(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111574576.5 (22)申请日 2021.12.21 (65)同一申请的已公布的文献号 申请公布号 CN 114268649 A (43)申请公布日 2022.04.01 (73)专利权人 河南大学 地址 475001 河南省开封市顺河回族区明 伦街85号 (72)发明人 张磊　张芃　沈夏炯　韩道军　 贾培艳　丁文珂　 (74)专利代理 机构 郑州睿途知识产权代理事务 所(普通合伙) 41183 专利代理师 李伊宁 (51)Int.Cl. H04L 67/12(2022.01)H04L 9/40(2022.01) G06F 21/62(2013.01) G16Y 30/10(2020.01) (56)对比文件 CN 111967034 A,2020.1 1.20 审查员 陈丽锋 (54)发明名称 一种面向物联网的RBAC 权限修改方法 (57)摘要 本发明公开了一种面向物联网的RBAC权限 修改方法， 包括以下步骤： A： 获取各权限的访问 控制日志记录并进行数据预处理， 得到该物联网 系统的权限实例数据和所有权限集合； B： 利用属 性探索辅助角色发现方法， 建立访问控制实例的 无冗余集合、 权限蕴涵关系集合以及权限内涵集 合； C： 得到访问控制实例的无冗余集合， 然后根 据后件是否存在增加或减少进行判断， 最终得到 修改后的访问控制实例的无冗余集合、 新的权限 蕴涵关系集合以及新的权限内涵集合。 本发明能 够根据使用需求快速准确地修改访问控制模型 的部分权限， 有效地减少重新构建访问控制模型 的时间成本 。 权利要求书4页 说明书12页 附图1页 CN 114268649 B 2022.09.13 CN 114268649 B 1.一种面向物联网的RBAC 权限修改方法， 其特 征在于， 依次包括以下步骤： A： 从物联网系统中获取各权限的访问控制日志记录， 并对所获取的访问控制日志记录 进行数据预处 理， 得到该物联网系统的权限实例数据Data0和所有权限集 合M； B： 利用属性探索辅助角色发现方法， 通过步骤A所得到的权限实例数据Data0和所有权 限集合M， 建立物联网系统的访问控制实例的无冗 余集合KS1， 得到整个物联网系统的权限蕴 涵关系集 合J1以及权限内涵集 合C1， 并将访问控制背景中的权限按角色赋予用户； C： 对于待修改的角色r以及角色r所对应的权限A， 根据确定的访问控制实例的无冗余 集合KS1、 权限蕴涵关系 集合J1以及权限内涵集合C1， 将访问控制实例的无冗余集合KS1中角 色r中的权限修改为输入的权限A， 得到访问控制实例的无冗余集合KS2， 然后根据权限蕴涵 关系集合J1以及权限内涵集合C1中的权限集合在访问控制实例的无冗余集合KS2中的后件 是否存在增 加或减少进行判断： 若存在某一权限集合的后件没有增加也没有减少， 那么： 如果该权限集合属于权限蕴 涵关系集合J1， 则该权限集合也属于 新的权限蕴涵关系集合J2； 如果该权限集合属于权限内 涵集合C1， 则该权限集 合也属于新的权限内涵集 合C2； 若存在某一权限集合的后件有增加， 那么将这个权限集合放入新的权限蕴涵关系集合 J2中， 并在权限蕴涵关系集合J1以及权限内涵集合C1中， 找出所有不包含该后件的权限集 合， 然后在权限蕴涵关系集 合J1以及权限内涵集 合C1中删除这些权限集 合； 若存在某一权限集合的后件有减少， 那么若该权限集合后件为空则将这个权限集合放 入新的权限内涵集合C2中， 若后件不为空则将这个权限集合放入新的权限蕴涵关系集合J2 中， 并找出所有同时满 足包含该权限集合在KS1中的前件、 不包含该权限集合在KS1中的后件 以及包含该权限集合在KS2中的后件三个条件的权限集合， 作为待加入集合； 对待加入集合 中的权限集合进行相关性判断， 对符合相关性条件的权限集合， 若后件为空则放入新的权 限内涵集 合C2中， 若后件不 为空则放入新的权限蕴涵关系集 合J2； 