本发明涉及物联网信息安全技术领域,尤其涉及一种基于可信监督的rbac访问控制方法。
背景技术:
访问控制技术是实现系统安全防御和系统权限分配重要技术手段之一。现存的访问控制技术众多,主要分为三类:自主访问控制dac、强制访问控制mac和基于角色的访问控制rbac。
基于角色的访问控制通过引入角色的概念,灵活性较高,弥补了自主访问控制和强制访问控制的不足。但访问控制机制僵化,安全性不足,无法实现对用户提供可信的访问控制授权,这就导致系统存在泄露重要信息的风险。
技术实现要素:
本发明为解决用户访问系统缺乏可信性的问题,保证用户对系统资源的访问是在可信的环境下进行的,不会出现信息泄露的风险,提高了系统的安全性,提供一种基于可信监督的rbac访问控制方法。
上述的目的通过以下的技术方案实现:
一种基于可信监督的rbac访问控制方法,该方法包括以下步骤:
a:用户向系统发出资源交互申请,系统调用鉴别授权模块,根据用户提供的身份信息判别用户的类别,同时获取用户的上下文信息;
b:调用动态信任评估模块,根据用户与系统交互成功次数、用户与系统交互失败次数等上下文数据对用户进行信任度计算和信任度评估,拒绝为信任值小于0.5的用户提供资源交互服务;
c:调用动态信任监控模块对系统约束进行动态的判断,对用户访问系统资源的行为以及角色权限的授予和撤销进行实时动态监控,对尝试用非法行为进行越权操作的角色进行角色撤销,强制退出系统。
所述的基于可信监督的rbac访问控制方法,所述的步骤a包括以下具体步骤:
a1:根据用户提供的身份信息判别用户的类别,如系统资源提供者、系统资源运行者、系统资源访问者;
a2:从信息系统中获取该用户的访问控制记录,获取该用户的上下文信息,包括:用户与系统交互成功次数a、用户与系统交互失败次数b、用户在对系统进行资源交互时的上下文权重、系统对用户各项行为表现给出的基础数据、历史信任度影响率权重,同时系统判别该用户为新用户或老用户;
a3:若为新用户则得出用户与系统交互成功次数a为0,用户与系统交互失败次数b为0。
所述的基于可信监督的rbac访问控制方法,所述的步骤b包括以下具体步骤:
b1:根据上下文数据对用户进行信任评估,计算用户当前信任度为:,其中,a为用户与系统交互成功次数,b为用户与系统交互失败次数,当时,;
b2:计算用户反馈信任度:,其中表示用户在对系统进行资源交互时的上下文权重,表示系统对用户各项行为表现给出的基础数据,共为n项,表示时间衰减函数,,l表示用户评估总次数;
b3:计算其总体信任度为,其中为历史信任度影响率权重;
b4:当(0.5为信为任临界值)时,系统拒绝为该用户提供资源交互服务,强制用户退出系统。
所述的基于可信监督的rbac访问控制方法,所述的步骤c包括以下具体步骤:
c1:对系统角色权限的授予和撤销进行实时动态监控;
c2:对用户访问系统资源的行为进行实时动态监控;
c3:对尝试用非法行为进行越权操作的角色进行角色撤销,强制退出系统。
所述的一种基于可信监督的rbac访问控制方法,所述的步骤a中根据用户提供的身份信息判别用户的类别,用户的类别为系统资源提供者、系统资源运行者、系统资源访问者系统资源提供者、系统资源运行者、系统资源访问者。
有益效果:
1.本发明通过建立可信监督机制,解决了用户访问系统缺乏可信性的问题,保证用户对系统资源的访问是在可信的环境下进行的,不会出现信息泄露的风险,提高了系统的安全性。
附图说明:
附图1是本发明可信监督机制访问控制过程图;
附图2是用户访问系统流程图;
图中:1、十字肋板;2、水箱;3、变压器油箱;4、密封盖;5、供气管;6、空气压缩机;7、压力表;8、方环密封垫;9、连接管道;10、圆环充气圈。
具体实施方式:
实施例1:
一种基于可信监督的rbac访问控制方法,如附图1所示,可信监督机制包括鉴别授权模块、动态信任评估模块和动态信任监控模块;
该方法包括以下步骤:
a:用户向系统发出资源交互申请,系统调用鉴别授权模块,根据用户提供的身份信息判别用户的类别,如系统资源提供者、系统资源运行者、系统资源访问者,同时获取用户的上下文信息;
b:调用动态信任评估模块,根据用户与系统交互成功次数、用户与系统交互失败次数等上下文数据对用户进行信任度计算和信任度评估,拒绝为信任值小于0.5的用户提供资源交互服务;
c:调用动态信任监控模块对系统约束进行动态的判断,对用户访问系统资源的行为以及角色权限的授予和撤销进行实时动态监控,对尝试用非法行为进行越权操作的角色进行角色撤销,强制退出系统。
实施例2:
根据实施例1所述的基于可信监督的rbac访问控制方法,所述的步骤a包括以下具体步骤:
