基于屬性和角色的訪問控制方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于屬性和角色的訪問控制方法及系統(tǒng)����,該方法包括:對于提出訪問資源請求的多個用戶,根據(jù)所述多個用戶特征信息設計屬性策略��,并對所述屬性策略中有沖突的策略進行優(yōu)化�����;獲取所述用戶的屬性值�����,并根據(jù)預設的屬性表達式判斷該用戶是否有權(quán)訪問�;若所述用戶有權(quán)訪問,則根據(jù)所述用戶的屬性分配角色����,并根據(jù)所述角色,查詢所述角色對應的權(quán)限����,實現(xiàn)所述用戶對資源信息的訪問獲取。該方法通過綜合ABAC能夠滿足大規(guī)模動態(tài)訪問的特點和RBAC權(quán)限分配和管理的靈活性而設計兩者混雜的訪問控制���,并在此基礎上解決了策略的冗余和沖突的問題���。
【專利說明】基于屬性和角色的訪問控制方法及系統(tǒng)
【技術(shù)領域】
[0001] 本發(fā)明涉及信息資源的訪問控制領域����,具體涉及基于屬性和角色的訪問控制方法 及系統(tǒng)�。
【背景技術(shù)】
[0002] 伴隨著物聯(lián)網(wǎng)的飛速發(fā)展���,安全問題也日益顯著��。像打車系統(tǒng)中出租車信息的泄 露�����,微信中位置隱私的泄露等比比皆是�����。但目前常用的訪問控制主要還是互聯(lián)網(wǎng)中的訪問 控制�。比如:基于角色的訪問控制(Role Based Access Control,簡稱RBAC)��,基于屬性的 訪問控制(Attribute Based Access Control�����,簡稱ABAC)等等。其中�,RBAC是在用戶和訪 問權(quán)限之間引入角色的概念,用戶與特定的一個或多個角色相關(guān)聯(lián)�,角色同一個或多個訪 問權(quán)限相關(guān)聯(lián),角色可以根據(jù)實際的工作需要生成或取消���,而且登錄到系統(tǒng)中的用戶可以 根據(jù)自己的需要來動態(tài)激活自己擁有的角色�。在RBAC中�,通過分配和取消角色來完成用戶 權(quán)限的授予和取消,實現(xiàn)了用戶與訪問權(quán)限的邏輯分離��,極大地簡化了權(quán)限管理�。ABAC則是 將請求者、被訪問資源����、訪問方法和條件這些元素統(tǒng)一使用屬性來描述,而且各個元素所關(guān) 聯(lián)的屬性可以根據(jù)系統(tǒng)需要定義����。屬性概念的引入將訪問控制中對所有元素的描述統(tǒng)一起 來提供一種統(tǒng)一描述的框架。但是,由于物聯(lián)網(wǎng)擁有諸如實時性����、動態(tài)性等一些有別于互聯(lián) 網(wǎng)的新特性,使得這些在互聯(lián)網(wǎng)中廣泛運用的訪問控制并不完全適用��。所以�����,所以我們需要 對其進行改進以滿足需求�。
[0003] RBAC不能滿足大規(guī)模用戶動態(tài)變化的訪問需求。RBAC是提起分配好用戶和角色 (權(quán)限)之間的關(guān)系����,但當訪問者的身份��、時間�����、地點等在隨時改變的時候�,我們將不能預知 附近訪問者的權(quán)限從而提前分配;另外���,現(xiàn)實中對某一信息的訪問者往往數(shù)量巨大���,這也增 加了提前分配權(quán)限的工作量��,使之不可能實現(xiàn)��。而單純的ABAC授權(quán)過程復雜����,不靈活��,不能 滿足實時性����;同時規(guī)則的數(shù)量也會隨著用戶和屬性的增加而急劇膨脹。
【發(fā)明內(nèi)容】
[0004] 針對現(xiàn)有技術(shù)中的缺陷�����,本發(fā)明提供基于屬性和角色的訪問控制方法及系統(tǒng)�,解 決了 RBAC不能滿足大規(guī)模用戶動態(tài)變化的訪問以及ABAC不能滿足訪問的實時性的問題。
