CN111475831A - 一种基于拟态防御的数据访问控制方法及系统 - Google Patents

Abstract

本发明公开了一种基于拟态防御的数据访问控制方法及系统，应用于网络安全技术领域；所述方法中包括用户向数据访问控制系统发起请求，视图层处理请求，控制层调用控制层异构执行体，拟态裁决一层对访问权限处理结果进行裁决，数据访问层调用数据访问层异构执行体，拟态裁决二层对数据访问处理结果进行裁决，并发送至用户。本发明对访问控制策略进行拟态化，可以有效的防止黑客针对一种访问控制策略进行攻击，同时，对数据访问层也进行拟态化，可以有效地防止黑客针对一种数据库进行攻击，从而破坏系统的稳定性，进一步可以提高系统的健壮性和安全性。

Description

一种基于拟态防御的数据访问控制方法及系统

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于拟态防御的数据访问控制方法及系统。

背景技术

拟态防御技术的基本原理为：当有消息输入时，通过输入代理传输到异构池中每个异构执行体，所有异构执行体处理消息后将结果传输至多模裁决模块，若结果一致则输出，若不一致，可以识别某个执行体输出消息异常，进而实现系统的安全防御。

访问控制技术一直以来都是用来保护数据安全的重要手段，主要通过预先设定的访问控制策略，从而保证不同权限的用户只能访问对应权限的信息，防止信息的非法授权访问。最初的访问控制技术大体可分为自主访问控制技术(DAC)和强制访问控制技术(MAC)，但随着科技和互联网技术的发展，传统的访问控制模型已经不再适用，继而衍生出了基于角色的访问控制技术(RBAC)以及基于属性的访问控制技术(ABAC)来满足人们日益增长的需求。但现有的系统安全性仍得不到较大的提高。

发明内容

技术目的：针对现有技术中数据访问控制系统中安全性无法较大地提高的缺陷，本发明公开了一种基于拟态防御的数据访问控制方法及系统，对访问控制策略进行拟态化，可以有效的防止黑客针对一种访问控制策略进行攻击，同时，对数据访问层也进行拟态化，可以有效地防止黑客针对一种数据库进行攻击，从而破坏系统的稳定性，进一步可以提高系统的健壮性和安全性。

技术方案：为实现上述技术目的，本发明采用以下技术方案。

一种基于拟态防御的数据访问控制方法，包括以下步骤：

步骤一、用户向数据访问控制系统发起请求：用户生成自身属性集合，属性集合包括主体属性、客体属性、权限属性和环境属性；用户根据自身属性集合生成请求，并发送至数据访问控制系统；

步骤二、数据访问控制系统中的视图层处理请求：数据访问控制系统中的视图层首先接收用户发送的请求，并将请求传入控制层；

步骤三、控制层调用控制层异构执行体：控制层根据不同的访问控制模型构建相应控制层异构执行体，控制层接收视图层发送的请求后，从请求中取出访问权限请求，控制层从验证层处获取控制层随机数，控制层将访问权限请求及控制层随机数发送至所有控制层异构执行体，控制层异构执行体根据相应访问控制策略对访问权限请求进行访问权限判定处理，处理结束后，控制层异构执行体将访问权限处理结果和接收到的控制层随机数组合为控制层异构执行体消息，控制层将所有的控制层异构执行体消息和请求发送至拟态裁决一层；

步骤四、拟态裁决一层对访问权限处理结果进行裁决：拟态裁决一层接收所有的控制层异构执行体消息，获取相应的控制层随机数，拟态裁决一层根据控制层随机数判断和获取有效的访问权限处理结果；拟态裁决一层将所有有效的访问权限处理结果发送至拟态裁决一层裁决器，经一致性裁决后输出第一裁决结果，若第一裁决结果为不具备访问权限，则向用户发送拒绝访问的响应结果；若第一裁决结果为具备访问权限，则向数据访问层发送请求；

步骤五、数据访问层调用数据访问层异构执行体：数据访问层根据不同的数据库构建数据访问层异构执行体，数据访问层接收请求后，从请求中取出数据访问请求，数据访问层从验证层处获取数据访问层随机数，数据访问层将数据访问请求及数据访问层随机数发送至数据访问层异构执行体，数据访问层异构执行体对数据访问请求进行数据访问判定处理，处理结束后，数据访问层异构执行体将数据访问处理结果和接收到的数据访问层随机数组合为数据访问层异构执行体消息，数据访问层将所有的数据访问层异构执行体消息发送至拟态裁决二层；

