面向云资源融合的访问控制决策引擎优化技术研究

Cloud computing resource integration scenarios make a lot of security requirements for traditional access control decision engine, such as the whole process control of policy status, self-management, intelligent and efficient response et al. these in-depth scientific issues could not be solved only depend on general theory and technology in authorization field. This proposal will establish the full lifecycle architecture of cloud-based security policy aims to provide target consistency verification mechanism for policy status transition among design-detect-deploy-decision phases. The bionic mechanism implicated by autonomic computing and immune computing theories will be used in this scheme extensively. From self-management point of view, design self-adaptive access control model through sensing and feedback control loop to provide capacity of self-configuration and self-adjustment. From implementation point of view, design intelligent access control decision algorithm and proprietary data structures for immunological learning and immunological memory, develop prototype system of decision engine based on the integration of multi-level optimization techniques.This research strives for utilising the multidisciplinary innovation advantage so as to provide new ideas and methods for the next generation of access control technology under the cloud computing scenarios, which has theoretical significance and practical value.

云计算资源融合应用场景对传统访问控制决策引擎在"策略状态全过程控制、系统自主管理、智能化高效响应"等方面提出诸多安全需求，其背后蕴含的深层次科学问题仅依靠领域内常规理论技术已很难有所突破。本课题通过建立云资源访问控制策略全生命周期体系为策略在制定、检测、部署和决策等不同阶段间的状态迁移提供目标一致性验证机制，借助自主计算理论和免疫计算理论蕴含的仿生机理，从自管理角度设计基于感知反馈控制环路的自适应访问控制模型，为决策引擎提供自配置、自调整能力，从运行实施角度利用免疫学习、免疫记忆等生物智能特征设计引擎智能决策实现算法和专有数据结构，在多层次优化技术集成的基础上研发访问决策引擎原型验证系统。本研究力图利用多学科交叉的创新优势为云计算场景下新一代访问控制技术研究提供新思路新方法，具有较高的理论意义和实用价值。

云资源融合和大数据场景下“用户规模海量化、资源规模海量化、交互关系日益复杂化”的特征使得新型信息化构建模式在业务流程、软件形态、运行环境等方面与传统模式存在巨大差异，“系统状态全过程控制、系统自主管理、智能化高效响应”等诸多新型安全需求对于传统的安全技术体系产生了巨大的挑战。一方面，单一模块的安全机制已不再适应新的场景，多层次、高效能、全生命周期的安全机制逐步成为主流；另一方面，传统的静态人工干预也不能满足新的场景需求，安全策略正朝着智能化、自动化的方向变革。鉴于此，本课题采用多学科交叉启发技术，以建立云资源访问控制策略全生命周期架构为支撑点，兼顾新场景下的身份认证等安全技术，展开全面的研究工作。具体包括：(1).采用多重聚类技术、多层次框架结构、多阶段推演构建的基于大数据的高效访问控制判定引擎优化框架，该框架较传统引擎有若干量级的时间性能提升，具有高效性优势；同时，该框架能够保持原有引擎的优秀特性，具有较好的通用性；(2).提出基于免疫计算的认证授权模型，将高级生物的成熟免疫防御机理提取并应用于认证授权系统，将人体免疫的“三道防线”成功的映射到认证授权模型。该模型采用了身份认证、黑名单、多级缓存等技术手段，具有高效性、自适应、自调节的优点；(3).提出基于反馈环机制的自适应访问控制模型，其中反馈环机制包括监控、分析、计划、执行4部分以及用于决策的知识库，并设计属性关联度算法。该模型能够很好的应用于云计算新环境。(4).提出了UAuth安全认证框架，通过两层在线身份认证和三层账号绑定体系使用户能够通过物理设备进行多个账号的登录。该框架可从全局接管用户在云资源融合场景下对各类云服务的访问接入，同时提升了访问流程的安全性与效率；(5).构建了“智能云电视公共安全服务平台”，主要包括证书认证服务子系统、终端安全代理子系统、安全监测中心子系统以及安全测评服务子系统。该平台的建设，将提供包含多类异构资源的典型平台，实现关键技术的验证。发表学术论文6篇，申请发明专利26项，授权发明专利7项，登记软件著作权10项。