[发明专利]一种基于二进制序列集合的访问控制策略合成方法

说明书

技术领域

本发明涉及的是一种分布式系统中域间授权安全互操作方法，具体地说，是一种基于二进制序列集合(Bsset)的访问控制策略合成方法。

背景技术

随着大规模分布式网络应用的迅速发展，自治域之间的合作也会越来越频繁。其中，域间访问控制策略合成是分布式技术中聚合资源访问的关键安全要素。基于属性的访问控制能解决复杂系统中的细粒度的访问控制，为开放的分布式环境提供了较为理想的访问控制方案。并且利用离散代数可以将复杂的基于属性的策略合成方式用严谨的代数系统表达，基于代数的域间访问控制策略合成方法具体是指一类首先在逻辑层面对策略合成语义进行分析和定义，进而建立运算规则系统（即代数系统）进行合成演算的基于属性授权的访问控制策略合成方法。这类方法通常需要将实际的访问控制策略通过逻辑转换器转化为逻辑代数符号才能由计算机程序实现合成演算，因此可实现性差、运算效率低。

经对现有技术的文献检索发现，Bertino、Li Ninghui等人在《An Algebra for Fine-Grained Integration ofXACML Policies》一文中基于XACML策略描述形式提出用MTBDD(Multi-Terminal Binary Decision Diagrams)策略树转译实际策略的方法，以及相应的策略合成代数系统可解决细粒度的域间访问控制策略合成。这是目前已报道的最佳解决方法。但是，这一方法虽然解决了逻辑代数符号的转换代价，却由于策略树自身数据结构对于布尔属性约束的依赖性，会造成合并过程中的冗余以及系统规模庞大的问题，这也限制了该方法的合成运算性能。

发明内容

针对上述现有技术存在的不足，本发明要解决的问题是提供一种基于二进制序列集合的访问控制策略合成方法，采用二进制序列集合对域间访问控制策略进行基于属性约束的建模，这种建模方式无需通过逻辑转换器就可被计算机程序实现，并且基于这种建模方式设计了授权项间的逻辑算子，可进行多样化的域间策略合成演算。本发明可作为一种高效和易实现的域间访问控制策略合成方法。

为实现上述目的，本发明采用的技术方案是：首先定义二进制序列集合元素以及基于二进制序列的集合运算规则,根据以上定义，从属性约束层对实际的策略进行属性分解，并通过集合内部元素分离将策略正确的表达成为基于二进制序列的逻辑表达式。然后通过语义检查和移位合并，用以消除规则冗余和语义冲突问题。在此基础上，根据实际的安全需求定义基于二进制序列集合的逻辑合成算子，将合成方式转换成逻辑表达式。利用二进制序列可直接作为数据结构的特点，根据逻辑表达式可直接对基于二进制建模的策略空间计算合成结果，作为一种无需逻辑转换的策略代数实现机制。最后，将基于二进制集合形式的合成策略翻译成属性项策略。

本发明所述的基于二进制序列集合的访问控制策略合成方法，包括如下步骤：

步骤一：策略面向属性层分解；

步骤二：对步骤一的策略进行基于BSset的逻辑转换；

步骤三：对步骤二进行语义检查和移位化简；

步骤四：推导基于BSset的合成语义算子；

步骤五：根据步骤三和步骤四,用逻辑表达式刻画合成结构；

步骤六：对步骤五实现合成演算，输出策略合成结果。

进一步的，所述的步骤一，具体操作是：先对主体属性约束、客体属性约束、行动属性约束等基于属性约束翻译成一个原子布尔表达式aT*v,*∈(=,<,≤,>,≥)。然后对一个策略集中含有有限个不同的原子布尔表达式，依次编码一条策略规则就可以被抽象为通过逻辑符号与“∧”和或“∨”连接的原子布尔表达式组成的一个复合布尔表达式。进而，策略就可以用三组布尔表达式逻辑集合分别表示三值策略的允许集，拒绝集，以及“不适用”集，由于“不适用”的策略评估是允许集和拒绝集产生的矛盾，所以暂不考虑。

进一步的，所述的步骤二，具体为：首先根据二进制序列和序列集合的定义，步骤一所得策略二元组进一步转换成基于二进制序列集合BSset的逻辑形式；其次，将策略属性项集合进一步通过元素分离：（1）策略的允许集[S]_Y和拒绝集[S]_N分别与空集φ进行并运算U；（2）去除[S]_Y和[S]_N集合之间的交集部分[S]_Y∩[S]_N。即：

（1）[S]_Y=[S]_Y∪φ，[S]_N=[S]_N∪φ；