• 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
    • / 20
    • 下载费用:30 金币  

    重庆时时彩趣味: 协同环境中访问控制策略冲突检测系统及方法.pdf

    关 键 词:
    协同 环境 访问 控制 策略 冲突 检测 系统 方法
      专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    摘要
    申请专利号:

    CN201110322928.8

    申请日:

    2011.10.21

    公开号:

    CN102387145A

    公开日:

    2012.03.21

    当前法律状态:

    授权

    有效性:

    有权

    法律详情: 授权|||实质审查的生效IPC(主分类):H04L 29/06申请日:20111021|||公开
    IPC分类号: H04L29/06; H04L12/26; G06F21/00 主分类号: H04L29/06
    申请人: 北京航空航天大学
    发明人: 夏春和; 范贝贝; 梁晓艳; 罗杨; 薄阳
    地址: 100191 北京市海淀区海淀区学院路37号
    优先权:
    专利代理机构: 北京科迪生专利代理有限责任公司 11251 代理人: 成金玉
    PDF完整版下载: PDF下载
    法律状态
    申请(专利)号:

    CN201110322928.8

    授权公告号:

    102387145B||||||

    法律状态公告日:

    2014.03.12|||2012.05.02|||2012.03.21

    法律状态类型:

    授权|||实质审查的生效|||公开

    摘要

    协同环境中访问控制策略冲突检测系统及方法,首先解决了基于角色映射的域间互操作协同环境中各域所使用的访问控制策略语义异构的问题,并在此基础上解决了这种协同环境中的访问控制策略冲突问题,特别适用于语义异构的协同环境中。本技术采用改进的基于语义集成的策略集成算法和基于子图同构的策略冲突检测算法作为本发明使用的主要算法。协同环境中访问控制策略冲突检测技术的主要活动包括:策略预处理、多域策略集成和策略冲突检测活动。它可以检测协同环境中通过角色映射进行域间互操作而产生的访问控制策略冲突,以防止未授权访问等安全问题的发

    权利要求书

    1.一种协同环境中访问控制策略冲突检测系统,其特征在于包括:访问控
    制策略预处理???、多域策略集成??楹筒呗猿逋患觳饽??;
    访问控制策略预处理??椋航捎肵ACML描述的两个域的策略文件,即
    XACML描述的A域策略文件和XACML描述的B域策略文件中的访问控制策
    略进行语法语义解析,在对访问控制策略进行解析的同时为每条访问控制策略
    加入序号,作为所述访问控制策略唯一的标识,解析后形成访问控制策略有序
    集,将所述访问控制策略有序集送至多域策略集成???;所述域为协同环境的
    基本组成单元,即协同环境中自主进行访问控制策略制定及管理的组织;所述
    访问控制策略是约束主体对资源操作权限的规则集;所述主体分为用户和角色;
    所述资源包含ftp服务器、web服务器、邮件服务器和文件服务器;所述操作
    权限包含读、写、执行及其组合;所述访问控制策略有序集包含角色继承策略、
    直接授权策略和用户指派策略;所述角色继承策略是指规定某角色继承另一角
    色的操作权限的访问控制策略,形式化为五元组(策略名,‘<’,角色1,角色
    2,序号),即角色1继承了角色2的权限,‘<’符号代表角色间的继承关系;
    所述角色继承策略又分为本域角色继承策略和跨越角色映射策略,本域角色继
    承策略中的角色1和角色2都属于本域,跨越角色映射策略中的角色1属于另
    一个域(即外域),角色2属于本域;所述直接授权策略是指约束角色对资源操
    作权限的访问控制策略,形式化为六元组(策略名,约束,角色,资源,操作
    权限,序号),约束分为允许、拒绝,角色包含管理员角色及系统定义的其他角
    色,资源包含ftp服务器、web服务器、邮件服务器和文件服务器,所述操作
    权限分为读、写、执行及其组合;所述直接授权策略又分为本域直接授权策略
    和跨域直接授权策略,本域直接授权策略中的角色和资源都属于本域,跨域直
    接授权策略中的角色属于本域,而资源属于外域;所述用户指派策略是指将用
    户指派给角色,并拥有角色所有权限的访问控制策略,形式化为五元组(策略
    名,指派,用户,角色,序号);所述策略名是指策略制定者制定策略时为策略
    起的名称,为字符串的形式;所述角色是指可以直接拥有权限的基本单位,分
    为管理员角色或管理员定义的其他角色;所述用户是指资源的使用者;所述指
    派是指角色和用户之间的指派关系,即将角色所具有的权限分配给用户,使用
    户拥有角色所拥有的权限;所述序号是指策略的唯一编号;
    多域策略集成??椋焊莘梦士刂撇呗杂行蚣械姆梦士刂撇呗栽厥粜?br />对访问控制策略预处理??榈玫降姆梦士刂撇呗杂行蚣猩秆?,得到与域间
    互操作有关的访问控制策略,并结合初始策略本体生成两个域的局部本体,将
    所述局部本体通过语义映射,生成访问控制策略元素实例之间的语义映射对,
    根据语义映射对将局部本体转换为全局本体,得到全局访问控制策略,并将全
    局访问控制策略送至策略冲突检测???;所述访问控制策略元素属性是指访问
    控制策略元素是属于本域L(Local)还是属于另外一个域F(Foreign);所述
    L是说明此访问控制策略元素是属于本域的;所述F说明此访问控制策略元素
    是属于另一个域的,本域只是对它进行了引用;所述初始策略本体是协同环境
    中两个域已知的共同本体;所述共同本体即对两个域共享的访问控制策略模型
    的明确的形式化规范说明,只包含访问控制策略元素的概念间关系;所述访问
    控制策略元素包含用户、角色、资源、读、写、执行、允许、拒绝、继承关系、
    指派关系;所述访问控制策略元素指所述访问控制策略元素的抽象描述,将访
    问控制策略元素的概念实例化便形成了访问控制策略元素的实例,即对访问控
    制策略元素的具体描述;所述局部本体指每个域所使用的访问控制策略元素实
    例不同,各个域各自使用的访问控制策略元素实例结合上面所述的共同本体,
    组成了各个域自己的本体,即局部本体,每个域有自己的局部本体;所述全局
    本体是将各个域使用的访问控制策略元素实例统一起来,再结合所述共同本体,
    组成了各个域共有的全局本体;所述全局访问控制策略是指不存在语义异构问
    题的域间角色继承策略;
    策略冲突检测??椋航梦士刂撇呗栽ご淼玫降姆梦士刂撇呗杂行蚣?br />行筛选,并结合多域策略集成??榈玫降娜址梦士刂撇呗?,进行隐含策略分
    析,得到协同环境中隐含的访问控制策略,将访问控制策略有序集、全局访问
    控制策略和隐含的访问控制策略转换为策略图的形式,同时将冲突规则转换为
    冲突图的形式,根据策略图中由节点连接的边与边之间的关系,得到策略图中
    由角色节点出发到资源节点的每条路径,并将所述每条路径与冲突图中的路径
    进行匹配,若匹配成功,则存在冲突,并得到冲突的类型和原因,通过反向策
    略查询,即根据导致冲突的访问控制策略的唯一标识——序号,查找其对应的
    在输入策略文件中的策略名,此策略名即冲突所在的源策略位置,并生成冲突
    分析报告显示给用户;若匹配不成功,则不存在冲突,并显示对话框提示用户;
    所述策略图全称为访问控制策略图,即将访问控制策略中的用户、角色和
    资源作为图的节点,将直接授权策略作为角色和资源之间的边,将角色继承策
    略作为角色和角色之间的边,将用户指派策略作为用户和角色之间的边,由此
    形成的图称之为策略图;所述冲突规则为IF-Then的形式,IF语句为冲突规则
    的前件,描述了策略冲突发生所具备的条件,Then语句为冲突规则的后件,描
    述了冲突的类型;所述冲突图是将发生冲突的访问控制策略中的用户、角色和
    资源作为图的节点,将发生冲突的直接授权策略作为角色和资源之间的边,将
    发生冲突的角色继承策略作为角色和角色之间的边,将发生冲突的用户指派策
    略作为用户和角色之间的边,由此形成的图称之为冲突图。
    2.根据权利要求1所述的协同环境中访问控制策略冲突检测系统,其特
    征在于:所述多域策略集成??槭迪止倘缦拢?br />
    (2.1)根据访问控制策略有序集中的访问控制策略元素的属性是F还是L,
    对访问控制策略有序集进行筛选,即根据访问控制策略有序集中的访问控制策
    略元素属性是F还是L,对访问控制策略有序集中的访问控制策略进行遍历,
    当遍历到的访问控制策略元素属性是F时,说明此访问控制策略元素所在的访
    问控制策略是与域间互操作有关的访问控制策略,将这些策略保存起来,便得
    到与域间互操作有关的访问控制策略;
    (2.2)以包含访问控制策略元素概念及概念间关系的初始策略本体为基
    础,将筛选出的访问控制策略中的策略元素添加到初始策略本体对应的概念下,
    分别形成两个域的局部本体;
    (2.3)对局部本体进行语义映射,生成访问控制策略元素实例之间的语义
    映射对,即根据两个局部本体的本体结构、本体中实例名称和访问控制策略元
    素间关系,分别计算两个局部本体中对应的角色实例间的近似程度值和资源实
    例间的近似程度值,两个近似程度值进行加权求和后得到总的近似程度值,近
    似程度值较大者对应的两个角色即为访问控制策略元素实例之间的语义映射
    对,同时将语义映射对中的两角色作为实例加入初始策略本体中对应的角色概
    念下,得到全局本体;
    (2.4)根据访问控制策略元素实例前的标识序号,搜索全局本体中各概念
    下对应同一序号的实例,将各实例进行组合,形成全局访问控制策略。
    3.根据权利要求1所述的协同环境中访问控制策略冲突检测系统,其特
    征在于:所述策略冲突检测??槭迪止倘缦拢?br />
    (3.1)根据访问控制策略有序集中的访问控制策略元素的属性是‘F
    (Foreign)’还是‘L(Local)’,对访问控制策略有序集进行筛选,去除与域间
    互操作有关的访问控制策略,即属性为‘F(Foreign)’的访问控制策略,得到属
    性为‘L(Local)’的访问控制策略,包含本域直接授权策略、本域角色继承策略
    和用户指派策略;
    (3.2)结合筛选出的本域直接授权策略、本域角色继承策略、用户指派策
    略,以及多域策略集成??榈玫降娜址梦士刂撇呗?,根据本域角色继承策略
    和跨域角色映射策略描述的角色间的权限传递关系,分析角色或用户间接拥有
    的权限,即隐含权限,得到隐含访问控制策略;
    (3.3)将得到的隐含访问控制策略,结合本域直接授权策略、本域角色继
    承策略、用户指派策略以及全局访问控制策略,抽取其中的用户、角色和资源
    作为图的节点,将上述策略作为边,形成策略图;
    (3.4)读取冲突规则,将每条冲突规则,抽取其中的用户、角色和资源作
    为图的节点,将其中的直接授权策略作为角色节点和资源节点之间的边,将其
    中的角色继承策略作为角色节点和角色节点之间的边,将其中的用户指派策略
    作为用户节点和角色节点之间的边,转换为图的形式,形成冲突图,每个冲突
    图中包含一条路径;
    (3.5)根据策略图中由节点连接的边与边之间的关系,得到策略图中由角
    色节点出发到资源节点的每条路径,并将每条路径与各个冲突图中的路径进行
    匹配,若匹配成功,则说明存在冲突,根据匹配成功的冲突图类型,得出策略
    图中发生冲突的冲突类型和冲突原因,若匹配不成功,则直接生成不存在冲突
    的对话框显示给用户;
    (3.6)路径匹配成功后,根据序号反向查找策略图中此路径所在的策略对
    应的在输入策略文件,即XACML描述的A域策略文件和XACML描述的B域
    策略文件中的策略名,此策略名即冲突所在的源策略位置,将得到的冲突所在
    的源策略位置,连同步骤(5)中得出的冲突类型及冲突原因,生成冲突分析报
    告显示给用户。
    4.一种协同环境中访问控制策略冲突检测方法,其特征在于实现步骤如下:
    (4.1)将采用XACML描述的两个域的策略文件,即XACML描述的A域
    策略文件和XACML描述的B域策略文件中的访问控制策略进行语法语义解
    析,在对访问控制策略进行解析的同时为每条访问控制策略加入序号,作为所
    述访问控制策略唯一的标识,解析后形成访问控制策略有序集,将所述访问控
    制策略有序集送至多域策略集成???;所述域为协同环境的基本组成单元,即
    协同环境中自主进行访问控制策略制定及管理的组织;所述访问控制策略是约
    束主体对资源操作权限的规则集;所述主体分为用户和角色;所述资源包含ftp
    服务器、web服务器、邮件服务器和文件服务器;所述操作权限包含读、写、
    执行及其组合;所述访问控制策略有序集包含角色继承策略、直接授权策略和
    用户指派策略;所述角色继承策略是指规定某角色继承另一角色的操作权限的
    访问控制策略,形式化为五元组(策略名,‘<’,角色1,角色2,序号),即
    角色1继承了角色2的权限,‘<’符号代表角色间的继承关系;所述角色继承
    策略又分为本域角色继承策略和跨越角色映射策略,本域角色继承策略中的角
    色1和角色2都属于本域,跨越角色映射策略中的角色1属于另一个域(即外
    域),角色2属于本域;所述直接授权策略是指约束角色对资源操作权限的访问
    控制策略,形式化为六元组(策略名,约束,角色,资源,操作权限,序号),
    约束分为允许、拒绝,角色包含管理员角色及系统定义的其他角色,资源包含
    ftp服务器、web服务器、邮件服务器和文件服务器,所述操作权限分为读、写、
    执行及其组合;所述直接授权策略又分为本域直接授权策略和跨域直接授权策
    略,本域直接授权策略中的角色和资源都属于本域,跨域直接授权策略中的角
    色属于本域,而资源属于外域;所述用户指派策略是指将用户指派给角色,并
    拥有角色所有权限的访问控制策略,形式化为五元组(策略名,指派,用户,
    角色,序号);所述策略名是指策略制定者制定策略时为策略起的名称,为字符
    串的形式;所述角色是指可以直接拥有权限的基本单位,分为管理员角色或管
    理员定义的其他角色;所述用户是指资源的使用者;所述指派是指角色和用户
    之间的指派关系,即将角色所具有的权限分配给用户,使用户拥有角色所拥有
    的权限;所述序号是指策略的唯一编号;
    (4.2)根据访问控制策略有序集中的访问控制策略元素属性对步骤(1)
    得到的访问控制策略有序集进行筛选,得到与域间互操作有关的访问控制策略,
    并结合初始策略本体生成两个域的局部本体,将所述局部本体通过语义映射,
    生成访问控制策略元素实例之间的语义映射对,根据语义映射对将局部本体转
    换为全局本体,得到全局访问控制策略;所述访问控制策略元素属性是指访问
    控制策略元素是属于本域L还是属于另外一个域F;所述L是说明此访问控制
    策略元素是属于本域的;所述F说明此访问控制策略元素是属于另一个域的,
    本域只是对它进行了引用;所述初始策略本体是协同环境中两个域已知的共同
    本体;所述共同本体即对两个域共享的访问控制策略模型的明确的形式化规范
    说明,只包含访问控制策略元素的概念间关系;所述访问控制策略元素包含用
    户、角色、资源、读、写、执行、允许、拒绝、继承关系、指派关系;所述访
    问控制策略元素指所述访问控制策略元素的抽象描述,将访问控制策略元素的
    概念实例化便形成了访问控制策略元素的实例,即对访问控制策略元素的具体
    描述;所述局部本体指每个域所使用的访问控制策略元素实例不同,各个域各
    自使用的访问控制策略元素实例结合上面所述的共同本体,组成了各个域自己
    的本体,即局部本体,每个域有自己的局部本体;所述全局本体是将各个域使
    用的访问控制策略元素实例统一起来,再结合所述共同本体,组成了各个域共
    有的全局本体;所述全局访问控制策略是指不存在语义异构问题的域间角色继
    承策略;
    (4.3)将步骤(1)得到的访问控制策略有序集进行筛选,并结合步骤(2)
    得到的全局访问控制策略,进行隐含策略分析,得到协同环境中隐含的访问控
    制策略,将访问控制策略有序集、全局访问控制策略和隐含的访问控制策略转
    换为策略图的形式,同时将冲突规则转换为冲突图的形式,根据策略图中由节
    点连接的边与边之间的关系,得到策略图中由角色节点出发到资源节点的每条
    路径,并将所述每条路径与冲突图中的路径进行匹配,若匹配成功,则存在冲
    突,并得到冲突的类型和原因,通过反向策略查询,即根据导致冲突的访问控
    制策略的唯一标识-序号,查找其对应的在输入策略文件中的策略名,此策略
    名即冲突所在的源策略位置,并生成冲突分析报告显示给用户;若匹配不成功,
    则不存在冲突,并显示对话框提示用户;
    所述策略图全称为访问控制策略图,即将访问控制策略中的用户、角色和
    资源作为图的节点,将直接授权策略作为角色和资源之间的边,将角色继承策
    略作为角色和角色之间的边,将用户指派策略作为用户和角色之间的边,由此
    形成的图称之为策略图;所述冲突规则为IF-Then的形式,IF语句为冲突规则
    的前件,描述了策略冲突发生所具备的条件,Then语句为冲突规则的后件,描
    述了冲突的类型;所述冲突图是将发生冲突的访问控制策略中的用户、角色和
    资源作为图的节点,将发生冲突的直接授权策略作为角色和资源之间的边,将
    发生冲突的角色继承策略作为角色和角色之间的边,将发生冲突的用户指派策
    略作为用户和角色之间的边,由此形成的图称之为冲突图。

