CN115695015A - 用户权限调整方法、装置、电子设备及存储介质 - Google Patents

用户权限调整方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN115695015A
CN115695015A CN202211364280.5A CN202211364280A CN115695015A CN 115695015 A CN115695015 A CN 115695015A CN 202211364280 A CN202211364280 A CN 202211364280A CN 115695015 A CN115695015 A CN 115695015A
Authority
CN
China
Prior art keywords
access
user side
evaluation value
user
current
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211364280.5A
Other languages
English (en)
Inventor
田静伟
于星杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202211364280.5A priority Critical patent/CN115695015A/zh
Publication of CN115695015A publication Critical patent/CN115695015A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本申请提供一种用户权限调整方法、装置、电子设备及存储介质。该方法包括:获取用户端的当前可信评估值和访问特征,其中,所述访问特征为对所述用户端的访问日志进行特征提取获得;将所述访问特征输入可信评估模型中,获得所述用户端对应的新的可信评估值;根据所述当前可信评估值和所述新的可信评估值对所述用户端的访问权限进行调整。本申请通过动态调整用户端的可信评估值,并根据可信评估值调整对应的访问权限,从而提高了***的安全性。

Description

用户权限调整方法、装置、电子设备及存储介质
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种用户权限调整方法、装置、电子设备及存储介质。
背景技术
在安全网关产品在进行用户的管理时,关注重点是对用户角色、登录设备的IP地址信息进行鉴权、审计,以判断用户在***访问过程中在访问***实体时是否存在访问权限。基于目前的方案,可以在用户权限满足在其对应的角色授权范围内进行对应资源的访问操作。***可以对该用户的***操作进行记录、审计。
目前对用户权限管理是基于静态的角色进行管理,即在注册某个用户时,为该用户设置一个角色,由于每个角色都预先配置有其对应的访问权限,因此,在为该用户设置好角色后,便确定了该用户的访问权限,且在该用户访问期间,其权限不可变更。依赖用户身份及设备IP进行认证鉴权的方法,实际上用户的身份和设备IP都容易被仿冒,导致不可信的用户访问***,进而降低来了***的安全性。
发明内容
本申请实施例的目的在于提供一种用户权限调整方法、装置、电子设备及存储介质,用以提高***的安全性。
第一方面,本申请实施例提供一种用户权限调整方法,包括:
获取用户端的当前可信评估值和访问特征,其中,所述访问特征为对所述用户端的访问日志进行特征提取获得;
将所述访问特征输入可信评估模型中,获得所述用户端对应的新的可信评估值;
根据所述当前可信评估值和所述新的可信评估值对所述用户端的访问权限进行调整。
本申请实施例通过动态调整用户端的可信评估值,并根据可信评估值调整对应的访问权限,从而提高了***的安全性。
在任一实施例中,所述根据所述当前可信评估值和所述新的可信评估值对所述用户的访问权限进行调整,包括:
若所述当前可信评估值大于所述新的可信评估值,则降低所述用户端的访问权限;
若所述当前可信评估值小于所述新的可信评估值,则提高所述用户端的访问权限。
本申请实施中通过根据可信评估值的升降动态调整用户端的访问权限,从而使得用户端能够对***潜在的安全风险进行防护,提高***的安全性。
在任一实施例中,所述若所述当前可信评估值大于所述新的可信评估值,则降低所述用户端的访问权限,包括:
计算所述当前可信评估值与所述新的可信评估值之间的第一差值;
