CN102664888B - 一种基于信任度的访问控制方法及其系统 - Google Patents

Abstract

本发明公开了一种基于信任度的访问控制方法及其系统，属于计算机访问控制领域。本方法为：1)建立一角色-信任度描述模型，2)对于某自治域B中的每一角色r，确定其与其他自治域A中角色映射到角色r映射关系，使A中角色到B角色映射满足满射关系；3)根据映射关系将角色r的权限集合划分到不同的子权限集合中；将划分后的子集合关联到相应的信任度值上；4)当A中主体角色访问B中资源时，首先分析访问主体角色信息，然后将其映射到自治域B中的角色，并获取信任值；5)自治域B根据该访问主体角色的角色信息和信任度值，确定本次访问请求所具有的资源访问权限。本发明有效弥补了传统角色访问控制无法适用分布式协同开发环境的不足。

Description

一种基于信任度的访问控制方法及其系统

技术领域

本发明涉及一种基于信任度的访问控制方法及其系统，该系统扩展了传统角色访问控制模型，属于计算机访问控制领域。

技术背景

云计算是一种将地理上分布的、异构的计算资源、存储资源、信息资源、知识资源等资源通过网络互联互通，从而实现资源共享和协同工作的目的。云计算的参与实体具有自主性，实体之间的协作具有动态性。因此，云计算的一个关键问题就是如何在动态变化环境下进行访问控制，即如何管理和执行授权策略。本文将云计算中每个参与实体及其运行环境称为一个“自治域”。

一种典型的云计算应用场景是两所大学H和G各自有一套面向学校内部的课程信息化系统，两所大学为推动学科建设，决定共享课程信息化系统中的在线课堂资源，即两所大学H和G的师生均可在线学习对方的课程。在该场景中，参与实体H和G及各自的运行环境分为称为自治域H和自治域G，则上述的云计算访问控制问题就细化为跨域访问控制问题。

一般而言，访问控制包括四个部分，访问主体单元(Subiect Unit，SU)，访问控制执行单元(Access Control Execution Unit，ACEU)，访问控制判定单元(Access Control DecisionUnit，ACDU)和目标客体单元(Object Unit，OU)，如图1所示。访问主体单元SU也称为发起端主体单元，是指电脑中系统资源和应用资源的使用者，或可执行程序等系统实体的主动部分；目标客体单元主要指网络资源，数据库资源，Webserver资源，系统文件等属于系统实体的被动部分；访问控制执行单元ACEU负责建立访问主体单元SU与目标客体单元OU之间的通信桥梁，并在遵从访问控制判定单元ACDU判定结果的基础上实施访问控制操作。

目前，常用的访问控制方法主要有：自主访问控制(Discretionary Access Control，DAC)、强制访问控制(Mandatory Access Control，MAC)、属性访问控制(Attributed-based AccessControl，ABAC)和角色访问控制(Role-based Access Control，RBAC)。

DAC是一种基于主体身份实施对客体访问控制的方法，该方法的核心思想是主体能够自主地的将其对客体的访问权限或访问权限子集授予其它主体。

MAC是一种基于主体安全级别和客体安全级别的访问控制方法，其中安全级别是由安全管理员强制分配的，主体和客体都不能改变安全级别属性。主体对客体的访问控制判定必须遵循如下规则：(1)仅当主体的安全级别大于或等于客体的安全级别时，该主体具有读取客体资源的权限。(2)仅当主体的安全级别等于客体的安全级别时，该主体对客体资源才具有写的权限。

ABAC把实体(主体、客体和环境)属性组概念贯穿于访问控制策略、模型和实现机制三个层次，把与访问控制相关的时间、实体空间位置、实体行为、访问历史等信息当作主体、客体、权限和环境来统一建模，通过定义属性之间的关系描述复杂的授权和访问控制约束，具有描述能力丰富，可扩展性好的特点，但属性定义困难，实际应用价值不大。

RBAC是一种面向封闭系统环境的集中式访问控制模型，通过引入角色的概念实现了主体和客体的逻辑分离，并将权限描述为角色对客体的可访问能力。RBAC通过为主体关联一个或者多个角色的方式，间接达到了关联主体及其可访问客体的目的，如图2所示。

综上所述，相对于DAC和MAC，RBAC角色及其权限具有稳定性，因此在应用于主体具有动态性的信息化系统中，极大的简化了权限管理的复杂度；相对于ABAC模型，RBAC模型角色定义清晰，实现简单、应用范围广。但RBAC模型也存在无法适用分布式协同开发环境的不足。

发明内容

本发明目的是为了克服现有方案的不足，扩展RBAC模型实现，主要针对传统RBAC模型如何使云环境下实体协作动态性问题，实现了一种适应于分布式云环境的基于信任度的访问控制(Trust and Role based Access Control，TRBAC)方法及其系统。TRBAC方法通过采用域间角色映射机制有效克服了传统RBAC模型具有环境封闭性的不足；通过权限集合自动划分机制有效提高了分布式云环境下权限管理的自动化程度；通过为权限添加信任值属性的方法实现了细粒度的访问控制需求。

