一種基于大數(shù)據(jù)的訪問控制判定引擎優(yōu)化系統(tǒng)及方法
【專利摘要】一種基于大數(shù)據(jù)的訪問控制判定引擎優(yōu)化系統(tǒng)����,由客戶端和服務(wù)器端組成,服務(wù)器端負(fù)責(zé)對客戶端發(fā)出的請求進行決策評估��、授權(quán)及執(zhí)行��;分為四個部分:①原有的訪問控制判定引擎及其基礎(chǔ)設(shè)施部分����,包括訪問控制判定評估引擎模塊��、策略執(zhí)行點��、屬性權(quán)威模塊和策略庫模塊��;②預(yù)處理框架置,用于訪問控制判定引擎部署前的處理工作��,包括屬性預(yù)處理模塊�����、第一階段聚類模塊�、第二階段聚類模塊;③實時服務(wù)框架����,用于處理服務(wù)器端運行時的實時請求,包括注冊中心模塊����、映射關(guān)系模塊、集合運算優(yōu)化模塊�;④后臺運維框架,包括新進實體登記模塊�、屬性變更維護模塊、策略變更維護模塊和預(yù)備策略集模塊����。本發(fā)明具有高效性、高可用性�����、安全性、通用性的優(yōu)點����。
【專利說明】—種基于大數(shù)據(jù)的訪問控制判定引擎優(yōu)化系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全的訪問控制領(lǐng)域,具體涉及一種基于大數(shù)據(jù)的訪問控制判定引擎優(yōu)化系統(tǒng)及方法����。
【背景技術(shù)】
[0002]隨著現(xiàn)代互聯(lián)網(wǎng)環(huán)境的開放度增加、區(qū)域互聯(lián)增強�����、事物處理趨于多樣化和復(fù)雜化�����,人類社會已經(jīng)逐步邁入了大數(shù)據(jù)時代���。大數(shù)據(jù)時代的一個顯著特征就是用戶海量化、資源海量化�����、交互關(guān)系日益復(fù)雜化,安全也自然而然成為了首要的問題之一����。作為一種信息安全領(lǐng)域的重要技術(shù)手段,訪問控制技術(shù)各方面的性能�����,在大數(shù)據(jù)環(huán)境下也面臨著越來越多的挑戰(zhàn)一突出的表現(xiàn)為:①安全性和可靠性要求越來越高�,更多的強調(diào)細(xì)粒度的訪問控制傳統(tǒng)的訪問控制手段授權(quán)粒度偏粗、可擴展性差�,如封閉環(huán)境下的訪問控制鏈(ACL)和訪問控制矩陣(ACM)和半開放環(huán)境下的基于身份的訪問控制(IBAC)、基于任務(wù)的訪問控制(TBAC)以及基于角色的訪問控制(RBAC)等���,面對海量用戶數(shù)據(jù)和復(fù)雜授權(quán)關(guān)系���,表現(xiàn)出較差的兼容性和可擴展性;③絕大多數(shù)判定評估引擎的效率偏低�����。XACML(可擴展性訪問控制標(biāo)記語言)��,已逐漸成為多個企業(yè)應(yīng)用和商業(yè)產(chǎn)品實現(xiàn)安全授權(quán)功能的實際標(biāo)準(zhǔn)���,更是廣泛的應(yīng)用于基于屬性的訪問控制(ABAC)��,滿足了細(xì)粒度訪問控制�、可擴展性、安全性等要求����。然而,分布式資源共享�����、Web服務(wù)����、域間協(xié)作等新興業(yè)務(wù)需要制定大量的XACML策略條目對資源進行細(xì)粒度訪問控制,但隨著策略規(guī)模和策略語義復(fù)雜性的上升��,策略評估效率已成為制約系統(tǒng)可用性的關(guān)鍵瓶頸���。XACML規(guī)范中雖然給出了訪問控制實施框架�����,但并沒有提供策略分析�、規(guī)則匹配��、判定響應(yīng)等相關(guān)的優(yōu)化處理方法���,這在很大程度上導(dǎo)致了 XACML策略評估引擎在處理策略信息檢索�、多策略匹配等問題時的實際性能指標(biāo)偏低��,具體表現(xiàn)為系統(tǒng)資源開銷大�����、訪問請求應(yīng)答延時長��、遠(yuǎn)程通信交互多��,因而無法滿足商業(yè)應(yīng)用的高業(yè)務(wù)吞吐量?�,F(xiàn)有的相關(guān)工作主要集中在策略的建模�����、驗證���、分析和測試方面�����,雖然也有少數(shù)的工作來優(yōu)化判定引擎的效率(如:XEngine����,Enterprise XACML等),但是這些方案或者存在諸多的局限����、或者在大數(shù)據(jù)環(huán)境下優(yōu)化效果不夠明顯,因而都不能給出一種很好的解決方法�。
【發(fā)明內(nèi)容】
[0003]本發(fā)明技術(shù)解決問題:克服現(xiàn)有技術(shù)的局限性和低可用性的不足,提供一種基于大數(shù)據(jù)的訪問控制判定引擎優(yōu)化系統(tǒng)及方法��,具有通用性好��、安全性高�、效率高的優(yōu)點。
[0004]本發(fā)明技術(shù)解決方案:一種基于大數(shù)據(jù)的訪問控制判定引擎優(yōu)化系統(tǒng)�,如圖1所示,由客戶端和服務(wù)器端組成�,客戶端用于向服務(wù)器端發(fā)出請求;服務(wù)器端負(fù)責(zé)對客戶端發(fā)出的請求進行決策評估����、授權(quán)及執(zhí)行;在服務(wù)器端負(fù)責(zé)對客戶端發(fā)出的請求進行決策評估���、授權(quán)及執(zhí)行����。其中基于大數(shù)據(jù)是指以海量用戶��、海量資源和復(fù)雜授權(quán)關(guān)系為背景所提出的針對大數(shù)據(jù)的高效訪問控制判定引擎的優(yōu)化系統(tǒng)����。部署在服務(wù)器端的系統(tǒng)可以劃分為四部分主要部分:①原有的訪問控制判定引擎及其基礎(chǔ)設(shè)施,具體包括訪問控制判定評估引擎��、策略執(zhí)行點��、屬性權(quán)威和策略庫�����,這些組件構(gòu)成了經(jīng)典的PCIM通用訪問控制架構(gòu)(引用出處 Moore B, Ellesson E, Strassner J, et al.Policy core information model -versionlspecif ication [R].RFC3060, February, 2001.) !②預(yù)處理框架��,該框架用于訪問控制判定引擎部署前的處理工作��,具體包括屬性預(yù)處理模塊�����、第一階段聚類模塊、第二階段聚類模塊���;③實時服務(wù)框架���,用于處理服務(wù)器端運行時的實時請求,具體包括注冊中心模塊����、映射關(guān)系模塊、集合運算優(yōu)化模塊����;④后臺運維框架,用于在整套訪問控制判定引擎及優(yōu)化系統(tǒng)部署后���,為了應(yīng)對實體數(shù)據(jù)高度動態(tài)的改變而可能導(dǎo)致的錯誤��,而提出的運行維護裝置����,具體包括新進實體登記模塊、屬性變更維護模塊���、策略變更維護模塊����,一個存儲模土夾——預(yù)備策略集模塊��。注意②③④三個部分是本優(yōu)化系統(tǒng)在傳統(tǒng)訪問控制架構(gòu)基礎(chǔ)上新增的功能模塊�����,依據(jù)其作用的時期來劃分的(分別作用在系統(tǒng)部署前����、部署中�����、部署后)�。其中:
[0005]屬性預(yù)處理模塊,首先進行屬性選擇�����,根據(jù)屬性權(quán)威模塊提供的屬性信息以及策略庫模塊提供的策略內(nèi)容選擇參與本系統(tǒng)優(yōu)化的屬性;再進行屬性壓縮�,根據(jù)屬性權(quán)威模塊提供的屬性信息,為每種屬性的屬性值預(yù)先建立好的屬性層次樹以及為每種屬性預(yù)先設(shè)定的期待壓縮后的屬性值團的數(shù)量�����,針對每種選擇出來的屬性即關(guān)鍵屬性分別進行壓縮����;壓縮后將選擇出的屬性、及每種屬性對應(yīng)的壓縮后的屬性值團集合����、每種屬性對應(yīng)的屬性值團間的相似度關(guān)系發(fā)送給第一階段聚類模塊;所述屬性是指描述實體的某些特征��,所述實體包括主體和資源�����,所述實體分為真實實體和虛擬實體���;所述屬性分為種類屬性和數(shù)字屬性�,所述種類屬性是指一些字符串類型的屬性�����,更多的表明一些性質(zhì)上特點的屬性;所述數(shù)字屬性是一些數(shù)值類型�����,包括整型和實數(shù)型�����,更多的表明一些數(shù)量上的特征��;所述屬性信息就是屬性集合��;所述屬性值是該屬性可能的取值�;所述屬性值團是指多個屬性值壓縮后所在的小型集合(管理員規(guī)定參數(shù)���,想小到什么程度就能小到什么程度�,最小為1)����,是屬性壓縮技術(shù)的產(chǎn)物;所述屬性層次樹是指對于種類屬性����,對其下所屬的屬性值按照歸屬����、包含的聯(lián)系建立起來屬性值之間的依賴關(guān)系�,將這種依賴歸結(jié)為樹形結(jié)構(gòu);
[0006]第一階段聚類模塊���,首先��,初始化虛擬實體之間的相似關(guān)系��,根據(jù)屬性預(yù)處理模塊的結(jié)果�,計算任意兩個虛擬實體之間的帶權(quán)相似度���;再根據(jù)經(jīng)典的K-means算法進行適當(dāng)調(diào)整���,并根據(jù)兩個虛擬實體之間的帶權(quán)相似度對虛擬實體進行聚類,得到第一階段簇FSC;然后��,根據(jù)屬性權(quán)威模塊中的實體屬性信息���,對于各個簇���,遍歷所有的真實實體��,將符合各簇的真實實體的標(biāo)識加入到各簇中���,獲取該簇中虛擬實體對應(yīng)的真實實體的集合;最后���,通過對策略庫模塊中的策略進行修改�����,并采用策略模糊匹配來為各個第一階段簇FSC尋找準(zhǔn)適用策略���,從而獲取附屬于各個第一階段簇的準(zhǔn)適用策略集F-pols�,所述準(zhǔn)適用策略指通過策略模糊匹配方法得到的適用策略集合;該模塊執(zhí)行完畢后將產(chǎn)生的所有的第一階段簇FSC結(jié)果發(fā)送給第二階段聚類模塊��;所述第一階段簇FSC結(jié)果包括虛擬實體的集合��、第一階段準(zhǔn)適用策略集F-pols�����、與該簇中虛擬實體對應(yīng)的真實實體的集合;
[0007]第二階段聚類簇模塊�,首先,初始化真實實體屬性向量��,即根據(jù)屬性權(quán)威模塊提供的屬性信息��,將所有的真實實體的數(shù)字屬性組織成向量的形式����;然后對每個第一階段簇FSC中的真實實體,通過Fast Kmeans算法進一步聚類得到第二階段簇SSC��,執(zhí)行過程中要保留各個第二階段簇SSC的簇心即向量���;再通過對策略庫模塊中的策略進行修改�,并采用策略模糊匹配來為各個第二階段簇SSC尋找準(zhǔn)適用策略���,獲取各個第二階段簇的準(zhǔn)適用策略集S-pols ;最后將得到的所有第二階段簇SSC結(jié)果發(fā)送給注冊中心模塊和映射關(guān)系模塊����;所述第二階段簇SSC結(jié)果包括真實實體的集合�、簇心、第二階段準(zhǔn)適用策略集S-pols ���;
[0008]注冊中心模塊����,根據(jù)第一階段聚類簇模塊和第二階段聚類簇模塊得到的結(jié)果,首先�����,建立主體登記表HashSetsub,遍歷所有經(jīng)過預(yù)處理后的主體即用戶���,將主體標(biāo)識sub_ID添加到主體登記表HashSetsub中���;然后建立資源登記表HashSeties,遍歷所有經(jīng)過預(yù)處理后的資源����,將資源標(biāo)識res_ID添加到資源登記表HashSeties中�����;同時接收策略庫模塊發(fā)出的查穩(wěn)步請求�����,根據(jù)主識和資源的標(biāo)識查詢實體登記情況,并向映射關(guān)系模塊發(fā)送響應(yīng)���;如果有實體未登記事件����,則會觸發(fā)后臺運維服務(wù)中的新進實體登記模塊�����;
[0009]映射關(guān)系模塊�����,根據(jù)第一階段聚類簇模塊和第二階段聚類簇模塊得到的結(jié)果�,首先,遍歷各個主體第一階段簇FSCsub中的各個主體第二階段簇SSCsub�,建立主體與對應(yīng)主體第一階段簇SSCsub的映射關(guān)系;再遍歷各個資源第一階段簇中的各個資源第二階段簇SSCms���,建立主體與對應(yīng)各個資源第二階段簇SSCms的映射關(guān)系���;然后遍歷策略庫模塊中所有的策略,為每一個動作aCi建立一個動作集合用于存放適用于動作aq的所有的策略標(biāo)識;最后���,分別為虛擬主體和虛擬資源建立兩個映射關(guān)系���,即虛擬主體映射關(guān)系HashMapvil^sub和虛擬資源映射關(guān)系HashMapvines,再根據(jù)注冊中心發(fā)送的響應(yīng)信息���,查詢映射關(guān)系�����,得到主體請求(sub����,res�����,ac)對應(yīng)的準(zhǔn)適用策略集合的標(biāo)識組合(Sidsub, Sidres, Sidac),并將所述標(biāo)識組合(Sidsub, Sidres, Sidac)發(fā)送給集合運算優(yōu)化模塊����;
[0010]集合運算優(yōu)化模塊,根據(jù)映射關(guān)系模塊傳遞的標(biāo)識組合(Sidsub�,Sidres, SidJ進行交集運算�����,并將交集運算結(jié)果Setptjl提交給策略庫模塊;
[0011]屬性權(quán)威模塊�����,是屬性數(shù)據(jù)庫系統(tǒng)�����,負(fù)責(zé)存儲實體屬性����,管理實體屬性,管理實體屬性包括有關(guān)屬性增加���、刪除��、變更和查詢業(yè)務(wù)���;接收訪問控制判定評估引擎模塊發(fā)出主體標(biāo)識sub_ID以及資源標(biāo)識res_ID請求查詢,并將查詢到的主體和資源的相關(guān)屬性結(jié)果返回訪問控制判定評估引擎模塊�����;同時對經(jīng)過屬性預(yù)處理模塊處理后發(fā)生變化的主體或者資源的屬性,作為一個觸發(fā)屬性變更維護服務(wù)的事件��,發(fā)送給屬性變更維護模塊��;
[0012]策略執(zhí)行點���,接收客戶端發(fā)出的請求�����,并將請求訪問控制判定評估引擎模塊發(fā)出評估請求�;同時將訪問控制判定評估引擎模塊的評估結(jié)果返回給客戶端�;
[0013]訪問控制判定評估引擎模塊,根據(jù)客戶端的用戶請求即主體請求��,向?qū)傩詸?quán)威模塊請求主體和資源的相關(guān)屬性����;同時接收屬性權(quán)威模塊發(fā)回的查詢后的主體和資源的相關(guān)屬性;訪問控制引擎根據(jù)主體和資源的相關(guān)屬性在進行具體授權(quán)判定的時候�����,向策略庫模塊發(fā)出請求策略集,接收到策略庫模塊發(fā)來的策略集后��,依據(jù)該策略集進行判定�,并將判定結(jié)果輸出給主體即用戶���;
[0014]策略庫模塊���,用于存放策略,同時有策略有效位表���,它是策略庫中實時維護的一個數(shù)據(jù)結(jié)構(gòu)�����,用來標(biāo)識每個策略的有效性�����,每一個位對應(yīng)一個策略���,“O”表示策略無效;接收訪問控制判定評估引擎模塊發(fā)來請求評估所用的策略集合��,然后向注冊中心模塊發(fā)出查詢請求;接收集合運算優(yōu)化模塊的交集運算結(jié)果Setptjl的標(biāo)識���,然后通過檢驗策略有效位表Valid-Bit過濾掉無效策略��,同時與預(yù)備策略集模塊中的策略標(biāo)識進行合并��,得到小規(guī)模策略集合并發(fā)送給訪問控制判定評估引擎模塊�;當(dāng)需要策略變更時�,觸發(fā)策略變更維護模塊;
[0015]新進實體登記模塊:用來處理新進的實體�,即在系統(tǒng)部署前沒有進行過預(yù)處理的實體;首先��,提取該實體對應(yīng)的虛擬實體����,通過映射關(guān)系模塊,鎖定虛擬實體對應(yīng)的第一階段簇FSC���,將該實體的數(shù)值屬性組織成屬性向量����,通過計算該向量與各第二階段簇SSC的歐幾里德距離�����,選出距離最小的,也就是最相似的第二階段簇SSC�,將該新進實體標(biāo)識ID加入到對應(yīng)的映射關(guān)系中;然后調(diào)用預(yù)處理框架中的第二階段聚類模塊���,將得到的新進實體對應(yīng)的準(zhǔn)適用策略集Setnew與原有的S-pols合并即可;上述處理完成后���,將該實體對應(yīng)的標(biāo)識加入到實體登記表HashSet中�,分別將主體登記表HashSetsub和資源登記表HashSetres中標(biāo)記為已登記�;
[0016]屬性變更維護模塊:用來處理已登記實體在系統(tǒng)部署后已登記實體對應(yīng)的一些關(guān)鍵屬性發(fā)生變化的情形;執(zhí)行時僅需要將該實體的已登記的記錄消除即從實體登記表HashSet中移除已登記實體標(biāo)識��,然后將該實體看作新進實體�����,調(diào)用新進實體登記模塊即可���;同時將新實體屬性送至屬性權(quán)威模塊中存儲���;
[0017]策略變更維護模塊:用來處理策略集模塊中的策略發(fā)生變更的情形��;首先��,將原有策略Poltjld從策略庫模塊中移除�����,將變更后的新策略polnOT加入到策略庫模塊和預(yù)備策略集模塊中�;再將策略有效位表中原有策略Poltjld對應(yīng)的位bit置為“O”即無效��;然后���,遍歷各個第一階段簇FSC及各個第二階段簇SSC��,將變更后的新策略polnOT的標(biāo)識加入到變更后的新策略Polnrat所適用的簇的準(zhǔn)適用策略集中����;完成上述操作后���,將變更后的新策略Polnew在策略有效位表對應(yīng)的位bit置為“I”即有效����,并將變更后的新策略標(biāo)識polnOT_ID從預(yù)備策略集模塊中移除���;
[0018]預(yù)備策略集模塊:用于存放必須評估策略及策略標(biāo)識���,是針對策略變更維護使用的�����,用于策略的加入與移除操作�;同時將策略標(biāo)識發(fā)給出策略庫模塊�。
[0019]一種基于大數(shù)據(jù)的訪問控制判定引擎優(yōu)化方法,實現(xiàn)步驟如下:
[0020](I)系統(tǒng)部署前的預(yù)處理:即調(diào)用預(yù)處理裝置�、初始化注冊中心模塊和映射關(guān)系模塊��;
[0021](1.1)調(diào)用屬性預(yù)處理模塊�,首先,進行屬性選擇����,根據(jù)屬性權(quán)威提供的屬性信息以及策略庫模塊提供的策略內(nèi)容選擇參與本系統(tǒng)優(yōu)化的屬性;接下來�����,進行屬性壓縮�����,根據(jù)屬性權(quán)威提供的屬性信息、管理員為每種屬性的屬性值預(yù)先建立好的屬性層次樹以及管理員為每種屬性預(yù)先設(shè)定的期待壓縮后的屬性值團的數(shù)量��,針對每種選擇出來的屬性分別進行壓縮��;該模塊執(zhí)行完畢后將選擇出的屬性�、及每種屬性對應(yīng)的壓縮后的屬性值團集合、每種屬性對應(yīng)的屬性值團間的相似度關(guān)系發(fā)送給第一階段聚類模塊��;
