[发明专利]利用ABAC模型控制网络服务组合的访问方法

权利要求书

1.一种利用基于属性访问控制模型ABAC控制网络服务组合的访问方法，其特征是，包括如下步骤：

(1)获取待访问网络服务组合的访问规则表链：

(1a)从基于属性访问控制模型ABAC策略库中，提取待访问网络服务组合中所有网络服务属性约束定义中的主体属性约束和环境属性约束；

(1b)将主体属性约束和环境属性约束，分别存储于待访问网络服务组合中每个网络服务的访问规则表中；

(1c)将所有网络服务的访问规则表放入访问规则表链中，访问规则表链表示网络服务组合中所有网络服务对应的访问规则表的集合；

(2)选取一个访问规则表：

从访问规则表链中依照访问规则表链顺序选取一个访问规则表；

(3)按照下式，计算所选取的访问规则表中的主体属性约束因子：

其中，C表示所选取的访问规则表中的主体属性约束因子，主体属性约束因子的计算结果为0或1，n表示所选取的访问规则表中主体属性约束的总数，∪表示或操作，S_j表示所选取的访问规则表中第j个主体属性约束；

(4)判断所选取的访问规则表中的主体属性约束因子是否为0，若是，则拒绝网络服务访问者的访问请求，执行步骤(13)；否则，执行步骤(5)；

(5)获取所选取的访问规则表中的环境属性约束因子：

按照下式，将所选取的访问规则表中每个计算结果为1的主体属性约束因子所对应的环境属性约束进行组合：

其中，G表示访问规则表的环境属性约束因子，环境属性约束因子的计算结果为0或1，m表示访问规则表中主体属性约束因子为1所对应的环境属性约束的总数，E_i表示访问规则表中主体属性约束因子为1所对应的第i个环境属性约束；

(6)判断访问规则表是否为访问规则表链中的最后一个，若是，则执行步骤(7)；否则，执行步骤(2)；

(7)将所有环境属性约束因子放入环境属性约束链中，环境属性约束链表示所有访问规则表的环境属性约束因子的集合；

(8)从网络服务组合中依照网络服务排列顺序选取一个网络服务；

(9)从环境属性约束因子的集合中提取一个与所选网络服务对应环境属性的约束因子；

(10)判断环境属性约束因子是否为0，若是，则拒绝网络服务访问者的访问请求，执行步骤(13)；否则，执行步骤(11)；

(11)访问所选取的网络服务；

(12)判断所选取的网络服务是否是网络服务组合中的最后一个，若是，执行步骤(13)；否则，执行步骤(8)；

(13)结束整个访问过程。

2.根据权利要求1所述的基于属性访问控制模型ABAC控制网络服务组合的访问方法，其特征在于，步骤(1a)所述的属性约束定义如下：

D＝＜AT＞＜OP＞＜VALUE＞

其中，D表示约束条件，＜AT＞表示属性类型，＜OP＞表示{≤,≥,＜,＞,＝,！＝}集合中的一个逻辑运算符，该集合可由用户添加自定义逻辑运算符，＜VALUE＞表示属性值，F表示属性约束子式，x表示约束条件的总数，D_p表示第p个约束条件，∩表示与，T表示属性约束，属性约束的计算结果为0或1，y表示属性约束子式的总数，F_q表示第q个属性约束子式。