本发明的技术方案为：

一种基于信任度的访问控制方法，其步骤为：

1)建立一角色-信任度描述模型，用于描述每一自治域内主体的权限；

2)对于某自治域B中的每一角色role，确定角色role与其他自治域A中角色映射到角色role映射关系，使自治域A中角色到自治域B角色映射满足满射关系；

3)根据所述映射关系将该角色role的权限集合划分到不同的子权限集合中；将划分后的子集合关联到相应的信任度值上；

4)当自治域A中主体角色请求访问自治域B中资源时，首先分析访问请求中包含的访问主体角色信息，然后将该访问主体角色映射到自治域B中的角色，并获取该访问主体角色的信任值；

5)自治域B根据该访问主体角色的角色信息和信任度值，确定本次访问请求所具有的资源访问权限。

进一步的，采用六元组p＝<Role，Type，Action，Target，Context，TrustValue>描述每一自治域内主体的权限；其中，Role为角色信息、Type为权限类型、Action为即操作方式、Target为操作目标、Context为上下文信息、TrustValue为信任值。

进一步的，将该角色role的权限集合划分为(M+2)个子权限集，包括：一空集子权限集，一角色role的权限全集，其余M个权限子集分别对应M个其他自治域的权限需求；其中M为与自治域B有关的其他自治域数目。

进一步的，确定每一角色role与其他自治域A中角色映射到角色role的映射关系，使自治域A中角色到自治域B角色映射满足满射关系的方法为：

1)初始化一数组RoleArray，用于记录自治域A中角色Role_A访问自治域B中资源候选角色集合；其中，自治域B中的角色集合为Role[N]，N为角色个数，每一角色对应的权限集合为PS[N]，自治域B约束自治域A中角色Role_A请求者具有的权限集为PS_promise；自治域A中角色Role_A访问自治域B中资源应该具有的角色表示为r_map；

2)设置一遍变量Num，初始化为Num＝0，用于记录所述候选角色的个数；

3)遍历权限集合PS[N]的每一元素j，如果则确定Role[j]是候选角色，RoleArray[i+ +]＝Role[j]；

4)令Num等于数组RoleArray中候选角色的个数，如果Num≤0，则算法结束；如果Num＝1，则在自治域B中有且存在一个角色RoleArray[0]满足满射约束，输出r_map＝RoleArray[0]；

5)如果Num＞1，则自治域B中存在多个角色满足满射约束，设置一变量k，k初始化为数组RoleArray对一个元素对应的权限个数；然后遍历候选角色数组RoleArray中前Num个数组元素的每一候选角色，如果候选角色RoleArray[m]所对应的权限集合个数size小于k，则更新被选角色的下标m＝j，更新最小权限集数k＝size，输出r_map＝RoleArray[k]。

进一步的，根据所述映射关系将该角色role的权限集合划分到不同的子权限集合中的方法为：

1)初始化一数组Array[0]＝φ，Array[M+1]＝PS_role；其中，自治域B中角色role的权限集合为PS_role，角色role的权限划分需求为(M+2)，其它自治域映射到自治域B后的权限集合为PS_{domian_r}，1≤r≤M；

2)依次遍历PS_{domain_1}到PS_{domain_M}，按照PS_{domain_r}权限数目升序存放在数组Array中1到M的位置；若权限数相同，则根据domain_r，1≤r≤M标识从小到大的顺序排列，得到数组Array[M+2]，其包括一空集和角色role在自治域B对应的权限全集PS_role；

3)令PS_base表示数组Array前j个权限集的合集，并初始化PS_base＝Array[0]；

4)遍历数组Array中元素j并计算每一元素Array[j]的权限集合，使其满足角色访问控制中的角色具有继承性的约束，0＜j≤M+1；；

5)更新PS_base为PS_base＝PS_base∪Array[j]。

进一步的，所述计算每一元素Array[j]的权限集合，使其满足角色访问控制中的角色具有继承性的约束的方法为：将集合Array[j]具有的而集合PS_base不具有的权限进行并操作转换；将集合PS_base具有的而集合Array[j]不具有的权限进行差操作转换。

进一步的，自治域B根据划分的子权限集数目，计算每一子权限集对应的信任值区间。

进一步的，自治域B根据访问主体角色的权限描述，确定该访问主体角色的信任值，并根据主体信任值赋予该访问主体对应的子权限集，对该自治域B内的客体资源进行访问。

一种基于信任度的访问控制系统，其特征在于包括一角色-信任度描述模型、权限划分模块、角色映射模块、访问判定模块、权限划分模块；其中，

所述角色-信任度描述模型，用于描述每一自治域内主体的权限；

所述权限划分模块，用于根据本自治域中对某一指定角色的分割需求，对该角色的权限集合进行划分操作，将划分后的子集合关联到相应的信任度值上；

所述角色映射模块，用于当其它自治域的用户访问本自治域中资源时，首先分析请求中包含的用户角色信息，并将该用户映射到本自治域中的角色，并获取该用户的信任值；

所述访问判定模块，用于根据该用户的角色信息和信任度值，判定本次请求是否具有资源访问权限。

进一步的，所述角色-信任度描述模型采用六元组p＝<Role，Type，Action，Target，Context，TrustValue>描述每一自治域内主体的权限；其中，Role为角色信息、Type为权限类型、Action为即操作方式、Target为操作目标、Context为上下文信息、TrustValue为信任值。

