[发明专利]一种满足用户指派势约束的角色挖掘优化建模方法

说明书

本发明公开了一种满足用户指派势约束的角色挖掘优化建模方法，假定存在q个候选角色R₁，R₂，...，R_q，所有候选角色的集合也可以用矩阵表示为R；同时，定义一个新的布尔型标示变量集{d₁，d₂，...，d_q}，d_j＝1表示角色j出现；否则，角色j未出现；于是，当d_j＝1时，表明{c_1j，c_2j，...，c_nj}至少有一值为1，即至少存在一用户拥有角色j，即通过放松第一类问题中的完整性约束，或许能发掘更好的角色结果；这正是第二类问题研究的初衷；为对该类问题进行建模，引入松弛型变量x’_it且在不超过阈值δ的情况下，重构矩阵是可以接受的。

技术领域

本发明属于访问控制机制技术领域，涉及一种满足用户指派势约束的角色挖掘优化建模方法。

背景技术

RBAC被认为是当前主流的访问控制机制之一，其主要优势包括方便授权分配，降低系统管理负担等。为了体现这些特点，企业组织需要将传统的访问控制系统转换成RBAC系统。为此，首先要定义一个好的角色集。尽管角色定义问题看起来很简单，在实施RBAC过程被认为是代价高昂的一个阶段，给系统构建者们提出了巨大的挑战，原因是他们对企业中用户职能和业务流程的语义信息知之甚少。

角色工程的概念由Coyne于1995年提出，目的是为了定义一个完整、正确、有效的模型结构，用以表达企业组织的安全策略和业务功能。自顶向下方法从业务需求出发，反复提炼角色以反映业务功能。该方法对于中大规模企业来说并不实用，因为系统构建者在短时间内很难掌握大量的操作流程和用户职能。对于大规模问题而言，采用自底向上的角色挖掘方法更加可取。该方法运用数据挖掘技术，从现有用户-权限分配关系中构造角色集。该方法在挖掘角色过程中的潜在问题：缺乏评价角色集好坏的统一标准。Vaidya提出使用角色数评价角色集的好坏。现有技术中使用管理代价作为评价标准。角色层次是另一个重要的评价标准，因为它与角色的语义性紧密相关。Molloy引入加权复杂度，将上述研究的评价标准联系在一起。Ma等也使用权重合并多个优化目标。除了以上针对不同标准挖掘角色的研究，Lu等给出一种角色工程的优化框架等。

角色挖掘已被证明是一种提取好角色集的有效方法，其基本思想就是利用数据挖掘技术从旧系统已有的用户-权限直接分配关系中提取用于确定角色的模式，能够极大地方便RBAC策略的实施。在现有的角色挖掘研究中，优化目标存在着异同，包括极小化角色数、极小化管理代价极小化系统结构的复杂性等。然而，鲜有研究去提高终端用户的经验。因此，用户友好性应作为评价角色挖掘效果的一项重要指标。

发明内容

本发明的目的在于，提出了一种满足用户指派势约束的角色挖掘优化建模方法。

其技术方案如下：

角色挖掘被形式化表示成带目标函数与约束条件的优化问题。给定某评价标准，研究四种角色挖掘类型，即普通型基于用户指派势约束的基本角色挖掘(regular BasicRMP based on UPA)、普通型基于用户指派势约束的δ-近似角色挖掘(regular δ-approxRMP based on UPA)、个性化基于用户指派势约束的基本角色挖掘(personalized BasicRMP based on UPA)、个性化基于用户指派势约束的δ-近似角色挖掘(personalized δ-approx RMP based on UPA)。其中UPA、PA、UA分别表示指派矩阵，UPA_i、PA_i、UA_i分别表示矩阵的第i行，即与用户i关联的权限集，指派给用户i的角色集以及分配给角色i的权限集。

一种满足用户指派势约束的角色挖掘优化建模方法，包括以下步骤：