访问控制作为保障信息安全的重要技术之一,可有效保护信息资源的合理受控使用,具有重要的理论价值与现实意义,受到了众多科学研究人员与系统研发人员的密切关注。其中,访问控制策略描述是访问控制的重要组成部分,基于主体、操作、客体要素的访问控制策略表达方式在实践中被广泛应用。尽管现有的访问控制策略描述方法能够满足系统中授权访问受控资源的需求,但是这些方法往往适用于系统事先预设的静态场景,而对于一些需要在系统运行阶段根据实际情况进行动态调整的场景则不够灵活且维护成本较高。分析表明,现有访问控制策略描述方法存在动态性描述较为困难这一问题,一个重要原因是现有策略自身并不包含直接针对时间和空间进行描述的要素。如果沿用传统的策略表达方式,则导致在模型中额外引入时空算子之后,策略数量极易因时空要求的复杂程度而急剧增长,在浪费策略存储空间的同时,也降低了策略的检索效率,提高了人工维护成本。针对上述问题,本文开展如下研究:(1)建立了一种基于时空匹配计算的应答许可方案,能够分别借助时间和空间算子进行动态策略描述。该方案在一类具有时空敏感性的访问控制中,可获取访问主体当前的时间和空间属性,利用应答处理算法,分别基于时间属性和空间属性计算匹配度,最终给出主体能否对客体执行访问操作的应答。而且,本方法中,时间属性与空间属性都是即时获取,并各自独立描述。当环境发生变化时,只需修改相关的局部属性,不必面对全部策略要素。实验结果表明系统可有效地实现此类具有时空敏感性的访问控制。(2)基于上述引入时间属性的访问控制,在策略的描述中增加条件判断,通过将访问主体和访问客体之间属性关系的计算结果,与扩增了条件判断要素的策略进行比对,提高了单条策略的适用范围,实验结果表明在具有较高规律性的时间敏感性访问控制中,通过对策略要素的扩增,显著地精简了策略数量,降低了策略的冗余程度,节约了策略的存储空间,降低了人工维护成本,在动态性和易维护性方面具有较为明显的优势。(3)基于上述引入空间属性的访问控制,在策略的描述中增加条件判断,同时考虑到空间属性在获取与表示方式上和时间属性的差异,建立独立的空间属性授权库,通过将访问主体和访问客体之间属性关系的计算结果,与整合了条件判断要素和空间属性授权的策略进行比对,提高了单条策略的适用范围,实验结果表明在具有较高规律性的空间敏感性访问控制中,同样显著地精简了策略数量,降低了策略的冗余程度,节约了策略的存储空间,降低了人工维护成本,在动态性和易维护性方面具有较为明显的优势。综上,本文在传统的静态访问控制的基础上,分别引入时间与空间属性解决了一类具有时间敏感性与空间敏感性的动态访问控制的需要,并通过在访问控制策略描述中扩增条件判断要素,使得系统在处理一类主体与客体属性间具有一定规律性的访问申请时,具备了更为智能的判断能力,能够显著精简访问控制策略集,降低了访问控制条件发生改变时人工维护的成本,系统的动态性和易维护性两方面都获得了提高。