專利名稱:基于映射非傳遞性的多域間rbac策略沖突解決方法
技術(shù)領(lǐng)域:
本發(fā)明是一種網(wǎng)絡(luò)訪問(wèn)控制領(lǐng)域的策略沖突解決方法,具體地說(shuō),是一種基于映射非傳遞性的多域間RBAC策略沖突解決方法。
背景技術(shù):
隨著互聯(lián)網(wǎng)和社會(huì)的發(fā)展,分布式系統(tǒng)間信息與資源共享的需求越來(lái)越緊迫和頻繁,如何整合各個(gè)獨(dú)立域的策略,從而提供并保證一套安全的多域間互操作機(jī)制至關(guān)重要?;诮巧脑L問(wèn)控制(RBAC)是目前最為廣泛接受的訪問(wèn)控制模型?;赗BAC的多域間策略合成方法主要是角色映射,即通過(guò)建立域間角色對(duì)等關(guān)系來(lái)互訪資源,其方法包括基于權(quán)限和非基于權(quán)限兩類。其中,基于權(quán)限的角色映射方法粒度較細(xì),安全性較高。它又可以 分為兩類,靜態(tài)映射與動(dòng)態(tài)映射。其中,靜態(tài)映射是有協(xié)調(diào)中心的,適合緊耦合系統(tǒng)的,基于全局的映射方式。這種方法基本特點(diǎn)包括一是角色映射都是基于角色的權(quán)限進(jìn)行,可以保證角色在策略合成后不會(huì)獲得本來(lái)不具有的權(quán)限;二是靜態(tài)映射方法沒(méi)有動(dòng)態(tài)映射方法所導(dǎo)致的域間訪問(wèn)的計(jì)算開(kāi)銷(xiāo)。本發(fā)明主要用于在基于權(quán)限的靜態(tài)映射的RBAC策略合成過(guò)程中的沖突解決。經(jīng)對(duì)相關(guān)技術(shù)文獻(xiàn)檢索后發(fā)現(xiàn),2005年Shafiq等人在《Knowledge andDataEngineering))上發(fā)表的((Secure Interoperation in a Multi-Domain EnvironmentEmployingRBAC Policies)) 一文中提出了一種比較好的靜態(tài)映射的RBAC策略合成框架,即先進(jìn)行域間角色映射,再把沖突解決問(wèn)題轉(zhuǎn)換為整數(shù)規(guī)劃的最優(yōu)化問(wèn)題。其主要思想是根據(jù)兩個(gè)域間角色的公共權(quán)限和公共子角色創(chuàng)建新角色進(jìn)行映射,可以解決在I角色層次下的多域間策略合成問(wèn)題,同時(shí)支持靜態(tài)SOD約束。但是這個(gè)方法有如下缺陷①?zèng)]能在A(激活)角色層次下,甚至混合角色層次下進(jìn)行策略合成與沖突解決;②無(wú)法支持動(dòng)態(tài)權(quán)限分離SOD約束;③不支持多域間存在兩兩禁止交互的情況;④算法整體復(fù)雜度為指數(shù)級(jí),難以處理舊域離開(kāi)、新域加入的變動(dòng)情況。這些問(wèn)題期待著一種更有效率的沖突解決算法。根據(jù)RBAC模型的PI (高級(jí)角色繼承低級(jí)角色的權(quán)限),Π (低級(jí)角色繼承高級(jí)角色的用戶)屬性,本發(fā)明假設(shè)混合角色層次由A角色層次和I (繼承)角色層次構(gòu)成,其中,I層次為PI與UI特性的組合,并且子角色在一個(gè)會(huì)話session中自動(dòng)激活,本文用^ fr2表示rl為r2的I繼承高級(jí)角色,若省略上標(biāo)星號(hào),則表示直接繼承關(guān)系。A層次僅為UI特性,子角色在一個(gè)會(huì)話session中需要申請(qǐng)激活。本文用d $ f2表示rl為r2的A繼承高級(jí)角色,若省略上標(biāo)星號(hào),則表示直接繼承關(guān)系。
