【技术实现步骤摘要】
面向异构访问控制系统的ABAC策略挖掘方法及系统
[0001]本专利技术涉及访问控制
,特别涉及一种面向异构访问控制系统的ABAC策略挖掘方法及系统。
技术介绍
[0002]随着互联网的迅速发展,各类数据资源呈现出爆发式的增长,同时也面临着众多安全挑战。访问控制系统是信息系统的关键组成部分,其作用为保护信息资源免受未经授权的访问。访问控制策略是信息系统安全意图与使用意图的直接体现,也是访问控制实施的重要前提。在分布式的大数据应用场景中,需要管理分布在不同计算环境下应用程序、业务系统中的大量用户访问权限。随着信息技术的飞速发展,传统的访问控制模型如DAC(Discretionary access control)、MAC(Mandatory access control)、RBAC(Role
‑
Based access control)已经不能满足新兴应用的细粒度、富有表现力的安全需求。如今,基于属性的访问控制(Attribute
‑
Based Access Control,ABAC)...
【技术保护点】
【技术特征摘要】
1.一种面向异构访问控制系统的ABAC策略挖掘方法,其特征在于,包含:依据访问控制列表从异构访问控制系统中提取用户
‑
权限元组及相应属性关系,其中,用户
‑
权限元组用于描述用户对资源有操作权限;遍历用户
‑
权限元组中用户与资源的所有属性,并通过比较属性值关系来获取不同用户属性与资源属性所满足的约束集;将约束集作为蚁群算法输入,通过将不同约束模拟为蚁群算法中具有路径距离的城市来获取最佳路径对应的策略约束,将该策略约束加入策略集;依据预设策略质量评价标准及策略所能覆盖用户
‑
权限元组大小从策略集中选取最终所需挖掘的策略结果。2.根据权利要求1所述的面向异构访问控制系统的ABAC策略挖掘方法,其特征在于,用户
‑
权限元组表示为包含用户u、资源r和操作o的三元组。3.根据权利要求1所述的面向异构访问控制系统的ABAC策略挖掘方法,其特征在于,通过将不同约束模拟为蚁群算法中具有路径距离的城市来获取最佳路径对应的策略约束,包含:首先,获取约束集结果相同的用户组,依据用户组中用户与资源所需满足的条件来构建用户属性表达式和资源属性表达式,并生成初始策略;然后,以蚁群算法中不同城市来匹配初始策略中的约束,随机设置城市间距离值,利用信息素浓度计算路径选择的可能性并产生不同的泛化方法,通过寻找走遍城市的最佳路径,并利用泛化方法依次对策略约束进行处理,通过评估来获取最优泛化方法及其对应的最优质量策略。4.根据权利要求3所述的面向异构访问控制系统的ABAC策略挖掘方法,其特征在于,通过评估获取最优泛化方法及其对应的最优质量策略,通过预设的质量函数对泛化方法进行评价,其中,质量函数Q
policy
表示为:Q
policy
(ρ,UP)=|[ρ]∩UP|/WSC(ρ),ρ为初始策略,UP为用户
‑
权限元组集合,WSC()为预设策略质量评价标准。5.根据权利要求4所述的面向异构访问控制系统的ABAC策略挖掘方法,其特征在于,通过预设的质量函数对泛化方法进行评价中,将泛化前质量函数值与泛化后质量函数值之商作为评估本次泛化的结果值,依据结果值大小来寻找最优泛化方法及其对应的最优质量策略。6.根据权利要求4或5所述的面向异构访问控制系统的ABAC策略...
【专利技术属性】
技术研发人员:刘敖迪,杜学绘,王娜,尚思远,任志宇,单棣斌,曹利峰,王文娟,吴翔宇,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。