[0022](1.2)調(diào)用第一階段聚類模塊�����,首先��,初始化虛擬實體之間的相似關(guān)系����,根據(jù)屬性預(yù)處理模塊的結(jié)果,計算任意兩個虛擬實體之間的帶權(quán)相似度��;接下來����,第一階段聚類���,根據(jù)經(jīng)典的K-means算法進行適當(dāng)調(diào)整,然后對虛擬實體進行聚類����;然后,獲取附屬于各簇的真實實體��,根據(jù)屬性權(quán)威中的實體屬性信息����,對于各個簇,遍歷所有的真實實體���,將符合各簇的真實實體的標(biāo)識加入到各簇中;最后獲取附屬于各個第一階段簇的準(zhǔn)適用策略集F-pols�����,通過對策略庫中的策略進行修改����,并采用策略模糊匹配來為各個FSC尋找準(zhǔn)適用策略;該模塊執(zhí)行完畢后將產(chǎn)生的所有的第一階段簇FSC發(fā)送給第二階段聚類模塊;
[0023](1.3)調(diào)用第二階段聚類簇模塊�,首先,初始化真實實體屬性向量��,根據(jù)屬性權(quán)威模塊提供的屬性信息�����,將所有的真實實體的數(shù)字屬性組織成向量的形式����;接下來,第二階段聚類�,對每個第一階段簇FSC中的真實實體,通過Fast Kmeans算法進一步聚類得到第二階段簇SSC;最后,獲取各個第二階段簇的準(zhǔn)適用策略集�、S-pols,通過對策略庫中的策略進行修改����,并采用策略模糊匹配來為各個SSC尋找準(zhǔn)適用策略;該模塊執(zhí)行完畢后將產(chǎn)生的所有的第二階段簇發(fā)送給注冊中心模塊和映射關(guān)系模塊�����;
[0024](1.4)初始化注冊中心模塊�,根據(jù)(1.2)和(1.3)的處理結(jié)果,首先,建立主體登記表��,遍歷所有經(jīng)過預(yù)處理的主體即用戶���,將主識標(biāo)識sub_ID添加到主體登記表HashSetsub中��;接下來���,建立資源登記表,遍歷所有經(jīng)過預(yù)處理的資源�����,將res_ID添加到資源登記表HashSetres 中�����;
[0025](1.5)初始化映射關(guān)系模塊�,根據(jù)(1.2)和(1.3)的處理結(jié)果,首先��,遍歷各個FSCsub中的各個SSCsub����,建立用戶與SSCsub的映射關(guān)系;接下來�,遍歷各個FSCms中的各個SSCms,建立用戶與SSCms的映射關(guān)系�����;然后���,遍歷所有的策略����,為每一個aCi建立一個
存放適用于動作aCi的所有的策略標(biāo)識���;最后�����,分別為虛擬主體和虛擬資源建立虛擬主體HashMapvirsub和虛擬資源HashMapviraes兩個映射關(guān)系�����;
[0026](2)系統(tǒng)部署后的實時服務(wù)及后臺運維服務(wù)框架:
[0027](2.1)客戶端向服務(wù)器的策略執(zhí)行點發(fā)出請求req (sub, res, ac);其中�����,sub是指用戶即主體的標(biāo)識����,res是所請求的資源的標(biāo)識,ac是指該用戶即主體針對資源請求的動作��;
[0028](2.2)策略執(zhí)行點向訪問控制判定引擎模塊發(fā)出授權(quán)請求req (sub, res, ac)����;
[0029](2.3)訪問控制判定引擎模塊根據(jù)sub,res的標(biāo)識信息向?qū)傩詸?quán)威請求實體屬性集;
[0030](2.4)屬性權(quán)威根據(jù)訪問控制判定引擎模塊發(fā)送的請求中sub��,res對應(yīng)的標(biāo)識信息��,查詢實體屬性集合���,并將其返回給訪問控制判定引擎模塊��;
[0031](2.5)訪問控制判定引擎模塊向策略庫模塊請求評估策略集合req (sub, res, ac)����;
[0032](2.6)策略庫模塊向?qū)崟r服務(wù)裝置發(fā)出請求req (sub, res, ac)��;
[0033](2.7)注冊中心模塊首先根據(jù)主體和資料的標(biāo)識查詢實體登記情況�,并向映射關(guān)系模塊發(fā)送響應(yīng);如果有實體未登記事件��,則會觸發(fā)后臺運維服務(wù)中的新進實體登記模塊���;
[0034](2.8)映射關(guān)系模塊根據(jù)注冊中心發(fā)送的響應(yīng)信息���,查詢映射關(guān)系,將(sub, res, ac)對應(yīng)的準(zhǔn)適用策略集合的標(biāo)識組合(Sidsub, Sidra3, Sida�。)發(fā)送給集合運算優(yōu)化模塊;
[0035](2.9)集合運算優(yōu)化模塊�,根據(jù)標(biāo)識組全(Sidsub,Sidres, SidJ得到相應(yīng)的準(zhǔn)適用策略集并執(zhí)行交集優(yōu)化�����,得到交集優(yōu)化結(jié)果Setptjl���,發(fā)送給策略庫�����;
[0036](2.10)預(yù)備策略集模塊將其中的策略標(biāo)識發(fā)送給策略庫模塊����;
[0037](2.11)策略庫模塊對(2.9)中得到的交集優(yōu)化結(jié)果Setptjl的標(biāo)識通過檢驗策略有效位表過濾掉無效策略,同時與預(yù)備策略集模塊中的策略標(biāo)識進行合并發(fā)送給訪問控制判定評估引擎模塊�����;
[0038](2.12)訪問控制判定評估引擎模塊根據(jù)策略庫模塊提交的小規(guī)模策略集合快速做出評估���,并將判定結(jié)果返回給策略執(zhí)行點���;
[0039](2.13)策略執(zhí)行點執(zhí)行判定結(jié)果,并返回給客戶端用戶執(zhí)行情況����。[0040]本發(fā)明與現(xiàn)有技術(shù)相比的優(yōu)點在于:
[0041](I)通用性和安全性
