CN100555940C - 一种基于风险的分布式访问控制方法 - Google Patents

Abstract

本发明提出一种基于风险的分布式访问控制方法，应用于计算机安全领域。本发明将风险引入访问控制机制中，依据自治域互访需求建立域间安全互访关系，通过监控外域用户的风险情况，动态调整用户访问行为，并做出相应的访问控制决策。本发明在保证分布式访问安全性基础上，既有一定的动态性又有较好的灵活性。

Description

一种基于风险的分布式访问控制方法

技术领域

本发明涉及计算机安全领域，具体涉及一种基于风险的分布式访问控制方法。

背景技术

随着网络以及相关技术的发展，分布式环境下的跨域的资源访问已经不仅是一种可能，而且成为了一种必须。这种跨域访问的需求存在于大量的应用中，例如电子政务和电子商务。然而，这些应用的发展带来了极大便利的同时，也造成了许多安全隐患。其中，分布式访问控制即是最为重要的问题之一。

分布式访问控制不同于传统的集中式环境下的访问控制；在分布式系统中，存在着大量的实体，这些实体之间通常并不互相认识，并且没有一个中心认证机构能够确认实体的身份。因此，基于实体身份的传统的访问控制模型难于解决分布式环境下的访问控制问题。但是，现有系统已经构建了一套访问控制机制，不能为了实现分布式访问控制而完全摒弃原有机制另外重新建立一套新机制。一种可行的方法即是在传统的访问控制模型的基础上，提出适于分布式环境的访问控制方法。

现有的解决办法主要有两种。第一种是单纯依靠建立域间角色映射，这种方法虽然能够支持一定的分布式访问控制要求，但是不能够适应自治域的动态性要求，例如域中用户的行为具有不确定性。第二种是将信任引入域间访问，这种方法在一定程度上适应系统的动态性。然而，基于信任的方式，没有能够区分系统中不同资源的重要性程度，将所有资源以及各种不同的访问模式一概论之，缺乏灵活性。

发明内容

本发明的目的是提供一种基于风险的多自治域安全互操作的方法，在保持安全性的基础上既具有一定的动态性又具有较好的灵活性。

一种基于风险的分布式访问控制方法，其特征在于，外域A_y中的外域用户U按照以下步骤访问本域A_x：

步骤1.外域用户U向本域A_x请求登录；

步骤2.本域A_x接收登陆请求以及外域用户U的属性证书；

步骤3.本域A_x利用公密钥机制验证属性证书的真伪，若证书为伪造，则结束；否则，从属性证书获取用户域名和用户外域角色信息，进入步骤4；

步骤4.本域A_x根据本外域访问关系、用户域名和用户外域角色信息，构建外域用户的本域角色集合R；

步骤5.外域用户U请求本域A_x的某一权限P_m；

步骤6.本域A_x根据本域当前风险预警级别和外域用户U风险值，对本域角色集合R进行调整；

步骤7.本域A_x判断本域角色集合R中是否存在角色，其对应权限P_m，若不存在，进入步骤11；否则，进入步骤8；

步骤8.外域用户U通过执行权限P_m对本域A_x进行访问；

步骤9.本域A_x对外域用户U的访问行为进行风险评价，根据评价结果计算得到外域用户U风险值记录集合；构建外域角色r风险值记录集合和外域A_y风险值记录集合，准备对外域用户U风险值进行更新；

步骤10.根据外域角色r风险值记录集合和外域A_y风险值记录集合，更新外域角色r风险值和外域A_y风险值；根据外域用户U风险值记录集合，计算外域用户U风险评估值的平均值，将其与更新后的外域角色r风险值和外域A_y风险值作比较，取最大值为外域用户U风险值；

步骤11.本域A_x判断外域用户U是否结束本次登录操作，若是，则结束；否则，转入步骤5。

至此，访问步骤结束。

本发明涉及多自治域安全互操作的建立、维护和实行全过程。该方法依据自治域互操作需求建立多域间的安全互访关系，通过监控用户的风险情况，动态调整访问行为，并做出相应的访问控制决策。本发明可以实现多自治域间的安全互操作。具体而言，本发明具有如下优点：

(1)安全性：本发明的安全性主要是通过域间互访关系建立、风险监控以及审计机制来达到的。在本方法中，本外域访问关系是根据域的互访需求建立的，通过域间角色映射保证用户的跨域访问的合法性；同时，为了加强对某些敏感资源的保护，以及为了适应不同用户行为的差异性，用户的跨域访问权限根据风险值而实时变化，使得非法访问的可能性降低。

