基于属性轻量级可重构的访问控制策略

针对复杂网络环境下访问控制策略冗余与冲突检测、访问控制策略评估的效率面临的严峻挑战,提出了基于属性轻量级可重构的访问控制策略.以基于属性的访问控制策略为范例,根据访问控制策略中的操作类型、主体属性、客体属性和环境属性将基于属性的访问控制策略划分为多个不相交的原子访问控制规则,并通过与、或等逻辑关系构成的代数表达式,将原子访问控制规则重构出复杂访问控制策略;提出原子访问控制规则冗余与冲突检测方法,将复杂访问控制策略分解为等效的原子访问控制规则和代数表达式,通过对等效的原子访问控制规则和代数表达式进行冗余与冲突检测实现对复杂访问控制策略进行冗余与冲突检测;从时间复杂度和空间复杂度2个不同角度对等效转化的访问控制策略进行评估.结果表明,所提方法大大降低了访问控制策略的长度、数量和复杂度,提高了访问控制策略冗余与冲突检测的效率以及访问控制策略评估的效率.