CN102156833B - 基于角色的访问控制模型构建系统 - Google Patents

Abstract

本发明提供了一种基于角色的访问控制模型构建系统，该系统包括数据库、权重模块、角色模块、约束模块、结果显示模块、用户权限分配管理模块和审计管理模块；其中权重模块包括相似度模块和权重计算模块，角色模块包括角色生成模块和角色层次生成模块，约束模块包括角色约束模块、权限约束模块、用户约束模块和互斥约束模块，结果显示模块包括角色显示模块、约束显示模块和结果调整模块。本发明对用户权限的重要程度进行了度量、对基于角色的访问控制模型的约束进行了生成，从而提高了角色的准确性和系统的安全性。本发明系统可以实现基于角色的访问控制模型的构建，保证了构建基于角色的访问控制模型的自动化和半自动化构建。本发明系统具有安全性强、可解释性强、可扩展性强的特点。

Description

基于角色的访问控制模型构建系统

技术领域

本发明属于计算机安全技术领域，具体涉及一种基于角色的访问控制模型构建系统。该系统能够利用用户和权限之间的分配关系，自动地或半自动地构建出满足一定要求的基于角色的访问控制模型。

背景技术

随着通信、计算机及信息技术的发展，在党政机关、企事业单位、财政金融、国防军工等相关部门中，信息的保有量和交流量都达到了前所未有的数量级，如何保证这些信息和资源的安全已成为迫切的需求。与此同时，越来越多的商业组织和机构都在利用基于角色的访问控制模型来构建适合本部门需要的安全产品，并利用基于角色的访问控制机制实施对本部门信息资源的安全管理，但是如何去合理的构建适合本部门安全和功能需求的基于角色的访问控制模型，已成为一个急待解决的研究课题。

传统的基于角色的访问控制模型构建流程包含以下步骤：

(1)领域专家通过分析系统业务逻辑从而获取系统所需全部场景或用例；

(2)获取每个场景或用例所对应的权限，将其表示为“操作，对象”的形式并用一个唯一的名称来进行标记，如Perm_1＝{operation，object}；

(3)获取系统所需约束；

(4)利用系统约束对系统所有场景或用例进行提炼，从而获得满足系统特定约束的场景和用例以及表示这些场景和用例之间的关系；

(5)定义所有用户或自动代理所需要执行的任务集合，其中每一个任务有一个或多个场景或用例构成，这些场景或用例连续或并行执行以确保某个目标或某项任务的实现；

(6)通过分析用户、用户对应的任务、任务对应的场景、场景对应的权限，以及系统所指定的约束，从而生成能够反映系统需求的角色以及角色之间的层次关系，并基于此构建一个完整的基于角色的访问控制模型。

首先，传统的基于角色的访问控制模型构建方法将用户所拥有的权限看成是同等重要的，缺乏衡量权限重要程度的标准，从而造成一些重要的角色无法发现或丢失。然而事实并非如此，比如在医院信息管理系统中，“读”病人信息这一权限的重要性要高于“写”病人信息这一权限的重要性，因为“读”病人信息这一权限相对于“写”病人信息这一权限会造成更多的用户私人信息的泄漏；其次，传统的基于角色的访问控制模型构建方法缺乏约束生成机制。而约束机制是基于角色的访问控制模型中必不可少的一部分，也是基于角色的访问控制机制得到合理实施和被保证的前提条件，如互斥约束、职责分离约束以及基于势的约束等，如果一个基于角色的访问控制系统缺乏必要的约束机制，那么此基于角色的访问控制模型将没有办法实施系统所指定的一系列的安全需求，同时也不可能保证系统中资源能够得到安全有效的被访问；此外约束也是在分布式或者大型企业中管理人员下放企业安全策略的一个强有力的手段，它允许安全系统主策略管理人员制定一系列的强制需要来保证将管理权限下方时系统的安全性和完整性，从而保证下放后的局部管理人员能够按照主管理人员所指定的规则进行管理和安全策略的指定；最后，利用自顶向下的方法所获得的基于角色的访问控制模型虽然能较好的反映系统的功能需求，但却耗时耗力，需要大量的领域知识和领域专家的参与；而利用自底向上的方式能够较好的实现自动化或半自动化构建基于角色的访问控制模型，节省了大量的人力和物力，然而该方法生成的系统角色缺乏语义信息，从而不能很好的反应系统的功能需求，如何将自顶向下的方法和自底向上的方式融合起来，使得用户和权限之间分配关系等信息被包含在自动化或半自动化构建的基于角色的访问控制模型中，以保证更快更好地反映系统安全和功能需求也将是一个艰巨的工作。

