CN111783043B - 一种基于属性探索的多部门协同交互式rbac角色构建方法 - Google Patents
一种基于属性探索的多部门协同交互式rbac角色构建方法 Download PDFInfo
- Publication number
- CN111783043B CN111783043B CN202010639608.4A CN202010639608A CN111783043B CN 111783043 B CN111783043 B CN 111783043B CN 202010639608 A CN202010639608 A CN 202010639608A CN 111783043 B CN111783043 B CN 111783043B
- Authority
- CN
- China
- Prior art keywords
- implication
- departments
- access control
- department
- role
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000010276 construction Methods 0.000 title claims abstract description 13
- 230000002452 interceptive effect Effects 0.000 title claims abstract description 9
- 238000004458 analytical method Methods 0.000 claims abstract description 11
- 238000000034 method Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 5
- 238000007781 pre-processing Methods 0.000 claims description 4
- 241000764238 Isis Species 0.000 claims description 3
- 238000004519 manufacturing process Methods 0.000 abstract description 12
- 238000009628 steelmaking Methods 0.000 description 5
- VLKZOEOYAKHREP-UHFFFAOYSA-N n-Hexane Chemical compound CCCCCC VLKZOEOYAKHREP-UHFFFAOYSA-N 0.000 description 3
- IMNFDUFMRHMDMM-UHFFFAOYSA-N N-Heptane Chemical compound CCCCCCC IMNFDUFMRHMDMM-UHFFFAOYSA-N 0.000 description 2
- OFBQJSOFQDEBGM-UHFFFAOYSA-N Pentane Chemical group CCCCC OFBQJSOFQDEBGM-UHFFFAOYSA-N 0.000 description 2
- QVGXLLKOCUKJST-UHFFFAOYSA-N atomic oxygen Chemical compound [O] QVGXLLKOCUKJST-UHFFFAOYSA-N 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 229910052760 oxygen Inorganic materials 0.000 description 2
- 239000001301 oxygen Substances 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 238000010348 incorporation Methods 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 238000005304 joining Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/103—Workflow collaboration or project management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/04—Manufacturing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- Human Resources & Organizations (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- General Business, Economics & Management (AREA)
- Tourism & Hospitality (AREA)
- Marketing (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Data Mining & Analysis (AREA)