發(fā)明內(nèi)容
在多域合成過(guò)程中,策略的沖突解決是關(guān)鍵問(wèn)題。ANSI所定義的RBAC標(biāo)準(zhǔn)明確了靜態(tài)權(quán)限分離SSOD與動(dòng)態(tài)權(quán)限分離DSOD約束的重要性,而混合角色層次是這兩個(gè)約束的基礎(chǔ)前提。針對(duì)需要緊密合作的多域間合作問(wèn)題,目前多域間策略合成與沖突解決方法中,缺少對(duì)于混合角色層次的有效支持,而且現(xiàn)有的靜態(tài)映射方法復(fù)雜度很高,同時(shí)不支持多域間可能存在的禁止某兩域互訪的情況。為了解決上述問(wèn)題,本發(fā)明在上述研究的基礎(chǔ)上,提出了一種基于映射非傳遞性的多域間RBAC策略沖突解決方法。它支持SSOD與DSOD約束,支持部分域禁止互訪的多域間合作需求,可以求得最優(yōu)的全局策略,同時(shí)算法復(fù)雜度較低,具有高效實(shí)用的應(yīng)用前景。本發(fā)明提出了一種基于映射非傳遞性的多域間RBAC策略沖突解決方法,框圖如圖I所示。它的應(yīng)用場(chǎng)景在N個(gè)RBAC域間,根據(jù)域間互訪矩陣建立兩兩域間映射后,可能存在策略沖突的情況,應(yīng)用本發(fā)明的沖突解決算法,可以定義一套最優(yōu)性標(biāo)準(zhǔn)并從所有映射關(guān)系集合中選出滿足該最優(yōu)性的一套映射關(guān)系,從而化解域間的策略沖突,得到完全滿足安全性和自治性的全局最優(yōu)策略。本發(fā)明的前提假設(shè)是若不考慮域間映射的影響,在沖突解決之前,作為輸入策略的各個(gè)域內(nèi)部滿足其自身的 SSOD約束。由于,DSOD約束沖突可以在系統(tǒng)正常運(yùn)行過(guò)程中由系統(tǒng)中心動(dòng)態(tài)檢測(cè)與化解,而角色層次關(guān)系沖突可以被映射的非傳遞性消除,所以合成結(jié)果中僅違反SSOD約束沖突的情況,需要交由后續(xù)的沖突解決算法來(lái)去除不合理映射,得到最優(yōu)的全局策略。在介紹具體發(fā)明算法前,首先把相關(guān)的概念定義和具體說(shuō)明羅列如下。定義I域間互訪矩陣IDAM對(duì)于N個(gè)域的策略合成問(wèn)題,域間互訪矩陣IDAM= (IDAMij) N,其中 =1,2···Ν,j=l, 2…N,元素lDAM_;i€{0,l丨,當(dāng)為I時(shí)表示第j個(gè)域可以訪問(wèn)第i個(gè)域的資源,當(dāng)為O時(shí)表示禁止訪問(wèn)。說(shuō)明I約束策略表示法關(guān)于約束策略(包括SSOD與DSOD約束)先說(shuō)明兩點(diǎn)。首先,本發(fā)明為了算法表述的便利性,默認(rèn)用t-t規(guī)范形式(形如(rl,r2,r3,3)的SOD約束表示法)并省略參數(shù)t的方式來(lái)表示約束關(guān)系,例如(rl,r2,r3)出現(xiàn)在SSOD約束策略中則代表這三個(gè)角色不能同時(shí)賦予給一個(gè)用戶,若出現(xiàn)在DSOD約束策略中則代表這三個(gè)角色不能同時(shí)被一個(gè)用戶激活。