CN102932328B - 一种基于二进制序列集合的访问控制策略合成方法 - Google Patents

Abstract

本发明公开一种基于二进制序列集合的访问控制策略合成方法，首先定义二进制序列集合元素以及基于二进制序列的集合运算规则,根据以上定义，从属性约束层对实际的策略进行属性分解，并通过集合内部元素分离将策略正确的表达成为基于二进制序列的逻辑表达式。然后通过语义检查和移位合并，用以消除规则冗余和语义冲突问题。在此基础上，根据实际的安全需求定义基于二进制序列集合的逻辑合成算子，将合成方式转换成逻辑表达式。利用二进制序列可直接作为数据结构的特点，根据逻辑表达式可直接对基于二进制建模的策略空间计算合成结果，作为一种无需逻辑转换的策略代数实现机制。最后，将基于二进制集合形式的合成策略翻译成属性项策略。

Description

一种基于二进制序列集合的访问控制策略合成方法

技术领域

本发明涉及的是一种分布式系统中域间授权安全互操作方法，具体地说，是一种基于二进制序列集合(Bsset)的访问控制策略合成方法。

背景技术

随着大规模分布式网络应用的迅速发展，自治域之间的合作也会越来越频繁。其中，域间访问控制策略合成是分布式技术中聚合资源访问的关键安全要素。基于属性的访问控制能解决复杂系统中的细粒度的访问控制，为开放的分布式环境提供了较为理想的访问控制方案。并且利用离散代数可以将复杂的基于属性的策略合成方式用严谨的代数系统表达，基于代数的域间访问控制策略合成方法具体是指一类首先在逻辑层面对策略合成语义进行分析和定义，进而建立运算规则系统（即代数系统）进行合成演算的基于属性授权的访问控制策略合成方法。这类方法通常需要将实际的访问控制策略通过逻辑转换器转化为逻辑代数符号才能由计算机程序实现合成演算，因此可实现性差、运算效率低。

经对现有技术的文献检索发现，Bertino、LiNinghui等人在《AnAlgebraforFine-GrainedIntegrationofXACMLPolicies》一文中基于XACML策略描述形式提出用MTBDD(Multi-TerminalBinaryDecisionDiagrams)策略树转译实际策略的方法，以及相应的策略合成代数系统可解决细粒度的域间访问控制策略合成。这是目前已报道的最佳解决方法。但是，这一方法虽然解决了逻辑代数符号的转换代价，却由于策略树自身数据结构对于布尔属性约束的依赖性，会造成合并过程中的冗余以及系统规模庞大的问题，这也限制了该方法的合成运算性能。

发明内容

针对上述现有技术存在的不足，本发明要解决的问题是提供一种基于二进制序列集合的访问控制策略合成方法，采用二进制序列集合对域间访问控制策略进行基于属性约束的建模，这种建模方式无需通过逻辑转换器就可被计算机程序实现，并且基于这种建模方式设计了授权项间的逻辑算子，可进行多样化的域间策略合成演算。本发明可作为一种高效和易实现的域间访问控制策略合成方法。

为实现上述目的，本发明采用的技术方案是：首先定义二进制序列集合元素以及基于二进制序列的集合运算规则,根据以上定义，从属性约束层对实际的策略进行属性分解，并通过集合内部元素分离将策略正确的表达成为基于二进制序列的逻辑表达式。然后通过语义检查和移位合并，用以消除规则冗余和语义冲突问题。在此基础上，根据实际的安全需求定义基于二进制序列集合的逻辑合成算子，将合成方式转换成逻辑表达式。利用二进制序列可直接作为数据结构的特点，根据逻辑表达式可直接对基于二进制建模的策略空间计算合成结果，作为一种无需逻辑转换的策略代数实现机制。最后，将基于二进制集合形式的合成策略翻译成属性项策略。