- Operations Research (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Manufacturing & Machinery (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Primary Health Care (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于属性探索的多部门协同交互式RBAC角色构建方法,依次包括以下步骤:A:获取部门的访问控制实例的初始集合和所有权限集合;B:利用属性探索辅助角色发现算法,得到该部门的确定的访问控制实例的无冗余集合和蕴含关系集合,同时确定角色集合;C:得到所有部门的确定的访问控制实例的无冗余集合、蕴含关系集合和角色集合,经分析得到所有部门联合后的蕴含关系集合、所有部门联合后确定的访问控制实例的无冗余集合和所有部门联合后的角色集合。本发明能够科学地实现在多个部门环境下的角色构建,为现代工业和信息产业生产中操作角色及操作权限的安全科学的设定提供数据基础,杜绝安全隐患。
Description
技术领域
本发明涉及一种基于角色的访问控制(RBAC)技术领域,尤其涉及一种基于属性探索的多部门协同交互式RBAC角色构建方法。
背景技术
信息安全管理一直是现代工业及信息产业发展的重中之中,信息安全管理直接影响着现代工业产业和信息产业生产中安全隐患大小。如大型工业生产中,如何根据实际生产过程中各个生产环节的操作需求,科学地设置生产工序中的操作角色及操作权限,杜绝生产过程中各种关键操作中的角色误操作隐患,直接决定企业能否实现安全生产。再如目前频发的信息安全泄露事件,如中兴事件,因权限管理失误,导致机密文件信息泄露,从而造成巨大损失。因此,现代工业及信息产业发展中,信息安全管理工作得到了越来越多的重视及研究。
现有的角色构建方法中,基于角色的访问控制(RBAC)通过了实践证明,可以有效的保障用户系统数据安全。但传统的RBAC系统的构建不仅是一个十分耗时、耗力的过程,而且在确立角色过程中很容易出现角色遗漏的现象。随着信息系统的日益庞大,现有的角色构建方法弊端越来越明显。属性探索辅助算法虽然可用于RBAC系统角色发现,但是其研究尚处于起步阶段,现有的辅助算法不支持跨部门多人协作机制,使得现有的辅助角色发现算法在实际工作中应用受限。
发明内容
本发明的目的是提供一种基于属性探索的多部门协同交互式RBAC角色构建方法,能够辅助基于角色的访问控制(RBAC)系统,科学地实现在多个部门环境下的角色构建,为现代工业和信息产业生产中操作角色及操作权限的安全科学的设定提供数据基础,杜绝安全隐患。
本发明采用下述技术方案:
一种基于属性探索的多部门协同交互式RBAC角色构建方法,依次包括以下步骤:
A:从多个部门中的某一个部门信息系统中,获取该部门的访问控制日志记录,并对访问日志记录进行数据预处理,得到该部门的访问控制实例的初始集合KO和所有权限集合M;
B:利用属性探索辅助角色发现算法,得到步骤A中该部门的确定的访问控制实例的无冗余集合KS和蕴含关系集合J,同时确定角色集合R;
C:通过步骤A和步骤B,得到所有部门的确定的访问控制实例的无冗余集合TempK={K1,K2,……,Kn-1,Kn},所有部门的蕴含关系集合TempJ={J1,J2,……,Jn-1,Jn},所有部门的角色集合TempR={R1,R2,……,Rn-1,Rn},对TempJ、TempR和TempK进行分析,得到所有部门联合后的蕴含关系集合Jall、所有部门联合后确定的访问控制实例的无冗余集合Kall和所有部门联合后的角色集合Rall。
所述的步骤A包括以下具体步骤:
A1:从多个部门中的某一个部门信息系统中,获取该部门的访问控制日志记录,将访问控制日志中访问成功的记录,记为该部门下该用户拥有访问该资源的权限;
A2:将访问控制日志中访问失败的记录,记为该部门下该用户不拥有访问该资源的权限;
A3:经数据处理,得到该部门下各个用户所具有的权限和不具有的权限;
A4:得到该部门的访问控制实例的初始集合KO和所有权限集合M。
所述的步骤B包括以下具体步骤:
B1:根据步骤A中得到的权限集合M=(a1,a2,a3,…,an-1,an),将所有权限集合M进行字典序排列后得到集合 初始化确定的访问控制实例的无冗余集合蕴含关系集合从集合Mq中取字典序排第一的集合其中,字典序为形式概念分析中一种排序规则;
其中,gKs(Q)为在确定的访问控制实例的无冗余集合KS中找出所有拥有权限Q的用户,fKs(gKs(Q))为在确定的访问控制实例的无冗余集合KS中找出所有拥有权限Q的用户所共同拥有的权限,gKo(fKs(gKs(Q))-Q)为在访问控制实例的初始集合KO中找出所有拥有权限fKs(gKs(Q))-Q的用户;
B3:将蕴含关系式Q->fKs(gKs(Q))-Q,即某个用户拥有权限Q那么该用户一定拥有权限fKs(gKs(Q))-Q,添加到蕴含关系集合J中,然后进入步骤B5;
B4:从访问控制实例的初始集合KO中取出一个权限分配不符合蕴含关系式Q->fKs(gKs(Q))-Q的实例o,即实例o拥有权限Q但是不拥有权限fKs(gKs(Q))-Q,并将这个实例添加到确定的访问控制实例的无冗余集合KS中,然后进入步骤B6;
B5:根据形式概念分析中集合与蕴含集合相关性定理,在集合Mq中找出下一个与蕴含关系集合J相关的权限集合Q′,令Q=Q′,然后进入步骤B6;
B6:循环步骤B2,直到下一个与蕴含关系集合J相关的权限集合等于所有权限集合M,进入步骤B7;
所述的步骤C包括以下具体步骤:
