CN109829314B - 一种危机事件驱动的自适应访问控制方法 - Google Patents

Abstract

本发明公开了一种危机事件驱动的自适应访问控制方法，属于大数据技术领域，通过系统环境中感知模块所检测到的危机事件，来选择相应的访问控制策略集，然后通过激活/禁用访问控制策略集的方式来进行活跃策略集的更新，在进行策略的冲突消解之后生成危机事件下的访问控制策略文件，解决了在系统处于危机事件下，如何对资源进行有效管理的同时释放危机消除所需的权限的技术问题，本发明将访问管理模块接收访问请求并进行标准化，更加合理的释放危机消除所需的权限，确保了系统资源不被滥用。

Description

一种危机事件驱动的自适应访问控制方法

技术领域

本发明属于大数据技术领域，尤其涉及一种危机事件驱动的自适应访问控制方法。

背景技术

随着计算机技术的快速发展和在生产和生活中的广泛应用，各类应用系统的复杂度都在不断提高。在复杂系统中，存在着大量的资源，包括物理资源和信息资源，保证这些资源不被滥用具有很强的现实意义。访问控制技术通过定义一系列的策略来允许或者限制实体对资源访问范围，能够对系统内的资源进行有效的管理。然而，在传统的访问控制模型中，当系统中发生危机事件时，系统的全部功能都应能用于对该事件进行控制和解决，尽可能减少危机事件带来的后果，而用于资源保护的访问控制策略在危机事件发生的情况下需要全部禁用。这种方法在传统的非智能系统中可以使用，但是在如今的一些复杂系统中，禁用所有的访问限制会使得系统内的资源暴露在外，任何实体都可以对其进行使用，包括恶意实体。由于这个缘故，恶意实体可以通过伪造危机事件发生的方式，骗取系统关闭访问限制，非法获取被保护的资源。同时，如果在危机事件发生时，为了保证资源不被暴露，依旧采用访问控制技术进行限制，则又可能无法对危机事件做到实时的应对和处理，进而对系统造成安全威胁。随着访问控制技术的发展，通过实现访问控制模型的动态变化，可以在不完全禁用访问限制的同时达到对系统中的危机事件进行顺利处理的目的。因此，如何在系统处于危机事件下，对资源进行有效管理的同时释放危机消除所需的权限，是复杂系统中需要解决的一个关键问题。

Venkatasubramanian Krishna K提出了一种基于RBAC的危机事件下的访问控制机制，称为“危机感知访问控制”。通过感知一个人在健康方面发生的危机事件，来动态改变个人信息的访问权限，使得在一定程度上能够访问该人的敏感信息，以协助救助工作的实施。

Asmidar Abu Bakar提出了一种移动自组网环境下的访问控制机制，以解决危机事件发生时，与救援人员的隐私数据共享问题。

DíazLópez,Daniel基于遗传算法，提出了一种动态的访问控制机制，环境中每项资源的危机等级都随着时间不断变化，在发生危机事件时，根据其风险等级不同而进行不同的资源分配。

上述研究表明，访问控制技术可以与其他技术相结合，针对特定领域的问题建立模型。因此，如何用一种通用的方法在系统处于危机事件下，对资源进行有效管理的同时释放危机消除所需的权限，是复杂系统中需要解决的一个关键问题。

