CN104683348A - 一种基于属性的访问控制策略合成方法 - Google Patents

Abstract

在实现跨域资源的访问控制中，基于属性的访问控制的策略的合成方法是关键技术。本发明通过实体属性定义实体之间的授权，将主体信任度作为单独属性谓词加入到访问控制策略的属性授权项中，扩展了现有的策略合成，增强了策略合成的表述能力，保证了安全域内各对象的安全。本发明定义了6个加入信任度的策略合成算子用来实现访问控制策略合成，并借助现有策略表示的一些代数属性验证了策略合成的结构是否能够满足参与策略合成各方对资源的保护性需求。

Description

一种基于属性的访问控制策略合成方法

技术领域

本发明涉及一种访问控制策略合成方法，属于计算机通信领域。

背景技术

随着网络的快速发展，各种基于互联网的新兴应用对分布式系统间互操作的需求越来越迫切。这些新的应用大多处于分布状态，需要相互协作、共享，在异构环境下需要进行跨域的安全访问控制策略的合成。基于属性的访问控制越来越受到关注，它不仅支持RBAC模型，还可以灵活地表达细粒度的授权。访问控制策略合成的过程是多条访问控制策略生成一条新的访问控制策略的过程，其过程和方式复杂，涉及到参与访问控制策略合成各方的安全策略约束，用代数的方法刻画访问控制策略合成的属性有助于明确访问控制策略的结构、验证访问控制策略合成结果的正确性和安全性。同时利用离散代数可以将复杂的基于属性的策略合成方式用严谨的代数系统表达，使得域间具有形式化推理演算能力。

目前已有的各种访问控制策略合成方法存在以下技术问题：或没有在基于属性的访问控制策略表达式中考虑环境因素对策略合成的影响，或没有涉及到减算子，或没有解决投票算子存在的安全威胁。

发明内容

为解决以上技术问题，本发明提出了一种基于属性的访问控制策略合成方法。为实现本发明，采用以下技术方案：

该方法包含如下步骤：

第一步，将基于属性的访问控制策略面向属性层进行分解；

第二步，对步骤一的结果进行基于属性的访问控制策略代数表达式转换；

第三步，对步骤二的转换结果检查是否是异构策略；如果是异构策略，则对相应的属性授权项进行扩展。如果不是异构策略执行步骤四。

第四步，检测访问控制策略是否存在冲突，如果不存在冲突，直接进行访问控制策略的合成；如果存在冲突，则执行第五步。

第五步，根据步骤四中存在的冲突，选择基于属性的访问控制策略合成代数的策略合成算子；

第六步，根据步骤五选择的策略合成算子实现合成演算，如果访问控制策略合成成功则输出策略合成结果；如果访问控制策略合成失败，则选择其他的访问控制策略冲突消解的方法。

进一步的，步骤一中将基于属性的访问控制策略面向属性层进行分解时，先对策略中的各个属性进行分解，并用ap_i*val表示一个属性约束，其中ap_i表示第i个属性，*∈{≤,≥,＝,＜,＞}，val为属性的值，为数字或文字。

进一步的，属性约束包括主体属性约束、客体属性约束、环境属性约束、主体的信任度约束、操作属性约束。

进一步的，对步骤一的结果进行基于属性的访问控制策略代数表达式的转换时，用SAP_i表示主体的第i个属性，用OAP_j表示客体的第j个属性，用EAP_k表示环境的第k个属性，用Ts_m表示第m个主体的信任度属性，访问主体对客体资源的操作用OP_l表示资源的第l个属性，用＜S,O,E,T,OP＞五元组表示一个属性授权项，其中S表示主体的所有属性，O表示客体的所有属性，E表示环境的所有属性，T表示主体的信任度，OP表示访问主体对客体资源能执行的所有操作，多个属性授权项构成一个访问控制策略

pol＝{ATT₁,ATT₂,...,ATT_n}＝{(SAP₁,OAP₁,EAP₁,T_s1,OP₁),(SAP₂,OAP₂,EAP₂,T_s2,OP₂),...,(SAP_n,OAP_n,EAP_n,T_sn,OP_n)},其中ATT_i为策略pol中主客体之间授权关系的形式化描述。

