訪問控制中的角色挖掘與邏輯編程模型研究.pdf

1、在基于角色的訪問控制（Role-Based Access Control，RBAC）中，每一個用戶擁有哪些權(quán)限并非直接獲得，而是系統(tǒng)管理員首先給每個角色分配若干權(quán)限，然后再將這些角色分配給相應(yīng)的用戶。隨著基于角色的訪問控制機(jī)制在系統(tǒng)安全領(lǐng)域的廣泛應(yīng)用，如何將系統(tǒng)的訪問控制管理遷移到R BAC系統(tǒng)成為一個非常重要的問題。角色工程（Role Engineering）技術(shù)就是用來創(chuàng)建和優(yōu)化RBAC系統(tǒng)的方法。角色工程技術(shù)由領(lǐng)域?qū)＜胰斯し治龊退?/p>

2、法自動構(gòu)建角色兩類方法組成。其中領(lǐng)域?qū)＜胰斯し治龅姆椒ㄙM(fèi)時費(fèi)力，所以目前角色工程技術(shù)研究的重點(diǎn)是通過算法自動構(gòu)建角色系統(tǒng)，這個方法被稱為角色挖掘（Role Mining）。
　　矩陣分解可以用來表達(dá)RBAC的角色層次關(guān)系，然而，目前的角色挖掘算法沒有用矩陣分解來表達(dá)RBAC角色層次關(guān)系，現(xiàn)有的角色挖掘算法一直未能充分利用矩陣運(yùn)算的優(yōu)勢?；诖?，提出了一套表達(dá)RBAC角色層次關(guān)系的矩陣模型，并給出了角色挖掘中的成本效益分析方法。在角

3、色挖掘的過程中通過形式概念分析獲得最初的角色層次結(jié)構(gòu)，根據(jù)最初的角色層次結(jié)構(gòu)來構(gòu)建表達(dá)RBAC角色層次關(guān)系的矩陣模型，然后根據(jù)多目標(biāo)優(yōu)化函數(shù)去計算最優(yōu)的角色系統(tǒng)。最后通過實(shí)驗(yàn)與現(xiàn)有算法比較，驗(yàn)證了使用帶層次關(guān)系的矩陣模型方法的角色挖掘算法有效性。
　　傳統(tǒng)的角色挖掘算法通常難于同時處理各種約束和約束之間的沖突，考慮約束的角色挖掘問題一直是角色工程中的難點(diǎn)。針對這一問題，提出基于回答集編程（Answer Set Programmin

4、g，ASP）的角色挖掘方法。邏輯編程的優(yōu)點(diǎn)是只需要用邏輯語言描述問題，而不需要具體給出解決約束沖突的算法?；?ASP的邏輯編程大大簡化了帶約束的角色挖掘問題的求解。在以管理成本為評價指標(biāo)的實(shí)驗(yàn)中，即使在不考慮約束的情況下，基于ASP的邏輯編程的結(jié)果也優(yōu)于已有的角色挖掘算法。
　　另外，基于策略的訪問控制技術(shù)也是訪問控制技術(shù)中得到廣泛應(yīng)用的一種。在基于策略的訪問控制技術(shù)中，XACML(extensible Access Contr

5、ol Markup Language)技術(shù)成為一種技術(shù)標(biāo)準(zhǔn)。為了便于進(jìn)行安全策略的邏輯推理和檢測，已有的研究將XACML的基礎(chǔ)組件轉(zhuǎn)化為邏輯程序ASP，然而這種基于ASP的XACML模型只能處理包含基本數(shù)據(jù)類型的XACML請求。如果XACML請求中使用的是XML格式的復(fù)雜數(shù)據(jù)類型，已有的基于 ASP的 XACML模型就無法處理。在基于策略的訪問控制實(shí)踐中，隨著系統(tǒng)安全需求的日趨復(fù)雜，XACML請求中大量包含著XML格式的數(shù)據(jù)類型。為了解