[发明专利]一种面向人机物融合空间的自适应访问控制安全执行方法

权利要求书

1.一种面向人机物融合空间的自适应访问控制安全执行方法，其特征在于：包括建立客户端服务器、策略管理服务器、策略控制服务器和策略调整服务器，各服务器间通过互联网相互通信。

客户端服务器用于获取系统当前社会空间的社会关系信息以及信息物理空间的单元构成信息；

策略管理服务器基于三元空间感知访问控制模型生成三元空间感知访问控制策略集合并对该集合进行有效管理；

策略控制服务器根据三元空间感知访问控制策略，构建三元空间感知访问控制策略的部分标号变迁系统，并基于模型检测技术分析和验证安全需求在标号变迁系统中的满足性，对访问控制策略执行的安全性进行分析，最终给出允许或者拒绝的判定结果；

策略调整服务器根据安全性的分析结果，对危机状态进行分析，制定解决危机态的策略调整方案，实现对系统资源持续性保护。

2.如权利要求1所述的一种面向人机物融合空间的自适应访问控制安全执行方法，其特征在于：所述客户端服务器获取的社会空间的社会关系信息包括当前系统中主体的社交关系、主体-属性关系和客体-属性关系，所述信息物理空间的单元构成信息包括当前系统的主体-位置关系、资源-位置关系、物理区域可达关系、实体连接关系。

3.如权利要求1所述的一种面向人机物融合空间的自适应访问控制安全执行方法，其特征在于：所述策略管理服务器基于三元空间感知访问控制模型生成三元空间感知访问控制策略集合，并实现对三元空间感知访问控制策略的管理，包括响应策略控制服务器对策略的查询，依据策略调整服务器制定的策略调整方案对访问控制策略的添加、删除和更改等；

步骤3-1：三元空间感知访问控制模型构建；

步骤3-1-1：获取社会空间的社会关系信息，建立六元组的社会关系模型SM：

SM＝{U，O，R，UA，OA，UU}；

其中：

U表示主体集合，U＝{u_i|i∈N}；

O表示客体集合，O＝{o_i|i∈N}；

R表示社交关系集合，R＝{r_i|i∈N}；

UU表示主体间的社交关系集合，UU＝{u_i，u_j，r|u_i∈U，u_j∈U，r∈R}；

UA表示主体-属性关系集合，UA＝{p_i|i∈N}，p_i＝{p_ij|j∈N}，N为非负整数集；p_i为第i个主体的属性集合，p_ij为第i个主体的第J个属性，p_ij为＜attribute：value＞对，表示第i个主体的第j个属性attribute的值是value；

OA表示客体-属性关系集合，OA＝{q_i|i∈N}，q_i＝{q_ij|j∈N}，q_i为第i个客体的属性集合，q_ij为第i个客体的第J个属性，q_ij为attribute：value对；

步骤3-2-2：利用形式化方法偶图建模信息物理空间的拓扑关系，拓扑关系到偶图的映射步骤如下：

步骤S1：主体、资源、物理区域映射为节点；

步骤S2：物理区域的可达关系、资源-位置关系、主体-位置关系映射为节点嵌套关系，即通过偶图位置图表示；

步骤S3：主体和资源间的访问关系映射为实体间连接关系，通过偶图连接图表示；

步骤3-3-3：基于社会关系模型SM和拓扑关系偶图模型，构建三元空间感知访问控制模型AC：

AC＝userattribute，action，objectattribute，spacecondition，effect；

其中，AC为五元组；userattribute表示访问主体的主体属性集；

userattribute＝{x_i|i∈N}，x_i为主体属性-值对，即

x_i＝attribute_i：value；

action表示访问行为集合；

objectattribute表示被访问客体的属性集；objectattribute＝{y_i|i∈N}，

y_i为客体属性-值对，即y_i＝attribute_i：value；

spacecondition表示空间环境属性，为一个析取范式：

spacecondition＝E₁∨E₂∨…∨E_n；

其中，E_i(i∈N)为一个合取范式：

E_i＝C_i1∧C_i2∧…∧C_in；

其中，C_ij(j∈N)是一个社交关系约束谓词或者主客体属性约束谓词或者拓扑关系约束偶图；

effect∈{permit，deny}是允许或者拒绝的判定结果；

步骤3-2：基于三元空间感知访问控制模型和具体的应用安全需求，生成三元空间感知访问控制策略集合；

步骤3-3：对三元空间感知访问控制策略集合进行管理，包括增加、删除、修改和查询。