一种基于反馈的控制访问权限的系统及方法.pdf

1、(10)申请公布号 CN 102611687 A (43)申请公布日 2012.07.25 C N 1 0 2 6 1 1 6 8 7 A *CN102611687A* (21)申请号 201110425578.8 (22)申请日 2011.12.19 H04L 29/06(2006.01) (71)申请人上海华御信息技术有限公司 地址 200433 上海市杨浦区国定路335号 6006-3室 (72)发明人耿振民 戴伟强 (54) 发明名称 一种基于反馈的控制访问权限的系统及方法 (57) 摘要 本发明公开了一种基于反馈的控制访问权限 的系统及方法，其中，所述系统包括：用户基本信 息存储单元

2、、反馈控制单元及决策单元，同时本 发明公开了一种基于反馈的控制访问权限的方 法，其特征在于，包括如下步骤：A1：截取用户请 求，并将其计入用户基本属性的历史行为信息中； A2：可靠程度的计算，基于用户基本信息，包括用 户初始权限、用户终端信息、用户历史行为信息计 算用户的可靠程度；A3：根据可靠程度计算结果， 反馈用户允许/拒绝信息。本发明在现有的访问 控制体系中引入反馈机制，以及可靠程度的度量， 使用户登录后的安全状况和操作行为都将反馈到 其权限上，从而可以有效地减少甚至避免危害。 (51)Int.Cl. 权利要求书1页 说明书3页 附图2页 (19)中华人民共和国国家知识产权局 (12)发

3、明专利申请 权利要求书 1 页 说明书 3 页 附图 2 页 1/1页 2 1.一种基于反馈的控制访问权限的系统，其特征在于，所述系统包括： 用户基本信息存储单元，包括用户初始权限、用户终端信息、用户历史行为信息，用于 计算用户的可靠程度； 反馈控制单元，包括拦截用户访问请求，将访问请求计入用户历史行为信息； 决策单元，包括调用用户基本信息存储单元，以及反馈控制单元截获的用户访问请求； 根据用户基本信息和用户访问请求计算可靠程度；反馈用户允许/拒绝信息。 2.一种基于反馈的控制访问权限的方法，其特征在于，所述方法包括如下步骤： A1：截取用户请求，并将其计入用户基本属性的历史行为信息中； A2

4、：可靠程度的计算，基于用户基本信息，包括用户初始权限、用户终端信息、用户历史 行为信息计算用户的可靠程度； A3：根据可靠程度计算结果，反馈用户允许/拒绝信息。 3.如权利要求2所述的基于反馈的控制访问权限的方法，其特征在于，所述步骤中的 用户基本属性包括用户初始权限、用户终端信息、用户历史行为信息。 4.如权利要求2所述的基于反馈的控制访问权限的方法，其特征在于，所述可靠程度 的计算包括根据当前访问请求，整合用户基本属性信息，计算用户可靠程度。 权 利 要 求 书CN 102611687 A 1/3页 3 一种基于反馈的控制访问权限的系统及方法 技术领域 0001 本发明属于计算机网络通讯安

5、全技术领域，尤其涉及一种基于反馈的控制访问权 限的系统及方法。 背景技术 0002 目前的访问控制体系，用户一旦通过身份认证后，其访问权限就固定了，目前，人 们采用防火墙技术对用户访问进行管理和控制，限制对特定网络站点的访问，防火墙对访 问内容的过滤技术基于对用户网络出口的控制，然而一旦用户访问权限被固定，则当用户 在其权限范围内做出危害涉密行为的操作时，目前的体系不能动态调整其权限来减少甚至 避免危害。网络共享访问极大的方便了用户的使用，但是访问权限的一成不变往往会带来 机密资料的外泄，因此，基于安全性的考虑，需要一套控制访问权限的系统及方法，来减少 甚至避免由此带来的风险。 发明内容 00

6、03 本发明的第一目的是提供一种基于反馈的控制访问权限的系统，在现有的访问控 制体系中引入反馈机制，以及可靠程度的度量，使用户登录后的安全状况和操作行为都将 反馈到其权限上，从而可以有效地减少甚至避免危害。 0004 本发明的第二目的是提供一种基于反馈的控制访问权限的方法，在现有的访问控 制体系中引入反馈机制，以及可靠程度的度量，使用户登录后的安全状况和操作行为都将 反馈到其权限上，从而可以有效地减少甚至避免危害。 0005 为了实现上述目的，本发明采用如下技术方案： 0006 一种基于反馈的控制访问权限的系统，其中，所述系统包括： 0007 用户基本信息存储单元，包括用户初始权限、用户终端信

