技術領域

本發明涉及的是一種分布式系統中域間授權安全互操作方法，具體地說，是一種基于二進制序列集合(Bsset)的訪問控制策略合成方法。

背景技術

隨著大規模分布式網絡應用的迅速發展，自治域之間的合作也會越來越頻繁。其中，域間訪問控制策略合成是分布式技術中聚合資源訪問的關鍵安全要素?；趯傩缘脑L問控制能解決復雜系統中的細粒度的訪問控制，為開放的分布式環境提供了較為理想的訪問控制方案。并且利用離散代數可以將復雜的基于屬性的策略合成方式用嚴謹的代數系統表達，基于代數的域間訪問控制策略合成方法具體是指一類首先在邏輯層面對策略合成語義進行分析和定義，進而建立運算規則系統（即代數系統）進行合成演算的基于屬性授權的訪問控制策略合成方法。這類方法通常需要將實際的訪問控制策略通過邏輯轉換器轉化為邏輯代數符號才能由計算機程序實現合成演算，因此可實現性差、運算效率低。

經對現有技術的文獻檢索發現，Bertino、Li?Ninghui等人在《An?Algebra?for?Fine-Grained?Integration?ofXACML?Policies》一文中基于XACML策略描述形式提出用MTBDD(Multi-Terminal?Binary?Decision?Diagrams)策略樹轉譯實際策略的方法，以及相應的策略合成代數系統可解決細粒度的域間訪問控制策略合成。這是目前已報道的最佳解決方法。但是，這一方法雖然解決了邏輯代數符號的轉換代價，卻由于策略樹自身數據結構對于布爾屬性約束的依賴性，會造成合并過程中的冗余以及系統規模龐大的問題，這也限制了該方法的合成運算性能。

發明內容

針對上述現有技術存在的不足，本發明要解決的問題是提供一種基于二進制序列集合的訪問控制策略合成方法，采用二進制序列集合對域間訪問控制策略進行基于屬性約束的建模，這種建模方式無需通過邏輯轉換器就可被計算機程序實現，并且基于這種建模方式設計了授權項間的邏輯算子，可進行多樣化的域間策略合成演算。本發明可作為一種高效和易實現的域間訪問控制策略合成方法。

為實現上述目的，本發明采用的技術方案是：首先定義二進制序列集合元素以及基于二進制序列的集合運算規則,根據以上定義，從屬性約束層對實際的策略進行屬性分解，并通過集合內部元素分離將策略正確的表達成為基于二進制序列的邏輯表達式。然后通過語義檢查和移位合并，用以消除規則冗余和語義沖突問題。在此基礎上，根據實際的安全需求定義基于二進制序列集合的邏輯合成算子，將合成方式轉換成邏輯表達式。利用二進制序列可直接作為數據結構的特點，根據邏輯表達式可直接對基于二進制建模的策略空間計算合成結果，作為一種無需邏輯轉換的策略代數實現機制。最后，將基于二進制集合形式的合成策略翻譯成屬性項策略。

本發明所述的基于二進制序列集合的訪問控制策略合成方法，包括如下步驟：

步驟一：策略面向屬性層分解；

步驟二：對步驟一的策略進行基于BSset的邏輯轉換；

步驟三：對步驟二進行語義檢查和移位化簡；

步驟四：推導基于BSset的合成語義算子；

步驟五：根據步驟三和步驟四,用邏輯表達式刻畫合成結構；

步驟六：對步驟五實現合成演算，輸出策略合成結果。

進一步的，所述的步驟一，具體操作是：先對主體屬性約束、客體屬性約束、行動屬性約束等基于屬性約束翻譯成一個原子布爾表達式aT*v,*∈(=,<,≤,>,≥)。然后對一個策略集中含有有限個不同的原子布爾表達式，依次編碼一條策略規則就可以被抽象為通過邏輯符號與“∧”和或“∨”連接的原子布爾表達式組成的一個復合布爾表達式。進而，策略就可以用三組布爾表達式邏輯集合分別表示三值策略的允許集，拒絕集，以及“不適用”集，由于“不適用”的策略評估是允許集和拒絕集產生的矛盾，所以暫不考慮。

進一步的，所述的步驟二，具體為：首先根據二進制序列和序列集合的定義，步驟一所得策略二元組進一步轉換成基于二進制序列集合BSset的邏輯形式；其次，將策略屬性項集合進一步通過元素分離：（1）策略的允許集[S]_Y和拒絕集[S]_N分別與空集φ進行并運算U；（2）去除[S]_Y和[S]_N集合之間的交集部分[S]_Y∩[S]_N。即：

（1）[S]_Y=[S]_Y∪φ，[S]_N=[S]_N∪φ；