一种基于大数据的访问控制判定引擎优化系统及方法技术方案

一种基于大数据的访问控制判定引擎优化系统，由客户端和服务器端组成，服务器端负责对客户端发出的请求进行决策评估、授权及执行；分为四个部分：①原有的访问控制判定引擎及其基础设施部分，包括访问控制判定评估引擎模块、策略执行点、属性权威模块和策略库模块；②预处理框架置，用于访问控制判定引擎部署前的处理工作，包括属性预处理模块、第一阶段聚类模块、第二阶段聚类模块；③实时服务框架，用于处理服务器端运行时的实时请求，包括注册中心模块、映射关系模块、集合运算优化模块；④后台运维框架，包括新进实体登记模块、属性变更维护模块、策略变更维护模块和预备策略集模块。本发明专利技术具有高效性、高可用性、安全性、通用性的优点。

【技术实现步骤摘要】
一种基于大数据的访问控制判定引擎优化系统及方法
本专利技术属于信息安全的访问控制领域，具体涉及一种基于大数据的访问控制判定引擎优化系统及方法。
技术介绍
随着现代互联网环境的开放度增加、区域互联增强、事物处理趋于多样化和复杂化，人类社会已经逐步迈入了大数据时代。大数据时代的一个显著特征就是用户海量化、资源海量化、交互关系日益复杂化，安全也自然而然成为了首要的问题之一。作为一种信息安全领域的重要技术手段，访问控制技术各方面的性能，在大数据环境下也面临着越来越多的挑战——突出的表现为：①安全性和可靠性要求越来越高，更多的强调细粒度的访问控制；②传统的访问控制手段授权粒度偏粗、可扩展性差，如封闭环境下的访问控制链(ACL)和访问控制矩阵(ACM)和半开放环境下的基于身份的访问控制(IBAC)、基于任务的访问控制(TBAC)以及基于角色的访问控制(RBAC)等，面对海量用户数据和复杂授权关系，表现出较差的兼容性和可扩展性；③绝大多数判定评估引擎的效率偏低。XACML(可扩展性访问控制标记语言)，已逐渐成为多个企业应用和商业产品实现安全授权功能的实际标准，更是广泛的应用于基于属性的访问控制(ABAC)，满足了细粒度访问控制、可扩展性、安全性等要求。然而，分布式资源共享、Web服务、域间协作等新兴业务需要制定大量的XACML策略条目对资源进行细粒度访问控制，但随着策略规模和策略语义复杂性的上升，策略评估效率已成为制约系统可用性的关键瓶颈。XACML规范中虽然给出了访问控制实施框架，但并没有提供策略分析、规则匹配、判定响应等相关的优化处理方法，这在很大程度上导致了XACML策略评估引擎在处理策略信息检索、多策略匹配等问题时的实际性能指标偏低，具体表现为系统资源开销大、访问请求应答延时长、远程通信交互多，因而无法满足商业应用的高业务吞吐量。现有的相关工作主要集中在策略的建模、验证、分析和测试方面，虽然也有少数的工作来优化判定引擎的效率(如：XEngine，EnterpriseXACML等)，但是这些方案或者存在诸多的局限、或者在大数据环境下优化效果不够明显，因而都不能给出一种很好的解决方法。
技术实现思路
本专利技术技术解决问题：克服现有技术的局限性和低可用性的不足，提供一种基于大数据的访问控制判定引擎优化系统及方法，具有通用性好、安全性高、效率高的优点。本专利技术技术解决方案：一种基于大数据的访问控制判定引擎优化系统，如图1所示，由客户端和服务器端组成，客户端用于向服务器端发出请求；服务器端负责对客户端发出的请求进行决策评估、授权及执行；在服务器端负责对客户端发出的请求进行决策评估、授权及执行。其中基于大数据是指以海量用户、海量资源和复杂授权关系为背景所提出的针对大数据的高效访问控制判定引擎的优化系统。部署在服务器端的系统可以划分为四部分主要部分：①原有的访问控制判定引擎及其基础设施，具体包括访问控制判定评估引擎、策略执行点、属性权威和策略库，这些组件构成了经典的PCIM通用访问控制架构(引用出处MooreB，EllessonE，StrassnerJ，etal.Policycoreinformationmodel–version1specification[R].RFC3060，February，2001.)