雲存儲環境下安全策略分解與驗證系統的製作方法

2023-05-13 14:50:26 1

專利名稱：雲存儲環境下安全策略分解與驗證系統的製作方法
技術領域：
本發明屬於計算機安全技術領域，具體涉及一種雲存儲環境下安全策略分解與驗證系統。主要從框架角度設計和實現對雲存儲環境下的安全策略進行分解與驗證。
背景技術：
隨著通信、計算機及信息技術的發展，在黨政機關、企事業單位、財政金融、國防軍工等相關部門中，信息的保有量和交流量都達到了前所未有的數量級，存儲系統不斷膨脹。 如何實現PB級的容量擴展，如何控制能源開銷和運維成本，如何保障數據安全和系統可用，如何簡化日常的管理工作，已成為一個急待解決的研究課題。作為傳統存儲格局的替代產品，雲存儲解決方案應運而生。雲存儲(Cloud Storage)是在雲計算概念上延伸的一個新概念，指通過集群應用、 網格技術或分布式文件系統等，將網絡中大量的各種不同類型的存儲設備通過應用軟體集合起來協同工作，共同對外提供數據存儲和業務訪問功能的一個系統。雲存儲不是某一個具體的存儲設備，而是由許多的存儲設備和伺服器所構成的集合體。用戶使用雲存儲並不是在使用存儲設備，而是使用整個雲存儲系統所提供的一種數據存儲與訪問服務，通過雲存儲服務用戶可以將大量的數據存放到雲存儲系統中去，並可以通過任何服務接入點實施對存儲到雲端的數據進行訪問和處理。國外已經有很多的企業開展了雲存儲服務，最典型的便是Google的Gmail，同樣 Amazon早在2006年前就推出了彈性云云存儲產品，旨在為用戶提供網際網路服務形式的同時提供更強大的存儲和計算功能，內容分發網絡服務提供商CDNetworks和業界著名的雲存儲平臺服務商Mrvanix於2008年發布了一項合作，並宣布結成戰略夥伴關係，以提供業界目前唯一的雲存儲和內容傳送服務集成平臺，從而使用戶和企業的存儲需求可以實現按需定製和按需付費。我國對雲存儲技術的研究也已經有一段時間了，並取得了一定的成果。 如2009年華為公司推出的雲存儲系統一一DBANK數據銀行，該系統可以為用戶提供功能強大的上傳/下載服務，並可實現對多臺電腦的數據進行同步，用戶和企業可以利用系統提供的強大功能支持實現對海量數據的透明存儲和管理；2010年，上海雲商信息科技有限公司推出的雲端存儲一WiMtor系統，也可以為家庭用戶、企業、事業單位提供跨域或跨路由的雲存儲服務。雖然目前雲存儲技術已經比較成熟，而且得到了廣泛的應用，但在安全性能上還遠不能滿足用戶的實際需求。在雲存儲環境下，數據擁有者所上傳的資源可能會被分布式部署於不同的雲端(伺服器)上，對用戶或企業訪問資源的訪問控制策略如果採用傳統方式部署在一臺伺服器上，一旦遇到訪問頻繁，且訪問控制決策又較為複雜時，則極有可能會造成單臺伺服器負載過大、造成單點失效，甚至還可能引發網絡擁塞，觸發性能瓶頸等諸多問題。同時如果簡單的將訪問控制策略不加分解重複的部署於所有控制資源訪問的伺服器節點上，則對訪問控制策略配置的任何增加、刪除和修改操作都將導致所有訪問控制策略副本同步執行更新，進而影響系統的性能。
再者，雲存儲環境下對數據的訪問服務可能由多個垂直服務動態組合協作完成， 這些垂直服務可能來自於不同的服務提供商，它們從屬於不同的安全域，有著不同的數據格式、存取方式和安全策略，各服務提供商之間需要對各自訪問控制策略中的敏感信息進行處理，使得各服務之間不能共享這些敏感信息。但由於策略本身是是參與動態組合服務的服務提供商的所有敏感信息的糅合體，因此，不能將一條完整的訪問控制策略信息分派給參與協作的各個服務。綜上所述，雲存儲環境下訪問控制策略的部署將面臨兩大挑戰(1)提高性能，即如何降低不必要的計算和網絡開銷，提高訪問控制策略實施的效率。(2)保障安全，即如何保證訪問控制策略本身敏感信息的安全性，使得參與協作服務的服務提供方的訪問控制策略中的敏感信息不共享。因此，針對雲存儲環境下資源的分布性、服務動態組合協作的特點，設計出安全、高效的策略分解與驗證方案將是一個意義重大且挑戰性很強的課題。

