CN101714196A - 基于周期时间的权限委托方法 - Google Patents

Abstract

本发明揭示一种基于周期时间的权限委托方法，该方法包括如下步骤：根据委托策略，对委托者进行资格判定，当委托者符合资格判定时，判断该委托者具备授权资格；根据委托策略，对被委托者进行资格判定，当被委托者符合资格判定时，判断该被委托者具备被授权资格；委托者将其拥有的设定权限或/和角色授权给被委托者，被委托者在该周期时间内拥有权限或/和角色；根据周期时间限制，当目前时间超出周期时间限制时，授权被撤销，被委托者所拥有的权限、角色处于无效状态。本发明提出的基于周期时间的权限委托方法，可解决用户与用户之间的资源权限委托中的委托时间性问题。

Description

基于周期时间的权限委托方法

技术领域

本发明属于信息安全技术领域，涉及一种权限委托方法，尤其涉及一种基于周期时间的权限委托方法。

背景技术

在大型应用组织系统中，访问控制是实现系统安全管理的一项重要技术。随着国内外的研究和发展，角色访问控制(RBAC)模型受到广泛的关注和进一步的研究。RBAC模型通过引入角色(Role)这一中介，人工分配用户合适的角色，从而授权用户角色的权限，实现了用户与权限的逻辑分离，简化了权限的管理。RBAC被认为是大型组织的一种有效的访问控制模型。

基于角色的委托是RBAC的重要组成部分，它的基本思想是系统的主动实体将其所具有的部分权限或者全部权限委托给其他主动实体，以便后者能代表前者执行某些任务。目前，委托的研究工作更多的关注在用户与用户之间的委托。在实际应用中，发生委托有以下几种情形：

(1)当一个用户因公务出差或缺席的情况下，工作需要由其他人支持。这需要某人被委托职权来做缺席个体的工作。等到用户回来后，受委托者需要将访问权限返还。

(2)当一个组织需要开始建立或后来重组，工作职能在组织结构里由较高工作位置到较低工作位置分散。

(3)不同组的用户间可能为了完成某一共同任务而需要相互协作。在这种情况下，需要赋予协作方一定的访问权限，以便工作顺利进行。

从上述委托情形，可以看出委托具有临时性。临时性可以体现在委托的有效期限、使用次数。

目前，基于角色的委托模型主要有RBDM0，RDM2000，PBDM。其中，RBDM0是基于角色的第一个委托模型。在RBDM0里，一个用户能委托他的角色给另一个用户。RDM2000模型是RBDM0的扩充模型，支持角色继承关系下的多步委托和角色委托，并用一种基于规则的描述语言来实现委托策略，委托单元是角色。RBDM0和RDM2000模型的委托单元是一个角色。PBDM针对的委托单元可以是权限或权限与角色的混合。ABDM是针对用户属性和资源属性的一种基于属性的权限委托方法。上述这些方法都没有对委托的时间性进行分析。

发明内容

本发明所要解决的技术问题是：提供一种基于周期时间的权限委托方法，可解决用户与用户之间的资源权限委托中的委托时间性问题。

为解决上述技术问题，本发明采用如下技术方案：

一种基于周期时间的权限委托方法，该方法包括如下步骤：

A、根据委托策略，对委托者进行资格判定，当委托者符合资格判定时，判断该委托者具备授权资格；

B、根据委托策略，对被委托者进行资格判定，当被委托者符合资格判定时，判断该被委托者具备被授权资格；

D、委托者将其拥有的设定权限或/和角色授权给被委托者，被委托者在该周期时间内拥有权限或/和角色；

E、根据周期时间限制，当目前时间超出周期时间限制时，授权被撤销，被委托者所拥有的权限、角色处于无效状态。

进一步地，所述方法还包括步骤C、所述委托者根据该委托者拥有的权限和角色，设定授权被委托者拥有的权限或/和角色，对被委托者的授权深度和授权宽度进行授权约束；所述被委托者的授权深度表示被委托者能被转授获得的委托内容的多少，所述被委托者的授权宽度表示被委托者可委托的次数。