发明内容

本发明的目的在于提供一种基于角色的访问控制模型构建系统，该系统可以实现非基于角色的访问控制模型向基于角色的访问控制模型自动转化的需求，保证了系统的功能性和安全性的需求得到实施，从而保证了系统资源的安全访问。

本发明提供了一种基于角色的访问控制模型构建系统，其特征在于，该系统包括数据库、权重模块、角色模块、约束模块、结果显示模块、用户权限分配管理模块和审计管理模块；

数据库用于存储用户角色间分配关系信息、用户权限间分配关系信息以及生成的约束信息和审计信息；

权重模块用于接收来自数据库中的信息，并依据用户权限间分配关系信息获取用户之间的相似度和权限之间的相似度信息，从而得到所有权限的权重信息，并将所有权限的权重信息提交给角色模块进行处理；

角色模块用于接收权重模块提供的所有权限的权重信息，并利用数据库中的用户权限间的分配关系信息进行频繁权限项集挖掘，获得系统所需的角色信息，并通过角色层次生成模块完成对角色的层次划分，同时将获得到的角色信息提交给约束模块进行约束处理，并将系统角色信息以及角色层次信息提交给结果显示模块处理；

约束模块接收来自数据库中的用户权限间的分配关系信息，利用数据挖掘的方法获得权限与权限间的互斥约束信息，同时通过与角色模块的信息交互，获得角色的势约束、权限的势约束、用户的势约束以及角色与角色间的互斥约束信息，并将所有的约束信息交给结果显示模块处理；

结果显示模块用于接收来自角色模块和约束模块所传送过来的角色、角色层次以及约束信息，根据角色层次信息利用图的方式显示出基于角色的访问控制模型的结构图，并将获得的约束信息进行显示，同时利用系统输入的信息对生成的基于角色的访问控制模型进行调整，并将最终获得的角色信息、角色层次信息以及约束信息存储于数据库中；

用户权限分配管理模块用于接收来自管理员的操作请求，对用户和权限之间的分配关系信息进行相应的管理，并与数据库进行交互，分别实现显示用户权限分配信息，添加用户权限分配信息，删除用户权限分配信息和修改用户权限分配信息，并将管理员的操作记入数据库中；

审计管理模块接收来自管理员的查询信息，通过与数据库的信息交互，对管理员的操作进行查询，获得满足查询条件的所有记录。

本发明利用用户权限间分配关系信息，生成权限的权重信息，并基于权限的权重信息进行角色挖掘与约束生成，实现自动构建基于角色的访问控制模型。具体而言，本发明具有如下优点：

(1)安全性强：本系统的安全性主要是通过权限的权重、系统约束及审计来达到的。在本系统中，通过用户权限间的分配信息以及用户角色间的分配信息来获取不同的约束，而这些约束则是基于角色的访问控制模型中必不可少的一部分，也是基于角色的访问控制机制得到合理实施和被保证的前提条件，进而保证系统信息的安全和访问控制机制得到合理实施。在生成角色的过程中，充分考虑了不同权限的权重信息对用户角色的影响，从而保证了那些重要的角色不会因为出现频率较少而被丢失情况的出现，这样也进一步保证了系统的安全性。审计部分记录了所有管理员的一些关键性的操作，便于追溯，又进一步的保证了系统的安全性。

(2)可解释性强：本系统的开发是基于用户权限间分配关系信息来提取适合系统需要的角色和约束，在获取系统所需角色的时候，不仅考虑了用户权限间的分配关系，同时也考虑了权限的权重信息对角色的影响，这样在很大程度上使得生成的角色能够更好的反应系统的功能性需求，从而使得产生的角色的可解释性更强。

(3)可扩展性强：本系统的开发是基于角色挖掘的方法，通过用户权限间的分配信息来生成系统所需角色和约束的过程，系统能够适应用户、权限以及用户权限间分配关系的动态调整，因此可扩展性强。

附图说明

图1是本发明系统的体系结构图；

图2是本发明系统的结构示意图；

图3是权重模块的过程图；

图4是角色模块的过程图；

图5是约束模块的过程图；

图6是角色层次显示示意图；

图7是约束显示示意图；

图8是结果显示模块的过程图。

具体实施方式

下面结合附图和实例对本发明作进一步详细的说明。

如图1所示，本发明系统的功能可以划分为：权重生成、角色生成、约束生成、结果显示和后台管理，该系统包括数据库100、权重模块200、角色模块300、约束模块400、结果显示模块500、用户权限分配管理模块600和审计管理模块700。

数据库100用于存储用户角色间分配关系信息、用户权限间分配关系信息以及生成的约束信息，它包括约束信息库、用户权限分配关系信息库、审计信息库和用户角色分配关系信息库；

权重模块200用于接收来自数据库100中的信息，并基于Jacard相关系数依据用户权限间分配关系信息获取用户之间的相似度和权限之间的相似度信息，并通过权重计算模块获取所有权限的权重信息。并将所有权限的权重信息提交给角色模块300进行处理；

角色模块300用于接收权重模块200提供的所有权限的权重信息，并利用数据库100中的用户权限间的分配关系信息进行频繁权限项集挖掘，获得系统所需的角色信息，并通过角色层次生成模块完成对角色的层次划分，同时将获得到的角色信息提交给约束模块400进行约束处理，并将系统角色信息以及角色层次信息提交给结果显示模块500处理；

约束模块400接收来自数据库100中的用户权限间的分配关系信息，利用数据挖掘的方法获得权限与权限间的互斥约束信息，同时通过与角色模块300的信息交互，获得角色的势约束、权限的势约束、用户的势约束以及角色与角色间的互斥约束信息，并将所有的约束信息交给结果显示模块500处理；

结果显示模块500用于接收来自角色模块300和约束模块400所传送过来的角色、角色层次以及约束信息，根据角色层次信息利用图的方式显示出基于角色的访问控制模型的结构图，并将获得的约束信息进行显示，同时利用系统输入的信息对生成的基于角色的访问控制模型进行调整，并将最终获得的角色信息、角色层次信息以及约束信息存储于数据库100中；

用户权限分配管理模块600用于接收来自管理员的操作请求，对用户和权限之间的分配关系信息进行相应的管理，并与数据库100进行交互，分别实现显示用户权限分配信息，添加用户权限分配信息，删除用户权限分配信息和修改用户权限分配信息，并将管理员的操作记入数据库100中；

审计管理模块700接收来自管理员的查询信息，通过与数据库100的信息交互，利用管理员提交的用户名和时间范围等对管理员的操作进行查询，获得满足查询条件的所有记录。这些记录主要涉及用户和权限之间分配关系信息的添加、删除、修改的操作记录。

下面分别对各模块作进一步详细的说明。

如图2所示，数据库100存储的数据包括：约束信息库110、用户权限分配关系信息库120、、审计信息库130和用户角色分配关系信息库140。数据库100接收来自审计管理模块700的查询请求，在审计信息库130中查询匹配，反馈信息到审计管理模块700；数据库100接受来自用户权限分配管理模块600的查询、添加、修改、删除用户权限分配信息的请求操作，在用户权限分配关系信息库120中进行相应的操作，反馈信息给用户权限分配管理模块600，最后将用户权限管理模块600对用户权限分配关系信息库120的操作信息记录到审计信息库130，以备审计管理管理模块700进行审计，同时反馈信息给用户权限分配管理模块600；数据库100接收来自结果显示模块500的信息，将系统生成的角色信息记载到用户角色分配关系信息库140中，将系统生成的约束信息记录到约束信息库110中；数据库100为权重模块200提供计算权限权重所需要的用户权限分配关系信息库120；数据库100为角色模块300提供生成系统角色所需要的用户权限分配关系信息库120；数据库100为约束模块400提供生成系统约束所需要的用户权限分配关系信息库120。

