CN111783043B - 一种基于属性探索的多部门协同交互式rbac角色构建方法 - Google Patents

Abstract

本发明公开了一种基于属性探索的多部门协同交互式RBAC角色构建方法，依次包括以下步骤：A：获取部门的访问控制实例的初始集合和所有权限集合；B：利用属性探索辅助角色发现算法，得到该部门的确定的访问控制实例的无冗余集合和蕴含关系集合，同时确定角色集合；C：得到所有部门的确定的访问控制实例的无冗余集合、蕴含关系集合和角色集合，经分析得到所有部门联合后的蕴含关系集合、所有部门联合后确定的访问控制实例的无冗余集合和所有部门联合后的角色集合。本发明能够科学地实现在多个部门环境下的角色构建，为现代工业和信息产业生产中操作角色及操作权限的安全科学的设定提供数据基础，杜绝安全隐患。

Description

一种基于属性探索的多部门协同交互式RBAC角色构建方法

技术领域

本发明涉及一种基于角色的访问控制(RBAC)技术领域，尤其涉及一种基于属性探索的多部门协同交互式RBAC角色构建方法。

背景技术

信息安全管理一直是现代工业及信息产业发展的重中之中，信息安全管理直接影响着现代工业产业和信息产业生产中安全隐患大小。如大型工业生产中，如何根据实际生产过程中各个生产环节的操作需求，科学地设置生产工序中的操作角色及操作权限，杜绝生产过程中各种关键操作中的角色误操作隐患，直接决定企业能否实现安全生产。再如目前频发的信息安全泄露事件，如中兴事件，因权限管理失误，导致机密文件信息泄露，从而造成巨大损失。因此，现代工业及信息产业发展中，信息安全管理工作得到了越来越多的重视及研究。

现有的角色构建方法中，基于角色的访问控制(RBAC)通过了实践证明，可以有效的保障用户系统数据安全。但传统的RBAC系统的构建不仅是一个十分耗时、耗力的过程，而且在确立角色过程中很容易出现角色遗漏的现象。随着信息系统的日益庞大，现有的角色构建方法弊端越来越明显。属性探索辅助算法虽然可用于RBAC系统角色发现，但是其研究尚处于起步阶段，现有的辅助算法不支持跨部门多人协作机制，使得现有的辅助角色发现算法在实际工作中应用受限。

发明内容

本发明的目的是提供一种基于属性探索的多部门协同交互式RBAC角色构建方法，能够辅助基于角色的访问控制(RBAC)系统，科学地实现在多个部门环境下的角色构建，为现代工业和信息产业生产中操作角色及操作权限的安全科学的设定提供数据基础，杜绝安全隐患。

本发明采用下述技术方案：

一种基于属性探索的多部门协同交互式RBAC角色构建方法，依次包括以下步骤：

A：从多个部门中的某一个部门信息系统中，获取该部门的访问控制日志记录，并对访问日志记录进行数据预处理，得到该部门的访问控制实例的初始集合K_O和所有权限集合M；

B：利用属性探索辅助角色发现算法，得到步骤A中该部门的确定的访问控制实例的无冗余集合K_S和蕴含关系集合J，同时确定角色集合R；

C：通过步骤A和步骤B，得到所有部门的确定的访问控制实例的无冗余集合TempK＝{K₁，K₂，……,K_n-1,K_n}，所有部门的蕴含关系集合TempJ＝{J₁，J₂，……,J_n-1,J_n}，所有部门的角色集合TempR＝{R₁，R₂，……,R_n-1,R_n}，对TempJ、TempR和TempK进行分析，得到所有部门联合后的蕴含关系集合J_all、所有部门联合后确定的访问控制实例的无冗余集合K_all和所有部门联合后的角色集合R_all。

