[发明专利]一种危机事件驱动的自适应访问控制方法

摘要

本发明公开了一种危机事件驱动的自适应访问控制方法，属于大数据技术领域，通过系统环境中感知模块所检测到的危机事件，来选择相应的访问控制策略集，然后通过激活/禁用访问控制策略集的方式来进行活跃策略集的更新，在进行策略的冲突消解之后生成危机事件下的访问控制策略文件，解决了在系统处于危机事件下，如何对资源进行有效管理的同时释放危机消除所需的权限的技术问题，本发明将访问管理模块接收访问请求并进行标准化，更加合理的释放危机消除所需的权限，确保了系统资源不被滥用。

主权项

1.一种危机事件驱动的自适应访问控制方法，其特征在于：包括如下步骤：步骤1：建立资源管理模块、访问管理模块、决策模块、访问控制策略文件、冲突消解模块、信息查询模块、属性值存储库、策略集库、策略管理模块和系统感知模块；资源管理模块用于接收访问管理模块发出的资源申请，把申请的资源返回给访问管理模块，所述申请的资源包括物理资源或信息资源；访问管理模块用于接收访问请求者发出的访问请求，将访问请求标准化，然后再发送给决策模块，同时在决策完成后，与资源管理模块进行交互，并将最终的结果返回给访问请求者；决策模块用于接收标准化的访问请求，并且结合访问控制策略文件和信息查询模块的结果，与访问请求内的属性值进行对比，确定访问请求的评定结果，将结果返回给访问管理模块；访问控制策略文件存储了当前状况下适用的所有访问控制策略和访问控制策略中规定的属性，访问控制策略文件用于提供决策信息；冲突消解模块用于存储策略管理模块激活或禁用后的所有活跃策略集，对活跃策略集中的冲突策略进行冲突消解；信息查询模块用于接收来自决策模块的信息查询请求，从属性值存储库内找出对应的属性值，提供决策信息，并将属性值返回给决策模块；属性值存储库用于接收并存储系统感知模块传来的各个实体的属性值；策略集库用于存储与危机事件相对应的策略集；策略管理模块用于接收来自系统感知模块所感知到的危机事件，并在策略集库中查询对应的策略集，然后进行策略集的激活/禁用操作，将组合的策略集发送给冲突消解模块；系统感知模块包括数个传感器设备，用于监测被测系统中各个实体的工作状态，标识因实体损坏而引发的危机事件；步骤2：系统感知模块感知系统中发生的危机事件，并上报给策略管理模块；步骤3：策略管理模块接收到感知模块上报的危机事件后，在策略集库内查询对应的访问控制策略集；步骤4：策略管理模块通过激活部分未使用的策略集，禁用部分已使用的策略集来完成活跃策略集的更新，将结果发送给冲突消解模块；步骤5：冲突消解模块针对策略集在激活/禁用过程中产生的策略冲突进行策略的消解，消解原则采用首项适用原则，并将冲突消解后的策略作为当前状况下的访问控制策略文件，此时完成了策略文件的更新；步骤6：访问者对访问管理模块发出访问请求；步骤7：系统感知模块实时感知当前系统内每个实体的属性，并且将这些属性值传送给访问管理模块；步骤8：访问管理模块结合访问请求和感知模块传送来的属性信息并进行标准化，构建XACML格式的访问请求，将标准化后的访问请求发送给决策模块；步骤9：决策模块查看访问控制策略文件，查询访问需要的属性类别；步骤10：决策模块向信息查询模块发出请求，将访问控制策略文件中规定的属性类别发送给信息查询模块；步骤11：信息查询模块从属性值存储库内查找所需属性对应的属性值；步骤12：信息查询模块将查询到的属性值返回给决策模块；步骤13：决策模块结合访问管理模块、信息查询模块和访问控制策略文件中的信息，将访问请求中的属性值与访问控制策略文件中要求属性的值进行对比，做出访问评定，当所有属性值均符合要求时，评定结果为“允许”；当其中有至少一条属性值不符合要求时，评定结果为“拒绝”；当属性值有缺失的情况下，评定结果为“未知”；当访问者申请访问的客体不适用于他想执行的操作，评定结果为“不适用”，完成评定后，将评定结果返回给访问管理模块；步骤14：访问管理模块接收到来自决策模块的评定结果后，若评定结果为“允许”，则向资源管理模块发出申请；步骤15：资源管理模块返回访问管理模块所需的资源，对于数据、文档之类的信息资源，直接返回资源本身，对于工具、器械之类的物理资源，返回其位置和获取方法信息；步骤16：访问管理模块对访问请求者返回结果，若结果为“允许”，将其申请的资源一起返回，若结果为“拒绝”，则仅返回评定结果。