作为本发明的一种优选方案，所述方法中，用户拥有的权限或/和角色包括若干级别；所述步骤A中，若委托者的级别大于设定级别时，该委托者具备授权资格；所述步骤B中，若被委托者的级别小于设定级别时，该委托者具备被授权资格。

作为本发明的一种优选方案，计用户拥有的授权深度为m、授权宽度为n；若m＝0或n＝0，则该用户不能把权限或角色授权给其他用户。

作为本发明的一种优选方案，若委托者授权被委托者的授权深度大于委托者的授权深度，所述步骤D中，判断授权约束不符合设定条件；若委托者授权的总次数大于授权宽度，所述步骤D中，判断授权约束不符合设定条件。

本发明的有益效果在于：本发明提出的基于周期时间的权限委托方法，可解决用户与用户之间的资源权限委托中的委托时间性问题。本发明针对委托的临时性特点提出了周期时间限制的授权委托模型，通过本发明可以解决以往授权委托模型中没有考虑时间性或没有综合考虑时间性中的深度宽度限制的缺陷，并且本模型可以应用于其他一些委托方法(如权限委托、角色委托)，并对其进行扩展完善，具有普遍适用性。

附图说明

图1为本发明基于周期时间的权限委托方法的流程图。

图2为授权委托流程图。

图3-1、图3-2为资格判定流程图。

图4为一个实施例中授权约束中形成的授权树的示意图。

具体实施方式

下面结合附图详细说明本发明的优选实施例。

实施例一

本发明揭示了一种基于周期时间的权限委托方法，委托者在授权委托操作过程中，仅仅赋予被委托者在周期时间限制中具有委托角色和委托权限；即，被委托者仅仅在周期时间PT中可以行使委托角色所具有的权限和委托权限，一旦当前时间t超出周期时间限制时，则系统自动撤销被授权用户的委托角色和委托权限。

在具体介绍本发明方法前，先介绍本发明中用到的一些基本元素和定义。

(1)授权委托(Authority Delegation)：是一种授权机制，即委托者将自己拥有的权限和角色委托给请求者，以允许请求者行使委托者拥有的权限。

(2)实体(Entity)：表示人、机器、系统等物体。

(3)委托者(Delegator)：授权委托过程中的拥有权限和角色的实体。

(4)权限(Permission)：是对在一个或多个对象上执行操作的许可。

(5)被委托者(Delegatee)：授权委托过程中的请求委托者委托权限和角色的实体。

(6)角色(Role)：指在一个组织机构中的工作职责，该职责可以关联一些关于权力和责任的语义。

(7)周期时间(PT)：指委托者在一定的时间限制内授权委托给被委托者权限。

(8)委托属性表达式(DAE)：委托者和被委托者的属性构成的委托属性表达式。

(9)授权深度(Depth)：表示被委托者能转授获得的委托内容的深度。

(10)授权宽度(Width)：表示委托的次数。

请参阅图1、图2，本发明基于周期时间的权限委托方法包括如下步骤：

【步骤A】根据委托策略，对委托者进行资格判定，当委托者符合资格判定时，判断该委托者具备授权资格。

用户拥有的权限或/和角色包括若干级别；其中，若委托者的级别大于设定级别时，该委托者具备授权资格；

【步骤B】根据委托策略，对被委托者进行资格判定，当被委托者符合资格判定时，判断该被委托者具备被授权资格。

用户拥有的权限或/和角色包括若干级别；其中，若被委托者的级别小于设定级别时，该委托者具备被授权资格。

当然，委托者和被委托者的授权资格，可以包含先决角色条件，也可以包含先决角色条件和委托属性表达式条件。在委托属性表达式中，并不一定是设定一个大小级别的，还可以有其他设定方式，设定方式可根据需要进行设定。比如，在某公司，当一个软件开发部的部门经理需要出差，那么他会将他出差这段时间，对于手头某VC项目的处理权下放给他的下属。在他的下属中，规定使用VC语言编程超过3年的高级工程师可以有资格接受部门经理的授权。那么，这时，委托者的授权资格就是为{CR＝Manager AND Department＝Software_development}，被委托者的资格判定条件为{CR＝Senior_Engineer AND{Department＝Software_development AND Software_language＝VC AND VC_year＞＝3}}。对于委托属性表达式，可根据实际应用情况的不同而进行不同设定。

【步骤C】所述委托者根据该委托者拥有的权限和角色，设定授权被委托者拥有的权限或/和角色，对被委托者的授权深度和授权宽度进行授权约束；所述被委托者的授权深度表示被委托者能被转授获得的委托内容的多少，所述被委托者的授权宽度表示被委托者可委托的次数。

【步骤D】当步骤C的授权约束符合设定条件时，委托者将设定的权限或/和角色授权给被委托者，被委托者在该周期时间内拥有权限或/和角色。

计用户拥有的授权深度为m、授权宽度为n；若m＝0或n＝0，则该用户不能把权限或角色授权给其他用户。若委托者授权被委托者的授权深度大于委托者的授权深度，判断授权约束不符合设定条件；若委托者授权的总次数大于授权宽度，判断授权约束不符合设定条件。

【步骤E】根据周期时间限制，当目前时间超出周期时间限制时，授权被撤销，被委托者所拥有的权限、角色处于无效状态。

基于时限的委托撤销主要是基于委托的时限性。当系统时间超过某授权的时间点时，系统自动撤销被授权用户的该授权被授予的角色

$(u,\mathrm{dtr},t)\∈\mathrm{can}\_\mathrm{revoke}\⇔\mathrm{valid}\_d(u,\mathrm{dtr},t)=\left\{\right[\mathrm{ts},\mathrm{te}],t>\mathrm{te}\}=\mathrm{\φ}.$

其中，U表示被授权用户；PT表示周期时间；dtr表示授权角色。

例如，can_revoke(u，([2009/09/01，2009/12/31]，everyday)，r)，表示当时间t超出([2009/09/01，2009/12/31]，eve ryday)期限时，系统撤销被授权用户u所接受的授权角色r。

步骤A至步骤C是对资源权限拥有者对使用资源的被委托者在每次行使委托的权限和角色时进行委托判定，委托判定是基于以下三个方面进行判定执行：(1)对委托者的资格判定；(2)对被委托者的资格判定；(3)授权约束。

委托判定表示如下：

$\mathrm{can}\_\mathrm{delegate}\⊆\mathrm{Pre}\_\mathrm{con}\_\mathrm{dr}\×\mathrm{Pre}\_\mathrm{con}\_\mathrm{ee}\×P\_\mathrm{range}\×\mathrm{PT}\×\mathrm{depth}\×\mathrm{width};$

tdlg＝{pc_dr，pc_ee，p_r，pt，m，n}∈can_delegate，其中，

(1)pc_dr∈Pre_con_dr，表示委托者的资格判定条件；

(2)pc_ee∈Pre_con_ee，表示被委托者的资格判定条件；

(3)p_r∈P_range，表示委托内容，可以是权限，也可以是角色；

(4)pt∈PT，且PT＝([ts，te]，P)；

(5)m≤depth，表示委托的最大委托深度，用来限制委托的传递；

(6)n≤width，表示当前操作中委托角色被同一个用户转授的次数限制。

例如，can_delegate(r，r，{p1，p2}，([2009/09/01，2009/12/31]，everyday)，1，2)，表示具有角色r的委托者能将权限{p1，p2}委托给具有r角色的被委托者，被委托者在周期时间([2009/09/01，2009/12/31]，everyday)内的每个时间点，具有权限{p1，p2}，而且，被委托者的授权深度和宽度分别不超过1和2。

图3-1、图3-2说明了委托者和被委托者只有满足资格判定条件，才有资格可以进行委托和接受委托活动。委托者和被委托者的资格判定条件，可以包含先决角色(CR)，也包括委托属性表达式(DAE)，即CR{AND DAE}。

