[发明专利]面向微服务的动态访问控制策略评估方法

权利要求书

1.面向微服务的动态访问控制策略评估方法，其特征在于：包括以下步骤：

步骤1：接收并处理访问请求；

步骤1.1：用户端请求访问微服务资源，发出访问请求；

用户端包括手机端、PC端用户等，访问请求主要包括主体属性、资源属性、操作属性、时间属性、环境属性等；

步骤1.2：服务网关中PEP处接收并处理用户的访问请求，转发请求到PDP；

步骤1.3：服务网关处策略决策点PDP接收并转发访问请求给PAP；

步骤2：策略的精简优化；

首先根据接收到的访问请求提取所需的访问控制策略；然后对策略进行精简优化，使用基于属性的Jaccard相似度计算方法消解冲突及冗余策略；

步骤2.1：根据接收到的访问请求，提取请求所需的策略集；

根据访问请求中的关键属性信息，从服务网关的策略库中选出关键属性匹配的策略集，关键属性匹配即访问请求中的关键属性与访问控制策略中的对应属性匹配或含有相同属性内容项；

步骤2.2：使用基于属性的Jaccard相似度计算方法精简优化策略集；

步骤3：构建匹配树；

步骤4：基于匹配树进行微服务的动态访问控制策略评估；

步骤4.1：检测待评估的策略中是否有策略更新，若无策略更新，进行策略评估，给出判定结果；

步骤4.2：检测待评估的策略中是否有策略更新，若有策略更新，进行如下操作；

(1)将该匹配树状态值设置为0，对更新的策略局部加锁，其余部分可以继续进行策略评估；

(2)生成一个新的匹配树，对新生成的匹配树进行策略更新维护；

(3)当策略更新局部维护完成后，设置状态值为1，并使用维护完成的新匹配树替换原有匹配树；

步骤5：应答访问请求，根据判定结果调用相应的微服务资源。

2.根据权利要求1所述的面向微服务的动态访问控制策略评估方法，其特征在于，所述步骤2.2使用基于属性的Jaccard相似度计算方法精简优化策略集，包括以下步骤：

(1)对于筛选出的策略，使用基于属性的Jaccard相似度计算方法，P_i和P_j是策略评估所需的任意两条策略，其相似度系数是两条策略中属性的交集与并集的比值，比值均在0-1之间，Jaccard系数值越大，两个策略中所比较的属性的相似度越高；

(2)根据策略中的资源属性、操作属性及时间属性对访问控制策略进行初步分组，将资源属性、操作属性及时间属性完全相同的分为一组，部分相同的分为另一组；

(3)根据策略中的其他属性进行细粒度的分类讨论；

1)冲突策略的精简；如果两策略均属于策略评估所需的策略集中的策略，其资源属性、操作属性及时间属性的Jaccard系数值均为1，且效用属性相反，一个允许操作，一个拒绝操作，则符合冲突策略精化的条件，进行如下操作：

如果两策略P_i和P_j的其他属性的Jaccard系数值均为1，如主体属性和环境属性等，从安全考虑，效用属性选择拒绝优先，删除效用属性为允许的策略；

如果两个策略的主体属性和环境属性存在交集，则删除两策略中的属性交集，更新P_i和P_j策略的属性集为两策略中分别剩余的属性集，对P_i和P_j策略分别继续采用原本的效用属性；

2)冗余策略的精简；如果两策略P_i和P_j均属于策略评估所需的策略集中的策略，其资源属性、操作属性及时间属性部分相同，且P_i和P_j的效用属性相同，均为允许或拒绝，则符合冗余策略精化的条件，进行如下操作：

如果两策略P_i和P_j的资源属性、操作属性、时间属性、主体属性、环境属性的Jaccard系数值均为1，则删除策略P_j；

如果两策略P_i和P_j的资源属性、操作属性及时间属性的Jaccard系数值为1，同时主体属性和环境属性的Jaccard系数值在0-1之间，则取新的属性范围为P_i和P_j的属性的并集，将新的属性范围赋值给P_i，最后删除P_j。