一种基于融合主客体关键信息的可信标签的访问控制方法与流程

1.本发明涉及网络安全技术领域，特别涉及一种基于可信标签的访问控制方法，更具体地，涉及一种基于融合主客体关键信息的可信标签的访问控制方法。


背景技术：

2.在大数据时代，为了能够安全可控地使用数据，需要多种技术手段作为保障，其中，访问控制是一种对资源的访问和获取进行授权管理的重要技术。访问控制技术通常是在鉴别用户的合法身份后允许资源访问、限制访问范围、或阻止未授权的资源访问和使用。身份是访问控制的基础，为了实现用户合法身份鉴别，需要生成可信标签并附加在资源访问请求中，通过对用户的准确身份、或所属身份类别等信息做标识，提供给被访问端进行验证，从而做出访问控制策略。
3.利用可信标签对用户身份做标识需要满足2个原则：唯一性、稳定性。唯一性，即标签应具有极低的碰撞率，每一个访问主体都应具有独一无二且有个体辨识度的标签。稳定性，即标签信息是不易发生变化的，不受访问时间、访问次数等无关因素的影响。
4.近年来，零信任理念的完善和演进给访问控制带来了新的解决方案。零信任理念认为，企业内外部的任何人、事、物在验证前均不可信，强调资源的使用按需分配，仅授予执行任务所需的最小权限。最小权限原则给访问控制的身份验证和权限授予的颗粒度提出了更精细的要求。
5.传统的访问控制方法在可信标签生成方面还存在灵活性、细致性不足的情况。可信标签应该回答2个问题：访问的主体是谁、访问主体对于访问客体拥有什么样的权限。然而传统方法无法实现资源按需动态分配的访问控制。


