【技术实现步骤摘要】
本专利技术涉及数据访问控制的,尤其涉及一种零信任安全访问控制方法。
技术介绍
1、随着互联网、云计算和大数据等新一代信息技术的发展,网络结构变得越来越复杂,传统基于边界的网络安全模型已无法应对新网络下的威胁,零信任网络应运而生。零信任网络安全理念是“始终不相信,处处要验证”,网络中任何访问主体在访问时都不予以信任,并通过动态访问控制机制进行持续的验证和评估,其对访问控制提出了新的挑战。另外,身份管理是零信任网络的基础,目前网络中不同体系结构的身份管理系统协同并存,海量、跨域和多态的用户身份难以进行统一管理,为访问控制的实施带来了极大的不便。如何实现零信任网络中以身份为中心的访问控制机制是目前亟待解决的问题。针对该问题,本专利技术提出一种零信任安全访问控制方法。
技术实现思路
1、有鉴于此,本专利技术提供一种零信任安全访问控制方法,目的在于:1)获取有限数目的用户信息数据以及访问控制权限,进而构建得到用户信息与访问控制权限的图神经网络模型,根据用户信息与访问控制权限之间在低维度空间的概率映射关系,确定用户信息符合用户访问控制权限要求的概率值,判断得到数据访问者是否具有用户访问控制权限;2)数据所有者基于用户访问控制权限要求以及信任度要求设置数据的访问策略,在数据访问者发起数据访问请求后,基于数据访问者的历史访问控制信息确定多维度的信任度计算结果,包括表征数据访问者当前ip是否存在异常的直接信任度,结合数据访问者访问成功率以及数据访问者在邻近时间范围内的访问频率的访问信任度,表征数据访
2、实现上述目的,本专利技术提供的一种零信任安全访问控制方法,包括以下步骤:
3、s1:构建深度用户访问控制模型,所述模型以用户信息为输入,以用户对数据的访问控制权限为输出;
4、s2:数据所有者设置数据的访问策略,并在本地对数据加密,其中访问策略包括用户访问控制权限要求以及用户信任度阈值;
5、s3:数据访问者发起数据访问请求,利用深度用户访问控制模型进行用户访问控制权限判断;
6、s4:若数据访问者具有用户访问控制权限,则对数据访问者进行信任度动态综合评估,若信任度动态综合评估结果符合访问策略要求,则生成数据访问者的属性私钥,并允许数据访问者对数据进行访问控制,当信任度动态综合评估结果不符合访问策略要求时,禁止数据访问者的访问控制操作。
7、作为本专利技术的进一步改进方法:
8、可选地,所述s1步骤中构建深度用户访问控制模型,包括:
9、构建深度用户访问控制模型,所述深度用户访问控制模型以用户信息为输入,以用户对数据的访问控制权限为输出,其中用户信息包括用户身份id以及职务信息,用户对数据的访问控制权限输出结果为用户具有访问控制权限或用户不具有访问控制权限;
10、所述深度用户访问控制模型的构建流程为:
11、s11:获取用户信息集合以及数据访问控制权限集合:
12、user={ui|i∈[1,n]}
13、perm={permissionm|m∈[1,m]}
14、其中:
15、user表示用户信息集合,n表示已获取的用户信息数目,ui表示已获取的第i条用户信息;
16、perm表示数据访问控制权限集合,m表示可进行访问的数据组数,permissionm表示第m组数据的访问控制权限;在本专利技术实施例中,数据的访问控制权限为数据所有者所设置数据的访问控制权限要求;
17、s12:构建已获取用户信息集合与数据访问控制权限的图表示关系,其中用户信息以及数据访问控制权限为图表示关系中不同类型的点,图表示关系中的边为用户信息与数据访问控制权限之间的连线,其中用户信息ui与访问控制权限permissionm在图表示关系中的连线为:
18、l(permissionm→ui)
19、连线l(permissionm→ui)的权值为:
20、w(permissionm→ui)
21、其中:
22、w(permissionm→ui)={0,1},w(permissionm→ui)=1表示用户信息ui具有对第m组数据的访问控制权限permissionm,w(permissionm→ui)=0表示用户信息ui不具有对第m组数据的访问控制权限permissionm;
23、s13:利用独热编码法分别对用户信息以及访问控制权限进行编码,其中用户信息ui的编码结果为c(ui),访问控制权限permissionm的编码结果为c(permissionm);
24、s14:计算用户信息编码结果与访问控制权限编码结果的内积,并将内积结果转换为用户信息具有访问控制权限的概率值:
25、p(permissionm→ui)=c(ui)·c(permissionm)wt
26、其中:
27、w表示深度用户访问控制模型中的待训练权重参数;
28、·表示内积运算;
29、t表示转置;
30、p(permissionm→ui)表示用户信息ui具有访问控制权限permissionm的概率值;
31、s15:构建深度用户访问控制模型的训练目标函数:
32、
33、其中:
34、loss(w)表示深度用户访问控制模型的训练目标函数,w表示待训练的权重参数;
35、s16:利用梯度下降算法对权重参数进行优化求解,基于最终优化得到的权重参数w*构建得到深度用户访问控制模型。
36、可选地,所述s2步骤中数据所有者设置数据的访问策略,包括:
37、数据所有者设置数据data的访问策略,其中数据data的访问策略包括用户访问控制权限要求permissiondata以及用户信任度阈值
38、可选地,所述s2步骤中数据所有者在本地对数据加密,包括:
39、数据所有者在本地对数据data进行加密处理,其中加密处理流程为:
40、s21:数据所有者设置安全参数α,并基于安全参数生成公共参数pk和主密钥mk:
41、pk=αβα
42、
43、其中:
44、β为随机筛选得到的质数;
45、gcd(·)表示求取最大公约数;
46、mk为满足等式的值;
47、mod表示取余数;
48、s22:基于公共参数pk以及主密钥m本文档来自技高网...
【技术保护点】
1.一种零信任安全访问控制方法,其特征在于,所述方法包括:
2.如权利要求1所述的一种零信任安全访问控制方法,其特征在于,所述S1步骤中构建深度用户访问控制模型,包括:
3.如权利要求1所述的一种零信任安全访问控制方法,其特征在于,所述S2步骤中数据所有者设置数据的访问策略,包括:
4.如权利要求3所述的一种零信任安全访问控制方法,其特征在于,所述S2步骤中数据所有者在本地对数据加密,包括:
5.如权利要求1所述的一种零信任安全访问控制方法,其特征在于,所述S3步骤中利用深度用户访问控制模型对数据访问者进行用户访问控制权限判断,包括:
6.如权利要求5所述的一种零信任安全访问控制方法,其特征在于,所述S4步骤中若数据访问者具有用户访问控制权限,则对数据访问者进行信任度动态综合评估,包括:
7.如权利要求6所述的一种零信任安全访问控制方法,其特征在于,所述S4步骤中若信任度动态综合评估结果符合访问策略要求,则生成数据访问者的属性私钥,并允许数据访问者对数据进行访问控制,包括:
【技术特征摘要】
1.一种零信任安全访问控制方法,其特征在于,所述方法包括:
2.如权利要求1所述的一种零信任安全访问控制方法,其特征在于,所述s1步骤中构建深度用户访问控制模型,包括:
3.如权利要求1所述的一种零信任安全访问控制方法,其特征在于,所述s2步骤中数据所有者设置数据的访问策略,包括:
4.如权利要求3所述的一种零信任安全访问控制方法,其特征在于,所述s2步骤中数据所有者在本地对数据加密,包括:
5.如权利要求1所述的一种零信任安全...
【专利技术属性】
技术研发人员:毛志杰,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。