CN114268649A - 一种面向物联网的rbac权限修改方法 - Google Patents
一种面向物联网的rbac权限修改方法 Download PDFInfo
- Publication number
- CN114268649A CN114268649A CN202111574576.5A CN202111574576A CN114268649A CN 114268649 A CN114268649 A CN 114268649A CN 202111574576 A CN202111574576 A CN 202111574576A CN 114268649 A CN114268649 A CN 114268649A
- Authority
- CN
- China
- Prior art keywords
- authority
- permission
- new
- access control
- implication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000002715 modification method Methods 0.000 title claims abstract description 12
- 238000000034 method Methods 0.000 claims abstract description 20
- 238000007781 pre-processing Methods 0.000 claims abstract description 5
- 238000012986 modification Methods 0.000 claims description 20
- 235000013902 inosinic acid Nutrition 0.000 claims description 11
- 238000004364 calculation method Methods 0.000 claims description 9
- 238000004458 analytical method Methods 0.000 claims description 6
- 230000003247 decreasing effect Effects 0.000 claims description 4
- 241000764238 Isis Species 0.000 claims description 3
- 125000004122 cyclic group Chemical group 0.000 claims description 3
- 238000004519 manufacturing process Methods 0.000 description 6
- 229910000831 Steel Inorganic materials 0.000 description 4
- QVGXLLKOCUKJST-UHFFFAOYSA-N atomic oxygen Chemical compound [O] QVGXLLKOCUKJST-UHFFFAOYSA-N 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 229910052760 oxygen Inorganic materials 0.000 description 4
- 239000001301 oxygen Substances 0.000 description 4
- 239000010959 steel Substances 0.000 description 4
- OFBQJSOFQDEBGM-UHFFFAOYSA-N Pentane Chemical class CCCCC OFBQJSOFQDEBGM-UHFFFAOYSA-N 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 125000000484 butyl group Chemical group [H]C([*])([H])C([H])([H])C([H])([H])C([H])([H])[H] 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 125000001495 ethyl group Chemical group [H]C([H])([H])C([H])([H])* 0.000 description 1
- 125000002496 methyl group Chemical group [H]C([H])([H])* 0.000 description 1
- 125000001436 propyl group Chemical group [H]C([*])([H])C([H])([H])C([H])([H])[H] 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
- Hardware Redundancy (AREA)
Abstract
本发明公开了一种面向物联网的RBAC权限修改方法,包括以下步骤:A:获取各权限的访问控制日志记录并进行数据预处理,得到该物联网***的权限实例数据和所有权限集合;B:利用属性探索辅助角色发现方法,建立访问控制实例的无冗余集合、权限蕴涵关系集合以及权限内涵集合;C:得到访问控制实例的无冗余集合,然后根据后件是否存在增加或减少进行判断,最终得到修改后的访问控制实例的无冗余集合、新的权限蕴涵关系集合以及新的权限内涵集合。本发明能够根据使用需求快速准确地修改访问控制模型的部分权限,有效地减少重新构建访问控制模型的时间成本。
Description
技术领域
本发明涉及访问控制(RBAC)技术领域,尤其涉及一种面向物联网的RBAC权限修改方法。
背景技术