本发明所述的基于二进制序列集合的访问控制策略合成方法，包括如下步骤：

步骤一：策略面向属性层分解；

步骤二：对步骤一的策略进行基于BSset的逻辑转换；

步骤三：对步骤二进行语义检查和移位化简；

步骤四：推导基于BSset的合成语义算子；

步骤五：根据步骤三和步骤四,用逻辑表达式刻画合成结构；

步骤六：对步骤五实现合成演算，输出策略合成结果。

进一步的，所述的步骤一，具体操作是：先对主体属性约束、客体属性约束、行动属性约束等基于属性约束翻译成一个原子布尔表达式aT*v,*∈(=,<,≤,>,≥)。然后对一个策略集中含有有限个不同的原子布尔表达式，依次编码一条策略规则就可以被抽象为通过逻辑符号与“∧”和或“∨”连接的原子布尔表达式组成的一个复合布尔表达式。进而，策略就可以用三组布尔表达式逻辑集合分别表示三值策略的允许集，拒绝集，以及“不适用”集，由于“不适用”的策略评估是允许集和拒绝集产生的矛盾，所以暂不考虑。

进一步的，所述的步骤二，具体为：首先根据二进制序列和序列集合的定义，步骤一所得策略二元组进一步转换成基于二进制序列集合BSset的逻辑形式；其次，将策略属性项集合进一步通过元素分离：（1）策略的允许集[S]_Y和拒绝集[S]_N分别与空集φ进行并运算U；（2）去除[S]_Y和[S]_N集合之间的交集部分[S]_Y∩[S]_N。即：

（1）[S]_Y=[S]_Y∪φ，[S]_N=[S]_N∪φ；

（2）[S]_Y=[S]_Y-([S]_Y∩[S]_N)，[S]_N=[S]_N-([S]_Y∩[S]_N)；

通过上述两个步骤转换成定义的二进制序列集合形式。

进一步的，所述的步骤三，具体为：检查步骤二后的二进制序列集合，是否存在语义冲突的项，若存在用条件判断语句检测并删除冲突路径。然后进行移位合并算法，消除冗余路径。

进一步的，所述的步骤四，具体为：根据实际的策略合成安全需求，组合基于BSset集合运算设计的5个基础语义算子推导出满足合成期望的合成语义算子。

进一步的，所述的步骤五，具体为：根据步骤三的结果，基于BSset的逻辑建模策略，和步骤四的结果，根据安全需求推导出的合成语义算子，将多策略的合成方式转换为合成逻辑表达式。

进一步的，所述的步骤六，具体为：根据步骤五的逻辑表达式，对合成空间计算合成结果，实现合成演算，并且对每次合并的结果进行语义冲突检测，去除矛盾的二进制序列，再进行移位合并化简，输出策略合成布尔表达式并进一步转换成语义描述形式。

本发明采用二进制序列集合元素对基于属性的访问控制策略进行逻辑建模，这种建模方式可被计算机程序直接实现。其次，将策略描述层的代数规则扩展到逻辑层，设计了基于二进制序列集合的逻辑运算合成算子。从而将多策略的合成方式转换为合成逻辑表达式实现合成演算，建立了一种新型的基于属性的细粒度策略代数合成方法。与基于MTBDD策略树的策略代数合成方法相比，消除了对于布尔表达式评估顺序依赖的特性，减小了系统规模，并且扩展了合成语义算子，具有更好的实际应用前景。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为基于二进制序列集合实施策略合成框架图。

具体实施方式

下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进。这些都属于本发明的保护范围。

本发明提出的是一种基于二进制序列集合的访问控制策略合成方法，为更好的理解本发明，首先给出相关定义。

定义1：二进制序列

一个二进制序列BinaryString（简称BS）为形如x₀x₁...x_n-1的字符串，用以表示析取布尔表达式x₀∧x₁∧...∧x_n-1，即BS≡(x₀x₁...x_n-1)，其中每一个x_i(i=0,1，...,n-1)的取值∈{0,1,*}。

在策略属性中，x_i表示第i个属性约束；根据属性布尔表达式的香农分解：若x_i值为1表示属性约束x_i取值为真；若x_i值为0表示属性约束x_i取值为假。并且引入*元素，简单将其看作1∨0=*合并，对于在某条规则中无需评估的原子布尔表达式，x_i取值就为*。在具体方法中，*经转换可用0和1表示，因此属性约束的取值可只用0和1表示，每个x_i可看作是一个二进制位bit。

