專利名稱:一種基于兩級策略決策的訪問控制方法及其系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全中的訪問控制領(lǐng)域����,具體涉及一種基于兩級策略決策的訪問 控制方法及其系統(tǒng)。
背景技術(shù):
訪問控制系統(tǒng)作為保護資源免受非法訪問的一種安全設(shè)施�����,其效率直接影響著整 個系統(tǒng)的效率。當(dāng)前大多數(shù)訪問控制系統(tǒng)采用的是IS0/IEC 10181-3中的訪問控制架構(gòu)���, 即由策略執(zhí)行點(Policy Enforcement Point���,PEP)攔截用戶發(fā)起的訪問請求����,然后將訪問 請求提交至策略決策點(Policy Decision Point, PDP)進行決策,最后由PEP執(zhí)行PDP的 決策���。在實際的應(yīng)用中�,PEP與PDP通常是物理分離的,因此PEP與PDP之間的通信信道需 要進行保護���。在PEP端具有一定計算能力的情況下���,如果將請求全部提交至PDP進行決策, 不僅沒有充分利用整個系統(tǒng)的計算資源�����,對計算資源造成浪費��,使得PDP的負(fù)擔(dān)過重��,同時 也增加了通信傳輸?shù)拈_銷,最終導(dǎo)致整個訪問控制系統(tǒng)的效率較低���。針對這一問題����,目前已有一些組織提出了通用的解決方案��。IBM公司提出的基于 TvioliAccess Manager的方案(TAM方案)中��,一個訪問控制系統(tǒng)中有多個PDP�,這些PDP 部署在不同的服務(wù)器上。但這些PDP在邏輯上是集中的����,即這些PDP使用相同的策略。對 任意一個請求����,每一個PDP所作出的決策都是一致的,從用戶的角度來看�,整個訪問控制系 統(tǒng)只有一個PDP。TAM方案通過負(fù)載的均衡��,有效率地利用了系統(tǒng)的計算資源,減輕集中式 架構(gòu)中單一 PDP的負(fù)擔(dān)�,提高了整個系統(tǒng)的效率。但是在TAM方案中����,由于每一個PDP直接 將系統(tǒng)的策略庫復(fù)制到本地使用��,因此��,在系統(tǒng)的策略庫更新時���,每一個PDP需要同時更新 本地的策略����,保持本地策略庫與系統(tǒng)策略庫的一致性��,更新的代價較大�����。London 大學(xué)的 Jason Crampton 等人提出的 SAAM(Secondary and ApproximateAuthorization Model)模型中���,弓|入了權(quán)限重復(fù)使用的才既念(Authorization Recycling)�����,使得PEP端也具有了一定的決策功能���。在SAAM模型中�����,PEP對每一次的訪問控 制請求和對應(yīng)的由PDP所做出的決策進行緩存����。當(dāng)PEP攔截到新的訪問請求時���,首先在本 地緩存依據(jù)請求的內(nèi)容檢索是否有匹配項��,若檢索到了匹配的項��,則直接執(zhí)行緩存中該請 求所對應(yīng)的決策�����,而不需要將請求再提交至PDP�。但是在SAAM模型中�,PEP端并不具有完全 的決策功能,其本質(zhì)目的在于當(dāng)PDP出現(xiàn)故障無法正常工作時,短時間內(nèi)提供不完全的決 策能力��,在盡量不影響用戶使用的情況下為PDP從故障中恢復(fù)提供時間���。因此SAAM在PEP 中通過對緩存中的數(shù)據(jù)項設(shè)立過期時間(往往很短)���,而不考慮PDP端策略庫更新對PEP中 緩存數(shù)據(jù)的影響�����。由于在SAAM模型中�����,PEP進行決策時所依據(jù)的不是訪問控制策略��,因此 決策邏輯與PDP不同�����,這就造成了對于不同的訪問控制模型����,SAAM必須在PEP端實現(xiàn)不同 的決策邏輯,這對SAAM的通用性也造成了一定的影響。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有技術(shù)中存在的問題�,提供了一種基于兩級策略決策的訪問控制方法及其系統(tǒng)。本發(fā)明吸取了已有解決方案的優(yōu)點�,通過采用一種新的決策方法,繼承并擴展了 傳統(tǒng)的訪問控制架構(gòu)���,在保證通用性的同時���,充分利用了 PEP端的計算資源。訪問控制系統(tǒng) 在決策時����,首先由PEP端的本地PDP根據(jù)本地緩存的策略進行決策,若能夠得到確定性的決 策��,則直接執(zhí)行決策結(jié)果���,否則將訪問請求提交至中央PDP決策��,這樣整個訪問控制系統(tǒng)的 計算能力都得到了最大程度的利用���。在PEP端計算資源不足時,本地PDP可以將訪問請求全 部提交至中央PDP�,由中央PDP進行決策�,兼容了傳統(tǒng)的訪問控制結(jié)構(gòu)。在中央PDP端的策 略庫發(fā)生變化時,本地PDP不需要將策略庫重新復(fù)制到本地����,而是直接從本地緩存中刪除 那些發(fā)生變化的策略��,當(dāng)再次使用到這些策略時����,才會由中央PDP “推”至本地�;本發(fā)明中����, 本地PDP與中央PDP都是依據(jù)策略進行決策,因此不需要單獨實現(xiàn)本地PDP的決策邏輯�,保 證了本發(fā)明的通用性。具體來說���,本發(fā)明技術(shù)方案包括下列幾個方面一 .兩級策略決策方法1)確定性決策定義確定性決策假設(shè)中央PDP端策略庫中的所有訪問控制策略為PolicyPDP�����,部署在 PEP端的本地PDP緩存的所有訪問控制策略為PolicyPEP���,且化c PolicyPDP���。針對某一 訪問控制請求Request,依據(jù)PolicyPDP做出的決策Decision-與依據(jù)Policy,做出的決 策DecisionPEP —致�����,則稱DecisionPEP為確定性決策����。2)通用確定性決策判定規(guī)則規(guī)則1若PolicyPEP = PolicyPDP,則DecisionPEP為確定性決策;這條規(guī)則表達的意 思是�����,若本地PDP緩存了中央PDP的所有策略�����,那么本地PDP所做出的決策與中央PDP所做 的決策肯定是一致的��,因此�,此時本地PDP所做出的任何決策都是確定性決策;3) permit-overrides算法下確定性決策判定規(guī)則規(guī)則2若DecisionPEP的結(jié)果為permit�,則DecisionPEP為確定性決策�����;即在本地 PDP未緩存中央PDP的所有策略時���,本地PDP根據(jù)自己的決策結(jié)果來確定該決策是否為確 定性決策。在permit-overrides下���,若本地PDP的決策結(jié)果是permit��,那么可以斷定中央 PDP的決策結(jié)果也必然為permit���,因此本地PDP可以直接判斷出自己的決策肯定是確定性決策。4) deny-overrides算法下確定性決策判定規(guī)則規(guī)則3若DecisionPEP的結(jié)果為deny����,則DecisionPEP為確定性決策��;即在本地PDP 未緩存中央PDP的所有策略時���,本地PDP根據(jù)自己的決策結(jié)果來確定該決策是否為確定性 決策��。在deny-overrides下��,若本地PDP的決策結(jié)果是deny�,那么可以斷定中央PDP的決 策結(jié)果也必然為deny,因此本地PDP可以直接判斷出自己的決策肯定是確定性決策�����。5)兩級策略決策針對訪問控制請求Request�����,先由本地PDP依據(jù)PolicysPEP做出決策DecisionPEP��, 依據(jù)規(guī)則1-3��,若Decision-為確定性決策����,則PEP以Decision-為最終的決策;否則 由中央PDP依據(jù)Po 1 icyPDP-Po 1 icyPEP做出決策Deci sionPDP_PEP (由于本地PDP已經(jīng)使用了 Policy,做了決策���,因此中央PDP不需要再使用這部分重復(fù)決策���,而是使用PolicyPDP中 除PolicyPEP之外的策略(即PolicyPDp-PolicypEp)進行決策,若Decisionp 的結(jié)果為not-applicable (即沒有找到匹配的策略�����,因此無法做出決策),則PEP以Decision,為最 終的決策���;否則PEP以Decisionp 為最終的決策��;需要注意的是��,即使PEP以DeCisi0npDP_PEP為最終的決策�����,根據(jù)定義�����,本地PDP做出 的決策Decision,仍有可能是確定性決策����,只是無法在中央PDP做出決策之前判定���。二 .本地策略緩存維護1)策略緩存更新針對某一訪問控制請求,若本地PDP做出的決策Decision,為最終的決策時�����,即 依據(jù)Policy,即可做出正確的決策時,PolicyPEP不需要更新�����;針對某一訪問控制請求���,若中央PDP依照P0liCyPDp-P0liCyPEP所做出的決策 Decisionp 為最終的決策時�����,本地PDP做出的決策Decision,仍然為確定性決策����,則 PolicyPEP不需要更新��;否則�����,假設(shè)中央PDP在P0liCyPDP-P0liCyPEP)中檢索到的針對該訪 問控制請求所適用的策略集合為�����,則將iW/cy^f^;加入至Policy,中�,即 PolicyPEP = PolicyPEP U Policy ;2)策略一致性當(dāng)中央PDP端策略庫更新時����,向本地PDP發(fā)送一條更新消息,主動告知本地PDP 策略變化的信息����,但并不需要將變化的策略發(fā)送給本地PDP。即本地PDP只需要知道哪 些策略發(fā)生了變化����,但不需要知道發(fā)生了什么變化,本地PDP解析中央PDP發(fā)送的策略 更新消息后若更新是由于添加策略而引發(fā)��,則不對Policy,更新����;若更新的過程包含 了策略刪除或者策略更改的操作,則需要對Policy,進行更新����,假設(shè)刪除的策略集合為 Policy^���,更改的策略集合為化徹����;^^,則將這些發(fā)生變動的策略從Policy,中刪除��, 即尸二 PolicyFEP - {Policy0/^ U Policyf^)���。3)策略緩存調(diào)度PEP端可能由于受到存儲資源或計算資源的限制�,無法緩存中央PDP端的策略庫 中全部的訪問控制策略�����,或在本地緩存過多的策略會加重本地的計算負(fù)擔(dān)�,并最終影向策 略決策的速度。因此只為本地策略緩存分配有限的存儲空間�。此時需要對策略緩存按照一 定的算法進行調(diào)度,以保證本地策略緩存更新的順利進行����。本發(fā)明中的策略緩存調(diào)度算法為PoliCysPEP中的每一個策略維護一個計數(shù)器,當(dāng) 需要更新而緩存空間不足時����,將新的緩存策略放入當(dāng)前對應(yīng)的計數(shù)器值最小的策略所占用 的存儲空間�。策略緩存調(diào)度算法如下所述1.針對某一訪問控制請求����,若Decision,為確定性決策時,則轉(zhuǎn)到步驟2 ���;否則轉(zhuǎn) 到步驟3 ���;2.假設(shè)PolicyPEP中對該請求所適用的策略集合為,則為Policyff 中每一條策略所對應(yīng)的計數(shù)器加Y,為P—PEP -Po/Zcj^f^6中的每一條策略所對應(yīng)的計 數(shù)器減1,若策略對應(yīng)的計數(shù)器已經(jīng)為0����,則減一操作不執(zhí)行,即策略對應(yīng)的計數(shù)器最小值 為0���,此時只是對本地策略緩存中的計數(shù)器進行更新����,本地策略并沒有任何更新��,執(zhí)行完操 作后算法結(jié)束��;3.假設(shè)P0liCyPDP-P0liCyPEP中對該請求所適用的策略集合為丨,若PEP端策略緩存空余空間不足�,無法將Po/Z^^f)嘗中的策略全部緩存,則轉(zhuǎn)到步驟4��,否則轉(zhuǎn)到 步驟8 �����;4.假設(shè)Policy,中對該請求所適用的策略為Po&y^faWe�,則先在策略緩存中刪 除中的每一條策略若緩存空余空間仍然不足�,則轉(zhuǎn)到步驟5 ;否則轉(zhuǎn)到步驟 8 �����;5.若PolicyPEP為空��,即策略緩存中沒有任何策略�,Po/辦念^^已經(jīng)超出了 PEP端 策略緩存空間的容量,則轉(zhuǎn)到步驟6 ��;否則轉(zhuǎn)到步驟7 ���;6.假設(shè)PoliCPfp中最終影響決策結(jié)果的策略集合為Polid�,若 作/辦溫!��;由的全部策略仍然不能被全部緩存�,則在iW/cj^f:中隨機刪除一些策略,直 至Pofej^f;中剩余的策略能夠被全部緩存��,然后令Pofej^f愁=PolicyD~EF�,并轉(zhuǎn)到 步驟8 ;7.選擇對應(yīng)的計數(shù)器值最小的策略并刪除���,若空間仍然不足��,轉(zhuǎn)到步驟5�,否則轉(zhuǎn) 到步驟8 �����;8.緩存Po/Zg^f^g中的每一條策略���,并將其對應(yīng)的計數(shù)器值置為1����,執(zhí)行完操作 后算法結(jié)束�。三.基于兩級策略決策的訪問控制系統(tǒng)Two-Level Decision Based Access Control System(TLDBACS)TLDBACS系統(tǒng)基于兩級策略決策方法繼承并擴展了傳統(tǒng)的訪問控制架構(gòu)���,通過 在PEP端部署本地PDP來提供一定程度的訪問控制決策能力,減輕了中央PDP的負(fù)擔(dān)����,從 整體上提高了訪問控制系統(tǒng)的效率。如圖1所示�,TLDBACS系統(tǒng)由PEP��、本地PDP和中央 PDP構(gòu)成��,PEP和本地PDP部署資源服務(wù)器上��,攔截用戶的訪問控制請求并提供初步的決 策功能���,中央PDP部署在策略決策服務(wù)器上���,在本地PDP負(fù)載較重或不能進行確定性決策 時,由中央PDP對訪問控制請求進行最終決策���。如圖2所示��,TLDBACS系統(tǒng)主要功能部件 包括策略檢索部件(Policy Search Component, PSC)��;策略決策部件(Policy Decision Component, PDC)����;策略管理部件(Policy Management Component, PMC);策略緩存部件 (Policy CacheComponent, PCC) ���;(Attribute Search Component�,ASC)����。胃 中本地 PDP 包含 PSC, PDC, PCC 禾口 ASC,中央 PDP 包含 ASC, PDC, PMC 禾口 PSC��。PSC負(fù)責(zé)向PDC提供對某一個訪問控制請求所適用的訪問控制策略��。訪問控制系 統(tǒng)通常包含了大量的訪問控制策略�,而針對某一個具體的訪問控制請求,并非所有的訪問 控制策略都適用于該訪問控制請求��,因此需要由PSC根據(jù)訪問控制請求的內(nèi)容在策略庫中 檢索適用的訪問控制策略����,并提交至PDC決策。在分布式環(huán)境下����,訪問控制策略可能在多個 策略存儲點存儲�,每一個策略存儲點的存儲方式可能又不相同����,因此通過PSC能夠屏蔽這 些差異,以統(tǒng)一的方式向PDC提供訪問控制策略���。PSC通過與PDC并行能夠有效的提高訪問 控制的效率�����。本地PDP的PSC所要檢索的策略存儲點即為本地策略緩存,PSC可以針對此 進行優(yōu)化以提高策略檢索的速度��。在中央PDP端�,由于本地PDP已經(jīng)依據(jù)本地緩存的策略 做出了初步的決策,因此中央PDP進行決策時不需要再重復(fù)使用本地PDP已經(jīng)使用的策略���, 因此中央PDP的PSC只需在除本地PDP所使用的策略之外檢索適用的策略�;PDC負(fù)責(zé)依據(jù)訪問控制策略對訪問控制請求做出決策�����。當(dāng)本地PDP無法判定PDC依據(jù)策略緩存所做出的決策是否為確定性決策時,需要將請求提交至中央PDP進行最終決 策��,為了避免中央PDP使用本地PDP緩存的策略進行重復(fù)決策��,本地PDP需要將緩存的所有 策略的標(biāo)識放入訪問控制請求中�,并提交至中央PDP,PEP以中央PDP的返回結(jié)果為最終的 決策結(jié)果���。在中央PDP端�,PDC獲取本地PDP提交的請求消息后��,依據(jù)系統(tǒng)策略庫中的策略 對請求進行決策����,并根據(jù)本地PDP的決策結(jié)果計算出最終的決策結(jié)果,若本地PDP的決策不 是確定性決策���,則將最終的決策結(jié)果連同所依據(jù)的策略一并返回給本地PDP ���;PMC負(fù)責(zé)維護訪問控制系統(tǒng)策略庫。PMC提供了圖形化界面以供訪問控制系統(tǒng)管 理員通過向策略庫中添加��,修改或者刪除策略。PMC同時也提供了策略一致性維護的功能�����, 即當(dāng)訪問控制系統(tǒng)管理員修改或刪除策略庫中的某條策略時�����,PMC向所有的本地PDP發(fā)送 所修改或刪除的策略的標(biāo)識����,使本地PDP及時更新策略緩存,保證策略緩存中的策略與策 略庫中的策略的一致���,防止由于策略不一致而導(dǎo)致系統(tǒng)產(chǎn)生錯誤的決策��。PCC是系統(tǒng)的核心部件��,負(fù)責(zé)本地PDP的策略緩存的維護,直接關(guān)系著整個訪問控 制系統(tǒng)的效率和正確性�����。策略庫更新后��,PCC根據(jù)策略庫的更新結(jié)果更新本地的策略緩存, 保證本地PDP策略緩存與策略庫的一致性�����;當(dāng)本地PDP的決策不是確定性決策時����,PCC根據(jù) 中央PDP返回的結(jié)果更新本地策略緩存,若本地緩存空間不足時����,對本地策略緩存中的策 略進行調(diào)度���,保證策略更新的合理性���,最大程度地提高系統(tǒng)的效率����。ASC負(fù)責(zé)對決策過程中所需屬性信息進行檢索收集��。訪問請求中雖然包含了若干 決策過程所需的屬性信息,但不能保證其充分滿足策略匹配的全部需要����,因此需要ASC從 屬性發(fā)布點(屬性發(fā)布點分別與策略決策服務(wù)器�����、每一資源服務(wù)器通過網(wǎng)絡(luò)連接)檢索策 略匹配所需的屬性�。由于策略匹配過程涉及多種類型的屬性信息���,其特征�、來源及發(fā)布形式 可能多有不同,因此ASC能夠兼容處理不同的屬性格式���,包括X509格式的屬性證書��、SAML格 式的安全斷言以及LDAP目錄中的屬性條目等���。與現(xiàn)有的技術(shù)方案相比�,本發(fā)明的TLDBACS系統(tǒng)具有如下優(yōu)勢1.高效的訪問控制����。傳統(tǒng)的訪問控制系統(tǒng)中�����,所有的策略決策都由中央PDP完成�����, PEP端只負(fù)責(zé)攔截用戶的訪問請求���,并將訪問請求提交至中央PDP�����,這使得中央PDP的負(fù)擔(dān) 過重�����,極易成為系統(tǒng)的性能瓶頸��。在分布式環(huán)境下,中央PDP與PEP的部署常常是物理分離 的,之問通過網(wǎng)絡(luò)來交互,在對中央PDP與PEP之間的通信信道加入安全保護機制后��,中央 PDP對一個請求進行決策時間可能遠(yuǎn)遠(yuǎn)小于訪問請求與決策傳輸?shù)臅r間�,因此在PEP端也 具有一定的計算能力時��,如果將所有的請求都提交至中央PDP進行決策���,不僅加重中央PDP 和網(wǎng)絡(luò)傳輸?shù)呢?fù)擔(dān),也對PEP端的計算資源造成了浪費。TLDBACS系統(tǒng)通過采用兩級策略決 策機制��,通過在PEP端部署本地PDP,有效地利用了 PEP端的計算資源����,最大程度地減輕了中 央PDP的負(fù)擔(dān)��,降低了網(wǎng)絡(luò)傳輸?shù)拇鷥r�,有效的提高了訪問控制的效率;2.可動態(tài)調(diào)整的彈性體系架構(gòu)。TLDBACS系統(tǒng)兼容傳統(tǒng)的訪問控制架構(gòu)����,并且可 隨時根據(jù)系統(tǒng)的負(fù)載動態(tài)調(diào)整其體系結(jié)構(gòu)��。當(dāng)PEP端的計算能力較弱時��,可以不為其本地 PDP分配策略緩存空間��,即本地PDP不做任何的決策����,所有的訪問請求都被提交至中央PDP����, 此時TLDBACS系統(tǒng)即為傳統(tǒng)的訪問控制架構(gòu),即所有的訪問請求都由中央PDP決策�。當(dāng)PEP 端的計算能力較強時,可以為其本地PDP分配較大的策略緩存空間���,在系統(tǒng)運行一定時間 后,策略緩存中可能包含了策略庫中全部的策略�����,在訪問控制系統(tǒng)的策略庫沒有更新的情 況下�����,所有的訪問控制請求都可以由部署在PEP端的本地PDP依據(jù)緩存的策略在本地完成決策,此時原本在物理上分離的中央PDP與PEP又部署到了一起�。當(dāng)PEP端的計算能力較 強,但負(fù)載又過重時�,本地PDP可以只承擔(dān)少量的訪問請求決策,而將大部分請求提交至中 央PDP處理��。TLDBACS的彈性體系架構(gòu)的保證了其能夠在較大的范圍內(nèi)適用�;3.較小的策略更新代價。TLDBACS系統(tǒng)充分考慮了在分布式環(huán)境下策略更新的代 價��。TLDBACS采用集中式的策略維護���,訪問控制系統(tǒng)管理員只需通過PMC更新策略庫�,并且 不需要考慮本地PDP策略緩存的更新���,本地PDP策略緩存更新由PMC通知PPC自動更新���,即 本地PDP的策略緩存更新對管理員是透明的。策略庫更新時�����,PMC只將修改或刪除的策略的 標(biāo)識發(fā)送給本地PDP的PPC�,傳輸代價較?���?;本地PDP對策略緩存的更新只是簡單的刪除, 若本地緩存的策略在策略庫中沒有更新�,則本地PDP不需要執(zhí)行任何操作,因此對本地PDP 來說��,由于策略庫更新而引起的本地策略緩存更新代價也是較小的�����。本發(fā)明從技術(shù)原理角度分析了訪問控制系統(tǒng)中的兩級策略決策技術(shù)�����。訪問控制系 統(tǒng)可以通過本發(fā)明的方法優(yōu)化系統(tǒng)計算資源的利用率�����,減少系統(tǒng)部件之間的通信損耗���,降 低系統(tǒng)策略維護的代價,提高訪問控制系統(tǒng)決策的速度和效率����。
圖1TLDBACS系統(tǒng)結(jié)構(gòu)示意圖�;圖2TLDBACS系統(tǒng)主要功能部件及流程圖��。
具體實施例方式下面通過實例對本發(fā)明做更詳細(xì)的說明��。如圖2所示���,假設(shè)訪問控制系統(tǒng)中的PEP和本地PDP被部署在資源服務(wù)器上(即 首先要在每一資源服務(wù)器上部署一 PEP和本地PDP�����,與PEP部署在一起的本地PDP是第一 級)�,中央PDP被部署在策略決策服務(wù)器上(即中央PDP是第二級)�����,資源服務(wù)器與策略決 策服務(wù)器物理上是分離的��,同時資源服務(wù)器具有一定的計算能力���;資源服務(wù)器與策略決策 服務(wù)器物理上是分離的�����,通過網(wǎng)絡(luò)連接����。當(dāng)用戶通過認(rèn)證后,向資源服務(wù)器上存儲的受保護 的資源發(fā)起訪問請求時��,基于兩級策略決策的訪問控制系統(tǒng)執(zhí)行流程如下1. PEP攔截用戶的訪問請求后�,將訪問請求提交至本地PDP進行決策;2.本地PDP的PDC部件調(diào)用PSC部件根據(jù)該訪問請求獲取本地策略緩存中適用的 策略���。PSC部件將適用的策略以及本地策略緩存中所有的策略標(biāo)識返回給本PDC部件�����;3.本地PDP的PDC部件根據(jù)適用的策略調(diào)用ASC部件獲取在決策過程中所需的屬 性信息����,然后對訪問請求進行決策�,若能根據(jù)決策結(jié)果判定該決策為確定性決策,則執(zhí)行步 驟8;否則��,執(zhí)行步驟4;4.本地PDP的PDC部件將策略緩存中的所有策略標(biāo)識和檢索到的屬性信息附加到 訪問控制請求中�,并將訪問控制請求連同本地決策結(jié)果一并提交至策略決策服務(wù)器��;5.策略決策服務(wù)器中的中央PDP調(diào)用PSC部件在策略庫中檢索針對該訪問控制請 求所適用的策略若訪問控制請求中不包含策略的標(biāo)識,則中央PDP的PSC部件在策略庫的 全部策略中檢索�����;否則PSC部件只在除訪問控制請求中所包含的策略標(biāo)識所代表的那些策 略之外的策略中檢索�;PSC部件將適用的策略返回給PDC部件;6.中央PDP的PDC部件根據(jù)適用的策略調(diào)用ASC部件獲取在決策過程中所需的屬性信息����,然后依據(jù)PSC返回的適用策略對該訪問請求進行決策,并結(jié)合本地PDP的決策結(jié)果 得到最終的決策�����;7.中央PDP做出最終決策后��,依據(jù)確定性決策定義��,若本地PDP的決策為確定性決 策�,則中央PDP只將最終的決策返回給PEP端的本地PDP (PEP端的本地PDP與中央PDP的 交互對于PEP來說是透明的);否則���,中央PDP將最終的決策連同所依據(jù)的策略一并返回給 PEP端的本地PDP ��;8. PEP端的本地PDP將最終決策返回給PEP �����;9. PEP依據(jù)最終的決策結(jié)果允許或拒絕用戶的訪問請求�����;10.本地PDP調(diào)用PCC部件根據(jù)最終的決策結(jié)果對本地策略緩存進行更新��,若本地 策略緩存空間有限����,則按照策略緩存調(diào)度算法對本地的策略緩存進行更新。訪問控制流程結(jié)束���。
權(quán)利要求
1.一種基于兩級策略決策的訪問控制方法�����,其步驟為1)在每一資源服務(wù)器上部署一策略執(zhí)行點PEP和一本地策略決策點PDP�;在策略決策 服務(wù)器上部署一中央策略決策點PDP �����;2)PEP將攔截的用戶的訪問請求,并生成訪問控制請求提交至本地策略決策點PDP;3)本地策略決策點PDP根據(jù)該訪問控制請求在本地緩存的訪問控制策略PolicyPEP中 檢索適用的策略�����;4)本地策略決策點PDP根據(jù)適用的策略獲取在決策過程中所需的屬性信息�����,然后對該 訪問控制請求進行決策����;若該決策為確定性決策�����,則本地策略決策點PDP將最終決策返回 給PEP執(zhí)行�����;否則��,執(zhí)行步驟5)����;5)本地策略決策點PDP將所述屬性信息附加到訪問控制請求中,并將該訪問控制請求 與本地決策結(jié)果提交至所述策略決策服務(wù)器;6)所述中央策略決策點PDP在其訪問控制策略庫Policy-中檢索5)所提交的訪問控 制請求所適用的策略����;7)所述中央策略決策點PDP根據(jù)適用的策略獲取在決策過程中所需的屬性信息,然后 依據(jù)檢索的適用策略對5)所提交的訪問控制請求進行決策�,并結(jié)合該訪問控制請求中的 本地決策結(jié)果得到最終的決策;8)若最終的決策與5)所提交的訪問控制請求中的本地決策結(jié)果一致���,則所述中央策 略決策點PDP將最終的決策返回給該本地策略決策點PDP ���;否則,所述中央策略決策點PDP 將最終的決策連同所依據(jù)的策略一并返回給該本地策略決策點PDP ��;9)PEP端的本地策略決策點PDP將最終決策返回給PEP執(zhí)行��;其中����,所述確定性決策為針對某一訪問控制請求,依據(jù)PolicyPDP做出的決策 DecisionPDP與依據(jù)PolicyPEP做出的決策DecisionPEP —致����,則稱DecisionPEP為確定性決策。
2.如權(quán)利要求1所述的方法��,其特征在于所述5)中,所述訪問控制請求中還包含本地 緩存的所有訪問控制策略的策略標(biāo)識�。
3.如權(quán)利要求2所述的方法,其特征在于所述中央策略決策點PDP只在該訪問控制請 求中所包含的策略標(biāo)識所代表的策略之外的策略中檢索所適用的策略�。
4.如權(quán)利要求1所述的方法,其特征在于本地策略決策點PDP將最終的決策返回給 PEP執(zhí)行后�,對本地緩存的訪問控制策略進行更新。
5.如權(quán)利要求4所述的方法�����,其特征在于對本地緩存的訪問控制策略進行更新的方法為1)針對某一訪問控制請求����,若決策Decision,為確定性決策��,則執(zhí)行步驟2)�,否則執(zhí) 行步驟3);2)如果PolicyPEP中對該請求所適用的策略集合為/W/c^f—�����,則將Afe^f沖每 一條策略所對應(yīng)的計數(shù)器加1����、將-中的每一條策略所對應(yīng)的計數(shù)器 減1�,若/W/t^M-iW/c;;����;^—中策略對應(yīng)的計數(shù)器已經(jīng)為0,則不執(zhí)行減1操作���;3)如果P0liCyPDP-P0liCyPEP中對該請求所適用的策略集合為�����,且PEP端 策略緩存空余空間不足以將^^O^tUg中的策略全部緩存��,則執(zhí)行步驟4)����;否則緩存念中的每一條策略��,并將其對應(yīng)的計數(shù)器值置為1 ���;4)將策略中從計數(shù)器值最小的策略開始刪除�,直到能夠緩存Po/辦����;Sf^ 中的每一條策略����,然后緩存i^/fg^f^^中的每一條策略并將其對應(yīng)的計數(shù)器值置為1 �;否 則,則執(zhí)行步驟5)����;其中/W/Q^f為Policy,中對該請求所適用的策略;5)緩存中最終影響決策結(jié)果的策略集合為若中 的全部策略仍然不能被全部緩存�,則在中隨機刪除一些策略,MMPoliCy=;EP 中剩余的策略能夠被全部緩存��,緩存中剩余的策略并將其對應(yīng)的計數(shù)器值置 為1����。