(2)合理性：互操作环境中各域以及其中用户行为的差异性较大，使用风险能够准确衡量出外域及其用户对于本域资源所构成的威胁；更为重要的是，风险能够较好地体现出本域中不同的权限具有不同的风险属性。

(3)灵活性：设置了本域权限风险预警值以及本域风险预警级别，因此能够根据具体的应用背景更新风险值以适应背景的变化。根据用户自身的风险值，本方法能够做出相应的调整。

附图说明

图1为本发明建立本外域访问关系建立流程图；

图2为外域用户访问本域流程图。

具体实施方式

下面结合附图和实例对本发明作进一步详细的说明。

本发明将分布式环境按照域的概念进行划分，分布式环境就可以视为多域互操作环境。通过这种方式，将分布式访问控制问题简化为多域安全互操作问题。域是拥有资源并能够自治管理资源安全策略的实体集合。本发明建立在基于角色的访问控制模型基础上，即互操作环境中每个域都使用基于角色的访问控制模型，多域安全互操作问题是一个关键问题。

本发明将风险引入访问控制机制中，依据自治域互访需求建立域间的安全互访关系，通过监控外域用户的风险情况，动态调整用户访问行为，并做出相应的访问控制决策。

首先给出本发明中的几个概念：

基于角色的访问控制模型RBAC(Role-based Access Control)：RBAC模型中，在用户和权限之间引入角色的概念，用户对应特定的一个或多个角色，角色对应一个或多个权限，用户通过担任角色享用其对应的权限。RBAC模型包括七个组成元素：用户、角色、权限、用户-角色关系、角色层次关系、角色-权限关系和约束。在本发明中，权限表示为二元组(资源，访问模式)。

安全策略：域通过对RBAC模型中七个元素的定义，规定用户所担任角色从而确定能够执行的权限。其中，角色层次关系定义了两个角色之间的继承与被继承关系，这种关系是可以传递的。例如，若r₁继承r₂，r₂继承r₃，那么断言：“r₁继承r₃”是成立的。

本域：互操作环境中被访问的域；

外域：互操作环境中请求访问本域资源的域；

外域用户：外域中请求访问本域资源的用户；外域用户具有两个属性，一个是域名，表明外域用户来自于哪个外域，另一个是外域角色，表明外域用户在其所属外域中担任的角色。

外域用户的本域角色集合：该集合中的元素表示外域用户在本域可以担任的角色，外域用户能够享有这些角色对应的权限；该角色集合由本域根据本外域访问关系确定。

本域权限风险预警值：由本域管理员为本域中每一权限设定一个风险值。设定本域权限的风险预警值的标准是权限中资源的重要性和访问模式对破坏资源安全性的程度。如果拥有某权限的用户的风险值大于或等于此权限的风险预警值，用户不再拥有该权限；

本域风险预警级别：包括两方面含义：一是本域管理员设置的访问本域资源的用户所需要满足的风险条件；二是本域管理员设置的本域对于风险的敏感程度。本域风险预警级别规定了本域共享于外域的权限的风险预警值所需要满足的条件。

本发明中，互操作环境包括n个域，分别记为域A₁，域A₂，...，域A_n。下面以域A_y中的用户U访问A_x为例，x，y∈[1，2，…，n]且x≠y，详细说明本发明。在域A_y中的用户U访问A_x过程中，记A_x为本域，A_y为外域，U为来自外域A_y的外域用户。

一.构造外域A_y与本域A_x间的访问基础环境。

在外域用户访问本域前，必须搭建好本外域访问基础环境，使得跨域访问成为可能。

1.建立本外域访问关系，即建立本域A_x与外域A_y之间的域间角色映射。图1给出了本外域访问关系的建立过程。

(1.1)设置共享策略SP(A_y)＝P₁，表示本域A_x提供给外域A_y享用的权限，P₁为本域A_x权限集合的一个子集。

(1.2)本域A_x接收外域A_y建立互操作关系的请求。互操作请求信息是一个三元组(A_y，r，P₂)，指明外域A_y的外域角色r请求获得本域A_x的权限集合P₂，其中P₂为本域权限集合的子集。

(1.3)本域A_x读取信息(A_y，r，P₂)。

(1.4)本域A_x利用公密钥机制判断该信息是否为域A_y发出。若不是域A_y发出，则此请求为非法请求，返回外域出错信息，步骤一结束；否则，进入步骤(1.5)。

(1.5)根据共享策略判断

是否成立。若成立，则此请求为非法

请求，返回外域出错信息，结束；否则，进入步骤(1.6)。

(1.6)本域A_x解析本域安全策略以及共享策略。在共享策略中，读取本域A_x共享于外域A_y的权限集合P₁。将权限集合P₁与权限集合P₂做交集操作，记该交集为权限集合G。令角色集合R为空集。根据本域安全策略中的角色-权限关系，提取权限集合G中每一个权限对应的角色，将其并入角色集合R。抽取与R中角色相关的角色层次关系，以及与R中角色相关的约束，分别记为集合RH和集合C。

(1.7)建立本域A_x与外域A_y间的角色映射。利用已经解析的本域安全策略和共享策略，建立域间角色映射，使得外域A_y中担任某一个特定角色的用户可以在本域A_x获得合法的角色集合，以最终获得相应访问权限。本域安全策略中，约束c为集合C的元素，其语法表示为：c＝<{r₁，r₂，…，r_n}，t>，其语义为同一用户不可获得本域角色集合{r₁，r₂，…，r_n}中t个或t个以上的角色。也就是说，不可映射{r₁，r_x，…，r_n}中t个或t个以上的本域角色给同一个外域角色。因此，首先需要根据G、R和RH建立域间角色映射，然后根据RH和C过滤映射集合。算法如下：接收集合G、R、RH和C；

(1.7.1)根据RH，提取RH中层次最高的角色，记这些角色的集合为SR；令角色映射集合RM为空集；

(1.7.2)按照方式I，遍历集合SR中的每个角色，从而构造角色映射集合RM。方式I：选取集合SR中一个角色r’，并从集合SR中删除r’，若r’的权限集合是G的子集，则将r’记入RM；否则，根据本域安全策略中的角色层次关系，提取RH中r’的直接子角色集合DJR，将直接子角色集合DJR并入集合SR；

(1.7.3)判断角色映射集合RM是否为空，若为空，返回“互操作建立失败”信息，结束；否则，进入(1.7.4)；

(1.7.4)定义 $\mathrm{AR}\left(\mathrm{RM}\right)=\{r\&Element;R^{\&prime;}|\&Exists;r^{\&prime;}\&Element;\mathrm{RM}:(r^{\&prime;},r)\&Element;\mathrm{RH}\}$ 为通过映射集合RM可以激活的角色集合；对于集合C中每一约束c＝<{r₁，r₂，…，r_n}，t>，重复如下操作：记AR(RM)与{r₁，r₂，…，r_n}交集为TR，若TR的势k大于或等于t，选取TR中k-t-1个角色，记为集合CTR，将RM更新为； $\mathrm{RM}\backslash \{r\&Element;\mathrm{RM}|{\&Exists;r}^{\&prime;}\&Element;\mathrm{CTR}:(r,r^{\&prime;})\&Element;\mathrm{RH}\};$

(1.7.5)判断角色映射集合RM是否为空，若为空，返回“互操作建立失败”信息，结束；否则，进入(1.8)；

(1.8)本域A_x返回角色映射集合RM于外域A_y。

2.管理本域风险策略，即设置本域权限风险预警值和本域风险预警级别。本域风险策略管理为保证域间访问的安全性提供了基础，也是本发明的特点之一。

权限风险预警值规定，拥有某权限的用户其风险值必须低于该权限对应的风险预警值。权限风险预警值取值范围为[0，1]之间的实数。首先从本域安全策略中提取出本域A_x的权限信息，显示为二元组(资源，访问模式)。对于某一权限(资源，访问模式)，根据资源的重要性以及访问模式造成对资源非法访问的可能性，管理员为权限关联一个风险预警值。权限的风险预警值越接近于0，则拥有该权限的用户其风险越低。

设置本域风险预警级别包括：(1)定义本域风险预警级别及其语义。(2)设定本域当前风险预警级别。例如，本域整体的风险级别可以分为“绿色”、“黄色”和“红色”三个级别；级别“红色”的语义表示风险预警值低于0.9的权限不可共享。管理员可以定义任意个风险预警级别，但是这些风险级别的语义必须符合一定的要求。下面说明如何定义风险预警级别集合。

定义风险预警级别集合为L＝{l₁，l₂，…l_n}，风险预警级别的语义表示为S(l_i)，其中l_i∈L。假设满足风险预警级别语义S(l_i)的用户的集合为U(l_i)，其中l_i，l_j∈L。风险预警级别的语义定义必须使L存在一个全序关系，即

其中，

风险预警级别的语义定义规则为：

{granted，denied}×2^I

其中，2¹为[0，1]子区间集合。规则(granted，I_l1)表示若权限p的风险值risk(p)满足：risk(p)∈I_l1，则权限p可共享；相反，规则(denied，I_l2)则表示若权限p的风险值risk(p)满足：risk(p)∈I_l2，则权限p不可共享。例如，(denied，[0，0.9])表示预警值低于0.9的权限不共享。

管理风险预警级别需满足以下几个要求：

●添加新的本域风险预警级别信息时，需要判断新加入的风险预警级别及其语义是否与已有的级别信息构成全序关系，若不构成，则返回错误提示；

●删除本域风险预警级别信息时，若所删除级别l_i为本域当前风险预警级别，则调整本域当前预警风险级别为l_j，其中(l_j∈L)∧(l_j≠l_i)，且使得

成立；

●修改本域风险预警级别信息时，需要测试风险预警级别集合上的全序关系，若测试不通过，则返回错误提示。

本域当前风险预警级别由管理员从集合L＝{l₁，l₂，…l_n}中选取。

至此，操作基础环境已构造完毕。在此基础上，用户可以进行合法的跨域访问。

二.外域用户U访问本域A_x。

访问流程图如图2所示：

步骤1.外域用户U向本域A_x请求登录；

步骤2.本域A_x接收登录请求，并接收域用户U的属性证书。在登录本域A_x前，外域用户从所属外域A_y获得一个属性证书，属性证书含有两个信息：用户域名和外域角色信息，用户域名表明外域用户U来自于哪一个域，外域角色信息表明外域用户U在用户域名代表的域中担任的角色；

步骤3.本域A_x利用公密钥机制验证外域用户提交的属性证书的真伪；若证书为伪造，则拒绝用户登录请求，结束处理；否则，从属性证书中，获取用户域名和用户外域角色，进入步骤4；

步骤4.本域A_x根据本外域访问关系、用户域名以及用户外域角色信息，构建外域用户的本域角色集合，记为R；

步骤5.外域用户U根据需求请求本域A_x的某一权限P_m；

步骤6.本域A_x根据本域当前风险预警级别和外域用户U风险值，对本域角色集合R进行调整；

步骤7.本域A_x判断用户本域角色集合R中是否存在域角色，其对应权限P_m。若不存在，则拒绝用户U访问，进入步骤(11)，否则，进入步骤8；

步骤8.外域用户U通过执行权限P_m对本域A_x进行访问；

步骤9.本域A_x对外域用户U的访问行为进行风险评价，根据评价结果计算得到外域用户U风险值记录集合；获取外域角色r风险值记录集合和外域A_y风险值记录集合，准备对外域用户U风险值进行更新；

步骤10.根据外域角色r风险值记录集合和外域A_y风险值记录集合，更新外域角色r风险值和外域A_y风险值；根据外域用户U风险值记录集合，计算外域用户U风险评估值的平均值，将其与更新后的外域角色r风险值和外域A_y风险值作比较，取最大值为外域用户U风险值。

步骤11.本域A_x判断用户U是否结束本次登录本域操作，若是，则结束；否则，转入步骤5。

步骤1至步骤4完成了外域用户登录及授权过程。外域用户U来自外域A_y，且具有外域角色r，本域A_x为外域A_y中角色r建立的角色映射集合为RM，则可将RM中的本域角色集合授予外域用户U。

步骤6至步骤10为本发明的重点内容，主要完成根据风险调整外域用户在本域A_x的角色集合的过程以及本域A_x的风险调控管理。下面进一步详细说明步骤6至步骤10。

步骤6依照如下方法完成对本域角色集合R的调整：

(6.1)本域A_x获取外域用户U的本域角色集合R；

(6.2)若R为空集，进入步骤(7)；如果R不为空集，进入(6.3)；

(6.3)本域A_x获取本域风险预警级别及其语义定义规则，记规则集合为Ω；

(6.4)按照方式II遍历R中的每个本域角色；

方式II：令本域角色r_L∈R，若r_L满足下式，

则将r_L从本域角色集合R中移除，其中，函数PS(r_L)返回本域角色r_L在本域对应的权限集合，函数risk(p_L)返回权限p_L的风险预警值；

(6.5)本域A_x取得外域用户U风险值，记为U_risk：若外域用户首次登录本域，则由于该外域用户未曾在本域实施任何行为，故而无法评判其风险值，故而使用外域用户的外域角色风险值和外域用户所属外域的风险值二者中的最大值作为外域用户风险值；若外域用户非首次登录，则该外域用户必因其历史行为而存在一个对应的风险值。

