本发明专利技术公开了一种基于属性探索的RBAC角色快速辅助构建方法,依次包括以下步骤:A:获取部门的访问控制实例的初始集合和所有权限集合;B:利用辅助角色发现算法,同时排除包含主基中某个蕴涵式的前件且不包含这个蕴涵式后件的权限集合,得到步骤A中该部门的确定的访问控制实例的无冗余集合和蕴涵关系集合,同时确定角色集合。本发明专利技术能够科学快速地构建RBAC系统的角色体系,为现代工业和信息产业生产中操作角色及操作权限的安全科学的设定提供基础数据支持,杜绝安全隐患。
【技术实现步骤摘要】
一种基于属性探索的RBAC角色快速辅助构建方法
本专利技术涉及一种基于角色的访问控制(RBAC)
,尤其涉及一种基于属性探索的RBAC角色快速辅助构建方法。
技术介绍
信息安全管理一直是现代工业及信息产业发展的重中之中,信息安全管理直接影响着现代工业产业和信息产业生产中安全隐患大小。如大型工业生产中,如何根据实际生产过程中各个生产环节的操作需求,科学地设置生产工序中的操作角色及操作权限,杜绝生产过程中各种关键操作中的角色误操作隐患,直接决定企业能否实现安全生产。再如目前频发的信息安全泄露事件,如中兴泄密事件,因权限管理失误,导致机密文件信息泄露,从而造成巨大损失。因此,现代工业及信息产业发展中,信息安全管理工作得到了越来越多的重视及研究。基于角色的访问控制(RBAC)通过实践证明,可以有效的保障用户系统数据安全。但传统的RBAC系统的构建不仅是一个十分耗时、耗力的过程,而且在确立角色过程中很容易出现角色遗漏的现象。随着信息系统的日益庞大,现有的角色构建方法弊端越来越明显。属性探索算法以主动获取知识的方式被广泛用于RBAC系统角色发现,但是属性探索算法时间复杂度高的问题,制约了其在RBAC角色构建中的应用。
技术实现思路
本专利技术的目的是提供一种基于属性探索的RBAC角色快速辅助构建方法,能够辅助基于角色的访问控制(RBAC)系统,科学地快速实现角色构建,为现代工业和信息产业生产中操作角色及操作权限的安全科学的设定提供基础数据支撑,杜绝安全隐患。本专利技术采用下述技术方案:<br>一种基于属性探索的RBAC角色快速辅助构建方法,依次包括以下步骤:A:从某个部门信息系统中,获取该部门的访问控制日志记录,并对访问日志记录进行数据预处理,得到该部门的访问控制实例的初始集合KO和所有权限集合M;B:利用辅助角色发现算法,同时排除包含主基中某个蕴涵式的前件且不包含这个蕴涵式后件的权限集合,得到步骤A中该部门的确定的访问控制实例的无冗余集合KS和蕴涵关系集合J,同时确定角色集合R。所述的步骤A包括以下具体步骤:A1:从某个部门信息系统中,获取该部门的访问控制日志记录,将访问控制日志中访问成功的记录,记为该部门下该用户拥有访问该资源的权限;A2:将访问控制日志中访问失败的记录,记为该部门下该用户不拥有访问该资源的权限;A3:经数据处理,得到该部门下各个用户所具有的权限和不具有的权限;A4:得到该部门的访问控制实例的初始集合KO和所有权限集合M。所述的步骤B包括以下具体步骤:B1:根据步骤A中得到的权限集合M=(a1,a2,a3,…,an-1,an),将所有权限集合M进行字典序排列后得到集合初始化确定的访问控制实例的无冗余集合蕴涵关系集合从集合Mq中取字典序排第一的集合其中,字典序为形式概念分析中一种排序规则,蕴涵关系集合J是确定的访问控制实例的无冗余集合KS的主基;B2:在确定的访问控制实例的无冗余集合KS中计算fKs(gKs(Q)),若则进入步骤B3;否则进入步骤B4;其中,gKs(Q)为在确定的访问控制实例的无冗余集合KS中找出所有拥有权限Q的用户,fKs(gKs(Q))为在确定的访问控制实例的无冗余集合KS中找出所有拥有权限Q的用户所共同拥有的权限,gKo(fKs(gKs(Q))-Q)为在访问控制实例的初始集合KO中找出所有拥有权限fKs(gKs(Q))-Q的用户;B3:将蕴涵关系式Q->fKs(gKs(Q))-Q,即某个用户拥有权限Q那么该用户一定拥有权限fKs(gKs(Q))-Q,添加到蕴涵关系集合J中,然后进入步骤B5;其中,蕴涵关系式Q->fKs(gKs(Q))-Q中Q是该蕴涵式的前件,fKs(gKs(Q))-Q是该蕴涵式的后件;B4:从访问控制实例的初始集合KO中取出一个权限分配不符合蕴涵关系式Q->fKs(gKs(Q))-Q的实例o,即实例o拥有权限Q但是不拥有权限fKs(gKs(Q))-Q,并将这个实例添加到确定的访问控制实例的无冗余集合KS中,然后进入步骤B11;B5:计算出字典序中仅大于Q的权限集合Q′,如果Q′与蕴涵关系集合J符合相关性定理,则进入步骤B6,否则进入步骤B7;其中,字典序中仅大于Q的权限集合Q′,表示字典序上权限集合Q与权限集合Q′之间不存在任何权限集合,权限集合与蕴涵关系式集合相关性定理为本领域的常规定理,在此不再赘述。B6:令Q=Q′,然后进入步骤B11;B7:计算出字典序中非平凡仅大于Q的权限集合N,计算出蕴涵关系集合J中前件为Q子集的蕴涵式后件的并集T,若N与蕴涵关系集合J不符合相关性定理,则进入步骤B8,否则进入步骤B10;其中,字典序中非平凡仅大于Q的权限集合N,表示字典序上权限集合Q与权限集合N之间,任意权限集合均包含权限集合Q;B8:计算出字典序中非平凡仅大于N的权限集合N′,计算出蕴涵关系集合J中前件为N子集的蕴涵式后件的并集T′,若N′与蕴涵关系集合J不符合相关性定理,进入步骤B9,否则进入步骤B10;B9:令N=N′,返回步骤B8;B10:若T>N,则令Q=N,否则令Q=T;然后进入步骤B11;B11:若Q=M,进入步骤B12,否则返回步骤B2;B12:将蕴涵关系集合J中蕴涵式后件为的蕴涵式加入到角色集合R中,并得到该部门的确定的访问控制实例的无冗余集合KS和蕴涵关系集合J。本专利技术能够辅助基于角色的访问控制(RBAC)系统,科学快速地实现RBAC的角色构建,为现代工业和信息产业生产中操作角色及操作权限的安全科学的设定提供基础数据支持,杜绝安全隐患。附图说明图1为本专利技术的流程示意图。具体实施方式以下结合附图和实施例对本专利技术作以详细的描述:如图1所示,本专利技术所述的一种基于属性探索的RBAC角色快速辅助构建方法,依次包括以下步骤:A:从某个部门的信息系统中,获取该部门的访问控制日志记录,并对访问日志记录进行数据预处理,得到该部门的访问控制实例的初始集合KO和所有权限集合M;所述的步骤A包含以下具体步骤:A1:从某个部门的信息系统中,获取该部门的访问控制日志记录,将访问控制日志中访问成功的记录,记为该部门下该用户拥有访问该资源的权限;例如在大型炼钢企业中,员工甲在6月21日操作生产环节中炼钢炉温度更改成功,则记录甲具有操作炼钢炉温度更改的权限;A2:将访问控制日志中访问失败的记录,记为该部门下该用户不拥有访问该资源的权限;例如员工甲在6月21日操作生产环节中加氧量更改失败,则记录甲不具有操作生产环节中加氧量更改的权限;A3:经数据处理,得到该部门下各个用户所具有的权限和不具有的权限。例如本实施例中,经数据处理,得到用户甲所具有的权限和不具有的权限,如表1所示。ab...
【技术保护点】
1.一种基于属性探索的RBAC角色快速辅助构建方法,其特征在于,依次包括以下步骤:/nA:从某个部门信息系统中,获取该部门的访问控制日志记录,并对访问日志记录进行数据预处理,得到该部门的访问控制实例的初始集合K
【技术特征摘要】
1.一种基于属性探索的RBAC角色快速辅助构建方法,其特征在于,依次包括以下步骤:
A:从某个部门信息系统中,获取该部门的访问控制日志记录,并对访问日志记录进行数据预处理,得到该部门的访问控制实例的初始集合KO和所有权限集合M;
B:利用辅助角色发现算法,同时排除包含主基中某个蕴涵式的前件且不包含这个蕴涵式后件的权限集合,得到步骤A中该部门的确定的访问控制实例的无冗余集合KS和蕴涵关系集合J,同时确定角色集合R。
2.根据权利要求1所述的一种基于属性探索的RBAC角色快速辅助构建方法,其特征在于,所述的步骤A包括以下具体步骤:
A1:从某个部门信息系统中,获取该部门的访问控制日志记录,将访问控制日志中访问成功的记录,记为该部门下该用户拥有访问该资源的权限;
A2:将访问控制日志中访问失败的记录,记为该部门下该用户不拥有访问该资源的权限;
A3:经数据处理,得到该部门下各个用户所具有的权限和不具有的权限;
A4:得到该部门的访问控制实例的初始集合KO和所有权限集合M。
3.根据权利要求2所述的一种基于属性探索的RBAC角色快速辅助构建方法,其特征在于,所述的步骤B包括以下具体步骤:
B1:根据步骤A中得到的权限集合M=(a1,a2,a3,…,an-1,an),将所有权限集合M进行字典序排列后得到集合初始化确定的访问控制实例的无冗余集合蕴涵关系集合从集合Mq中取字典序排第一的集合
其中,字典序为形式概念分析中一种排序规则,蕴涵关系集合J是确定的访问控制实例的无冗余集合KS的主基;
B2:在确定的访问控制实例的无冗余集合KS中计算fKs(gKs(Q)),若则进入步骤B3;否则进入步骤B4;
其中,gKs(Q)为在确定的访问控制实例的无冗余集合KS中找出所有拥有权限Q的用户,fKs(gKs(Q))为在确定的访问控制实例的无冗余集合KS中找出所有拥有权限Q的用户所共同拥有的权限,gKo(fKs(gKs(Q))-Q...
【专利技术属性】
技术研发人员:张磊,杨继勇,沈夏炯,韩道军,许涛,黄亚博,
申请(专利权)人:河南大学,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。