[发明专利]面向微服务的动态访问控制策略评估方法

说明书

本发明公开了面向微服务的动态访问控制策略评估方法，包括基于属性的相似度计算方法精简优化策略集和基于匹配树结构进行动态访问控制策略评估两部分，主要针对策略的精简优化、匹配树的构建、以及基于匹配树进行动态策略评估三个阶段。通过使用基于属性的相似度计算方法，细粒度划分并消解了访问控制冲突及冗余策略，减少了无关策略的干扰；通过构建匹配树结构，提高了策略检索匹配效率，同时支持在微服务策略库动态变更的过程中，仅对匹配树中策略更新局部进行维护，其余部分继续进行策略评估，保证了微服务访问控制的安全实施，保护了微服务系统的数据安全。

技术领域

本发明属于微服务环境下的访问控制安全技术领域，提出了一种在微服务环境下动态访问控制策略评估方法。该方法主要基于两种技术：一是基于属性的Jaccard相似度的计算方法，用于消解冲突及冗余策略；二是基于匹配树结构对策略更新局部进行维护，对其余部分继续进行策略评估。本发明提出的方法，既可有效减少无关策略的干扰，提高策略评估效率；又可保证在微服务策略动态更新下的局部维护，不影响其余部分的策略评估。

背景技术

近年来，随着信息技术的高速发展以及用户量的大幅增加，软件架构领域出现了敏捷开发部署、自治性等新的行业需求。基于此，微服务架构应运而生，并成为未来软件架构发展的必然趋势。2014年Martin Fowler专家正式提出微服务架构的概念，微服务是一种架构风格，其将一个单个应用程序开发为一套小型服务，整体微服务系统具有动态灵活伸缩的特性，各服务模块具有独立自主开发部署和技术栈灵活的特性。

微服务架构逐渐成为主流架构，故其安全问题是一个成熟架构必须考虑的关键问题。微服务架构将软件系统拆分为一组“小而微”的服务，故其完成复杂业务时，需多个微服务灵活组合，协同合作。当前微服务系统大多采用网关做统一认证授权，短时间内访问量剧增会产生雪崩效应；由于微服务环境下的访问请求一般为无状态请求，包含请求的所有信息，所以所有的访问请求均需进行控制，造成访问控制工作量较大；又因为微服务架构具有动态灵活伸缩的特性，各服务模块均为动态启动和注销，可灵活加入或退出系统，故微服务系统的策略库会随着动态变化，现有策略评估方法需等待策略库更新完成后才能进行策略评估，导致评估时间较长；或是在策略库更新过程中进行评估，导致评估结果错误。因此，如何保障微服务系统的安全访问是一个重要问题。

访问控制是保护系统安全的重要技术手段之一。然而，微服务架构的自治性、动态灵活扩展、技术栈灵活的特点给现有的访问控制策略评估带来了新的挑战：1)随着业务的发展，微服务系统中的服务模块会逐渐增多，导致其访问控制策略库不断增大，进而导致策略的评估时间越来越长，策略评估效率和体验均受到较大影响；2)微服务架构下，各服务模块独立设置访问控制策略，且可灵活加入、退出微服务系统，导致微服务策略库动态变更，由此需要一种在微服务策略库变更时支持动态策略评估的方法。现有研究大多关注微服务环境下访问控制策略评估效率，对于微服务环境下的动态策略评估没有给予足够的重视。因此，研究支持动态性的微服务访问控制策略评估方法具有重要意义。

发明内容

针对现有技术中存在的微服务环境下访问控制的策略评估效率不足及动态策略评估支持不够的问题，本发明提出一种面向微服务的动态访问控制策略评估方法。本发明的方法使用基于属性的Jaccard相似度计算方法来消解冲突及冗余策略；使用匹配树进行微服务环境下的动态访问控制策略评估。本发明既可减少无关策略的干扰，提高策略评估的效率，还可支持微服务环境下的动态策略评估，保证了微服务访问控制的安全实施，保护了其数据安全。

现有微服务环境下的访问控制过程一般在服务网关处进行，主要进行访问控制策略的评估工作，微服务访问控制场景如图1所示。因此，本发明主要研究在微服务环境下的服务网关处，策略的精简优化，匹配树的构建，以及基于匹配树的微服务动态访问控制策略评估三个阶段的内容。具体微服务访问控制流程如图2所示，访问控制时序如图3所示。

第一阶段，策略的精简优化阶段。首先根据接收到的访问请求，提取请求所需的访问控制策略；然后对策略进行精简优化，使用基于属性的Jaccard相似度计算方法，细粒度消解冲突及冗余策略。