[发明专利]一种基于属性的访问控制策略合成方法

权利要求书

1.一种基于属性的访问控制策略合成方法，其特征在于：该方法包含如下步骤：

第一步，将基于属性的访问控制策略面向属性层进行分解；

第二步，对步骤一的结果进行基于属性的访问控制策略代数表达式转换；

第三步，对步骤二的转换结果检查是否是异构策略，如果是异构策略，则对相应的属性授权项进行扩展；如果不是异构策略执行步骤四；

第四步，检测访问控制策略是否存在冲突，如果不存在冲突，直接进行访问控制策略的合成；如果存在冲突，则执行步骤五；

第五步，根据步骤四中存在的冲突，选择基于属性的访问控制策略合成代数的策略合成算子；

第六步，根据步骤五选择的策略合成算子实现合成演算，如果访问控制策略合成成功则输出策略合成结果；如果访问控制策略合成失败，则选择其他的访问控制策略冲突消解的方法；

所述步骤一中，将基于属性的访问控制策略面向属性层进行分解时，先对策略中的各个属性进行分解，并用ap_i*val表示一个属性约束，其中ap_i表示第i个属性，*∈{≤,≥,＝,＜,＞}，val为属性的值，为数字或文字；

所述属性约束包括主体属性约束、客体属性约束、环境属性约束、主体的信任度约束、操作属性约束；

所述步骤二中，对步骤一的结果进行基于属性的访问控制策略代数表达式的转换时，用SAP_i表示主体的第i个属性，用OAP_j表示客体的第j个属性，用EAP_k表示环境的第k个属性，用表示第m个主体的信任度属性，访问主体对客体资源的操作用OP_l表示资源的第l个属性，用＜S,O,E,T,OP＞五元组表示一个属性授权项，其中S表示主体的所有属性，O表示客体的所有属性，E表示环境的所有属性，T表示主体的信任度，OP表示访问主体对客体资源能执行的所有操作，多个属性授权项构成一个访问控制策略其中ATT_i为策略pol中主客体之间授权关系的形式化描述；

所述步骤五，选择基于属性的访问控制策略合成代数的合成算子时，根据各域的安全需求选择相应的策略合成算子，策略合成算子包括：算子，策略“或”算子；算子，策略“与”算子；-算子，策略“减”算子；pol^con算子，限制算子；F_w算子，模态函数算子；TV^(p,q)算子，基于信任度的投票算子,其中参与最终访问控制策略的合成中必须有资源所在域的策略。

2.根据权利要求1所述的一种基于属性的访问控制策略合成方法，其特征在于：所述策略合成算子中信任度包括直接信任度DT(x_i,x_j)和推荐信任度RT(x_i,x_j)，

其中α为历史因子，且0≤α≤1，s表示成功交易的次数，k表示总交易次数；其中N是推荐实体的个数，最后信任度其中β表示直接信任度在最后信任度中所占的比重，且0≤β≤1。