步骤六、拟态裁决二层对数据访问处理结果进行裁决：拟态裁决二层接收所有的数据访问层异构执行体消息，获取相应的数据访问层随机数；拟态裁决二层根据数据访问层随机数判断和获取有效的数据访问处理结果；拟态裁决二层将所有有效的数据访问处理结果发送至拟态裁决二层裁决器，经一致性裁决后输出第二裁决结果，拟态裁决二层将第二裁决结果发送至用户。

优选地，所述步骤三中控制层根据不同访问控制模型构建相应控制层异构执行体，其具体包括：控制层根据基于角色的访问控制模型构建控制层异构执行体一，控制层根据基于属性的访问控制模型构建控制层异构执行体二；所述控制层异构执行体一和控制层异构执行体二分别对访问权限请求进行访问权限判断处理，并输出相应的访问权限处理结果。

优选地，所述控制层异构执行体一对访问权限请求进行访问权限判断处理，并输出相应的访问权限处理结果，其具体包括，控制层异构执行体一根据基于角色的访问控制策略对访问权限请求进行访问权限判定处理：

创建客体资源对象访问控制列表，所述客体资源对象访问控制列表包括角色列表和属性约束策略列表，角色列表包括所有客体资源对象的角色id及其相对应的角色属性约束策略集，属性约束策略列表包括权限属性和环境属性；

接收访问权限请求及控制层随机数；

提取访问权限请求中用户主体属性，根据用户主体属性与相应的客体资源对象的角色id建立会话关系；

在会话关系中根据客体资源对象访问控制列表和属性策略约束列表对访问权限请求进行访问权限判断处理，并输出访问权限处理结果。

优选地，所述控制层异构执行体二对访问权限请求进行访问权限判断处理，并输出相应的访问权限处理结果，其具体过程包括，控制层异构执行体二根据基于属性的访问控制策略对访问权限请求进行访问权限判定处理：

创建属性集合与属性-权限的关联管理关系；

接收访问权限请求及控制层随机数；

根据访问权限请求中的主体属性、客体属性和环境属性构建属性结果集，利用所述属性结果集构建新访问请求；根据新访问请求查找策略文件，将新访问请求与策略文件中的属性信息向比对，并输出访问权限处理结果。

优选地，所述步骤三中控制层从验证层处获取控制层随机数，及步骤五中数据访问层从验证层处获取数据访问层随机数，均为请求方向验证层处获取请求方随机数，请求方向验证层处获取请求方随机数的具体过程为：

请求方向验证层发出随机数生成请求；

验证层接收请求后，生成请求方随机数，并将请求方随机数保存于验证层中，验证层向请求方发送请求方随机数；

请求方获取验证层发送的请求方随机数后，用做请求方异构执行体处理结果的验证标识。

优选地，所述步骤四中拟态裁决一层根据控制层随机数判断和获取有效的访问权限处理结果，及步骤六中拟态裁决二层根据数据访问层随机数判断和获取有效的数据访问处理结果，均为拟态裁决层根据随机数判断和获取有效的处理结果，裁决层根据随机数判断和获取有效的处理结果的具体过程为：

拟态裁决层向验证层请求获取验证层自身保存的随机数；

验证层向拟态裁决层发送自身保存的随机数后，将随机数失效；

拟态裁决层将相应异构执行体消息中的随机数和验证层发送的随机数进行比对，比对成功，则该随机数对应的处理结果有效，拟态裁决层汇总所有有效的处理结果。

优选地，所述步骤一中属性集合包括主体属性、客体属性、权限属性和环境属性；

其中主体属性为用户的唯一身份标识，即唯一ID；

客体属性为资源的属性，用来代表资源的类型；

权限属性为修改、查询、删除、增加这四种权限中的任意一种权限；

环境属性为不同的时间或不同的地点。

优选地，将所述步骤五中数据访问层异构执行体个数设为一，即去除数据访问层的异构冗余。

一种基于拟态防御的数据访问控制系统，用于实现以上任一所述的一种基于拟态防御的数据访问控制方法，包括：视图层、控制层、拟态裁决一层、数据访问层、拟态裁决二层和验证层；所述视图层、控制层、拟态裁决一层、数据访问层和拟态裁决二层依次连接，验证层与控制层、拟态裁决一层、数据访问层和拟态裁决二层连接。

