买专利,只认龙图腾
首页 专利交易 科技果 科技人才 科技服务 商标交易 会员权益 IP管家助手 需求市场 关于龙图腾
 /  免费注册
到顶部 到底部
清空 搜索

【发明授权】面向内部攻击的动态访问控制方法_南京航空航天大学_201811376825.8 

申请/专利权人:南京航空航天大学

申请日:2018-11-19

公开(公告)日:2021-04-13

公开(公告)号:CN109495474B

主分类号:H04L29/06(20060101)

分类号:H04L29/06(20060101)

优先权:

专利状态码:有效-授权

法律状态:2021.04.13#授权;2019.04.12#实质审查的生效;2019.03.19#公开

摘要:本发明公开了面向内部攻击的动态访问控制框架,属于信息安全访问控制技术领域,包括:访问请求的提交,用户使能角色的计算、角色使能权限的计算、使能角色的选取,候选使能角色的约减、风险值的计算,利用环境模型,评估访问控制策略中环境约束的可满足性,实现对用户权限的动态调整,防止非法用户的访问,然后,根据策略约束和风险分析,约束合法用户的权限范围,避免恶意用户的内部攻击。本发明通过分析环境信息,策略约束,访问风险,实现了对访问请求的三重控制,能够及时阻止非法的和恶意的访问行为,更为有效的保护网络资源,保障系统安全高效的运行。

主权项:1.面向内部攻击的动态访问控制方法,其特征在于,包括:步骤1提交访问请求阶段;步骤2用户使能角色集合的计算;步骤3角色使能权限集合的计算;步骤4候选使能角色的选取;步骤5候选使能角色集合的约减;步骤6风险值的评估;具体包括如下步骤:步骤1提交访问请求阶段:用户提交当前访问请求,策略执行点截获访问请求,并将访问请求转发给策略决策点;步骤2用户使能角色集合的计算:根据当前的环境模型和访问控制策略中的用户-角色赋予关系,计算请求者的使能角色集;若使能角色集为空,拒绝访问请求;若使能角色集不为空,执行步骤3;步骤2和步骤3的环境模型为六元组EM,EM具体如下:EM={S,O,L,SL,OL,SO},其中:1S,O,L分别表示主体、客体和位置的集合;2表示主体-位置关系;3表示客体-位置关系;4表示主体-客体访问关系;通过对系统运行环境中主体和客体行为的监控,实时建立环境模型;步骤3角色使能权限集合的计算:根据用户的使能角色集、当前的环境模型和访问控制策略中的角色-权限赋予关系,计算角色的使能权限集合;若用户访问请求的权限不在使能权限集合中,拒绝访问请求;否则,执行步骤4;步骤4候选使能角色的选取:若某个使能角色的使能权限集合包括用户的访问请求权限,则该角色作为候选使能角色;若候选使能角色集合为空,拒绝访问请求;否则,执行步骤5;步骤5候选使能角色集合的约减:从候选使能角色集合中,剔除不满足职责分离约束和环境基数约束的角色;若约减后的候选使能角色集合为空,拒绝访问请求;否则,执行步骤6;步骤6风险值的评估:从候选使能角色集合中选取风险值最小的角色,若用户的信任度大于用户的历史累计风险值和当前请求风险值的和,返回该角色给用户,允许访问请求;否则,拒绝访问请求。

全文数据:面向内部攻击的动态访问控制框架技术领域本发明涉及动态访问控制框架,特别是涉及面向内部攻击的动态访问控制框架,属于信息安全访问控制技术领域。背景技术为了对网络上的各类信息资源进行正确的授权,目前,研究者主要采用访问控制机制来阻断非法用户对资源的访问,一旦用户被认定为合法用户,可执行其被赋予的所有权限,但在现实生活中,合法用户并非全是可信用户,一些合法用户有可能会滥用所获取的权限,损害企业利用,这种行为被称为内部攻击,2014年,美国网络犯罪现状报告中指出,28%的受访者称曾遭受内部攻击,32%的受访者认为内部攻击相比外部攻击更具有危害性。基于角色的访问控制模型RBAC相比其他的访问控制模型,如,强制访问控制及自主访问控制,能够有效地降低授权管理的复杂性,是目前应用较为广泛的访问控制模型之一,在RBAC模型中,用户通过角色获取权限,只要用户被认定为合法用户,就可获取相应的角色,能够执行这些角色所对应的全部权限,但该模型并不关注已授权用户的行为,这就需要寻求一种能够解决内部攻击的访问控制模型。目前,已有的动态访问控制模型,通过上下文信息动态调整用户的权限,用于防止未授权用户给系统带来的外部攻击,已有的风险感知访问控制框架,通过分析用户的历史访问行为,约束用户的访问能力,在一定程度上能够解决内部攻击,但大多只考虑当前访问请求给系统带来的风险,并不考虑用户的累积风险,同时,也未考虑策略上的约束条件。发明内容本发明的主要目的是为了提供面向内部攻击的动态访问控制框架,通过环境模型,评估访问控制策略中环境约束的可满足性,实现对用户权限的动态调整,防止非法用户的访问。本发明的目的可以通过采用如下技术方案达到:面向内部攻击的动态访问控制框架,包括:步骤1提交访问请求阶段;步骤2用户使能角色集合的计算;步骤3角色使能权限集合的计算;步骤4候选使能角色的选取;步骤5候选使能角色集合的约减;步骤6风险值的评估。面向内部攻击的动态访问控制框架,具体包括如下步骤:步骤1提交访问请求阶段:用户提交当前访问请求,策略执行点截获访问请求,并将访问请求转发给策略决策点;步骤2用户使能角色集合的计算:根据当前的环境模型和访问控制策略中的用户-角色赋予关系,计算请求者的使能角色集;若使能角色集为空,拒绝访问请求;若使能角色集不为空,执行步骤3;步骤3角色使能权限集合的计算:根据用户的使能角色集、当前的环境模型和访问控制策略中的角色-权限赋予关系,计算角色的使能权限集合;若用户访问请求的权限不在使能权限集合中,拒绝访问请求;否则,执行步骤4;步骤4候选使能角色的选取:若某个使能角色的使能权限集合包括用户的访问请求权限,则该角色作为候选使能角色;若候选使能角色集合为空,拒绝访问请求;否则,执行步骤5;步骤5候选使能角色集合的约减:从候选使能角色集合中,剔除不满足职责分离约束和环境基数约束的角色;若约减后的候选使能角色集合为空,拒绝访问请求;否则,执行步骤6;步骤6风险值的评估:从候选使能角色集合中选取风险值最小的角色,若用户的信任度大于用户的历史累计风险值和当前请求风险值的和,返回该角色给用户,允许访问请求;否则,拒绝访问请求。提交访问请求阶段,访问请求包含两个属性:访问用户和访问权限,访问权限包括访问活动和客体。步骤2和步骤3的环境模型为六元组EM,EM具体如下:EM={S,O,L,SL,OL,SO},其中:1S,O,L分别表示主体、客体和位置的集合;2表示主体-位置关系;3表示客体-位置关系;4表示主体-客体访问关系;通过对系统运行环境中主体和客体行为的监控,实时建立环境模型。