CN104717206A - 一种物联网资源访问权限控制方法及系统 - Google Patents

一种物联网资源访问权限控制方法及系统 Download PDF

Info

Publication number
CN104717206A
CN104717206A CN201510058595.0A CN201510058595A CN104717206A CN 104717206 A CN104717206 A CN 104717206A CN 201510058595 A CN201510058595 A CN 201510058595A CN 104717206 A CN104717206 A CN 104717206A
Authority
CN
China
Prior art keywords
owner
resource
authority
authority set
internet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510058595.0A
Other languages
English (en)
Other versions
CN104717206B (zh
Inventor
于楠
雷迅
朱红松
孙利民
郝轶
陶冶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201510058595.0A priority Critical patent/CN104717206B/zh
Publication of CN104717206A publication Critical patent/CN104717206A/zh
Application granted granted Critical
Publication of CN104717206B publication Critical patent/CN104717206B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Abstract

本发明涉及一种物联网资源访问权限控制方法及系统,包括以下步骤:分别将每个物联网资源中表示所有资源属性的访问权限的集合定义为对应的物联网资源的权限集;当任一物联网资源首次接入系统时,为资源所有者初始化一个所有者权限集;当系统接收到资源所有者发送的创建权限集请求时,在资源所有者所拥有的资源范围内查找是否有其它的所有者权限集存在;根据输入信息判断是否对查找到的所有者权限集中的权限集进行复用。本发明参考DAC模型与RBAC模型,为传感器设备等物联网资源设计一个基于用户的、细粒度的权限控制模型,并且支持资源所有者将所持资源批量分配给单个用户或者一组用户,实现资源分享。

