本发明专利技术公开了一种云环境下的多模式安全访问控制方法,针对云环境下不同域内数据访问特点,选择最优的访问控制方法。通过定义一种访问策略描述语言,统一约束访问策略的制定和使用规则,使得IBAC、ABAC和DABAC协同工作,实现云环境下的数据安全保障。在个人域内使用IBAC实现细粒度的访问控制,在群组域内使用ABAC实现高效可扩展的访问控制,并在现有属性访问控制基础上,引入动态属性的概念,采用多叉树结构表达访问策略,设计能够支持动态授权的动态属性访问控制策略,以满足公共域访问控制的自适应需求。
【技术实现步骤摘要】
本专利技术属于计算机存储
,主要涉及一种云环境下的多模式访问控制策略 制定和执行方法。
技术介绍
与传统的存储环境相比,云存储环境具有多态性、复杂性和动态性等特点。多态性 主要表现在用户群体分散广、背景层次差别大、相互之间黏度低及其需求多元化和多样性 等方面;复杂性主要表现在用户在不同的场景下具有不同的特征信息,且用户的特征信息 往往是不可预测的,因此在不同的场景下用户的权限也应不尽相同;动态性则主要表现在 用户的特征信息通常是有时效性的,在不同的时间段内可能会出现完全不同的特征信息, 此外为适应云环境的复杂多变性,数据的访问策略也应不定期的进行更新。因此,日趋多样 性和多元化的云服务必将给云中数据安全带来新的挑战。 面对云环境下海量用户的情形,无论从用户权限设定的简洁性还是从制定访问控 制列表或访问矩阵的复杂度而言,基于身份的访问控制都将无法适应;广泛应用于传统领 域的基于角色访问控制,角色的制定困难、适应性和扩展性差等问题,使其无法适应云环境 开放的特点;目前针对云环境下访问控制,学术界公认基于属性的访问控制将是最佳的解 决方案之一,而传统的基于属性的访问控制虽然可以很好的实现云环境下高效、可扩展的 访问控制需求,但无法适用于用户权限频繁变更或属性值变动频繁的情况。
技术实现思路
针对现有技术的以上缺陷或改进需求,本专利技术提供了一种云环境下的多模式访问 控制策略制定和执行方法,其目的在于,通过三种不同访问控制方法的协同工作,实现云环 境下数据的安全访问控制机制,从而解决现有方法中存在的无法适用于用户权限频繁变更 或属性值变动频繁的技术问题。 为实现上述目的,按照本专利技术的一个方面,提供了一种云环境下的多模式访问控 制策略制定方法,包括以下步骤: (1)客户端根据待上传的数据对象选择需要制定的访问控制策略类型,如果是 IBAC,则进入步骤(2),如果是ABAC,则进入步骤(3),如果是DABAC,则进入步骤(5); (2)客户端将可以访问该数据对象的用户纳入白名单,将不能访问该数据对象的 用户纳入黑名单,然后转步骤(7); ⑶客户端建立多个静态属性二元组Sstatlcattl= {attr _e:attrvalue},其中attrnane 表示属性名称,attrvalue表示属性值; (4)客户端将建立的多个静态属性二元组进行逻辑组合,以生成访问控制策略,然 后转步骤(7)。 (5)客户端建立多个动态属性二元组 Sdynanic attr= {attr nane: (attr valuel, attrvalue2. · · ),attrweight},其中 attr_e表不属性名勒、,attrvalue表不属性值,attrweight表不 属性权重; (6)客户端将建立的多个动态属性二元组进行组合,以生成访问控制策略; (7)将策略封装为xml格式文本,过程结束。 优选地,步骤(6)中动态属性二元组的组合包括逻辑组合、以及动态属性二元组 集合。 按照本专利技术的另一方面,提供了一种云环境下的多模式访问控制策略执行方法, 包括以下步骤: (1)接收来自用户的访问请求,并查找与该访问请求的对象所对应的访问控制策 略,如果是IBAC,则转入步骤(2),如果是ABAC,则转入步骤(4),如果是DABAC,则转入步骤 (5); (2)判断用户是否存在于该访问控制策略的黑名单中,如果是则表示该用户没有 访问权限,过程结束,否则转入步骤(3); (3)判断用户是否存在于该访问控制策略的白名单中,如果是则转入步骤(7),否 则过程结束; (4)获取ABAC访问控制策略,并根据二叉树生成算法将该策略转化为访问控制二 叉树,由此二叉树判断用户的访问权限,若合法则转步骤(7),否则过程结束; (5)获取DABAC访问控制策略,并根据多叉树生成算法将该策略转化为多叉树,并 根据该多叉树判断用户的访问权限,若合法则转步骤(6),否则不执行跳转; (6)向用户返回TAG标签,用于对用户的动态属性值进行反馈修正(该步骤可选, 并非所有动态属性都需要反馈机制); (7)对用户访问请求进行响应,过程结束。 