發明內容
本發明的目的在於提供一種雲存儲環境下安全策略分解與驗證系統。該系統不僅能夠將參與協作服務的服務提供方的整體訪問控制策略集合(全局訪問控制策略集合)分解到對應資源所處的雲端或上一級的控制節點上(分解後的訪問控制策略集合)，還能夠利用敏感信息過濾詞庫對分解後的策略間關聯關係進行加密存儲，從而能夠保證服務提供方的訪問控制策略中的敏感信息對協作環境下各服務參與方的透明性，使得訪問控制策略中的敏感信息洩漏的危險進一步降低。本發明公開了一種雲存儲環境下安全策略分解與驗證系統，其特徵在於，該系統包括資料庫、策略分解與驗證模塊、策略評估模塊、資源與訪問控制策略調整模塊、敏感信息過濾詞庫管理模塊和審計模塊；其中，資料庫用於存儲系統實施訪問控制的全局訪問控制策略以及基於資源分布特點進行分解後的分解策略和基於敏感信息過濾詞庫獲得的對策略間關聯關係進行加密的信息，同時存放策略評估信息以引導和優化策略分解過程並對策略的實施提供評估，它包括評估信息庫、分解策略庫、全局策略庫、敏感信息過濾詞庫、審計信息庫和分解策略關係信息庫；策略分解與驗證模塊從資料庫中獲取全局訪問控制策略信息，進而將全局訪問控制策略信息依據資源分布的不同將其進行分解，同時通過敏感信息過濾詞庫對分解後的策略進行分解，並通過策略評估信息對策略分解進行優化，從而使得依據資源分布不同進行分解後的資源策略集合對資源的訪問控制效果是一致的，使得依據敏感信息過濾詞庫進行分解後的策略在保證服務提供方訪問控制策略中的敏感信息不被洩漏的情況下，使其整體安全性與可用性前後一致；並將最終的分解結果存儲於資料庫中；策略評估模塊用於響應用戶的訪問請求，獲取與該請求相一致的訪問控制策略， 進而對這些訪問控制策略進行定位，並對用戶的策略請求進行評估，為了提高策略評估的效率，策略評估模塊利用策略評估信息庫中記錄的信息對策略評估過程進行優化處理，並將最終的評估結果反饋給用戶；資源與訪問控制策略調整模塊接受來自系統管理員對雲存儲環境下的資源以及訪問控制策略本身所發生的增加、修改、刪除等操作，執行相應的資源及訪問控制策略調整步驟，並將操作結果以及系統管理員的操作情況記入資料庫中；敏感信息過濾詞庫管理模塊接收來系統管理員對服務方訪問控制策略中的敏感信息保護的需求，對參與協作的各個服務方在全局訪問控制策略中的敏感信息進行相應的標註，並將標註結果以及系統管理員的操作情況記入資料庫中；審計模塊接收來自系統管理員輸入的查詢信息，通過與資料庫的信息交互，利用系統管理員提交的用戶名和時間範圍對系統管理員的操作進行查詢，獲得滿足查詢條件的所有記錄。本發明系統在獲取雲存儲環境下所需分解策略的同時充分考慮了雲存儲環境的特點，首先將雲存儲環境下的全局訪問控制策略集合依據其實施保護的資源的存儲特點進行分解，從而保證了分解策略與所保護資源能夠分解到各個資源所處的雲端或上一級的控制節點，從而保證訪問控制抉擇可以在當地完成，進而減少多餘的通信開銷，避免單個伺服器節點負載過大的問題；其次對於參與服務提供方的訪問控制策略能夠依據服務參與方提供的敏感信息過濾詞庫對參與服務各方的訪問控制策略間的關聯關係進行加密存儲，從而保證了敏感信息對協作環境下各服務參與方的透明性，使得敏感信息洩漏的危險進一步降低。本發明系統可以實現雲存儲環境下安全策略的分解與驗證，保證了雲存儲環境下資源保護的便捷性和協作服務的安全性得以實施。具體而言，本發明具有如下優點(1)安全性強本系統的安全性主要是通過雲端節點存儲訪問控制策略信息、加密處理基於敏感信息過濾詞庫進行分解後的策略間的關聯關係及審計來達到的。在本系統中，放在資料庫中的表示服務提供方訪問控制策略之間的關聯關係的所有信息都是密文的，這樣保證了參與協作各方的敏感信息的安全性。審計部分記錄了所有系統管理人員的一些關鍵性操作，便於追朔，又進一步保證了系統的安全性。