35、基于属性的JSON文档保护与HGABAC管理模型

基于属性的JSON文档保护与HGABAC管理模型

1. 基于属性的JSON文档保护

1.1 OpenStack Keystone的变更

OpenStack Keystone使用角色和基于角色的策略来进行授权决策。在相关实现中，角色被用于存储用户标签属性值，同时，一组有效的安全标签值也作为Keystone服务的一部分被存储。

在两种不同类型的策略（授权策略和标签策略）中，授权策略由Keystone服务管理。通常由较高级别的管理员（可能是组织层面）来添加、删除或更新这些授权策略。并且，在Keystone数据库中添加了一个策略表，用于存储这些枚举的授权策略。

1.2 OpenStack Swift的变更

在Swift端，会存储分配给JSON对象的安全标签值以及应用于它们的基于路径的标签策略。这些安全标签值和标签策略作为存储对象（这里是JSON文档）的元数据进行存储。为了简化操作，假设对象所有者（这里指Swift账户持有者）可以更新存储的JSON文档的安全标签值或标签策略。

在评估过程中，会拦截所有对Swift的请求（来自Swift代理服务器）。如果请求的是JSON文档，则将该请求重新路由，使其通过JSONAuth插件。此时，请求会额外携带请求的路径和适用于用户的授权策略。JSONAuth插件会检索请求的JSON文档，应用基于路径的标签策略对文档进行注释，并使用授权策略来确定用户是否有权访问文件的请求内容。

1.3 评估

对实现进行了评估，评估是针对对Swift代理服务器的并发下载请求进行的。X轴表示请求下载的JSON文档的大小，Y轴表示10个并发请求的平均下载时间。评估结果显