基于信任和风险的访问控制博弈模型研究

In access control, there exists a game between application system and its user in which both of them try to maximize their own utility. A reasonable access control game model of cost-benefit analysis is a important research issue. In this project, we mainly research on the application of game theory in the area of access control. Firstly, considering the real existence of user trust and risk of resource access, we will correlate the trust and risk. Secondly, via constructing access control decision-making game model, find the optimal strategy based on trust and risk,so that improve the flexibility of access control.Thirdly, we also solve the problem of access control constraints using multi-stage game optimal strategy, Finally, we will design and implement prototype access control testing system based on the above game model.

访问控制中应用系统与其用户之间存在各自利益最大化的博弈。博弈论能为复杂的访问控制决策提供有效的数学理论和方法。合理的成本效益访问控制决策博弈模型是个重要的研究课题。本项目着重研究博弈论在访问控制领域内的应用。首先考虑到访问控制中用户信任和资源访问风险的客观存在性，将信任和风险相结合。其次通过构建访问控制决策博弈模型，求出基于信任和风险的最优策略，从而提高访问控制的灵活性。访问控制限制问题也通过阶段性博弈的最优策略得以解决。最后研制该博弈模型的访问控制测试系统。

访问控制是信息安全领域内的一项重要的安全业务，合理的资源访问控制策略和机制是所有机构和组织都应该重视的一个问题。本项目主要研究了信任和风险相结合的访问控制博弈模型，以及系统和用户的最优策略问题。此外，访问控制限制问题也是在本项目中重点研究的问题之一。本项目主要研究工作包括：.1. 访问控制中应用系统与其用户之间存在各自利益最大化的博弈。合理的成本效益访问控制决策博弈模型是一个重要的研究课题。本项目首先考虑到访问控制中用户信任和权限访问风险的客观存在性，建立了非零和合作访问控制博弈模型，其中用户信任度和权限访问的风险用于确定双方的支付函数。分析了系统、用户的最优策略，以及从系统和用户双方的角度分析Pareto有效策略。该模型能够提高不确定情况下进行访问控制决策的理性程度。此外，提出了合理的风险调整方法。通过求解多阶段博弈的最优策略解决了源于传统访问控制限制的风险权限集问题。.2. 限制是访问控制中的核心问题。传统访问控制限制如基于角色的访问控制RBAC(Role-Based Access Control)中的职责分离限制和中国墙安全策略等缺乏用户内部和权限内部之间关系的考虑。本项目分析传统访问控制限制的初衷是，挖掘访问控制中的相似用户，在此基础上提出基于相似用户的访问控制限制。该限制具有较好的通用性，能表达和实施传统访问控制限制和基于属性的访问控制限制。此外，它能有效阻止相似用户合谋攻击应用系统。通过实验验证了该限制的可行性和有效性。.3. 研制了一个基于角色的访问控制系统、一个基于属性的带约束的访问控制系统。两个系统中重点解决了本项目中提出的基于相似用户的限制问题。