    说明书

    协同环境中访问控制策略冲突检测系统及方法

    技术领域

    本发明涉及一种协同环境中访问控制策略冲突检测系统及方法,属于计算
    机网络安全领域。

    背景技术

    在大多数实际的协同环境中,无论开发者还是管理者都不想完全摈弃已有
    的权限管理和访问控制体系,希望在授权开放性和系统改造代价间保持平衡和
    兼顾?;诮巧成涞挠蚣浠ゲ僮髂芄挥行У谋苊庑薷拇罅康姆梦士刂撇呗源?br />来的维护成本,增强跨域组织间以资源共享方式进行合作的方便性,减少跨域
    环境下授权体系异构和用户激增带来的管理风险,因此基于角色映射的域间互
    操作逐渐成为协同环境领域中具有代表性的研究领域,也是本发明的研究背景。

    然而一方面,随着信息和数据访问需求的增加,人们对数据的安全和私有
    性越来越关注,因此在基于角色映射的域间互操作协同环境中,各域管理员制
    定的访问控制策略尤其重要,若出现问题将直接导致自治域资源的未授权访问。
    另一方面,不同的自治域可能使用不同的语义来描述各自的访问控制策略,而
    且目前各自治域间进行互操作而映射的角色仍然可能会存在对角色的授权比角
    色需要的权限多了或少了,这是不能完全避免的,实际授予角色的权限与角色
    所需求权限的不一致将会导致各自治域访问控制策略冲突问题的产生,最终导
    致对自治域资源的未授权访问。而目前大多数关于策略冲突的研究并没有考虑
    不同域制定的访问控制策略语义异构问题,不能够有效的检测冲突,这样用户
    实现不了对冲突的消解,使得未授权访问等安全问题容易的发生,导致计算机
    网络系统安全性降低。

    发明内容

    本发明的技术解决问题:克服现有技术的不足,提供一种协同环境中访问
    控制策略冲突检测系统及方法,能够更有效的检测冲突,防止未授权访问等安
    全问题容易的发生,大大提高了计算机网络系统安全性。

    本发明的技术解决方案:一种协同环境中访问控制策略冲突检测系统,其
    特征在于包括:访问控制策略预处理???、多域策略集成??楹筒呗猿逋患觳?br />???,其中:

    访问控制策略预处理??椋航捎肵ACML描述的两个域的策略文件,即
    XACML描述的A域策略文件和XACML描述的B域策略文件中的访问控制策
    略进行语法语义解析,在对访问控制策略进行解析的同时为每条访问控制策略
    加入序号,作为所述访问控制策略唯一的标识,解析后形成访问控制策略有序
    集,将所述访问控制策略有序集送至多域策略集成???;所述域为协同环境的
    基本组成单元,即协同环境中自主进行访问控制策略制定及管理的组织;所述
    访问控制策略是约束主体对资源操作权限的规则集;所述主体分为用户和角色;
    所述资源包含ftp服务器、web服务器、邮件服务器和文件服务器;所述操作
    权限包含读、写、执行及其组合;所述访问控制策略有序集包含角色继承策略、
    直接授权策略和用户指派策略;所述角色继承策略是指规定某角色继承另一角
    色的操作权限的访问控制策略,形式化为五元组(策略名,‘<’,角色1,角色
    2,序号),即角色1继承了角色2的权限,‘<’符号代表角色间的继承关系;
    所述角色继承策略又分为本域角色继承策略和跨越角色映射策略,本域角色继
    承策略中的角色1和角色2都属于本域,跨越角色映射策略中的角色1属于另
    一个域(即外域),角色2属于本域;所述直接授权策略是指约束角色对资源操
    作权限的访问控制策略,形式化为六元组(策略名,约束,角色,资源,操作
    权限,序号),约束分为允许、拒绝,角色包含管理员角色及系统定义的其他角
    色,资源包含ftp服务器、web服务器、邮件服务器和文件服务器,所述操作
    权限分为读、写、执行及其组合;所述直接授权策略又分为本域直接授权策略
    和跨域直接授权策略,本域直接授权策略中的角色和资源都属于本域,跨域直
    接授权策略中的角色属于本域,而资源属于外域;所述用户指派策略是指将用
    户指派给角色,并拥有角色所有权限的访问控制策略,形式化为五元组(策略
    名,指派,用户,角色,序号);所述策略名是指策略制定者制定策略时为策略
    起的名称,为字符串的形式;所述角色是指可以直接拥有权限的基本单位,分
    为管理员角色或管理员定义的其他角色;所述用户是指资源的使用者;所述指
    派是指角色和用户之间的指派关系,即将角色所具有的权限分配给用户,使用
    户拥有角色所拥有的权限;所述序号是指策略的唯一编号;

    多域策略集成??椋焊莘梦士刂撇呗杂行蚣械姆梦士刂撇呗栽厥粜?br />对访问控制策略预处理??榈玫降姆梦士刂撇呗杂行蚣猩秆?,得到与域间
    互操作有关的访问控制策略,并结合初始策略本体生成两个域的局部本体,将
    所述局部本体通过语义映射,生成访问控制策略元素实例之间的语义映射对,
    根据语义映射对将局部本体转换为全局本体,得到全局访问控制策略,并将全
    局访问控制策略送至策略冲突检测???;所述访问控制策略元素属性是指访问
    控制策略元素是属于本域L还是属于另外一个域F;所述L是说明此访问控制
    策略元素是属于本域的;所述F说明此访问控制策略元素是属于另一个域的,
    本域只是对它进行了引用;所述初始策略本体是协同环境中两个域已知的共同
    本体;所述共同本体即对两个域共享的访问控制策略模型的明确的形式化规范
    说明,只包含访问控制策略元素的概念间关系;所述访问控制策略元素包含用
    户、角色、资源、读、写、执行、允许、拒绝、继承关系、指派关系;所述访
    问控制策略元素指所述访问控制策略元素的抽象描述,将访问控制策略元素的
    概念实例化便形成了访问控制策略元素的实例,即对访问控制策略元素的具体
    描述;所述局部本体指每个域所使用的访问控制策略元素实例不同,各个域各
    自使用的访问控制策略元素实例结合上面所述的共同本体,组成了各个域自己
    的本体,即局部本体,每个域有自己的局部本体;所述全局本体是将各个域使
    用的访问控制策略元素实例统一起来,再结合所述共同本体,组成了各个域共
    有的全局本体;所述全局访问控制策略是指不存在语义异构问题的域间角色继
    承策略;

    策略冲突检测??椋航梦士刂撇呗栽ご淼玫降姆梦士刂撇呗杂行蚣?br />行筛选,并结合多域策略集成??榈玫降娜址梦士刂撇呗?,进行隐含策略分
    析,得到协同环境中隐含的访问控制策略,将访问控制策略有序集、全局访问
    控制策略和隐含的访问控制策略转换为策略图的形式,同时将冲突规则转换为
    冲突图的形式,根据策略图中由节点连接的边与边之间的关系,得到策略图中
    由角色节点出发到资源节点的每条路径,并将所述每条路径与冲突图中的路径
    进行匹配,若匹配成功,则存在冲突,并得到冲突的类型和原因,通过反向策
    略查询,即根据导致冲突的访问控制策略的唯一标识-序号,查找其对应的在
    输入策略文件中的策略名,此策略名即冲突所在的源策略位置,并生成冲突分
    析报告显示给用户;若匹配不成功,则不存在冲突,并显示对话框提示用户;

    所述策略图全称为访问控制策略图,即将访问控制策略中的用户、角色和
    资源作为图的节点,将直接授权策略作为角色和资源之间的边,将角色继承策
    略作为角色和角色之间的边,将用户指派策略作为用户和角色之间的边,由此
    形成的图称之为策略图;所述冲突规则为IF-Then的形式,IF语句为冲突规则
    的前件,描述了策略冲突发生所具备的条件,Then语句为冲突规则的后件,描
    述了冲突的类型;所述冲突图是将发生冲突的访问控制策略中的用户、角色和
    资源作为图的节点,将发生冲突的直接授权策略作为角色和资源之间的边,将
    发生冲突的角色继承策略作为角色和角色之间的边,将发生冲突的用户指派策
    略作为用户和角色之间的边,由此形成的图称之为冲突图。

    所述多域策略集成??槭迪止倘缦拢?br />

    (1)根据访问控制策略有序集中的访问控制策略元素的属性是F还是L,
    对访问控制策略有序集进行筛选,即根据访问控制策略有序集中的访问控制策
    略元素属性是F还是L,对访问控制策略有序集中的访问控制策略进行遍历,
    当遍历到的访问控制策略元素属性是F时,说明此访问控制策略元素所在的访
    问控制策略是与域间互操作有关的访问控制策略,将这些策略保存起来,便得
    到与域间互操作有关的访问控制策略;

