一種基于屬性的訪問控制策略合成方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種訪問控制策略合成方法，屬于計算機通信領(lǐng)域。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)的快速發(fā)展，各種基于互聯(lián)網(wǎng)的新興應(yīng)用對分布式系統(tǒng)間互操作的需求 越來越迫切。這些新的應(yīng)用大多處于分布狀態(tài)，需要相互協(xié)作、共享，在異構(gòu)環(huán)境下需要進 行跨域的安全訪問控制策略的合成?；趯傩缘脑L問控制越來越受到關(guān)注，它不僅支持 RBAC模型，還可以靈活地表達細粒度的授權(quán)。訪問控制策略合成的過程是多條訪問控制策 略生成一條新的訪問控制策略的過程，其過程和方式復(fù)雜，涉及到參與訪問控制策略合成 各方的安全策略約束，用代數(shù)的方法刻畫訪問控制策略合成的屬性有助于明確訪問控制策 略的結(jié)構(gòu)、驗證訪問控制策略合成結(jié)果的正確性和安全性。同時利用離散代數(shù)可以將復(fù)雜 的基于屬性的策略合成方式用嚴謹?shù)拇鷶?shù)系統(tǒng)表達，使得域間具有形式化推理演算能力。
[0003]目前已有的各種訪問控制策略合成方法存在以下技術(shù)問題：或沒有在基于屬性的 訪問控制策略表達式中考慮環(huán)境因素對策略合成的影響，或沒有涉及到減算子，或沒有解 決投票算子存在的安全威脅。

【發(fā)明內(nèi)容】

[0004]為解決以上技術(shù)問題，本發(fā)明提出了一種基于屬性的訪問控制策略合成方法。為 實現(xiàn)本發(fā)明，采用以下技術(shù)方案：
[0005] 該方法包含如下步驟：
[0006] 第一步，將基于屬性的訪問控制策略面向?qū)傩詫舆M行分解；
[0007] 第二步，對步驟一的結(jié)果進行基于屬性的訪問控制策略代數(shù)表達式轉(zhuǎn)換；
[0008] 第三步，對步驟二的轉(zhuǎn)換結(jié)果檢查是否是異構(gòu)策略；如果是異構(gòu)策略，則對相應(yīng)的 屬性授權(quán)項進行擴展。如果不是異構(gòu)策略執(zhí)行步驟四。
[0009]第四步，檢測訪問控制策略是否存在沖突，如果不存在沖突，直接進行訪問控制策 略的合成；如果存在沖突，則執(zhí)行第五步。
[0010] 第五步，根據(jù)步驟四中存在的沖突，選擇基于屬性的訪問控制策略合成代數(shù)的策 略合成算子；
[0011] 第六步，根據(jù)步驟五選擇的策略合成算子實現(xiàn)合成演算，如果訪問控制策略合成 成功則輸出策略合成結(jié)果；如果訪問控制策略合成失敗，則選擇其他的訪問控制策略沖突 消解的方法。
[0012] 進一步的，步驟一中將基于屬性的訪問控制策略面向?qū)傩詫舆M行分解時，先對策 略中的各個屬性進行分解，并用aPi*val表示一個屬性約束，其中aPi表示第i個屬性， *G{彡，彡，=，<，>}，val為屬性的值，為數(shù)字或文字。
[0013] 進一步的，屬性約束包括主體屬性約束、客體屬性約束、環(huán)境屬性約束、主體的信 任度約束、操作屬性約束。
[0014] 進一步的，對步驟一的結(jié)果進行基于屬性的訪問控制策略代數(shù)表達式的轉(zhuǎn)換時， 用SAPi表示主體的第i個屬性，用0AP^表示客體的第j個屬性，用EAPk表示環(huán)境的第k個 屬性，用Tsm表示第m個主體的信任度屬性，訪問主體對客體資源的操作用OPi表示資源的 第1個屬性，用<S, 0,E,T, 0P>五兀組表不一個屬性授權(quán)項，其中S表不主體的所有屬性， 0表不客體的所有屬性，E表不環(huán)境的所有屬性，T表不主體的信任度，0P表不訪問主體對 客體資源能執(zhí)行的所有操作，多個屬性授權(quán)項構(gòu)成一個訪問控制策略
[0015] pol= {ATT"ATT2, ? ??，ATTJ= {(SAP"OAP"EAP"Tsl，OP)，（SAP2, 0AP2,EAP2,Ts2， 0P2)，. . .，（SAPn，0APn，EAPn，Tsn，0Pn)}，其中A%為策略pol中主客體之間授權(quán)關(guān)系的形式 化描述。
[0016] 進一步的，步驟五中選擇基于屬性的訪問控制策略合成代數(shù)的合成算子時，根據(jù) 各域的安全需求選擇相應(yīng)的策略合成算子，策略合成算子包括 ：?算子，策略"或"算子； ?算子，策略"與"算子；-算子，策略"減"算子；p〇r°n算子，限制算子；FW算子，模態(tài)函數(shù)算 子；TVw算子，給予信任度的投票算子。
[0017] 進一步的，所述策略合成算子中信任度包括直接信任度DT(Xi，xp和推薦信任度 RT(xi；Xj),
【主權(quán)項】
1. 一種基于屬性的訪問控制策略合成方法，其特征在于：該方法包含如下步驟： 第一步，將基于屬性的訪問控制策略面向?qū)傩詫舆M行分解； 第二步，對步驟一的結(jié)果進行基于屬性的訪問控制策略代數(shù)表達式轉(zhuǎn)換； 第三步，對步驟二的轉(zhuǎn)換結(jié)果檢查是否是異構(gòu)策略，如果是異構(gòu)策略，則對相應(yīng)的屬性 授權(quán)項進行擴展；如果不是異構(gòu)策略執(zhí)行步驟四。 第四步，檢測訪問控制策略是否存在沖突，如果不存在沖突，直接進行訪問控制策略的 合成；如果存在沖關(guān)，則執(zhí)彳了步驟五。 第五步，根據(jù)步驟四中存在的沖突，選擇基于屬性的訪問控制策略合成代數(shù)的策略合 成算子； 第六步，根據(jù)步驟五選擇的策略合成算子實現(xiàn)合成演算，如果訪問控制策略合成成功 則輸出策略合成結(jié)果；如果訪問控制策略合成失敗，則選擇其他的訪問控制策略沖突消解 的方法。
2. 根據(jù)權(quán)利要求1所述的一種基于屬性的訪問控制策略合成方法，其特征在于：所述 步驟一中，將基于屬性的訪問控制策略面向?qū)傩詫舆M行分解時，先對策略中的各個屬性進 行分解，并用apjval表示一個屬性約束，其中aPi表示第i個屬性，*e {<，彡，=，<， > }，val為屬性的值，為數(shù)字或文字。
3. 根據(jù)權(quán)利要求1所述的一種基于屬性的訪問控制策略合成方法，其特征在于：所述 屬性約束包括主體屬性約束、客體屬性約束、環(huán)境屬性約束、主體的信任度約束、操作屬性 約束。
4. 根據(jù)權(quán)利要求1所述的一種基于屬性的訪問控制策略合成代數(shù)，其特征在于：所述 步驟二中，對步驟一的結(jié)果進行基于屬性的訪問控制策略代數(shù)表達式的轉(zhuǎn)換時，用3八? 1表 示主體的第i個屬性，用OAP^表示客體的第j個屬性，用EAP k表示環(huán)境的第k個屬性，用 Tsm表示第m個主體的信任度屬性，訪問主體對客體資源的操作用OP i表示資源的第1個屬 性，用< S，0, E，T，OP >五元組表示一個屬性授權(quán)項，其中S表示主體的所有屬性，0表示客 體的所有屬性，E表示環(huán)境的所有屬性，T表示主體的信任度，OP表示訪問主體對客體資源 能執(zhí)行的所有操作，多個屬性授權(quán)項構(gòu)成一個訪問控制策略
，其中ATTi為策略pol中主客 體之間授權(quán)關(guān)系的形式化描述。
5. 根據(jù)權(quán)利要求1所述的一種基于屬性的訪問控制策略合成方法，其特征在于：所述 步驟五，選擇基于屬性的訪問控制策略合成代數(shù)的合成算子時，根據(jù)各域的安全需求選擇 相應(yīng)的策略合成算子，策略合成算子包括：?算子，策略"或"算子算子，策略"與"算 子；-算子，策略"減"算子；Ρ〇?！?η算子，限制算子；FW算子，模態(tài)函數(shù)算子；TV W算子，給予 信任度的投票算子，其中參與最終訪問控制策略的合成中必須有資源所在域的策略。
6. 根據(jù)權(quán)利要求4所述的一種基于屬性的訪問控制策略合成方法，其特征在于：所述 策略合成算子中信任度包括直接信任度DT (Xi，和推薦信任度RT (Xi，Xj)，
其中α為歷史因子，且〇< α < I:
s表示成功交易的次數(shù)，k表示總交 易次數(shù)；
其中N是推薦實體的個數(shù)，最后信任度
，其中β表示直接信任度在綜合的信任度中所占的 比重，且0彡β彡1。
【專利摘要】在實現(xiàn)跨域資源的訪問控制中，基于屬性的訪問控制的策略的合成方法是關(guān)鍵技術(shù)。本發(fā)明通過實體屬性定義實體之間的授權(quán)，將主體信任度作為單獨屬性謂詞加入到訪問控制策略的屬性授權(quán)項中，擴展了現(xiàn)有的策略合成，增強了策略合成的表述能力，保證了安全域內(nèi)各對象的安全。本發(fā)明定義了6個加入信任度的策略合成算子用來實現(xiàn)訪問控制策略合成，并借助現(xiàn)有策略表示的一些代數(shù)屬性驗證了策略合成的結(jié)構(gòu)是否能夠滿足參與策略合成各方對資源的保護性需求。
【IPC分類】H04L29-06
【公開號】CN104683348
【申請?zhí)枴緾N201510108724
【發(fā)明人】郭海儒, 李由由, 鞠水, 王國偉, 家曉艷, 賈宗璞, 魏曉娟
【申請人】河南理工大學(xué)
【公開日】2015年6月3日
【申請日】2015年3月13日