其次,本發(fā)明用集合SSOD-set表示一個(gè)域原始的靜態(tài)職責(zé)分離約束集,就是約束關(guān)系沒(méi)有向高級(jí)角色擴(kuò)展的最底層的約束集;而高級(jí)角色繼承低級(jí)角色的靜態(tài)職責(zé)分離約束關(guān)系后形成的全部約束集合用ex-SSOD-set表示;DS0D-set為動(dòng)態(tài)職責(zé)分離約束集,表示指定的幾個(gè)角色不能同時(shí)被同一個(gè)用戶激活。關(guān)于角色映射表示法,設(shè)Iei ; rl,G2 ; r2表示從域Gl的角色rl到域G2的角色r2的一個(gè)映射關(guān)系,在單獨(dú)考慮兩個(gè)域且沒(méi)有重名的影響下,可以簡(jiǎn)寫(xiě)為Iri,r2,域Gl到域G2所有的映射集合設(shè)為RMei^e2t5定義2映射的三個(gè)屬性本發(fā)明提出了映射關(guān)系具有三個(gè)屬性,分別是方向性、繼承性和非傳遞性。方向性是指根據(jù)映射的方向,源方向的角色作為目標(biāo)方向角色的高級(jí)角色;繼承性是指兩個(gè)映射角色之間的角色層次關(guān)系,可以是I層次也可以是A層次;非傳遞性是指映射只對(duì)涉及到的兩域可見(jiàn),與其中一域相連的第三方域的用戶不能通過(guò)使用該映射作為傳遞中介進(jìn)入另一個(gè)域進(jìn)行訪問(wèn)操作。映射非傳遞性的重要性在于(I)外域的被映射角色不能與本域子角色同等對(duì)待,不然會(huì)混淆本域角色層次結(jié)構(gòu),不利于之后的角色映射。如圖2所示,G2域映射至G3域后無(wú)法于Gl域順利合成。(2)N個(gè)域間存在并非都可以兩兩互訪的情況,映射的非傳遞性可以防止第三方通過(guò)中介映射訪問(wèn)被禁止的資源,可如圖3所示。定義3角色映射的分類本發(fā)明把域間角色映射分為如下兩類①受限映射。如附圖
4所示,如果存在一個(gè)映射關(guān)系e RMe2^ei,同時(shí)Gl域內(nèi)存在角色r」?jié)M足(rk彡*rj) Λ (r」e e) Λ (e e SSOD-set),則稱1H, A為G2到Gl的關(guān)于r」的一條受限映射,并設(shè)rj的所有受限映射集合為L(zhǎng)hnm設(shè)G2到Gl的所有受限映射集合為L(zhǎng)re2I115②自由映射。若某映射e RMe2^ei,但非受限映射,則稱該映射為自由映射,并設(shè)G2到Gl的自由映射集合為L(zhǎng)fe2I115顯然,自由映射不影響域內(nèi)的安全性。定義4用戶角色分配 設(shè)布爾型變量Wrj為用戶角色分配,表示用戶Ui對(duì)角色rj的擁有與否。Wrj=I表示該用戶擁有該角色,UA=O則表示該用戶不擁有該角色。任意一個(gè)SSOD約束,例如(rl,r2,r3),我們可以用如下限制條件表示該約束關(guān)系對(duì)于任意用戶Ui需滿足uir1+uir2+uir3<30定義5受限通路如附圖4所示,設(shè)布爾型變量rk = Iri, A^ri為受限通路(實(shí)線箭頭標(biāo)識(shí)),表示外域任意用戶Ux是否可通過(guò)外域角色A和關(guān)于本域角色h的一條受限映射獲得本域角色當(dāng)ι·ρΗ =1時(shí)表示該受限通路打開(kāi),用戶Ux可通過(guò)ri與該受限映射獲得rj角色;反之受限通路關(guān)閉,用戶需要從其他受限通路獲取本域角色。