优选地，所述验证层包括随机数生成模块和随机数验证模块；

所述随机数生成模块与控制层和数据访问层连接，用于根据随机数生成请求生成相应的随机数；随机数生成模块将生成的随机数存储于随机数验证模块；

所述随机数验证模块与拟态裁决一层和拟态裁决二层连接，用于向拟态裁决一层及向拟态裁决二层发送相应随机数，随机数验证模块中存储的随机数只在一次访问中生效，一旦被使用即从随机数验证模块中删除无效。

有益效果：

1、本发明将拟态防御的思想融入到数据访问控制策略中，对访问控制策略进行拟态化，可以有效的防止黑客针对一种访问控制策略进行攻击，同时，对数据访问层也进行拟态化，可以有效地防止黑客针对一种数据库进行攻击，从而破坏系统的稳定性，进一步可以提高系统的健壮性和安全性；

2、本发明中采用单独的验证层，验证层中设有随机数生成模块以及随机数验证模块，并且每一个随机数只提供一次有效验证的机会，用完即失效，既可以防止黑客进行重放攻击，又可以将随机数用做各个异构执行体的统一时间戳，进行裁决判断；

3、本发明中采用二层裁决机制，即在最后数据访问层得到结果进行统一裁决之前，在控制层得到结果后先进行一次裁决，大大提升系统的性能，不让无效的请求再去访问数据访问层，同时在数据访问层得到结果后在进行一次裁决，这样使得数据访问层的安全性也可以得到大幅度提高；

4、本发明中，系统的伸缩性较强，对于硬件性能不高的设备，可以去除数据访问层的异构冗余，即只保留一个异构执行体，即只对访问控制策略进行拟态化，也可以到达实现访问控制拟态化的效果，提高系统的稳定性和安全性。

附图说明

图1为拟态防御系统典型的动态异构冗余结构图；

图2为本发明的系统结构示意图；

图3为本发明的总方法流程图；

图4为不同RBAC模型之间的关系示意图；

图5为图4中RBAC子模型示意图；

图6为图5中采用的以角色为中心的RBAC子模型示意图；

图7为采用ABAC模型示意图。

具体实施方式

以下结合附图对本方案的一种基于拟态防御的数据访问控制方法及系统做进一步的说明和解释。

附图1为拟态防御系统典型的动态异构冗余结构图，如附图1所示，拟态防御的基本原理为：当有消息输入时，通过输入代理传输到异构池中的每个异构执行体，所有异构执行体处理消息后将结果传输至多模裁决模块，若异构执行体处理结果一致则输出，若不一致，可以识别某个异构执行体输出消息异常，进而实现系统的安全防御。

如附图2所示，一种基于拟态防御的数据访问控制系统，包括：视图层、控制层、拟态裁决一层、数据访问层、拟态裁决二层和验证层；视图层、控制层、拟态裁决一层、数据访问层和拟态裁决二层依次连接，验证层与控制层、拟态裁决一层、数据访问层和拟态裁决二层连接；视图层接收用户发送的请求，并向控制层传送请求；控制层向拟态裁决一层发送请求和控制层异构执行体消息，用于调度控制层异构执行体对请求进行访问权限判定处理；拟态裁决一层向数据访问层发送请求，或向用户发送拒绝访问的响应结果，用于对所有控制层异构执行体消息中的访问权限处理结果进行一致性裁决；

数据访问层向拟态裁决二层发送请求和数据访问层异构执行体消息，用于调度数据访问层异构执行体对请求进行数据访问判定处理；拟态裁决二层向用户发送第二裁决结果，用于对所有数据访问层异构执行体消息中的数据访问处理结果进行一致性裁决；验证层向控制层和拟态裁决一层发送控制层随机数，向数据访问层和拟态裁决二层发送数据访问层随机数。

其中，验证层包括随机数生成模块和随机数验证模块，随机数生成模块随机数生成模块与控制层和数据访问层连接，用于根据控制层随机数生成请求或数据访问层随机数生成请求生成相应的控制层随机数或数据访问层随机数，随机数生成模块将生成的控制层随机数或数据访问层随机数存储于随机数验证模块；

