自动化访问控制技术

随着信息技术的发展，信息安全的形势越来越复杂。在众多的信息安全问题中，很大比例是非技术问题。其中，由于管理员疏忽引发的权限错配导致的信息泄露事件频发。究其原因，是由于当前信息系统规模越来越庞大，大大超出了管理和运维人员的能力。为了应对当前信息系统对访问控制的复杂性要求，对自动化访问控制技术的研究就显得尤为重要。这其中，基于角色的访问控制模型（Rolebased Access Control Model，RBAC模型）在访问控制技术中占据着主流地位，也是自动化访问控制技术的重点研究对象。RBAC角色的设定与维护是RBAC模型构建与管理的关键性任务。在RBAC模型中，自动化技术主要体现在自动化的角色获取与角色维护上，相关的技术被称为角色工程。
在自动化访问控制技术中，使用概念格作为角色访问控制模型的核心数据结构具有天然的优势。主要是因为概念格与角色层次之间具有天然的格上的对应关系：访问控制矩阵本质上是主体（用户）与权限的二元关系，概念格理论中的形式背景也是对象与属性的二元关系；角色是主体（用户）和权限的对应关系，角色拥有权限，又被赋予一个或多个主体（用户），概念格理论中形式概念也是对象与属性的相互依赖关系；角色的层次结构根据权限的包含关系也满足数学上格的定义，形式概念的集合也构成了一个格。
本书以概念格的相关理论为基础，在自动化的角色构建、角色更新和角色合并等方面展开研究，然后针对基于概念格的角色探索方法的缺陷，在属性探索算法的框架下，对属性探索算法的时间复杂度、纠错与协作机制进行了研究与探索。
具体章节按如下方式进行组织：
第1章对本书的研究背景、目的和内容进行介绍。
第2章对自顶向下的角色工程方法进行研究。提出了基于属性探索的自上而下角色工程方法及其实现步骤，利用形式概念分析的属性探索理论，通过交互式的形式，半自动化地还原领域专家的背景知识，避免安全隐患。
第3章对不相关属性集合的属性探索算法进行研究。提出了一个基于不相关属性集合的属性探索算法，减少寻找下一个交互问题的搜索空间，降低算法的时间复杂度。
第4章对RBAC自纠错的角色探索算法进行研究。提出了一个RBAC自纠错的角色探索算法。利用该算法可以自动化地修正已得到的主基与内涵，消除错误答案对知识发现造成的影响，从而得到系统中的角色与权限间蕴涵关系。
第5章对RBAC多人协作的角色探索算法进行研究。提出了RBAC多人协作的角色探索算法。该算法不仅避免了角色构建过程中角色需求分析、问卷调查的耗时过程，而且解决了基于属性探索的辅助交互问答算法不支持多人协同的单一问答的缺陷。
第6章对自底向上的角色工程方法进行研究。建立了一个基于角色替代的最小角色集问题求解模型，设计了一个贪婪算法。算法自底向上地迭代求解最小角色集。
第7章对基于概念格的角色更新方法进行研究。基于概念格的角色更新，主要依赖概念格的渐进式构造算法来完成。根据对概念格的遍历方式的不同，提出了自上而下和自底向上两种渐进式算法。
第8章对基于概念格的角色合并方法进行研究。基于概念格的角色合并方法主要研究内容是概念格的合并，分别提出了自顶向下的横向合并算法和自底向上的纵向合并算法。
本书是笔者多年来相关领域研究工作的总结与提炼。本书适合信息系统设计工程师、访问控制研究人员、高校教师及研究生阅读。
笔者就职于河南大学计算机与信息工程学院，在该领域多年的研究中得到了尊敬的导师沈夏炯教授和师兄韩道军教授等的指导和帮助。在本书的写作过程中，华北水利水电大学的吕灵灵教授和笔者的研究生杨继勇同学做了大量的研究、撰写和校对工作。同时，实验室的研究生同学也做了大量的工作，感谢参加本书编写的同学：霍雨（书稿整理），陈万、张芃（书稿校对）。同时，河南大学计算机与信息工程学院、华北水利水电大学电力学院的领导和同事为本书的出版创造了条件，一并向他们表示诚挚的谢意。
国家自然科学基金（No.U1604148）、河南省高层次人才特殊支持计划（No.ZYQR201810138）、河南省科技厅科技攻关计划基金资助项目（202102310340）、河南省高等学校青年骨干教师培养计划项目（2020GGJS027）对本书的研究工作提供了持续的支持，并对本书的出版给予了资助。化学工业出版社对本书的出版给予了全方位的帮助，谨借此机会表达深切的谢意。
尽管做出最大努力，但因学术水平有限，书中可能存在不妥之处，敬请广大读者不吝赐教，笔者将不胜感激。

张磊
2021年5月10日于河南大学

在自动化访问控制技术中，使用概念格作为角色访问控制模型的核心数据结构具有天然的优势，主要是因为概念格与角色层次之间具有天然的格上的对应关系。本书以概念格的相关理论为基础，在自动化的角色构建、角色更新和角色合并等方面展开研究，然后针对基于概念格的角色探索方法的缺陷，在属性探索算法的框架下，对属性探索算法的时间复杂度、纠错与协作机制进行了研究与探索。
本书适合信息系统设计工程师、访问控制研究人员、高校教师及研究生阅读。

第1章绪论1
1.1基于概念格的角色工程方法1
1.2国内外研究现状3
1.2.1基于角色的访问控制模型3
1.2.2角色工程5
1.2.3概念格9
1.3本书的主要研究内容13

第2章基于属性探索的自顶向下角色工程方法16
2.1基本概念17
2.1.1概念格的基本概念17
2.1.2RBAC模型21
2.1.3概念格与RBAC模型的对应关系23
2.2经典方法及其不足23
2.3基于概念格的角色探索方法24
2.4角色探索算法26
小结30

第3章基于不相关属性集合的属性探索算法31
3.1属性探索算法理论研究与改进32
3.1.1理论依据32
3.1.2属性探索算法改进35
3.2属性探索算法过程示例38
3.2.1AERS算法过程示例38
3.2.2AEUS算法过程示例41
3.3实验设计与分析44
3.3.1实验设计44
3.3.2实验分析46
小结47

第4章RBAC角色探索算法的自纠错机制研究48
4.1理论依据49
4.1.1基础定义定理49
4.1.2自纠错的RBAC角色探索算法框架51
4.2自纠错的RBAC角色探索算法过程示例55
4.3实验设计与分析59
4.3.1实验设计59
4.3.2实验分析61
小结62

第5章RBAC角色探索算法的多人协作机制研究63
5.1理论基础63
5.1.1基础定义定理63
5.1.2多人协作的RBAC角色探索算法框架65
5.2REMC算法过程示例67
5.3实验设计与分析71
5.3.1实验设计71
5.3.2实验分析73
小结74

第6章基于概念格的最小角色集模型及其求解75
6.1相关研究工作76
6.2基于概念格的RBAC模型77
6.3最小角色概念集及其在概念格中的求解78
6.4最小角色概念集查找算法81
6.4.1算法描述81
6.4.2算法示例83
6.5实验及讨论84
小结86

第7章概念格的渐减式构造算法87
7.1相关工作88
7.2概念格的对象渐减89
7.2.1对象渐减的基本定义89
7.2.2概念格删除对象后节点的变化90
7.2.3概念格删除对象后边的变化92
7.2.4自顶向下的对象渐减算法94
7.2.5自底向上的对象渐减算法99
7.2.6实验及其讨论106
7.3概念格的属性渐减109
7.3.1属性渐减的基本定义109
7.3.2概念格删除属性后节点的变化110
7.3.3概念格减属性后边的变化111
7.3.4自底向上的属性渐减算法112
7.3.5自顶向下的属性渐减算法115
7.3.6实验与分析117
小结119

第8章访问控制概念格的合并121
8.1相关工作121
8.2基本概念123
8.3自底向上的纵向合并算法124
8.3.1算法的理论依据125
8.3.2算法描述126
8.3.3算法示例129
8.3.4实验132
8.4自顶向下的横向合并算法134
8.4.1算法的理论依据134
8.4.2算法描述135
8.4.3实验140
8.5AddConcept：自顶向下的概念格横向合并算法141
8.5.1相关定义142
8.5.2算法的理论依据143
8.5.3算法描述145
8.5.4实验150
小结152

结论153

参考文献155