最终得到修改后的访问控制实例的无冗余集合KS2、 新的权限蕴涵关系集合J2以及新的 权限内涵集 合C2； 其中， 步骤A包括以下 具体步骤： A1： 从物联网系统中， 读取 各权限的访问控制日志 记录； A2： 在所获取的各权限的访问控制日志记录中， 若某用户拥有某权限， 即该用户访问某 权限成功， 则将该用户对应的权限记为1， 否则记为0； A3： 按照步骤A2中的方法， 对所获取的所有的访问控制日志记录进行处理， 得到物联网 系统权限实例数据Data0， 同时得到系统中的所有权限集 合M； 其中， 步骤B包括以下 具体步骤： B1： 根据步骤A中得到的所有权限集合M＝(a1， a2， a3，…， an‑1， an)， 将所有权限集合M进行 字典序排列后得到集 合 初始化确定的访问控制实例 的无冗余集合 权限蕴涵关系集合 从集合Mq中取字典序排第一的集合 B 2 ： 在 确 定 的 访 问 控 制 实 例的 无 冗 余 集 合 KS 1中 计 算 若权　利　要　求　书 1/4 页 2 CN 114268649 B 2则进入步骤B3； 否则进入步骤B4； 其中， 为在确定的访问控制 实例的无冗余集合KS1中找出所有拥有权限Q的用 户， 为在确定的访问控制 实例的无冗余集合KS1中找出所有拥有权限Q的用 户所共同拥有的权限， 为在权限实例数据Data0中找出所有拥有 权限 的用户； B3： 若权限 即拥有权限Q的角色为 且 的共同权 限同时为Q， 那么将权限Q添加到权限内涵集合C1中； 若权限 即拥有权 限Q的角色为 但 的共同权限不同时为Q， 则将权限蕴涵关系式 即 某个 用 户拥有权限 Q 那 么该 用 户一 定 拥有权限 添加到权限蕴涵关系集 合J1中， 然后进入步骤B5； B4 ： 从权限实例数据Data0中取出一个权限分配不符合权限蕴涵关系式 的 实 例 o ，即 实 例 o 拥 有 权 限 Q 但 是 不 拥 有 权 限 并将这个实例添加到确定的访问控制实例的无冗余集合KS1中， 然 后进入步骤B6； B5： 根据形式概念分析中集合与蕴涵集合相关性定理， 按照字典序的顺序找出下一个 与权限蕴涵关系集 合J1相关的权限集 合Q′， 令Q＝Q′， 然后进入步骤B6； B6： 循环步骤B 2， 直到下一个与权限蕴涵关系集合J1相关的权限集合等于所有权限集合 M， 并进入步骤B7； B7： 根据上述步骤得到确定的访问控制实例的无冗余集合KS1、 权限蕴涵关系集合J1和 权限内涵集合C1， 其中， 访问控制实例的无冗余集合KS1中的每一行代表一个角色以及该角 色所拥有的权限， 将访问控制背景中的权限按角色赋予用户。 2.根据权利 要求1所述的面向物联网的RBAC权限修改方法， 其特征在于： 所述的步骤B6 中， 若存在某一权限集合与某一权限蕴涵式， 其中， 权限集合不包含权限蕴涵式的前件， 或 权限集合既包含权限蕴涵式的前件也包含权限蕴涵式的后件， 则称该权限集合与该权限蕴 涵式相关； 若存在某一权限集合与某一权限蕴涵集合， 该权限集合与权限蕴涵集合中的每 一个权限蕴涵式都相关， 则称该权限集 合与该权限蕴涵集 合相关。 3.根据权利要求2所述的面向物联网的RBAC权限修改方法， 其特征在于， 所述的步骤C 包括以下 具体步骤： C1： 根据待修改的角色r以及角色r所对应的权限A， 将访问控制实例的无冗余集合KS1中 角色r的权限修改为权限A， 得到访问控制实例的无冗余集合KS2； 根据修改后的访问控制实 例的无冗余集合KS2， 计算所有前件为单个属性的蕴涵式， 并将得到的蕴涵式放入新建集合 IMPs中， 然后进入步骤C2； C2： 将权限蕴涵关系集合J1中所有权限蕴涵关系的前件放入新建集合F中， 新建立一个 待加入集 合 然后进入步骤C 3； C3： 若新建集合F、 新建集合D和权限内涵集合C1全为空， 则进入步骤C15； 若新建集合F、 新建集合D和权限内涵集合C1三个集合不全为空， 则取出新建集合F、 新建集合D和权限内涵权　利　要　求　书 2/4 页 3 CN 114268649 B 3