The invention discloses a UCON multi duty access control method and system for a cloud service. The method is as follows: 1) the obligation of each set of cloud services; the establishment of each cloud service included duty map; 2) according to the compulsory and optional obligations all map requested by the user to find the cloud services, cloud services, and extract the user on the completion of the cloud service history; 3) for each compulsory figure, monitoring each of its obligations corresponding to property values, the judgment of the obligation is complete, and check all the compulsory map has been completed, if the completion of step 4); 4) for each optional duty map, monitoring each of its obligations of the corresponding property the value of the property, and according to the obligations of historical completion probability judgment to complete the obligations; then calculate the probability of completion of the cloud service obligations all optional graph, if it is greater than the set threshold value begins to provide the cloud service for the user Wu. The invention has flexible access control and high efficiency.
【技术实现步骤摘要】
一种面向云服务的UCON多义务访问控制方法及系统
本专利技术提出一种在云服务中实施访问控制的方法,用以保证提供云服务的系统中数据的安全。本专利技术的
涉及分布式系统,访问控制。
技术介绍
当今,“云”相关概念已经成为人们关注的热点。通过云服务,用户可从世界上任何一个地方通过互联网访问云端的数据和服务。私有云为一个小型的公司或者组织用户提供数据存储服务,公有云则面向公众提供多样化的数据处理服务。无论云服务规模大小,数据安全都是不容忽视的因素,并且已经成为云服务进一步发展的瓶颈。访问控制则是在身份鉴别之后保护系统资源安全的第二道屏障,对于每个提供远程访问的系统来说都是一个很重要的组成部分。访问控制的核心任务是从物理层到服务层限制主体(通常是系统资源的使用者)对客体(数据或者系统资源)任意访问的行为。一些流行的访问控制模型,如RBAC模型、中国墙模型、UCON模型,已经被很多云服务提供商采纳用以保障云平台安全。传统的访问控制模型,最经典的应该是BLP模型和Biba模型。BLP模型是由DavidElliottBell和LeonardJ.LaPadula于1973年提出的,主要用于增强对政府和军事应用的访问控制,它遵循RogerR.Schell为美国国防部提出的应用于为军事安全系统设计的多级安全策略。BLP模型本身是一种强制访问控制,主要面向保护信息的机密性。在该模型中,访问主体、客体、权利、访问矩阵等基本思想被详细阐释,这些思想被随后出现的访问控制模型所沿用。BLP模型提供了访问控制模型中最基本的思想——S-O-R模式,即一个主体S对应一个客体O有相对应的权 ...
【技术保护点】
一种面向云服务的UCON多义务访问控制方法,其步骤为:1)设置每一云服务的义务项;建立每一云服务所包含的义务图并将其保存到一义务图数据库中;所述义务图包括强制义务图和可选义务图;所述义务图为有向无环图;2)根据用户所请求访问的云服务从所述义务图数据库中查找该云服务的所有强制义务图和可选义务图,并提取该用户对该云服务的历史完成情况;3)对于该云服务的每一强制义务图,依次监控该强制义务图每一义务项所对应属性的属性值,判断该义务项是否完成,并检查该云服务的所有强制义务图是否已经完成,如果完成,则进行步骤4);4)对于该云服务的每一可选义务图,依次监控该可选义务图每一义务项所对应属性的属性值,并根据该义务项的历史完成情况判断该义务项的完成概率;然后计算该云服务所有可选义务图的完成概率,如果其大于设定阈值,则开始为该用户提供该云服务;其中,所述有向无环图为BG<V,E>;V代表是该有向无环图中所有义务项的集合;E为有向无环图中的边的集合,每一边为一义务项二元组,其中第一个元素指向第二个元素;所述强制义务图为除开始义务项和终结义务项之外的所有义务项都有唯一的一个前驱义务项和一个后继义务项;所述可选 ...
【技术特征摘要】
1.一种面向云服务的UCON多义务访问控制方法,其步骤为:1)设置每一云服务的义务项;建立每一云服务所包含的义务图并将其保存到一义务图数据库中;所述义务图包括强制义务图和可选义务图;所述义务图为有向无环图;2)根据用户所请求访问的云服务从所述义务图数据库中查找该云服务的所有强制义务图和可选义务图,并提取该用户对该云服务的历史完成情况;3)对于该云服务的每一强制义务图,依次监控该强制义务图每一义务项所对应属性的属性值,判断该义务项是否完成,并检查该云服务的所有强制义务图是否已经完成,如果完成,则进行步骤4);4)对于该云服务的每一可选义务图,依次监控该可选义务图每一义务项所对应属性的属性值,并根据该义务项的历史完成情况判断该义务项的完成概率;然后计算该云服务所有可选义务图的完成概率,如果其大于设定阈值,则开始为该用户提供该云服务;其中,所述有向无环图为BG<V,E>;V代表是该有向无环图中所有义务项的集合;E为有向无环图中的边的集合,每一边为一义务项二元组,其中第一个元素指向第二个元素;所述强制义务图为除开始义务项和终结义务项之外的所有义务项都有唯一的一个前驱义务项和一个后继义务项;所述可选义务图为除初始顶点外,每个顶点都有一个或多个后继顶点以及一个或多个前驱顶点。2.如权利要求1所述的方法,其特征在于所述可选义务图中设置一终节点,所述可选义务图中所有的无后继义务项的义务项顶点指向该终节点。3.如权利要求1所述的方法,其特征在于所述步骤4)中,如果可选义务图中的义务项完成概率会受到它的前驱节点完成情况的影响,则利用贝叶斯网络计算所述可选义务图的完成概率;其中,贝叶斯网络中代表随机变量的节点为义务项,该节点上附加有对应义务项的完成概率;贝叶斯网络中节点间相互关系的边为可选义务图中表示义务执行先后关系的边。4.如权利要求1所述的方法,其特征在于所述步骤4)中,如果可选义务图中的义务项完成概率不受到它的前驱节点完成情况的影响,即每个义务项的完成情况视为相互独立的,则将该可选义务图中每个义务项的完成概率相乘,得到该可选义务图的完成概率。5.如权利要求1所述的方法,...
【专利技术属性】
技术研发人员:杨雅辉,沈晴霓,高天辰,吴中海,
申请(专利权)人:北京大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。