权重模块200是整个系统的基础，它包括相似度模块210和权重计算模块220。

相似度模块210用于从数据库100的户权限分配关系信息库120中获取用户权限间的分配关系信息，进而获取用户与用户间通过权限表示的相似度信息以及权限与权限之间通过用户表示的相似度信息，如下所示：

$\mathrm{sim}(u_i,u_j)=\frac{|\mathrm{UserPerms}\left(u_i\right)\∩\mathrm{UserPerms}\left(u_j\right)|}{|\mathrm{UserPerms}\left(u_i\right)\∪\mathrm{UserPerms}\left(u_j\right)|}$

$\mathrm{sim}(p_i,p_j)=\frac{|\mathrm{PermUsers}\left(p_i\right)\∩\mathrm{PermUsers}\left(p_j\right)|}{|\mathrm{PermUsers}\left(p_i\right)\∪\mathrm{PermUsers}\left(p_j\right)|}$

其中，u_i，u_j分别代表系统中的第i个用户和第j个用户，UserPerms(u_i)代表用户u_i所拥有的权限集合，UserPerms(u_j)代表用户u_j所拥有的权限集合；p_i，p_j分别代表系统的第i个权限和第j个权限，PermUsers(p_i)代表拥有权限p_i的所有用户集合，PermUsers(p_j)代笔拥有权限p_j的所有用户集合。

权重计算模块220获取相似度计算模块得到的用户和用户之间的相似度信息如下所示：

权重计算模块220获取相似度计算模块得到的权限与权限之间的相似度信息如下所示：

则依据上述得到的用户和用户、权限与权限之间的相似度信息可以得到权限的权重计算方式为：

${\mathrm{\ω}}_{\mathrm{pi}}=(\frac{{\mathrm{\Σ}}_{j=1,j\≠i}^n\mathrm{sim}\left(p_{i,}{p}_j\right)}{(n-1)}+\frac{{\mathrm{\Σ}}_{l=1}^{\left|\mathrm{PermUsers}\left(p_i\right)\right|}{\mathrm{\Σ}}_{k=1,k\≠l}^m\mathrm{sim}(u_l,u_k)}{\left|\mathrm{PermUsers}\left(p_i\right)\right|\×(m-1)})/2$

如图3所示，权重模块200负责：(1)获取用户权限分配关系信息库120中的每个用户的权限组表示方式，并基于Jacrad系数计算用户和用户之间的相似度；(2)获取用户权限分配关系信息库120中的每个权限的用户组表示方式，并基于Jacrad系数计算权限和权限之间的相似度；(3)通过用户与权限之间的相似度信息获取权限的权重信息，并提交给角色模块300。

角色模块300是本系统提供角色和角色层次生成的模块，它包括角色生成模块310和角色层次生成模块320。

角色生成模块310用于接受权重模块200所提供的所有权限的权重信息，并利用数据库100中的用户权限间的分配关系信息进行基于权重的频繁权限项集挖掘操作，从中获取大于系统预设最小支持度的频繁权限集，并将这些频繁项集定义为系统所需要的角色。

角色层次生成模块320从角色生成模块310中获取系统生成的角色信息，并对这些角色信息进行对比，从而获取角色信息的偏序关系，进而获得角色间的层次关系。

如图4所示，角色生成模块310的处理流程为：(1)获取用户权限分配关系信息库120中用户和权限的分配信息；(2)获取权重模块200计算的权限的权重信息；(3)计算单个权限基于权重的支持度；(4)判断单个权限基于权重的支持度是否大于系统预设的最小支持度，如果大于系统预设的最小支持度，则将满足条件的权限、权限对应的权重以及权限对应的用户信息保存到该权限对应的频繁项集中；如果单个权限基于权重的支持度不大于系统预设的最小支持度，则转向(5)执行；(5)判断系统的所有权限的基于权重的支持度是否计算完毕，如果没有计算完毕则转(3)继续执行，如果执行完毕则转向(6)执行；(6)依据满足系统预设最小支持度的频繁权限项集计算满足系统预设最小支持度的包含多个权限的频繁项集；(7)判断包含最大权限数目的基于权重的权限频繁项集是否计算完毕，如果没有计算完毕则转(6)继续执行；(7)将获得到的全部频繁权限项集定义为系统所需要的角色；(8)通过角色之间的偏序关系生成角色的层次结构并将生成的角色信息提交给约束模块400进行约束处理，并将系统角色信息以及角色层次信息提交给结果显示模块500处理。

约束模块400是本系统提供约束生成的模块，它包括角色约束模块410、权限约束模块420、用户约束模块430和互斥约束模块440。

角色约束模块410通过与角色模块300的信息交互，获取角色的势约束(一个用户可以拥有的最大角色数目，用max(u_ir)表示用户u_i可以拥有的最大角色数目。

权限约束模块420通过与角色模块300的信息交互，获取权限的势约束(即一个权限可以属于的角色的最大数目，用max(p_ir)表示权限p_i可以属于的最大角色数目)。

用户约束模块430通过与角色模块300的信息交互，获得用户的势约束(即一个角色可以拥有的最大用户数目，用max(r_iu)表示角色r_i可以拥有的最大用户数目)。

互斥约束模块440接收来自数据库100中的用户权限间的分配关系信息，获得权限与权限之间的互斥约束(即互斥的权限不能分配到同一个角色中)。通过与角色模块300的信息交互，获得角色与角色之间的互斥约束(同一个用户不能同时拥有这些互斥的角色)。

如图5所示，互斥约束模块440的处理流程为：(1)接收来自用户权限分配关系信息库120中的用户和权限的分配信息；(2)从用户权限分配关系信息库120中获取支持度大于系统预设最小支持度的频繁权限项集F；(3)将用户权限分配关系信息库中的用户和权限之间的分配信息按位取反；(4)获取按位取反后支持度大于系统预设最小支持度的频繁权限项集E；(5)遍历频繁权限项集F、E中的频繁项集，判断该规则的置信度是否大于系统预设的最小置信度，如果大于系统预设的最小置信度，则保存该约束fp→ep(fp∈F，ep∈E)，否则继续遍历频繁权限项集F、E直到频繁项集F、E中的频繁权限被遍历完毕；(6)遍历频繁权限项集E、F中的频繁项集，判断该规则的置信度是否大于系统预设的最小置信度，如果大于系统预设的最小置信度，则保存该约束ep→fp(ep∈E，fp∈F)，否则继续遍历频繁权限项集E、F直到频繁权限项集E、F中的频繁权限被遍历完毕；(7)遍历频繁权限项集E中的任意两个频繁项集，判断由这两个频繁权限项集构成的规则的置信度是否大于系统预设的最小置信度，如果大于系统预设的最小置信度，则保存该约束ep→e′p(ep∈E，e′p∈E，ep≠e′p)，否则继续遍历频繁权限项集E直到频繁项集E中的频繁权限被遍历完毕；(8)将获得的权限与权限之间的互斥约束提交给结果显示模块500。而要生成角色与角色之间的互斥约束则可利用同样的算法对角色生成模块所获得的用户和角色之间的分配信息进行处理，并将角色与角色之间的互斥约束提交给结果显示模块500.

结果显示模块500是本系统提供结果显示与调整的模块，它包括角色显示模块510、约束显示模块520和结果调整模块530。

角色显示模块510接收来自角色模块300所生成的系统角色和角色层次关系，对系统生成的角色、角色层次以及角色与权限之间的对应关系进行显示。

图6即为角色显示模块510显示的角色、角色层次以及角色与权限之间的对应关系。图中圆代表本系统生成的角色r₁，r₂，r₃，r₄，r₅，r₆，r₇，矩形代表本系统的权限p₁，p₂，p₃，p₄，p₅，p₆，p₇，角色与角色之间用实线进行连接，代表角色的层次关系，也代表权限与用户间的继承关系，比如角色r₁与角色r₃之间的连接线表示角色r₁大于角色r₂，角色r₁继承了角色r₂所拥有的权限，角色r₂继承了角色r₁的用户，没有通过实线连接的角色之间则不能判断角色的偏序关系；角色和权限之间通过虚线进行连接，代表角色所拥有的权限，比如角色r₇拥有的权限为p₃，p₄，和p₅，角色r₁拥有的权限继承了角色r₂和r₃所拥有的权限，角色r₂的权限继承了r₄和r₅所拥有的权限，同时拥有角色r₄和r₅所不拥有的权限p₁，角色r₄所拥有的权限为p₁，p₂，角色r₅所拥有的权限为p₂，p₃，角色r₃除拥有自身权限p₇外，还继承了角色r₆和r₇的权限，角色r₆的权限为自身拥有的权限加上继承角色r₇的权限p₃，p₄，p₅，故角色r₁拥有的权限为p₁，p₂，p₃，p₄，p₅，p₆，p₇，即系统中所有的权限，同时也说明了角色r₁在系统中的重要性。

约束显示模块520用于接收从约束模块400获取到的角色与角色之间的互斥约束、角色的势约束、权限的势约束、用户的势约束以及权限与权限之间的互斥约束并进行显示。其中角色r_i与角色r_j之间的互斥约束表示为

权限p_i与权限p_j之间的互斥约束表示为其他的约束可以通过图7进行表示。

结果调整模块530获取系统输入的信息对角色显示模块510以及约束显示模块520显示的结果进行调整，并将最终调整后的结果存储于数据库100中。

如图8所示，结果显示模块500的处理流程为：(1)接收角色模块300的角色以及角色层次信息；(2)接受约束模块400的约束信息；(3)依据获得到的信息显示基于角色的访问控制模型及对应的约束关系；(4)判断该基于角色的访问控制模型以及对应的约束关系是否需要调整，如果需要调整则依据输入信息对此访问控制模型及对应的约束关系进行调整并转步骤(3)执行，如果不需要调整则将该基于角色的访问控制模型以及约束关系存储于数据库100中。

用户权限分配管理模块600是管理员管理用户权限分配信息时使用的模块。用户权限分配管理模块600的处理流程为：(1)管理员查看用户权限分配关系信息，用户权限分配管理模块600根据管理员指令读取数据库100中的用户权限分配关系信息库120，并显示所有的用户权限分配关系信息；(2)管理员填写待添加的新用户权限分配关系信息，用户权限分配管理模块600首先判断数据库100中的用户权限分配关系信息库120中该用户权限分配关系信息是否已经存在，若该用户权限分配关系信息已经存在，返回错误提示，否则添加记录到用户权限分配关系信息库120，并将添加用户权限分配关系成功的记录加入数据库的审计信息库130中；(3)管理员删除用户权限分配关系信息，用户权限分配管理模块600根据管理员指令删除数据库100中用户权限分配关系信息库120的相关信息，并将删除用户权限分配关系成功的记录加入数据库的审计信息库130中；(4)管理员修改用户权限分配关系信息，用户权限分配管理模块600根据管理员指令修改数据库100中用户权限分配关系信息库120的相应信息，并将修改用户权限分配关系成功的记录加入数据库的审计信息库130中。

审计管理模块700主要是对管理员的所有操作提供查询功能，可以通过用户名和时间范围来对管理员的操作进行查询。这些记录主要涉及用户权限分配关系信息的添加、删除、修改的操作记录。

本发明不仅局限于上述具体实施方式，本领域一般技术人员根据本发明公开的内容，可以采用其它多种具体实施方式实施本发明，因此，凡是采用本发明的设计结构和思路，做一些简单的变化或更改的设计，都落入本发明保护的范围。