进一步的，所述权限划分模块根据其他M个自治域请求者角色映射到自治域B主体角色r的权限约束，将该角色r的权限集合划分为(M+2)个子权限集；其中，(M+2)个子权限集中包括：一空集子权限集，一个为角色人的权限全集，其余M个权限子集分别对应M个其他自治域的权限需求。

如图3所示，TRBAC系统中每个自治域均主要包括以下三个模块：

●角色映射模块：角色映射模块定义了不同自治域之间角色的映射规则，其输入是其它自治域中用户角色信息，输出是本自治域角色信息和信任度；

●权限划分表述模块：权限划分模块将权限集合按照信任度的约束划分到不同的子集合中。

●访问判定模块：访问判定模块根据角色映射模块输出的角色信息和信任度，判定此次访问是否违反安全原则。

TRBAC系统的运行原理如图4所示，权限划分模块根据本自治域中对某一指定角色的分割需求，对该角色的权限集合进行自动化划分操作，自动将划分后的子集合关联到相应的信任度值上。所谓分割需求，是指本自治域中某一特定角色与所有其它自治域中角色的映射关系；当其它自治域的用户访问本自治域中资源时，角色映射模块首先分析请求中包含的用户角色信息，并将该用户映射到本自治域中的角色，并获取该用户的信任值；访问判定模块根据该用户的角色信息和信任度值，判定本次请求是否具有资源访问权限。

因此，本发明提出了用于实现TRBAC的一种模型和三种机制，即基于信任度的权限描述模型、基于集合论满射关系的角色映射机制、基于正负标识的权限集合划分机制和基于反三角函数的权限映射机制：

1)扩展角色访问控制，建立基于“角色-信任度”权限描述模型，用于描述每个自治域内主体的权限；

2)当自治域A中用户访问自治域B中的资源时，根据自治域B对自治域A不同角色用户的权限约束，将自治域A中不同角色自动关联到自治域B中的不同角色，角色映射满足满射关系，例如自治域A中角色RoleA映射到自治域中角色RoleB，如算法1所示；

3)根据第2)步，虽然同样是角色RoleB，但通常来说，自治域A用户访问自治域B资源的权限(通过请求IP地址等机制判断)是自治域B用户访问自治域B资源权限的子集。这种相同角色不同权限的细粒度控制需求，就需要通过信任度来细分。因此，传统角色访问控制中基于“角色”的粗粒度的用户和权限关联机制已不再适用。本文是将<角色，信任度>一起作为用户和权限管理关联的依据。

其中在步骤3)中，对于同样是角色RoleB，需要划分成多少个信任度区间？这与自治域B和多少个其它自治域合作相关。例如其它M个自治域均有一角色与自治域B中角色RoleB相关联，且自治域B承诺赋予的权限都不一样，则需要划分成(M+2)个子权限集合，其中1个是空集；1个是角色RoleB的权限全集；另外M个权限子集对应M个其它自治域的权限需求。

每个信任度区间对应角色RoleB的权限子集，即需要(M+2)个信任度区间0≤i≤M+1。而自治域B中角色RoleB在每个信任度区间具有的权限则按照算法2描述。

3.1基于信任度的权限描述模型

本发明约定所有主体的权限均由六元组p＝<Role，Type，Action，Target，Context，TrustValue>描述，如图5所示，其中不同元素的具体含义如下：

●Role：即角色信息，如教师角色，学生角色等；

●Type：即权限类型，如文件类型FilePermission，网络类型NetPermission等；

●Action：即操作方式，如文件写操作write，网络监听操作listen等等；

●Target：即操作目标，如文件写目标为C://text.txt等等；

●Context：即上下文信息，如约束资源智能在8:00-11:00时间范围内被主体访问；

●TrustValue，即信任值，用于描述该资源能被访问的主体最低信任值约束；

例如，信任值大于0.5的学生角色用户，具有在上午8点到11点之间、下午14点到18点之间访问课程math.rmvb资源的权限，则其形式化描述为<″student″，java.io.CoursePermission，″read″，″/math.rmvb″，{{8:00-11:00}，{14:00-18:00}}，0.5>。该权限物理意义是当学校H中用户满足以下三种情况时，不具备访问学校G中课程mathrmvb资源的权限：

1.学校H中用户访问学校G中课程mathrmvb资源时，角色映射后不是学生角色；

2.学校H中用户访问学校G中课程mathrmvb资源时，虽然是学生角色，但其访问时间违反了上午八点到11点之间、下午2点到6点之间的约束；

3.学校H中用户访问学校G中课程mathrmvb资源时，虽然是学生角色，但信任度小于0.5；

其中权限和信任值的关联将根据3.2节算法自动计算得出。

3.2基于集合论满射关系的角色映射机制

要实现跨自治域的角色映射，其前提条件必须是不同自治域的角色之间满足满射关系，即要求自治域A中的每一种角色RoleA，在自治域B中存在且只存在一种角色RoleB与之相对应。然而由于不同自治域角色定义具有独立性和差异性，对于自治域A中的每一种角色RoleA，在自治域B中可能存在多种角色RoleB与之相对应，从而出现角色映射冲突问题。本文将着重解决不同自治域角色映射冲突问题。

