[发明专利]一种基于属性探索的多部门协同交互式RBAC角色构建方法

权利要求书

1.一种基于属性探索的多部门协同交互式RBAC角色构建方法，其特征在于，依次包括以下步骤：

A：从多个部门中的某一个部门信息系统中，获取该部门的访问控制日志记录，并对访问日志记录进行数据预处理，得到该部门的访问控制实例的初始集合K_O和所有权限集合M；

B：利用属性探索辅助角色发现算法，得到步骤A中该部门的确定的访问控制实例的无冗余集合K_S和蕴含关系集合J，同时确定角色集合R；

所述的步骤B包括以下具体步骤：

B1：根据步骤A中得到的权限集合M＝(a₁，a₂，a₃，…，a_n-1，a_n)，将所有权限集合M进行字典序排列后得到集合初始化确定的访问控制实例的无冗余集合蕴含关系集合从集合M_q中取字典序排第一的集合其中，字典序为形式概念分析中一种排序规则；

B2：在确定的访问控制实例的无冗余集合K_S中计算f_Ks(g_Ks(Q))，若则进入步骤B3；否则进入步骤B4；

其中，g_Ks(Q)为在确定的访问控制实例的无冗余集合K_S中找出所有拥有权限Q的用户，f_Ks(g_Ks(Q))为在确定的访问控制实例的无冗余集合K_S中找出所有拥有权限Q的用户所共同拥有的权限，g_Ko(f_Ks(g_Ks(Q))-Q)为在访问控制实例的初始集合K_O中找出所有拥有权限f_Ks(g_Ks(Q))-Q的用户；

B3：将蕴含关系式Q-＞f_Ks(g_Ks(Q))-Q，即某个用户拥有权限Q那么该用户一定拥有权限f_Ks(g_Ks(Q))-Q，添加到蕴含关系集合J中，然后进入步骤B5；

B4：从访问控制实例的初始集合K_O中取出一个权限分配不符合蕴含关系式Q-＞f_Ks(g_Ks(Q))-Q的实例o，即用户o拥有权限Q但是不拥有权限f_Ks(g_Ks(Q))-Q，并将这个实例添加到确定的访问控制实例的无冗余集合K_S中，然后进入步骤B6；

B5：根据形式概念分析中集合与蕴含集合相关性定理，在集合M_q中找出下一个与蕴含关系集合J相关的权限集合Q′，令Q＝Q′，然后进入步骤B6；

B6：循环步骤B2，直到下一个与蕴含关系集合J相关的权限集合等于所有权限集合M，进入步骤B7；

B7：将蕴含关系集合J中蕴含式后件为的蕴含式加入到角色集合R中，并得到该部门的确定的访问控制实例的无冗余集合K_S和蕴含关系集合J；

C：通过步骤A和步骤B，得到所有部门的确定的访问控制实例的无冗余集合TempK＝{K₁，K₂，……，K_n-1，K_n}，所有部门的蕴含关系集合TempJ＝{J₁，J₂，……，J_n-1，J_n}，所有部门的角色集合TempR＝{R₁，R₂，……，R_n-1，R_n}，对TempJ、TempR和TempK进行分析，得到所有部门联合后的蕴含关系集合J_all、所有部门联合后确定的访问控制实例的无冗余集合K_all和所有部门联合后的角色集合R_all；

所述的步骤C包括以下具体步骤：

C1：得到所有部门的确定的访问控制实例的无冗余集合TempK＝{K₁，K₂，……，K_n-1，K_n}，所有部门的蕴含关系集合TempJ＝{J₁，J₂，……，J_n-1，J_n}和所有部门的角色集合TempR＝{R₁，R₂，……，R_n-1，R_n}，从集合M_q中取判定集合P，判定集合P的初始值为然后进行步骤C2；

C2：若判定集合P存在于任意一个部门的角色集合中时，进入步骤C6；否则进入步骤C3；

C3：若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ都存在，且判定集合P与所有部门联合后的蕴含关系集合J_all符合集合与蕴含集合相关性定理，进入步骤C7；否则进入步骤C4；

C4：若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ中都存在，且后件不相等，且判定集合P与所有部门联合后的蕴含关系集合J_all符合集合与蕴含集合相关性定理，且在所有部门的蕴含关系集合TempJ中以判定集合P为前件的蕴含式后件交集不为进入步骤C8；否则进入步骤C5；

C5：若以判定集合P为前件的蕴含式在蕴含关系集合J∈TempJ中都存在，且后件不相等，且判定集合P与所有部门联合后的蕴含关系集合J_all符合集合与蕴含集合相关性定理，且在所有部门的蕴含关系集合TempJ中以判定集合P为前件的蕴含式后件交集为进入步骤C9；否则进入步骤C10；

C6：直接将判定集合P加入所有部门联合后的角色集合R_all中，然后进入步骤C11；

C7：将蕴含关系式P-＞f(g(P))-P，即某个用户拥有权限P那么该用户一定拥有权限f(g(P))-P，直接加入所有部门联合后的蕴含关系集合J_all中，然后进入步骤C11；

C8：设P₁是所有部门中以判定集合P为前件的蕴含式后件的交集，将蕴含关系式P-＞P₁，直接加入所有部门联合后的蕴含关系集合J_all，然后进入步骤C11；

C9：直接将判定集合P加入所有部门联合后的角色集合R_all中；然后进入步骤C11；

C10：在所有部门联合后确定的访问控制实例的无冗余集合K_all中计算f(g(P))，若P＝f(g(P))，则将判定集合P加入所有部门联合后的角色集合R_all中，若P≠f(g(P))，则将蕴含式P-＞f(g(P))-P加入所有部门联合后的蕴含关系集合J_all中；然后进入步骤C11；

C11：根据形式概念分析中蕴含式相关性定理，在集合M_q中找出判定集合P的下一个符合与所有部门联合后的蕴含关系集合J_all相关性定理的权限集合P′，令P＝P′，循环步骤C1至C5，直到找到的下一个符合与所有部门联合后的蕴含关系集合J_all相关性定理的权限集合等于权限集合M；

C12：得到所有部门联合后的蕴含关系集合J_all、所有部门联合后确定的访问控制实例的无冗余集合K_all和所有部门联合后的角色集合R_all。

2.根据权利要求1所述的基于属性探索的多部门协同交互式RBAC角色构建方法，其特征在于，所述的步骤A包括以下具体步骤：

A1：从多个部门中的某一个部门信息系统中，获取该部门的访问控制日志记录，将访问控制日志中访问成功的记录，记为该部门下该用户拥有访问该资源的权限；

A2：将访问控制日志中访问失败的记录，记为该部门下该用户不拥有访问该资源的权限；

A3：经数据处理，得到该部门下各个用户所具有的权限和不具有的权限；

A4：得到该部门的访问控制实例的初始集合K_O和所有权限集合M。