Claims (4)

1.一种基于角色的访问控制模型构建系统，用于实现系统资源的安全访问，其特征在于，该系统包括数据库(100)、权重模块(200)、角色模块(300)、约束模块(400)、结果显示模块(500)、用户权限分配管理模块(600)和审计管理模块(700)；

数据库(100)用于存储用户角色间分配关系信息、用户权限间分配关系信息以及生成的约束信息和审计信息；

权重模块(200)用于接收来自数据库(100)中的信息，并依据用户权限间分配关系信息获取用户之间的相似度和权限之间的相似度信息，并通过权重计算模块获取所有权限的权重信息，最后将所有权限的权重信息提交给角色模块(300)进行处理；

角色模块(300)用于接收权重模块(200)提供的所有权限的权重信息，并利用数据库(100)中的用户权限间的分配关系信息进行频繁权限项集挖掘，获得系统所需的角色信息，并通过角色层次生成模块完成对角色的层次划分，同时将获得到的角色信息提交给约束模块(400)进行约束处理，并将系统角色信息以及角色层次信息提交给结果显示模块(500)处理；

约束模块(400)接收来自数据库(100)中的用户权限间的分配关系信息，利用数据挖掘的方法获得权限与权限间的互斥约束信息，同时通过与角色模块(300)的信息交互，获得角色的势约束、权限的势约束、用户的势约束以及角色与角色间的互斥约束信息，并将所有的约束信息交给结果显示模块(500)处理；

结果显示模块(500)用于接收来自角色模块(300)和约束模块(400)所传送过来的角色、角色层次以及约束信息，根据角色层次信息利用图的方式显示出基于角色的访问控制模型的结构图，并将获得的约束信息进行显示，同时利用系统输入的信息对生成的基于角色的访问控制模型进行调整，并将最终获得的角色信息、角色层次信息以及约束信息存储于数据库(100)中；

用户权限分配管理模块(600)用于接收来自管理员的操作请求，对用户权限分配关系信息进行相应的管理，并与数据库(100)进行交互，分别实现显示用户权限分配关系信息，添加用户权限分配关系信息，删除用户权限分配关系信息和修改用户权限分配关系信息，并将管理员的操作记入数据库(100)中；

审计管理模块(700)接收来自管理员的查询信息，通过与数据库(100)的信息交互，对管理员的操作进行查询，获得满足查询条件的所有记录；

权重模块(200)包括相似度模块(210)和权重计算模块(220)；

相似度模块(210)用于从数据库(100)的用户权限分配关系信息库(120)中获取用户权限间的分配关系信息，进而获取用户与用户间通过权限表示的相似度信息，以及权限与权限之间通过用户表示的相似度信息，具体表示如下：

$\mathrm{sim}(u_i,u_j)=\frac{|\mathrm{UserPerms}\left(u_i\right)\∩\mathrm{UserPerms}\left(u_j\right)|}{|\mathrm{UserPerms}\left(u_i\right)\∪\mathrm{UserPerms}\left(u_j\right)|}$

$\mathrm{sim}(p_i,p_j)=\frac{|\mathrm{PermUsers}\left(p_i\right)\∩\mathrm{PermUsers}\left(p_j\right)|}{|\mathrm{PermUsers}\left(p_i\right)\∪\mathrm{PermUsers}\left(p_j\right)|}$

其中，u_i,u_j分别代表系统中的第i个用户和第j个用户，UserPerms(u_i)代表用户u_i所拥有的权限集合，UserPerms(u_j)代表用户u_j所拥有的权限集合；p_i,p_j分别代表系统的第i个权限和第j个权限，PermUsers(p_i)代表拥有权限p_i的所有用户集合，PermUsers(p_j)代表拥有权限p_j的所有用户集合；

