CN102857488A - 网络访问控制模型及其方法和终端 - Google Patents
网络访问控制模型及其方法和终端 Download PDFInfo
- Publication number
- CN102857488A CN102857488A CN2012101428972A CN201210142897A CN102857488A CN 102857488 A CN102857488 A CN 102857488A CN 2012101428972 A CN2012101428972 A CN 2012101428972A CN 201210142897 A CN201210142897 A CN 201210142897A CN 102857488 A CN102857488 A CN 102857488A
- Authority
- CN
- China
- Prior art keywords
- module
- role
- user
- access
- rbac
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种网络访问控制模型及其方法和终端,用于对访问一网络资源的用户分配恰当的访问权限。该网络访问控制模型包括:用户模块,用于提取所述用户的至少一属性;权限模块,定义对受保护对象执行某个动作的一种许可,定义了对所述网络资源的若干访问权限;角色模块,定义了若干角色,每个角色预设有若干所述的访问权限;本体模块,至少定义了用户的所述属性;规则模块,至少定义了一规则,该规则基于所述属性而分配给所述用户一匹配的角色,从而使该用户访问所述网络资源;会话模块,用于建立、维持和撤消所述用户与相匹配的角色的关联。本发明可以动态地给一陌生的访问用户分配合适的访问权限,从而增强网络访问的安全。
Description
技术领域
本发明涉及网络技术,尤其涉及一种对网络资源访问进行控制的方法和系统。
背景技术
在Web服务中,服务的请求与响应通常通过简单对象访问协议(Simple Object Access Protocol,SOAP)消息基于超文本传输协议(HyperText Transport Protocol,HTTP)进行传递,这使得传统网络层防火墙视SOAP消息为合法应用层协议。如果非法用户通过SOAP消息访问未经保护的Web服务,可能导致未授权的访问,甚至对内部应用带来危害。此外,一些Web服务可能只是针对特定用户群开放,只有经过认证和授权的请求者才能访问相应的服务。因此,对服务请求进行有效的访问控制是Web服务应用中需重点解决的问题。
Web服务环境具有开放、动态和分布式的特征,交互双方通常都是陌生主体,可能位于不同安全域(不同安全域中的计算机通常具有不同的安全等级和安全需求),用户身份和数量不可预知,进行预先的身份信息存储和权限分配是不现实的。因此,Web服务最好能够进行跨安全域的访问控制,实现对跨域的未知用户的访问授权。
传统方法在假定用户身份(identity)已经确定的基础上进行访问控制,比如、在数据库或访问控制策略中存在用户身份与权限的固定关联,因而不适应Web服务环境的需求。为了克服基于身份方法在开放分布式环境中的局限性,行业内提出了一种称为基于角色的访问控制(Role-Based Access Control,RBAC)的方法,引入了角色的概念,管理员首先分配好各个角色的权限,然后将系统的用户分配到各个不同的角色中,从而完成用户权限的设定,而不用逐个设置用户的使用权限。
然而在上述方法中,用户的权限仍然需要管理员设定,仍然存在着在陌生用户的访问问题。
发明内容
本发明目的在于提供一种网络访问控制模型及其方法和终端,从而能更好地提高网络的安全访问性能。
本发明提供的网络访问控制模型用于对访问一网络资源的用户分配恰当的访问权限,其特征在于,包括:
用户模块,用于提取所述用户的至少一属性;
权限模块,定义了对所述网络资源的若干访问权限;
角色模块,定义了若干角色,每个角色预设有若干所述的访问权限;
本体模块,至少定义了用户的所述属性;
规则模块,至少定义了一规则,该规则基于所述属性而分配给所述用户一匹配的角色,从而使该用户访问所述网络资源;
会话模块,建立、维持和撤消所述匹配的角色与所属用户的关联。
本发明还公开了该网络访问控制模型所采用的方法及其所应用的服务终端。
本发明能对访问控制的策略执行与访问授权实现自动的推理,允许合法的用户访问,禁止非法用户访问。
附图说明
图1为本发明网络资源的访问控制系统的一实施例的模块图;
图2为图1中用户模块的一实施例的模块图。
具体实施方式
如图1所示,本发明的较佳实施例中所提出的网络访问控制策略模型包括RBAC本体、用户模块、会话模块、角色模块、权限模块和规则模块,其中规则模块用来实现用户模块、角色模块、权限模块之间或内部的推导,从而自动地分配用户与角色、角色与权限之间的对应关系,并且根据实际需要,也可以对角色的分配进行限制。
本实施例中所说的模块,可以是单独实现某一特定功能的软件、硬件、固件或其组合,如程序、存储介质、集成电路等,也可以存储在同一网络实体或者分布式地存储在不同网络实体中,本发明并不想当然的局限在特定的实施方式上。以下分别对各模块做具体介绍。
