基于角色的访问控制模型是目前广泛采用的访问控制模型,通过在用户与权限之间引入角色的概念,简化了用户的权限管理,减少了系统的开销。然而,随着云计算的出现,物联网时代的到来,在进行访问决策时,不再将用户的静态权限作为唯一依据,传统的基于角色的访问控制已经难以满足访问需求。基于属性的访问控制模型将属性作为访问控制参数,综合考虑访问场景中的多种因素,使得访问控制具有动态灵活的特点。然而,基于属性的访问控制模型在审计方面相较于基于角色的访问控制模型更加复杂,因为分析策略以及查看或是改变用户权限是十分繁重的任务。同时,基于属性的访问控制模型仍处于研究阶段,没有成熟的可实施模型。针对大规模环境,基于角色的访问控制模型与基于属性的访问控制模型都存在已知的局限性。然而,它们能提供彼此互补的特征。因此,基于角色的访问控制模型与基于属性的访问控制模型的整合工作渐渐成为了近些年研究的热点。本文围绕属性与角色的结合进行了多方位的研究,主要工作如下:1.属性是基于属性的访问控制的核心要素,针对属性的筛选问题,本文提出了基于知识判断和形式背景可约元的属性筛选算法。首先,对属性进行分类,定义属性表达式及其优先级,实现对属性及策略的简单描述。然后,基于管理员的知识判断提出一种属性缩减方法,将一个大的属性分配集转换为一个相对较小的属性分配集,实现非策略属性到策略属性的转换。之后,针对策略属性中难以辨识的冗余属性,设计了一种基于形式背景可约元的属性约简算法,删除其中的可约元。最终,通过实例验证了方法的有效性。2.角色是基于角色的访问控制的核心要素,针对角色的构建问题,本文提出了基于形式概念分析的语义角色挖掘算法。首先,基于形式概念分析生成用户权限概念格,将用户权限概念格翻转后映射为初始候选角色状态,通过约简操作和精简操作来挖掘角色状态。然后,基于形式概念分析生成用户属性概念格,对用户权限概念格及用户属性概念格进行相似性分析,通过定义最近似表达式为角色赋予语义,使得生成的角色结构层次分明并具有语义意义。最后,实验验证了算法的正确性和有效性。3.属性与角色的结合能够实现更好的访问控制,针对目前已有方法无法同时满足动态、灵活、细粒度、可审计的问题,提出基于属性与角色的三层混合访问控制模型。首先,介绍了三层混合访问控制模型的基本思路,并使用一阶逻辑对模型进行形式化描述。随后,介绍了访问控制工作流,对模型的准备阶段和决策阶段逐步进行描述。最后,分析了模型的性能和安全性。4.基于上述关键技术,设计了结合属性与角色的访问控制原型系统。系统实现了属性筛选、角色挖掘、基于属性的用户-角色及角色-权限自动分配以及基于属性的权限过滤,遵循最小特权原则和职责分离原则,能够满足大规模环境下访问控制基本需求,且具有较高的实用价值。