[0005] 第一方面��,本發(fā)明提供了一種基于屬性和角色的訪問控制方法��,包括:
[0006] 對于提出訪問資源請求的多個用戶,根據(jù)所述多個用戶特征信息設計屬性策略�;
[0007] 對所述屬性策略進行檢測,并對所述屬性策略中有沖突的策略進行優(yōu)化���;
[0008] 獲取所述用戶的屬性值��,并根據(jù)預設的屬性表達式判斷該用戶是否有權(quán)訪問�;
[0009] 若所述用戶有權(quán)訪問�,則根據(jù)所述用戶的屬性分配角色,并根據(jù)所述角色����,查詢所 述角色對應的權(quán)限,實現(xiàn)所述用戶對資源信息的訪問獲取��。
[0010] 可選的��,所述對于提出訪問資源請求的用戶��,根據(jù)用戶信息設計屬性策略�,所述屬 性策略包括:
[0011] 所述屬性表達式與角色的對應關(guān)系�����,以及所述角色與所述對應的權(quán)限信息庫。
[0012] 可選的�����,所述屬性表達式與所述角色的對應關(guān)系包括:一對一的對應關(guān)系或多對 一的對應關(guān)系���。
[0013] 可選的��,對所述屬性策略中有沖突的策略進行優(yōu)化��,所述沖突的策略包括:
[0014] 例外沖突���、策略冗余、策略隱藏和關(guān)聯(lián)沖突����。
[0015] 可選的,所述例外沖突��、策略冗余����、策略隱藏和關(guān)聯(lián)沖突,通過設定優(yōu)先級���、更改優(yōu) 先級���、和/或�,刪除策略進行優(yōu)化����。
[0016] 第二方面,本發(fā)明還提供了一種基于屬性和角色的訪問控制系統(tǒng)�����,包括:
[0017] 屬性策略獲取模塊�,用于對于提出訪問資源請求的多個用戶,根據(jù)所述多個用戶 特征信息設計屬性策略��;
[0018] 屬性策略優(yōu)化模塊�,用于對所述屬性策略進行檢測,并對所述屬性策略中有沖突 的策略進行優(yōu)化�;
[0019] 用戶訪問判斷模塊,用于獲取所述用戶的屬性值����,并根據(jù)預設的屬性表達式判斷 該用戶是否有權(quán)訪問�;
[0020] 用戶資源獲取模塊�,用于當所述用戶有權(quán)訪問時����,根據(jù)所述用戶的屬性分配角色, 并根據(jù)所述角色����,查詢所述角色對應的權(quán)限,實現(xiàn)所述用戶對資源信息的訪問獲取�。
[0021] 可選的,所述屬性策略獲取模塊中的所述屬性策略包括:
[0022] 所述屬性表達式與角色的對應關(guān)系�,以及所述角色與所述對應的權(quán)限信息庫。
[0023] 可選的���,所述屬性策略中所述屬性表達式與所述角色的對應關(guān)系包括:一對一的 對應關(guān)系或多對一的對應關(guān)系����。
[0024] 可選的�����,所述屬性策略優(yōu)化模塊中的所述沖突的策略包括:
[0025] 例外沖突����、策略冗余���、策略隱藏和關(guān)聯(lián)沖突。
[0026] 可選的���,所述屬性策略優(yōu)化模塊還用于����,所述例外沖突����、策略冗余、策略隱藏和關(guān) 聯(lián)沖突��,通過設定優(yōu)先級����、更改優(yōu)先級、和/或�,刪除策略進行優(yōu)化。
[0027] 由上述技術(shù)方案可知���,本發(fā)明提供了一種基于屬性和角色的訪問控制方法及系 統(tǒng)���,該方法通過綜合ABAC能夠滿足大規(guī)模動態(tài)訪問的特點和RBAC權(quán)限分配和管理的靈活 性而設計兩者混雜的訪問控制,并在此基礎上解決了策略的冗余和沖突的問題�����。
【專利附圖】
【附圖說明】
[0028] 圖1為本發(fā)明一實施例提供的基于屬性和角色的訪問控制方法的流程圖����;