Description

一种物联网资源访问权限控制方法及系统
技术领域
本发明涉及权限管理技术领域,特别涉及一种物联网资源访问权限控制方法及系统。
背景技术
权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。目前,权限管理领域较成熟的模型主要有DAC和RBAC。
自主访问控制(Discretionary Access Control,DAC)建立在用户与权限控制客体资源的一张多对多关系的访问控制列表(Access Control List,ACL)上,这个列表记录了用户对哪些资源有权限,对哪些资源无权限;资源对哪些用户开放,对哪些用户不开放。系统中的权限由主体自主控制,权限的主体可以自主地将其拥有的权限部分或者全部授予其他主体。
基于角色的访问控制(Role-Based Access Control,RBAC)认为权限问题实际上是权限主体(用户、用户组、角色等)对权限客体(权限访问的目标、资源等)进行一定操作的问题。权限主体、操作、目标构成了权限三元组。RBAC在用户和权限之间添加了一个角色概念:特定的角色具有对某些资源进行某些操作的权限;具有某种角色的用户就拥有了这种角色所规定的的权限;用户可以静态地具有某些角色,也可以在某次动态会话中获得某些角色(会话结束后失去权限)。这种做法使得用户和权限之间进一步解耦,当角色的权限指派需要变更的时候,不用更改用户与角色之间的对应关系,当用户指派角色需要更改时,不用更改具体角色与权限的对应关系。
本发明着力于物联网资源的权限管理。目前已存在一些主流物联网平台,比如Xively、Yeelink等等,他们或者不提供,或者仅提供了对物联网资源较粗粒度的权限访问控制与分享机制,而物联网资源(这里主要指各种 类型的传感器设备、虚拟数据流等)具有各种各样复杂的属性,多样的功能,用户对物联网资源也有多样化的使用场景、差异化的需求,现存粗粒度的权限管理方法较为低效,不能够满足物联网类型数据权限管理的要求。
发明内容
本发明所要解决的技术问题是提供一种基于用户的、细粒度、支持资源所有者将所持资源批量分配给单个用户或者一组用户、实现资源分享的物联网资源访问权限控制方法及系统。
本发明解决上述技术问题的技术方案如下:一种物联网资源访问权限控制方法,包括以下步骤:
步骤1:分别将每个物联网资源中表示所有资源属性的访问权限的集合定义为对应的物联网资源的权限集;
步骤2:当任一物联网资源首次接入系统时,为资源所有者初始化一个所有者权限集,所述所有者权限集用于表示资源所有者对其拥有的每个物联网资源的访问权限;
步骤3:当系统接收到资源所有者发送的创建权限集请求时,在资源所有者所拥有的资源范围内查找是否有其它的所有者权限集存在,如果存在,执行步骤4,否则,执行步骤5;
步骤4:获取用户输入的输入信息,并根据输入信息判断是否对查找到的所有者权限集中的权限集进行复用,如果是,将查找到的所有者权限集中的权限集进行复用,否则,执行步骤5;
步骤5:在为资源所有者初始化的所有者权限集中创建新的权限集。
本发明的有益效果是:本发明这种将用户和资源分组的做法解耦了用户-权限-资源的关系,将可能合并的权限管理进行批量操作,提高了用户对自身的资源进行管理的便利度。假设用户有一大批相同的设备,并且对这些设 备进行权限管理的需求也大致相同,则可以利用这种模型减少很多工作量。从系统资源占用的角度来讲,对资源权限的批量管理也减少了数据库中权限存储的数据量。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步,所述物联网资源包括各类传感器、虚拟数据流,每个物联网资源的资源属性的类型标识符具有唯一标识。
进一步,所述步骤3中还包括,系统中的每个所有者权限集均对应一个哈希编码。
进一步,所述所有者权限集的哈希编码根据每个资源属性的权限项计算得出,所述资源属性的权限项包括类型标识符、读权限标识符和写权限标识符。
进一步,所述步骤3具体为,系统根据步骤2中初始化的所有者权限集的哈希编码,先在同个资源所有者所拥有的资源范围内查找是否有与初始化的所有者权限集的哈希编码相同的所有者权限集存在,如果有,判断该所有者权限集的结构定义与初始化的所有者权限集的结构定义是否相同,如果相同,则执行步骤4,如果不相同或者没有哈希编码相同的所有者权限集存在,则保存初始化的所有者权限集的哈希编码,执行步骤5。
进一步,判断该所有者权限集的结构定义与初始化的所有者权限集的结构定义是否相同的方法具体为:
步骤3.1:判断该所有者权限集中的所有权限项是否为初始化的所有者权限集的子集,如果是,执行步骤3.2,否则,执行步骤3.3;
步骤3.2:判断初始化的所有者权限集中的所有权限项是否为该所有者权限集的子集,如果是,则该所有者权限集的结构定义与初始化的所有者权限集的结构定义相同,否则,执行步骤3.3;
步骤3.3:该所有者权限集的结构定义与初始化的所有者权限集的结构 定义不同。
进一步,一种物联网资源访问权限控制系统,包括定义模块、初始化模块、查找模块、复用模块和创建模块;
所述定义模块,用于分别将每个物联网资源中表示所有资源属性的访问权限的集合定义为对应的物联网资源的权限集;
所述初始化模块:当任一物联网资源首次接入系统时,为资源所有者初始化一个所有者权限集,所述所有者权限集中包括至少一个权限集,用于表示资源所有者对其拥有的每个物联网资源的访问权限;
所述查找模块,用于当系统接收到资源所有者发送的创建权限集请求时,在资源所有者所拥有的资源范围内查找是否有其它的所有者权限集存在,如果存在,执行复用模块,否则,执行创建模块;
所述复用模块,用于获取用户输入的输入信息,并根据输入信息判断是否对查找到的所有者权限集中的权限集进行复用,如果是,将查找到的所有者权限集中的权限集进行复用,否则,执行创建模块;
所述创建模块,用于在为资源所有者初始化的所有者权限集中创建新的权限集。
进一步,所述物联网资源包括各类传感器、虚拟数据流,每个物联网资源的资源属性的类型标识符具有唯一标识,所述查找模块中还包括,系统中的每个所有者权限集均对应一个哈希编码。
进一步,所述所有者权限集的哈希编码根据每个资源属性的权限项计算得出,所述资源属性的权限项包括类型标识符、读权限标识符和写权限标识符。
进一步,所述查找模块具体用于,系统根据初始化模块中初始化的所有者权限集的哈希编码,先在同个资源所有者所拥有的资源范围内查找是否有与初始化的所有者权限集的哈希编码相同的所有者权限集存在,如果有,判 断该所有者权限集的结构定义与初始化的所有者权限集的结构定义是否相同,如果相同,则执行复用模块,如果不相同或者没有哈希编码相同的所有者权限集存在,则保存初始化的所有者权限集的哈希编码,执行创建模块。
附图说明
图1为本发明权限集结构示意图;
图2为本发明方法流程图;
图3为本发明系统结构图;
图4为本发明数据库关系图;
图5为本发明的一个示例系统架图。
附图中,各标号所代表的部件列表如下:
1、定义模块,2、初始化模块,3、查找模块,4、复用模块,5、创建模块。 
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
实施例1
如图2所示,一种物联网资源访问权限控制方法,包括以下步骤:
步骤1:分别将每个物联网资源中表示所有资源属性的访问权限的集合定义为对应的物联网资源的权限集;
步骤2:当任一物联网资源首次接入系统时,为资源所有者初始化一个所有者权限集,所述所有者权限集用于表示资源所有者对其拥有的每个物联网资源的访问权限;
步骤3:当系统接收到资源所有者发送的创建权限集请求时,在资源所有者所拥有的资源范围内查找是否有其它的所有者权限集存在,如果存在,执行步骤4,否则,执行步骤5;
步骤4:获取用户输入的输入信息,并根据输入信息判断是否对查找到的所有者权限集中的权限集进行复用,如果是,将查找到的所有者权限集中的权限集进行复用,否则,执行步骤5;
步骤5:在为资源所有者初始化的所有者权限集中创建新的权限集。
所述物联网资源包括各类传感器、虚拟数据流,每个物联网资源的资源属性的类型标识符具有唯一标识。
所述步骤3中还包括,系统中的每个所有者权限集均对应一个哈希编码。
所述所有者权限集的哈希编码根据每个资源属性的权限项计算得出,所述资源属性的权限项包括类型标识符、读权限标识符和写权限标识符。
所述步骤3具体为,系统根据步骤2中初始化的所有者权限集的哈希编码,先在同个资源所有者所拥有的资源范围内查找是否有与初始化的所有者权限集的哈希编码相同的所有者权限集存在,如果有,判断该所有者权限集的结构定义与初始化的所有者权限集的结构定义是否相同,如果相同,则执行步骤4,如果不相同或者没有哈希编码相同的所有者权限集存在,则保存初始化的所有者权限集的哈希编码,执行步骤5。
判断该所有者权限集的结构定义与初始化的所有者权限集的结构定义是否相同的方法具体为:
步骤3.1:判断该所有者权限集中的所有权限项是否为初始化的所有者权限集的子集,如果是,执行步骤3.2,否则,执行步骤3.3;
步骤3.2:判断初始化的所有者权限集中的所有权限项是否为该所有者权限集的子集,如果是,则该所有者权限集的结构定义与初始化的所有者权限集的结构定义相同,否则,执行步骤3.3;
步骤3.3:该所有者权限集的结构定义与初始化的所有者权限集的结构定义不同。
如图3所示,一种物联网资源访问权限控制系统,包括定义模块1、初始化模块2、查找模块3、复用模块4和创建模块5;
所述定义模块1,用于分别将每个物联网资源中表示所有资源属性的访问权限的集合定义为对应的物联网资源的权限集;
所述初始化模块2:当任一物联网资源首次接入系统时,为资源所有者初始化一个所有者权限集,所述所有者权限集中包括至少一个权限集,用于表示资源所有者对其拥有的每个物联网资源的访问权限;
所述查找模块3,用于当系统接收到资源所有者发送的创建权限集请求时,在资源所有者所拥有的资源范围内查找是否有其它的所有者权限集存在,如果存在,执行复用模块4,否则,执行创建模块5;
所述复用模块4,用于获取用户输入的输入信息,并根据输入信息判断是否对查找到的所有者权限集中的权限集进行复用,如果是,将查找到的所有者权限集中的权限集进行复用,否则,执行创建模块5;
所述创建模块5,用于在为资源所有者初始化的所有者权限集中创建新的权限集。
所述物联网资源包括各类传感器、虚拟数据流,每个物联网资源的资源属性的类型标识符具有唯一标识,所述查找模块3中还包括,系统中的每个所有者权限集均对应一个哈希编码。
所述所有者权限集的哈希编码根据每个资源属性的权限项计算得出,所述资源属性的权限项包括类型标识符、读权限标识符和写权限标识符。
所述查找模块3具体用于,系统根据初始化模块2中初始化的所有者权限集的哈希编码,先在同个资源所有者所拥有的资源范围内查找是否有与初始化的所有者权限集的哈希编码相同的所有者权限集存在,如果有,判断该 所有者权限集的结构定义与初始化的所有者权限集的结构定义是否相同,如果相同,则执行复用模块4,如果不相同或者没有哈希编码相同的所有者权限集存在,则保存初始化的所有者权限集的哈希编码,执行创建模块5。
以下分别从资源权限集管理及资源授权两方面阐述:
一、资源权限集管理;
“权限集”的含义:在此将物联网资源统一视为各种属性的集合,用户对资源的访问权限归结为对这些属性的读写权。物联网资源的属性包括资源名称、资源描述信息、资源产生的数据流等等。资源属性的类型在系统中是可以枚举的,由一个整数类型的资源属性类型标识符pid来唯一标识。在物联网平台中,我们根据物联网资源的特点,将读权限定义为对属性内容的查询,将写权限定义为对资源可操纵属性的控制,例如对摄像头的旋转角度、缩放比例的控制。将某个资源所有属性读写权的开闭集合定义为该资源上的一个权限集,描述了对该资源精确至属性读写级别的一个访问权限;其核心部分是包含的一个“权限项”的集合。每条“权限项”代表对该条资源上的某个属性的拥有读、写权限与否的定义。全部属性的权限项集合就是对这个资源所有属性访问权限的一个描述信息。例如,如图1所示,某个资源(假设为一个摄像头)具有四个属性,分别为属性一——地理坐标pid=101、属性二——像素pid=102、属性三——缩放倍数pid=103、属性四——偏转角度pid=104,用1代表有权限,0代表无权限,则((101,1,0),(102,0,0),(103,1,1),(104,1,0))代表对这个资源的一个权限集描述,其含义是可读取、不可控制地理坐标;不可读取、不可控制像素;可读取、可控制缩放倍数;可读取、不可控制偏转角度。
所有者权限集(ownerView)的含义。ownerView是一个特殊的权限集,代表资源的所有者对资源所拥有权限的定义,相当于某个资源在系统中的原始权限和最大权限集。资源所有者在这个资源上所创建的权限集均是 ownerView的一个子集,资源所有者将权限集授权给其他用户相当于将自己拥有对资源的权限的一个子集授权给其他用户。ownerView在生成时是依据资源结构定义的,所以ownerView可以用来标识资源的结构。在资源创建过程中,资源管理系统会首先在同个资源创建者名下查找有无同构的ownerView存在。查找方法是:在资源首次接入系统时,资源管理系统会首先在同个资源创建者名下查找有无同构的所有者权限集存在,查找方法是,系统根据ownerView自身结构的特征计算出一个hashcode值,先在同个资源创建者所属资源范围内查找是否有hashcode值相同的ownerView存在(系统中已存在的ownerView已经根据相同的方法预先计算好hashcode值并保存),如果有再进一步依次判断结构定义是否真正相同,如果真正相同,则复用这个ownerView,如果不相同或者没有hashcode值相同的ownerView值存在,则新创建ownerView,并保存hashcode值。这种做法可以大大提高资源初始化ownerView时查找同构权限集的速度。
根据资源的自身结构的特征计算出一个所有者权限集的hashcode值的方法具体定义为:假设资源具有n个属性{属性1,属性2,…,属性i,…,属性n},对控制这n个属性的权限项{(pid1,r1,w1),(pid2,r2,w2),…,(pidi,ri,wi),…,(pidn,rn,wn)}分别计算hashcode的结果为{h1,h2,…hi,…,hn},其中hi=pidi*(ri+wi),则资源所有者权限集的hashcode值
H = Σ i = 1 n h i .
判断ownerView结构定义是否真正相同的方法具体定义为:如果ownerView A中的每一个权限项均可以在ownerView B中找到pid、r、w都相同的权限项,ownerView B中的每一个权限项也均可以在ownerView A中找到pid、r、w都相同的权限项,则可判断两个ownerView结构定义真正相同。
资源权限管理的流程如下:
1.权限集初始化:资源创建时初始化一个所有者权限集ownerView;
2.用户创建权限集:用户可以为自己的资源创建权限集,建立的权限集必须是ownerView的子集;
3.权限集复用:同一个ownerView权限集的资源即为同构资源,同构资源创建的权限集可以互相复用。如果有可复用的权限集,在创建权限集时,可以选择直接使用已存在的同构资源的权限集。也可以选择把当前的权限集应用到当前用户其他的同构资源上;
4.编辑复用的权限集则对使用该权限集的所有资源均生效;
5.可选择将资源的某个权限集或者某些同构资源的公共权限集设置成公开权限集,则系统中所有用户均具有这个权限集所具有的权限。
二、资源授权;
资源创建者对资源的权限具有完全的自主管理权,可以主动将资源权限集或者同构资源的公共权限集的权限授予给其他用户,其他用户对资源的权限请求也必须经资源创建者确认。这种资源所有者自主管理自己资源的做法,类似于自主访问控制(DAC)权限控制模型。
将资源和用户分组的做法借鉴了基于角色的访问控制(RBAC)模型的思想。资源组是一个形式松散的概念,只有在同一个用户名下的资源才能被加入同一个资源组,一个用户的一组同构资源也可以被分解成多个资源组,这取决于用户权限管理的实际需求。同构资源组可以复用相同的权限集,这样同构资源组+权限集就代表了对一组资源的一定权限。用户群组是一个在系统中被显式定义的组,它也是权限管理的基本单位。将资源权限授权给一个用户群组,就是把这个权限授权给了这个群组上的每一个用户。从这个角度上讲,一个用户组就相当于RBAC模型中的角色(role)。如果把用户组和用户视为不加区分的权限客体,拥有资源(组)的某个权限集,也可视为对这 个资源具有某种权限的角色。这样一来,用户在一个设备(组)上只能拥有一个角色,用户的所有权限是很多个角色的集合。当这些角色或者权限集所规定的权限有重叠时,取用户所有权限集所规定权限的并集。