进一步的，步骤五中选择基于属性的访问控制策略合成代数的合成算子时，根据各域的安全需求选择相应的策略合成算子，策略合成算子包括：⊕算子，策略“或”算子；策略“与”算子；-算子，策略“减”算子；pol^con算子，限制算子；F_w算子，模态函数算子；TV^(m,n)算子，给予信任度的投票算子。

进一步的，所述策略合成算子中信任度包括直接信任度DT(x_i,x_j)和推荐信任度RT(x_i,x_j)，

$\mathrm{DT}=(x_i,x_j)={{\mathrm{DT}}_{\mathrm{ij}}}^k(x_i,x_j)=\left\{\begin{array}{cc}0.5\mathrm{\α}+\mathrm{\σ}(1-\mathrm{\α}){{\mathrm{DT}}_{\mathrm{ij}}}^1(x_i,x_j),& k=1\\ {{\mathrm{\αDT}}_{\mathrm{ij}}}^{k-1}(x_i,x_j)+\mathrm{\σ}(1-\mathrm{\α}){{\mathrm{DT}}_{\mathrm{ij}}}^k(x_i,x_j)& k\≥2\end{array}\right.,$

其中α为历史因子，且0≤α≤1，s表示成功交易的次数，k表示总交易次数； $\mathrm{RT}(x_i,x_j)=\frac{\underset{k=1}{\overset{n}{\mathrm{\Σ}}}\mathrm{DT}(x_i,x_k)*\mathrm{DT}(x_k,x_j)}{N},$ 其中N是推荐实体的个数，最后信任度 $T_S=T_{x_i}=\mathrm{\βDT}(x_i,x_j)+(1-\mathrm{\β})\mathrm{RT}(x_i,x_j),$ 其中β表示直接信任度在综合的信任度中所占的比重，且0≤β≤1。

由于在访问控制策略的表达式中加入了信任度这个特殊的属性，扩展了访问控制策略的表达，能够更好地实现安全的访问控制。另外，加入的信任度属性能够监控访问控制请求的主体在授权后的行为，并在访问控制过程中出现调整甚至撤销访问控制主体的权限，防止非法的操作。

具体实施例

一种基于属性的访问控制策略合成方法，具体合成步骤如下：

1、将基于属性的访问控制策略面向属性层进行分解；先对策略中的各个属性进行分解，并用ap_i*val表示一个属性约束，其中ap_i表示第i个属性，*∈{≤,≥,＝,＜,＞}，val为属性的值，为数字或文字。属性约束包括主体属性约束、客体属性约束、环境属性约束、主体的信任度约束、操作属性约束。

2、对步骤1的结果进行基于属性的访问控制策略代数表达式转换；用SAP_i表示主体的第i个属性，用OAP_j表示客体的第j个属性，用EAP_k表示环境的第k个属性，用Ts_m表示第m个主体的信任度属性，访问主体对客体资源的操作用OP_l表示资源的第l个属性，用＜S,O,E,T,OP＞五元组表示一个属性授权项，其中S表示主体的所有属性，O表示客体的所有属性，E表示环境的所有属性，T表示主体的信任度，OP表示访问主体对客体资源能执行的所有操作，多个属性授权项构成一个访问控制策略

pol＝{ATT₁,ATT₂,...,ATT_n}＝{(SAP₁,OAP₁,EAP₁,T_s1,OP₁),(SAP₂,OAP₂,EAP₂,T_s2,OP₂),...,(SAP_n,OAP_n,EAP_n,T_sn,OP_n)},其中ATT为主客体之间授权关系的形式化描述。