    (2)以包含访问控制策略元素概念及概念间关系的初始策略本体为基础,
    将筛选出的访问控制策略中的策略元素添加到初始策略本体对应的概念下,分
    别形成两个域的局部本体;

    (3)对局部本体进行语义映射,生成访问控制策略元素实例之间的语义映
    射对,即根据两个局部本体的本体结构、本体中实例名称和访问控制策略元素
    间关系,分别计算两个局部本体中对应的角色实例间的近似程度值和资源实例
    间的近似程度值,两个近似程度值进行加权求和后得到总的近似程度值,近似
    程度值较大者对应的两个角色即为访问控制策略元素实例之间的语义映射对,
    同时将语义映射对中的两角色作为实例加入初始策略本体中对应的角色概念
    下,得到全局本体;

    (4)根据访问控制策略元素实例前的标识序号,搜索全局本体中各概念下
    对应同一序号的实例,将各实例进行组合,形成全局访问控制策略。

    所述策略冲突检测??槭迪止倘缦拢?br />

    (1)根据访问控制策略有序集中的访问控制策略元素的属性是‘F
    (Foreign)’还是‘L(Local)’,对访问控制策略有序集进行筛选,去除与域间
    互操作有关的访问控制策略,即属性为‘F(Foreign)’的访问控制策略,得到属
    性为‘L(Local)’的访问控制策略,包含本域直接授权策略、本域角色继承策略
    和用户指派策略;

    (2)结合筛选出的本域直接授权策略、本域角色继承策略、用户指派策略,
    以及多域策略集成??榈玫降娜址梦士刂撇呗?,根据本域角色继承策略和跨
    域角色映射策略描述的角色间的权限传递关系,分析角色或用户间接拥有的权
    限,即隐含权限,得到隐含访问控制策略;

    (3)将得到的隐含访问控制策略,结合本域直接授权策略、本域角色继承
    策略、用户指派策略以及全局访问控制策略,抽取其中的角色和资源作为图的
    节点,将上述策略作为边,形成策略图;

    (4)读取冲突规则,将每条冲突规则,抽取其中的用户、角色和资源作为
    图的节点,将其中的直接授权策略作为角色节点和资源节点之间的边,将其中
    的角色继承策略作为角色节点和角色节点之间的边,将其中的用户指派策略作
    为用户节点和角色节点之间的边,转换为图的形式,形成冲突图,每个冲突图
    中包含一条路径;

    (5)根据策略图中由节点连接的边与边之间的关系,得到策略图中由角色
    节点出发到资源节点的每条路径,并将每条路径与各个冲突图中的路径进行匹
    配,若匹配成功,则说明存在冲突,根据匹配成功的冲突图类型,得出策略图
    中发生冲突的冲突类型和冲突原因,若匹配不成功,则直接生成不存在冲突的
    对话框显示给用户;

    (6)路径匹配成功后,根据序号反向查找策略图中此路径所在的策略对应
    的在输入策略文件,即XACML描述的A域策略文件和XACML描述的B域策
    略文件中的策略名,此策略名即冲突所在的源策略位置,将得到的冲突所在的
    源策略位置,连同步骤(5)中得出的冲突类型及冲突原因,生成冲突分析报告
    显示给用户。

    协同环境中访问控制策略冲突检测方法实现步骤如下:

    (1)将采用XACML描述的两个域的策略文件,即XACML描述的A域
    策略文件和XACML描述的B域策略文件中的访问控制策略进行语法语义解
    析,在对访问控制策略进行解析的同时为每条访问控制策略加入序号,作为所
    述访问控制策略唯一的标识,解析后形成访问控制策略有序集,将所述访问控
    制策略有序集送至多域策略集成???;所述域为协同环境的基本组成单元,即
    协同环境中自主进行访问控制策略制定及管理的组织;所述访问控制策略是约
    束主体对资源操作权限的规则集;所述主体分为用户和角色;所述资源包含ftp
    服务器、web服务器、邮件服务器和文件服务器;所述操作权限包含读、写、
    执行及其组合;所述访问控制策略有序集包含角色继承策略、直接授权策略和
    用户指派策略;所述角色继承策略是指规定某角色继承另一角色的操作权限的
    访问控制策略,形式化为五元组(策略名,‘<’,角色1,角色2,序号),即角
    色1继承了角色2的权限,‘<’符号代表角色间的继承关系;所述角色继承策
    略又分为本域角色继承策略和跨越角色映射策略,本域角色继承策略中的角色
    1和角色2都属于本域,跨越角色映射策略中的角色1属于另一个域(即外域),
    角色2属于本域;所述直接授权策略是指约束角色对资源操作权限的访问控制
    策略,形式化为六元组(策略名,约束,角色,资源,操作权限,序号),约束
    分为允许、拒绝,角色包含管理员角色及系统定义的其他角色,资源包含ftp
    服务器、web服务器、邮件服务器和文件服务器,所述操作权限分为读、写、
    执行及其组合;所述直接授权策略又分为本域直接授权策略和跨域直接授权策
    略,本域直接授权策略中的角色和资源都属于本域,跨域直接授权策略中的角
    色属于本域,而资源属于外域;所述用户指派策略是指将用户指派给角色,并
    拥有角色所有权限的访问控制策略,形式化为五元组(策略名,指派,用户,
    角色,序号);所述策略名是指策略制定者制定策略时为策略起的名称,为字符
    串的形式;所述角色是指可以直接拥有权限的基本单位,分为管理员角色或管
    理员定义的其他角色;所述用户是指资源的使用者;所述指派是指角色和用户
    之间的指派关系,即将角色所具有的权限分配给用户,使用户拥有角色所拥有
    的权限;所述序号是指策略的唯一编号;

    (2)根据访问控制策略有序集中的访问控制策略元素属性对步骤(1)得
    到的访问控制策略有序集进行筛选,得到与域间互操作有关的访问控制策略,
    并结合初始策略本体生成两个域的局部本体,将所述局部本体通过语义映射,
    生成访问控制策略元素实例之间的语义映射对,根据语义映射对将局部本体转
    换为全局本体,得到全局访问控制策略;所述访问控制策略元素属性是指访问
    控制策略元素是属于本域L还是属于另外一个域F;所述L是说明此访问控制
    策略元素是属于本域的;所述F说明此访问控制策略元素是属于另一个域的,
    本域只是对它进行了引用;所述初始策略本体是协同环境中两个域已知的共同
    本体;所述共同本体即对两个域共享的访问控制策略模型的明确的形式化规范
    说明,只包含访问控制策略元素的概念间关系;所述访问控制策略元素包含用
    户、角色、资源、读、写、执行、允许、拒绝、继承关系、指派关系;所述访
    问控制策略元素指所述访问控制策略元素的抽象描述,将访问控制策略元素的
    概念实例化便形成了访问控制策略元素的实例,即对访问控制策略元素的具体
    描述;所述局部本体指每个域所使用的访问控制策略元素实例不同,各个域各
    自使用的访问控制策略元素实例结合上面所述的共同本体,组成了各个域自己
    的本体,即局部本体,每个域有自己的局部本体;所述全局本体是将各个域使
    用的访问控制策略元素实例统一起来,再结合所述共同本体,组成了各个域共
    有的全局本体;所述全局访问控制策略是指不存在语义异构问题的域间角色继
    承策略;