技术实现要素：

6.基于上述背景，本发明提出了一种基于融合主客体关键信息的可信标签的访问控制方法。本发明在传统访问控制方法注重访问主体信息的基础上，融合访问客体的关键信息，以动态最小权限的访问控制为目标进行可信标签的生成，综合考虑访问主体与访问客体的关键信息并进行融合，从而在对访问主体和用户身份进行验证的基础上，满足相同用户通过不同主体针对不同客体、不同操作类型的灵活权限授予，以及同一用户通过不同主体针对同一客体、不同操作类型的灵活权限授予。
7.为达到上述目的，本发明采取的具体技术方案是：
8.一种基于融合主客体关键信息的可信标签的访问控制方法，包括以下步骤：
9.1)用户所登录客户端收集访问主体的关键信息。
10.2)客户端收集访问客体的关键信息。
11.3)客户端利用主客体关键信息和用户信息进行可信标签的生成。
12.4)客户端将可信标签嵌入到访问请求的数据包中，将访问请求发送至服务端。
13.5)服务端从访问请求中提取可信标签，进行标签验证，结合验证结果下发访问控
制策略，决定是否授予该用户对该可信标签中特定客体所请求的特定操作的权限。通过细粒度地对不同的客体、不同的操作类型制定不同的访问控制策略，实现灵活授权。
14.进一步地，步骤1)中，访问主体包含设备、系统和应用等，具体来说，人员通过操作所持有的设备上所装载的系统上所安装的应用来提出访问请求。为了增强可信标签的唯一性和身份标识能力，本发明对各访问主体的关键信息进行提取和整合。由此，当同一人员通过不同的应用、设备、系统进行同一资源的访问请求时，其可信标签是不同的。
15.进一步地，根据使用应用类型的差异，在可信标签选取的字段上也有所不同，具体来说：
16.①
当人员通过浏览器进行资源访问时，选取人员登录客户端的账户信息、浏览器指纹信息、设备信息、系统信息。
17.②
当人员通过其他应用进行资源访问时，选取人员登录客户端的账户信息、应用程序信息、设备信息、系统信息。
18.账户信息包括但不限于用户名、用户id、用户组/部门、用户角色、用户职级等。
19.进一步地，各类主体用于生成可信标签的信息如下：
20.①
设备信息包括但不限于mac地址、内网ip地址、外网ip地址、设备类型、硬盘序列号、设备串号等；
21.②
系统信息包括但不限于系统类型、系统版本、时区、屏幕分辨率、色彩深度、默认语言、默认字体、gpu厂商、cpu厂商等。
22.③
浏览器指纹信息包括但不限于浏览器版本、cookie值、user-agent、canvas指纹、webgl指纹、audio指纹、cpu指纹等。其中，canvas指纹通过利用不同浏览器的图像处理引擎、导出选项、压缩等级生成；webgl指纹利用在浏览器中呈现交互式3d图形的api获取，可获取用户的硬件信息，比如显卡名称、显卡型号、显卡制造商等；audio指纹是指通过专门处理音频的api来调用振荡器api产生周期波形，再通过实时频域和时域分析转换为频率域，最后生成指纹，浏览器和处理音频信号硬件的细微差别导致产生不同的音频结果，保证了指纹的唯一性；cpu指纹通过侧信道测量得到，在浏览器中通过侧信道技术测量可识别cpu的内核数、超线程技术可用性、sse2指令集可用性、ase-ni可用性以及cpu系列类型等信息。
23.④
应用程序信息包括但不限于应用程序名称、版本号等。
24.进一步地，步骤2)中，访问客体包括应用、接口、数据、服务等资源，以事先定义的资源id作为生成可信标签的关键信息。
25.进一步地，步骤3)中，将用户信息(比如账户信息)、各类主客体关键信息值按规定的顺序进行拼接，形成字符串，采用消息摘要算法对字符串进行哈希处理，生成可信标签。
26.进一步地，步骤5)中，服务端通过哈希匹配的方式验证可信标签中的用户信息、访问主体信息、访问客体信息，根据匹配结果，决定是否赋予用户通过访问主体所申请的对某客体资源的某操作类型的权限，并输出决策结果。
27.需要说明的是，由于部分主体、客体关键信息并非绝对稳定，因此需要按照一定的策略对可信标签进行更新，包括定期更新、按需更新。定期更新指，设定一定的时间间隔，在客户端重新生成可信标签，与服务端进行同步；按需更新指，若访问主体信息发生的合理的变化，如设备更换、软件更新等，则重新生成可信标签，与服务端进行同步。
28.本发明的优势总结如下：
29.1.本发明提出的可信标签生成考虑了多种场景的主体信息，包括通过浏览器进行访问和通过应用程序进行访问，在通过浏览器进行访问的场景中，利用了浏览器指纹信息，增强了可信标签的身份标识能力。
30.2.融合了访问客体的关键信息，能够支撑向同一主体对不同客体、不同操作类型的访问权限的区别赋予，细粒度的可信标签生成增强了访问控制的灵活性和动态性，可以更好地满足最小权限原则。
附图说明
31.图1是基于融合主客体关键信息的可信标签的访问控制流程图。
具体实施方式
32.为使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的目的、特征和优点能够更加明显易懂，下面结合附图和事例对本发明中技术核心作进一步的详细说明。
33.本实施例提供一种基于融合主客体关键信息的可信标签的访问控制方法，如图1所示融合主客体关键信息的可信标签生成流程图，具体包括以下步骤：
34.步骤100：用户通过客户端在每一次发出访问请求时进行关键信息收集，包括用户的账户信息、访问主体关键信息与访问客体关键信息。
35.步骤200：将用户的账户信息、主客体关键信息值按照规定的顺序拼接，利用消息摘要算法得到固定长度的哈希值，生成可信标签。
36.步骤300：将可信标签嵌入到访问请求的数据包中。
37.步骤400：可信标签跟随访问请求发送到访问控制服务端。
38.步骤500：在访问控制服务端上从流量中提取出可信标签，进行标签内容匹配，根据匹配结果做出访问控制决策。若可信标签可以匹配成功，则授予其所申请的权限；若匹配失败，则拒绝其所申请的权限。
39.最后所应说明的是，以上实施案例仅用以说明本发明的技术方案而非限制，尽管使用事例对本发明进行了详细说明，本领域的普通技术人员应当理解，可对本发明的技术方案进行修改或者等价替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。