| 主权项 |
1.一种基于主动模糊规则的主动访问控制方法,其特征在于该方法包括以下步骤:(1)建立访问控制主动模糊规则集合根据实际应用环境的安全需求和专家经验,建立访问控制主动模糊规则集合;(2)监测访问控制原子模糊事件用原子模糊事件监测器监测访问控制原子模糊事件的发生,并确定其区间值隶属度;(3)构造访问控制复合模糊事件根据已发生的访问控制原子模糊事件,复合模糊事件构造器按(A)式构造可以触发访问控制主动模糊规则的访问控制复合模糊事件,计算该复合模糊事件的区间值隶属度:<img file="F2009102192217C00011.GIF" wi="800" he="187" />(A)式中,模糊事件E、E<sub>1</sub>和E<sub>2</sub>的隶属度分别为e、e<sub>1</sub>和e<sub>2</sub>,e=[a,c],e<sub>1</sub>=[a<sub>1</sub>,c<sub>1</sub>],e<sub>2</sub>=[a<sub>2</sub>,c<sub>2</sub>],PFE表示原子模糊事件集合,CFE表示复合模糊事件集合;E<sub>1</sub>∧E<sub>2</sub>表示E<sub>1</sub>和E<sub>2</sub>都在一定时间间隔内发生,min是取小函数;E<sub>1</sub>∨E<sub>2</sub>表示E<sub>1</sub>和E<sub>2</sub>在一定时间间隔内至少有一个发生,max是取大函数;<img file="F2009102192217C00012.GIF" wi="78" he="40" />表示E在一定时间间隔内没有发生;E<sub>1</sub>E<sub>2</sub>表示在一定时间间隔内E<sub>1</sub>和E<sub>2</sub>依次序先后发生,即E<sub>1</sub>发生之后E<sub>2</sub>才发生;(4)触发访问控制主动模糊规则主动模糊规则触发器按(B)式计算已发生的访问控制复合模糊事件与访问控制主动模糊规则的匹配度,比较该匹配度与访问控制主动模糊规则的触发阈值之间的大小关系,匹配度应大于触发阈值,触发该访问控制主动模糊规则:<maths num="0001"><![CDATA[<math><mrow><mi>N</mi><mrow><mo>(</mo><msup><mi>E</mi><mo>′</mo></msup><mo>,</mo><mi>E</mi><mo>)</mo></mrow><mo>=</mo><mn>1</mn><mo>+</mo><mfrac><mrow><mo>(</mo><msubsup><mi>y</mi><mn>1</mn><mo>-</mo></msubsup><mo>-</mo><msubsup><mi>x</mi><mn>1</mn><mo>-</mo></msubsup><mo>)</mo></mrow><mn>2</mn></mfrac><mo>+</mo><mfrac><mrow><mo>(</mo><msubsup><mi>y</mi><mn>1</mn><mo>+</mo></msubsup><mo>-</mo><msubsup><mi>x</mi><mn>1</mn><mo>+</mo></msubsup><mo>)</mo></mrow><mn>2</mn></mfrac><mo>-</mo><mo>-</mo><mo>-</mo><mrow><mo>(</mo><mi>B</mi><mo>)</mo></mrow></mrow></math>]]></maths>(B)式中,N(E’,E)∈[0,2]表示访问控制复合模糊事件E’与访问控制主动模糊规则所定义的访问控制模糊事件E的匹配度,E的隶属度是([x<sub>1</sub><sup>-</sup>,x<sub>1</sub><sup>+</sup>]),E’的隶属度是([y<sub>1</sub><sup>-</sup>,y<sub>1</sub><sup>+</sup>]);(5)查询访问控制模糊谓词根据已触发访问控制主动模糊规则的模糊谓词,主动访问控制器向模糊谓词服务器提出查询已触发访问控制主动模糊规则所定义的访问控制模糊谓词的区间值隶属度的请求;(6)确定访问控制模糊谓词的区间值隶属度根据主动访问控制器的查询请求,模糊谓词服务器确定对应访问控制模糊谓词的区间值隶属度;(7)激活访问控制主动模糊规则根据已查找到的访问控制模糊谓词的区间值隶属度,主动访问控制器按(C)式计算该模糊谓词与已触发规则的模糊条件的匹配度,比较该匹配度与该触发规则的激活阈值之间的大小关系,匹配度应大于规则的激活阈值,激活该访问控制主动模糊规则:<maths