CN104580163B - 私有云环境下访问控制策略构建系统 - Google Patents
私有云环境下访问控制策略构建系统 Download PDFInfo
- Publication number
- CN104580163B CN104580163B CN201410791627.3A CN201410791627A CN104580163B CN 104580163 B CN104580163 B CN 104580163B CN 201410791627 A CN201410791627 A CN 201410791627A CN 104580163 B CN104580163 B CN 104580163B
- Authority
- CN
- China
- Prior art keywords
- information
- control strategy
- module
- access control
- local access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供的一种私有云环境下访问控制策略构建系统,该系统包括有数据库(100)、上下文感知模块(200)、局部访问控制策略构建模块(300)、局部访问控制策略优化模块(400)、全局访问控制策略构建模块(500)和全局访问控制策略分解模块(600)、敏感信息管理模块(700)、领域信息管理模块(800)和审计模块(900)。本发明对私有云环境下的局部访问控制策略进行了动态构建,使得构建的策略能够满足私有云环境动态性和自适应的要求,同时实现了描述组合服务安全需求的全局访问控制策略的构建及分解,达到了保证参与协作的服务方访问控制策略中的敏感信息不被泄漏的目的。本发明系统具有安全性强、执行效率高、可扩展性强的特点。
Description
技术领域
本发明属于计算机安全技术领域,具体涉及一种私有云环境下访问控制策略构建系统。主要从框架角度设计和实现对私有云环境下的访问控制策略进行构建。
背景技术
云计算(Cloud Computing)是以网络为载体,虚拟化技术为基础,融合网格计算、分布式计算、并行计算等传统计算方式,整合大规模可扩展应用、存储、计算和数据等资源进行协同工作的超级计算模式。作为一种大众参与的以服务为基本方式提供应用的新兴商业模型,云计算技术符合产业发展中的节能减排、绿色环保等优势而引起了学术界和产业界的广泛关注。云计算环境下,企业通过改进和升级现有基础设施及应用,基于企业内部业务动态变化需求,通过重用聚合验证单一服务来构造一种增值、统一的能随需变化的、松耦合的服务组合,从而克服单一服务功能有限,难以满足动态变化的业务需求的缺陷,进而形成不同粒度的服务组合这一创新服务和应用系统,实现为终端用户提供不同粒度资源的能力,从而促进传统企业级应用从数据中心到中间件、编程模式和数据存储方式逐渐向云计算平台进行迁移。
在企业向私有云环境过渡过程中,其研究的重点主要集中在如何定制服务质量模型(Quality of Service,QoS)、如何评价服务质量以及如何基于服务质量选取服务组合方案上。传统的解决方法是在多目标量度下,基于局部优化策略和全局优化策略来选择最优的服务组合,具有代表性的优化策略有整数规划法、遗传算法和模拟退火法等。然而,基于QoS优化选取服务组合的方法主要是面向用户功能性需求的,缺乏对非功能安全性需求的考虑,缺乏对描述安全需求的影响局部访问控制策略构建的主体上下文信息、客体上下文信息、操作上下文信息和环境上下文信息进行动态感知和量化,进而动态构建局部访问控制策略,使得构建的局部访问控制策略能依据所处的上下文环境进行动态调整,以确保构建的局部访问控制策略在满足系统安全性的同时又能适应私有云环境动态性、自适应性和可伸缩性的特点;其次,私有云环境中单一服务功能有限,难以满足系统和用户不断变化的业务需求,需要通过服务组合实现资源的有效共享,使得各服务间相互通信协同完成任务,而参与服务组合的描述不同服务安全的局部访问控制策略可能有着不同需求,从而导致组合服务过程中所产生的全局访问控制策略可能产生冲突、策略之间融合困难等问题,而传统的服务组合方法尚缺乏对构建描述服务组合安全的全局访问控制策略过程中可能出现的冲突进行融合,以形成统一描述服务组合安全的全局访问控制策略的考虑;再者,私有云环境中的数据托管和资源共享的服务模式促进了各服务域之间的协同服务,描述服务组合安全的访问控制策略构成了私有云环境下的全局访问控制策略,该全局性访问控制策略涵盖了参与服务组合的各协作服务方的敏感策略信息,使得构建的全局访问控制策略信息内容不能传递和共享给任何一个不可信的服务提供方,因此需要对全局访问控制策略进行分解的过程中实施敏感策略信息的合理保护,以确保策略信息自身的安全和服务组合的正确实施。
综上所述,私有云环境下访问控制策略构建将面临三大挑战:(1)策略的动态自适应性,即如何感知影响局部访问控制策略构建的因素,生成能满足安全性和功能性需求的局部访问控制策略;(2)策略的一致性,即如何在构建服务组合的过程中,融合不同的局部访问控制策略以构建描述服务组合安全的全局访问控制策略;(3)策略执行的安全性,即如何保证全局访问控制策略本身敏感信息的安全性,使得参与协作服务的服务提供方的访问控制策略中的敏感信息不对不可信的服务提供方共享。因此,针对私有云环境下服务的动态性、分布性、自治性以及组合性和易交互性的特点,设计描述私有云环境下的安全访问控制策略构建方案将是一个意义重大且挑战性很强的课题。
发明内容
针对现有技术存在的上述缺陷,本发明的目的在于提供一种私有云环境下访问控制策略构建系统。该系统不仅能够通过获取影响局部访问控制策略构建的主体上下文信息、客体上下文信息、操作上下文信息和环境上下文信息动态构建局部访问控制策略,还能够在构建服务组合过程中对局部访问控制策略中存在的冲突进行融合,以构建能满足用户功能需求和系统安全需求的全局访问控制策略,同时还能够利用策略敏感信息对生成的全局访问控制策略进行安全分解,确保在服务参与方执行组合服务的过程中各参与方访问控制策略中的敏感信息的安全性。
为实现上述目的,本发明采取的技术方案是:
一种私有云环境下访问控制策略构建系统,其特征在于,该系统包括有数据库、上下文感知模块、局部访问控制策略构建模块、局部访问控制策略优化模块、全局访问控制策略构建模块、全局访问控制策略分解模块、敏感信息管理模块、领域信息管理模块和审计模块;其中,
数据库用于存储局部访问控制策略以及影响局部访问控制策略构建的各种上下文信息及领域知识信息,存放通过冲突检测与调整和融合后的全局访问控制策略以及影响全局访问控制策略调整和融合的服务信息,同时存放分解全局访问控制策略所需的策略敏感信息以及分解后的访问控制策略信息,它包括领域知识库、上下文信息库、局部访问控制策略库、服务信息库、全局访问控制策略库、分解策略库、策略敏感信息库和审计信息库;
上下文信息感知模块用来感知私有云环境下影响局部访问控制策略构建的主体上下文信息、操作类型上下文信息、操作对象上下文信息(共同构成描述权限上下文信息)和环境上下文信息,并对获取到的上下文信息进行推理融合,进而发现容易提取、对变形和特征不敏感且能有效区别不同类别的上下文信息,从而形成统一的上下文信息并记录到对应的上下文信息库中,为构建局部访问控制策略提供信息依据;
局部访问控制策略构建模块从上下文信息库中获取上下文感知模块所生成的主体上下文信息、权限上下文信息和环境上下文信息,并依据上下文信息间对应的逻辑关系,将获取到的上下文信息分为功能性特征和非功能性特征两大类,一方面利用用户和权限之间的分配关系,另一方面利用上下文信息中的功能性和非功能性特征作为构建局部访问控制策略的辅助信息,共同为局部访问控制策略优化模块提供满足企业安全和功能需求的初始局部访问控制策略集合;
局部访问控制策略优化模块从局部访问控制策略构建模块获取初始局部访问控制策略,进而依据角色状态的最小性和角色功能的可解释性,将系统构建的访问控制策略目标因素进行抽取并量化,然后基于对应的目标函数表示各因素对特定目标的影响程度,并在约束限定下基于多目标决策选取在各个目标总体评价最优的局部访问控制策略并存储于局部策略库中;
全局访问控制策略构建模块通过获取影响组合服务主体集合和客体集合的局部访问控制策略集,通过实施安全策略冲突消解和融合方法,屏蔽各种局部访问控制策略之间的冲突,进而构建全局访问控制策略,从而形成统一的控制、存储、访问和安全决策评判机制,使得授权管理方式协同一致化,提升私有云系统的整体安全性,确保系统功能和安全需求得到真实有效满足,并将最终的结果存储于数据库中;
全局访问控制策略分解模块从数据库中获取执行服务组合所需要的全局访问控制策略,依照安全约束基于策略敏感信息对获取的全局访问控制策略进行分解,并按需将分解后的子访问控制策略信息片段分派至各局部访问控制域环境中,使得各局部访问控制域能且仅能获取其所关注的访问控制策略片段,实现透明安全的服务互操作,进而有效降低全局访问控制策略中敏感信息泄露的风险的同时达到协同工作,从而最终完成服务组合所要求功能的目的;
敏感信息管理模块接收来自用户的请求,通过与数据库间的信息交互,实现对全局访问控制策略中的敏感信息进行操作的需求,并将最终操作的结果记录在数据库中;
领域信息管理模块用来对主体上下文信息、权限上下文信息和环境上下文信息的获取与推理融合,从而发现容易提取、对变形和特征不敏感且能有效区别不同类别的统一上下文信息提供所需领域知识的增加、修改、删除等操作,同时实现对构建服务组合所需服务信息的增加、修改、删除等操作;
审计模块接收来自系统管理员输入的查询信息,通过与数据库的信息交互,利用系统管理员提交的用户名和时间范围对系统管理员的操作进行查询,获得满足查询条件的所有记录。
本发明系统在获取私有云环境下的访问控制策略的同时充分考虑了私有云环境的特点,首先通过动态获取私有云环境下的不同上下文信息,并基于这些上下文信息构建私有云环境下的局部访问控制策略,从而保证了生成的局部访问控制策略能够适应私有云环境的分布性、自治性、动态性以及自适应性和可伸缩的特点;其次通过组合私有云环境下的局部访问控制策略进而构建满足服务组合安全性和功能性要求的全局访问控制策略,从而保证了私有云环境下系统通过重用、聚合和验证单一服务来构造增值的、统一的能随需变化的、松耦合的服务组合,从而克服单一服务功能有限,难以满足动态变化的业务需求的权限,进而形成不同粒度的服务组合,实现为终端用户提供不同粒度资源的能力,从而体现云计算的优势;再者对于参与服务提供方的访问控制策略依据服务参与方的敏感信息对全局访问控制策略进行分解,确保敏感信息对不可信的服务参与方的透明性,使得敏感信息泄漏的危险进一步降低。本发明系统可以实现私有云环境下局部和全局访问控制策略的构建与优化以及全局访问控制策略的分解,保证了私有云环境下的局部访问控制策略的动态性和全局访问控制策略的融合性,保证了服务组合的正确实施。具体而言,本发明具有如下优点:
(1)动态性高:本系统主要用于私有云环境下的访问控制策略的构建,因此要求具有较高的动态性。在本系统中,局部访问控制策略构建的过程充分考虑了动态性问题,通过上下文信息的感知使得系统能够及时的获取权限、用户和环境的动态变化,并将这一变化引入到局部访问控制策略的构建过程中,以达到生成的局部访问控制策略能更好地反应和满足私有云环境动态变化的需求;此外,在服务组合的工程中,将描述服务的功能性信息和安全性信息引入到全局访问控制策略构建过程中,进而保证生成的全局访问控制策略也能随着服务组合的需求变化而进行动态的变化。
(2) 安全性强:本系统的安全性主要是通过不同环境域存储局部访问控制策略信息以及基于功能和安全需求对生成的全局访问控制策略进行分解和审计来达到的。在本系统中,储存和分解后的局部访问控制策略都存储于对应的环境域,保证了服务和对应的局部访问控制策略同处一个云端,从而降低了私有云环境下访问控制策略被攻击的风险,同时也降低了策略存储到单一控制节点所造成网络拥塞和单点失效对系统安全性的影响;全局访问控制策略依据服务组合中的功能性需求和安全性需求以及局部访问控制策略中的敏感信息进行分解,从而保证了全局访问控制策略和局部访问控制策略中的敏感信息对参与服务组合的参与方的透明性,进而进一步的保证了系统各种类别访问控制策略的安全性;审计部分记录了所有系统管理人员的一些关键性操作,便于追朔,又进一步保证了系统的安全性。
(3) 可扩展性强:本系统的开发是基于私有云环境的,与单环境域相关的访问控制存储在对应的环境域中,这样不仅可以减轻服务器的负载,避免单点失效的情况发生,同时亦能在局部环境域发生故障的时候不影响其他环境域之间的协调工作以及其他环境域局部访问控制策略的构建与生成,因此可扩展性强。
附图说明
图1是本发明系统的体系结构图;
图2是本发明系统的结构示意图;
图3是上下文感知的结构图;
图4是局部访问控制策略构建的结构图;
图5是全局访问控制策略分解的过程图。
具体实施方式
下面结合附图和实例对本发明作进一步详细的说明。
如图1所示,本发明系统的功能可以划分为:上下文信息感知、局部访问控制策略构建与优化、全局访问控制策略构建与分解、敏感信息管理、领域信息管理和审计,该系统包括数据库100、上下文感知模块200、局部访问控制策略构建模块300、局部访问控制策略优化模块400、全局访问控制策略构建模块500、全局访问控制策略分解模块600、敏感信息管理模块700、领域信息管理模块800和审计模块900。
数据库100用于存储影响局部访问控制策略构建的上下文信息和获取上下文信息所需要的领域知识信息,同时存放依据上下文信息构建的局部访问控制策略以及指导全局访问控制构建所需的服务信息和最终构建的全局访问控制策略,并存放影响全局访问控制策略分解的敏感信息和分解后的访问控制策略以及审计信息。
上下文感知模块200用于对影响局部访问控制策略构建的主体上下文信息、权限上下文信息和环境上下文信息进行感知,进而利用领域知识对系统获取到的各种上下文信息进行推理融合,从而形成统一的上下文信息并记录到对应的上下文信息库中,为构建局部访问控制策略提供必要的数据和信息。
局部访问控制策略构建模块300用于利用用户和权限之间的分配关系,生成初始角色状态,同时利用上下文信息库中获取到的影响局部访问控制策略构建的功能性特征和非功能性特征,共同为局部访问控制策略优化模块提供满足企业安全和功能需求的局部访问控制策略集合并进行存储。
局部访问控制策略优化模块400通过将系统构建访问控制策略目标因素进行抽取并量化,然后建立对应的目标函数表示各因素对特定目标的影响程度,最后在约束限定下,基于多目标决策选取在各个目标总体评价最优的局部访问控制策略并进行存储。
全局访问控制策略构建模块500通过检测参与服务组合的局部访问控制策略中的不一致性,并在可控范围内对整个构建的全局访问控制策略进行动态调整以确保构建的全局访问控制策略能反应整个服务组合的功能和安全需求并将最终生成的全局访问控制策略存储在数据库中。
全局访问控制策略分解模块600依据参与服务组合的局部访问控制策略所属访问控制域之间的关系,基于策略敏感信息安全共享的要求依据信任域和不可信任域的不同将描述服务组合的全局访问控制策略分解到不同的局部访问控制域中并将分解后的访问控制策略存储在数据库中。
敏感信息管理模块700主要接收系统管理员对参与服务组合构建的各个局部访问控制策略服务提供方在全局访问控制策略中的敏感信息进行增加、修改、删除等操作,并将操作的结果以及操作记录存储在数据库中。
领域信息管理模块800主要接收系统管理员对影响局部访问控制策略构建的不同上下文信息获取与融合的领域信息进行增加、修改、删除等操作,以及指导服务组合过程中所需服务信息的增加、修改、删除等操作,并将操作的结果以及操作记录存储在数据库中。
审计模块900接收来自系统管理员输入的查询消息,通过与数据库的信息交互,获得满足查询条件的所有记录,这些记录主要涉及敏感信息、领域信息和服务信息的添加、删除、修改的操作记录。
下面分别对各模块作进一步详细的说明。
如图2所示,数据库100存储的数据包括:领域知识库110、上下文信息库120、局部策略库130、服务信息库140、全局策略库150、分解策略库160、敏感信息库170和审计信息库180。其中,领域知识库110用来存放描述主体、客体、操作以及环境属性的领域知识;上下文信息库120用来存放主体上下文感知、权限上下文感知以及环境上下文感知模块融合后的影响局部访问控制策略构建的上下文信息;局部策略库130用来存放基于上下文信息构建并优化后的局部访问控制策略集合;服务信息库140用来存放描述服务组合过程中的输入和输出信息的范围限制;全局策略库150用来存放消解冲突和融合后的描述服务组合的全局访问控制策略集合;分解策略库160用来存放基于敏感信息分解后的策略之间关联关系的信息;敏感信息库170用来存放系统管理员标注的参与服务组合的局部访问控制策略中的敏感信息;审计信息库180存放管理员对领域知识库、服务信息库以及敏感信息进行操作的记录。
数据库100接收来自审计模块900的查询请求,在审计信息库180中查询匹配,反馈信息到审计模块900;数据库100接收来自领域信息管理模块800的查询、添加、修改、删除领域知识或服务信息的请求操作,在领域知识库110中或服务信息库140中进行相应的操作,反馈信息给领域信息管理模块800,并将领域信息管理模块800对领域知识库110或服务信息库140的操作信息记录到审计信息库180,以备审计模块800进行审计,同时反馈操作结果给领域信息管理模块800;数据库100接收来自敏感信息管理模块700的查询、添加、修改、删除敏感信息的请求操作,在敏感信息库170中进行相应的操作,反馈信息给敏感信息管理模块700,并将敏感信息管理模块700对敏感信息库170的操作信息记录到审计信息库180,以备审计模块800进行审计,同时反馈操作结果给敏感信息管理模块700;数据库100接收来自全局访问控制策略分解模块600依据敏感信息进行分解后的分解策略,并将这些分解策略存储于分解策略库160中;数据库100接收来自全局访问控制策略构建模块500基于服务信息库140对参与构建服务组合的局部访问控制策略进行冲突消解,并将最终构建的全局访问控制策略存储于全局策略库150中;数据库100接收来自局部访问控制策略优化模块400对局部访问控制策略构建模块300所生成的初始局部访问控制策略进行优化后的局部访问控制策略,并将最终构建的优化的局部访问控制策略存储于局部策略库130中;数据库100接收来自上下文感知模块200基于领域知识而获取到的环境上下文信息、权限上下文信息、主体上下文信息,并存储于上下文信息库120中,从而为局部访问控制策略构建模块300提供构建局部访问控制策略所需要的特征信息。
上下文感知模块200是整个系统的基础,该模块依据影响局部访问控制策略构建的不同因素,基于领域知识库感知私有云环境下主体、权限(分为操作类型和操作对象)及环境的各种变化,并进行融合推理从而形成统一的上下文信息并记录到上下文信息库中,从而为构建局部访问控制策略及动态优化局部访问控制策略提供必要的数据和信息。该上下文感知模块200包括主体上下文感知模块210、权限上下文感知模块220、环境上下文感知模块230和上下文推理模块240,上下文感知模块200的具体结构如图3所示。
主体上下文感知模块210实施对访问控制系统中的主体特征进行感知,该主体是访问控制系统中实施对某一客体进行访问请求的发起者,如用户、应用和过程等,主体上下文信息包括静态上下文特征信息和实时动态上下文特征信息,主要反应了和主体相关的标示和特征,如主体的名称、标示以及主体的组织信息等。这些主体上下文信息可以通过领域知识库中所注册的特征信息或者主体在系统执行过程中的访问历史记录进行获取。并最终形成主体上下文感知信息提交上下文推理模块240进行处理。
权限上下文感知模块220除了利用用户和权限之间的指派关系外,同时对权限所涉及的操作类型上下文信息以及操作对象的上下文信息,如添加、删除、修改和查看等操作类型描述以及账目、图书等操作对象的描述信息基于领域知识库中描述资源的元数据信息和动态监控权限的实时执行过程进行获取。并最终形成的权限上下文感知信息提交上下文推理模块240进行处理。
环境上下文感知模块230实施对服务访问时的可操作性甚至是周围环境的实时变化信息,如系统当前的时间和日期、当前系统的安全等级以及网络当前的状态等的自动感知,这些环境上下文信息不再和具体的主体及资源相关,而是和整个系统的访问控制策略相关,这些上下文信息通过实时监控系统环境的变化而动态获取,并最终形成环境上下文感知信息提交上下文推理模块240进行处理。
上下文推理模块240针对私有云环境中,系统服务的不确定性、用户需求的可变性以及系统环境的动态性,基于贝叶斯网络进行合理推理,发现容易提取对变形和特征不敏感且能有效区别不同类别的上下文信息,实施对主体上下文感知模块210、权限上下文感知模块220和环境上下文感知模块230所获取的不同上下文信息进行融合推理,从而提取那些对噪声免疫、容易提取和解释的属性信息,为构建私有云环境下的局部访问控制策略提供必要的数据和信息,并存储于上下文信息库120中。
局部访问控制策略构建模块300从数据库100的上下文信息库120中获取私有云环境中主体、权限和环境三方面的上下文信息,并将这些上下文信息依据逻辑关系的不同分解为功能性特征和非功能性特征,进而一方面利用权限之间的指派关系,另一方面利用获取到上下文功能性特征和非功能性特征构建初始角色集合和角色之间的层次关系,并将构建的局部访问控制策略集合交局部访问控制策略优化模块400进行处理。该局部访问控制策略构建模块300包括非功能性特征获取与处理模块310和功能性特征获取与处理模块320,如图4所示。
非功能性特征获取与处理模块310获取上下文信息库中描述局部访问控制策略中角色被指派依据的非功能性特征信息,如用户的职位、部门上下文信息,以及角色所涉及的用户数量和权限数量等约束信息,进而作为构建局部访问控制策略的辅助信息,共同为系统构建满足企业安全和功能需求的初始局部访问控制策略集合。
功能性特征获取与处理模块320获取上下文信息库中描述局部访问控制策略所反映的业务流程相关的特征,这些特征体现了策略的职能,如局部访问控制策略中角色所包含权限的操作、资源和权重以及角色间的层次等信息,与非功能性特征获取与处理模块310共同为系统构建满足企业安全和功能需求的初始局部访问控制策略集合所需角色集合及角色之间的层次,并提交至局部访问控制策略优化模块400。
局部访问控制策略优化模块400获取局部访问控制策略构建模块300所生成的初始局部访问控制策略集合,针对所构建的局部访问控制依据角色状态最小性和角色功能的可解释性对生成的局部访问控制策略进行优化,其中角色状态的最小性是对构建的局部访问控制策略的非功能性需求的满足程度,角色功能的可解释性则是对构建的局部访问控制策略的功能需求的满足程度。该局部访问控制策略优化模块首先将系统构建访问控制策略目标因素进行抽取并量化;然后,建立对应的目标函数表示各因素对特定目标的影响程度;最后,在约束限定下,基于多目标决策选取在各个目标总体评价最优的局部访问控制策略,从而达到对构建的局部访问控制策略进行多目标优化的目的。
全局访问控制策略构建模块500获取服务信息库140中描述服务组合功能的服务需求信息,依据获取到的服务信息实施服务组合,并在服务组合的过程中对参与服务组合方的局部访问控制策略中的冲突实施消解和融合,最终构建描述服务组合安全的全局访问控制策略。该全局访问控制策略构建模块500包括服务组合引擎模块510、局部访问控制策略冲突消解与融合模块520。
服务组合引擎模块510获取服务信息库140中描述服务组合的功能需求信息,进而了利用基于工作流的服务组合方法或者基于AI规划的服务组合方法构建功能上满足服务组合要求的组合服务。
局部访问控制策略冲突消解与融合模块520对于构建全局访问控制策略冲突的消解与融合主要从以下三个方面进行:(a1)消解访问主体之间存在的权限继承而造成的权限定义冲突的情况,确保策略规则做出唯一的访问授权策略;(a2)消解对同一资源的多条规则授权定义而造成的权限配置的冲突,依据策略的优先级实施策略冲突检测与消解,在优先级计算过程中一方面考虑策略对整个策略集合中其他策略调整的影响程度,另一方面考虑该策略自生的严格程度。如果该策略与其他策略冲突的概率较大或者自身严格性较高,则其优先级也较高,反之则低;(a3)通过归约化理论将安全性和功能可满足性冲突问题规约为SAT问题,然后利用SAT求解器SAT4J,并调用最小代价法或字典编辑优选法实现消解局部安全访问控制策略安全性和功能可满足性之间的冲突问题。
全局访问控制策略分解模块600接收全局策略库150用于描述服务组合的全局访问控制策略,并对全局访问控制策略中的授权规则和资源概念基于敏感信息库170进行分解,并将最终分解后的策略存储于分解策略库160中。该全局访问控制策略分解模块600包括资源策略分解模块610和协作策略分解模块620。
资源策略分解模块610从数据库100的全局策略库150中获取全局访问控制策略,并依据资源分布的特点将全局访问控制策略分解到资源所处的各个局部访问控制域中。通过将描述服务组合的全局访问控制策略分配到资源所在的局部访问控制域,使得局部访问控制策略与所管理的资源同处于局部访问控制域中,可以避免不必要的通信开销,均衡了各局部访问控制域的计算负载,提高了局部访问控制策略实施的性能。
协作策略分解模块620从数据库100的全局策略库150中获取全局访问控制策略,从敏感信息库170中获取策略敏感信息,基于策略敏感信息安全共享并依据策略所属局部访问控制域之间的关系,针对局部访问控制域间的可信任性,将全局访问控制策略中的策略授权规则转化为复合布尔表达式,每个布尔表达式由若干原子布尔表达式通过逻辑“并”和逻辑“或”运算符关联而成。并基于全局策略复合布尔表达式将一条全局性的访问控制策略依照安全约束分解为不同的子策略片段,然后发送到对应局部访问控制域的策略库中,使得策略敏感信息只存储和决策于受信的局部访问控制域中,从而实现全局访问控制策略基于敏感信息的安全共享,以确保服务组合实施的安全。分解后的情况如图5所示。
敏感信息管理模块700是系统管理员管理敏感信息时使用的模块。敏感管理模块700的处理流程为:(1)管理员查看敏感信息库,敏感信息管理模块700根据管理员的指令读取数据库100中的敏感信息库170,并显示所有的敏感信息;(2)管理员填写待添加的新敏感信息,敏感信息管理模块700首先判断数据库100中的敏感信息库170中该敏感信息是否已经存在,若该敏感信息已经存在,返回错误提示,否则添加记录到敏感信息库170,并将添加敏感信息成功的记录加入数据库的审计信息库180中;(3)管理员删除敏感信息,敏感信息管理模块700根据管理员指令删除数据库100中敏感信息库170的相关信息,并将删除敏感信息成功的记录加入数据库的审计信息库180中;(4)管理员修改敏感信息,敏感信息管理模块700根据管理员的指令修改数据库100中敏感信息库170的相应信息,并将修改敏感信息成功的记录加入数据库的审计信息库180中。
领域信息管理模块800是系统管理员管理领域信息和服务信息时使用的模块。领域信息管理模块800的处理流程为:(1)管理员查看领域信息知识库或服务信息库,领域信息管理模块800根据管理员的指令读取数据库100中的领域知识库110或服务信息库140,并显示所有的领域知识信息或服务信息;(2)管理员填写待添加的新领域知识信息或服务信息,领域信息管理模块800首先判断数据库100中的领域知识库110中该领域知识信息或服务信息库140中的服务信息是否已经存在,若该领域知识信息或服务信息已经存在,返回错误提示,否则添加记录到领域知识库110或服务信息库140,并将添加领域知识信息或服务信息成功的记录加入数据库的审计信息库180中;(3)管理员删除领域知识信息或服务信息,领域信息管理模块800根据管理员指令删除数据库100中领域知识库110中的相关信息或服务信息库140中的相关信息,并将删除领域知识信息成功或服务信息成功的记录加入数据库的审计信息库180中;(4)管理员修改领域知识信息或服务信息,领域信息管理模块800根据管理员的指令修改数据库100中领域知识库110的相应信息或服务信息库140中的相应信息,并将修改领域知识信息成功或服务信息成功的记录加入数据库的审计信息库180中。
审计模块900主要是对系统管理员的所有操作提供查询功能,可以通过用户名和时间范围来对系统管理员的操作进行查询。这些记录主要涉及敏感信息库、服务信息库和领域知识库的操作记录。
本发明不仅局限于上述具体实施方式,本领域一般技术人员根据本发明公开的内容,可以采用其它多种具体实施方式实施本发明,因此,凡是采用本发明的设计结构和思路,做一些简单的变化或更改的设计,都落入本发明保护的范围。
Claims (5)
1.一种私有云环境下访问控制策略构建系统,其特征在于,该系统包括有数据库(100)、上下文感知模块(200)、局部访问控制策略构建模块(300)、局部访问控制策略优化模块(400)、全局访问控制策略构建模块(500) 和全局访问控制策略分解模块(600)、敏感信息管理模块(700)、领域信息管理模块(800) 和审计模块(900) ;其中,数据库(100) 用于存储局部访问控制策略以及影响局部访问控制策略构建的各种上下文信息及领域知识信息,存放通过冲突检测与调整和融合后的全局访问控制策略以及影响全局访问控制策略调整和融合的服务信息,同时存放对全局访问控制策略进行分解所需的策略敏感信息以及分解后的访问控制策略信息;上下文感知模块(200) 用于感知主体上下文信息、权限上下文信息和环境上下文信息,进而利用领域知识信息形成统一的上下文信息并将结果存储于数据库(100) 中;局部访问控制策略构建模块(300) 用于利用获取到的功能性特征和非功能性特征,共同为局部访问控制策略优化模块提供满足企业安全和功能需求的初始局部访问控制策略集合;局部访问控制策略优化模块(400)从局部访问控制策略构建模块(300)获取初始局部访问控制策略,进而依据角色状态的最小性和角色功能的可解释性,将系统构建的访问控制策略目标因素进行抽取并量化,然后基于对应的目标函数表示各因素对特定目标的影响程度,并在约束限定下基于多目标决策选取在各个目标总体评价最优的局部访问控制策略并存储于数据库(100)中;全局访问控制策略构建模块(500)通过检测参与服务组合的局部访问控制策略中的不一致性,并在可控范围内对整个构建的全局访问控制策略进行动态调整并将最终构建的全局访问控制策略存储于数据库(100)中;全局访问控制策略分解模块(600) 