一種基于屬性的模糊訪問控制計(jì)算方法
【專利摘要】一種基于屬性的模糊訪問控制計(jì)算方法屬于網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】��,特別是一種基于屬性的模糊訪問控制計(jì)算方法�。本發(fā)明采用兩級(jí)加權(quán)方式對(duì)對(duì)象及其屬性分別賦予不同權(quán)值,然后基于模糊評(píng)判矩陣和加權(quán)平均模型進(jìn)行綜合評(píng)判��,計(jì)算訪問請(qǐng)求對(duì)授權(quán)策略的滿足程度����,最后基于模糊推理規(guī)則得出得到權(quán)限策略集合。本發(fā)明基于主體����、資源、環(huán)境三類屬性信息的不同權(quán)重����,對(duì)訪問控制的策略決策過程進(jìn)行模糊處理,得到模糊授權(quán)策略集合�,能夠處理在訪問請(qǐng)求信息部分滿足評(píng)判條件下的訪問控制授權(quán)問題,對(duì)于提升訪問控制的完備性具有重要意義��。
【專利說明】一種基于屬性的模糊訪問控制計(jì)算方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】,特別是一種基于屬性的模糊訪問控制計(jì)算方法���?�!颈尘凹夹g(shù)】
[0002]面向服務(wù)體系架構(gòu)由于復(fù)用性和兼容性好�、開發(fā)復(fù)雜性低等特點(diǎn)�����,受到了廣泛的關(guān)注�。為了實(shí)現(xiàn)更細(xì)粒度的資源信息安全保護(hù),系統(tǒng)基于資源的多種屬性制定大量的訪問策略���。ABAC (Attribute based Access Control)模型直接制定與用戶屬性和資源屬性相關(guān)的策略訪問規(guī)則�,用戶根據(jù)其對(duì)應(yīng)的屬性值和相應(yīng)規(guī)則���,判斷得到資源的訪問權(quán)限���。但現(xiàn)有的ABAC模型中,策略判決是一個(gè)精確匹配的過程����,根據(jù)主體�、資源�����、環(huán)境等各種屬性信息進(jìn)行精確匹配����,滿足條件則允許�,不滿足條件則拒絕。而在實(shí)際情況中�,訪問請(qǐng)求者、上下文環(huán)境��、被訪問的資源可能分別都包括多種屬性�����,那么進(jìn)行策略匹配的數(shù)量級(jí)就會(huì)達(dá)到O(n3)���,在屬性值較多的情況下�����,會(huì)影響授權(quán)速度����。另外,在實(shí)際運(yùn)行中�����,屬性信息往往在不斷動(dòng)態(tài)變化�����,精確匹配模型無法動(dòng)態(tài)進(jìn)行調(diào)整��。為解決授權(quán)速度和模型動(dòng)態(tài)調(diào)整問題�����,本專利提出了基于屬性的��,可以快速匹配屬性值�,并能動(dòng)態(tài)調(diào)整模型的分布式的訪問控制方法。
【發(fā)明內(nèi)容】
[0003]本發(fā)明就是為了解決上述問題���,提出一種基于屬性的模糊訪問控制方法�,采用兩級(jí)加權(quán)方式對(duì)對(duì)象及其屬性分別賦予不同權(quán)值��,然后基于模糊評(píng)判矩陣和加權(quán)平均模型進(jìn)行綜合評(píng)判,計(jì)算訪問請(qǐng)求對(duì)授權(quán)策略的滿足程度�����,最后基于模糊推理規(guī)則得出得到權(quán)限策略集合�。
[0004]基于屬性的訪問控制涉及主體、資源��、環(huán)境三種因素����,屬性可分為主體屬性、資源屬性和環(huán)境屬性����。
[0005]本發(fā)明的技術(shù)方案是在一個(gè)由互聯(lián)網(wǎng)中的模糊式訪問控制器和多個(gè)分布式策略執(zhí)行處理器共同構(gòu)成的模糊式訪問控制服務(wù)系統(tǒng)中依次按以下步驟完成的:
[0006]步驟(I)
[0007]模糊式訪問控制服務(wù)系統(tǒng)初始化:
[0008]策略執(zhí)行處理器����,設(shè)有=XACML語言文件提供模塊,
[0009]模糊式訪問控制器�,設(shè)有:屬性權(quán)限模塊、策略決策模塊以及權(quán)限策略庫�����,其中:
[0010]屬性權(quán)威模塊,設(shè)有:主體屬性子模塊����、資源屬性子模塊和環(huán)境因素屬性子模塊,其中:
[0011]主體屬性子模塊��,設(shè)有:
[0012]主體集合S, S = {s1; s2,..., sn,..., sN}, n e N,表示訪問控制的主體,所述主體是指通過身份鑒定的訪問請(qǐng)求者��,η表示主體s的序號(hào)��,N表示主體的數(shù)量���;
[0013]主體屬性集合X, X = {x1�����; x2,..., xm,..., XM}, m e Μ, xm是主體屬性,至少包括身份��、角色��、年齡�、郵政編碼����、常住地址��、IP地址�、雇員職位和已驗(yàn)證的公鑰構(gòu)架PKI證書��,m是主體屬性的序號(hào)�,M是主體屬性的數(shù)量;[0014]資源屬性子模塊����,設(shè)有:
[0015]資源集合O, O = {o1; o2,..., og,..., oj , g e G, ο表示訪問請(qǐng)求者需要訪問的資源���,至少包括數(shù)據(jù)����、服務(wù)和系統(tǒng)設(shè)備���,g是資源的序號(hào),G是資源的數(shù)量����;
[0016]資源屬性集合Y, Y = Iy17Y2,..., yq,..., yQ} , q e Q,q e Q����,y 是資源的屬性�����,q 是資源屬性的序號(hào)����,Q是資源屬性的數(shù)量��,資源屬性至少包括資源的身份�、標(biāo)準(zhǔn)資源地址URL、資源的大小和數(shù)值����;
[0017]環(huán)境因素屬性子模塊,設(shè)有:
[0018]環(huán)境因素集合T��,T = It1, t2��,...�,te,...�,tE},e e E,表示訪問時(shí)的上下文環(huán)境影響因素���,至少包括時(shí)間����、條件和狀態(tài)�����;
[0019]環(huán)境因素屬性集合Z, Z = Iz1, z2,..., zv,..., zv}, V e V, zv是環(huán)境屬性,至少包括當(dāng)前時(shí)間����、日期、每日的時(shí)間段��、安全級(jí)別和系統(tǒng)狀態(tài)����;
[0020]策略決策模塊,輸入是所述策略執(zhí)行處理器輸入的授權(quán)請(qǐng)求��,依次執(zhí)行輸入信息處理��、權(quán)重調(diào)整建立評(píng)判矩陣���,綜合評(píng)判和模糊推理各步驟��,輸出是權(quán)限決策��;
[0021]設(shè)置訪問請(qǐng)求信任度集合M = (HiljlH2,m3,m4}����,分別表示“完全信任”�、“強(qiáng)信任”、“弱信任”����、“不信任”集合;
[0022]權(quán)限策略庫��,設(shè)有:模糊授權(quán)策略集合P���,P = {Pl��,p2, p3, p4}����,P e P��,依次表示完全授權(quán)策略集、強(qiáng)授權(quán)策略集�����、弱授權(quán)策略集和不授權(quán)策略集����;
[0023]根據(jù)對(duì)服務(wù)請(qǐng)求的綜合評(píng)判結(jié)果,分配相應(yīng)的授權(quán)策略����;其中,一個(gè)策略庫存儲(chǔ)多條訪問控制策略�,每條策略可以包括多條規(guī)則,一條規(guī)則用于判定主體S能否在環(huán)境T下訪問資源0�,可表示成以S、O����、T的屬性為參數(shù)的函數(shù),返回信任度值�����;
[0024]Rule:can_access (s, o, t) — f (X�,Y, Z)
[0025]f(X�,Y��,Z)采用函數(shù)矩陣實(shí)現(xiàn)���,其中子函數(shù)An(X1JpZ1)用于計(jì)算X1, Y1, Z1的信任度,以此類推�,fm-t-v(Xm,Yt, Zv)用于計(jì)算Xm�,Yt, Zv的信任度;我們需要建立個(gè)信任度函數(shù)��;看上去��,計(jì)算很多�����,依次計(jì)算完成需要很長(zhǎng)時(shí)間�����,但是���,由于采用多個(gè)子函數(shù)實(shí)現(xiàn)信任度計(jì)算����,并且,各子函數(shù)的信任度計(jì)算是完全獨(dú)立的�����,因此�����,該信任度計(jì)算完全可以由多服務(wù)器并發(fā)完成計(jì)算�����,因此����,計(jì)算時(shí)間約為通訊時(shí)間加上單一子函數(shù)最長(zhǎng)的運(yùn)行時(shí)間,這樣就大大提高了信任度計(jì)算速度��;同時(shí)�����,可以建立緩存機(jī)制����,很多具有相同屬性的計(jì)算�,可以直接引用以前的結(jié)果����,可以大大減少運(yùn)算量�;當(dāng)判別的主體屬性、資源屬性�����、環(huán)境屬性有變化時(shí)��,只需要?jiǎng)討B(tài)調(diào)整相關(guān)的信任度子函數(shù)��,而無須考慮不相關(guān)的其他子函數(shù)�����;
[0026]對(duì)于給定的S���、O����、T的所有屬性值,如果函數(shù)的返回值為完全信任����,則應(yīng)該允許對(duì)資源進(jìn)行訪問,否則拒絕訪問���;
[0027]分布式的評(píng)判函數(shù)矩陣可以解決信任度問題���,但還是存在計(jì)算量較大,資源使用率高的現(xiàn)象��;實(shí)際上�,對(duì)所有的屬性組合進(jìn)行精確信任度計(jì)算是沒有必要的,很多情況下�����,只需要進(jìn)行部分的屬性組合信任度計(jì)算就可以完成信任度評(píng)估的工作�����;因此����,我們?cè)谧罱K進(jìn)行信任度計(jì)算之前����,設(shè)置評(píng)判因素集通過U= {S, O, Tl模糊算法篩選出部分屬性參與計(jì)算��,由于參與屬性計(jì)算的屬性減少����,f(x,Y���,Z)的子函數(shù)計(jì)算量也會(huì)相應(yīng)的減少;采用模糊算法進(jìn)行篩選�����,而不是精確匹配篩選��,主要是因?yàn)閷傩员姸?��,各屬性組合之間的信任度相關(guān)性不適合用精確函數(shù)描述�;
[0028]對(duì)評(píng)判目標(biāo)(訪問請(qǐng)求信任度)的因素可分為2個(gè)層次���,包括評(píng)判對(duì)象和評(píng)判對(duì)象屬性級(jí)����;即訪問請(qǐng)求信任度受到主體、資源�、環(huán)境三種評(píng)判因素的影響,而各個(gè)評(píng)判對(duì)象分別受到其屬性的影響�����;
[0029]步驟⑵
[0030]①策略執(zhí)行模塊負(fù)責(zé)解析用戶的訪問請(qǐng)求����,抽取其中的主體屬性,并將授權(quán)請(qǐng)求和主體屬性發(fā)送給策略決策模塊���;策略執(zhí)行模塊可以是分布在整個(gè)網(wǎng)絡(luò)環(huán)境中多個(gè)位置�����,而且請(qǐng)求主體不能繞過策略執(zhí)行模塊而直接訪問資源��;
[0031]②策略決策模塊進(jìn)行模糊策略判決,具體步驟如下:
[0032]I):輸入信息處理���;
[0033]由于部分訪問請(qǐng)求信息和策略信息不是數(shù)值形式,需要進(jìn)行數(shù)據(jù)格式轉(zhuǎn)換;轉(zhuǎn)化為屬性類型����,屬性名稱,屬性值的對(duì)象描述�����;例如��,主體的職稱屬性值為:助理工程師��、工程師�����、高級(jí)工程師��、研究員����,屬性名稱為“職稱”�����,屬性類型“文本”,屬性值為“助理工程師��、工程師�、高級(jí)工程師、研究員”之一�����;同理���,將環(huán)境屬性和訪問對(duì)象屬性也都需要按標(biāo)準(zhǔn)輸入信息進(jìn)行處理���;
[0034]2):屬性篩選;通過分析輸入數(shù)據(jù)����,根據(jù)具體應(yīng)用需求,對(duì)主體����、資源、環(huán)境屬性進(jìn)行模糊篩選�����;
[0035]3):使用信任度函數(shù)進(jìn)行信任度計(jì)算;首先獲取篩選后的屬性�����,進(jìn)行對(duì)應(yīng)的信任度計(jì)算��,對(duì)于信任度值��,再進(jìn)行處理���,得到訪問許可值���;例如,A-H(HZ1)的Xl是主體職稱是資源密級(jí)是系統(tǒng)狀態(tài)�;系統(tǒng)狀態(tài)分為系統(tǒng)閑和系統(tǒng)忙;則工程師系統(tǒng)閑時(shí)訪問一個(gè)公開資料的信任度和系統(tǒng)忙時(shí)訪問一個(gè)公開資料的信任度值是不一樣的����,綜合考慮其他信任度函數(shù)的返回����,平時(shí)可能允許工程師訪問的資源,在系統(tǒng)忙時(shí)�,可能限制工程師訪問.Y1, Z1)最初可以人工初始化�,在積累一定經(jīng)驗(yàn)數(shù)據(jù)�����,可以根據(jù)經(jīng)驗(yàn)數(shù)據(jù)調(diào)整信任度系數(shù)�����。
[0036]本發(fā)明方法的具體步驟可以描述為:
[0037]步驟1:策略執(zhí)行模塊接受主體發(fā)送的web訪問請(qǐng)求����,并從屬性權(quán)威獲取相關(guān)的主體屬性、資源屬性以及環(huán)境屬性�,構(gòu)建一個(gè)基于屬性的訪問請(qǐng)求發(fā)送給策略決策模塊?���;趯傩缘脑L問請(qǐng)求采用XACML語言對(duì)訪問主體、資源和環(huán)境屬性進(jìn)行了描述����,其自然語義為“在當(dāng)前環(huán)境下,主體對(duì)資源進(jìn)行訪問”��,主體����、資源�、環(huán)境都是通過屬性值描述,可形式化描述為 ReqA(S,0����,E)��。
[0038]步驟2:策略決策模塊根據(jù)基于屬性的訪問請(qǐng)求中給定的主體�����、資源���、環(huán)境的屬性值,查找策略庫中適用的策略和規(guī)則�����,對(duì)訪問請(qǐng)求按照特定的匹配算法進(jìn)行比較評(píng)估����,得到評(píng)估結(jié)果�。將授權(quán)結(jié)果以XACML響應(yīng)格式返回給策略執(zhí)行模塊��。若需更多的屬性信息就從屬性權(quán)威獲取相關(guān)的屬性信息�。
[0039]其中���,策略決策的具體步驟包括:步驟I):進(jìn)行輸入信息獲取與處理����;步驟2):屬性篩選調(diào)整�;步驟3):輸入評(píng)判矩陣計(jì)算信任度;步驟4):綜合評(píng)判�。
[0040]步驟3:策略執(zhí)行模塊根據(jù)策略決策結(jié)果對(duì)資源實(shí)施訪問控制與授權(quán)。
[0041]本發(fā)明基于主體��、資源��、環(huán)境三類屬性信息的不同權(quán)重���,對(duì)訪問控制的策略決策過程進(jìn)行模糊處理�,得到模糊授權(quán)策略集合��,能夠處理在訪問請(qǐng)求信息部分滿足評(píng)判條件下的訪問控制授權(quán)問題�����,對(duì)于提升訪問控制的完備性具有重要意義?���!緦@綀D】
【附圖說明】
[0042]圖1屬性權(quán)威框圖;
[0043]圖2本發(fā)明軟件框圖���;
[0044]圖3綜合評(píng)判流程圖�;
[0045]圖4本發(fā)明主流程圖�。
【具體實(shí)施方式】
[0046]下面結(jié)合流程圖,對(duì)優(yōu)選實(shí)施例作詳細(xì)說明���,應(yīng)該強(qiáng)調(diào)的是����,下述說明僅僅是示例性的�,而不是為了限制本發(fā)明的范圍及其應(yīng)用。
[0047]步驟1:策略執(zhí)行模塊負(fù)責(zé)解析用戶的訪問請(qǐng)求,抽取其中的主體屬性,并將授權(quán)請(qǐng)求和主體屬性發(fā)送給策略決策模塊����。策略執(zhí)行模塊可以是分布在整個(gè)網(wǎng)絡(luò)環(huán)境中多個(gè)位置,而且請(qǐng)求主體不能繞過策略執(zhí)行模塊而直接訪問資源���。
[0048]步驟2:策略決策模塊進(jìn)行模糊策略判決��,具體步驟如下:
[0049]步驟I):輸入信息處理��。
[0050]由于部分訪問請(qǐng)求信息和策略信息不是數(shù)值形式��,需要進(jìn)行數(shù)據(jù)格式轉(zhuǎn)換���。轉(zhuǎn)化為屬性類型,屬性名稱���,屬性值的對(duì)象描述����。例如��,主體的職稱屬性值為:助理工程師���、工程師�、高級(jí)工程師�����、研究員,屬性名稱為“職稱”����,屬性類型“文本”,屬性值為“助理工程師�����、工程師�����、高級(jí)工程師��、研究員”之一��。同理��,將環(huán)境屬性和訪問對(duì)象屬性也都需要按標(biāo)準(zhǔn)輸入信息進(jìn)行處理��。
[0051]步驟2):屬性篩選�����。通過分析輸入數(shù)據(jù)���,根據(jù)具體應(yīng)用需求�����,對(duì)主體����、資源�、環(huán)境屬性進(jìn)行模糊篩選。
[0052]步驟3):使用信任度函數(shù)進(jìn)行信任度計(jì)算�����。如圖所示��,首先獲取篩選后的屬性��,進(jìn)行對(duì)應(yīng)的信任度計(jì)算��,對(duì)于信任度值�����,再進(jìn)行處理�,得到訪問許可值。
[0053]例如,fi+JXp Y1, Z1)的xl是主體職稱�;yl是資源密級(jí);zl是系統(tǒng)狀態(tài)���;系統(tǒng)狀態(tài)分為系統(tǒng)閑和系統(tǒng)忙��;則工程師系統(tǒng)閑時(shí)訪問一個(gè)公開資料的信任度和系統(tǒng)忙時(shí)訪問一個(gè)公開資料的信任度值是不一樣的�,綜合考慮其他信任度函數(shù)的返回����,平時(shí)可能允許工程師訪問的資源,在系統(tǒng)忙時(shí)���,可能限制工程師訪問.Af1(XpYpZ1)最初可以人工初始化����,在積累一定經(jīng)驗(yàn)數(shù)據(jù)����,可以根據(jù)經(jīng)驗(yàn)數(shù)據(jù)調(diào)整信任度系數(shù)。
【權(quán)利要求】
1.一種基于屬性的模糊式訪問控制方法�����,其特征在于,是在一個(gè)由互聯(lián)網(wǎng)中的模糊式訪問控制器和多個(gè)分布式策略執(zhí)行處理器共同構(gòu)成的模糊式訪問控制服務(wù)系統(tǒng)中依次按以下步驟完成的: 步驟(1) 模糊式訪問控制服務(wù)系統(tǒng)初始化: 策略執(zhí)行處理器����,設(shè)有=XACML語言文件提供模塊, 模糊式訪問控制器�,設(shè)有:屬性權(quán)限模塊、策略決策模塊以及權(quán)限策略庫���,其中: 屬性權(quán)威模塊�����,設(shè)有:主體屬性子模塊、資源屬性子模塊和環(huán)境因素屬性子模塊����,其中: 主體屬性子模塊,設(shè)有: 主體集合s, S = (S1, S2,..., Sn,..., sN}, n ∈ N,表示訪問控制的主體,所述主體是指通過身份鑒定的訪問請(qǐng)求者���,η表示主體s的序號(hào)���,N表示主體的數(shù)量; 主體屬性集合X���,X = (X1, x2�,...,xm����,...,xM}��,m ∈ Μ, xm是主體屬性,至少包括身份��、角色��、年齡����、郵政編碼、常住地址���、IP地址���、雇員職位和已驗(yàn)證的公鑰構(gòu)架PKI證書,m是主體屬性的序號(hào)��,M是主體屬性的數(shù)量��; 資源屬性子模塊,設(shè)有: 資源集合O, O = {1, O2,..., Og,..., o} , g ∈ G, O表示訪問請(qǐng)求者需要訪問的資源�����,至少包括數(shù)據(jù)��、服務(wù)和系統(tǒng)設(shè)備�,g是資源的序號(hào),G是資源的數(shù)量��;
資源屬性集合Y, Y = {y1, y2,..., yq,..., yQ}, q ∈ Q, q ∈ Q, y是資源的屬性�,q是資源屬性的序號(hào),Q是資源屬性的數(shù)量���,資源屬性至少包括資源的身份��、標(biāo)準(zhǔn)資源地址URL、資源的大小和數(shù)值��; 環(huán)境因素屬性子模塊����,設(shè)有: 環(huán)境因素集合T,T = {t1, t2�,...���,te,...�����,tE}����,e e E,表示訪問時(shí)的上下文環(huán)境影響因素���,至少包括時(shí)間�、條件和狀態(tài)���; 環(huán)境因素屬性集合Z, Z = {z1, z2,..., zv,..., zv}, V e V, zv是環(huán)境屬性,至少包括當(dāng)前時(shí)間��、日期�、每日的時(shí)間段�、安全級(jí)別和系統(tǒng)狀態(tài); 策略決策模塊��,輸入是所述策略執(zhí)行處理器輸入的授權(quán)請(qǐng)求��,依次執(zhí)行輸入信息處理、權(quán)重調(diào)整建立評(píng)判矩陣�,綜合評(píng)判和模糊推理各步驟,輸出是權(quán)限決策����; 設(shè)置訪問請(qǐng)求信任度集合M = Im1, m2, m3, m4},分別表示“完全信任”���、“強(qiáng)信任”��、“弱信任”��、“不信任”集合�����; 權(quán)限策略庫����,設(shè)有:模糊授權(quán)策略集合P��,P = {pi�����,p2�,p3,p4}���,p e P��,依次表示完全授權(quán)策略集���、強(qiáng)授權(quán)策略集、弱授權(quán)策略集和不授權(quán)策略集��; 根據(jù)對(duì)服務(wù)請(qǐng)求的綜合評(píng)判結(jié)果��,分配相應(yīng)的授權(quán)策略�;其中,一個(gè)策略庫存儲(chǔ)多條訪問控制策略��,每條策略可以包括多條規(guī)則�,一條規(guī)則用于判定主體S能否在環(huán)境T下訪問資源0,可表示成以S�����、O、T的屬性為參數(shù)的函數(shù)�����,返回信任度值�����;
Rule:can_access (s, o, t) ← f (X��,Y, Z) f(x��,Y����,z)采用函數(shù)矩陣實(shí)現(xiàn),其中子函數(shù)f HjX1, Y1, Z1)用于計(jì)算X1, Y1, Z1的信任度��,以此類推�����,fm-t-v(Xm����,Yt, Zv)用于計(jì)算Xm,Yt, Zv的信任度�;我們需要建立個(gè)信任度函數(shù);看上去����,計(jì)算很多,依次計(jì)算完成需要很長(zhǎng)時(shí)間����,但是,由于采用多個(gè)子函數(shù)實(shí)現(xiàn)信任度計(jì)算���,并且�����,各子函數(shù)的信任度計(jì)算是完全獨(dú)立的�����,因此���,該信任度計(jì)算完全可以由多服務(wù)器并發(fā)完成計(jì)算,因此��,計(jì)算時(shí)間約為通訊時(shí)間加上單一子函數(shù)最長(zhǎng)的運(yùn)行時(shí)間,這樣就大大提高了信任度計(jì)算速度��;同時(shí)��,可以建立緩存機(jī)制���,很多具有相同屬性的計(jì)算�����,可以直接引用以前的結(jié)果�,可以大大減少運(yùn)算量�����;當(dāng)判別的主體屬性����、資源屬性、環(huán)境屬性有變化時(shí)����,只需要?jiǎng)討B(tài)調(diào)整相關(guān)的信任度子函數(shù),而無須考慮不相關(guān)的其他子函數(shù)���; 對(duì)于給定的S��、O����、T的所有屬性值���,如果函數(shù)的返回值為完全信任�����,則應(yīng)該允許對(duì)資源進(jìn)行訪問��,否則拒絕訪問���; 分布式的評(píng)判函數(shù)矩陣可以解決信任度問題,但還是存在計(jì)算量較大���,資源使用率高的現(xiàn)象��;實(shí)際上��,對(duì)所有的屬性組合進(jìn)行精確信任度計(jì)算是沒有必要的�,很多情況下,只需要進(jìn)行部分的屬性組合信任度計(jì)算就可以完成信任度評(píng)估的工作�;因此,我們?cè)谧罱K進(jìn)行信任度計(jì)算之前�����,設(shè)置評(píng)判因素集通過U= {S����,0,T}模糊算法篩選出部分屬性參與計(jì)算���,由于參與屬性計(jì)算的屬性減少�����,f(x, Y��,Z)的子函數(shù)計(jì)算量也會(huì)相應(yīng)的減少�����;采用模糊算法進(jìn)行篩選�,而不是精確匹配篩選�,主要是因?yàn)閷傩员姸?,各屬性組合之間的信任度相關(guān)性不適合用精確函數(shù)描述����; 對(duì)評(píng)判目標(biāo)(訪問請(qǐng)求信任度)的因素可分為2個(gè)層次,包括評(píng)判對(duì)象和評(píng)判對(duì)象屬性級(jí)�����;即訪問請(qǐng)求信任度受到主體�����、資源��、環(huán)境三種評(píng)判因素的影響��,而各個(gè)評(píng)判對(duì)象分別受到其屬性的影響�; 步驟(2) ①策略執(zhí)行模塊負(fù)責(zé)解析用戶的訪問請(qǐng)求��,抽取其中的主體屬性���,并將授權(quán)請(qǐng)求和主體屬性發(fā)送給策略決策模塊���;策略執(zhí)行模塊可以是分布在整個(gè)網(wǎng)絡(luò)環(huán)境中多個(gè)位置���,而且請(qǐng)求主體不能繞過策略執(zhí)行模塊而直接訪問資源; ②策略決策模塊進(jìn)行模糊策略判決��,具體步驟如下: 1):輸入信息處理�����;` 由于部分訪問請(qǐng)求信息和策略信息不是數(shù)值形式���,需要進(jìn)行數(shù)據(jù)格式轉(zhuǎn)換�;轉(zhuǎn)化為屬性類型�����,屬性名稱����,屬性值的對(duì)象描述;例如��,主體的職稱屬性值為:助理工程師���、工程師���、高級(jí)工程師�、研究員��,屬性名稱為“職稱”�����,屬性類型“文本”����,屬性值為“助理工程師�、工程師、高級(jí)工程師���、研究員”之一�;同理��,將環(huán)境屬性和訪問對(duì)象屬性也都需要按標(biāo)準(zhǔn)輸入信息進(jìn)行處理�; 2):屬性篩選;通過分析輸入數(shù)據(jù)�����,根據(jù)具體應(yīng)用需求,對(duì)主體�����、資源�����、環(huán)境屬性進(jìn)行模糊篩選�����; 3):使用信任度函數(shù)進(jìn)行信任度計(jì)算�����;首先獲取篩選后的屬性����,進(jìn)行對(duì)應(yīng)的信任度計(jì)算,對(duì)于信任度值��,再進(jìn)行處理���,得到訪問許可值�;例如,^(X1, Y1, Z1)的Xl是主體職稱�;yl是資源密級(jí)是系統(tǒng)狀態(tài);系統(tǒng)狀態(tài)分為系統(tǒng)閑和系統(tǒng)忙���;則工程師系統(tǒng)閑時(shí)訪問一個(gè)公開資料的信任度和系統(tǒng)忙時(shí)訪問一個(gè)公開資料的信任度值是不一樣的����,綜合考慮其他信任度函數(shù)的返回����,平時(shí)可能允許工程師訪問的資源,在系統(tǒng)忙時(shí)����,可能限制工程師訪問.Y1, Z1)最初可以人工初始化,在積累一定經(jīng)驗(yàn)數(shù)據(jù)�,可以根據(jù)經(jīng)驗(yàn)數(shù)據(jù)調(diào)整信任度系數(shù)����。
【文檔編號(hào)】H04L29/06GK103795688SQ201210424262
【公開日】2014年5月14日 申請(qǐng)日期:2012年10月31日 優(yōu)先權(quán)日:2012年10月31日
【發(fā)明者】毛俐旻, 段翼真, 陳志浩, 王斌, 王曉程 申請(qǐng)人:中國航天科工集團(tuán)第二研究院七○六所