发明内容

本发明的目的是提供一种危机事件驱动的自适应访问控制方法，解决了在系统处于危机事件下，如何对资源进行有效管理的同时释放危机消除所需的权限的技术问题。

为实现上述目的，本发明采用如下技术方案：

一种危机事件驱动的自适应访问控制方法，包括如下步骤：

步骤1：建立资源管理模块、访问管理模块、决策模块、访问控制策略集、冲突消解模块、信息查询模块、属性值存储库、策略集库、策略管理模块和系统感知模块；

资源管理模块用于接收访问管理模块发出的资源申请，把申请的资源返回给访问管理模块，所述申请的资源包括物理资源或信息资源；

访问管理模块用于接收访问请求者发出的访问请求，将访问请求标准化，然后再发送给决策模块，同时在决策完成后，与资源管理模块进行交互，并将最终的结果返回给访问请求者；

决策模块用于接收标准化的访问请求，并且结合访问控制策略集和信息查询模块的结果，与访问请求内的属性值进行对比，确定访问请求的评定结果，将结果返回给访问管理模块；

访问控制策略集存储了当前状况下适用的所有访问控制策略和访问控制策略中规定的属性，访问控制策略集用于提供决策信息；

冲突消解模块用于存储策略管理模块激活或禁用后的所有活跃策略集，对活跃策略集中的冲突策略进行冲突消解；

信息查询模块用于接收来自决策模块的信息查询请求，从属性值存储库内找出对应的属性值，提供决策信息，并将属性值返回给决策模块；

属性值存储库用于接收并存储系统感知模块传来的各个实体的属性值；

策略集库用于存储与危机事件相对应的策略集；

策略管理模块用于接收来自系统感知模块所感知到的危机事件，并在策略集库中查询对应的策略集，然后进行策略集的激活或禁用操作，将组合的策略集发送给冲突消解模块；

系统感知模块包括数个传感器设备，用于监测被测系统中各个实体的工作状态，标识因实体损坏而引发的危机事件；

步骤2：系统感知模块感知系统中发生的危机事件，并上报给策略管理模块；

步骤3：策略管理模块接收到感知模块上报的危机事件后，在策略集库内查询对应的访问控制策略集；

步骤4：策略管理模块通过激活部分未使用的策略集，禁用部分已使用的策略集来完成活跃策略集的更新，将结果发送给冲突消解模块；

步骤5：冲突消解模块针对策略集在激活或禁用过程中产生的策略冲突进行策略的消解，消解原则采用首项适用原则，并将冲突消解后的策略作为当前状况下的访问控制策略集，此时完成了策略文件的更新；

步骤6：访问者对访问管理模块发出访问请求；

步骤7：系统感知模块实时感知当前系统内每个实体的属性，并且将这些属性值传送给访问管理模块；

步骤8：访问管理模块结合访问请求和感知模块传送来的属性信息并进行标准化，构建XACML格式的访问请求，将标准化后的访问请求发送给决策模块；

步骤9：决策模块查看访问控制策略集，查询访问需要的属性类别；

步骤10：决策模块向信息查询模块发出请求，将访问控制策略集中规定的属性类别发送给信息查询模块；

步骤11：信息查询模块从属性值存储库内查找所需属性对应的属性值；

步骤12：信息查询模块将查询到的属性值返回给决策模块；

步骤13：决策模块结合访问管理模块、信息查询模块和访问控制策略集中的信息，将访问请求中的属性值与访问控制策略集中要求属性的值进行对比，做出访问评定，当所有属性值均符合要求时，评定结果为“允许访问permit”；当其中有至少一条属性值不符合要求时，评定结果为“拒绝访问deny”；当属性值有缺失的情况下，评定结果为“未知unknown”；当访问者申请访问的客体不适用于想执行的操作，评定结果为“不适用not-applicable”，完成评定后，将评定结果返回给访问管理模块；

步骤14：访问管理模块接收到来自决策模块的评定结果后，若评定结果为“允许访问permit”，则向资源管理模块发出申请；

步骤15：资源管理模块返回访问管理模块所需的资源，对于数据、文档之类的信息资源，直接返回资源本身，对于工具、器械之类的物理资源，返回其位置和获取方法信息；

步骤16：访问管理模块对访问请求者返回评定结果，若结果为“允许访问permit”，将其申请的资源一起返回，若结果为“拒绝访问deny”，则仅返回评定结果。

优选的，在执行步骤4时，当需要激活一个当前未使用的访问控制策略集ActiveACPS1时，首先确定有危机事件发生，然后确定原策略集中部不包含该策略集ActiveACPS1，最后将该策略集ActiveACPS1添加到原策略集中；

当需要禁用一个当前已激活的访问控制策略集ActiveACPS2时，首先确定有危机事件发生，然后确定原策略集中部包含该策略集ActiveACPS2，最后将该策略集ActiveACPS2从原策略集中移除。

优选的，在执行步骤5时，将第一个适用的策略集对于访问请求的评定结果作为组合后策略集的评定结果，执行步骤5时需要对进行组合的多个访问控制策略集进行优先级的排序，策略集优先级的排序可以通过与其对应的危机事件的优先级来判定，以让优先级高的策略集中的规则来决定访问请求的最终评定结果，即，用于解决更高危害程度危机事件的对应策略集在策略冲突的消解中占主导地位。

优选的，在执行步骤8时，访问控制的访问请求为以下形式：

RequestEvaluate

(<{e.GA.v₁，...，e.GA.v_n}，{e.TA.v₁，...，e.TA.v_n}，{e.SA.v₁，...e.SA.v_n}>，

<{s.GA.v₁，...，s.GA.v_n}，{s.TA.v₁，...，s.TA.v_n}，{s.SA.v₁，...s.SA.v_n}>，

<{o.GA.v₁，...，o.GA.v_n}，{o.TA.v₁，...，o.TA.v_n}，{o.SA.v₁，...o.SA.v_n}>，

<{a.GA.v1，...，a.GA.v_n}，{a.SA.v₁，...a.SA.v_n}>)

