CN114268649A - 一种面向物联网的rbac权限修改方法 - Google Patents

一种面向物联网的rbac权限修改方法 Download PDF

Info

Publication number
CN114268649A
CN114268649A CN202111574576.5A CN202111574576A CN114268649A CN 114268649 A CN114268649 A CN 114268649A CN 202111574576 A CN202111574576 A CN 202111574576A CN 114268649 A CN114268649 A CN 114268649A
Authority
CN
China
Prior art keywords
authority
permission
new
access control
implication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111574576.5A
Other languages
English (en)
Other versions
CN114268649B (zh
Inventor
张磊
张芃
沈夏炯
韩道军
贾培艳
丁文珂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Henan University
Original Assignee
Henan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Henan University filed Critical Henan University
Priority to CN202111574576.5A priority Critical patent/CN114268649B/zh
Publication of CN114268649A publication Critical patent/CN114268649A/zh
Application granted granted Critical
Publication of CN114268649B publication Critical patent/CN114268649B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Hardware Redundancy (AREA)

Abstract

本发明公开了一种面向物联网的RBAC权限修改方法,包括以下步骤:A:获取各权限的访问控制日志记录并进行数据预处理,得到该物联网***的权限实例数据和所有权限集合;B:利用属性探索辅助角色发现方法,建立访问控制实例的无冗余集合、权限蕴涵关系集合以及权限内涵集合;C:得到访问控制实例的无冗余集合,然后根据后件是否存在增加或减少进行判断,最终得到修改后的访问控制实例的无冗余集合、新的权限蕴涵关系集合以及新的权限内涵集合。本发明能够根据使用需求快速准确地修改访问控制模型的部分权限,有效地减少重新构建访问控制模型的时间成本。