更重要的是，基於資源分解的訪問控制策略依據資源所處的雲端進行分解，保證了資源和其對應的訪問控制策略同處同一個雲端，使得攻擊者很難同時獲得所有雲端上存放的資源對應的訪問控制策略，也降低了策略存儲到單一控制節點所造成網絡擁塞和單點失效對系統安全性的影響。(2)執行效率高本系統主要用於雲存儲環境下的策略分解與驗證，因而要求有較高的執行效率。在本系統中，策略分解的過程就充分考慮了效率問題，將策略分解優化算法引入到策略分解過程中，進而引導策略分解實施，以減少策略分解後策略實施階段的策略評估開銷，提高系統的執行效率。此外，由於策略和策略所對應的控制資源都在同一個雲端進行存放，從而減少了執行訪問控制策略時需要不斷與控制節點進行交互的次數，進而提高系統的執行效率。最後，在實施對訪問控制策略進行任何的增加、刪除和修改的時候不需要對所有策略副本同步執行更新，進而提高了系統的整體執行效率。(3)可擴展性強本系統的開發是基於雲存儲環境的，與資源相關的訪問控制策略被分解到與資源相關的雲端進行存儲，這樣在很大程度上減輕了伺服器的負載，減少了單臺伺服器負載過大、造成單點失效的情況，觸發性能瓶頸等諸多問題，因此可擴展性強。


圖1是本發明系統的體系結構圖；圖2是本發明系統的結構示意圖；圖3是資源策略分解的結構6
圖4是資源策略分解的過程圖；圖5是協作策略分解模塊的過程圖。
具體實施例方式下面結合附圖和實例對本發明作進一步詳細的說明。如圖1所示，本發明系統的功能可以劃分為策略分解與驗證、策略評估和後臺管理，該系統包括資料庫100、策略分解與驗證模塊200、策略評估模塊300、資源與訪問控制策略調整模塊400、敏感信息過濾詞庫管理模塊500和審計模塊600。資料庫100用於存儲系統實施訪問控制的全局訪問控制策略以及基於資源分布特點進行分解後的分解策略和基於敏感信息過濾詞庫獲得的對策略間關聯關係進行加密的信息，同時存放評估信息以引導和優化策略分解過程並對策略的實施提供評估。策略分解與驗證模塊200用於接收來自資料庫100中的全局訪問控制策略信息， 進而將全局訪問控制策略依據管理資源的不同將其進行分解，同時通過敏感信息過濾詞庫引導策略分解過程，並通過評估信息對協作策略分解進行優化，從而使得資源控制策略和資源能夠同時部署到雲端上，使得策略中基於敏感信息過濾詞庫的服務間的關聯關係能夠進行加密處理，為了提高系統策略分解後實施階段對策略請求的評估效率需要將策略分解階段所獲得到的策略分解開銷信息反饋到資料庫伺服器100中，同時向資料庫提交經分解和驗證後的資源策略和協作策略。策略評估模塊300用於響應用戶的訪問請求，獲取與該請求相一致的訪問控制策略，進而對這些訪問控制策略進行定位，並對用戶的策略請求進行評估，為了提高策略評估的效率，策略評估模塊利用評估信息對策略評估過程進行優化處理，並將最終的評估結果反饋給用戶。資源與訪問控制策略調整模塊400主要接收系統管理員對雲存儲環境下的資源以及訪問控制策略本身所發生的增加、修改、刪除等操作，執行相應的資源及訪問控制策略調整步驟，並將操作結果以及系統管理員的操作情況存儲於資料庫100中。敏感信息過濾詞庫管理模塊500主要接收系統管理員對參與協作服務的各個服務方在全局訪問控制策略中的敏感信息進行增加、修改、刪除等操作，並將操作結果以及操作記錄存儲於資料庫100中。審計模塊600接收來自系統管理員輸入的查詢信息，通過與資料庫100的信息交互，獲得滿足查詢條件的所有記錄。這些記錄主要涉及全局策略信息和敏感信息的添加、刪除、修改的操作記錄。下面分別對各模塊作進一步詳細的說明。如圖2所示，資料庫100存儲的數據包括評估信息庫110、分解策略6庫120、全局策略庫130、敏感信息過濾詞庫140、審計信息庫150和分解策略關係庫160。