一种基于模糊层次分析法和熵权法的网关访问控制方法技术

一种基于模糊层次分析法和熵权法的网关访问控制方法，包括：根据设备访问网关时的相关参数指标建立设备信任度指标体系；将设备访问相关数据进行计算获得无量纲化基础指标值；通过模糊层次分析法计算得到每个指标的主观权重；通过熵权法计算得到每个指标的客观权重；通过拉格朗日乘数以及本次访问的总信任值结合主观权重和客观权重采用最小二乘法构造最优化模型并最终计算得到每个基础指标的综合权重；利用综合权重与无量纲化基础指标计算设备本次访问的总体信任度评估值。将信任度评估结合基于属性的访问控制生成动态访问控制模型。本发明专利技术将基本的属性访问控制结合动态的信任度评估，考虑主观情况与客观情况，保证了访问控制的可靠性与安全性。

【技术实现步骤摘要】
一种基于模糊层次分析法和熵权法的网关访问控制方法
本专利技术属于访问控制领域，具体涉及一种基于模糊层次分析法和熵权法的网关访问控制方法。
技术介绍
物联网的快速发展伴随着终端设备数量的指数式增长，提高了人们生产生活水平的同时也扩大了非法网络攻击的范围，对设备安全、数据安全甚至生命财产安全提出了更高的要求。由于高昂的网络传输成本以及服务器的计算成本等问题，传统云服务在对网络边缘设备的集中式访问控制的局限性日益凸显。现有的访问控制技术有自主访问控制(DAC)，强制访问控制(MAC)，访问控制列表(ACL)，基于角色的访问控制(RBAC)，基于属性的访问控制(ABAC)等。RBAC是在主体与客体之间引入了角色的概念，两者以角色为中介，授予主体能够访问服务的最小权限，与传统MAC、DAC相比，其具有更加灵活的特性，但是将其应用于物联网环境也存在诸多限制，一方面随着越来越多异构的设备连接到云端，这些设备具有不同的功能和使用场景，因此对其分配的角色也不可能完全一致，这就导致了访问控制系统中角色的爆炸式增长，带来主体-角色映射管理的困难，降低了访问控制的粒度级，另一方面RBAC只能在身份验证的合法性与可靠性上给予主体相关的角色分配，没有对主体的可信度进行有效的评估，无法避免主体在通过非法手段获取相应角色后进行非法操作，存在一定的安全隐患。针对物联网海量设备的场景，ABAC更适合作为节点访问控制的手段，其根据访问主体拥有的属性是否符合访问控制规则来做出最终决策，在鉴权过程中不仅需要分析主体属性、客体属性，主体的操作，还需要考虑主体访问的环境属性，在继承RBAC主体客体权限授予分离的优点上，不仅解决了RBAC角色管理困难的问题，并且提高了访问控制的细粒度。但是仅仅将主体属性、客体属性、主体操作属性以及环境属性作为最终访问权限的评价标准，依然存在无法对本次主体操作可信性评估的问题。
技术实现思路
为了克服已有物联网在访问控制上存在的安全问题以及集中式访问控制性能消耗问题，本专利技术提供了一种基于模糊层次分析法(FAHP)和熵权法的主体信任度评估方法结合ABAC实现动态访问控制的方法并将其应用于物联网网关。本专利技术解决其技术问题所采用的技术方案是：一种基于模糊层次分析法和熵权法的网关访问控制方法，其特征在于，所述方法包括以下步骤：步骤一：建立15种维度的信任度指标体系，指标为设备CPU利用率Ac，设备内存占用率Am，数据传输时延Ac,丢包率Al,平均吞吐量At，访问敏感服务频率As，是否非法访问Ai，是否越权访问An，系统限制访问次数Ar，访问频率Af，历史授权访问通过率Ap，历史成功交互比率Ai，本次访问服务占总体访问服务比率Aa，设备IP历史出现率Aip，设备地理位置历史出现率Alo；步骤二：设定窗口值m，获取设备最近历史访问行为基础指标与当前访问的基础指标组合成具有m项的信任度指标集合Pij，采用正向无量纲化处理Pij获得无量纲化基础指标集合aij，其中i表示第i维基础指标，j表示m次访问中的第j次访问；其中无量纲化处理中将基础指标分为正向指标和负向指标两种类型，正向指标值越高信任度越高，负向指标值越高信任度越低；正向指标的无量纲化处理：Pimin表示在m次访问中第i项指标的最小值，Pimax表示在所有m次访问中第i项基础指标的最大值；负向指标的无量纲化处理：步骤三：利用模糊层次分析法对信任评估指标体系中的15个基础指标进行主观赋值计算出主观权重woi；步骤四：利用熵权法对获取的基础指标值集合bij进行计算得到客观权重wsi；步骤五：通过拉格朗日乘数以及窗口中总信任值结合主观权重wo和客观权重ws采用最小二乘法构造最优化模型并最终计算得到15个基础指标的综合权重wfi；步骤六：计算访问设备的本次的总体信任度评估值wfi为相应基础指标的综合权重，ai为设备本次访问的无量纲基础指标集合，i表示第i维指标；步骤七：在设备通过网关访问云服务时利用设备属性，服务接口属性，环境属性，操作属性根据ABAC访问控制策略获取相关权限，无权限则拒绝访问，有权限则继续步骤八；步骤八：将设备此次访问信任值Tr与预先配置的服务接口所需信任值比较以获得访问许可。进一步，所述步骤三的过程为：建立三层的层次结构，第一层为目标层，是总的设备行为特性，第二层为属性层，是设备行为特性的属性细分，分为三种属性，分别是性能特性证据，安全特性证据，活动特性证据，第三层为证据层，是第二层中三种属性的细分，其中性能特性证据分为CPU利用率，内存占用率，数据包传输时延，丢包率，平均吞吐量，安全特性证据分为访问敏感服务接口频率，是否非法访问，是否越权访问，系统限制访问次数，活动特性证据分为访问频率，授权访问通过率，成功交互率，本次访问服务占总体访问服务比率，IP历史出现比率，地理位置出现比率；首先对性能特性证据进行处理，将其下五个指标的重要程度进行两两比较建立判断矩阵：xji＝1/xij其中横轴xi代表性能特性证据下的五项指标CPU利用率，内存占用率，丢包率，平均吞吐量，纵轴xj同样为性能特性证据下的五项指标CPU利用率，内存占用率，丢包率，平均吞吐量，将横轴纵轴两两比较，以0.1为增量，0为完全没有对方重要，0.5为同等重要，1.0为完全比对方重要，生成判断矩阵X，对角线上的自身比较为0.5；对判断矩阵x进行行求和生成一维向量Y：对向量Y做变换生成模糊一致判断矩阵：对模糊一致判断矩阵Yij做变换生成一维向量z，其中zi代表第i维指标针对上层特性的重要程度：最终计算性能特性证据下的各项指标的主观权重：然后对安全特性证据进行处理，将其下四个指标的重要程度进行两两比较建立判断矩阵：xji＝1/xij其中横轴xi代表安全特性证据下的四项指标敏感服务访问是否超频，非法访问，越权访问，被限制访问次数，纵轴xj同样为安全特性证据下的四项指标敏感服务访问是否超频，非法访问，越权访问，被限制访问次数，将横轴纵轴两两比较，以0.1为增量，0为完全没有对方重要，0.5为同等重要，1.0为完全比对方重要，生成判断矩阵X，对角线上的自身比较为0.5；对判断矩阵x进行行求和生成一维向量Y：对向量Y做变换生成模糊一致判断矩阵：对模糊一致判断矩阵Yij做变换生成一维向量z，其中zi代表第i维指标针对上层特性的重要程度：最终计算安全特性证据下的各项指标的主观权重：接着对活动特性证据进行处理，将其下六个指标的重要程度进行两两比较建立判断矩阵：xji＝1/xij其中横轴xi代表活动特性证据下的六项指标敏感服务访问频率，历史授权访问通过率，历史成功交互比率，访问的服务接口占历史访问比率，IP历史访问率，地理位置历史访问率，纵轴xj同样为活动特性证据下的六项指标敏感服务访问频本文档来自技高网...

【技术保护点】
1.一种基于模糊层次分析法和熵权法的网关访问控制方法，其特征在于，所述方法包括以下步骤：/n步骤一：建立15种维度的信任度指标体系，指标为设备CPU利用率A

【技术特征摘要】
1.一种基于模糊层次分析法和熵权法的网关访问控制方法，其特征在于，所述方法包括以下步骤：
步骤一：建立15种维度的信任度指标体系，指标为设备CPU利用率Ac，设备内存占用率Am，数据传输时延Ac,丢包率Al,平均吞吐量At，访问敏感服务频率As，是否非法访问Ai，是否越权访问An，系统限制访问次数Ar，访问频率Af，历史授权访问通过率Ap，历史成功交互比率Ai，本次访问服务占总体访问服务比率Aa，设备IP历史出现率Aip，设备地理位置历史出现率Alo；
步骤二：设定窗口值m，获取设备最近历史访问行为基础指标与当前访问的基础指标组合成具有m项的信任度指标集合Pij，采用正向无量纲化处理Pij获得无量纲化基础指标集合aij，其中i表示第i维基础指标，j表示m次访问中的第j次访问；
其中无量纲化处理中将基础指标分为正向指标和负向指标两种类型，正向指标值越高信任度越高，负向指标值越高信任度越低；
正向指标的无量纲化处理：

Pimin表示在m次访问中第i项指标的最小值，Pimax表示在所有m次访问中第i项基础指标的最大值；
负向指标的无量纲化处理：



步骤三：利用模糊层次分析法对信任评估指标体系中的15个基础指标进行主观赋值计算出主观权重woi；
步骤四：利用熵权法对获取的基础指标值集合bij进行计算得到客观权重wsi；
步骤五：通过拉格朗日乘数以及窗口中总信任值结合主观权重wo和客观权重ws采用最小二乘法构造最优化模型并最终计算得到15个基础指标的综合权重wfi；
步骤六：计算访问设备的本次的总体信任度评估值wfi为相应基础指标的综合权重，ai为设备本次访问的无量纲基础指标集合，i表示第i维指标；
步骤七：在设备通过网关访问云服务时利用设备属性，服务接口属性，环境属性，操作属性根据ABAC访问控制策略获取相关权限，无权限则拒绝访问，有权限则继续步骤八；
步骤八：将设备此次访问信任值Tr与预先配置的服务接口所需信任值比较以获得访问许可。


2.如权利要求1所述的一种基于模糊层次分析法和熵权法的网关访问控制方法，其特征在于，所述步骤三的过程为：
建立三层的层次结构，第一层为目标层，是总的设备行为特性，第二层为属性层，是设备行为特性的属性细分，分为三种属性，分别是性能特性证据，安全特性证据，活动特性证据，第三层为证据层，是第二层中三种属性的细分，其中性能特性证据分为CPU利用率，内存占用率，数据包传输时延，丢包率，平均吞吐量，安全特性证据分为访问敏感服务接口频率，是否非法访问，是否越权访问，系统限制访问次数，活动特性证据分为访问频率，授权访问通过率，成功交互率，本次访问服务占总体访问服务比率，IP历史出现比率，地理位置出现比率；
首先对性能特性证据进行处理，将其下五个指标的重要程度进行两两比较建立判断矩阵：

xji＝1/xij
其中横轴xi代表性能特性证据下的五项指标CPU利用率，内存占用率，丢包率，平均吞吐量，纵轴xj同样为性能特性证据下的五项指标CPU利用率，内存占用率，丢包率，平均吞吐量，将横轴纵轴两两比较，以0.1为增量，0为完全没有对方重要，0.5为同等重要，1.0为完全比对方重要，生成判断矩阵X，对角线上的自身比较为0.5；
对判断矩阵x进行行求和生成一维向量Y：



对向量Y做变换生成模糊一致判断矩阵：



对模糊一致判断矩阵Yij做变换生成一维向量z，其中zi代表第i维指标针对上层特性的重要程度：



最终计算性能特性证据下的各项指标的主观权重：






然后对安全特性证据进行处理，将其下四个指标的重要程度进行两两比较建立判断矩阵：



其中横轴xi代表安全特性证据下的四项指标敏感服务访问是否超...

【专利技术属性】
技术研发人员：陈铁明，蒋建可，呼延东铎，宋琪杰，顾国民，
申请(专利权)人：浙江工业大学，
类型：发明
国别省市：浙江;33