其中，RequestEvaluate为访问请求，访问请求的格式根据当前状态，对环境、主体、客体、行为和危机事件的属性进行赋值；

设定E代表环境区域的有限集合，e代表该集合中的元素即环境区域划分成的小区域；

设定S代表访问主体的有限集合，s代表该集合中的元素即一个个人或一个组织；

o代表访问客体的有限集合的元素即可能被访问的资源，即，可能被访问的物理资源和信息资源；

设定A代表主体动作的有限集合，a代表该集合的元素即对主体和对客体的操作；

GA为一般属性General Attributes，TA为拓扑属性Topological Attributes，SA为安全属性Security Attributes，GA、SA和TA均包含n个子属性v，n取值为正整数。

优选的，在执行步骤13时，设定一条访问请求为R，记它的所有属性构成的集合为AR，一条访问控制策略P的策略体中所有属性构成的集合为AP，评定访问请求R的评定结果包括以下步骤；

步骤S1：当

时，即AP包含AR时，且在AR中属性取值情况下，AP中的属性均为真，则访问请求R的评定结果为允许访问permit；

步骤S2：当

时，且在AR中属性取值情况下，AP中的属性至少有一条为假，则访问请求R的评定结果为拒绝访问deny；

步骤S3：当

时，即，AP不包含AR时，则访问请求R的评定结果为未知unknown；

步骤S4：当访问请求R中请求的动作不适用与请求的客体时，则访问请求的评定结果为不适用not-applicable。

本发明所述的一种危机事件驱动的自适应访问控制方法，解决了在系统处于危机事件下，如何对资源进行有效管理的同时释放危机消除所需的权限的技术问题，本发明将访问管理模块接收访问请求并进行标准化，更加合理的释放危机消除所需的权限，确保了系统资源不被滥用。

附图说明

图1为本发明的系统架构图；

图2为单条访问控制规则、策略集与PO的关系图。

具体实施方式

由图1所示的一种危机事件驱动的自适应访问控制方法，包括如下步骤：

步骤1：建立资源管理模块、访问管理模块、决策模块、访问控制策略集、冲突消解模块、信息查询模块、属性值存储库、策略集库、策略管理模块和系统感知模块；

资源管理模块、访问管理模块、决策模块、访问控制策略集、冲突消解模块、信息查询模块、属性值存储库、策略集库、策略管理模块和系统感知模块均建立在被测系统的服务器集群中。

资源管理模块用于接收访问管理模块发出的资源申请，把申请的资源返回给访问管理模块，所述申请的资源包括物理资源或信息资源；

访问管理模块用于接收访问请求者发出的访问请求，将访问请求标准化，然后再发送给决策模块，同时在决策完成后，与资源管理模块进行交互，并将最终的结果返回给访问请求者；

决策模块用于接收标准化的访问请求，并且结合访问控制策略集和信息查询模块的结果，与访问请求内的属性值进行对比，确定访问请求的评定结果，将结果返回给访问管理模块；

访问控制策略集存储了当前状况下适用的所有访问控制策略和访问控制策略中规定的属性，访问控制策略集用于提供决策信息；

冲突消解模块用于存储策略管理模块激活或禁用后的所有活跃策略集，对活跃策略集中的冲突策略进行冲突消解；

信息查询模块用于接收来自决策模块的信息查询请求，从属性值存储库内找出对应的属性值，提供决策信息，并将属性值返回给决策模块；

属性值存储库用于接收并存储系统感知模块传来的各个实体的属性值；

策略集库用于存储与危机事件相对应的策略集；

策略管理模块用于接收来自系统感知模块所感知到的危机事件，并在策略集库中查询对应的策略集，然后进行策略集的激活或禁用操作，将组合的策略集发送给冲突消解模块；

系统感知模块包括数个传感器设备，用于监测被测系统中各个实体的工作状态，标识因实体损坏而引发的危机事件；

步骤2：系统感知模块感知系统中发生的危机事件，并上报给策略管理模块；

步骤3：策略管理模块接收到感知模块上报的危机事件后，在策略集库内查询对应的访问控制策略集；

步骤4：策略管理模块通过激活部分未使用的策略集，禁用部分已使用的策略集来完成活跃策略集的更新，将结果发送给冲突消解模块；

步骤5：冲突消解模块针对策略集在激活或禁用过程中产生的策略冲突进行策略的消解，消解原则采用首项适用原则，并将冲突消解后的策略作为当前状况下的访问控制策略集，此时完成了策略文件的更新；

