基于策略审查和授权扩展的访问控制方法技术

本发明专利技术公开了一种基于策略审查和授权扩展的访问控制授权方法，该方法首先扩展了传统ABAC模型资源授权的服务类型，除了许可与拒绝，加入了部分许可的概念。定义策略审查模块，检验用户的属性是否满足策略审查模块里的审查规则集和隐私规则集，先检查审查规则集中的规则，只要有一条不满足，则拒绝服务；满足全部审查规则集后，接下来检查隐私规则集，根据用户属性与隐私规则集的匹配情况，显示部分数据或是全部数据。在制定了资源的访问控制策略之后，应用XACML语言对系统中参与的所有属性进行了统一描述。实现了对资源的细粒度管理，保障了隐私性的同时也增加了灵活性。障了隐私性的同时也增加了灵活性。障了隐私性的同时也增加了灵活性。

【技术实现步骤摘要】
基于策略审查和授权扩展的访问控制方法


[0001]本专利技术属于计算机软件开发领域，特别涉及了分布式计算环境下安全灵活的用户授权方法。

技术介绍

[0002]访问控制是组成信息安全体系不可或缺的重要部分，也是保障分布式计算(包括云计算服务)安全的一个重要方面。访问控制通过对访问主体施加约束，使受保护的信息资源仅在合法范围内可访问。随着云用户数量的增多以及运算存储方式的变化，资源也变得难以集中管控，如何革新研究出适合云计算环境的访问控制模型将成为解决云安全威胁的关键。
[0003]随着云计算环境下角色数量的扩张，RBAC模型存在着授权不灵活的问题。ABAC，作为最适合应用于大数据环境下的访问控制模型，按照信息系统中所存在的庞大用户群与海量资源之间的关联，将整个访问控制策略与模型的实现都集中于属性这一要素上。但是ABAC模型存在的问题是面临不同保护需求的资源，管理的细粒度不够，资源授权的类型只有许可和拒绝。
[0004]Kaiwen等人定义了属性策略语言，给出了解决ABAC策略冲突的办法。Hemdi等人使用策略检查所有未通过认证的用户身份，实现对资源的安全访问。Maesa等人[18]应用区块链技术，把策略构建、管理、执行以及权限交换部署在区块链上，鼓励权限在不同用户之间的分布式传递，考虑到不可否认性，该方案允许分布式审计以防止用户欺诈。Servos等人鼓励用户隐藏身份或者以离线状态完成对属性所有权的证实，并且导入递阶的组属性结构，从而使得更适用于现实生活。
[0005]综上所述，如何改进ABAC模型，实现云计算环境下的对资源的细粒度管理，保障了隐私性的同时并增加其灵活性。已经成为本领域亟待解决的问题。

