【技术实现步骤摘要】
一种访问控制策略合成方法及系统
本专利技术属于计算机信息安全
,更具体地,涉及一种访问控制策略合成方法及系统。
技术介绍
随着电子商务和电子政务的快速发展,越来越多的参与者在泛在的计算环境中进行协作,协作过程中数据的生成,传输和共享同时进行。这些合作极大地促进了多机构协作的有效性和生产力。需要注意的是,过程之间的数据应该是敏感的,并且为了安全考虑而被加密。各机构可以根据各自需求独立指定访问控制策略,之后则需要将多方访问控制策略合成到单一策略中;系统对已经合成完毕的访问控制策略进行响应,而不是对每个策略进行验证。例如,组织A的访问控制策略要求只有护士才能读取数据,而组织B的访问控制策略描述一个人必须是医生才能访问,当各机构制定的访问控制策略产生冲突的时候,对所有的机构指定的访问控制策略用指定的规则合并就显得尤为重要。将不同机构指定的访问控制策略合并为单个全局的访问控制策略,可以便于识别请求是否可以访问共享数据,但是,由于没有一个单一的策略能够适用于每个存在的问题,访问控制策略的合成取决于应用程序和相关机构的要求和环境。在混合有基于身份和基于属性的多级访问控制中...
【技术保护点】
1.一种访问控制策略合成方法,其特征在于,包括如下步骤:(1)获得由所有待合成访问控制策略的全部规则构成的规则集合;(2)对所述规则集合中每一条规则的属性进行编码,使得属性相同的规则具有相同的属性编码,且属性不同的规则具有不同的属性编码;(3)根据属性编码将所述规则集合划分为多个规则子集,使得属性编码相同的规则位于同一个规则子集中;(4)对于任意一个规则子集,若每一个待合成访问控制策略均有规则属于该规则子集,则按照规则冲突算法处理该规则子集中属于同一访问控制策略的规则之间的冲突;否则,剔除该规则子集;(5)根据策略冲突算法,合并剩余的规则子集,从而得到合成规则集合;将所述合...
【技术特征摘要】
1.一种访问控制策略合成方法,其特征在于,包括如下步骤:(1)获得由所有待合成访问控制策略的全部规则构成的规则集合;(2)对所述规则集合中每一条规则的属性进行编码,使得属性相同的规则具有相同的属性编码,且属性不同的规则具有不同的属性编码;(3)根据属性编码将所述规则集合划分为多个规则子集,使得属性编码相同的规则位于同一个规则子集中;(4)对于任意一个规则子集,若每一个待合成访问控制策略均有规则属于该规则子集,则按照规则冲突算法处理该规则子集中属于同一访问控制策略的规则之间的冲突;否则,剔除该规则子集;(5)根据策略冲突算法,合并剩余的规则子集,从而得到合成规则集合;将所述合成规则集合作为数据存储系统新的访问控制策略进行存储,由此实现访问控制策略的合成。2.如权利要求1所述的访问控制策略合成方法,其特征在于,所述步骤(2)包括如下步骤:(21)从所述规则集合中提取出条件属性和动作属性,以及每一个条件属性的所有属性键和每一个动作属性的所有属性键;(22)对于任意一个条件属性,根据其属性键的个数对该条件属性的属性键进行二进制编码,从而得到该条件属性每一个属性键的属性键码;对于任意一个动作属性,根据其属性键的个数对该动作属性的属性键进行二进制编码,从而得到该动作属性每一个属性键的属性键码;(23)将所有条件属性和所有动作属性按第一顺序排列,用于表示规则的属性;对于所述规则集合中的任意一条规则,将其属性所对应的属性键码进行移位与求和,使得该规则所对应的属性键码按照所述第一顺序排列,从而得到该规则的二进制编码形式的属性编码;其中,所述条件属性用于表示用户属性,且所有条件属性用于标识用户身份;所述动作属性用于表示对共享数据可执行的操作;所述属性键为条件属性或动作属性的一个取值。3.如权利要求1所述的访问控制策略合成方法,其特征在于,所述步骤(3)中,根据属性编码将所述规则集合划分为多个规则子集的方法包括如下步骤:获得所述规则集合中不同属性编码的总数m,并创建m个规则子集,分别于m个不同的属性编码一一对应;按照属性编码从大到小或从小到大的顺序对所述规则集合中的规则进行排序;遍历所述规则集合,将每一条规则依次加入到与其属性编码对应的规则子集中。4.如权利要求3所述的访问控制策略合成方法,其特征在于,按照属性编码从大到小或从小到大的顺序对所述规则集合中的规则进行排序时,若其中一个待合成访问控制策略的规则在所述规则集合中按照属性编码有序,并且所述规则集合中该待合成访问控制策略的规则数目M与待排序的规则数目N满足:0<M≤lg(N),则排序顺序与该待合成访问控制策略的规则顺序相同且排序算法为插入排序;若其中一个待合成访问控制策略的规则在所述规则集合中按照属性编码有序,并且所述规则集合中该待合成访问控制策略的规则数目M与待排序的规则数目N满足:lg(N)<M,则排序顺序与该待合成访问控制策略的规则顺序相同且排序算法为归并排序;若按照属性编码,所有待合成访问控制策略的规则在所述规则集合中均无序,则排序算法为归并排序或计数排序。5.如权利要求1所述的访问控制策略合成方法,其特征在于,所述步骤(4)中,对于任意一个规则子集,判定每一个待合成访问控制策略均有规则属于该规则子集的方法包括:根据待合成访问控制策略的个数,对待合成访问控制策略的编号进行二进制编码,从而得到每一个待合成访问控制策略的策略编码,并将规则所属的待合成访问控制策略的策略编码作为该规则的策略编码;按照策略编码从小到大或从大到小的顺序对该规则子集中的规则进行排序;若该规则子集中规则的策略编码连续,且其中最大的策略编码和最小的策略编码分别与所有待合成访问控制策略中最大的策略编码和最小的策略编码分别相等,则判定每一个待合成访问控制策略均有规则属于该规则子集。6.如权利要求1所述的访问控制策略合成方法,其特征在于,所述步骤(3)中,根据属性编码将所述规则集合划分为多个规则子集的方法包括如下步骤:获得所述规则集合中不同属性编码的总数m,并创建m个规则子集,分别于m个不同的属性编码一一对应;根据待合成访问控制策略的个数,对待合成访问控制策略的编号进行二进制编码,从而得到每一个待合成访问控制策略的策略编码,并将规则所属的待合成访问控制策略的策略编码作为该规则的策略编码;将所述规则集合中每一条规则的属性编码和策略编码按第二顺序排列,从而得到该规则的规则编码,并使得策略编码位于规则编码的低...
【专利技术属性】
技术研发人员:李春花,周可,谢伟睿,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。