危机事件的处理是一个可并行的过程，同时可能对多个危机事件进行处理，因此ActiveACPS可能包含多个策略集。由于每个策略域中的策略对于属性类型的关注点不同，对属性值的要求也不同，因此在激活或禁用访问控制策略集后，当出现访问请求时，不同策略集对于访问请求的评定结果可能不同，有可能会发生策略的冲突，需要进行策略的冲突消解。冲突消解的原则采用首项适用规则。

将第一个适用的策略集对于访问请求的评定结果作为组合后策略集的评定结果。需要对进行组合的多个访问控制策略集进行优先级的排序，让优先级高的策略集中的规则来决定访问请求的最终评定结果。直观来说，用于解决更高危害程度危机事件的对应策略集能够在策略冲突消解中占主导地位。

步骤6：访问者对访问管理模块发出访问请求；

步骤7：系统感知模块实时感知当前系统内每个实体的属性，并且将这些属性值传送给访问管理模块；

步骤8：访问管理模块结合访问请求和感知模块传送来的属性信息并进行标准化，构建XACML格式的访问请求，将标准化后的访问请求发送给决策模块；

步骤9：决策模块查看访问控制策略集，查询访问需要的属性类别；

步骤10：决策模块向信息查询模块发出请求，将访问控制策略集中规定的属性类别发送给信息查询模块；

步骤11：信息查询模块从属性值存储库内查找所需属性对应的属性值；

步骤12：信息查询模块将查询到的属性值返回给决策模块；

步骤13：决策模块结合访问管理模块、信息查询模块和访问控制策略集中的信息，将访问请求中的属性值与访问控制策略集中要求属性的值进行对比，做出访问评定，当所有属性值均符合要求时，评定结果为“允许访问permit”；当其中有至少一条属性值不符合要求时，评定结果为“拒绝访问deny”；当属性值有缺失的情况下，评定结果为“未知unknown”；当访问者申请访问的客体不适用于想执行的操作，评定结果为“不适用not-applicable”，完成评定后，将评定结果返回给访问管理模块；

步骤14：访问管理模块接收到来自决策模块的评定结果后，若评定结果为“允许访问permit”，则向资源管理模块发出申请；

步骤15：资源管理模块返回访问管理模块所需的资源，对于数据、文档之类的信息资源，直接返回资源本身，对于工具、器械之类的物理资源，返回其位置和获取方法信息；

步骤16：访问管理模块对访问请求者返回结果，若结果为“允许访问permit”，将其申请的资源一起返回，若结果为“拒绝访问deny”，则仅返回评定结果。

优选的，在执行步骤4时，当需要激活一个当前未使用的访问控制策略集ActiveACPS1时，首先确定有危机事件发生，然后确定原策略集中部不包含该策略集ActiveACPS1，最后将该策略集ActiveACPS1添加到原策略集中；

当需要禁用一个当前已激活的访问控制策略集ActiveACPS2时，首先确定有危机事件发生，然后确定原策略集中部包含该策略集ActiveACPS2，最后将该策略集ActiveACPS2从原策略集中移除。

优选的，在执行步骤5时，将第一个适用的策略集对于访问请求的评定结果作为组合后策略集的评定结果，执行步骤5时需要对进行组合的多个访问控制策略集进行优先级的排序，策略集优先级的排序可以通过与其对应的危机事件的优先级来判定，以让优先级高的策略集中的规则来决定访问请求的最终评定结果，即，用于解决更高危害程度危机事件的对应策略集在策略冲突的消解中占主导地位。

优选的，在执行步骤8时，访问控制的访问请求为以下形式：

RequestEvaluate

(<{e.GA.v₁，...，e.GA.v_n}，{e.TA.v₁，...，e.TA.v_n}，{e.SA.v₁，...e.SA.v_n}>；

<{s.GA.v₁，...，s.GA.v_n}，{s.TA.v₁，...，s.TA.v_n}，{s.SA.v₁，...s.SA.v_n}>，

<{o.GA.v₁，...，o.GA.v_n}，{o.TA.v₁，...，o.TA.v_n}，{o.SA.v₁，...o.SA.v_n}>，

<{a.GA.v₁，...，a.GA.v_n}，{a.SA.v₁，...a.SA.v_n}>)

其中，RequestEvaluate为访问请求，访问请求的格式根据当前状态，对环境、主体、客体、行为和危机事件的属性进行赋值；

设定E代表环境区域的有限集合，e代表该集合中的元素即环境区域划分成的小区域；

设定S代表访问主体的有限集合，s代表该集合中的元素即一个个人或一个组织；

o代表访问客体的有限集合的元素即可能被访问的资源，即，可能被访问的物理资源和信息资源；

设定A代表主体动作的有限集合，a代表该集合的元素即对主体和对客体的操作；

GA为一般属性General Attributes，TA为拓扑属性Topological Attributes，SA为安全属性Security Attributes，GA、SA和TA均包含n个子属性v，n取值为正整数。

优选的，在执行步骤13时，设定一条访问请求为R，记它的所有属性构成的集合为AR，一条访问控制策略P的策略体中所有属性构成的集合为AP，评定访问请求R的评定结果包括以下步骤；

步骤S1：当

时，即AP包含AR时，且在AR中属性取值情况下，AP中的属性均为真，则访问请求R的评定结果为允许访问permit；

步骤S2：当

时，且在AR中属性取值情况下，AP中的属性至少有一条为假，则访问请求R的评定结果为拒绝访问deny；

步骤S3：当

时，即，AP不包含AR时，则访问请求R的评定结果为未知unknown；

步骤S4：当访问请求R中请求的动作不适用与请求的客体时，则访问请求的评定结果为不适用not-applicable。

本发明中，访问控制模型的两种调整方法都是按照定义的调整规则来进行，调整规则表示为XML形式。

本发明通过一种基于危机事件的访问控制模型来实现，访问控制模型的详细内容如下：

内容1：基于危机事件的自适应访问控制模型基本内容

定义1(访问控制模型定义)基于危机事件的自适应访问控制模型是基于属性的访问控制模型，可以表示为一个五元组(e,s,o,a,HE)。

五元组内每个元素定义如下：

E：环境区域的有限集合，其中元素为环境区域划分成的小区域；S：访问主体的有限集合，其中元素为个人或一个组织；

O：访问客体的有限集合，其中元素为可能被访问的资源，包括物理资源和信息资源；

A：主体动作的有限集合，其中元素对主体对客体的操作；

HE：系统内危机事件的有限集合。

ACPSR表示访问控制策略集库，是访问控制策略集的集合，其中每个元素acps是一个访问控制策略集，acps是访问控制策略的集合，每个acps的元素是若干条访问控制策略。

集合EA、SA、OA和AA分别代表环境属性、访问主体属性、访问客体属性和动作属性的有限集合。其中，一条属性是定义在环境、访问主体和访问客体上的函数，可以从一个范围内返回特定的结果。属性值既可能是原子的，即从一个范围内返回单个数值结果，也可能以有限集合的形式返回结果。

访问控制模型中的元素及其属性进行详细分析如下：

(1)环境(Environment)

环境包括系统中一组可能检测到风险发生的区域。环境集合e＝{e₁,e₂,…,e_n}，其中n∈N*且n≤MaxSections(e)，MaxSections(e)为给定环境切分区域的总数量，通常可以从建筑物蓝图或者其他类型地图中提取该信息。

考虑环境中的一个区域e_i，有着一组属性ea_i∈EA，这些属性主要可以分为三类，包括一般属性General Attributes、拓扑属性Topological Attributes、安全属性SecurityAttributes。

环境中的属性定义如下：

General Attributes包括区域的ID、在系统中的位置Location以及位于该区域内的一组监控设备MonitoringDevices，比如摄像头、温度计、烟雾传感器等，还包括该区域内可用于风险处理的设备ExecutionDevices，比如灭火器等。

Topological Attributes主要表示这个区域的拓扑关系Topology，包括系统中与该区域相邻的一组区域。

Security Attributes中包含了该区域的敏感度等级SensitivityLevel，敏感度等级越低，在多个危机事件同时发生时，对该区域的处理优先级越低。敏感度等级既可以通过函数量化为一个范围内的具体数值，也可以简单表示为“极低、低、中等、高、极高”等代表等级的值。访问类型AccessType显示了该区域内允许的访问类型，代表了该区域允许的访问方式，比如accessbypassport，意味着只有持有通行证才可以访问该区域，访问类型可以为空，意味着通过任何方式都可以访问该区域。

当危机事件发生时，区域的基本属性可以迅速确定此区域的位置，拓扑属性能够帮助分析区域的邻接关系，以便于访问主体和访问客体的迅速转移。安全属性能够帮助分析多个区域内有危机事件发生的状况下处理顺序的确定。

(2)主体(Subject)

在访问控制模型中，主体主要指系统中的人员，根据职能划分为管理主体Administrative Subjects和执行主体Execution Subjects两种类型。

管理主体Administrative Subjects的主要职责是分配其他主体、客体以及环境的属性，决定其他主体的访问等级，客体的风险程度、环境的敏感程度等，一般主要指系统的管理员群体。

执行主体Execution Subjects是访问控制策略的主要应用者，他们需要权限来访问系统内的资源，包括物理资源和信息资源，通常情况下，域内主体会被分配和激活不同的角色来获得角色对应的权限。域内主体包括系统中的操作人员和风险管理人员，对于系统内一个主体s_i，有着一组属性sa_i∈SA，这些属性同样可以分为三类，包括一般属性GeneralAttributes、拓扑属性Topological Attributes和安全属性Security Attributes。

主体中的属性定义如下：

General Attributes包括该主体的ID，姓名Name和分配的角色OrgRoles，一个主体可以被分配多个角色，通过激活不同的角色来完成责任和工作范围的变化，Skill代表主体执行动作所需要的技能，SPE表示该主体使用的安全保护元件。

Topological Attributes包括这个主体当前处于系统环境中的位置Location，AdjacentAreas表示系统中与该主体位置邻近的一组区域。

Security Attributes包含一组与安全性相关的属性，包括当前激活的角色ActiveRoles，主体的许可等级ClearanceLevel和主体的最大许可等级。许可等级可以表示为CL_i，其中i为该主体当前在系统中的等级，i取值越大，则表示该主体的许可等级就越高。

MaxClearanceLevel代表了该主体能够获得的最大许可等级。主体许可等级属性的定义可与客体的敏感等级属性相结合作用于权限的分配。

危机事件发生时，主体的基本属性中ID和姓名属性用于确定主体的身份，分配的角色属性用于在权限分配时确定一类符合的主体，安全保护元件的配备用于减少主体处理危机事件时自身的危险，拓扑信息用于识别的主体的位置和帮助其进行迅速转移，安全属性用于限制主体对资源的访问能力。

(3)客体(Object)

在系统中，客体主要指的是可供主体访问和使用来完成一定任务的资源，既包括监控到的数据、主体的信息文件、主体的位置等信息资源，也包括工具和机械等主体可以进行操作的物理资源。对于系统中每一个客体o_i，考虑一组属性oa_i∈OA，这些属性同样分为三类，包括一般属性General Attributes、拓扑属性Topological Attributes和安全属性Security Attributes。

客体中的属性定义如下：

General Attributes包括该客体的ID，它的类型Type和它的拥有者Owner。

Topological Attributes包括这个客体所处的位置Location，如果客体的类型是物理资源，则它的位置可以是固定的，比如开关、按钮等，也可以是移动的，比如小型的工具，对于位置固定的物理资源，那么其位置属性是一个固定值，若其可移动，则其位置属性实时发生变化。如果客体的类型是信息资源，则它的位置可以通过其存储的物理设备的位置来表示。AdjacentAreas表示系统中与该客体位置邻近的一组区域。

Security Attributes包含一组与安全性相关的属性，包括客体的敏感等级SensitivityLevel，最小敏感等级MinSensitivityLevel，主体对于该客体的访问时间限制TimeRestriction，可以用时间长度的形式表示，也可以用时间区间的形式表示，持有者的年龄限制AgeRestriction，持有者的位置限制LocationRestriction等。客体的敏感等级可以表示为ML_i，其中i为该客体当前在系统中的敏感等级，i取值越大，则表示该客体当前的敏感等级越高。

MinSensitivityLevel代表了该客体所能降低到的最低敏感等级。

本实施例中，在主体的访问控制属性中定义了其许可等级ClearanceLevel和最大许可等级MaxClearanceLevel，在客体的访问控制属性中定义了其敏感等级SensitivityLevel和最小敏感等级MinSensitivityLevel。在系统正常运行的情况下，允许主体对与其等级相同或者更低的客体进行访问。但是当危机事件发生时，为了尽量避免危机事件带来风险，给系统造成危害，可以通过上调主体的许可等级(最高不超过其最大许可等级)或下调客体的敏感等级(最低不低于其最小敏感等级)的方式来进行访问权限的变更。

(4)动作(Action)

动作代表主体请求在客体上执行的操作，既包括对信息资源的操作，比如读取、写入、更新、删除等操作，也包括对物理资源的操作，比如对某种工具的使用，开关的打开和关闭、按钮的按动等。对于动作集中的一个动作a_i，考虑一组属性aa_i∈AA，动作的属性比较简单，仅考虑两类，包括一般属性General Attributes和安全属性Security Attributes。