随着物联网技术的发展及应用,物联网的访问控制问题日益突出,已成为制约物联网技术发展关键因素之一。物联网将海量的传感器、智能处理终端等大量传感设备通过有线或无线融入互联网。在传统访问控制技术中,物联网***的访问控制策略存在人为恶意操作、外部用户伪装成合法用户进行非法访问或物联网***的数据遭到恶意篡改等隐患,可能造成***的数据泄露问题。在现有的一些技术较为成熟的物联网***中,通过建立访问控制模型对物联网***中的访问行为进行策略化管理,从一定程度上避免了人为恶意操作的问题。当访问控制模型建立之后,若该访问控制模型的部分权限需要进行修改,则需要重新构建访问控制模型。由于访问控制模型根据实际使用需求的增改极有可能会一直变化,而访问控制模型的频繁变化必定会增加***的资源消耗,重新构建访问控制模型极大地增加了开发人员的时间成本。
发明内容
本发明的目的是提供一种面向物联网的RBAC权限修改方法,能够根据使用需求快速准确地修改物联网***中访问控制模型的部分权限,有效地减少重新构建访问控制模型的时间成本。
本发明采用下述技术方案:
一种面向物联网的RBAC权限修改方法,依次包括以下步骤:
A:从物联网***中获取各权限的访问控制日志记录,并对所获取的访问控制日志记录进行数据预处理,得到该物联网***的权限实例数据Data0和所有权限集合M;
B:利用属性探索辅助角色发现方法,通过步骤A所得到的权限实例数据Data0和所有权限集合M,建立物联网***的访问控制实例的无冗余集合KS1,得到整个物联网***的权限蕴涵关系集合J1以及权限内涵集合C1,并将访问控制背景中的权限按角色赋予用户;
C:对于待修改的角色r以及角色r所对应的权限A,根据确定的访问控制实例的无冗余集合KS1、权限蕴涵关系集合J1以及权限内涵集合C1,将访问控制实例的无冗余集合KS1中角色r中的权限修改为输入的权限A,得到访问控制实例的无冗余集合KS2,然后根据权限蕴涵关系集合J1以及权限内涵集合C1中的权限集合在访问控制实例的无冗余集合KS2中的后件是否存在增加或减少进行判断:
若存在某一权限集合的后件没有增加也没有减少,那么:如果该权限集合属于权限蕴涵关系集合J1,则该权限集合也属于新的权限蕴涵关系集合J2;如果该权限集合属于权限内涵集合C1,则该权限集合也属于新的权限内涵集合C2;
若存在某一权限集合的后件有增加,那么将这个权限集合放入新的权限蕴涵关系集合J2中,并在权限蕴涵关系集合J1以及权限内涵集合C1中,找出所有不包含该后件的权限集合,然后在权限蕴涵关系集合J1以及权限内涵集合C1中删除这些权限集合;
若存在某一权限集合的后件有减少,那么若该权限集合后件为空则将这个权限集合放入新的权限内涵集合C2中,若后件不为空则将这个权限集合放入新的权限蕴涵关系集合J2中,并找出所有同时满足包含该权限集合在KS1中的前件、不包含该权限集合在KS1中的后件以及包含该权限集合在KS2中的后件三个条件的权限集合,作为待加入集合;对待加入集合中的权限集合进行相关性判断,对符合相关性条件的权限集合,若后件为空则放入新的权限内涵集合C2中,若后件不为空则放入新的权限蕴涵关系集合J2;
最终得到修改后的访问控制实例的无冗余集合KS2、新的权限蕴涵关系集合J2以及新的权限内涵集合C2。
所述的步骤A包括以下具体步骤:
A1:从物联网***中,读取各权限的访问控制日志记录;
A2:在所获取的各权限的访问控制日志记录中,若某用户拥有某权限,即该用户访问某权限成功,则将该用户对应的权限记为1,否则记为0;
A3:按照步骤A2中的方法,对所获取的所有的访问控制日志记录进行处理,得到物联网***权限实例数据Data0,同时得到***中的所有权限集合M。
所述的步骤B包括以下具体步骤:
B1:根据步骤A中得到的所有权限集合M=(a1,a2,a3,…,an-1,an),将所有权限集合M进行字典序排列后得到集合 初始化确定的访问控制实例的无冗余集合权限蕴涵关系集合从集合Mq中取字典序排第一的集合
其中,为在确定的访问控制实例的无冗余集合KS1中找出所有拥有权限Q的用户,为在确定的访问控制实例的无冗余集合KS1中找出所有拥有权限Q的用户所共同拥有的权限,为在权限实例数据Data0中找出所有拥有权限的用户;
B3:若权限即拥有权限Q的角色为且的共同权限同时为Q,那么将权限Q添加到权限内涵集合C1中;若权限即拥有权限Q的角色为但的共同权限不同时为Q,则将权限蕴涵关系式即某个用户拥有权限Q那么该用户一定拥有权限添加到权限蕴涵关系集合J1中,然后进入步骤B5;
B5:根据形式概念分析中集合与蕴涵集合相关性定理,按照字典序的顺序找出下一个与权限蕴涵关系集合J1相关的权限集合Q′,令Q=Q′,然后进入步骤B6;
B6:循环步骤B2,直到下一个与权限蕴涵关系集合J1相关的权限集合等于所有权限集合M,并进入步骤B7;
B7:根据上述步骤得到确定的访问控制实例的无冗余集合KS1、权限蕴涵关系集合J1和权限内涵集合C1,其中,访问控制实例的无冗余集合KS1中的每一行代表一个角色以及该角色所拥有的权限,将访问控制背景中的权限按角色赋予用户。
所述的步骤B6中,若存在某一权限集合与某一权限蕴涵式,其中,权限集合不包含权限蕴涵式的前件,或权限集合既包含权限蕴涵式的前件也包含权限蕴涵式的后件,则称该权限集合与该权限蕴涵式相关;若存在某一权限集合与某一权限蕴涵集合,该权限集合与权限蕴涵集合中的每一个权限蕴涵式都相关,则称该权限集合与该权限蕴涵集合相关。
所述的步骤C包括以下具体步骤:
C1:根据待修改的角色r以及角色r所对应的权限A,将访问控制实例的无冗余集合KS1中角色r的权限修改为权限A,得到访问控制实例的无冗余集合KS2;根据修改后的访问控制实例的无冗余集合KS2,计算所有前件为单个属性的蕴涵式,并将得到的蕴涵式放入新建集合IMPs中,然后进入步骤C2;
C3:若新建集合F、新建集合D和权限内涵集合C1全为空,则进入步骤C15;若新建集合F、新建集合D和权限内涵集合C1三个集合不全为空,则取出新建集合F、新建集合D和权限内涵集合C1中字典序最小的权限集合b,并判断权限集合b的来源:如果权限集合b来自权限内涵集合C1,则进入步骤C4;如果权限集合b来自于新建集合F,则进入步骤C5;如果权限集合b合来自于新建集合D,则进入步骤C6;
C4:从权限内涵集合C1中删除权限集合b,如果权限集合b既不是角色r在访问控制实例的无冗余集合KS1中的权限的子集,也不是角色r在修改后的无冗余集合KS2中的权限的子集,那么直接将权限集合b放入新的权限内涵集合C2中;
其中,为在修改后的访问控制实例的无冗余集合KS2中找出所有拥有权限b的用户,为在修改后的访问控制实例的无冗余集合KS2中找出所有拥有权限b的用户所共同拥有的权限,权限蕴涵关系式表示某个用户拥有权限b那么该用户一定拥有权限
C5:从新建集合F中删除权限集合b,如果权限集合b既不是角色r在确定的访问控制实例的无冗余集合KS1中的权限的子集,也不是角色r在修改后的访问控制实例的无冗余集合KS2中的权限的子集,则直接将放入新的权限蕴涵关系集合J2中,然后返回步骤C2;
然后进入步骤C7;
C10:从新建集合E1中取出一个权限集合e1,将权限集合e1、权限集合e1中每一个单个权限的后件和权限集合三者相结合,并去掉其中重复出现的权限,将最后得到的权限组成新的权限集合e2,然后进入步骤C11;
C11:判断新的权限集合e2是否在新建集合D中存在过;若存在过,则直接返回步骤C10继续运算,直至新建集合若没有在新建集合D中存在过,则将新的权限集合e2按照字典序的位置放入新建集合D中,并返回步骤C10继续运算,直至步骤C10中新建集合
C14:判断新的属性集合e4是否在新建集合D中存在过;若存在过,则直接返回步骤C13继续运算;若没有存在过,则将新的权限集合e4按照字典序的位置放入新建集合D中,并返回步骤C13继续运算,直至步骤C13中集合当后,返回步骤C3循环计算;
C15:根据上述步骤最终得到修改后的访问控制实例的无冗余集合KS2、新的权限蕴涵关系集合J2以及新的权限内涵集合C2。
本发明能够根据使用需求快速准确地修改物联网***中访问控制模型的部分权限,有效地减少重新构建访问控制模型的时间成本。
附图说明
图1为本发明的流程示意图。
具体实施方式
以下结合附图和实施例对本发明作以详细的描述:
如图1所示,本发明所述的面向物联网的RBAC权限修改方法,依次包括以下步骤:
A:从物联网***中获取各权限的访问控制日志记录,并对所获取的访问控制日志记录进行数据预处理,得到该物联网***的权限实例数据Data0和所有权限集合M;
本发明中,步骤A包括以下具体步骤:
A1:从物联网***中,读取各权限的访问控制日志记录;
A2:在所获取的各权限的访问控制日志记录中,若某用户拥有某权限,即该用户访问某权限成功,则将该用户对应的权限记为1,否则记为0;
例如,在某工厂的物联网***中,员工甲在8月21日操作生产环节中炼钢炉温度更改成功,则记录员工甲具有操作炼钢炉温度更改的权限,将该权限记为1;员工甲在8月21日操作生产环节中加氧量更改失败,则记录员工甲不具有操作生产环节中加氧量更改的权限,将该权限记为0;
A3:按照步骤A2中的方法,对所获取的所有的访问控制日志记录进行处理,得到物联网***权限实例数据Data0,同时得到***中的所有权限集合M;
B:利用属性探索辅助角色发现方法,通过步骤A所得到的权限实例数据Data0和所有权限集合M,建立物联网***的访问控制实例的无冗余集合KS1,得到整个物联网***的权限蕴涵关系集合J1以及权限内涵集合C1,并将访问控制背景中的权限按角色赋予用户;
其中,步骤B包含以下具体步骤:
B1:根据步骤A中得到的所有权限集合M=(a1,a2,a3,…,an-1,an),将所有权限集合M进行字典序排列后得到集合 初始化确定的访问控制实例的无冗余集合权限蕴涵关系集合从集合Mq中取字典序排第一的集合其中,字典序为形式概念分析中一种排序规则;
其中,为在确定的访问控制实例的无冗余集合KS1中找出所有拥有权限Q的用户,为在确定的访问控制实例的无冗余集合KS1中找出所有拥有权限Q的用户所共同拥有的权限,为在权限实例数据Data0中找出所有拥有权限的用户;
B3:若权限即拥有权限Q的角色为且的共同权限同时为Q,那么将权限Q添加到权限内涵集合C1中;若权限即拥有权限Q的角色为但的共同权限不同时为Q,则将权限蕴涵关系式即某个用户拥有权限Q那么该用户一定拥有权限添加到权限蕴涵关系集合J1中,然后进入步骤B5;
B5:根据形式概念分析中集合与蕴涵集合相关性定理,按照字典序的顺序找出下一个与权限蕴涵关系集合J1相关的权限集合Q′,令Q=Q′,然后进入步骤B6;
B6:循环步骤B2,直到下一个与权限蕴涵关系集合J1相关的权限集合等于所有权限集合M,并进入步骤B7;
其中,若存在某一权限集合与某一权限蕴涵式,其中,权限集合不包含权限蕴涵式的前件,或权限集合既包含权限蕴涵式的前件也包含权限蕴涵式的后件,则称该权限集合与该权限蕴涵式相关,若存在某一权限集合与某一权限蕴涵集合,该权限集合与权限蕴涵集合中的每一个权限蕴涵式都相关,则称该权限集合与该权限蕴涵集合相关;
B7:根据上述步骤得到确定的访问控制实例的无冗余集合KS1、权限蕴涵关系集合J1和权限内涵集合C1,其中,访问控制实例的无冗余集合KS1中的每一行代表一个角色以及该角色所拥有的权限,将访问控制背景中的权限按角色赋予用户。
C:对于待修改的角色r以及角色r所对应的权限A,根据确定的访问控制实例的无冗余集合KS1、权限蕴涵关系集合J1以及权限内涵集合C1,将访问控制实例的无冗余集合KS1中角色r中的权限修改为输入的权限A,得到访问控制实例的无冗余集合KS2,然后根据权限蕴涵关系集合J1以及权限内涵集合C1中的权限集合在访问控制实例的无冗余集合KS2中的后件是否存在增加或减少进行判断:
若存在某一权限集合的后件没有增加也没有减少,那么:如果该权限集合属于权限蕴涵关系集合J1,则该权限集合也属于新的权限蕴涵关系集合J2;如果该权限集合属于权限内涵集合C1,则该权限集合也属于新的权限内涵集合C2;
若存在某一权限集合的后件有增加,那么将这个权限集合放入新的权限蕴涵关系集合J2中,并在权限蕴涵关系集合J1以及权限内涵集合C1中,找出所有不包含该后件的权限集合,然后在权限蕴涵关系集合J1以及权限内涵集合C1中删除这些权限集合;