所述的步骤A包括以下具体步骤：

A1：从多个部门中的某一个部门信息系统中，获取该部门的访问控制日志记录，将访问控制日志中访问成功的记录，记为该部门下该用户拥有访问该资源的权限；

A2：将访问控制日志中访问失败的记录，记为该部门下该用户不拥有访问该资源的权限；

A3：经数据处理，得到该部门下各个用户所具有的权限和不具有的权限；

A4：得到该部门的访问控制实例的初始集合K_O和所有权限集合M。

所述的步骤B包括以下具体步骤：

B1：根据步骤A中得到的权限集合M＝(a₁,a₂,a₃,…,a_n-1,a_n),将所有权限集合M进行字典序排列后得到集合

初始化确定的访问控制实例的无冗余集合

蕴含关系集合

从集合M_q中取字典序排第一的集合

其中，字典序为形式概念分析中一种排序规则；

B2：在确定的访问控制实例的无冗余集合K_S中计算f_Ks(g_Ks(Q))，若

则进入步骤B3；否则进入步骤B4；

其中，g_Ks(Q)为在确定的访问控制实例的无冗余集合K_S中找出所有拥有权限Q的用户，f_Ks(g_Ks(Q))为在确定的访问控制实例的无冗余集合K_S中找出所有拥有权限Q的用户所共同拥有的权限，g_Ko(f_Ks(g_Ks(Q))-Q)为在访问控制实例的初始集合K_O中找出所有拥有权限f_Ks(g_Ks(Q))-Q的用户；

B3：将蕴含关系式Q->f_Ks(g_Ks(Q))-Q，即某个用户拥有权限Q那么该用户一定拥有权限f_Ks(g_Ks(Q))-Q，添加到蕴含关系集合J中，然后进入步骤B5；

B4：从访问控制实例的初始集合K_O中取出一个权限分配不符合蕴含关系式Q->f_Ks(g_Ks(Q))-Q的实例o，即实例o拥有权限Q但是不拥有权限f_Ks(g_Ks(Q))-Q，并将这个实例添加到确定的访问控制实例的无冗余集合K_S中，然后进入步骤B6；

B5：根据形式概念分析中集合与蕴含集合相关性定理，在集合M_q中找出下一个与蕴含关系集合J相关的权限集合Q′，令Q＝Q′，然后进入步骤B6；

B6：循环步骤B2，直到下一个与蕴含关系集合J相关的权限集合等于所有权限集合M，进入步骤B7；

B7：将蕴含关系集合J中蕴含式后件为

的蕴含式加入到角色集合R中，并得到该部门的确定的访问控制实例的无冗余集合K_S和蕴含关系集合J。

所述的步骤C包括以下具体步骤：

C1：得到所有部门的确定的访问控制实例的无冗余集合TempK＝{K₁，K₂，……,K_n-1,K_n}，所有部门的蕴含关系集合TempJ＝{J₁，J₂，……,J_n-1,J_n}和所有部门的角色集合TempR＝{R₁，R₂，……,R_n-1,R_n}，从集合M_q中取判定集合P，判定集合P的初始值为

然后进行步骤C2；

C2：若判定集合P存在于任意一个部门的角色集合中时，进入步骤C6；否则进入步骤C3；

C3：若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ都存在，且判定集合P与所有部门联合后的蕴含关系集合J_all符合集合与蕴含集合相关性定理，进入步骤C7；否则进入步骤C4；

C4：若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ中都存在，且后件不相等，且判定集合P与所有部门联合后的蕴含关系集合J_all符合集合与蕴含集合相关性定理，且在所有部门的蕴含关系集合TempJ中以判定集合P为前件的蕴含式后件交集不为

进入步骤C8；否则进入步骤C5；

C5：若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ中都存在，且后件不相等，且判定集合P与所有部门联合后的蕴含关系集合J_all符合集合与蕴含集合相关性定理，且在所有部门的蕴含关系集合TempJ中以判定集合P为前件的蕴含式后件交集为

进入步骤C9；否则进入步骤C10；

C6：直接将判定集合P加入所有部门联合后的角色集合R_all中，然后进入步骤C11；

C7：将蕴含关系式P->f(g(P))-P，即某个用户拥有权限P那么该用户一定拥有权限f(g(P))-P，直接加入所有部门联合后的蕴含关系集合J_all中，然后进入步骤C11；

