[发明专利]一种基于大数据的访问控制判定引擎优化系统及方法

说明书

技术领域

本发明属于信息安全的访问控制领域，具体涉及一种基于大数据的访问控制判定引擎优化系统及方法。

背景技术

随着现代互联网环境的开放度增加、区域互联增强、事物处理趋于多样化和复杂化，人类社会已经逐步迈入了大数据时代。大数据时代的一个显著特征就是用户海量化、资源海量化、交互关系日益复杂化，安全也自然而然成为了首要的问题之一。作为一种信息安全领域的重要技术手段，访问控制技术各方面的性能，在大数据环境下也面临着越来越多的挑战——突出的表现为：①安全性和可靠性要求越来越高，更多的强调细粒度的访问控制；②传统的访问控制手段授权粒度偏粗、可扩展性差，如封闭环境下的访问控制链(ACL)和访问控制矩阵(ACM)和半开放环境下的基于身份的访问控制(IBAC)、基于任务的访问控制(TBAC)以及基于角色的访问控制(RBAC)等，面对海量用户数据和复杂授权关系，表现出较差的兼容性和可扩展性；③绝大多数判定评估引擎的效率偏低。XACML(可扩展性访问控制标记语言)，已逐渐成为多个企业应用和商业产品实现安全授权功能的实际标准，更是广泛的应用于基于属性的访问控制(ABAC)，满足了细粒度访问控制、可扩展性、安全性等要求。然而，分布式资源共享、Web服务、域间协作等新兴业务需要制定大量的XACML策略条目对资源进行细粒度访问控制，但随着策略规模和策略语义复杂性的上升，策略评估效率已成为制约系统可用性的关键瓶颈。XACML规范中虽然给出了访问控制实施框架，但并没有提供策略分析、规则匹配、判定响应等相关的优化处理方法，这在很大程度上导致了XACML策略评估引擎在处理策略信息检索、多策略匹配等问题时的实际性能指标偏低，具体表现为系统资源开销大、访问请求应答延时长、远程通信交互多，因而无法满足商业应用的高业务吞吐量。现有的相关工作主要集中在策略的建模、验证、分析和测试方面，虽然也有少数的工作来优化判定引擎的效率(如：XEngine，Enterprise XACML等)，但是这些方案或者存在诸多的局限、或者在大数据环境下优化效果不够明显，因而都不能给出一种很好的解决方法。

发明内容

本发明技术解决问题：克服现有技术的局限性和低可用性的不足，提供一种基于大数据的访问控制判定引擎优化系统及方法，具有通用性好、安全性高、效率高的优点。

本发明技术解决方案：一种基于大数据的访问控制判定引擎优化系统，如图1所示，由客户端和服务器端组成，客户端用于向服务器端发出请求；服务器端负责对客户端发出的请求进行决策评估、授权及执行；在服务器端负责对客户端发出的请求进行决策评估、授权及执行。其中基于大数据是指以海量用户、海量资源和复杂授权关系为背景所提出的针对大数据的高效访问控制判定引擎的优化系统。部署在服务器端的系统可以划分为四部分主要部分：①原有的访问控制判定引擎及其基础设施，具体包括访问控制判定评估引擎、策略执行点、属性权威和策略库，这些组件构成了经典的PCIM通用访问控制架构(引用出处Moore B，Ellesson E，Strassner J，et al.Policy core information model–version1specification[R].RFC3060，February，2001.)；②预处理框架，该框架用于访问控制判定引擎部署前的处理工作，具体包括属性预处理模块、第一阶段聚类模块、第二阶段聚类模块；③实时服务框架，用于处理服务器端运行时的实时请求，具体包括注册中心模块、映射关系模块、集合运算优化模块；④后台运维框架，用于在整套访问控制判定引擎及优化系统部署后，为了应对实体数据高度动态的改变而可能导致的错误，而提出的运行维护装置，具体包括新进实体登记模块、属性变更维护模块、策略变更维护模块，一个存储模块——预备策略集模块。注意②③④三个部分是本优化系统在传统访问控制架构基础上新增的功能模块，依据其作用的时期来划分的(分别作用在系统部署前、部署中、部署后)。其中：