專利名稱:基于信任的訪問(wèn)控制中的權(quán)限映射方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種訪問(wèn)控制權(quán)限映射方法,具體是一種基于信任的訪問(wèn)控制中的權(quán) 限映射方法,用于解決在開(kāi)放式環(huán)境中實(shí)體訪問(wèn)資源時(shí)如何依據(jù)其信任值進(jìn)行權(quán)限分配問(wèn) 題����,屬于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域。
背景技術(shù):
在開(kāi)放式環(huán)境中���,實(shí)體的行為和狀態(tài)由自身決定,可以隨時(shí)加入某個(gè)網(wǎng)絡(luò)����,也可以 隨時(shí)退出該網(wǎng)絡(luò)����,甚至可以在改變自身標(biāo)識(shí)后重新加入另一網(wǎng)絡(luò)���。而且,在開(kāi)放式環(huán)境中��, 沒(méi)有中心化的管理權(quán)威可以依賴��,這一特征使得實(shí)體不能獲得另一實(shí)體的全部信息�����,或者 實(shí)體之間根本不認(rèn)識(shí)�。強(qiáng)制訪問(wèn)控制、自主訪問(wèn)控制和基于角色的訪問(wèn)控制等集中式訪問(wèn)控制方法�����,不 能滿足開(kāi)放式環(huán)境的特點(diǎn)��,如開(kāi)放性����、異構(gòu)性和動(dòng)態(tài)性等����。在開(kāi)放式環(huán)境中����,由于用戶經(jīng)常 需要面對(duì)陌生實(shí)體,信任的作用顯得非常重要�����。信任管理為解決開(kāi)放式環(huán)境中的訪問(wèn)控制 問(wèn)題提供了一種新思路��,利用信任為開(kāi)放式環(huán)境提供安全的訪問(wèn)控制機(jī)制具有重要的意 義����。在基于信任的訪問(wèn)控制中,實(shí)體的信任值和訪問(wèn)權(quán)限之間如何進(jìn)行映射是關(guān)鍵問(wèn) 題��。也就是說(shuō)�,當(dāng)評(píng)估出一個(gè)實(shí)體的信任值后,應(yīng)對(duì)該實(shí)體分配什么樣的權(quán)限����。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于信任的訪問(wèn)控制中的權(quán)限映射方法。該方法可以根 據(jù)實(shí)體每次訪問(wèn)資源時(shí)的信任值對(duì)其分配相應(yīng)的訪問(wèn)權(quán)限�����,且隨著每次訪問(wèn)時(shí)實(shí)體信任值 的變化,分配的權(quán)限也隨之改變��。使用該方法可以靈活的實(shí)現(xiàn)對(duì)資源的訪問(wèn)控制�����。本方法將信任值與資源的訪問(wèn)權(quán)限進(jìn)行映射�����,可以根據(jù)主體信任值的變化而動(dòng)態(tài) 調(diào)整對(duì)應(yīng)的訪問(wèn)權(quán)限�����?;谛湃蔚脑L問(wèn)控制中的權(quán)限映射方法�,其特征在于,步驟如下(1)主體的信任區(qū)間設(shè)為W�����,l]��,設(shè)資源擁有N個(gè)不同的非空權(quán)限集合,根據(jù)主體 的信任值����,給主體分配相應(yīng)的訪問(wèn)權(quán)限,建立信任值與權(quán)限之間的映射�;讀取資源的N個(gè)非空權(quán)限集合,連同空集Φ —起����,依據(jù)各權(quán)限集合的安全級(jí)別要 求,構(gòu)造權(quán)限集合的二叉排序樹(shù)���;(2)根據(jù)主體的信任值���,計(jì)算信任值對(duì)應(yīng)的權(quán)限量化函數(shù)值M ;χ = arcsin y是單調(diào)遞增函數(shù)��;將^ e
平均分割為與資源的權(quán)限集合個(gè)數(shù)相
等的N個(gè)小區(qū)間�����,與權(quán)限集合一一對(duì)應(yīng)����,那么每個(gè)小區(qū)間為☆��;任意給定信任值T e
�����, 均有唯一的χ = arcsinT與之對(duì)應(yīng)�,其中����,x e ;
3
構(gòu)造權(quán)限量化函數(shù)M= 2NmcsmT���,Γ e
,且 Me
(1)