随机数验证模块与拟态裁决一层和拟态裁决二层连接，随机数验证模块根据获取请求向拟态裁决一层发送控制层随机数或向拟态裁决二层发送数据访问层随机数，随机数验证模块中存储的控制层随机数及数据访问层随机数只在一次访问中生效，一旦被使用即从随机数验证模块中删除无效。本发明中采用单独的验证层，验证层中设有随机数生成模块以及随机数验证模块，并且每一个随机数只提供一次有效验证的机会，用完即失效，既可以防止黑客进行重放攻击，又可以将随机数用做各个异构执行体的统一时间戳，进行裁决判断。

一种基于拟态防御的数据访问控制方法，包括以下步骤：

S1、用户向数据访问控制系统发起请求：用户生成自身属性集合，属性集合包括主体属性、客体属性、权限属性和环境属性；用户根据自身属性集合生成请求，并发送至数据访问控制系统；

S2、数据访问控制系统中的视图层处理请求：数据访问控制系统中的视图层首先接收用户发送的请求，并将请求传入控制层；视图层的作用是为给用户展示界面同时传送用户请求；

S3、控制层获取控制层随机数：控制层接收视图层发送的请求后，从请求中取出访问权限请求，并向验证层发出控制层随机数生成请求，验证层接收控制层随机数生成请求，生成控制层随机数，验证层自身保存控制层随机数，并向控制层发送控制层随机数，控制层获取验证层发送的控制层随机数，用于本次请求的验证标识；

S4、控制层调用控制层异构执行体：控制层根据不同的访问控制模型构建相应控制层异构执行体，控制层将访问权限请求及控制层随机数发送至所有控制层异构执行体，控制层异构执行体根据相应访问控制策略对访问权限请求进行访问权限判定处理，处理结束后，控制层异构执行体将访问权限处理结果和接收到的控制层随机数组合为控制层异构执行体消息，控制层将所有的控制层异构执行体消息和请求发送至拟态裁决一层；

S5、拟态裁决一层对访问权限处理结果进行裁决：拟态裁决一层接收所有的控制层异构执行体消息，获取相应的控制层随机数；拟态裁决一层向验证层请求获取验证层自身保存的控制层随机数，验证层向拟态裁决一层发送自身保存的控制层随机数后，将控制层随机数失效；拟态裁决一层并将控制层异构执行体消息中的控制层随机数和验证层发送的控制层随机数进行比对，比对失败，则该控制层随机数对应的访问权限处理结果无效，直接拒绝本次访问请求；比对成功，则该控制层随机数对应的访问权限处理结果有效，拟态裁决一层将有效的访问权限处理结果发送至拟态裁决一层裁决器，经一致性裁决后输出第一裁决结果，若第一裁决结果为不具备访问权限，则向用户发送拒绝访问的响应结果；若第一裁决结果为具备访问权限，则向数据访问层发送请求；

S6、数据访问层获取数据访问层随机数：数据访问层接收请求后，从请求中取出数据访问请求，并向验证层发出数据访问层随机数生成请求，验证层接收数据访问层随机数生成请求，生成数据访问层随机数，验证层自身保存数据访问层随机数，并向数据访问层发送数据访问层随机数，数据访问层获取验证层发送的数据访问层随机数，用于本次请求的验证标识；

S7、数据访问层调用数据访问层异构执行体：数据访问层根据不同的数据库构建数据访问层异构执行体，进一步加强异构池的冗余度，数据访问层将数据访问请求及数据访问层随机数发送至数据访问层异构执行体，数据访问层异构执行体对数据访问请求进行数据访问判定处理，处理结束后，数据访问层异构执行体将数据访问处理结果和接收到的数据访问层随机数组合为数据访问层异构执行体消息，数据访问层将所有的数据访问层异构执行体消息发送至拟态裁决二层；