[0042]本發(fā)明是基于傳統(tǒng)的經(jīng)典PCIM架構(gòu)進行的拓展,適用于符合該經(jīng)典架構(gòu)的所有的訪問控制判定評估引擎����,即通用性;而傳統(tǒng)的經(jīng)典訪問控制引擎本身就滿足安全性����,即安全性。
[0043](2)高效性
[0044]本發(fā)明中通過預(yù)處理框架的工作基于聚類的思想建立起了“兩層”簇的結(jié)構(gòu)���,并為各級簇分配了小規(guī)模的準(zhǔn)適用策略集合��,除此之外��,在實時服務(wù)框架中���,建立了可以對準(zhǔn)適用策略集高效查找的映射關(guān)系,并通過集合運算優(yōu)化進一步縮小最終參與評估的策略規(guī)模����,進而能夠快速的返回給策略庫模塊小規(guī)模的策略標(biāo)識去參與判定評估,大大減小了訪問控制判定評估引擎的工作量���,因此是高效的����。
[0045](3)高可用性
[0046]本發(fā)明的后臺運維框架針對實體屬性及策略可能改變的問題�����,建立了多個維護模塊�����,實時跟蹤維護預(yù)處理結(jié)果——映射關(guān)系——的正確性����,同時��,通過注冊中心模塊可以應(yīng)對大數(shù)據(jù)環(huán)境下��,預(yù)處理工作量過大的問題����,通過自適應(yīng)����、自學(xué)習(xí)來維持本系統(tǒng)的可靠性、高可用性���。
【專利附圖】
【附圖說明】
[0047]圖1為本發(fā)明的總體結(jié)構(gòu)圖���;
[0048]圖2為本發(fā)明中屬性層次樹;
[0049]圖3為本發(fā)明中第一階段聚類布局圖�;
[0050]圖4為本發(fā)明中第二階段聚類布局圖;
[0051]圖5為經(jīng)典PCM訪問控制系統(tǒng)�;
[0052]圖6XACML匹配邏輯實例;
[0053]圖7為本發(fā)明中集合運算優(yōu)化示意圖�����;
[0054]圖8為本發(fā)明中預(yù)處理框架實現(xiàn)流程圖;
[0055]圖9為本發(fā)明中實時服務(wù)框架實現(xiàn)流程圖�����;
[0056]圖10為本發(fā)明中后臺維運框架實現(xiàn)流程圖����。
【具體實施方式】
[0057]如圖1所示����,本發(fā)明由服務(wù)器端和客戶端組成,其中服務(wù)器端包括四個部分:①原有的訪問控制判定引擎及其基礎(chǔ)設(shè)施���,包括:訪問控制判定評估引擎模塊��、策略執(zhí)行點�����、策略庫模塊���、屬性權(quán)威模塊;②預(yù)處理框架:屬性預(yù)處理模塊、第一階段聚類模塊����、第二階段聚類模塊實時服務(wù)框架:注冊中心、映射關(guān)系模塊�、集合運算優(yōu)化模塊;④后臺運維框架:新進實體登記模塊�、屬性變更維護模塊、策略變更維護模塊�。
[0058]其中:①原有的訪問控制系統(tǒng)及其基礎(chǔ)設(shè)施,這里采用Sun’ s XACML系統(tǒng)作為基礎(chǔ)的訪問控制引擎�;②③④部分的使用Java JDK1.6.0_10_rc2開發(fā)完成。
[0059]為了更好的理解本發(fā)明的技術(shù)方案�,先對下述的幾個概念和方法進行說明:
[0060]屬性:描述了實體的某些特征,如:對于用戶這個實體�,它的屬性可能包含:年齡,性別�,角色等。在發(fā)明本技術(shù)方案中����,將實體屬性分為兩類分別處理:一類是“種類屬性”,一類是“數(shù)字屬性”���。前者多數(shù)是一些字符串類型的屬性�����,更多的表明一些性質(zhì)上特點��,如:性另IJ�����、角色�、文件類型等,后者多數(shù)是一些數(shù)值類型(整型��、實數(shù)型等)��,更多的表明一些數(shù)量上的特征�����,如:年齡��、工齡���、分?jǐn)?shù)等。在本發(fā)明中��,注意區(qū)分屬性和屬性值,屬性是類別名稱��,如:職稱��;屬性值是該屬性可能的取值�,如:助教、教授等�。
[0061]屬性權(quán)威模塊:是服務(wù)器端的組件,也是訪問控制系統(tǒng)的基礎(chǔ)設(shè)施之一�����,負(fù)責(zé)存儲�、管理實體屬性(增、刪�、改、查)��,通常為數(shù)據(jù)庫系統(tǒng)����。
[0062]用戶請求:格式為req (sub, res, ac),其中,sub是指用戶即主體的標(biāo)識���,res是所請求的資源的標(biāo)識���,ac是指該用戶即主體針對資源請求的動作�。本發(fā)明中用到了屬性權(quán)威�,通過標(biāo)識來檢索屬性集合,在其他方案中未提到屬性權(quán)威的����,sub、res也可能泛指屬性
口 O
[0063]策略庫模塊:其中存放的是管理員預(yù)先分配的訪問控制策略(XACML Policy)���,策略即為授權(quán)的依據(jù)���,在判定評估時該模塊會將策略提交至訪問控制判定評估引擎。
[0064]適用策略集:注意對于一個請求req (sub, res, ac),不是所有的策略都適用,適用的策略集合成為適用策略集����。這里的“適用”是指����,req (sub, res, ac)中sub、res對應(yīng)的屬性均滿足策略中的邏輯謂詞�,例如:sub對應(yīng)的屬性為年齡17歲,而策略Pol1中對年齡的要求是大于18歲����,那么策略Pol1即不適用于該sub發(fā)出的req���。
[0065]準(zhǔn)適用策略集:指通過“策略模糊匹配”方法得到的適用策略集合,在本發(fā)明當(dāng)中���,無論是第一階段簇的準(zhǔn)適用策略集(F-pols)�����,還是第一階段簇的準(zhǔn)適用策略集(S-pols)�,其中存儲的都是策略標(biāo)識�,并非策略本身。
[0066]訪問控制判定評估引擎模塊:訪問控制系統(tǒng)的基礎(chǔ)設(shè)施之一��,根據(jù)用戶即主體請求��,根據(jù)策略庫中管理員預(yù)先分配的訪問控制策略(XACML Policy)�,來對用戶的請求進行判定。
[0067]策略執(zhí)行點:訪問控制系統(tǒng)的基礎(chǔ)設(shè)施之一���,負(fù)責(zé)向訪問控制判定評估引擎發(fā)出用戶的授權(quán)請求���,以及執(zhí)行判定結(jié)果對應(yīng)的動作����、向用戶反饋執(zhí)行結(jié)果等����。
[0068]屬性層次樹:對于“種類屬性”,對其下所屬的屬性值按照歸屬��、包含等聯(lián)系建立起來屬性值之間的依賴關(guān)系�,該依賴可以歸結(jié)為樹形結(jié)構(gòu)。如圖2所示���,是“部門”這個屬性所對應(yīng)的屬性值之間的屬性層次樹���。
[0069]屬性值相似度:對于屬性層次樹中,任意兩個結(jié)點之間�,本發(fā)明定義一種相似關(guān)
系,成為屬性相似度��,具體計算方法為
【權(quán)利要求】
1.一種基于大數(shù)據(jù)的訪問控制判定引擎優(yōu)化系統(tǒng)��,其特征在于:由客戶端和服務(wù)器端組成���,客戶端用于向服務(wù)器端發(fā)出請求����;服務(wù)器端負(fù)責(zé)對客戶端發(fā)出的請求進行決策評估�����、授權(quán)及執(zhí)行���;部署在服務(wù)器端運行的系統(tǒng)分為四個部分:①原有的訪問控制判定引擎及其基礎(chǔ)設(shè)施部分��,具體包括訪問控制判定評估引擎模塊���、策略執(zhí)行點、屬性權(quán)威模塊和策略庫模塊�;②預(yù)處理框架,包括屬性預(yù)處理模塊����、第一階段聚類模塊、第二階段聚類模塊��;③實時服務(wù)框架���,包括注冊中心模塊��、映射關(guān)系模塊�、集合運算優(yōu)化模塊;④后臺運維框架�,包括新進實體登記模塊、屬性變更維護模塊���、策略變更維護模塊和預(yù)備策略集模塊�; 屬性預(yù)處理模塊���,首先進行屬性選擇�����,根據(jù)屬性權(quán)威模塊提供的屬性信息以及策略庫模塊提供的策略內(nèi)容選擇參與優(yōu)化的關(guān)鍵屬性���;再進行屬性壓縮,根據(jù)屬性權(quán)威模塊提供的屬性信息��,為每種屬性的屬性值預(yù)先建立好的屬性層次樹以及為每種屬性預(yù)先設(shè)定的期待壓縮后的屬性值團的數(shù)量�����,針對每種選擇出來的屬性即關(guān)鍵屬性分別進行壓縮;壓縮后將選擇出的屬性����、及每種屬性對應(yīng)的壓縮后的屬性值團集合���、每種屬性對應(yīng)的屬性值團間的相似度關(guān)系發(fā)送給第一階段聚類模塊��;所述屬性是指描述實體的某些特征����,所述實體包括主體和資源��,所述實體分為真實實體和虛擬實體�����;所述屬性分為種類屬性和數(shù)字屬性�����,所述種類屬性是指一些字符串類型的屬性�����,更多的表明一些性質(zhì)上特點的屬性;所述數(shù)字屬性是一些數(shù)值類型����,包括整型和實數(shù)型,更多的表明一些數(shù)量上的特征����;所述屬性信息就是屬性集合;所述屬性值是該屬性可能的取值����;所述屬性值團是指多個屬性值壓縮后所在的小型集合,是屬性壓縮技術(shù)的產(chǎn)物��;所述屬性層次樹是指對于種類屬性���,對其下所屬的屬性值按照歸屬�、包含的聯(lián)系建立起來屬性值之間的依賴關(guān)系��,將這種依賴歸結(jié)為樹形結(jié)構(gòu)�����;第一階段聚類模塊��,首先,初始化虛擬實體之間的相似關(guān)系��,根據(jù)屬性預(yù)處理模塊的結(jié)果�����,計算任意兩個虛擬實體之間的帶權(quán)相似度�;再根據(jù)經(jīng)典的κ-means算法進行適當(dāng)調(diào)整��,并根據(jù)兩個虛擬實體之間的帶權(quán)相似度對虛擬實體進行聚類��,得到第一階段簇FSC;然后���,根據(jù)屬性權(quán)威模塊中的實體屬性信息��,對于各個簇���,遍歷所有的真實實體,將符合各簇的真實實體的標(biāo)識加入到各簇中��,獲取該簇中虛擬實體對應(yīng)的真實實體的集合�;最后,通過對策略庫模塊中的策略進行修改�,并采用策略模糊匹配來為各個第一階段簇FSC尋找準(zhǔn)適用策略���,從而獲取附屬于各個第一階段簇的準(zhǔn)適用策略集F-pols,所述準(zhǔn)適用策略指通過策略模糊匹配方法得到的適用策略集合��;該模塊執(zhí)行完畢后將產(chǎn)生的所有的第一階段簇FSC結(jié)果發(fā)送給第二階段聚類模塊�;所述第一階段簇FSC結(jié)果包括虛擬實體的集合、第一階段準(zhǔn)適用策略集F-pols�����、與該簇中虛擬實體對應(yīng)的真實實體的集合��; 第二階段聚類簇模塊����,首先,初始化真實實體屬性向量��,即根據(jù)屬性權(quán)威模塊提供的屬性信息�,將所有的真實實體的數(shù)字屬性組織成向量的形式;然后對每個第一階段簇FSC中的真實實體��,通過Fast Kmeans算法進一步聚類得到第二階段簇SSC���,執(zhí)行過程中要保留各個第二階段簇SSC的簇心即向量����;再 通過對策略庫模塊中的策略進行修改,并采用策略模糊匹配來為各個第二階段簇SSC尋找準(zhǔn)適用策略��,獲取各個第二階段簇的準(zhǔn)適用策略集S-pols ;最后將得到的所有第二階段簇SSC結(jié)果發(fā)送給注冊中心模塊和映射關(guān)系模塊����;所述第二階段簇SSC結(jié)果包括真實實體的集合、簇心�����、第二階段準(zhǔn)適用策略集S-pols ���; 注冊中心模塊,根據(jù)第一階段聚類簇模塊和第二階段聚類簇模塊得到的結(jié)果�,首先,建立主體登記表HashSetsub���,遍歷所有經(jīng)過預(yù)處理后的主體即用戶���,將主體標(biāo)識sub_ID添加到主體登記表HashSetsub中;然后建立資源登記表HashSetres�,遍歷所有經(jīng)過預(yù)處理后的資源�����,將資源標(biāo)識res_ID添加到資源登記表HashSeties中��;同時接收策略庫模塊發(fā)出的查穩(wěn)步請求�,根據(jù)主識和資源的標(biāo)識查詢實體登記情況����,并向映射關(guān)系模塊發(fā)送響應(yīng);如果有實體未登記事件�����,則會觸發(fā)后臺運維服務(wù)中的新進實體登記模塊�; 映射關(guān)系模塊,根據(jù)第一階段聚類簇模塊和第二階段聚類簇模塊得到的結(jié)果�,首先,遍歷各個主體第一階段簇FSCsub中的各個主體第二階段簇SSCsub,建立主體與對應(yīng)主體第一階段簇SSCsub的映射關(guān)系�;再遍歷各個資源第一階段簇中的各個資源第二階段簇SSCms,建立主體與對應(yīng)各個資源第二階段簇SSCms的映射關(guān)系�����;然后遍歷策略庫模塊中所有的策略����,為每一個動作aCi建立一個動作集合用于存放適用于動作acx的所有的策略標(biāo)識�;最后���,分別為虛擬主體和虛擬資源建立兩個映射關(guān)系�,即虛擬主體映射關(guān)系HashMapvireub和虛擬資源映射關(guān)系HashMapvims��,再根據(jù)注冊中心發(fā)送的響應(yīng)信息����,查詢映射關(guān)系,得到主體請求(sub, res, ac)對應(yīng)的準(zhǔn)適用策略集合的標(biāo)識組合(Sidsub, Sidres, Sidac),并將所述標(biāo)識組合(Sidsub, Sidres, Sidac)發(fā)送給集合運算優(yōu)化模塊����; 集合運算優(yōu)化模塊�����,根據(jù)映射關(guān)系模塊傳遞的標(biāo)識組合(Sidsub�,Sidres, Sidac)進行交集運算,并將交集運算結(jié)果Setptjl提交給策略庫模塊�; 屬性權(quán)威模塊,是屬性數(shù)據(jù)庫系統(tǒng)���,負(fù)責(zé)存儲實體屬性����,管理實體屬性,管理實體屬性包括有關(guān)屬性增加���、刪除���、變更和查詢業(yè)務(wù);接收訪問控制判定評估引擎模塊發(fā)出主體標(biāo)識sub_ID以及資源標(biāo)識res_ID請求查詢��,并將查詢到的主體和資源的相關(guān)屬性結(jié)果返回訪問控制判定評估引擎模塊����;同時對經(jīng)過屬性預(yù)處理模塊處理后發(fā)生變化的主體或者資源的屬性,作為一個觸發(fā)屬性變更維護服務(wù)的事件�����,發(fā)送給屬性變更維護模塊��; 策略執(zhí)行點�����,接收客戶端發(fā)出的請求,并將請求訪問控制判定評估引擎模塊發(fā)出評估請求�����;同時將訪問控制判定評估引擎模塊的評估結(jié)果返回給客戶端�; 訪問控制判定評估引擎模塊,根據(jù)客戶端的用戶請求即主體請求�,向?qū)傩詸?quán)威模塊請求主體和資源的相關(guān)屬性;同時接收屬性權(quán)威模塊發(fā)回的查詢后的主體和資源的相關(guān)屬性�;訪問控制引擎根據(jù)主體和資源的相關(guān)屬性在進行具體授權(quán)判定的時候,向策略庫模塊發(fā)出請求策略集��,接收到策略庫模塊發(fā)來的策略集后���,依據(jù)該策略集進行判定��,并將判定結(jié)果輸出給主體即用戶��; 策略庫模塊,用于存放策略����,同時有策略有效位表,它是策略庫中實時維護的一個數(shù)據(jù)結(jié)構(gòu)��,用來標(biāo)識每個策略的有效性,每一個位對應(yīng)一個策略���,“O”表示策略無效�;接收訪問控制判定評估引擎模塊發(fā)來請求評估所用的策略集合���,然后向注冊中心模塊發(fā)出查詢請求�;接收集合運算優(yōu)化模塊的交集運算結(jié)果Setptjl的標(biāo)識�����,然后通過檢驗策略有效位表Valid-Bit過濾掉無效策略�,同時與預(yù)備策略集模塊中的策略標(biāo)識進行合并,得到小規(guī)模策略集合并發(fā)送給訪問控制判定評估引擎模塊����;當(dāng)需要策略變更時,觸發(fā)策略變更維護模塊�; 新進實體登記模塊:用來處理新進的實體,即在系統(tǒng)部署前沒有進行過預(yù)處理的實體�����;首先,提取該實體對應(yīng)的虛擬實體����,通過映射關(guān)系模塊,鎖定虛擬實體對應(yīng)的第一階段簇FSC���,將該實體的數(shù)值屬性組織成屬性向量�����,通過計算該向量與各第二階段簇SSC的歐幾里德距離��,選出距離最小的���,也就是最相似的第二階段簇SSC,將該新進實體標(biāo)識ID加入到對應(yīng)的映射關(guān)系中���;然后調(diào)用預(yù)處理框架中的第二階段聚類模塊�����,將得到的新進實體對應(yīng)的準(zhǔn)適用策略集Setnew與原有的S-pols合并即可��;上述處理完成后,將該實體對應(yīng)的標(biāo)識加入到實體登記表HashSet中,分別將主體登記表HashSetsub和資源登記表HashSetres中標(biāo)記為已登記����; 屬性變更維護模塊:用來處理已登記實體在系統(tǒng)部署后已登記實體對應(yīng)的一些關(guān)鍵屬性發(fā)生變化的情形��;執(zhí)行時僅需要將該實體的已登記的記錄消除即從實體登記表HashSet中移除已登記實體標(biāo)識��,然后將該實體看作新進實體,調(diào)用新進實體登記模塊即可�;同時將新實體屬性送至屬性權(quán)威模塊中存儲; 策略變更維護模塊:用來處理策略集模塊中的策略發(fā)生變更的情形���;首先�,將原有策略Poltjld從策略庫模塊中移除����,將變更后的新策略Polnrat加入到策略庫模塊和預(yù)備策略集模塊中;再將策略有效位表中原有策略Poltjld對應(yīng)的位bit置為“O”即無效�����;然后����,遍歷各個第一階段簇FSC及各個第二階段簇SSC���,將變更后的新策略polnOT的標(biāo)識加入到變更后的新策略PoImw所適用的簇的準(zhǔn)適用策略集中;完成上述操作后�,將變更后的新策略PoImw在策略有效位表對應(yīng)的位bit置為“1”即有效,并將變更后的新策略標(biāo)識poln?_ID從預(yù)備策略集1吳塊中移除�; 預(yù)備策略集模塊:用于存放必須評估策略及策略標(biāo)識,是針對策略變更維護使用的����,用于策略的加入與移除操作;同時將策略標(biāo)識發(fā)給出策略庫模塊�。
