移動網(wǎng)絡(luò)中基于角色的訪問控制的系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種移動網(wǎng)絡(luò)中基于角色的訪問控制的系統(tǒng)及方法,屬于技術(shù)領(lǐng)域�����。
【背景技術(shù)】
[0002]移動計算����,智能終端設(shè)備,如智能手機���,可穿戴智能設(shè)備等�����,在基于面向個人服務(wù)計算領(lǐng)域已經(jīng)取得了極大的成功�,并在人們的日常工作,出行�,和生活的各個方面有著革命性的發(fā)展。現(xiàn)代的智能移動終端����,或可穿戴智能設(shè)備基于當(dāng)前的移動計算特性,都有大量的對敏感信息的訪問��,很多應(yīng)用需要要求本地敏感資源的訪問控制(例如�����,相機和錄音機)和遠程訪問控制(例如���,遠程數(shù)據(jù)庫上的保密文件)��。敏感資源的訪問取決于當(dāng)前用戶的角色,對敏感資源的訪問控制對個人和對公司的安全性都至關(guān)重要����。
[0003]—個用戶在不同的情況下可以有不同的角色����,而每種角色都有其特定屬性以及訪問權(quán)限�。如何合理有效的制定利用這些訪問策略,是非常值得研究的����。一種策略就好比假設(shè)手機使用者擁有多重角色身份,并符合在不同的安全區(qū)域和工作時間條件下�,可以使其手機具有不用屬性的訪問權(quán)限。現(xiàn)有方法當(dāng)用戶想訪問敏感資源��,他將不得不連接訪問控制服務(wù)器以獲得許可�,而頻繁的連接服務(wù)器會耗費大量設(shè)備電池。并且敏感資源不可能緩存在本地磁盤�����。當(dāng)用戶角色轉(zhuǎn)變的時候�����,所有與之角色相關(guān)聯(lián)的敏感資源都要從設(shè)備清除(例如用戶文件)�。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的是克服現(xiàn)有技術(shù)存在的缺陷,提出移動網(wǎng)絡(luò)中基于角色的訪問控制的系統(tǒng)及方法,通過制定移動終端訪問策略�����,通過使用加密方案控制訪問策略的實施���,解決現(xiàn)有技術(shù)中的角色轉(zhuǎn)變導(dǎo)致相關(guān)聯(lián)的敏感資源會從設(shè)備中清除以及頻繁的連接服務(wù)器會耗費大量設(shè)備電池的技術(shù)問題����。
[0005]本發(fā)明采用如下技術(shù)方案:移動網(wǎng)絡(luò)中基于角色的訪問控制的系統(tǒng)���,其特征在于�,包括移動設(shè)備���、訪問控制服務(wù)器�、敏感數(shù)據(jù)數(shù)據(jù)庫����,所述移動設(shè)備與所述訪問控制服務(wù)器相連接,所述訪問控制服務(wù)器與所述敏感數(shù)據(jù)數(shù)據(jù)庫相連接���。
[0006]優(yōu)選地��,所述移動設(shè)備包括應(yīng)用��、標準檢測器�����、本地磁盤����,所述本地磁盤用來實現(xiàn)對敏感數(shù)據(jù)進行緩存����;所述應(yīng)用與所述標準檢測器進行雙向級聯(lián),所述標準檢測器與所述本地磁盤進行雙向級聯(lián)�����,所述標準檢測器與所述訪問控制服務(wù)器進行雙向級聯(lián)��。
[0007]本發(fā)明還提出一種移動網(wǎng)絡(luò)中基于角色的訪問控制的方法���,其特征在于���,包括如下步驟:
[0008]步驟SI所述移動設(shè)備啟動,并給所述移動設(shè)備的本地每個敏感資源指派一個唯一的身份標識;
[0009]步驟S2所述移動設(shè)備會依次提交身份標識列表給所述訪問控制服務(wù)器��;
[0010]步驟S3所述訪問控制服務(wù)器會結(jié)合本地敏感資源的訪問控制策略���,根據(jù)屬性加密方法去加密所述身份標識����;
[0011]步驟S4所述訪問控制服務(wù)器會將加密后的身份標識信息反饋給所述移動設(shè)備���;
[0012]步驟S5加密后的所述身份標識信息會存儲在所述標準檢測器上��;
[0013]步驟S6當(dāng)某個所述應(yīng)用想訪問本地敏感資源時���,所述應(yīng)用向所述標準監(jiān)測器發(fā)送資源請求,所述標準檢測器會在所述本地磁盤中根據(jù)當(dāng)前用戶角色解密被所述應(yīng)用請求的所述身份標識�;如果解密能正確的執(zhí)行,那么所述應(yīng)用能訪問被請求的本地敏感資源�����;否則����,轉(zhuǎn)入步驟S7;
[0014]步驟S7所述應(yīng)用訪問就被拒絕����,即當(dāng)前的用戶角色不能訪問敏感資源���,此時改變用戶角色去滿足訪問權(quán)限;
[0015]步驟S8當(dāng)某個所述應(yīng)用想訪問遠程敏感資源時�����,所述標準檢測器將來自所述應(yīng)用的資源請求傳輸?shù)剿鲈L問控制服務(wù)器�����,所述訪問控制服務(wù)器再將資源請求傳輸?shù)剿雒舾袛?shù)據(jù)數(shù)據(jù)庫���,所述標準檢測器會在所述敏感數(shù)據(jù)數(shù)據(jù)庫中根據(jù)當(dāng)前用戶角色解密被所述應(yīng)用請求的所述身份標識��;如果解密能正確的執(zhí)行�,那么所述應(yīng)用能訪問被請求的遠程敏感資源�。
[0016]優(yōu)選地,所述步驟S3所述的所述屬性加密方法包括如下步驟:
[0017]SSl將加密的敏感資源緩存存儲在所述本地磁盤一段時間�����,緩存時間的長短由移動設(shè)備企業(yè)的策略決定;
[0018]SS2當(dāng)用戶角色變化時���,所述移動設(shè)備將新收到一條基于新角色的解密密鑰���;
[0019]SS3如果新的用戶角色仍然滿足緩存加密數(shù)據(jù)相關(guān)的訪問控制策略,緩存加密敏感資源仍然可以利用新的用戶角色進行解密�;否則,解密操作將被拒絕��。
[0020]優(yōu)選地��,所述步驟S7中的所述改變用戶角色去滿足訪問權(quán)限包括如下步驟:
[0021]SSSl用戶先用所述移動設(shè)備的發(fā)送條預(yù)先下載敏感資源的相關(guān)請求���,然后所述訪問控制服務(wù)器會根據(jù)訪問控制策略給以解密的敏感資源與回復(fù)���;
[0022]SSS2所述訪問控制服務(wù)器根據(jù)移動設(shè)備企業(yè)的策略決定敏感資源在所述本地磁盤的有效時間;
[0023]SSS3用戶可以在本地設(shè)備緩存加密的敏感資源直到角色可以適配加密的敏感資源相關(guān)的訪問控制策略�;如果預(yù)先下載的敏感資源有效期已到,用戶將無法解密該敏感資源����。
[0024]本發(fā)明所達到的有益效果:本發(fā)明通過制定移動終端訪問策略,通過使用加密方案控制訪問策略的實施���,解決現(xiàn)有技術(shù)中的角色轉(zhuǎn)變導(dǎo)致相關(guān)聯(lián)的敏感資源會從設(shè)備中清除以及頻繁的連接服務(wù)器會耗費大量設(shè)備電池的技術(shù)問題�。
【附圖說明】
[0025]圖1是本發(fā)明的遠程敏感資源被訪問時的流程圖。
[0026]圖2是本發(fā)明的本地敏感資源被訪問時的流程圖�����。
[0027]圖3是本發(fā)明的本地敏感資源的屬性加密方法的流程圖�。
[0028]圖4是本發(fā)明的經(jīng)過屬性加密的本地敏感資源被訪問時的流程圖。
【具體實施方式】
[0029]下面結(jié)合附圖對本發(fā)明作進一步描述����。以下實施例僅用于更加清楚地說明本發(fā)明的技術(shù)方案����,而不能以此來限制本發(fā)明的保護范圍。
[0030]本發(fā)明采用如下技術(shù)方案:移動網(wǎng)絡(luò)中基于角色的訪問控制的系統(tǒng)�,其特征在于,包括移動設(shè)備���、訪問控制服務(wù)器��、敏感數(shù)據(jù)數(shù)據(jù)庫���,所述移動設(shè)備與所述訪問控制服務(wù)器相連接�,所述訪問控制服務(wù)器與所述敏感數(shù)據(jù)數(shù)據(jù)庫相連接����;所述移動設(shè)備包括應(yīng)用、標準檢測器��、本地磁盤��,所述本地磁盤用來實現(xiàn)對敏感數(shù)據(jù)進行緩存�����;所述應(yīng)用與所述標準檢測器進行雙向級聯(lián)�����,所述標準檢測器與所述本地磁盤進行雙向級聯(lián)�,所述標準檢測器與所述訪問控制服務(wù)器進行雙向級聯(lián)。
[0031]本發(fā)明還提出一種移動網(wǎng)絡(luò)中基于角色的訪問控制的方法�,其特征在于,包括如下步驟:
[0032]步驟SI所述移動設(shè)備啟動����,并給所述移動設(shè)備的本地每個敏感資源指派一個唯一的身份標識;
[0033]步驟S2所述移動設(shè)備會依次提交身份標識列表給所述訪問控制服務(wù)器����;
[0034]步驟S3所述訪問控制服務(wù)器會