；②预处理框架，该框架用于访问控制判定引擎部署前的处理工作，具体包括属性预处理模块、第一阶段聚类模块、第二阶段聚类模块；③实时服务框架，用于处理服务器端运行时的实时请求，具体包括注册中心模块、映射关系模块、集合运算优化模块；④后台运维框架，用于在整套访问控制判定引擎及优化系统部署后，为了应对实体数据高度动态的改变而可能导致的错误，而提出的运行维护装置，具体包括新进实体登记模块、属性变更维护模块、策略变更维护模块，一个存储模块——预备策略集模块。注意②③④三个部分是本优化系统在传统访问控制架构基础上新增的功能模块，依据其作用的时期来划分的(分别作用在系统部署前、部署中、部署后)。其中：属性预处理模块，首先进行属性选择，根据属性权威模块提供的属性信息以及策略库模块提供的策略内容选择参与本系统优化的属性；再进行属性压缩，根据属性权威模块提供的属性信息，为每种属性的属性值预先建立好的属性层次树以及为每种属性预先设定的期待压缩后的属性值团的数量，针对每种选择出来的属性即关键属性分别进行压缩；压缩后将选择出的属性、及每种属性对应的压缩后的属性值团集合、每种属性对应的属性值团间的相似度关系发送给第一阶段聚类模块；所述属性是指描述实体的某些特征，所述实体包括主体和资源，所述实体分为真实实体和虚拟实体；所述属性分为种类属性和数字属性，所述种类属性是指一些字符串类型的属性，更多的表明一些性质上特点的属性；所述数字属性是一些数值类型，包括整型和实数型，更多的表明一些数量上的特征；所述属性信息就是属性集合；所述属性值是该属性可能的取值；所述属性值团是指多个属性值压缩后所在的小型集合(管理员规定参数，想小到什么程度就能小到什么程度，最小为1)，是属性压缩技术的产物；所述属性层次树是指对于种类属性，对其下所属的属性值按照归属、包含的联系建立起来属性值之间的依赖关系，将这种依赖归结为树形结构；第一阶段聚类模块，首先，初始化虚拟实体之间的相似关系，根据属性预处理模块的结果，计算任意两个虚拟实体之间的带权相似度；再根据经典的K-means算法进行适当调整，并根据两个虚拟实体之间的带权相似度对虚拟实体进行聚类，得到第一阶段簇FSC；然后，根据属性权威模块中的实体属性信息，对于各个簇，遍历所有的真实实体，将符合各簇的真实实体的标识加入到各簇中，获取该簇中虚拟实体对应的真实实体的集合；最后，通过对策略库模块中的策略进行修改，并采用策略模糊匹配来为各个第一阶段簇FSC寻找准适用策略，从而获取附属于各个第一阶段簇的准适用策略集F-pols，所述准适用策略指通过策略模糊匹配方法得到的适用策略集合；该模块执行完毕后将产生的所有的第一阶段簇FSC结果发送给第二阶段聚类模块；所述第一阶段簇FSC结果包括虚拟实体的集合、第一阶段准适用策略集F-pols、与该簇中虚拟实体对应的真实实体的集合；第二阶段聚类簇模块，首先，初始化真实实体属性向量，即根据属性权威模块提供的属性信息，将所有的真实实体的数字属性组织成向量的形式；然后对每个第一阶段簇FSC中的真实实体，通过FastKmeans算法进一步聚类得到第二阶段簇SSC，执行过程中要保留各个第二阶段簇SSC的簇心即向量；再通过对策略库模块中的策略进行修改，并采用策略模糊匹配来为各个第二阶段簇SSC寻找准适用策略，获取各个第二阶段簇的准适用策略集S-pols；最后将得到的所有第二阶段簇SSC结果发送给注册中心模块和映射关系模块；所述第二阶段簇SSC结果包括真实实体的集合、簇心、第二阶段准适用策略集S-pols；注册中心模块，根据第一阶段聚类簇模块和第二阶段聚类簇模块得到的结果，首先，建立主体登记表HashSetsub，遍历所有经过预处理后的主体即用户，将主体标识sub_ID添加到主体登记表HashSetsub中；然后建立资源登记表HashSetres，遍历所有经过预处理后的资源，将资源标识res_ID添加到资源登记表Hash本文档来自技高网...

