[发明专利]一种安全运维管理的访问控制系统

说明书

本发明公开了一种安全运维管理的访问控制系统，其特征在于，将作为表示访问控制策略的智能合约和使用所述访问控制策略的访问控制系统统一部署在同一个区块链上；所述系统，还包括数据存储库、索引服务器、策略执行模块、策略管理模块、采集模块和转发模块。通过本发明，能够增强安全运维管理的访问控制系统的安全审计功能。

技术领域

本发明涉及分布式架构、4A（Authentication认证，Authorization授权，Account账号，Audit审计）、区块链、网络安全的技术领域，尤其涉及到一种安全运维管理的访问控制系统。

背景技术

目前，大部分现有的数字资源（例如，服务器、数据库、服务，甚至智能对象，从智能手表到无人驾驶汽车）都已连接到互联网，这是因为互联网连接的覆盖范围不断扩大。显然，如果这种连接性一方面能够提供新的更好的功能，但另一方面也会带来未经授权访问这些资源的新的安全风险。为了防止侵犯隐私和错误的或恶意的使用，这些资源需要通过适当的安全机制进行保护，例如，部署访问控制系统。访问控制系统能够控制访问这些资源的企图，仅向在特定访问上下文中实际拥有相应权限的那些用户授予访问权限。因此，为了控制和降低所述安全风险，作为数字资源所有者的企业应该迫切需要部署和运行访问控制系统；然而，由于访问控制系统的配置、部署和管理，会给作为数字资源所有者的企业带来较大的经济负担，这其中包括硬件成本（承载访问控制系统的服务器/虚拟机的购买成本）、软件成本（访问控制系统可能需要定期支付费用）和人力成本（管理员花费在管理访问控制系统的时间成本）。鉴于此，另一种解决方案就是作为数字资源所有者的企业将访问控制功能直接外包给受信任的第三方所提供的访问控制系统（例如，作为服务出租，第三方将访问控制功能），这样可以解决企业（特别是广大中小企业）的燃眉之急。由于近几年以云服务形式实现的访问控制系统已经被商用并且得到了较大的发展，如OpenPMF-SCaaS、ACaaS等，而且这些云服务通常使用开放平台API，其方式使其用户不受使用特定实现的限制，第三方还可以利用这些服务对其拥有的所有资源的策略进行统一管理。例如，Amazon向AWS（AmazonWeb Service）的用户提供了一种访问控制服务，称为身份和访问管理IAM（Identity andAccess Management）。IAM允许Amazon用户通过创建和管理其用户和用户组以及定义允许或拒绝访问其资源的适当权限来管理对其AWS服务和资源的访问。

发明内容

为了解决上述技术问题，本发明提供了一种安全运维管理的访问控制系统。为作为数字资源所有者的广大中小企业提供了一种将访问控制功能外包给第三方的替代的解决方案。该方案具有访问控制策略的可审计性特征，可以避免第三方的访问控制系统出现诸如访问控制策略配置错误或错误的访问控制而租户无法定位故障、查找原因和采集证据的缺陷。

一种安全运维管理的访问控制系统，其特征在于，将智能合约Smart Contract和所述访问控制系统均部署在同一个区块链上；所述系统，还包括数据存储库、索引服务器模块、策略执行模块、策略管理模块、采集模块和转发模块；

所述数据存储库，存储和管理智能合约的属性；

所述索引服务器，基于当前的访问请求，快速查找和定位智能合约，该智能合约包含了与所述访问请求有关的访问控制规则；

所述策略执行模块，基于该智能合约进行所述访问请求评估，并返回评估结果（即，允许访问、拒绝访问、不确定或不适用）；

所述策略管理模块，负责管理访问控制策略的组件，充当策略存储库，以在所述访问请求评估时检索它们，策略管理模块的另一个功能是策略编辑，从而帮助策略的制定者创建、修改、查询和删除访问控制策略；

所述采集模块，充当访问控制系统和多种协议数据采集插件，并提供与每一个数据存储库交互的接口；

所述转发模块，充当决策流程中的调度组件的功能。

进一步地，所述智能合约，被称为智慧策略；

进一步地，所述智慧策略，还包括如下的生成步骤：

XACML策略编写；