專利名稱:一種基于二進(jìn)制序列集合的訪問(wèn)控制策略合成方法
技術(shù)領(lǐng)域:
本發(fā)明涉及的是一種分布式系統(tǒng)中域間授權(quán)安全互操作方法��,具體地說(shuō),是一種基于二進(jìn)制序列集合(Bsset)的訪問(wèn)控制策略合成方法�。
背景技術(shù):
隨著大規(guī)模分布式網(wǎng)絡(luò)應(yīng)用的迅速發(fā)展,自治域之間的合作也會(huì)越來(lái)越頻繁��。其中���,域間訪問(wèn)控制策略合成是分布式技術(shù)中聚合資源訪問(wèn)的關(guān)鍵安全要素��?��;趯傩缘脑L問(wèn)控制能解決復(fù)雜系統(tǒng)中的細(xì)粒度的訪問(wèn)控制,為開(kāi)放的分布式環(huán)境提供了較為理想的訪問(wèn)控制方案���。并且利用離散代數(shù)可以將復(fù)雜的基于屬性的策略合成方式用嚴(yán)謹(jǐn)?shù)拇鷶?shù)系統(tǒng)表達(dá)����,基于代數(shù)的域間訪問(wèn)控制策略合成方法具體是指一類(lèi)首先在邏輯層面對(duì)策略合成語(yǔ)義進(jìn)行分析和定義���,進(jìn)而建立運(yùn)算規(guī)則系統(tǒng)(即代數(shù)系統(tǒng))進(jìn)行合成演算的基于屬性授權(quán)的訪問(wèn)控制策略合成方法���。這類(lèi)方法通常需要將實(shí)際的訪問(wèn)控制策略通過(guò)邏輯轉(zhuǎn)換器轉(zhuǎn)化為 邏輯代數(shù)符號(hào)才能由計(jì)算機(jī)程序?qū)崿F(xiàn)合成演算��,因此可實(shí)現(xiàn)性差、運(yùn)算效率低���。經(jīng)對(duì)現(xiàn)有技術(shù)的文獻(xiàn)檢索發(fā)現(xiàn)����,Bertino�、Li Ninghui等人在《An Algebra forFine-Grained Integration ofXACML Policies)) 一文中基于 XACML 策略描述形式提出用MTBDD(Multi-Terminal Binary Decision Diagrams)策略樹(shù)轉(zhuǎn)譯實(shí)際策略的方法,以及相應(yīng)的策略合成代數(shù)系統(tǒng)可解決細(xì)粒度的域間訪問(wèn)控制策略合成�����。這是目前已報(bào)道的最佳解決方法���。但是�,這一方法雖然解決了邏輯代數(shù)符號(hào)的轉(zhuǎn)換代價(jià)��,卻由于策略樹(shù)自身數(shù)據(jù)結(jié)構(gòu)對(duì)于布爾屬性約束的依賴性��,會(huì)造成合并過(guò)程中的冗余以及系統(tǒng)規(guī)模龐大的問(wèn)題���,這也限制了該方法的合成運(yùn)算性能���。
發(fā)明內(nèi)容
針對(duì)上述現(xiàn)有技術(shù)存在的不足����,本發(fā)明要解決的問(wèn)題是提供一種基于二進(jìn)制序列集合的訪問(wèn)控制策略合成方法�,采用二進(jìn)制序列集合對(duì)域間訪問(wèn)控制策略進(jìn)行基于屬性約束的建模,這種建模方式無(wú)需通過(guò)邏輯轉(zhuǎn)換器就可被計(jì)算機(jī)程序?qū)崿F(xiàn)�����,并且基于這種建模方式設(shè)計(jì)了授權(quán)項(xiàng)間的邏輯算子��,可進(jìn)行多樣化的域間策略合成演算�����。本發(fā)明可作為一種高效和易實(shí)現(xiàn)的域間訪問(wèn)控制策略合成方法�。為實(shí)現(xiàn)上述目的,本發(fā)明采用的技術(shù)方案是首先定義二進(jìn)制序列集合元素以及基于二進(jìn)制序列的集合運(yùn)算規(guī)則�����,根據(jù)以上定義�,從屬性約束層對(duì)實(shí)際的策略進(jìn)行屬性分解,并通過(guò)集合內(nèi)部元素分離將策略正確的表達(dá)成為基于二進(jìn)制序列的邏輯表達(dá)式��。然后通過(guò)語(yǔ)義檢查和移位合并����,用以消除規(guī)則冗余和語(yǔ)義沖突問(wèn)題。在此基礎(chǔ)上�����,根據(jù)實(shí)際的安全需求定義基于二進(jìn)制序列集合的邏輯合成算子�����,將合成方式轉(zhuǎn)換成邏輯表達(dá)式�。利用二進(jìn)制序列可直接作為數(shù)據(jù)結(jié)構(gòu)的特點(diǎn),根據(jù)邏輯表達(dá)式可直接對(duì)基于二進(jìn)制建模的策略空間計(jì)算合成結(jié)果��,作為一種無(wú)需邏輯轉(zhuǎn)換的策略代數(shù)實(shí)現(xiàn)機(jī)制�。最后,將基于二進(jìn)制集合形式的合成策略翻譯成屬性項(xiàng)策略����。本發(fā)明所述的基于二進(jìn)制序列集合的訪問(wèn)控制策略合成方法,包括如下步驟
步驟一策略面向?qū)傩詫臃纸?;步驟二 對(duì)步驟一的策略進(jìn)行基于BSset的邏輯轉(zhuǎn)換;步驟三對(duì)步驟二進(jìn)行語(yǔ)義檢查和移位化簡(jiǎn)�����;步驟四推導(dǎo)基于BSset的合成語(yǔ)義算子;步驟五根據(jù)步驟三和步驟四���,用邏輯表達(dá)式刻畫(huà)合成結(jié)構(gòu)��;步驟六對(duì)步驟五實(shí)現(xiàn)合成演算��,輸出策略合成結(jié)果����。進(jìn)一步的���,所述的步驟一���,具體操作是先對(duì)主體屬性約束、客體屬性約束�、行動(dòng)屬性約束等基于屬性約束翻譯成一個(gè)原子布爾表達(dá)式aT*v,* e (=�����,〈���,<��,>�,>)。然后對(duì)一個(gè)策略集中含有有限個(gè)不同的原子布爾表達(dá)式���,依次編碼X。一條策略規(guī)則就可以被抽象為通過(guò)邏輯符號(hào)與“ Λ ”和或“ V ”連接的原子布爾表達(dá)式組成的一個(gè)復(fù)合布·爾表達(dá)式�。進(jìn)而,策略就可以用三組布爾表達(dá)式邏輯集合分別表示三值策略的允許集�����,拒絕集��,以及“不適用”集���,由于“不適用”的策略評(píng)估是允許集和拒絕集產(chǎn)生的矛盾����,所以暫不考慮��。進(jìn)一步的��,所述的步驟二����,具體為首先根據(jù)二進(jìn)制序列和序列集合的定義���,步驟一所得策略二元組進(jìn)一步轉(zhuǎn)換成基于二進(jìn)制序列集合BSset的邏輯形式;其次��,將策略屬性項(xiàng)集合進(jìn)一步通過(guò)元素分離(I)策略的允許集[31和拒絕集[S]N分別與空集Φ進(jìn)行并運(yùn)算U; (2)去除[S]Y和[S]N集合之間的交集部分[s]Y H [S]N����。即(I) [S]Y=[S]Y U Φ , [S]N=[S]N U Φ ;(2) [S]Y=[S]Y-([S]Y η [s]N)���,[s]N=[s]N-([s]Y n [s]N)�;通過(guò)上述兩個(gè)步驟轉(zhuǎn)換成定義的二進(jìn)制序列集合形式�����。進(jìn)一步的��,所述的步驟三���,具體為檢查步驟二后的二進(jìn)制序列集合���,是否存在語(yǔ)義沖突的項(xiàng)�,若存在用條件判斷語(yǔ)句檢測(cè)并刪除沖突路徑�。然后進(jìn)行移位合并算法,消除冗余路徑�。進(jìn)一步的,所述的步驟四���,具體為根據(jù)實(shí)際的策略合成安全需求����,組合基于BSset集合運(yùn)算<11/1,-�����,々設(shè)計(jì)的5個(gè)基礎(chǔ)語(yǔ)義算子+�����,&,]>�,推導(dǎo)出滿足合成期望的合成語(yǔ)義算子�。進(jìn)一步的,所述的步驟五��,具體為根據(jù)步驟三的結(jié)果,基于BSset的邏輯建模策略����,和步驟四的結(jié)果,根據(jù)安全需求推導(dǎo)出的合成語(yǔ)義算子���,將多策略的合成方式轉(zhuǎn)換為合成邏輯表達(dá)式��。進(jìn)一步的�����,所述的步驟六�,具體為根據(jù)步驟五的邏輯表達(dá)式���,對(duì)合成空間計(jì)算合成結(jié)果���,實(shí)現(xiàn)合成演算,并且對(duì)每次合并的結(jié)果進(jìn)行語(yǔ)義沖突檢測(cè)�,去除矛盾的二進(jìn)制序列,再進(jìn)行移位合并化簡(jiǎn)�,輸出策略合成布爾表達(dá)式并進(jìn)一步轉(zhuǎn)換成語(yǔ)義描述形式。