定义2：二进制序列集合

一个二进制序列集合[S]（简称BSset）是由n个长度相等的二进制序列所组成的集合，[S]={S₁,S₂,...,S_n-1}表示布尔表达式S₁∨S₂∨...∨S_n-1,且S_i∩S_j=null(i≠j,1≤i,j≤n)。其中，每个S_i表示析取布尔表达式x₀∧x₁∧...∧x_n-1。

定义3：二进制序列间两种关系定义

关系S₁的第i位值和S₂的第i位值相同，或S₂的第i位值为*。

关系 $\&NotSubset;:S_1\&NotSubset;S_2\&DoubleLeftRightArrow;S_1$ 和S₂不满足 $S_1\&Subset;S_2.$

定义4：二进制序列及集合间的逻辑运算

定义二进制序列间的三种二元运算∩，-和一种一元运算以及二进制序列集合间的三种二元运算U，∩,-和一种一元运算

定义5：基于二进制序列集合的合成语义算子

策略代数模型具体是，将各种策略合成方式抽象为策略代数表达式。基于属性的代数系统中基础算子是并已证明其完备性和最小性。因此，根据二进制序列集合及定义的集合运算推导出这5个基本算子，其他合成语义算子都可由这5个符号逻辑组合表示。

定义4中的各运算规则具体如下：

●二进制序列S₁∩S₂与运算规则

二进制序列S₁和S₂按位进行与操作，位与运算按照以下运算法则：

0∩0=0	0∩1=null	0∩*=0
			1∩0=null	1∩1=1	1∩*=1
*∩0=0	*∩1=1	*∩*=*

按位与运算的结果中若存在null，则S₁∩S₂的结果即为null，否则按位与的结果即为S₁∩S₂的结果仍为二进制序列。

●二进制序列S₁-S₂减运算规则

BS减运算：定义序列减运算的结果通常为一个序列集合。

●二进制序列S₁∪S₂并运算规则

BS并运算：定义序列并运算的结果通常为一个序列集合。

●非运算规则

二进制序列按位进行非操作，非运算按照以下运算法则：

按位非的结果即为的结果，结果仍为二进制序列。

●二进制序列集合（BSset）[S]₁∩[S]₂与运算规则

BSset与运算：定义[S]₁∩[S]₂={S_k|S_k∈[S]₁且S_k∈[S]₂}。

●二进制序列集合（BSset）[S]₁-[S]₂减运算规则

BSset减运算：定义[S]₁-[S]₂={S_k|S_k∈[S]₁且S_k [S]₂}。

●二进制序列集合（BSset）[S]₁U[S]₂并运算规则

BSset并运算：定义[S]₁U[S]₂={S_k|S_k∈[S]₁或S_k∈[S]₂}。

●非运算规则

对于二进制序列集合的非运算，对集合中的每个元素进行非运算，即

定义5中的各基于二进制序列集合的基础合成语义算子如下：

●P_Y算子：allpermit策略

P_Y.[S]_Y={**...*}；P_Y.[S]_N=null

表示一条新的访问控制策略对于任何的授权项请求都授予允许。

●P_N算子：alldeny策略

P_N.[S]_Y=null；P_N.[S]_N={**...*}

表示一条新的访问控制策略对于任何的授权项请求都授予拒绝。

●+算子：策略加运算

$P_C=P_1+P_2\&DoubleLeftRightArrow;P_C.{\left[S\right]}_Y=P_1.{\left[S\right]}_Y\&cup;P_2.{\left[S\right]}_Y$

P_C.[S]_N=(P₁.[S]_N-P₂.[S]_Y)U(P₂.[S]_N-P₁.[S]_Y)

