[发明专利]一种资源访问权限控制方法及系统

说明书

本发明提出了一种资源访问权限控制方法及系统，涉及安全访问控制技术领域。该方法按预设的特征提取规则，从获取的终端设备的动态资源访问信息中提取终端设备的动态特征信息，如设备特征信息、用户特征信息及网络特征信息，并基于这些动态特征信息生成访问控制策略来实时更新预设的访问控制策略集，然后通过更新的访问控制策略集计算出终端设备的访问信任值，利用访问信任值动态调整终端设备的信任级别，从而实时控制终端设备资源的访问权限，有效防止滥用权限和越权，最终有效控制终端设备/用户进一步访问受限资源，降低系统的安全风险。

技术领域

本发明涉及安全访问控制技术领域，具体而言，涉及一种资源访问权限控制方法及系统。

背景技术

随着物联网技术的广泛使用，越来越多的物联网终端设备不断地加入网络，使得各类终端设备与云端的业务系统的数据交互不再受地理位置或时间的限制，带来了安全边界模糊的问题，且随着云计算朝着动态、开放的方向发展，云计算的资源越来越多地暴露在因特网之下，受到未知的终端设备攻击的次数和规模呈递增指数递增，而现有的云计算由于对安全问题考虑得不够充分、全面，安全措施仅仅依靠防火墙、访问控制等，已不能保证云计算的安全，如存在着给用户配置过高权限、时间过长的权限而带来的安全威胁，用户滥用权限、越权带来的安全风险等问题。

发明内容

本发明的目的在于提供一种资源访问权限控制方法及系统，其通过按预设的特征提取规则，从获取的终端设备的动态资源访问信息中提取终端设备的动态特征信息，如设备特征信息、用户特征信息及网络特征信息，并基于这些动态特征信息生成访问控制策略来实时更新预设的访问控制策略集，然后通过更新的访问控制策略集计算出终端设备的访问信任值，利用访问信任值动态调整终端设备的信任级别，从而实时控制终端设备资源的访问权限，有效防止滥用权限和越权，最终有效控制终端设备/用户进一步访问受限资源，降低系统的安全风险。

本发明的技术方案是这样实现的：

第一方面，本发明提供一种资源访问权限控制方法，包括以下步骤：

获取终端设备的动态资源访问信息；

基于预设的特征提取规则从所述动态资源访问信息中提取终端设备的动态特征信息；

基于所述动态特征信息更新预设的访问控制策略集；

根据更新后的访问控制策略集计算所述终端设备的访问信任值，并根据所述访问信任值调整终端设备的资源访问权限。

进一步地，所述基于预设的特征提取规则从所述动态资源访问信息中提取终端设备的动态特征信息的步骤具体包括：

通过预设的正则表达式从所述动态资源访问信息中匹配出终端设备的设备特征信息及用户特征信息；

使用KNN算法从所述动态资源访问信息中识别终端设备的网络特征信息，所述网络特征信息包括网络环境信息和网络行为信息。

进一步地，所述基于所述动态特征信息更新预设的访问控制策略集的步骤具体包括：

根据所述动态特征信息对应生成新的访问控制策略；

将生成的新的访问控制策略与所述访问控制策略集中的访问控制策略进行相似度计算；

根据相似度计算结果更新所述访问控制策略集，所述访问控制策略集包括设备策略、用户策略、网络环境策略及网络行为策略。

进一步地，所述根据更新后的访问控制策略集计算所述终端设备的访问信任值的步骤具体包括：

基于滑动窗口模型分别计算所述访问控制策略集中各策略的当前信任值；

基于所述访问控制策略集中各策略的当前信任值计算得到终端设备的当前访问信任值。