步骤2和步骤3的访问控制策略是基于以下访问控制模型定义的,具体如下:1Users,Roles,Permissions分别表示用户、角色、权限集合;2用户-角色赋予关系;3角色-权限赋予关系;4Sessions表示会话的集合;5C={c1,c2,…,cn},n∈N,表示环境约束,其中ci表示环境约束公式,定义在集合A={SL,OL,SO}上;aφ是一个环境约束公式;b如果p是集合A的一个元素,它是一个环境约束公式;c如果p和q都是环境约束公式,则也都是环境约束公式。步骤5的职责分离约束和环境基数约束,具体如下:1环境动态职责分离的制定;若RS,n∈EDSoD,表示在任何环境下,一个用户最多激活角色集RS中的n-1个角色;2历史行为约束职责分离的制定;若PS,n∈HSoD,表示对于任何用户,最多执行权限集PS中的n-1个权限;3环境基数约束的制定;若r,n∈ERC,表示在任何环境下,角色r最多被n-1个用户激活。步骤2中,用户使能角色的计算,在当前环境模型下,用户-角色赋予关系中的环境约束公式是可满足的,此类赋予关系称为使能用户-角色赋予关系,在使能用户-角色赋予关系中,用户所拥有的角色为用户在当前环境模型下的使能角色。步骤3中,角色使能权限的计算,在当前环境模型下,角色-权限赋予关系中的环境约束公式是可满足的,此类赋予关系称为使能角色-权限赋予关系;在使能角色-权限赋予关系中,角色可执行的权限为角色在当前环境模型下的使能权限。步骤6中的用户风险值的计算,包括如下步骤:步骤6.1权限风险值的计算;步骤6.2角色风险值的计算;步骤6.3用户风险值的计算。步骤6中的用户风险值的计算,具体包括如下步骤:步骤6.1权限风险值的计算权限p的风险值等于该权限被滥用的概率乘以因滥用权限所带来的损失;其中:Mrp表示角色r滥用权限p的行为;Pr[m]表示滥用行为m发生的概率;costm表示滥用行为m所带来的损失;步骤6.2角色风险值的计算角色r的风险值等于在当前环境模型下,所有使能权限风险值的和;其中:AwakenPermsr,em表示在环境模型em下,角色r的使能权限集合;步骤6.3用户风险值的计算用户u的风险值等于用户历史访问请求的风险值的和;其中:Hu表示用户u的历史访问请求列表;NumHu表示用户u历史访问请求列表中的元素个数;GetRiskHu,i表示返回用户u第i次访问请求的风险值。本发明的有益技术效果:1、本发明提供的面向内部攻击的动态访问控制框架,一方面根据上下文环境的不同,调整用户使能的角色集合和角色使能的权限集合,实现对用户权限的动态调整,防止非法用户的访问;另一方面通过策略约束和访问风险值的计算,评估请求者的访问请求,防止合法用户对系统的内部攻击。2、本发明提供的面向内部攻击的动态访问控制框架,通过分析环境信息,策略约束,访问风险,实现了对访问请求的三重控制,能够及时阻止非法的和恶意的访问行为,更为有效的保护网络资源,保障系统安全高效的运行。附图说明图1为按照本发明的面向内部攻击的动态访问控制框架的一优选实施例的结构示意图;图2为按照本发明的面向内部攻击的动态访问控制框架的一优选实施例的银行环境模型。具体实施方式为使本领域技术人员更加清楚和明确本发明的技术方案,下面结合实施例及附图对本发明作进一步详细的描述,但本发明的实施方式不限于此。如图1所示,本实施例的面向内部攻击的动态访问控制框架,具体包括如下步骤:步骤1提交访问请求阶段:用户提交当前访问请求,策略执行点截获访问请求,并将访问请求转发给策略决策点,提交访问请求阶段,访问请求包含两个属性:访问用户和访问权限,访问权限包括访问活动和客体;步骤2用户使能角色集合的计算:根据当前的环境模型和访问控制策略中的用户-角色赋予关系,计算请求者的使能角色集;若使能角色集为空,拒绝访问请求;若使能角色集不为空,执行步骤3;步骤3角色使能权限集合的计算:根据用户的使能角色集、当前的环境模型和访问控制策略中的角色-权限赋予关系,计算角色的使能权限集合;若用户访问请求的权限不在使能权限集合中,拒绝访问请求;否则,执行步骤4;步骤4候选使能角色的选取:若某个使能角色的使能权限集合包括用户的访问请求权限,则该角色作为候选使能角色;若候选使能角色集合为空,拒绝访问请求;否则,执行步骤5;步骤5候选使能角色集合的约减:从候选使能角色集合中,剔除不满足职责分离约束和环境基数约束的角色;若约减后的候选使能角色集合为空,拒绝访问请求;否则,执行步骤6;步骤6风险值的评估:从候选使能角色集合中选取风险值最小的角色,若用户的信任度大于用户的历史累计风险值和当前请求风险值的和,返回该角色给用户,允许访问请求;否则,拒绝访问请求。步骤2和步骤3的环境模型为六元组EM,EM具体如下:EM={S,O,L,SL,OL,SO},其中:1S,O,L分别表示主体、客体和位置的集合;2表示主体-位置关系;3表示客体-位置关系;4表示主体-客体访问关系;通过对系统运行环境中主体和客体行为的监控,实时建立环境模型。步骤2和步骤3的访问控制策略是基于以下访问控制模型定义的,具体如下:1Users,Roles,Permissions分别表示用户、角色、权限集合;2用户-角色赋予关系;3角色-权限赋予关系;4Sessions表示会话的集合;5C={c1,c2,…,cn},n∈N,表示环境约束,其中ci表示环境约束公式,定义在集合A={SL,OL,SO}上;aφ是一个环境约束公式;b如果p是集合A的一个元素,它是一个环境约束公式;c如果p和q都是环境约束公式,则也都是环境约束公式。步骤5的职责分离约束和环境基数约束,具体如下:1环境动态职责分离的制定;若RS,n∈EDSoD,表示在任何环境下,一个用户最多激活角色集RS中的n-1个角色;2历史行为约束职责分离的制定;若PS,n∈HSoD,表示对于任何用户,最多执行权限集PS中的n-1个权限;3环境基数约束的制定;若r,n∈ERC,表示在任何环境下,角色r最多被n-1个用户激活。步骤2中,用户使能角色的计算,在当前环境模型下,用户-角色赋予关系中的环境约束公式是可满足的,此类赋予关系称为使能用户-角色赋予关系,在使能用户-角色赋予关系中,用户所拥有的角色为用户在当前环境模型下的使能角色。步骤3中,角色使能权限的计算,在当前环境模型下,角色-权限赋予关系中的环境约束公式是可满足的,此类赋予关系称为使能角色-权限赋予关系;在使能角色-权限赋予关系中,角色可执行的权限为角色在当前环境模型下的使能权限。步骤6中的用户风险值的计算,包括如下步骤:步骤6.1权限风险值的计算权限p的风险值等于该权限被滥用的概率乘以因滥用权限所带来的损失;其中:Mrp表示角色r滥用权限p的行为;Pr[m]表示滥用行为m发生的概率;costm表示滥用行为m所带来的损失;步骤6.2角色风险值的计算角色r的风险值等于在当前环境模型下,所有使能权限风险值的和;其中:AwakenPermsr,em表示在环境模型em下,角色r的使能权限集合;步骤6.3用户风险值的计算用户u的风险值等于用户历史访问请求的风险值的和;其中:Hu表示用户u的历史访问请求列表;NumHu表示用户u历史访问请求列表中的元素个数;GetRiskHu,i表示返回用户u第i次访问请求的风险值。本实施例的面向内部攻击的动态访问控制框架,访问请求者提出访问请求,策略执行点截获访问请求转发给策略决策点,策略决策点从三方面评估访问请求;第一步根据当前的环境模型和访问控制策略,计算访问请求者的使能角色和使能权限;若使能权限包括访问请求,转第二步;否则,拒绝访问请求;第二步评估访问请求和使能角色是否满足策略约束,若满足转第三步;否则,拒绝访问请求;第三步计算请求者的历史累计风险值和当前访问请求的风险值,若此两个风险值的和小于请求者的风险阈值,允许访问请求;否则,拒绝访问请求。