3、对步骤2的转换结果检查是否是异构策略；如果是异构策略，则对相应的属性授权项进行扩展。如果不是异构策略执行步骤4。

4、检测访问控制策略是否存在冲突，如果不存在冲突，直接进行访问控制策略的合成；如果存在冲突，则进行策略协商。

5、根据步骤4中存在的冲突，选择基于属性的访问控制策略合成代数的合成算子；根据各域的安全需求选择相应的策略合成算子，策略合成算子包括：⊕算子，策略“或”算子；策略“与”算子；-算子，策略“减”算子；pol^con算子，限制算子；F_w算子，模态函数算子；TV^(m,n)算子，给予信任度的投票算子。假设pol_A＝{ATT_A1,ATT_A2,...,ATT_An}和pol_B＝{ATT_B1,ATT_B2,...,ATT_Bn}，pol_A⊕pol_B＝{ATT_A1ATT_A2,...,ATT_An}∨{ATT_B1,ATT_B2,...,ATT_Bn}＝{ATT_A1ATT_A2,...,ATT_An}或{ATT_B1,ATT_B2,...,ATT_Bn}；

＜ATT_A2∧ATT_B2＞,...,＜ATT_An∧ATT_Bn}；pol-pol_B＝{ATT_A1,ATT_A2,...,ATT_An}-{ATT_B1,ATT_B2,...,ATT_Bn}＝{＜ATT_A1-ATT_B1＞,＜ATT_A2-ATT_B2＞,...,＜ATT_An-ATT_Bn}；TV^(m,n)(pol₁,pol₂,...,pol_n)＝pol₁∧pol₂∧...∧pol_n。

如果没有合适的算子，则通过策略协商解决访问控制策略合成过程中的冲突。假设有自治域A和自治域B，它们的各自的策略分别为pol_A和pol_B。对于一条访问控制请求，如果满足pol_A和pol_B中其中一条策略即可授权的话，则选择⊕算子进行策略的合成；如果必须同时满足pol_A和pol_B才可授权，则选择算子进行策略的合成；如果满足pol_A不满足pol_B的允许授权访问，此时选择减算子进行策略的合成。对于pol_A有特殊要求的，此时既要满足pol_A也要满足其限制con，选择pol_A ^con算子来进行策略的合成。F_w模态函数算子主要是用户根据实际的情况来定义的函数，比如平均数，方差等。给予信任度的投票算子TV^(m,n)在策略合成过程中需要至少同时满足其中的m条策略时才能授权，在这m条策略中必须有一条是客体资源所在自治域提供的，此处的m是根据具体的情况而定，n是由参与策略合成的各方协商决定的。

6、根据步骤5选择的合成算子实现合成演算，如果访问控制策略合成成功则输出策略合成结果；如果访问控制策略合成失败，则选择其他的访问控制策略冲突消解的方法。策略合成算子中信任度包括直接信任度DT(x_i,x_j)和推荐信任度RT(x_i,x_j)，

$\mathrm{DT}=(x_i,x_j)={{\mathrm{DT}}_{\mathrm{ij}}}^k(x_i,x_j)=\left\{\begin{array}{cc}0.5\mathrm{\α}+\mathrm{\σ}(1-\mathrm{\α}){{\mathrm{DT}}_{\mathrm{ij}}}^1(x_i,x_j),& k=1\\ {{\mathrm{\αDT}}_{\mathrm{ij}}}^{k-1}(x_i,x_j)+\mathrm{\σ}(1-\mathrm{\α}){{\mathrm{DT}}_{\mathrm{ij}}}^k(x_i,x_j)& k\≥2\end{array}\right.,$ 其中α为历史因子，且0≤α≤1，表示以历史信任度在当前信任度计算中所占的比重。α越小表示历史交易信息对信任值的计算影响权值越小。s表示成功交易的次数，k表示总交易次数。引入σ的目的是为了激励信任度高的实体不放弃之前已经成功交互后获得的信任值，防止其进行不诚实或者恶意的行为。推荐信任度是指与实体x_i和实体x_j交互过的一些中间实体，通过这些中间实体间接计算得到的信任度值，表示为 $\mathrm{RT}(x_i,x_j)=\frac{\underset{k=1}{\overset{n}{\mathrm{\Σ}}}\mathrm{DT}(x_i,x_k)*\mathrm{DT}(x_k,x_j)}{N},$ 其中N是推荐实体的个数，DT(x_i,x_k)表示实体x_k对实体x_i的直接信任度，DT(x_k,x_j)表示实体x_j对实体x_k的直接信任度。用实体x_k对实体x_i的信任度作为推荐信任系数，可以防止个别实体在进行推荐时实施夸大或诋毁等行为。

本发明使用的信任度通过直接信任度和推荐信任度计算得到，用表示，其中0≤β≤1，β表示直接信任度在综合信任度中的权值，当β越趋向于1时，直接信任度对综合信任度的影响越大。每个实体的信任取值区间为[0,1.0]，初值为0.5，表示一种中等信任。如果一个访问主体的信任度越来越低甚至为零的时候，说明该实体不可信。

假设四个安全域A、B、C、D的策略分别为：

Area A：主体是工作资历大于5且信任度不低于0.8的用户在经历链路状态为secure的情况下，可在2015年12月31日之前访问安全级别不高于2且信任度不高于0.7的客体资源进行read操作。

Area B：主体是工作资历大于5且信任度不低于0.8的用户在经历链路状态为secure的情况下，可在2015年12月31日之前访问安全级别不高于2且信任度不高于0.8的客体资源进行read操作。

Area C：主体是工作资历大于5且信任度不低于0.8的用户在经历链路状态为secure的情况下，可在2015年12月31日之前访问安全级别不高于2的客体资源进行read操作。

Area D：主体是工作资历大于5，安全级别不低于3且信任度不低于0.8的用户可在2016年12月31日之前访问安全级别不高于3且信任度不高于0.8的客体资源执行write操作。

各个域的策略形式如下：

Area A:pol_A＝{[＜sap_A1＞,＜oap_A1＞,＜oap_A2＞,＜eap_A1＞,＜eap_A2＞,＜T_SA1＞,＜op_A1＞]|sap_A1＞5,oap_A1≤2,oap_A2≤0.7,eap_A1＝secure,eap_A2＜2015.12.31,op_A1＝read}

Area B:pol_B＝{[＜sap_B1＞,＜oap_B1＞,＜oap_B2＞,＜eap_B1＞,＜eap_B2＞,＜T_SB1＞,＜op_B1＞]|sap_B1＞5,oap_B1≤2,oap_B2≤0.8,eap_B1＝secure,eap_B2＜2015.12.31,op_B1＝read}

Area C:pol_C＝{[＜sap_C1＞,＜oap_C1＞,＜eap_C1＞,＜eap_C2＞,＜T_SC1＞,＜op_C1＞]|sap_C1＞5,oap_C1≤2,eap_C1＝secure,eap_C2＜2015.12.31,op_C1＝read}

Area D:pol_D＝{[＜sap_D1＞,＜sap_D2＞,＜oap_D1＞,＜oap_D2＞,＜eap_D1＞,＜T_SD1＞,＜op_D1＞]|sap_D1＞5,sap_D2≥3,oap_D1≤3,oapD₂≤0.8,eap_D1＜2015.12.31,op_D1＝write}.

