一种多要素访问控制机制描述及解析方法技术

本发明专利技术涉及一种多要素访问控制机制描述及解析方法，包括以下步骤：定义多要素访问控制机制描述语言，用于用户针对其访问控制主客体、访问控制策略进行类数学语言的描述；根据访问控制机制描述语言对用户设计的访问控制机制进行描述，生成描述源文件；对描述源文件进行语言解析，生成算法描述中间代码；依据用户的目标代码需求，选择计算机编程语言对应的代码底层库，生成目标代码。本发明专利技术既能够适用于访问控制理论研究人员进行描述，又能够与计算机编程语言无缝对接；对于访问控制理论研究人员，通过类数学语言进行描述，无需关注计算机的实现细节；对于计算机专业人员，可以获取多要素访问控制机制的准确实现代码，保证了代码的安全性。

A description and analysis method of multi factor access control mechanism

The invention relates to a multi factor access control mechanism is described and the analytic method, which comprises the following steps: the definition of multi factor access control mechanism description language for users according to the description of access control object, access control strategy for mathematical language; according to the access control mechanism describing the user design of access control mechanism, generation describe the source file; to describe the source document for language analysis, intermediate code generation algorithm is described based on the user's needs; the object code, select the corresponding computer programming language code database, code generation. The invention not only can be applied to the theoretical research of access control personnel are described, but also with the computer programming language seamlessly; theoretical research on access control personnel, through the description of mathematical language, do not need to pay attention to the details of the implementation of computer; for computer professionals, can accurately realize the code to obtain the multi factor access control mechanism, guarantee safety code.

【技术实现步骤摘要】
一种多要素访问控制机制描述及解析方法
本专利技术属于访问控制及授权管理领域，特别是一种多要素访问控制机制描述及解析方法。
技术介绍
访问控制技术起初用于数据共享系统的资源管理和权限描述，它通过对用户访问资源的活动进行有效监控，满足合法用户在合法时间内获得系统有效访问权限的需求，同时防止未授权用户对系统资源的非法访问。访问控制技术研究目前可以划分为基于策略描述的访问控制与基于密码算法的访问控制。其中，基于策略的访问控制技术基于主体的角色、时空、属性等，描述其对客体的访问策略，约束主体的访问行为；基于密码算法的访问控制技术则将加解密技术引入了访问控制与权限管理的应用场景中，产生了一系列具有代表性的模型与机制。针对不同的应用场景出现的众多访问控制机制无论是策略类还是密码算法类，均以多要素为发展目标，角色已经不在是唯一的访问控制要素，时态、环境、多级安全级别、客体生命周期、密码参数等均需要在访问控制和授权过程中考虑。各种访问控制机制的出现在性能、安全性等方面进行了多方面的改进，但是访问控制设计者多为理论研究或数学领域工作者，其描述的机制、协议、甚至算法仅仅能够从数学理论方面进行分析和证明，在理论层面保证其安全性；通过理论分析来对性能进行评估。但是通常情况下，访问控制机制设计与理论研究者对计算机编程语言及相关程序设计相对比较陌生，往往出现编程实现困难、程序设计漏洞，从而影响访问控制机制的性能测试和安全性分析，不能够表示自己的设计初衷；而计算机编程工作者一般对访问控制机制设计中所包含的数学理论和描述较为陌生，编程实现的过程中容易出现应为理解的偏差导致的实现与设计脱节的问题。上述原因是目前多要素访问控制机制设计与测试面临的主要困境。因此如何设计一种既能够适用于访问控制理论研究人员描述，又能够与计算机编程语言无缝对接的多要素访问控制描述语言及其解析方法显得至关重要。
技术实现思路
本专利技术的目的在于提供一种多要素访问控制机制描述及解析方法。实现本专利技术目的的技术方案为：一种多要素访问控制机制描述及解析方法，包括以下步骤：第一步，定义多要素访问控制机制描述语言，用于用户针对其访问控制主客体、访问控制策略进行类数学语言的描述；第二步，根据访问控制机制描述语言对用户设计的访问控制机制进行描述，生成描述源文件；第三步，对描述源文件进行语言解析，生成算法描述中间代码；第四步，依据用户的目标代码需求，选择计算机编程语言对应的代码底层库，生成目标代码。与现有技术相比，本专利技术的显著优点为：(1)本专利技术的多要素访问控制机制描述及解析方法既能够适用于访问控制理论研究人员描述，又能够与计算机编程语言无缝对接；对于访问控制理论研究人员，通过类数学语言进行描述，既可实现机制的性能测评，又无需关注计算机的实现细节；对于计算机专业人员，可以获取多要素访问控制机制的准确实现代码，保证了代码的安全性。附图说明图1为本专利技术多要素访问控制机制描述及解析方法的流程示意图。图2为多要素访问控制机制描述流程示意图。图3为多要素访问控制机制描述主体定义流程示意图。图4为多要素访问控制机制描述客体定义流程示意图。图5为多要素访问控制机制描述策略函数定义流程示意图。图6为多要素访问控制机制描述语言解析流程示意图。具体实施方式结合图1，本专利技术的一种多要素访问控制机制描述及解析方法，包括以下步骤：第一步，定义多要素访问控制机制描述语言，用于用户针对其访问控制主客体、访问控制策略进行类数学语言的描述；第二步，根据访问控制机制描述语言对用户设计的访问控制机制进行描述，生成描述源文件；第三步，对描述源文件进行语言解析，生成算法描述中间代码；第四步，依据用户的目标代码需求，选择计算机编程语言对应的代码底层库，生成目标代码。进一步的，第一步中定义多要素访问控制机制描述语言包括关键字定义、机制总体定义、变量定义、主体定义、客体定义和策略函数定义；关键字定义包括def、var、subject、time、env、mls、object、lifecycle、crypt、permissions、operations、policies关键字，分别用于表示机制总体、变量、主体、主体时态、主体环境、多级安全级别、客体、客体生命周期、密码参数、权限、操作类型以及策略授权函数定义；机制总体定义以关键字\def为起始，以/def为终止，格式定义为“\defsubjectobjectpolicies/def”，描述说明主体subject在访问客体object对应的策略policy；例如，描述主体s1对客体o1访问的策略p1，定义形式为：\defs1o1p1/def变量定义以关键字\var为起始，以/var为终止，格式定义为“\var变量名称变量内容/var”，变量的内容描述遵循规则(‘a’-‘z’|‘A’-‘Z’|‘0’-‘9’)+，即包含字母a-z的大小写以及数字的任意组合；例如：\varsubjects1/var主体定义以关键字\subject为起始，以/subject为终止，格式定义为“\subject主体ID，角色，time：时态，env：环境，mls：多级安全属性，操作类型，权限/subject”；主体ID以变量var进行定义；角色的描述通过变量关键字进行定义和描述；时态定义以关键字time：为起始，格式定义为“time：(<timestate>)”或“time：(startfrom：<timestate>endat：<timestate>)”；<timestate>为时间点表示包含日期、小时、分钟、秒，采用年-月-日：时：分：秒的格式；例如：在时刻2017年11月1日上午7:00:00，描述为time：2017-11-1:7:00:00，时间的描述以24小时为周期。环境定义以关键字env：为起始，包含物理位置、网络地址、硬件信息和软件信息的描述，其中物理位置、硬件信息和软件信息采用变量var的格式描述形式，网络地址采用标准的IPv4和IPv6格式；硬件信息可以为MAC地址或者具体硬件环境的名称，软件可以包含操作系统、信息系统的名称；例如：env：room1192.168.0.1HP-PC-1003Linux2.4.16表示在room1中以192.168.0.1的IP地址，使用名称为HP-PC-1003的计算机，需要在Linux2.4.16的软件环境下进行访问。多级安全属性定义以关键字“mls：”为起始，格式为“mls：安全等级信息”，安全等级信息为自然数的形式；例如：mls：1，表示安全等级为1。操作类型以关键字“operations：”为起始，格式“operations：操作”，其中操作描述为var的描述形式，分为“读、写、执行”；权限定义以关键字“permissions：为起始”，格式“permissions：权限描述”，其中权限描述为var的描述形式，通过“，”分开；例如：permissions：p1，p2；表示权限p1，p2对应策略描述中的策略ID。客体定义以关键字\object为起始，以/object为终止，格式定义为：“\object客体ID，生命周期，多级安全属性，密码参数/object”；客体ID以变量var进行定义；生命周期定本文档来自技高网...

