技術領域

本發明涉及訪問控制領域，具體涉及一種基于zchaff的RBAC系統用戶授權查詢請求問題的快速求解方法。

背景技術

網絡和信息技術的快速發展使得我們可以通過網絡應用共享資源和服務，有效地提高了數據的利用率。然而，網絡自身的開放性、匿名性、數據傳輸透明性等特征對保障信息的機密性和完整性提出了許多新的挑戰，嚴重阻礙了網絡技術的進一步普及和應用。訪問控制是保證網絡安全最重要的核心技術之一，它允許被授權的主體對某些客體的訪問，同時拒絕向非授權的主體提供服務。

基于角色的訪問控制RBAC(Role?Based?Access?Control)這一概念最早由Ferraiolo等人于1992年提出。RBAC策略的基本思想是通過引入角色這一中介，權限直接指派給角色而不是指派給用戶，用戶通過角色指派從而間接獲取對客體的操作權限，實現了用戶與權限的邏輯分離。驅動RBAC發展的動力是在簡化安全策略管理的同時，允許靈活地定義安全策略。這一優點使得在過去的二十年中，無論是RBAC理論研究還是實際應用都有了很大的發展。目前，RBAC已被廣泛應用到各個領域，包括操作系統、數據庫管理系統、PKI、工作流管理系統和Web服務等領域。

用戶授權查詢請求UAQ(User?Authorization?Query)問題是RBAC系統中的一個關鍵問題，即在某個會話中，用戶請求授予一個完成某項特定任務所需要的權限集合，問題的關鍵在于如何尋找一個優化的角色集合，用戶激活該角色集合從而能夠得到所請求的權限集合。該問題在復雜的協同系統中十分普遍，例如，在一個基于web的RBAC系統中，用戶‐角色指派關系的建立基于用戶證書。假設在某個會話中，一名用戶需要獲得一組特定的權限集合以完成某項特定的任務，系統必須依據該權限集合尋找一組可被激活的角色集合，使得激活該角色集合從而能夠獲取用戶所需的權限集合。在理想情況下，選定的角色集合恰好能夠滿足用戶需要的權限集合，即沒有多余的權限，亦沒有缺失的權限。但是，在很多時候這種理想情況可能并不存在。因此，找到一組盡可能接近于用戶所需要的權限的角色集合是非常必要的。一種解決思路出于安全性考慮，在不允許存在任何超出用戶需求的權限的前提下，所激活的權限集盡可能多的接近所請求的權限集。另外一種解決思路則是強調可用性，在保證包含所有請求的權限集的前提下，盡可能減少多余權限的數量。

發明內容

本發明提供一種訪問控制系統用戶授權查詢請求問題的快速求解方法，并為用戶提供可自主設定問題求解的目標，提供了很好的靈活性。

本發明采取的技術方案是，包括下列步驟：

步驟(1)用戶請求登錄系統；

步驟(2)系統接收登錄請求用戶的屬性證書；

步驟(3)系統利用公密鑰機制驗證屬性證書的真偽，若鑒定證書為偽造，則結束；否則，系統從屬性證書中獲取用戶的合法身份信息，進入步驟(4)；

步驟(4)判斷用戶輸入的角色層次結構是否為平坦分布方式，若是則進入步驟(5)，否則將其轉化為平坦分布方式；

步驟(5)用戶輸入所請求訪問的權限集合的上限和下限；

步驟(6)設定安全約束以及用戶的安全目標；

步驟(7)對用戶輸入數據進行合法性判斷，如果合法則進入步驟(8)，否則返回步驟(5)；

步驟(8)通過靜態裁剪縮小所需考慮的請求權限的規模；

步驟(9)通過預處理削減不包含請求權限的角色的數量；

步驟(10)通過調用外部程序對用戶所給出的用戶授權查詢請求進行計算，首先用戶所請求的數據會被外部程序轉化成合取范式的格式，并被保存在當前程序的根目錄下，然后再通過調用zchaff求解器來計算合取范式，根據求解器返回的值再進行相應的轉換，并反饋回用戶當前可激活的角色數量，以及可激活的權限數量；

步驟(11)返回計算結果，并對計算結果進行相應處理并最終反饋給用戶；

步驟(12)判斷用戶是否結束系統，如果選擇是則系統結束，選擇否則轉入步驟(5)。

本發明一種實施方式是：在步驟(4)中，當判斷用戶輸入的角色層次結構不為平坦分布方式，依照如下方法將用戶設定的角色層次轉化為平坦分布方式：

當滿足以下條件時：

r_m和r_n分別表示編號為m和n的兩個角色；