分析四个安全域的策略两两合成的可能结果。

(1)Area A和Area B可能的策略合成结果如下：

pol_A和pol_B是相容策略。唯一不同的是在访问的资源客体的信任度上pol_B高于pol_A，这使得pol_B所允许的访问控制请求包含了pol_A的访问控制请求。

(a)如果Area B同意“Area A不允许的访问不被访问”，即同时满足Area A和Area B双方的策略，则合成的策略可以表示为

(b)如果Area A同意“Area B允许的访问”，即满足Area B或Area A其中的任何一方，则合成的策略可以为

(c)如果Area A和Area B经过协商，双方共同决定主体的工作资历和信任度通过策略协商决定“主体的工作资历大于5且信任度不低于0.8的用户可以访问用户在链路状态为secure的情况下，可在2015年12月31日之前对安全级别为不高于2且信任度不高于0.75的客体进行read操作”，即

F_w(pol_A,pol_B)＝{[＜5＞,＜2,0.75＞,＜secure,2015.12.31＞,＜0.8＞,＜read＞]}其中w＝f(f_S1,f_O1,f_O2,f_E1,f_E2,f_T,f_OP1)，f_S1，f_O1，f_T为N⁺上的最大值算子，f_O2为R^*上均值算子，f_E1为{secure,insecure}上的二元算子，并且满足任意的eap_A1,eap_B1∈{secure,insecure,…}，若eap_A1＝eap_B1，则有f_E1(eap_A1,eap_B1)＝eap_B1。f_E2为日期类值域内的最小值二元算子，f_OP1为{read,write}上的二元算子，并且对任意的{read,write}上的二元算子，满足对任意的op_A1,op_B1∈{read,write}，若op_A1＝op_B1，则有f_OP1(op_A1,op_B1)＝op_A1。

假设当前有一用户Q其主体的信任度为0.9，工作资历大于5，当前用户访问的链路状态为secure下请求访问安全级别为1，资源信任度0.9的客体资源。属性授权项表示为ATT_Q＝{[＜5＞,＜2,0.7＞,＜secure,2015.12.31＞,＜0.9＞,＜read＞]}，ATT_Q∈F_w(pol_A,pol_B)所以该用户可以对客体资源进行read操作。主体用户的信任度值是实时变化的，如果在主体访问客体资源的时候，由于之前和其他用户交互时的虚假行为主体的信任度降低。现在通过信任度反馈过来，用户的信任度值降低至0.7，此时，该主体用户对客体资源的访问权限应该被立即收回，以确保被访问的客体资源的安全。

自治域A和自治域B的访问控制策略合成结果表明，算子并和算子交可以完成传统集合运算的语义，求平均值函数可以用模态算子来实现，这样可以用模态算子解决更复杂的策略合成场景；加入的信任度属性是用来周期性的监控访问控制主体的行为，防止非法的行为，以保证客体资源的安全。

(2)Area A和Area C中的策略合成可能的结果如下：

pol_A与pol_C由于pol_C中客体的信任度属性需要扩展所以是不相容的策略。

(a)若Area A同意Area C允许的访问，则合成结果为其中con约束客体信任度大于0.7，即T_SC＞0.7。

(b)如果Area C同意Area A不允许的访问不能被访问，则合成策略为其中con约束主体信任度不高于0.7，即T_SC≤0.7。

自治域A和自治域C的访问控制策略合成结果表明，pol^con算子可以把访问控制策略合成过程中的相容策略转变成不相容的策略，还支持文献^[5]中的约束算子。在访问控制策略合成过程中加入的信任度作为策略合成当中的一个重要部分，能够保证客体资源的安全性，同时也可以作为下次访问授权时的依据。

(3)Area A和Area D策略可能的合成结果如下：

pol_A和pol_D是相容策略，由于这两条策略在多个属性(客体的安全级别、客体的信任度、链路状态和操作权限)的值域取值各不相同，并且主体的安全级别属性需要扩展，所以策略合成显得比较复杂。下面对于访问控制策略和成果过程中涉及到策略协商的属性进行分析：

