[发明专利]一种基于二进制序列集合的访问控制策略合成方法

权利要求书

1.一种基于二进制序列集合的访问控制策略合成方法，其特征在于包括如下步骤：

步骤一：策略面向属性层分解；

步骤二：对步骤一的策略进行基于二进制序列集合BSset的逻辑转换；

步骤三：对步骤二结果进行语义检查和移位化简；

步骤四：推导基于二进制序列集合BSset的合成语义算子；

步骤五：根据步骤三和步骤四，用逻辑表达式刻画合成结构；

步骤六：对步骤五实现合成演算，输出策略合成结果。

2.根据权利要求1所述的一种基于二进制序列集合的访问控制策略合成方法，其特征是，所述的步骤一，具体操作是：先对基于属性约束翻译成一个原子布尔表达式aT*v，aT为属性名称，*∈(=,<,≤,>,≥)，v为属性的值，然后对一个策略集中含有n个不同的原子布尔表达式，依次编码其中x_i，i=0,1,2..，表示不同的属性约束，取为真或假；一条策略规则就能被抽象为通过逻辑符号与“∧”和或“∨”连接的原子布尔表达式组成的一个复合布尔表达式，进而，策略能用三组布尔表达式逻辑集合分别表示三值策略的允许集，拒绝集，以及“不适用”集，“不适用”的策略暂不考虑，最终得到策略二元组。

3.根据权利要求2所述的一种基于二进制序列集合的访问控制策略合成方法，其特征是，所述基于属性约束包括主体属性约束、客体属性约束、行动属性约束。

4.根据权利要求1所述的一种基于二进制序列集合的访问控制策略合成方法，其特征是，所述的步骤二，具体为：首先根据二进制序列和序列集合的定义，步骤一所得策略二元组进一步转换成基于二进制序列集合BSset的逻辑形式；其次，将策略属性项集合进一步通过元素分离：（1）策略的允许集[S]_Y和拒绝集[S]_N分别与空集φ进行并运算U；（2）去除[S]_Y和[S]_N集合之间的交集部分[S]_Y ∩[S]_N；通过上述两个步骤转换成定义的二进制序列集合形式。

5.根据权利要求1所述的一种基于二进制序列集合的访问控制策略合成方法，其特征是，所述的步骤三，具体为：检查步骤二转换后的二进制序列集合，是否存在语义冲突的项，若存在用条件判断语句检测并删除冲突路径，然后进行移位合并算法，消除冗余路径。

6.根据权利要求1所述的一种基于二进制序列集合的访问控制策略合成方法，其特征是，所述的步骤四，具体为：根据实际的策略合成安全需求，组合基于BSset集合运算设计的5个基础语义算子推导出满足合成期望的合成语义算子；其中5个基础语义算子如下：

P_Y算子：all permit策略；

P_N算子：all deny策略；

+算子：策略加运算；

&算子：策略与运算；

算子：策略非运算。

7.根据权利要求1所述的一种基于二进制序列集合的访问控制策略合成方法，其特征是，所述的步骤五，具体为：根据步骤三的结果，基于BSset的逻辑建模策略，和步骤四的结果，根据安全需求推导出的合成语义算子，将多策略的合成方式转换为合成逻辑表达式。

8.根据权利要求1所述的一种基于二进制序列集合的访问控制策略合成方法，其特征是，所述的步骤六，具体为：根据步骤五的逻辑表达式，对合成空间计算合成结果，实现合成演算，并且对每次合并的结果进行语义冲突检测，去除矛盾的二进制序列，再进行移位合并化简，输出策略合成布尔表达式并进一步转换成语义描述形式。

9.根据权利要求1-8任一项所述的一种基于二进制序列集合的访问控制策略合成方法，其特征是，所述BSset是指一个二进制序列集合[S]，是由n个长度相等的二进制序列所组成的集合，[S]={S₁,S₂,...,S_n-1}表示布尔表达式S₁∨S₂∨...∨S_n-1且S_i∩S_j＝null(i≠j,1≤i,j≤n)，其中，每个S_i表示析取布尔表达式x₀∧x₁∧...∧x_n-1。