根据所述当前可信评估值与所述第一差值确定可信度下降率,并根据所述可信度下降率降低所述用户端的访问权限;其中,所述可信度下降率用于表征所述新的可信评估值相对所述当前可信评估值降低的幅度。
本申请实施例通过根据可信评估值的下降幅度调整用户端的访问权限,从而实现了用户端的访问权限的精准调整。
在任一实施例中,所述若所述当前可信评估值小于所述新的可信评估值,则提高所述用户端的访问权限,包括:
计算所述新的可信评估值与所述当前可信评估值之间的第二差值;
根据所述当前可信评估值与所述第二差值确定可信度升高率,并根据所述可信度升高率提高所述用户端的访问权限;其中,所述可信度升高率用于表征所述新的可信评估值相对所述当前可信评估值升高的幅度。
本申请实施例通过根据可信评估值的上升幅度调整用户端的访问权限,从而实现了用户端的访问权限的精准调整。
在任一实施例中,所述访问特征包括:用户账号、访问时间、IP地址、MAC地址、可信状态、被访问的网络资源和被访问的应用资源。
本申请实施例通过上述访问特征可以提高对用户端的可信评估值确定的准确性。
在任一实施例中,所述方法还包括:
接收所述用户端发送的访问请求,所述访问请求包括用户账号和访问资源;
根据所述用户账号确定对应的访问权限;
根据所述访问权限判断所述用户端是否能够访问所述访问资源;
若有权限,则允许所述用户端访问所述访问资源。
本申请实施例通过在接收到访问请求后,先判断用户账号是否具有访问权限,当有访问权限时才允许其访问对应的访问资源,保证了***的安全性。
在任一实施例中,在接收所述用户端发送的访问请求之后,所述方法还包括:
若根据所述用户账号确定所述用户端未认证,则向所述用户端返回认证指令;
接收所述用户端发送的认证信息,并根据所述认证信息对所述用户端进行认证;
若认证通过,则执行根据所述用户账号确定对应的访问权限的步骤。
本申请实施例通过对用户端的认证,使得经过认证的用户端能够访问权限范围内的访问资源,提高了***的安全性。
第二方面,本申请实施例提供一种用户权限调整装置,包括:
获取模块,用于获取用户端的当前可信评估值和访问特征,其中,所述访问特征为对所述用户端的访问日志进行特征提取获得;
评估值计算模块,用于将所述访问特征输入可信评估模型中,获得所述用户端对应的新的可信评估值;
权限调整模块,用于根据所述当前可信评估值和所述新的可信评估值对所述用户端的访问权限进行调整。
第三方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面的方法。
第四方面,本申请实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面的方法。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种用户权限调整方法流程示意图;
图2为本申请实施例提供的一种认证方法流程示意图;
图3为本申请实施例提供的另一种认证方法流程示意图;
图4为本申请实施例提供的一种用户权限调整装置结构示意图;
图5为本申请实施例提供的电子设备实体结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
当前一般的网络接入控制器是基于设备IP或用户的静态身份进行管理。这种传统的方案存在假冒身份的问题,对***的安全造成安全隐患,同时也无法对访问策略进行动态的调整控制。尤其是网络物理边界逐渐模糊的SASE(安全访问服务边缘)解决方案中,这种传统的访问控制器不再适用。ZTNA(零信任网络访问)作为SASE(安全访问服务边缘)解决方案中的核心技术,保证了网站中设备及用户的可信接入及管理,而用户的可信状态评估作为实现ZTNA的关键部分,对实现高成熟度的ZTNA非常重要。
在安全网关产品在进行用户的管理时,关注重点是对用户角色、登录设备的IP地址信息进行鉴权、审计,以判断用户在***访问过程中在访问***实体时是否存在访问权限。基于目前的方案,可以在用户权限满足在其对应的角色授权范围内进行对应资源的访问操作。***可以对该用户的***操作进行记录、审计。这种对用户权限的管理是基于静态的角色进行管理的,在用户访问期间,其权限不可变更;用户在访问过程中,依赖用户身份及设备IP进行认证鉴权,实际上身份信息和设备IP都容易被仿冒,导致不可信***访问。
为了解决上述技术问题,本申请实施例提出了一种用户权限调整方法,该方法通过实现基于身份的用户行为画像,***可以对用户进行实时的可信评估,以实现对用户的动态授权,对潜在的安全风险进行防护,减少***面临的安全风险。