定义1函数f：A→B为满射，当且仅当对任意b∈B，存在a∈A满足f(a)＝b，且不存在f(a)＝b，f(a)＝c，b≠c。

在上述两所大学课程合作的示例中，假设大学H具有三种角色RoleSet_H＝{教师，全日制学生，非全日制学生}：

●教师具有开课设置，查看学生信息，打分等权限；

●全日制学生具有跨专业选课，课程评估，在线课程学习的权限；

●非全日制学生具有选本专业课程，课程评估，在线课程学习的权限。

大学G具有两种角色RoleSet_G＝{教师，学生}：

●教师具有开课设置，查看学生信息，打分等权限；

●学生具有跨专业选课，在线课程学习的权限；

(a)学校H的视角

从学校H的视角来看，学校G中的用户会访问学校H中的课程资源，并约定学校G中的用户具有在线课程学习的权限。由于在学校H中，角色全日制学生和非全日制学生的权限都包含在线课程学习这一项。因此学校G中用户既可以映射成学校H中的全日制学生角色，也可以映射成学校H中的非全日制学生角色，这违反定义1满射约束。

因此，本发明鉴于在权限设置方面存在非全日制学生全日制学生的客观现实，将H具有的角色集合RoleSet_H＝{教师，全日制学生，非全日制学生}改造成RoleSet′_H＝{教师，全日制学生}，即将非全日制学生看成是全日制学生特殊的一种，并通过3.3节信任度的划分来区分两种角色权限差异性。改造后满足满射约束：

1.RoleSet_G.教师RoleSet′_H.教师

2.RoleSet_G.学生RoleSet′_H.全日制学生

(b)学校G的视角

从学校G的视角来看，学校H中的用户会访问学校G中的课程资源，并约定学校H中的用户具有在线课程学习的权限。由于在学校G中有且只有学生角色包含在线课程学习权限。根据定义1，集合A相当于学校H具有的角色集合为RoleSet_H＝{教师，全日制学生，非全日制学生}，集合B相当于学校G具有的角色集合为RoleSet_G＝{教师，学生}，上述集合满足定义1中存在a∈A满足f(a)＝b的满射约束：

1.RoleSet_H.教师RoleSet_G.教师

2.RoleSet_H.全日制学生RoleSet_G.学生

3.RoleSet_H.非全日制学生RoleSet_G.学生

基于集合论满射关系的角色映射算法详细描述如算法1所示：

3.3基于正负标识的权限集合表述机制

一种角色可关联多条权限，其中每条权限的描述方法遵循第3.1节关于权限描述的约定。本文将某种角色对应的多条权限组成的集合称为权限集合。为了简化描述，假设本自治域有且存在角色A，且其权限集PS_A＝{p₁，p₂，P₃}。假设用户从域UA、域UB、域UC访问本自治域资源时映射到本自治域的角色A，且其约定的权限集合却分别为PS_UA＝{p₂，p₃}，PS_UB＝{p₁，p₃}，PS_UC＝{p₁，p₂}。

本文借鉴角色访问控制中“角色继承”的概念，即若角色B继承角色A，且其权限集分别是PS_B，PS_A，则即继承者拥有被继承者全部权限。本文提出了基于<角色，信任度>的权限描述模型的“高信任度包含低信任度权限”的原则。但由于PS_UA∩PS_UB≠φ，PS_UA∩PS_UC≠φ，PS_UB∩PS_UC≠φ。因此无论如何设置信任值，都无法满足“高信任度具有低信任度角色权限”的原则。

上述信任值设置问题的本质是因为权限划分表述不合理造成的。因此，本发明提出了一种基于正负标识的权限集合划分方法：

●正标识集合：主体具有集合中所有权限，用符号↑表示；

●负标识集合：主体不具有集合中全部权限，用符号↓表示；

则其形式化表示方法及示例如下：

(1)PS_UA↑PS_UB＝PS_UA∪PS_UB＝{p₂，p₃}∪{p₁，p₃}＝{p₁，p₂，p₃}

(2)PS_UA↓PS_UB＝PS_UA∩PS_UB＝{p₂，p₃}∩{p₁，p₃}＝{p₁}

根据前文描述，当有M个其它自治域映射到本自治域中某一角色Role时，则其在角色Role上的权限划分需求是(M+2)个：其中1个是空集；1个是角色RoleB的权限全集；另外M个权限子集对应M个其它自治域的权限需求。因此，对于本自治域中每一种角色都需执行一遍算法2.

而对于每一种角色对应的划分需求M+2，例如本自治域角色RoleB在每个信任度区间具有的哪些权限，由算法2描述。而当角色的划分需求发生变化时，例如有更多或者更少的其它自治域映射到本自治域中某一角色Role，需重新执行算法2。

4.PS_UA＝{p₂，p₃}＝{↑{p₂，p₃}，↓p₁}＝(PS_UB↑{p₂，p₃})↓p₁；

5.PS_A＝{p₁，p₂，p₃}＝{↑{p₁}}＝PS_UA↑{p₁}

3.4基于反三角函数的权限映射机制

文3.3节描述了数组及其存储权限集表述方式，但未能描述信任度和数组下标之间的映射关系。在实际应用中，不同的信息化系统角色划分具有差异性，且角色划分随着信息系统的演化而演化。为了减少人工维护信任度和权限数组下标之间关系的不足，本发明基于已知的“均衡化”理论实现了一种自动化的信任度和数组下标之间的关键机制，其目标是根据租户的信任度(信任度由本自治域的系统管理员设定)，能迅速关联到租户具有的权限集。

根据信任度的划分规约，信任度的划分范围为[0，1]，本文将详细描述信任度如何关联到文3.3节算法2计算所得的结果中，即将信任度关联到数组Array[M+2]中：

1.R[0]＝φ；

2.R[1]＝{↑{p₁，p₂}}＝NullSet↑{p₁，p₂}＝{p₁，p₂}

3.R[2]＝{↑{p₁，p₃}，↓p₂}＝(PS_UC↑{p₁，p₃})↓p₂＝{p₁，p₃}；

4.R[3]＝{↑{p₂，p₃}，↓p₁}＝(PS_UB↑{p₂，p₃})↓p₁＝{p₂，p₃}；

5.R[4]＝{↑{p₁}}＝PS_UA↑{p₁}＝{p₁，p₂，p₃}

本发明提出“权限数组下标-信任度”关联函数T∈[0，1]。其中T表示主体的信任度，N表示算法2计算所得的权限集划分需求M+2。

例如角色A具有权限Role_A＝{p₁，p₂，p₃}，在分布式环境中，跨域角色映射后同意角色的不同用户其具有的权限可能会存在差异性，用户从域UA、域UB、域UC进行跨域角色映射变化后映射为角色A，但各自具有的权限集合却分别为PS_UA＝{p₂，p₃}，PS_UB＝{p₁，p₃}，PS_UC＝{p₁，p₂}，根据3.2节算法2描述，权限集合划分需求N取值为5.则权限量化函数则示例的信任度将分为5个分区：

例如，当主体的信任值x＝0.3时，此时主体具有的权限为R[1]；当x＝0.5时，则主体具有的权限为R[1]∪R[2]。当权限划分需求确定后，信任度划分及其划分区间已确定。对于已指定的其它自治域N，系统会在其对应的信任度区间内任意取值与该自治域N进行绑定，即自治域N所有的请求都带有信任值信息。如果现在合作的自治域数量发生变化，则重新进行信任度重绑定。

与现有技术相比，本发明的积极效果为：

通过引入跨域角色映射机制有效弥补了传统角色访问控制无法适用分布式协同开发环境的不足；同时针对角色访问控制在“权限集划分需求变化频繁”场景下管理复杂的不足，引入信任度机制简化了管理的复杂度。

附图说明

图1访问控制一般结构图；

图2基于角色访问控制结构图；

图3基于信任度的访问控制原理图；

图4基于信任度的访问控制结构图；

图5权限集合描述示意图。

具体实施方式

以下结合具体实施例和附图对本发明作进一步说明。

有两所大学H和G，各自有一套面向学校内部的课程信息化系统，大学H具有三种角色RoleSet_H＝{教师，全日制学生，非全日制学生}，大学G具有两种角色RoleSet_G＝{教师，学生}，且：

在学校H的角色访问控制实施方案中：

●教师具有开课设置，查看学生信息，打分等权限；

●全日制学生具有跨专业选课，本专业选课，课程评估，在线课程学习的权限；

●非全日制学生具有选本专业课程，课程评估，在线课程学习的权限。

在学校G的角色访问控制实施方案中：

●教师具有开课设置，查看学生信息，打分等权限；

●学生具有本专业选课，在线课程学习的权限；

现在两所大学为推动学科建设，决定共享课程信息化系统中的在线课堂资源，即两所大学H和G的师生均可在线学习对方的课程。本节将详细介绍TRBAC系统在上述场景的实施方案，并以角色学生为例详细说明系统的实施方法。

(a)学校H的视角

根据3.2节的描述，学校G的用户会访问学校H的资源，首先建立角色映射关系，由于学校G和学校H的角色无法满足满射约束。这是因为按照算法2，G中学生角色可映射为H中全日制角色和非全日制角色两种。因此，根据非全日制学生权限全日制学生权限客观事实，对学校H的角色集进行适应性改造，RoleSet_H＝{教师，全日制学生，非全日制学生}改造成RoleSet′_H＝{教师，全日制学生}，这个改造使得学校G在和学校H合作过程中，不知道到学校H具有非全日制学生角色的存在。根据3.2节的描述，角色映射关系为：

1.RoleSet_G.教师RoleSet′_H.教师

2.RoleSet_G.学生RoleSet′_H.全日制学生

如前文所述，为简化描述，本文仅讨论角色学生具有的权限：

1.p₁＝{在线课程学习}

2.p₂＝{本专业选课}

3.p₃＝{跨专业选课}

根据3.3节的描述，虽然学校H和学校G合作，学校G的学生在请求学校H的资源时，虽然具有的是学校H中全日制学生的角色，但只有访问学校H课程资源的权限，即PS_UA＝{p₁}；而学校H的全日制学生却具有PS_UB＝{p₁，p₂，p₃}权限。根据算法2可知权限的划分需求M＝3，且3个权限子集的权限表述依次为：

