移动环境访问控制方法、装置、电子装置和存储介质与流程

1.本技术涉及网络安全领域，特别是涉及移动环境访问控制方法、装置、电子装置和存储介质。


背景技术：

2.随着移动信息化的发展，用户从传统的办公网络主机端接入系统外，可以使用智能手机、平板等移动终端设备开展移动办公。相对于固定的办公场所，移动办公打破了对时间、空间的限制，极大的提升了办公效率。但同时移动办公对系统安全有了更灵活的要求，需要我们根据移动网络、终端设备的特点，构筑移动办公的安全体系，实现身份认证，访问控制和数据保护的功能。
3.传统的内网信息系统以其互联网出口为主要边界，因此，通过在边界上部署防火墙、入侵检测等安全防护设备可以有效防止外部攻击者对内网系统的攻击。而在移动互联的场景下，智能终端设备通过公共的移动通信网络接入企业内网。移动终端已经成为了企业信息系统的一部分，每个移动终端都可能成为木桶的短板。而随着个人移动终端与办公终端的融合，使得安全边界的确立变得更加困难。
4.针对相关技术中存在当移动终端访问办公终端时，相关访问权限难以确定的问题，目前还没有提出有效的解决方案。


技术实现要素：

5.在本实施例中提供了一种移动环境访问控制方法、装置、电子装置和存储介质，以解决相关技术中当移动终端访问办公终端时，相关访问权限难以确定的问题。
6.第一个方面，在本实施例中提供了一种移动环境访问控制方法，所述方法包括：
7.获取用户端的用户移动环境的数据信息，并根据所述数据信息确定所述用户移动环境的信任度；
8.基于属性基加密方法，根据所述用户移动环境的信任度，确定所述用户移动环境的数据端访问权限。
9.在其中的一些实施例中，所述获取用户端的用户移动环境的数据信息，并根据所述数据信息确定所述用户移动环境的信任度，包括：
10.所述用户移动环境的数据信息包括多个环境安全特征，多个所述环境安全特征用于表示所述用户移动环境的安全程度；
11.计算多个所述环境安全特征的多个信息增益，并对多个所述信息增益进行归一化处理，得到多个所述环境安全特征的权重；
12.根据多个所述环境安全特征的权重和所述用户移动环境确定所述用户移动环境的信任度。
13.在其中的一些实施例中，所述计算多个所述环境安全特征的多个信息增益，包括：
14.计算预设的训练数据集的经验熵；
15.计算所述环境安全特征对所述预设的训练数据集的经验条件熵；
16.确定所述经验熵与所述经验条件熵的差值为所述环境安全特征的信息增益。
17.在其中的一些实施例中，所述基于属性基加密方法，根据所述用户移动环境的信任度，确定所述用户移动环境的数据端访问权限，包括：
18.预设属性基语法树；所述属性基语法树用于表示所述用户移动环境的环境安全特征的特征要求；
19.判断所述用户移动环境的环境安全特征是否满足所述属性基语法树的特征要求；
20.若满足，则确定所述用户移动环境具有访问权限。
21.在其中的一些实施例中，所述基于属性基加密方法，根据所述用户移动环境的信任度，确定所述用户移动环境的数据端访问权限之后，包括：
22.获取数据端的主秘钥和公钥，获取所述用户移动环境的私钥，并加密数据单元，得到加密文件；
23.若所述用户移动环境的环境安全特征满足对应的属性基语法树，则向所述用户端发送加密文件，以使所述用户端对所述加密文件进行解密，以得到数据端的解密后的文件。
24.在其中的一些实施例中，所述获取所述用户移动环境的私钥，包括：
25.获取所述用户移动环境的授权主体，所述授权主体包括所述用户移动环境的环境信任度和所述用户移动环境的特征；
26.使用所述数据端的主秘钥和公钥以及所述用户移动环境的授权主体，确定所述用户移动环境的私钥。
27.在其中的一些实施例中，所述预设属性基语法树，包括：
28.所述属性基语法树的叶子节点由所述用户移动环境的环境特征组成。
29.第二个方面，在本实施例中提供了一种移动环境访问控制装置，所述装置包括：获取模块和处理模块；
30.所述获取模块，用于获取用户端的用户移动环境的数据信息；
31.所述处理模块，用于根据所述数据信息确定所述用户移动环境的信任度；还用于基于属性基加密方法，根据所述用户移动环境的信任度，确定所述用户移动环境的数据端访问权限。
