访问控制中的角色挖掘与逻辑编程模型研究-计算机应用技术专业论文.docx

A Dissertation Submitted in Partial Fulfillment of the Requirements for the Degree of Doctor of Philosophy in Engineering Role Mining and Logic Programming in Access Control Ph. D. Candidate ： Ye Wei Major ： Computer Application Technology Supervisor ： Li Ruixuan Huazhong University of Science Technology Wuhan 430074, P.R.China October, 2014 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个人或集 体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中 以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 日期： 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保 留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本 人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 本论文属于 保密□， 在 年解密后适用本授权书。 不保密□。 （请在以上方框内打“√”） 学位论文作者签名： 指导教师签名： 日期： 年 月 日 日期： 年 月 日 华中科 技大 学博 华 中 科 技 大 学 博 士 学 位 论 文 I I 摘要 在基于角色的访问控制（Role-Based Access Control, RBAC）中，每一个用户拥 有哪些权限并非直接获得，而是系统管理员首先给每个角色分配若干权限，然后再 将这些角色分配给相应的用户。随着基于角色的访问控制机制在系统安全领域的广 泛应用，如何将系统的访问控制管理迁移到 RBAC 系统成为一个非常重要的问题。 角色工程（Role Engineering）技术就是用来创建和优化 RBAC 系统的方法。角色工 程技术由领域专家人工分析和算法自动构建角色两类方法组成。其中领域专家人工 分析的方法费时费力，所以目前角色工程技术研究的重点是通过算法自动构建角色 系统，这个方法被称为角色挖掘（Role Mining）。 矩阵分解可以用来表达 RBAC 的角色层次关系，然而，目前的角色挖掘算法没有 用矩阵分解来表达 RBAC 角色层次关系，现有的角色挖掘算法一直未能充分利用矩阵 运算的优势。基于此，提出了一套表达 RBAC 角色层次关系的矩阵模型，并给出了角 色挖掘中的成本效益分析方法。在角色挖掘的过程中通过形式概念分析获得最初的 角色层次结构，根据最初的角色层次结构来构建表达 RBAC 角色层次关系的矩阵模型， 然后根据多目标优化函数去计算最优的角色系统。最后通过实验与现有算法比较， 验证了使用带层次关系的矩阵模型方法的角色挖掘算法有效性。 传统的角色挖掘算法通常难于同时处理各种约束和约束之间的冲突，考虑约束 的角色挖掘问题一直是角色工程中的难点。针对这一问题，提出基于 回答集编程 （Answer Set Programming，ASP）的角色挖掘方法。逻辑编程的优点是只需要用逻 辑语言描述问题，而不需要具体给出解决约束冲突的算法。基于 ASP 的逻辑编程大 大简化了带约束的角色挖掘问题的求解。在以管理成本为评价指标的实验中，即使 在不考虑约束的情况下，基于 ASP 的逻辑编程的结果也优于已有的角色挖掘算法。 另外，基于策略的访问控制技术也是访问控制技术中得到广泛应用的一种。在 基于策略的访问控制技术中，XACML(extensible Access Control Markup Language) 技术成为一种技术标准。为了便于进行安全策略的逻辑推理和检测，已有的研究将 XACML 的基础组件转化为逻辑程序 ASP，然而这种基于 ASP 的 XACML 模型只能处理包 含基本数据类型的 XACML 请求。如果 XACML 请求中使用的是 XML 格式的复杂数据类 型，已有的基于 ASP 的 XACML 模型就无法处理。在基于策略的访问控制实践中，随 II II 着系统安全需求的日趋复杂，XACML 请求中大量包含着 XML 格式的数据类型。为了解 决这个问题，首先用逻辑编程语言 ASP 实现了在 XACML 中使用的 XPath 语言以及 XACML 中与 XP