Description

一种面向物联网的RBAC权限修改方法
技术领域
本发明涉及访问控制(RBAC)技术领域,尤其涉及一种面向物联网的RBAC权限修改方法。
背景技术
随着物联网技术的发展及应用,物联网的访问控制问题日益突出,已成为制约物联网技术发展关键因素之一。物联网将海量的传感器、智能处理终端等大量传感设备通过有线或无线融入互联网。在传统访问控制技术中,物联网***的访问控制策略存在人为恶意操作、外部用户伪装成合法用户进行非法访问或物联网***的数据遭到恶意篡改等隐患,可能造成***的数据泄露问题。在现有的一些技术较为成熟的物联网***中,通过建立访问控制模型对物联网***中的访问行为进行策略化管理,从一定程度上避免了人为恶意操作的问题。当访问控制模型建立之后,若该访问控制模型的部分权限需要进行修改,则需要重新构建访问控制模型。由于访问控制模型根据实际使用需求的增改极有可能会一直变化,而访问控制模型的频繁变化必定会增加***的资源消耗,重新构建访问控制模型极大地增加了开发人员的时间成本。
发明内容
本发明的目的是提供一种面向物联网的RBAC权限修改方法,能够根据使用需求快速准确地修改物联网***中访问控制模型的部分权限,有效地减少重新构建访问控制模型的时间成本。
本发明采用下述技术方案:
一种面向物联网的RBAC权限修改方法,依次包括以下步骤:
A:从物联网***中获取各权限的访问控制日志记录,并对所获取的访问控制日志记录进行数据预处理,得到该物联网***的权限实例数据Data0和所有权限集合M;
B:利用属性探索辅助角色发现方法,通过步骤A所得到的权限实例数据Data0和所有权限集合M,建立物联网***的访问控制实例的无冗余集合KS1,得到整个物联网***的权限蕴涵关系集合J1以及权限内涵集合C1,并将访问控制背景中的权限按角色赋予用户;
C:对于待修改的角色r以及角色r所对应的权限A,根据确定的访问控制实例的无冗余集合KS1、权限蕴涵关系集合J1以及权限内涵集合C1,将访问控制实例的无冗余集合KS1中角色r中的权限修改为输入的权限A,得到访问控制实例的无冗余集合KS2,然后根据权限蕴涵关系集合J1以及权限内涵集合C1中的权限集合在访问控制实例的无冗余集合KS2中的后件是否存在增加或减少进行判断:
若存在某一权限集合的后件没有增加也没有减少,那么:如果该权限集合属于权限蕴涵关系集合J1,则该权限集合也属于新的权限蕴涵关系集合J2;如果该权限集合属于权限内涵集合C1,则该权限集合也属于新的权限内涵集合C2
若存在某一权限集合的后件有增加,那么将这个权限集合放入新的权限蕴涵关系集合J2中,并在权限蕴涵关系集合J1以及权限内涵集合C1中,找出所有不包含该后件的权限集合,然后在权限蕴涵关系集合J1以及权限内涵集合C1中删除这些权限集合;
若存在某一权限集合的后件有减少,那么若该权限集合后件为空则将这个权限集合放入新的权限内涵集合C2中,若后件不为空则将这个权限集合放入新的权限蕴涵关系集合J2中,并找出所有同时满足包含该权限集合在KS1中的前件、不包含该权限集合在KS1中的后件以及包含该权限集合在KS2中的后件三个条件的权限集合,作为待加入集合;对待加入集合中的权限集合进行相关性判断,对符合相关性条件的权限集合,若后件为空则放入新的权限内涵集合C2中,若后件不为空则放入新的权限蕴涵关系集合J2
最终得到修改后的访问控制实例的无冗余集合KS2、新的权限蕴涵关系集合J2以及新的权限内涵集合C2
所述的步骤A包括以下具体步骤:
A1:从物联网***中,读取各权限的访问控制日志记录;
A2:在所获取的各权限的访问控制日志记录中,若某用户拥有某权限,即该用户访问某权限成功,则将该用户对应的权限记为1,否则记为0;
A3:按照步骤A2中的方法,对所获取的所有的访问控制日志记录进行处理,得到物联网***权限实例数据Data0,同时得到***中的所有权限集合M。
所述的步骤B包括以下具体步骤:
B1:根据步骤A中得到的所有权限集合M=(a1,a2,a3,…,an-1,an),将所有权限集合M进行字典序排列后得到集合
Figure BDA0003424398710000031
Figure BDA0003424398710000032
初始化确定的访问控制实例的无冗余集合
Figure BDA0003424398710000033
权限蕴涵关系集合
Figure BDA0003424398710000034
从集合Mq中取字典序排第一的集合
Figure BDA0003424398710000035
B2:在确定的访问控制实例的无冗余集合KS1中计算fKs1(gKs1(Q)),若
Figure BDA0003424398710000036
则进入步骤B3;否则进入步骤B4;
其中,
Figure BDA0003424398710000037
为在确定的访问控制实例的无冗余集合KS1中找出所有拥有权限Q的用户,
Figure BDA0003424398710000038
为在确定的访问控制实例的无冗余集合KS1中找出所有拥有权限Q的用户所共同拥有的权限,
Figure BDA0003424398710000039
为在权限实例数据Data0中找出所有拥有权限
Figure BDA00034243987100000310
的用户;
B3:若权限
Figure BDA00034243987100000311
即拥有权限Q的角色为
Figure BDA00034243987100000312
Figure BDA00034243987100000313
的共同权限同时为Q,那么将权限Q添加到权限内涵集合C1中;若权限
Figure BDA00034243987100000314
即拥有权限Q的角色为
Figure BDA00034243987100000315
Figure BDA00034243987100000316
的共同权限不同时为Q,则将权限蕴涵关系式
Figure BDA00034243987100000317
即某个用户拥有权限Q那么该用户一定拥有权限
Figure BDA00034243987100000318
添加到权限蕴涵关系集合J1中,然后进入步骤B5;
B4:从权限实例数据Data0中取出一个权限分配不符合权限蕴涵关系式
Figure BDA00034243987100000319
的实例o,即实例o拥有权限Q但是不拥有权限
Figure BDA00034243987100000320
并将这个实例添加到确定的访问控制实例的无冗余集合KS1中,然后进入步骤B6;
B5:根据形式概念分析中集合与蕴涵集合相关性定理,按照字典序的顺序找出下一个与权限蕴涵关系集合J1相关的权限集合Q′,令Q=Q′,然后进入步骤B6;
B6:循环步骤B2,直到下一个与权限蕴涵关系集合J1相关的权限集合等于所有权限集合M,并进入步骤B7;
B7:根据上述步骤得到确定的访问控制实例的无冗余集合KS1、权限蕴涵关系集合J1和权限内涵集合C1,其中,访问控制实例的无冗余集合KS1中的每一行代表一个角色以及该角色所拥有的权限,将访问控制背景中的权限按角色赋予用户。
所述的步骤B6中,若存在某一权限集合与某一权限蕴涵式,其中,权限集合不包含权限蕴涵式的前件,或权限集合既包含权限蕴涵式的前件也包含权限蕴涵式的后件,则称该权限集合与该权限蕴涵式相关;若存在某一权限集合与某一权限蕴涵集合,该权限集合与权限蕴涵集合中的每一个权限蕴涵式都相关,则称该权限集合与该权限蕴涵集合相关。
所述的步骤C包括以下具体步骤:
C1:根据待修改的角色r以及角色r所对应的权限A,将访问控制实例的无冗余集合KS1中角色r的权限修改为权限A,得到访问控制实例的无冗余集合KS2;根据修改后的访问控制实例的无冗余集合KS2,计算所有前件为单个属性的蕴涵式,并将得到的蕴涵式放入新建集合IMPs中,然后进入步骤C2;
C2:将权限蕴涵关系集合J1中所有权限蕴涵关系的前件放入新建集合F中,新建立一个待加入集合
Figure BDA0003424398710000041
然后进入步骤C3;
C3:若新建集合F、新建集合D和权限内涵集合C1全为空,则进入步骤C15;若新建集合F、新建集合D和权限内涵集合C1三个集合不全为空,则取出新建集合F、新建集合D和权限内涵集合C1中字典序最小的权限集合b,并判断权限集合b的来源:如果权限集合b来自权限内涵集合C1,则进入步骤C4;如果权限集合b来自于新建集合F,则进入步骤C5;如果权限集合b合来自于新建集合D,则进入步骤C6;
C4:从权限内涵集合C1中删除权限集合b,如果权限集合b既不是角色r在访问控制实例的无冗余集合KS1中的权限的子集,也不是角色r在修改后的无冗余集合KS2中的权限的子集,那么直接将权限集合b放入新的权限内涵集合C2中;
如果权限集合b是角色r在访问控制实例的无冗余集合KS1中的权限的子集,或是角色r在修改后的无冗余集合KS2中的权限的子集,则判断
Figure BDA0003424398710000051
是否等于权限集合b;
若等于,则将权限集合b放入新的权限内涵集合C2中,并返回步骤C2;如不等于,则将
Figure BDA0003424398710000052
放入新的权限蕴涵关系集合J2中,并进入步骤C7;
其中,
Figure BDA0003424398710000053
为在修改后的访问控制实例的无冗余集合KS2中找出所有拥有权限b的用户,
Figure BDA0003424398710000054
为在修改后的访问控制实例的无冗余集合KS2中找出所有拥有权限b的用户所共同拥有的权限,权限蕴涵关系式
Figure BDA0003424398710000055
表示某个用户拥有权限b那么该用户一定拥有权限
Figure BDA0003424398710000056
C5:从新建集合F中删除权限集合b,如果权限集合b既不是角色r在确定的访问控制实例的无冗余集合KS1中的权限的子集,也不是角色r在修改后的访问控制实例的无冗余集合KS2中的权限的子集,则直接将
Figure BDA0003424398710000057
放入新的权限蕴涵关系集合J2中,然后返回步骤C2;
如果权限集合b是角色r在确定的访问控制实例的无冗余集合KS1中的权限的子集,或是角色r在修改后的无冗余集合KS2中的权限的子集,则判断
Figure BDA0003424398710000058
是否等于权限集合b;
若等于,则将权限集合b放入新的权限内涵集合C2中,然后进入步骤C9;若不等于,则将
Figure BDA0003424398710000059
放入新的权限蕴涵关系集合J2中,然后判断
Figure BDA00034243987100000510
是否成立,若成立则进入步骤C7,若不成立则进入步骤C9;
其中,
Figure BDA00034243987100000511
是指在修改后的访问控制实例的无冗余集合KS2中所有拥有权限b的用户所共同拥有的权限,包含在确定的访问控制实例的无冗余集合KS1中所有拥有权限b的用户所共同拥有的权限;
C6:从新建集合D中删除权限集合b,然后判断
Figure BDA00034243987100000512
是否等于权限集合b;如果等于,则将权限集合b放入新的权限内涵集合C2中;如果不等于,则将
Figure BDA00034243987100000513
放入新的权限蕴涵关系集合J2中;
然后进入步骤C7;
C7:判断在权限内涵集合C1中是否存在包含
Figure BDA00034243987100000514
但不包含
Figure BDA0003424398710000061
的权限集合,若存在,则进行删除并进入步骤C8;若不存在,则直接进入步骤C8;
C8:判断在新建集合F中是否存在包含
Figure BDA0003424398710000062
但不包含
Figure BDA0003424398710000063
Figure BDA0003424398710000064
的权限集合,若存在,则进行删除然后进入步骤C12;若不存在,则返回步骤C3;
C9:新建一个集合
Figure BDA0003424398710000065
找出新建集合IMPs中所有前件中不包含
Figure BDA0003424398710000066
Figure BDA0003424398710000067
且前件与后件的并集不包含
Figure BDA0003424398710000068
的权限,在将找出的这些权限进行排列组合后,将排列组合后的权限集合添加到新建集合E1中,然后进入步骤C10;
C10:从新建集合E1中取出一个权限集合e1,将权限集合e1、权限集合e1中每一个单个权限的后件和权限集合
Figure BDA0003424398710000069
三者相结合,并去掉其中重复出现的权限,将最后得到的权限组成新的权限集合e2,然后进入步骤C11;
C11:判断新的权限集合e2是否在新建集合D中存在过;若存在过,则直接返回步骤C10继续运算,直至新建集合
Figure BDA00034243987100000610
若没有在新建集合D中存在过,则将新的权限集合e2按照字典序的位置放入新建集合D中,并返回步骤C10继续运算,直至步骤C10中新建集合
Figure BDA00034243987100000611
当新建集合
Figure BDA00034243987100000612
后,返回步骤C3进行循环计算;
C12:新建一个集合
Figure BDA00034243987100000613
找出新建集合IMPs中所有前件中不包含
Figure BDA00034243987100000614
且前件与后件的并集中不含
Figure BDA00034243987100000615
的权限,并将找出的这些权限进行排列组合并将排列组合后的权限集合添加到新建集合E2中,然后进入步骤C13;
C13:从新建集合E2中取出一个权限集合e3,将权限集合e3、权限集合e3中每一个权限的后件以及
Figure BDA00034243987100000616
相结合,并去掉其中重复的单个属性,将最后得到的权限组成新的权限集合e4,然后进入步骤C14;
C14:判断新的属性集合e4是否在新建集合D中存在过;若存在过,则直接返回步骤C13继续运算;若没有存在过,则将新的权限集合e4按照字典序的位置放入新建集合D中,并返回步骤C13继续运算,直至步骤C13中集合
Figure BDA00034243987100000617
Figure BDA00034243987100000618
后,返回步骤C3循环计算;
C15:根据上述步骤最终得到修改后的访问控制实例的无冗余集合KS2、新的权限蕴涵关系集合J2以及新的权限内涵集合C2
本发明能够根据使用需求快速准确地修改物联网***中访问控制模型的部分权限,有效地减少重新构建访问控制模型的时间成本。
附图说明
图1为本发明的流程示意图。
具体实施方式
以下结合附图和实施例对本发明作以详细的描述:
如图1所示,本发明所述的面向物联网的RBAC权限修改方法,依次包括以下步骤:
A:从物联网***中获取各权限的访问控制日志记录,并对所获取的访问控制日志记录进行数据预处理,得到该物联网***的权限实例数据Data0和所有权限集合M;
本发明中,步骤A包括以下具体步骤:
A1:从物联网***中,读取各权限的访问控制日志记录;
A2:在所获取的各权限的访问控制日志记录中,若某用户拥有某权限,即该用户访问某权限成功,则将该用户对应的权限记为1,否则记为0;
例如,在某工厂的物联网***中,员工甲在8月21日操作生产环节中炼钢炉温度更改成功,则记录员工甲具有操作炼钢炉温度更改的权限,将该权限记为1;员工甲在8月21日操作生产环节中加氧量更改失败,则记录员工甲不具有操作生产环节中加氧量更改的权限,将该权限记为0;
A3:按照步骤A2中的方法,对所获取的所有的访问控制日志记录进行处理,得到物联网***权限实例数据Data0,同时得到***中的所有权限集合M;
B:利用属性探索辅助角色发现方法,通过步骤A所得到的权限实例数据Data0和所有权限集合M,建立物联网***的访问控制实例的无冗余集合KS1,得到整个物联网***的权限蕴涵关系集合J1以及权限内涵集合C1,并将访问控制背景中的权限按角色赋予用户;
其中,步骤B包含以下具体步骤:
B1:根据步骤A中得到的所有权限集合M=(a1,a2,a3,…,an-1,an),将所有权限集合M进行字典序排列后得到集合
Figure BDA0003424398710000081
Figure BDA0003424398710000082
初始化确定的访问控制实例的无冗余集合
Figure BDA0003424398710000083
权限蕴涵关系集合
Figure BDA0003424398710000084
从集合Mq中取字典序排第一的集合
Figure BDA0003424398710000085
其中,字典序为形式概念分析中一种排序规则;
B2:在确定的访问控制实例的无冗余集合KS1中计算
Figure BDA0003424398710000086
Figure BDA0003424398710000087
则进入步骤B3;否则进入步骤B4;
其中,
Figure BDA0003424398710000088
为在确定的访问控制实例的无冗余集合KS1中找出所有拥有权限Q的用户,
Figure BDA0003424398710000089
为在确定的访问控制实例的无冗余集合KS1中找出所有拥有权限Q的用户所共同拥有的权限,
Figure BDA00034243987100000810
为在权限实例数据Data0中找出所有拥有权限
Figure BDA00034243987100000811
的用户;
B3:若权限
Figure BDA00034243987100000812
即拥有权限Q的角色为
Figure BDA00034243987100000813
Figure BDA00034243987100000814
的共同权限同时为Q,那么将权限Q添加到权限内涵集合C1中;若权限
Figure BDA00034243987100000815
即拥有权限Q的角色为
Figure BDA00034243987100000816
Figure BDA00034243987100000817
的共同权限不同时为Q,则将权限蕴涵关系式
Figure BDA00034243987100000818
即某个用户拥有权限Q那么该用户一定拥有权限
Figure BDA00034243987100000819
添加到权限蕴涵关系集合J1中,然后进入步骤B5;
B4:从权限实例数据Data0中取出一个权限分配不符合权限蕴涵关系式
Figure BDA00034243987100000820
的实例o,即实例o拥有权限Q但是不拥有权限
Figure BDA00034243987100000821
并将这个实例添加到确定的访问控制实例的无冗余集合KS1中,然后进入步骤B6;
B5:根据形式概念分析中集合与蕴涵集合相关性定理,按照字典序的顺序找出下一个与权限蕴涵关系集合J1相关的权限集合Q′,令Q=Q′,然后进入步骤B6;
B6:循环步骤B2,直到下一个与权限蕴涵关系集合J1相关的权限集合等于所有权限集合M,并进入步骤B7;
其中,若存在某一权限集合与某一权限蕴涵式,其中,权限集合不包含权限蕴涵式的前件,或权限集合既包含权限蕴涵式的前件也包含权限蕴涵式的后件,则称该权限集合与该权限蕴涵式相关,若存在某一权限集合与某一权限蕴涵集合,该权限集合与权限蕴涵集合中的每一个权限蕴涵式都相关,则称该权限集合与该权限蕴涵集合相关;
B7:根据上述步骤得到确定的访问控制实例的无冗余集合KS1、权限蕴涵关系集合J1和权限内涵集合C1,其中,访问控制实例的无冗余集合KS1中的每一行代表一个角色以及该角色所拥有的权限,将访问控制背景中的权限按角色赋予用户。
C:对于待修改的角色r以及角色r所对应的权限A,根据确定的访问控制实例的无冗余集合KS1、权限蕴涵关系集合J1以及权限内涵集合C1,将访问控制实例的无冗余集合KS1中角色r中的权限修改为输入的权限A,得到访问控制实例的无冗余集合KS2,然后根据权限蕴涵关系集合J1以及权限内涵集合C1中的权限集合在访问控制实例的无冗余集合KS2中的后件是否存在增加或减少进行判断:
若存在某一权限集合的后件没有增加也没有减少,那么:如果该权限集合属于权限蕴涵关系集合J1,则该权限集合也属于新的权限蕴涵关系集合J2;如果该权限集合属于权限内涵集合C1,则该权限集合也属于新的权限内涵集合C2
若存在某一权限集合的后件有增加,那么将这个权限集合放入新的权限蕴涵关系集合J2中,并在权限蕴涵关系集合J1以及权限内涵集合C1中,找出所有不包含该后件的权限集合,然后在权限蕴涵关系集合J1以及权限内涵集合C1中删除这些权限集合;
若存在某一权限集合的后件有减少,那么若该权限集合后件为空则将这个权限集合放入新的权限内涵集合C2中,若后件不为空则将这个权限集合放入新的权限蕴涵关系集合J2中,并找出所有同时满足包含该权限集合在KS1中的前件、不包含该权限集合在KS1中的后件以及包含该权限集合在KS2中的后件三个条件的权限集合,作为待加入集合;对待加入集合中的权限集合进行相关性判断,对符合相关性条件的权限集合,若后件为空则放入新的权限内涵集合C2中,若后件不为空则放入新的权限蕴涵关系集合J2
最终得到修改后的访问控制实例的无冗余集合KS2、新的权限蕴涵关系集合J2以及新的权限内涵集合C2
所述的步骤C包含以下具体步骤:
C1:根据待修改的角色r以及角色r所对应的权限A,将访问控制实例的无冗余集合KS1中角色r的权限修改为权限A,得到访问控制实例的无冗余集合KS2;根据修改后的访问控制实例的无冗余集合KS2,计算所有前件为单个属性的蕴涵式,并将得到的蕴涵式放入新建集合IMPs中,然后进入步骤C2;
C2:将权限蕴涵关系集合J1中所有权限蕴涵关系的前件放入新建集合F中,新建立一个待加入集合
Figure BDA0003424398710000101
然后进入步骤C3;
C3:若新建集合F、新建集合D和权限内涵集合C1全为空,则进入步骤C15;若新建集合F、新建集合D和权限内涵集合C1三个集合不全为空,则取出新建集合F、新建集合D和权限内涵集合C1中字典序最小的权限集合b,并判断权限集合b的来源:
如果权限集合b来自权限内涵集合C1,则进入步骤C4;如果权限集合b来自于新建集合F,则进入步骤C5;如果权限集合b合来自于新建集合D,则进入步骤C6;
C4:从权限内涵集合C1中删除权限集合b,如果权限集合b既不是角色r在访问控制实例的无冗余集合KS1中的权限的子集,也不是角色r在修改后的无冗余集合KS2中的权限的子集,那么直接将权限集合b放入新的权限内涵集合C2中;
如果权限集合b是角色r在访问控制实例的无冗余集合KS1中的权限的子集,或是角色r在修改后的无冗余集合KS2中的权限的子集,则判断