7、息、用户历史行为信息， 用于计算用户的可靠程度； 0008 反馈控制单元，包括拦截用户访问请求，将访问请求计入用户历史行为信息； 0009 决策单元，包括调用用户基本信息存储单元，以及反馈控制单元截获的用户访问 请求；根据用户基本信息和用户访问请求计算可靠程度；反馈用户允许/拒绝信息。 0010 一种基于反馈的控制访问权限的方法，其中，所述方法包括步骤： 0011 A1：截取用户请求，并将其计入用户基本属性的历史行为信息中； 0012 A2：可靠程度的计算，基于用户基本信息，包括用户初始权限、用户终端信息、用户 历史行为信息计算用户的可靠程度； 0013 A3：根据可靠程度计算结果，反馈用户允

8、许/拒绝信息。 0014 进一步地，步骤中的用户基本属性包括用户初始权限、用户终端信息、用户历史行 为信息。 0015 进一步地，所述可靠程度的计算，包括根据当前访问请求，整合用户基本属性信 息，计算用户可靠程度。 说 明 书CN 102611687 A 2/3页 4 0016 本发明提供一种基于反馈的控制访问权限的系统及方法，在现有的访问控制体系 中引入反馈机制，以及可靠程度的度量，使用户登录后的安全状况和操作行为都将反馈到 其权限上，从而可以有效地减少甚至避免危害。 附图说明 0017 图1为本发明提供的系统结构示意图； 0018 图2为本发明提供的控制访问权限方法步骤示意图； 0019

9、图3为本发明提供的运行流程示意图； 具体实施方式 0020 下面结合附图详细说明本发明，其作为本说明书的一部分，通过实施例来说明本 发明的原理，本发明的其他方面，特征及其优点通过该详细说明将会变得一目了然。 0021 如图1、2所示，本发明提供的一种基于反馈的控制访问权限的系统，其中，所述系 统包括： 0022 用户基本信息存储单元，包括用户初始权限、用户终端信息、用户历史行为信息， 用于计算用户的可靠程度，； 0023 反馈控制单元，包括拦截用户访问请求，将访问请求计入用户历史行为信息； 0024 决策单元，包括调用用户基本信息存储单元，以及反馈控制单元截获的用户访问 请求；根据用户基本信息

10、和用户访问请求计算可靠程度；反馈用户允许/拒绝信息。 0025 一种基于反馈的控制访问权限的方法，其中，所述方法包括步骤： 0026 A1：截取用户请求，并将其计入用户基本属性的历史行为信息中； 0027 A2：可靠程度的计算，基于用户基本信息，包括用户初始权限、用户终端信息、用户 历史行为信息计算用户的可靠程度； 0028 A3：根据可靠程度计算结果，反馈用户允许/拒绝信息。 0029 进一步地，步骤中的用户基本属性包括用户初始权限、用户终端信息、用户历史行 为信息。 0030 进一步地，所述可靠程度的计算，包括根据当前访问请求，整合用户基本属性信 息，计算用户可靠程度。 0031 如图3所

11、示，为本发明方法的基本流程图，包含如下步骤(所述步骤中的反馈控制 模块即前文所述反馈控制单元，决策模块即为前文所述决策单元)： 0032 (1)用户登录并提出访问请求； 0033 (2)反馈控制模块截取用户请求，并将其计入用户基本属性的历史行为信息中； 0034 (3)决策模块调用用户基本信息，包括用户初始权限、用户终端信息、用户历史行 为信息等，并根据当前访问请求，进行可靠程度的计算； 0035 (4)决策模块根据可靠程度的计算结果，将允许/拒绝请求反馈给用户。 0036 本发明提供一种基于反馈的控制访问权限的系统及方法，在现有的访问控制体系 中引入反馈机制，以及可靠程度的度量，使用户登录后

12、的安全状况和操作行为都将反馈到 其权限上，从而可以有效地减少甚至避免危害。 0037 同时，本发明的基于反馈的控制访问权限的系统及方法可以有效减少由于访问权 说 明 书CN 102611687 A 3/3页 5 限单一不变带来的损失，可以根据用户的初始权限、用户终端信息、用户历史行为信息实时 做出访问权限的动态调整。 0038 以上所揭露的仅为本发明的优选实施例而已，当然不能以此来限定本发明之权利 范围，因此依本发明申请专利范围所作的等同变化，仍属本发明所涵盖的范围。 说 明 书CN 102611687 A 1/2页 6 图1 图2 说 明 书 附 图CN 102611687 A 2/2页 7 图3 说 明 书 附 图CN 102611687 A