用户模块(Users/Credentials)
为了增强角色分配的灵活性和动态性,以适应Web服务环境需求,本实施例直接使用用户所提供的信任证(credential)来表征用户,然后基于信任证及其属性来进行用户-角色分配。这些信任证是由可信权威发布并签名,能够进行跨域的验证和接受。
如图2所示,为了在语义层次上对各种信任证进行概念、属性以及关系的提取,本实施例构造了一个信任证模块(Credential),在用信任证表征用户的前提下,该信任证模块即用户模块,该模块中对各种信任证进行了分层次的提取,其中,用户名令牌(UserNameToken)子类表示其身份是由用户名和密码确定的用户集合;二进制安全令牌(BinarySecurityToken)子类表示其身份是由某种二进制安全令牌确定的用户集合,如X.509证书或Kerberos票据;密钥(Key)子类表征其身份是由公钥或对称密钥确定的用户集合,等等。另外,Credential类还包含了各种属性(property)来提取和描述信任证中的相关属性。比如,属性被发布(issuedBy)用来指明用户提供的信任证是由谁发布的、属性是否内部(isInternal)用来表明用户信任证针对服务提供者来说是由外部权威还是内部权威发布的、属性是否有效(isValid)用来表示用户提供的信任证当前是否是有效的,等等。基于用户模块的各种概念和属性断言可作为后面提到的相关语义规则的前提条件,用来执行动态的角色分配。
权限模块(Permissions)
权限是RBAC中对受保护对象执行某个动作的一种许可。在Web服务中,受保护对象包括服务以及服务的操作,其动作就是对服务或服务操作的调用。因此,这里直接使用服务和操作来表示RBAC中权限的概念。
权限模块中分别定义服务模块(Service)和操作模块(Operation)来表示服务集和操作集,对象属性具有操作(hasOperation)用来将类Service和Operation关联在一起,表示通过属性hasOperation可以获取一个服务对应的操作的信息。被发布(publishedBy)和安全等级(securityLevel)是为类Service和Operation定义的两个数据类型属性,前者用来指明谁是服务的发布者,而后者用来表示服务或操作所需要的安全级别。
此外,还可以根据需求定义其他类似的属性,基于这些属性的断言可以作为后面提到的许可-角色分配的前提条件。
服务模块还可以进一步划分为两个子模块:内部服务模块(InternalServie)和外部服务模块(ExternalService),分别表示内部服务集和外部服务集。不过,在实际应用中,一个服务既可能是内部服务模块的实例,又可能是外部服务模块的实例,即这个服务既可以在内部域使用,又允许被外部域实体调用,因此,内部服务模块和外部服务模块通常是相交的。
需要指出的是,根据具体应用需求,可以在服务模块和操作模块中构造新的服务或操作以及新的属性。
此外,为了在权限模块与角色模块以及权限模块与用户模块之间建立关联,本实施例还定义了一些特定的属性。比如,对象类型属性分配服务(assignedService)和分配操作(assignedOperation)将角色模块分别与权限模块的服务模块和操作模块关联在一起,表示通过这两个属性可以获取角色有权访问的服务和操作信息;对象类型属性允许服务(permittedService)和允许操作(permittedOperation)将用户模块分别与权限模块的服务模块和操作模块关联在一起,表示通过这两个属性可以获取拥有某信任证的用户所有的有权访问的服务和操作信息;对象类型属性激活服务(activatedService)和激活操作(activatedOperation)也将用户模块与所述服务模块和操作模块关联在一起,表示在当前会话中用户通过激活的角色而有权访问的服务和操作信息。
角色模块(Roles)
角色模块用来关联前述的用户模块和权限模块,即用户通过其在角色模块中对应的具体角色而具有该角色的权限,进而对服务进行访问。
为了避免角色的重复定义,本实施例中的角色模块中定义了一个顶层角色类(Role)来描述角色这个核心概念,每个具体的角色都是类Role的一个实例,并且定义了对象属性具有角色(hasRole)用来将用户模块与角色模块相关联,表示通过属性hasRole可以获取赋予当前用户的角色信息。
为了表示各角色之间的权限继承关系,角色模块定义了具有传递性(transitive)的对象属性从属于角色(subRoleOf),用来将角色模块与其自身进行关联。比如,subRoleOf(r1,r2)表示角色r1继承了角色r2的所有权限。另外,由属性subRoleOf的传递性可知,若有subRoleOf(r1,r2)并且subRoleOf(r2,r3),则可直接得到subRoleOf(r1,r3)的结论。
此外,本实施例还定义两个具有对称性(symmetric)的对象属性静态职责分离属性(ssd)和动态职责分离属性(dsd),分别用来表示角色之间的静态职责分离(Static Separation of Duty,SSD)和动态职责分离(Dynamic Separation of Duty,DSD)关系,这两个对象属性的定义域和值域均为角色模块自身。比如,ssd(r1,r2)表示r1和r2不能同时分配给一个用户,dsd(r1,r2)表示r1和r2不能同时被激活。
由属性ssd的对称性可知,ssd(r1,r2)和ssd(r2,r1)的语义是相同的,属性dsd与此类似。
会话模块(Sessions)
会话模块定义了用户模块中的各用户与角色模块的各角色之间的映射关系,当一个用户激活它所有角色的一个子集时,用户模块与角色模块之间建立一个会话。在实际应用中,每个会话通常只与一个用户关联,而一个用户可以和一个或多个会话关联,用以表示一个用户具有多个不同的角色。
会话模块中,具有反函数性质(inverse functional)的对象类型属性建立(establish)将用户模块与会话模块关联在一起,表明通过属性establish可以获取用户建立的会话信息,establish的反函数性质能很好地表示用户和会话之间一对多的特性。
会话模块通过对象类型属性激活角色(activatedRole)与角色模块关联在一起,表示通过属性activatedRole可以获取会话中激活的角色信息。当用户建立一个会话时,会话断言以及相关事实需要在访问控制执行过程中动态产生。
RBAC本体
RBAC本体用来定义前述访问控制策略模型中的所有模块及其属性、关系和层级结构。在本实施例中,采用Web本体语言(WebOntology Language,OWL)对RBAC进行定义,具体描述如下所示:
Class(rbac:Credential partial owl:Thing)
Class(rbac:UserNameToken partial rbac:Credential)
Class(rbac:BinarySecurityToken partial rbac:Credential)
Class(rbac:Key partial rbac:Credential)
Class(rbac:SAMLAssertion partial rbac:Credential)
Class(rbac:X509Certificate partial rbac:BinarySecurityToken)
Class(rbac:Kerboros partial rbac:BinarySecurityToken)
Class(rbac:SymmetricKey partial rbac:Key)
Class(rbac:PublicKey partial rbac:Key)
DatatypeProperty(rbac:issuedBy domain(rbac:Credential)range(xsd:string))
DatatypeProperty(rbac:isInternal domain(rbac:Credential)range(xsd:boolean))
DatatypeProperty(rbac:isValid domain(rbac:Credential)range(xsd:boolean))
//以上定义了图2所示用户模块及其层级结构、属性
Class(rbac:Role partial owl:Thing)
ObjectProperty(rbac:hasRole domain(rbac:Credential)range(rbac:Role))
ObjectProperty(rbac:subRoleOf domain(rbac:Role)range(rbac:Role)TransitiveProperty)
ObjectProperty(rbac:ssd domain(rbac:Role)range(rbac:Role)SymmetricProperty)
ObjectProperty(rbac:dsd domain(rbac:Role)range(rbac:Role)SymmetricProperty)
//以上定义了角色模块及其属性、操作
Class(rbac:Servcie partial owl:Thing)
Class(rbac:Operation partial rbac:Thing)
Class(rbac:ExternalService partial rbac:Service)
Class(rbac:InternalService partial rbac:Service)
DatatypeProperty(rbac:publishedBy range(xsd:string))
DatatypeProperty(rbac:securityLevel range(xsd:integer))
ObjectProperty(rbac:hasOperation domain(rbac:Service)range(rbac:Operation))
ObjectProperty(rbac:assignedService domain(rbac:Role)range(rbac:Service))
ObjectProperty(rbac:assignedOperation domain(rbac:Role)range(rbac:Operation))
ObjectProperty(rbac:permittedService domain(rbac:Credential)range(rbac:Service))
ObjectProperty(rbac:permittedOperation domain(rbac:Credential)range(rbac:Operation))
ObjectProperty(rbac:activatedService domain(rbac:Credential)range(rbac:Service))
ObjectProperty(rbac:activatedOperation domain(rbac:Credential)range(rbac:Operation))
//以上定义了权限模块及其结构、属性及操作
Class(rbac:Session partial owl:Thing)
ObjectProperty(rbac:activatedRole domain(rbac:Session)range(rbac:Role)
ObjectProperty(rbac:establish domain(rbac:Credential)range(rbac:Session)InverseFunctional)
//以上定义了会话模块及其属性
规则模块(Rules)
为了使本发明实施例访问控制策略模型中的操作,比如动态角色分配、职责分离约束、角色激活与撤销等能够通过本体层的简单推理而得以执行,本实施例定义了规则模块并将其加入到RBAC本体中,该规则模块包括一系列语义规则,并基于这些语义规则的推理来实现本实施例网络访问控制策略模型所要求的各种操作。
本实施例采用语义Web逻辑层的推荐标准SWRL来定义所需规则。定义的规则划可分成五个类型,分别用来实现模型中的各种关键操作,其规则实例列举说明所下:
·用户-角色分配规则:主要根据用户模块中相关概念及属性来执行动态的用户-角色分配。如、一个用户能提供由某外部权威证书授权中心(Certification Authority,CA)发布的、有效的X.509证书,则它可以分配给角色R1:
R1.1
hasRole(?u,R1)←X509Certificate(?u)∧isInternal(?u,false)∧issuedBy(?u,"ca")∧isValid(?u,true)。
·权限-角色分配规则:基于服务模块和操作模块的相关概念和属性断言来执行权限-角色分配。如、对于安全级别大于"3"的任意一个服务,其访问权限只能分配给角色R2:
R2.2
assignedService(R2,?so)←Service(?so)∧securityLevel(?so,?i)∧swrlb:greaterThan(?i,3)。
·职责分离约束规则
1)静态职责分离约束规则,表示如果在任意两个角色之间存在基于ssd的关系断言,那么这两个角色不能同时分配给一个用户:
R3.1 hasRole(?u,?r2)←hasRole(?u,?r1)∧ssd(?r1,?r2)。
2)动态职责分离约束规则,表示如果在任意两个角色之间存在基于dsd的关系断言,那么这两个角色不能同时在一个用户的会话中被激活:
R3.2 activatedRole(?s,?r2)←activatedRole(?s,?r1)∧dsd(?r1,?r2)。
·角色层次推理规则:表示基于角色层次的相关推理。比如,对于任意用户u以及任意角色r1和r2,如果用户u分配了角色r1并且在角色r1与r2之间存在subRoleOf关系断言,那么可推断r2也是用户u的一个角色,这是通过角色继承获得的一个隐含角色:
R4.1 hasRole(?u,?r2)←hasRole(?u,?r1)∧subRoleOf(?r1,?r2)。
·辅助规则,这些规则的建立是为了便于系统的查询和管理。比如,直接获取一个用户有权访问的所有服务:
R5.1
permittedService(?u,?so)←hasRole(?u,?r)∧assignedService(?r,?so)。
上述语义规则具有较好的分类性和组件化特征,可以通过添加或禁用一类规则来实现或取消相应的功能。
以上结合实施例对本发明做了介绍,在具体实施中,网络的服务端应用该网络访问控制策略模型,对服务访问进行有效控制。以下结合操作示例对利用该实施例的网络访问控制方法作一简单描述。
当一陌生的终端用户想要对服务端的服务申请某一操作时,它首先向服务端发送一建立会话的请求。服务端提取该用户的信任证信息,并利用规则模块对其所适合的角色信息进行推理。如果该用户提供的是由某外部权威证书授权中心(Certification Authority,CA)发布的、有效的X.509证书,则根据推理规则R1.1而给该用户分配角色R1,并建立会话,依该角色R1的权限对服务进行访问。如果没有匹配的角色,则服务端拒绝该请求。
对服务端的其他访问操作依据具体的规则、用户能提供的具体信任证信息等推理内容而实现基于对应角色的访问授权。
以上的描述是基于本发明的一个较佳实施例。所谓较佳,主要是从该实施例所具有的特征、实现的功能及达成的效果而言的。在本发明的公开范围内,本领域的普通技术人员还可以根据具体的需求,对该较佳实施例做适应性的变动,例如:
当仅需要实现根据用户信息、分配恰当的角色时,前述RBAC本体中完全可以仅定义信任证/用户模块的信息,而不必定义其他模块的信息;对应的,规则模块中也可以仅定义“用户-角色分配规则”。原因是,在一些实施例中,完全可以仅通过用户提供的信任证信息推理就可以给该用户分配适当的角色。
在其他实施例中,也可以利用用户的其他属性进行动态的角色分配。此时,仅需要根据具体需要、设定合适的推理规则即可。
在特定的实施例中,当需要进行“权限-角色分配”、“职责分离约束”、“角色层次推理”等控制时,本领域的普通技术人员可以依实际需求而选择前述RBAC本体的元素和规定恰当的推理规则。
在所有的实施例中,推理规则可以依据实际的需求而定义,可以以逻辑推理规则、映射规则等任意的合理形式或其组合实现。
此外,本实施例中所提取的用户属性是其信任证信息,但本发明并非限定在此属性信息上。在不同的适用场合中,可以自行定义提取用户所具有的各种信息。例如,仅需对通过不同网络访问的用户进行访问限制时,也可以根据其各自的地址信息而分配不同的角色。
虽然本发明已以较佳实施例揭露如上,然其并非用以限定本发明。本发明所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作各种的更动与润饰。因此,本发明的保护范围当视权利要求书所界定者为准。
Claims (10)
1.一种网络访问控制模型,用于对访问一网络资源的用户分配访问权限,其特征在于,包括:
用户模块,用于提取所述用户的至少一属性;
权限模块,定义了对所述网络资源的若干访问权限;
角色模块,定义了若干角色,每个角色预设有若干所述的访问权限;
本体模块,至少定义了用户的所述属性;
规则模块,至少定义了一规则,该规则基于所述属性而分配给所述用户一匹配的角色,从而使该用户访问所述网络资源;
会话模块,建立、维持和撤消所述匹配的角色与所属用户的关联。
2.根据权利要求1所述的网络访问控制模型,其特征是:所述用户模块提取所述用户的信任证信息。
3.根据权利要求2所述的网络访问控制模型,其特征是:所述本体模块中以层次结构定义所述信任证信息。
4.根据权利要求1所述的网络访问控制模型,其特征是:所述规则模块基于对所述属性的语义推理而分配角色。
5.根据权利要求1所述的网络访问控制模型,其特征是:所述本体模块以层次结构定义了所述角色模块,所述规则模块基于所述角色的层次关系进行角色推理。
6.根据权利要求5所述的网络访问控制模型,其特征是:所述规则模块对所述角色之间进行职责分离约束。
7.根据权利要求1所述的网络访问控制模型,其特征是:所述规则模块对所述权限模块进行权限-角色分配。
8.一种对网络资源的访问控制方法,该方法包括以下步骤:
提取一用户的预定属性;
根据所预定属性匹配一角色;
依据所述角色所具有的权限,对所述网络资源进行访问。
9.根据权利要求8所述的方法,其特征是:所述预定属性是该用户的信任证。
10.一种实现所述权利要求8的网络终端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210142897.2A CN102857488B (zh) | 2012-05-10 | 2012-05-10 | 网络访问控制模型及其方法和终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210142897.2A CN102857488B (zh) | 2012-05-10 | 2012-05-10 | 网络访问控制模型及其方法和终端 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102857488A true CN102857488A (zh) | 2013-01-02 |
CN102857488B CN102857488B (zh) | 2015-06-10 |
Family
ID=47403686
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210142897.2A Expired - Fee Related CN102857488B (zh) | 2012-05-10 | 2012-05-10 | 网络访问控制模型及其方法和终端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102857488B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104052747A (zh) * | 2014-06-23 | 2014-09-17 | 桂林长海科技有限责任公司 | 一种基于rbac的权限管理系统 |
CN104217146A (zh) * | 2014-09-04 | 2014-12-17 | 浪潮通用软件有限公司 | 一种基于abac和rbac的权限控制方法 |
CN104917767A (zh) * | 2015-06-11 | 2015-09-16 | 杭州东信北邮信息技术有限公司 | 基于rbac模型的家庭业务访问控制方法 |
CN106230603A (zh) * | 2016-09-19 | 2016-12-14 | 中国传媒大学 | 一种认证授权方法 |
CN106657147A (zh) * | 2017-01-24 | 2017-05-10 | 柳州得实科技有限公司 | 一种基于rbac的权限管理系统 |
CN107231393A (zh) * | 2016-03-24 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 一种会话处理方法及装置 |
CN111431843A (zh) * | 2019-01-10 | 2020-07-17 | 中国科学院电子学研究所 | 云计算环境下基于信任和属性的访问控制方法 |
CN111488599A (zh) * | 2020-04-09 | 2020-08-04 | 北京思特奇信息技术股份有限公司 | 基于附加组使用的赋权方法、装置、电子设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1960255A (zh) * | 2006-09-21 | 2007-05-09 | 上海交通大学 | 分布式多级安全访问控制方法 |
CN101902402A (zh) * | 2010-07-21 | 2010-12-01 | 中兴通讯股份有限公司 | 一种用户权限管理方法、装置 |
CN102073817A (zh) * | 2010-12-29 | 2011-05-25 | 北京理工大学 | 一种基于rbac模型的动态访问控制改进方法 |
-
2012
- 2012-05-10 CN CN201210142897.2A patent/CN102857488B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1960255A (zh) * | 2006-09-21 | 2007-05-09 | 上海交通大学 | 分布式多级安全访问控制方法 |
CN101902402A (zh) * | 2010-07-21 | 2010-12-01 | 中兴通讯股份有限公司 | 一种用户权限管理方法、装置 |
CN102073817A (zh) * | 2010-12-29 | 2011-05-25 | 北京理工大学 | 一种基于rbac模型的动态访问控制改进方法 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104052747A (zh) * | 2014-06-23 | 2014-09-17 | 桂林长海科技有限责任公司 | 一种基于rbac的权限管理系统 |
CN104217146A (zh) * | 2014-09-04 | 2014-12-17 | 浪潮通用软件有限公司 | 一种基于abac和rbac的权限控制方法 |
CN104217146B (zh) * | 2014-09-04 | 2017-02-15 | 浪潮通用软件有限公司 | 一种基于abac和rbac的权限控制方法 |
CN104917767A (zh) * | 2015-06-11 | 2015-09-16 | 杭州东信北邮信息技术有限公司 | 基于rbac模型的家庭业务访问控制方法 |
CN104917767B (zh) * | 2015-06-11 | 2017-11-28 | 杭州东信北邮信息技术有限公司 | 基于rbac模型的家庭业务访问控制方法 |
CN107231393A (zh) * | 2016-03-24 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 一种会话处理方法及装置 |
CN106230603A (zh) * | 2016-09-19 | 2016-12-14 | 中国传媒大学 | 一种认证授权方法 |
CN106230603B (zh) * | 2016-09-19 | 2019-08-16 | 中国传媒大学 | 一种认证授权方法 |
CN106657147A (zh) * | 2017-01-24 | 2017-05-10 | 柳州得实科技有限公司 | 一种基于rbac的权限管理系统 |
CN111431843A (zh) * | 2019-01-10 | 2020-07-17 | 中国科学院电子学研究所 | 云计算环境下基于信任和属性的访问控制方法 |
CN111431843B (zh) * | 2019-01-10 | 2022-12-27 | 中国科学院电子学研究所 | 云计算环境下基于信任和属性的访问控制方法 |
CN111488599A (zh) * | 2020-04-09 | 2020-08-04 | 北京思特奇信息技术股份有限公司 | 基于附加组使用的赋权方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN102857488B (zh) | 2015-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102857488B (zh) | 网络访问控制模型及其方法和终端 | |
Xu et al. | An efficient privacy‐enhanced attribute‐based access control mechanism | |
Bertin et al. | Access control in the Internet of Things: a survey of existing approaches and open research questions | |
CN101286845B (zh) | 一种基于角色的域间访问控制系统 | |
US20140007179A1 (en) | Identity risk score generation and implementation | |
Almenárez et al. | TrustAC: Trust-based access control for pervasive devices | |
KR20090060286A (ko) | 권리의 위임 제어를 위한 방법, 장치, 및 시스템 | |
Singh et al. | A privacy, trust and policy based authorization framework for services in distributed environments | |
US11089028B1 (en) | Tokenization federation service | |
US20080066158A1 (en) | Authorization Decisions with Principal Attributes | |
Ouechtati et al. | Trust-abac towards an access control system for the internet of things | |
Rabehaja et al. | Design and implementation of a secure and flexible access-right delegation for resource constrained environments | |
Riad et al. | Multi-factor synthesis decision-making for trust-based access control on cloud | |
Salehi et al. | DACP: Enforcing a dynamic access control policy in cross-domain environments | |
Zhou et al. | Research on multi-authority CP-ABE access control model in multicloud | |
Ghosh et al. | Securing loosely-coupled collaboration in cloud environment through dynamic detection and removal of access conflicts | |
Li et al. | A service-oriented identity authentication privacy protection method in cloud computing | |
CN116155543A (zh) | 一种基于权能和区块链的工业控制系统访问控制方法 | |
Chatterjee et al. | An efficient fine grained access control scheme based on attributes for enterprise class applications | |
John et al. | Attribute‐based access control management for multicloud collaboration | |
Yousefnezhad et al. | Authentication and access control for open messaging interface standard | |
Feng et al. | Context-aware role-based access control model for web services | |
Chadwick et al. | An advanced policy based authorisation infrastructure | |
CN102082827A (zh) | 应用型云计算的委托方法和装置 | |
Dhillon et al. | Internet of Things attacks and countermeasure access control techniques: a review |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150610 Termination date: 20180510 |