num="0002"><![CDATA[<math><mrow><mi>N</mi><mrow><mo>(</mo><msup><mi>P</mi><mo>′</mo></msup><mo>,</mo><mi>P</mi><mo>)</mo></mrow><mo>=</mo><mn>1</mn><mo>+</mo><mfrac><mrow><munderover><mi>Σ</mi><mrow><mi>i</mi><mo>=</mo><mn>1</mn></mrow><mi>n</mi></munderover><mrow><mo>(</mo><msubsup><mi>y</mi><mi>i</mi><mo>-</mo></msubsup><mo>-</mo><msubsup><mi>x</mi><mi>i</mi><mo>-</mo></msubsup><mo>)</mo></mrow><msub><mi>w</mi><mi>i</mi></msub></mrow><mn>2</mn></mfrac><mo>+</mo><mfrac><mrow><munderover><mi>Σ</mi><mrow><mi>i</mi><mo>=</mo><mn>1</mn></mrow><mi>n</mi></munderover><mrow><mo>(</mo><msubsup><mi>y</mi><mi>i</mi><mo>+</mo></msubsup><mo>-</mo><msubsup><mi>x</mi><mi>i</mi><mo>+</mo></msubsup><mo>)</mo></mrow><msub><mi>w</mi><mi>i</mi></msub></mrow><mn>2</mn></mfrac><mo>-</mo><mo>-</mo><mo>-</mo><mrow><mo>(</mo><mi>C</mi><mo>)</mo></mrow></mrow></math>]]></maths>式(C)中,N(P’,P)∈[0,1]表示模糊上下文P’与规则条件P的匹配度,P中的各个模糊谓词的隶属度和权重分别依次是([x<sub>1</sub><sup>-</sup>,x<sub>1</sub><sup>+</sup>]w<sub>1</sub>,[x<sub>2</sub><sup>-</sup>,x<sub>2</sub><sup>+</sup>]w<sub>2</sub>,...,[x<sub>n</sub><sup>-</sup>,x<sub>n</sub><sup>+</sup>]w<sub>n</sub>),P’中的各个访问控制模糊谓词的隶属度分别是([y<sub>1</sub><sup>-</sup>,y<sub>1</sub><sup>+</sup>],[y<sub>2</sub><sup>-</sup>,y<sub>2</sub><sup>+</sup>],...,[y<sub>n</sub><sup>-</sup>,y<sub>n</sub><sup>+</sup>]);(8)计算访问控制推理结果被激活的访问控制主动模糊规则的条数为1条,主动模糊规则执行器按(D)式计算已激活规则的访问控制推理结果:d=([z’<sup>-</sup>,z’<sup>+</sup>])/2=(min([1,1],[N<sub>1</sub>N<sub>2</sub>z<sup>-</sup>,N<sub>1</sub>N<sub>2</sub>z<sup>+</sup>]))/2 (D)式(D)中,d是规则的推理结果,min是取小函数,N<sub>1</sub>是已发生的访问控制模糊事件与规则的访问控制模糊事件的匹配度,N<sub>2</sub>是上下文与规则条件的匹配度,[z<sup>-</sup>,z<sup>+</sup>]表示该规则预定义的推理结果;被激活的规则有多条且规则所定义的访问控制模糊动作相同,主动模糊规则执行器根据系统当前的访问控制模糊动作融合策略,对每条规则的访问控制推理结果进行融合计算,得出最终访问控制推理结果;(9)执行访问控制模糊动作根据计算的访问控制推理结果,主动模糊规则执行器执行已激活访问控制主动模糊规则所定义的访问控制模糊动作,实现改变用户享有访问权限的程度、调整资源安全保护强度、改变当前访问控制模糊动作融合策略。 |