例如：对于委托者的资格判定条件{r AND{level＝5AND total≥20}}，其表示为：具有角色r，且级别值为5，且属性total的属性值大于等于20的委托者，可以进行委托操作。

同样，对于被委托者的资格判定条件{r AND{level≤4}}，其表示为：具有角色r，且级别值小于等于4的用户，可以接受委托操作。

被委托者接受委托者的委托内容(权限或角色)后，可以将接收的权限或角色进一步委托给其他的实体。这种进一步进行内容的委托，需要根据委托的深度和宽度进行相关约束。

对于委托者u，其授权约束为dw(u)＝(m，n)，分别表示委托者授权委托的深度和宽度值。如，定义委托者的授权约束为(depth，width)，则

(1)当m＝depth，n＝width时，则，委托用户u为初始委托用户；

(2)当(m＜depth)OR(n＜width)时，委托用户u为非初始委托用户；

(3)当(m＝0)OR(n＝0)时，用户s不能转授角色dtr。

图4介绍了一个实施例中授权约束中形成的授权树的示意图。对于某委托者u，其授权树如图4所示。在图4中，u可以将转授角色r委托给被委托者u11，u21，u31，根据u的深度值的大小，u11可以将转授角色委托给u12，依次类推，u31可以将转授角色委托给u32。

各个用户的dw值如图4所示。授权树的用户的dw值可以用矩阵DW表示。

$\mathrm{DW}\left(\left[\begin{array}{ccc}{u}_{11}& u_{12}& \\ u_{21}& u_{22}& u_{23}\\ u_{31}& u_{32}& \end{array}\right]\right)=\left[\begin{array}{ccc}(m-1,n)& (m-2,n)& \\ (m-1,n-1)& (m-2,n-2)& (m-3,n-1)\\ (m-1,n-2)& (m-2,n-2)& \end{array}\right].$

假定depth＝4，width＝3，m＝3，n＝3时，则dw(u)＝(m，n)＝(3，3)；

$\mathrm{DW}\left(\left[\begin{array}{ccc}{u}_{11}& u_{12}& \\ u_{21}& u_{22}& u_{23}\\ u_{31}& u_{32}& \end{array}\right]\right)=\left[\begin{array}{ccc}(m-1,n)& (m-2,n)& \\ (m-1,n-1)& (m-2,n-2)& (m-3,n-1)\\ (m-1,n-2)& (m-2,n-2)& \end{array}\right]=\left[\begin{array}{ccc}\left(\mathrm{2,3}\right)& \left(\mathrm{1,3}\right)& \\ \left(\mathrm{2,2}\right)& \left(\mathrm{1,2}\right)& \left(\mathrm{0,2}\right)\\ \left(\mathrm{2,1}\right)& \left(\mathrm{1,1}\right)& \end{array}\right].$

由此可知，dw(u23)＝(0，2)，用户u23的转授深度为0，转授宽度为2，则，用户u23不能转授角色dtr。

此外，本发明基于周期时间的权限委托方法对委托者和被委托者的资格判定进行了限定，并且对委托的深度和宽度进行了限制说明。本方法可以应用于其他委托方法，对其进行完善扩展。

综上所述，本发明提出的基于周期时间的权限委托方法，可解决用户与用户之间的资源权限委托中的委托时间性问题。本发明针对委托的临时性特点提出了周期时间限制的授权委托模型，通过本发明可以解决以往授权委托模型中没有考虑时间性或没有综合考虑时间性中的深度宽度限制的缺陷，并且本模型可以应用于其他一些委托方法(如权限委托、角色委托)，并对其进行扩展完善，具有普遍适用性。

这里本发明的描述和应用是说明性的，并非想将本发明的范围限制在上述实施例中。这里所披露的实施例的变形和改变是可能的，对于那些本领域的普通技术人员来说实施例的替换和等效的各种部件是公知的。本领域技术人员应该清楚的是，在不脱离本发明的精神或本质特征的情况下，本发明可以以其它形式、结构、布置、比例，以及用其它组件、材料和部件来实现。在不脱离本发明范围和精神的情况下，可以对这里所披露的实施例进行其它变形和改变。

Claims (9)

1.一种基于周期时间的权限委托方法，其特征在于，该方法包括如下步骤：

A、根据委托策略，对委托者进行资格判定，当委托者符合资格判定时，判断该委托者具备授权资格；

B、根据委托策略，对被委托者进行资格判定，当被委托者符合资格判定时，判断该被委托者具备被授权资格；

C、所述委托者根据该委托者拥有的权限和角色，设定授权被委托者拥有的权限或/和角色，对被委托者的授权深度和授权宽度进行授权约束；所述被委托者的授权深度表示被委托者能被转授获得的委托内容的多少，所述被委托者的授权宽度表示被委托者可委托的次数；

D、当步骤C的授权约束符合设定条件时，委托者将设定的权限或/和角色授权给被委托者，被委托者在该周期时间内拥有权限或/和角色；

E、根据周期时间限制，当目前时间超出周期时间限制时，授权被撤销，被委托者所拥有的权限、角色处于无效状态。

2.根据权利要求1所述的基于周期时间的权限委托方法，其特征在于：

所述方法中，用户拥有的权限或/和角色包括若干级别；

所述步骤A中，若委托者的级别大于设定级别时，该委托者具备授权资格；

所述步骤B中，若被委托者的级别小于设定级别时，该委托者具备被授权资格。

3.根据权利要求1所述的基于周期时间的权限委托方法，其特征在于：

计用户拥有的授权深度为m、授权宽度为n；若m＝0或n＝0，则该用户不能把权限或角色授权给其他用户。

4.根据权利要求1所述的基于周期时间的权限委托方法，其特征在于：

若委托者授权被委托者的授权深度大于委托者的授权深度，所述步骤D中，判断授权约束不符合设定条件；

若委托者授权的总次数大于授权宽度，所述步骤D中，判断授权约束不符合设定条件。

5.一种基于周期时间的权限委托方法，其特征在于，该方法包括如下步骤：

A、根据委托策略，对委托者进行资格判定，当委托者符合资格判定时，判断该委托者具备授权资格；

B、根据委托策略，对被委托者进行资格判定，当被委托者符合资格判定时，判断该被委托者具备被授权资格；

D、委托者将其拥有的设定权限或/和角色授权给被委托者，被委托者在该周期时间内拥有权限或/和角色；

E、根据周期时间限制，当目前时间超出周期时间限制时，授权被撤销，被委托者所拥有的权限、角色处于无效状态。

6.根据权利要求5所述的基于周期时间的权限委托方法，其特征在于：

所述方法还包括步骤C、所述委托者根据该委托者拥有的权限和角色，设定授权被委托者拥有的权限或/和角色，对被委托者的授权深度和授权宽度进行授权约束；所述被委托者的授权深度表示被委托者能被转授获得的委托内容的多少，所述被委托者的授权宽度表示被委托者可委托的次数。

7.根据权利要求6所述的基于周期时间的权限委托方法，其特征在于：

计用户拥有的授权深度为m、授权宽度为n；若m＝0或n＝0，则该用户不能把权限或角色授权给其他用户。

8.根据权利要求6所述的基于周期时间的权限委托方法，其特征在于：

若委托者授权被委托者的授权深度大于委托者的授权深度，所述步骤D中，判断授权约束不符合设定条件；

若委托者授权的总次数大于授权宽度，所述步骤D中，判断授权约束不符合设定条件。

9.根据权利要求5所述的基于周期时间的权限委托方法，其特征在于：

所述方法中，用户拥有的权限或/和角色包括若干级别；

所述步骤A中，若委托者的级别大于设定级别时，该委托者具备授权资格；

所述步骤B中，若被委托者的级别小于设定级别时，该委托者具备被授权资格。

Images