[發(fā)明專利]一種基于屬性的模糊訪問控制計算方法無效
| 申請?zhí)枺?/td> | 201210424262.1 | 申請日: | 2012-10-31 |
| 公開(公告)號: | CN103795688A | 公開(公告)日: | 2014-05-14 |
| 發(fā)明(設計)人: | 毛俐旻;段翼真;陳志浩;王斌;王曉程 | 申請(專利權)人: | 中國航天科工集團第二研究院七○六所 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京思海天達知識產(chǎn)權代理有限公司 11203 | 代理人: | 樓艮基 |
| 地址: | 100854*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 屬性 模糊 訪問 控制 計算方法 | ||
技術領域
本發(fā)明屬于網(wǎng)絡安全技術領域,特別是一種基于屬性的模糊訪問控制計算方法。
背景技術
面向服務體系架構由于復用性和兼容性好、開發(fā)復雜性低等特點,受到了廣泛的關注。為了實現(xiàn)更細粒度的資源信息安全保護,系統(tǒng)基于資源的多種屬性制定大量的訪問策略。ABAC(Attribute?based?Access?Control)模型直接制定與用戶屬性和資源屬性相關的策略訪問規(guī)則,用戶根據(jù)其對應的屬性值和相應規(guī)則,判斷得到資源的訪問權限。但現(xiàn)有的ABAC模型中,策略判決是一個精確匹配的過程,根據(jù)主體、資源、環(huán)境等各種屬性信息進行精確匹配,滿足條件則允許,不滿足條件則拒絕。而在實際情況中,訪問請求者、上下文環(huán)境、被訪問的資源可能分別都包括多種屬性,那么進行策略匹配的數(shù)量級就會達到O(n3),在屬性值較多的情況下,會影響授權速度。另外,在實際運行中,屬性信息往往在不斷動態(tài)變化,精確匹配模型無法動態(tài)進行調整。為解決授權速度和模型動態(tài)調整問題,本專利提出了基于屬性的,可以快速匹配屬性值,并能動態(tài)調整模型的分布式的訪問控制方法。
發(fā)明內容
本發(fā)明就是為了解決上述問題,提出一種基于屬性的模糊訪問控制方法,采用兩級加權方式對對象及其屬性分別賦予不同權值,然后基于模糊評判矩陣和加權平均模型進行綜合評判,計算訪問請求對授權策略的滿足程度,最后基于模糊推理規(guī)則得出得到權限策略集合。
基于屬性的訪問控制涉及主體、資源、環(huán)境三種因素,屬性可分為主體屬性、資源屬性和環(huán)境屬性。
本發(fā)明的技術方案是在一個由互聯(lián)網(wǎng)中的模糊式訪問控制器和多個分布式策略執(zhí)行處理器共同構成的模糊式訪問控制服務系統(tǒng)中依次按以下步驟完成的:
步驟(1)
模糊式訪問控制服務系統(tǒng)初始化:
策略執(zhí)行處理器,設有:XACML語言文件提供模塊,
模糊式訪問控制器,設有:屬性權限模塊、策略決策模塊以及權限策略庫,其中:
屬性權威模塊,設有:主體屬性子模塊、資源屬性子模塊和環(huán)境因素屬性子模塊,其中:
主體屬性子模塊,設有:
主體集合S,S={s1,s2,...,sn,...,sN},n∈N,表示訪問控制的主體,所述主體是指通過身份鑒定的訪問請求者,n表示主體s的序號,N表示主體的數(shù)量;
主體屬性集合X,X={x1,x2,...,xm,...,xM},m∈M,xm是主體屬性,至少包括身份、角色、年齡、郵政編碼、常住地址、IP地址、雇員職位和已驗證的公鑰構架PKI證書,m是主體屬性的序號,M是主體屬性的數(shù)量;
資源屬性子模塊,設有:
資源集合O,O={o1,o2,...,og,...,oG},g∈G,o表示訪問請求者需要訪問的資源,至少包括數(shù)據(jù)、服務和系統(tǒng)設備,g是資源的序號,G是資源的數(shù)量;
資源屬性集合Y,Y={y1,y2,...,yq,...,yQ},q∈Q,q∈Q,y是資源的屬性,q是資源屬性的序號,Q是資源屬性的數(shù)量,資源屬性至少包括資源的身份、標準資源地址URL、資源的大小和數(shù)值;
?環(huán)境因素屬性子模塊,設有:
環(huán)境因素集合T,T={t1,t2,...,te,...,tE},e∈E,表示訪問時的上下文環(huán)境影響因素,至少包括時間、條件和狀態(tài);
環(huán)境因素屬性集合Z,Z={z1,z2,...,zv,...,zV},v∈V,zv是環(huán)境屬性,至少包括當前時間、日期、每日的時間段、安全級別和系統(tǒng)狀態(tài);
策略決策模塊,輸入是所述策略執(zhí)行處理器輸入的授權請求,依次執(zhí)行輸入信息處理、權重調整建立評判矩陣,綜合評判和模糊推理各步驟,輸出是權限決策;
設置訪問請求信任度集合M={m1,m2,m3,m4},分別表示“完全信任”、“強信任”、“弱信任”、“不信任”集合;
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國航天科工集團第二研究院七○六所,未經(jīng)中國航天科工集團第二研究院七○六所許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201210424262.1/2.html,轉載請聲明來源鉆瓜專利網(wǎng)。
- 上一篇:一種電話來電提醒裝置
- 下一篇:多通道信號調理與放大設備





