第二章、安全存储与访问控制技术
2.1 早期访问控制技术
见博文“《大数据安全与隐私保护》读书笔记——2.安全存储与访问控制技术(一)”
2.2 基于数据分析的访问控制技术
数据集的规模和增长速度以及用户复杂度都为访问控制策略的制定和授权管理带来巨大挑战,为了应对这些问题,旨在提高访问控制系统的自动化水平和增强自适应性的技术引人关注。
2.2.1 角色挖掘技术
以基于角色的访问控制(RBAC)为例,管理员需要解决两个问题:1)创建哪些角色?2)角色与用户、角色与权限如何关联?根据上一节的局限性总结,大数据场景下角色定义的工作量较大,且需要熟悉领域知识。安全管理员已经难以自上而下地分析和归纳安全需求,并基于需求来定义角色了。为了解决该问题,自底向上定义角色的方法被提出,即采用数据挖掘技术从系统的访问控制信息等数据中获得角色的定义,也被称为角色挖掘(Role Mining)。
目前经典的角色挖掘技术可以分为两类:1.基于层次聚类的角色挖掘方法;生成式角色挖掘方法。
1.基于层次聚类的角色挖掘方法
系统在初始情况下往往已经有了简单的访问权限分配——“哪些用户能够访问哪些数据”,例如下图授权信息表。基于层次聚类的角色挖掘方法将从这类数据中分析和挖掘潜在的角色概念,并将角色与用户、角色与权限分别关联。
由于标准RBAC模型中角色可以继承并形成层次结构,所以在聚类时通常选择层次聚类算法以支持角色继承。根据层次聚类方式,又分为凝聚式角色挖掘和分裂式角色挖掘。
1)凝聚式角色挖掘
该方法将权限看作是聚类的对象,通过不断合并距离近的类簇完成对权限的层次聚类,聚类结果为候选的角色。基本定义如下:
- 类簇 C l u s t e r Cluster Cluster:由权限和持有这些权限的用户组成的二元组 c = < r i g h t s , m e m b e r s > c=<rights,members> c=<rights,members>。
- 用户集合 P e r s o n s Persons Persons:所有用户组成的集合。
- 类簇集合 C l u s t e r s Clusters Clusters:包含所有类簇的聚类结果集。
- 偏序关系集合 < < <:聚类之间的偏序关系构成的集合。
- 无偏序关系类簇集合 T < T_< T<:类簇集合中的类簇,两两间不存在偏序关系。即 T < = { c ∈ C l u s t e r s : ∄ d ∈ C l u s t e r s : c < d } T_< = \{ c ∈ Clusters: ∄d∈Clusters : c < d \} T<={ c∈Clusters:∄d∈Clusters:c<d} 。且对于任意的类簇对 < c , d > ∈ T < <c,d>∈T_< <c,d>∈T<有如下定义: m e m b e r s ( < c , d > ) = m e m b e r s ( c ) ∩ m e m b e r s ( d ) members(<c,d>)= members(c) ∩members(d) members(<c,d>)=members(c)∩members(d) 和 r i g h t s ( < c , d > ) = r i g h t s ( c ) ∪ r i g h t s ( d ) rights(<c,d>)= rights(c) ∪rights(d) rights(<c,d>)=rights(c)∪rights(d)
凝聚式角色挖掘算法:
- 输入:所有权限及持有权限的用户。
- 输出:一个类簇Cluster构成的树结构,即 C l u s t e r s Clusters
最低0.47元/天 解锁文章
3908
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