【技术保护点】
一种基于大数据的访问控制判定引擎优化系统，其特征在于：由客户端和服务器端组成，客户端用于向服务器端发出请求；服务器端负责对客户端发出的请求进行决策评估、授权及执行；部署在服务器端运行的系统分为四个部分：①原有的访问控制判定引擎及其基础设施部分，具体包括访问控制判定评估引擎模块、策略执行点、属性权威模块和策略库模块；②预处理框架，包括属性预处理模块、第一阶段聚类模块、第二阶段聚类模块；③实时服务框架，包括注册中心模块、映射关系模块、集合运算优化模块；④后台运维框架，包括新进实体登记模块、属性变更维护模块、策略变更维护模块和预备策略集模块；属性预处理模块，首先进行属性选择，根据属性权威模块提供的属性信息以及策略库模块提供的策略内容选择参与优化的关键属性；再进行属性压缩，根据属性权威模块提供的属性信息，为每种属性的属性值预先建立好的属性层次树以及为每种属性预先设定的期待压缩后的属性值团的数量，针对每种选择出来的属性即关键属性分别进行压缩；压缩后将选择出的属性、及每种属性对应的压缩后的属性值团集合、每种属性对应的属性值团间的相似度关系发送给第一阶段聚类模块；所述属性是指描述实体的某些特征，所述实体包括主体和资源，所述实体分为真实实体和虚拟实体；所述属性分为种类属性和数字属性，所述种类属性是指一些字符串类型的属性，更多的表明一些性质上特点的属性；所述数字属性是一些数值类型，包括整型和实数型，更多的表明一些数量上的特征；所述属性信息就是属性集合；所述属性值是该属性可能的取值；所述属性值团是指多个属性值压缩后所在的小型集合，是属性压缩技术的产物；所述属性层次树是指对于种类属性，对其下所属的属性值按照归属、包含的联系建立起来属性值之间的依赖关系，将这种依赖归结为树形结构；第一阶段聚类模块，首先，初始化虚拟实体之间的相似关系，根据属性预处理模块的结果，计算任意两个虚拟实体之间的带权相似度；再根据经典的K‑means算法进行适当调整，并根据两个虚拟实体之间的带权相似度对虚拟实体进行聚类，得到第一阶段簇FSC；然后，根据属性权威模块中的实体属性信息，对于各个簇，遍历所有的真实实体，将符合各簇的真实实体的标识加入到各簇中，获取该簇中虚拟实体对应的真实实体的集合；最后，通过对策略库模块中的策略进行修改，并采用策略模糊匹配来为各个第一阶段簇FSC寻找准适用策略，从而获取附属于各个第一阶段簇的准适用策略集F‑pols，所述准适用策略指通过策略模糊匹配方法得到的适用策略集合；该模块执行完毕后将产生的所有的第一阶段簇FSC结果发送给第二阶段聚类模块；所述第一阶段簇FSC结果包括虚拟实体的集合、第一阶段准适用策略集F‑pols、与该簇中虚拟实体对应的真实实体的集合；第二阶段聚类簇模块，首先，初始化真实实体属性向量，即根据属性权威模块提供的属性信息，将所有的真实实体的数字属性组织成向量的形式；然后对每个第一阶段簇FSC中的真实实体，通过Fast Kmeans算法进一步聚类得到第二阶段簇SSC，执行过程中要保留各个第二阶段簇SSC的簇心即向量；再通过对策略库模块中的策略进行修改，并采用策略模糊匹配来为各个第二阶段簇SSC寻找准适用策略，获取各个第二阶段簇的准适用策略集S‑pols；最后将得到的所有第二阶段簇SSC结果发送给注册中心模块和映射关系模块；所述第二阶段簇SSC结果包括真实实体的集合、簇心、第二阶段准适用策略集S‑pols；注册中心模块，根据第一阶段聚类簇模块和第二阶段聚类簇模块得到的结果，首先，建立主体登记表HashSetsub，遍历所有经过预处理后的主体即用户，将主体标识sub_ID添加到主体登记表HashSetsub中；然后建立资源登记表HashSetres，遍历所有经过预处理后的资源，将资源标识res_ID添加到资源登记表HashSetres中；同时接收策略库模块发出的查稳步请求，根据主识和资源的标识查询实体登记情况，并向映射关系模块发送响应；如果有实体未登记事件，则会触发后台运维服务中的新进实体登记模块；映射关系模块，根据第一阶段聚类簇模块和第二阶段聚类簇模块得到的结果，首先，遍历各个主体第一阶段簇FSCsub中的各个主体第二阶段簇SSCsub，建立主体与对应主体第一阶段簇SSCsub的映射关系；再遍历各个资源第一阶段簇中的各个资源第二阶段簇SSCres，建立主体与对应各个资源第二阶段簇SSCres的映射关系；然后遍历策略库模块中所有的策略，为每一个动作aci建立一个动作集合用于存放适用于动作acx的所有的策略标识；最后，分别为虚拟主体和虚拟资源建立两个映射关系，即虚拟主体映射关系HashMapvirsub和虚拟资源映射关系HashMapvirres，再根据注册中心发送的响应信息，查询映射关系，得到主体请求(sub,res,ac)对应的准适用策略集...

【技术特征摘要】
1.一种基于大数据的访问控制判定引擎优化系统，其特征在于：由客户端和服务器端组成，客户端用于向服务器端发出请求；服务器端负责对客户端发出的请求进行决策评估、授权及执行；部署在服务器端运行的系统分为四个部分：①原有的访问控制判定引擎及其基础设施部分，具体包括访问控制判定评估引擎模块、策略执行点、属性权威模块和策略库模块；②预处理框架，包括属性预处理模块、第一阶段聚类模块、第二阶段聚类模块；③实时服务框架，包括注册中心模块、映射关系模块、集合运算优化模块；④后台运维框架，包括新进实体登记模块、属性变更维护模块、策略变更维护模块和预备策略集模块；属性预处理模块，首先进行属性选择，根据属性权威模块提供的属性信息以及策略库模块提供的策略内容选择参与优化的关键属性；再进行属性压缩，根据属性权威模块提供的属性信息，为每种属性的属性值预先建立好的属性层次树以及为每种属性预先设定的期待压缩后的属性值团的数量，针对每种选择出来的属性即关键属性分别进行压缩；压缩后将选择出的属性、及每种属性对应的压缩后的属性值团集合、每种属性对应的属性值团间的相似度关系发送给第一阶段聚类模块；所述属性是指描述实体的某些特征，所述实体包括主体和资源，所述实体分为真实实体和虚拟实体；所述属性分为种类属性和数字属性，所述种类属性是指一些字符串类型的属性，更多的表明一些性质上特点的属性；所述数字属性是一些数值类型，包括整型和实数型，更多的表明一些数量上的特征；所述属性信息就是属性集合；所述属性值是该属性可能的取值；所述属性值团是指多个属性值压缩后所在的小型集合，是属性压缩技术的产物；所述属性层次树是指对于种类属性，对其下所属的属性值按照归属、包含的联系建立起来属性值之间的依赖关系，将这种依赖归结为树形结构；第一阶段聚类模块，首先，初始化虚拟实体之间的相似关系，根据属性预处理模块的结果，计算任意两个虚拟实体之间的带权相似度；再根据经典的K-means算法进行适当调整，并根据两个虚拟实体之间的带权相似度对虚拟实体进行聚类，得到第一阶段簇FSC；然后，根据属性权威模块中的实体属性信息，对于各个簇，遍历所有的真实实体，将符合各簇的真实实体的标识加入到各簇中，获取该簇中虚拟实体对应的真实实体的集合；最后，通过对策略库模块中的策略进行修改，并采用策略模糊匹配来为各个第一阶段簇FSC寻找准适用策略，从而获取附属于各个第一阶段簇的准适用策略集F-pols，所述准适用策略指通过策略模糊匹配方法得到的适用策略集合；该模块执行完毕后将产生的所有的第一阶段簇FSC结果发送给第二阶段聚类模块；所述第一阶段簇FSC结果包括虚拟实体的集合、第一阶段准适用策略集F-pols、与该簇中虚拟实体对应的真实实体的集合；第二阶段聚类簇模块，首先，初始化真实实体属性向量，即根据属性权威模块提供的属性信息，将所有的真实实体的数字属性组织成向量的形式；然后对每个第一阶段簇FSC中的真实实体，通过FastKmeans算法进一步聚类得到第二阶段簇SSC，执行过程中要保留各个第二阶段簇SSC的簇心即向量；再通过对策略库模块中的策略进行修改，并采用策略模糊匹配来为各个第二阶段簇SSC寻找准适用策略，获取各个第二阶段簇的准适用策略集S-pols；最后将得到的所有第二阶段簇SSC结果发送给注册中心模块和映射关系模块；所述第二阶段簇SSC结果包括真实实体的集合、簇心、第二阶段准适用策略集S-pols；注册中心模块，根据第一阶段聚类簇模块和第二阶段聚类簇模块得到的结果，首先，建立主体登记表HashSetsub，遍历所有经过预处理后的主体即用户，将主体标识sub_ID添加到主体登记表HashSetsub中；然后建立资源登记表HashSetres，遍历所有经过预处理后的资源，将资源标识res_ID添加到资源登记表HashSetres中；同时接收策略库模块发出的查稳步请求，根据主识和资源的标识查询实体登记情况，并向映射关系模块发送响应；如果有实体未登记事件，则会触发后台运维服务中的新进实体登记模块；映射关系模块，根据第一阶段聚类簇模块和第二阶段聚类簇模块得到的结果，首先，遍历各个主体第一阶段簇FSCsub中的各个主体第二阶段簇SSCsub，建立主体与对应主体第一阶段簇SSCsub的映射关系；再遍历各个资源第一阶段簇中的各个资源第二阶段簇SSCres，建立主体与对应各个资源第二阶段簇SSCres的映射关系；然后遍历策略库模块中所有的策略，为每一个动作aci建立一个动作集合Setaci用于存放适用于动作aci的所有的策略标识；最后，分别为虚拟主体和虚拟资源建立两个映射关系，即虚拟主体映射关系HashMapvirsub和虚拟资源映射关系HashMapvirres，再根据注册中心发送的响应信息，查询映射关系，得到主体请求(sub,res,ac)对应的准适用策略集合的标识组合(Sidsub,Sidres,Sidac)，并将所述标识组合(Sidsub,Sidres,Sidac)发送给集合运算优化模块；sub是指用户即主体的标识，res是所请求的资源的标识，ac是指该用户即主体针对资源请求的动作；集合运算优化模块，根据映射关系模块传递的标识组合(Sidsub,Sidres,Sidac)进行交集运算，并将交集运算结果Setpol提交给策略库模块；属性权威模块，是属性数据库系统，负责存储实体属性，管理实体属性，管理实体属性包括有关属性增加、删除、变更和查询业务；接收访问控制判定评估引擎模块发出主体标识sub_ID以及资源标识res_ID请求查询，并将查询到的主体和资源的相关属性结果返回访问控制判定评估引擎模块；同时对经过属性预处理模块处理后发生变化的主体或者资源的属性，作为一个触发属性变更维护服务的事件，发送给属性变更维护模块；策略执行点，接收客户端发出的请求，并将请求访问控制判定评估引擎模块发出评估请求；同时将访问控制判定评估引擎模块的评估结果返回给客户端；访问控制判定评估引擎模块，根据客户端的用户请求即主体请求，向属性权威模块请求主体和资源的相关属性；同时接收属性权威模块发回的查询后的主体和资源的相关属性；访问控制引擎根据主体和资源的相关属性在进行具体授权判定的时候，向策略库模块发出请求策略集，接收到策略库模块发来的策略集后，依据该策略集进行判定，并将判定结果输出给主体即用户；策略库模块，用于存放策略，同时有策略有效位表，它是策略库中实时维护的一个数据结构，用来标识每个策略的有效性，每一个位对应一个策略，“0”表示策略无效；接收访问控制判定评估引擎模块发来请求评估所用的策略集合，然后向注册中心模块发出查询请求；接收集合运算优化模块的交集运算结果Setpol的标识，然后通过检验策略有效位表Valid-Bit过滤掉无效策略，同时与预备策略集模块中的...

【专利技术属性】
技术研发人员：王雅哲，刘桐，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京;11