一種基於xacml的可驗證的雲訪問控制方法

2023-10-08 22:12:54 1

一種基於xacml的可驗證的雲訪問控制方法
【專利摘要】本發明公開了一種基於XACML的可驗證的雲訪問控制方法，本方法為：1)用戶向物聯網的傳感器節點發出訪問請求信息；2)該傳感器節點的策略實施點PEP將訪問請求生成決定權請求並將其轉發給該傳感器節點的雲決策與驗證點CDVP；3)CDVP將訪問請求發給位於雲A的策略決策點CPDP_A和雲B的策略決策點CPDP_B；4)CPDP_A和CPDP_B分別對該訪問請求進行訪問控制決策，然後將決策結果返回給CDVP，對兩返回結果進行比較：若一致則將PEP執行返回結果；否則選擇一返回結果發送給該傳感器節點的策略決策點，然後CDVP做出授權決策發送給PEP執行。本方法充分利用雲計算的計算能力，大大提高了計算效率。
【專利說明】—種基於XACML的可驗證的雲訪問控制方法
【技術領域】
[0001]本發明屬於信息安全中的訪問控制領域，具體涉及一種雲計算環境下，雲端的訪問控制決策結果可驗證的訪問控制方法。
【背景技術】
[0002]隨著物聯網的發展，傳感器節點採集的環境數據日益豐富，同時環境中存在大量的敏感區域和隱私區域，WSN所採集到的環境數據也就包含敏感數據和隱私數據，如何保證這些數據不被非法用戶訪問，對用戶的訪問行為進行控制，是物聯網應用必須解決的安全問題之一。當前WSN對數據的訪問控制通常部署在安全網關，為用戶提供對環境數據的受限的訪問服務，這種方式有一定的局限性，首先它無法阻止敵手對傳感器節點的入侵及數據篡改等攻擊，其次未來的物聯網應用將大部分是基於觀測者觸發，比如單兵作戰或環境檢測信息查詢，用戶需要直接對傳感器節點進行訪問，顯然這種方式不能滿足直接對傳感器節點進行控制的需求。因此物聯網的安全要求將訪問控制部署在傳感器節點。然而一方面WSN中無線傳感器節點的計算能力，存儲能力等都及其有限，使得其無法支持複雜的傳統的訪問控制方案，另一方面，隨著物聯網應用的發展，出現節點跨管理域和跨應用的資源訪問需求，訪問控制系統難以在傳感器節點完成訪問控制決策過程及策略存儲過程。
[0003]將計算能力有限的傳感器節點的訪問控制決策過程作為服務轉移到雲伺服器，將極大的提高訪問控制的效率，實現策略複雜的訪問控制，提升服務的靈活性，實現物聯網對傳感器節點的安全控制目標，因此雲訪問控制服務是一大趨勢。然而直接將訪問控制引擎配置在雲伺服器不一定能實現訪問控制服務化的目標，當前雲計算存在大量安全風險並不完全可信，雲平臺可能會做出錯誤的決策結果，因此雲訪問控制服務的用戶需要對決策的結果進行驗證。
[0004]解決雲計算可驗證問題的技術主要有四類:一是基於計算複雜性理論的研究，針對通用計算的可驗證性，如Goldwasser等人從計算複雜性角度提出的高效的知識證明系統對外包計算的結果進行驗證的方案；二是基於一般可驗證模型的研究，利用密碼學技術，結合可證明安全理論進行研究，如Gennaro以及Chung等人利用全同態加密技術,通過對計算信息的隱藏來對最終的計算結果進行驗證，Parno等人使用新型的基於屬性的加密技術(ABE, Attribute-Based Encryption),利用支持非單調訪問結構的 KP-ABE(Key-PolicyABE)方案構造了一個較為高效的對任意布爾函數計算結果進行驗證的方案；這兩類技術由於構造複雜，計算量大而難以在實際中應用。三是基於可信計算技術的研究，利用可信晶片來保證計算環境的可信性，這種技術由於與硬體緊密相關且計算代價較高，而不適用於雲環境；四是基於仲裁遊戲模型的研究，例如Ran等人基於Feige等人提出的RG (RefereedGames)模型，將任意計算轉換為一個特定的圖靈機，通過對圖靈機的輸出進行比較來實現對計算結果的高效驗證。