可以理解的是,本申请实施例提供的用户权限调整方法可以应用于电子设备;该电子设备可以为安全网关,具体可以为防火墙。
图1为本申请实施例提供的一种用户权限调整方法流程示意图,如图1所示,该方法包括:
步骤101:获取用户端的当前可信评估值和访问特征,其中,所述访问特征为对所述用户端的访问日志进行特征提取获得。
在具体的实施过程中,安全网关可以实时地获取用户端的当前可信评估值和访问特征。其中,当前可信评估值是指当前时刻用户端对应的可信评估值,即安全网关中存储的最近一次对该用户端进行评估后获得的可信评估值。当前可信评估值用于表征该用户端的可信状态,当前可信评估值越高,表示该用户端越可信,当前可信评估值越低,表示该用户端越不可信。可以将可信评估值的可信等级进行预先划分,例如:可划分为低、中、高。可信评估值的取值范围为[0,1],可信评估值为[0,0.5)对应的可信等级为低,可信评估值为[0.5,0.8)对应的可信等级为中,可信评估值为[0.8,1]对应的可信等级为高。可以理解的是,可信等级可根据实际情况进行划分,本申请实施例对此不作具体限定。
访问特征是指用户端的访问行为对应的特征,用户端向安全网关发送的访问请求,安全网关响应该访问请求后生成该访问请求对应的访问日志。安全网关可以将存储的访问日志中提取访问特征。其中,访问特征可以包括以下至少一项:
用户账号,可使用符号V1标识;
访问时间,可使用符号V2标识;
终端的IP地址,可使用符号V3标识;
终端的MAC地址,可使用符号V4标识;
终端的可信状态,可使用符号V5标识;
被访问的网络资源(网络地址),可使用符号V6标识;
被访问的应用资源(应用服务名称),可使用符号V7标识。
可以理解的是,访问特征还可以包括其他参数,例如:最近访问时间、访问频率、登录失败次数、占用带宽和占用***资源大小等。
步骤102:将所述访问特征输入可信评估模型中,获得所述用户端对应的新的可信评估值。
安全网关在获取到用户端的访问特征后,将访问特征输入可信评估模型中,其中,可信评估模型为预先训练好的模型,可采用卷积神经网络、随机森林、支持向量机等算法构建,本申请实施例对此不作具体限定。可信评估模型根据输入的访问特征输出用户端对应的新的可信评估值。可以理解的是,新的可信评估值是相对当前可信评估值而言的。
步骤103:根据所述当前可信评估值和所述新的可信评估值对所述用户端的访问权限进行调整。
安全网关在获得新的可信评估值后,根据当前可信评估值和新的可信评估值可以确定用户端的可信评估值的变化情况,从而根据该变化情况调整用户端的访问权限。
本申请实施例通过动态调整用户端的可信评估值,并根据可信评估值调整对应的访问权限,从而提高了***的安全性。
在上述实施例的基础上,所述根据所述当前可信评估值和所述新的可信评估值对所述用户的访问权限进行调整,包括:
若所述当前可信评估值大于所述新的可信评估值,则降低所述用户端的访问权限;
若所述当前可信评估值小于所述新的可信评估值,则提高所述用户端的访问权限。
在具体的实施过程中,如果当前可信评估值大于新的可信评估值,则说明用户端的可信状态是下降了的,也就意味着该用户端变得没有之前可信,这时,为了保证***的安全,可以降低用户端的访问权限。
如果当前可信评估值小于新的可信评估值,则说明用户端的可信状态提高了,也就意味着该用户端变的比之前更加可信,为了保证用户端能够在其可信状态下访问到更多的资源,可以提高用户端的访问权限。
本申请实施中通过根据可信评估值的升降动态调整用户端的访问权限,从而使得用户端能够对***潜在的安全风险进行防护,提高***的安全性。
在上述实施例的基础上,所述若所述当前可信评估值大于所述新的可信评估值,则降低所述用户端的访问权限,包括:
计算所述当前可信评估值与所述新的可信评估值之间的第一差值;
根据所述当前可信评估值与所述第一差值确定可信度下降率,并根据所述可信度下降率降低所述用户端的访问权限;其中,所述可信度下降率用于表征所述新的可信评估值相对所述当前可信评估值降低的幅度。
在具体的实施过程中,可以预先对被访问对象(包括网络资源和应用资源)的防护等级进行划分,例如:可划分为低、中、高三个防护等级。防护等级越高的被访问对象表明在***中越重要,具备高可信状态的用户端才能访问。
对于可信评估值下降的情况,具体将访问权限降低到哪个等级,可根据可信评估值下降的幅度进行确定。
