[发明专利]一种访问控制策略合成方法及系统

说明书

本发明公开了一种访问控制策略合成方法及系统，包括：获得由所有待合成访问控制策略的全部规则构成的规则集合；对规则集合中每一条规则的属性进行编码，使得属性相同的规则具有相同的属性编码且属性不同的规则具有不同的属性编码；根据属性编码将规则集合划分为多个规则子集，使得属性编码相同的规则位于同一个规则子集中；对于覆盖所有待合成访问控制策略的规则子集，按照规则冲突算法处理其中属于同一访问控制策略的规则之间的冲突，并剔除未覆盖所有待合成访问控制策略的规则子集；根据策略冲突算法，合并剩余的规则子集，从而得到合成规则集合，由此实现访问控制策略的合成。本发明能在合成访问控制策略的过程中减少存储消耗并提高合成速度。

技术领域

本发明属于计算机信息安全技术领域，更具体地，涉及一种访问控制策略合成方法及系统。

背景技术

随着电子商务和电子政务的快速发展，越来越多的参与者在泛在的计算环境中进行协作，协作过程中数据的生成，传输和共享同时进行。这些合作极大地促进了多机构协作的有效性和生产力。需要注意的是，过程之间的数据应该是敏感的，并且为了安全考虑而被加密。各机构可以根据各自需求独立指定访问控制策略，之后则需要将多方访问控制策略合成到单一策略中；系统对已经合成完毕的访问控制策略进行响应，而不是对每个策略进行验证。例如，组织A的访问控制策略要求只有护士才能读取数据，而组织B的访问控制策略描述一个人必须是医生才能访问，当各机构制定的访问控制策略产生冲突的时候，对所有的机构指定的访问控制策略用指定的规则合并就显得尤为重要。将不同机构指定的访问控制策略合并为单个全局的访问控制策略，可以便于识别请求是否可以访问共享数据，但是，由于没有一个单一的策略能够适用于每个存在的问题，访问控制策略的合成取决于应用程序和相关机构的要求和环境。

在混合有基于身份和基于属性的多级访问控制中，随着参与者增多，访问控制策略往往越来越复杂，其中包含着着大量重复的语意冗长的访问控制策略。

属性是访问控制策略授权判断的基础和依据，访问请求者满足访问控制策略规定的属性条件即可获得策略规定的访问权限。所以可以通过识别包含有相同属性的规则，合并这些规则所在的访问控制策略。在978-1-4673-7281-7/152015IEEE《AutomatedPolicy Combination for Data Sharing Across Multiple Organizations》中提出了一种核心思想为先将不同策略的规则按照动作属性以及条件属性是否完全相同分解为多个类别，然后合并动作属性和条件属性都相同的类别从而得到紧凑的全局策略的技术。其分类及合并的方法基于在多个规则中比较他们动作属性和条件属性。该方法能够实现访问控制策略的合成，但是其中大量的属性字符串的比较过程会占用大量的CPU时间，访问控制策略合成的时间花销过大将会引起访问控制系统无法尽快响应访问控制请求；同时大量的属性字符串的存储将占用大量的内部存储器空间，挤占访问控制系统其他业务的可用内存空间。

发明内容

针对现有技术的缺陷和改进需求，本发明提供了一种访问控制策略合成方法及系统，其目的在于，基于二进制编码的方法将访问控制策略转换为二进制形式，从而在合成访问控制策略的过程中减少存储消耗并提高合成速度。

为实现上述目的，按照本发明的第一方面，提供了一种访问控制策略合成方法，包括如下步骤：

(1)获得由所有待合成访问控制策略的全部规则构成的规则集合；

(2)对规则集合中每一条规则的属性进行编码，使得属性相同的规则具有相同的属性编码，且属性不同的规则具有不同的属性编码；

(3)根据属性编码将规则集合划分为多个规则子集，使得属性编码相同的规则位于同一个规则子集中；

(4)对于任意一个规则子集，若每一个待合成访问控制策略均有规则属于该规则子集，则按照规则冲突算法处理该规则子集中属于同一访问控制策略的规则之间的冲突；否则，剔除该规则子集；