[0005]RG 模型
[0006]Feige等人從計算複雜性角度出發，為降低知識證明的複雜度提出了 RG模型。在該模型中，兩個具有無限計算能力的遊戲者(Player)向一個計算能力受限的仲裁者(referee)發送兩個相反的計算結果，仲裁者決策哪一個遊戲者的計算結果是正確的。該模型要求在每一次運行過程中至少有一個遊戲者是誠實的，但該信息對於仲裁者是未知的。
[0007]當前物聯網環境檢測採用在不同的雲平臺上運行訪問控制系統的方式來保證訪問控制決策的可靠性和安全性，RG模型可以用於該環境下雙雲的可驗證訪問控制服務中，通過高效的驗證保證訪問控制決策結果的可靠性。計算能力受限的傳感器節點相當於RG模型中的仲裁者，計算能力無限的雲相當於RG模型中的遊戲者，資源節點將訪問控制請求發送給兩個雲，雙雲同時運行訪問控制過程，兩雲同時出現訪問控制決策錯誤的概率是很小的，因此能夠以較大的概率保證每次運算中至少有一個雲返回的結果是正確的，資源節點通過較小的驗證代價即可得到可靠的訪問控制決策結果。
[0008]XACML策略及其決策過程
[0009]XACML策略語言是當前訪問控制策略的較為通用的語言，它採用樹狀分層嵌套結構定義訪問權限，其中包含三種類型的策略元素:規則Rule、策略Policy、策略集PolicySeto這三個核心策略元素的層次關係呈現樹形結構。Rule是策略元素的最小單位，也是策略樹的葉子節點，它定義了主體對客體執行的操作的授權值。Policy和PolicySet是兩種策略容器，它們是獨立的嵌套式結構，可以作為策略樹的根節點，PolicySet可以包含若干Policy和其他PolicySet, Policy則由若干Rule組成。
[0010]XACML語言規定了 4種規則/策略組合算法計算最終的評估結果，典型算法包括:
[0011]拒絕優先Deny-override,如果一個Rule或Policy元素的評估結果為Deny,無論任何其他Rule或Policy元素的評估結果如何，組合後的結果是Deny。
[0012]允許優先Permit-override,類似的，一個Permit評估結果將導致組合結果為Permit。
[0013]首次適用First-Applicable,組合評估結果等同於第一個適用於當前請求決策的Rule、Policy 或 PolicySet0
[0014]唯一適用Only-One-Applicable,該算法用於策略的組合，算法產生的組合結果保證有且僅有一個Policy或PolicySet適用於當前決策請求，而這個適用策略的評估結果就是最終的組合決策結果。如果沒有任何策略或者策略集適用，則組合結果為Not-Applicable,如果多餘一個的策略或者策略集合適用，則組合結果為Indeterminate。
[0015]XACML中的策略評估過程是從樹形策略的葉節點，也就是規則開始，再到策略以及策略集的逐層評估，得到最終對於具體請求的授權結果。其具體過程為:首先對規則進行評估，如果目標值不匹配，那麼規則的評估值應該是Not-Applicable，如果目標值匹配，那麼Rule元素內指定的效果將決定規則的值；然後對策略評估，策略的評估值應該根據指定的規則組合算法評估規則組合得到的結果決定。接著對策略之上的策略集進行評估，策略集的值應該根據策略組合算法對策略集之下的策略和策略集合進行評估確定策略集合的評估值。

【發明內容】

[0016]當前物聯網環境下，對傳感器節點的訪問控制多數部署的安全網關，然而傳感器節點有易被攻擊，篡改等特點，安全的物聯網環境要求實現到節點層的訪問控制，本發明將訪問控制深入到節點，同時考慮到傳感器節點的計算和存儲資源有限，將傳感器節點上訪問控制策略的訪問控制決策過程轉移到計算能力強大的雲端進行，同時基於RG模型，設計了一個可驗證的訪問控制決策方案，解決了由於雲可信性問題所帶來的訪問控制決策結果不可靠的問題。