1.R[0]＝φ；

2.R[1]＝{↑{p₁}}；

3.R[2]＝{↑{p₂，p₃}}

根据3.4节的描述，已知示例的信任度将分为3个分区，则信任度到数组下标的映射关系可以述为：

本自治域的系统管理员预先设定下述规则：

●对于资源R_p，如果资源和角色全日制学生的发起者在同一自治域，则此时全日制学生角色信任度为1；

●对于资源R_p，如果资源和角色为全日制学生的发起者不在同一自治域，则此时全日制学生角色的信任度为0.66；

●其它情况下信任度为0。

则当有请求访问本自治域资源时：

(1)当请求的发起者是本自治域的全日制学生时，其信任度为1，根据表达式Equ 1，L＝2。此时，该请求的权限集合为R₁∪R₂＝{p₁，p₂，p₃}；

(2)当请求的发起者是其它自治域的学生角色时，其信任度为0.66，根据表达式Equ 1，则。此时，该请求的权限集合为R₁＝{p₁}。

(b)学校G的视角

根据3.2节的描述，此时学校H的用户会访问学校G的资源，首先建立角色映射关系，由于此时满足满射关系，因此不需要进行改造。角色映射关系为：

1.RoleSet_H.教师RoleSet_G.教师

3.RoleSet_H.全日制学生RoleSet_G.学生

4.RoleSet_H.非全日制学生RoleSet_G.学生

根据3.3节的描述，虽然学校H和学校G合作，但H中学生角色(全日制学生，非全日制学生)只具有访问学校G课程资源的权限，假设权限的描述如下：

1.p₁＝{在线课程学习}

2.p₂＝{本专业选课}

虽然学校H和学校G合作，学校H的学生在请求学校G的资源时，具有的是学校G中学生的角色，但只有访问学校G课程资源的权限，即PS_UA＝{p₁}；而学校G的学生却具有PS_UB＝{p₁，p₂}权限。因此，根据算法2可知权限的划分需求M＝3，且3个权限子集的权限表述依次为：

1.R[0]＝φ；

2.R[1]＝{↑{p₁}}；

3.R[2]＝{↑{p₂}}

根据3.4节的描述，已知示例的信任度将分为3个分区，则信任度到数组下标的映射关系可以描述为：

本自治域的系统管理员预先设定下述规则：

●对于资源R_p，如果资源和角色学生的发起者在同一自治域，则此时学生角色的信任度为1；

●对于资源R_p，如果资源和角色为学生的发起者在不在同一自治域，则此时学生角色的信任度为0.66；

●其它情况下信任度为0.

则当有请求访问本自治域资源时：

(1)当请求的发起者是本自治域的角色学生时，其信任度为1，根据表达式Equ 2，L＝2。此时，该请求的权限集合为R₁∪R₂＝{p₁，p₂}；

(2)当请求的发起者是其它自治域的角色全日制学生时，其信任度为0.66，根据表达式Equ 2，则此时，该请求的权限集合为R₁＝{p₁}；

(3)当请求的发起者是其它自治域的角色非全日制学生时，其信任度为0.66，根据表达式Equ 2，则此时，该请求的权限集合为R₁＝{p₁}；

(4)其它情况下信任度为0。

(c)学校H的业务扩展的自调整过程

由于学校H的业务扩展，学校H和学校I进行合作，可互相查看对方线的理科课堂资源。在学校I的角色访问控制实施方案中，其具有两种角色RoleSet_I＝{教师，学生}。

●教师具有开课设置，查看学生信息，打分等权限；

●学生具有跨专业选课，在线课程学习的权限；

根据3.2节的描述，学校G和学校I的用户会访问学校H的资源，但学校G和学校H的角色都无法满足满射约束。因此首先对学校H的角色进行改造，改造的依据是学校H的已有角色之间的继承关系，由于非全日制学生全日制学生。

因此，在学校H和G，I联盟后，RoleSet_H＝{教师，全日制学生，非全日制学生}改造成RoleSet′_H＝{教师，全日制学生}，即角色映射关系为：

1.RoleSet_G.教师RoleSet′_H.教师

2.RoleSet_G.学生RoleSet′_H.全日制学生

3.RoleSet_I.教师RoleSet′_H.教师

4.RoleSet_I.学生RoleSet′_H.全日制学生

为简化描述，本文仅讨论角色学生具有的权限。根据3.3节的描述，根据学校H和学校G、学校I合作文件约定，虽然G中学生角色映射到H中的全日制学生角色，但其只有在线课程学习的权限，虽然I中中学生角色映射到H中的全日制学生角色，但其只有在线理科课程学习的权限，假设权限的描述如下：

