【技术实现步骤摘要】
面向微服务的动态访问控制策略评估方法
[0001]本专利技术属于微服务环境下的访问控制安全
,提出了一种在微服务环境下动态访问控制策略评估方法。该方法主要基于两种技术:一是基于属性的Jaccard相似度的计算方法,用于消解冲突及冗余策略;二是基于匹配树结构对策略更新局部进行维护,对其余部分继续进行策略评估。本专利技术提出的方法,既可有效减少无关策略的干扰,提高策略评估效率;又可保证在微服务策略动态更新下的局部维护,不影响其余部分的策略评估。
技术介绍
[0002]近年来,随着信息技术的高速发展以及用户量的大幅增加,软件架构领域出现了敏捷开发部署、自治性等新的行业需求。基于此,微服务架构应运而生,并成为未来软件架构发展的必然趋势。2014年Martin Fowler专家正式提出微服务架构的概念,微服务是一种架构风格,其将一个单个应用程序开发为一套小型服务,整体微服务系统具有动态灵活伸缩的特性,各服务模块具有独立自主开发部署和技术栈灵活的特性。
[0003]微服务架构逐渐成为主流架构,故其安全问题是一个成熟架构必须考虑的关键问题。微服务架构将软件系统拆分为一组“小而微”的服务,故其完成复杂业务时,需多个微服务灵活组合,协同合作。当前微服务系统大多采用网关做统一认证授权,短时间内访问量剧增会产生雪崩效应;由于微服务环境下的访问请求一般为无状态请求,包含请求的所有信息,所以所有的访问请求均需进行控制,造成访问控制工作量较大;又因为微服务架构具有动态灵活伸缩的特性,各服务模块均为动态启动和注销,可灵活加入或退出系 ...
【技术保护点】
【技术特征摘要】
1.面向微服务的动态访问控制策略评估方法,其特征在于:包括以下步骤:步骤1:接收并处理访问请求;步骤1.1:用户端请求访问微服务资源,发出访问请求;用户端包括手机端、PC端用户等,访问请求主要包括主体属性、资源属性、操作属性、时间属性、环境属性等;步骤1.2:服务网关中PEP处接收并处理用户的访问请求,转发请求到PDP;步骤1.3:服务网关处策略决策点PDP接收并转发访问请求给PAP;步骤2:策略的精简优化;首先根据接收到的访问请求提取所需的访问控制策略;然后对策略进行精简优化,使用基于属性的Jaccard相似度计算方法消解冲突及冗余策略;步骤2.1:根据接收到的访问请求,提取请求所需的策略集;根据访问请求中的关键属性信息,从服务网关的策略库中选出关键属性匹配的策略集,关键属性匹配即访问请求中的关键属性与访问控制策略中的对应属性匹配或含有相同属性内容项;步骤2.2:使用基于属性的Jaccard相似度计算方法精简优化策略集;步骤3:构建匹配树;步骤4:基于匹配树进行微服务的动态访问控制策略评估;步骤4.1:检测待评估的策略中是否有策略更新,若无策略更新,进行策略评估,给出判定结果;步骤4.2:检测待评估的策略中是否有策略更新,若有策略更新,进行如下操作;(1)将该匹配树状态值设置为0,对更新的策略局部加锁,其余部分可以继续进行策略评估;(2)生成一个新的匹配树,对新生成的匹配树进行策略更新维护;(3)当策略更新局部维护完成后,设置状态值为1,并使用维护完成的新匹配树替换原有匹配树;步骤5:应答访问请求,根据判定结果调用相应的微服务资源。2.根据权利要求1所述的面向微服务的动态访问控制策略评估方法,其特征在于,所述步骤2.2使用基于属性的Jaccard相似度计算方法精简优化策略集,包括以下步骤:(1)对于筛选出的策略,使用基于属性的Jaccard相似度计算方法,P
i
和P
j
是策略评估所需的任意两条策略,其相似度系数是两条策略中属性的交集与并集的比值,比值均在0
‑
1之间,Jaccard系数值越大,两个策略中所比较的属性的相似度越高;(2)根据策略中的资源属性、操作属性及时间属性对访问控制策略进行初步分组,将资源属性、操作属性及时间属性完全相同的分为一组,部分相同的分为另一组;(3)根据策略中的其他属性进行细粒度的分类讨论;1)冲突策略的精简;如果两策略均属于策略评估所需的策略集中的策略,其资源属性、操作属性及时间属性的Jaccard系数值均为1,且效用属性相反,一个允许操作,一个拒绝操作,则符合冲突策略精化的条件,进行如下操作:如果两策略P
i
和P
j
的其他属性的Jaccard系数值均为1,如主体属性和环境属性等,从安全考虑,效用属性选择拒绝优先,删除效用属性为允许的策略;
如果两个策略的主体属性和环境属性存在交集,则删除两策略中的属性交集,更新P
i
和P
j
策略的属性集为两策略中分别剩余的属性集,对P
i
和P
j
策略分别继续采用原本的效用属性;2)冗余策略的精简;如果两策略P
i
和P
j
均属于策略评估所需的策略集中的策略,其资源属性、操作属性及时间属性部分相同,且P
i
和P
j
的效用属性相同,均为允许或拒绝,则符合冗余策略精化的条件,进行如下操作:如果两策略P
i
和P
j
的资源属性、操作属性、时间属性、...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。