| 发明名称 | 协同环境中访问控制策略冲突检测系统及方法 | ||
| 摘要 | 同环境中访问控制策略冲突检测系统及方法,首先解决了基于角色映射的域间互操作协同环境中各域所使用的访问控制策略语义异构的问题,并在此基础上解决了这种协同环境中的访问控制策略冲突问题,特别适用于语义异构的协同环境中。本技术采用改进的基于语义集成的策略集成算法和基于子图同构的策略冲突检测算法作为本发明使用的主要算法。协同环境中访问控制策略冲突检测技术的主要活动包括:策略预处理、多域策略集成和策略冲突检测活动。它可以检测协同环境中通过角色映射进行域间互操作而产生的访问控制策略冲突,以防止未授权访问等安全问题的发生。 | ||
| 申请公布号 | CN102387145B | 申请公布日期 | 2014.03.12 |
| 申请号 | CN201110322928.8 | 申请日期 | 2011.10.21 |
| 申请人 | 北京航空航天大学 | 发明人 | 夏春和;范贝贝;梁晓艳;罗杨;薄阳 |
| 分类号 | H04L29/06(2006.01)I;H04L12/26(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京科迪生专利代理有限责任公司 11251 | 代理人 | 成金玉 |
| 主权项 | 一种协同环境中访问控制策略冲突检测系统,其特征在于包括:访问控制策略预处理模块、多域策略集成模块和策略冲突检测模块;访问控制策略预处理模块:将采用XACML描述的两个域的策略文件,即XACML描述的A域策略文件和XACML描述的B域策略文件中的访问控制策略进行语法语义解析,在对访问控制策略进行解析的同时为每条访问控制策略加入序号,作为所述访问控制策略唯一的标识,解析后形成访问控制策略有序集,将所述访问控制策略有序集送至多域策略集成模块;所述域为协同环境的基本组成单元,即协同环境中自主进行访问控制策略制定及管理的组织;所述访问控制策略是约束主体对资源操作权限的规则集;所述主体分为用户和角色;所述资源包含ftp服务器、web服务器、邮件服务器和文件服务器;所述操作权限包含读、写、执行及其组合;所述访问控制策略有序集包含角色继承策略、直接授权策略和用户指派策略;所述角色继承策略是指规定某角色继承另一角色的操作权限的访问控制策略,形式化为五元组(策略名,‘<’,角色1,角色2,序号),即角色1继承了角色2的权限,‘<’符号代表角色间的继承关系;所述角色继承策略又分为本域角色继承策略和跨越角色映射策略,本域角色继承策略中的角色1和角色2都属于本域,跨越角色映射策略中的角色1属于另一个域(即外域),角色2属于本域;所述直接授权策略是指约束角色对资源操作权限的访问控制策略,形式化为六元组(策略名,约束,角色,资源,操作权限,序号),约束分为允许、拒绝,角色包含管理员角色及系统定义的其他角色,资源包含ftp服务器、web服务器、邮件服务器和文件服务器,所述操作权限分为读、写、执行及其组合;所述直接授权策略又分为本域直接授权策略和跨域直接授权策略,本域直接授权策略中的角色和资源都属于本域,跨域直接授权策略中的角色属于本域,而资源属于外域;所述用户指派策略是指将用户指派给角色,并拥有角色所有权限的访问控制策略,形式化为五元组(策略名,指派,用户,角色,序号);所述策略名是指策略制定者制定策略时为策略 起的名称,为字符串的形式;所述角色是指可以直接拥有权限的基本单位,分为管理员角色或管理员定义的其他角色;所述用户是指资源的使用者;所述指派是指角色和用户之间的指派关系,即将角色所具有的权限分配给用户,使用户拥有角色所拥有的权限;所述序号是指策略的唯一编号;多域策略集成模块:根据访问控制策略有序集中的访问控制策略元素属性对访问控制策略预处理模块得到的访问控制策略有序集进行筛选,得到与域间互操作有关的访问控制策略,并结合初始策略本体生成两个域的局部本体,将所述局部本体通过语义映射,生成访问控制策略元素实例之间的语义映射对,根据语义映射对将局部本体转换为全局本体,得到全局访问控制策略,并将全局访问控制策略送至策略冲突检测模块;所述访问控制策略元素属性是指访问控制策略元素是属于本域L(Local)还是属于另外一个域F(Foreign);所述L是说明此访问控制策略元素是属于本域的;所述F说明此访问控制策略元素是属于另一个域的,本域只是对它进行了引用;所述初始策略本体是协同环境中两个域已知的共同本体;所述共同本体即对两个域共享的访问控制策略模型的明确的形式化规范说明,只包含访问控制策略元素的概念间关系;所述访问控制策略元素包含用户、角色、资源、读、写、执行、允许、拒绝、继承关系、指派关系;所述访问控制策略元素指所述访问控制策略元素的抽象描述,将访问控制策略元素的概念实例化便形成了访问控制策略元素的实例,即对访问控制策略元素的具体描述;所述局部本体指每个域所使用的访问控制策略元素实例不同,各个域各自使用的访问控制策略元素实例结合上面所述的共同本体,组成了各个域自己的本体,即局部本体,每个域有自己的局部本体;所述全局本体是将各个域使用的访问控制策略元素实例统一起来,再结合所述共同本体,组成了各个域共有的全局本体;所述全局访问控制策略是指不存在语义异构问题的域间角色继承策略;策略冲突检测模块:将访问控制策略预处理得到的访问控制策略有序集进行筛选,并结合多域策略集成模块得到的全局访问控制策略,进行隐含策略分 析,得到协同环境中隐含的访问控制策略,将访问控制策略有序集、全局访问控制策略和隐含的访问控制策略转换为策略图的形式,同时将冲突规则转换为冲突图的形式,根据策略图中由节点连接的边与边之间的关系,得到策略图中由角色节点出发到资源节点的每条路径,并将所述每条路径与冲突图中的路径进行匹配,若匹配成功,则存在冲突,并得到冲突的类型和原因,通过反向策略查询,即根据导致冲突的访问控制策略的唯一标识——序号,查找其对应的在输入策略文件中的策略名,此策略名即冲突所在的源策略位置,并生成冲突分析报告显示给用户;若匹配不成功,则不存在冲突,并显示对话框提示用户;所述策略图全称为访问控制策略图,即将访问控制策略中的用户、角色和资源作为图的节点,将直接授权策略作为角色和资源之间的边,将角色继承策略作为角色和角色之间的边,将用户指派策略作为用户和角色之间的边,由此形成的图称之为策略图;所述冲突规则为IF‑Then的形式,IF语句为冲突规则的前件,描述了策略冲突发生所具备的条件,Then语句为冲突规则的后件,描述了冲突的类型;所述冲突图是将发生冲突的访问控制策略中的用户、角色和资源作为图的节点,将发生冲突的直接授权策略作为角色和资源之间的边,将发生冲突的角色继承策略作为角色和角色之间的边,将发生冲突的用户指派策略作为用户和角色之间的边,由此形成的图称之为冲突图。 | ||
| 地址 | 100191 北京市海淀区海淀区学院路37号 | ||