技術領域

本發明涉及安全管理領域，尤其是一種基于RBAC模型的最優授權路徑獲取方法。

背景技術

名詞解釋：

RBAC:?Role-based?Access?Control，基于角色的訪問控制模型。

安全策略：RBAC模型中，用于規范安全管理員的執行授權動作的規則。

最小權限擴散原則：RBAC模型中，權限的傳播是不可避免的，而在授權過程中，在滿足用戶訪問需求的前提下，安全管理員應盡可能授予用戶最小權限集。

最優授權路徑：在響應客戶提出的資源訪問請求時，所形成的、以“最少權限擴散”為優化目標的一個具有序關系的授權動作序列。

RBAC訪問控制模型被廣泛地應用于資源的訪問控制。ARBAC97模型是附加于RBAC模型之上的管理模型，以支持分布式的授權管理。當前針對RBAC模型的研究工作主要集中在安全策略的一致性分析與安全分析方面，重點解決RBAC模型建設期內安全策略的一致性問題，以確立RBAC模型的安全性，從而避免權限泄漏。一致性分析用以判斷安全策略的語義之間是否存在沖突和矛盾，人們更多采用邏輯的方法進行安全策略的一致性分析，如道義邏輯、描述邏輯、模型檢測。在大規模的策略一致性分析過程中，一些物理的手段是必須的，如通過分類和隔離等手段從一開始控制安全策略集的規模。安全分析(Safety?Analysis)方法主要用于分析遵循安全策略的授權動作序列的執行是否使得不可信主體獲得受控資源的訪問權限而導致權限泄漏，在這一方法體系內，安全策略的領域語義通過可執行的授權操作序列得以顯式化表述，這可以為RBAC授權決策支持提供技術參考。安全性分析問題包括簡單安全問題，又稱可達性問題，簡單可用性問題，限定安全性問題，活性問題，互斥問題，包容問題。可達性問題與安全分析的定義對等，被定義為不可信主體是否可以訪問指定資源，如果回答為肯定，則系統存在權限泄漏，反之則反。

在RBAC模型的運行期內，安全管理員會經常收到用戶對某類資源（設備、現場信息、技術資料和文檔等）的訪問請求。如何在已發生的授權事件基礎上，遵循既定的安全策略，授予該用戶對這類資源的訪問權限，困擾著各級安全管理員。其主要原因在于：RBAC安全策略包括合法施動者、前提條件和所允許的授權操作三要素。正是由于前提條件的存在，授權操作之間可能形成具備因果關系的操作鏈（前一授權操作的執行效果恰恰為后一授權操作的執行創造條件）。在進行授權決策時，安全管理員不得不對相關的安全策略進行反復迭代和推理，一方面要判斷其是否滿足既定約束，另一方面要避免因可執行操作鏈的存在而導致權限泄漏。當缺乏強有力的計算工具或方法提供支持時，安全策略與約束的領域語義是晦澀的、非直觀的，導致安全管理員在進行授權決策時，由于不能直觀判斷授權操作的合法性，而可能會決策失誤，給信息系統帶來權限泄漏和安全隱患。但是，目前業內重點解決RBAC模型建設期內安全策略的一致性問題，以確立RBAC模型的安全性，還沒有一種能在運行期內維持RBAC模型的安全性的方法。

綜上所述，業內亟需一種能在運行期內維持RBAC模型的安全性的方法，以為安全管理員的授權決策提供支持。

發明內容

為了解決上述技術問題，本發明的目的是：提供一種能在運行期內維持RBAC模型的安全性的，基于RBAC模型的最優授權路徑獲取方法。

本發明解決其技術問題所采用的技術方案是：一種基于RBAC模型的最優授權路徑獲取方法，包括：

A、根據形式化表述的RBAC模型安全授權策略、預定義的狀態轉換系統和預設的規劃問題建模原則構建規劃領域模型；?

B、根據構建的規劃領域模型和規劃問題建模原則，采用規劃問題序列對安全分析任務進行描述，從而將安全分析問題轉換為規劃問題；

C、獲取當前用戶的當前授權狀態，并綜合采用圖規劃算法與改進的AO*算法，求取規劃問題的最優授權路徑。

進一步，所述步驟A，其具體為：

通過規劃問題建模原則，將RABC模型的狀態轉換為規劃領域的狀態；將ARBAC策略轉換為規劃領域的規劃操作；將角色繼承層次轉換為規劃領域的派生規則；將角色互斥或權限分離領關系轉換為規劃領域的領域公理。

進一步，所述步驟B，其具體為：

通過規劃問題建模原則，將RABC安全分析進行時的當前狀態轉換為規劃問題的初始狀態；將RABC安全分析進行時的權限泄露情況轉換為規劃問題的目標狀態；將RABC安全分析進行時的不可信安全管理員轉換為規劃問題的問題約束。

進一步，所述步驟C，其包括：