一种基于优先级动态调整的共享策略验证与冲突检测方法

1.本发明属于物联网数据交换共享技术领域，涉及一种基于优先级动态调整的共享策略验证与冲突检测方法。


背景技术：

2.随着信息化技术的高速发展，物联网平台对数据的需求日益增加，不同物联网平台之间的数据交互日趋复杂，数据跨域共享在不同物联网平台的构建和使用中发挥出重要的作用。数据的跨域授权共享能有效的解决数据滥用和隐私泄露等数据安全问题，在不同物联网平台数据跨域共享过程中，核心问题之一便是如何进行共享策略验证和冲突检测，以保证共享数据在数据供应方安全许可范围内被传输。
3.传统的共享策略验证与冲突检测方法基于多条安全规则，系统通过安全规则对数据共享请求进行匹配，筛选出符合安全设定的共享请求，在共享请求验证时需逐条对比规则，直到请求匹配成功或所有规则都匹配失败而进入默认操作。但是当共享策略中设定的规则数量过多时，每一次逐条匹配规则都会消耗大量的时间，从而降低了共享策略验证的执行效率。因此，设计合理的数据共享策略验证与冲突检测方法，是进行物联网平台跨域数据共享的关键问题之一。


技术实现要素：

4.本发明正是针对多个物联网平台进行数据跨域授权共享时面临的共享权限与权限安全问题，提出了一种基于优先级动态调整的共享策略验证与冲突检测方法，包括共享负责格式设计、规则优先级动态调整、共享策略验证及共享策略冲突检测四个步骤，根据数据共享请求涉及到的信息字段设计合理的共享规则格式，以规则为基础构建数据共享策略；再根据实时接收的数据共享请求和共享规则匹配情况，重新计算相关规则的优先级，根据规则优先级动态调整规则匹配顺序；随后，根据被请求数据的类型获取策略对应的规则，根据所述规则和默认操作对数据共享请求进行匹配验证；最后进行共享策略冲突检测，对有策略冲突的新增或修改规则不予执行，实现了面向策略的匹配优化和冲突检测算法，解决了大量无序规则导致的响应时间过长和多次请求结果冲突的问题，增强了数据共享过程中的安全性和稳定性。
5.为了实现上述目的，本发明采取的技术方案是：一种基于优先级动态调整的共享策略验证与冲突检测方法，包括如下步骤：
6.s1，共享规则格式设计：根据数据共享请求涉及到的信息字段数据设计合理的共享规则格式，以规则为基础构建数据共享策略；所述共享规则至少包括优先级priority、规则匹配条件match、匹配动作action和规则状态status；
7.s2，规则优先级动态调整：根据实时接收的数据共享请求和共享规则匹配情况，重新计算相关规则的优先级priority，根据规则优先级动态调整规则匹配顺序；所述优先级priority由规则的匹配总次数matchtimes和最近匹配时间matchlast决定，每一次规则被
匹配后都需要动态调整,优先级priority计算公式为：
8.priority＝w*(matchtimes/allmatch) (1-w)*(matchlast/allmatch)
9.其中，allmatch表示当前已经接收过的数据共享请求数量；w表示mathchtimes对优先级的影响权重；
10.s3，共享策略验证：根据被请求数据的类型获取策略对应的规则，根据所述规则和默认操作对数据共享请求进行匹配验证；
11.s4，共享策略冲突检测：对所有新增或者修改的共享规则，与已存在的所有规则进行比对判断，检测是否存在策略冲突，若存在策略冲突，新增或修改的共享规则失败；否则，新增或修改共享规则；所述策略冲突包括但不限于规则冗余和规则冲突。
12.与现有技术相比，本发明提供了充分考虑了匹配次数和匹配时间对共享策略验证和冲突检测的影响，通过分类判断缩小了策略验证时的规则数量级，通过优先级的方式将影响量化，从而极大地缩小了共享策略的验证时间，提高了整个物联网数据跨域授权共享的运行效率。同时，本发明对于共享策略的冲突检测的实现，也增强了不同物联网平台数据跨域授权共享时的安全性。
附图说明
13.图1为本发明步骤s1中共享规则的结构组成图；
14.图2为现有技术中无优先级的共享策略示意图；
15.图3为本发明步骤s2中优先级动态调整的共享策略示意图；
16.图4为本发明步骤s4共享策略冲突检测流程图。
具体实施方式
17.下面结合附图和具体实施方式，进一步阐明本发明，应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。
18.实施例1
19.本实施例中设有4个规则r1，r2，r3，r4，一种基于优先级动态调整的共享策略验证与冲突检测方法，包括如下步骤：
20.步骤s1，共享规则格式设计。
21.步骤s1中所述的共享规则涉及到的数据包括源物联网平台、目的物联网平台、共享资源类型、资源安全级别、安全运算符、匹配次数、最近匹配时间、优先级、匹配动作、是否启用，具体描述见下表1。
22.表1微服务组合信息描述
[0023][0024][0025]
对表1中的部分元素进行合并操作，并提取优先级、规则匹配条件、匹配动作、规则状态组成共享规则的描述四元组，如图1所示。共享规则描述四元组格式表示为：
[0026]
r＝《priority,match,action,status》
[0027]
下面分别对这四个元素进行介绍。
[0028]
(1)优先级：优先级决定数据共享请求在进行共享策略验证时的规则匹配顺序，由规则的匹配总次数、最近匹配时间决定，每一次规则被匹配后都需要动态调整。优先级越大，在共享策略验证时越先进行规则匹配。
[0029]
(2)规则匹配条件：当规则匹配条件与数据共享请求一致或者包含数据共享请求时，则匹配成功，执行后续的匹配动作，进而判断数据共享请求在进行共享策略验证时是否成功。数据共享请求包含“源物联网平台、目的物联网平台、被请求的共享资源”的信息，在经过数据共享系统的请求筛选后，可获得被请求的共享资源的资源类型和安全级别，规则匹配条件可用如下五元组表示：源物联网平台、目的物联网平台、共享资源类型、资源安全级别、安全运算符。即：
[0030]
match＝《srcplatform,dstpaltform,resourcetype,safelevel,opereation》
[0031]
其中，match为规则匹配条件。operation包含“大于、大于等于、等于、小于等于、小于”五种选择。资源安全级别(safelevel)包含最大、最小的范围限定，即safelevel∈[minsafelevel,maxsafelevel]。五元组中，以safelevel为起始点，operation为运算符可以用来确定资源安全级别的范围。如safelevel＝3，operation＝
‘
》’,表示在源物联网平台、目的物联网平台、共享资源类型一致的情况下，被请求的资源安全级别大于3即可匹配该规则，执行后续的匹配动作。
[0032]
(3)匹配动作：匹配动作为accept或者deny，分别表示在数据共享请求满足规则匹配条件后接受请求或者拒绝请求。若某共享规则在创建时未设置action的值，默认为deny。当数据共享请求与所有规则都不匹配时，默认执行deny动作。
[0033]
(4)规则状态：规则状态取值可以为true或者false，分别表示在数据共享请求进
行共享策略验证时是否启用该规则，不启用则无需计算该共享规则的优先级，无需与数据请求进行匹配。若某共享规则在创建时未设置status的值，默认启用该规则。
[0034]
步骤s2，规则优先级动态调整。
[0035]
规则的优先级由规则匹配总次数matchtimes和最近匹配时间matchlast共同决定。整个系统为共享策略维持一个整型变量：allmatch，表示当前已经接收过的数据共享请求数量。数据共享请求在共享规则中匹配成功时，匹配成功的规则matchtimes自增，allmatch自增，同时该规则的matchlast更新为allmatch，表示为最新的规则匹配序号。
[0036]
数据共享请求进行规则匹配成功，共享规则的matchtimes和matchlast需要进行修改，同时重新计算priority。priority的计算公式是：
[0037]
priority＝w*(matchtimes/allmatch) (1-w)*(matchlast/allmatch)
[0038]
其中，w表示规则匹配总次数对优先级的影响权重，w可以根据具体的使用场景进行赋值。在本方法运用的数据共享策略匹配环境下，w设置为0.6，表示在优先级计算中，匹配次数的权重为60％，最近匹配时间的权重为40％。此外，matchtimes和matchlast都除以allmatch是为了对数据进行归一化处理，将matchtimes和matchlast的绝对值大小对priority的影响使用相对值体现，以处理matchtimes和matchlast过大的情况。matchtimes/allmatch表示数据共享规则被匹配到的次数占全部请求总数的比例；matchlast/allmatch表示数据共享规则被匹配到的时间越近与最新时间的相对关系。
[0039]
如图2所示，现有技术中无优先级的共享策略通常是依据策略中规则生成的时间进行顺序匹配，对于任意数据共享请求，所有的共享规则匹配顺序都是相同且不变的，匹配的执行时间极大程度受共享策略中规则的生成顺序影响。在同一数据数据共享请求短时间内多次出现的情况下，匹配顺序靠后将严重影响共享策略验证的执行时间，如图2中多次数据共享请求b都必须经历相同的4次匹配，三次数据共享请求一共进行了11次规则匹配。
[0040]
而本发明中，，优先级动态调整过程如图3所示：
[0041]
(1)每次进行共享策略验证前，所有的共享规则按优先级从大到小排序；
[0042]
(2)按优先级顺序对数据共享请求进行规则匹配；
[0043]
(3)匹配成功，更新全局变量allmatch，更新规则的matchtimes和matchlast，计算新的prioity；匹配全部失败则不进行优先级调整。在图3中，前两次数据共享请求a、b在匹配成功后，全局变量allmatch依次更新，规则r3、r4的matchtimes与matchlast依次更新。规则r3、r4的优先级动态更新，共享策略中的规则根据更新后的优先级重新排序，近期被匹配成功的规则r3、r4的匹配顺序提前，在第二个数据共享请求b进行共享策略验证时，匹配1次成功，三次数据共享请求一共进行了8次规则匹配。
[0044]
步骤s3，共享策略验证。
[0045]
当系统接收到不同物联网平台间的数据共享请求时，会在验证被请求资源的存在性后通过被请求数据的类别对请求进行分类，获取该请求对应的共享策略。策略验证的具体方法是：数据共享请求与该类别下的共享规则匹配，若存在共享规则与之匹配，则通过对应的匹配动作为accept或者deny判断该请求是否符合系统设定的共享策略，匹配动作为accept则表示符合系统设定的不同物联网平台间的数据共享策略，验证通过；匹配动作为deny则表示该数据共享请求未通过系统的共享策略验证，对该请求返回拒绝信息。
[0046]
为保护不同平台间数据的安全性，每一类共享策略都会对应一个默认操作，认为
在系统中的所有共享规则与数据共享请求都不匹配的情况下，执行默认操作。在非特殊设定的情况下，默认操作一般为deny，拒绝数据共享请求。
[0047]
步骤s4，共享策略冲突检测
[0048]
当数据共享策略中增加新的共享规则或者某条规则发生改变时，可能存在规则间的冗余，以规则r1，r2为例，规则r1已存在，新增规则r2会使得规则中存在冗余部分：规则r2的匹配情况完全可以被r1覆盖，r2没有单独存在的意义，同时在进行步骤3共享策略验证时会增加额外的时间消耗。r1，r2如下：
[0049]
r1＝《p1,《platform1,platform2,video,1,》》,accept,true》
[0050]
r2＝《p2,《platform1,platform2,video,3,＝》,accept,true》
[0051]
此外，规则冲突的情况：以规则r1，r3为例，规则r1已存在，新增或者修改规则至r3会导致两条规则存在相悖的情况，r3如下：
[0052]
r3＝《p3,《any,platform2,video,2,》》,deny,true》
[0053]
数据共享请求：
[0054]“srcplatform＝platform1,dstplatform＝platform2,resourcetype＝video，safelevel＝3”在优先级p1》p3情况下，请求与规则r1匹配成功通过共享策略验证，会转发该请求给platform2；在优先级p1《p3情况下,请求与规则r3匹配成功拒绝该请求。由于两条规则的匹配范围存在重合部分但是匹配动作不一致，规则出现冲突，会导致同一数据共享请求因为规则优先级的变化而获得不同的返回结果，影响数据共享中的安全性和稳定性。
[0055]
规则冗余和规则冲突的前提条件为规则的match部分存在重合部分。新增或者修改的规则时，需要与已存在且未变化的所有规则一一比较判断match部分是否重合。如无重合部分，则新增或者修改规则成功；若存在重合部分，action相同判断为规则冗余，action不同判断为规则冲突，新增或者修改规则失败。
[0056]
match五元组中，srcplatform、dstplatform可以取值为具体值或者any，safelevel和operation组合得到一个取值范围，所以请求与规则的匹配不仅是各个元素值的比较，需要对两个范围进行取交集，判断交集是否为空。共享策略冲突检测的流程如图4所示，以下以新增规则r4为例，共享策略冲突检测的具体过程如下：
[0057]
(1)r4与已存在的规则的srcplatform相同或者至少其中一个为any，转入(2)；否则r4与已存在的下一规则比较，转入(1)；
[0058]
(2)r4与已存在的规则的dstplatform相同或者至少其中一个为any，转入(3)；否则r4与已存在的下一规则比较，转入(1)；
[0059]
(3)r4与已存在的规则的resourcetype相同，转入(4)；否则r4与已存在的下一规则比较，转入(1)；
[0060]
(4)r4根据safelevel和operation，共享策略规定的minsafelevel,maxsafelevel计算r4的安全级别范围[start1,end1]。具体如下：
[0061]
operation＝“》”,则start1＝safeleve 1,end1＝maxsafelevel；
[0062]
operation＝“》＝”,则start1＝safeleve,end1＝maxsafelevel；
[0063]
operation＝“＝”,则start1＝safeleve,end1＝safeleve；
[0064]
operation＝“《＝”,则start1＝minsafelevel,end1＝safeleve；
[0065]
operation＝“《”,则start1＝minsafelevel,end1＝safeleve-1；
[0066]
已存在的共享规则同理计算自己的安全级别范围[start2,end2]。如果start2》end1或者end2《start1，转入(6)；否则转入(5)；
[0067]
(5)检测到存在共享策略冲突。具体冲突类型为：r4与已存在的规则的action相同，存在规则冗余；否则存在规则冲突，新增或者修改共享规则失败。
[0068]
检测到无共享策略冲突，增加或者修改共享规则。
[0069]
实验测试例
[0070]
本实验测试例中，规则集初始状态如表2所示
[0071]
表2实施例2规则集初始状态
[0072]
idsrcplatformdstplatformresourcetypesafeleveloperationmatchtimesmatchlastpriorityactionstatus1物联网平台2物联网平台1视频》2000accepttrue2物联网平台1物联网平台3视频》1000accepttrue3物联网平台2物联网平台4音频＝2000denytrue4物联网平台1物联网平台2音频》1000accepttrue5物联网平台1物联网平台2humidity》1000accepttrue6物联网平台1物联网平台2humidity＝1000denytrue
[0073]
数据共享请求如表3所示
[0074]
表3数据共享请求
[0075][0076][0077]
其中，数据共享请求a与规则5匹配，b与规则3匹配，c无匹配项，依据共享策略执行默认操作，d与规则2匹配。
[0078]
测试过程中，依次发送了10次a请求、5次b请求、8次c请求、13次d请求、14次a请求。在不进行共享策略优先级动态调整的情况下，执行时间和匹配次数如表4所示。在基于优先级的共享策略动态调整后，执行时间和匹配次数如表5所示。
[0079]
表4无优先级动态调整时的测试结果
[0080][0081]
表5共享策略优先级动态调整时的测试结果
[0082][0083]
可见，共享策略在优先级动态调整的情况下，平均执行时间从3822纳米降至2094纳米，执行效率提升45％，匹配总次数从209降至104。可见，基于优先级动态调整的共享策略考虑了相同数据共享请求的集中性的时间特征，极大程度上优化了大量数据共享请求情况下的执行效率。
[0084]
综上，本发明提供了充分考虑了匹配次数和匹配时间对共享策略验证和冲突检测的影响，通过分类判断缩小了策略验证时的规则数量级，通过优先级的方式将影响量化，极大地缩小了共享策略的验证时间，提高了整个物联网数据跨域授权共享的运行效率。
[0085]
需要说明的是，以上内容仅仅说明了本发明的技术思想，不能以此限定本发明的保护范围，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰均落入本发明权利要求书的保护范围之内。