表示一条新的访问控制策略对于授权项请求如果被P₁允许或者被P₂允许，那么它被P₁+P₂允许；如果被P₁或P₂拒绝同时不被另一策略允许，那么它被P₁+P₂拒绝。

●&算子：策略与运算

P_C.[S]_N＝P₁.[S]_N∩P₂.[S]_N

表示一条新的访问控制策略对于授权项请求如果被P₁允许并且被P₂允许，那么它被P₁&P₂允许；如果同时被P₁和P₂拒绝，那么它被P₁&P₂拒绝。

●算子：策略非运算

P_C.[S]_N＝P.[S]_Y

表示一条新的访问控制策略对于授权项请求如果被P允许，那么它被拒绝；如果被P拒绝，那么它被允许。

根据上述的定义，建立了一个基于BSset的访问控制代数合成框架。主要分为三个部分：基于BSset的策略逻辑建模（PolicyModeling,PM），基于BSset的合成语义算子推导（CompositionAlgebra,CA）和策略合成演算实现（PoliciesComposition,PC）。其中，各部分分别由不同的模块组成，各模块间关系如（附图1）所示。各部分步骤如下。

策略逻辑建模（PM）是指基于BSset对策略进行逻辑抽象，PM的输入是有待合成的访问控制策略，PM的输出作为合成演算（PC）模块的一个输入。具体分为三个步骤：

1.步骤一：策略面向属性层分解

如果用集合S(subject)，A(action)，O(object)和C(condition)分别表示主体集，动作集，客体集以及动作条件集，那么可将访问控制策略表示为S×A×O×C的一个子集，以实体属性为参数进行策略合成的具体过程是围绕访问主体、客体和访问实施动作等几方面实体展开的。任意一个实体属性都有一个属性名称aT，并且有对应值域dom(aT)中的值。将所有(s,a,o,c)∈S×A×O×C的属性展开，定义aT₁,aT₂,...,aT_k为属性名称，对应的值v_i∈dom(aT_i)(1≤i≤k)，那么访问策略P≡{(aT₁,v₁),(aT₂,v₂),...,(aT_k,v_k)}。在实际的访问控制策略中，策略由策略规则组成，每条规则对同一访问请求给予允许、拒绝的评估结果。按照评估结果，策略可被定义成一个二元组<R_Y,R_N>，其中R_Y是对访问请求授予允许的规则集合，R_N是授予拒绝的集合，特别地，对于一个三值策略{Y，N,NA}，不适用的评估结果{NA}可通过R_Y与R_N的交集推得。

根据属性布尔表达式的香农分解：任何一个属性实体均可翻译成一个原子布尔表达式aT*v,*∈(=,<,≤,>,≥)，作为一个属性约束。一个策略集中含有有限个不同的原子布尔表达式，依次编码其中x_i表示不同的属性约束，取为真或假。进而，一条策略规则就可以被抽象为通过逻辑符号与“∧”和或“∨”连接的原子布尔表达式组成的一个复合布尔表达式。综上，定义一条策略P用两集合表示<[S]_Y,[S]_N>，其中[S]_Y为策略P对请求授予允许的复合布尔表达式，中[S]_N为策略P对请求授予拒绝的复合布尔表达式。

2.步骤二：对步骤一的策略进行基于BSset的逻辑转换

根据二进制序列和序列集合的定义，步骤一所得[S]_Y和[S]_N进一步转换成基于二进制序列集合的逻辑形式。首先，在策略属性中，x_i表示第i个属性约束；根据属性布尔表达式的香农分解：若x_i值为1表示属性约束x_i取值为真；若x_i值为0表示属性约束x_i取值为假。并且引入*元素，简单将其看作1∨0合并，对于在某条规则中无需评估的原子布尔表达式，x_i取值就为*。那么[S]_Y和[S]_N即转化为，如{1*1*1,1**11*}这类形式。

其次，根据序列集合定义，其元素满足两两不相交，即s₁∩s₁＝nul1，1≠1。显然[S]_Y和[S]_N并不满足，因此将[S]_Y和[S]_N集合分别两两元素分离，即进行如下操作：[S]_Y=[S]_YUφ，[S]_N=[S]_NUφ。

最后，分别去除[S]_Y和[S]_N集合之间的公共部分，即先计算[S]_Y和[S]_N的公共部分[S]_and=[S]_Y∩[S]_N，然后[S]_Y和[S]_N分别删去公共部分[S]_Y=[S]_Y-[S]_and，[S]_N=[S]_N-[S]_and。

