[发明专利]一种云平台动态风险访问控制方法

摘要

一种云平台动态风险访问控制方法。其包括提交访问请求、规则匹配策略、事件推演过程、提取风险评估指标、风险评估指标权重分配、风险值计算、计算阈值、访问控制决定等阶段。本发明利用表达性和灵活性均较高的事件推演机制改进ABAC策略，以增强规则匹配时的动态性和灵活性，使其适应复杂云环境；利用系统安全状态和用户历史行为信息构建风险评估指标，提出计算风险评估指标权重的数学模型并用配方回归算法求解相应权重，以提高风险值对访问请求的灵敏度。从模拟实验可以观察到，本发明能够根据访问请求属性的改变动态调整规则，同时实现了实时动态分配风险评估指标权重提高访问请求对风险值的灵敏度，因此该方法具有较好的实时性和动态性。

主权项

一种云平台动态风险访问控制方法，其特征在于：所述的云平台动态风险访问控制方法包括按顺序进行的下列步骤：步骤1)提交访问请求阶段：用户提交当前访问请求reqi(i＝1,2,…)，当前访问请求reqi包含四个属性：主体、客体、访问活动和访问背景；步骤2)规则匹配策略阶段：使用基于属性的访问控制策略,制定相应的规则库，并将规则库中的规则逐个与上述当前访问请求reqi进行匹配，若匹配成功，则将匹配成功的规则记录为当前规则rulej(j＝1,2,…)；若匹配不成功，则最终规则匹配结果P(reqi)＝0；步骤3)事件推演过程阶段：通过事件推演机制对步骤2)中的当前访问请求reqi和当前规则rulej进行评估；评估过程包括规则评估和信任度评估,其中规则评估是对当前规则rulej进行评估，信任度评估是对当前访问请求reqi进行评估；若规则评估和信任度评估均成功，则最终规则匹配结果P(reqi)＝1；否则，最终规则匹配结果P(reqi)＝0；步骤4)确定风险评估指标阶段：确定三项风险评估指标为(I,T,V),其中I表示当前访问请求对访问客体的访问活动在历史访问请求中规则匹配成功的频率；T为根据访问请求的主体属性分配的具体数值；V为使用通用漏洞与披露标准中关于Hadoop相关漏洞的评分；步骤5)风险评估指标权重求解阶段：随机选择多组不同个数的历史访问请求的三项风险评估指标(I,T,V)和相应的最终规则匹配结果P作为训练集，并将训练集带入带约束的风险评估指标权重分配模型，求解得到风险评估指标权重b*；步骤6)风险值计算阶段：根据步骤5)的风险评估指标权重b*为上述各风险评估指标分别赋予相应的权重，并根据风险值计算公式得到当前访问请求的风险值R((reqi)，并记录；步骤7)阈值计算阶段：用户自定义计算阈值时使用的历史访问请求的数量n，根据历史访问请求的风险值R(reqk)和最终规则匹配结果P(reqk)，i＝1,2,…,n，动态计算阈值th；同时，为了评估风险值R(reqk)的变化情况，计算灵敏度S；步骤8)访问控制决定阶段：根据用户提交的当前访问请求的风险值R(reqi)、最终规则匹配结果P(reqi)和阈值th共同做出最终访问控制决定，用户根据实际情况做出最终的访问请求判断。