C1:得到所有部门的确定的访问控制实例的无冗余集合TempK={K1,K2,……,Kn-1,Kn},所有部门的蕴含关系集合TempJ={J1,J2,……,Jn-1,Jn}和所有部门的角色集合TempR={R1,R2,……,Rn-1,Rn},从集合Mq中取判定集合P,判定集合P的初始值为然后进行步骤C2;
C2:若判定集合P存在于任意一个部门的角色集合中时,进入步骤C6;否则进入步骤C3;
C3:若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ都存在,且判定集合P与所有部门联合后的蕴含关系集合Jall符合集合与蕴含集合相关性定理,进入步骤C7;否则进入步骤C4;
C4:若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ中都存在,且后件不相等,且判定集合P与所有部门联合后的蕴含关系集合Jall符合集合与蕴含集合相关性定理,且在所有部门的蕴含关系集合TempJ中以判定集合P为前件的蕴含式后件交集不为进入步骤C8;否则进入步骤C5;
C5:若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ中都存在,且后件不相等,且判定集合P与所有部门联合后的蕴含关系集合Jall符合集合与蕴含集合相关性定理,且在所有部门的蕴含关系集合TempJ中以判定集合P为前件的蕴含式后件交集为进入步骤C9;否则进入步骤C10;
C6:直接将判定集合P加入所有部门联合后的角色集合Rall中,然后进入步骤C11;
C7:将蕴含关系式P->f(g(P))-P,即某个用户拥有权限P那么该用户一定拥有权限f(g(P))-P,直接加入所有部门联合后的蕴含关系集合Jall中,然后进入步骤C11;
C8:设P1是所有部门中以判定集合P为前件的蕴含式后件的交集,将蕴含关系式P->P1,直接加入所有部门联合后的蕴含关系集合Jall,然后进入步骤C11;
C9:直接将判定集合P加入所有部门联合后的角色集合Rall中;然后进入步骤C11;
C10:在所有部门联合后确定的访问控制实例的无冗余集合Kall中计算f(g(P)),若P=f(g(P)),则将判定集合P加入所有部门联合后的角色集合Rall中,若P≠f(g(P)),则将蕴含式P->f(g(P))-P加入所有部门联合后的蕴含关系集合Jall中;然后进入步骤C11;
C11:根据形式概念分析中蕴含式相关性定理,在集合Mq中找出判定集合P的下一个符合与所有部门联合后的蕴含关系集合Jall相关性定理的权限集合P′,令P=P′,循环步骤C1至C5,直到找到的下一个符合与所有部门联合后的蕴含关系集合Jall相关性定理的权限集合等于权限集合M;
C12:得到所有部门联合后的蕴含关系集合Jall、所有部门联合后确定的访问控制实例的无冗余集合Kall和所有部门联合后的角色集合Rall。
本发明能够避免角色构建过程中,能够辅助基于角色的访问控制(RBAC)系统,科学地实现在多个部门环境下的角色构建,为现代工业和信息产业生产中操作角色及操作权限的安全科学的设定提供数据基础,杜绝安全隐患。
附图说明
图1为本发明的流程示意图。
具体实施方式
以下结合附图和实施例对本发明作以详细的描述:
如图1所示,本发明所述的基于属性探索的多部门协同交互式RBAC角色构建方法,依次包括以下步骤:
A:从多个部门中的某一个部门信息系统中,获取该部门的访问控制日志记录,并对访问日志记录进行数据预处理,得到该部门的访问控制实例的初始集合KO和所有权限集合M;
所述的步骤A包含以下具体步骤:
A1:从多个部门中的某一个部门信息系统中,获取该部门的访问控制日志记录,将访问控制日志中访问成功的记录,记为该部门下该用户拥有访问该资源的权限;例如在大型炼钢企业中,员工甲在6月21日操作生产环节中炼钢炉温度更改成功,则记录甲具有操作炼钢炉温度更改的权限;
A2:将访问控制日志中访问失败的记录,记为该部门下该用户不拥有访问该资源的权限;例如员工甲在6月21日操作生产环节中加氧量更改失败,则记录甲不具有操作生产环节中加氧量更改的权限;
A3:经数据处理,得到该部门下各个用户所具有的权限和不具有的权限。
例如本实施例中,经数据处理,得到用户甲所具有的权限和不具有的权限,如表1所示。
a | b | c | d | e | f | g | h | i | |
甲 | 1 | 0 | 0 | 1 | 0 | 1 | 0 | 1 | 1 |
表1
其中,用户甲具有(adfhi)权限,不具有(bceg)权限;
A4:得到该部门的访问控制实例的初始集合KO和所有权限集合M。
B:利用属性探索辅助角色发现算法,得到步骤A中该部门的确定的访问控制实例的无冗余集合KS和蕴含关系集合J,同时确定角色集合R;
其中,步骤B包含以下具体步骤:
B1:根据步骤A中得到的权限集合M=(a1,a2,a3,…,an-1,an),将所有权限集合M进行字典序排列后得到集合 初始化确定的访问控制实例的无冗余集合蕴含关系集合从集合Mq中取字典序排第一的集合其中,字典序为形式概念分析中一种排序规则。
其中,gKs(Q)为在确定的访问控制实例的无冗余集合KS中找出所有拥有权限Q的用户,fKs(gKs(Q))为在确定的访问控制实例的无冗余集合KS中找出所有拥有权限Q的用户所共同拥有的权限,gKo(fKs(gKs(Q))-Q)为在访问控制实例的初始集合KO中找出所有拥有权限fKs(gKs(Q))-Q的用户;
B3:将蕴含关系式Q->fKs(gKs(Q))-Q,即某个用户拥有权限Q那么该用户一定拥有权限fKs(gKs(Q))-Q,添加到蕴含关系集合J中,然后进入步骤B5;
B4:从访问控制实例的初始集合KO中取出一个权限分配不符合蕴含关系式Q->fKs(gKs(Q))-Q的实例o,即用户o拥有权限Q但是不拥有权限fKs(gKs(Q))-Q,并将这个实例添加到确定的访问控制实例的无冗余集合KS中,然后进入步骤B6;
B5:根据形式概念分析中集合与蕴含集合相关性定理,在集合Mq中找出下一个与蕴含关系集合J相关的权限集合Q′,令Q=Q′,然后进入步骤B6;集合与蕴含集合相关性定理为本领域的常规定理,在此不再赘述;
B6:循环步骤B2,直到下一个与蕴含关系集合J相关的权限集合等于所有权限集合M,进入步骤B7;
C:通过步骤A和步骤B,得到所有部门的确定的访问控制实例的无冗余集合TempK={K1,K2,……,Kn-1,Kn},所有部门的蕴含关系集合TempJ={J1,J2,……,Jn-1,Jn},所有部门的角色集合TempR={R1,R2,……,Rn-1,Rn},对TempJ、TempR和TempK进行分析,得到所有部门联合后的蕴含关系集合Jall、所有部门联合后确定的访问控制实例的无冗余集合Kall和所有部门联合后的角色集合Rall;
所述的步骤C包含以下具体步骤:
C1:得到所有部门的确定的访问控制实例的无冗余集合TempK={K1,K2,……,Kn-1,Kn},所有部门的蕴含关系集合TempJ={J1,J2,……,Jn-1,Jn}和所有部门的角色集合TempR={R1,R2,……,Rn-1,Rn},从集合Mq中取判定集合P,判定集合P的初始值为然后进行步骤C2;
C2:若判定集合P存在于任意一个部门的角色集合中时,进入步骤C6;否则进入步骤C3;
C3:若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ都存在,且判定集合P与所有部门联合后的蕴含关系集合Jall符合集合与蕴含集合相关性定理,进入步骤C7;否则进入步骤C4;
C4:若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ中都存在,且后件不相等,且判定集合P与所有部门联合后的蕴含关系集合Jall符合集合与蕴含集合相关性定理,且在所有部门的蕴含关系集合TempJ中以判定集合P为前件的蕴含式后件交集不为进入步骤C8;否则进入步骤C5;
C5:若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ中都存在,且后件不相等,且判定集合P与所有部门联合后的蕴含关系集合Jall符合集合与蕴含集合相关性定理,且在所有部门的蕴含关系集合TempJ中以判定集合P为前件的蕴含式后件交集为进入步骤C9;否则进入步骤C10;
C6:直接将判定集合P加入所有部门联合后的角色集合Rall中,然后进入步骤C11;
由于若判定集合P存在于任意一个部门的角色集合中时,设判定集合P∈某个TempRi,必在某一个K∈TempK中存在即f(g(P))=P,又因为所有部门联合后确定的访问控制实例的无冗余集合Kall=K1∪K2∪……∪Kn-1∪Kn,所以在任一K∈TempK中g(P)都包含于在Kall中的g(P),即在Kall中f(g(P))包含于在任一K∈TempK中f(g(P))=P,所以在所有部门联合后确定的访问控制实例的无冗余集合Kall中f(g(P))=P,即判定集合P是一个角色,所以可以直接将P加入所有部门联合后的角色集合Rall中;其中,g(P)为在相应的访问控制实例集合中找出所有拥有权限P的用户,f(g(P))为找出所有拥有权限P的用户所共同拥有的权限;
C7:将蕴含关系式P->f(g(P))-P,即某个用户拥有权限P那么该用户一定拥有权限f(g(P))-P,直接加入所有部门联合后的蕴含关系集合Jall中,然后进入步骤C11;
由于若以判定集合P为前件的蕴含式即P->f(g(P))-P,在所有蕴含关系集合J∈TempJ中都存在,且判定集合P与所有部门联合后的蕴含关系集合Jall符合集合与蕴含集合相关性定理,判定集合P在所有的蕴含关系J∈TempJ存在,则在所有的K中f(g(P))都相等,判定集合P与所有部门联合后的蕴含关系集合Jakl符合集合与蕴含集合相关性定理,说明判定集合P不违反所有部门联合后的蕴含关系集合Jall中所有的蕴含式。所以蕴含式P->f(g(P))-P不需要重新计算可直接加入所有部门联合后的蕴含关系集合Jall中;
C8:设P1是所有部门中以判定集合P为前件的蕴含式后件的交集,将蕴含关系式P->P1,直接加入所有部门联合后的蕴含关系集合Jall,然后进入步骤C11;
由于判定集合P与所有部门联合后的蕴含关系集合Jall符合集合与蕴含集合相关性定理,说明判定集合P不违反所有部门联合后的蕴含关系集合Jall里的蕴含式,又因为P1是所有部门以判定集合P为前件的蕴含式后件交集,所以P->P1在所有部门联合后确定的访问控制实例的无冗余集合Kall中一定成立;
C9:直接将判定集合P加入所有部门联合后的角色集合Rall中;然后进入步骤C11;
由于判定集合P与所有部门联合后的蕴含关系集合Jall符合集合与蕴含集合相关性定理,说明判定集合P不违反所有部门联合后的蕴含关系集合Jall里的蕴含式,又因为所有部门以判定集合P为前件的蕴含式后件交集为所以判定集合P一定是一个角色集合即可以直接将判定集合P加入所有部门联合后的角色集合Rall中;
C10:在所有部门联合后确定的访问控制实例的无冗余集合Kall中计算f(g(P)),若P=f(g(P)),则将判定集合P加入所有部门联合后的角色集合Rall中,若P≠f(g(P)),则将蕴含式P->f(g(P))-P加入所有部门联合后的蕴含关系集合Jall中;然后进入步骤C11;
C11:根据形式概念分析中蕴含式相关性定理,在集合Mq中找出判定集合P的下一个符合与所有部门联合后的蕴含关系集合Jall相关性定理的权限集合P′,令P=P′,循环步骤C1至C5,直到找到的下一个符合与所有部门联合后的蕴含关系集合Jall相关性定理的权限集合等于权限集合M;
C12:得到所有部门联合后的蕴含关系集合Jall、所有部门联合后确定的访问控制实例的无冗余集合Kall和所有部门联合后的角色集合Rall。
下面以包含两个部门的某大型炼钢企业中为例:
步骤如下:
A:从某大型炼钢企业中部门一的信息系统中获取该部门的访问控制日志记录,并对访问日志记录进行数据预处理;得到访问控制实例如表2所示:
表2部门一KO
a | b | c | d | e | f | g | h | i | |
甲 | 0 | 0 | 1 | 1 | 1 | 1 | 1 | 0 | 0 |
乙 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 0 | 1 |
丙 | 0 | 0 | 1 | 1 | 1 | 0 | 1 | 0 | 0 |
丁 | 1 | 1 | 1 | 1 | 0 | 0 | 0 | 1 | 0 |
所有权限M=(a,b,c,d,e,f,g,h,i)。
B:利用属性探索辅助角色发现算法,得到A中部门的访问控制实例集合KS和蕴含关系集合J,同时确定角色集合R;
B4从访问控制实例的初始集合KO中取出一个权限分配不符合这条蕴含规则的实例o,并将这个实例添加到确定的访问控制实例的无冗余集合KS中,然后进入步骤B6;
B5:根据形式概念分析中集合与蕴含集合相关性定理在集合Mq中找出下一个与蕴含关系集合J相关的权限集合Q′,令Q=Q′,然后进入步骤B6;集合与蕴含集合相关性定理为本领域的常规定理,在此不再赘述;
B6:循环步骤B2,直到下一个与蕴含关系集合J相关的权限集合等于所有权限集合M,进入步骤B7;
部门一在经过步骤A、B得到的该部门的确定的访问控制实例的无冗余集合KS为甲(cdefg)、乙(gi)、丙(cdeg)、丁(abcdh);
部门一的角色集合R1和权限间蕴含关系集合J1为:
J1={i->g,h->abcd,f->cdeg,e->cd,d->c,c->d,cdg->ef,cdefgi->abh,b->acdh,a->bcdh,abcdeh->fgi};
C:将所有部门(部门一和部门二)依次经过步骤A和步骤B得到得到的确定的访问控制实例的无冗余集合TempK={K1,K2},部门一和部门二的蕴含关系集合TempJ={J1,J2},部门一和部门二的角色集合TempR={R1,R2},对TempJ、TempR和TempK进行分析,得到部门一和部门二联合后的蕴含关系集合Jall、部门一和部门二联合后确定的访问控制实例的无冗余集合Kall以及部门一和部门二联合后的角色集合Rall;
部门二在经过步骤A、B得到的该部门的确定的访问控制实例的无冗余集合KS为戊(cd)、己(bcdeghi)、庚(abh)。
部门二的角色集合R2和权限间蕴含关系集合J2为:
J2={i->bcdegh,h->b,g->bcdehi,f->abcdeghi,e->bcdghi,d->c,c->d,b->h,a->bh,abcdeghi->f};
所述的步骤C包含以下具体步骤:
C1:得到部门一和部门二的确定的访问控制实例的无冗余集合TempK={K1,K2}、蕴含关系集合TempJ={J1,J2}和角色集合TempR={R1,R2},从集合Mq中取判定集合P,判定集合P的初始值为然后进行步骤C2;
C2:在R1和R2中存在,所以进入步骤C6,将加入部门一和部门二联合后的角色集合Rall,进入步骤C11计算字典序下一个属性集合i,因为i≠M所以进入步骤C2。因为i在TempR中不存在,所以进入步骤C3;
C3:i在蕴含关系集合J1和J2存在且i与所有部门联合后的蕴含关系集合Jall符合集合与蕴含集合相关性定理,所以进入步骤C7。计算J1、J2中由h诱导的蕴含式后件的交集为g。将蕴含式i->g加入部门一、部门二联合后的蕴含关系集合Jall中,然后进入步骤C11,计算字典序i下一个属性集合h。因为h≠M,所以进入步骤C2。因为h在TempR中不存在,所以进入步骤C3;
C3:h在TempR中不存在,h在蕴含关系集合J1、J2存在且h与所有部门联合后的蕴含关系集合Jall符合集合与蕴含集合相关性定理,所以进入步骤C7。计算J1、J2中由h诱导的蕴含式后件的交集为b。将蕴含式h->b加入部门一、部门二联合后的蕴含关系集合Jall中。进入步骤C11,计算字典序h下一个属性集合hi;因为hi与蕴含式i->g不相关,所以计算字典序hi下一个属性集合g。因为g≠M,所以进入步骤C2;
C2:因为g在R1中存在,所以进入步骤C6。将g加入部门一、部门二联合后的角色集合Rall。然后进入步骤C11,计算字典序g下一个属性集合gi。因为gi≠M,所以进入步骤C2;
C2:gi在R1中存在,所以进入步骤C6。将gi加入部门一、部门二联合后的角色集合Rall,然后进入步骤C11,计算字典序gi下一个属性集合gh。因为gh与蕴含式h->b不相关,所以计算字典序gh下一个属性集合ghi。因为ghi与蕴含式h->b不相关,所以计算字典序ghi下一个属性集合f;
……;
由于篇幅有限,重复过程本文不再赘述。
最终得到部门一和部门二联合后的角色集合Rall为:
得到部门一和部门二联合后的蕴含关系集合Jall为:
{i->g,h->b,f->cdeg,e->cdg,d->c,c->d,cdg->e,cdegi->bh,b->h,bgh->cdei,bcdefghi->a,a->bh,abcdeghi->f}
得到部门一、部门二联合后确定的访问控制实例的无冗余集合Kall为:
a | b | c | d | e | f | g | h | i | |
甲 | 0 | 0 | 1 | 1 | 1 | 1 | 1 | 0 | 0 |
乙 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 0 | 1 |
丙 | 0 | 0 | 1 | 1 | 1 | 0 | 1 | 0 | 0 |
丁 | 1 | 1 | 1 | 1 | 0 | 0 | 0 | 1 | 0 |
戊 | 0 | 0 | 1 | 1 | 0 | 0 | 0 | 0 | 0 |
己 | 0 | 1 | 1 | 1 | 1 | 0 | 1 | 1 | 1 |
庚 | 1 | 1 | 0 | 0 | 0 | 0 | 0 | 1 | 0 |
即部门一与部门二系统中应该设置角色应包含部门一与部门二联合后的角色集合Rall中所有权限的集合,得到的部门一与部门二部门联合后的蕴含关系集合,更加的方便系统管理员管理角色系统。例如权限蕴含关系式i->g,系统管理就会知晓如果某员工具有i权限那么该员工必定拥有g权限。
Claims (2)
1.一种基于属性探索的多部门协同交互式RBAC角色构建方法,其特征在于,依次包括以下步骤:
A:从多个部门中的某一个部门信息系统中,获取该部门的访问控制日志记录,并对访问日志记录进行数据预处理,得到该部门的访问控制实例的初始集合KO和所有权限集合M;
B:利用属性探索辅助角色发现算法,得到步骤A中该部门的确定的访问控制实例的无冗余集合KS和蕴含关系集合J,同时确定角色集合R;
所述的步骤B包括以下具体步骤:
B1:根据步骤A中得到的权限集合M=(a1,a2,a3,…,an-1,an),将所有权限集合M进行字典序排列后得到集合 初始化确定的访问控制实例的无冗余集合蕴含关系集合从集合Mq中取字典序排第一的集合其中,字典序为形式概念分析中一种排序规则;
其中,gKs(Q)为在确定的访问控制实例的无冗余集合KS中找出所有拥有权限Q的用户,fKs(gKs(Q))为在确定的访问控制实例的无冗余集合KS中找出所有拥有权限Q的用户所共同拥有的权限,gKo(fKs(gKs(Q))-Q)为在访问控制实例的初始集合KO中找出所有拥有权限fKs(gKs(Q))-Q的用户;
B3:将蕴含关系式Q->fKs(gKs(Q))-Q,即某个用户拥有权限Q那么该用户一定拥有权限fKs(gKs(Q))-Q,添加到蕴含关系集合J中,然后进入步骤B5;
B4:从访问控制实例的初始集合KO中取出一个权限分配不符合蕴含关系式Q->fKs(gKs(Q))-Q的实例o,即用户o拥有权限Q但是不拥有权限fKs(gKs(Q))-Q,并将这个实例添加到确定的访问控制实例的无冗余集合KS中,然后进入步骤B6;
B5:根据形式概念分析中集合与蕴含集合相关性定理,在集合Mq中找出下一个与蕴含关系集合J相关的权限集合Q′,令Q=Q′,然后进入步骤B6;
B6:循环步骤B2,直到下一个与蕴含关系集合J相关的权限集合等于所有权限集合M,进入步骤B7;
C:通过步骤A和步骤B,得到所有部门的确定的访问控制实例的无冗余集合TempK={K1,K2,……,Kn-1,Kn},所有部门的蕴含关系集合TempJ={J1,J2,……,Jn-1,Jn},所有部门的角色集合TempR={R1,R2,……,Rn-1,Rn},对TempJ、TempR和TempK进行分析,得到所有部门联合后的蕴含关系集合Jall、所有部门联合后确定的访问控制实例的无冗余集合Kall和所有部门联合后的角色集合Rall;
所述的步骤C包括以下具体步骤:
C1:得到所有部门的确定的访问控制实例的无冗余集合TempK={K1,K2,……,Kn-1,Kn},所有部门的蕴含关系集合TempJ={J1,J2,……,Jn-1,Jn}和所有部门的角色集合TempR={R1,R2,……,Rn-1,Rn},从集合Mq中取判定集合P,判定集合P的初始值为然后进行步骤C2;
C2:若判定集合P存在于任意一个部门的角色集合中时,进入步骤C6;否则进入步骤C3;
C3:若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ都存在,且判定集合P与所有部门联合后的蕴含关系集合Jall符合集合与蕴含集合相关性定理,进入步骤C7;否则进入步骤C4;
C4:若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ中都存在,且后件不相等,且判定集合P与所有部门联合后的蕴含关系集合Jall符合集合与蕴含集合相关性定理,且在所有部门的蕴含关系集合TempJ中以判定集合P为前件的蕴含式后件交集不为进入步骤C8;否则进入步骤C5;
C5:若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ中都存在,且后件不相等,且判定集合P与所有部门联合后的蕴含关系集合Jall符合集合与蕴含集合相关性定理,且在所有部门的蕴含关系集合TempJ中以判定集合P为前件的蕴含式后件交集为进入步骤C9;否则进入步骤C10;
C6:直接将判定集合P加入所有部门联合后的角色集合Rall中,然后进入步骤C11;
C7:将蕴含关系式P->f(g(P))-P,即某个用户拥有权限P那么该用户一定拥有权限f(g(P))-P,直接加入所有部门联合后的蕴含关系集合Jall中,然后进入步骤C11;
