一种细粒度强制访问的控制设计方法

摘要

本发明公开了一种细粒度强制访问的控制设计方法，所述方法包括，使用RBAC设计系统组件的细粒度访问控制策略，进而利用解析模块将所有系统组件的细粒度访问控制策略解析，合并为全面覆盖系统访问控制策略的访问控制规则集合；最后在访问控制规则集合的基础上反向构造访问规则主体和客体的层级偏序结构，从而设计了系统的强制访问控制策略。和现有技术相比，本发明简化了在复杂信息系统中实现细粒度访问控制的设计难度；利用访问控制规则集合反向构造访问规则主体和客体的层级偏序结构，保证了细粒度访问控制在实时系统中执行的有效性；在利用访问控制规则集合反向构造访问规则主体和客体的层级偏序结构以实现系统的强制访问控制策略的过程中，可以发现访问控制策略设计阶段的策略冲突。

主权项

一种细粒度强制访问的控制设计方法，所述方法包括以下步骤：(1)使用基于角色的访问控制RBAC设计系统组件的细粒度访问控制策略；(2)使用解析模块将所有系统组件的细粒度访问控制策略解析，合并为全面覆盖系统访问控制策略的访问控制规则集合；(3)利用访问控制规则集合反向构造访问控制规则主体和客体的层级偏序结构，实现设计系统的强制访问控制策略；其特征在于，所述步骤(1)中：以RBAC模型作为系统组件访问控制策略的设计平台，包括引入平台情境、空间情境、时间情境和用户情境多种环境因素设计具有环境感知能力的资源访问控制策略和方法，并通过环境因素构成的约束条件实现针对每个用户的细粒度控制，其中包括：用户根据自己的功能获得系统用户角色，但是在一次会话中真正能够使用的系统访问权限最终由两个情境约束条件决定：由用户角色激活环境约束条件决定哪些用户角色在一次会话中能够被激活；由访问权限情境约束条件决定被激活用户角色的哪些权限在会话中真正可以操作，两个情境约束条件的引入将访问控制决策与用户资源访问的实时状态关联起来，实现了动态的差异化的细粒度RBAC访问控制策略；所述步骤(2)中：将系统中所有组件的细粒度RBAC访问控制策略解析为：“用户→资源，约束条件”形式的访问控制规则，形成覆盖整体信息系统的细粒度访问控制策略的规则集合，其中包括：选择一个系统组件的用户角色映射表，选择一条记录user_i→role_j，从角色权限映射表中选择所有与角色role_j相关的访问控制权限{role_j→resource_k}，k＝1，2，3，4……，生成用户user_i所有可用权限,即访问控制规则集合{user_i→resource_k},k＝1，2，3，4……，遍历系统所有系统组件的用户角色映射表，形成覆盖整体信息系统访问控制策略的细粒度访问控制规则集合；所述步骤(3)中：利用信息系统的细粒度访问控制规则集合反向构建细粒度的强制访问控制策略，其中可包括：(3.1)根据细粒度访问控制规则集合，构建细粒度强制访问控制策略所需的层级偏序结构：将访问控制规则集合{user_i→resource_k}中所有的访问对象和被访问对象均视为节点；扫描集合{user_i→resource_k}，选取不可被其他节点访问的user节点作为层级偏序结构的根节点；将可以被user节点访问但无法被其他节点访问的节点作为user的叶子节点，将访问控制规则中蕴含的约束条件作为叶子节点的属性存储在叶子节点中；以广度优先的方式处理user的叶子节点，同样扫描集合{user_i→resource_k}中的访问控制规则，将可被当前节点访问，但不能被当前节点的父节点集合访问的节点作为当前节点的叶子节点插入到层级偏序结构中，并处理访问控制规则中蕴含的约束条件；当被插入节点为层级偏序结构中新节点，或者虽然是层级偏序结构中已存在节点，但位于当前节点的下层时，直接将其置为当前节点的叶子节点；当被插入节点为层级偏序结构中已存在节点时，且位于当前节点上层时，需将被插入节点的层次调至当前节点下方；节点层次调整过程中，需要检测节点调整带来的访问关系变化，判别节点层次的调整是否引发访问控制规则的缺失或者访问控制策略的冲突，最终建立层级偏序结构；(3.2)根据层级偏序结构构建强制访问控制MAC，将访问控制规则集合{user_i→resource_k}转换为层级偏序结构，根据层级偏序结构中节点的位置为节点，即系统中的主客体对象，生成强制访问控制所需的安全标记,带有安全标记和约束条件的层级偏序结构可以加强强制访问控制的粒度，从而形成了细粒度的强制访问控制。