这种将用户和资源分组的做法解耦了用户-权限-资源的关系,将可能合并的权限管理进行批量操作,提高了用户对自身的资源进行管理的便利度。假设用户有一大批相同的设备,并且对这些设备进行权限管理的需求也大致相同,则可以利用这种模型减少很多工作量。从系统资源占用的角度来讲,对资源权限的批量管理也减少了数据库中权限存储的数据量。
实现本发明叙述的物联网资源访问权限控制方法需要借助一个系统,该系统需要实现如上所述的权限控制模型,并且为用户提供一个符合该权限控制模型的资源权限管理接口。下面以一个典型的基于J2EE构建的系统为例讲述一下本发明的一个最基本实施方式。
首先为本发明所述权限控制方法建立数据模型,即数据库设计。图5是根据本发明的资源权限模型设计的数据库关系图。用户和资源是本系统中的两个基本的实体,为其分别建立一张user表和一张resource表。资源和建立其上的权限集(privilegeView)共同构成资源权限管理的基本单位,代表某个资源上的某个权限集。由于权限集是可以在用户的同构资源中复用的,所以resource表和privilegeView表是多对多关系,需要为其建立一张viewForResource关系表。这样,一条viewForReosource表记录就代表一个权限管理的基本单位。一条privilegeView记录是由多个权限项(viewEntry)构成的,一条viewEntry信息记录了对资源的某一个属性的权限控制信息。这样以来,就可以通过一张resourceAssigned表来记录用户(user)和资源权限的基本单位(viewForResource)之间的映射关系,一条映射关系就代表了用户被授予了某个资源的某个权限。除此之外,用户间可以建立群组(group),群组可以有组资源(groupResource),群组资源由组成员将自己的资源共享,用户可以通过加入群组来获取对组资源的相应权 限。
数据库设计完毕后,整个系统大致架构可设计如图5:系统分为数据库层、数据访问层、业务逻辑层(分为权限管理逻辑和鉴权逻辑)、服务调用层(前端交互界面、鉴权服务webservice)。
数据库层:根据权限模型关系型模型的特点,可采用常见的关系型数据库mysql。
数据访问层:可使用Hibernate作为ORM映射工具,将数据库表对应成javabean。然后调用hibernate封装好的基本增删改查方法,结合hql语句,完成对数据库表操作的数据访问层方法,提供给上层调用。
业务逻辑层:本层是本发明中资源访问权限控制的主要逻辑实现部分。按照功能可以将其划分成两类:权限管理逻辑和鉴权逻辑。其中,前者是用户对资源权限进行定义、传递等行为的逻辑;后者将用户对资源所具有权限信息单独抽取出来,向上提供接口。
服务调用层:和业务逻辑层对应,分成两部分,前端交互界面和鉴权Webservice API。前者为用户进行资源权限管理提供交互界面,后者将鉴权逻辑对外发布成Webservice,可供其他外部系统进行权限鉴别使用。系统可采取Apache CXF发布webservice,也可以有其他的实现方式。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种物联网资源访问权限控制方法,其特征在于,包括以下步骤:
步骤1:分别将每个物联网资源中表示所有资源属性的访问权限的集合定义为对应的物联网资源的权限集;
步骤2:当任一物联网资源首次接入系统时,为资源所有者初始化一个所有者权限集,所述所有者权限集用于表示资源所有者对其拥有的每个物联网资源的访问权限;
步骤3:当系统接收到资源所有者发送的创建权限集请求时,在资源所有者所拥有的资源范围内查找是否有其它的所有者权限集存在,如果存在,执行步骤4,否则,执行步骤5;
步骤4:获取用户输入的输入信息,并根据输入信息判断是否对查找到的所有者权限集中的权限集进行复用,如果是,将查找到的所有者权限集中的权限集进行复用,否则,执行步骤5;
步骤5:在为资源所有者初始化的所有者权限集中创建新的权限集。
2.根据权利要求1所述的物联网资源访问权限控制方法,其特征在于,所述物联网资源包括各类传感器、虚拟数据流,每个物联网资源的资源属性的类型标识符具有唯一标识。
3.根据权利要求2所述的物联网资源访问权限控制方法,其特征在于,所述步骤3中还包括,系统中的每个所有者权限集均对应一个哈希编码。
4.根据权利要求3所述的物联网资源访问权限控制方法,其特征在于,所述所有者权限集的哈希编码根据每个资源属性的权限项计算得出,所述资源属性的权限项包括类型标识符、读权限标识符和写权限标识符。
5.根据权利要求3所述的物联网资源访问权限控制方法,其特征在于,所述步骤3具体为,系统根据步骤2中初始化的所有者权限集的哈希编码,先在同个资源所有者所拥有的资源范围内查找是否有与初始化的所有者权限集的哈希编码相同的所有者权限集存在,如果有,判断该所有者权限集的结构定义与初始化的所有者权限集的结构定义是否相同,如果相同,则执行步骤4,如果不相同或者没有哈希编码相同的所有者权限集存在,则保存初始化的所有者权限集的哈希编码,执行步骤5。
6.根据权利要求5所述的物联网资源访问权限控制方法,其特征在于,判断该所有者权限集的结构定义与初始化的所有者权限集的结构定义是否相同的方法具体为:
步骤3.1:判断该所有者权限集中的所有权限项是否为初始化的所有者权限集的子集,如果是,执行步骤3.2,否则,执行步骤3.3;
步骤3.2:判断初始化的所有者权限集中的所有权限项是否为该所有者权限集的子集,如果是,则该所有者权限集的结构定义与初始化的所有者权限集的结构定义相同,否则,执行步骤3.3;
步骤3.3:该所有者权限集的结构定义与初始化的所有者权限集的结构定义不同。
7.一种物联网资源访问权限控制系统,其特征在于,包括定义模块(1)、初始化模块(2)、查找模块(3)、复用模块(4)和创建模块(5);
所述定义模块(1),用于分别将每个物联网资源中表示所有资源属性的访问权限的集合定义为对应的物联网资源的权限集;
所述初始化模块(2):当任一物联网资源首次接入系统时,为资源所有者初始化一个所有者权限集,所述所有者权限集中包括至少一个权限集,用于表示资源所有者对其拥有的每个物联网资源的访问权限;
所述查找模块(3),用于当系统接收到资源所有者发送的创建权限集请求时,在资源所有者所拥有的资源范围内查找是否有其它的所有者权限集存在,如果存在,执行复用模块(4),否则,执行创建模块(5);
所述复用模块(4),用于获取用户输入的输入信息,并根据输入信息判断是否对查找到的所有者权限集中的权限集进行复用,如果是,将查找到的所有者权限集中的权限集进行复用,否则,执行创建模块(5);
所述创建模块(5),用于在为资源所有者初始化的所有者权限集中创建新的权限集。
8.根据权利要求7所述的物联网资源访问权限控制系统,其特征在于,所述物联网资源包括各类传感器、虚拟数据流,每个物联网资源的资源属性的类型标识符具有唯一标识,所述查找模块(3)中还包括,系统中的每个所有者权限集均对应一个哈希编码。
9.根据权利要求8所述的物联网资源访问权限控制系统,其特征在于,所述所有者权限集的哈希编码根据每个资源属性的权限项计算得出,所述资源属性的权限项包括类型标识符、读权限标识符和写权限标识符。
10.根据权利要求9所述的物联网资源访问权限控制系统,其特征在于,所述查找模块(3)具体用于,系统根据初始化模块(2)中初始化的所有者权限集的哈希编码,先在同个资源所有者所拥有的资源范围内查找是否有与初始化的所有者权限集的哈希编码相同的所有者权限集存在,如果有,判断该所有者权限集的结构定义与初始化的所有者权限集的结构定义是否相同,如果相同,则执行复用模块(4),如果不相同或者没有哈希编码相同的所有者权限集存在,则保存初始化的所有者权限集的哈希编码,执行创建模块(5)。
CN201510058595.0A 2015-02-04 2015-02-04 一种物联网资源访问权限控制方法及系统 Expired - Fee Related CN104717206B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510058595.0A CN104717206B (zh) 2015-02-04 2015-02-04 一种物联网资源访问权限控制方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510058595.0A CN104717206B (zh) 2015-02-04 2015-02-04 一种物联网资源访问权限控制方法及系统

Publications (2)

Publication Number Publication Date
CN104717206A true CN104717206A (zh) 2015-06-17
CN104717206B CN104717206B (zh) 2018-01-05

Family

ID=53416169

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510058595.0A Expired - Fee Related CN104717206B (zh) 2015-02-04 2015-02-04 一种物联网资源访问权限控制方法及系统

Country Status (1)

Country Link
CN (1) CN104717206B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106339626A (zh) * 2016-08-25 2017-01-18 曾美枝 交互控制方法和装置
CN106506299A (zh) * 2016-12-01 2017-03-15 厦门欧万智能科技有限公司 一种物联网设备的集群控制方法
CN111753340A (zh) * 2020-05-18 2020-10-09 贵州电网有限责任公司 一种usb接口信息安全防控方法及系统
CN112328712A (zh) * 2021-01-04 2021-02-05 清华四川能源互联网研究院 基于图数据库的权限管理方法、装置和电子设备
CN112417398A (zh) * 2020-11-17 2021-02-26 广州技象科技有限公司 一种基于用户权限的物联网展馆导航方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5911143A (en) * 1994-08-15 1999-06-08 International Business Machines Corporation Method and system for advanced role-based access control in distributed and centralized computer systems
CN1848022A (zh) * 2005-04-13 2006-10-18 华为技术有限公司 一种基于访问控制列表的权限控制方法
CN102063479A (zh) * 2010-12-22 2011-05-18 北京中电普华信息技术有限公司 一种控制数据访问权限的方法和系统
CN104243453A (zh) * 2014-08-26 2014-12-24 中国科学院信息工程研究所 基于属性和角色的访问控制方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5911143A (en) * 1994-08-15 1999-06-08 International Business Machines Corporation Method and system for advanced role-based access control in distributed and centralized computer systems
CN1848022A (zh) * 2005-04-13 2006-10-18 华为技术有限公司 一种基于访问控制列表的权限控制方法
CN102063479A (zh) * 2010-12-22 2011-05-18 北京中电普华信息技术有限公司 一种控制数据访问权限的方法和系统
CN104243453A (zh) * 2014-08-26 2014-12-24 中国科学院信息工程研究所 基于属性和角色的访问控制方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
熊杰颖: "RBAC访问控制系统分析、设计和实现", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑(季刊)》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106339626A (zh) * 2016-08-25 2017-01-18 曾美枝 交互控制方法和装置
CN106339626B (zh) * 2016-08-25 2019-05-03 曾美枝 交互控制方法和装置
CN106506299A (zh) * 2016-12-01 2017-03-15 厦门欧万智能科技有限公司 一种物联网设备的集群控制方法
CN111753340A (zh) * 2020-05-18 2020-10-09 贵州电网有限责任公司 一种usb接口信息安全防控方法及系统
CN111753340B (zh) * 2020-05-18 2023-07-18 贵州电网有限责任公司 一种usb接口信息安全防控方法及系统
CN112417398A (zh) * 2020-11-17 2021-02-26 广州技象科技有限公司 一种基于用户权限的物联网展馆导航方法及装置
CN112328712A (zh) * 2021-01-04 2021-02-05 清华四川能源互联网研究院 基于图数据库的权限管理方法、装置和电子设备

Also Published As

Publication number Publication date
CN104717206B (zh) 2018-01-05

Similar Documents

Publication Publication Date Title
CN109688120B (zh) 基于改进RBAC模型及Spring Security框架的动态权限管理系统
US7284000B2 (en) Automatic policy generation based on role entitlements and identity attributes
CN104717206A (zh) 一种物联网资源访问权限控制方法及系统
US9229997B1 (en) Embeddable cloud analytics
US8555403B1 (en) Privileged access to managed content
Rajpoot et al. Attributes enhanced role-based access control model
EP2405607A1 (en) Privilege management system and method based on object
CN104573478A (zh) 一种Web应用的用户权限管理系统
US20120240242A1 (en) Resource expression for access control
CN111428257A (zh) 一种通过自动审批将数据库元数据开放的系统和方法
CN105550590A (zh) 基于角色的权限控制机制
CN103198143A (zh) 一种用于虚拟试验的仿真资源数据处理控制系统
CA2952882C (en) Embeddable cloud analytics
US9760734B2 (en) Catalog-based user authorization to access to multiple applications
Pavlich-Mariscal et al. Enhancing UML to model custom security aspects
Shermin An access control model for nosql databases
CN104217146A (zh) 一种基于abac和rbac的权限控制方法
CN106411895B (zh) 一种多粒度分布式信息流控制方法及系统
Cadenhead et al. Design and implementation of a cloud-based assured information sharing system
US11436349B2 (en) Method and system for implementing a cloud machine learning environment
CN104537035A (zh) 一种数据融合应用系统和方法
Singh et al. ARBAC: Attribute-enabled role based access control model
Disson et al. A role-based model for access control in database federations
US20230140122A1 (en) Data plane authorization
Luo et al. A contextual usage control model

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20180105