2.一種基于大數(shù)據(jù)的訪問控制判定引擎優(yōu)化方法,其特征在于實現(xiàn)步驟如下: (I)系統(tǒng)部署前的預(yù)處理:即調(diào)用預(yù)處理裝置����、初始化注冊中心模塊和映射關(guān)系模塊;(1.D調(diào)用屬性預(yù)處理模塊���,首先�,進行屬性選擇��,根據(jù)屬性權(quán)威提供的屬性信息以及策略庫模塊提供的策略內(nèi)容選擇參與本系統(tǒng)優(yōu)化的屬性�����;接下來,進行屬性壓縮�,根據(jù)屬性權(quán)威提供的屬性信息��、管理員為每種屬性的屬性值預(yù)先建立好的屬性層次樹以及管理員為每種屬性預(yù)先設(shè)定的期待壓縮后的屬性值團的數(shù)量�����,針對每種選擇出來的屬性分別進行壓縮���;該模塊執(zhí)行完畢后將選擇出的屬性��、及每種屬性對應(yīng)的壓縮后的屬性值團集合�����、每種屬性對應(yīng)的屬性值團間的相似度關(guān)系發(fā)送給第一階段聚類模塊��; (1.2)調(diào)用第一階段聚類模塊�,首先���,初始化虛擬實體之間的相似關(guān)系�����,根據(jù)屬性預(yù)處理模塊的結(jié)果��,計算任意兩個虛擬實體之間的帶權(quán)相似度���;接下來�,第一階段聚類����,根據(jù)經(jīng)典的K-means算法進行適當(dāng)調(diào)整,然后對虛擬實體進行聚類���;然后�����,獲取附屬于各簇的真實實體��,根據(jù)屬性權(quán)威中的實體屬性信息�����,對于各個簇���,遍歷所有的真實實體�,將符合各簇的真實實體的標(biāo)識加入到各簇中�;最后獲取附屬于各個第一階段簇的準(zhǔn)適用策略集F-pols,通過對策略庫中的策略進行修改����,并采用策略模糊匹配來為各個FSC尋找準(zhǔn)適用策略��;該模塊執(zhí)行完畢后將產(chǎn)生的所有的第一階段簇FSC發(fā)送給第二階段聚類模塊���; (1.3)調(diào)用第二階段聚類簇模塊�,首先��,初始化真實實體屬性向量����,根據(jù)屬性權(quán)威模塊提供的屬性信息,將所有的真實實體的數(shù)字屬性組織成向量的形式����;接下來,第二階段聚類�����,對每個第一階段簇FSC中的真實實體,通過Fast Kmeans算法進一步聚類得到第二階段簇SSC ;最后,獲取各個第二階段簇的準(zhǔn)適用策略集S-pols����,通過對策略庫中的策略進行修改,并采用策略模糊匹配來為各個SSC尋找準(zhǔn)適用策略����;該模塊執(zhí)行完畢后將產(chǎn)生的所有的第二階段簇發(fā)送給注冊中心模塊和映射關(guān)系模塊; (1.4)初始化注冊中心模塊����,根據(jù)(1.2)和(1.3)的處理結(jié)果,首先��,建立主體登記表��,遍歷所有經(jīng)過預(yù)處 理的主體即用戶�,將主識標(biāo)識sub_ID添加到主體登記表HashSetsub中;接下來���,建立資源登記表�����,遍歷所有經(jīng)過預(yù)處理的資源����,將res_ID添加到資源登記表HashSetres 中; (1.5)初始化映射關(guān)系模塊����,根據(jù)(1.2)和(1.3)的處理結(jié)果,首先��,遍歷各個FSCsub中的各個SSCsub��,建立用戶與SSCsub的映射關(guān)系���;接下來,遍歷各個FSCms中的各個SSCms,建立用戶與SSCms的映射關(guān)系�����;然后���,遍歷所有的策略���,為每一個動作aCi建立一< Sct ;存放適用于動作aCi的所有的策略標(biāo)識;最后���,分別為虛擬主體和虛擬資源建立虛擬王體HashMapvirsub和虛擬資源HashMapviraes兩個映射關(guān)系����; (2)系統(tǒng)部署后的實時服務(wù)及后臺運維服務(wù)框架: (2.1)客戶端向服務(wù)器的策略執(zhí)行點發(fā)出請求req(sub, res, ac);其中��,sub是指用戶即主體的標(biāo)識����,res是所請求的資源的標(biāo)識,ac是指該用戶即主體針對資源請求的動作��;(2.2)策略執(zhí)行點向訪問控制判定引擎模塊發(fā)出授權(quán)請求req (sub, res, ac)�; (2.3)訪問控制判定引擎模塊根據(jù)sub,res的標(biāo)識信息向?qū)傩詸?quán)威請求實體屬性集��; (2.4)屬性權(quán)威根據(jù)訪問控制判定引擎模塊發(fā)送的請求中sub�,res對應(yīng)的標(biāo)識信息,查詢實體屬性集合�,并將其返回給訪問控制判定引擎模塊; (2.5)訪問控制判定引擎模塊向策略庫模塊請求評估策略集合req(sub, res, ac)��; (2.6)策略庫模塊向?qū)崟r服務(wù)裝置發(fā)出請求req (sub, res, ac)���; (2.7)注冊中心模塊首先根據(jù)主體和資料的標(biāo)識查詢實體登記情況���,并向映射關(guān)系模塊發(fā)送響應(yīng)����;如果有實體未登記事件�,則會觸發(fā)后臺運維服務(wù)中的新進實體登記模塊; (2.8)映射關(guān)系模塊根據(jù)注冊中心發(fā)送的響應(yīng)信息���,查詢映射關(guān)系��,將(sub�,res���,ac)對應(yīng)的準(zhǔn)適用策略集合的標(biāo)識組合(Sidsub, Sidres, Sidac)發(fā)送給集合運算優(yōu)化模塊; (2.9)集合運算優(yōu)化模塊�����,根據(jù)標(biāo)識組全(Sidsub�,Sid_,SidJ得到相應(yīng)的準(zhǔn)適用策略集并執(zhí)行交集優(yōu)化����,得到交集優(yōu)化結(jié)果Setptjl�,發(fā)送給策略庫�; (2.10)預(yù)備策略集模塊將其中的策略標(biāo)識發(fā)送給策略庫模塊; (2.11)策略庫模塊對(2.9)中得到的交集優(yōu)化結(jié)果Setpt5l的標(biāo)識通過檢驗策略有效位表過濾掉無效策略����,同時與預(yù)備策略集模塊中的策略標(biāo)識進行合并發(fā)送給訪問控制判定評估引擎模塊; (2.12)訪問控制判定評估引擎模塊根據(jù)策略庫模塊提交的小規(guī)模策略集合快速做出評估���,并將判定結(jié)果返回給策略執(zhí)行點����; (2.13)策略執(zhí)行點執(zhí)行判定結(jié)果����,并返回給客戶端用戶執(zhí)行情況。
【文檔編號】G06F17/30GK103902742SQ201410171978
【公開日】2014年7月2日 申請日期:2014年4月25日 優(yōu)先權(quán)日:2014年4月25日
【發(fā)明者】王雅哲, 劉桐 申請人:中國科學(xué)院信息工程研究所