动作中的属性定义如下：

General Attributes主要指动作的ID和种类Type等。

Security Attributes表示主要指执行动作的时间限制TimeRestriction和位置限制LocationRestriction等。

(5)危机事件(Hazardous Event)

危机事件指发生于系统环境内部的事件，对应的处理策略也作用于系统环境内部，系统外事件的发生和处理不在本发明的考虑范围之内。危机事件包括火灾、气体泄漏、爆炸等大型事件，也包括停电、仪器损坏等小型事件。危机事件通过系统中传感设备对环境中一些实体的监控来进行识别和检测，比如光传感器、烟传感器、温度计等。

对于危机事件he_i∈HE，只考虑以下三条属性：危机事件的类型Type、危机事件的位置Location和危机事件的优先级Priority。

危机事件的类型用于在访问控制模型的动态调整阶段找到对应的访问控制策略集，而危机事件的优先级在多个策略集同时激活时策略发生冲突时进行冲突的消解。

(6)访问控制策略集(Access Control Policy Set)

访问控制策略集指的是在某种情况下系统的一组访问控制策略的集合。在系统中，访问控制策略全集记为PO，集合中的一部分策略可以构成一个访问控制策略集，即每一个策略集都是PO的子集。单条访问控制规则、策略集与PO的关系如图2所示。

策略集用于针对处理系统中发生的危机事件。当系统检测到有危机事件发生时，会激活对应的访问控制策略集，对系统中主体对客体的访问权限进行更新，允许主体在客体上进行申请的操作。

本发明所述的一种危机事件驱动的自适应访问控制方法，解决了在系统处于危机事件下，如何对资源进行有效管理的同时释放危机消除所需的权限的技术问题，本发明将访问管理模块接收访问请求并进行标准化，更加合理的释放危机消除所需的权限，确保了系统资源不被滥用。

Claims (5)

1.一种危机事件驱动的自适应访问控制方法，其特征在于：包括如下步骤：

步骤1：建立资源管理模块、访问管理模块、决策模块、访问控制策略集、冲突消解模块、信息查询模块、属性值存储库、策略集库、策略管理模块和系统感知模块；

资源管理模块用于接收访问管理模块发出的资源申请，把申请的资源返回给访问管理模块，所述申请的资源包括物理资源或信息资源；

访问管理模块用于接收访问请求者发出的访问请求，将访问请求标准化，然后再发送给决策模块，同时在决策完成后，与资源管理模块进行交互，并将最终的结果返回给访问请求者；

策略管理模块用于接收来自系统感知模块所感知到的危机事件，并在策略集库中查询对应的策略集，然后进行策略集的激活或禁用操作，将组合的策略集发送给冲突消解模块；

访问控制策略集存储了当前状况下适用的所有访问控制策略和访问控制策略中规定的属性，访问控制策略集用于提供决策信息；

冲突消解模块用于存储策略管理模块激活或禁用后的所有活跃策略集，对活跃策略集中的冲突策略进行冲突消解；

信息查询模块用于接收来自决策模块的信息查询请求，从属性值存储库内找出对应的属性值，提供决策信息，并将属性值返回给决策模块；

属性值存储库用于接收并存储系统感知模块传来的各个实体的属性值；

策略集库用于存储与危机事件相对应的策略集；

系统感知模块包括数个传感器设备，用于监测被测系统中各个实体的工作状态，标识因实体损坏而引发的危机事件；

步骤2：系统感知模块感知系统中发生的危机事件，并上报给策略管理模块；

步骤3：策略管理模块接收到感知模块上报的危机事件后，在策略集库内查询对应的访问控制策略集；

步骤4：策略管理模块通过激活部分未使用的策略集，禁用部分已使用的策略集来完成活跃策略集的更新，将结果发送给冲突消解模块；

步骤5：冲突消解模块针对策略集在激活或禁用过程中产生的策略冲突进行策略的消解，消解原则采用首项适用原则，并将冲突消解后的策略作为当前状况下的访问控制策略集，此时完成了策略文件的更新；

步骤6：访问者对访问管理模块发出访问请求；

步骤7：系统感知模块实时感知当前系统内每个实体的属性，并且将这些属性值传送给访问管理模块；

步骤8：访问管理模块结合访问请求和感知模块传送来的属性信息并进行标准化，构建XACML格式的访问请求，将标准化后的访问请求发送给决策模块；

步骤9：决策模块查看访问控制策略集，查询访问需要的属性类别；

步骤10：决策模块向信息查询模块发出请求，将访问控制策略集中规定的属性类别发送给信息查询模块；

步骤11：信息查询模块从属性值存储库内查找所需属性对应的属性值；

步骤12：信息查询模块将查询到的属性值返回给决策模块；

步骤13：决策模块结合访问管理模块、信息查询模块和访问控制策略集中的信息，将访问请求中的属性值与访问控制策略集中要求属性的值进行对比，做出访问评定，当所有属性值均符合要求时，评定结果为“允许访问permit”；当其中有至少一条属性值不符合要求时，评定结果为“拒绝访问deny”；当属性值有缺失的情况下，评定结果为“未知unknown”；当访问者申请访问的客体不适用于想执行的操作，评定结果为“不适用not-applicable”，完成评定后，将评定结果返回给访问管理模块；

步骤14：访问管理模块接收到来自决策模块的评定结果后，若评定结果为“允许访问permit”，则向资源管理模块发出申请；

步骤15：资源管理模块返回访问管理模块所需的资源，对于数据、文档之类的信息资源，直接返回资源本身，对于物理资源，返回其位置和获取方法信息；

步骤16：访问管理模块对访问请求者返回评定结果，若结果为“允许访问permit”，将其申请的资源一起返回，若结果为“拒绝访问deny”，则仅返回评定结果。

2.如权利要求1所述的一种危机事件驱动的自适应访问控制方法，其特征在于：在执行步骤4时，当需要激活一个当前未使用的访问控制策略集ActiveACPS1时，首先确定有危机事件发生，然后确定原策略集中不包含该策略集ActiveACPS1，最后将该策略集ActiveACPS1添加到原策略集中；

当需要禁用一个当前已激活的访问控制策略集ActiveACPS2时，首先确定有危机事件发生，然后确定原策略集中包含该策略集ActiveACPS2，最后将该策略集ActiveACPS2从原策略集中移除。

3.如权利要求1所述的一种危机事件驱动的自适应访问控制方法，其特征在于：执行步骤5时需要对进行组合的多个访问控制策略集进行优先级的排序，策略集优先级的排序可以通过与其对应的危机事件的优先级来判定，以让优先级高的策略集中的规则来决定访问请求的最终评定结果，即，用于解决更高危害程度危机事件的对应策略集在策略冲突的消解中占主导地位。

4.如权利要求1所述的一种危机事件驱动的自适应访问控制方法，其特征在于：在执行步骤8时，访问控制的访问请求为以下形式：

RequestEvaluate(＜{e.GA.v₁，...，e.GA.v_n}，{e.TA.v₁，...，e.TA.v_n}，{e.SA.v₁，...e.SA.v_n}＞，＜{s.GA.v₁，...，s.GA.v_n}，{s.TA.v₁，...，s.TA.v_n}，{s.SA.v₁，...s.SA.v_n}＞，＜{o.GA.v₁，...，o.GA.v_n}，{o.TA.v₁，...，o.TA.v_n}，{o.SA.v₁，...o.SA.v_n}＞，＜{a.GA.v₁，...，a.GA.v_n}，{a.SA.v_l，...a.SA.v_n}＞)

其中，RequestEvaluate为访问请求，访问请求的格式根据当前状态，对环境、主体、客体、行为和危机事件的属性进行赋值；

设定E代表环境区域的有限集合，e代表该集合中的元素即环境区域划分成的小区域；

设定S代表访问主体的有限集合，s代表该集合中的元素即一个个人或一个组织；

o代表访问客体的有限集合的元素，即用于被访问的资源；

设定A代表主体动作的有限集合，a代表该集合的元素即对主体和对客体的操作；

GA为一般属性General Attributes，TA为拓扑属性Topological Attributes，SA为安全属性Security Attributes，GA、SA和TA均包含n个子属性v，n取值为正整数。

5.如权利要求1所述的一种危机事件驱动的自适应访问控制方法，其特征在于：在执行步骤13时，设定一条访问请求为R，记它的所有属性构成的集合为AR，一条访问控制策略P的策略体中所有属性构成的集合为AP，评定访问请求R的评定结果包括以下步骤；

步骤S1：当

时，即AP包含AR时，且在AR中属性取值情况下，AP中的属性均为真，则访问请求R的评定结果为允许访问permit；

步骤S2：当

时，且在AR中属性取值情况下，AP中的属性至少有一条为假，则访问请求R的评定结果为拒绝访问deny；

步骤S3：当

时，即，AP不包含AR时，则访问请求R的评定结果为未知unknown；

步骤S4：当访问请求R中请求的动作不适用与请求的客体时，则访问请求的评定结果为不适用not-applicable。

Images