32.第三个方面，在本实施例中提供了一种电子装置，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一个方面所述的移动环境访问控制方法。
33.第四个方面，在本实施例中提供了一种存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述第一个方面所述的移动环境访问控制方法。
34.与相关技术相比，在本实施例中提供的移动环境访问控制方法，通过获取用户移动环境的数据信息，并根据数据信息确定用户移动环境的信任度，并基于属性基加密方法，确定用户移动环境的数据端访问权限，进而确定不同用户终端在不同用户环境下的访问权限。
35.本技术的一个或多个实施例的细节在以下附图和描述中提出，以使本技术的其他特征、目的和优点更加简明易懂。
附图说明
36.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
37.图1是本实施例的移动环境访问控制方法的终端的硬件结构框图；
38.图2是本技术实施例的应用场景图；
39.图3是本实施例的移动环境访问控制方法的流程图；
40.图4是本具体实施例的移动访问控制方法的流程图；
41.图5是本具体实施例的属性基语法树的示意图；
42.图6是本实施例的移动环境访问控制装置的结构框图。
具体实施方式
43.为更清楚地理解本技术的目的、技术方案和优点，下面结合附图和实施例，对本技术进行了描述和说明。
44.除另作定义外，本技术所涉及的技术术语或者科学术语应具有本技术所属技术领域具备一般技能的人所理解的一般含义。在本技术中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制，它们可以是单数或者复数。在本技术中所涉及的术语“包括”、“包含”、“具有”及其任何变体，其目的是涵盖不排他的包含；例如，包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元)，而可包括未列出的步骤或模块(单元)，或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本技术中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接，而可以包括电气连接，无论是直接连接还是间接连接。
45.在本技术中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“a和/或b”可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。通常情况下，字符“/”表示前后关联的对象是一种“或”的关系。在本技术中所涉及的术语“第一”、“第二”、“第三”等，只是对相似对象进行区分，并不代表针对对象的特定排序。
46.在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行，图1是本实施例的移动环境访问控制方法的终端的硬件结构框图。如图1所示，终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104，其中，处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述终端的结构造成限制。例如，终端还可包括比图1中所示更多或者更少的组件，或者具有与图1所示出的不同配置。
47.存储器104可用于存储计算机程序，例如，应用软件的软件程序以及模块，如在本实施例中的移动环境访问控制方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不
限于互联网、企业内部网、局域网、移动通信网及其组合。
48.传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实例中，传输设备106包括一个网络适配器(network interface controller，简称为nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输设备106可以为射频(radio frequency，简称为rf)模块，其用于通过无线方式与互联网进行通讯。