其中，評估信息庫110用來存放策略分解過程中的效用信息，同時存放對用戶訪問請求的評估結果以及評估時間；分解策略庫120用來存放依據資源分布特點進行分解後的策略，從而使得策略和策略所對應的控制資源都在同一個雲端進行存放；全局策略庫130用來存放參與協作服務的服務提供方的整體訪問控制策略集合；敏感信息過濾詞庫140用來存放系統管理員標註的服務方訪問控制策略中的敏感信息；審計信息庫150存放管理員對資源與訪問控制策略以及服務方訪問控制策略中的敏感信息進行操作的記錄；分解策略關係庫160用來存放基於敏感信息過濾詞庫分解後的策略之間關聯關係的加密信息。資料庫100接收來自審計模塊600的查詢請求，在審計信息庫150中查詢匹配， 反饋信息到審計模塊600 ；資料庫100接收來自敏感信息過濾詞庫管理模塊500的查詢、添加、修改、刪除敏感信息的請求操作，在敏感信息過濾詞庫140中進行相應的操作，反饋信息給敏感信息過濾詞庫管理模塊500，並將敏感信息過濾詞庫管理模塊500對敏感信息過濾詞庫140的操作信息記錄到審計信息庫150，以備審計模塊600進行審計，同時反饋操作結果給敏感信息過濾詞庫管理模塊500 ；資料庫100接收來自資源與訪問控制策略調整模塊400的查詢、添加、修改、刪除資源及訪問控制策略信息的請求操作，在全局策略信息庫 130中進行相應的處理，反饋信息給資源與訪問控制策略調整模塊400，並將資源與訪問控制策略調整模塊400對全局策略信息庫130的操作信息記錄到審計信息庫150，以備審計模塊600進行審計，同時反饋操作結果給資源與訪問控制策略調整模塊400 ；資料庫100接收來自策略分解與驗證模塊200所獲得的依據資源對全局策略集合進行分解後的分解策略， 並將這些分解策略存儲於分解策略庫120中，同時將依敏感信息過濾詞庫進行分解後的分解策略間的關聯關係進行加密後存儲於分解策略關係庫160中；資料庫100接收來自策略分解與驗證模塊200在分解過程中所形成的策略分解效用信息及策略評估過程中的評估結果和評估時間信息，並將結果存儲於評估信息庫110中以指導後續的策略分解過程以及為策略實施階段的策略評估提供依據。策略分解與驗證模塊200是整個系統的基礎，該模塊依據資源分布存儲的特點對全局訪問控制策略進行分解，使得資源與其對應的訪問控制策略均被存儲到和資源相關的雲端節點上，同時依據敏感信息過濾詞庫中的過濾信息將分解後的關聯關係加密存儲。其中雲存儲環境下的資源存儲路徑列表如表1所示，該策略分解與驗證模塊200包括資源策略分解與驗證模塊210、協作策略分解與驗證模塊220和協作策略分解優化模塊230。表1資源存儲路徑列表
資源名稱存儲路徑文件Filel雲終端A文件File2雲終端B圖片Iirngel雲終端A圖片Iimge2雲終端C 資源策略分解與驗證模塊210從資料庫100的全局策略庫130中獲取全局訪問控制策略，並依據資源分布的特點將全局訪問控制策略分解到資源所處的各個雲端，分解後的情況如圖3所示，通過將策略分配到資源所在的雲端，使得資源和策略同處於雲端，從而避免了不必要的通信開銷，均衡了各雲端的計算負載，提高了策略決策的性能。其中資源策略的驗證主要是通過驗證整體策略集合{Pl，P2，-Pn}與分解後的策略集合{Pll，P12… Pli}, {P21，P22…P2j}，- {Pml, Pm2-Pmk}間的一致性來驗證資源策略分解的正確性，該一致性主要通過下述的理論進行保證資源策略分解評估效果的一致性設整體策略集合為{P1，P2，-Pn}，{P11，P12… Pli}, {P21，P22…P2j}，- {Pml, Pm2-Pmk}是採用資源策略分解與驗證模塊後得到的策略結果集合，則{P1，P2，— Pn}與{Pll，P12…Pli，P21，P22…P2j，—Pml, Pm2—Pmk}策略評估效果是一致的。為了方便證明資源策略分解前後評估效果的一致性，引入以下3個定義(rule代表策略中的規則，target代表策略訪問的資源集合)定義1 對於任意的策略P，Q，如果滿足P. rule = Q. rule,則稱P竺Q。