本發(fā)明采用二進(jìn)制序列集合元素對(duì)基于屬性的訪問(wèn)控制策略進(jìn)行邏輯建模���,這種建模方式可被計(jì)算機(jī)程序直接實(shí)現(xiàn)���。其次�,將策略描述層的代數(shù)規(guī)則擴(kuò)展到邏輯層����,設(shè)計(jì)了基于二進(jìn)制序列集合的邏輯運(yùn)算合成算子。從而將多策略的合成方式轉(zhuǎn)換為合成邏輯表達(dá)式實(shí)現(xiàn)合成演算����,建立了一種新型的基于屬性的細(xì)粒度策略代數(shù)合成方法。與基于MTBDD策略樹(shù)的策略代數(shù)合成方法相比���,消除了對(duì)于布爾表達(dá)式評(píng)估順序依賴的特性,減小了系統(tǒng)規(guī)模���,并且擴(kuò)展了合成語(yǔ)義算子����,具有更好的實(shí)際應(yīng)用前景�。
通過(guò)閱讀參照以下附圖對(duì)非限制性實(shí)施例所作的詳細(xì)描述,本發(fā)明的其它特征���、目的和優(yōu)點(diǎn)將會(huì)變得更明顯圖I為基于二進(jìn)制序列集合實(shí)施策略合成框架圖��。
具體實(shí)施例方式下面結(jié)合具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明��。以下實(shí)施例將有助于本領(lǐng)域的技術(shù)人員進(jìn)一步理解本發(fā)明��,但不以任何形式限制本發(fā)明��。應(yīng)當(dāng)指出的是����,對(duì)本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō),在不脫離本發(fā)明構(gòu)思的前提下�,還可以做出若干變形和改進(jìn)。這些都屬于本發(fā)明的保護(hù)范圍�。本發(fā)明提出的是一種基于二進(jìn)制序列集合的訪問(wèn)控制策略合成方法,為更好的理解本發(fā)明���,首先給出相關(guān)定義�。 定義I : 二進(jìn)制序列一個(gè)二進(jìn)制序列BinaryString(簡(jiǎn)稱BS)為形如XtlX1. . . Xlri的字符串�����,用以表示析取布爾表達(dá)式 X�。Λ X1 Λ …Λ χη-1 即 BS = (X0X1. . . Xlri)�����,其中每一個(gè) XiQ=O, I,. . . , Π-1)的取值e {O, 1�,*}�。在策略屬性中,Xi表示第i個(gè)屬性約束�����;根據(jù)屬性布爾表達(dá)式的香農(nóng)分解若\值為I表示屬性約束Xi取值為真�����;若Xi值為O表示屬性約束Xi取值為假����。并且引入*元素,簡(jiǎn)單將其看作I V 0=*合并�����,對(duì)于在某條規(guī)則中無(wú)需評(píng)估的原子布爾表達(dá)式����,Xi取值就為*。在具體方法中��,*經(jīng)轉(zhuǎn)換可用O和I表示�����,因此屬性約束的取值可只用O和I表示���,每個(gè)Xi可看作是一個(gè)二進(jìn)制位bit�。定義2 :二進(jìn)制序列集合一個(gè)二進(jìn)制序列集合[S](簡(jiǎn)稱BSset)是由η個(gè)長(zhǎng)度相等的二進(jìn)制序列所組成的集合��,[Sl = IS1, S2,, Sn_J表示布爾表達(dá)式S1 V S2 V... V Slri,且Si n Sj=null (i古j, I < i, j < η)�。其中,每個(gè)Si表示析取布爾表達(dá)式xQ Λ X1 Λ…· Λ χ^�。定義3 :二進(jìn)制序列間兩種關(guān)系定義關(guān)系c S1 ^ S2 (i=0,l�����,...���,n-l)��,S1的第i位值和S2的第i位值相同�����,或S2的第i位值為*��。關(guān)系遼Si1(X Sf2 O 5\和 S2 不滿足4 Cl S2 ο定義4 :二進(jìn)制序列及集合間的邏輯運(yùn)算定義二進(jìn)制序列間的三種二元運(yùn)算u ,η����,-和一種一元運(yùn)算η,以及二進(jìn)制序列集合間的三種二元運(yùn)算U��,η��,-和一種一元運(yùn)算I��。定義5 :基于二進(jìn)制序列集合的合成語(yǔ)義算子策略代數(shù)模型具體是���,將各種策略合成方式抽象為策略代數(shù)表達(dá)式�����?���;趯傩缘拇鷶?shù)系統(tǒng)中基礎(chǔ)算子是<4�����,4��,+����,&^>,并已證明其完備性和最小性����。因此,根據(jù)二進(jìn)制序列集合及定義的集合運(yùn)算<11�����,(1�,-,1>推導(dǎo)出這5個(gè)基本算子���,其他合成語(yǔ)義算子都可由這5個(gè)符號(hào)邏輯組合表示����。定義4中的各運(yùn)算規(guī)則具體如下 二進(jìn)制序列S1 H S2與運(yùn)算規(guī)則
二進(jìn)制序列S1和S2按位進(jìn)行與操作����,位與運(yùn)算按照以下運(yùn)算法則
權(quán)利要求
1.一種基于二進(jìn)制序列集合的訪問(wèn)控制策略合成方法�,其特征在于包括如下步驟 步驟一策略面向?qū)傩詫臃纸?���;步驟二 對(duì)步驟一的策略進(jìn)行基于二進(jìn)制序列集合BSset的邏輯轉(zhuǎn)換;步驟三對(duì)步驟二結(jié)果進(jìn)行語(yǔ)義檢查和移位化簡(jiǎn)���;步驟四推導(dǎo)基于二進(jìn)制序列集合BSset的合成語(yǔ)義算子����;步驟五根據(jù)步驟三和步驟四����,用邏輯表達(dá)式刻畫(huà)合成結(jié)構(gòu);步驟六對(duì)步驟五實(shí)現(xiàn)合成演算���,輸出策略合成結(jié)果����。
2.根據(jù)權(quán)利要求I所述的一種基于二進(jìn)制序列集合的訪問(wèn)控制策略合成方法�����,其特征是,所述的步驟一�����,具體操作是先對(duì)基于屬性約束翻譯成一個(gè)原子布爾表達(dá)式aT*v�,aT為屬性名稱��,*e (=����,〈,<�����,>��,>)���,v為屬性的值���,然后對(duì)一個(gè)策略集中含有η個(gè)不同的原子布爾表達(dá)式,依次編碼X = x0,X1,.,其中Xi, 1=0, I, 2..,表示不同的屬性約束,取為真或假���;一條策略規(guī)則就能被抽象為通過(guò)邏輯符號(hào)與“ Λ ”和或“ V ”連接的原子布爾表達(dá)式組成的一個(gè)復(fù)合布爾表達(dá)式���,進(jìn)而,策略能用三組布爾表達(dá)式邏輯集合分別表示三值策略的允許集���,拒絕集�����,以及“不適用”集���,“不適用”的策略暫不考慮,最終得到策略二元組�。
3.根據(jù)權(quán)利要求2所述的一種基于二進(jìn)制序列集合的訪問(wèn)控制策略合成方法,其特征是����,所述基于屬性約束包括主體屬性約束、客體屬性約束�、行動(dòng)屬性約束。
4.根據(jù)權(quán)利要求I所述的一種基于二進(jìn)制序列集合的訪問(wèn)控制策略合成方法�,其特征是�����,所述的步驟二��,具體為首先根據(jù)二進(jìn)制序列和序列集合的定義����,步驟一所得策略二元組進(jìn)一步轉(zhuǎn)換成基于二進(jìn)制序列集合BSset的邏輯形式�;其次�����,將策略屬性項(xiàng)集合進(jìn)一步通過(guò)元素分離(I)策略的允許集[3\和拒絕集[S]N分別與空集Φ進(jìn)行并運(yùn)算U;(2)去除[31和[S]N集合之間的交集部分[s]Y H [S]N;通過(guò)上述兩個(gè)步驟轉(zhuǎn)換成定義的二進(jìn)制序列集合形式����。
5.根據(jù)權(quán)利要求I所述的一種基于二進(jìn)制序列集合的訪問(wèn)控制策略合成方法,其特征是�����,所述的步驟三�,具體為檢查步驟二轉(zhuǎn)換后的二進(jìn)制序列集合,是否存在語(yǔ)義沖突的項(xiàng)�����, 若存在用條件判斷語(yǔ)句檢測(cè)并刪除沖突路徑,然后進(jìn)行移位合并算法�����,消除冗余路徑����。
6.根據(jù)權(quán)利要求I所述的一種基于二進(jìn)制序列集合的訪問(wèn)控制策略合成方法,其特征是�,所述的步驟四,具體為根據(jù)實(shí)際的策略合成安全需求�,組合基于BSset集合運(yùn)算 <υ,Π�����,-ρ>設(shè)計(jì)的5個(gè)基礎(chǔ)語(yǔ)義算子<4�����,匕�,+,&,1>�,推導(dǎo)出滿足合成期望的合成語(yǔ)義算子����; 其中5個(gè)基礎(chǔ)語(yǔ)義算子如下Py 算子all permit 策略���;Pn算子all deny策略�;+算子策略加運(yùn)算���;&算子策略與運(yùn)算�;�����,算子策略非運(yùn)算���。
7.根據(jù)權(quán)利要求I所述的一種基于二進(jìn)制序列集合的訪問(wèn)控制策略合成方法,其特征是���,所述的步驟五����,具體為根據(jù)步驟三的結(jié)果�,基于BSset的邏輯建模策略��,和步驟四的結(jié)果����,根據(jù)安全需求推導(dǎo)出的合成語(yǔ)義算子����,將多策略的合成方式轉(zhuǎn)換為合成邏輯表達(dá)式。
8.根據(jù)權(quán)利要求I所述的一種基于二進(jìn)制序列集合的訪問(wèn)控制策略合成方法��,其特征是����,所述的步驟六,具體為根據(jù)步驟五的邏輯表達(dá)式�����,對(duì)合成空間計(jì)算合成結(jié)果���,實(shí)現(xiàn)合成演算�,并且對(duì)每次合并的結(jié)果進(jìn)行語(yǔ)義沖突檢測(cè)����,去除矛盾的二進(jìn)制序列���,再進(jìn)行移位合并化簡(jiǎn),輸出策略合成布爾表達(dá)式并進(jìn)一步轉(zhuǎn)換成語(yǔ)義描述形式�。
9.根據(jù)權(quán)利要求1-8任一項(xiàng)所述的一種基于二進(jìn)制序列集合的訪問(wèn)控制策略合成方法,其特征是����,所述BSset是指一個(gè)二進(jìn)制序列集合[S],是由η個(gè)長(zhǎng)度相等的二進(jìn)制序列所組成的集合���,[S] = {Si�����,S2,, Sn_J表示布爾表達(dá)式S1 V S2 V . . · V Slri且Si Π Sj = null (i關(guān)j, I彡i, j彡η),其中�,每個(gè)Si表示析取布爾表達(dá)式χ���。Λ X1 Λ . . · Λ X^1 ο
全文摘要
本發(fā)明公開(kāi)一種基于二進(jìn)制序列集合的訪問(wèn)控制策略合成方法,首先定義二進(jìn)制序列集合元素以及基于二進(jìn)制序列的集合運(yùn)算規(guī)則,根據(jù)以上定義���,從屬性約束層對(duì)實(shí)際的策略進(jìn)行屬性分解�����,并通過(guò)集合內(nèi)部元素分離將策略正確的表達(dá)成為基于二進(jìn)制序列的邏輯表達(dá)式��。然后通過(guò)語(yǔ)義檢查和移位合并�����,用以消除規(guī)則冗余和語(yǔ)義沖突問(wèn)題�。在此基礎(chǔ)上,根據(jù)實(shí)際的安全需求定義基于二進(jìn)制序列集合的邏輯合成算子�����,將合成方式轉(zhuǎn)換成邏輯表達(dá)式���。利用二進(jìn)制序列可直接作為數(shù)據(jù)結(jié)構(gòu)的特點(diǎn)�����,根據(jù)邏輯表達(dá)式可直接對(duì)基于二進(jìn)制建模的策略空間計(jì)算合成結(jié)果����,作為一種無(wú)需邏輯轉(zhuǎn)換的策略代數(shù)實(shí)現(xiàn)機(jī)制�����。最后,將基于二進(jìn)制集合形式的合成策略翻譯成屬性項(xiàng)策略���。
文檔編號(hào)H04L29/06GK102932328SQ201210364329
公開(kāi)日2013年2月13日 申請(qǐng)日期2012年9月26日 優(yōu)先權(quán)日2012年9月26日
發(fā)明者潘理, 劉晨燕, 訾小超 申請(qǐng)人:上海交通大學(xué)