(a)如果自治域A同意自治域D在主体安全级别上的要求，则访问控制策略合成对主体的信任度最低为3，即sap_D2≥3；

(b)如果在访问客体的安全级别上，为了避免高安全级别的信息泄露，Area D同意Area A，则oap_A1≤2；

(c)自治域A和自治域D通过策略协商，决定选择模态函数中的取平均值函数进行访问控制策略的合成，其访问控制策略合成结果为访问控制客体的信任度要求不高于0.75即oap_D2≤0.75；

(d)如果在环境属性的约束上，对是否通过安全链路访问，Area D同意Area A，则eap_A1＝secure；

(e)对于访问的有效期，Area D同意Area A，限制为2015.12.31，即eap_D2≤2015.12.31；

(f)在访问的操作上，Area D同意Area A，则合成的策略的操作值为read。

用策略算子F_w(pol_A,pol_D)＝{＜5,3＞,＜2,0.75＞,＜secure,2015.12.31＞,＜0.8＞,＜read＞}，表示“主体工作资历大于5、信任度不低于0.8且安全级别不低于3的主体在经过链路状态为secure的情况下，可在2015年12月31日之前对安全级别不高于2且信任度不高于0.75的客体进行read操作”。其中w＝(f_S1,f_S2,f_O1,f_O2,f_E1,f_E2,f_T,f_OP1)，f_S1，f_T，f_O1为N上的最大值算子，f_T为R⁺上的均值算子。f_S2为N上任意一个二元算子的扩张，且满足任意的sap_D2∈N，为N上最小值算子，f_E1为{secure,insecure}上二元算子的扩展，且满足eap₁∈{secure,insecure}，f_E2为日期值域上的最小值算子，f_OP1为f_OP1∈{read,write}上的二元算子，且满足f_OP1(read,write)＝read。

(4)Area A、Area B、Area C和Area D策略合成可能的策略合成结果如下：

由四条策略合成一条策略，各个属性值域上的值域不同，有些属性部分需要扩展，合成过程中需要协商属性。四条策略的合成不是任意两条策略合成之后再把合成后的策略进行第二次合成，它是从宏观上综合考虑四条策略即逐个属性考虑。现在假设TV^(3,4)，其意义是在p_A，p_B，p_C和p_D四条访问控制策略中需要访问控制请求符合至少符合其中的三条策略才可以允许访问。

第一种情况，取四个自治域的策略中各个属性授权项的公共部分，则只要用户的访问控制请求在此范围内的即可允许访问。TV^(3,4)(pol_A,pol_B,pol_C,pol_D)＝{＜5,3＞,＜2,0.8＞,＜secure,2015.12.31＞,＜read＞,＜0.8＞}即主体是工作资历大于5且信任度不低于0.8的用户在经历链路状态为secure的情况下，可在2015年12月31日之前访问安全级别不高于2且信任度不高于0.8的客体资源进行read操作。假设当前有一用户U，其主体用户的工作资历为6，安全级别为4且信任度为0.95客户想要在链路状态为secure的情况下于2015年2月14日访问安全级别为1且信任度为0.6的客体资源并执行read操作，该请求的每个属性授权项都是TV^(3,4)(pol_A,pol_B,pol_C,pol_D)策略每一个属性授权项的一个子集，即该用户的访问控制请求结果是被允许的，且返回结果为true。

第二种情况，假设TV^(3,4)(pol_A,pol_B,pol_C,pol_D)中符合的是pol_A、pol_B和pol_D三个策略，其中自治域A为资源所在域，即访问控制策略合成中的策略必须包含访问控制策略pol_A，则策略合成的可能的结果如下：