(6.6)若本域角色集合R为空集，进入(7)；否则，进入(6.7)；

(6.7)对于每一本域角色r_L′∈R，若 $\&Exists;p_L\&Element;\mathrm{PS}\left({r_L}^{\&prime;}\right):U_{\mathrm{risk}}\&GreaterEqual;\mathrm{risk}\left(p_L\right),$ 则将本域角色r_L′从本域角色集合R中移除。

步骤7判断是否允许访问，若允许用户访问，则进入步骤8，即用户实施具体的访问，待用户完成操作以后，步骤9对用户的行为进行评估，步骤10对用户的风险值做出必要的调整；若禁止用户访问，则进入步骤11，等待用户下一次的访问请求或者用户结束登录。

步骤9主要通过本域管理员以人工方式评价用户的访问行为来实施。风险评价依靠定义一套用户行为级别及风险值偏移函数。定义用户行为级别集合UL，表示评价用户行为时可选的级别。并定义函数Γ：UL→I将用户行为级别集合映射到[0，1]的实数集合。该函数表示了符合某个级别的用户的行为所导致的用户风险值的偏移。管理员对外域用户U的行为进行风险评价，记录评价结果U_risk′＝U_risk+Γ(ul)，U_risk为外域用户U风险值，ul为外域用户行为级别。将由评价结果组成的集合称为用户U风险值记录集合。例如，管理员定义UL＝{good，normal，bad}，Γ(good)＝-0.02，Γ(normal)＝0，Γ(bad)＝0.1，设定外域用户的当前风险值为0.5。上述定义表示，用户的行为分为三个级别：“good”、“normal”和“bad”；若管理员将外域用户行为评级为good，则表示用户风险值的偏移为-0.02，若评级为bad，则表示用户风险值的偏移为0.1。若某一用户连续四次的行为评级为bad，good，bad，bad，则相应需要连续记录四次外域用户的评估结果：0.5+0.1＝0.6、0.5-0.02＝0.48、0.5+0.1＝0.6、0.5+0.1＝0.6；则该用户风险值记录集合为{0.6、0.48、0.6、0.6}。

类似地，外域角色拥有外域角色风险值记录值集合；外域拥有外域风险值记录值集合。外域角色r风险值记录值集合是在外域中担任角色r的所有用户的风险值记录集合的并集；外域A_y风险值记录值集合是属于域A_y的所有角色的风险值记录集合的并集。

步骤10按如下方法更新外域用户的外域角色风险值、外域用户所属外域的风险值和外域用户风险值。

对于外域角色r，其风险值由担任该角色的所有属于外域A_y的用户的风险值共同决定；任一担任外域角色r的用户都可能导致r的风险值变化，r的风险值具有一定的波动性。记外域角色r的风险值为r_risk，以及外域角色r风险值记录集合{q₁，q₂，…，q_K}，其中{q₁，q₂，…，q_K}记录了外域角色r风险值的前K个记录结果。定义外域角色r的风险值平均变化率Φ_r(K)为

${\mathrm{\&Phi;}}_r\left(K\right)=K*|({\mathrm{\&Sigma;}}_{i=1}^K{q}_i/K)-r_{\mathrm{risk}}|$

当Φ_r(K)超出许可范围时，需要改变角色r的风险值：令r风险值的第K+1个记录值为q_k+1，若

θ_r≤Φ_r(K+1)，

其中θ_r为外域角色r的风险值平均变化率的阈值，则修改r的风险值，将r_risk更新为∑_i＝1 ^K+1q_i/(K+1)。

而对于外域A_y，其风险值将由所有属于该域的外域用户的风险值共同决定；来自于外域A_y的任何用户均可以导致外域A_y的风险值变化。因此，外域A_y的风险值具有一定的波动性。设定其风险值为A_{y_risk}，以及外域A_y风险值记录值集合{s₁，s₂，…，s_J}，其中{s₁，s₂，…，s_J}记录了外域A_y的风险值的前J个记录。定义外域A_y的风险值平均变化率

(J)为

${\mathrm{\&Phi;}}_{A_y}\left(J\right)=J*|({\mathrm{\&Sigma;}}_{i=1}^J{s}_i/J)-A_{y\_\mathrm{risk}}|$

令外域A_y的风险值的第J+1个记录值为s_J+1，若

${\mathrm{\&theta;}}_{A_y}\&le;{\mathrm{\&Phi;}}_{A_y}(J+1),$

其中，

为外域A_y的风险值的平均变化率的阈值，则修改外域A_y的风险值，将A_{y_risk}更新为∑_i＝1 ^J+1s_i/(J+1)。

外域用户U风险值的变化受两个因素影响：一是用户本身的行为导致的风险值的变化；二是外域用户U所属的外域的风险值变化或者外域用户U所具有的外域角色风险值的变化间接导致的。设定外域用户U当前的风险值为U_risk。设定外域用户U风险值记录值集合为{z₁，z₂，…，z_V}，外域用户U所属外域的风险值为A_{y_risk}，外域用户U所具有的外域角色的风险值为r_risk，则外域用户的风险值更新为

Max{∑_i＝1Vz_i/V，r_risk，A_{y_risk}}。

至此，一个基于风险的分布式访问控制方法具体实施过程结束。

下面通过一个例子来说明本发明。

设定将分布式环境分为A、B、C三个域构成，并设定A为本域，B为外域，C为互操作环境中的其他的域。

A域管理员设定本域A的安全策略为：

■本域用户集合：{u₁，u₂}

■本域角色集合：{r₁，r₂，r₃，r₄，r₅，r₆}

■本地权限集合：{p₁，p₂，p₃，p₄，p₅，p₆，p₇}

■用户-角色关系：{(u₁，r₁)，(u₂，r₂)}

■角色层次关系：{(r₁，r₂)，(r₁，r₃)}

■角色-权限关系：{(r₁，p₁)，(r₂，p₂)，(r₃，p₃)，(r₄，p₄)，(r₅，p₅)，(r₅，p₆)，(r₆，p₇)}

■约束：{<{r2，r3，r4}，3>，<{r1，r5}，2>}

A域设定的共享策略为：{SP(B)＝{p1，p2，p3，p4，p5，p6}SP(C)＝{p7}}。完成共享策略的设置之后，A域等待外域的建立互访关系的请求。

假设本域A接收到外域B发出与A建立互访关系的请求(B，r，{p₁，p₂，p₃，p₄，p₅，p₆})。本域A首先利用公密钥机制验证该请求是否为域B发出；若验证通过，由于

本域A根据共享策略和安全策略建立域间角色映射集合为{r₁，r₂，r₃}。之后，本域A将建立的角色映射集合返回于外域B，表明外域B中具有角色r的用户可以在A域拥有映射集合中的角色。

设定本域A的风险策略：管理员首先设置本域权限的风险预警值，然后定义本域风险预警级别及其语义。如表1所示，管理员设置A域的权限的风险预警值。

本域权限	p<sub>1</sub>	p<sub>2</sub>	p<sub>3</sub>	p<sub>4</sub>	p<sub>5</sub>	p<sub>6</sub>	p<sub>7</sub>
								权限的风险预警值	0.1	0.2	0.6	0.8	0.2	0.4	0.3

表1本域A权限的风险预警值

管理员设置本域A的风险预警级别为{GREEN、YELLOW、RED}，其语义如表2所示。

风险预警级别	GREEN	YELLOW	RED
				风险预警级别的语义	(denied，[0，0.1])	(denied，[0，0.3])	(denied，[0，0.9])

表2本域A的风险预警级别及其语义

很明显，这个风险预警级别集合符合本发明方法的要求，因为存在全序关系

假设本域A的管理员指定本域A当前的风险预警级别为GREEN，表示风险预警值低于0.1的权限不共享。

至此，本域A与外域B间的访问基础环境构造完成。

假设，外域B中一个具有角色r的用户u请求访问本域A，那么外域B为u颁发一个属性证书，证明u是属于外域B的用户，在外域B中具有角色r。

本域A接收到外域用户u的登录请求后，从u处获得外域B为其颁发的属性证书，并通过公密钥机制验证证书真伪。若证书为伪造，则拒绝外域用户u的登录请求；否则，提取出证书中外域用户u的域名及其外域角色这两个属性值。如前文所述，本域A与外域B已经建立了互操作关系，又由于外域用户u具有外域角色r，故而外域用户u的本域角色集合R＝{r₁，r₂，r₃}。至此，外域用户u的登录及授权过程结束。