[0017]當前環境監測系統採用在不同的雲平臺上同時運行訪問控制服務的方式，來保證訪問控制服務的可靠性，本文在這種雙雲的物聯網環境監測場景中，借鑑RG模型的思想，設計了如圖2所示的可驗證的雲訪問控制模型，每次運算中，兩雲同時出錯的概率非常小，因此可以採納RG模型假定在每次運算中，至少有一個雲是可信的，即不會同時欺騙或計算錯誤，用戶可以對決策信息進行驗證，高效地獲取可靠的訪問控制決策結果。雙雲與傳感器節點在可信信道中通訊，而雲計算的結果不完全可信。
[0018]具體的
【發明內容】
包括:利用RG(Refereed Games)模型,提出了一種高效的決策結果可驗證的雲訪問控制模型，並針對當前通用的XACML訪問控制策略，設計了該模型下對單條策略及策略集的可驗證的雲訪問控制方案，正常情況下，傳感器節點處策略決策點LPDP無需參與決策過程，當雙雲出現不可靠結果時資源節點處PDP只需對I條規則或很小的策略子樹進行驗證，即可獲取可靠的決策結果。
[0019]一可驗證的雲訪問控制模型
[0020]與XACML訪問控制模型(如圖1)不同，雙雲可驗證訪問控制模型包括傳感器節點訪問控制模塊與雲訪問控制模塊。傳感器節點訪問控制模塊包括:策略實施點(PolicyEnforcement Point, PEP),本地策略決策點(Local Policy Decision Point, LPDP),本發明新增構建-雲決策驗證點(Cloud Decision Verification Point, CD VP);雲訪問控制模塊包括雙雲的策略決策點(Cloud Policy Decision Point A, CPDP_A ；Cloud PolicyDecision Point B, CPDP_B)。
[0021 ] 其中策略執行點PEP，部署在傳感器節點訪問控制模塊中，根據U的訪問構造決定權請求，接收並執行CDVP做出的決定；
[0022]雲決策驗證點，是本發明中的新增構建，相當於RG模型中的仲裁者，部署在傳感器節點訪問控制模塊中，負責對雙雲的決策結果進行處理和驗證，以及向本地策略決策組件LPDP及策略執行組件PEP進行消息轉發；
[0023]本地策略決策點LPDP，部署在傳感器節點訪問控制模塊，它存儲訪問控制策略，並能夠根據請決策出授權結果。
[0024]雲策略決策點CPDP_A，CPDP_B是部署在雲伺服器CloudA，CloudB的與LPDP具有相同策略的訪問控制決策部件，二者同時運行。
[0025]其可驗證的雲訪問控制過程如下:
[0026]1)U向傳感器節點發出訪問請求
[0027]2) PEP根據用戶的訪問控制請求，構造決定權請求，並將決定權請求轉發給CDVP ；
[0028]3) CDVP 同時將請求轉發給位於 CloudA，CloudB 的 CPDP_A，CPDP_B ；
[0029]4) CPDP_A, CPDP_B進行訪問控制決策，返回決策結果；
[0030]5) CDVP對結果進行比較，若決策結果一致，則PEP執行該結果，訪問控制過程結束.[0031]6)若不一致，⑶VP選擇其中一雲的返回信息，由LPDP進行決策。[0032]7)LPDP將決策結果發送給⑶VP，並與相應的雲端返回的結果進行對比，然後做出授權決策
[0033]8)將授權結果發送給PEP執行。
[0034]CDVP如何選擇計算量最少的返回信息交給本地PDP進行驗證，以及如何取得最終的授權結果，將在第二，三部分中說明，其中第二部分描述了基於單一策略的方案，第三部分中說明基於策略集的方案，在不同的場景下，適應更加複雜細粒度的訪問控制體系。為不失一般性，方案不考慮Indeterminate情況(該情況說明雲伺服器出現了某種故障)。
[0035]二基於策略的可驗證的雲訪問控制方案
