中文摘要：

在应用RBAC模型进行访问控制时，安全管理员易出现授权决策失误问题，其原因在于安全策略与约束的领域语义是晦涩的、非直观的，将其显式化是提高安全管理员授权决策能力的必然需求。针对这一需求，项目重点分析安全管理员的授权决策行为，提炼出两类NPC问题命题可满足问题与合法操作序列的规划问题，形成"以两类授权决策问题的求解过程代替安全策略与约束领域语义的显式化过程"这一授权决策支持模式，建立起形式化的描述体系、问题模型及角色继承等结构化领域知识的表征模型，运用启发式搜索算法与图规划算法分别求解两类授权决策问题，并结合领域知识进行算法的改造，由此构建起授权决策支持原型系统，解决"安全策略与约束的领域语义显式化"这一关键难题。项目揭示了授权决策问题的结构和性质，提出了一种新型的授权决策支持模式；其研究工作有助于完善RBAC模型的授权机制，提升安全管理员的授权决策能力，维系RBAC模型的安全性。

结论摘要：

针对“RBAC安全管理员受安全策略语义模糊的影响而容易出现授权决策失误”的问题，项目从研究RBAC模型的授权逻辑与管理控制方式入手，揭示了RBAC授权决策问题的结构和性质，提出RBAC安全管理员的授权决策支持模式，建立起授权决策支持机制及相关技术体系，开展了应用模式研究与实践，具体包括 1)研究了授权状态的“伪三值逻辑”问题、管理权威源问题、管理员权责同步问题、授权决策支持模式问题；从语用/语法/语义三个层面分析并明确了RBAC模型的二值逻辑学基础；详细阐述了系列管理问题的逻辑关系，明确了管理权威的来源和权限泄漏的具体含义，提出了“有效区分分权与授权、推行权限使用审计”的权责同步思路及“以问题求解替代安全策略与约束语义显示化”的授权决策支持模式。 2)提出了策略安全分析问题向规划问题转换的整体思路，定义“虚动作”模型以描述角色继承关系，使用领域互斥集合表述静态互斥关系， 引入领域公理处ARBAC 策略的开放世界假设问题和前提条件中的负谓词问题。其后，改造图规划算法求解转换而来的规划问题，开发了面向 ARBAC 策略安全分析实验型规划系统。 3)研究了大规模分布式RBAC访问控制系统的最优授权决策问题，定义了授权路径问题，包括授权路径规划问题与授权路径优化问题，提出了集成图规划与AO*算法的最优授权路径求解算法。 4)研究了RBAC授权决策相关技术在协同制造环境中的应用模式，分析了云制造环境中、CPS环境下特殊的访问控制需求及分布式RBAC改进模型与授权决策支持技术，研究非形式化语言表述的安全策略的轻语义分析方法，探索时态RBAC模型的技术基础——子结构逻辑、时态逻辑与时态数据库。 项目累计发表论文7篇，其中SCI收录1篇，国内一级学报2篇；另有3篇未标注资助，含SCI论文1篇；后续研究形成的论文2篇已向SCI期刊论文投稿；申请发明专利3件。项目培养博士生1人，硕士研究生2人。