π(3)根據(jù)權(quán)限量化函數(shù)值Μ��,求取主體的權(quán)限在有序權(quán)限集合中的序列位置F;公式(1)中M e W��,N]���,而每個(gè)權(quán)限集合的表示為離散量�����,進(jìn)一步構(gòu)造權(quán)限集合映
射函數(shù)
ρ [Μ-0.5],Μ>0.5 I 0 ,M <0.5其中�,F(xiàn)表示量化的權(quán)限值M所對(duì)應(yīng)的權(quán)限集合;任意給定信任值T e
�����,均有!^£ [Ο,Ν]中的唯一整數(shù)與其對(duì)應(yīng)���;根據(jù)該整數(shù) 與權(quán)限集合的對(duì)應(yīng)關(guān)系�����,給主體分配相應(yīng)的權(quán)限�����;其中��,當(dāng)F = O時(shí)��,表示分配給該主體的訪 問(wèn)權(quán)限為Φ�����,即拒絕該主體的訪問(wèn)請(qǐng)求�;(4)中序遍歷構(gòu)造的二叉排序樹(shù),查找得到第F個(gè)結(jié)點(diǎn)���;(5)輸出第F個(gè)結(jié)點(diǎn)所存儲(chǔ)的權(quán)限集合���,即為分配給該主體的權(quán)限;(6)如果還有需要權(quán)限映射的主體��,則轉(zhuǎn)向(2)���;否則�����,結(jié)束��。本發(fā)明技術(shù)方案說(shuō)明如下主體的信任區(qū)間設(shè)為
�,設(shè)資源擁有N個(gè)不同的非空權(quán)限集合��,根據(jù)主體的信 任值����,給其分配相應(yīng)的訪問(wèn)權(quán)限���,建立信任值與權(quán)限之間的映射��。函數(shù)y = f(x) = Sin χ是單調(diào)遞增函數(shù)�����。其中�,^
。其反函 數(shù)x = arcsiny也是單調(diào)遞增函數(shù)����。如果將M[0,$平均分割為與資源的權(quán)限集合個(gè)數(shù)相等的N個(gè)小區(qū)間��,與權(quán)限集 合一一對(duì)應(yīng)�,那么每個(gè)小區(qū)間為☆。任意給定信任值T e
�����,均有唯一的χ = arcsinT 與之對(duì)應(yīng)����,其中3e
。由此�����,構(gòu)造權(quán)限量化函數(shù)A/ = 2iV aresm^ T e
,且Me [Ο,Ν] (1)
π由公式⑴計(jì)算信任值T在以^^為單位區(qū)間的xe[0���,$中所對(duì)應(yīng)的區(qū)間數(shù)���。因?yàn)?br>
公式(1)中Me
,而每個(gè)權(quán)限集合的表示為離散量��,由此對(duì)其進(jìn)行擴(kuò)充�����,進(jìn)一步構(gòu)造 權(quán)限集合映射函數(shù)
F = |rM-0.5],M>0.5 { 0 ,M <0.5其中�����,F(xiàn)表示量化的權(quán)限值M所對(duì)應(yīng)的權(quán)限集合�����。由公式⑴和公式⑵可知���,任 意給定信任值Te
����,均有Fe
中的唯一整數(shù)與其對(duì)應(yīng)���。根據(jù)該整數(shù)與權(quán)限集 合的對(duì)應(yīng)關(guān)系�����,給主體分配相應(yīng)的權(quán)限�。其中�,當(dāng)F = 0時(shí),表示分配給該主體的訪問(wèn)權(quán)限 為Φ����,即拒絕該主體的訪問(wèn)請(qǐng)求。對(duì)于資源擁有的N個(gè)不同的權(quán)限集合�����,依據(jù)安全管理需求��,資源的每個(gè)權(quán)限集合對(duì)主體信任值的要求不同���。因此���,可以根據(jù)權(quán)限集合所要求主體信任程度的高低�����,將其進(jìn)行 升序排列�����,并存儲(chǔ)在權(quán)限集合數(shù)組R[N]中�����,且R
