訪問(wèn)控制中的角色挖掘與邏輯編程模型研究.pdf

1、在基于角色的訪問(wèn)控制（Role-Based Access Control，RBAC）中，每一個(gè)用戶擁有哪些權(quán)限并非直接獲得，而是系統(tǒng)管理員首先給每個(gè)角色分配若干權(quán)限，然后再將這些角色分配給相應(yīng)的用戶。隨著基于角色的訪問(wèn)控制機(jī)制在系統(tǒng)安全領(lǐng)域的廣泛應(yīng)用，如何將系統(tǒng)的訪問(wèn)控制管理遷移到R BAC系統(tǒng)成為一個(gè)非常重要的問(wèn)題。角色工程（Role Engineering）技術(shù)就是用來(lái)創(chuàng)建和優(yōu)化RBAC系統(tǒng)的方法。角色工程技術(shù)由領(lǐng)域?qū)＜胰斯し治龊退?/p>

2、法自動(dòng)構(gòu)建角色兩類方法組成。其中領(lǐng)域?qū)＜胰斯し治龅姆椒ㄙM(fèi)時(shí)費(fèi)力，所以目前角色工程技術(shù)研究的重點(diǎn)是通過(guò)算法自動(dòng)構(gòu)建角色系統(tǒng)，這個(gè)方法被稱為角色挖掘（Role Mining）。
　　矩陣分解可以用來(lái)表達(dá)RBAC的角色層次關(guān)系，然而，目前的角色挖掘算法沒(méi)有用矩陣分解來(lái)表達(dá)RBAC角色層次關(guān)系，現(xiàn)有的角色挖掘算法一直未能充分利用矩陣運(yùn)算的優(yōu)勢(shì)。基于此，提出了一套表達(dá)RBAC角色層次關(guān)系的矩陣模型，并給出了角色挖掘中的成本效益分析方法。在角

3、色挖掘的過(guò)程中通過(guò)形式概念分析獲得最初的角色層次結(jié)構(gòu)，根據(jù)最初的角色層次結(jié)構(gòu)來(lái)構(gòu)建表達(dá)RBAC角色層次關(guān)系的矩陣模型，然后根據(jù)多目標(biāo)優(yōu)化函數(shù)去計(jì)算最優(yōu)的角色系統(tǒng)。最后通過(guò)實(shí)驗(yàn)與現(xiàn)有算法比較，驗(yàn)證了使用帶層次關(guān)系的矩陣模型方法的角色挖掘算法有效性。
　　傳統(tǒng)的角色挖掘算法通常難于同時(shí)處理各種約束和約束之間的沖突，考慮約束的角色挖掘問(wèn)題一直是角色工程中的難點(diǎn)。針對(duì)這一問(wèn)題，提出基于回答集編程（Answer Set Programmin

4、g，ASP）的角色挖掘方法。邏輯編程的優(yōu)點(diǎn)是只需要用邏輯語(yǔ)言描述問(wèn)題，而不需要具體給出解決約束沖突的算法。基于 ASP的邏輯編程大大簡(jiǎn)化了帶約束的角色挖掘問(wèn)題的求解。在以管理成本為評(píng)價(jià)指標(biāo)的實(shí)驗(yàn)中，即使在不考慮約束的情況下，基于ASP的邏輯編程的結(jié)果也優(yōu)于已有的角色挖掘算法。
　　另外，基于策略的訪問(wèn)控制技術(shù)也是訪問(wèn)控制技術(shù)中得到廣泛應(yīng)用的一種。在基于策略的訪問(wèn)控制技術(shù)中，XACML(extensible Access Contr

5、ol Markup Language)技術(shù)成為一種技術(shù)標(biāo)準(zhǔn)。為了便于進(jìn)行安全策略的邏輯推理和檢測(cè)，已有的研究將XACML的基礎(chǔ)組件轉(zhuǎn)化為邏輯程序ASP，然而這種基于ASP的XACML模型只能處理包含基本數(shù)據(jù)類型的XACML請(qǐng)求。如果XACML請(qǐng)求中使用的是XML格式的復(fù)雜數(shù)據(jù)類型，已有的基于 ASP的 XACML模型就無(wú)法處理。在基于策略的訪問(wèn)控制實(shí)踐中，隨著系統(tǒng)安全需求的日趨復(fù)雜，XACML請(qǐng)求中大量包含著XML格式的數(shù)據(jù)類型。為了解