一种面向物联网的RBAC权限修改方法技术

本发明专利技术公开了一种面向物联网的RBAC权限修改方法，包括以下步骤：A：获取各权限的访问控制日志记录并进行数据预处理，得到该物联网系统的权限实例数据和所有权限集合；B：利用属性探索辅助角色发现方法，建立访问控制实例的无冗余集合、权限蕴涵关系集合以及权限内涵集合；C：得到访问控制实例的无冗余集合，然后根据后件是否存在增加或减少进行判断，最终得到修改后的访问控制实例的无冗余集合、新的权限蕴涵关系集合以及新的权限内涵集合。本发明专利技术能够根据使用需求快速准确地修改访问控制模型的部分权限，有效地减少重新构建访问控制模型的时间成本。的时间成本。的时间成本。

【技术实现步骤摘要】
一种面向物联网的RBAC权限修改方法


[0001]本专利技术涉及访问控制(RBAC)
，尤其涉及一种面向物联网的RBAC权限修改方法。

技术介绍

[0002]随着物联网技术的发展及应用，物联网的访问控制问题日益突出，已成为制约物联网技术发展关键因素之一。物联网将海量的传感器、智能处理终端等大量传感设备通过有线或无线融入互联网。在传统访问控制技术中，物联网系统的访问控制策略存在人为恶意操作、外部用户伪装成合法用户进行非法访问或物联网系统的数据遭到恶意篡改等隐患，可能造成系统的数据泄露问题。在现有的一些技术较为成熟的物联网系统中，通过建立访问控制模型对物联网系统中的访问行为进行策略化管理，从一定程度上避免了人为恶意操作的问题。当访问控制模型建立之后，若该访问控制模型的部分权限需要进行修改，则需要重新构建访问控制模型。由于访问控制模型根据实际使用需求的增改极有可能会一直变化，而访问控制模型的频繁变化必定会增加系统的资源消耗，重新构建访问控制模型极大地增加了开发人员的时间成本。

技术实现思路

[0003]本专利技术的目的是提供一种面向物联网的RBAC权限修改方法，能够根据使用需求快速准确地修改物联网系统中访问控制模型的部分权限，有效地减少重新构建访问控制模型的时间成本。
[0004]本专利技术采用下述技术方案：
[0005]一种面向物联网的RBAC权限修改方法，依次包括以下步骤：
[0006]A：从物联网系统中获取各权限的访问控制日志记录，并对所获取的访问控制日志记录进行数据预处理，得到该物联网系统的权限实例数据Data0和所有权限集合M；
[0007]B：利用属性探索辅助角色发现方法，通过步骤A所得到的权限实例数据Data0和所有权限集合M，建立物联网系统的访问控制实例的无冗余集合K
S1
，得到整个物联网系统的权限蕴涵关系集合J1以及权限内涵集合C1，并将访问控制背景中的权限按角色赋予用户；
[0008]C：对于待修改的角色r以及角色r所对应的权限A，根据确定的访问控制实例的无冗余集合K
S1
、权限蕴涵关系集合J1以及权限内涵集合C1，将访问控制实例的无冗余集合K
S1
中角色r中的权限修改为输入的权限A,得到访问控制实例的无冗余集合K
S2
，然后根据权限蕴涵关系集合J1以及权限内涵集合C1中的权限集合在访问控制实例的无冗余集合K
S2
中的后件是否存在增加或减少进行判断：
[0009]若存在某一权限集合的后件没有增加也没有减少，那么：如果该权限集合属于权限蕴涵关系集合J1，则该权限集合也属于新的权限蕴涵关系集合J2；如果该权限集合属于权限内涵集合C1，则该权限集合也属于新的权限内涵集合C2；
[0010]若存在某一权限集合的后件有增加，那么将这个权限集合放入新的权限蕴涵关系
集合J2中，并在权限蕴涵关系集合J1以及权限内涵集合C1中，找出所有不包含该后件的权限集合，然后在权限蕴涵关系集合J1以及权限内涵集合C1中删除这些权限集合；
[0011]若存在某一权限集合的后件有减少，那么若该权限集合后件为空则将这个权限集合放入新的权限内涵集合C2中，若后件不为空则将这个权限集合放入新的权限蕴涵关系集合J2中，并找出所有同时满足包含该权限集合在K
S1
中的前件、不包含该权限集合在K
S1
中的后件以及包含该权限集合在K
S2
中的后件三个条件的权限集合，作为待加入集合；对待加入集合中的权限集合进行相关性判断，对符合相关性条件的权限集合，若后件为空则放入新的权限内涵集合C2中，若后件不为空则放入新的权限蕴涵关系集合J2；
[0012]最终得到修改后的访问控制实例的无冗余集合K
S2
、新的权限蕴涵关系集合J2以及新的权限内涵集合C2。
[0013]所述的步骤A包括以下具体步骤：
[0014]A1：从物联网系统中，读取各权限的访问控制日志记录；
[0015]A2：在所获取的各权限的访问控制日志记录中，若某用户拥有某权限，即该用户访问某权限成功，则将该用户对应的权限记为1，否则记为0；
[0016]A3：按照步骤A2中的方法，对所获取的所有的访问控制日志记录进行处理，得到物联网系统权限实例数据Data0，同时得到系统中的所有权限集合M。
[0017]所述的步骤B包括以下具体步骤：
[0018]B1：根据步骤A中得到的所有权限集合M＝(a1,a2,a3,
…
,a
n
‑1,a
n
),将所有权限集合M进行字典序排列后得到集合M进行字典序排列后得到集合初始化确定的访问控制实例的无冗余集合权限蕴涵关系集合从集合M
q
中取字典序排第一的集合
[0019]B2：在确定的访问控制实例的无冗余集合K
S1
中计算f
Ks1
(g
Ks1
(Q))，若则进入步骤B3；否则进入步骤B4；
[0020]其中，为在确定的访问控制实例的无冗余集合K
S1
中找出所有拥有权限Q的用户，为在确定的访问控制实例的无冗余集合K
S1
中找出所有拥有权限Q的用户所共同拥有的权限，为在权限实例数据Data0中找出所有拥有权限的用户；
[0021]B3：若权限即拥有权限Q的角色为且的共同权限同时为Q，那么将权限Q添加到权限内涵集合C1中；若权限即拥有权限Q的角色为但的共同权限不同时为Q，则将权限蕴涵关系式即某个用户拥有权限Q那么该用户一定拥有权限添加到权限蕴涵关系集合J1中，然后进入步骤B5；
[0022]B4：从权限实例数据Data0中取出一个权限分配不符合权限蕴涵关系式的实例o，即实例o拥有权限Q但是不拥有权限并将这个实例添加到确定的访问控制实例的无冗余集合K
S1
中，然后进入步骤B6；
[0023]B5：根据形式概念分析中集合与蕴涵集合相关性定理，按照字典序的顺序找出下一个与权限蕴涵关系集合J1相关的权限集合Q
′
，令Q＝Q
′
，然后进入步骤B6；
[0024]B6：循环步骤B2，直到下一个与权限蕴涵关系集合J1相关的权限集合等于所有权限集合M，并进入步骤B7；
[0025]B7：根据上述步骤得到确定的访问控制实例的无冗余集合K
S1
、权限蕴涵关系集合J1和权限内涵集合C1，其中，访问控制实例的无冗余集合K
S1
中的每一行代表一个角色以及该角色所拥有的权限，将访问控制背景中的权限按角色赋予用户。
[0026]所述的步骤B6中，若存在某一权限集合与某一权限蕴涵式，其中，权限集合不包含权限蕴涵式的前件，或权限集合既包含权限蕴涵式的前件也包含权限蕴涵式的后件，则称该权限集合与该权限蕴涵式相关；若存在某一权限集合与某一权限蕴涵本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向物联网的RBAC权限修改方法，其特征在于，依次包括以下步骤：A：从物联网系统中获取各权限的访问控制日志记录，并对所获取的访问控制日志记录进行数据预处理，得到该物联网系统的权限实例数据Data0和所有权限集合M；B：利用属性探索辅助角色发现方法，通过步骤A所得到的权限实例数据Data0和所有权限集合M，建立物联网系统的访问控制实例的无冗余集合K
S1
，得到整个物联网系统的权限蕴涵关系集合J1以及权限内涵集合C1，并将访问控制背景中的权限按角色赋予用户；C：对于待修改的角色r以及角色r所对应的权限A，根据确定的访问控制实例的无冗余集合K
S1
、权限蕴涵关系集合J1以及权限内涵集合C1，将访问控制实例的无冗余集合K
S1
中角色r中的权限修改为输入的权限A，得到访问控制实例的无冗余集合K
S2
，然后根据权限蕴涵关系集合J1以及权限内涵集合C1中的权限集合在访问控制实例的无冗余集合K
S2
中的后件是否存在增加或减少进行判断：若存在某一权限集合的后件没有增加也没有减少，那么：如果该权限集合属于权限蕴涵关系集合J1，则该权限集合也属于新的权限蕴涵关系集合J2；如果该权限集合属于权限内涵集合C1，则该权限集合也属于新的权限内涵集合C2；若存在某一权限集合的后件有增加，那么将这个权限集合放入新的权限蕴涵关系集合J2中，并在权限蕴涵关系集合J1以及权限内涵集合C1中，找出所有不包含该后件的权限集合，然后在权限蕴涵关系集合J1以及权限内涵集合C1中删除这些权限集合；若存在某一权限集合的后件有减少，那么若该权限集合后件为空则将这个权限集合放入新的权限内涵集合C2中，若后件不为空则将这个权限集合放入新的权限蕴涵关系集合J2中，并找出所有同时满足包含该权限集合在K
S1
中的前件、不包含该权限集合在K
S1
中的后件以及包含该权限集合在K
S2
中的后件三个条件的权限集合，作为待加入集合；对待加入集合中的权限集合进行相关性判断，对符合相关性条件的权限集合，若后件为空则放入新的权限内涵集合C2中，若后件不为空则放入新的权限蕴涵关系集合J2；最终得到修改后的访问控制实例的无冗余集合K
S2
、新的权限蕴涵关系集合J2以及新的权限内涵集合C2。2.根据权利要求1所述的面向物联网的RBAC权限修改方法，其特征在于，所述的步骤A包括以下具体步骤：A1：从物联网系统中，读取各权限的访问控制日志记录；A2：在所获取的各权限的访问控制日志记录中，若某用户拥有某权限，即该用户访问某权限成功，则将该用户对应的权限记为1，否则记为0；A3：按照步骤A2中的方法，对所获取的所有的访问控制日志记录进行处理，得到物联网系统权限实例数据Data0，同时得到系统中的所有权限集合M。3.根据权利要求2所述的面向物联网的RBAC权限修改方法，其特征在于，所述的步骤B包括以下具体步骤：B1：根据步骤A中得到的所有权限集合M＝(a1，a2，a3，
…
，a
n
‑1，a
n
)，将所有权限集合M进行字典序排列后得到集合字典序排列后得到集合初始化确定的访问控制实例的无冗余集合权限蕴涵关系集合从集合M
q
中取字典序排第一的集合
B2：在确定的访问控制实例的无冗余集合K
S1
中计算若则进入步骤B3；否则进入步骤B4；其中，为在确定的访问控制实例的无冗余集合K
S1
中找出所有拥有权限Q的用户，为在确定的访问控制实例的无冗余集合K
S1
中找出所有拥有权限Q的用户所共同拥有的权限，为在权限实例数据Data0中找出所有拥有权限的用户；B3：若权限即拥有权限Q的角色为且的共同权限同时为Q，那么将权限Q添加到权限内涵集合C1中；若权限即拥有权限Q的角色为但的共同权限不同时为Q，则将权限蕴涵关系式即某个用户拥有权限Q那么该用户一定拥有权限添加到权限蕴涵关系集合J1中，然后进入步骤B5；B4：从权限实例数据Data0中取出一个权限分配不符合权限蕴涵关系式的实例o，即实例o拥有权限Q但是不拥有权限并将这个实例添加到确定的访问控制实例的无冗余集合K
S1
中，然后进入步骤B6；B5：根据形式概念分析中集合与蕴涵集合相关性定理，按照字典序的顺序找出下一个与权限蕴涵关系集合J1相关的权限集合Q
′
，令Q＝Q
′
，然后进入步骤B6；B6：循环步骤B2，直到下一个与权限蕴涵关系集合J1相关的权限集合等于所有权限集合M，并进入步骤B7；B7：根据上述步骤得到确定的访问控制实例的无冗余集合K
S1
、权限蕴涵关系集合J1和权限内涵集合C1，其中，访问控制实例的无冗余集合K
S1
中的每一行代表一个角色以及该角色所拥有的权限，将访问控制背景中的权限按角色赋予用户。4.根据权利要求3所述的面向物联网的RBAC权限修改方法，其特征在于：所述的步骤B6中，若存在某一权限集合与某一权限蕴涵式，其中，权限集合不包含权限蕴涵式的前件，或权限集合既包含权限蕴涵式的前件也包含权限蕴涵式的后件，则称该权限集合与该权限蕴涵式相关；若存在某一权限集合与某一权限蕴涵集合，该权限集合与权限蕴涵集合中的每一个权限蕴涵式都相关，则称该权限集合与该权限蕴涵集合相关。5.根据权利要求3所述的面向物联网的RBAC权限修改方法，其特征在于，所述的步骤C包括以下具体步骤...

【专利技术属性】
技术研发人员：张磊，张芃，沈夏炯，韩道军，贾培艳，丁文珂，
申请(专利权)人：河南大学，
类型：发明
国别省市：