优选地,根据二叉树判断用户的访问权限包括: 4-1)由二叉树生成算法获取访问控制二叉树的根节点; 4-2)判断根节点是否有左右子树,若没有左右子树,则跳转至步骤4-7),否则不 跳转; 4-3)获取根节点的逻辑词,按照AND、0R、N0T分别采取不同的处理方法,并获取其 左右子树,其中若其左子树是叶子节点,则跳转至步骤4-7),否则不跳转,若其右子树是叶 子节点,则跳转至步骤4-7),否则跳转至步骤4-5)。 4-4)以左子树的根节点作为新的根节点,然后返回步骤4-2); 4-5)以右子树的根节点作为新的根节点,然后返回步骤4-2); 4-6)返回到整个访问控制二叉树的根节点,并判断是否有匹配成功信息,如果有 则跳转至步骤4-8),否则表示匹配失败,过程结束; 4-7)对叶子节点进行处理,处理规则如下:若叶子节点所拥有的静态属性在用户 属性集内,且用户属性值满足叶子节点的表达式要求,则表示该节点匹配成功,返回匹配成 功信息,否则返回匹配失败信息; 4-8)用户属性满足该访问控制要求,权限判断过程结束。 优选地,步骤(5)中在进行权限判断时,遇到in关键词应该按照如下规则对in关 键词进行处理: 1)将in表达式分解为:权重表达式+子限制条件 2)当遇到根节点不是逻辑连接词,而是权重表达式时,遍历所有子限制条件项,判 断用户动态属性集是否满足子限制条件规则要求,并计算权重值; 3)比较计算的权重值是否满足权重表达式,若满足则表示该节点匹配成功,否则 匹配失败。 总体而言,通过本专利技术所构思的以上技术方案与现有技术相比,能够取得下列有 益效果: (1)本专利技术适用于用户权限频繁变更或属性值变动频繁的情况:策略制定部分, 由于采用了步骤(2)、步骤(3)和步骤(5),使用户可以根据自己的需要选择相应的访问控 制方案,可以实现细粒度以用户为单位的身份访问控制、在大用户基数下实现快速便捷的 属性访问控制和实现自适应的动态属性访问控制,并且满足了云环境下的多样化需求。 (2)本专利技术简化了不同场景下访问策略的制定和权限判断:本专利技术中的访问策 略描述语言采用标签式策略描述,在策略制定部分,由于采用了步骤(4)和步骤(6),使得 ABAC中逻辑表达的访问策略更加清晰和便于解析,结合对应的权限判断算法,相较于传统 的XACML而言,简化了访问策略的制定和权限判断的复杂度; (3)本专利技术在现有属性访问控制基础上,引入动态属性的概念,通过用户的访问行 为动态修正用户的属性集合,相较于传统的静态属性访问控制而言,一方面扩充了属性的 应用范畴,将不可量化和瞬时动态的属性纳入访问策略的条件判断之中,增强了访问策略 的自适应性和扩展性;另一方面在策略执行部分,由于步骤(6)通过动态修正用户的属性 集合,可以为用户提供个性化的服务需求。【附图说明】 图1是本专利技术涉及的多模式安全访问控制模型; 图2是本专利技术涉及的访问策略制定流程图; 图3是本专利技术涉及的权限判断流程图。【具体实施方式】 为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图本文档来自技高网...
【技术保护点】
一种云环境下的多模式访问控制策略制定方法,其特征在于,包括以下步骤:(1)客户端根据待上传的数据对象选择需要制定的访问控制策略类型,如果是IBAC,则进入步骤(2),如果是ABAC,则进入步骤(3),如果是DABAC,则进入步骤(5);(2)客户端将可以访问该数据对象的用户纳入白名单,将不能访问该数据对象的用户纳入黑名单,然后转步骤(7);(3)客户端建立多个静态属性二元组Sstaticattr={attrname:attrvalue},其中attrname表示属性名称,attrvalue表示属性值;(4)客户端将建立的多个静态属性二元组进行逻辑组合,以生成访问控制策略,然后转步骤(7)。(5)客户端建立多个动态属性二元组Sdynamic attr={attrname:(attrvalue1,attrvalue2...),attrweight},其中attrname表示属性名称,attrvalue表示属性值,attrweight表示属性权重;(6)客户端将建立的多个动态属性二元组进行组合,以生成访问控制策略;(7)将策略封装为xml格式文本,过程结束。
【技术特征摘要】
【专利技术属性】
技术研发人员:李春花,周可,吴泽邦,魏荣磊,雷成,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。