技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是一種訪問控制協(xié)調(diào)方法，尤其是一種面向并發(fā)訪問請求關(guān)聯(lián)關(guān)系的訪問控制協(xié)調(diào)方法及其裝置。

背景技術(shù)

訪問控制既可以實(shí)現(xiàn)企業(yè)系統(tǒng)安全需求，也可以保證合法用戶的正常操作、防止非授權(quán)用戶入侵以及用戶失誤操作引起的安全問題。但分布式系統(tǒng)中的訪問控制，尤其是多管理域環(huán)境，由于安全策略異構(gòu)、用戶數(shù)量眾多且動態(tài)變化和沒有統(tǒng)一協(xié)調(diào)人等原因，使得安全管理面臨更為復(fù)雜的情況。因此，如何進(jìn)行恰當(dāng)?shù)脑L問控制，在有效支持互操作的同時確保系統(tǒng)安全成為至關(guān)重要的問題。目前對于訪問控制的研究多集中于單一的訪問控制，對于并發(fā)的不同類型訪問控制協(xié)調(diào)方法的研究還較少。

對于B/S結(jié)構(gòu)的應(yīng)用系統(tǒng)，早期Web頁面通常只包含HTML文本，因此即使建立連接的開銷比較大，也不會有太大的影響。而現(xiàn)在的Web頁面往往包含多種資源（圖片、動畫、聲音等），瀏覽器獲取資源的方式是順序的，用戶往往不能第一時間看到自己需要的資源。同時對于客體資源的訪問控制主要依賴于服務(wù)器的認(rèn)定，每獲取一種資源，就建立一次連接，這樣就增加了HTTP服務(wù)器的開銷，當(dāng)資源文件較大時就會造成Internet上的信息堵塞。

對于C/S結(jié)構(gòu)的應(yīng)用系統(tǒng)，資源的調(diào)取方式也往往來源于多個訪問控制的客體，雖然采用了TCP/IP的面向持續(xù)連接的連接方式，但是不同目的地址的客體會增加連接的個數(shù)，在整個系統(tǒng)界面的加載過程中也沒有進(jìn)行不同訪問控制的協(xié)調(diào)工作。

同時并發(fā)訪問請求所請求的客體也存在著關(guān)聯(lián)關(guān)系，因此需要根據(jù)客體的關(guān)聯(lián)關(guān)系來調(diào)度調(diào)整并發(fā)訪問請求的訪問順序，根據(jù)客體訪問控制的結(jié)果來開啟或關(guān)閉其他未進(jìn)行的并發(fā)訪問請求。因此如何根據(jù)安全要求及并發(fā)訪問請求的關(guān)聯(lián)關(guān)系有效協(xié)調(diào)訪問控制機(jī)制，提出有效的、滿足開放式網(wǎng)絡(luò)要求的動態(tài)訪問控制方案，對保護(hù)信息、資源和服務(wù)的安全以及個人隱私至關(guān)重要。研究并發(fā)訪問的關(guān)聯(lián)關(guān)系，根據(jù)不同的關(guān)聯(lián)關(guān)系制定訪問控制的協(xié)調(diào)方法，對于目前的應(yīng)用系統(tǒng)的設(shè)計(jì)和建設(shè)具有重要的研究價(jià)值。

發(fā)明內(nèi)容

針對上述問題中存在的不足之處，本發(fā)明提供了一種面向并發(fā)訪問請求關(guān)聯(lián)關(guān)系的訪問控制協(xié)調(diào)方法及其裝置，通過并發(fā)訪問請求進(jìn)行合理的調(diào)度，以實(shí)現(xiàn)對并發(fā)訪問請求的訪問控制協(xié)調(diào)工作。

為實(shí)現(xiàn)上述目的，本發(fā)明提供一種面向并發(fā)訪問請求關(guān)聯(lián)關(guān)系的訪問控制協(xié)調(diào)方法，包括以下步驟：

S10、收集并發(fā)訪問的關(guān)聯(lián)關(guān)系集合；

S20、通過訪問請求關(guān)聯(lián)關(guān)系構(gòu)造多個有向圖；

S30、為每個有向圖建立有向圖模型，并在有向圖模型中加載其結(jié)構(gòu)內(nèi)容；

S40、按照有向圖中的結(jié)構(gòu)內(nèi)容執(zhí)行資源訪問；

S50、對有向圖的當(dāng)前層的訪問請求結(jié)果進(jìn)行判斷，若有向圖的當(dāng)前層的訪問請求結(jié)果不滿足當(dāng)前層的關(guān)聯(lián)關(guān)系，則有向圖下層的節(jié)點(diǎn)不再繼續(xù)訪問資源；

S60、動態(tài)顯示訪問控制協(xié)調(diào)后的資源訪問結(jié)果。

上述的面向并發(fā)訪問請求關(guān)聯(lián)關(guān)系的訪問控制協(xié)調(diào)方法，其中，在步驟S10中，根據(jù)客體資源的內(nèi)容和安全級別，判定進(jìn)行關(guān)聯(lián)關(guān)系集合中的兩個客體資源是否具有關(guān)聯(lián)關(guān)系，將存在關(guān)聯(lián)關(guān)系的客戶體資源收集起來進(jìn)行訪問控制協(xié)調(diào)；

不存在關(guān)聯(lián)關(guān)系的訪問請求將直接并發(fā)的訪問客體資源。

上述的面向并發(fā)訪問請求關(guān)聯(lián)關(guān)系的訪問控制協(xié)調(diào)方法，其中，在步驟S20中，在生成訪問請求有向圖的過程中，將具有關(guān)聯(lián)關(guān)系的訪問請求分在一組，根據(jù)訪問請求的安全級別劃分有向圖的層級。

上述的面向并發(fā)訪問請求關(guān)聯(lián)關(guān)系的訪問控制協(xié)調(diào)方法，其中，在步驟S40中，使用多線程的方式，按照訪問請求有向圖的構(gòu)造訪問客體資源，為每個線程引入一張?jiān)L問請求有向圖，不同的線程之間的是并行同時訪問資源的，加快了訪問資源的速度，保證了主體資源訪問的安全性和有序性。

上述的面向并發(fā)訪問請求關(guān)聯(lián)關(guān)系的訪問控制協(xié)調(diào)方法，其中，在對有向圖中的客體資源進(jìn)行訪問的過程中，按照由低到高的安全級別進(jìn)行訪問，每層的資源訪問必須遵循訪問請求關(guān)聯(lián)關(guān)系的原則進(jìn)行訪問，具體實(shí)施步驟如下：

a、主體根據(jù)有向圖的構(gòu)造，由低層至高層進(jìn)行訪問請求的發(fā)送，在當(dāng)前層的訪問請求響應(yīng)滿足關(guān)聯(lián)關(guān)系描述的情況下，再執(zhí)行下一層的訪問請求；

b、若當(dāng)前層的訪問請求響應(yīng)不滿足當(dāng)前層的關(guān)聯(lián)關(guān)系描述，則較高安全級別層的訪問請求將不再執(zhí)行資源訪問；

c、若當(dāng)前訪問的層級已進(jìn)行到有向圖的最后一層，或者當(dāng)前訪問的層級拒絕執(zhí)行資源訪問，則結(jié)束有向圖的訪問，動態(tài)顯示資源訪問的結(jié)果。

本發(fā)明還提供一種面向并發(fā)訪問請求關(guān)聯(lián)關(guān)系的訪問控制協(xié)調(diào)裝置，包括：