一种新的访问控制策略描述语言及其权限划分方法
云平台RESTful接口往往暴露在Internet上,为保证云资源的安全,防止数据泄露和非授权访问,必须实施安全策略对这些接口进行访问控制.然而,目前RESTful接口缺乏统一的访问控制策略描述语言及相应的权限划分机制.这导致两个问题:(1)用户不得不学习不同的策略语言来管理不同云平台上的权限;(2)云服务提供商缺乏对RESTful接口的细粒度的访问控制,不符合最小特权原则.对此,该文提出了一种新的访问控制策略描述语言.该语言定义了RESTful的标准请求格式,从而可以直接从一个RESTful请求中构造样本策略,为RESTful接口访问控制提供语法一致的策略语言.在该语言的基础上,进而提出了一种基于遗传算法的RESTful权限划分方法,采用2维矩阵表示一个权限划分,并作为遗传算法的种群个体.接着定义了选择算子、变异算子和交叉算子,提出了权限划分的三个原则:分类个数、测试用例覆盖、权限重叠,并设计适应度函数.该文基于OpenStack云平台给出了策略语言评估机制的参考实现,验证了方法的可行性.实验结果表明,相比OpenStack原有策略,该文策略评估开销降低了19.4%.在学习成本方面,与XACML策略语言相比,该文策略能够减少策略管理员41.6%的策略设计成本.该文的权限划分方法可以产生符合用户预期、可理解的划分结果,从而为云服务提供商进行权限划分提供指导.
云安全、权限管理、权限划分、权限分析、授权策略、云计算
41
TP393(计算技术、计算机技术)
国家自然科学基金61232005,61672062;国家“八六三”高技术研究发展计划项目基金2015AA016009
2018-10-12(万方平台首次上网日期,不代表论文的发表时间)
共18页
1189-1206
