[发明专利]一种基于大数据的访问控制判定引擎优化系统及方法

摘要

一种基于大数据的访问控制判定引擎优化系统，由客户端和服务器端组成，服务器端负责对客户端发出的请求进行决策评估、授权及执行；分为四个部分①原有的访问控制判定引擎及其基础设施部分，包括访问控制判定评估引擎模块、策略执行点、属性权威模块和策略库模块；②预处理框架置，用于访问控制判定引擎部署前的处理工作，包括属性预处理模块、第一阶段聚类模块、第二阶段聚类模块；③实时服务框架，用于处理服务器端运行时的实时请求，包括注册中心模块、映射关系模块、集合运算优化模块；④后台运维框架，包括新进实体登记模块、属性变更维护模块、策略变更维护模块和预备策略集模块。本发明具有高效性、高可用性、安全性、通用性的优点。

主权项

一种基于大数据的访问控制判定引擎优化系统，其特征在于：由客户端和服务器端组成，客户端用于向服务器端发出请求；服务器端负责对客户端发出的请求进行决策评估、授权及执行；部署在服务器端运行的系统分为四个部分：①原有的访问控制判定引擎及其基础设施部分，具体包括访问控制判定评估引擎模块、策略执行点、属性权威模块和策略库模块；②预处理框架，包括属性预处理模块、第一阶段聚类模块、第二阶段聚类模块；③实时服务框架，包括注册中心模块、映射关系模块、集合运算优化模块；④后台运维框架，包括新进实体登记模块、属性变更维护模块、策略变更维护模块和预备策略集模块；属性预处理模块，首先进行属性选择，根据属性权威模块提供的属性信息以及策略库模块提供的策略内容选择参与优化的关键属性；再进行属性压缩，根据属性权威模块提供的属性信息，为每种属性的属性值预先建立好的属性层次树以及为每种属性预先设定的期待压缩后的属性值团的数量，针对每种选择出来的属性即关键属性分别进行压缩；压缩后将选择出的属性、及每种属性对应的压缩后的属性值团集合、每种属性对应的属性值团间的相似度关系发送给第一阶段聚类模块；所述属性是指描述实体的某些特征，所述实体包括主体和资源，所述实体分为真实实体和虚拟实体；所述属性分为种类属性和数字属性，所述种类属性是指一些字符串类型的属性，更多的表明一些性质上特点的属性；所述数字属性是一些数值类型，包括整型和实数型，更多的表明一些数量上的特征；所述属性信息就是属性集合；所述属性值是该属性可能的取值；所述属性值团是指多个属性值压缩后所在的小型集合，是属性压缩技术的产物；所述属性层次树是指对于种类属性，对其下所属的属性值按照归属、包含的联系建立起来属性值之间的依赖关系，将这种依赖归结为树形结构；第一阶段聚类模块，首先，初始化虚拟实体之间的相似关系，根据属性预处理模块的结果，计算任意两个虚拟实体之间的带权相似度；再根据经典的K‑means算法进行适当调整，并根据两个虚拟实体之间的带权相似度对虚拟实体进行聚类，得到第一阶段簇FSC；然后，根据属性权威模块中的实体属性信息，对于各个簇，遍历所有的真实实体，将符合各簇的真实实体的标识加入到各簇中，获取该簇中虚拟实体对应的真实实体的集合；最后，通过对策略库模块中的策略进行修改，并采用策略模糊匹配来为各个第一阶段簇FSC寻找准适用策略，从而获取附属于各个第一阶段簇的准适用策略集F‑pols，所述准适用策略指通过策略模糊匹配方法得到的适用策略集合；该模块执行完毕后将产生的所有的第一阶段簇FSC结果发送给第二阶段聚类模块；所述第一阶段簇FSC结果包括虚拟实体的集合、第一阶段准适用策略集F‑pols、与该簇中虚拟实体对应的真实实体的集合；第二阶段聚类簇模块，首先，初始化真实实体属性向量，即根据属性权威模块提供的属性信息，将所有的真实实体的数字属性组织成向量的形式；然后对每个第一阶段簇FSC中的真实实体，通过Fast Kmeans算法进一步聚类得到第二阶段簇SSC，执行过程中要保留各个第二阶段簇SSC的簇心即向量；再通过对策略库模块中的策略进行修改，并采用策略模糊匹配来为各个第二阶段簇SSC寻找准适用策略，获取各个第二阶段簇的准适用策略集S‑pols；最后将得到的所有第二阶段簇SSC结果发送给注册中心模块和映射关系模块；所述第二阶段簇SSC结果包括真实实体的集合、簇心、第二阶段准适用策略集S‑pols；注册中心模块，根据第一阶段聚类簇模块和第二阶段聚类簇模块得到的结果，首先，建立主体登记表HashSetsub，遍历所有经过预处理后的主体即用户，将主体标识sub_ID添加到主体登记表HashSetsub中；然后建立资源登记表HashSetres，遍历所有经过预处理后的资源，将资源标识res_ID添加到资源登记表HashSetres中；同时接收策略库模块发出的查稳步请求，根据主识和资源的标识查询实体登记情况，并向映射关系模块发送响应；如果有实体未登记事件，则会触发后台运维服务中的新进实体登记模块；映射关系模块，根据第一阶段聚类簇模块和第二阶段聚类簇模块得到的结果，首先，遍历各个主体第一阶段簇FSCsub中的各个主体第二阶段簇SSCsub，建立主体与对应主体第一阶段簇SSCsub的映射关系；再遍历各个资源第一阶段簇中的各个资源第二阶段簇SSCres，建立主体与对应各个资源第二阶段簇SSCres的映射关系；然后遍历策略库模块中所有的策略，为每一个动作aci建立一个动作集合Setaci用于存放适用于动作aci的所有的策略标识；最后，分别为虚拟主体和虚拟资源建立两个映射关系，即虚拟主体映射关系HashMapvirsub和虚拟资源映射关系HashMapvirres，再根据注册中心发送的响应信息，查询映射关系，得到主体请求(sub,res,ac)对应的准适用策略集合的标识组合(Sidsub,Sidres,Sidac)，并将所述标识组合(Sidsub,Sidres,Sidac)发送给集合运算优化模块；sub是指用户即主体的标识，res是所请求的资源的标识，ac是指该用户即主体针对资源请求的动作；集合运算优化模块，根据映射关系模块传递的标识组合 (Sidsub,Sidres,Sidac)进行交集运算，并将交集运算结果Setpol提交给策略库模块；属性权威模块，是属性数据库系统，负责存储实体属性，管理实体属性，管理实体属性包括有关属性增加、删除、变更和查询业务；接收访问控制判定评估引擎模块发出主体标识sub_ID以及资源标识res_ID请求查询，并将查询到的主体和资源的相关属性结果返回访问控制判定评估引擎模块；同时对经过属性预处理模块处理后发生变化的主体或者资源的属性，作为一个触发属性变更维护服务的事件，发送给属性变更维护模块；策略执行点，接收客户端发出的请求，并将请求访问控制判定评估引擎模块发出评估请求；同时将访问控制判定评估引擎模块的评估结果返回给客户端；访问控制判定评估引擎模块，根据客户端的用户请求即主体请求，向属性权威模块请求主体和资源的相关属性；同时接收属性权威模块发回的查询后的主体和资源的相关属性；访问控制引擎根据主体和资源的相关属性在进行具体授权判定的时候，向策略库模块发出请求策略集，接收到策略库模块发来的策略集后，依据该策略集进行判定，并将判定结果输出给主体即用户；策略库模块，用于存放策略，同时有策略有效位表，它是策略库中实时维护的一个数据结构，用来标识每个策略的有效性，每一个位对应一个策略，“0”表示策略无效；接收访问控制判定评估引擎模块发来请求评估所用的策略集合，然后向注册中心模块发出查询请求；接收集合运算优化模块的交集运算结果Setpol的标识，然后通过检验策略有效位表Valid‑Bit过滤掉无效策略，同时与预备策略集模块中的策略标识进行合并，得到小规模策略集合并发送给访问控制判定评估引擎模块；当需要策略变更时，触发策略变更维护模块；新进实体登记模块：用来处理新进的实体，即在系统部署前没有进行过预处理的实体；首先，提取该实体对应的虚拟实体，通过映射关系模块，锁定虚拟实体对应的第一阶段簇FSC，将该实体的数值属性组织成属性向量，通过计算该向量与各第二阶段簇SSC的欧几里德距离，选出距离最小的，也就是最相似的第二阶段簇SSC，将该新进实体标识ID加入到对应的映射关系中；然后调用预处理框架中的第二阶段聚类模块，将得到的新进实体对应的准适用策略集Setnew与原有的S‑pols合并即可；上述处理完成后，将该实体对应的标识加入到实体登记表HashSet中，分别将主体登记表HashSestub和资源登记表HashSertes中标记为已登记；属性变更维护模块：用来处理已登记实体在系统部署后已登记实体对应的一些关键属性发生变化的情形；执行时仅需要将该实体的已登记的记录消除即从实体登记表 HashSet中移除已登记实体标识，然后将该实体看作新进实体，调用新进实体登记模块即可；同时将新实体属性送至属性权威模块中存储；策略变更维护模块：用来处理策略集模块中的策略发生变更的情形；首先，将原有策略polold从策略库模块中移除，将变更后的新策略polnew加入到策略库模块和预备策略集模块中；再将策略有效位表中原有策略polold对应的位bit置为“0”即无效；然后，遍历各个第一阶段簇FSC及各个第二阶段簇SSC，将变更后的新策略polnew的标识加入到变更后的新策略polnew所适用的簇的准适用策略集中；完成上述操作后，将变更后的新策略polnew在策略有效位表对应的位bit置为“1”即有效，并将变更后的新策略标识ponlew_ID从预备策略集模块中移除；预备策略集模块：用于存放必须评估策略及策略标识，是针对策略变更维护使用的，用于策略的加入与移除操作；同时将策略标识发给出策略库模块。