C8：设P₁是所有部门中以判定集合P为前件的蕴含式后件的交集,将蕴含关系式P->P₁，直接加入所有部门联合后的蕴含关系集合J_all，然后进入步骤C11；

C9：直接将判定集合P加入所有部门联合后的角色集合R_all中；然后进入步骤C11；

C10：在所有部门联合后确定的访问控制实例的无冗余集合K_all中计算f(g(P))，若P＝f(g(P))，则将判定集合P加入所有部门联合后的角色集合R_all中，若P≠f(g(P))，则将蕴含式P->f(g(P))-P加入所有部门联合后的蕴含关系集合J_all中；然后进入步骤C11；

C11：根据形式概念分析中蕴含式相关性定理，在集合M_q中找出判定集合P的下一个符合与所有部门联合后的蕴含关系集合J_all相关性定理的权限集合P′,令P＝P′，循环步骤C1至C5,直到找到的下一个符合与所有部门联合后的蕴含关系集合J_all相关性定理的权限集合等于权限集合M；

C12：得到所有部门联合后的蕴含关系集合J_all、所有部门联合后确定的访问控制实例的无冗余集合K_all和所有部门联合后的角色集合R_all。

本发明能够避免角色构建过程中，能够辅助基于角色的访问控制(RBAC)系统，科学地实现在多个部门环境下的角色构建，为现代工业和信息产业生产中操作角色及操作权限的安全科学的设定提供数据基础，杜绝安全隐患。

附图说明

图1为本发明的流程示意图。

具体实施方式

以下结合附图和实施例对本发明作以详细的描述：

如图1所示，本发明所述的基于属性探索的多部门协同交互式RBAC角色构建方法，依次包括以下步骤：

A：从多个部门中的某一个部门信息系统中，获取该部门的访问控制日志记录，并对访问日志记录进行数据预处理，得到该部门的访问控制实例的初始集合K_O和所有权限集合M；

所述的步骤A包含以下具体步骤：

A1：从多个部门中的某一个部门信息系统中，获取该部门的访问控制日志记录，将访问控制日志中访问成功的记录，记为该部门下该用户拥有访问该资源的权限；例如在大型炼钢企业中，员工甲在6月21日操作生产环节中炼钢炉温度更改成功，则记录甲具有操作炼钢炉温度更改的权限；

A2：将访问控制日志中访问失败的记录，记为该部门下该用户不拥有访问该资源的权限；例如员工甲在6月21日操作生产环节中加氧量更改失败，则记录甲不具有操作生产环节中加氧量更改的权限；

A3：经数据处理，得到该部门下各个用户所具有的权限和不具有的权限。

例如本实施例中，经数据处理，得到用户甲所具有的权限和不具有的权限，如表1所示。

	a	b	c	d	e	f	g	h	i
										甲	1	0	0	1	0	1	0	1	1

表1

其中，用户甲具有(adfhi)权限，不具有(bceg)权限；

A4：得到该部门的访问控制实例的初始集合K_O和所有权限集合M。

B：利用属性探索辅助角色发现算法，得到步骤A中该部门的确定的访问控制实例的无冗余集合K_S和蕴含关系集合J，同时确定角色集合R；

其中，步骤B包含以下具体步骤：

B1：根据步骤A中得到的权限集合M＝(a₁,a₂,a₃,…,a_n-1,a_n),将所有权限集合M进行字典序排列后得到集合

初始化确定的访问控制实例的无冗余集合

蕴含关系集合

从集合M_q中取字典序排第一的集合

其中，字典序为形式概念分析中一种排序规则。

B2：在确定的访问控制实例的无冗余集合K_S中计算f_Ks(g_Ks(Q))，若

则进入步骤B3；否则进入步骤B4；

其中，g_Ks(Q)为在确定的访问控制实例的无冗余集合K_S中找出所有拥有权限Q的用户，f_Ks(g_Ks(Q))为在确定的访问控制实例的无冗余集合K_S中找出所有拥有权限Q的用户所共同拥有的权限，g_Ko(f_Ks(g_Ks(Q))-Q)为在访问控制实例的初始集合K_O中找出所有拥有权限f_Ks(g_Ks(Q))-Q的用户；

B3：将蕴含关系式Q->f_Ks(g_Ks(Q))-Q，即某个用户拥有权限Q那么该用户一定拥有权限f_Ks(g_Ks(Q))-Q，添加到蕴含关系集合J中，然后进入步骤B5；

B4：从访问控制实例的初始集合K_O中取出一个权限分配不符合蕴含关系式Q->f_Ks(g_Ks(Q))-Q的实例o，即用户o拥有权限Q但是不拥有权限f_Ks(g_Ks(Q))-Q，并将这个实例添加到确定的访问控制实例的无冗余集合K_S中，然后进入步骤B6；

B5：根据形式概念分析中集合与蕴含集合相关性定理，在集合M_q中找出下一个与蕴含关系集合J相关的权限集合Q′，令Q＝Q′，然后进入步骤B6；集合与蕴含集合相关性定理为本领域的常规定理，在此不再赘述；

B6：循环步骤B2，直到下一个与蕴含关系集合J相关的权限集合等于所有权限集合M，进入步骤B7；

B7：将蕴含关系集合J中蕴含式后件为

的蕴含式加入到角色集合R中，并得到该部门的确定的访问控制实例的无冗余集合K_S和蕴含关系集合J；

C：通过步骤A和步骤B，得到所有部门的确定的访问控制实例的无冗余集合TempK＝{K₁，K₂，……,K_n-1,K_n}，所有部门的蕴含关系集合TempJ＝{J₁，J₂，……,J_n-1,J_n}，所有部门的角色集合TempR＝{R₁，R₂，……,R_n-1,R_n}，对TempJ、TempR和TempK进行分析，得到所有部门联合后的蕴含关系集合J_all、所有部门联合后确定的访问控制实例的无冗余集合K_all和所有部门联合后的角色集合R_all；

所述的步骤C包含以下具体步骤：

C1：得到所有部门的确定的访问控制实例的无冗余集合TempK＝{K₁，K₂，……,K_n-1,K_n}，所有部门的蕴含关系集合TempJ＝{J₁，J₂，……,J_n-1,J_n}和所有部门的角色集合TempR＝{R₁，R₂，……,R_n-1,R_n}，从集合M_q中取判定集合P，判定集合P的初始值为

然后进行步骤C2；

C2：若判定集合P存在于任意一个部门的角色集合中时，进入步骤C6；否则进入步骤C3；

C3：若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ都存在，且判定集合P与所有部门联合后的蕴含关系集合J_all符合集合与蕴含集合相关性定理，进入步骤C7；否则进入步骤C4；

C4：若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ中都存在，且后件不相等，且判定集合P与所有部门联合后的蕴含关系集合J_all符合集合与蕴含集合相关性定理，且在所有部门的蕴含关系集合TempJ中以判定集合P为前件的蕴含式后件交集不为

进入步骤C8；否则进入步骤C5；

C5：若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ中都存在，且后件不相等，且判定集合P与所有部门联合后的蕴含关系集合J_all符合集合与蕴含集合相关性定理，且在所有部门的蕴含关系集合TempJ中以判定集合P为前件的蕴含式后件交集为

进入步骤C9；否则进入步骤C10；

C6：直接将判定集合P加入所有部门联合后的角色集合R_all中，然后进入步骤C11；

由于若判定集合P存在于任意一个部门的角色集合中时，设判定集合P∈某个TempR_i，必在某一个K∈TempK中存在即f(g(P))＝P，又因为所有部门联合后确定的访问控制实例的无冗余集合K_all＝K₁∪K₂∪……∪K_n-1∪K_n，所以在任一K∈TempK中g(P)都包含于在K_all中的g(P)，即在K_all中f(g(P))包含于在任一K∈TempK中f(g(P))＝P，所以在所有部门联合后确定的访问控制实例的无冗余集合K_all中f(g(P))＝P，即判定集合P是一个角色，所以可以直接将P加入所有部门联合后的角色集合R_all中；其中，g(P)为在相应的访问控制实例集合中找出所有拥有权限P的用户，f(g(P))为找出所有拥有权限P的用户所共同拥有的权限；

C7：将蕴含关系式P->f(g(P))-P，即某个用户拥有权限P那么该用户一定拥有权限f(g(P))-P，直接加入所有部门联合后的蕴含关系集合J_all中，然后进入步骤C11；

由于若以判定集合P为前件的蕴含式即P->f(g(P))-P，在所有蕴含关系集合J∈TempJ中都存在，且判定集合P与所有部门联合后的蕴含关系集合J_all符合集合与蕴含集合相关性定理，判定集合P在所有的蕴含关系J∈TempJ存在，则在所有的K中f(g(P))都相等，判定集合P与所有部门联合后的蕴含关系集合J_akl符合集合与蕴含集合相关性定理,说明判定集合P不违反所有部门联合后的蕴含关系集合J_all中所有的蕴含式。所以蕴含式P->f(g(P))-P不需要重新计算可直接加入所有部门联合后的蕴含关系集合J_all中；

C8：设P₁是所有部门中以判定集合P为前件的蕴含式后件的交集,将蕴含关系式P->P₁，直接加入所有部门联合后的蕴含关系集合J_all，然后进入步骤C11；

由于判定集合P与所有部门联合后的蕴含关系集合J_all符合集合与蕴含集合相关性定理，说明判定集合P不违反所有部门联合后的蕴含关系集合J_all里的蕴含式，又因为P₁是所有部门以判定集合P为前件的蕴含式后件交集，所以P->P₁在所有部门联合后确定的访问控制实例的无冗余集合K_all中一定成立；

C9：直接将判定集合P加入所有部门联合后的角色集合R_all中；然后进入步骤C11；

由于判定集合P与所有部门联合后的蕴含关系集合J_all符合集合与蕴含集合相关性定理，说明判定集合P不违反所有部门联合后的蕴含关系集合J_all里的蕴含式，又因为所有部门以判定集合P为前件的蕴含式后件交集为

所以判定集合P一定是一个角色集合即可以直接将判定集合P加入所有部门联合后的角色集合R_all中；

C10：在所有部门联合后确定的访问控制实例的无冗余集合K_all中计算f(g(P))，若P＝f(g(P))，则将判定集合P加入所有部门联合后的角色集合R_all中，若P≠f(g(P))，则将蕴含式P->f(g(P))-P加入所有部门联合后的蕴含关系集合J_all中；然后进入步骤C11；

C11：根据形式概念分析中蕴含式相关性定理，在集合M_q中找出判定集合P的下一个符合与所有部门联合后的蕴含关系集合J_all相关性定理的权限集合P′,令P＝P′，循环步骤C1至C5,直到找到的下一个符合与所有部门联合后的蕴含关系集合J_all相关性定理的权限集合等于权限集合M；

C12：得到所有部门联合后的蕴含关系集合J_all、所有部门联合后确定的访问控制实例的无冗余集合K_all和所有部门联合后的角色集合R_all。

下面以包含两个部门的某大型炼钢企业中为例：

步骤如下：

A：从某大型炼钢企业中部门一的信息系统中获取该部门的访问控制日志记录，并对访问日志记录进行数据预处理；得到访问控制实例如表2所示：

表2部门一K_O

	a	b	c	d	e	f	g	h	i
										甲	0	0	1	1	1	1	1	0	0
乙	0	0	0	0	0	0	1	0	1
										丙	0	0	1	1	1	0	1	0	0
丁	1	1	1	1	0	0	0	1	0

所有权限M＝(a,b,c,d,e,f,g,h,i)。

B：利用属性探索辅助角色发现算法，得到A中部门的访问控制实例集合K_S和蕴含关系集合J，同时确定角色集合R；

B1：权限集合M中的字典序排列应该为

初始化确定的访问控制实例的无冗余集合

蕴含关系集合

从集合M_q中取字典序排第一的集合

其中，字典序为形式概念分析中一种排序规则。

B2：在确定的访问控制实例的无冗余集合K_S中计算f(g(Q))＝(a₁,a₂,…,a_n)，K_S中g(Q)＝(甲，乙，丙，丁)，K_O中

不满足K_S中

在K_O中g(f(g(Q))-Q)的条件,进入步骤B4；

B4从访问控制实例的初始集合K_O中取出一个权限分配不符合这条蕴含规则的实例o，并将这个实例添加到确定的访问控制实例的无冗余集合K_S中，然后进入步骤B6；

B5：根据形式概念分析中集合与蕴含集合相关性定理在集合M_q中找出下一个与蕴含关系集合J相关的权限集合Q′，令Q＝Q′，然后进入步骤B6；集合与蕴含集合相关性定理为本领域的常规定理，在此不再赘述；

B6：循环步骤B2，直到下一个与蕴含关系集合J相关的权限集合等于所有权限集合M，进入步骤B7；

B7：将蕴含关系集合J中蕴含式后件为

的蕴含式加入到角色集合R中并从J中删除，同时得到该部门的确定的访问控制实例的无冗余集合K_S和蕴含关系集合J；

部门一在经过步骤A、B得到的该部门的确定的访问控制实例的无冗余集合K_S为甲(cdefg)、乙(gi)、丙(cdeg)、丁(abcdh)；

部门一的角色集合R₁和权限间蕴含关系集合J₁为：

J₁＝{i->g,h->abcd,f->cdeg,e->cd,d->c,c->d,cdg->ef,cdefgi->abh,b->acdh,a->bcdh,abcdeh->fgi}；

C：将所有部门(部门一和部门二)依次经过步骤A和步骤B得到得到的确定的访问控制实例的无冗余集合TempK＝{K₁，K₂}，部门一和部门二的蕴含关系集合TempJ＝{J₁，J₂}，部门一和部门二的角色集合TempR＝{R₁，R₂}，对TempJ、TempR和TempK进行分析，得到部门一和部门二联合后的蕴含关系集合J_all、部门一和部门二联合后确定的访问控制实例的无冗余集合K_all以及部门一和部门二联合后的角色集合R_all；

部门二在经过步骤A、B得到的该部门的确定的访问控制实例的无冗余集合K_S为戊(cd)、己(bcdeghi)、庚(abh)。

部门二的角色集合R₂和权限间蕴含关系集合J₂为：

J₂＝{i->bcdegh,h->b,g->bcdehi,f->abcdeghi,e->bcdghi,d->c,c->d,b->h,a->bh,abcdeghi->f}；

所述的步骤C包含以下具体步骤：

C1：得到部门一和部门二的确定的访问控制实例的无冗余集合TempK＝{K₁，K₂}、蕴含关系集合TempJ＝{J₁，J₂}和角色集合TempR＝{R₁，R₂}，从集合M_q中取判定集合P，判定集合P的初始值为

然后进行步骤C2；

C2：

在R₁和R₂中存在，所以进入步骤C6，将

加入部门一和部门二联合后的角色集合R_all，进入步骤C11计算字典序

下一个属性集合i，因为i≠M所以进入步骤C2。因为i在TempR中不存在，所以进入步骤C3；

C3：i在蕴含关系集合J₁和J₂存在且i与所有部门联合后的蕴含关系集合J_all符合集合与蕴含集合相关性定理，所以进入步骤C7。计算J₁、J₂中由h诱导的蕴含式后件的交集为g。将蕴含式i->g加入部门一、部门二联合后的蕴含关系集合J_all中，然后进入步骤C11，计算字典序i下一个属性集合h。因为h≠M，所以进入步骤C2。因为h在TempR中不存在，所以进入步骤C3；

C3：h在TempR中不存在，h在蕴含关系集合J₁、J₂存在且h与所有部门联合后的蕴含关系集合J_all符合集合与蕴含集合相关性定理，所以进入步骤C7。计算J₁、J₂中由h诱导的蕴含式后件的交集为b。将蕴含式h->b加入部门一、部门二联合后的蕴含关系集合J_all中。进入步骤C11，计算字典序h下一个属性集合hi；因为hi与蕴含式i->g不相关，所以计算字典序hi下一个属性集合g。因为g≠M，所以进入步骤C2；

C2:因为g在R₁中存在，所以进入步骤C6。将g加入部门一、部门二联合后的角色集合R_all。然后进入步骤C11，计算字典序g下一个属性集合gi。因为gi≠M，所以进入步骤C2；

C2：gi在R₁中存在，所以进入步骤C6。将gi加入部门一、部门二联合后的角色集合R_all，然后进入步骤C11，计算字典序gi下一个属性集合gh。因为gh与蕴含式h->b不相关，所以计算字典序gh下一个属性集合ghi。因为ghi与蕴含式h->b不相关，所以计算字典序ghi下一个属性集合f；

……；

由于篇幅有限，重复过程本文不再赘述。

最终得到部门一和部门二联合后的角色集合R_all为:

得到部门一和部门二联合后的蕴含关系集合J_all为:

{i->g，h->b，f->cdeg，e->cdg，d->c，c->d，cdg->e，cdegi->bh，b->h，bgh->cdei，bcdefghi->a，a->bh，abcdeghi->f}

得到部门一、部门二联合后确定的访问控制实例的无冗余集合K_all为:

	a	b	c	d	e	f	g	h	i
										甲	0	0	1	1	1	1	1	0	0
乙	0	0	0	0	0	0	1	0	1
										丙	0	0	1	1	1	0	1	0	0
丁	1	1	1	1	0	0	0	1	0
										戊	0	0	1	1	0	0	0	0	0
己	0	1	1	1	1	0	1	1	1
										庚	1	1	0	0	0	0	0	1	0

即部门一与部门二系统中应该设置角色应包含部门一与部门二联合后的角色集合R_all中所有权限的集合，得到的部门一与部门二部门联合后的蕴含关系集合，更加的方便系统管理员管理角色系统。例如权限蕴含关系式i->g，系统管理就会知晓如果某员工具有i权限那么该员工必定拥有g权限。

Claims (2)

1.一种基于属性探索的多部门协同交互式RBAC角色构建方法，其特征在于，依次包括以下步骤：

A：从多个部门中的某一个部门信息系统中，获取该部门的访问控制日志记录，并对访问日志记录进行数据预处理，得到该部门的访问控制实例的初始集合K_O和所有权限集合M；

B：利用属性探索辅助角色发现算法，得到步骤A中该部门的确定的访问控制实例的无冗余集合K_S和蕴含关系集合J，同时确定角色集合R；

所述的步骤B包括以下具体步骤：

B1：根据步骤A中得到的权限集合M＝(a₁，a₂，a₃，…，a_n-1，a_n)，将所有权限集合M进行字典序排列后得到集合

初始化确定的访问控制实例的无冗余集合

蕴含关系集合

从集合M_q中取字典序排第一的集合

其中，字典序为形式概念分析中一种排序规则；

B2：在确定的访问控制实例的无冗余集合K_S中计算f_Ks(g_Ks(Q))，若

则进入步骤B3；否则进入步骤B4；

其中，g_Ks(Q)为在确定的访问控制实例的无冗余集合K_S中找出所有拥有权限Q的用户，f_Ks(g_Ks(Q))为在确定的访问控制实例的无冗余集合K_S中找出所有拥有权限Q的用户所共同拥有的权限，g_Ko(f_Ks(g_Ks(Q))-Q)为在访问控制实例的初始集合K_O中找出所有拥有权限f_Ks(g_Ks(Q))-Q的用户；

B3：将蕴含关系式Q-＞f_Ks(g_Ks(Q))-Q，即某个用户拥有权限Q那么该用户一定拥有权限f_Ks(g_Ks(Q))-Q，添加到蕴含关系集合J中，然后进入步骤B5；

B4：从访问控制实例的初始集合K_O中取出一个权限分配不符合蕴含关系式Q-＞f_Ks(g_Ks(Q))-Q的实例o，即用户o拥有权限Q但是不拥有权限f_Ks(g_Ks(Q))-Q，并将这个实例添加到确定的访问控制实例的无冗余集合K_S中，然后进入步骤B6；

B5：根据形式概念分析中集合与蕴含集合相关性定理，在集合M_q中找出下一个与蕴含关系集合J相关的权限集合Q′，令Q＝Q′，然后进入步骤B6；

B6：循环步骤B2，直到下一个与蕴含关系集合J相关的权限集合等于所有权限集合M，进入步骤B7；

B7：将蕴含关系集合J中蕴含式后件为

的蕴含式加入到角色集合R中，并得到该部门的确定的访问控制实例的无冗余集合K_S和蕴含关系集合J；

C：通过步骤A和步骤B，得到所有部门的确定的访问控制实例的无冗余集合TempK＝{K₁，K₂，……，K_n-1，K_n}，所有部门的蕴含关系集合TempJ＝{J₁，J₂，……，J_n-1，J_n}，所有部门的角色集合TempR＝{R₁，R₂，……，R_n-1，R_n}，对TempJ、TempR和TempK进行分析，得到所有部门联合后的蕴含关系集合J_all、所有部门联合后确定的访问控制实例的无冗余集合K_all和所有部门联合后的角色集合R_all；

所述的步骤C包括以下具体步骤：

C1：得到所有部门的确定的访问控制实例的无冗余集合TempK＝{K₁，K₂，……，K_n-1，K_n}，所有部门的蕴含关系集合TempJ＝{J₁，J₂，……，J_n-1，J_n}和所有部门的角色集合TempR＝{R₁，R₂，……，R_n-1，R_n}，从集合M_q中取判定集合P，判定集合P的初始值为

然后进行步骤C2；

C2：若判定集合P存在于任意一个部门的角色集合中时，进入步骤C6；否则进入步骤C3；

C3：若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ都存在，且判定集合P与所有部门联合后的蕴含关系集合J_all符合集合与蕴含集合相关性定理，进入步骤C7；否则进入步骤C4；

C4：若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ中都存在，且后件不相等，且判定集合P与所有部门联合后的蕴含关系集合J_all符合集合与蕴含集合相关性定理，且在所有部门的蕴含关系集合TempJ中以判定集合P为前件的蕴含式后件交集不为

进入步骤C8；否则进入步骤C5；

C5：若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ中都存在，且后件不相等，且判定集合P与所有部门联合后的蕴含关系集合J_all符合集合与蕴含集合相关性定理，且在所有部门的蕴含关系集合TempJ中以判定集合P为前件的蕴含式后件交集为

进入步骤C9；否则进入步骤C10；

C6：直接将判定集合P加入所有部门联合后的角色集合R_all中，然后进入步骤C11；

C7：将蕴含关系式P-＞f(g(P))-P，即某个用户拥有权限P那么该用户一定拥有权限f(g(P))-P，直接加入所有部门联合后的蕴含关系集合J_all中，然后进入步骤C11；

C8：设P₁是所有部门中以判定集合P为前件的蕴含式后件的交集，将蕴含关系式P-＞P₁，直接加入所有部门联合后的蕴含关系集合J_all，然后进入步骤C11；

C9：直接将判定集合P加入所有部门联合后的角色集合R_all中；然后进入步骤C11；

C10：在所有部门联合后确定的访问控制实例的无冗余集合K_all中计算f(g(P))，若P＝f(g(P))，则将判定集合P加入所有部门联合后的角色集合R_all中，若P≠f(g(P))，则将蕴含式P-＞f(g(P))-P加入所有部门联合后的蕴含关系集合J_all中；然后进入步骤C11；

C11：根据形式概念分析中蕴含式相关性定理，在集合M_q中找出判定集合P的下一个符合与所有部门联合后的蕴含关系集合J_all相关性定理的权限集合P′，令P＝P′，循环步骤C1至C5，直到找到的下一个符合与所有部门联合后的蕴含关系集合J_all相关性定理的权限集合等于权限集合M；

C12：得到所有部门联合后的蕴含关系集合J_all、所有部门联合后确定的访问控制实例的无冗余集合K_all和所有部门联合后的角色集合R_all。

2.根据权利要求1所述的基于属性探索的多部门协同交互式RBAC角色构建方法，其特征在于，所述的步骤A包括以下具体步骤：

A1：从多个部门中的某一个部门信息系统中，获取该部门的访问控制日志记录，将访问控制日志中访问成功的记录，记为该部门下该用户拥有访问该资源的权限；

A2：将访问控制日志中访问失败的记录，记为该部门下该用户不拥有访问该资源的权限；

A3：经数据处理，得到该部门下各个用户所具有的权限和不具有的权限；

A4：得到该部门的访问控制实例的初始集合K_O和所有权限集合M。

Images