[发明专利]云存储环境下安全策略分解与验证系统

摘要

本发明提供的一种云存储环境下的安全策略分解与验证系统，该系统包括数据库、策略分解与验证模块、策略评估模块、资源与访问控制策略调整模块、敏感信息过滤词库管理模块和审计模块；其中策略分解与验证模块包括资源策略分解与验证模块、协作策略分解与验证模块，其中协作策略分解与验证模块包括协作策略分解与验证模块以及协作策略分解优化模块，资源与访问控制策略调整模块包括资源调整模块和访问控制策略调整模块。本发明对云存储环境的安全策略进行了分解与验证，使得策略以及策略所控制的资源能够同时存储到云终端上，同时保证了参与协作的服务方访问控制策略中的敏感信息不被泄漏。本发明系统具有安全性强、执行效率高、可扩展性强的特点。

主权项

一种云存储环境下安全策略分解与评估系统，其特征在于，该系统包括数据库(100)、策略分解与验证模块(200)、策略评估模块(300)、资源与访问控制策略调整模块(400)、敏感信息过滤词库管理模块(500)和审计模块(600)；其中，数据库(100)用于存储系统实施访问控制的全局访问控制策略以及基于资源分布特点进行分解后的分解策略和基于敏感信息过滤词库获得的对策略间关联关系进行加密的信息，同时存放评估信息以引导和优化策略分解过程并对策略的实施提供评估，它包括评估信息库、分解策略库、全局策略库、敏感信息过滤词库、审计信息库和分解策略关系信息库；策略分解与验证模块(200)从数据库(100)获取全局策略信息，进而将全局访问控制策略依据管理资源的不同将其进行分解，同时通过敏感信息过滤词库引导策略分解过程，并通过评估信息对协作策略分解进行优化，从而使得分解后的资源策略集合对资源的访问控制效果是一致的，使依据敏感信息过滤词库分解后的策略在保证服务提供方访问控制策略中的敏感信息不被泄漏的情况下，使其整体安全性与可用性前后一致；并将最终的分解结果存储于数据库(100)中；策略评估模块(300)用于响应用户的访问请求，获取与该请求相一致的访问控制策略，进而对这些访问控制策略进行定位，并对用户的策略请求进行评估，为了提高策略评估的效率，策略评估模块(300)利用评估信息对策略评估过程进行优化处理，并将最终的评估结果反馈给用户；资源与访问控制策略调整模块(400)接受来自系统管理员对云存储环境下的资源以及访问控制策略本身所发生的增加、修改、删除操作，执行相应的资源及访问控制策略调整步骤，并将操作结果以及系统管理员的操作情况记入数据库(100)中；敏感信息过滤词库管理模块(500)接收来系统管理员对参与协作的各个服务方在全局访问控制策略中的敏感信息进行增加、修改、删除等操作，并将操作结果以及操作记录存储于数据库(100)中；审计模块(600)接收来自系统管理员输入的查询信息，通过与数据库(100)的信息交互，利用系统管理员提交的用户名和时间范围对系统管理员的操作进行查询，获得满足查询条件的所有记录。