[發明專利]一種基于屬性的模糊訪問控制計算方法無效
| 申請號: | 201210424262.1 | 申請日: | 2012-10-31 |
| 公開(公告)號: | CN103795688A | 公開(公告)日: | 2014-05-14 |
| 發明(設計)人: | 毛俐旻;段翼真;陳志浩;王斌;王曉程 | 申請(專利權)人: | 中國航天科工集團第二研究院七○六所 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京思海天達知識產權代理有限公司 11203 | 代理人: | 樓艮基 |
| 地址: | 100854*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 屬性 模糊 訪問 控制 計算方法 | ||
1.一種基于屬性的模糊式訪問控制方法,其特征在于,是在一個由互聯網中的模糊式訪問控制器和多個分布式策略執行處理器共同構成的模糊式訪問控制服務系統中依次按以下步驟完成的:
步驟(1)
模糊式訪問控制服務系統初始化:
策略執行處理器,設有:XACML語言文件提供模塊,
模糊式訪問控制器,設有:屬性權限模塊、策略決策模塊以及權限策略庫,其中:
屬性權威模塊,設有:主體屬性子模塊、資源屬性子模塊和環境因素屬性子模塊,其中:
主體屬性子模塊,設有:
主體集合S,S={s1,s2,...,sn,...,sN},n∈N,表示訪問控制的主體,所述主體是指通過身份鑒定的訪問請求者,n表示主體s的序號,N表示主體的數量;
主體屬性集合X,X={x1,x2,...,xm,...,xM},m∈M,xm是主體屬性,至少包括身份、角色、年齡、郵政編碼、常住地址、IP地址、雇員職位和已驗證的公鑰構架PKI證書,m是主體屬性的序號,M是主體屬性的數量;
資源屬性子模塊,設有:
資源集合O,O={o1,o2,...,og,...,oG},g∈G,o表示訪問請求者需要訪問的資源,至少包括數據、服務和系統設備,g是資源的序號,G是資源的數量;
資源屬性集合Y,Y={y1,y2,...,yq,...,yQ},q∈Q,q∈Q,y是資源的屬性,q是資源屬性的序號,Q是資源屬性的數量,資源屬性至少包括資源的身份、標準資源地址URL、資源的大小和數值;
環境因素屬性子模塊,設有:
環境因素集合T,T={t1,t2,...,te,...,tE},e∈E,表示訪問時的上下文環境影響因素,至少包括時間、條件和狀態;
環境因素屬性集合Z,Z={z1,z2,...,zv,...,zV},v∈V,zv是環境屬性,至少包括當前時間、日期、每日的時間段、安全級別和系統狀態;
策略決策模塊,輸入是所述策略執行處理器輸入的授權請求,依次執行輸入信息處理、權重調整建立評判矩陣,綜合評判和模糊推理各步驟,輸出是權限決策;
設置訪問請求信任度集合M={m1,m2,m3,m4},分別表示“完全信任”、“強信任”、“弱信任”、“不信任”集合;
權限策略庫,設有:模糊授權策略集合P,P={p1,p2,p3,p4},p∈P,依次表示完全授權策略集、強授權策略集、弱授權策略集和不授權策略集;
根據對服務請求的綜合評判結果,分配相應的授權策略;其中,一個策略庫存儲多條訪問控制策略,每條策略可以包括多條規則,一條規則用于判定主體S能否在環境T下訪問資源O,可表示成以S、O、T的屬性為參數的函數,返回信任度值;
Rule:can_access(s,o,t)←f(X,Y,Z)
f(X,Y,Z)采用函數矩陣實現,其中子函數f1-1-1(X1,Y1,Z1)用于計算X1,Y1,Z1的信任度,以此類推,fm-t-v(Xm,Yt,Zv)用于計算Xm,Yt,Zv的信任度;我們需要建立m*t*v個信任度函數;看上去,計算很多,依次計算完成需要很長時間,但是,由于采用多個子函數實現信任度計算,并且,各子函數的信任度計算是完全獨立的,因此,該信任度計算完全可以由多服務器并發完成計算,因此,計算時間約為通訊時間加上單一子函數最長的運行時間,這樣就大大提高了信任度計算速度;同時,可以建立緩存機制,很多具有相同屬性的計算,可以直接引用以前的結果,可以大大減少運算量;當判別的主體屬性、資源屬性、環境屬性有變化時,只需要動態調整相關的信任度子函數,而無須考慮不相關的其他子函數;
對于給定的S、O、T的所有屬性值,如果函數的返回值為完全信任,則應該允許對資源進行訪問,否則拒絕訪問;
分布式的評判函數矩陣可以解決信任度問題,但還是存在計算量較大,資源使用率高的現象;實際上,對所有的屬性組合進行精確信任度計算是沒有必要的,很多情況下,只需要進行部分的屬性組合信任度計算就可以完成信任度評估的工作;因此,我們在最終進行信任度計算之前,設置評判因素集通過U={S,O,T}模糊算法篩選出部分屬性參與計算,由于參與屬性計算的屬性減少,f(X,Y,Z)的子函數計算量也會相應的減少;采用模糊算法進行篩選,而不是精確匹配篩選,主要是因為屬性眾多,各屬性組合之間的信任度相關性不適合用精確函數描述;
對評判目標(訪問請求信任度)的因素可分為2個層次,包括評判對象和評判對象屬性級;即訪問請求信任度受到主體、資源、環境三種評判因素的影響,而各個評判對象分別受到其屬性的影響;
步驟(2)
①策略執行模塊負責解析用戶的訪問請求,抽取其中的主體屬性,并將授權請求和主體屬性發送給策略決策模塊;策略執行模塊可以是分布在整個網絡環境中多個位置,而且請求主體不能繞過策略執行模塊而直接訪問資源;
②策略決策模塊進行模糊策略判決,具體步驟如下:
1):輸入信息處理;
由于部分訪問請求信息和策略信息不是數值形式,需要進行數據格式轉換;轉化為屬性類型,屬性名稱,屬性值的對象描述;例如,主體的職稱屬性值為:助理工程師、工程師、高級工程師、研究員,屬性名稱為“職稱”,屬性類型“文本”,屬性值為“助理工程師、工程師、高級工程師、研究員”之一;同理,將環境屬性和訪問對象屬性也都需要按標準輸入信息進行處理;
2):屬性篩選;通過分析輸入數據,根據具體應用需求,對主體、資源、環境屬性進行模糊篩選;
3):使用信任度函數進行信任度計算;首先獲取篩選后的屬性,進行對應的信任度計算,對于信任度值,再進行處理,得到訪問許可值;例如,f1-1-1(X1,Y1,Z1)的x1是主體職稱;y1是資源密級;z1是系統狀態;系統狀態分為系統閑和系統忙;則工程師系統閑時訪問一個公開資料的信任度和系統忙時訪問一個公開資料的信任度值是不一樣的,綜合考慮其他信任度函數的返回,平時可能允許工程師訪問的資源,在系統忙時,可能限制工程師訪問.f1-1-1(X1,Y1,Z1)最初可以人工初始化,在積累一定經驗數據,可以根據經驗數據調整信任度系數。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國航天科工集團第二研究院七○六所,未經中國航天科工集團第二研究院七○六所許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201210424262.1/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種電話來電提醒裝置
- 下一篇:多通道信號調理與放大設備