49.图2是本技术实施例的应用场景图，如图2所示，用户通过台式电脑、笔记本、平板和手机等多种外部环境接入企业内部服务器，进而获取存储在企业内部服务器中数据中心，不同的外部环境的安全程度不同，因此在本技术实施例中针对用户不同环境下对数据访问权限进行动态调整，以保证存储在内网系统中数据的安全，构建安全传输通道，进而有效防止移动网络下传输通道窃听而造成的用户数据泄露，实现了移动环境的数据访问控制。
50.在本实施例中提供了一种移动环境访问控制方法，图3是本实施例的移动环境访问控制方法的流程图，如图3所示，该流程包括步骤s310至步骤s320：
51.步骤s310，获取用户端的用户移动环境的数据信息，并根据数据信息确定用户移动环境的信任度。
52.具体地，当用户端的服务器申请接入企业内部服务器，并申请获取企业内部服务器的数据，处理器获取用户端的用户移动环境的数据信息，示例性地，用户移动环境的数据信息可以为网络环境、所在区域以及接入设备；根据多个数据信息确定用户移动环境的信任度。
53.步骤s320，基于属性基加密方法，根据用户移动环境的信任度，确定用户移动环境的数据端访问权限。
54.具体地，处理器基于属性基加密方法，示例性地，该属性基加密方法为基于密文策略的属性基加密方法(cp-abe)，并根据得到的用户移动环境的信任度，确定用户移动环境的数据端访问权限，以便于处理器根据不同用户移动环境制定不同的访问权限，进而构建数据安全传输通道。
55.通过上述步骤，处理器获取用户端的用户移动环境的网络环境、所在区域以及接入设备等这些数据信息，并根据这些数据信息确定用户移动环境的信任度；进而基于密文策略的属性基加密方法，确定用户移动环境的数据端访问权限，有利于实现当不同移动终端访问办公终端时，确定对应的访问权限，进而实现用户端在不同环境下对数据单元访问权限的动态调整，同时，基于属性基加密的方法提高了制定访问权限的灵活性。
56.在其中的一些实施例中，步骤s310包括步骤s311至步骤s313：
57.步骤s311，用户移动环境的数据信息包括多个环境安全特征，多个环境安全特征用于表示用户移动环境的安全程度。
58.具体地，用户移动环境的数据信息包括多个环境安全特征，即包括环境、区域、用户角色和接入设备等，不同的环境安全特征对应不同的环境信任等级，因此，多个不同的环境安全特征可以用于表示用户移动环境的安全程度。
59.步骤s312，计算多个环境安全特征的多个信息增益，并对多个信息增益进行归一化处理，得到多个环境安全特征的权重。
60.具体地，处理器根据多个环境安全特征，以及不同的环境安全特征对应不同的环境信任等级，计算多个环境安全特征的信息增益，并对得到的多个信息增益进行归一化处理，进而得到每个环境安全特征的权重。
61.步骤s313，根据多个环境安全特征的权重和用户移动环境确定用户移动环境的信任度。
62.具体地，处理器得到每个环境安全特征对应的权重后，根据多个环境安全特征的权重和用户移动环境，确定用户环境的信任度。
63.通过上述步骤，处理器计算环境、区域、用户角色和接入设备等多个环境安全特征的多个信息增益，并对多个信息增益进行归一化处理，得到多个环境安全特征的权重。当处理器得到每个环境安全特征对应的权重后，根据多个环境安全特征的权重和用户移动环境，确定用户环境的信任度。通过对多个环境安全特征进行计算处理，得到环境安全特征对应的信息增益，进而根据信息增益得到多个环境安全特征的权重，使用信息增益作为环境因素的权重，使得权重的设置更加合理；最后确定用户环境的信任度，有利于提高得到用户环境的信任度的准确性，进一步提高后续确定用户环境权限的准确性。
64.在其中的一些实施例中，步骤s312包括步骤s301至步骤s303：
65.步骤s301，计算预设的训练数据集的经验熵。
66.步骤s302，计算环境安全特征对预设的训练数据集的经验条件熵。
67.步骤s303，确定经验熵与经验条件熵的差值为环境安全特征的信息增益。