= Φ�����。假設(shè)信任值為T'的主體���,由公 式(2)計(jì)算出其函數(shù)值為t,其中�����,t = 0,1�,. . .,N�,則分配給該主體的權(quán)限集合為R(t)�����。將N+1個(gè)權(quán)限集合(包括空集)進(jìn)行升序排列的方法有很多��。為了提高權(quán)限集合 的排序效率��,我們采用如下方法�。首先將N+1個(gè)權(quán)限集合構(gòu)造一個(gè)二叉排序樹(shù),然后對(duì)其進(jìn) 行中序遍歷����,可得到權(quán)限集合的升序排列?����;诜凑液瘮?shù)的權(quán)限映射方法的步驟如下(1)讀取資源的N+1個(gè)權(quán)限集合(包括空集)�����,依據(jù)各權(quán)限集合的安全級(jí)別要求����, 構(gòu)造權(quán)限集合的二叉排序樹(shù)���;(2)根據(jù)主體的信任值,應(yīng)用公式(1)計(jì)算其對(duì)應(yīng)的函數(shù)值M���。(3)應(yīng)用公式(2)�����,根據(jù)函數(shù)值M�,求取主體的權(quán)限在有序權(quán)限集合中的序列位置 F0(4)中序遍歷構(gòu)造的二叉排序樹(shù)�,查找得到第F個(gè)結(jié)點(diǎn)。(5)輸出第F個(gè)結(jié)點(diǎn)所存儲(chǔ)的權(quán)限集合���,即為分配給該主體的權(quán)限����。(6)如果還有需要權(quán)限映射的主體�,則轉(zhuǎn)向(2);否則�,結(jié)束。本發(fā)明提出了一種基于信任的訪問(wèn)控制中的權(quán)限映射方法,可以解決實(shí)體訪問(wèn)資 源時(shí)依據(jù)其信任值進(jìn)行權(quán)限分配問(wèn)題���。它滿足開(kāi)放式環(huán)境中資源訪問(wèn)控制的特點(diǎn)���,能夠靈 活應(yīng)用于各種開(kāi)放式網(wǎng)絡(luò)環(huán)境。
圖1本發(fā)明的應(yīng)用過(guò)程流程2權(quán)限集合二叉排序樹(shù)
具體實(shí)施例方式本發(fā)明具體實(shí)施方式
以點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)中用戶請(qǐng)求訪問(wèn)資源為例�����,根據(jù)用戶的信任值 對(duì)其進(jìn)行權(quán)限分配��。用戶a和用戶b是點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)的用戶�,他們要訪問(wèn)文件C����。用戶a的信任值Ta = 0. 5,用戶b的信任值Tb = 0. 9��,下面根據(jù)用戶a和用戶b的信任值為其分配訪問(wèn)權(quán)限���。其 中��,對(duì)信任值的計(jì)算過(guò)程不做詳細(xì)介紹�����,只關(guān)心已知信任值后�,如何根據(jù)信任值進(jìn)行權(quán)限分 配。(1)假設(shè)資源擁有可分配的5個(gè)非空權(quán)限集合����,分別為A = {讀},B = {寫}���,C ={修改}����,D= {讀����,寫,修改��,執(zhí)行}�����,E= {讀���,寫����,修改,執(zhí)行����,擁有}。并且文件的各權(quán) 限對(duì)用戶的信任要求從低到高排列如下讀����、寫���、修改�����、執(zhí)行����、擁有��。將這5個(gè)權(quán)限集合和表 示拒絕訪問(wèn)的空集Φ����,一起構(gòu)造二叉排序樹(shù)�,如圖2所示����。(2)先對(duì)用戶a進(jìn)行權(quán)限映射。應(yīng)用公式(1)�����,計(jì)算函數(shù)值
r n w (2x5)arcsin(0.5) 5M = -------=—�。
π3(3)根據(jù)公式(2),計(jì)算廠=「5/3-0.5>2��。(4)中序遍歷圖2的二叉排序樹(shù)����,得到映射的權(quán)限是第2個(gè)非空權(quán)限集合B。
5
(5)讀取結(jié)點(diǎn)B所存儲(chǔ)的權(quán)限集合B = {寫}��,即分配給用戶a訪問(wèn)文件c的權(quán)限是寫����。(6)接著對(duì)用戶b進(jìn)行權(quán)限映射。應(yīng)用公式(1)���,計(jì)算函數(shù)值
Γ π . . (2x5)arcsin(0.9)M =--------^ 3.56�。
π(7)根據(jù)公式(2),計(jì)算/^「3.56-0.5"| = 4�����。(8)中序遍歷圖2的二叉排序樹(shù)����,得到映射的權(quán)限是第4個(gè)非空權(quán)限集合D。(9)讀取結(jié)點(diǎn)D所存儲(chǔ)的權(quán)限集合D = {讀�����,寫��,修改��,執(zhí)行}�����,即分配給用戶b訪 問(wèn)文件c的權(quán)限是讀�,寫���,修改��,執(zhí)行����。通過(guò)上面的例子,可以得出����,利用主體的信任值為其分配相應(yīng)的訪問(wèn)權(quán)限是可行 的。使用本發(fā)明���,既可以為主體分配合適的訪問(wèn)權(quán)限�,又可以保證資源訪問(wèn)的安全性��。本發(fā) 明能夠靈活應(yīng)用于各種開(kāi)放式網(wǎng)絡(luò)環(huán)境中����,具有良好的適用性。
權(quán)利要求
基于信任的訪問(wèn)控制中的權(quán)限映射方法�����,其特征在于�����,步驟如下(1)主體的信任區(qū)間設(shè)為
,設(shè)資源擁有N個(gè)不同的非空權(quán)限集合����,根據(jù)主體的信任值,給主體分配相應(yīng)的訪問(wèn)權(quán)限���,建立信任值與權(quán)限之間的映射��;讀取資源的N個(gè)非空權(quán)限集合�,連同空集φ一起����,依據(jù)各權(quán)限集合的安全級(jí)別要求,構(gòu)造權(quán)限集合的二叉排序樹(shù)���;(2)根據(jù)主體的信任值���,計(jì)算信任值對(duì)應(yīng)的權(quán)限量化函數(shù)值M����;x=arcsin y是單調(diào)遞增函數(shù)���;將平均分割為與資源的權(quán)限集合個(gè)數(shù)相等的N個(gè)小區(qū)間,與權(quán)限集合一一對(duì)應(yīng)�,那么每個(gè)小區(qū)間為任意給定信任值T∈
,均有唯一的x=arcsinT與之對(duì)應(yīng)�,其中,構(gòu)造權(quán)限量化函數(shù)T∈
�����,且M∈
(1)(3)根據(jù)權(quán)限量化函數(shù)值M����,求取主體的權(quán)限在有序權(quán)限集合中的序列位置F;公式(1)中M∈
�,而每個(gè)權(quán)限集合的表示為離散量,進(jìn)一步構(gòu)造權(quán)限集合映射函數(shù)其中��,F(xiàn)表示量化的權(quán)限值M所對(duì)應(yīng)的權(quán)限集合���;任意給定信任值T∈
��,均有F∈
中的唯一整數(shù)與其對(duì)應(yīng)�����;根據(jù)該整數(shù)與權(quán)限集合的對(duì)應(yīng)關(guān)系���,給主體分配相應(yīng)的權(quán)限����;其中���,當(dāng)F=0時(shí)�����,表示分配給該主體的訪問(wèn)權(quán)限為φ�����,即拒絕該主體的訪問(wèn)請(qǐng)求����;(4)中序遍歷構(gòu)造的二叉排序樹(shù)����,查找得到第F個(gè)結(jié)點(diǎn);(5)輸出第F個(gè)結(jié)點(diǎn)所存儲(chǔ)的權(quán)限集合����,即為分配給該主體的權(quán)限;(6)如果還有需要權(quán)限映射的主體��,則轉(zhuǎn)向(2)����;否則,結(jié)束�����。FSA00000345997100011.tif,FSA00000345997100012.tif,FSA00000345997100013.tif,FSA00000345997100014.tif,FSA00000345997100015.tif
全文摘要
基于信任的訪問(wèn)控制中的權(quán)限映射方法屬于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域����。在開(kāi)放式系統(tǒng)中,沒(méi)有中心化的管理權(quán)威可以依賴����,并且實(shí)體之間通常是陌生的,因此無(wú)法根據(jù)其身份進(jìn)行權(quán)限分配�。本發(fā)明的目的是根據(jù)實(shí)體的信任值為它分配相應(yīng)的權(quán)限。當(dāng)實(shí)體的信任值發(fā)生變化時(shí)�,分配給它的權(quán)限也隨之改變。本發(fā)明能解決開(kāi)放式環(huán)境中無(wú)法根據(jù)用戶的身份進(jìn)行權(quán)限分配的問(wèn)題,可以保證資源的安全訪問(wèn)���,具有較強(qiáng)的靈活性����。
文檔編號(hào)H04L29/06GK101984627SQ201010543830
公開(kāi)日2011年3月9日 申請(qǐng)日期2010年11月12日 優(yōu)先權(quán)日2010年11月12日
發(fā)明者何涇沙, 張玉強(qiáng), 馬書(shū)南, 高楓 申請(qǐng)人:北京工業(yè)大學(xué)