3.步骤三：对步骤二进行语义检查和移位化简

经过上述步骤之后，仍然存在布尔表达式本身符合访问控制策略要求，但是实际语义产生矛盾。如存在布尔表达式为role=manager∧role=staff∧...，但实际上一个人的角色不能同时为经理和员工，因此产生了语义的冲突，需要进行删除。具体操作可以将限制约束转换为布尔表达式组，用条件判断语句检测并删除冲突路径。

对于n个原子布尔表达式，其编码顺序有2ⁿ种，MTBDD策略树的构造是根据给定的某种编码顺序，无法保证其为最简形式。因此造成了大量的冗余规则。基于二进制序列集合的策略建模和策略树建模方式虽都受限于编码顺序，但是作为二进制序列从x₀x₁...x_n-1到x_n-1x₀x₁...x_n-2，只需向右循环移动1bit位，如此往复n次就相当于不断在改变编码顺序。并且对于形如x₀...x_k...x_n-1和的两条路径的合并，也可被简化为1∨0=*的合并问题。因此，在基于二进制序列集合策略建模的基础上，在策略集合中通过循环移动bit位，每次寻找形如S_i=x₀x₁...x_n-20和S_j=x₀x₁...x_n-21的可合并序列，并合并为x₀x₁...x_n-2*，从而化为最简形式。

例如可以使用如下移位合并算法进行化简，具体操作如下：

第一步对初始二进制序列集合[S]，取得集合长度n（[S]中所含二进制序列个数）。

第二步遍历集合[S]中的每个元素S_i，寻找可与S_i合并元素S_j，若S_j存在，则按规则合并S_m=combine(S_i,S_j)并将S_m加入结果集合[S_result]；若S_j不存在，则直接将S_i加入结果集合[S_result]。

第三步[S_result]中所有二进制序列向右1bit位旋转，令[S_result]→[S]。

第四步循环次数count++，若count达到集合长度n次，则转第五步，若没达到，则转第二步。

第五步输出移位化简结果[S]。

合成语义算子推导（CA）是指用逻辑算子抽象合成语义。具体步骤如下:

4.步骤四：推导基于BSset的合成语义算子

根据实际的策略合成安全需求，组合基于BSset集合运算设计的5个基础语义算子推导出满足合成期望的合成语义算子，即可用代数表达式刻画不同的基于属性运算的策略合成语义。将推导出的合成语义算子作为合成演算（PC）模块的另一个输入。

基于BSset的策略逻辑合成（PC）是实现演算部分。具体的步骤如下：

5.步骤五：根据步骤三和步骤四,用逻辑表达式刻画合成结构

根据步骤三的结果，基于BSset的逻辑建模策略，和步骤四的结果，根据安全需求推导出的合成语义算子，将多策略的合成方式转换为合成逻辑表达式。如某种合成方式转换为：

6.步骤六：对步骤五实现合成演算

根据步骤五的逻辑表达式，对合成空间计算合成结果，实现合成演算，并且对每次合并的结果进行语义冲突检测，去除矛盾的二进制序列，再进行移位合并化简，输出策略合成布尔表达式。最后，二进制形式的策略翻译成语义描述形式的策略，即对于P_C的Permit策略，只需要将所有P_C.[S]_Y翻译得到的表达式用∨连接，对于P_C的Deny策略，只需要将所有P_C.[S]_N翻译得到的表达式用∨连接，就可以得到策略合成的最终结果。

基于上述描述，给出以下应用实例说明：

1.策略面向属性层分解

P1.Rule11：role=manager,act=readorupdate,time=[8am,6pm],effect=Permit.P1.Rule12：role=staff，act=read,effect=Deny.

P2.Rule21：role=managerorstaff，act=read,time=[8am,8pm],effect=Permit.P2.Rule22：role=staff，act=update,effect=Deny.