[0036]XACML訪問控制策略語言中，策略由至少I條規則組成，每條規則的編號唯一，在單條策略的場景下，雲端PDP根據請求對規則逐條進行匹配，按照策略中定義的規則組合算法，對規則的判定結果進行合併計算，得到訪問控制判定的最終結果。
[0037]用req(sub, res, act)來表示請求消息,其中sub表示請求的主體，res表示請求的資源，act表示請求執行的動作，雲決策與驗證點CDVP將請求消息同時發送給兩個雲端PDP,雲端PDP進行決策，若雲策略決策點對該請求的判定結果不是Not-Applicable，則還需返回判定所依據的規則編號，其表示形式如下:
[0038]CloudA_response (Decision, RuleID =」，，)；
[0039]若CloudA_response 與 CloudB-response 中的 decision 即決策結果相同，CDVP 直接採納此結果，並將決策值回給PEP執行。
[0040]若CloudA_response與CloudB_response的決策結果不相同，會有一個Not-Applicable決策值，以及不存在Not-Applicable決策值兩種情況。
[0041]出現一個Not-Applicable決策值，返回結果為Not-Applicable的雲標記為CloudA,決策結果為Permit或Deny的雲標記為CloudB,結果為Not-Applicable時雲端不會返回規則信息，因此無法驗證它的正確性，所以需要對Cl0udB的決策結果根據其返回的策略規則信息進行驗證，CDVP將Cl0udB返回結果(Decision，RuleID =」」)中的的規則編號RuleID傳給本地PDP進行評估，僅需檢查該Rule與請求是否匹配即可:如果匹配證明CloudA計算錯誤,採納CloudB的授權結果即可。否則不匹配，Cloud13計算錯誤，⑶VP採用CloudA的Not-Applicable評判結果,轉發給PEP執行。
[0042]不存在Not-Applicable決策結果時，則必定存在一個雲的決策結果為允許(即Permit),記為CloudA另一個雲的決策結果Deny,記為CloudB,這種情況下,根據策略組合算法的不同，有如下的3種情況:
[0043]1.如果策略的規則組合算法Permit-override,則OWP選擇CloudA的返回信息中的RulelD，並將其發送給本地PDP進行評估，如果評估結果為Permit，說明CloudA計算正確，則將授權策略定義為Permit交給PEP執行。否則PDP的返回結果可能是不適用(即Not-Applicable)或者是拒絕(即Deny),這說明CloudA的決策結果不正確，即CloudA是計算錯誤的，那麼判定CloudB就是計算正確的，因此採取Deny的授權策略。即這一過程僅需對策略的其中一條規則進行決策驗證，充分利用了雲計算的計算能力，大大提高了計算的效率。
[0044]2.若策略組合算法為Deny-override,同理OWP將CloudB的雲端響應中的RulelD，發送給本地PDP進行評估，其評估結果及授權決策方案原理同1，即如果評估結果為Permit，則將決策結果定義為Permit交給PEP執行；否則將CloudA的決策結果交給PEP執行。
[0045]3.若策略組合算法為 First-Applicable 或 Only-One-Applicable, CDVP將雲端返回結果中RuleID進行比較，若RuleID相同，說明該RuleID確實是首次出現，或者是唯一的匹配的Rule，將該規則發送給本地PDP進行評估，採納與本地評估相同的雲端結果交由PEP執行。若RuleID值不同，則選取id值較小的一個發送給本地PDP進行評估，⑶VP將本地評估結果與雲端評估結果進行比較，如果授權結果一致，那麼說明該雲是計算正確的，因此採用此授權結果。否則說明該雲是計算錯誤的，採納另外一個結果。即這一過程僅需對策略的其中一條規則進行決策驗證，充分利用了雲計算的計算能力，大大提高了計算的效率。
