[发明专利]私有云环境下访问控制策略构建系统

权利要求书

1.一种私有云环境下访问控制策略构建系统，其特征在于，该系统包括有数据库(100)、上下文感知模块(200)、局部访问控制策略构建模块(300)、局部访问控制策略优化模块(400)、全局访问控制策略构建模块(500) 和全局访问控制策略分解模块(600)、敏感信息管理模块(700)、领域信息管理模块(800) 和审计模块(900) ；其中，数据库(100) 用于存储局部访问控制策略以及影响局部访问控制策略构建的各种上下文信息及领域知识信息，存放通过冲突检测与调整和融合后的全局访问控制策略以及影响全局访问控制策略调整和融合的服务信息，同时存放对全局访问控制策略进行分解所需的策略敏感信息以及分解后的访问控制策略信息；上下文感知模块(200) 用于感知主体上下文信息、权限上下文信息和环境上下文信息，进而利用领域知识信息形成统一的上下文信息并将结果存储于数据库(100) 中；局部访问控制策略构建模块(300) 用于利用获取到的功能性特征和非功能性特征，共同为局部访问控制策略优化模块提供满足企业安全和功能需求的初始局部访问控制策略集合；局部访问控制策略优化模块(400)从局部访问控制策略构建模块(300)获取初始局部访问控制策略，进而依据角色状态的最小性和角色功能的可解释性，将系统构建的访问控制策略目标因素进行抽取并量化，然后基于对应的目标函数表示各因素对特定目标的影响程度，并在约束限定下基于多目标决策选取在各个目标总体评价最优的局部访问控制策略并存储于数据库(100)中；全局访问控制策略构建模块(500)通过检测参与服务组合的局部访问控制策略中的不一致性，并在可控范围内对整个构建的全局访问控制策略进行动态调整并将最终构建的全局访问控制策略存储于数据库(100)中；全局访问控制策略分解模块(600) 依据参与服务组合的局部访问控制策略所属访问控制域之间的关系，将全局访问控制策略分解到不同的局部访问控制域中并将分解后的访问控制策略存储在数据库(100) 中；敏感信息管理模块(700) 接收来自系统管理员对参与服务组合构建的各个局部访问控制策略服务提供方在全局访问控制策略中的敏感信息进行增加、修改、删除操作，并将操作的结果以及操作记录存储在数据库(100) 中；领域信息管理模块(800) 接收来自系统管理员对影响不同上下文获取与融合的领域知识信息进行增加、修改、删除操作，以及指导服务组合构建所需服务信息的增加、修改、删除操作，并将操作的结果以及操作记录存储在数据库(100) 中；审计模块(900) 接收来自系统管理员输入的查询消息，通过与数据库(100) 的信息交互，获得满足查询条件的所有记录；

所述功能性特征为上下文信息库中描述局部访问控制策略所反映的业务流程相关的特征；

所述非功能性特征为上下文信息库中描述局部访问控制策略中角色被指派依据的非功能性特征信息，包括：用户的职位、部门上下文信息，以及角色所涉及的用户数量和权限数量信息；

所述领域知识信息，包括：描述主体、客体、操作以及环境属性的信息。

2.根据权利要求1 所述的私有云环境下访问控制策略构建系统，其特征在于： 所述数据库（100）包括：领域知识库（110）、上下文信息库（120）、局部策略库（130）、服务信息库（140）、全局访问控制策略库（150）、分解策略库（160）、策略敏感信息库（170）和审计信息库（180），其中，领域知识库（110）用来存放描述主体、客体、操作以及环境属性的领域知识信息；上下文信息库（120）用来存放主体上下文感知、权限上下文感知以及环境上下文感知模块融合后的影响局部访问控制策略构建的上下文信息；局部策略库（130）用来存放基于上下文信息构建与优化的局部访问控制策略集合；服务信息库（140）用来存放描述服务组合过程中的输入和输出信息的范围限制；全局访问控制策略库（150）用来存放消解冲突和融合后的描述服务组合的全局访问控制策略集合；分解策略库（160）用来存放基于敏感信息分解后的策略之间关联关系的信息；策略敏感信息库（170）用来存放系统管理员标注的参与服务组合的局部访问控制策略中的敏感信息；审计信息库（180）存放管理员对领域知识库、服务信息库以及敏感信息进行操作的记录。