CN105095777B

CN105095777B - 一种云环境下的多模式访问控制策略制定和执行方法

Info

Publication number: CN105095777B
Application number: CN201510462753.9A
Authority: CN
Inventors: 李春花; 周可; 吴泽邦; 魏荣磊; 雷成
Original assignee: Huazhong University of Science and Technology
Current assignee: Huazhong University of Science and Technology
Priority date: 2015-07-31
Filing date: 2015-07-31
Publication date: 2018-01-09
Anticipated expiration: 2035-07-31
Also published as: CN105095777A

Abstract

本发明公开了一种云环境下的多模式安全访问控制方法，针对云环境下不同域内数据访问特点，选择最优的访问控制方法。通过定义一种访问策略描述语言，统一约束访问策略的制定和使用规则，使得IBAC、ABAC和DABAC协同工作，实现云环境下的数据安全保障。在个人域内使用IBAC实现细粒度的访问控制，在群组域内使用ABAC实现高效可扩展的访问控制，并在现有属性访问控制基础上，引入动态属性的概念，采用多叉树结构表达访问策略，设计能够支持动态授权的动态属性访问控制策略，以满足公共域访问控制的自适应需求。

Description

一种云环境下的多模式访问控制策略制定和执行方法

技术领域

本发明属于计算机存储技术领域，主要涉及一种云环境下的多模式访问控制策略制定和执行方法。

背景技术

与传统的存储环境相比，云存储环境具有多态性、复杂性和动态性等特点。多态性主要表现在用户群体分散广、背景层次差别大、相互之间黏度低及其需求多元化和多样性等方面；复杂性主要表现在用户在不同的场景下具有不同的特征信息，且用户的特征信息往往是不可预测的，因此在不同的场景下用户的权限也应不尽相同；动态性则主要表现在用户的特征信息通常是有时效性的，在不同的时间段内可能会出现完全不同的特征信息，此外为适应云环境的复杂多变性，数据的访问策略也应不定期的进行更新。因此，日趋多样性和多元化的云服务必将给云中数据安全带来新的挑战。

面对云环境下海量用户的情形，无论从用户权限设定的简洁性还是从制定访问控制列表或访问矩阵的复杂度而言，基于身份的访问控制都将无法适应；广泛应用于传统领域的基于角色访问控制，角色的制定困难、适应性和扩展性差等问题，使其无法适应云环境开放的特点；目前针对云环境下访问控制，学术界公认基于属性的访问控制将是最佳的解决方案之一，而传统的基于属性的访问控制虽然可以很好的实现云环境下高效、可扩展的访问控制需求，但无法适用于用户权限频繁变更或属性值变动频繁的情况。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种云环境下的多模式访问控制策略制定和执行方法，其目的在于，通过三种不同访问控制方法的协同工作，实现云环境下数据的安全访问控制机制，从而解决现有方法中存在的无法适用于用户权限频繁变更或属性值变动频繁的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种云环境下的多模式访问控制策略制定方法，包括以下步骤：

(1)客户端根据待上传的数据对象选择需要制定的访问控制策略类型，如果是IBAC，则进入步骤(2)，如果是ABAC，则进入步骤(3)，如果是DABAC，则进入步骤(5)；

(2)客户端将可以访问该数据对象的用户纳入白名单，将不能访问该数据对象的用户纳入黑名单，然后转步骤(7)；

(3)客户端建立多个静态属性二元组S_staticattr＝{attr_name:attr_value}，其中attr_name表示属性名称，attr_value表示属性值；

(4)客户端将建立的多个静态属性二元组进行逻辑组合，以生成访问控制策略，然后转步骤(7)。

(5)客户端建立多个动态属性二元组S_{dynamic attr}＝{attr_name：(attr_value1，attr_value2...)，attr_weight}，其中attr_name表示属性名称，attr_value表示属性值，attr_weight表示属性权重；

(6)客户端将建立的多个动态属性二元组进行组合，以生成访问控制策略；

(7)将策略封装为xml格式文本，过程结束。

优选地，步骤(6)中动态属性二元组的组合包括逻辑组合、以及动态属性二元组集合。

按照本发明的另一方面，提供了一种云环境下的多模式访问控制策略执行方法，包括以下步骤：

(1)接收来自用户的访问请求，并查找与该访问请求的对象所对应的访问控制策略，如果是IBAC，则转入步骤(2)，如果是ABAC，则转入步骤(4)，如果是DABAC，则转入步骤(5)；