[0046]三基於策略集的可驗證的雲訪問控制方案
[0047]策略集中通常包含一組策略或者其他的策略集，其中策略以及策略集在系統中的編號是唯一的。策略集判定和驗證情況要比一條策略的情況要複雜的多，它是在單條策略的方案基礎之上，對基於策略的方案進行擴展，實現的一種適用於策略集的方案。該方案將頂層策略集和次頂層之間的運算關係，類比為第二部分中策略與規則之間關係，返回相應策略子樹信息，同樣若兩者返回的信息相同，則CDVP直接採納雲的決策結果，將決策值交給PEP執行，否則CDVP根據策略組合算法，選擇其中一雲返回的子樹信息交本地PDP進行訪問控制決策。傳統的策略評估方案中，PDP需要沿著最底層的節點，一層一層的策略集根節點進行評估，而在本案中，最壞情況下本地PDP只需要對頂層策略集的一棵子樹進行驗證，具體的方案如下:
[0048]用戶U用req(sub,res,ac)向PEP發送請求訪問，雲決策與驗證點CDVP將請求消息同時發送給兩個雲端Η)Ρ，雲端PDP進行決策，若決策結果不是Not-Applicable，則還需返回決策所依據策略子樹根節點策略或策略集編號可以用圖3粗線框所示，雲端返回信息如下:
[0049]CloudA-response {Decision:decision ；PolicySetID:Decision ；}
[0050]若CloudA_response與CloudB-response的判定結果相同，不管他們的決策依據子樹是否相同，CDVP直接採納此結果，並將決策值回給PEP執行。
[0051]若CloudA_response與CloudB_response的決策結果不同，同樣會出現存在一個Not-Applicable的情況，以及不存在Not-Applicable的情況:
[0052]出現一個Not-Applicable決策結果的情況中，決策結果為Not-Applicable的雲標記為CloudA,決策結果為Permit或Deny的雲標記為CloudB,這種情況下，CloudA沒有返回決策依據子樹信息，只能對CloudB返回的決策依據驗證，OWP將CloudB-response中的策略子樹交給本地Η)Ρ，本地LPDP對該策略子樹從規則節點也就是葉節點開始進行決策，如果與CloudB的授權評估結果一致,說明CloudB是計算正確的,否則就說明CloudA是計算正確的。⑶VP將正確的決策結果返回給PEP執行。
[0053]在沒有出現Not-Applicable判定結果的情況中，決策結果為Permit的雲標記為CloudA,決策結果為Deny的雲標記為CloudB，這種情況下根據策略組合算法，又有如下的3種情況:
[0054]1.如果策略組合算法為Permit-override,則OWP選擇CloudA(其決策結果為Permit)返回的路徑信息，轉交給本地LPDP對以返回的路徑起始節點為根節點的策略子樹進行驗證，若驗證通過，則說明CloudA是正確計算的，評估結果被採納，否則採用CloudB的決策結果。這一過程僅需對策略的其中一個子策略進行決策驗證，充分利用了雲計算的計算能力，大大提高了計算的效率。
[0055]2.若組合算法為Deny-override,同理CDVP將CloudB的雲端響應發送給本地F1DP進行決策，其策略決策方式同1，即LPDP對以返回的路徑起始節點為根節點的策略子樹進行驗證，若驗證通過，則Cl0udB返回結果是正確的，否則Cl0udA返回結果是正確的，⑶VP將正確的返回結果交回給PEP執行。
[0056]3.若策略組合算法為 First-Applicable 或 Only-One-Applicable, CDVP 將雲端返回結果中所依據的策略子樹根節點策略id進行比較，選取值較小的一個發送給本地rop進行決策，CDVP將本地決策結果與雲端評估結果進行比較，如果授權結果一致，採用此授權結果。否則說明該雲是計算錯誤的，採納另外一個授權結果。這一過程僅需對策略的其中一個子策略進行決策驗證，充分利用了雲計算的計算能力，大大提高了計算的效率。
[0057]與現有技術相比，本發明的優點在於:
[0058]本發明物聯網環境下對傳感器節點數據的訪問控制深入到節點層，將計算量較大的訪問控制策略決策過程轉移到雲端進行，同時考慮了委託計算的信任問題，正常情況下，本地PDP不需要參與訪問控制過程，當雲出現不可靠決策時，本地也僅需對策略的其中一條規則或者一個子策略進行決策驗證，充分利用了雲計算的計算能力，大大提高了計算的效率，降低了計算能力受限的傳感器節點的計算代價，能夠實現傳感器節點上的複雜的細粒度的可靠的訪問控制。
【專利附圖】

【附圖說明】
[0059]圖1訪問控制模型；
[0060]圖2可驗證的雲訪問控制模型；
[0061]圖3基於策略集的雲訪問控制方案雲返回信息表不；
[0062]圖4基於單條策略的可驗證訪問控制圖示；
[0063]圖5基於策略集的可驗證訪問控制圖示。
【具體實施方式】
[0064]下面通過對單條策略及策略集的方案分別實施實例以對本發明做出更詳細的說明。
[0065]例如某資源XACML訪問控制策略如圖4所示，應用基於雲的訪問控制決策過程，用戶對該資源的訪問，僅需應用基於策略的訪問控制方案:
[0066]用戶U對傳感器節點數據資源R發起的訪問請求:req = (subAttr3, resAttr3,actAttr3),本地及雲端PDP存儲如圖4所示的XACML策略規則,其可驗證的訪問控制決策的過程:
[0067]A.用戶U向傳感器節點訪問控制系統中的PEP發出的請求req (subAttr3,resAttr3, actAttr3)
[0068]B.PEP將請求轉發給CDVP ；
[0069]C.CDVP同時將請求轉發給CloudA以及CloudB ；[0070]D.CloudA以及CloudB分別返回其評估結果，假定分別為
[0071]CloudA-response (Permit, RuleID =」2，，)
[0072]CloudB-response (Deny, RuleID =」3，，)
[0073]E.⑶VP檢查返回結果，發現二者的決策和返回rule值均不相同(這已經是最壞情況)，又因為策略Policyl的規則組合算法為Permit-override,因此OWP選擇CloudA-response 中的 RuleID = 「2」轉發給本地 F1DPt5
[0074]F.由圖4的策略可知，本地I3DP的評估結果是Permit，因此本地PDP將執行決策的結果Permit轉發給CDVP。
[0075]G.⑶VP對比本地rop的評估結果與CloudA的結果進行比對，決策一致，由此判定CloudA是計算正確的，Cloud13是計算錯誤的。
[0076]H.將CloudA的授權結果發送給PEP執行。
[0077]至此完成基於單條策略的可驗證的雲訪問控制過程，最壞情況下，本地PDP也只需要對一條規則進行驗證，而不需要遍歷整個規則集合，極大的提高了訪問控制判定的效率。
[0078]對於如圖5所示的策略集的XACML訪問控制策略，應用基於策略集的可驗證的雲訪問控制方案的決策及驗證方案如下:
[0079]用戶U對傳感器節點數據資源R發起的訪問請求:req = (subAttr3, resAttr3,actAttr3)，本地及雲端PDP存儲如圖5所示的XACML策略規則，按照該策略決策的過程:
[0080]A.用戶 U 向 PEP 發出訪問請求 req (subAttr3, resAttr3, actAttr3)
[0081 ] B.PEP將請求轉發給CDVP
[0082]C.CDVP 同時將請求轉發給 CloudA，CloudB
[0083]D.CloudA, CloudB返回其雲端決策結果,假定分別為:
[0084]CloudA-response {Decision:Deny ；PolicySet2 ；}
[0085]CloudB-response {Decision:Permit ；PolicySetl ；}
[0086]E.⑶VP檢查發現CloudA與CloudB的決策結果不同，對兩者返回的路徑進行比較，發現路徑也完全不同，然後檢測PolicySetl的策略組合算法為permit-override,因此選擇CloudB的返回結果，交給本地PDP進行決策
[0087]F.將PolicySetl加入本地Η)Ρ，對其所在的子樹進行驗證，顯而易見，在圖5所示的策略中，Rule5對該請求的決策結果為允許，而policy4為允許優先，policySet2,PolicySetl同樣是允許優先，於是驗證表明CloudB的決策結果是正確的。PDP將Permit結果返回給⑶VP。
[0088]G.⑶VP選擇CloudB的決策:Permit，轉發給PEP執行該策略。
[0089]至此完成基於策略集的可驗證的雲訪問控制過程，正常情況下，本地PDP無需參與訪問控制決策過程，當一雲出現不可靠結果時，本地PDP也只需要對策略集中的一棵子樹進行驗證，而不需要遍歷整個策略集集合，充分利用了雲的計算能力，降低了本地的訪問控制決策的運算代價。同時傳感器節點和雲之間僅需傳輸一個決策值，一個策略ID，因此具有較小的通訊代價，能夠實現傳感器節點層面的對數據的複雜的細粒度的訪問控制決策過程。
【權利要求】
1.一種基於XACML的可驗證的雲訪問控制方法，其步驟為: 1)用戶U向物聯網的傳感器節點發出訪問請求信息； 2)該傳感器節點的策略實施點PEP將訪問請求生成決定權請求並將其轉發給該傳感器節點的雲決策與驗證點⑶VP ； 3)該雲決策與驗證點⑶VP將該訪問請求轉發給位於雲Cl0udA的策略決策點CPDP_A和雲Cl0udB的策略決策點CPDP_B ； 4)策略決策點CPDP_A和策略決策點CPDP_B分別根據XACML訪問控制策略對該訪問請求進行訪問控制決策，然後將決策結果返回給該雲決策與驗證點CDVP ； 5)該雲決策與驗證點CDVP對該訪問請求的兩返回結果進行比較:若決策結果一致，則將返回結果發送給該策略實施點PEP執行；若不一致，則選擇其中一返回結果i發送給該傳感器節點的策略決策點LPDP進行決策，然後該雲決策與驗證點CDVP將該策略決策點LPDP的決策結果與該返回結果進行對比，將做出的授權決策發送給該策略實施點PEP執行； 其中，LPDP, CPDP_A、CPDP_B具有相同的XACML訪問控制策略。
2.如權利要求1所述的方法，其特徵在於所述訪問請求表示為:req(sub,res,act);其中，sub表示請求的主體，res表示請求的資源，act表示請求執行的動作。
3.如權利要求1所述的方法，其特徵在於所述XACML訪問控制策略為單一訪問控制策略；策略決策點CPDP_A和策略決策點CPDP_B分別根據XACML訪問控制策略對該訪問請求進行訪問控制決策，如果 決策結果不是Not-Applicable，則所述返回結果包括決策結果所依據的規則編號。
4.如權利要求3所述的方法，其特徵在於步驟5)中，若不一致，其中:a)雲Cl0udAS回結果為Not-Applicable,雲CloudB決策結果為Permit或Deny ;或者b)雲CloudA返回結果為Permit,雲CloudB返回結果為Deny ； 對於情況a)，CDVP將雲CloudB返回結果中的的規則編號傳給LPDP進行評估，檢查該規則編號對應規則與訪問請求是否匹配:如果匹配證明雲CloudA返回結果錯誤，將雲CloudB返回結果轉發給PEP執行；如果不匹配，則雲Cl0udB返回結果錯誤，將雲Cl0udA的返回結果轉發給PEP執行； 對於情況b): bl)如果所述訪問控制策略的規則組合算法為Permit-override,則OWP選擇CloudA返回結果中的規則編號，並將其發送給LPDP進行評估，如果評估結果為Permit，則將授權策略定義為Permit交給PEP執行；否則將CloudB的返回結果交給PEP執行； b2)如果規則組合算法為Deny-override,則OWP將CloudB返回結果中的規則編號發送給LPDP進行評估，如果評估結果為Permit，則將授權策略定義為Permit交給PEP執行；否則將Cl0udA的返回結果交給PEP執行； b3)如果規則組合算法為 First-Applicable 或 Only-One-Applicable,則 CDVP 將雲端返回結果中規則編號進行比較，若相同，則LPDP對該規則編號對應的規則進行評估，CDVP將與LPDP評估相同的雲端返回結果交由PEP執行；若規則編號不同，則LPDP對規則編號值較小的規則進行評估，CDVP將該評估結果與雲端返回結果進行比較，如果一致，則將雲端返回結果交給PEP執行，否則將LPDP評估結果交給PEP執行。
5.如權利要求1所述的方法，其特徵在於所述XACML訪問控制策略為一訪問控制策略集；策略決策點CPDP_A和策略決策點CPDP_B分別根據XACML訪問控制策略對該訪問請求進行訪問控制決策，如果決策結果不是Not-Applicable，則所述返回結果包括所依據策略子樹信息。
6.如權利要求5所述的方法，其特徵在於，步驟5)中，若不一致，其中:a)雲CloudAS回結果為Not-Applicable,雲CloudB決策結果為Permit或Deny ;或者b)雲CloudA返回結果為Permit,雲CloudB返回結果為Deny ； 對於情況a)，CDVP將Cl0udB返回結果中的路徑信息交給LPDP，LPDP對該路徑所在的策略子樹從規則節點開始進行評估，如果評估結果與Cl0udB的返回結果一致，則Cl0udB返回結果是正確的，否則Cl0udA返回結果是正確的，CDVP將正確的返回結果交回給PEP執行；對應情況b): bl)如果所述訪問控制策略的規則組合算法為Permit-override,則OWP將CloudA返回結果中的路徑信息交給LPDP，對以返回的路徑起始節點為根節點的策略子樹進行驗證，若驗證通過，則Cl0udA返回結果是正確的，否則Cl0udB返回結果是正確的，⑶VP將正確的返回結果交回給PEP執行； b2)如果規則組合算法為Deny-override,則OWP將CloudB返回結果中的路徑信息交給LPDP，對以返回的路徑起始節點為根節點的策略子樹進行驗證，若驗證通過，則CloudB返回結果是正確的，否 則Cl0udA返回結果是正確的，CDVP將正確的返回結果交回給PEP執行；b3)如果規則組合算法為 First-Applicable 或 Only-One-Applicable,則 LPDP 對雲端返回結果中策略子樹編號值較小的策略子樹進行決策，CDVP將LPDP決策結果與雲端返回結果進行比較，如果一致，則將雲端返回結果交給PEP執行，否則將LPDP評估結果交給PEP執行。
【文檔編號】H04W12/06GK104009959SQ201310057624
【公開日】2014年8月27日 申請日期:2013年2月22日 優先權日:2013年2月22日
【發明者】張立武, 司曉琳, 馮登國, 王鵬翩, 高志剛, 黃杜煜 申請人:中國科學院軟體研究所