将原子布尔表达式进行编码如下：

X0	X1	X2	X3	X4	X5
						role=manager	role=staff	act=read	act=update	8≤t≤18	18≤t≤20

用基于约束的布尔表达式来定义上述两条策略：

[P₁.Y]={role=manager∧(act=read∨act=update)∧8≤t≤18}

[P₁.N]＝{role=staff∧act=read}

[P₂.Y]={(role=manager∨role=staff)∧act=read∧8≤t≤20}

[P₂.N]＝{role=staff∧act=update}

[P₁.N]＝{X₁∧X₂}

[P₂.Y]＝{(X₀∨X₁)∧X₂∧(X₄∨X₅)}

[P₂.N]＝{X₁∧X₃}

[P₁.Y]＝{(X₂∧X₂∧X₄)∨(X₀∧X₃∧X₄)}

[P₁.N]＝{X₁∧X₂}

[P₂.Y]＝{(X₀∧X₂∧X₄)∨(X₁∧X₂∧X₄)∨(X₀∧X₂∧X₅)∨(X₁∧X₂∧X₅)}

[P₂.N]＝{X₁∧X₃}

2.策略基于BSset逻辑转换

P₁.[S]_Y={1＊1＊1＊，1**11*}

P₁.[S]_N={*11***}

P₂.[S]_Y={1＊1＊1＊，*11*1*，1*1**1，*11**1}

P₂.[S]_N={＊1＊1＊＊}

P₁.[S]_Y=P₁.[S]_YUφ＝{1＊1＊1＊，1*011*}

P₁.[S]_N=P₁.[S]_NUφ＝{＊11＊＊＊}

P₂.[S]_Y=P₂.[S]_YUφ＝{1＊1＊1＊，011*1*，1*1*01，011*01}

P₂.[S]_N=P₂.[S]_NUφ＝{＊1＊1＊＊}

P₁.[S]_and=P₁.[S]_Y∩P₁.[S]_N={111＊1＊}

P₁.[S]_Y=P₁.[S]_Y-P₁.[S]_and={101＊1＊，1*011*}

P₁.[S]_N=P₁.[S]_N-P₁.[S]_and={011＊＊＊，111*0*}

P₂.[S]_and=P₂.[S]_Y∩P₂.[S]_N={11111＊，111101}

P₂.[S]_Y=P₂.[S]_Y-P₂.[S]_and={101＊1＊，101＊01，11101＊，111001,011*1*，011*01}

P₂.[S]_N=P₂.[S]_N-P₂.[S]_and={01＊1＊＊，1101**，111100}

3.语义检查和移位化简

一个人的role不可以既是manager又是staff，即P₂.[S]_Y的111001，P₂.[S]_N的1101**等等出现语义冲突，删除冲突元素后为：

P₁.[S]_Y={101＊1＊，1*011*}

P₁.[S]_N={011＊＊＊}

P₂.[S]_Y={101＊1＊，101*01，011*1*，011*01}

P₂.[S]_N={01＊1＊＊}

这里的移位化简为其自身，即此实例策略建模过程中不存在冗余路径。

4.根据安全需求，推导合成语义算子

组合基于BSset集合运算<U,∩,-,->设计的5个基础语义算子<P_Y,P_N,+,&,->，根据实际的安全需求，推导出满足合成期望的合成语义算子。

5.用逻辑表达式刻画合成方式，对形式化策略空间计算合成结果

如求P_C=P₁+P₂，步骤如下：

1)P_C.[S]_Y＝P₁.[S]_YUP₂.[S]_Y

={101*1*，1*011*}U{101*1*，101*01，011*1*，011*01}

={101*1*，1*011*，101*01，011*1*，011*01}

2)P₁.[S]_N-P₂.[S]_Y={011***}-{101*1*，101*01，011*1*，011*01}

={011*00}

P₂.[S]_N-P₁.[S]_Y={01*1**}-{101*1*，1*011*}

={01*1**}

P_C.[S]_N=(P₁.[S]_N-P₂.[S]_Y)U(P₂.[S]_N-P₁.[S]_Y)

={011*00,0101**，01111*，011101}

∴P_C=P₁+P₂的结果为：

P_C.[S]_Y={101*1*，1*011*，101*01，011*1*，011*01}

P_C.[S]_N={011*00,0101**，01111*，011101}

6.对合并结果进行语义检测以及移位化简，将合成结果布尔表达式翻译成原意

首先，经过语义冲突检测得到，

P_C.[S]_Y={101*1*，1*011*，101*01，011*1*，011*01}

P_C.[S]_N={011*00,0101**}

然后，进行“旋转合并”，可以看到二进制序列集合不变。

最后，每个二进制序列得到如下翻译：

P_C.[S]_Y

P_C.[S]_N

对于P_C的Permit策略，只需要将所有P_C.[S]_Y翻译得到的表达式用∨连接，对于P_C的Deny策略，只需要将所有P_C.[S]_N翻译得到的表达式用∨连接，就可以得到策略合成的最终结果。