1.p₁＝{在线理科课程学习.}

2.p₂＝{在线文科课程学习}

3.p₃＝{跨专业选课}

4.p₄＝{课程评估}

可知同样是学校H的全日制学生角色，根据其主体请求的自治域的不同，RoleSet′_H.全日制学生权限又可细分成三小类，其权限集合分别为PS_UA＝{p₁}，PS_UB＝{p₁，p₂}，PS_UC＝{p₁，p₂，p₃，p₄}的约束，因此，根据算法2可知权限的划分需求M＝4，且4个权限子集的权限表述依次为：

1.R[0]＝φ；

2.R[1]＝{↑{p₁}}；

3.R[2]＝{↑{p₂}}

4.R[3]＝{↑{p₃，p₄}}

根据3.4节的描述，已知示例的信任度将分为3个分区，则信任度到数组下标的映射关系可以描述为：

由于本自治域业务调整，则系统管理员关于信任度规则调整如下：

●对于资源R_p，如果资源和角色为全日制学生的发起者在同一自治域，则此时角色全日制学生的信任度为1；

●对于资源R_p，如果资源和角色为全日制学生的发起者不在同一自治域，且来自自治域G，则此时角色全日制学生的信任度为0.75；

●对于资源R_p，如果资源和角色为全日制学生的发起者不在同一自治域，且来自自治域I，则此时角色全日制学生的信任度为0.50；

●其它情况下信任度为0.

则当有请求访问本自治域资源时：

(1)当请求的发起者是本自治域的全日制学生角色时，其信任度为1，根据表达式Equ 3，L＝3。此时，该请求的权限集合为R₁∪R₂∪R₃＝{p₁，p₂，p₃，p₄}；

(2)当请求的发起者是自治域G的学生角色时，其信任度为0.75，根据表达式Equ 3，则L＝2.46＝2。此时，该请求的权限集合为R₁∪R₂＝{p₁，p₂}；

(3)当请求的发起者是自治域I的学生角色时，其信任度为0.50，根据表达式Equ 3，则此时，该请求的权限集合为R₁＝{p₁}；

(4)其它情况下信任度为0。

Claims (8)

1.一种基于信任度的访问控制方法，其步骤为：

1)建立一角色-信任度描述模型，用于描述每一自治域内主体的权限；

2)对于某自治域B中的每一角色role，确定角色role与其他自治域A中角色映射到角色role映射关系，使自治域A中角色到自治域B角色映射满足满射关系；其方法为：

21)初始化一数组RoleArray，用于记录自治域A中角色Role_A访问自治域B中资源候选角色集合；其中，自治域B中的角色集合为Role[N]，N为角色个数，每一角色对应的权限集合为PS[N]，自治域B约束自治域A中角色Role_A请求者具有的权限集为PS_promise；自治域A中角色Role_A访问自治域B中资源应该具有的角色表示为r_map；

22)设置一遍变量Num，初始化为Num＝0，用于记录所述候选角色的个数；

23)遍历权限集合PS[N]的每一元素j，如果则确定Role[j]是候选角色，RoleArray[i++]＝Role[j]；

24)令Num等于数组RoleArray中候选角色的个数，如果Num≤0，则算法结束；如果Num＝1，则在自治域B中有且存在一个角色RoleArray[0]满足满射约束，输出r_map＝RoleArray[0]；

25)如果Num＞1，则自治域B中存在多个角色满足满射约束，设置一变量k，k初始化为数组RoleArray第一个元素对应的权限个数；然后遍历候选角色数组RoleArray中前Num个数组元素的每一候选角色，如果候选角色RoleArray[m]所对应的权限集合个数size小于k，则更新被选角色的下标m＝j，更新最小权限集数k＝size，输出r_map＝RoleArray[k]；

3)根据所述映射关系将该角色role的权限集合划分到不同的子权限集合中；将划分后的子集合关联到相应的信任度值上；其中，根据所述映射关系将该角色role的权限集合划分到不同的子权限集合中的方法为：

a)初始化一数组Array[0]＝φ，Array[M+1]＝PS_role；其中，自治域B中角色role的权限集合为PS_role，角色role的权限划分需求为(M+2)，其它自治域映射到自治域B后的权限集合为PS_{domian_r},1≤r≤M；

b)依次遍历PS_{domain_1}到PS_{domain_M}，按照PS_{domain_r}权限数目升序存放在数组Array中1到M的位置；若权限数相同，则根据domain_r,1≤r≤M标识从小到大的顺序排列，得到数组Array[M+2]，其包括一空集和角色role在自治域B对应的权限全集PS_role；

c)令PS_base表示数组Array前j个权限集的合集，并初始化PS_base＝Array[0]；

d)遍历数组Array中元素j并计算每一元素Array[j]的权限集合，使其满足角色访问控制中的角色具有继承性的约束，0<j≤M+1；所述计算每一元素Array[j]的权限集合，使其满足角色访问控制中的角色具有继承性的约束的方法为：将集合Array[j]具有的而集合PS_base不具有的权限进行并操作转换；将集合PS_base具有的而集合Array[j]不具有的权限进行差操作转换；

e)更新PS_base为

4)当自治域A中主体角色请求访问自治域B中资源时，首先分析访问请求中包含的访问主体角色信息，然后将该访问主体角色映射到自治域B中的角色，并获取该访问主体角色的信任值；

5)自治域B根据该访问主体角色的角色信息和信任度值，确定本次访问请求所具有的资源访问权限。

2.如权利要求1所述的方法，其特征在于采用六元组p＝<Role,Type,Action,Target，Context,TrustValue>描述每一自治域内主体的权限；其中，Role为角色信息、Type为权限类型、Action为即操作方式、Target为操作目标、Context为上下文信息、TrustValue为信任值。

3.如权利要求1所述的方法，其特征在于将该角色role的权限集合划分为(M+2)个子权限集，包括：一空集子权限集，一角色role的权限全集，其余M个权限子集分别对应M个其他自治域的权限需求；其中M为与自治域B有关的其他自治域数目。

4.如权利要求1所述的方法，其特征在于自治域B根据划分的子权限集数目，计算每一子权限集对应的信任值区间。

5.如权利要求4所述的方法，其特征在于自治域B根据访问主体角色的权限描述，确定该访问主体角色的信任值，并根据主体信任值赋予该访问主体对应的子权限集，对该自治域B内的客体资源进行访问。

6.一种基于信任度的访问控制系统，其特征在于包括一角色-信任度描述模型、权限划分模块、角色映射模块、访问判定模块、权限划分模块；其中，

所述角色-信任度描述模型，用于描述每一自治域内主体的权限；

所述权限划分模块，用于根据本自治域中对某一指定角色的分割需求，对该角色的权限集合进行划分操作，将划分后的子集合关联到相应的信任度值上；

所述角色映射模块，用于当其它自治域的用户访问本自治域中资源时，首先分析请 求中包含的用户角色信息，并将该用户映射到本自治域中的角色，并获取该用户的信任值；

所述访问判定模块，用于根据该用户的角色信息和信任度值，判定本次请求是否具有资源访问权限；

其中，所述权限划分模块根据所述映射关系将该角色role的权限集合划分到不同的子权限集合中的方法为：

a)初始化一数组Array[0]＝φ，Array[M+1]＝PS_role；其中，自治域B中角色role的权限集合为PS_role，角色role的权限划分需求为(M+2)，其它自治域映射到自治域B后的权限集合为PS_{domian_r},1≤r≤M；

b)依次遍历PS_{domain_1}到PS_{domain_M}，按照PS_{domain_r}权限数目升序存放在数组Array中1到M的位置；若权限数相同，则根据domain_r,1≤r≤M标识从小到大的顺序排列，得到数组Array[M+2]，其包括一空集和角色role在自治域B对应的权限全集PS_role；

c)令PS_base表示数组Array前j个权限集的合集，并初始化PS_base＝Array[0]；

d)遍历数组Array中元素j并计算每一元素Array[j]的权限集合，使其满足角色访问控制中的角色具有继承性的约束，0<j≤M+1；所述计算每一元素Array[j]的权限集合，使其满足角色访问控制中的角色具有继承性的约束的方法为：将集合Array[j]具有的而集合PS_base不具有的权限进行并操作转换；将集合PS_base具有的而集合Array[j]不具有的权限进行差操作转换；

e)更新PS_base为

其中，对于某自治域B中的每一角色role，确定角色role与其他自治域A中角色映射到角色role映射关系，使自治域A中角色到自治域B角色映射满足满射关系；其方法为：

1)初始化一数组RoleArray，用于记录自治域A中角色Role_A访问自治域B中资源候选角色集合；其中，自治域B中的角色集合为Role[N]，N为角色个数，每一角色对应的权限集合为PS[N]，自治域B约束自治域A中角色Role_A请求者具有的权限集为PS_promise；自治域A中角色Role_A访问自治域B中资源应该具有的角色表示为r_map；

2)设置一遍变量Num，初始化为Num＝0，用于记录所述候选角色的个数；

3)遍历权限集合PS[N]的每一元素j，如果则确定Role[j]是候选角 色，RoleArray[i++]＝Role[j]；

4)令Num等于数组RoleArray中候选角色的个数，如果Num≤0，则算法结束；如果Num＝1，则在自治域B中有且存在一个角色RoleArray[0]满足满射约束，输出r_map＝RoleArray[0]；

5)如果Num＞1，则自治域B中存在多个角色满足满射约束，设置一变量k，k初始化为数组RoleArray第一个元素对应的权限个数；然后遍历候选角色数组RoleArray中前Num个数组元素的每一候选角色，如果候选角色RoleArray[m]所对应的权限集合个数size小于k，则更新被选角色的下标m＝j，更新最小权限集数k＝size，输出r_map＝RoleArray[k]。

7.如权利要求6所述的系统，其特征在于所述角色-信任度描述模型采用六元组p＝<Role,Type,Action,Target，Context,TrustValue>描述每一自治域内主体的权限；其中，Role为角色信息、Type为权限类型、Action为即操作方式、Target为操作目标、Context为上下文信息、TrustValue为信任值。

8.如权利要求6所述的系统，其特征在于所述权限划分模块根据其他M个自治域请求者角色映射到自治域B主体角色r的权限约束，将该角色r的权限集合划分为(M+2)个子权限集；其中，(M+2)个子权限集中包括：一空集子权限集，一个为角色人的权限全集，其余M个权限子集分别对应M个其他自治域的权限需求。