本发明专利技术公开了一种安全运维管理的访问控制系统,其特征在于,将作为表示访问控制策略的智能合约和使用所述访问控制策略的访问控制系统统一部署在同一个区块链上;所述系统,还包括数据存储库、索引服务器、策略执行模块、策略管理模块、采集模块和转发模块。通过本发明专利技术,能够增强安全运维管理的访问控制系统的安全审计功能。
【技术实现步骤摘要】
一种安全运维管理的访问控制系统
本专利技术涉及分布式架构、4A(Authentication认证,Authorization授权,Account账号,Audit审计)、区块链、网络安全的
,尤其涉及到一种安全运维管理的访问控制系统。
技术介绍
目前,大部分现有的数字资源(例如,服务器、数据库、服务,甚至智能对象,从智能手表到无人驾驶汽车)都已连接到互联网,这是因为互联网连接的覆盖范围不断扩大。显然,如果这种连接性一方面能够提供新的更好的功能,但另一方面也会带来未经授权访问这些资源的新的安全风险。为了防止侵犯隐私和错误的或恶意的使用,这些资源需要通过适当的安全机制进行保护,例如,部署访问控制系统。访问控制系统能够控制访问这些资源的企图,仅向在特定访问上下文中实际拥有相应权限的那些用户授予访问权限。因此,为了控制和降低所述安全风险,作为数字资源所有者的企业应该迫切需要部署和运行访问控制系统;然而,由于访问控制系统的配置、部署和管理,会给作为数字资源所有者的企业带来较大的经济负担,这其中包括硬件成本(承载访问控制系统的服务器/虚拟机的购买成本)、软件成本(访问控制系统可能需要定期支付费用)和人力成本(管理员花费在管理访问控制系统的时间成本)。鉴于此,另一种解决方案就是作为数字资源所有者的企业将访问控制功能直接外包给受信任的第三方所提供的访问控制系统(例如,作为服务出租,第三方将访问控制功能),这样可以解决企业(特别是广大中小企业)的燃眉之急。由于近几年以云服务形式实现的访问控制系统已经被商用并且得到了较大的发展,如OpenPMF-SCaaS、ACaaS等,而且这些云服务通常使用开放平台API,其方式使其用户不受使用特定实现的限制,第三方还可以利用这些服务对其拥有的所有资源的策略进行统一管理。例如,Amazon向AWS(AmazonWebService)的用户提供了一种访问控制服务,称为身份和访问管理IAM(IdentityandAccessManagement)。IAM允许Amazon用户通过创建和管理其用户和用户组以及定义允许或拒绝访问其资源的适当权限来管理对其AWS服务和资源的访问。
技术实现思路
为了解决上述技术问题,本专利技术提供了一种安全运维管理的访问控制系统。为作为数字资源所有者的广大中小企业提供了一种将访问控制功能外包给第三方的替代的解决方案。该方案具有访问控制策略的可审计性特征,可以避免第三方的访问控制系统出现诸如访问控制策略配置错误或错误的访问控制而租户无法定位故障、查找原因和采集证据的缺陷。一种安全运维管理的访问控制系统,其特征在于,将智能合约SmartContract和所述访问控制系统均部署在同一个区块链上;所述系统,还包括数据存储库、索引服务器模块、策略执行模块、策略管理模块、采集模块和转发模块;所述数据存储库,存储和管理智能合约的属性;所述索引服务器,基于当前的访问请求,快速查找和定位智能合约,该智能合约包含了与所述访问请求有关的访问控制规则;所述策略执行模块,基于该智能合约进行所述访问请求评估,并返回评估结果(即,允许访问、拒绝访问、不确定或不适用);所述策略管理模块,负责管理访问控制策略的组件,充当策略存储库,以在所述访问请求评估时检索它们,策略管理模块的另一个功能是策略编辑,从而帮助策略的制定者创建、修改、查询和删除访问控制策略;所述采集模块,充当访问控制系统和多种协议数据采集插件,并提供与每一个数据存储库交互的接口;所述转发模块,充当决策流程中的调度组件的功能。进一步地,所述智能合约,被称为智慧策略;进一步地,所述智慧策略,还包括如下的生成步骤:XACML策略编写;从XACML到智能合约的策略转换;在区块链上部署此类合约。本专利技术的技术效果在于:在本专利技术中,提供了一种安全运维管理的访问控制系统,其特征在于,将作为表示访问控制策略的智能合约和使用所述访问控制策略的访问控制系统统一部署在同一个区块链上;所述系统,还包括数据存储库、索引服务器、策略执行模块、策略管理模块、采集模块和转发模块。通过本专利技术,能够增强安全运维管理的访问控制系统的安全审计功能。