C8:设P1是所有部门中以判定集合P为前件的蕴含式后件的交集,将蕴含关系式P->P1,直接加入所有部门联合后的蕴含关系集合Jall,然后进入步骤C11;
C9:直接将判定集合P加入所有部门联合后的角色集合Rall中;然后进入步骤C11;
C10:在所有部门联合后确定的访问控制实例的无冗余集合Kall中计算f(g(P)),若P=f(g(P)),则将判定集合P加入所有部门联合后的角色集合Rall中,若P≠f(g(P)),则将蕴含式P->f(g(P))-P加入所有部门联合后的蕴含关系集合Jall中;然后进入步骤C11;
C11:根据形式概念分析中蕴含式相关性定理,在集合Mq中找出判定集合P的下一个符合与所有部门联合后的蕴含关系集合Jall相关性定理的权限集合P′,令P=P′,循环步骤C1至C5,直到找到的下一个符合与所有部门联合后的蕴含关系集合Jall相关性定理的权限集合等于权限集合M;
C12:得到所有部门联合后的蕴含关系集合Jall、所有部门联合后确定的访问控制实例的无冗余集合Kall和所有部门联合后的角色集合Rall。
2.根据权利要求1所述的基于属性探索的多部门协同交互式RBAC角色构建方法,其特征在于,所述的步骤A包括以下具体步骤:
A1:从多个部门中的某一个部门信息系统中,获取该部门的访问控制日志记录,将访问控制日志中访问成功的记录,记为该部门下该用户拥有访问该资源的权限;
A2:将访问控制日志中访问失败的记录,记为该部门下该用户不拥有访问该资源的权限;
A3:经数据处理,得到该部门下各个用户所具有的权限和不具有的权限;
A4:得到该部门的访问控制实例的初始集合KO和所有权限集合M。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010639608.4A CN111783043B (zh) | 2020-07-06 | 2020-07-06 | 一种基于属性探索的多部门协同交互式rbac角色构建方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010639608.4A CN111783043B (zh) | 2020-07-06 | 2020-07-06 | 一种基于属性探索的多部门协同交互式rbac角色构建方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111783043A CN111783043A (zh) | 2020-10-16 |
CN111783043B true CN111783043B (zh) | 2022-09-13 |
Family
ID=72758928
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010639608.4A Active CN111783043B (zh) | 2020-07-06 | 2020-07-06 | 一种基于属性探索的多部门协同交互式rbac角色构建方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111783043B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114448659B (zh) * | 2021-12-16 | 2022-10-11 | 河南大学 | 基于属性探索的黄河坝岸监测物联网访问控制优化方法 |
CN114268649B (zh) * | 2021-12-21 | 2022-09-13 | 河南大学 | 一种面向物联网的rbac权限修改方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101339591A (zh) * | 2008-08-29 | 2009-01-07 | 中国科学院软件研究所 | 一种xacml策略规则检测方法 |
CN108140149A (zh) * | 2015-10-06 | 2018-06-08 | 微软技术许可有限责任公司 | 角色特定设备行为 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9152947B2 (en) * | 2011-12-05 | 2015-10-06 | Sap Portals Isreal Ltd | Real-time social networking |
US10454934B2 (en) * | 2016-04-08 | 2019-10-22 | Cloudknox Security Inc. | Activity based access control in heterogeneous environments |
-
2020
- 2020-07-06 CN CN202010639608.4A patent/CN111783043B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101339591A (zh) * | 2008-08-29 | 2009-01-07 | 中国科学院软件研究所 | 一种xacml策略规则检测方法 |
CN108140149A (zh) * | 2015-10-06 | 2018-06-08 | 微软技术许可有限责任公司 | 角色特定设备行为 |
Non-Patent Citations (3)
Title |
---|
Access Policy Design Supported by FCA Methods;Frithjof Dau 等;《Conceptual Structures: Leveraging Semantic Technologies (2009)》;20091231;第141-154页 * |
Spatio-temporal-Aware Sparse Denoising Autoencoder Neural Network for Air Quality Prediction;Yan Li 等;《 2018 5th IEEE International Conference on Cloud Computing and Intelligence Systems (CCIS)》;20190414;第96-100页 * |
属性探索算法改进及本体构建研究;覃萍;《中国优秀硕士学位论文全文数据库 信息科技辑》;20110115(第1期);第I138-1325页 * |
Also Published As
Publication number | Publication date |
---|---|
CN111783043A (zh) | 2020-10-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111950013B (zh) | 一种基于属性探索的rbac角色快速辅助构建方法 | |
AU2005202279B2 (en) | Method, system, and apparatus for discovering and connecting to data sources | |
Nabar et al. | Towards robustness in query auditing | |
US9710529B2 (en) | Data construction for extract, transform and load operations for a database | |
CN111783043B (zh) | 一种基于属性探索的多部门协同交互式rbac角色构建方法 | |
US5226158A (en) | Method and apparatus for maintaining referential integrity within a relational database | |
CN104376237B (zh) | 一种针对生产过程中信息的安全控制方法和系统 | |
US20050038788A1 (en) | Annotation security to prevent the divulgence of sensitive information | |
US11650813B2 (en) | Enhanced product development efficiency, communication, and/or security through component-based event generation and/or subscription | |
CN104967620A (zh) | 一种基于属性访问控制策略的访问控制方法 | |
CN104731596A (zh) | 一种支持多人在线编辑xbrl的分类编辑方法 | |
US7720831B2 (en) | Handling multi-dimensional data including writeback data | |
US20060026180A1 (en) | System and method for automatically synchronizing security-relevant information between a relational database and a multidimensional database | |
CN114840521B (zh) | 数据库的权限管理和数据保护方法、装置、设备和存储介质 | |
US20100114897A1 (en) | Indexing and searching a network of multi-faceted entity data | |
CN111198878B (zh) | 一种基础信息调研系统及方法 | |
CA2461871A1 (en) | An efficient index structure to access hierarchical data in a relational database system | |
US20020055921A1 (en) | Multi-database system | |
CN111967034B (zh) | 一种基于属性探索的rbac角色容错辅助构建方法 | |
US7814049B2 (en) | Computer device for managing documents in multi-user mode | |
JP2009003549A (ja) | データ管理装置およびデータ管理方法、データ管理プログラム、データ管理プログラム記憶媒体 | |
CN101794312A (zh) | 基于安全视图的xml访问控制方法 | |
CN112580070B (zh) | 一种基于前缀字典树的rbac角色分层辅助构建方法 | |
CN114268649B (zh) | 一种面向物联网的rbac权限修改方法 | |
JPH0850559A (ja) | ファイル記憶保護装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |