一种基于模糊粗糙集的访问控制授权方法技术

本发明专利技术公开了一种基于模糊粗糙集的访问控制授权方法，用于优化属性和细粒度的访问控制。在该方法中，请求所需属性的值具有不确定性，将属性值转换有模糊性的隶属值，实现传统属性到模糊属性的转换，系统引入属性简约点，通过专家评判用户对授权的隶属度，对属性值进行简约，分别以上、下近似值规定属性的隶属关系，并规定了介于两者之间的可能属于关系，实现在海量数据下的访问授权高效性，同时，以用户授权等级和资源敏感度为判断条件，对用户访问行为进行度量，对用授权分级的定义对用户授权权限和资源，实现了细粒度的访问控制，满足了在实际应用当中，资源访问的安全访问需求。资源访问的安全访问需求。资源访问的安全访问需求。

【技术实现步骤摘要】
一种基于模糊粗糙集的访问控制授权方法


[0001]本专利技术属于计算机软件开发领域，特别设计了一种云环境下高效的细粒度访问授权方法。

技术介绍

[0002]访问控制是信息安全的核心技术之一，其主要作用是预防恶意用户对资源的非法访问和合法用户的越权访问请求。但是随着计算机系统动态性强、灵活性高和管理复杂的特点出现，传统访问控制例如自主访问控制(DAC)已不能满足这一要求，特别是在云环境下，用户数量剧增，用户与云服务商之间存在网络屏障，急需出现新的访问控制授权方法以应对新的挑战。
[0003]当前在多样性的环境中，访问控制主要面临以下几方面问题。一、权限管理的局限性：在新型技术中，跨域访问的需求日益增大，随着用户和资源之间的变化而导致权限更变频繁，这具有动态性和不确定性，同时，当前的认证和访问准则存在缺陷，授权流程复杂；二、服务的安全性：访问控制模型缺少对用户的信任评估将导致恶意用户的非法访问，这会对资源的机密性造成破坏，虽然当前已有多种方案来引入信任机制，但在计算效率、可信赖性和可行性上任缺少有力的支持；三、用户的隐私保护：访问控制模型是对用户访问行为进行管控，但是缺少从用户角度考虑的安全性，用户对资源的请求往往涉及一些关于个人的隐私信息，这些信息往往是私密的，因此在保证用户合法访问资源时更需要关注数据管理中的安全性。
[0004]综上所述，如何在云环境下增强访问授权灵活性，提高授权效率，保护用户隐私，已经成为本领域亟待解决的问题。

技术实现思路

[0005]为了解决上述
技术介绍
提到的技术问题，本专利技术提出了一种基于模糊粗糙集的访问控制授权方法。
[0006]为了实现上述技术目的，本专利技术的技术方案为：
[0007]一种基于模糊粗糙集的访问控制授权方法，包括以下步骤：
[0008](1)初始化阶段，系统首先收集属性，并将属性交由属性权威AA；
[0009](2)属性权威AA将属性集发送至属性简约点ARP进行属性简约，并发送至策略管理点PAP制定相关策略；
[0010](3)当用户申请资源时，首先将发送原始请求NAR到策略实施点PEP；
[0011](4)策略实施点PEP向属性简约点ARP请求属性，将返回的属性集构建请求发送给策略决策点PDP；
[0012](5)策略决策点PDP将相关属性与用户身份判定，与策略管理点PAP进行交互，并对此次访问策略进行评判，若所有属性都满足条件，则评判结果为Permit，表示允许授权；若评判结果为Part_Permit，表示部分授权，执行(6)；否则为拒绝授权；
[0013](6)通过部分授权判决方法，对用户的权限进行计算，确定用户所授权的具体办法；
[0014](7)策略管理点PAP将此次访问记录统计入日志系统。
[0015]进一步地，在步骤(2)中属性简约的具体过程如下：
[0016](201)初始化属性：首先列举某资源所涉及的所有属性，记为属性集合Attr＝{A1,A2,
…
,A
n
}，并列举模拟用户集合U＝{U1,U2,U3,
…
,U
n
}，其中U和Attr都是有限集，U对于Attr的映射值为隶属度Val
U
×
A
，表示用户集对用属性集上的模糊关系，取[0,1]之间的模糊值，Val
ij
越接近于1，则代表当前对象x
i
对属性y
j
的隶属度越高；反之，对象对属性的隶属度越低；
[0017](202)授权评价：专家评判法对模拟集合进行评价，记作D＝{d1,d2,
…
,d
m
}，d
i
代表专家对对象x
i
在属性集V下的授权评价；
[0018](203)模糊隶属判断：若上近似隶属函数大于下近似隶属函数时，代表当前属性隶属判断关系不明确，列为非关键属性，若下近似隶属函数大于等于下近似隶属函数时，表示可区分用户所属关系，列为关键属性，下近似隶属函数和上近似隶属函数分别为：
[0019][0020][0021]其中，u是用户，U是用户集，Val(u,a)表示用户U对应属性a的模糊关系，Val(u,a)∈[0,1]，B(u)表示用户u的决策属性。
[0022]进一步地，在步骤(5)中的授权评判具体过程如下：
[0023](501)如果任意一个属性的隶属度在当前属性简约过后的上近似隶属度以下，则返回拒绝响应，此次授权评判结束；
[0024](502)如果所有属性隶属度均大于上近似隶属度，则代表用户具有授权的权利，接下来需要执行部分授权和授权判断，进入(503)；
[0025](503)如果所有属性值均大于下近似隶属度，则代表用户是可信用户，可访问全部资源，评判结果为Permit，表示允许授权，此次授权评判结束；
[0026](504)如果其中至少有一属性值介于上近似隶属度和下近似隶属度之间，评判结果为Part_Permit，表示部分授权，则需要进一步判断授权等级，授权等级相关计算公式如下：
[0027][0028][0029]其中，α是用户授权等级，即用户可信度，α∈[0,1]，其值与用户所属属性的值有关，当用户对各属性的隶属度越高时，则代表用户可信度越高，即α越大，反之则越小，y
i
表示当前用户的第i个属性值，表示第i个属性的上近似隶属度，D(y
i
)表示第i个属性的下近似隶属度，β表示资源的敏感度，资源越敏感，则β越大，m是一个大于β的实数，如果一个资源的敏感度与m一样或更大，那么认为资源对用户的诱惑太大，意味着不应该制定这样的
访问权限，a是一个大于1的自然数，用户授权等级比资源敏感度越大，则用户是更容易被信任的，被赋予的授权等级越高，反之，则越低。另外，当资源敏感度越接近m时，则代表资源越敏感，授权等级越小，AL是授权等级，即用户所具有的授权级别，AL的值决定最终的用户权限大小。
[0030]采用上述技术方案带来的有益效果：
[0031](1)缩小了属性集，提高了授权效率，当属性属性规模较大时，在属性模糊化后，对冗余属性进行消除，从专家评判的结果中把关键属性进行提取，达到属性简约的效果，考虑到存在对授权决策起非关键性的普通属性，以上、下近似隶属度为边界，筛选出普通属性，缩小了属性集，从而减少了授权评判时间，提高了授权效率；
[0032](2)优化了授权策略，提出了部分授权，通过用户授权等级和资源敏感度对授权等级进行判断，并通过授权等级与权限的关系对用户的访问行为进行限制，细化了传统的授权模式，实现了对用户需求各异情况下的授权，提高了系统整体可靠性。
附图说明
[0033]图1是基于模糊粗糙集的访问控制模型；
[0034]图2是基于模糊粗糙集的访问控制模型工作流程；
具体实施方式
[0035]以下将结合附图本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于模糊粗糙集的访问控制授权方法，其特征在于，包括以下步骤：(1)初始化阶段，系统首先收集属性，并将属性交由属性权威AA；(2)属性权威AA将属性集发送至属性简约点ARP进行属性简约，并发送至策略管理点PAP制定相关策略；(3)当用户申请资源时，首先将发送原始请求NAR到策略实施点PEP；(4)策略实施点PEP向属性简约点ARP请求属性，将返回的属性集构建请求发送给策略决策点PDP；(5)策略决策点PDP将相关属性与用户身份判定，与策略管理点PAP进行交互，并对此次访问策略进行评判，若所有属性都满足条件，则评判结果为Permit，表示允许授权；若评判结果为Part_Permit，表示部分授权，执行(6)；否则为拒绝授权；(6)通过部分授权判决方法，对用户的权限进行计算，确定用户所授权的具体办法；(7)策略管理点PAP将此次访问记录统计入日志系统。2.根据权利要求1所述一种基于模糊粗糙集的访问控制授权方法，其特征在于，在步骤(2)中属性简约的具体过程如下：(201)初始化属性：首先列举某资源所涉及的所有属性，记为属性集合Attr＝{A1,A2,
…
,A
n
}，并列举模拟用户集合U＝{U1,U2,U3,
…
,U
n
}，其中U和Attr都是有限集，U对于Attr的映射值为隶属度Val
U
×
A
，表示用户集对用属性集上的模糊关系，取[0,1]之间的模糊值，Val
ij
越接近于1，则代表当前对象x
i
对属性y
j
的隶属度越高；反之，对象对属性的隶属度越低；(202)授权评价：专家评判法对模拟集合进行评价，记作D＝{d1,d2,
…
,d
m
}，d
i
代表专家对对象x
i
在属性集V下的授权评价；(203)模糊隶属判断：若上近似隶属函数大于下近似隶属函数时，代表当前属性隶属判断关系...

【专利技术属性】
技术研发人员：许峰，董佳辉，张烁，李泽林，宿凯铭，
申请(专利权)人：南京航空航天大学，
类型：发明
国别省市：