    (3)将步骤(1)得到的访问控制策略有序集进行筛选,并结合步骤(2)
    得到的全局访问控制策略,进行隐含策略分析,得到协同环境中隐含的访问控
    制策略,将访问控制策略有序集、全局访问控制策略和隐含的访问控制策略转
    换为策略图的形式,同时将冲突规则转换为冲突图的形式,根据策略图中由节
    点连接的边与边之间的关系,得到策略图中由角色节点出发到资源节点的每条
    路径,并将所述每条路径与冲突图中的路径进行匹配,若匹配成功,则存在冲
    突,并得到冲突的类型和原因,通过反向策略查询,即根据导致冲突的访问控
    制策略的唯一标识-序号,查找其对应的在输入策略文件中的策略名,此策略
    名即冲突所在的源策略位置,并生成冲突分析报告显示给用户;若匹配不成功,
    则不存在冲突,并显示对话框提示用户;

    所述策略图全称为访问控制策略图,即将访问控制策略中的用户、角色和
    资源作为图的节点,将直接授权策略作为角色和资源之间的边,将角色继承策
    略作为角色和角色之间的边,将用户指派策略作为用户和角色之间的边,由此
    形成的图称之为策略图;所述冲突规则为IF-Then的形式,IF语句为冲突规则
    的前件,描述了策略冲突发生所具备的条件,Then语句为冲突规则的后件,描
    述了冲突的类型;所述冲突图是将发生冲突的访问控制策略中的用户、角色和
    资源作为图的节点,将发生冲突的直接授权策略作为角色和资源之间的边,将
    发生冲突的角色继承策略作为角色和角色之间的边,将发生冲突的用户指派策
    略作为用户和角色之间的边,由此形成的图称之为冲突图。

    本发明与现有技术相比的优点在于:

    (1)本发明通过访问控制策略预处理???、多域策略集成??楹筒呗猿逋?br />检测??橹涞南嗷プ饔?,使得能够更有效地实现检测冲突,防止未授权访问
    等安全问题容易的发生,大大提高了计算机网络系统安全性。

    (2)本发明采用了多域策略集成技术,考虑到协同环境中的访问控制策略
    语义异构问题,而现有的语义集成方法只考虑了本体结构、实例名称两个因素,
    本发明除了采用这两个因素外,还采用了访问控制策略元素间关系因素,使得
    在异构的策略元素间进行语义映射时,其检测准确度更高。

    (3)本发明采用了策略冲突检测技术方案,不仅能够检测出冲突,更能够
    准确的定位到冲突所在的策略位置,并提供冲突原因等信息,方便用户采取措
    施进行冲突消解,而现有的访问控制策略冲突检测技术,大部分并不适用于基
    于角色映射的域间互操作协同环境,而且在冲突检测方面提供的信息有限,只
    能检测出是否存在冲突,并未提供具体的冲突报告,不利于用户对检测出的冲
    突采取进一步应对措施。

    附图说明

    图1为本发明的系统结构图;

    图2为本发明中访问控制策略预处理??槭迪止?;

    图3为本发明中策略集成??槭迪止?;

    图4为本发明中初始策略本体的UML图;

    图5为本发明中策略冲突检测??槭迪止?;

    图6为本发明中协同环境中访问控制策略的划分。

    具体实施方式

    如图1所示,本发明协同环境中访问控制策略冲突检测系统由访问控制策
    略预处理???、多域策略集成??楹筒呗猿逋患觳饽?楣钩?。

    整个实现过程如下:

    访问控制策略预处理??椋航捎肵ACML描述的两个域的策略文件,即
    XACML描述的A域策略文件和XACML描述的B域策略文件中的访问控制策
    略进行语法语义解析,在对访问控制策略进行解析的同时为每条访问控制策略
    加入序号,作为所述访问控制策略唯一的标识,解析后形成访问控制策略有序
    集,将所述访问控制策略有序集送至多域策略集成???;所述域为协同环境的
    基本组成单元,即协同环境中自主进行访问控制策略制定及管理的组织;所述
    访问控制策略是约束主体对资源操作权限的规则集;所述主体分为用户和角色;
    所述资源包含ftp服务器、web服务器、邮件服务器和文件服务器;所述操作
    权限包含读、写、执行及其组合;所述访问控制策略有序集包含角色继承策略、
    直接授权策略和用户指派策略;所述角色继承策略是指规定某角色继承另一角
    色的操作权限的访问控制策略,形式化为五元组(策略名,‘<’,角色1,角色
    2,序号),即角色1继承了角色2的权限,‘<’符号代表角色间的继承关系;
    所述角色继承策略又分为本域角色继承策略和跨越角色映射策略,本域角色继
    承策略中的角色1和角色2都属于本域,跨越角色映射策略中的角色1属于另
    一个域(即外域),角色2属于本域;所述直接授权策略是指约束角色对资源操
    作权限的访问控制策略,形式化为六元组(策略名,约束,角色,资源,操作
    权限,序号),约束分为允许、拒绝,角色包含管理员角色及系统定义的其他角
    色,资源包含ftp服务器、web服务器、邮件服务器和文件服务器,所述操作
    权限分为读、写、执行及其组合;所述直接授权策略又分为本域直接授权策略
    和跨域直接授权策略,本域直接授权策略中的角色和资源都属于本域,跨域直
    接授权策略中的角色属于本域,而资源属于外域;所述用户指派策略是指将用
    户指派给角色,并拥有角色所有权限的访问控制策略,形式化为五元组(策略
    名,指派,用户,角色,序号);所述策略名是指策略制定者制定策略时为策略
    起的名称,为字符串的形式;所述角色是指可以直接拥有权限的基本单位,分
    为管理员角色或管理员定义的其他角色;所述用户是指资源的使用者;所述指
    派是指角色和用户之间的指派关系,即将角色所具有的权限分配给用户,使用
    户拥有角色所拥有的权限;所述序号是指策略的唯一编号;

    多域策略集成??椋焊莘梦士刂撇呗杂行蚣械姆梦士刂撇呗栽厥粜?br />对访问控制策略预处理??榈玫降姆梦士刂撇呗杂行蚣猩秆?,得到与域间
    互操作有关的访问控制策略,并结合初始策略本体生成两个域的局部本体,将
    所述局部本体通过语义映射,生成访问控制策略元素实例之间的语义映射对,
    根据语义映射对将局部本体转换为全局本体,得到全局访问控制策略,并将全
    局访问控制策略送至策略冲突检测???;所述访问控制策略元素属性是指访问
    控制策略元素是属于本域L还是属于另外一个域F;所述L是说明此访问控制
    策略元素是属于本域的;所述F说明此访问控制策略元素是属于另一个域的,
    本域只是对它进行了引用;所述初始策略本体是协同环境中两个域已知的共同
    本体;所述共同本体即对两个域共享的访问控制策略模型的明确的形式化规范
    说明,只包含访问控制策略元素的概念间关系;所述访问控制策略元素包含用
    户、角色、资源、读、写、执行、允许、拒绝、继承关系、指派关系;所述访
    问控制策略元素指所述访问控制策略元素的抽象描述,将访问控制策略元素的
    概念实例化便形成了访问控制策略元素的实例,即对访问控制策略元素的具体
    描述;所述局部本体指每个域所使用的访问控制策略元素实例不同,各个域各
    自使用的访问控制策略元素实例结合上面所述的共同本体,组成了各个域自己
    的本体,即局部本体,每个域有自己的局部本体;所述全局本体是将各个域使
    用的访问控制策略元素实例统一起来,再结合所述共同本体,组成了各个域共
    有的全局本体;所述全局访问控制策略是指不存在语义异构问题的域间角色继
    承策略;

    策略冲突检测??椋航梦士刂撇呗栽ご淼玫降姆梦士刂撇呗杂行蚣?br />行筛选,并结合多域策略集成??榈玫降娜址梦士刂撇呗?,进行隐含策略分
    析,得到协同环境中隐含的访问控制策略,将访问控制策略有序集、全局访问
    控制策略和隐含的访问控制策略转换为策略图的形式,同时将冲突规则转换为
    冲突图的形式,根据策略图中由节点连接的边与边之间的关系,得到策略图中
    由角色节点出发到资源节点的每条路径,并将所述每条路径与冲突图中的路径
    进行匹配,若匹配成功,则存在冲突,并得到冲突的类型和原因,通过反向策
    略查询,即根据导致冲突的访问控制策略的唯一标识-序号,查找其对应的在
    输入策略文件中的策略名,此策略名即冲突所在的源策略位置,并生成冲突分
    析报告显示给用户;若匹配不成功,则不存在冲突,并显示对话框提示用户;

    所述策略图全称为访问控制策略图,即将访问控制策略中的用户、角色和
    资源作为图的节点,将直接授权策略作为角色和资源之间的边,将角色继承策
    略作为角色和角色之间的边,将用户指派策略作为用户和角色之间的边,由此
    形成的图称之为策略图;所述冲突规则为IF-Then的形式,IF语句为冲突规则
    的前件,描述了策略冲突发生所具备的条件,Then语句为冲突规则的后件,描
    述了冲突的类型;所述冲突图是将发生冲突的访问控制策略中的用户、角色和
    资源作为图的节点,将发生冲突的直接授权策略作为角色和资源之间的边,将
    发生冲突的角色继承策略作为角色和角色之间的边,将发生冲突的用户指派策
    略作为用户和角色之间的边,由此形成的图称之为冲突图;

    下面进一步说明上述各??榈木咛迨迪止倘缦拢?br />

    1.访问控制策略预处理???br />

    访问控制策略预处理??榈氖迪止倘缤?所示。

    (1)读取XACML描述的A域策略文件和XACML描述的B域策略文件。

    (2)对XACML描述的A域策略文件和XACML描述的B域策略文件中
    的访问控制策略进行语法语义解析,解析的同时为每条访问控制策略加入序号,
    作为所述访问控制策略唯一的标识,解析后形成访问控制策略有序集。

    a)解析访问控制策略中的直接授权策略。抽取每条直接授权策略中的策略
    名、约束、角色、资源和权限,并在其后加入序号作为唯一标识,形成直接授
    权策略六元组(策略名,约束,角色,资源,操作权限,序号)。

    b)解析访问控制策略中的角色继承策略。抽取每条角色继承策略中的策略
    名、继承关系、继承角色、被继承角色,并在其后加入序号作为唯一标识,形
    成角色继承策略五元组(策略名,‘<’,角色1,角色2,序号)。

    c)解析访问控制策略中的用户指派策略。抽取每条用户指派策略中的策略
    名、指派关系、用户、角色,并在其后加入序号作为唯一标识,形成用户指派
    策略五元组(策略名,指派,用户,角色,序号)。

    d)将解析后形成的直接授权策略六元组、角色继承策略五元组和用户指派
    策略五元组存储在一个文件中,形成访问控制策略有序集。

    2、多域策略集成???br />

    多域策略集成??榈氖迪止倘缤?所示。

    (1)多域集成策略筛选

    根据访问控制策略有序集中的访问控制策略元素的属性是F还是L,对上
    一??榈玫降姆梦士刂撇呗杂行蚣猩秆〉墓?,即为多域集成策略筛选,
    即根据访问控制策略有序集中的访问控制策略元素属性是F还是L,对访问控
    制策略有序集中的访问控制策略进行遍历,当遍历到的访问控制策略元素属性
    是F时,说明此访问控制策略元素所在的访问控制策略是与域间互操作有关的
    访问控制策略,与域间互操作有关的访问控制策略具体包含跨域直接授权策略
    和跨域角色映射策略,即当遍历到的访问控制策略是具有F属性的直接授权策
    略时,此直接授权策略即为跨域直接授权策略,跨域直接授权策略属于直接授
    权策略的一种,也是六元组的形式:(策略名,约束,角色,资源,权限,序号);
    当遍历到的访问控制策略是具有F属性的角色继承策略时,此角色继承策略即
    为跨域角色映射策略,跨域角色映射策略属于角色继承策略的一种,也为五元
    组的形式:(策略名,‘<’,继承角色,被继承角色,序号),将这些策略保存起
    来,便得到与域间互操作有关的访问控制策略;

    (2)局部本体自动生成

    以包含访问控制策略元素概念及概念间关系的初始策略本体为基础,将与
    域间互操作有关的访问控制策略,即两个域各自的跨域直接授权策略和跨域角
    色映射策略中的策略元素作为初始策略本体中概念的实例,加入到初始策略本
    体对应的概念下,并添加相应的instance-of关系,分别形成两个域各自的局部
    本体,也即本地本体。图4为初始策略本体的UML图。

