[发明专利]一种基于属性探索的RBAC角色快速辅助构建方法

权利要求书

1.一种基于属性探索的RBAC角色快速辅助构建方法，其特征在于，依次包括以下步骤：

A：从某个部门信息系统中，获取该部门的访问控制日志记录，并对访问日志记录进行数据预处理，得到该部门的访问控制实例的初始集合K_O和所有权限集合M；

B：利用辅助角色发现算法，同时排除包含主基中某个蕴涵式的前件且不包含这个蕴涵式后件的权限集合，得到步骤A中该部门的确定的访问控制实例的无冗余集合K_S和蕴涵关系集合J，同时确定角色集合R；

所述的步骤B包括以下具体步骤：

B1：根据步骤A中得到的权限集合M＝(a₁,a₂,a₃,…,a_n-1,a_n),将所有权限集合M进行字典序排列后得到集合初始化确定的访问控制实例的无冗余集合蕴涵关系集合从集合M_q中取字典序排第一的集合

其中，字典序为形式概念分析中一种排序规则，蕴涵关系集合J是确定的访问控制实例的无冗余集合K_S的主基；

B2：在确定的访问控制实例的无冗余集合K_S中计算f_Ks(g_Ks(Q))，若则进入步骤B3；否则进入步骤B4；

其中，g_Ks(Q)为在确定的访问控制实例的无冗余集合K_S中找出所有拥有权限Q的用户，f_Ks(g_Ks(Q))为在确定的访问控制实例的无冗余集合K_S中找出所有拥有权限Q的用户所共同拥有的权限，g_Ko(f_Ks(g_Ks(Q))-Q)为在访问控制实例的初始集合K_O中找出所有拥有权限f_Ks(g_Ks(Q))-Q的用户；

B3：将蕴涵关系式Q-f_Ks(g_Ks(Q))-Q，即某个用户拥有权限Q那么该用户一定拥有权限f_Ks(g_Ks(Q))-Q，添加到蕴涵关系集合J中，然后进入步骤B5；

其中，蕴涵关系式Q-f_Ks(g_Ks(Q))-Q中Q是该蕴涵式的前件，f_Ks(g_Ks(Q))-Q是该蕴涵式的后件；

B4：从访问控制实例的初始集合K_O中取出一个权限分配不符合蕴涵关系式Q-f_Ks(g_Ks(Q))-Q的实例o，即实例o拥有权限Q但是不拥有权限f_Ks(g_Ks(Q))-Q，并将这个实例添加到确定的访问控制实例的无冗余集合K_S中，然后进入步骤B11；

B5：计算出字典序中仅大于Q的权限集合Q′，如果Q′与蕴涵关系集合J符合相关性定理，则进入步骤B6，否则进入步骤B7；

其中，字典序中仅大于Q的权限集合Q′，表示字典序上权限集合Q与权限集合Q′之间不存在任何权限集合；

B6：令Q＝Q′，然后进入步骤B11；

B7：计算出字典序中非平凡仅大于Q的权限集合N，计算出蕴涵关系集合J中前件为Q子集的蕴涵式后件的并集T，若N与蕴涵关系集合J不符合相关性定理，则进入步骤B8，否则进入步骤B10；

其中，字典序中非平凡仅大于Q的权限集合N，表示字典序上权限集合Q与权限集合N之间，任意权限集合均包含权限集合Q；

B8：计算出字典序中非平凡仅大于N的权限集合N′，计算出蕴涵关系集合J中前件为N子集的蕴涵式后件的并集T′，若N′与蕴涵关系集合J不符合相关性定理，进入步骤B9，否则进入步骤B10；

B9：令N＝N′，返回步骤B8；

B10：若TN,则令Q＝N，否则令Q＝T；然后进入步骤B11；

B11：若Q＝M，进入步骤B12，否则返回步骤B2；

B12：将蕴涵关系集合J中蕴涵式后件为的蕴涵式加入到角色集合R中，并得到该部门的确定的访问控制实例的无冗余集合K_S和蕴涵关系集合J。

2.根据权利要求1所述的一种基于属性探索的RBAC角色快速辅助构建方法，其特征在于，所述的步骤A包括以下具体步骤：

A1：从某个部门信息系统中，获取该部门的访问控制日志记录，将访问控制日志中访问成功的记录，记为该部门下用户拥有访问资源的权限；

A2：将访问控制日志中访问失败的记录，记为该部门下该用户不拥有访问该资源的权限；

A3：经数据处理，得到该部门下各个用户所具有的权限和不具有的权限；

A4：得到该部门的访问控制实例的初始集合K_O和所有权限集合M。