若存在某一权限集合的后件有减少,那么若该权限集合后件为空则将这个权限集合放入新的权限内涵集合C2中,若后件不为空则将这个权限集合放入新的权限蕴涵关系集合J2中,并找出所有同时满足包含该权限集合在KS1中的前件、不包含该权限集合在KS1中的后件以及包含该权限集合在KS2中的后件三个条件的权限集合,作为待加入集合;对待加入集合中的权限集合进行相关性判断,对符合相关性条件的权限集合,若后件为空则放入新的权限内涵集合C2中,若后件不为空则放入新的权限蕴涵关系集合J2;
最终得到修改后的访问控制实例的无冗余集合KS2、新的权限蕴涵关系集合J2以及新的权限内涵集合C2;
所述的步骤C包含以下具体步骤:
C1:根据待修改的角色r以及角色r所对应的权限A,将访问控制实例的无冗余集合KS1中角色r的权限修改为权限A,得到访问控制实例的无冗余集合KS2;根据修改后的访问控制实例的无冗余集合KS2,计算所有前件为单个属性的蕴涵式,并将得到的蕴涵式放入新建集合IMPs中,然后进入步骤C2;
C3:若新建集合F、新建集合D和权限内涵集合C1全为空,则进入步骤C15;若新建集合F、新建集合D和权限内涵集合C1三个集合不全为空,则取出新建集合F、新建集合D和权限内涵集合C1中字典序最小的权限集合b,并判断权限集合b的来源:
如果权限集合b来自权限内涵集合C1,则进入步骤C4;如果权限集合b来自于新建集合F,则进入步骤C5;如果权限集合b合来自于新建集合D,则进入步骤C6;
C4:从权限内涵集合C1中删除权限集合b,如果权限集合b既不是角色r在访问控制实例的无冗余集合KS1中的权限的子集,也不是角色r在修改后的无冗余集合KS2中的权限的子集,那么直接将权限集合b放入新的权限内涵集合C2中;
其中,gKs2(b)为在修改后的访问控制实例的无冗余集合KS2中找出所有拥有权限b的用户,为在修改后的访问控制实例的无冗余集合KS2中找出所有拥有权限b的用户所共同拥有的权限,权限蕴涵关系式b→(fKs2(gKs2(b))-b)表示某个用户拥有权限b那么该用户一定拥有权限(fKs2(gKs2(b))-b);
C5:从新建集合F中删除权限集合b,如果权限集合b既不是角色r在确定的访问控制实例的无冗余集合KS1中的权限的子集,也不是角色r在修改后的访问控制实例的无冗余集合KS2中的权限的子集,则直接将放入新的权限蕴涵关系集合J2中,然后返回步骤C2;
然后进入步骤C7;
C10:从新建集合E1中取出一个权限集合e1,将权限集合e1、权限集合e1中每一个单个权限的后件和权限集合三者相结合,并去掉其中重复出现的权限,将最后得到的权限组成新的权限集合e2,然后进入步骤C11;
C11:判断新的权限集合e2是否在新建集合D中存在过;若存在过,则直接返回步骤C10继续运算,直至新建集合若没有在新建集合D中存在过,则将新的权限集合e2按照字典序的位置放入新建集合D中,并返回步骤C10继续运算,直至步骤C10中新建集合
C14:判断新的属性集合e4是否在新建集合D中存在过;若存在过,则直接返回步骤C13继续运算;若没有存在过,则将新的权限集合e4按照字典序的位置放入新建集合D中,并返回步骤C13继续运算,直至步骤C13中集合当后,返回步骤C3循环计算;
C15:根据上述步骤最终得到修改后的访问控制实例的无冗余集合KS2、新的权限蕴涵关系集合J2以及新的权限内涵集合C2。
下面以某大型工厂为例,基于属性探索的RBAC权限修改方法的步骤如下:
A:从某大型工厂中的物联网***中获取该部门的访问控制日志记录,并对访问日志记录进行数据预处理;得到该物联网***的权限实例数据Data0和所有权限集合M;
A1:从物联网***中,读取各权限的访问控制日志记录;
A2:在所获取的各权限的访问控制日志记录中,若某用户拥有某权限,即该用户访问某权限成功,则将该用户对应的权限记为1,否则记为0;
例如,在某工厂的物联网***中,员工甲在8月21日操作生产环节中炼钢炉温度更改成功,则记录员工甲具有操作炼钢炉温度更改的权限,将该权限记为1;员工甲在8月21日操作生产环节中加氧量更改失败,则记录员工甲不具有操作生产环节中加氧量更改的权限,将该权限记为0;
A3:按照步骤A2中的方法,对所获取的所有的访问控制日志记录进行处理,得到权限实例数据Data0,同时得到所有权限集合M;
得到权限实例数据Data0如表2所示:
表2Data0
a | b | c | d | e | f | g | h | i | |
甲 | 0 | 0 | 1 | 1 | 1 | 1 | 1 | 0 | 0 |
乙 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 0 | 1 |
丙 | 0 | 0 | 1 | 1 | 1 | 0 | 1 | 0 | 0 |
丁 | 1 | 1 | 1 | 1 | 0 | 0 | 0 | 1 | 0 |
所有权限M=(a,b,c,d,e,f,g,h,i)。
B:利用属性探索辅助角色发现方法,通过步骤A所得到的权限实例数据Data0和所有权限集合M;建立访问控制实例的无冗余集合KS1,并得到权限蕴涵关系集合J1以及权限内涵集合C1,并将访问控制背景中的权限按角色赋予用户;
B1:根据步骤A中得到的权限集合M=(i,h,g,f,e,d,……),将所有权限集合M进行字典序排列后得到集合Mq=(i,h,hi,g,gi,gh,ghi,…,abcdefghi);初始化确定的访问控制实例的无冗余集合权限蕴涵关系集合从集合Mq中取字典序排第一的集合其中,字典序为形式概念分析中一种排序规则;
B4从访问控制实例的初始集合DataO中取出一个权限分配不符合这条蕴涵规则的实例o,并将这个实例添加到确定的访问控制实例的无冗余集合KS1中,然后进入步骤B6;
B5:根据形式概念分析中集合与蕴涵集合相关性定理在集合M按字典序的顺序中找出下一个与权限蕴涵关系集合J1相关的权限集合Q′,令Q=Q′,然后进入步骤B6;集合与蕴涵集合相关性定理为本领域的常规定理,在此不再赘述;
B6:循环步骤B2,直到下一个与权限蕴涵关系集合J1相关的权限集合等于所有权限集合M,进入步骤B7;
B7:此时我们得到确定的访问控制实例的无冗余集合KS1、以及的权限蕴涵关系集合J1和权限内涵集合C1,其中访问控制实例的无冗余集合KS1中的每一行代表一个角色以及该角色所拥有的权限,将这个角色根据需要赋予相应的用户。
部门一在经过步骤A、B得到的该部门的确定的访问控制实例的无冗余集合KS1为甲(cdefg)、乙(gi)、丙(cdeg)、丁(abcdh);
部门一的权限内涵集合C和权限间权限蕴涵关系集合J为:
J1={i->g,h->abcd,f->cdeg,e->cdg,d->c,c->d,cdg->e,cdegi->abfh,b->acdh,a->bcdh,abcdegh->fi};
C:对于待修改的角色r以及角色r所对应的权限A,根据确定的访问控制实例的无冗余集合KS1、权限蕴涵关系集合J1以及权限内涵集合C1,将访问控制实例的无冗余集合KS1中角色r中的权限修改为输入的权限A,得到访问控制实例的无冗余集合KS2,然后根据权限蕴涵关系集合J1以及权限内涵集合C1中的权限集合在访问控制实例的无冗余集合KS2中的后件是否存在增加或减少进行判断:
若存在某一权限集合的后件没有增加也没有减少,那么:如果该权限集合属于权限蕴涵关系集合J1,则该权限集合也属于新的权限蕴涵关系集合J2;如果该权限集合属于权限内涵集合C1,则该权限集合也属于新的权限内涵集合C2;
若存在某一权限集合的后件有增加,那么将这个权限集合放入新的权限蕴涵关系集合J2中,并在权限蕴涵关系集合J1以及权限内涵集合C1中,找出所有不包含该后件的权限集合,然后在权限蕴涵关系集合J1以及权限内涵集合C1中删除这些权限集合;
若存在某一权限集合的后件有减少,那么若该权限集合后件为空则将这个权限集合放入新的权限内涵集合C2中,若后件不为空则将这个权限集合放入新的权限蕴涵关系集合J2中,并找出所有同时满足包含该权限集合在KS1中的前件、不包含该权限集合在KS1中的后件以及包含该权限集合在KS2中的后件三个条件的权限集合,作为待加入集合;对待加入集合中的权限集合进行相关性判断,对符合相关性条件的权限集合,若后件为空则放入新的权限内涵集合C2中,若后件不为空则放入新的权限蕴涵关系集合J2;
最终得到修改后的访问控制实例的无冗余集合KS2、新的权限蕴涵关系集合J2以及新的权限内涵集合C2;
所述的步骤C包含以下具体步骤:
C1:根据输入的角色r以及角色r的权限A,在访问控制实例的无冗余集合KS1中进行修改,得到修改后的访问控制实例的无冗余集合KS2,根据修改后的访问控制实例的无冗余集合KS2,计算所有前件为单个属性的蕴涵式,并放入新建集合IMPs中,然后进入步骤C2;
工作人员输入需要修改的角色和权限为戊(cde)。
此时得到修改后的无冗余集合KS2如表3所示:
表3KS2
a | b | c | d | e | f | g | h | i | |
甲 | 0 | 0 | 1 | 1 | 1 | 1 | 1 | 0 | 0 |
乙 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 0 | 1 |
丙 | 0 | 0 | 1 | 1 | 1 | 0 | 0 | 0 | 0 |
丁 | 1 | 1 | 1 | 1 | 0 | 0 | 0 | 1 | 0 |
根据修改后的访问控制实例的无冗余集合KS2,计算所有前件为单个属性的蕴涵式,并将所有前件为单个属性的蕴涵式放入集合新建集合IMPs={i->g,h->abcd,f->cdeg,e->cd,d->c,c->d,b->acdh,a->bcdh},然后进入步骤C2;
C3:此时新建集合F、新建集合D和权限内涵集合C1三个集合不全为空,且新建集合F,新建集合D和权限内涵集合C1中字典序最小的新建集合为F中的i,因此b=i,进入步骤C5;
C5:从新建集合F中删除这个权限集合,由于权限集合b=i既不是角色戊在访问控制实例的无冗余集合KS1中权限(cdeg)的子集,也不是角色戊在修改后的无冗余集合KS2中权限(cde)的子集,因此直接将i->g添加到新的权限蕴涵关系集合J2中,并回到步骤C3;
C2:此时新建集合F、新建集合D和权限内涵集合C1三个集合不全为空,且新建集合F,新建集合D和权限内涵集合C1中字典序最小的权限集合为新建集合F中的h,因此b=h,进入步骤C5;
C5:从新建集合F中删除这个权限集合,由于权限集合b=h既不是角色戊在访问控制实例的无冗余集合KS1中权限(cdeg)的子集,也不是角色戊在修改后的无冗余集合KS2中权限(cde)的子集,因此直接将h->abcd添加到新的权限蕴涵关系集合J2中,并回到步骤C3;
C3:此时新建集合F、新建集合D和权限内涵集合C1三个集合不全为空,且新建集合F,新建集合D和权限内涵集合C1中字典序最小的权限集合为权限内涵集合C1中的g,因此b=g,进入步骤C4;
C3:此时新建集合F、新建集合D和权限内涵集合C1三个集合不全为空,且新建集合F,新建集合D和权限内涵集合C1中字典序最小的权限集合为权限内涵集合C1中的gi,因此b=gi,进入步骤C4;
C4:从权限内涵集合C1中删除这个权限集合,由于权限集合b=gi既不是角色戊在访问控制实例的无冗余集合KS1中权限(cdeg)的子集,也不是角色戊在修改后的无冗余集合KS2中权限(cde)的子集,因此直接将gi添加到新的权限内涵集合C2中,并回到步骤C2;
……
由于篇幅有限,重复过程本文不再赘述。
最终得到修改后的无冗余集合KS2为:
a | b | c | d | e | f | g | h | i | |
甲 | 0 | 0 | 1 | 1 | 1 | 1 | 1 | 0 | 0 |
乙 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 0 | 1 |
丙 | 0 | 0 | 1 | 1 | 1 | 0 | 0 | 0 | 0 |
丁 | 1 | 1 | 1 | 1 | 0 | 0 | 0 | 1 | 0 |
新的权限蕴涵关系集合为:J2={i->g,h->abcd,f->cdeg,e->cd,d->c,c->d,cdg->ef,cdefgi->abh,b->acdh,a->bcdh,abcdeh->fgi}。
Claims (5)
1.一种面向物联网的RBAC权限修改方法,其特征在于,依次包括以下步骤:
A:从物联网***中获取各权限的访问控制日志记录,并对所获取的访问控制日志记录进行数据预处理,得到该物联网***的权限实例数据Data0和所有权限集合M;
B:利用属性探索辅助角色发现方法,通过步骤A所得到的权限实例数据Data0和所有权限集合M,建立物联网***的访问控制实例的无冗余集合KS1,得到整个物联网***的权限蕴涵关系集合J1以及权限内涵集合C1,并将访问控制背景中的权限按角色赋予用户;
C:对于待修改的角色r以及角色r所对应的权限A,根据确定的访问控制实例的无冗余集合KS1、权限蕴涵关系集合J1以及权限内涵集合C1,将访问控制实例的无冗余集合KS1中角色r中的权限修改为输入的权限A,得到访问控制实例的无冗余集合KS2,然后根据权限蕴涵关系集合J1以及权限内涵集合C1中的权限集合在访问控制实例的无冗余集合KS2中的后件是否存在增加或减少进行判断:
若存在某一权限集合的后件没有增加也没有减少,那么:如果该权限集合属于权限蕴涵关系集合J1,则该权限集合也属于新的权限蕴涵关系集合J2;如果该权限集合属于权限内涵集合C1,则该权限集合也属于新的权限内涵集合C2;
若存在某一权限集合的后件有增加,那么将这个权限集合放入新的权限蕴涵关系集合J2中,并在权限蕴涵关系集合J1以及权限内涵集合C1中,找出所有不包含该后件的权限集合,然后在权限蕴涵关系集合J1以及权限内涵集合C1中删除这些权限集合;
若存在某一权限集合的后件有减少,那么若该权限集合后件为空则将这个权限集合放入新的权限内涵集合C2中,若后件不为空则将这个权限集合放入新的权限蕴涵关系集合J2中,并找出所有同时满足包含该权限集合在KS1中的前件、不包含该权限集合在KS1中的后件以及包含该权限集合在KS2中的后件三个条件的权限集合,作为待加入集合;对待加入集合中的权限集合进行相关性判断,对符合相关性条件的权限集合,若后件为空则放入新的权限内涵集合C2中,若后件不为空则放入新的权限蕴涵关系集合J2;
最终得到修改后的访问控制实例的无冗余集合KS2、新的权限蕴涵关系集合J2以及新的权限内涵集合C2。
2.根据权利要求1所述的面向物联网的RBAC权限修改方法,其特征在于,所述的步骤A包括以下具体步骤:
A1:从物联网***中,读取各权限的访问控制日志记录;
A2:在所获取的各权限的访问控制日志记录中,若某用户拥有某权限,即该用户访问某权限成功,则将该用户对应的权限记为1,否则记为0;
A3:按照步骤A2中的方法,对所获取的所有的访问控制日志记录进行处理,得到物联网***权限实例数据Data0,同时得到***中的所有权限集合M。
3.根据权利要求2所述的面向物联网的RBAC权限修改方法,其特征在于,所述的步骤B包括以下具体步骤:
B1:根据步骤A中得到的所有权限集合M=(a1,a2,a3,…,an-1,an),将所有权限集合M进行字典序排列后得到集合 初始化确定的访问控制实例的无冗余集合权限蕴涵关系集合从集合Mq中取字典序排第一的集合
其中,为在确定的访问控制实例的无冗余集合KS1中找出所有拥有权限Q的用户,为在确定的访问控制实例的无冗余集合KS1中找出所有拥有权限Q的用户所共同拥有的权限,为在权限实例数据Data0中找出所有拥有权限的用户;
B3:若权限即拥有权限Q的角色为且的共同权限同时为Q,那么将权限Q添加到权限内涵集合C1中;若权限即拥有权限Q的角色为但的共同权限不同时为Q,则将权限蕴涵关系式即某个用户拥有权限Q那么该用户一定拥有权限添加到权限蕴涵关系集合J1中,然后进入步骤B5;
B5:根据形式概念分析中集合与蕴涵集合相关性定理,按照字典序的顺序找出下一个与权限蕴涵关系集合J1相关的权限集合Q′,令Q=Q′,然后进入步骤B6;
B6:循环步骤B2,直到下一个与权限蕴涵关系集合J1相关的权限集合等于所有权限集合M,并进入步骤B7;
B7:根据上述步骤得到确定的访问控制实例的无冗余集合KS1、权限蕴涵关系集合J1和权限内涵集合C1,其中,访问控制实例的无冗余集合KS1中的每一行代表一个角色以及该角色所拥有的权限,将访问控制背景中的权限按角色赋予用户。
4.根据权利要求3所述的面向物联网的RBAC权限修改方法,其特征在于:所述的步骤B6中,若存在某一权限集合与某一权限蕴涵式,其中,权限集合不包含权限蕴涵式的前件,或权限集合既包含权限蕴涵式的前件也包含权限蕴涵式的后件,则称该权限集合与该权限蕴涵式相关;若存在某一权限集合与某一权限蕴涵集合,该权限集合与权限蕴涵集合中的每一个权限蕴涵式都相关,则称该权限集合与该权限蕴涵集合相关。
5.根据权利要求3所述的面向物联网的RBAC权限修改方法,其特征在于,所述的步骤C包括以下具体步骤:
C1:根据待修改的角色r以及角色r所对应的权限A,将访问控制实例的无冗余集合KS1中角色r的权限修改为权限A,得到访问控制实例的无冗余集合KS2;根据修改后的访问控制实例的无冗余集合KS2,计算所有前件为单个属性的蕴涵式,并将得到的蕴涵式放入新建集合IMPs中,然后进入步骤C2;
C3:若新建集合F、新建集合D和权限内涵集合C1全为空,则进入步骤C15;若新建集合F、新建集合D和权限内涵集合C1三个集合不全为空,则取出新建集合F、新建集合D和权限内涵集合C1中字典序最小的权限集合b,并判断权限集合b的来源:如果权限集合b来自权限内涵集合C1,则进入步骤C4;如果权限集合b来自于新建集合F,则进入步骤C5;如果权限集合b合来自于新建集合D,则进入步骤C6;
C4:从权限内涵集合C1中删除权限集合b,如果权限集合b既不是角色r在访问控制实例的无冗余集合KS1中的权限的子集,也不是角色r在修改后的无冗余集合KS2中的权限的子集,那么直接将权限集合b放入新的权限内涵集合C2中;
其中,gKs2(b)为在修改后的访问控制实例的无冗余集合KS2中找出所有拥有权限b的用户,为在修改后的访问控制实例的无冗余集合KS2中找出所有拥有权限b的用户所共同拥有的权限,权限蕴涵关系式b→(fKs2(gKs2(b))-b)表示某个用户拥有权限b那么该用户一定拥有权限(fKs2(gKs2(b))-b);
C5:从新建集合F中删除权限集合b,如果权限集合b既不是角色r在确定的访问控制实例的无冗余集合KS1中的权限的子集,也不是角色r在修改后的访问控制实例的无冗余集合KS2中的权限的子集,则直接将放入新的权限蕴涵关系集合J2中,然后返回步骤C2;
然后进入步骤C7;
C10:从新建集合E1中取出一个权限集合e1,将权限集合e1、权限集合e1中每一个单个权限的后件和权限集合三者相结合,并去掉其中重复出现的权限,将最后得到的权限组成新的权限集合e2,然后进入步骤C11;
C11:判断新的权限集合e2是否在新建集合D中存在过;若存在过,则直接返回步骤C10继续运算,直至新建集合若没有在新建集合D中存在过,则将新的权限集合e2按照字典序的位置放入新建集合D中,并返回步骤C10继续运算,直至步骤C10中新建集合
C14:判断新的属性集合e4是否在新建集合D中存在过;若存在过,则直接返回步骤C13继续运算;若没有存在过,则将新的权限集合e4按照字典序的位置放入新建集合D中,并返回步骤C13继续运算,直至步骤C13中集合当后,返回步骤C3循环计算;
C15:根据上述步骤最终得到修改后的访问控制实例的无冗余集合KS2、新的权限蕴涵关系集合J2以及新的权限内涵集合C2。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111574576.5A CN114268649B (zh) | 2021-12-21 | 2021-12-21 | 一种面向物联网的rbac权限修改方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111574576.5A CN114268649B (zh) | 2021-12-21 | 2021-12-21 | 一种面向物联网的rbac权限修改方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114268649A true CN114268649A (zh) | 2022-04-01 |
CN114268649B CN114268649B (zh) | 2022-09-13 |
Family
ID=80828350
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111574576.5A Active CN114268649B (zh) | 2021-12-21 | 2021-12-21 | 一种面向物联网的rbac权限修改方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114268649B (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101339591A (zh) * | 2008-08-29 | 2009-01-07 | 中国科学院软件研究所 | 一种xacml策略规则检测方法 |
US20110321154A1 (en) * | 2010-06-25 | 2011-12-29 | Sap Ag | Systems and methods for generating constraints for use in access control |
CN102456103A (zh) * | 2010-10-26 | 2012-05-16 | 王芳 | 一种改进的rbac访问控制模型 |
CN104967620A (zh) * | 2015-06-17 | 2015-10-07 | 中国科学院信息工程研究所 | 一种基于属性访问控制策略的访问控制方法 |
CN111783043A (zh) * | 2020-07-06 | 2020-10-16 | 河南大学 | 一种基于属性探索的多部门协同交互式rbac角色构建方法 |
CN111950013A (zh) * | 2020-08-24 | 2020-11-17 | 河南大学 | 一种基于属性探索的rbac角色快速辅助构建方法 |
CN111967034A (zh) * | 2020-08-30 | 2020-11-20 | 河南大学 | 一种基于属性探索的rbac角色容错辅助构建方法 |
CN112580070A (zh) * | 2020-12-04 | 2021-03-30 | 河南大学 | 一种基于前缀字典树的rbac角色分层辅助构建方法 |
CN114448659A (zh) * | 2021-12-16 | 2022-05-06 | 河南大学 | 基于属性探索的黄河坝岸监测物联网访问控制优化方法 |
-
2021
- 2021-12-21 CN CN202111574576.5A patent/CN114268649B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101339591A (zh) * | 2008-08-29 | 2009-01-07 | 中国科学院软件研究所 | 一种xacml策略规则检测方法 |
US20110321154A1 (en) * | 2010-06-25 | 2011-12-29 | Sap Ag | Systems and methods for generating constraints for use in access control |
CN102456103A (zh) * | 2010-10-26 | 2012-05-16 | 王芳 | 一种改进的rbac访问控制模型 |
CN104967620A (zh) * | 2015-06-17 | 2015-10-07 | 中国科学院信息工程研究所 | 一种基于属性访问控制策略的访问控制方法 |
CN111783043A (zh) * | 2020-07-06 | 2020-10-16 | 河南大学 | 一种基于属性探索的多部门协同交互式rbac角色构建方法 |
CN111950013A (zh) * | 2020-08-24 | 2020-11-17 | 河南大学 | 一种基于属性探索的rbac角色快速辅助构建方法 |
CN111967034A (zh) * | 2020-08-30 | 2020-11-20 | 河南大学 | 一种基于属性探索的rbac角色容错辅助构建方法 |
CN112580070A (zh) * | 2020-12-04 | 2021-03-30 | 河南大学 | 一种基于前缀字典树的rbac角色分层辅助构建方法 |
CN114448659A (zh) * | 2021-12-16 | 2022-05-06 | 河南大学 | 基于属性探索的黄河坝岸监测物联网访问控制优化方法 |
Non-Patent Citations (2)
Title |
---|
ZHANG LEI,ETAL.: "A Mandatory Access Control Model Based on Concept Lattice", 《2011 INTERNATIONAL CONFERENCE ON NETWORK COMPUTING AND INFORMATION SECURITY》 * |
张磊: "基于概念格的角色工程相关算法研究", 《中国博士学位论文全文数据库 信息科技辑》 * |
Also Published As
Publication number | Publication date |
---|---|
CN114268649B (zh) | 2022-09-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1410214B1 (en) | Data processing method | |
US8943059B2 (en) | Systems and methods for merging source records in accordance with survivorship rules | |
Sun et al. | Mining weighted association rules without preassigned weights | |
US7177875B2 (en) | System and method for creating and using computer databases having schema integrated into data structure | |
Ding et al. | A brief survey on de-anonymization attacks in online social networks | |
Taylor | SQL for Dummies | |
CN103176988A (zh) | 基于SaaS的数据迁移*** | |
CN107402957B (zh) | 用户行为模式库的构建及用户行为异常检测方法、*** | |
Ma et al. | G-SQL: Fast query processing via graph exploration | |
CN111950013B (zh) | 一种基于属性探索的rbac角色快速辅助构建方法 | |
US7593969B2 (en) | Linked dimension and measure groups | |
CN111783043B (zh) | 一种基于属性探索的多部门协同交互式rbac角色构建方法 | |
Khan et al. | Graph-based management and mining of blockchain data | |
CN112800085B (zh) | 一种基于布隆过滤器识别表间主外键字段的方法及装置 | |
CN114625764A (zh) | 基于混合引擎的大数据处理***与方法 | |
CN114268649B (zh) | 一种面向物联网的rbac权限修改方法 | |
US10089361B2 (en) | Efficient mechanism for managing hierarchical relationships in a relational database system | |
CN115168474B (zh) | 一种基于大数据模型的物联中台***搭建方法 | |
Fu et al. | ICA: an incremental clustering algorithm based on OPTICS | |
CN113946634B (zh) | 一种业务数据的领域模型的处理方法、装置及设备 | |
Li et al. | DPIF: a framework for distinguishing unintentional quality problems from potential shilling attacks | |
Lu et al. | A survey of mapreduce based parallel processing technologies | |
Zhao et al. | ASM-based design of data warehouses and on-line analytical processing systems | |
Zaker et al. | Optimizing the data warehouse design by hierarchical denormalizing | |
Gang et al. | A kind of bidirectional mapping strategy of heterogeneous data model based on metadata-driven |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |