[发明专利]一种多域间基于RBAC模型的访问控制策略合成方法

权利要求书

1.一种多域间基于RBAC模型的访问控制策略合成方法，其特征在于包括如下步骤：

步骤一：在单个域内进行角色树合并；

步骤二：计算角色间接权限集，A继承权限集，I继承权限集；

步骤三：递归的比较域间角色的权限集，确定需要进行分裂的角色，建立域间角色映射，形成全局访问策略。

2.根据权利要求1所述的方法，其特征是，所述的步骤一，具体为：将一个域内的RBAC策略组合成为一棵RBAC角色树，作为RBAC策略合成的输入,其中对于域内存在多个高等级角色的情况，可以创建一个新角色，同时继承这几个高等级角色，作为角色树的树根。

3.根据权利要求1所述的方法，其特征是，所述的步骤二，具体为：计算两个域内所有角色的间接权限集，I继承权限集，A继承权限集作为原角色的属性存储起来，提供给步骤三进行权限集的比较；角色的权限集分为直接权限集，间接权限集，I继承权限集，A继承权限集。

4.根据权利要求3所述的方法，其特征是，所述的步骤二，角色的四种权限集定义如下：

1）直接权限集P_D(r)：若(p,r)∈PA，则p∈P_D(r);

2）间接权限集P_U(r)：用户激活角色r后，通过r在角色层次中的继承关系所获得的权限，包括r直接可以获得的子角色的权限和需要r激活子角色才能获得的权限;

3）I继承权限集P_UI(r)：用户激活角色r后，通过r在角色层次中的继承关系直接获得的权限;

4）A继承权限集P_UI(r)：用户激活角色r后，通过r在角色层次中激活其他子角色才能获得的权限。

5.根据权利要求1所述的方法，其特征是，所述的步骤三，具体为：比较要建立映射关系的两个角色的权限集，根据比较结果，建立不同类型的映射，同时应用角色分裂技术，保证了映射角色间权限完全相等；其中采用以下方法判断需要建立的角色映射的类型：

两个角色的直接和间接权限均相等，此时在两个角色间建立关联双向映射；

两个角色的间接权限相等，直接权限不等，此时先采用角色分裂的方法，将两个角色直接权限中的公共部分分离出来，然后再对直接权限相等的两个角色建立关联双向映射；

两个角色的间接权限不相等，此时只考虑直接权限，先进行角色分裂，再进行角色映射，此时建立非关联双向映射；

在建立角色映射之前，判断两个角色在原域内是否存在SoD关系，如果存在则建立A-继承映射，否则建立I-继承映射。

6.根据权利要求5所述的方法，其特征是，对于给定的两个角色，首先比较它们的间接权限，确定建立的角色映射的传递性；然后比较它们的直接权限，确定是否需要进行角色分裂；如需要进行角色分裂，则在两个角色所述的角色树中对应位置分别产生一个新角色，其直接权限为原两个角色的直接权限的交集。原角色作为新角色的高级角色，所属权限不变；接着对需要建立映射的角色是否在本域内与其他角色存在权限分离关系确定建立的角色映射的继承类型；最后根据所确定的属性建立相应类型的角色映射。