CN111967046A - 一种面向大数据资源的自适应访问控制方法 - Google Patents

Abstract

本发明公开了一种面向大数据资源的自适应访问控制方法，包括：基于ABAC模型，通过引入业务约束与用户意图构建基于业务约束的自适应访问控制模型AACM‑BC；基于AACM‑BC在准备阶段进行访问控制过程中所涉及到的实体属性信息和访问控制策略信息的管理；在执行阶段进行访问请求的判决、响应与执行；进行基于逻辑计算的常规权限判决，若判决结果为禁止访问，则直接返回禁止访问的判决响应，若判决结果为允许访问，则进行基于LSTM的业务权限判决，其中，业务权限判决的结果为权限判决的最终结果。本发明能够有效解决现有技术在大数据资源访问控制时存在的问题。

Description

一种面向大数据资源的自适应访问控制方法

技术领域

本发明涉及大数据资源访问技术领域，尤其涉及一种面向大数据资源的自适应访问控制方法。

背景技术

近年来，随着云计算、物联网等新兴技术的不断发展，这些新技术在人们的生产和生活中产生了海量的数据资源，大数据时代已经悄然到来，大数据所带来的社会变革已经深入到生产生活的方方面面，数据已经成为了一种能够流动的资产宝库，通过分析、利用大数据资源能够创造出巨大的社会和经济价值，并且数据量越大、来源越广泛，产生的价值也会越大，然而，大数据在带来新的发展机遇的同时，也面临着严峻的安全挑战，大数据的非授权共享将会对用户自身的数据带来巨大的安全威胁，实现安全、可控的大数据资源流通与共享是大数据应用及其发展的前提与基础，

作为保护数据安全的重要手段，访问控制技术能够通过对用户权限的管理，使合法用户能够依照其所拥有的权限访问***内相应资源，禁止非法用户对数据的非授权访问，从而有效的保障数据安全以及业务***的正常运转，因此，急需采取有效的访问控制措施来保护大数据资源的安全、可控共享，但是，大数据资源具有数据量大、动态性强、来源广等特点，这使得大数据的管理场景更加复杂，安全需求变得更加多样，传统的静态访问控制技术难以适用，当前大数据访问控制所存在的如下挑战：难以通过安全管理人员依据专业知识对海量、动态的大数据资源进行高效的策略管理，这对动态访问控制的实施提出了挑战，现有的访问控制方法中，策略的管理与具体的应用场景密不可分，需要由安全管理人员依据专业知识来手动制定访问控制策略，从而实现对数据资源的防护，在封闭环境中，面对有限的数据资源来进行人工的策略管理是安全的、可行的，但是，在开放的大数据环境中，面临海量且动态变化的数据资源进行人工的策略管理是一项劳动密集型的工作，工作量十分巨大且难以实现；

难以对多源汇聚的大数据资源的访问控制策略进行准确描述，这对细粒度的访问控制实施提出了挑战，大数据资源自身具有的价值密度较低，其核心价值并不在于单一数据资源本身，而在于对海量数据分析、利用后得到的分析结果具有更高高的价值密度，同时，海量大数据具有多源汇聚、合作共享的特点，这就增加了访问控制策略制定以及授权管理的难度，导致过度授权和授权不足的现象越来越严重，如何判断“允许哪些用户访问哪些资源”这个问题本身在大数据背景下，就是一个非常专业、非常难以准确描述的问题，因此，为了维护***可用性，这些***往往采用了过度授权，另外，由于大数据及其应用的复杂性，往往会造成一些新的访问需求没有被安全管理人员预先考虑到，为了更好的保护资源安全，使得用户授权不足的现象也越来越多。

发明内容

有鉴于此，本发明提供了一种面向大数据资源的自适应访问控制方法，基于业务约束的自适应访问控制模型AACM-BC，为自动化、智能化的大数据访问控制提供了一条新的解决思路，并能够自适应实体之间的业务需求，另外，设计了双层权限判决结构来兼顾了不同的大数据资源访问控制需求，同时兼顾了资源的安全性与可用性，有效解决了现有技术在大数据资源访问控制时存在的问题。

本发明提供了一种面向大数据资源的自适应访问控制方法，包括：

基于ABAC模型，通过引入业务约束与用户意图构建基于业务约束的自适应访问控制模型AACM-BC，其中，所述AACM-BC包括：策略执行点PEP、属性权威AA、策略管理点PAP和访问判决点ADP，所述属性权威AA包括：固有属性权威AA_I和业务属性权威AA_B，所述访问判决点ADP包括：策略判决点PDP和业务判决点BDP；

基于所述AACM-BC在准备阶段进行访问控制过程中所涉及到的实体属性信息和访问控制策略信息的管理；

在执行阶段进行访问请求的判决、响应与执行；

进行基于逻辑计算的常规权限判决，若判决结果为禁止访问，则直接返回禁止访问的判决响应，若判决结果为允许访问，则进行基于LSTM的业务权限判决，其中，业务权限判决的结果为权限判决的最终结果。

优选地，所述基于所述AACM-BC在准备阶段进行访问控制过程中所涉及到的实体属性信息和访问控制策略信息的管理，包括：

在初始授权阶段，基于用户的固有属性信息设定访问控制策略；

在业务授权阶段，通过为主体用户动态授予业务属性实现业务授权。

优选地，所述在执行阶段进行访问请求的判决、响应与执行，包括：

通过所述PEP接受用户发送的对特定资源原始的访问请求NAR；

通过所述PEP对所述NAR中的主体、资源及操作属性的语义进行分析，根据所述AA得到的属性信息生成处理后的访问请求AAR，并将所述AAR发往所述ADP；

通过所述ADP向所述PAP查询与被请求大数据资源相关的访问控制策略集；

由所述PDP依据策略集进行访问控制常规判决，当判决结果为允许访问，则将所述AAR继续发送到所述BDP；

所述BDP接收到所述AAR后，根据所述AAR中主体的授权业务属性与被访问资源的业务属性进行业务相似度的计算；

当计算结果为相似业务，则判决结果为允许访问，当计算结果为非相似业务，则判决结果为禁止访问。

优选地，所述基于逻辑计算的常规权限判决，包括：

通过所述PDP基于实体固有属性制定的访问控制策略的策略标记为PERMIT或DENY的二元标记，当在访问请求AAR中涉及的属性信息满足访问控制策略中的逻辑约束，则按该满足策略的策略标记对访问请求AAR进行响应，响应结果为PERMIT或DENY，当访问请求AAR没有与之匹配的策略时，响应结果为UNKNOWN。

优选地，所述基于LSTM的业务权限判决，包括：

通过所述PDP分别将主体业务属性集与资源业务属性集转化为词向量的形式进行表达，基于PD-LSTM神经网络对主体与资源业务属性集的相似度进行计算，根据相似度计算结果输出判决结果。

综上所述，本发明公开了一种面向大数据资源的自适应访问控制方法，首先基于ABAC模型，通过引入业务约束与用户意图构建基于业务约束的自适应访问控制模型AACM-BC，其中，AACM-BC包括：策略执行点PEP、属性权威AA、策略管理点PAP和访问判决点ADP，属性权威AA包括：固有属性权威AA_I和业务属性权威AA_B，访问判决点ADP包括：策略判决点PDP和业务判决点BDP；基于AACM-BC在准备阶段进行访问控制过程中所涉及到的实体属性信息和访问控制策略信息的管理；在执行阶段进行访问请求的判决、响应与执行；进行基于逻辑计算的常规权限判决，若判决结果为禁止访问，则直接返回禁止访问的判决响应，若判决结果为允许访问，则进行基于LSTM的业务权限判决，其中，业务权限判决的结果为权限判决的最终结果。本发明基于业务约束的自适应访问控制模型AACM-BC，为自动化、智能化的大数据访问控制提供了一条新的解决思路，并能够自适应实体之间的业务需求，另外，设计了双层权限判决结构来兼顾了不同的大数据资源访问控制需求，同时兼顾了资源的安全性与可用性，有效解决了现有技术在大数据资源访问控制时存在的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明公开的一种面向大数据资源的自适应访问控制方法实施例的流程图；

图2为本发明公开的一种AACM-BC访问控制框架图；

图3为本发明公开的一种权限判决流程图；

图4为本发明公开的一种基于LSTM的业务权限算法流程图；

图5为本发明公开的一种LSTM记忆细胞结构图；

图6为本发明公开的一种LSTM神经网络结构图；

图7为本发明公开的训练集与测试集的判决准确率示意图；

图8为本发明公开的训练集与测试集的Loss值图；

图9为本发明公开的不同相似度计算方法判决准确率的对比示意图；

图10为本发明公开的不同相似度计算方法判决Loss值的对比示意图；

图11为本发明公开的不同策略规模下常规权限判决的时延示意图；

图12为本发明公开的不同策略规模下业务权限判决的时延示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

根据图1～图6所示，本实施例提供了一种面向大数据资源的自适应访问控制方法，所述方法可以包括以下步骤：

S101、基于ABAC模型，通过引入业务约束与用户意图构建基于业务约束的自适应访问控制模型AACM-BC，其中，AACM-BC包括：策略执行点PEP、属性权威AA、策略管理点PAP和访问判决点ADP，属性权威AA包括：固有属性权威AA_I和业务属性权威AA_B，访问判决点ADP包括：策略判决点PDP和业务判决点BDP；

首先，在经典ABAC模型中引入业务属性概念，实现由实体固有属性与业务属性构成的双层混合访问控制结构，提出基于业务约束的自适应访问控制模型AACM-BC，如图2，其中，固有属性用来描述实体访问控制的固有约束信息，包括多种类型的主体属性：角色、部门、职位、性别、年龄、信用；资源属性：安全等级、风险、所有者、创建时间；环境属性；业务属性用来描述主体及资源所蕴含的业务约束信息，包括主体业务属性与资源业务属性，主体业务属性用来描述主体所能访问的相关业务资源特征，资源业务属性用来描述资源所具有的业务特征；具体为：在ABAC模型的基础上，引入业务约束与用户意图，其中，业务约束由资源的业务属性决定，用户意图由授权给主体的业务属性决定，AACM-BC包括策略执行点PEP；属性权威AA，且属性权威AA分为固有属性权威AA_I、业务属性权威AA_B；策略管理点PAP；访问判决点ADP，且访问判决点ADP分为策略判决点PDP和业务判决点BDP；

S102、基于AACM-BC在准备阶段进行访问控制过程中所涉及到的实体属性信息和访问控制策略信息的管理；

将AACM-BC的访问控制工作流程分为准备阶段、执行阶段两个阶段。其中，准备阶段进行访问控制过程中所涉及到的实体属性信息和访问控制策略信息的管理，包括初始授权与业务授权两个授权阶段：其中，在初始授权阶段，安全管理人员根据用户的固有属性信息，设定***的访问控制策略，用户基于初始授权对资源进行访问，但是，由于初始授权所依据的只是用户的固有属性信息，包括角色、单位、职位、性别，而这些固有属性信息对于一般用户来说是相对长期的、静态的，根据固有属性信息访问控制的粒度过粗，那么，在初始授权阶段后动态进行业务授权，实现细粒度及与业务自适应的访问控制；在业务授权阶段，不同类型的业务资源被不同的类型业务属性所刻画，通过为主体用户动态授予业务属性实现业务授权；

S103、在执行阶段进行访问请求的判决、响应与执行；

执行阶段进行访问请求的判决、响应与执行：其中，由PEP接受用户发送的对特定资源原始的访问请求NAR，PEP对NAR中的主体、资源及操作属性的语义进行分析，根据AA得到的属性信息生成处理后的访问请求AAR，并将AAR发往ADP；ADP向PAP查询与被请求大数据资源相关的访问控制策略集，由PDP依据策略集进行访问控制常规判决，当判决结果为禁止访问，则将判决结果直接发送回PEP，当判决结果为允许访问，则将AAR继续发送到BDP；BDP接收到AAR后，根据AAR中主体的授权业务属性与被访问资源的业务属性进行业务相似度的计算，当计算结果为相似业务，则判决结果为允许访问，当计算结果为非相似业务，则判决结果为禁止访问，并将判决结果发送回PEP；由PEP根据ADP的访问控制响应结果对用户采取相应的访问操作；

S104、进行基于逻辑计算的常规权限判决，若判决结果为禁止访问，则直接返回禁止访问的判决响应，若判决结果为允许访问，则进行基于LSTM的业务权限判决，其中，业务权限判决的结果为权限判决的最终结果。

如图3所示，首先进行基于逻辑计算的常规权限判决，若判决结果为禁止访问，直接返回禁止访问的判决响应，若判决结果为允许访问，继续进行基于LSTM的业务权限判决，业务权限判决的结果即为权限判决的最终结束。

具体的，在常规权限判决时，在AACM-BC中，基于逻辑计算的常规权限判决由PDP模块进行处理，基于实体固有属性制定的访问控制策略的策略标记sign为PERMIT或DENY的二元标记，当在访问请求AAR中涉及的属性信息满足访问控制策略中的逻辑约束，则按该满足策略的策略标记对访问请求AAR进行响应，响应结果为PERMIT或DENY，当访问请求AAR没有与之匹配的策略，说明策略与属性信息不足，无法对访问请求进行响应判决，响应结果为UNKNOWN，因此，在AACM-BC中具有PERMIT、DENY、UNKNOWN三种权限判决结果，使用ATTR_SETAR表示访问请求AAR中涉及的关联属性集，ATTR_SETACP表示访问控制策略ACP中涉及的关联属性集，针对特定的访问请求，常规权限判决Decision表示成如下形式：

Decision(ATTR_SET_AR,ATTR_SET_ACP)→{PERMIT,DENY,UNKNOWN} (1)

通过计算ATTR_SETAR与ATTR_SETACP的逻辑蕴含关系，实现权限判决，当ATTR_SETAR中固有属性全部符合ATTR_SETACP中策略属性的约束条件，即

那么有：

Decision(ATTR_SET_AR,ATTR_SET_ACP)＝ACP.sign (2)

当ATTR_SETAR中固有属性无法全部符合ATTR_SETACP中策略属性的约束条件，即

那么有：

Decision(ATTR_SET_AR,ATTR_SET_ACP)＝UNKNOWN (3)；

算法流程为：遍历访问控制策略集中的策略，依据策略对AAR进行判决，得到三个策略判决结果集PERMIT_RESULT、DENY_RESULT、UNKNOWN_RESULT，其中，RESULT表示权限判决结果，当只存在单一判决结果PERMIT或DENY，则返回相应结果PERMIT或DENY，当判决结果同时包含PERMIT和DENY或判决结果为UNKNOWN，则返回UNKNOWN。

具体的，在业务权限判决时，如图4所示，在AACM-BC中，基于LSTM的业务权限判决由BDP模型进行处理，分别将主体业务属性集与资源业务属性集基于Word2Vec模型转化为词向量的形式进行表达，将业务约束条件是否符合转化为语义分析中的文本语义相似度匹配问题，基于PD-LSTM神经网络来对主体与资源业务属性集的相似度进行计算，根据相似度计算结果输出判决结果，其中，如图6所示，PD-LSTM神经网络模型由处理主体业务属性的LSTMS和处理资源业务属性的LSTMR两个神经网络组成，每个网络的输入是由业务属性构成的集合，LSTMS和LSTMR具有相同的模型权重参数，PD-LSTM模型使用LSTM来读取表示每个业务属性的词向量，并使用该LSTM的最终隐藏hfinal状态作为每个业务属性集的向量表示，最后，隐藏表示hfinal之间的相似度用于业务语义相似性的预测；

具体为：LSTM为长短期记忆网络，通过引入记忆细胞结构使得神经网络能够在不需要调试复杂超参数的条件下，实现长期序列信息的记忆，为LSTM中的记忆细胞结构，每个细胞结构包含4层神经网络，如图5所示，LSTM利用“门”结构来实现记忆细胞中存储信息的删除与增强，LSTM的核心组成包括存储状态C_t、输出门O_t、输入门i_t以及忘记门f_t，O_t决定当前存储状态如何影响其它记忆细胞，i_t和f_t基于当前网络状态决定需要丢弃的信息，并控制输入到记忆细胞中的信息，

代表候选值，h_t-1代表前一时刻输入，x_t代表当前时刻输入，C_t-1代表前一时刻的存储状态，σ代表Sigmoid函数，tanh代表tanh函数。

在t时刻LSTM网络的更新公式如式(4)-(9)：

另外，

为权值矩阵，b_f、b_i、b_c、b_O为偏置向量；

LSTM将实体的业务属性集从变长序列且长度为M的向量空间映射到长度为N的多维向量空间VN，其中M为词向量的维度，N是允许的最长属性个数，每个实体的业务属性集被表示成单词向量的序列attr¹，attr²，…，attrⁿ，这个序列被传递给LSTM，LSTM通过式(4)-(9)来更新每个序列索引处的隐藏状态信息，实体业务属性集的最终被编码表示成模型的最终隐藏状态h_final∈V^N，对于给定的主体与资源的业务属性集对，将预定义的业务权限判决函数

应用于它们的LSTM表示，并利用业务属性表示空间的相似度来推断主体与资源间业务属性约束的相似性，并基于该相似性来对业务权限进行判决，如式(7)所示为相似性计算公式：

安全性与可用性分析

(1)权限提升攻击：权限提升攻击是指在***访问控制机制正常运行的条件下，攻击者通过已获取的较低权限得到未经授权的***较高访问权限的攻击。若要在AACM-BC中实现权限提升攻击，则需要攻击者在经过基于LSTM神经网络的业务权限相似度的计算后，通过对原本其具有资源Data1的访问能力，而Data1的业务属性与攻击者所具有的业务属性间存在不同，攻击者再基于Data1的业务属性与其它攻击者本无法访问的数据资源Data2的业务属性进行业务权限相似度计算后，结果为能够访问Data2，则被认为发生了权限提升攻击。但是，这种情况在AACM-BC模型中是不成立的，用户的业务属性是在用户接受到相应的业务访问需求时由安全管理员进行设定的，用户的业务属性无法通过其能够访问资源发生改变，用户业务属性改变的唯一途径是安全管理员授予。当用户的业务需求完成后，***可自动撤回用户的业务属性，取消用户对相关业务资源的访问权限。攻击者在已获取***较低权限的条件下，无法更改自己的业务属性信息，也就无法实现对其它业务数据的访问。因此，在AACM-BC模型中无法实现权限提升攻击。

(2)属性伪造攻击：属性伪造攻击是指攻击者通过伪造实体属性信息来获取额外资源访问能力的攻击。在AACM-BC中，实体属性信息(包括固有属性和业务属性)都是由可信的属性权威AA通过属性证书来进行统一管理的，在解析访问请求的过程时，需要向属性权威发送属性查询请求来确保实体属性的正确性。主体的属性信息更改必须经过安全管理员的同意，而实体的属性信息的生成只能通过安全管理员的设定或自动化的生成技术进行生成，攻击者无法对属性进行伪造。

(3)安全性保障：AACM-BC模型基于实体固有属性与业务属性的双层权限判决结构对用户的权限进行管理。业务属性并不是在实体固有属性所赋予用户的权限的基本上进行权限的扩充，而是为了实现更细粒度、更精确的访问控制对用户权限的缩小。通过业务属性来约束用户只能访问与相应业务相关的资源，解决在大数据条件下资源权限粒度难以划分，用户授权过程僵化的问题。因此，我们认为业务约束的引入是在经典ABAC模型的基础上进一步提高了***的安全性。

(4)可用性分析：在AACM-BC中，安全管理员只需要为用户赋予与用户业务相关的业务属性集，即完成了对用户的授权操作。管理员无需维护用户所能访问的所有资源信息，极大地提高了权限管理的效率。同时，通过业务相似度的计算，***能够自动判定用户是否拥有访问相应资源的能力，这种访问控制方式与大数据环境下海量资源需要有效的共享与利用的特点是十分吻合的，解决了海量资源权限难以有效管理的问题。它能够有效地提高在特定业务背景下相关大数据资源分析利用的效率，能够在保证数据资源安全性的前提下，提高了数据资源的可用性。

下面在Tensorflow1.12平台上进行仿真实验来评估本发明所提出方法的有效性。

实验的软硬件环境如下：操作***为Win10 64位，CPU为Intel(R)Core(TM)[email protected]，GPU为GeForce GTX 1050Ti Max-Q，内存大小为16GB。本发明基于斯坦福大学SNLI项目发布的文本语义相似度数据集进行仿真实验，该数据集包含超过36万条标注好文本相似度的实验数据。在仿真实验中，对数据集中的数据进行随机分割，得到由30万条数据构成的训练集、由3万条数据构成的验证集以及由3万条数据构成的测试集。并且，还构建了策略规模分别为500、1000、1500、2000、2500、3000、3500、4000的访问控制策略集合来进行性能测试，该策略集涵盖100项主体属性、1000项资源属性和10项动作属性信息，限制描述同一主体、资源和动作的属性数据最大为4(基于该属性信息最大可达到的可区分主体规模为1004、资源规模为10004、动作规模为104)。

为了评估本发明所提出的访问控制技术的性能及效果，通过业务权限判决准确率和Loss值评估、不同相似度距离计算方法的比较以及不同策略规模权限判决效率的对比这3个实验来进行验证。

(1)业务权限判决准确率和Loss值评估。如图7和图8所示，基于LSTM训练得到的业务权限判决模型的性能在Epoch达到20之后趋于稳定，在测试数据集中能够达到82.46％的准确率和0.0641的损失值，基本能够满足大数据条件下访问控制业务权限判决的需求。

(2)不同相似度距离计算方法的比较。如图9和图10所示，分别对比了欧式距离、归一化欧式距离、曼哈顿距离、余弦距离这四类不同业务属性相似度距离计算方法对判决性能的影响。由实验结果可知，欧式距离、归一化欧式距离、曼哈顿距离都能达到较好地判决效果，其中，采取欧式距离所能达到的实际判决效果为最优，而模型采取余弦距离则在训练过程中无法拟合。其中，表1为不同的相似度距离计算方法。

表1不同的相似度距离计算方法

(3)不同策略规模权限判决效率对比。如图11和图12分别是在策略规模为500、1000、1500、2000、2500、3000、3500、4000条件下，常规权限判决和业务权限判决所需时延的情况。由图10可知，常规权限判决的开销与策略规模成正比，会随策略规模的增长而显著增加。而由图12可知，业务权限判决的开销与策略规模关联不大。这主要是由于常规权限判决需要将访问请求AR与策略集中的所有策略进行逻辑计算，故策略规模的增长对常规判决时延开销影响较大。而业务权限判决的实现只需要将主体的业务属性信息和资源的业务属性信息输入到基于LSTM的判决引擎中即可完成判决，无需与策略集中所有的策略进行逻辑计算，故策略规模的增长对业务权限判决时延开销影响不大，适用于拥有海量数据资源的大数据场景。

综上所述，本发明对ABAC模型进行了改进，引入了业务属性的概念来对实体的业务行为进行约束，提出了基于业务约束的自适应访问控制模型AACM-BC，实现了由实体固有属性与业务属性构成的双层混合访问控制结构，能够实现对大数据资源更细粒度与业务意图更相关的访问控制，能够依据主体与资源业务属性间的相似度进行自动化、智能化的策略管理，在保证大数据资源安全的前提下，兼顾资源的可用性，有效提高大数据资源的利用率，且本发明实现了面向实体固有属性的基于逻辑计算的常规权限判决算法，该算法基于主体与资源固有属性间的逻辑关系做出权限判决，能够精确地确保资源的安全性，同时，本发明实现了面向实体业务属性的基于LSTM神经网络的业务权限判决算法，该算法使用LSTM神经网络来计算主体业务属性集与资源业务属性集之间的相似度，以此做出权限判决，能够有效提高用户对相关业务资源的可用性。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (5)

1.一种面向大数据资源的自适应访问控制方法，其特征在于，包括：

基于ABAC模型，通过引入业务约束与用户意图构建基于业务约束的自适应访问控制模型AACM-BC，其中，所述AACM-BC包括：策略执行点PEP、属性权威AA、策略管理点PAP和访问判决点ADP，所述属性权威AA包括：固有属性权威AA_I和业务属性权威AA_B，所述访问判决点ADP包括：策略判决点PDP和业务判决点BDP；

基于所述AACM-BC在准备阶段进行访问控制过程中所涉及到的实体属性信息和访问控制策略信息的管理；

在执行阶段进行访问请求的判决、响应与执行；

进行基于逻辑计算的常规权限判决，若判决结果为禁止访问，则直接返回禁止访问的判决响应，若判决结果为允许访问，则进行基于LSTM的业务权限判决，其中，业务权限判决的结果为权限判决的最终结果。

2.根据权利要求1所述的方法，其特征在于，所述基于所述AACM-BC在准备阶段进行访问控制过程中所涉及到的实体属性信息和访问控制策略信息的管理，包括：

在初始授权阶段，基于用户的固有属性信息设定访问控制策略；

在业务授权阶段，通过为主体用户动态授予业务属性实现业务授权。

3.根据权利要求2所述的方法，其特征在于，所述在执行阶段进行访问请求的判决、响应与执行，包括：

通过所述PEP接受用户发送的对特定资源原始的访问请求NAR；

通过所述PEP对所述NAR中的主体、资源及操作属性的语义进行分析，根据所述AA得到的属性信息生成处理后的访问请求AAR，并将所述AAR发往所述ADP；

通过所述ADP向所述PAP查询与被请求大数据资源相关的访问控制策略集；

由所述PDP依据策略集进行访问控制常规判决，当判决结果为允许访问，则将所述AAR继续发送到所述BDP；

所述BDP接收到所述AAR后，根据所述AAR中主体的授权业务属性与被访问资源的业务属性进行业务相似度的计算；

当计算结果为相似业务，则判决结果为允许访问，当计算结果为非相似业务，则判决结果为禁止访问。

4.根据权利要求3所述的方法，其特征在于，所述基于逻辑计算的常规权限判决，包括：

通过所述PDP基于实体固有属性制定的访问控制策略的策略标记为PERMIT或DENY的二元标记，当在访问请求AAR中涉及的属性信息满足访问控制策略中的逻辑约束，则按该满足策略的策略标记对访问请求AAR进行响应，响应结果为PERMIT或DENY，当访问请求AAR没有与之匹配的策略时，响应结果为UNKNOWN。

5.根据权利要求4所述的方法，其特征在于，所述基于LSTM的业务权限判决，包括：

通过所述PDP分别将主体业务属性集与资源业务属性集转化为词向量的形式进行表达，基于PD-LSTM神经网络对主体与资源业务属性集的相似度进行计算，根据相似度计算结果输出判决结果。

Images