虽然移位合并操作在上述实例里没有明显的效果，但是在实际大规模策略合成以及规则集多策略中有很重要的作用，下面简述一个移位操作的例子。

[S]={101*1,101*0,111*1,111*0,0*001,1*001}

最后，[S]＝{1*1**,**001}

从上面的例子中可以看出，原先的[S]集合的长度为6，也就是说它所对应的布尔表达式还有6个析取分量，而进行“移位合并”之后，[S]集合的长度减小为2，更重要的是，在转换的过程中，[S]集合所代表的布尔表达式的语义并没有改变。

本发明采用二进制序列集合元素对基于属性的访问控制策略进行逻辑建模，这种建模方式可被计算机程序直接实现。与Bonatti等基于逻辑的代数模型相比，本发明自动解决了逻辑程序转换和评估技术限制，与MTBDD策略树的策略代数相比，消去了对于布尔表达式评估顺序依赖的特性同时减小了系统规模，并且扩展了传统的合成语义算子，可支持更广泛的合成语义和实际应用。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变形或修改，这并不影响本发明的实质内容。

Claims (5)

1.一种基于二进制序列集合的访问控制策略合成方法，其特征在于包括如下步骤：

步骤一：策略面向属性层分解；

用集合S(subject)，A(action)，O(object)和C(condition)分别表示主体集，动作集，客体集以及动作条件集，将访问控制策略表示为S×A×O×C的一个子集，以实体属性为参数进行策略合成是围绕访问主体、客体和访问实施动作展开的；任意一个实体属性都有一个属性名称aT，并且有对应值域dom(aT)中的值；将所有(s,a,o,c)∈S×A×O×C的属性展开，定义aT₁,aT₂,…,aT_k为属性名称，对应的值v_i∈dom(aT_i)(1≤i≤k)，访问策略P≡{(aT₁,v₁),(aT₂,v₂),…,(aT_k,v_k)}；策略由策略规则组成，每条规则对同一访问请求给予允许、拒绝的评估结果，按照评估结果，策略被定义成一个二元组<R_Y,R_N>，其中R_Y是对访问请求授予允许的规则集合，R_N是授予拒绝的集合，对于一个三值策略{Y,N,NA}，不适用的评估结果{NA}通过R_Y与R_N的交集推得；

根据属性布尔表达式的香农分解：任何一个属性实体均能翻译成一个原子布尔表达式aT*v,*∈(＝,＜,≤,＞,≥)，作为一个属性约束；一个策略集中含有有限个不同的原子布尔表达式，依次编码其中x_i表示不同的属性约束，取为真或假，一条策略规则就能被抽象为通过逻辑符号与“∧”和或“∨”连接的原子布尔表达式组成的一个复合布尔表达式；定义一条策略P用两集合表示<[S]_Y,[S]_N>，其中[S]_Y为策略P对请求授予允许的复合布尔表达式，[S]_N为策略P对请求授予拒绝的复合布尔表达式；

步骤二：对步骤一的策略进行基于二进制序列集合BSset的逻辑转换；

根据二进制序列和序列集合的定义，步骤一所得[S]_Y和[S]_N进一步转换成基于二进制序列集合的逻辑形式；首先，在策略属性中，x_i表示第i个属性约束；根据属性布尔表达式的香农分解：若x_i值为1表示属性约束x_i取值为真；若x_i值为0表示属性约束x_i取值为假；并且引入*元素，将其看作1∨0合并，对于在某条规则中无需评估的原子布尔表达式，x_i取值就为*；[S]_Y和[S]_N即转化为{1*1*1,1**11*}这类形式；

其次，根据序列集合定义，其元素满足两两不相交，即S_i∩S_j＝null，i≠j，显然[S]_Y和[S]_N并不满足，因此将[S]_Y和[S]_N集合分别两两元素分离，即进行如下操作：[S]_Y＝[S]_YUφ，[S]_N＝[S]_NUφ；

最后，分别去除[S]_Y和[S]_N集合之间的公共部分，即先计算[S]_Y和[S]_N的公共部分[S]_and＝[S]_YI[S]_N，然后[S]_Y和[S]_N分别删去公共部分[S]_Y＝[S]_Y-[S]_and，[S]_N＝[S]_N-[S]_and；

步骤三：对步骤二结果进行语义检查和移位化简；

经过上述步骤之后，仍然存在布尔表达式本身符合访问控制策略要求，但是实际语义产生矛盾，需要进行删除，将限制约束转换为布尔表达式组，用条件判断语句检测并删除冲突路径；

对于n个原子布尔表达式，其编码顺序有2ⁿ种，MTBDD策略树的构造是根据给定的某种编码顺序，无法保证其为最简形式，造成了大量的冗余规则；基于二进制序列集合的策略建模和策略树建模方式虽都受限于编码顺序，但是作为二进制序列从x₀x₁...x_n-1到x_n-1x₀x₁...x_n-2，只需向右循环移动1bit位，如此往复n次就相当于不断在改变编码顺序，并且对于形如x₀...x_k...x_n-1和的两条路径的合并，也能被简化为1∨0＝*的合并问题；因此，在基于二进制序列集合策略建模的基础上，在策略集合中通过循环移动bit位，每次寻找形如S_i＝x₀x₁...x_n-20和S_j＝x₀x₁...x_n-21的可合并序列，并合并为x₀x₁...x_n-2*，从而化为最简形式；

使用如下移位合并算法进行化简，具体操作如下：

第一步对初始二进制序列集合[S]，取得集合长度n，[S]中所含二进制序列个数；

第二步遍历集合[S]中的每个元素S_i，寻找可与S_i合并元素S_j，若S_j存在，则按规则合并S_m＝combine(S_i,S_j)，并将S_m加入结果集合[S_result]；若S_j不存在，则直接将S_i加入结果集合[S_result]；

第三步[S_result]中所有二进制序列向右1bit位旋转，令[S_result]→[S]；

第四步循环次数count++，若count达到集合长度n次，则转第五步，若没达到，则转第二步；

第五步输出移位化简结果[S]；

步骤四：推导基于二进制序列集合BSset的合成语义算子；

步骤五：根据步骤三和步骤四，用逻辑表达式刻画合成结构；

步骤六：对步骤五实现合成演算，输出策略合成结果。

2.根据权利要求1所述的一种基于二进制序列集合的访问控制策略合成方法，其特征是，所述的步骤四，具体为：根据实际的策略合成安全需求，组合基于BSset集合运算设计的5个基础语义算子推导出满足合成期望的合成语义算子；其中5个基础语义算子如下：

P_Y算子：allpermit策略；

P_N算子：alldeny策略；

+算子：策略加运算；

&算子：策略与运算；

算子：策略非运算。

3.根据权利要求1所述的一种基于二进制序列集合的访问控制策略合成方法，其特征是，所述的步骤五，具体为：根据步骤三的结果，基于BSset的逻辑建模策略，和步骤四的结果，根据安全需求推导出的合成语义算子，将多策略的合成方式转换为合成逻辑表达式。

4.根据权利要求1所述的一种基于二进制序列集合的访问控制策略合成方法，其特征是，所述的步骤六，具体为：根据步骤五的逻辑表达式，对合成空间计算合成结果，实现合成演算，并且对每次合并的结果进行语义冲突检测，去除矛盾的二进制序列，再进行移位合并化简，输出策略合成布尔表达式并进一步转换成语义描述形式。

5.根据权利要求1-4任一项所述的一种基于二进制序列集合的访问控制策略合成方法，其特征是，所述BSset是指一个二进制序列集合[S]，是由n个长度相等的二进制序列所组成的集合，[S]＝{S₁,S₂,...,S_n-1}表示布尔表达式S₁∨S₂∨...∨S_n-1,且S_i∩S_j＝null(i≠j,1≤i,j≤n)，其中，每个S_i表示析取布尔表达式x₀∧x₁∧...∧x_n-1。