68.具体地，预设一个训练数据集，处理器计算预设的训练数据集的经验熵，之后计算环境安全特征对预设的训练数据集的经验条件熵，计算训练数据集的经验熵和环境安全特征对预设的训练数据集的经验条件熵的差值，并确定该差值为环境安全特征的信息增益。
69.通过上述步骤，计算训练数据集的经验熵和环境安全特征对预设的训练数据集的经验条件熵的差值，并确定该差值为环境安全特征的信息增益，熵值的计算有利于衡量系统的无序程度和信息的不确定性，具体地，有利于提高用户环境信任度的准确性。
70.在其中的一些实施例中，步骤s320包括步骤s321至步骤s323：
71.步骤s321，预设属性基语法树；属性基语法树用于表示用户移动环境的环境安全特征的特征要求。
72.具体地，预设属性基语法树，其中，属性基语法树的叶子节点由用户移动环境的环境特征组成。属性基语法树用于表示用户移动环境的环境安全特征的特征要求。
73.步骤s322，判断用户移动环境的环境安全特征是否满足属性基语法树的特征要求。
74.步骤s323，若满足，则确定用户移动环境具有访问权限。
75.具体地，处理器判断用户移动环境的安全特征是否满足预设的属性基语法树的特征要求。如果用户移动环境的安全特征满足预设的属性基语法树的特征要求，那么确认该用户移动环境具有数据中心的访问权限；如果用户移动环境的安全特征不满足预设的属性基语法树的特征要求，那么确认该用户移动环境没有数据中心的访问权限。
76.通过上述步骤，预设叶子节点由用户移动环境的环境特征组成的属性基语法树，用来表示用户移动环境的环境安全特征的特征要求。处理器判断用户移动环境的安全特征是否满足预设的属性基语法树的特征要求；如果用户移动环境的安全特征满足预设的属性
基语法树的特征要求，那么确认该用户移动环境具有数据中心的访问权限，如果不满足，则确认该用户移动环境没有数据中心的访问权限，有利于进一步提高对用户移动环境安全性的判断，进而进一步提高确定不同用户终端在不同用户环境下的访问权限的准确度。
77.在其中的一些实施例中，该方法还包括步骤s330至步骤s340：
78.步骤s330，获取数据端的主秘钥和公钥，获取用户移动环境的私钥，并加密数据单元，得到加密文件。
79.具体地，当用户移动环境申请获取数据端的相关数据后，处理器获取数据端的主密钥和公钥，并获取用户移动环境的私钥，以对数据中心的数据单元进行加密，进而得到加密后的文件。
80.步骤s340，若用户移动环境的环境安全特征满足对应的属性基语法树，则向用户端发送加密文件，以使用户端对加密文件进行解密，以得到数据端的解密后的文件。
81.具体地，若用户移动环境的环境安全特征满足对应的属性基语法树，即当处理器确认该用户移动环境具有数据中心的访问权限后，向用户端发送加密文件，以使用户端对加密文件进行解密，以得到解密后的数据端文件。
82.通过上述步骤，当用户移动环境申请获取数据端的相关数据后，处理器获取数据端的主密钥和公钥，并获取用户移动环境的私钥，以对数据中心的数据单元进行加密，进而得到加密后的文件。若用户移动环境的环境安全特征满足对应的属性基语法树，即当处理器确认该用户移动环境具有数据中心的访问权限后，向用户端发送加密文件，以使用户端对加密文件进行解密，以得到解密后的数据端文件，有利于进一步提高在不同用户移动环境的用户端获取加密文件的安全性。
83.在其中的一些实施例中，步骤s330还包括步骤s331至步骤s332：
84.步骤s331，获取用户移动环境的授权主体，授权主体包括用户移动环境的环境信任度和用户移动环境的特征。
85.步骤s332，使用数据端的主秘钥和公钥以及用户移动环境的授权主体，确定用户移动环境的私钥。
86.通过上述步骤，处理器获取用户移动环境的环境信任度和用户移动环境的特征，并结合数据端的主秘钥和公钥确定用户移动环境的私钥，通过使用非对称加密的属性基加密方法，使得数据端无需向访问数据端的数据中心的用户传输秘钥，进一步保证了数据端的数据安全性。
87.下面通过优选实施例对本实施例进行描述和说明。
88.图4是本具体实施例的移动访问控制方法的流程图，如图4所示，该移动访问控制方法包括如下步骤：
89.步骤s410，获取用户接入环境的信任度。
90.具体地，使用信息增益的方法确定用户接入环境的信任度。用户的移动环境记为env，该环境根据系统设计者考虑的环境安全要素进行设置，将环境安全要素用x个特征表示，每个特征的值表示环境的安全程度，越大表示安全系数越高，默认值为1。每个系统使用者有一行记录。使用信息增益确定各个环境特征的权重，示例性地，计算特征ai在训练数据集d下的信息增益，假设训练数据集有n行记录，m个特征，训练数据集d可以用一个n*m的矩阵表示，即矩阵为n行m列，其中包括n行记录数和m个特征列。计算每个特征a在训练数据集d
下的信息增益的方法如下：
91.(1)计算数据集d的经验熵h(d)：
[0092][0093][0094]
其中，k为环境信任等级的类别的数量，|ck|为属于类ck的样本个数，|d|为所有样本个数的集合；|ck|与|d|的比值表示类ck出现的概率；该经验熵的公式表示，将所有类别的环境信任等级中的概率乘以它们的对数，将结果相加并取相反数，得到该数据集的熵值。
[0095]
示例性地，如表1所示，表1为一个训练数据集，示例性地，如表1，数据有9行记录，3个特征，训练数据集d由一个9*3的矩阵表示。其中设置有9个样例，分别为用户user_1至用户user_9，其中用户环境安全特征包括环境、区域和接入设备；环境包括企业内部网络、外部家庭网络和外部公用网络，区域包括国内、国外和省内，接入设备包括电脑、平板、笔记本、手机及其他，环境信任等级分为三个类，分别标记为{1,2,3}，由表1中的数据可以得到环境信任等级为1的数据数量为2，环境信任等级为2的数据数量为3，环境信任等级为3的数据数量为4，总的数据数量为9，因此可以通过经验熵的计算公式计算得到该数据集的经验熵的值为1.48。
[0096]
表1训练数据集
[0097]
id环境区域接入设备环境信任等级user_1企业内部网络国内电脑3user_2外部家庭网络国内平板2user_3外部公用网络国外电脑1user_4企业内部网络省内笔记本3user_5外部公用网络省内手机2user_6外部家庭网络省内电脑3user_7外部公用网络国外笔记本1user_8外部公用网络国内手机2user_9企业内部网络国外其他3
[0098]
(2)计算特征a对数据集d的经验条件熵h(d|a)。
[0099]
具体地，特征a对数据集d的经验条件熵h(d|a)的计算公式为：
[0100][0101]
其中，k为环境信任等级的类别的数量，n为该环境信任等级中用户环境安全特征的数量，|di|表示一类环境信任等级的样本数量，|d|为所有样本个数的集合，|di|与|d|的比值为一类环境信任等级的样本出现的概率。
[0102]
示例性地，根据表1的训练数据集可以分别映射得到表2、表3和表4，其中表2对应训练数据集中用户环境安全特征为环境的映射值；表3对应训练数据集中用户环境安全特征为区域的映射值；表4对应训练数据集中用户环境安全特征为接入设备的映射值；由上可知，训练数据集的经验熵的值为1.48，那么根据表2中的数值可以计算得到，用户环境安全
特征为环境对训练数据集的经验条件熵的值为0.67；用户环境安全特征为区域对训练数据集的经验条件熵的值为0.97；用户环境安全特征为接入设备对训练数据集的经验条件熵的值为0.89。
[0103]
表2 用户环境安全特征为环境的映射值
[0104]
企业内部网络外部家庭网络外部公用网络321
[0105]
表3 用户环境安全特征为区域的映射值
[0106]
省内国内国外321
[0107]
表4 用户环境安全特征为接入设备的映射值
[0108]
电脑笔记本手机平板其他43221
[0109]
(3)计算特征a的信息增益g(d,a)。
[0110]
具体地，特征a的信息增益的计算公式为数据集d的经验熵h(d)与特征a对数据集d的经验条件熵h(d|a)的差值：
[0111]
g(d,a)＝h(d)-h(d|a)
[0112]
由上可得，用户环境安全特征为区域的信息增益为：训练数据集的经验熵的值1.48与用户环境安全特征为环境对训练数据集的经验条件熵的值0.67的差值，即0.81；同理可得，用户环境安全特征为区域的信息增益的值为0.51；用户环境安全特征为接入设备的信息增益的值为0.59。
[0113]
(4)对不同特征进行归一化处理。
[0114]
具体地，分别得到不同用户环境安全特征的信息增益的值后，对不同用户环境安全特征的信息增益进行归一化处理，即使用一个用户环境安全特征的信息增益与所有用户环境安全特征的信息增益的和相比，得到的比值即为进行归一化处理后得到的不同用户环境安全特征的权重；示例性地，根据上述得到的不同用户环境安全特征的信息增益，可以分别计算得到用户环境安全特征为环境的权重值为0.42，用户环境安全特征为区域的权重值为0.27，用户环境安全特征为接入设备的权重值为0.31。
[0115]
(5)计算环境信任度。
[0116]
根据不同用户环境安全特征的权重，使用多项式计算每个授权主体环境envi的环境信任度。使用授权主体环境envi和各个特征的权重：
[0117]
weight＝[weight1,weight2,...，weightm]
t
[0118]
使用多项式相乘作为授权主体用户user_i的环境信任度wi，即wi＝envi
×
weight；
[0119]
授权主体集合为：
[0120]
env＝[env1，env2，...envm]
t
[0121]
授权主体的环境信任度：w＝env
×
weight。
[0122]
示例性地，以表1中的用户user_1为例，环境为企业内部网络，区域为国内，接入设备为电脑，分别根据企业内部网络在表2中的映射值3，国内在表3中的映射值2，以及电脑在
表4中的映射值4，计算得到用户user_1的环境信任度为用户环境安全特征为环境的权重值与企业内部网络的映射值的乘积、用户环境安全特征为区域的权重值与国内的映射值的乘积、用户环境安全特征为接入设备的权重值与电脑的映射值的乘积相加得到的数值，即用户user_1的环境信任度为3.04。
[0123]
参考表5，表5为不同用户样例的环境信任度。
[0124]
表5 不同用户样例的环境信任度
[0125][0126][0127]
步骤s420，根据环境信任度确定用户端所在环境对应的访问权限。
[0128]
具体地，数据端的每个数据单元定义属性基语法树是指构造授权主体a的属性语法树，该语法树的非叶子节点由“与”和“或”组成，叶子节点由授权主体a的用户环境安全特征组成，表示为一个树形结构。如图5所示，图5是本具体实施例的属性基语法树的示意图，“v”表示“或”，“λ”表示“与”，当用户环境安全特征满足“环境信任等级》2.0”或者“属于信息技术部门it_department并且是访客viewer”或者“用户角色为管理员admin”或者“环境信任等级》1.5且属于量子部门quantum_department”的条件下符合该语法树的要求。
[0129]
当确认用户端所在环境对应的访问权限后，数据端使用基于密文策略的属性基加密对数据中心的文件进行加密，以及授权主体即前述的用户端获取加密文件并解密的步骤如下：
[0130]
1.加密环境初识化，获得主秘钥key
master
，公钥key
pub
；
[0131]
2.获得授权主体i的私钥key
user_i
；其中，获得私钥是指使用主秘钥key
master
和公钥key
pub
以及授权主体a＝{wi，a
i1
，a
i2
，...，a
ik
}，获得授权主体i的私钥key
user_i
；其中，授权主体i的属性a是由环境信任度以及与授权主体相关的属性构成。
[0132]
3.数据拥有者使用公钥key
pub
加密数据单元sensitive_paper，获得加密文件sensitive_paper
cpabe
；
[0133]
4.由于加密文件sensitive_paper
cpabe
不可解析，可以安全在网络上传输，授权主体通过internet获得加密文件sensitive_paper
cpabe
，解密获得明文sensitive_paper。其中，解密获得明文sensitive_paper是指授权主体使用私钥key
user_i
，公钥key
pub
对加密文件sensitive_paper
cpabe
解密，如果授权主体的属性满足根节点的要求，那么就可以得到正确的明文sensitive_paper，否则不可以得到正确的明文sensitive_paper。
[0134]
本实施例可以用于确定同一个用户在不同环境下的访问权限，以及不同用户在相同环境下的访问权限。其中，环境的权重系数根据使用单位的具体情况进行自适应调整，通过考虑环境情况，用户角色动态调整用户权限。数据安全是基于密码学进行加密，使用属性基加密的方法让数据拥有者制定访问权限，更加灵活；使用非对称加密的属性基加密方法，对于访问数据中心的大量用户无需传输秘钥，在外部网络中的数据是加密的数据包，可以保证敏感数据不被第三方窃听，进一步保证了数据的安全。同时，使用信息增益作为环境因素的权重，权重设置更加合理，将用户与环境作为安全因素考虑，对同一用户在不同环境下的访问权限不同；数据的访问控制是以数据为单位制定的，相比于基于角色的权限控制，粒度更精细也更灵活，可以作为基于角色权限控制方法的补充。
[0135]
需要说明的是，在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。
[0136]
在本实施例中还提供了一种移动环境访问控制装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
[0137]
图6是本实施例的移动环境访问控制装置的结构框图，如图6所示，该装置包括：获取模块10和处理模块20；
[0138]
获取模块10，用于获取用户端的用户移动环境的数据信息；
[0139]
处理模块20，用于根据数据信息确定用户移动环境的信任度；还用于基于属性基加密方法，根据用户移动环境的信任度，确定用户移动环境的数据端访问权限。
[0140]
需要说明的是，上述各个模块可以是功能模块也可以是程序模块，既可以通过软件来实现，也可以通过硬件来实现。对于通过硬件来实现的模块而言，上述各个模块可以位于同一处理器中；或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
[0141]
在本实施例中还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
[0142]
可选地，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。
[0143]
可选地，在本实施例中，上述处理器可以被设置为通过计算机程序执行以下步骤：
[0144]
步骤一，获取用户端的用户移动环境的数据信息，并根据数据信息确定用户移动环境的信任度。
[0145]
步骤二，基于属性基加密方法，根据用户移动环境的信任度，确定用户移动环境的数据端访问权限。
[0146]
需要说明的是，在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，在本实施例中不再赘述。
[0147]
此外，结合上述实施例中提供的移动环境访问控制方法，在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序；该计算机程序被处理器执行时实现上述实施例中的任意一种移动环境访问控制方法。
[0148]
应该明白的是，这里描述的具体实施例只是用来解释这个应用，而不是用来对它
进行限定。根据本技术提供的实施例，本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例，均属本技术保护范围。
[0149]
显然，附图只是本技术的一些例子或实施例，对本领域的普通技术人员来说，也可以根据这些附图将本技术适用于其他类似情况，但无需付出创造性劳动。另外，可以理解的是，尽管在此开发过程中所做的工作可能是复杂和漫长的，但是，对于本领域的普通技术人员来说，根据本技术披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段，不应被视为本技术公开的内容不足。
[0150]“实施例”一词在本技术中指的是结合实施例描述的具体特征、结构或特性可以包括在本技术的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例，也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是，本技术中描述的实施例在没有冲突的情况下，可以与其它实施例结合。
[0151]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对专利保护范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。

技术特征：
1.一种移动环境访问控制方法，其特征在于，所述方法包括：获取用户端的用户移动环境的数据信息，并根据所述数据信息确定所述用户移动环境的信任度；基于属性基加密方法，根据所述用户移动环境的信任度，确定所述用户移动环境的数据端访问权限。2.根据权利要求1所述的移动环境访问控制方法，其特征在于，所述获取用户端的用户移动环境的数据信息，并根据所述数据信息确定所述用户移动环境的信任度，包括：所述用户移动环境的数据信息包括多个环境安全特征，多个所述环境安全特征用于表示所述用户移动环境的安全程度；计算多个所述环境安全特征的多个信息增益，并对多个所述信息增益进行归一化处理，得到多个所述环境安全特征的权重；根据多个所述环境安全特征的权重和所述用户移动环境确定所述用户移动环境的信任度。3.根据权利要求2所述的移动环境访问控制方法，其特征在于，所述计算多个所述环境安全特征的多个信息增益，包括：计算预设的训练数据集的经验熵；计算所述环境安全特征对所述预设的训练数据集的经验条件熵；确定所述经验熵与所述经验条件熵的差值为所述环境安全特征的信息增益。4.根据权利要求1所述的移动环境访问控制方法，其特征在于，所述基于属性基加密方法，根据所述用户移动环境的信任度，确定所述用户移动环境的数据端访问权限，包括：预设属性基语法树；所述属性基语法树用于表示所述用户移动环境的环境安全特征的特征要求；判断所述用户移动环境的环境安全特征是否满足所述属性基语法树的特征要求；若满足，则确定所述用户移动环境具有访问权限。5.根据权利要求1所述的移动环境访问控制方法，其特征在于，所述基于属性基加密方法，根据所述用户移动环境的信任度，确定所述用户移动环境的数据端访问权限之后，包括：获取数据端的主秘钥和公钥，获取所述用户移动环境的私钥，并加密数据单元，得到加密文件；若所述用户移动环境的环境安全特征满足对应的属性基语法树，则向所述用户端发送加密文件，以使所述用户端对所述加密文件进行解密，以得到数据端的解密后的文件。6.根据权利要求5所述的移动环境访问控制方法，其特征在于，所述获取所述用户移动环境的私钥，包括：获取所述用户移动环境的授权主体，所述授权主体包括所述用户移动环境的环境信任度和所述用户移动环境的特征；使用所述数据端的主秘钥和公钥以及所述用户移动环境的授权主体，确定所述用户移动环境的私钥。7.根据权利要求4所述的移动环境访问控制方法，其特征在于，所述预设属性基语法树，包括：
所述属性基语法树的叶子节点由所述用户移动环境的环境特征组成。8.一种移动环境访问控制装置，其特征在于，所述装置包括：获取模块和处理模块；所述获取模块，用于获取用户端的用户移动环境的数据信息；所述处理模块，用于根据所述数据信息确定所述用户移动环境的信任度；还用于基于属性基加密方法，根据所述用户移动环境的信任度，确定所述用户移动环境的数据端访问权限。9.一种电子装置，包括存储器和处理器，其特征在于，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行权利要求1至权利要求7中任一项所述的移动环境访问控制方法。10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至权利要求7中任一项所述的移动环境访问控制方法的步骤。

技术总结
本申请涉及一种移动环境访问控制方法、装置、电子装置和存储介质，其中，该移动环境访问控制方法包括：获取用户端的用户移动环境的数据信息，并根据数据信息确定用户移动环境的信任度；基于属性基加密方法，根据用户移动环境的信任度，确定用户移动环境的数据端访问权限。通过本申请，解决了相关技术中当移动终端访问办公终端时，相关访问权限难以确定的问题。题。题。


技术研发人员：郑欢欢 秦亦 杨树祥 王晓江
受保护的技术使用者：之江实验室
技术研发日：2023.07.17
技术公布日：2023/10/11