定義2 對於任意的策略P，Q，如果滿足P竺Q且P. target cQ . target，則稱 PcQ。定義3:對於策略集合P= {P1，P2，…Pk}，如果對任意的Pi，Pj曰？有？丨竺？」， 則稱集合P為同組策略集合。證明(1)為了證明資源策略分解前後評估效果的一致性，設PD = {Pll，P12… Pli，P21，P22…P2j，…Pml，Pm2…Pmk}，PG = {Pl，P2，…Pn}，則只需要證明以下兩個命題同時成立①對於任一策略P e PD，則有P e PG或存在策略Q e PG滿足PczQ。②對於任一策略P e PG，存在同組策略集合{Qi，Qj,…Qk}cPD滿足 Qi. target U Qj. target U . . . U Qi. target = P. target。根據策略Target所指定資源集合進行的資源策略分解，相當於只對Target集合本身進行拆分，而保持策略規則的內容不變。因此，利用集合的{ η，υ }交換性和結合性原則，很容易證明上述①、②兩個命題是同時成立的，故資源分解策略前後評估效果的一致性得到驗證。如圖4所示，資源策略分解與驗證模塊210負責(1)獲取全局策略庫130中提供的系統全局訪問控制策略集合；( 從全局訪問控制策略集合中讀取一條全局策略並判斷該策略是否已被標註為分解，如果該全局訪問控制策略沒有被標註為分解則轉向(3)執行，如果該全局訪問控制策略已經被標註為分解，進而判斷全局訪問控制策略集合是否被遍歷完畢，如果全局訪問控制策略集合沒有遍歷完畢則轉向(2)執行，否則程序結束並將依據資源存儲情況對全局訪問控制策略集合進行分解的結果提交給協作策略分解與驗證模塊220進行處理；(3)獲取待分解全局訪問控制策略所指定的訪問資源的集合；(4)定位資源集合中資源的存儲位置；( 遍歷資源的存儲位置並依據對應的資源和全局訪問控制策略的關係將與該資源相關的策略部署到該資源所在的雲端，並標記該全局訪問控制策略為已分解策略；(6)判斷全局訪問控制策略集合是否別遍歷完畢，如果沒有則轉向(2)執行，否則程序結束並將結果提交給協作策略分解與驗證模塊220。其中策略分解標註列表如表2所示。表2策略分解標註列表
權利要求
1.一種雲存儲環境下安全策略分解與評估系統，其特徵在於，該系統包括資料庫 (100)、策略分解與驗證模塊000)、策略評估模塊(300)、資源與訪問控制策略調整模塊 000)、敏感信息過濾詞庫管理模塊(500)和審計模塊(600)；其中，資料庫(100)用於存儲系統實施訪問控制的全局訪問控制策略以及基於資源分布特點進行分解後的分解策略和基於敏感信息過濾詞庫獲得的對策略間關聯關係進行加密的信息，同時存放評估信息以引導和優化策略分解過程並對策略的實施提供評估，它包括評估信息庫、分解策略庫、全局策略庫、敏感信息過濾詞庫、審計信息庫和分解策略關係信息庫；策略分解與驗證模塊(200)從資料庫(100)獲取全局策略信息，進而將全局訪問控制策略依據管理資源的不同將其進行分解，同時通過敏感信息過濾詞庫引導策略分解過程， 並通過評估信息對協作策略分解進行優化，從而使得分解後的資源策略集合對資源的訪問控制效果是一致的，使依據敏感信息過濾詞庫分解後的策略在保證服務提供方訪問控制策略中的敏感信息不被洩漏的情況下，使其整體安全性與可用性前後一致；並將最終的分解結果存儲於資料庫(100)中；策略評估模塊(300)用於響應用戶的訪問請求，獲取與該請求相一致的訪問控制策略，進而對這些訪問控制策略進行定位，並對用戶的策略請求進行評估，為了提高策略評估的效率，策略評估模塊(300)利用評估信息對策略評估過程進行優化處理，並將最終的評估結果反饋給用戶；資源與訪問控制策略調整模塊(400)接受來自系統管理員對雲存儲環境下的資源以及訪問控制策略本身所發生的增加、修改、刪除操作，執行相應的資源及訪問控制策略調整步驟，並將操作結果以及系統管理員的操作情況記入資料庫(100)中；敏感信息過濾詞庫管理模塊(500)接收來系統管理員對參與協作的各個服務方在全局訪問控制策略中的敏感信息進行增加、修改、刪除等操作，並將操作結果以及操作記錄存儲於資料庫(100)中；審計模塊(600)接收來自系統管理員輸入的查詢信息，通過與資料庫(100)的信息交互，利用系統管理員提交的用戶名和時間範圍對系統管理員的操作進行查詢，獲得滿足查詢條件的所有記錄。