附图说明图1是一种安全运维管理的访问控制系统的XACML体系结构的示意图;图2是一种安全运维管理的访问控制系统的示意图;图3是一种安全运维管理的访问控制系统的XACML到Solidity解析器示意图。具体实施方式下面是根据附图和实例对本专利技术的进一步详细说明:在本申请中,为作为数字资源所有者的企业提供了一种将访问控制功能外包给第三方的替代解决方案,一种基于区块链技术的安全运维管理的访问控制系统ACS(AccessControlsystem)。所述系统顺从XACML标准和以智能合约(SmartContract)的形式实现,且这些智能合约和访问控制系统在区块链上统一部署、存储和执行。其思想是将访问控制策略转换为可执行的智能合约的代码程序,并通过区块链进行管理,实现一体化的安全运维管理,具有访问控制策略的可审计性特征,可以避免第三方的访问控制系统出现诸如访问控制策略配置错误或错误的访问控制而租户无法定位故障、查找原因和采集证据的缺陷。一般来说,第三方的访问控制系统的访问控制策略是由资源所有者创建和管理的,而租户/或用户/或租用第三方的访问控制系统的用户是无法查看到这些访问控制策略的。第三方全权负责它的访问控制系统运维和管理。一种安全运维管理的访问控制系统,其特征在于,将智能合约SmartContract和所述访问控制系统均部署在同一个区块链上;所述系统,还包括数据存储库、索引服务器模块、策略执行模块、策略管理模块、采集模块和转发模块;所述数据存储库,存储和管理智能合约的属性;所述索引服务器,基于当前的访问请求,快速查找和定位智能合约,该智能合约包含了与所述访问请求有关的访问控制规则;所述策略执行模块,基于该智能合约进行所述访问请求评估,并返回评估结果(即,允许访问、拒绝访问、不确定或不适用);所述策略管理模块,负责管理访问控制策略的组件,充当策略存储库,以在所述访问请求评估时检索它们,策略管理模块的另一个功能是策略编辑,从而帮助策略的制定者创建、修改、查询和删除访问控制策略;所述采集模块,充当访问控制系统和多种协议数据采集插件,并提供与每一个数据存储库交互的接口,从而检索和更新属性的值,包括WMI协议数据采集插件、HTTP协议数据采集插件、MML协议数据采集插件、SNMP协议数据采集插件和syslog协议数据采集插件,等;各种协议数据采集的插件负责基于该协议采集数据,例如,SNMP协议插件,负责基于SNMP协议采集SNMPMIB数据,又如syslog协议插件,负责基于syslog协议采集上报的事件信息等;所述转发模块,充当决策流程中的调度组件的功能。基于区块链的安全运维管理的访问控制系统,可以在很多方面帮助安全运维管理,例如:<本文档来自技高网...
【技术保护点】
1.一种安全运维管理的访问控制系统,其特征在于,将智能合约Smart Contract和所述访问控制系统均部署在同一个区块链上;所述系统,还包括数据存储库、索引服务器模块、策略执行模块、策略管理模块、采集模块和转发模块;/n所述数据存储库,存储和管理智能合约的属性;/n所述索引服务器,基于当前的访问请求,快速查找和定位智能合约,该智能合约包含了与所述访问请求有关的访问控制规则;/n所述策略执行模块,基于该智能合约进行所述访问请求评估,并返回评估结果(即,允许访问、拒绝访问、不确定或不适用);/n所述策略管理模块,负责管理访问控制策略的组件,充当策略存储库,以在所述访问请求评估时检索它们,策略管理模块的另一个功能是策略编辑,从而帮助策略的制定者创建、修改、查询和删除访问控制策略;/n所述采集模块,充当访问控制系统和多种协议数据采集插件,并提供与每一个数据存储库交互的接口;/n所述转发模块,充当决策流程中的调度组件的功能。/n
【技术特征摘要】
1.一种安全运维管理的访问控制系统,其特征在于,将智能合约SmartContract和所述访问控制系统均部署在同一个区块链上;所述系统,还包括数据存储库、索引服务器模块、策略执行模块、策略管理模块、采集模块和转发模块;
所述数据存储库,存储和管理智能合约的属性;
所述索引服务器,基于当前的访问请求,快速查找和定位智能合约,该智能合约包含了与所述访问请求有关的访问控制规则;
所述策略执行模块,基于该智能合约进行所述访问请求评估,并返回评估结果(即,允许访问、拒绝访问、不确定或不适用);
所述策略管理模块,负责管理访问控制策略的组件,充当策略存储库,以在所述访问...
【专利技术属性】
技术研发人员:不公告发明人,
申请(专利权)人:南京联成科技发展股份有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。