6.如權(quán)利要求1或2或3或4或5所述的方法���,其特征在于所述中央策略決策點 PDP的策略庫更新時�����,發(fā)送一更新消息給本地策略決策點PDP �;若策略庫更新為添加策略���, 則不對Policy-更新����;若策略庫更新為策略刪除或者策略更改,其中刪除的策略集合為或更改的策略集合為�,則本地策略決策點PDP將該刪除或更改的策略 從PolicyPEP中刪除。
7.如權(quán)利要求6所述的方法�����,其特征在于所述Policy,為PolicyPDP的部分或全部��。
8.一種基于兩級策略決策的訪問控制系統(tǒng)��,其特征在于包括一策略決策服務(wù)器�����、一屬 性發(fā)布點和若干資源服務(wù)器����;所述策略決策服務(wù)器與若干所述資源服務(wù)器通過網(wǎng)絡(luò)連接, 所述屬性發(fā)布點分別與所述策略決策服務(wù)器���、若干所述資源服務(wù)器通過網(wǎng)絡(luò)連接�;其中每 一所述資源服務(wù)器上部署一策略執(zhí)行點PEP和一本地策略決策點PDP,所述策略決策服務(wù) 器上部署一中央策略決策點PDP ����;所述中央策略決策點PDP包括一屬性檢索部件ASC,ASC負(fù)責(zé)對決策過程中所需屬性信息進行檢索收集��; 一策略決策部件PDC�,PDC負(fù)責(zé)依據(jù)訪問控制策略對訪問控制請求做出決策; 一策略管理部件PMC��,PMC負(fù)責(zé)維護訪問控制系統(tǒng)策略庫��;一策略檢索部件PSC����,PSC負(fù)責(zé)向PDC提供對某一個訪問控制請求所適用的訪問控制策略�����;所述本地策略決策點PDP包括一策略檢索部件PSC���,PSC負(fù)責(zé)向PDC提供對某一個訪問控制請求所適用的訪問控制策略�����;一策略決策部件PDC��,PDC負(fù)責(zé)依據(jù)訪問控制策略對訪問控制請求做出決策 一策略緩存部件PCC��,PCC負(fù)責(zé)本地策略決策點PDP的策略緩存的維護���; 一屬性檢索部件ASC����,ASC負(fù)責(zé)對決策過程中所需屬性信息進行檢索收集��。
9.如權(quán)利要求8所述的系統(tǒng)�,其特征在于所述資源服務(wù)器上設(shè)有一計數(shù)器,用于記錄 本地策略決策點緩存的每一訪問控制策略的適用次數(shù)�。
10.如權(quán)利要求8或9所述的系統(tǒng),其特征在于所述本地策略決策點PDP緩存的訪問控 制策略Policy,為所述中央策略決策點PDP中訪問控制策略庫PolicyPDP的部分或全部策 略���。
全文摘要
本發(fā)明公開了一種基于兩級策略決策的訪問控制方法及其系統(tǒng)��,屬于信息安全中的訪問控制領(lǐng)域�。本方法通過在PEP端部署本地PDP���,使得訪問請求首先由本地PDP依據(jù)本地策略緩存進行決策��,若本地PDP無法判定其決策為確定性決策�,再由中央PDP依據(jù)系統(tǒng)策略庫最終完成決策。本系統(tǒng)包括一策略決策服務(wù)器�、一屬性發(fā)布點和若干資源服務(wù)器,每一資源服務(wù)器上部署一策略執(zhí)行點PEP和一本地策略決策點PDP��,策略決策服務(wù)器上部署一中央策略決策點PDP���;本發(fā)明具有良好的可動態(tài)調(diào)整的彈性體系架構(gòu)�����,充分利用PEP端的計算資源��,減輕中央PDP的負(fù)擔(dān)��,降低網(wǎng)絡(luò)傳輸?shù)拈_銷�,以極小的策略更新代價而有效地提高了訪問控制的效率��。
文檔編號H04L29/06GK102006297SQ20101056252
公開日2011年4月6日 申請日期2010年11月23日 優(yōu)先權(quán)日2010年11月23日
發(fā)明者馮登國, 張立武, 王鵬翩 申請人:中國科學(xué)院軟件研究所