S8、拟态裁决二层对数据访问处理结果进行裁决：拟态裁决二层接收所有的数据访问层异构执行体消息，获取相应的数据访问层随机数；拟态裁决二层向验证层请求获取验证层自身保存的数据访问层随机数，验证层向拟态裁决二层发送自身保存的数据访问层随机数后，将数据访问层随机数失效；拟态裁决二层将数据访问层异构执行体消息中的数据访问层随机数与验证层发送的数据访问层随机数进行比对，比对失败，则该数据访问层随机数对应的数据访问处理结果无效，直接拒绝本次访问请求；比对成功，则该数据访问层随机数对应的数据访问处理结果有效，拟态裁决二层将有效的数据访问处理结果发送至拟态裁决二层裁决器，经一致性裁决后输出第二裁决结果，拟态裁决二层将第二裁决结果发送至用户。

本发明中采用二层裁决机制，即在最后数据访问层得到结果进行统一裁决之前，在控制层得到结果后先进行一次裁决，大大提升系统的性能，不让无效的请求再去访问数据访问层，同时在数据访问层得到结果后在进行一次裁决，这样使得数据访问层的安全性也可以得到大幅度提高。

在S1中，用户的自身属性集合是一个四元组合（S,O,P,E），即包括主体属性S、客体属性O、权限属性P和环境属性E。

主体属性S在本方案中即为用户的唯一身份标识，即唯一ID，该ID既可以用于基于角色的访问控制策略中来唯一的确定用户而建立起用户与角色之间的对应关系，又可以用作基于属性的访问控制策略中的主体属性。

客体属性O即为资源的属性，用来代表资源的类型，如音频、视频、文件等。

权限属性P即为用户可以修改、查询、删除、增加中的任意一种权限，对主体属性S、客体属性O、权限属性P和环境属性E进行相应操作。

环境属性即为不同的时间或不同的地点，地点为当前用户所处的实际位置，如在家或公司等。

在S4中控制层根据不同的访问控制模型构建相应控制层异构执行体，控制层异构执行体构建过程及其处理过程如下：

（一）根据基于角色的访问控制模型构建控制层异构执行体一

基于角色的访问控制模型RBAC跟传统的访问控制模型DAC和MAC相比，增加了角色的概念作为用户和权限之间的桥梁，在RBAC中根据系统需求设置合适的权限集合、角色集合以及用户集合，同时需要设置用户和角色、角色和权限之间的分配关系，最终，一个用户所能得到的权限是其角色集合所拥有的权限之和。

RBAC是不断扩展并完善出来的一系列模型，包含RBAC0、RBAC1、RBAC2、RBAC3四个子模型，这四个模型代表着RBAC模型的进化过程，各自之间功能各不相同又紧密联系，各个模型之间的关系如图4所示。

由于在构建基于角色的访问模型时，需要引入属性条件作为约束，所以本方案采用RBAC2子模型，如附图5所示，作为RBAC访问控制策略，在RBAC模型的基础上进行扩展，将原有的用户集扩展成用户属性策略集，将原有的角色集扩展成角色属性策略集，将原有的资源对象集扩展成对象属性策略集，约束为对象属性策略约束，模型具体访问访问模式图如图6所示。

在本模型中，输入的主体属性即可当做用户属性与角色属性形成映射关系，需要对每一个客体资源对象设置不同的属性策略，每个客体资源对象维护一个客体资源对象访问控制列表，该列表中的内容包括角色列表和属性约束策略列表。在本模型中，角色列表包括所有客体资源对象的角色id及其相对应的角色属性约束策略集，属性约束策略列表由权限属性和环境属性组成。控制层的访问控制策略为基于角色的访问控制策略，基于角色的访问控制策略以主体属性即用户角色为中心，其余属性作为约束来进行权限判定。

下面给出创建客体资源对象访问控制列表的过程：

1）访问控制列表初始为空；

2）输入可以访问客体资源对象的角色id，此角色id为根据用户主体属性的用户唯一ID得到的相应角色id；输入各个客体资源对象的属性约束策略列表；

3）输入所有角色属性约束策略集，即用户主体属性和角色之间的映射关系；

4）将角色id以及相对应的角色属性约束策略集输入到客体资源对象访问控制列表中的角色列表，构建起对应关系。

控制层异构执行体一根据基于角色的访问控制策略对访问权限请求进行访问权限判定处理的具体过程为：

创建客体资源对象访问控制列表；

收到控制层发送的访问权限请求及控制层随机数；

提取访问权限请求中的主体属性信息，即用户的唯一ID，通过ID与对应的角色建立会话关系；

控制层异构执行体一内的决策点根据客体资源对象访问控制列表对权限进行判断，得出访问权限处理结果，结果内容如：允许、拒绝、不确定、不适用等。用户访问客体资源对象时，建立会话，首先审查用户的角色是否存在于客体资源对象访问控制列表中，如果存在，再去进一步对应的属性约束策略列表，两者都审查通过，访问权限处理结果才为通过，才可以访问对应客体资源对象。

