始化时，给每个请求者最大的信誉度，根据访问策略，使其能够访问各个敏感层级的数据，当发现请求者恶意交互时，其信誉度的值就会下降，直到信誉度为0，并收回访问令牌。

3.根据权利要求2所述的一种针对Web协同系统的授权用户风险评估方法，其特征在于：

其中，T_r表示请求者恶意操作的次数，ψ表示信誉值的上渐近线，B为控制信誉值的置换，φ为调节衰减率。

4.一种针对Web协同系统的授权用户风险评估系统，其特征在于：包括

参数采集模块，用于采集访问请求中的各参数；各参数包括请求者ID、请求者的安全等级、对象、对象属性、对象类型和访问模式；所述对象属性包括机密性、完整性和可用性，所述对象类型为OB_t＝{Top secret,Secret,Confidentiality,Sensitive,Non-sensitive}；所述访问模式包括VIEW、EDIT和EXECUTE，分别表示为可读、可写、可执行；

对象敏感度权值获取模块，基于下式，获取访问请求的对象敏感度权值；

其中，w_s表示对象敏感度权值，其利用访问请求者对访问模式误操作的效用值来表示；υ表示风险容忍参数，c_j表示访问请求对数据对象造成的损害，通过历史数据中的访问模式发生的概率计算得到：

c_j＝(C×p_aj)+(I×p_aj)+(A×p_aj)

其中，C、I和A分别表示访问对象的机密性、完整性和可用性；P_aj表示历史数据中的访问模式发生的概率；

对象安全等级权值，用于获取访问请求的安全等级权值；

对象敏感度获取模块，用于根据对象数据库获取对象敏感度；

信誉计算模块，用于得到请求用户的信誉值；

风险评估模块，用于根据下式示出的风险评估模型，计算得到访问请求的风险值；

其中，R表示风险值，C、I和A分别表示访问对象的机密性、完整性和可用性；P_aj表示历史数据中的访问模式发生的概率，s表示对象敏感度，υ表示风险容忍参数，λ表示对协同平台主观的衰减率，表示请求者信誉度；l表示请求者的安全等级；

请求处理器，用于根据认证与授权服务器发送的请求，调用对象敏感度权值获取对象敏感权值，调用对象安全等级权值获取对象安全等级权值，调用对象敏感度 获取模块获取对象敏感度，调用信誉计算模块得到用户信誉值，调用风险评估模块得到访问请求的风险值，并将该风险值返回给认证与授权服务器。

5.根据权利要求4所述的一种针对Web协同系统的授权用户风险评估系统，其特征在于：所述对象安全等级权值，基于：

其中，λ表示对协同平台主观的衰减率，表示请求者信誉度；

所述信誉计算模块，基于：

其中，T_r表示请求者恶意操作的次数；ψ表示信誉值的上渐近线，B为控制信誉值的置换，φ为调节衰减率。