在本实施例中,如图2所示,本实施例的面向内部攻击的动态访问控制框架,下面结合银行场景具体说明本实施例,图2为银行的环境模型。1.在该场景下,主体有用户Alice,Bob和John。客体包括server,file1.file2,Alicephone,Bobphone,Johnphone。位置空间包括mainarea,serverroom,telleroffice,accountantoffice,presidentoffice,corridor,conferenceroom。主体-位置关系包括Alice,telleroffice、John,presidentoffice、Bob,conferenceroom。客体-位置关系包括server,serverroom、file1,server、file2,server、Alicephone,telleroffice、Johnphone,presidentoffice、Bobphone,conferenceroom。主体和客体的访问关系为虚线标注。2.安全管理员定义的用户-角色赋予关系,角色-权限赋予关系以及相应的风险值如下表1和表2所示:表1用户-角色赋予关系:表2角色-权限赋予关系假设在图2的环境模型下,Bob已经激活角色r2和r3。John已经激活角色r3和r4。Alice未激活任何角色。Alice的历史行为列表为、。3.安全管理员对策略约束的定义和用户风险阈值的赋予:1环境动态职责分离约束为:r3,r4,2∈EDSoD2历史行为职责分离约束为:p5,p8,2∈HSoD3基数约束为:r3,3∈HSoD4用户Alice,Bob和John的风险阈值分别为0.8,0.6,0.7。4.假设Alice提出访问请求,提出访问请求时的环境模型图2所示,针对该访问请求的处理步骤如下:步骤1访问请求的提交Alice向策略执行点提出访问请求;策略执行点将访问请求转发给策略决策点;步骤2用户使能角色集合的计算根据用户-角色赋予关系,用户Alice的使能角色集合为r1,r3和r4.r5未被激活,因为环境约束SLAlice,presidentoffice∧SLBob,presidentoffice在当前的环境下不被满足;步骤3角色使能权限集合的计算根据角色-权限赋予关系,角色r1的权限p5的环境约束条件在当前环境模型下不被满足,因此,角色r1的使能权限为p1,p3,p8;类似地,角色r3的使能权限为p1,p3,p4,p8;角色r4的使能权限为p2,p6;步骤4候选使能角色的选取使能角色r1,r3和r4中,r4不具有执行权限p8的权利,因此,候选使能角色包括r1和r3。步骤5候选使能角色的约减由基数约束可知,r3最多只能被2个用户激活;当前环境模型下,Bob和John已激活角色r3;因此,角色r3从Alice的候选使能角色集合中删除;另外,根据历史行为职责分离约束,若在Alice的历史行为中,已执行过权限p10,则拒绝Alice的请求p8;根据Alice的历史行为列表,其只请求过权限p2和p6;步骤6风险值的评估Alice的历史行为累计风险值是0.14;候选使能角色集合中的角色r1在当前环境模型下的使能权限为p1,p3,p8,所以,访问请求的风险值为0.18;这两个风险值的和0.32小于Alice的风险阈值0.8,允许访问请求;Alice通过激活角色r1执行权限p8。以上所述,仅为本发明进一步的实施例,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明所公开的范围内,根据本发明的技术方案及其构思加以等同替换或改变,都属于本发明的保护范围。