技术实现思路

[0006]为了解决上述
技术介绍
提到的技术问题，本专利技术提出了基于策略审查和授权扩展的访问控制授权方法。
[0007]为了实现上述技术目的，本专利技术的技术方案为：
[0008]基于策略审查和授权扩展的访问控制授权方法，包括以下步骤：
[0009](1)定义策略审查模块，检验用户的属性是否满足策略审查模块里的审查规则集，检查审查规则集中的规则，只要有一条不满足，则拒绝服务。满足全部审查规则集后，进入步骤(2)；
[0010](2)检查隐私规则集，根据用户属性与隐私规则集的匹配情况，加载请求的数据，当满足所有审查规则后，进入步骤(3)；
[0011](3)启用隐私规则检查，并从隐私函数库中加载隐私函数。通过每个级别的隐私条件对请求进行评估，满足部分隐私条件，PDP(策略决策点)返回部分许可，PEP(策略实施点)
允许该主体对该资源的部分数据进行访问；
[0012](4)在制定了资源的访问控制策略之后，应用系统将策略转换成以XACML描述的标准格式。
[0013]进一步地，在步骤(1)中，策略审查模块的审查规则方法如下：
[0014](101)每一条策略包含两个规则集，审查规则和隐私规则。首先，使用审查规则集检查主体请求，如果一个条件不满足，返回拒绝，主体的请求不被授予访问权限。如果能够满足所有的审查规则，执行(102)；
[0015](102)从数据库加载请求的数据，但是此时并不允许主体对资源的访问。
[0016]进一步地，在步骤(2)中，检查隐私规则集方法如下：使用隐私规则继续检查用户请求，根据访问请求的属性与隐私规则的匹配情况，执行部分隐私规则或全部隐私规则。
[0017]进一步地，在步骤(3)中，隐私规则检查方法如下：属性满足的规则越多，响应主体请求返回的数据就越多。如果主体拥有对所请求数据的管理权限，就可以对整个数据执行操作，包括读、写、修改、删除；而如果主体的属性只能满足一定范围，那么只能对部分数据执行操作，其他数据则隐藏起来。
[0018]进一步地，在步骤(4)中，将策略转换成以XACML描述的标准格式。策略创建的步骤如下：如下：
[0019](401)创建策略ID作为策略标识符，在策略库中每条策略有且仅有唯一的标识符；
[0020](402))制定规则组合算法以消除规则冲突问题；
[0021](403)创建策略的目标和策略包含的相关规则，目标用于评估访问请求是否满足策略，一般包括主体、资源、操作以及匹配函数，规则一般包括效果、目标以及条件约束；
[0022](404)组装以上策略组件形成策略Policy，并以策略文档的形式保存。
[0023]采用上述技术方案带来的有益效果：
[0024](1)针对云计算环境下角色数量的扩张，ABAC模型存管理的细粒度不够的现象。本专利技术扩展了传统ABAC模型资源授权的服务类型，除了许可与拒绝，加入了部分许可的概念，通过此方式，达到实现对资源的细粒度管理。
[0025](2)本专利技术提出的策略审查模块，检验用户的属性是否满足策略审查模块里的审查规则集和隐私规则集，先检查审查规则集中的规则，只要有一条不满足，则拒绝服务；满足全部审查规则集后，接下来检查隐私规则集，根据用户属性与隐私规则集的匹配情况，显示部分数据或是全部数据，相比于传统的ABAC模型，保障了隐私性的同时也增加了灵活性。
附图说明
[0026]图1是本专利技术中的总流程图；
[0027]图2是本专利技术中的策略审查模块流程图；
具体实施方式
[0028]容易理解，依据本专利技术的技术方案，在不变更本专利技术的实质精神的情况下，本领域的一般技术人员可以想象出本专利技术基于策略审查和授权扩展的访问控制方法的多种实施方式。因此，以下具体实施方式和附图仅是对本专利技术的技术方案的示例性说明，而不应当视为本专利技术的全部或者视为对本专利技术技术方案的限制或限定。
[0029]以下将结合附图，对本专利技术的技术方案进行详细说明。
[0030]本专利技术的基本思想是，扩展资源授权的服务类型，除了许可与拒绝，加入了部分许可的概念。定义策略审查模块，检验用户的属性是否满足策略审查模块里的审查规则集和隐私规则集，先检查审查规则集中的规则，只要有一条不满足，则拒绝服务；满足全部审查规则集后，接下来检查隐私规则集，根据用户属性与隐私规则集的匹配情况，显示部分数据或是全部数据，实现了对资源的细粒度管理，保障了隐私性的同时也增加了灵活性。
[0031]基于策略审查和授权扩展的访问控制方法，包括以下步骤：
[0032]步骤1：定义策略审查模块，如图2所示，检验用户的属性是否满足策略审查模块里的审查规则集，检查审查规则集中的规则，只要有一条不满足，则拒绝服务。满足全部审查规则集后，进入步骤2；
[0033]步骤2：检查隐私规则集，根据用户属性与隐私规则集的匹配情况，加载请求的数据，当满足所有审查规则后，进入步骤3；
[0034]步骤3：启用隐私规则检查，并从隐私函数库中加载隐私函数。通过每个级别的隐私条件对请求进行评估，满足部分隐私条件，PDP(策略决策点)返回部分许可，PEP(策略实施点)允许该主体对该资源的部分数据进行访问，整个流程如本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于策略审查和授权扩展的访问控制方法，其特征在于，包括以下步骤：(1)定义策略审查模块，检验用户的属性是否满足策略审查模块里的审查规则集，检查审查规则集中的规则，只要有一条不满足，则拒绝服务。满足全部审查规则集后，进入步骤(2)；(2)检查隐私规则集，根据用户属性与隐私规则集的匹配情况，加载请求的数据，当满足所有审查规则后，进入步骤(3)；(3)启用隐私规则检查，并从隐私函数库中加载隐私函数。通过每个级别的隐私条件对请求进行评估，满足部分隐私条件，PDP(策略决策点)返回部分许可，PEP(策略实施点)允许该主体对该资源的部分数据进行访问；(4)在制定了资源的访问控制策略之后，应用系统将策略转换成以XACML描述的标准格式。2.根据权利要求1所述基于策略审查和授权扩展的访问控制方法，其特征在于，步骤(1)的具体过程如下：(101)每一条策略包含两个规则集，审查规则和隐私规则。首先，使用审查规则集检查主体请求，如果一个条件不满足，返回拒绝，主体的请求不被授予访问权限。如果能够满足所有的审查规则，执行(102)；(102)从数据库加载请求的数据，但是此时并不允许主...

【专利技术属性】
技术研发人员：许峰，张烁，朱颖，董佳辉，倪茜，
申请(专利权)人：南京航空航天大学，
类型：发明
国别省市：