(2)判断用户是否存在于该访问控制策略的黑名单中，如果是则表示该用户没有访问权限，过程结束，否则转入步骤(3)；

(3)判断用户是否存在于该访问控制策略的白名单中，如果是则转入步骤(7)，否则过程结束；

(4)获取ABAC访问控制策略，并根据二叉树生成算法将该策略转化为访问控制二叉树，由此二叉树判断用户的访问权限，若合法则转步骤(7)，否则过程结束；

(5)获取DABAC访问控制策略，并根据多叉树生成算法将该策略转化为多叉树，并根据该多叉树判断用户的访问权限，若合法则转步骤(6)，否则不执行跳转；

(6)向用户返回TAG标签，用于对用户的动态属性值进行反馈修正(该步骤可选，并非所有动态属性都需要反馈机制)；

(7)对用户访问请求进行响应，过程结束。

优选地，根据二叉树判断用户的访问权限包括：

4-1)由二叉树生成算法获取访问控制二叉树的根节点；

4-2)判断根节点是否有左右子树，若没有左右子树，则跳转至步骤4-7)，否则不跳转；

4-3)获取根节点的逻辑词，按照AND、OR、NOT分别采取不同的处理方法，并获取其左右子树，其中若其左子树是叶子节点，则跳转至步骤4-7)，否则不跳转，若其右子树是叶子节点，则跳转至步骤4-7)，否则跳转至步骤4-5)。

4-4)以左子树的根节点作为新的根节点，然后返回步骤4-2)；

4-5)以右子树的根节点作为新的根节点，然后返回步骤4-2)；

4-6)返回到整个访问控制二叉树的根节点，并判断是否有匹配成功信息，如果有则跳转至步骤4-8)，否则表示匹配失败，过程结束；

4-7)对叶子节点进行处理，处理规则如下：若叶子节点所拥有的静态属性在用户属性集内，且用户属性值满足叶子节点的表达式要求，则表示该节点匹配成功，返回匹配成功信息，否则返回匹配失败信息；

4-8)用户属性满足该访问控制要求，权限判断过程结束。

优选地，步骤(5)中在进行权限判断时，遇到in关键词应该按照如下规则对in关键词进行处理：

1)将in表达式分解为：权重表达式+子限制条件

2)当遇到根节点不是逻辑连接词，而是权重表达式时，遍历所有子限制条件项，判断用户动态属性集是否满足子限制条件规则要求，并计算权重值；

3)比较计算的权重值是否满足权重表达式，若满足则表示该节点匹配成功，否则匹配失败。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

(1)本发明适用于用户权限频繁变更或属性值变动频繁的情况：策略制定部分，由于采用了步骤(2)、步骤(3)和步骤(5)，使用户可以根据自己的需要选择相应的访问控制方案，可以实现细粒度以用户为单位的身份访问控制、在大用户基数下实现快速便捷的属性访问控制和实现自适应的动态属性访问控制，并且满足了云环境下的多样化需求。

(2)本发明简化了不同场景下访问策略的制定和权限判断：本发明中的访问策略描述语言采用标签式策略描述，在策略制定部分，由于采用了步骤(4)和步骤(6)，使得ABAC中逻辑表达的访问策略更加清晰和便于解析，结合对应的权限判断算法，相较于传统的XACML而言，简化了访问策略的制定和权限判断的复杂度；

(3)本发明在现有属性访问控制基础上，引入动态属性的概念，通过用户的访问行为动态修正用户的属性集合，相较于传统的静态属性访问控制而言，一方面扩充了属性的应用范畴，将不可量化和瞬时动态的属性纳入访问策略的条件判断之中，增强了访问策略的自适应性和扩展性；另一方面在策略执行部分，由于步骤(6)通过动态修正用户的属性集合，可以为用户提供个性化的服务需求。