（二）根据基于属性的访问控制模型构建控制层异构执行体二

基于属性的访问控制模型(ABAC)是一种逻辑性访问控制方法，当主体请求在客体上执行操作时，系统基于主体属性、客体属性、权限属性、环境属性及访问控制策略计算出决策结果，返回允许或者拒绝响应。属性是与实体相关联的一组特性，ABAC的特点就是基于属性授权，实现 ABAC 的核心机制是在请求发起后，主体属性、客体属性与环境属性作为输入，主体请求策略执行点( Policy Enforcement Point，PEP)获取规则，PEP 转发请求给策略判定点( Policy Decision Point，PDP)，PDP进行计算，最后确定是否有权进行请求，模型整体流程如图7所示。

根据基于属性的访问控制模型构建的控制层异构执行体二中包括：属性权威AA、策略执行点PEP、策略管理点PAP、策略判定点PDP、策略信息点PIP；控制层的访问控制策略为基于属性的访问控制策略，基于属性的访问控制策略将主体属性即用户角色作为一个固有属性加入其中来进行权限判定。

控制层异构执行体二根据基于属性的访问控制策略对请求进行访问权限判定处理可分为两个阶段进行，准备阶段和执行阶段。

准备阶段流程如下：

1）在属性权威AA中生成、存储、管理访问控制所需的属性集合与属性-权限的关联管理关系；

2）属性权威AA向策略管理点PAP提供属性集合；

3）策略管理点PAP根据属性集合及属性-权限关联管理对访问控制策略进行形式化描述。

执行阶段流程如下：

1）策略实施点PEP收到数据访问请求及数据访问层随机数，所述数据访问请求作为原始访问请求NAR；

2）策略实施点PEP向属性权威AA发送主体属性、客体属性以及相关环境属性，根据属性权威AA所返回的属性结果集构建新访问请求AAR；新访问请求AAR是在原始访问请求NAR的基础上构建的可扩展访问控制标记语言XACML格式请求；

3）将新访问请求AAR发送给策略决策点PDP，访问决策点PDP向策略管理点PAP发送访问策略查询，查找策略管理点PAP中的策略文件；访问决策点PDP同时从策略信息点PIP中获取策略文件所需的四种属性（S,O,P,E）的条目信息；

4）策略管理点PAP收到新访问请求AAR后，查询相关属性集及属性访问权限，向策略决策点PDP返回结果响应；

5）策略决策点PDP收到结果响应后向策略实施点PEP返回访问权限处理结果，结果内容如：允许、拒绝、不确定、不适用等。

只有控制层异构执行体一和控制层异构执行体二的访问权限处理结果均为“允许”时，拟态裁决一层的第一裁决结果才为具备访问权限。

本发明都将拟态防御的思想融入到数据访问控制策略中，对访问控制策略进行拟态化，可以有效的防止黑客针对一种访问控制策略进行攻击，同时，对数据访问层也进行拟态化，可以有效地防止黑客针对一种数据库进行攻击，从而破坏系统的稳定性，进一步可以提高系统的健壮性和安全性。

在S7中，不同类型的数据库包括但不限于MySQL、Oracle、SQL server，在这些数据库中所构建的表以及所存的数据皆相同，但由于数据库本身底层的构造不同，即数据访问层收到一个访问请求后，将请求分发至不同类型的数据库，经由数据库得出数据后进行拟态裁决，所以可以利用不同的数据库作为异构执行体。用户发送的请求是同时分发给不同数据库异构执行体的，即同时有多个数据访问层异构执行体在工作，拟态裁决二层针对的也是多个执行体输出的结果，如果黑客针对某一种特定数据库，例如MySQL数据库的漏洞进行攻击，那么此数据库的数据访问层异构执行体的输出可能就会跟其他数据访问层异构执行体的输出不一致，但此时进行拟态裁决二层的裁决判断，因为其他没有受到攻击的异构知形体输出的结果是一致的，那么此时就可以否定掉受攻击的数据访问层异构执行体输出的结果，从而提高整个系统的安全性，也可以进一步可以提高系统的健壮性和安全性。

当然，在S7中也可以将数据访问层异构执行体个数设为一，即将所有数据库构建一个数据访问层异构执行体，此情况下去除了数据访问层的异构冗余，此时的拟态裁决二层也可以省略不用，整个数据访问控制方法中即只对访问控制策略进行拟态化，也可以到达实现访问控制拟态化的效果，提高系统的稳定性和安全性。

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种基于拟态防御的数据访问控制方法，其特征在于，包括以下步骤：

步骤一、用户向数据访问控制系统发起请求：用户生成自身属性集合，属性集合包括主体属性、客体属性、权限属性和环境属性；用户根据自身属性集合生成访问权限请求和数据访问请求，将访问权限请求和数据访问请求组合为请求，并发送至数据访问控制系统；

步骤二、数据访问控制系统中的视图层处理请求：数据访问控制系统中的视图层首先接收用户发送的请求，并将请求传入控制层；

步骤三、控制层调用控制层异构执行体：控制层根据不同的访问控制模型构建相应控制层异构执行体，控制层接收视图层发送的请求后，从请求中取出访问权限请求，控制层从验证层处获取控制层随机数，控制层将访问权限请求及控制层随机数发送至所有控制层异构执行体，控制层异构执行体根据相应访问控制策略对访问权限请求进行访问权限判定处理，处理结束后，控制层异构执行体将访问权限处理结果和接收到的控制层随机数组合为控制层异构执行体消息，控制层将所有的控制层异构执行体消息和请求发送至拟态裁决一层；

步骤四、拟态裁决一层对访问权限处理结果进行裁决：拟态裁决一层接收所有的控制层异构执行体消息，获取相应的控制层随机数，拟态裁决一层根据控制层随机数判断和获取有效的访问权限处理结果；拟态裁决一层将所有有效的访问权限处理结果发送至拟态裁决一层裁决器，经一致性裁决后输出第一裁决结果，若第一裁决结果为不具备访问权限，则向用户发送拒绝访问的响应结果；若第一裁决结果为具备访问权限，则向数据访问层发送请求；

步骤五、数据访问层调用数据访问层异构执行体：数据访问层根据不同的数据库构建数据访问层异构执行体，数据访问层接收请求后，从请求中取出数据访问请求，数据访问层从验证层处获取数据访问层随机数，数据访问层将数据访问请求及数据访问层随机数发送至数据访问层异构执行体，数据访问层异构执行体对数据访问请求进行数据访问判定处理，处理结束后，数据访问层异构执行体将数据访问处理结果和接收到的数据访问层随机数组合为数据访问层异构执行体消息，数据访问层将所有的数据访问层异构执行体消息发送至拟态裁决二层；

步骤六、拟态裁决二层对数据访问处理结果进行裁决：拟态裁决二层接收所有的数据访问层异构执行体消息，获取相应的数据访问层随机数；拟态裁决二层根据数据访问层随机数判断和获取有效的数据访问处理结果；拟态裁决二层将所有有效的数据访问处理结果发送至拟态裁决二层裁决器，经一致性裁决后输出第二裁决结果，拟态裁决二层将第二裁决结果发送至用户。

2.根据权利要求1所述的一种基于拟态防御的数据访问控制方法，其特征在于，所述步骤三中控制层根据不同访问控制模型构建相应控制层异构执行体，其具体包括：控制层根据基于角色的访问控制模型构建控制层异构执行体一，控制层根据基于属性的访问控制模型构建控制层异构执行体二；所述控制层异构执行体一和控制层异构执行体二分别对访问权限请求进行访问权限判断处理，并输出相应的访问权限处理结果。

3.根据权利要求2所述的一种基于拟态防御的数据访问控制方法，其特征在于，所述控制层异构执行体一对访问权限请求进行访问权限判断处理，并输出相应的访问权限处理结果，其具体包括，控制层异构执行体一根据基于角色的访问控制策略对访问权限请求进行访问权限判定处理：

创建客体资源对象访问控制列表，所述客体资源对象访问控制列表包括角色列表和属性约束策略列表，角色列表包括所有客体资源对象的角色id及其相对应的角色属性约束策略集，属性约束策略列表包括权限属性和环境属性；

接收访问权限请求及控制层随机数；

提取访问权限请求中用户主体属性，根据用户主体属性与相应的客体资源对象的角色id建立会话关系；

在会话关系中根据客体资源对象访问控制列表和属性策略约束列表对访问权限请求进行访问权限判断处理，并输出访问权限处理结果。

4.根据权利要求2所述的一种基于拟态防御的数据访问控制方法，其特征在于，所述控制层异构执行体二对访问权限请求进行访问权限判断处理，并输出相应的访问权限处理结果，其具体过程包括，控制层异构执行体二根据基于属性的访问控制策略对访问权限请求进行访问权限判定处理：

创建属性集合与属性-权限的关联管理关系；

接收访问权限请求及控制层随机数；

根据访问权限请求中的主体属性、客体属性和环境属性构建属性结果集，利用所述属性结果集构建新访问请求；根据新访问请求查找策略文件，将新访问请求与策略文件中的属性信息向比对，并输出访问权限处理结果。

5.根据权利要求1所述的一种基于拟态防御的数据访问控制方法，其特征在于，所述步骤三中控制层从验证层处获取控制层随机数，及步骤五中数据访问层从验证层处获取数据访问层随机数，均为请求方向验证层处获取请求方随机数，请求方向验证层处获取请求方随机数的具体过程为：

请求方向验证层发出随机数生成请求；

验证层接收请求后，生成请求方随机数，并将请求方随机数保存于验证层中，验证层向请求方发送请求方随机数；

请求方获取验证层发送的请求方随机数后，用做请求方异构执行体处理结果的验证标识。

6.根据权利要求1所述的一种基于拟态防御的数据访问控制方法，其特征在于，所述步骤四中拟态裁决一层根据控制层随机数判断和获取有效的访问权限处理结果，及步骤六中拟态裁决二层根据数据访问层随机数判断和获取有效的数据访问处理结果，均为拟态裁决层根据随机数判断和获取有效的处理结果，裁决层根据随机数判断和获取有效的处理结果的具体过程为：

拟态裁决层向验证层请求获取验证层自身保存的随机数；

验证层向拟态裁决层发送自身保存的随机数后，将随机数失效；

拟态裁决层将相应异构执行体消息中的随机数和验证层发送的随机数进行比对，比对成功，则该随机数对应的处理结果有效，拟态裁决层汇总所有有效的处理结果。

7.根据权利要求1所述的一种基于拟态防御的数据访问控制方法，其特征在于，所述步骤一中属性集合包括主体属性、客体属性、权限属性和环境属性；

其中主体属性为用户的唯一身份标识，即唯一ID；

客体属性为资源的属性，用来代表资源的类型；

权限属性为修改、查询、删除、增加这四种权限中的任意一种权限；

环境属性为不同的时间或不同的地点。

8.根据权利要求1所述的一种基于拟态防御的数据访问控制方法，其特征在于，将所述步骤五中数据访问层异构执行体个数设为一，即去除数据访问层的异构冗余。

9.一种基于拟态防御的数据访问控制系统，用于实现如权利要求1-8任一所述的一种基于拟态防御的数据访问控制方法，其特征在于，包括：视图层、控制层、拟态裁决一层、数据访问层、拟态裁决二层和验证层；所述视图层、控制层、拟态裁决一层、数据访问层和拟态裁决二层依次连接，验证层与控制层、拟态裁决一层、数据访问层和拟态裁决二层连接。

10.根据权利要求9所述的一种基于拟态防御的数据访问控制系统，其特征在于：所述验证层包括随机数生成模块和随机数验证模块；

所述随机数生成模块与控制层和数据访问层连接，用于根据随机数生成请求生成相应的随机数；随机数生成模块将生成的随机数存储于随机数验证模块；

所述随机数验证模块与拟态裁决一层和拟态裁决二层连接，用于向拟态裁决一层及向拟态裁决二层发送相应随机数，随机数验证模块中存储的随机数只在一次访问中生效，一旦被使用即从随机数验证模块中删除无效。

Images