Figure BDA0003424398710000102
是否等于权限集合b;
若等于,则将权限集合b放入新的权限内涵集合C2中,并返回步骤C2;如不等于,则将
Figure BDA0003424398710000103
放入新的权限蕴涵关系集合J2中,并进入步骤C7;
其中,gKs2(b)为在修改后的访问控制实例的无冗余集合KS2中找出所有拥有权限b的用户,
Figure BDA0003424398710000104
为在修改后的访问控制实例的无冗余集合KS2中找出所有拥有权限b的用户所共同拥有的权限,权限蕴涵关系式b→(fKs2(gKs2(b))-b)表示某个用户拥有权限b那么该用户一定拥有权限(fKs2(gKs2(b))-b);
C5:从新建集合F中删除权限集合b,如果权限集合b既不是角色r在确定的访问控制实例的无冗余集合KS1中的权限的子集,也不是角色r在修改后的访问控制实例的无冗余集合KS2中的权限的子集,则直接将
Figure BDA0003424398710000111
放入新的权限蕴涵关系集合J2中,然后返回步骤C2;
如果权限集合b是角色r在确定的访问控制实例的无冗余集合KS1中的权限的子集,或是角色r在修改后的无冗余集合KS2中的权限的子集,则判断
Figure BDA0003424398710000112
是否等于权限集合b;
若等于,则将权限集合b放入新的权限内涵集合C2中,然后进入步骤C9;若不等于,则将
Figure BDA0003424398710000113
放入新的权限蕴涵关系集合J2中,然后判断
Figure BDA0003424398710000114
是否成立,若成立则进入步骤C7,若不成立则进入步骤C9;
其中,
Figure BDA0003424398710000115
是指在修改后的访问控制实例的无冗余集合KS2中所有拥有权限b的用户所共同拥有的权限,包含在确定的访问控制实例的无冗余集合KS1中所有拥有权限b的用户所共同拥有的权限。
C6:从新建集合D中删除权限集合b,然后判断
Figure BDA0003424398710000116
是否等于权限集合b;如果等于,则将权限集合b放入新的权限内涵集合C2中;如果不等于,则将
Figure BDA0003424398710000117
放入新的权限蕴涵关系集合J2中;
然后进入步骤C7;
C7:判断在权限内涵集合C1中是否存在包含
Figure BDA0003424398710000118
但不包含
Figure BDA0003424398710000119
的权限集合,若存在,则进行删除并进入步骤C8;若不存在,则直接进入步骤C8;
C8:判断在新建集合F中是否存在包含
Figure BDA00034243987100001110
但不包含
Figure BDA00034243987100001111
Figure BDA00034243987100001112
的权限集合,若存在,则进行删除然后进入步骤C12,若不存在,则返回步骤C3;
C9:新建一个集合
Figure BDA00034243987100001113
找出新建集合IMPs中所有前件中不包含
Figure BDA00034243987100001114
Figure BDA00034243987100001115
且前件与后件的并集不包含
Figure BDA00034243987100001116
的权限,在将找出的这些权限进行排列组合后,将排列组合后的权限集合添加到新建集合E1中,然后进入步骤C10;
C10:从新建集合E1中取出一个权限集合e1,将权限集合e1、权限集合e1中每一个单个权限的后件和权限集合
Figure BDA00034243987100001117
三者相结合,并去掉其中重复出现的权限,将最后得到的权限组成新的权限集合e2,然后进入步骤C11;
C11:判断新的权限集合e2是否在新建集合D中存在过;若存在过,则直接返回步骤C10继续运算,直至新建集合
Figure BDA0003424398710000121
若没有在新建集合D中存在过,则将新的权限集合e2按照字典序的位置放入新建集合D中,并返回步骤C10继续运算,直至步骤C10中新建集合
Figure BDA0003424398710000122
当新建集合
Figure BDA0003424398710000123
后,返回步骤C3进行循环计算;
C12:新建一个集合
Figure BDA0003424398710000124
找出新建集合IMPs中所有前件中不包含
Figure BDA0003424398710000125
且前件与后件的并集中不含
Figure BDA0003424398710000126
的权限,并将找出的这些权限进行排列组合并将排列组合后的权限集合添加到新建集合E2中,然后进入步骤C13;
C13:从新建集合E2中取出一个权限集合e3,将权限集合e3、权限集合e3中每一个权限的后件以及
Figure BDA0003424398710000127
相结合,并去掉其中重复的单个属性,将最后得到的权限组成新的权限集合e4,然后进入步骤C14;
C14:判断新的属性集合e4是否在新建集合D中存在过;若存在过,则直接返回步骤C13继续运算;若没有存在过,则将新的权限集合e4按照字典序的位置放入新建集合D中,并返回步骤C13继续运算,直至步骤C13中集合
Figure BDA0003424398710000128
Figure BDA0003424398710000129
后,返回步骤C3循环计算;
C15:根据上述步骤最终得到修改后的访问控制实例的无冗余集合KS2、新的权限蕴涵关系集合J2以及新的权限内涵集合C2
下面以某大型工厂为例,基于属性探索的RBAC权限修改方法的步骤如下:
A:从某大型工厂中的物联网***中获取该部门的访问控制日志记录,并对访问日志记录进行数据预处理;得到该物联网***的权限实例数据Data0和所有权限集合M;
A1:从物联网***中,读取各权限的访问控制日志记录;
A2:在所获取的各权限的访问控制日志记录中,若某用户拥有某权限,即该用户访问某权限成功,则将该用户对应的权限记为1,否则记为0;
例如,在某工厂的物联网***中,员工甲在8月21日操作生产环节中炼钢炉温度更改成功,则记录员工甲具有操作炼钢炉温度更改的权限,将该权限记为1;员工甲在8月21日操作生产环节中加氧量更改失败,则记录员工甲不具有操作生产环节中加氧量更改的权限,将该权限记为0;
A3:按照步骤A2中的方法,对所获取的所有的访问控制日志记录进行处理,得到权限实例数据Data0,同时得到所有权限集合M;
得到权限实例数据Data0如表2所示:
表2Data0
a b c d e f g h i
0 0 1 1 1 1 1 0 0
0 0 0 0 0 0 1 0 1
0 0 1 1 1 0 1 0 0
1 1 1 1 0 0 0 1 0
所有权限M=(a,b,c,d,e,f,g,h,i)。
B:利用属性探索辅助角色发现方法,通过步骤A所得到的权限实例数据Data0和所有权限集合M;建立访问控制实例的无冗余集合KS1,并得到权限蕴涵关系集合J1以及权限内涵集合C1,并将访问控制背景中的权限按角色赋予用户;
B1:根据步骤A中得到的权限集合M=(i,h,g,f,e,d,……),将所有权限集合M进行字典序排列后得到集合Mq=(i,h,hi,g,gi,gh,ghi,…,abcdefghi);初始化确定的访问控制实例的无冗余集合
Figure BDA0003424398710000131
权限蕴涵关系集合
Figure BDA0003424398710000132
从集合Mq中取字典序排第一的集合
Figure BDA0003424398710000133
其中,字典序为形式概念分析中一种排序规则;
B2:在确定的访问控制实例的无冗余集合KS1中计算
Figure BDA0003424398710000134
Figure BDA0003424398710000135
KS1中gKs1(Q)=(甲,乙,丙,丁),DO
Figure BDA0003424398710000136
不满足KS1
Figure BDA0003424398710000137
在KO中gK1(fKs1(gKs1(Q))-Q)的条件,进入步骤B4;
B4从访问控制实例的初始集合DataO中取出一个权限分配不符合这条蕴涵规则的实例o,并将这个实例添加到确定的访问控制实例的无冗余集合KS1中,然后进入步骤B6;
B5:根据形式概念分析中集合与蕴涵集合相关性定理在集合M按字典序的顺序中找出下一个与权限蕴涵关系集合J1相关的权限集合Q′,令Q=Q′,然后进入步骤B6;集合与蕴涵集合相关性定理为本领域的常规定理,在此不再赘述;
B6:循环步骤B2,直到下一个与权限蕴涵关系集合J1相关的权限集合等于所有权限集合M,进入步骤B7;
B7:此时我们得到确定的访问控制实例的无冗余集合KS1、以及的权限蕴涵关系集合J1和权限内涵集合C1,其中访问控制实例的无冗余集合KS1中的每一行代表一个角色以及该角色所拥有的权限,将这个角色根据需要赋予相应的用户。
部门一在经过步骤A、B得到的该部门的确定的访问控制实例的无冗余集合KS1为甲(cdefg)、乙(gi)、丙(cdeg)、丁(abcdh);
部门一的权限内涵集合C和权限间权限蕴涵关系集合J为:
Figure BDA0003424398710000141
J1={i->g,h->abcd,f->cdeg,e->cdg,d->c,c->d,cdg->e,cdegi->abfh,b->acdh,a->bcdh,abcdegh->fi};
C:对于待修改的角色r以及角色r所对应的权限A,根据确定的访问控制实例的无冗余集合KS1、权限蕴涵关系集合J1以及权限内涵集合C1,将访问控制实例的无冗余集合KS1中角色r中的权限修改为输入的权限A,得到访问控制实例的无冗余集合KS2,然后根据权限蕴涵关系集合J1以及权限内涵集合C1中的权限集合在访问控制实例的无冗余集合KS2中的后件是否存在增加或减少进行判断:
若存在某一权限集合的后件没有增加也没有减少,那么:如果该权限集合属于权限蕴涵关系集合J1,则该权限集合也属于新的权限蕴涵关系集合J2;如果该权限集合属于权限内涵集合C1,则该权限集合也属于新的权限内涵集合C2
若存在某一权限集合的后件有增加,那么将这个权限集合放入新的权限蕴涵关系集合J2中,并在权限蕴涵关系集合J1以及权限内涵集合C1中,找出所有不包含该后件的权限集合,然后在权限蕴涵关系集合J1以及权限内涵集合C1中删除这些权限集合;
若存在某一权限集合的后件有减少,那么若该权限集合后件为空则将这个权限集合放入新的权限内涵集合C2中,若后件不为空则将这个权限集合放入新的权限蕴涵关系集合J2中,并找出所有同时满足包含该权限集合在KS1中的前件、不包含该权限集合在KS1中的后件以及包含该权限集合在KS2中的后件三个条件的权限集合,作为待加入集合;对待加入集合中的权限集合进行相关性判断,对符合相关性条件的权限集合,若后件为空则放入新的权限内涵集合C2中,若后件不为空则放入新的权限蕴涵关系集合J2
最终得到修改后的访问控制实例的无冗余集合KS2、新的权限蕴涵关系集合J2以及新的权限内涵集合C2
所述的步骤C包含以下具体步骤:
C1:根据输入的角色r以及角色r的权限A,在访问控制实例的无冗余集合KS1中进行修改,得到修改后的访问控制实例的无冗余集合KS2,根据修改后的访问控制实例的无冗余集合KS2,计算所有前件为单个属性的蕴涵式,并放入新建集合IMPs中,然后进入步骤C2;
工作人员输入需要修改的角色和权限为戊(cde)。
此时得到修改后的无冗余集合KS2如表3所示:
表3KS2
a b c d e f g h i
0 0 1 1 1 1 1 0 0
0 0 0 0 0 0 1 0 1
0 0 1 1 1 0 0 0 0
1 1 1 1 0 0 0 1 0
根据修改后的访问控制实例的无冗余集合KS2,计算所有前件为单个属性的蕴涵式,并将所有前件为单个属性的蕴涵式放入集合新建集合IMPs={i->g,h->abcd,f->cdeg,e->cd,d->c,c->d,b->acdh,a->bcdh},然后进入步骤C2;
C2:将权限蕴涵关系集合J1中所有权限蕴涵关系的前件放入新建集合F中,得到新建集合F={i,h,f,e,d,c,cdg,cdegi,b,a,abcdegh}。新建立一个待加入集合
Figure BDA0003424398710000151
进入步骤C3;
C3:此时新建集合F、新建集合D和权限内涵集合C1三个集合不全为空,且新建集合F,新建集合D和权限内涵集合C1中字典序最小的新建集合为F中的i,因此b=i,进入步骤C5;
C5:从新建集合F中删除这个权限集合,由于权限集合b=i既不是角色戊在访问控制实例的无冗余集合KS1中权限(cdeg)的子集,也不是角色戊在修改后的无冗余集合KS2中权限(cde)的子集,因此直接将i->g添加到新的权限蕴涵关系集合J2中,并回到步骤C3;
C2:此时新建集合F、新建集合D和权限内涵集合C1三个集合不全为空,且新建集合F,新建集合D和权限内涵集合C1中字典序最小的权限集合为新建集合F中的h,因此b=h,进入步骤C5;
C5:从新建集合F中删除这个权限集合,由于权限集合b=h既不是角色戊在访问控制实例的无冗余集合KS1中权限(cdeg)的子集,也不是角色戊在修改后的无冗余集合KS2中权限(cde)的子集,因此直接将h->abcd添加到新的权限蕴涵关系集合J2中,并回到步骤C3;
C3:此时新建集合F、新建集合D和权限内涵集合C1三个集合不全为空,且新建集合F,新建集合D和权限内涵集合C1中字典序最小的权限集合为权限内涵集合C1中的g,因此b=g,进入步骤C4;
C4:从权限内涵集合C1中删除权限集合b,由于权限集合b=g是角色戊在访问控制实例的无冗余集合KS1中权限(cdeg)的子集,且此时
Figure BDA0003424398710000161
那么将g放入新的权限内涵集合C2中,并回到步骤C2;
C3:此时新建集合F、新建集合D和权限内涵集合C1三个集合不全为空,且新建集合F,新建集合D和权限内涵集合C1中字典序最小的权限集合为权限内涵集合C1中的gi,因此b=gi,进入步骤C4;
C4:从权限内涵集合C1中删除这个权限集合,由于权限集合b=gi既不是角色戊在访问控制实例的无冗余集合KS1中权限(cdeg)的子集,也不是角色戊在修改后的无冗余集合KS2中权限(cde)的子集,因此直接将gi添加到新的权限内涵集合C2中,并回到步骤C2;
……
由于篇幅有限,重复过程本文不再赘述。
最终得到修改后的无冗余集合KS2为:
a b c d e f g h i
0 0 1 1 1 1 1 0 0
0 0 0 0 0 0 1 0 1
0 0 1 1 1 0 0 0 0
1 1 1 1 0 0 0 1 0
新的权限蕴涵关系集合为:J2={i->g,h->abcd,f->cdeg,e->cd,d->c,c->d,cdg->ef,cdefgi->abh,b->acdh,a->bcdh,abcdeh->fgi}。
新的权限内涵集合为:
Figure BDA0003424398710000171

Claims (5)

1.一种面向物联网的RBAC权限修改方法,其特征在于,依次包括以下步骤:
A:从物联网***中获取各权限的访问控制日志记录,并对所获取的访问控制日志记录进行数据预处理,得到该物联网***的权限实例数据Data0和所有权限集合M;
B:利用属性探索辅助角色发现方法,通过步骤A所得到的权限实例数据Data0和所有权限集合M,建立物联网***的访问控制实例的无冗余集合KS1,得到整个物联网***的权限蕴涵关系集合J1以及权限内涵集合C1,并将访问控制背景中的权限按角色赋予用户;
C:对于待修改的角色r以及角色r所对应的权限A,根据确定的访问控制实例的无冗余集合KS1、权限蕴涵关系集合J1以及权限内涵集合C1,将访问控制实例的无冗余集合KS1中角色r中的权限修改为输入的权限A,得到访问控制实例的无冗余集合KS2,然后根据权限蕴涵关系集合J1以及权限内涵集合C1中的权限集合在访问控制实例的无冗余集合KS2中的后件是否存在增加或减少进行判断:
若存在某一权限集合的后件没有增加也没有减少,那么:如果该权限集合属于权限蕴涵关系集合J1,则该权限集合也属于新的权限蕴涵关系集合J2;如果该权限集合属于权限内涵集合C1,则该权限集合也属于新的权限内涵集合C2
若存在某一权限集合的后件有增加,那么将这个权限集合放入新的权限蕴涵关系集合J2中,并在权限蕴涵关系集合J1以及权限内涵集合C1中,找出所有不包含该后件的权限集合,然后在权限蕴涵关系集合J1以及权限内涵集合C1中删除这些权限集合;
若存在某一权限集合的后件有减少,那么若该权限集合后件为空则将这个权限集合放入新的权限内涵集合C2中,若后件不为空则将这个权限集合放入新的权限蕴涵关系集合J2中,并找出所有同时满足包含该权限集合在KS1中的前件、不包含该权限集合在KS1中的后件以及包含该权限集合在KS2中的后件三个条件的权限集合,作为待加入集合;对待加入集合中的权限集合进行相关性判断,对符合相关性条件的权限集合,若后件为空则放入新的权限内涵集合C2中,若后件不为空则放入新的权限蕴涵关系集合J2
最终得到修改后的访问控制实例的无冗余集合KS2、新的权限蕴涵关系集合J2以及新的权限内涵集合C2
2.根据权利要求1所述的面向物联网的RBAC权限修改方法,其特征在于,所述的步骤A包括以下具体步骤:
A1:从物联网***中,读取各权限的访问控制日志记录;
A2:在所获取的各权限的访问控制日志记录中,若某用户拥有某权限,即该用户访问某权限成功,则将该用户对应的权限记为1,否则记为0;
A3:按照步骤A2中的方法,对所获取的所有的访问控制日志记录进行处理,得到物联网***权限实例数据Data0,同时得到***中的所有权限集合M。
3.根据权利要求2所述的面向物联网的RBAC权限修改方法,其特征在于,所述的步骤B包括以下具体步骤:
B1:根据步骤A中得到的所有权限集合M=(a1,a2,a3,…,an-1,an),将所有权限集合M进行字典序排列后得到集合
Figure FDA0003424398700000021
Figure FDA0003424398700000022
初始化确定的访问控制实例的无冗余集合
Figure FDA0003424398700000023
权限蕴涵关系集合
Figure FDA0003424398700000024
从集合Mq中取字典序排第一的集合
Figure FDA0003424398700000025
B2:在确定的访问控制实例的无冗余集合KS1中计算
Figure FDA0003424398700000026
Figure FDA0003424398700000027
则进入步骤B3;否则进入步骤B4;
其中,
Figure FDA0003424398700000028
为在确定的访问控制实例的无冗余集合KS1中找出所有拥有权限Q的用户,
Figure FDA0003424398700000029
为在确定的访问控制实例的无冗余集合KS1中找出所有拥有权限Q的用户所共同拥有的权限,
Figure FDA00034243987000000210
为在权限实例数据Data0中找出所有拥有权限
Figure FDA00034243987000000211
的用户;
B3:若权限
Figure FDA0003424398700000031
即拥有权限Q的角色为
Figure FDA0003424398700000032
Figure FDA0003424398700000033
的共同权限同时为Q,那么将权限Q添加到权限内涵集合C1中;若权限
Figure FDA0003424398700000034
即拥有权限Q的角色为
Figure FDA0003424398700000035
Figure FDA0003424398700000036
的共同权限不同时为Q,则将权限蕴涵关系式
Figure FDA0003424398700000037
即某个用户拥有权限Q那么该用户一定拥有权限
Figure FDA0003424398700000038
添加到权限蕴涵关系集合J1中,然后进入步骤B5;
B4:从权限实例数据Data0中取出一个权限分配不符合权限蕴涵关系式
Figure FDA0003424398700000039
的实例o,即实例o拥有权限Q但是不拥有权限
Figure FDA00034243987000000310
并将这个实例添加到确定的访问控制实例的无冗余集合KS1中,然后进入步骤B6;
B5:根据形式概念分析中集合与蕴涵集合相关性定理,按照字典序的顺序找出下一个与权限蕴涵关系集合J1相关的权限集合Q′,令Q=Q′,然后进入步骤B6;
B6:循环步骤B2,直到下一个与权限蕴涵关系集合J1相关的权限集合等于所有权限集合M,并进入步骤B7;
B7:根据上述步骤得到确定的访问控制实例的无冗余集合KS1、权限蕴涵关系集合J1和权限内涵集合C1,其中,访问控制实例的无冗余集合KS1中的每一行代表一个角色以及该角色所拥有的权限,将访问控制背景中的权限按角色赋予用户。
4.根据权利要求3所述的面向物联网的RBAC权限修改方法,其特征在于:所述的步骤B6中,若存在某一权限集合与某一权限蕴涵式,其中,权限集合不包含权限蕴涵式的前件,或权限集合既包含权限蕴涵式的前件也包含权限蕴涵式的后件,则称该权限集合与该权限蕴涵式相关;若存在某一权限集合与某一权限蕴涵集合,该权限集合与权限蕴涵集合中的每一个权限蕴涵式都相关,则称该权限集合与该权限蕴涵集合相关。
5.根据权利要求3所述的面向物联网的RBAC权限修改方法,其特征在于,所述的步骤C包括以下具体步骤:
C1:根据待修改的角色r以及角色r所对应的权限A,将访问控制实例的无冗余集合KS1中角色r的权限修改为权限A,得到访问控制实例的无冗余集合KS2;根据修改后的访问控制实例的无冗余集合KS2,计算所有前件为单个属性的蕴涵式,并将得到的蕴涵式放入新建集合IMPs中,然后进入步骤C2;
C2:将权限蕴涵关系集合J1中所有权限蕴涵关系的前件放入新建集合F中,新建立一个待加入集合
Figure FDA0003424398700000041
然后进入步骤C3;
C3:若新建集合F、新建集合D和权限内涵集合C1全为空,则进入步骤C15;若新建集合F、新建集合D和权限内涵集合C1三个集合不全为空,则取出新建集合F、新建集合D和权限内涵集合C1中字典序最小的权限集合b,并判断权限集合b的来源:如果权限集合b来自权限内涵集合C1,则进入步骤C4;如果权限集合b来自于新建集合F,则进入步骤C5;如果权限集合b合来自于新建集合D,则进入步骤C6;
C4:从权限内涵集合C1中删除权限集合b,如果权限集合b既不是角色r在访问控制实例的无冗余集合KS1中的权限的子集,也不是角色r在修改后的无冗余集合KS2中的权限的子集,那么直接将权限集合b放入新的权限内涵集合C2中;
如果权限集合b是角色r在访问控制实例的无冗余集合KS1中的权限的子集,或是角色r在修改后的无冗余集合KS2中的权限的子集,则判断
Figure FDA0003424398700000042
是否等于权限集合b;
若等于,则将权限集合b放入新的权限内涵集合C2中,并返回步骤C2;如不等于,则将
Figure FDA0003424398700000043
放入新的权限蕴涵关系集合J2中,并进入步骤C7;
其中,gKs2(b)为在修改后的访问控制实例的无冗余集合KS2中找出所有拥有权限b的用户,
Figure FDA0003424398700000044
为在修改后的访问控制实例的无冗余集合KS2中找出所有拥有权限b的用户所共同拥有的权限,权限蕴涵关系式b→(fKs2(gKs2(b))-b)表示某个用户拥有权限b那么该用户一定拥有权限(fKs2(gKs2(b))-b);
C5:从新建集合F中删除权限集合b,如果权限集合b既不是角色r在确定的访问控制实例的无冗余集合KS1中的权限的子集,也不是角色r在修改后的访问控制实例的无冗余集合KS2中的权限的子集,则直接将
Figure FDA0003424398700000045
放入新的权限蕴涵关系集合J2中,然后返回步骤C2;
如果权限集合b是角色r在确定的访问控制实例的无冗余集合KS1中的权限的子集,或是角色r在修改后的无冗余集合KS2中的权限的子集,则判断
Figure FDA0003424398700000051
是否等于权限集合b;
若等于,则将权限集合b放入新的权限内涵集合C2中,然后进入步骤C9;若不等于,则将
Figure FDA0003424398700000052
放入新的权限蕴涵关系集合J2中,然后判断
Figure FDA0003424398700000053
是否成立,若成立则进入步骤C7,若不成立则进入步骤C9;
其中,
Figure FDA0003424398700000054
是指在修改后的访问控制实例的无冗余集合KS2中所有拥有权限b的用户所共同拥有的权限,包含在确定的访问控制实例的无冗余集合KS1中所有拥有权限b的用户所共同拥有的权限;
C6:从新建集合D中删除权限集合b,然后判断
Figure FDA0003424398700000055
是否等于权限集合b;如果等于,则将权限集合b放入新的权限内涵集合C2中;如果不等于,则将
Figure FDA0003424398700000056
放入新的权限蕴涵关系集合J2中;
然后进入步骤C7;
C7:判断在权限内涵集合C1中是否存在包含
Figure FDA0003424398700000057
但不包含
Figure FDA0003424398700000058
的权限集合,若存在,则进行删除并进入步骤C8;若不存在,则直接进入步骤C8;
C8:判断在新建集合F中是否存在包含
Figure FDA0003424398700000059
但不包含
Figure FDA00034243987000000510
的权限集合,若存在,则进行删除然后进入步骤C12;若不存在,则返回步骤C3;
C9:新建一个集合
Figure FDA00034243987000000511
找出新建集合IMPs中所有前件中不包含
Figure FDA00034243987000000512
且前件与后件的并集不包含
Figure FDA00034243987000000513
的权限,在将找出的这些权限进行排列组合后,将排列组合后的权限集合添加到新建集合E1中,然后进入步骤C10;
C10:从新建集合E1中取出一个权限集合e1,将权限集合e1、权限集合e1中每一个单个权限的后件和权限集合
Figure FDA0003424398700000061
三者相结合,并去掉其中重复出现的权限,将最后得到的权限组成新的权限集合e2,然后进入步骤C11;
C11:判断新的权限集合e2是否在新建集合D中存在过;若存在过,则直接返回步骤C10继续运算,直至新建集合
Figure FDA0003424398700000062
若没有在新建集合D中存在过,则将新的权限集合e2按照字典序的位置放入新建集合D中,并返回步骤C10继续运算,直至步骤C10中新建集合
Figure FDA0003424398700000063
当新建集合
Figure FDA0003424398700000064
后,返回步骤C3进行循环计算;
C12:新建一个集合
Figure FDA0003424398700000065
找出新建集合IMPs中所有前件中不包含
Figure FDA0003424398700000066
且前件与后件的并集中不含
Figure FDA0003424398700000067
的权限,并将找出的这些权限进行排列组合并将排列组合后的权限集合添加到新建集合E2中,然后进入步骤C13;
C13:从新建集合E2中取出一个权限集合e3,将权限集合e3、权限集合e3中每一个权限的后件以及
Figure FDA0003424398700000068
相结合,并去掉其中重复的单个属性,将最后得到的权限组成新的权限集合e4,然后进入步骤C14;
C14:判断新的属性集合e4是否在新建集合D中存在过;若存在过,则直接返回步骤C13继续运算;若没有存在过,则将新的权限集合e4按照字典序的位置放入新建集合D中,并返回步骤C13继续运算,直至步骤C13中集合
Figure FDA0003424398700000069
Figure FDA00034243987000000610
后,返回步骤C3循环计算;
C15:根据上述步骤最终得到修改后的访问控制实例的无冗余集合KS2、新的权限蕴涵关系集合J2以及新的权限内涵集合C2
CN202111574576.5A 2021-12-21 2021-12-21 一种面向物联网的rbac权限修改方法 Active CN114268649B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111574576.5A CN114268649B (zh) 2021-12-21 2021-12-21 一种面向物联网的rbac权限修改方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111574576.5A CN114268649B (zh) 2021-12-21 2021-12-21 一种面向物联网的rbac权限修改方法

Publications (2)

Publication Number Publication Date
CN114268649A true CN114268649A (zh) 2022-04-01
CN114268649B CN114268649B (zh) 2022-09-13

Family

ID=80828350

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111574576.5A Active CN114268649B (zh) 2021-12-21 2021-12-21 一种面向物联网的rbac权限修改方法

Country Status (1)

Country Link
CN (1) CN114268649B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101339591A (zh) * 2008-08-29 2009-01-07 中国科学院软件研究所 一种xacml策略规则检测方法
US20110321154A1 (en) * 2010-06-25 2011-12-29 Sap Ag Systems and methods for generating constraints for use in access control
CN102456103A (zh) * 2010-10-26 2012-05-16 王芳 一种改进的rbac访问控制模型
CN104967620A (zh) * 2015-06-17 2015-10-07 中国科学院信息工程研究所 一种基于属性访问控制策略的访问控制方法
CN111783043A (zh) * 2020-07-06 2020-10-16 河南大学 一种基于属性探索的多部门协同交互式rbac角色构建方法
CN111950013A (zh) * 2020-08-24 2020-11-17 河南大学 一种基于属性探索的rbac角色快速辅助构建方法
CN111967034A (zh) * 2020-08-30 2020-11-20 河南大学 一种基于属性探索的rbac角色容错辅助构建方法
CN112580070A (zh) * 2020-12-04 2021-03-30 河南大学 一种基于前缀字典树的rbac角色分层辅助构建方法
CN114448659A (zh) * 2021-12-16 2022-05-06 河南大学 基于属性探索的黄河坝岸监测物联网访问控制优化方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101339591A (zh) * 2008-08-29 2009-01-07 中国科学院软件研究所 一种xacml策略规则检测方法
US20110321154A1 (en) * 2010-06-25 2011-12-29 Sap Ag Systems and methods for generating constraints for use in access control
CN102456103A (zh) * 2010-10-26 2012-05-16 王芳 一种改进的rbac访问控制模型
CN104967620A (zh) * 2015-06-17 2015-10-07 中国科学院信息工程研究所 一种基于属性访问控制策略的访问控制方法
CN111783043A (zh) * 2020-07-06 2020-10-16 河南大学 一种基于属性探索的多部门协同交互式rbac角色构建方法
CN111950013A (zh) * 2020-08-24 2020-11-17 河南大学 一种基于属性探索的rbac角色快速辅助构建方法
CN111967034A (zh) * 2020-08-30 2020-11-20 河南大学 一种基于属性探索的rbac角色容错辅助构建方法
CN112580070A (zh) * 2020-12-04 2021-03-30 河南大学 一种基于前缀字典树的rbac角色分层辅助构建方法
CN114448659A (zh) * 2021-12-16 2022-05-06 河南大学 基于属性探索的黄河坝岸监测物联网访问控制优化方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ZHANG LEI,ETAL.: "A Mandatory Access Control Model Based on Concept Lattice", 《2011 INTERNATIONAL CONFERENCE ON NETWORK COMPUTING AND INFORMATION SECURITY》 *
张磊: "基于概念格的角色工程相关算法研究", 《中国博士学位论文全文数据库 信息科技辑》 *

Also Published As

Publication number Publication date
CN114268649B (zh) 2022-09-13

Similar Documents

Publication Publication Date Title
EP1410214B1 (en) Data processing method
US8943059B2 (en) Systems and methods for merging source records in accordance with survivorship rules
Sun et al. Mining weighted association rules without preassigned weights
US7177875B2 (en) System and method for creating and using computer databases having schema integrated into data structure
Ding et al. A brief survey on de-anonymization attacks in online social networks
Taylor SQL for Dummies
CN103176988A (zh) 基于SaaS的数据迁移***
CN107402957B (zh) 用户行为模式库的构建及用户行为异常检测方法、***
Ma et al. G-SQL: Fast query processing via graph exploration
CN111950013B (zh) 一种基于属性探索的rbac角色快速辅助构建方法
US7593969B2 (en) Linked dimension and measure groups
CN111783043B (zh) 一种基于属性探索的多部门协同交互式rbac角色构建方法
Khan et al. Graph-based management and mining of blockchain data
CN112800085B (zh) 一种基于布隆过滤器识别表间主外键字段的方法及装置
CN114625764A (zh) 基于混合引擎的大数据处理***与方法
CN114268649B (zh) 一种面向物联网的rbac权限修改方法
US10089361B2 (en) Efficient mechanism for managing hierarchical relationships in a relational database system
CN115168474B (zh) 一种基于大数据模型的物联中台***搭建方法
Fu et al. ICA: an incremental clustering algorithm based on OPTICS
CN113946634B (zh) 一种业务数据的领域模型的处理方法、装置及设备
Li et al. DPIF: a framework for distinguishing unintentional quality problems from potential shilling attacks
Lu et al. A survey of mapreduce based parallel processing technologies
Zhao et al. ASM-based design of data warehouses and on-line analytical processing systems
Zaker et al. Optimizing the data warehouse design by hierarchical denormalizing
Gang et al. A kind of bidirectional mapping strategy of heterogeneous data model based on metadata-driven

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant