[发明专利]一种基于ABAC模型的访问控制系统和方法

说明书

本发明提出一种基于ABAC模型的访问控制系统，其包括：授权服务中心，接收用户编写的授权信息，基于授权信息生成权限策略，权限策略基于XACML描述；策略管理服务中心，统一存储和配置权限策略，权限策略由授权服务中心提交至策略管理服务中心；鉴权服务中心，接收鉴权请求，根据鉴权请求中描述的访问信息命中权限策略，执行权限策略完成鉴权并返回鉴权结果，从而实现访问控制，权限策略由策略管理服务中心向鉴权服务中心提供。并通过NLP算法引导用户生成权限策略，从而使用户可以按照自然语言的语法结构制定精细复杂的权限控制策略，解决了XACML策略描述语法复杂，学习成本高的问题，增加业务的可见性和可读性。

技术领域

本申请属于网络和信息安全技术领域，具体的涉及一种基于ABAC模型的访问控制系统和方法。

背景技术

访问控制技术是一种保护网络信息资源的重要技术手段，其目标是在用户对系统资源进行最大程度共享的基础上，对用户的访问权限进行管理。根据系统安全策略，对合法用户提供已授予权限的服务或资源，拒绝合法用户越权的服务请求和非法用户的非授权访问请求，防止对系统资源的非法篡改和滥用，保证信息系统安全。基于角色的访问控制(Role-based Access Control，RBAC)模型是一类常见的访问控制模型，实际应用中，其主要是针对账号进行授权。随着计算机技术的发展，业务场景越发复杂，软件云化、分布式架构成为主流趋势，RBAC已经不能满足当前的业务需求，在其基础上发展了基于属性的访问控制(Attribute-based Access Control，ABAC)模型。根据美国国家标准和技术研究所出版的《基于属性的访问控制定义指南》，ABAC是一种访问控制方法，其根据主体的指定属性、客体的指定属性、环境条件、以及这些属性和条件指定的一组策略，授予或拒绝主体在客体上执行操作的请求。ABAC模型的安全策略通过组合不同类型的属性，支持细粒度访问控制，灵活、动态、丰富的策略表达等优良特性使其适用于复杂的分布式系统，可以应对复杂的授权场景。

对于应用ABAC模型的大型分布式应用系统的访问控制，集中式的访问控制权限管理无法满足需求，要实现ABAC模型的权限管理需要统一的权限策略语言模型，而权限策略语言模型带来的用户操作复杂度和学习成本严重影响用户操作体验和普及程度。

发明内容

针对上述问题，本申请第一方面提出一种基于ABAC模型的访问控制系统，其包括：

授权服务中心，接收用户编写的授权信息，基于授权信息生成权限策略，权限策略基于XACML描述；

策略管理服务中心，统一存储和配置权限策略，权限策略由授权服务中心提交至策略管理服务中心；

鉴权服务中心，接收鉴权请求，根据鉴权请求中描述的访问信息命中权限策略，执行权限策略完成鉴权并返回鉴权结果，从而实现访问控制，权限策略由策略管理服务中心向鉴权服务中心提供。

进一步地，授权服务中心包括：

资源仓库，存储基础数据；知识库，存储基础特征数据；权限策略管理工作台，获取基础数据并为数据赋予XACML模型的属性标签，生成基础特征数据；NLP算法引擎，采用NLP算法提取授权信息的数据，获得授权特征数据。

进一步地，访问控制系统采用异构微服务架构，NLP算法引擎基于StanfordCoreNLP开发。

进一步地，NLP算法引擎将授权特征数据与基础特征数据进行特征匹配，获取授权信息中的XACML模型的属性标签数据并生成权限策略语法树，权限策略管理工作台还用于从权限策略语法树中提取语义信息，通过预设的映射规则将语义信息和XACML权限策略要素进行规则映射生成XACML权限策略。

进一步地，授权服务中心包括：授权工作台，引导用户编写授权信息，引导的方法包括语法引导、错误提示、自动联想中的至少一种。

进一步地，引导的方法还包括推荐补全，并根据用户对推荐词条的选择进行标注，提取标注的信息存入知识库。