我們可以把rp&ud稱為關(guān)于本域角色h的一條受限通路,并且定義RP .為關(guān)于角色&的受限通路集合。定義6任意用戶Ux的最廣約束角色集假設(shè)某域Gi中存在擴(kuò)展SSOD約束集合為ex-SSODi-set,對(duì)于任意元素e e ex-SSODi-set,域Gi中假想的任意用戶Ux因?yàn)楸仨殱M足SSOD約束,所以最多只能擁有e中Ie卜I個(gè)元素。依次遍歷ex-SSODi-set中所有元素,在滿足安全性條件下取出該約束關(guān)系中最多數(shù)目的角色,直至遍歷完成,所取出的不同角色的集合稱之為任意用戶Ux的一個(gè)最廣約束角色集。按照所取先后次序不同,所取出的不同角色集所組成的集合稱之為任意用戶Ux的最廣約束角色集的限定集。定義7任意用戶Ux的最廣角色集對(duì)于任意用戶Ux的每一個(gè)最廣約束角色集,都存在唯一的一個(gè)最廣角色集包含前者的所有元素,同時(shí)包含該域中所有的非約束角色(即不存在于擴(kuò)展SSOD約束中的角色)。任意用戶Ux的所有最廣角色集的集合稱之為任意用戶Ux的最廣角色集的限定集。本發(fā)明中的沖突解決模塊算法首先對(duì)問(wèn)題進(jìn)行了分解,把N個(gè)域的策略沖突問(wèn)題分解為多個(gè)由單域和另外一個(gè)域指向該域的映射集合組成的SSOD約束沖突問(wèn)題,并將該子問(wèn)題轉(zhuǎn)換為0-1規(guī)劃的最優(yōu)化問(wèn)題,各子問(wèn)題的最優(yōu)解的合成就是全局最優(yōu)解。所以本模塊策略沖突解決算法就是循環(huán)調(diào)用多個(gè)0-1規(guī)劃最優(yōu)化算法的過(guò)程。本發(fā)明提出一種基于映射非傳遞性的多域間RBAC策略沖突解決算法Conflict-Resolution (Gl, G2,…,Gn, IDAM),其輸入為已建立了域間角色映射的N個(gè)域策略,以及域間互訪矩陣IDAM。它的基本思想是根據(jù)域間互訪矩陣確定所有存在映射關(guān)系的兩個(gè)域,分別對(duì)單獨(dú)的兩個(gè)域進(jìn)行沖突化解,最終得到全局最優(yōu)解。它主要分為如下5個(gè)步驟根據(jù)本發(fā)明提供的基于映射非傳遞性的多域間RBAC策略沖突解決方法,其特征在于,包括如下步驟步驟I :令所有域間映射為非傳遞性映射;依次遍歷域間互訪矩陣各元素,若域間互訪矩陣的元素IDAMij=I,則順序執(zhí)行步驟2飛來(lái)解決Gj域?qū)i域的映射所導(dǎo)致的SSOD約束沖突問(wèn)題,直至遍歷完所有元素;經(jīng)過(guò)遍歷所有域間互訪矩陣IDAM元素后,各子問(wèn)題中不合理的映射關(guān)系已被去除,剩下為最優(yōu)的全局策略,結(jié)束本方法操作;步驟2 :根據(jù)定義,找到受限映射集合;跳轉(zhuǎn)并執(zhí)行步驟3 ;步驟3 :針對(duì)Gi域內(nèi)的SSOD-set集合,進(jìn)行映射關(guān)系和SSOD約束轉(zhuǎn)換;并根據(jù)任意用戶Ux的最廣角色集的限定集,確定SSOD約束式的最簡(jiǎn)安全集合;跳轉(zhuǎn)并執(zhí)行步驟4,其 中,SSOD-set集合表示一個(gè)域原始的靜態(tài)職責(zé)分離約束集;步驟4 :選取合適的權(quán)重參數(shù)C,結(jié)合步驟3中產(chǎn)生的約束集,定義0-1規(guī)劃問(wèn)題來(lái)求解各受限映射的值;跳轉(zhuǎn)并執(zhí)行步驟5 ;步驟5 :對(duì)于最優(yōu)化結(jié)果等于O的受限映射,在全局策略中去除該映射,輸出相關(guān)處理結(jié)果后返回步驟I。優(yōu)選地,所述步驟I包含了非傳遞性映射的定義,即非傳遞性是指若一個(gè)域A的某用戶通過(guò)某映射進(jìn)入另一個(gè)域B,只能獲得該域B的本地角色權(quán)限,該域B的所有對(duì)外映射關(guān)系對(duì)其不可見(jiàn),無(wú)法再次映射。優(yōu)選地,所述步驟2具體為找出Gj域指向Gi域的所有映射,根據(jù)受限映射定義,分別查看每一條映射,若為受限映射,則把它放入集合中;其中,受限映射的定義為如果存在一個(gè)映射關(guān)系e RMg2^gi,同時(shí)Gl域內(nèi)存在角色&滿足(rk彡*rj) Λ e e) Λ (e e SSOD-set),則稱lri,rk為G2到Gl的關(guān)于r」的一條受限映射,并設(shè)r」的所有受限映射集合為設(shè)G2到Gl的所有受限映射集合為L(zhǎng)re2^,其中,RMg2^G1為域G2到域Gl所有的映射集合,(rk彡*r)表示rk是r」的直接或間接的高級(jí)角色,e為一個(gè)SSOD約束。優(yōu)選地,所述步驟3具體為先進(jìn)行映射關(guān)系轉(zhuǎn)換,隨后進(jìn)行SSOD約束轉(zhuǎn)換,最后進(jìn)行SSOD約束式的最簡(jiǎn)安全集合的轉(zhuǎn)換,其中,相關(guān)約束轉(zhuǎn)換規(guī)則如下規(guī)則(I)映射關(guān)系轉(zhuǎn)換任意映射為布爾型變量,要么取0,要么取I ;若為自由映射即Im e Lfe2^1,則Im=I ;若為受限映射即Im e Lre2 —ei,則其值為最優(yōu)化問(wèn)題的變量,需要滿足該域內(nèi)SSOD約束;其中,Lfe2^ei表示G2域到Gl域的自由映射集合,Lrc2^ci表示G2域到Gl域的所有受限映射集合;規(guī)則(2)SS0D約束轉(zhuǎn)換對(duì)于Gl域內(nèi)任意一個(gè)SSOD約束,該約束中至少存在一個(gè)角色,滿足該角色的受限通路全關(guān)閉;根據(jù)受限通路的定義,可得SSOD約束式;規(guī)則(3) SSOD約束式的最簡(jiǎn)安全集合的轉(zhuǎn)換根據(jù)定義,取得任意用戶Ux的最廣角色集的限定集,對(duì)于該限定集合中的每一個(gè)元素,即任意用戶Ux的每一個(gè)最廣角色集,任意用戶Ux擁有該角色集中每一個(gè)角色令U^i=I ;把相關(guān)等式代入規(guī)則(2)中的SSOD約束式中,則每一個(gè)最廣角色集對(duì)應(yīng)一套化簡(jiǎn)后的SSOD約束式;由任意用戶Ux的最廣角色集的限定集則對(duì)應(yīng)得到SSOD約束式的最簡(jiǎn)安全集合。優(yōu)選地,所述步驟4具體為根據(jù)客戶需求,選取最優(yōu)化目標(biāo)式中受限映射的權(quán)重參數(shù)C ;把步驟3中得到的映射關(guān)系式和SSOD約束式的最簡(jiǎn)安全集合一起作為最優(yōu)化的約束關(guān)系式,則得到最優(yōu)化問(wèn)題并利用數(shù)學(xué)界現(xiàn)有的計(jì)算方法求解;其中,最優(yōu)化問(wèn)題的形式有如下的兩個(gè)0-1規(guī)劃問(wèn)題Ql和Q2,其中Ql含有非線性SSOD約束,Q2含有線性SSOD約束,但后者約束關(guān)系式多于如者,
權(quán)利要求
1.一種基于映射非傳遞性的多域間RBAC策略沖突解決方法,其特征在于,包括如下步驟 步驟I :令所有域間映射為非傳遞性映射;依次遍歷域間互訪矩陣各元素,若域間互訪矩陣的元素IDAMu=I,則順序執(zhí)行步驟2飛來(lái)解決Gj域?qū)i域的映射所導(dǎo)致的SSOD約束沖突問(wèn)題,直至遍歷完所有元素;經(jīng)過(guò)遍歷所有域間互訪矩陣IDAM元素后,各子問(wèn)題中不合理的映射關(guān)系已被去除,剩下為最優(yōu)的全局策略,結(jié)束本方法操作; 步驟2 :根據(jù)定義,找到受限映射集合Lr^ei ;跳轉(zhuǎn)并執(zhí)行步驟3 ; 步驟3 :針對(duì)Gi域內(nèi)的SSOD-set集合,進(jìn)行映射關(guān)系和SSOD約束轉(zhuǎn)換;并根據(jù)任意用戶Ux的最廣角色集的限定集,確定SSOD約束式的最簡(jiǎn)安全集合;跳轉(zhuǎn)并執(zhí)行步驟4,其中,SSOD-set集合表示一個(gè)域原始的靜態(tài)職責(zé)分離約束集; 步驟4 :選取合適的權(quán)重參數(shù)C,結(jié)合步驟3中產(chǎn)生的約束集,定義0-1規(guī)劃問(wèn)題來(lái)求解各受限映射的值;跳轉(zhuǎn)并執(zhí)行步驟5 ; 步驟5 :對(duì)于最優(yōu)化結(jié)果等于O的受限映射,在全局策略中去除該映射,輸出相關(guān)處理結(jié)果后返回步驟I。
2.根據(jù)權(quán)利要求I所述的基于映射非傳遞性的多域間RBAC策略沖突解決方法,其特征在于,所述步驟I包含了非傳遞性映射的定義,即非傳遞性是指若一個(gè)域A的某用戶通過(guò)某映射進(jìn)入另一個(gè)域B,只能獲得該域B的本地角色權(quán)限,該域B的所有對(duì)外映射關(guān)系對(duì)其不可見(jiàn),無(wú)法再次映射。
3.根據(jù)權(quán)利要求I所述的基于映射非傳遞性的多域間RBAC策略沖突解決方法,其特征在于,所述步驟2具體為找出Gj域指向Gi域的所有映射,根據(jù)受限映射定義,分別查看每一條映射,若為受限映射,則把它放入集合中;其中,受限映射的定義為如果存在一個(gè)映射關(guān)系1&1;£觀(;2 — (;1,同時(shí)61域內(nèi)存在角色1'」?jié)M足(rk彡*r」)Λ (r」e e) Λ (e e SSOD-set),則稱為G2到Gl的關(guān)于rj的一條受限映射,并設(shè)rj的所有受限映射集合為L(zhǎng)r rJ:G2.G1,設(shè)G2到Gl的所有受限映射集合為L(zhǎng)re2^ei,其中,RMe2^為域G2到域Gl所有的映射集合,(rk彡*rj)表示rk是r」的直接或間接的高級(jí)角色,e為一個(gè)SSOD約束。
4.根據(jù)權(quán)利要求I所述的基于映射非傳遞性的多域間RBAC策略沖突解決方法,其特征在于,所述步驟3具體為先進(jìn)行映射關(guān)系轉(zhuǎn)換,隨后進(jìn)行SSOD約束轉(zhuǎn)換,最后進(jìn)行SSOD約束式的最簡(jiǎn)安全集合的轉(zhuǎn)換,其中,相關(guān)約束轉(zhuǎn)換規(guī)則如下 規(guī)則(I)映射關(guān)系轉(zhuǎn)換任意映射為布爾型變量,要么取0,要么取I ;若為自由映射即e Lfe2^JiJ Im=I ;若為受限映射即Im e Lre2 —ei,則其值為最優(yōu)化問(wèn)題的變量,需要滿足該域內(nèi)SSOD約束;其中,Lfe2^表示G2域到Gl域的自由映射集合,Lre2^表示G2域到Gl域的所有受限映射集合; 規(guī)則(2) SSOD約束轉(zhuǎn)換對(duì)于Gl域內(nèi)任意一個(gè)SSOD約束,該約束中至少存在一個(gè)角色,滿足該角色的受限通路全關(guān)閉;根據(jù)受限通路的定義,可得SSOD約束式; 規(guī)則(3) SSOD約束式的最簡(jiǎn)安全集合的轉(zhuǎn)換根據(jù)定義,取得任意用戶Ux的最廣角色集的限定集,對(duì)于該限定集合中的每一個(gè)元素,即任意用戶Ux的每一個(gè)最廣角色集,任意用戶Ux擁有該角色集中每一個(gè)角色令U^i = I ;把相關(guān)等式代入規(guī)則(2)中的SSOD約束式中,則每一個(gè)最廣角色集對(duì)應(yīng)一套化簡(jiǎn)后的SSOD約束式;由任意用戶Ux的最廣角色集的限定集則對(duì)應(yīng)得到SSOD約束式的最簡(jiǎn)安全集合。
5.根據(jù)權(quán)利要求I所述的基于映射非傳遞性的多域間RBAC策略沖突解決方法,其特征在于,所述步驟4具體為根據(jù)客戶需求,選取最優(yōu)化目標(biāo)式中受限映射的權(quán)重參數(shù)c ;把步驟3中得到的映射關(guān)系式和SSOD約束式的最簡(jiǎn)安全集合一起作為最優(yōu)化的約束關(guān)系式,則得到最優(yōu)化問(wèn)題并利用數(shù)學(xué)界現(xiàn)有的計(jì)算方法求解;其中,最優(yōu)化問(wèn)題的形式有如下的兩個(gè)0-1規(guī)劃問(wèn)題Ql和Q2,其中Ql含有非線性SSOD約束,Q2含有線性SSOD約束,但后者約束關(guān)系式多于前者,
6.根據(jù)權(quán)利要求I所述的基于映射非傳遞性的多域間RBAC策略沖突解決方法,其特征在于,所述步驟5具體為根據(jù)步驟4中計(jì)算結(jié)果,取出為O的映射變量并消除該映射關(guān)系,同時(shí)對(duì)本次循環(huán)體內(nèi)該子問(wèn)題的最優(yōu)化的結(jié)果做記錄,并輸出該子問(wèn)題的相關(guān)處理內(nèi)容反饋給用戶。
全文摘要
本發(fā)明提供了一種基于映射非傳遞性的多域間RBAC策略沖突解決方法,其輸入為已建立了域間角色映射的N個(gè)域策略,以及域間互訪矩陣IDAM,基本思想是根據(jù)域間互訪矩陣確定所有存在映射關(guān)系的兩個(gè)域,分別對(duì)單獨(dú)的兩個(gè)域進(jìn)行沖突化解,最終得到全局最優(yōu)解。與相關(guān)的沖突解決算法相比,本發(fā)明能夠有效地在各域間去除不合理的角色映射,找到最優(yōu)的全局訪問(wèn)控制策略,在跨域合作越來(lái)越頻繁和緊密的今天,具有非常廣泛的應(yīng)用前景。
文檔編號(hào)H04L29/06GK102946382SQ201210408999
公開(kāi)日2013年2月27日 申請(qǐng)日期2012年10月23日 優(yōu)先權(quán)日2012年10月23日
發(fā)明者潘理, 周鑫, 訾小超 申請(qǐng)人:上海交通大學(xué)