本發(fā)明提供的一種私有云環(huán)境下訪問控制策略構(gòu)建系統(tǒng)，該系統(tǒng)包括有數(shù)據(jù)庫(100)、上下文感知模塊(200)、局部訪問控制策略構(gòu)建模塊(300)、局部訪問控制策略優(yōu)化模塊(400)、全局訪問控制策略構(gòu)建模塊(500)和全局訪問控制策略分解模塊(600)、敏感信息管理模塊(700)、領(lǐng)域信息管理模塊(800)和審計模塊(900)。本發(fā)明對私有云環(huán)境下的局部訪問控制策略進行了動態(tài)構(gòu)建，使得構(gòu)建的策略能夠滿足私有云環(huán)境動態(tài)性和自適應(yīng)的要求，同時實現(xiàn)了描述組合服務(wù)安全需求的全局訪問控制策略的構(gòu)建及分解，達到了保證參與協(xié)作的服務(wù)方訪問控制策略中的敏感信息不被泄漏的目的。本發(fā)明系統(tǒng)具有安全性強、執(zhí)行效率高、可擴展性強的特點。

技術(shù)領(lǐng)域

本發(fā)明屬于計算機安全技術(shù)領(lǐng)域，具體涉及一種私有云環(huán)境下訪問控制策略構(gòu)建系統(tǒng)。主要從框架角度設(shè)計和實現(xiàn)對私有云環(huán)境下的訪問控制策略進行構(gòu)建。

背景技術(shù)

云計算(Cloud Computing)是以網(wǎng)絡(luò)為載體，虛擬化技術(shù)為基礎(chǔ)，融合網(wǎng)格計算、分布式計算、并行計算等傳統(tǒng)計算方式，整合大規(guī)模可擴展應(yīng)用、存儲、計算和數(shù)據(jù)等資源進行協(xié)同工作的超級計算模式。作為一種大眾參與的以服務(wù)為基本方式提供應(yīng)用的新興商業(yè)模型，云計算技術(shù)符合產(chǎn)業(yè)發(fā)展中的節(jié)能減排、綠色環(huán)保等優(yōu)勢而引起了學(xué)術(shù)界和產(chǎn)業(yè)界的廣泛關(guān)注。云計算環(huán)境下，企業(yè)通過改進和升級現(xiàn)有基礎(chǔ)設(shè)施及應(yīng)用，基于企業(yè)內(nèi)部業(yè)務(wù)動態(tài)變化需求，通過重用聚合驗證單一服務(wù)來構(gòu)造一種增值、統(tǒng)一的能隨需變化的、松耦合的服務(wù)組合，從而克服單一服務(wù)功能有限，難以滿足動態(tài)變化的業(yè)務(wù)需求的缺陷，進而形成不同粒度的服務(wù)組合這一創(chuàng)新服務(wù)和應(yīng)用系統(tǒng)，實現(xiàn)為終端用戶提供不同粒度資源的能力，從而促進傳統(tǒng)企業(yè)級應(yīng)用從數(shù)據(jù)中心到中間件、編程模式和數(shù)據(jù)存儲方式逐漸向云計算平臺進行遷移。

在企業(yè)向私有云環(huán)境過渡過程中，其研究的重點主要集中在如何定制服務(wù)質(zhì)量模型（Quality of Service，QoS）、如何評價服務(wù)質(zhì)量以及如何基于服務(wù)質(zhì)量選取服務(wù)組合方案上。傳統(tǒng)的解決方法是在多目標量度下，基于局部優(yōu)化策略和全局優(yōu)化策略來選擇最優(yōu)的服務(wù)組合，具有代表性的優(yōu)化策略有整數(shù)規(guī)劃法、遺傳算法和模擬退火法等。然而，基于QoS優(yōu)化選取服務(wù)組合的方法主要是面向用戶功能性需求的，缺乏對非功能安全性需求的考慮，缺乏對描述安全需求的影響局部訪問控制策略構(gòu)建的主體上下文信息、客體上下文信息、操作上下文信息和環(huán)境上下文信息進行動態(tài)感知和量化，進而動態(tài)構(gòu)建局部訪問控制策略，使得構(gòu)建的局部訪問控制策略能依據(jù)所處的上下文環(huán)境進行動態(tài)調(diào)整，以確保構(gòu)建的局部訪問控制策略在滿足系統(tǒng)安全性的同時又能適應(yīng)私有云環(huán)境動態(tài)性、自適應(yīng)性和可伸縮性的特點；其次，私有云環(huán)境中單一服務(wù)功能有限，難以滿足系統(tǒng)和用戶不斷變化的業(yè)務(wù)需求，需要通過服務(wù)組合實現(xiàn)資源的有效共享，使得各服務(wù)間相互通信協(xié)同完成任務(wù)，而參與服務(wù)組合的描述不同服務(wù)安全的局部訪問控制策略可能有著不同需求，從而導(dǎo)致組合服務(wù)過程中所產(chǎn)生的全局訪問控制策略可能產(chǎn)生沖突、策略之間融合困難等問題，而傳統(tǒng)的服務(wù)組合方法尚缺乏對構(gòu)建描述服務(wù)組合安全的全局訪問控制策略過程中可能出現(xiàn)的沖突進行融合，以形成統(tǒng)一描述服務(wù)組合安全的全局訪問控制策略的考慮；再者，私有云環(huán)境中的數(shù)據(jù)托管和資源共享的服務(wù)模式促進了各服務(wù)域之間的協(xié)同服務(wù)，描述服務(wù)組合安全的訪問控制策略構(gòu)成了私有云環(huán)境下的全局訪問控制策略，該全局性訪問控制策略涵蓋了參與服務(wù)組合的各協(xié)作服務(wù)方的敏感策略信息，使得構(gòu)建的全局訪問控制策略信息內(nèi)容不能傳遞和共享給任何一個不可信的服務(wù)提供方，因此需要對全局訪問控制策略進行分解的過程中實施敏感策略信息的合理保護，以確保策略信息自身的安全和服務(wù)組合的正確實施。