一種多要素訪問控制機制描述及解析方法技術

本發明專利技術涉及一種多要素訪問控制機制描述及解析方法，包括以下步驟：定義多要素訪問控制機制描述語言，用于用戶針對其訪問控制主客體、訪問控制策略進行類數學語言的描述；根據訪問控制機制描述語言對用戶設計的訪問控制機制進行描述，生成描述源文件；對描述源文件進行語言解析，生成算法描述中間代碼；依據用戶的目標代碼需求，選擇計算機編程語言對應的代碼底層庫，生成目標代碼。本發明專利技術既能夠適用于訪問控制理論研究人員進行描述，又能夠與計算機編程語言無縫對接；對于訪問控制理論研究人員，通過類數學語言進行描述，無需關注計算機的實現細節；對于計算機專業人員，可以獲取多要素訪問控制機制的準確實現代碼，保證了代碼的安全性。

A description and analysis method of multi factor access control mechanism

The invention relates to a multi factor access control mechanism is described and the analytic method, which comprises the following steps: the definition of multi factor access control mechanism description language for users according to the description of access control object, access control strategy for mathematical language; according to the access control mechanism describing the user design of access control mechanism, generation describe the source file; to describe the source document for language analysis, intermediate code generation algorithm is described based on the user's needs; the object code, select the corresponding computer programming language code database, code generation. The invention not only can be applied to the theoretical research of access control personnel are described, but also with the computer programming language seamlessly; theoretical research on access control personnel, through the description of mathematical language, do not need to pay attention to the details of the implementation of computer; for computer professionals, can accurately realize the code to obtain the multi factor access control mechanism, guarantee safety code.

【技術實現步驟摘要】
一種多要素訪問控制機制描述及解析方法
本專利技術屬于訪問控制及授權管理領域，特別是一種多要素訪問控制機制描述及解析方法。
技術介紹
訪問控制技術起初用于數據共享系統的資源管理和權限描述，它通過對用戶訪問資源的活動進行有效監控，滿足合法用戶在合法時間內獲得系統有效訪問權限的需求，同時防止未授權用戶對系統資源的非法訪問。訪問控制技術研究目前可以劃分為基于策略描述的訪問控制與基于密碼算法的訪問控制。其中，基于策略的訪問控制技術基于主體的角色、時空、屬性等，描述其對客體的訪問策略，約束主體的訪問行為；基于密碼算法的訪問控制技術則將加解密技術引入了訪問控制與權限管理的應用場景中，產生了一系列具有代表性的模型與機制。針對不同的應用場景出現的眾多訪問控制機制無論是策略類還是密碼算法類，均以多要素為發展目標，角色已經不在是唯一的訪問控制要素，時態、環境、多級安全級別、客體生命周期、密碼參數等均需要在訪問控制和授權過程中考慮。各種訪問控制機制的出現在性能、安全性等方面進行了多方面的改進，但是訪問控制設計者多為理論研究或數學領域工作者，其描述的機制、協議、甚至算法僅僅能夠從數學理論方面進行分析和證明，在理論層面保證其安全性；通過理論分析來對性能進行評估。但是通常情況下，訪問控制機制設計與理論研究者對計算機編程語言及相關程序設計相對比較陌生，往往出現編程實現困難、程序設計漏洞，從而影響訪問控制機制的性能測試和安全性分析，不能夠表示自己的設計初衷；而計算機編程工作者一般對訪問控制機制設計中所包含的數學理論和描述較為陌生，編程實現的過程中容易出現應為理解的偏差導致的實現與設計脫節的問題。上述原因是目前多要素訪問控制機制設計與測試面臨的主要困境。因此如何設計一種既能夠適用于訪問控制理論研究人員描述，又能夠與計算機編程語言無縫對接的多要素訪問控制描述語言及其解析方法顯得至關重要。
技術實現思路
本專利技術的目的在于提供一種多要素訪問控制機制描述及解析方法。實現本專利技術目的的技術方案為：一種多要素訪問控制機制描述及解析方法，包括以下步驟：第一步，定義多要素訪問控制機制描述語言，用于用戶針對其訪問控制主客體、訪問控制策略進行類數學語言的描述；第二步，根據訪問控制機制描述語言對用戶設計的訪問控制機制進行描述，生成描述源文件；第三步，對描述源文件進行語言解析，生成算法描述中間代碼；第四步，依據用戶的目標代碼需求，選擇計算機編程語言對應的代碼底層庫，生成目標代碼。與現有技術相比，本專利技術的顯著優點為：(1)本專利技術的多要素訪問控制機制描述及解析方法既能夠適用于訪問控制理論研究人員描述，又能夠與計算機編程語言無縫對接；對于訪問控制理論研究人員，通過類數學語言進行描述，既可實現機制的性能測評，又無需關注計算機的實現細節；對于計算機專業人員，可以獲取多要素訪問控制機制的準確實現代碼，保證了代碼的安全性。附圖說明圖1為本專利技術多要素訪問控制機制描述及解析方法的流程示意圖。圖2為多要素訪問控制機制描述流程示意圖。圖3為多要素訪問控制機制描述主體定義流程示意圖。圖4為多要素訪問控制機制描述客體定義流程示意圖。圖5為多要素訪問控制機制描述策略函數定義流程示意圖。圖6為多要素訪問控制機制描述語言解析流程示意圖。具體實施方式結合圖1，本專利技術的一種多要素訪問控制機制描述及解析方法，包括以下步驟：第一步，定義多要素訪問控制機制描述語言，用于用戶針對其訪問控制主客體、訪問控制策略進行類數學語言的描述；第二步，根據訪問控制機制描述語言對用戶設計的訪問控制機制進行描述，生成描述源文件；第三步，對描述源文件進行語言解析，生成算法描述中間代碼；第四步，依據用戶的目標代碼需求，選擇計算機編程語言對應的代碼底層庫，生成目標代碼。進一步的，第一步中定義多要素訪問控制機制描述語言包括關鍵字定義、機制總體定義、變量定義、主體定義、客體定義和策略函數定義；關鍵字定義包括def、var、subject、time、env、mls、object、lifecycle、crypt、permissions、operations、policies關鍵字，分別用于表示機制總體、變量、主體、主體時態、主體環境、多級安全級別、客體、客體生命周期、密碼參數、權限、操作類型以及策略授權函數定義；機制總體定義以關鍵字\def為起始，以/def為終止，格式定義為“\defsubjectobjectpolicies/def”，描述說明主體subject在訪問客體object對應的策略policy；例如，描述主體s1對客體o1訪問的策略p1，定義形式為：\defs1o1p1/def變量定義以關鍵字\var為起始，以/var為終止，格式定義為“\var變量名稱變量內容/var”，變量的內容描述遵循規則(‘a’-‘z’|‘A’-‘Z’|‘0’-‘9’)+，即包含字母a-z的大小寫以及數字的任意組合；例如：\varsubjects1/var主體定義以關鍵字\subject為起始，以/subject為終止，格式定義為“\subject主體ID，角色，time：時態，env：環境，mls：多級安全屬性，操作類型，權限/subject”；主體ID以變量var進行定義；角色的描述通過變量關鍵字進行定義和描述；時態定義以關鍵字time：為起始，格式定義為“time：(<timestate>)”或“time：(startfrom：<timestate>endat：<timestate>)”；<timestate>為時間點表示包含日期、小時、分鐘、秒，采用年-月-日：時：分：秒的格式；例如：在時刻2017年11月1日上午7:00:00，描述為time：2017-11-1:7:00:00，時間的描述以24小時為周期。環境定義以關鍵字env：為起始，包含物理位置、網絡地址、硬件信息和軟件信息的描述，其中物理位置、硬件信息和軟件信息采用變量var的格式描述形式，網絡地址采用標準的IPv4和IPv6格式；硬件信息可以為MAC地址或者具體硬件環境的名稱，軟件可以包含操作系統、信息系統的名稱；例如：env：room1192.168.0.1HP-PC-1003Linux2.4.16表示在room1中以192.168.0.1的IP地址，使用名稱為HP-PC-1003的計算機，需要在Linux2.4.16的軟件環境下進行訪問。多級安全屬性定義以關鍵字“mls：”為起始，格式為“mls：安全等級信息”，安全等級信息為自然數的形式；例如：mls：1，表示安全等級為1。操作類型以關鍵字“operations：”為起始，格式“operations：操作”，其中操作描述為var的描述形式，分為“讀、寫、執行”；權限定義以關鍵字“permissions：為起始”，格式“permissions：權限描述”，其中權限描述為var的描述形式，通過“，”分開；例如：permissions：p1，p2；表示權限p1，p2對應策略描述中的策略ID?？腕w定義以關鍵字\object為起始，以/object為終止，格式定義為：“\object客體ID，生命周期，多級安全屬性，密碼參數/object”；客體ID以變量var進行定義；生命周期定本文檔來自技高網...

【技術保護點】
一種多要素訪問控制機制描述及解析方法，其特征在于，包括以下步驟：第一步，定義多要素訪問控制機制描述語言，用于用戶針對其訪問控制主客體、訪問控制策略進行類數學語言的描述；第二步，根據訪問控制機制描述語言對用戶設計的訪問控制機制進行描述，生成描述源文件；第三步，對描述源文件進行語言解析，生成算法描述中間代碼；第四步，依據用戶的目標代碼需求，選擇計算機編程語言對應的代碼底層庫，生成目標代碼。

【技術特征摘要】
1.一種多要素訪問控制機制描述及解析方法，其特征在于，包括以下步驟：第一步，定義多要素訪問控制機制描述語言，用于用戶針對其訪問控制主客體、訪問控制策略進行類數學語言的描述；第二步，根據訪問控制機制描述語言對用戶設計的訪問控制機制進行描述，生成描述源文件；第三步，對描述源文件進行語言解析，生成算法描述中間代碼；第四步，依據用戶的目標代碼需求，選擇計算機編程語言對應的代碼底層庫，生成目標代碼。2.根據權利要求1所述的訪問控制機制描述及解析方法，其特征在于，第一步中定義多要素訪問控制機制描述語言包括關鍵字定義、機制總體定義、變量定義、主體定義、客體定義和策略函數定義；關鍵字定義包括def、var、subject、time、env、mls、object、lifecycle、crypt、permissions、operations、policies關鍵字，分別用于表示機制總體、變量、主體、主體時態、主體環境、多級安全級別、客體、客體生命周期、密碼參數、權限、操作類型以及策略授權函數定義；機制總體定義以關鍵字\def為起始，以/def為終止，格式定義為“\defsubjectobjectpolicies/def”，描述說明主體subject在訪問客體object對應的策略policy；變量定義以關鍵字\var為起始，以/var為終止，格式定義為“\var變量名稱變量內容/var”，變量的內容描述遵循規則(‘a’-‘z’|‘A’-‘Z’|‘0’-‘9’)+，即包含字母a-z的大小寫以及數字的任意組合；主體定義以關鍵字\subject為起始，以/subject為終止，格式定義為“\subject主體ID，角色，time：時態，env：環境，mls：多級安全屬性，操作類型，權限/subject”；主體ID以變量var進行定義；角色的描述通過變量關鍵字進行定義和描述；時態定義以關鍵字time：為起始，格式定義為“time：(<timestate>)”或“time：(startfrom：<timestate>endat：<timestate>)”；<timestate>為時間點表示包含日期、小時、分鐘、秒，采用年-月-日：時：分：秒的格式；環境定義以關鍵字env：為起始，包含物理位置、網絡地址、硬件信息和軟件信息的描述，其中物理位置、硬件信息和軟件信息采用變量var的格式描述形式，網絡地址采用標準的IPv4和IPv6格式；多級安全屬性定義以關鍵字“mls：”為起始，格式為“mls：安全等級信息”，安全等級信息為自然數...

【專利技術屬性】
技術研發人員：蘇铓，汪良辰，俞研，付安民，王永利，張功萱，
申請(專利權)人：南京理工大學，
類型：發明
國別省市：江蘇,32