当外域用户u请求执行权限p₁，本域A需要根据外域用户u的当前风险值调整外域用户u的本域角色集合R。由于外域用户u首次登录，并且本域A中不存在外域B及外域角色r的风险值，故将外域用户u的风险值设置为0。因此，调整后的外域用户u的本域角色集合为R＝{r₁，r₂，r₃}。调整后R中存在角色r₁，r₁的权限集合包含被请求的权限p₁，因此允许用户u执行权限p₁。

假设本域A的管理员定义用户行为级别为UL＝{good，normal，bad}，函数Γ(good)＝-0.02，Γ(normal)＝0，Γ(bad)＝0.1。在外域用户u完成权限p₁的操作之后，管理员对外域用户u的行为进行评估，假设评估结果为bad，则记录外域用户u的此次评估结果为0+0.1＝0.1。假设域A定义的外域角色r的风险值的平均变化率的阈值θ_r为0.1，则在此次评估结束之后，外域角色r的风险值变为0.1。假设外域B的风险值的平均变化率的阈值θ_B为0.2，则此时，外域B的风险值不变，仍为0。因此，外域用户u的风险值变为0.1。

假设此时外域用户u继续请求权限p₃。外域用户u当前的风险值为0.1。在本域角色r₁的权限集合中，权限p₁的风险值为0.1，因此外域用户u不再拥有本域角色r₁，调整外域用户u的本域角色集合为R＝{r₂，r₃}。调整后R中存在角色r₃，r₃的权限集合包含权限p₃，因此允许外域用户u的请求。假设此次外域用户u的行为评价继续为bad，则风险值的记录值为0.1+0.1＝0.2。此时，外域角色r的风险值将更新为0.2，外域B的风险值更新为0.3，因此外域用户u的风险值更新为0.3。

假设，此时外域用户u请求执行权限p₂。根据外域用户u当前的风险值0.3，将外域用户u的本域角色集合R调整为{r₃}。由于本域角色集合R中不存在某一本域角色，使得p₂属于该角色的权限集合，因此拒绝外域用户u的请求。

假设本域A当前的风险预警级别变更为YELLOW。此时，无论外域用户u的风险值为何值，当外域用户u请求执行权限p₁或者p₂时，请求都将遭到拒绝。因为根据风险预警级别YELLOW的定义，所有风险预警值低于0.3的权限不共享，而p₁和p₂的风险预警值分别为0.1和0.2，所以外域用户u调整后的本域角色集合R必为{r₃}的子集。

Claims (1)

1、一种基于风险的分布式访问控制方法，其特征在于，具体步骤如下：

步骤(1).外域用户U向本域A_x请求登录；

步骤(2).本域A_x接收登录请求以及外域用户U的属性证书；

步骤(3).本域A_x利用公密钥机制验证属性证书的真伪，若证书为伪造，则结束；否则，从属性证书获取用户域名和用户外域角色信息，进入步骤(4)；

步骤(4).本域A_x根据本外域访问关系、用户域名和用户外域角色信息，构建外域用户的本域角色集合R；

步骤(5).外域用户U请求本域A_x的某一权限P_m；

步骤(6).本域A_r根据本域当前风险预警级别和外域用户U风险值，对本域角色集合R进行调整；

步骤(7).本域A_x判断本域角色集合R中是否存在角色，其对应权限P_m，若不存在，进入步骤(11)；否则，进入步骤(8)；

步骤(8).外域用户U通过执行权限P_m对本域A_x进行访问；

步骤(9).本域A_x对外域用户U的访问行为进行风险评价，根据评价结果计算得到外域用户U风险值记录集合；构建外域角色r风险值记录集合和外域A_y风险值记录集合，准备对外域用户U风险值进行更新；

步骤(10).根据外域角色r风险值记录集合和外域A_y风险值记录集合，更新外域角色r风险值和外域A_y风险值；根据外域用户U风险值记录集合，计算外域用户U风险评价值的平均值，将其与更新后的外域角色r风险值和外域A_y风险值作比较，取最大值为外域用户U风险值；

步骤(11).本域A_x判断外域用户U是否结束本次登录操作，若是，则结束；否则，转入步骤(5)。