【技术保护点】
一种多要素访问控制机制描述及解析方法，其特征在于，包括以下步骤：第一步，定义多要素访问控制机制描述语言，用于用户针对其访问控制主客体、访问控制策略进行类数学语言的描述；第二步，根据访问控制机制描述语言对用户设计的访问控制机制进行描述，生成描述源文件；第三步，对描述源文件进行语言解析，生成算法描述中间代码；第四步，依据用户的目标代码需求，选择计算机编程语言对应的代码底层库，生成目标代码。

【技术特征摘要】
1.一种多要素访问控制机制描述及解析方法，其特征在于，包括以下步骤：第一步，定义多要素访问控制机制描述语言，用于用户针对其访问控制主客体、访问控制策略进行类数学语言的描述；第二步，根据访问控制机制描述语言对用户设计的访问控制机制进行描述，生成描述源文件；第三步，对描述源文件进行语言解析，生成算法描述中间代码；第四步，依据用户的目标代码需求，选择计算机编程语言对应的代码底层库，生成目标代码。2.根据权利要求1所述的访问控制机制描述及解析方法，其特征在于，第一步中定义多要素访问控制机制描述语言包括关键字定义、机制总体定义、变量定义、主体定义、客体定义和策略函数定义；关键字定义包括def、var、subject、time、env、mls、object、lifecycle、crypt、permissions、operations、policies关键字，分别用于表示机制总体、变量、主体、主体时态、主体环境、多级安全级别、客体、客体生命周期、密码参数、权限、操作类型以及策略授权函数定义；机制总体定义以关键字\def为起始，以/def为终止，格式定义为“\defsubjectobjectpolicies/def”，描述说明主体subject在访问客体object对应的策略policy；变量定义以关键字\var为起始，以/var为终止，格式定义为“\var变量名称变量内容/var”，变量的内容描述遵循规则(‘a’-‘z’|‘A’-‘Z’|‘0’-‘9’)+，即包含字母a-z的大小写以及数字的任意组合；主体定义以关键字\subject为起始，以/subject为终止，格式定义为“\subject主体ID，角色，time：时态，env：环境，mls：多级安全属性，操作类型，权限/subject”；主体ID以变量var进行定义；角色的描述通过变量关键字进行定义和描述；时态定义以关键字time：为起始，格式定义为“time：(<timestate>)”或“time：(startfrom：<timestate>endat：<timestate>)”；<timestate>为时间点表示包含日期、小时、分钟、秒，采用年-月-日：时：分：秒的格式；环境定义以关键字env：为起始，包含物理位置、网络地址、硬件信息和软件信息的描述，其中物理位置、硬件信息和软件信息采用变量var的格式描述形式，网络地址采用标准的IPv4和IPv6格式；多级安全属性定义以关键字“mls：”为起始，格式为“mls：安全等级信息”，安全等级信息为自然数...

【专利技术属性】
技术研发人员：苏铓，汪良辰，俞研，付安民，王永利，张功萱，
申请(专利权)人：南京理工大学，
类型：发明
国别省市：江苏,32