(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111452027.0 (22)申请日 2021.11.30 (71)申请人 深圳供电局有限公司 地址 518001 广东省深圳市罗湖区深南 东 路4020号电力调度通信大楼 (72)发明人 刘涛　陈晓伟　马越　孙文龙　 伍少成　 (74)专利代理 机构 华进联合专利商标代理有限 公司 44224 代理人 蔡抒枫 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 访问行为控制方法、 装置、 计算机设备和存 储介质 (57)摘要 本申请涉及一种访问行为控制方法、 装置、 计算机设备和存储介质。 该方法包括： 接收访问 主体的访问请求； 获取用户身份表和访问白名 单； 当访问请求中的用户身份标识符合访问请求 中的用户行为所对应的用户群组， 且访问请求中 的用户身份标识的可信度大于等于访问请求中 的用户行为所对应的可信度阈值， 则允许访问主 体执行访问请求中的用户行为； 当访问请求中的 用户身份标识不符合访问请求中的用户行为所 对应的用户群组， 或访问请求中的用户身份标识 的可信度小于访问请求中的用户行为所对应的 可信度阈值， 则阻止访问主体执行访问请求中的 用户行为。 从而提高了整个物联网系统的安全 性， 并且对访问行为是否允许的决策更加简便， 使得访问控制更加轻量 化。 权利要求书3页 说明书13页 附图6页 CN 114374531 A 2022.04.19 CN 114374531 A 1.一种访问行为控制方法， 其特 征在于， 所述方法包括： 接收访问主体的访问请求， 所述访问请求包括用户身份标识和用户行为； 获取用户身份表和访问白名单， 所述用户身份表包括用户身份标识所对应的用户群组 和可信度， 所述访问白名单包括用户行为所对应的用户群组和可信度阈值； 当所述访问请求中的用户身份标识所对应的用户群组符合所述访问请求中的用户行 为所对应的用户群组， 且所述访问请求中的用户身份标识所对应的可信度大于等于所述访 问请求中的用户行为所对应的可信度阈值， 则允许所述访问主体执行所述访问请求中的用 户行为； 当所述访问请求中的用户身份标识所对应的用户群组不符合所述访问请求中的用户 行为所对应的用户群组， 或所述访问请求中的用户身份标识所对应的可信度小于所述访问 请求中的用户行为所对应的可信度阈值， 则阻止所述访问主体执行所述访问请求中的用户 行为。 2.根据权利要求1所述的方法， 其特 征在于， 所述接收访问主体的访问请求包括： 获取所述访 问请求的访 问令牌， 根据所述访 问令牌， 确定所述访 问请求的用户身份标 识； 获取所述访问请求的流 量， 对所述 流量进行流 量解析， 确定所述访问请求的用户行为。 3.根据权利要求1所述的方法， 其特征在于， 在所述获取用户身份表之后， 所述方法还 包括： 确定所述访问请求中的用户身份标识是否被记录在所述用户身份表中； 若所述访问请求中的用户身份标识被记录在所述用户身份表中， 则获取所述访问请求 中的用户身份标识对应的可信度； 若所述访问请求中的用户身份标识未被记录在所述用户身份表中， 则阻止所述访问主 体执行所述访问请求中的用户行为。 4.根据权利要求1 ‑3任一项所述的方法， 其特征在于， 所述当所述访问请求中的用户身 份标识所对应的用户群组符合所述访问请求中的用户行为所对应的用户群组， 且所述访问 请求中的用户身份标识所对应的可信度大于等于所述访问请求中的用户行为所对应的可 信度阈值， 则允许 所述访问主体执 行所述访问请求中的用户行为包括： 获取所述访 问请求的流量， 对所述访 问请求的流量进行流量解析， 提取所述访 问请求 的流量对应的流量特征， 将所述流量特征与预设的流量特征库进行对比， 确定所述流量特 征是否正常； 若所述流量特征异常， 则确定所述流量特征的异常程度， 并根据所述流量特征的异常 程度， 确定所述访问请求中的用户身份标识的可信度的减少值并减少所述访问请求中的用 户身份标识的可信度； 若所述流量特征正常， 且所述访问请求中的用户身份标识所对应的用户群组符合所述 访问请求中的用户行为所对应的用户群组， 且 所述访问请求中的用户身份标识所对应的可 信度大于等于所述访问请求中的用户行为所对应的可信度阈值， 则允许所述访问主体执行 所述访问请求中的用户行为。 5.根据权利要求4所述的方法， 其特征在于， 所述若所述流量特征异常， 则确定所述流 量特征的异常程度， 并根据所述流量特征 的异常程度， 确定所述访问请求信息中的用户身权　利　要　求　书 1/3 页 2 CN 114374531 A 2份标识的可信度的减少值并减少所述访问请求中的用户身份标识的可信度， 包括： 获取所述流量特征的异常程度因素， 所述异常程度因素包括连接持续 时间、 报文数量、 平均报文长度、 目标端口号、 口令认证请求包数量； 确定各个所述异常程度因素对异常程度评价参数的隶属度、 以及各个所述异常程度因 素对应的权 重； 根据各个所述异常程度因素对所述异常程度评价参数的隶属度、 以及各个所述异常程 度因素对应的权 重， 确定所述 流量特征对所述异常程度评价 参数的隶属度； 根据所述流量特征对所述异常程度评价参数的隶属度、 以及所述异常程度评价参数对 应的预设 分值， 确定所述 流量特征的异常程度的分值； 根据所述流量特征的异常程度的分值， 确定所述访问请求中的用户身份标识的可信度 的减少值并减少所述访问请求中的用户身份标识的可信度。 6.根据权利要求1 ‑3任一项所述的方法， 其特 征在于， 所述方法还 包括： 若所述访问请求中的用户身份标识的可信度低于可信度 下限， 则阻止所述访问主体执 行所述访问请求中的用户行为。 7.根据权利要求 4所述的方法， 其特 征在于， 所述方法还 包括： 若在预设时长内的所述访 问请求的流量特征均正常， 则按照如下公式， 每隔固定时长 增加所述访问请求中的用户身份标识的可信度： 其中， C为所述访问请求中的用户身份标识的可信度， Ci‑1为所述固定时长前的所述访 问请求中的用户身份标识的可信度， k 为恢复速度， f为所述异常程度的分值。 8.一种访问行为控制装置， 其特 征在于， 所述装置包括： 访问获取模块， 用于接收访 问主体的访 问请求， 所述访 问请求包括用户身份标识和用 户行为； 表单获取模块， 用于获取用户身份表和访 问白名单， 所述用户身份表包括用户身份标 识所对应的用户群组和可信度， 所述访问白名单包括用户行为所对应的用户群组和可信度 阈值； 访问允许模块， 用于当所述访问请求中的用户身份标识所对应的用户群组符合所述访 问请求中的用户行为所对应的用户群组， 且所述访问请求中的用户身份标识所对应的可信 度大于等于所述访问请求中的用户行为所对应的可信度阈值， 则允许所述访问主体执行所 述访问请求中的用户行为； 访问阻止模块， 用于当所述访问请求中的用户身份标识所对应的用户群组不符合所述 访问请求中的用户行为所对应的用户群组， 或所述访问请求中的用户身份标识所对应的可 信度小于所述访问请求中的用户行为所对应的可信度阈值， 则阻止所述访问主体执行所述 访问请求中的用户行为。 9.一种计算机设备， 包括存储器和处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处 理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。权　利　要　求　书 2/3 页 3 CN 114374531 A 3