附图说明

图1是本发明涉及的多模式安全访问控制模型；

图2是本发明涉及的访问策略制定流程图；

图3是本发明涉及的权限判断流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

以下首先对本发明的相关技术术语进行解释和说明：

域(Area)：又称空间。域是指系统中存储数据区域的逻辑划分。域可分为个人域(Secret Area，简称SA)、群组域(Group Area，简称GA)和公共域(public Area，简称PA)。

个人域(SA)：又指用户私人空间，用于存放用户个人数据的存储区域，通常一个用户(User)对应一个SA；

群组域(GA)：又指组空间，用于存放组内数据共享的存储区域。通常一个组(Group)对应一个GA；

公共域(PA)：又指公共空间，用于存放面向所有用户数据共享的存储区域。

属性(Attribute，简称attr)：属性是用户的特征描述，一般是由属性名和属性值构成的二元组来描述。属性又分为静态属性和动态属性。

静态属性(Static Attr)：静态属性是指在一定时间范围内属性值相对固定或较少变动的一类属性。如，性别一般是固定不变的、职业是相对稳定的，较少变动的如住址，这些都可以划分为静态属性的范畴。静态属性元组由[静态属性名：静态属性值]构成，描述如下：

S_staticattr＝{attr_name:attr_value}

动态属性(Dynamic Attr)：动态属性是指在一定时间范围内属性值变动频繁或为非量化的一类属性。如，技能熟练度等非量化属性、变动频繁的活跃度、用户的地理位置信息等，这些可以划分为动态属性。动态属性较之于静态属性也有一个很大的不同，就是用户一开始可能不具有某个系统所规定的属性，或者其属性值不满足系统要求，但根据用户一系列的操作行为，进行分析后赋予用户该属性，或者对该用户的属性值进行反馈修正，使其属性值满足要求，这种“从无到有”、“从不满足到满足”的过程很好地体现了动态属性的“动态”性。例如对于用户喜好这一属性，经过用户的一些行为分析得出用户很喜欢跳舞，则可以由系统动态赋予一个爱好为跳舞的属性给用户，而在一开始用户是不具有该属性的。动态属性元组由[动态属性名：动态属性值，动态属性所占权重]构成，描述如下：

S_{dynamic attr}＝{attr_name:(attr_value1,attr_value2...)，attr_weight}

访问策略(Policy)：访问策略是指访问域的安全要求，是访问控制的权限判断所依据的规则。

本发明主要基于可扩展的访问控制标识语言(eXtensible Access ControlMarkup Language，简称XACML)，设计了一种适用于多模式访问控制模型的统一访问控制策略描述语言(Universe Access Control Markup Language，UACML)，以实现IBAC、ABAC和DABAC三种访问策略的统一描述。表1给出了一个具体的访问策略示例：

表1访问策略描述示例

其中：

method标签：用于定义采用的访问策略，其值为IBAC、ABAC、DABAC；

white list标签：表示白名单，在白名单的用户可以直接访问数据，即便其不满足访问策略规则；

black list标签：表示黑名单，黑名单中的用户无权访问数据；

policy标签：具体的访问策略逻辑表达式。在DABAC中，policy中的item值通常为动态属性，进行逻辑表达式匹配时将不仅仅是简单的是或否进行决定。

rule标签：访问策略的逻辑子单元，其中item条目通常为属性应满足的条件表达式。

特别的，在DABAC中引入了动态属性权重因子weight，并且该weight是可选的，也就是说，并非所有场合都需要设置权重因子，有些场合只需要单纯的属性组合就可以了。之所以引入权重因子，是考虑类比RBAC中角色之间的层次关系，说明不同属性对应的权限重要程度并不相同，应用到动态属性中，说明某些属性的重要程度要高于其他属性，用户只要具备了关键属性即可，如果没有具备关键属性，则需要拥有更多的其他属性才能满足访问要求。举例说明如下：

一个公司要招聘一个程序员，该公司大部分项目都是用Java编写的，于是该公司比较注重Java编程基础，所以招聘程序员时比较看重Java的编程能力，但公司仍然为非Java程序员提供了应聘机会，要求非Java程序员至少需要掌握两门面向对象编程语言。

于是，该公司指定的招聘要求可以形式化描述如下：

S＝{[Java,weight1＝2],[C++,weight2＝1],[C#,weight3＝1],[Eiffel,weight4＝1],……},

Policy＝(WEIGHT>＝2in S)

其中，S为规定的属性集合，并定义了权重值，Java语言权重最高，为2，其他面向对象语言权重为1，Policy为公司制定的招聘要求，各个语言所对应的weight可以相加求和。对于S中所规定的属性，应聘者属性weight之和WEIGHT至少不小于2，即可以只会Java语言，也可以会任意两门非Java语言，这都是满足招聘要求的。

以下结合附图对本发明进一步说明：

本发明的基本思路在于，将云环境划分为三个逻辑区域，并根据不同域内数据的特点，采用不同的访问控制方法，如图1所示。其中在面向个人用户的个人域中，采用传统的基于身份的访问控制策略(Identity based Access Control，简称IBAC)；面向群体用户的群组域中，采用基于属性的访问控制策略(Attribute based Access Control，简称ABAC)；面向用户不确定的公共域中，则采用基于动态属性的访问控制策略(Dynamic Attributebased Access Control，简称DABAC)。从图1中也可以看出，该过程主要包括访问策略制定和权限判断两个部分。

如图2所示，在本发明中，云环境下的多模式访问控制策略制定方法包括以下步骤：

(2)客户端将可以访问该数据对象的用户纳入白名单(White list)，将不能访问该数据对象的用户纳入黑名单(Black list)，然后转步骤(7)；

(3)客户端建立多个静态属性二元组S_staticattr＝{attr_name:attr_value}，其中attr_name表示属性名称，attr_value表示属性值；如表1所示，其中attr_name是“job”、“skill”等，attr_value是“client developer”、“junior”等；

(4)客户端将建立的多个静态属性二元组进行逻辑组合，以生成访问控制策略Policy，然后转步骤(7)。例如如果建立的属性二元组如下：

item1:{attr:prog language,value:java,weight:2}

item2:{attr:prog language,value:max3d,weight:1}

item3:{attr:job,value:developer,weight:1}

item4:{attr:skill,value:junior,weight:1}

item5:{attr:work years,value:＞3,weight:2}

item6:{attr:os,value:linux,weight:1}

假设经过逻辑组合后的访问控制策略是：

Policy＝((developer and java)or(designer and max3d))and work_year＞2

其表示客户端所制定的策略要求是要么是java工程师，要么是max3d设计人员，并且要求工作年龄大于两年。

(5)与ABAC类似，DABAC中客户端仍然需要先建立多个动态属性二元组S_{dynamic attr}＝{attr_name：(attr_value1，attr_value2...)，attr_weight}，其中attr_name表示属性名称，attr_value表示属性值，attr_weight表示属性权重。如表1所示，属性“job”所对应的属性权重为1，属性“work_year”所对应的属性权重为2；

(6)客户端将建立的多个动态属性二元组进行组合，以生成访问控制策略Policy，与ABAC所不同的是，DABAC中动态属性二元组的组合不仅仅是and、or、not等逻辑组合，还有可能是权重值weight的要求，及由此引入的in关键字，通过in关键字之后的动态属性二元组集合，来计算用户属性所具有的权重值。

例如如果建立的动态属性二元组如下：

item1:{attr:prog language,value:java,weight:2}

item2:{attr:prog language,value:max3d,weight:1}

item3:{attr:job,value:developer,weight:1}

item4:{attr:skill,value:junior,weight:1}

item5:{attr:work years,value:＞3,weight:2}

item6:{attr:os,value:linux,weight:1}

假设经过组合后的访问策略为：

Policy＝weight＞＝2in(item2,item3,item5)

其表示客户端所制定的策略要求是要么工作年龄大于3年，要么至少具有max3d、developer、work_year>3中三种属性的任意两种。

(7)将策略封装为表1所示的xml格式文本，策略制定结束。

如图3所示，在本发明中，云环境下的多模式访问控制策略执行方法包括以下步骤：

具体而言，在基于属性的访问控制中，一般采用二叉树结构，叶子节点代表各个独立的属性，中间节点代表逻辑连接词：与(and)、或(or)、非(not)，对于中间节点的处理如下：

1)AND节点：仅当其左右孩子节点同时匹配成功时，该节点的匹配才是成功，返回匹配成功信息，否则返回匹配失败信息；

2)OR节点：当其左右孩子节点中任一个匹配成功，即至少有一个孩子节点返回匹配成功时，该节点的匹配才是成功，返回匹配成功信息，否则返回匹配失败信息；

3)NOT节点：当其孩子节点匹配失败，即孩子节点返回匹配失败时，该节点的匹配才是成功，返回匹配成功信息，否则返回匹配失败信息；

根据二叉树判断用户的访问权限包括：

4-1)由二叉树生成算法获取访问控制二叉树的根节点；

4-3)获取根节点的逻辑词，按照AND、OR、NOT分别采取不同的处理方法，并获取其左右子树，其中若其左子树是叶子节点，则跳转至步骤4-7)，否则不跳转，若其右子树是叶子节点，则跳转至步骤4-7)，否则跳转至步骤4-5)；

4-4)以左子树的根节点作为新的根节点，然后返回步骤4-2)；

4-5)以右子树的根节点作为新的根节点，然后返回步骤4-2)；

4-8)用户属性满足该访问控制要求，权限判断过程结束。

多叉树生成算法同二叉树生成算法的区别在于，由于在访问控制策略制定过程中，可能存在对属性权重值之和weight的要求而引入了in关键词，因此在进行权限判断的时候，遇到in关键词应该按照如下规则对in关键词进行处理，处理规则如下：

1)将in表达式分解为：权重表达式(weight)+子限制条件(Policy中item标签项)，因此在创建访问控制多叉树的时候，该表达式的根节点为权重表达式，子节点为各子限制条件；

如：

2)与步骤4-3有所不同的是，当遇到根节点不是逻辑连接词AND、OR、NOT，而是权重表达式的时候，应进行如下处理：遍历所有子限制条件项，判断用户动态属性集是否满足子限制条件规则要求，并计算权重值weight；

3)比较计算的weight值是否满足权重表达式，若满足则表示该节点匹配成功，否则匹配失败；

(7)对用户访问请求进行响应，过程结束。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

1.一种云环境下的多模式访问控制策略制定方法，其特征在于，包括以下步骤：

(1)客户端根据待上传的数据对象选择需要制定的访问控制策略类型，若待上传的数据对象属于面向个人用户的个人域，则采用IBAC，进入步骤(2)，若待上传的数据对象属于面向群体用户的群组域，则采用ABAC，进入步骤(3)，若待上传的数据对象属于面向用户不确定的公共域，则采用DABAC，进入步骤(5)；

(4)客户端将建立的多个静态属性二元组进行逻辑组合，以生成访问控制策略，然后转步骤(7)；

(5)客户端建立多个动态属性二元组S_dynamicattr＝{attr_name:(attr_value1,attr_value2...)，attr_weight}，其中attr_name表示属性名称，attr_value表示属性值，attr_weight表示属性权重；

(6)客户端将建立的多个动态属性二元组进行组合，以生成访问控制策略，其中，在DABAC中动态属性二元组的组合中包含属性权重值的要求时，引入in表达式，通过in关键词之后的动态属性二元组集合，计算用户属性所具有的权重值，in关键词之前为权重表达式，in关键词之后为子限制条件；

(7)将策略封装为xml格式文本，过程结束。

2.根据权利要求1所述的多模式访问控制策略制定方法，其特征在于，步骤(6)中动态属性二元组的组合包括逻辑组合、以及动态属性二元组集合。

3.一种云环境下的多模式访问控制策略执行方法，其特征在于，包括以下步骤：

(1)接收来自用户的访问请求，并查找与该访问请求的对象所对应的访问控制策略，若该访问请求的对象属于面向个人用户的个人域，则采用IBAC，转入步骤(2)，若该访问请求的对象属于面向群体用户的群组域，则采用ABAC，转入步骤(4)，若该访问请求的对象属于面向用户不确定的公共域，则采用DABAC，转入步骤(5)；

(6)向用户返回TAG标签，用于对用户的动态属性值进行反馈修正；

(7)对用户访问请求进行响应，过程结束；

其中，步骤(5)中在进行权限判断时，遇到in关键词应该按照如下规则对in关键词进行处理：

1)将in表达式分解为：权重表达式+子限制条件；