(a)如果Area B同意“Area A不允许的访问不被访问”，则策略的合成结果为其中con1约束为客体的信任度不高于0.7即oap₂≤0.7，则策略合成的结果为pol_A与pol_D再进行策略的合成，其合成结果有以下几种可能：

a1:在主体的安全等级属性上，如果Area A同意“Area D不允许的访问不允许访问”，则主体安全等级属性授权项的合成结果为其中con2约束为主体的安全等级不小于3即如果Area D同意Area A允许的访问，则主体安全属性等级属性授权项的合成结果为其中con3约束主体的安全等级小于3，即

a2:在客体的安全等级属性上，为了更好的保护资源一般降低访问的客体资源的安全等级以保护资源的安全，则同时满足两个访问控制属性授权项，故 ${\mathrm{oap}}_{A2}\⊗{\mathrm{oap}}_{D2}={\mathrm{oap}}_{A2}.$

a3：在环境属性中的链路状态属性上，为了确保访问控制请求的中的重要信息(敏感属性)的安全，要求访问时的链路状态为secure。

a4:在环境属性中的访问时间属性上，如果Area D同意“Area A不允许的访问不被访问”，则环境属性的访问时间属性授权项为即eap_A2＜2015.12.31。如果Area A同意Area D允许的访问，则环境属性的访问控制属性授权项为eap_A2⊕eap_D2＝eap_D2即eap_D2＜2016.12.31。

a5：在操作集中的操作属性上，为了保证客体资源的安全，一般采用的都是最小权限原则即同时满足策略合成两方的操作，即

a6：在客体的信任度属性上，经过自治域A和自治域D的协商，为了给用户提供更多的客体资源访问决定采用自治域D对客体资源访问时的客体信任度的要求，对客体的信任度要求为不高于0.8，即oap_D2≤0.8。

(b)如果Area A同意Area B允许的访问，则策略的合成结果为其中con2约束为客体的信任度大高于0.8即oap₂≤0.8，则策略合成的结果为pol_B与pol_D再进行策略的合成，其合成结果的结果同(a)，不同的是在客体的信任度属性上，如果Area A同意“Area D不允许的访问不被访问”，则客体的信任度属性授权项为如果AreaD同意Area A允许的访问，则客体的属性授权项为oap_A2⊕oap_D2＝oap_A2。

以上用到的策略合成方法在完成传统策略合成的基础之上，引入了F_w、pol^con、TV^(m,n)，增强了策略合成的灵活性和语义表达能力，支持传统的访问控制策略合成中的并、交、差、减，减除算子的功能，还能够根据具体的应用环境进行策略协商，这使得访问控制策略合成过程更加灵活。同时，还可以根据互联网环境下的实际需要将信任度作为一个重要的访问控制属性引入到策略表达式中，将信任度对访问控制的影响在所有算子中都有所体现。扩展的策略合成代数也包含了对信任度的合成，符合分布式环境下访问控制对安全策略合成的实际需求。本发明中的基于属性的访问控制策略合成方法针对的环境中实体对象的属性，确保了访问控制安全策略的高度灵活性、细粒度，适合开放的动态的、动态的分布式环境。

Claims (6)

1.一种基于属性的访问控制策略合成方法，其特征在于：该方法包含如下步骤：

第一步，将基于属性的访问控制策略面向属性层进行分解；

第二步，对步骤一的结果进行基于属性的访问控制策略代数表达式转换；

第三步，对步骤二的转换结果检查是否是异构策略，如果是异构策略，则对相应的属性授权项进行扩展；如果不是异构策略执行步骤四。

第四步，检测访问控制策略是否存在冲突，如果不存在冲突，直接进行访问控制策略的合成；如果存在冲突，则执行步骤五。

第五步，根据步骤四中存在的冲突，选择基于属性的访问控制策略合成代数的策略合成算子；

第六步，根据步骤五选择的策略合成算子实现合成演算，如果访问控制策略合成成功则输出策略合成结果；如果访问控制策略合成失败，则选择其他的访问控制策略冲突消解的方法。

2.根据权利要求1所述的一种基于属性的访问控制策略合成方法，其特征在于：所述步骤一中，将基于属性的访问控制策略面向属性层进行分解时，先对策略中的各个属性进行分解，并用ap_i*val表示一个属性约束，其中ap_i表示第i个属性，*∈{≤,≥,＝,＜,＞}，val为属性的值，为数字或文字。

3.根据权利要求1所述的一种基于属性的访问控制策略合成方法，其特征在于：所述属性约束包括主体属性约束、客体属性约束、环境属性约束、主体的信任度约束、操作属性约束。

4.根据权利要求1所述的一种基于属性的访问控制策略合成代数，其特征在于：所述步骤二中，对步骤一的结果进行基于属性的访问控制策略代数表达式的转换时，用SAP_i表示主体的第i个属性，用OAP_j表示客体的第j个属性，用EAP_k表示环境的第k个属性，用Ts_m表示第m个主体的信任度属性，访问主体对客体资源的操作用OP_l表示资源的第l个属性，用＜S,O,E,T,OP＞五元组表示一个属性授权项，其中S表示主体的所有属性，O表示客体的所有属性，E表示环境的所有属性，T表示主体的信任度，OP表示访问主体对客体资源能执行的所有操作，多个属性授权项构成一个访问控制策略

$\mathrm{pol}=\{{\mathrm{ATT}}_1,{\mathrm{ATT}}_2,...,{\mathrm{ATT}}_n\}=\{({\mathrm{SAP}}_1,{\mathrm{OAP}}_1,{\mathrm{EAP}}_1,T_{s_1},$ ${\mathrm{OP}}_1),({\mathrm{SAP}}_2,{\mathrm{OAP}}_2,{\mathrm{EAP}}_2,T_{s_2},{\mathrm{OP}}_2),...,({\mathrm{SAP}}_n,{\mathrm{OAP}}_n,{\mathrm{EAP}}_n,T_{s_n},{\mathrm{OP}}_n)\},$ 其中ATT_i为策略pol中主客体之间授权关系的形式化描述。

5.根据权利要求1所述的一种基于属性的访问控制策略合成方法，其特征在于：所述步骤五，选择基于属性的访问控制策略合成代数的合成算子时，根据各域的安全需求选择相应的策略合成算子，策略合成算子包括：⊕算子，策略“或”算子；算子，策略“与”算子；-算子，策略“减”算子；pol^con算子，限制算子；F_w算子，模态函数算子；TV^(m,n)算子，给予信任度的投票算子,其中参与最终访问控制策略的合成中必须有资源所在域的策略。

6.根据权利要求4所述的一种基于属性的访问控制策略合成方法，其特征在于：所述策略合成算子中信任度包括直接信任度DT(x_i,x_j)和推荐信任度RT(x_i,x_j)，

$\mathrm{DT}(x_i,x_j)={\mathrm{DT}}_{\mathrm{ij}}^k(x_i,x_j)=\left\{\begin{array}{cc}0.5\mathrm{\α}+\mathrm{\σ}(1-\mathrm{\α}){D{T}_{\mathrm{ij}}}^1(x_i,x_j)& k=1\\ \mathrm{\α}{{\mathrm{DT}}_{\mathrm{ij}}}^{k-1}(x_i,x_j)+\mathrm{\σ}(1-\mathrm{\α}){{\mathrm{DT}}_{\mathrm{ij}}}^k(x_i,x_j)& k\≥2\end{array}\right.,$

其中α为历史因子，且0≤α≤1，s表示成功交易的次数，k表示总交易次数； $\mathrm{RT}(x_i,x_j)=\frac{\underset{k=1}{\overset{n}{\mathrm{\Σ}}}\mathrm{DT}(x_i,x_k)*\mathrm{DT}(x_k,x_j)}{N},$ 其中N是推荐实体的个数，最后信任度 $T_S=T_{x_i}=\mathrm{\βDT}(x_i,x_j)+(1-\mathrm{\β})\mathrm{RT}(x_i,x_j),$ 其中β表示直接信任度在综合的信任度中所占的比重，且0≤β≤1。