[发明专利]基于访问历史的强制访问控制系统及控制方法

权利要求书

1.一种基于访问历史的强制访问控制系统，其特征在于：包括：

身份认证模块：用于负责完成对用户的身份的验证，

与身份认证模块相连接的访问控制模块：用于负责对用户访问的裁决，

与访问控制模块相连接的用户级别调整模块：用于负责对用户的级别进行动态调整，

分别与访问控制模块和用户级别调整模块相连接的访问控制数据库：用于存放用户、资源的级别信息及用户的访问历史信息，访问控制模块更新用户历史访问信息，而用户级别调整模块读取分析该历史访问信息，

与访问控制数据库相连接的WEB管理模块：用于为管理员提供基于WEB的管理界面，能够使管理员对用户和资源信息进行配置。

2.一种基于访问历史的强制访问控制方法，其特征在于：其步骤如下：

步骤一、采用身份鉴别机制验证用户身份的合法性，用户身份通过用户名口令、数字证书或硬件令牌方法表示；

步骤二、提取用户和其访问资源的安全级别，根据系统的强制访问控制策略对用户的访问进行决策，如果用户访问符合策略要求，则允许其访问相应的资源，否则拒绝其访问；

步骤三、记录用户此次访问的相关信息到该用户的历史访问信息库中，这些信息包括访问控制的用户、资源、结果、时间以及其它一些附加信息；

步骤四、根据用户的历史访问信息，采用用户级别调整算法对用户的级别进行调整，并使之在下一个用户访问过程中生效。

3.根据权利要求1所述的基于访问历史的强制访问控制方法，其特征在于：在步骤一中，如果用户身份鉴别失败，则拒绝其访问系统的所有资源。

4.根据权利要求1所述的基于访问历史的强制访问控制方法，其特征在于：在步骤二中，用户的安全级别和资源的安全级别是由系统管理员事先指定的，其安全级别范围一般根据系统的实际使用场景指定。

5.根据权利要求1所述的基于访问历史的强制访问控制方法，其特征在于：在步骤三中，为了减轻数据库存储和运算的负担，用户的访问历史信息只保存一定时间范围内的，对于超过一定期限的数据进行放到备份数据库中，并且放到备份数据库中的数据在工作数据库中只记录其统计数据。

6.根据权利要求1所述的基于访问历史的强制访问控制方法，其特征在于：在步骤四中，采用用户级别调整算法对用户的级别进行调整，其步骤如下：

步骤1.制定用户级别调整曲线，该曲线所在坐标的x轴为用户访问失败次数，y轴为用户级别，一个推荐的曲线方程为：                                                ，此时用户的级别范围为0至4；

步骤2.统计用户访问历史库中最近连续失败的次数a，实现时采用一个计数器对某个用户历史访问信息进行统计，计数器的初值为0，按照时间的由近到远的顺序遍历用户历史访问信息，当某条信息访问结果为拒绝时，则计数器加1，当某条信息访问结果为允许时，则计数器停止遍历，将此时计数器的结果赋值为a；

步骤3.将a代入x，根据曲线方程，计算得到y的值，对于高次曲线方程，会得到多个y的值，此时取其中的正值作为结果，设为b，如果曲线方程无实数解，或者曲线方程没有取值为正的结果，则取b=0,在推荐曲线方程中，b的计算公式为；

步骤4.取不大于b的整数作为用户的最新级别。