假设:用户当前可信评估值为T1,则用户新的可信评估值为T2=F(<V1:W1>current,<V2:W2>current,<V3:W3>current,<V4:W4>current,<V5:W5>current,<V6:W6>current,<V7:W7>current)。其中,F()为可信评估模型内的算法,其中,<V1:W1>表示行为特征向量V1及其对应的权重W1,其余类似。每一个监控项都有一个权重W,W的值为[0,1]。在不同的接入场景中,特征向量相关联的权重可以配置不同。相关权重需要认为预先进行配置,也可以在***运行过程中进行动态的调整。
当T2<T1时,则判断当前用户可信度降低,其访问存在风险,需要对访问对象进行调整;
根据公式ΔT1=T1–T2计算获得当前可信评估值与新的可信评估值之间的第一差值。
当用户端的可信度评估下降时,其能够访问的最高级别的资源的等级将降低等级;比如原来可访问的资源或应用的等级范围包括高、中、低(PHigh,PMedium,PLow)3个等级,在可信度评估下降时,则自动将其可访问的资源或应用的等级范围调整为中、低(PMedium,PLow)2个等级,高级资源或应用将不能继续访问。具体降级级别如下:
将第一差值与当前可信评估值的商作为可信度下降率。
如果,当前可信评估值T1*0.2<=ΔT1,则可访问级别降低1级;
如果,当前可信评估值T1*0.3<=ΔT1,则可访问级别降低2级;
如果,当前可信评估值T1*0.6<=ΔT1,则可访问级别降低3级;
如果降级后已经低于最低级别,则拒绝用户的***接入请求。
应当说明的是,在不同的访问场景中,各因素对用户的可信评估值的影响是不同的。举例如下:
a)、在远程访问场景中,访问特征包括:V1(身份),V2(访问发起时间),V5(终端可信状态),V6(被访问的网络资源),V7(被访问的应用资源);比如,用户在非正常的工作时间段对非授权的网络或应用资源进行访问尝试将被评估***认为是一次可疑的用户行为。
b)、在内网访问场景中,访问特征包括:V1(身份),V2(访问发起时间),V3(终端IP),V4(终端MAC),V5(终端可信状态),V6(被访问的网络资源),V7(被访问的应用资源);比如:在内网访问中,要求接入设备是被管控设备,当用户使用非受管控设备对网络资源或应用进行访问时,被评估***认为是一次可疑的用户行为。
本申请实施例通过根据可信评估值的下降幅度调整用户端的访问权限,从而实现了用户端的访问权限的精准调整。
在上述实施例的基础上,所述若所述当前可信评估值小于所述新的可信评估值,则提高所述用户端的访问权限,包括:
计算所述新的可信评估值与所述当前可信评估值之间的第二差值;
根据所述当前可信评估值与所述第二差值确定可信度升高率,并根据所述可信度升高率提高所述用户端的访问权限;其中,所述可信度升高率用于表征所述新的可信评估值相对所述当前可信评估值升高的幅度。
在具体的实施过程中,将新的可信评估值与当前可信评估值之间的差作为第二差值,可以理解的是,第二差值越大,则说明新的可信评估值相对当前可信评估值提高幅度越大。因此,可根据当前可信评估值与第二差值确定可信升高率。
仍以上述实施例中的举例为例,当T2>T1时,则判断当前用户可信度升高,需要对访问对象进行调整;
根据公式ΔT2=T2–T1计算获得新的可信评估值与当前可信评估值之间的第二差值。
当用户端的可信度评估升高时,其能够访问的最高级别的资源的等级将提高等级;比如原来可访问的资源或应用的等级范围包括中、低(PMedium,PLow)2个等级,在可信度评估升高时,则自动将其可访问的资源或应用的等级范围调整为高、中、低(PHigh,PMedium,PLow)3个等级。具体提高级别如下:
将第二差值与当前可信评估值的商作为可信度升高率。
如果,当前可信评估值T1*0.2<=ΔT2,则可访问级别升高1级;
如果,当前可信评估值T1*0.3<=ΔT2,则可访问级别升高2级;
如果,当前可信评估值T1*0.6<=ΔT2,则可访问级别升高3级。
应当说明的是,可访问级别升高到最高级后便不再继续升高,例如:若当前可信评估值对应的可访问等级为中级,根据可信度升高率计算获得可访问级别升高2级,由于从中级到高级值需要升级1级,且高级为最高等级,因此,将当前可信评估值对应的可访问等级升高2级后,获得的最新的可访问级别仍然为高级。
本申请实施例通过根据可信评估值的上升幅度调整用户端的访问权限,从而实现了用户端的访问权限的精准调整。
在上述实施例的基础上,所述方法还包括:
接收所述用户端发送的访问请求,所述访问请求包括用户账号和访问资源;
根据所述用户账号确定对应的访问权限;
根据所述访问权限判断所述用户端是否能够访问所述访问资源;
若有权限,则允许所述用户端访问所述访问资源。
在具体的实施过程中,在用户端的访问过程中,用户端向安全哇昂管发送访问某个应用资源或网络资源的访问请求,该访问请求中包括该用户端对应的用户账号和要访问的访问资源。其中,用户账号为全局唯一的,用于表征用户端的身份。访问资源可以是某个应用或网络,具体可采用应用对应的地址或标识表示,本申请实施例对此不作具体限定。
安全网关中预先存储有已通过安全认证的用户账号及对应的访问权限的权限表,安全网关在接收到访问请求后,可以从预先存储的权限表中获取该用户端对应的访问权限,以根据该访问权限判断用户端是否能够访问该访问资源,具体地,安全网关中还存储有各个访问资源对应的防护等级,若用户端对应的访问权限包括低防护等级的资源和中防护等级的资源,若用户端要访问的访问资源的防护等级属于高防护等级,则说明该用户端没有权限访问该访问资源;如果该访问资源的访问等级为中防护等级或低防护等级,则该用户端有权限访问该访问资源。
应当说明的是,安全网关在开启后,可以先进行初始化,为基于角色创建该角色对应的基本访问权限。在安全网关中,新用户的初始权限授权基于RBAC模型,即基于角色的访问控制模型。针对不同的预置角色,设定了不同的基本的访问权限;针对用户自定义角色,管理员在新增该角色时配置该角色的相应***或资源访问权限。后续该用户的权限会随自身可信状态的变化被***调整。
本申请实施例通过在接收到访问请求后,先判断用户账号是否具有访问权限,当有访问权限时才允许其访问对应的访问资源,保证了***的安全性。
在上述实施例的基础上,在接收所述用户端发送的访问请求之后,所述方法还包括:
若根据所述用户账号确定所述用户端未认证,则向所述用户端返回认证指令;
接收所述用户端发送的认证信息,并根据所述认证信息对所述用户端进行认证;
若认证通过,则执行根据所述用户账号确定对应的访问权限的步骤。
图2为本申请实施例提供的一种认证方法流程示意图,如图2所示,该方法包括:
步骤201:用户端向安全网关发送访问应用A的访问请求;
步骤202:安全网关判断该用户端未进行认证,则向用户端返回重定向Portal;
步骤203:用户端向统一认证平台发送认证请求;可以理解的是,统一认证平台可以是运行在安全网关上的,也可以是独立的设备,本申请实施例对此不作具体限定;
步骤204:统一认证平台对用户端进行安全认证,若认证通过,则向用户端返回认证通过的消息;
步骤205:统一认证平台向安全网关发送授权访问策略;
步骤206:用户端再次向安全网关发送访问应用A的访问请求;
步骤207:安全网关判断该用户端已经过安全认证,且根据授权访问策略确定该用户端有权限访问应用A,则允许用户端访问应用A。
图3为本申请实施例提供的另一种认证方法流程示意图,如图3所示,安全网关中可信判断核心处理模块从逻辑上可以分为:策略管理及可信判定中心和安全策略执行中心;其中:
策略管理及可信判定中心:包括认证管理、安全策略管理、可信判定、用户实时监控、用户权限管理5个处理子单元;安全策略执行中心:包括安全策略执行子单元。
通过各个处理子单元的协作,实现了对用户访问***过程的可信分析及权限调整,保证了***的安全,具体处理逻辑描述如下:
步骤301:用户端向安全网关的认证管理单元发送访问应用A的访问请求;
步骤302:安全网关的认证管理单元判断该用户端未进行认证,则向用户端返回重定向Portal;
步骤303:用户端向统一认证平台发送认证请求;可以理解的是,统一认证平台可以是运行在安全网关上的,也可以是独立的设备,本申请实施例对此不作具体限定;
步骤304:统一认证平台对用户端进行安全认证,若认证通过,则向用户端返回认证通过的消息;
步骤305:统一认证平台向安全网关发送授权访问策略。
其中,安全网关基于身份的用户权限动态管理流程如下:
步骤A:认证管理模块完成用户端登录认证后,将访问请求转发给安全策略管理模块;
步骤B:用户实时监控模块实时监控用户可信状态及终端可信状态;
步骤C:用户实时监控模块将信息上报可信判定模块;
步骤D:可信判定模块对用户当可信状态进行评估,将可信判定结果上报给安全策略管理模块;
步骤E:可信判定模块将可信评估结果通知用户权限管理模块,用户权限管理模块动态调整用户权限;
步骤F:用户权限管理模块将用户权限调整通知安全策略执行模块;
步骤G:安全策略管理模块将策略执行指令下发给安全执行模块;
步骤H:安全执行模块根据调整后的用户权限执行访问。
在用户进行统一认证后,用户对***的访问将被安全网关的可信实时监控中心进行监控,采集用户的身份(V1)、访问时间(V2)、终端IP(V3)、终端MAC(V4)、被访问的网络资源(V5)、被访问的网络资源(V6)、被访问的应用资源(V7)。
当用户的行为同***的用户行为基线发生偏差时,比如访问时间段异常、访问资源异常、账号异常或终端状态异常等,可信判断中心会根据具体的异常行为及访问资源的权重等信息进行综合判断,来推断该用户的可信等级。将可信判定结果上报安全策略中,安全策略中心可据此进行实时的安全策略调整及相关告警处理。
图4为本申请实施例提供的一种用户权限调整装置结构示意图,该装置可以是电子设备上的模块、程序段或代码。应理解,该装置与上述图1方法实施例对应,能够执行图1方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置包括:获取模块401、评估值计算模块402和权限调整模块403,其中:
获取模块401用于获取用户端的当前可信评估值和访问特征,其中,所述访问特征为对所述用户端的访问日志进行特征提取获得;
评估值计算模块402用于将所述访问特征输入可信评估模型中,获得所述用户端对应的新的可信评估值;
权限调整模块403用于根据所述当前可信评估值和所述新的可信评估值对所述用户端的访问权限进行调整。
在上述实施例的基础上,权限调整模块403具体用于:
若所述当前可信评估值大于所述新的可信评估值,则降低所述用户端的访问权限;
若所述当前可信评估值小于所述新的可信评估值,则提高所述用户端的访问权限。
在上述实施例的基础上,权限调整模块403具体用于:
计算所述当前可信评估值与所述新的可信评估值之间的第一差值;
根据所述当前可信评估值与所述第一差值确定可信度下降率,并根据所述可信度下降率降低所述用户端的访问权限;其中,所述可信度下降率用于表征所述新的可信评估值相对所述当前可信评估值降低的幅度。
在上述实施例的基础上,权限调整模块403具体用于:
计算所述新的可信评估值与所述当前可信评估值之间的第二差值;
根据所述当前可信评估值与所述第二差值确定可信度升高率,并根据所述可信度升高率提高所述用户端的访问权限;其中,所述可信度升高率用于表征所述新的可信评估值相对所述当前可信评估值升高的幅度。
在上述实施例的基础上,所述访问特征包括:用户账号、访问时间、IP地址、MAC地址、可信状态、被访问的网络资源和被访问的应用资源。
在上述实施例的基础上,该装置还包括访问模块,用于:
接收所述用户端发送的访问请求,所述访问请求包括用户账号和访问资源;
根据所述用户账号确定对应的访问权限;
根据所述访问权限判断所述用户端是否能够访问所述访问资源;
若有权限,则允许所述用户端访问所述访问资源。
在上述实施例的基础上,该装置还包括认证模块,用于:
若根据所述用户账号确定所述用户端未认证,则向所述用户端返回认证指令;
接收所述用户端发送的认证信息,并根据所述认证信息对所述用户端进行认证;
若认证通过,则执行根据所述用户账号确定对应的访问权限的步骤。
图5为本申请实施例提供的电子设备实体结构示意图,如图5所示,所述电子设备,包括:处理器(processor)501、存储器(memory)502和总线503;其中,
所述处理器501和存储器502通过所述总线503完成相互间的通信;
所述处理器501用于调用所述存储器502中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:获取用户端的当前可信评估值和访问特征,其中,所述访问特征为对所述用户端的访问日志进行特征提取获得;将所述访问特征输入可信评估模型中,获得所述用户端对应的新的可信评估值;根据所述当前可信评估值和所述新的可信评估值对所述用户端的访问权限进行调整。
处理器501可以是一种集成电路芯片,具有信号处理能力。上述处理器501可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器502可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)等。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取用户端的当前可信评估值和访问特征,其中,所述访问特征为对所述用户端的访问日志进行特征提取获得;将所述访问特征输入可信评估模型中,获得所述用户端对应的新的可信评估值;根据所述当前可信评估值和所述新的可信评估值对所述用户端的访问权限进行调整。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取用户端的当前可信评估值和访问特征,其中,所述访问特征为对所述用户端的访问日志进行特征提取获得;将所述访问特征输入可信评估模型中,获得所述用户端对应的新的可信评估值;根据所述当前可信评估值和所述新的可信评估值对所述用户端的访问权限进行调整。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种用户权限调整方法,其特征在于,包括:
获取用户端的当前可信评估值和访问特征,其中,所述访问特征为对所述用户端的访问日志进行特征提取获得;
将所述访问特征输入可信评估模型中,获得所述用户端对应的新的可信评估值;
根据所述当前可信评估值和所述新的可信评估值对所述用户端的访问权限进行调整。
2.根据权利要求1所述的方法,其特征在于,所述根据所述当前可信评估值和所述新的可信评估值对所述用户的访问权限进行调整,包括:
若所述当前可信评估值大于所述新的可信评估值,则降低所述用户端的访问权限;
若所述当前可信评估值小于所述新的可信评估值,则提高所述用户端的访问权限。
3.根据权利要求2所述的方法,其特征在于,所述若所述当前可信评估值大于所述新的可信评估值,则降低所述用户端的访问权限,包括:
计算所述当前可信评估值与所述新的可信评估值之间的第一差值;
根据所述当前可信评估值与所述第一差值确定可信度下降率,并根据所述可信度下降率降低所述用户端的访问权限;其中,所述可信度下降率用于表征所述新的可信评估值相对所述当前可信评估值降低的幅度。
4.根据权利要求2所述的方法,其特征在于,所述若所述当前可信评估值小于所述新的可信评估值,则提高所述用户端的访问权限,包括:
计算所述新的可信评估值与所述当前可信评估值之间的第二差值;
根据所述当前可信评估值与所述第二差值确定可信度升高率,并根据所述可信度升高率提高所述用户端的访问权限;其中,所述可信度升高率用于表征所述新的可信评估值相对所述当前可信评估值升高的幅度。
5.根据权利要求1所述的方法,其特征在于,所述访问特征包括:用户账号、访问时间、IP地址、MAC地址、可信状态、被访问的网络资源和被访问的应用资源。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
接收所述用户端发送的访问请求,所述访问请求包括用户账号和访问资源;
根据所述用户账号确定对应的访问权限;
根据所述访问权限判断所述用户端是否能够访问所述访问资源;
若有权限,则允许所述用户端访问所述访问资源。
7.根据权利要求6所述的方法,其特征在于,在接收所述用户端发送的访问请求之后,所述方法还包括:
若根据所述用户账号确定所述用户端未认证,则向所述用户端返回认证指令;
接收所述用户端发送的认证信息,并根据所述认证信息对所述用户端进行认证;
若认证通过,则执行根据所述用户账号确定对应的访问权限的步骤。
8.一种用户权限调整装置,其特征在于,包括:
获取模块,用于获取用户端的当前可信评估值和访问特征,其中,所述访问特征为对所述用户端的访问日志进行特征提取获得;
评估值计算模块,用于将所述访问特征输入可信评估模型中,获得所述用户端对应的新的可信评估值;
权限调整模块,用于根据所述当前可信评估值和所述新的可信评估值对所述用户端的访问权限进行调整。
9.一种电子设备,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1-7任一项所述的方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令被计算机运行时,使所述计算机执行如权利要求1-7任一项所述的方法。
CN202211364280.5A 2022-11-02 2022-11-02 用户权限调整方法、装置、电子设备及存储介质 Pending CN115695015A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211364280.5A CN115695015A (zh) 2022-11-02 2022-11-02 用户权限调整方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211364280.5A CN115695015A (zh) 2022-11-02 2022-11-02 用户权限调整方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN115695015A true CN115695015A (zh) 2023-02-03

Family

ID=85049032

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211364280.5A Pending CN115695015A (zh) 2022-11-02 2022-11-02 用户权限调整方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN115695015A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116633629A (zh) * 2023-05-25 2023-08-22 重庆邮电大学空间通信研究院 一种基于零信任架构的可信可溯协作方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116633629A (zh) * 2023-05-25 2023-08-22 重庆邮电大学空间通信研究院 一种基于零信任架构的可信可溯协作方法

Similar Documents

Publication Publication Date Title
US11503043B2 (en) System and method for providing an in-line and sniffer mode network based identity centric firewall
US20070124803A1 (en) Method and apparatus for rating a compliance level of a computer connecting to a network
CN114553540B (zh) 基于零信任的物联网***、数据访问方法、装置及介质
EP1685458A2 (en) Method and system for addressing intrusion attacks on a computer system
CN114124583B (zh) 基于零信任的终端控制方法、***及装置
US9661006B2 (en) Method for protection of automotive components in intravehicle communication system
WO2023159994A1 (zh) 一种运维处理方法和终端设备
WO2021131193A1 (ja) 攻撃監視用センター装置、及び攻撃監視用端末装置
CN113542214B (zh) 一种访问控制方法、装置、设备及机器可读存储介质
US11765590B2 (en) System and method for rogue device detection
US20230412636A1 (en) Risk measurement method for user account and related apparatus
US11863549B2 (en) Adjusting security policies based on endpoint locations
CN114513786A (zh) 基于零信任的5g馈线自动化访问控制方法、装置及介质
CN112115484B (zh) 应用程序的访问控制方法、装置、***及介质
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及***
CN115695015A (zh) 用户权限调整方法、装置、电子设备及存储介质
CN111901347B (zh) 一种零信任下的动态身份认证方法和装置
CN113972992B (zh) 用于sdp控制器的访问方法及装置、计算机可存储介质
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及***
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
WO2022243956A1 (en) Method, mobile equipment, and system for vulnerability detection in a sim
CN116996238A (zh) 一种网络异常访问的处理方法以及相关装置
CN108462713B (zh) 一种客户端进行可信验证的方法和***
WO2020209943A1 (en) Detecting directory reconnaissance in a directory service
CN108171046B (zh) 终端验证流程简化方法、装置、设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination