一种基于属性的访问控制策略合成方法
【技术领域】
[0001] 本发明涉及一种访问控制策略合成方法,属于计算机通信领域。
【背景技术】
[0002] 随着网络的快速发展,各种基于互联网的新兴应用对分布式系统间互操作的需求 越来越迫切。这些新的应用大多处于分布状态,需要相互协作、共享,在异构环境下需要进 行跨域的安全访问控制策略的合成。基于属性的访问控制越来越受到关注,它不仅支持 RBAC模型,还可以灵活地表达细粒度的授权。访问控制策略合成的过程是多条访问控制策 略生成一条新的访问控制策略的过程,其过程和方式复杂,涉及到参与访问控制策略合成 各方的安全策略约束,用代数的方法刻画访问控制策略合成的属性有助于明确访问控制策 略的结构、验证访问控制策略合成结果的正确性和安全性。同时利用离散代数可以将复杂 的基于属性的策略合成方式用严谨的代数系统表达,使得域间具有形式化推理演算能力。
[0003]目前已有的各种访问控制策略合成方法存在以下技术问题:或没有在基于属性的 访问控制策略表达式中考虑环境因素对策略合成的影响,或没有涉及到减算子,或没有解 决投票算子存在的安全威胁。
【发明内容】
[0004]为解决以上技术问题,本发明提出了一种基于属性的访问控制策略合成方法。为 实现本发明,采用以下技术方案:
[0005] 该方法包含如下步骤:
[0006] 第一步,将基于属性的访问控制策略面向属性层进行分解;
[0007] 第二步,对步骤一的结果进行基于属性的访问控制策略代数表达式转换;
[0008] 第三步,对步骤二的转换结果检查是否是异构策略;如果是异构策略,则对相应的 属性授权项进行扩展。如果不是异构策略执行步骤四。
[0009]第四步,检测访问控制策略是否存在冲突,如果不存在冲突,直接进行访问控制策 略的合成;如果存在冲突,则执行第五步。
[0010] 第五步,根据步骤四中存在的冲突,选择基于属性的访问控制策略合成代数的策 略合成算子;
[0011] 第六步,根据步骤五选择的策略合成算子实现合成演算,如果访问控制策略合成 成功则输出策略合成结果;如果访问控制策略合成失败,则选择其他的访问控制策略冲突 消解的方法。
[0012] 进一步的,步骤一中将基于属性的访问控制策略面向属性层进行分解时,先对策 略中的各个属性进行分解,并用aPi*val表示一个属性约束,其中aPi表示第i个属性, *G{彡,彡,=,<,>},val为属性的值,为数字或文字。
[0013] 进一步的,属性约束包括主体属性约束、客体属性约束、环境属性约束、主体的信 任度约束、操作属性约束。
[0014] 进一步的,对步骤一的结果进行基于属性的访问控制策略代数表达式的转换时, 用SAPi表示主体的第i个属性,用0AP^表示客体的第j个属性,用EAPk表示环境的第k个 属性,用Tsm表示第m个主体的信任度属性,访问主体对客体资源的操作用OPi表示资源的 第1个属性,用<S, 0,E,T, 0P>五兀组表不一个属性授权项,其中S表不主体的所有属性, 0表不客体的所有属性,E表不环境的所有属性,T表不主体的信任度,0P表不访问主体对 客体资源能执行的所有操作,多个属性授权项构成一个访问控制策略
[0015] pol= {ATT"ATT2, ? ??,ATTJ= {(SAP"OAP"EAP"Tsl,OP),(SAP2, 0AP2,EAP2,Ts2, 0P2),. . .,(SAPn,0APn,EAPn,Tsn,0Pn)},其中A%为策略pol中主客体之间授权关系的形式 化描述。
[0016] 进一步的,步骤五中选择基于属性的访问控制策略合成代数的合成算子时,根据 各域的安全需求选择相应的策略合成算子,策略合成算子包括 :?算子,策略"或"算子; ?算子,策略"与"算子;-算子,策略"减"算子;p〇r°n算子,限制算子;FW算子,模态函数算 子;TVw算子,给予信任度的投票算子。
[0017] 进一步的,所述策略合成算子中信任度包括直接信任度DT(Xi,xp和推荐信任度 RT(xi;Xj),
【主权项】
1. 一种基于属性的访问控制策略合成方法,其特征在于:该方法包含如下步骤: 第一步,将基于属性的访问控制策略面向属性层进行分解; 第二步,对步骤一的结果进行基于属性的访问控制策略代数表达式转换; 第三步,对步骤二的转换结果检查是否是异构策略,如果是异构策略,则对相应的属性 授权项进行扩展;如果不是异构策略执行步骤四。 第四步,检测访问控制策略是否存在冲突,如果不存在冲突,直接进行访问控制策略的 合成;如果存在冲关,则执彳了步骤五。 第五步,根据步骤四中存在的冲突,选择基于属性的访问控制策略合成代数的策略合 成算子; 第六步,根据步骤五选择的策略合成算子实现合成演算,如果访问控制策略合成成功 则输出策略合成结果;如果访问控制策略合成失败,则选择其他的访问控制策略冲突消解 的方法。
2. 根据权利要求1所述的一种基于属性的访问控制策略合成方法,其特征在于:所述 步骤一中,将基于属性的访问控制策略面向属性层进行分解时,先对策略中的各个属性进 行分解,并用apjval表示一个属性约束,其中aPi表示第i个属性,*e {<,彡,=,<, > },val为属性的值,为数字或文字。
3. 根据权利要求1所述的一种基于属性的访问控制策略合成方法,其特征在于:所述 属性约束包括主体属性约束、客体属性约束、环境属性约束、主体的信任度约束、操作属性 约束。
4. 根据权利要求1所述的一种基于属性的访问控制策略合成代数,其特征在于:所述 步骤二中,对步骤一的结果进行基于属性的访问控制策略代数表达式的转换时,用3八? 1表 示主体的第i个属性,用OAP^表示客体的第j个属性,用EAP k表示环境的第k个属性,用 Tsm表示第m个主体的信任度属性,访问主体对客体资源的操作用OP i表示资源的第1个属 性,用< S,0, E,T,OP >五元组表示一个属性授权项,其中S表示主体的所有属性,0表示客 体的所有属性,E表示环境的所有属性,T表示主体的信任度,OP表示访问主体对客体资源 能执行的所有操作,多个属性授权项构成一个访问控制策略
,其中ATTi为策略pol中主客 体之间授权关系的形式化描述。
5. 根据权利要求1所述的一种基于属性的访问控制策略合成方法,其特征在于:所述 步骤五,选择基于属性的访问控制策略合成代数的合成算子时,根据各域的安全需求选择 相应的策略合成算子,策略合成算子包括:?算子,策略"或"算子算子,策略"与"算 子;-算子,策略"减"算子;Ρ〇Γ° η算子,限制算子;FW算子,模态函数算子;TV W算子,给予 信任度的投票算子,其中参与最终访问控制策略的合成中必须有资源所在域的策略。
6. 根据权利要求4所述的一种基于属性的访问控制策略合成方法,其特征在于:所述 策略合成算子中信任度包括直接信任度DT (Xi,和推荐信任度RT (Xi,Xj),
其中α为历史因子,且〇< α < I:
s表示成功交易的次数,k表示总交 易次数;
其中N是推荐实体的个数,最后信任度
,其中β表示直接信任度在综合的信任度中所占的 比重,且0彡β彡1。
【专利摘要】在实现跨域资源的访问控制中,基于属性的访问控制的策略的合成方法是关键技术。本发明通过实体属性定义实体之间的授权,将主体信任度作为单独属性谓词加入到访问控制策略的属性授权项中,扩展了现有的策略合成,增强了策略合成的表述能力,保证了安全域内各对象的安全。本发明定义了6个加入信任度的策略合成算子用来实现访问控制策略合成,并借助现有策略表示的一些代数属性验证了策略合成的结构是否能够满足参与策略合成各方对资源的保护性需求。
【IPC分类】H04L29-06
【公开号】CN104683348
【申请号】CN201510108724
【发明人】郭海儒, 李由由, 鞠水, 王国伟, 家晓艳, 贾宗璞, 魏晓娟
【申请人】河南理工大学
【公开日】2015年6月3日
【申请日】2015年3月13日