技術領域

本發(fā)明屬于網(wǎng)絡安全技術領域，特別是一種基于屬性的模糊訪問控制計算方法。

背景技術

面向服務體系架構由于復用性和兼容性好、開發(fā)復雜性低等特點，受到了廣泛的關注。為了實現(xiàn)更細粒度的資源信息安全保護，系統(tǒng)基于資源的多種屬性制定大量的訪問策略。ABAC(Attribute?based?Access?Control)模型直接制定與用戶屬性和資源屬性相關的策略訪問規(guī)則，用戶根據(jù)其對應的屬性值和相應規(guī)則，判斷得到資源的訪問權限。但現(xiàn)有的ABAC模型中，策略判決是一個精確匹配的過程，根據(jù)主體、資源、環(huán)境等各種屬性信息進行精確匹配，滿足條件則允許，不滿足條件則拒絕。而在實際情況中，訪問請求者、上下文環(huán)境、被訪問的資源可能分別都包括多種屬性，那么進行策略匹配的數(shù)量級就會達到O(n3)，在屬性值較多的情況下，會影響授權速度。另外，在實際運行中，屬性信息往往在不斷動態(tài)變化，精確匹配模型無法動態(tài)進行調整。為解決授權速度和模型動態(tài)調整問題，本專利提出了基于屬性的，可以快速匹配屬性值，并能動態(tài)調整模型的分布式的訪問控制方法。

發(fā)明內容

本發(fā)明就是為了解決上述問題，提出一種基于屬性的模糊訪問控制方法，采用兩級加權方式對對象及其屬性分別賦予不同權值，然后基于模糊評判矩陣和加權平均模型進行綜合評判，計算訪問請求對授權策略的滿足程度，最后基于模糊推理規(guī)則得出得到權限策略集合。

基于屬性的訪問控制涉及主體、資源、環(huán)境三種因素，屬性可分為主體屬性、資源屬性和環(huán)境屬性。

本發(fā)明的技術方案是在一個由互聯(lián)網(wǎng)中的模糊式訪問控制器和多個分布式策略執(zhí)行處理器共同構成的模糊式訪問控制服務系統(tǒng)中依次按以下步驟完成的：

步驟(1)

模糊式訪問控制服務系統(tǒng)初始化：

策略執(zhí)行處理器，設有：XACML語言文件提供模塊，

模糊式訪問控制器，設有：屬性權限模塊、策略決策模塊以及權限策略庫，其中：

屬性權威模塊，設有：主體屬性子模塊、資源屬性子模塊和環(huán)境因素屬性子模塊，其中：

主體屬性子模塊，設有：

主體集合S，S＝{s₁，s₂，...，s_n，...，s_N}，n∈N，表示訪問控制的主體，所述主體是指通過身份鑒定的訪問請求者，n表示主體s的序號，N表示主體的數(shù)量；

主體屬性集合X，X＝{x₁，x₂，...，x_m，...，_xM}，m∈M，xm是主體屬性，至少包括身份、角色、年齡、郵政編碼、常住地址、IP地址、雇員職位和已驗證的公鑰構架PKI證書，m是主體屬性的序號，M是主體屬性的數(shù)量；

資源屬性子模塊，設有：

資源集合O，O＝{o₁，o₂，...，o_g，...，o_G}，g∈G，o表示訪問請求者需要訪問的資源，至少包括數(shù)據(jù)、服務和系統(tǒng)設備，g是資源的序號，G是資源的數(shù)量；

資源屬性集合Y，Y＝{y₁，y₂，...，y_q，...，y_Q}，q∈Q，q∈Q，y是資源的屬性，q是資源屬性的序號，Q是資源屬性的數(shù)量，資源屬性至少包括資源的身份、標準資源地址URL、資源的大小和數(shù)值；

?環(huán)境因素屬性子模塊，設有：

環(huán)境因素集合T，T＝{t₁，t₂，...，t_e，...，t_E}，e∈E，表示訪問時的上下文環(huán)境影響因素，至少包括時間、條件和狀態(tài)；

環(huán)境因素屬性集合Z，Z＝{z₁，z₂，...，z_v，...，z_V}，v∈V，zv是環(huán)境屬性，至少包括當前時間、日期、每日的時間段、安全級別和系統(tǒng)狀態(tài)；

策略決策模塊，輸入是所述策略執(zhí)行處理器輸入的授權請求，依次執(zhí)行輸入信息處理、權重調整建立評判矩陣，綜合評判和模糊推理各步驟，輸出是權限決策；

設置訪問請求信任度集合M＝{m₁，m₂，m₃，m₄}，分別表示“完全信任”、“強信任”、“弱信任”、“不信任”集合；