依据参与服务组合的局部访问控制策略所属访问控制域之间的关系,将全局访问控制策略分解到不同的局部访问控制域中并将分解后的访问控制策略存储在数据库(100) 中;敏感信息管理模块(700) 接收来自系统管理员对参与服务组合构建的各个局部访问控制策略服务提供方在全局访问控制策略中的敏感信息进行增加、修改、删除操作,并将操作的结果以及操作记录存储在数据库(100) 中;领域信息管理模块(800) 接收来自系统管理员对影响不同上下文获取与融合的领域知识信息进行增加、修改、删除操作,以及指导服务组合构建所需服务信息的增加、修改、删除操作,并将操作的结果以及操作记录存储在数据库(100) 中;审计模块(900) 接收来自系统管理员输入的查询消息,通过与数据库(100) 的信息交互,获得满足查询条件的所有记录;
所述功能性特征为上下文信息库中描述局部访问控制策略所反映的业务流程相关的特征;
所述非功能性特征为上下文信息库中描述局部访问控制策略中角色被指派依据的非功能性特征信息,包括:用户的职位、部门上下文信息,以及角色所涉及的用户数量和权限数量信息;
所述领域知识信息,包括:描述主体、客体、操作以及环境属性的信息。
2.根据权利要求1 所述的私有云环境下访问控制策略构建系统,其特征在于: 所述数据库(100)包括:领域知识库(110)、上下文信息库(120)、局部策略库(130)、服务信息库(140)、全局访问控制策略库(150)、分解策略库(160)、策略敏感信息库(170)和审计信息库(180),其中,领域知识库(110)用来存放描述主体、客体、操作以及环境属性的领域知识信息;上下文信息库(120)用来存放主体上下文感知、权限上下文感知以及环境上下文感知模块融合后的影响局部访问控制策略构建的上下文信息;局部策略库(130)用来存放基于上下文信息构建与优化的局部访问控制策略集合;服务信息库(140)用来存放描述服务组合过程中的输入和输出信息的范围限制;全局访问控制策略库(150)用来存放消解冲突和融合后的描述服务组合的全局访问控制策略集合;分解策略库(160)用来存放基于敏感信息分解后的策略之间关联关系的信息;策略敏感信息库(170)用来存放系统管理员标注的参与服务组合的局部访问控制策略中的敏感信息;审计信息库(180)存放管理员对领域知识库、服务信息库以及敏感信息进行操作的记录。
3.根据权利要求1 所述的私有云环境下访问控制策略构建系统,其特征在于:所述上下文感知模块(200)包括主体上下文感知模块(210)、权限上下文感知模块(220)、环境上下文感知模块(230)和上下文推理模块(240);主体上下文感知模块(210)实施对访问控制系统中的主体特征进行感知,通过领域知识库(110)中所注册的主体特征信息或者主体在系统执行过程中的访问历史记录进行获取,并最终形成主体上下文感知信息提交上下文推理模块(240)进行处理;权限上下文感知模块(220)利用用户和权限之间的指派关系对权限所涉及的操作类型上下文信息以及操作对象的上下文信息进行感知,并形成权限上下文感知信息提交上下文推理模块(240)进行处理;环境上下文感知模块(230)实施对服务访问时的可操作性及周围环境的实时变化信息形成环境上下文感知信息提交上下文推理模块(240)进行处理;上下文推理模块(240)对私有云环境中系统服务的不确定性、用户需求的可变性以及系统环境的动态性,基于贝叶斯网络进行合理推理,发现容易提取、对变形和特征不敏感且能有效区别不同类别的上下文信息,实施对主体上下文感知模块(210)、权限上下文感知模块(220)和环境上下文感知模块(230)所获取的不同上下文信息进行融合推理,提取对噪声免疫、容易提取和解释的属性信息,为构建私有云环境下的局部访问控制策略提供必要的数据和信息,并存储于上下文信息库(120)中。
4.根据权利要求1 所述的私有云环境下访问控制策略构建系统,其特征在于:所述局部访问控制策略构建模块(300) 包括非功能性特征获取与处理模块(310) 和功能性特征获取与处理模块(320) ;非功能性特征获取与处理模块(310) 从数据库(100) 的上下文信息库(120) 中获取描述局部访问控制策略中角色被指派依据的非功能性特征信息,进而作为构建局部访问控制策略的辅助信息,与功能性特征共同为系统构建满足企业安全和功能需求的初始局部访问控制策略集合;功能性特征获取与处理模块(320) 从数据库(100) 的上下文信息库(120) 中获取描述局部访问控制策略所反映的业务流程相关的特征,与非功能性特征获取与处理模块(310) 共同为系统构建满足企业安全和功能需求的初
始局部访问控制策略集合。
5.根据权利要求1 或2 或3 所述的私有云环境下访问控制策略构建系统,其特征在于:所述全局访问控制策略构建模块(500) 分为服务组合引擎模块(510)、局部访问控制策略冲突消解与融合模块(520) ;服务组合引擎模块(510) 从数据库(100) 的服务信息库(140)中获取服务组合的功能需求信息,进而利用基于工作流的服务组合方法或者基于AI规划的服务组合方法构建功能上满足服务组合要求的组合服务;局部访问控制策略冲突消解与融合模块(520) 对于构建全局访问控制策略冲突的消解与融合从以下三个方面进行:(a1)消解访问主体之间存在的权限继承而造成的权限定义冲突的情况,确保策略规则做出唯一的访问授权策略;(a2) 消解对同一资源的多条规则授权定义而造成的权限配置的冲突,依据策略的优先级实施策略冲突检测与消解;如果该策略与其他策略冲突的概率较大或者自身严格性较高,则其优先级也较高,反之则低;(a3) 将安全性和功能可满足性冲突问题规约为SAT 问题,然后利用SAT 求解器SAT4J,并调用最小代价法或字典编辑优选法实现消解局部安全访问控制策略安全性和功能可满足性之间的冲突问题。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410791627.3A CN104580163B (zh) | 2014-12-19 | 2014-12-19 | 私有云环境下访问控制策略构建系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410791627.3A CN104580163B (zh) | 2014-12-19 | 2014-12-19 | 私有云环境下访问控制策略构建系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104580163A CN104580163A (zh) | 2015-04-29 |
| CN104580163B true CN104580163B (zh) | 2018-08-24 |
Family
ID=53095344
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410791627.3A Expired - Fee Related CN104580163B (zh) | 2014-12-19 | 2014-12-19 | 私有云环境下访问控制策略构建系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104580163B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105740099B (zh) * | 2016-01-27 | 2019-07-09 | 北京轻元科技有限公司 | 一种基于上下文感知的云计算系统镜像准备工具和方法 |
| US9961082B2 (en) * | 2016-02-08 | 2018-05-01 | Blackberry Limited | Access control for digital data |
| CN109492844B (zh) * | 2017-09-12 | 2022-04-15 | 杭州蚂蚁聚慧网络技术有限公司 | 业务策略的生成方法和装置 |
| CN109214206A (zh) * | 2018-08-01 | 2019-01-15 | 武汉普利商用机器有限公司 | 云备份存储系统及方法 |
| CN111488598B (zh) * | 2020-04-09 | 2023-04-07 | 腾讯科技(深圳)有限公司 | 访问控制方法、装置、计算机设备和存储介质 |
| CN111585793B (zh) * | 2020-04-20 | 2021-04-30 | 南京大学 | 一种网络服务优化组合方法 |
| CN111914435B (zh) * | 2020-08-18 | 2022-08-16 | 哈尔滨工业大学 | 面向时空界的多方协作式服务价值-质量-能力建模方法 |
| CN113254525B (zh) * | 2021-02-07 | 2022-07-22 | 清华大学 | 一种基于工业paas构建的协同制造引擎系统及实现方法 |
| CN113590742B (zh) * | 2021-06-17 | 2023-12-26 | 北京中软国际信息技术有限公司 | 一种云平台访问控制方法 |
| CN114422197A (zh) * | 2021-12-25 | 2022-04-29 | 百安居信息技术(上海)有限公司 | 一种基于策略管理的权限访问控制方法及系统 |
| CN114462373B (zh) * | 2022-02-09 | 2022-11-15 | 星环信息科技(上海)股份有限公司 | 审计规则确定方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1826703A1 (en) * | 2006-02-27 | 2007-08-29 | Sap Ag | An access control system, a rule engine adaptor, a rule-based enforcement platform and a method for performing access control |
| CN102158557A (zh) * | 2011-04-12 | 2011-08-17 | 华中科技大学 | 云存储环境下安全策略分解与验证系统 |
| CN103905468A (zh) * | 2014-04-23 | 2014-07-02 | 西安电子科技大学 | 网络访问控制系统中xacml框架扩展系统及方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090228963A1 (en) * | 2007-11-26 | 2009-09-10 | Nortel Networks Limited | Context-based network security |
| CN102156833B (zh) * | 2011-04-12 | 2012-09-26 | 华中科技大学 | 基于角色的访问控制模型构建系统 |
-
2014
- 2014-12-19 CN CN201410791627.3A patent/CN104580163B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1826703A1 (en) * | 2006-02-27 | 2007-08-29 | Sap Ag | An access control system, a rule engine adaptor, a rule-based enforcement platform and a method for performing access control |
| CN102158557A (zh) * | 2011-04-12 | 2011-08-17 | 华中科技大学 | 云存储环境下安全策略分解与验证系统 |
| CN103905468A (zh) * | 2014-04-23 | 2014-07-02 | 西安电子科技大学 | 网络访问控制系统中xacml框架扩展系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| "云服务聚合中的访问控制策略分解与实施";董勐;《中国优秀硕士学位论文全文数据库,信息科技辑,2013年第07期》;20130715;第12页第1、2段,第13页第2.3节第1段,第15页第3.3.3节第1段,第2.3.4节第1段,第16页第2.4节,第19页第3.1.1节第1-3段,第21页第3.1.2节第1段,第35页第3.2.3节第1段,图2.2,表2.1,图3.1,图3.2 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104580163A (zh) | 2015-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104580163B (zh) | 私有云环境下访问控制策略构建系统 | |
| Zheng et al. | bcBIM: A blockchain-based big data model for BIM modification audit and provenance in mobile cloud | |
| Ghobaei‐Arani et al. | A moth‐flame optimization algorithm for web service composition in cloud computing: simulation and verification | |
| Alshammari et al. | Cybersecurity for digital twins in the built environment: Current research and future directions | |
| Vugrin et al. | Optimal recovery sequencing for enhanced resilience and service restoration in transportation networks | |
| Rao et al. | Ranking fuzzy numbers with a distance method using circumcenter of centroids and an index of modality | |
| CN103530106B (zh) | 用于职责分离的上下文相关的事务性管理的方法和系统 | |
| CN103281344A (zh) | 用于混合云的服务使用的集成计量的方法和系统 | |
| CN103380423A (zh) | 用于私人云计算的系统和方法 | |
| El Ioini et al. | Trustworthy orchestration of container based edge computing using permissioned blockchain | |
| CN110580148B (zh) | 一种面向一体化的epc项目管理平台 | |
| JP2014519131A (ja) | ポリシー生成システム及び方法 | |
| CN104104702A (zh) | 面向家庭物联网的云计算架构 | |
| Mobin et al. | A literature review on cloud based smart transport system | |
| Bhukya et al. | Software engineering: risk features in requirement engineering | |
| CN113342418B (zh) | 基于区块链的分布式机器学习任务卸载方法 | |
| Wei et al. | Model and algorithm for resolving regional bus scheduling problems with fuzzy travel times | |
| Stübs et al. | Business-driven blockchain-mempool model for cooperative optimization in smart grids | |
| Lawall et al. | Integration of dynamic role resolution within the S-BPM approach | |
| Gaaloul et al. | An access control model for organisational management in enterprise architecture | |
| CN103870325A (zh) | 流程引擎处理方法 | |
| Xu et al. | Federated integration of networked manufacturing service platforms | |
| Qin et al. | Construction of E-government data sharing framework based on big data technology | |
| NATIVI et al. | Destination earth | |
| Lv | Applications of the small and medium enterprise management system using the clustering algorithm |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180824 Termination date: 20191219 |