2.根據權利要求1所述的雲存儲環境下安全策略分解與評估系統，其特徵在於，該策略分解與驗證模塊(200)包括資源策略分解與驗證模塊010)、協作策略分解與驗證模塊(220)和協作策略分解優化模塊O30)；資源策略分解與驗證模塊(210)從資料庫(100)的全局策略庫130中獲取全局訪問控制策略，並依據資源分布的特點將全局訪問控制策略分解到資源所處的各個雲端，使得資源和策略同處於雲端，從而避免了不必要的通信開銷，均衡了各雲端的計算負載，提高了策略決策的性能；協作策略分解與驗證模塊(220)從資源策略分解模塊(210)獲得依據資源進行分解後的策略，基於敏感信息過濾詞庫分析該策略的布爾表達式對該策略進行分解， 使得各協作服務方所提供的敏感信息對服務協作方是透明的，從而保證了協作方策略中敏感信息的安全性；協作策略分解優化模塊(230)負責對初步分解的協作策略進行優化，從而去除初步分解結果中的冗餘布爾表達式並同時利用評估信息對分解結果進行優化，使得分解的策略結果達到最優，從而為今後策略實施時構建出原始的策略提供方便。
3.根據權利要求1或2所述的雲存儲環境下安全策略分解與評估系統，其特徵在於，資源與訪問控制策略調整模塊(400)分為基於資源變更的策略調整模塊(410)和基於訪問控制策略變更的策略調整模塊G20)；資源調整模塊(410)在資源發生上傳/刪除的情況下，對全局策略庫及相關信息進行調整，其調整的過程如下(al)當發生單個或多個資源上傳時需要同時部署相應的訪問控制策略，同時利用資源策略分解與驗證模塊210和協作策略分解與驗證模塊220對新部署的訪問控制策略進行分解；(a2)當發生單個或多個資源刪除任務時，需要判斷是否存在其他資源受該條策略的保護，存在則保留該策略，反之則刪除與對應的所有子策略；(a3)最後均需要通過刷新各種輔助數據和緩存保持數據的一致性。訪問控制策略調整模塊(420)在全局訪問控制策略發生添加/刪除/修改的情況下， 對全局策略庫及相關信息進行調整，其調整的過程如下(al)策略的添加需要同時上傳其所保護的單個或多個資源時，則可利用資源策略分解與驗證模塊(210)和協作策略分解與驗證模塊(220)分解新策略；(^)策略刪除時，則查找策略的位置，刪除與對應的所有子策略；(a!3)策略修改可看成舊策略的刪除和新策略的添加的疊加過程，最後均需要通過刷新各種輔助數據和緩存保持數據的一致性。
全文摘要
本發明提供的一種雲存儲環境下的安全策略分解與驗證系統，該系統包括資料庫、策略分解與驗證模塊、策略評估模塊、資源與訪問控制策略調整模塊、敏感信息過濾詞庫管理模塊和審計模塊；其中策略分解與驗證模塊包括資源策略分解與驗證模塊、協作策略分解與驗證模塊，其中協作策略分解與驗證模塊包括協作策略分解與驗證模塊以及協作策略分解優化模塊，資源與訪問控制策略調整模塊包括資源調整模塊和訪問控制策略調整模塊。本發明對雲存儲環境的安全策略進行了分解與驗證，使得策略以及策略所控制的資源能夠同時存儲到雲終端上，同時保證了參與協作的服務方訪問控制策略中的敏感信息不被洩漏。本發明系統具有安全性強、執行效率高、可擴展性強的特點。
文檔編號H04L29/08GK102158557SQ201110090659
公開日2011年8月17日 申請日期2011年4月12日 優先權日2011年4月12日
發明者文坤梅, 李開, 李玉華, 李瑞軒, 王偉, 聶莉, 董勐, 辜希武, 馬曉普 申請人:華中科技大學