本發明公開了一種基于擬態防御的數據訪問控制方法及系統，應用于網絡安全技術領域；所述方法中包括用戶向數據訪問控制系統發起請求，視圖層處理請求，控制層調用控制層異構執行體，擬態裁決一層對訪問權限處理結果進行裁決，數據訪問層調用數據訪問層異構執行體，擬態裁決二層對數據訪問處理結果進行裁決，并發送至用戶。本發明對訪問控制策略進行擬態化，可以有效的防止黑客針對一種訪問控制策略進行攻擊，同時，對數據訪問層也進行擬態化，可以有效地防止黑客針對一種數據庫進行攻擊，從而破壞系統的穩定性，進一步可以提高系統的健壯性和安全性。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種基于擬態防御的數據訪問控制方法及系統。

背景技術

擬態防御技術的基本原理為：當有消息輸入時，通過輸入代理傳輸到異構池中每個異構執行體，所有異構執行體處理消息后將結果傳輸至多模裁決模塊，若結果一致則輸出，若不一致，可以識別某個執行體輸出消息異常，進而實現系統的安全防御。

訪問控制技術一直以來都是用來保護數據安全的重要手段，主要通過預先設定的訪問控制策略，從而保證不同權限的用戶只能訪問對應權限的信息，防止信息的非法授權訪問。最初的訪問控制技術大體可分為自主訪問控制技術(DAC)和強制訪問控制技術(MAC)，但隨著科技和互聯網技術的發展，傳統的訪問控制模型已經不再適用，繼而衍生出了基于角色的訪問控制技術(RBAC)以及基于屬性的訪問控制技術(ABAC)來滿足人們日益增長的需求。但現有的系統安全性仍得不到較大的提高。

發明內容

技術目的：針對現有技術中數據訪問控制系統中安全性無法較大地提高的缺陷，本發明公開了一種基于擬態防御的數據訪問控制方法及系統，對訪問控制策略進行擬態化，可以有效的防止黑客針對一種訪問控制策略進行攻擊，同時，對數據訪問層也進行擬態化，可以有效地防止黑客針對一種數據庫進行攻擊，從而破壞系統的穩定性，進一步可以提高系統的健壯性和安全性。

技術方案：為實現上述技術目的，本發明采用以下技術方案。

一種基于擬態防御的數據訪問控制方法，包括以下步驟：

步驟一、用戶向數據訪問控制系統發起請求：用戶生成自身屬性集合，屬性集合包括主體屬性、客體屬性、權限屬性和環境屬性；用戶根據自身屬性集合生成請求，并發送至數據訪問控制系統；

步驟二、數據訪問控制系統中的視圖層處理請求：數據訪問控制系統中的視圖層首先接收用戶發送的請求，并將請求傳入控制層；

步驟三、控制層調用控制層異構執行體：控制層根據不同的訪問控制模型構建相應控制層異構執行體，控制層接收視圖層發送的請求后，從請求中取出訪問權限請求，控制層從驗證層處獲取控制層隨機數，控制層將訪問權限請求及控制層隨機數發送至所有控制層異構執行體，控制層異構執行體根據相應訪問控制策略對訪問權限請求進行訪問權限判定處理，處理結束后，控制層異構執行體將訪問權限處理結果和接收到的控制層隨機數組合為控制層異構執行體消息，控制層將所有的控制層異構執行體消息和請求發送至擬態裁決一層；

步驟四、擬態裁決一層對訪問權限處理結果進行裁決：擬態裁決一層接收所有的控制層異構執行體消息，獲取相應的控制層隨機數，擬態裁決一層根據控制層隨機數判斷和獲取有效的訪問權限處理結果；擬態裁決一層將所有有效的訪問權限處理結果發送至擬態裁決一層裁決器，經一致性裁決后輸出第一裁決結果，若第一裁決結果為不具備訪問權限，則向用戶發送拒絕訪問的響應結果；若第一裁決結果為具備訪問權限，則向數據訪問層發送請求；