权利要求:1.面向内部攻击的动态访问控制框架,其特征在于,包括:步骤1提交访问请求阶段;步骤2用户使能角色集合的计算;步骤3角色使能权限集合的计算;步骤4候选使能角色的选取;步骤5候选使能角色集合的约减;步骤6风险值的评估。2.如权利要求1所述的面向内部攻击的动态访问控制框架,其特征在于,具体包括如下步骤:步骤1提交访问请求阶段:用户提交当前访问请求,策略执行点截获访问请求,并将访问请求转发给策略决策点;步骤2用户使能角色集合的计算:根据当前的环境模型和访问控制策略中的用户-角色赋予关系,计算请求者的使能角色集;若使能角色集为空,拒绝访问请求;若使能角色集不为空,执行步骤3;步骤3角色使能权限集合的计算:根据用户的使能角色集、当前的环境模型和访问控制策略中的角色-权限赋予关系,计算角色的使能权限集合;若用户访问请求的权限不在使能权限集合中,拒绝访问请求;否则,执行步骤4;步骤4候选使能角色的选取:若某个使能角色的使能权限集合包括用户的访问请求权限,则该角色作为候选使能角色;若候选使能角色集合为空,拒绝访问请求;否则,执行步骤5;步骤5候选使能角色集合的约减:从候选使能角色集合中,剔除不满足职责分离约束和环境基数约束的角色;若约减后的候选使能角色集合为空,拒绝访问请求;否则,执行步骤6;步骤6风险值的评估:从候选使能角色集合中选取风险值最小的角色,若用户的信任度大于用户的历史累计风险值和当前请求风险值的和,返回该角色给用户,允许访问请求;否则,拒绝访问请求。3.如权利要求2所述的面向内部攻击的动态访问控制框架,其特征在于,提交访问请求阶段,访问请求包含两个属性:访问用户和访问权限,访问权限包括访问活动和客体。4.如权利要求2所述的面向内部攻击的动态访问控制框架,其特征在于,步骤2和步骤3的环境模型为六元组EM,EM具体如下:EM={S,O,L,SL,OL,SO},其中:1S,O,L分别表示主体、客体和位置的集合;2表示主体-位置关系;3表示客体-位置关系;4表示主体-客体访问关系;通过对系统运行环境中主体和客体行为的监控,实时建立环境模型。5.如权利要求2所述的面向内部攻击的动态访问控制框架,其特征在于,步骤2和步骤3的访问控制策略是基于以下访问控制模型定义的,具体如下:1Users,Roles,Permissions分别表示用户、角色、权限集合;2用户-角色赋予关系;3角色-权限赋予关系;4Sessions表示会话的集合;5C={c1,c2,…,cn},n∈N,表示环境约束,其中ci表示环境约束公式,定义在集合A={SL,OL,SO}上;aφ是一个环境约束公式;b如果p是集合A的一个元素,它是一个环境约束公式;c如果p和q都是环境约束公式,则p∧q,p∨q,也都是环境约束公式。6.如权利要求2所述的面向内部攻击的动态访问控制框架,其特征在于,步骤5的职责分离约束和环境基数约束,具体如下:1环境动态职责分离的制定;若RS,n∈EDSoD,表示在任何环境下,一个用户最多激活角色集RS中的n-1个角色;2历史行为约束职责分离的制定;若PS,n∈HSoD,表示对于任何用户,最多执行权限集PS中的n-1个权限;3环境基数约束的制定;若r,n∈ERC,表示在任何环境下,角色r最多被n-1个用户激活。7.如权利要求2所述的面向内部攻击的动态访问控制框架,其特征在于,步骤2中用户使能角色的计算,在当前环境模型下,用户-角色赋予关系中的环境约束公式是可满足的,此类赋予关系称为使能用户-角色赋予关系,在使能用户-角色赋予关系中,用户所拥有的角色为用户在当前环境模型下的使能角色。8.如权利要求2所述的面向内部攻击的动态访问控制框架,其特征在于,步骤3中,角色使能权限的计算,在当前环境模型下,角色-权限赋予关系中的环境约束公式是可满足的,此类赋予关系称为使能角色-权限赋予关系;在使能角色-权限赋予关系中,角色可执行的权限为角色在当前环境模型下的使能权限。9.如权利要求2所述的面向内部攻击的动态访问控制框架,其特征在于,步骤6中的用户风险值的计算,包括如下步骤:步骤6.1权限风险值的计算;步骤6.2角色风险值的计算;步骤6.3用户风险值的计算。10.如权利要求9所述的面向内部攻击的动态访问控制框架,其特征在于,具体包括如下步骤:步骤6.1权限风险值的计算权限p的风险值等于该权限被滥用的概率乘以因滥用权限所带来的损失;其中:Mrp表示角色r滥用权限p的行为;Pr[m]表示滥用行为m发生的概率;costm表示滥用行为m所带来的损失;步骤6.2角色风险值的计算角色r的风险值等于在当前环境模型下,所有使能权限风险值的和;其中:AwakenPermsr,em表示在环境模型em下,角色r的使能权限集合;步骤6.3用户风险值的计算用户u的风险值等于用户历史访问请求的风险值的和;其中:Hu表示用户u的历史访问请求列表;NumHu表示用户u历史访问请求列表中的元素个数;GetRiskHu,i表示返回用户u第i次访问请求的风险值。

百度查询: 南京航空航天大学 面向内部攻击的动态访问控制方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。