权重计算模块(220)通过用户权限间的分配关系，获取用户与用户间的相似度信息，具体表示如下：

权重计算模块(220)还获取权限与权限之间的相似度信息，具体表示如下：

权重计算模块(220)依据上述得到的用户和用户间的相似度信息、权限与权限之间的相似度信息得到权限的权重计算方式为：

${\mathrm{\ω}}_{p_i}=(\frac{{\mathrm{\Σ}}_{j=1,j\≠i}^n\mathrm{sim}(p,p_j)}{(n-1)}+\frac{{\mathrm{\Σ}}_{l=1}^{\left|\mathrm{PermUsers}\left(p_i\right)\right|}{\mathrm{\Σ}}_{k=1,k\≠l}^m\sin (u_l,u_k)}{\left|\mathrm{PermUsers}\left(p_i\right)\right|\×(m-1)})/2$

角色模块(300)包括角色生成模块(310)和角色层次生成模块(320)；

角色生成模块(310)用于接收权重模块(200)所提供的所有权限的权重信息，并利用数据库(100)中的用户权限间的分配关系信息进行基于权重的频繁权限项集挖掘操作，从中获取大于系统预设最小支持度的频繁权限项集，并将这些频繁权限项集定义为系统所需要的角色；

角色层次生成模块(320)从角色生成模块(310)中获取系统生成的角色信息，并对这些角色信息进行对比，从而获取角色信息的偏序关系，进而获得角色间的层次关系。

2.根据权利要求1所述的基于角色的访问控制模型构建系统，其特征在于，

数据库(100)包括约束信息库(110)、用户权限分配关系信息库(120)、审计信息库(130)和用户角色分配关系信息库(140)；数据库(100)接收来自审计管理模块(700)的查询请求，在审计信息库(130)中查询匹配，反馈信息到审计管理模块(700)；数据库(100)接收来自用户权限分配管理模块(600)的查询、添加、修改、删除用户权限分配关系信息的请求，在用户权限分配关系信息库(120)中进行相应的操作，反馈信息给用户权限分配管理模块(600)，最后将用户权限分配管理模块(600)对用户权限分配关系信息库(120)的操作信息记录到审计信息库(130)，以备审计管理模块(700)进行审计，同时反馈信息给用户权限分配管理模块(600)；数据库(100)接收来自结果显示模块(500)的信息，将系统生成的角色信息记载到用户角色分配关系信息库(140)中，将系统生成的约束信息记录到约束信息库(110)中；数据库(100)为权重模块(200)提供计算权限权重所需要的用户权限分配关系信息库(120)；数据库(100)为角色模块(300)提供生成系统角色所需要的用户权限分配关系信息库(120)；数据库(100)为约束模块(400)提供生成系统约束所需要的用户权限分配关系信息库(120)。

3.根据权利要求1所述的基于角色的访问控制模型构建系统，其特征在于，

约束模块(400)包括角色约束模块(410)、权限约束模块(420)、用户约束模块(430)和互斥约束模块(440)；

角色约束模块(410)通过与角色模块(300)的信息交互，获取角色的势约束；

权限约束模块(420)通过与角色模块(300)的信息交互，获取权限的势约束；

用户约束模块(430)通过与角色模块(300)的信息交互，获得用户的势约束；

互斥约束模块(440)收来自数据库(100)中的用户权限间的分配关系信息，获得权限与权限之间的互斥约束，通过与角色模块(300)的信息交互，获得角色与角色之间的互斥约束。

4.根据权利要求1所述的基于角色的访问控制模型构建系统，其特征在于，

结果显示模块(500)包括角色显示模块(510)、约束显示模块(520)和结果调整模块(530)；

角色显示模块(510)接收来自角色模块(300)所生成的系统角色和角色层次关系，对系统生成的角色、角色层次以及角色与权限之间的对应关系进行显示；

约束显示模块(520)用于接收从约束模块(400)获取到的角色与角色之间的互斥约束、角色的势约束、权限的势约束、用户的势约束以及权限与权限之间的互斥约束并进行显示；

结果调整模块(530)获取系统输入的信息对角色显示模块(510)以及约束显示模块(520)显示的结果进行调整，并将最终调整后的结果存储于数据库(100)中。

Images