a1:用户进入到系统中,首先向系统发出资源交互申请,同时向系统提供身份信息,此时系统调用鉴别授权模块,根据用户的身份信息对用户进行用户类型判别;例如用户甲、用户乙、用户丙3位用户同时向系统提出资源交互申请,此时系统判别3位用户的身份类型如表1所示:
根据系统设定的a、b、c三项信息指标,用户甲3项指标都满足,则判定用户甲为系统资源提供者,用户乙满足2项指标,则判定用户乙为系统资源运行者,用户丙满足1项指标,则判定用户丙为系统资源访问者;
a2:从信息系统中获取3位用户的访问控制记录以及用户的上下文信息,包括:用户与系统交互成功次数a、用户与系统交互失败次数b、用户在对系统进行资源交互时的上下文权重、系统对用户各项行为表现给出的基础数据、历史信任度影响率权重。同时系统判别该用户为新用户或老用户;
a3:此时系统判别用户甲、乙为老用户,用户丙为新用户,则此时用户丙与系统交互成功次数a为0,用户与系统交互失败次数b为0,其上下文信息设置为系统初始临界值。
实施例3:
根据实施例1或2所述的基于可信监督的rbac访问控制方法,所述的步骤b包括以下具体步骤:
b1:系统根据已获得上下文信息计算3位用户当前的信任度。计算公式为:。计算用户甲的当前信任度为,计算用户乙的当前信任度为,计算用户丙当前的信任度为;
b2:系统根据已获得上下文信息计算3位用户反馈信任度。计算公式为:。计算用户甲的反馈信任度为,计算用户乙的反馈信任度为,计算用户丙的反馈信任度为;
b3:系统计算三位用户的总体信任度,计算公式为:。用户甲的总体信任度为,计算用户乙的总体信任度为,计算用户丙的总体信任度为;
b4:此时3位用户的总体信任度,,。系统为3位用户提供资源交互服务。
实施例4:
根据实施例1或2或3所述的基于可信监督的rbac访问控制方法,所述的步骤c包括以下具体步骤:
c1:对3位用户的角色权限的授予和撤销进行实时动态监控。
c2:对3位用户访问系统资源的行为进行实时动态监控。
c3:对尝试用非法行为进行越权操作的用户丙进行角色撤销,强制退出系统。
实施例5:
根据实施例1或2或3或4所述的基于可信监督的rbac访问控制方法,所述的步骤a中根据用户提供的身份信息判别用户的类别,用户的类别为系统资源提供者、系统资源运行者、系统资源访问者系统资源提供者、系统资源运行者、系统资源访问者。
1.一种基于可信监督的rbac访问控制方法,其特征是:该方法包括以下步骤:
a:用户向系统发出资源交互申请,系统调用鉴别授权模块,根据用户提供的身份信息判别用户的类别,同时获取用户的上下文信息;
b:调用动态信任评估模块,根据用户与系统交互成功次数、用户与系统交互失败次数等上下文数据对用户进行信任度计算和信任度评估,拒绝为信任值小于0.5的用户提供资源交互服务;
c:调用动态信任监控模块对系统约束进行动态的判断,对用户访问系统资源的行为以及角色权限的授予和撤销进行实时动态监控,对尝试用非法行为进行越权操作的角色进行角色撤销,强制退出系统。
2.根据权利要求1所述的基于可信监督的rbac访问控制方法,其特征是:所述的步骤a包括以下具体步骤:
a1:根据用户提供的身份信息判别用户的类别,如系统资源提供者、系统资源运行者、系统资源访问者;
a2:从信息系统中获取该用户的访问控制记录,获取该用户的上下文信息,包括:用户与系统交互成功次数a、用户与系统交互失败次数b、用户在对系统进行资源交互时的上下文权重、系统对用户各项行为表现给出的基础数据、历史信任度影响率权重,同时系统判别该用户为新用户或老用户;
a3:若为新用户则得出用户与系统交互成功次数a为0,用户与系统交互失败次数b为0。
3.根据权利要求1所述的基于可信监督的rbac访问控制方法,其特征是:所述的步骤b包括以下具体步骤:
b1:根据上下文数据对用户进行信任评估,计算用户当前信任度为:,其中,a为用户与系统交互成功次数,b为用户与系统交互失败次数,当时,;
b2:计算用户反馈信任度:,其中表示用户在对系统进行资源交互时的上下文权重,表示系统对用户各项行为表现给出的基础数据,共为n项,表示时间衰减函数,,l表示用户评估总次数;
b3:计算其总体信任度为,其中为历史信任度影响率权重;
b4:当(0.5为信为任临界值)时,系统拒绝为该用户提供资源交互服务,强制用户退出系统。
4.根据权利要求1所述的基于可信监督的rbac访问控制方法,其特征是:所述的步骤c包括以下具体步骤:
c1:对系统角色权限的授予和撤销进行实时动态监控;
c2:对用户访问系统资源的行为进行实时动态监控;
c3:对尝试用非法行为进行越权操作的角色进行角色撤销,强制退出系统。
5.根据权利要求1所述的基于可信监督的rbac访问控制方法,其特征是:所述的步骤a中根据用户提供的身份信息判别用户的类别,用户的类别为系统资源提供者、系统资源运行者、系统资源访问者系统资源提供者、系统资源运行者、系统资源访问者。
技术总结