技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是一種基于屬性的模糊訪問(wèn)控制計(jì)算方法。

背景技術(shù)

面向服務(wù)體系架構(gòu)由于復(fù)用性和兼容性好、開(kāi)發(fā)復(fù)雜性低等特點(diǎn)，受到了廣泛的關(guān)注。為了實(shí)現(xiàn)更細(xì)粒度的資源信息安全保護(hù)，系統(tǒng)基于資源的多種屬性制定大量的訪問(wèn)策略。ABAC(Attribute?based?Access?Control)模型直接制定與用戶屬性和資源屬性相關(guān)的策略訪問(wèn)規(guī)則，用戶根據(jù)其對(duì)應(yīng)的屬性值和相應(yīng)規(guī)則，判斷得到資源的訪問(wèn)權(quán)限。但現(xiàn)有的ABAC模型中，策略判決是一個(gè)精確匹配的過(guò)程，根據(jù)主體、資源、環(huán)境等各種屬性信息進(jìn)行精確匹配，滿足條件則允許，不滿足條件則拒絕。而在實(shí)際情況中，訪問(wèn)請(qǐng)求者、上下文環(huán)境、被訪問(wèn)的資源可能分別都包括多種屬性，那么進(jìn)行策略匹配的數(shù)量級(jí)就會(huì)達(dá)到O(n3)，在屬性值較多的情況下，會(huì)影響授權(quán)速度。另外，在實(shí)際運(yùn)行中，屬性信息往往在不斷動(dòng)態(tài)變化，精確匹配模型無(wú)法動(dòng)態(tài)進(jìn)行調(diào)整。為解決授權(quán)速度和模型動(dòng)態(tài)調(diào)整問(wèn)題，本專利提出了基于屬性的，可以快速匹配屬性值，并能動(dòng)態(tài)調(diào)整模型的分布式的訪問(wèn)控制方法。

發(fā)明內(nèi)容

本發(fā)明就是為了解決上述問(wèn)題，提出一種基于屬性的模糊訪問(wèn)控制方法，采用兩級(jí)加權(quán)方式對(duì)對(duì)象及其屬性分別賦予不同權(quán)值，然后基于模糊評(píng)判矩陣和加權(quán)平均模型進(jìn)行綜合評(píng)判，計(jì)算訪問(wèn)請(qǐng)求對(duì)授權(quán)策略的滿足程度，最后基于模糊推理規(guī)則得出得到權(quán)限策略集合。

基于屬性的訪問(wèn)控制涉及主體、資源、環(huán)境三種因素，屬性可分為主體屬性、資源屬性和環(huán)境屬性。

本發(fā)明的技術(shù)方案是在一個(gè)由互聯(lián)網(wǎng)中的模糊式訪問(wèn)控制器和多個(gè)分布式策略執(zhí)行處理器共同構(gòu)成的模糊式訪問(wèn)控制服務(wù)系統(tǒng)中依次按以下步驟完成的：

步驟(1)

模糊式訪問(wèn)控制服務(wù)系統(tǒng)初始化：

策略執(zhí)行處理器，設(shè)有：XACML語(yǔ)言文件提供模塊，

模糊式訪問(wèn)控制器，設(shè)有：屬性權(quán)限模塊、策略決策模塊以及權(quán)限策略庫(kù)，其中：

屬性權(quán)威模塊，設(shè)有：主體屬性子模塊、資源屬性子模塊和環(huán)境因素屬性子模塊，其中：

主體屬性子模塊，設(shè)有：

主體集合S，S＝{s₁，s₂，...，s_n，...，s_N}，n∈N，表示訪問(wèn)控制的主體，所述主體是指通過(guò)身份鑒定的訪問(wèn)請(qǐng)求者，n表示主體s的序號(hào)，N表示主體的數(shù)量；

主體屬性集合X，X＝{x₁，x₂，...，x_m，...，_xM}，m∈M，xm是主體屬性，至少包括身份、角色、年齡、郵政編碼、常住地址、IP地址、雇員職位和已驗(yàn)證的公鑰構(gòu)架PKI證書(shū)，m是主體屬性的序號(hào)，M是主體屬性的數(shù)量；

資源屬性子模塊，設(shè)有：

資源集合O，O＝{o₁，o₂，...，o_g，...，o_G}，g∈G，o表示訪問(wèn)請(qǐng)求者需要訪問(wèn)的資源，至少包括數(shù)據(jù)、服務(wù)和系統(tǒng)設(shè)備，g是資源的序號(hào)，G是資源的數(shù)量；

資源屬性集合Y，Y＝{y₁，y₂，...，y_q，...，y_Q}，q∈Q，q∈Q，y是資源的屬性，q是資源屬性的序號(hào)，Q是資源屬性的數(shù)量，資源屬性至少包括資源的身份、標(biāo)準(zhǔn)資源地址URL、資源的大小和數(shù)值；

?環(huán)境因素屬性子模塊，設(shè)有：

環(huán)境因素集合T，T＝{t₁，t₂，...，t_e，...，t_E}，e∈E，表示訪問(wèn)時(shí)的上下文環(huán)境影響因素，至少包括時(shí)間、條件和狀態(tài)；

環(huán)境因素屬性集合Z，Z＝{z₁，z₂，...，z_v，...，z_V}，v∈V，zv是環(huán)境屬性，至少包括當(dāng)前時(shí)間、日期、每日的時(shí)間段、安全級(jí)別和系統(tǒng)狀態(tài)；

策略決策模塊，輸入是所述策略執(zhí)行處理器輸入的授權(quán)請(qǐng)求，依次執(zhí)行輸入信息處理、權(quán)重調(diào)整建立評(píng)判矩陣，綜合評(píng)判和模糊推理各步驟，輸出是權(quán)限決策；

設(shè)置訪問(wèn)請(qǐng)求信任度集合M＝{m₁，m₂，m₃，m₄}，分別表示“完全信任”、“強(qiáng)信任”、“弱信任”、“不信任”集合；