    (3)对局部本体进行语义映射,生成访问控制策略元素实例之间的语义映
    射对语义映射为本算法中的关键步骤,为了叙述方便,分别令上述步骤得到的
    两个局部本体为局部本体A和局部本体B,对应域A和域B,具体步骤如下:

    a)根据两个局部本体的结构,分别检索到“角色”概念下对应的角色实例。

    b)在角色实例中,检索出局部本体A中的一个继承角色(因是在跨域角
    色映射策略中,所以此处的继承角色即A域的外域角色);同时,在局部本体B
    的角色实例中,检索出其本域角色集合(即域B的跨域直接授权策略中的角色
    和跨域角色映射策略中的被继承角色),称为角色集合S2。

    c)比较局部本地A中的继承角色对应的被继承角色所在的本域直接授权
    策略与局部本体B的S2中角色所在的跨域直接授权策略的一致性,包括策略
    条数的一致性、策略中约束元素和权限元素及其关系的一致性,若有不一致,
    则排除此角色。

    d)将剩余的角色,比较其各自所在策略中资源元素的近似程度值α以及角
    色之间的近似程度值β。

    e)两个因素的近似程度值加权求和α×weightα+β×weightβ,得出总的近似程
    度值,S2中对应值最大的角色即为步骤b)中局部本体A中检索出的此角色的
    语义等价角色,两个角色形成语义映射对。

    f)依次对本体A中的每个继承角色进行b)-e)的过程,得出其余的语义映
    射对。

    (4)全局本体生成

    根据语义映射后得到的策略元素实例的语义映射对(实际为角色实例的语
    义映射对),将语义映射对中两角色作为实例加入初始策略本体中对应的角色概
    念下,生成两域共同的全局本体。

    (5)全局访问控制策略转换,形成全局访问控制策略

    根据访问控制策略元素实例前的标识序号,搜索全局本体中各概念下对应
    同一序号的实例,将各实例进行组合,形成全局访问控制策略,此全局访问控
    制策略元组中的序号为生成全局访问控制策略所用到的访问控制策略的序号集
    合。

    3、策略冲突检测???br />

    策略冲突检测??榈氖迪止倘缤?所示。

    (1)无关策略去除

    根据访问控制策略有序集中的访问控制策略元素的属性是‘F(Foreign)’
    还是‘L(Local)’,对访问控制策略有序集进行筛选,去除与域间互操作有关的
    访问控制策略,即属性为‘F(Foreign)’的访问控制策略,得到属性为‘L(Local)’
    的访问控制策略,包含本域直接授权策略、本域角色继承策略和用户指派策略。

    (2)隐含策略分析

    结合筛选出的本域直接授权策略、本域角色继承策略、用户指派策略,以
    及多域策略集成??榈玫降娜址梦士刂撇呗?,根据本域角色继承策略和跨域
    角色映射策略描述的角色间的权限传递关系,分析角色或用户间接拥有的权限,
    即隐含权限,包含用户对资源的隐含权限和角色对资源的隐含权限,生成隐含
    的访问控制策略,同时将得出隐含访问控制策略所用的本域直接授权策略、本
    域角色继承策略、用户指派策略的序号集合作为隐含访问控制策略的序号。

    (3)策略图及冲突图转换

    将得到的隐含访问控制策略,结合本域直接授权策略、本域角色继承策略、
    用户指派策略以及全局访问控制策略,抽取其中的用户、角色和资源作为图的
    节点,将上述策略作为边,形成策略图;读取冲突规则,将每条冲突规则,抽
    取其中的用户、角色和资源作为图的节点,将其中的直接授权策略作为角色节
    点和资源节点之间的边,将其中的角色继承策略作为角色节点和角色节点之间
    的边,将其中的用户指派策略作为用户节点和角色节点之间的边,转换为图的
    形式,形成冲突图,每个冲突图中包含一条路径;

    对策略图和冲突图的节点、边规定如下:

    图中的节点分为了三类:用户、角色、资源,用二元组<type,value>表示,
    type有U、R、S,分别表示用户、角色、资源,value表示具体的用户名、角
    色名或资源名。图中的边分为三类:描述用户指派给角色的用户指派策略形成
    的边(用类型A表示),描述角色间权限传递的角色继承策略形成的边(用类
    型T表示),描述角色访问资源的直接授权策略形成的边(用类型V表示),用
    六元组表示边:<type,value,value,constraint,privilege,location>,类型(type)
    有A、T、V三类,两个value为边所连接的两个节点的value值,约束constraint
    为允许p(permit)、拒绝d(deny),权限privilege为读r(read)、写w(write)、
    执行e(execute),当类型为A、T时,这constraint字段和privilege字段为
    空,只有当类型为V时,这两个字段才有值。

    (4)路径搜索与匹配,检测是否存在冲突、冲突类型和原因

    根据策略图中由节点连接的边与边之间的关系,得到策略图中由角色节点
    出发到资源节点的每条路径,并将每条路径与各个冲突图中的路径进行匹配,
    若匹配成功,则说明存在冲突,根据匹配成功的冲突图类型,得出策略图中发
    生冲突的冲突类型和冲突原因,若匹配不成功,则直接生成不存在冲突的对话
    框显示给用户;

    (5)反向策略查找,查找冲突所在的源策略位置

    路径匹配成功后,根据上一步骤与冲突图匹配成功的策略图中的路径,根
    据路径中访问控制策略所应对的序号,反向查找策略图中此路径所在的策略对
    应的在输入策略文件,即XACML描述的A域策略文件和XACML描述的B域
    策略文件中的策略名,此策略名即冲突所在的源策略位置。

    (6)生成冲突分析报告

    将步骤(4)(5)中得出的是否存在冲突、冲突类型、冲突原因、冲突所
    在的源策略位置生成冲突分析报告,以报告的形式显示给用户。

    本发明未详细阐述部分属于本领域公知技术。

    以上所述是本发明的优选实施方式而已,当然不能以此来限定本发明之权
    利范围,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原
    理的前提下,还可以做出若干改进和变动,这些改进和变动也视为本发明的保
    护范围。

    关于本文
    本文标题:协同环境中访问控制策略冲突检测系统及方法.pdf
    链接地址://www.4mum.com.cn/p-5817611.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    [email protected] 2017-2018 www.4mum.com.cn网站版权所有
    经营许可证编号:粤ICP备17046363号-1 
     


    收起
    展开
  • 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
  • 天津十一选五和值走势图 西安福彩中心网址 新金沙棋牌游戏官网 海南环岛赛车福彩规则 七乐彩规则及玩法奖金 北京中彩快印连锁 谁有易发棋牌下载地址 怎样才能中大奖呢 体彩浙江11选5走势图基本走势 北京快乐8稳赚技巧 上海时时乐开奖走势及时更新 安徽体彩新11选5开奖结果 股票涨跌测试器 河南十一选五前一秘籍 325棋牌游戏平台 江西多乐彩今日开奖结果查询