[0029] 圖2為本發(fā)明另一實施例提供的基于屬性分配角色和基于角色分配權(quán)限的結(jié)構(gòu) 示意圖;
[0030] 圖3為本發(fā)明另一實施例提供的基于屬性和角色的訪問控制系統(tǒng)的結(jié)構(gòu)示意圖��。
【具體實施方式】
[0031] 下面結(jié)合附圖���,對發(fā)明的【具體實施方式】作進一步描述�����。以下實施例僅用于更加清 楚地說明本發(fā)明的技術(shù)方案�����,而不能以此來限制本發(fā)明的保護范圍�。
[0032] 圖1為本發(fā)明實施例提供的基于屬性和角色的訪問控制方法的流程圖�����,如圖1所 示,該方法包括如下步驟:
[0033] S101��、對于提出訪問資源請求的多個用戶��,根據(jù)所述多個用戶特征信息設計屬性 策略����;
[0034] 舉例來說,上述提出訪問資源請求的多個用戶為用戶群體���;
[0035] 上述屬性策略包括:
[0036] 所述屬性表達式與角色的對應關(guān)系��,以及所述角色與所述對應的權(quán)限信息庫�,其 中����,所述屬性表達式與所述角色的對應關(guān)系包括:一對一的對應關(guān)系或多對一的對應關(guān)系。
[0037] S102����、對所述屬性策略進行檢測,并對所述屬性策略中有沖突的策略進行優(yōu)化�;
[0038] 舉例來說,上述沖突的策略包括:
[0039] 例外沖突、策略冗余����、策略隱藏和關(guān)聯(lián)沖突。上述例外沖突��、策略冗余����、策略隱藏和 關(guān)聯(lián)沖突����,通過設定優(yōu)先級、更改優(yōu)先級�����、和/或��,刪除策略進行優(yōu)化����。
[0040] S103、獲取所述用戶的屬性值���,并根據(jù)預設的屬性表達式判斷該用戶是否有權(quán)訪 問�����;
[0041] S104����、若所述用戶有權(quán)訪問,則根據(jù)所述用戶的屬性分配角色�,并根據(jù)所述角色, 查詢所述角色對應的權(quán)限��,實現(xiàn)所述用戶對資源信息的訪問獲取����。
[0042] 上述方法通過綜合ABAC能夠滿足大規(guī)模動態(tài)訪問的特點和RBAC權(quán)限分配和管理 的靈活性而設計兩者混雜的訪問控制,并在此基礎上解決了策略的冗余和沖突的問題��。該 方法不僅僅適用于物聯(lián)網(wǎng)中�,凡是出現(xiàn)此類問題的網(wǎng)絡本方法均適用。
[0043] 在具體應用中��,上述步驟S101的【具體實施方式】為:
[0044] 根據(jù)下表1中的屬性策略語言進行設計屬性策略���,例如網(wǎng)絡影城規(guī)定大于11歲的 人可以獲得Juvenile角色(該角色可以觀看1�����,2級片)���,而大于18歲的可以獲得Adult角 色(該角色可以觀看1���,2,3,4級片)。策略就可以如下設計 :
[0045] Rulel :age > 11- > Juvenile ���;
[0046] Rule2 :age > 18- > Adult。
[0047] 其中�����,屬性表達式與角色設計成一對一或多對一的關(guān)系�����。假如這里出現(xiàn)了一對多 的關(guān)系����,通過如下方法消除。
[0048] 沖突的角色可以通過策略設計拒絕訪問����;有包含關(guān)系的角色可以根據(jù)優(yōu)先級賦予 其高級角色����;不相干角色可以合并成一個角色然后再分配���。
[0049] 注:角色所對應的權(quán)限之間的關(guān)系只有三種--沖突����、包含和不相干����。
[0050] 根據(jù)表1中的屬性策略語言進行設計屬性策略,使得在提出訪問資源請求的用戶 更換時�,直接通過更改策略語言進行屬性策略,便于在不同的場景設計不同的策略���,該語言 簡單易懂�,又不失可擴展性��,該方法簡化了屬性策略設計����,提高了效率�����。
[0051]
【權(quán)利要求】
1. 一種基于屬性和角色的訪問控制方法�����,其特征在于�,包括: 對于提出訪問資源請求的多個用戶���,根據(jù)所述多個用戶特征信息設計屬性策略���; 對所述屬性策略進行檢測���,并對所述屬性策略中有沖突的策略進行優(yōu)化�; 獲取所述用戶的屬性值�����,并根據(jù)預設的屬性表達式判斷該用戶是否有權(quán)訪問�; 若所述用戶有權(quán)訪問,則根據(jù)所述用戶的屬性分配角色����,并根據(jù)所述角色����,查詢所述角 色對應的權(quán)限����,實現(xiàn)所述用戶對資源信息的訪問獲取。
2. 根據(jù)權(quán)利要求1所述的方法���,其特征在于����,所述對于提出訪問資源請求的用戶���,根據(jù) 用戶信息設計屬性策略����,所述屬性策略包括: 所述屬性表達式與角色的對應關(guān)系�,以及所述角色與所述對應的權(quán)限信息庫。
3. 根據(jù)權(quán)利要求2所述的方法�����,其特征在于,所述屬性表達式與所述角色的對應關(guān)系 包括:一對一的對應關(guān)系或多對一的對應關(guān)系��。
4. 根據(jù)權(quán)利要求1所述的方法����,其特征在于,對所述屬性策略中有沖突的策略進行優(yōu) 化���,所述沖突的策略包括: 例外沖突�、策略冗余��、策略隱藏和關(guān)聯(lián)沖突���。
5. 根據(jù)權(quán)利要求4所述的方法���,其特征在于����,所述例外沖突、策略冗余���、策略隱藏和關(guān) 聯(lián)沖突��,通過設定優(yōu)先級����、更改優(yōu)先級、和/或��,刪除策略進行優(yōu)化����。
6. -種基于屬性和角色的訪問控制系統(tǒng),其特征在于�����,包括: 屬性策略獲取模塊�,用于對于提出訪問資源請求的多個用戶,根據(jù)所述多個用戶特征 信息設計屬性策略��; 屬性策略優(yōu)化模塊�,用于對所述屬性策略進行檢測,并對所述屬性策略中有沖突的策 略進行優(yōu)化����; 用戶訪問判斷模塊,用于獲取所述用戶的屬性值,并根據(jù)預設的屬性表達式判斷該用 戶是否有權(quán)訪問�; 用戶資源獲取模塊,用于當所述用戶有權(quán)訪問時����,根據(jù)所述用戶的屬性分配角色,并根 據(jù)所述角色����,查詢所述角色對應的權(quán)限����,實現(xiàn)所述用戶對資源信息的訪問獲取。
7. 根據(jù)權(quán)利要求6所述的系統(tǒng)�����,其特征在于�,所述屬性策略獲取模塊中的所述屬性策 略包括: 所述屬性表達式與角色的對應關(guān)系,以及所述角色與所述對應的權(quán)限信息庫��。
8. 根據(jù)權(quán)利要求7所述的系統(tǒng)�,其特征在于��,所述屬性策略中所述屬性表達式與所述 角色的對應關(guān)系包括:一對一的對應關(guān)系或多對一的對應關(guān)系���。
9. 根據(jù)權(quán)利要求6所述的系統(tǒng)��,其特征在于��,所述屬性策略優(yōu)化模塊中的所述沖突的 策略包括: 例外沖突�����、策略冗余��、策略隱藏和關(guān)聯(lián)沖突���。
10. 根據(jù)權(quán)利要求9所述的系統(tǒng)�����,其特征在于�����,所述屬性策略優(yōu)化模塊還用于�����,所述例 外沖突��、策略冗余�、策略隱藏和關(guān)聯(lián)沖突,通過設定優(yōu)先級����、更改優(yōu)先級、和/或�,刪除策略 進行優(yōu)化。
【文檔編號】H04L12/58GK104243453SQ201410425815
【公開日】2014年12月24日 申請日期:2014年8月26日 優(yōu)先權(quán)日:2014年8月26日
【發(fā)明者】孫凱文, 殷麗華, 郭云川, 李超 申請人:中國科學院信息工程研究所