CN104917761A - 一种通用的访问控制方法及装置 - Google Patents

一种通用的访问控制方法及装置 Download PDF

Info

Publication number
CN104917761A
CN104917761A CN201510289325.0A CN201510289325A CN104917761A CN 104917761 A CN104917761 A CN 104917761A CN 201510289325 A CN201510289325 A CN 201510289325A CN 104917761 A CN104917761 A CN 104917761A
Authority
CN
China
Prior art keywords
access
network
resource
access request
attribute
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510289325.0A
Other languages
English (en)
Other versions
CN104917761B (zh
Inventor
李凤华
谢绒娜
李晖
史国振
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN201510289325.0A priority Critical patent/CN104917761B/zh
Publication of CN104917761A publication Critical patent/CN104917761A/zh
Application granted granted Critical
Publication of CN104917761B publication Critical patent/CN104917761B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/52Network services specially adapted for the location of the user terminal

Abstract

一种通用的访问控制方法及装置;方法包括:访问请求实体针对待访问的资源生成访问请求消息,访问请求消息包括:访问请求实体的标识及属性信息、请求访问的资源的标识;访问请求实体将访问请求消息通过网络和/或广义网络传送给访问控制节点;访问控制节点根据访问请求消息、第一网络传播链和/或第一广义网络传播链判断访问请求是否满足预定的访问控制策略;访问控制节点将访问对象和/或操作结果通过网络和/或广义网络传送给访问请求实体;访问对象包括资源及其属性信息。本发明能够更好地满足各种应用场景下的访问控制需求。

Description

一种通用的访问控制方法及装置
技术领域
本发明涉及网络与系统安全领域,尤其涉及一种通用的访问控制方法及装置。
背景技术
随着通信技术、网络技术和信息技术的持续快速发展和应用广泛普及,形成了包含互联网、移动网和物联网等具有开放性、异构性、移动性、动态性、多安全域等诸多特性的复杂的、泛在的网络系统。在复杂的、泛在的网络中通过“网络之网络”(Network of Network,NoN)访问“系统之系统(System of System,SoS)”已经成为信息化发展的趋势。
各种网络技术与信息技术的发展,云计算技术应用普及,“人”、“机”、“物”借助泛在异构的网络广泛互联互通,公共安全、智能交通、智慧家庭与移动社交、环境监测、位置服务、移动支付等新服务模型和业务不断涌现,信息网服务呈现“云端”、“管道”、“终端”融合发展的趋势,新的服务模式的出现为用户提供随心、随时、随地的访问方式和途径。但这种泛在的网络环境在给人们带来便利的同时,对新型信息服务模式下的访问控制提出更大挑战。
泛在网络环境中访问信息资源时,人们所处的环境状态与时间状态、采用的终端设备、从何处接入、经由的网络,以及要访问的信息资源及其安全属性等都将对访问权限产生重要的影响,直接决定对信息资源的访问类型以及信息资源的有效使用时间。而已有访问控制模型均无法适应泛在网络环境的上述需求,无法涵盖什么人、什么时间、从哪里接入网络、使用什么设备、经由什么网络、访问什么资源、对资源做什么操作、数据保存多长时间等多种因素,期待一种新型访问控制模型,能够随泛在网络环境中应用的不同而自适应,实现随时随地安全地访问无处不在的信息资源,真正达到“信息随心行、交互在指间”的理想境界。
发明内容
本发明要解决的技术问题是如何本发明能够更好地满足各种应用场景下的访问控制需求。
为解决上述技术问题,采用以下技术方案:
一种通用的访问控制方法,包括:
访问请求实体针对待访问的资源生成访问请求消息;所述的访问请求消息包括:访问请求实体的标识及属性信息、请求访问的资源的标识;
所述访问请求实体将所述访问请求消息通过网络和/或广义网络传送给访问控制节点;
所述访问控制节点根据所述的访问请求消息、第一网络传播链和/或第一广义网络传播链判断访问请求是否满足预定的访问控制策略;所述第一网络传播链和/或第一广义网络传播链通过加入所述访问请求消息在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到;
所述访问控制节点将访问对象和/或操作结果通过网络和/或广义网络传送给访问请求实体;所述访问对象包括所述资源及其属性信息。
可选地,将所述资源及其属性信息作为访问对象通过网络和/或广义网络传送给所述访问请求实体后还包括:
所述访问请求实体通过网络和/或广义网络接收所述访问对象和/或操作结果,得到第二网络传播链和/或第二广义网络传播链;所述第二网络传播链和/或第二广义网络传播链通过加入所述访问对象和/或操作结果在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到。
可选地,所述的方法还包括:
第一访问请求实体针对待转发的访问对象和/或操作结果,以及作为转发目标的第二访问请求实体,生成转发请求消息;所述的转发请求消息包括:第一访问请求实体标识、第二访问请求实体标识、待转发的访问对象和/或操作结果的信息;如果所述待转发的访问对象和/或操作结果是其它访问请求实体转发给所述第一访问请求实体的,则所述转发请求消息中还包括:资源传播链;
所述第一访问请求实体将所述转发请求消息通过网络和/或广义网络传送给访问控制节点;
所述访问控制节点当不存在资源传播链时,根据所述的转发请求消息、第三网络传播链和/或第三广义网络传播链判断转发请求是否满足预定的访问控制策略;当存在资源传播链时,根据所述的转发请求消息、第三网络传播链和/或第三广义网络传播链、及资源传播链判断转发请求是否满足预定的访问控制策略;所述第三网络传播链和/或第三广义网络传播链通过加入所述转发请求消息在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到;所述资源传播链是所述访问对象和/或操作结果在不同访问请求实体之间的转发过程中形成的;
当所述转发请求消息满足预定的访问控制策略时,所述第一访问请求实体对所述待转发的访问对象和/或操作结果进行转发。
可选地,所述访问控制节点设置在网络中任一设备上;设置在前台和/或后台;为集中式或分布式;各访问控制节点的控制区域是整个网络或部分网络。
可选地,所述访问请求实体包括用户、自治代理、角色中任意一个或几个,访问请求实体集合不能为空;
所述用户,用于描述资源的创建、接收与转发,访问请求或转发请求的发起的用户集合,由有限的个体组成;所述自治代理,用于描述资源的接收与转发、访问请求或转发请求的发起的相关进程、代理服务的集合,由有限的个体组成;所述角色是具有某种权限的集合;
所述访问请求实体的属性信息包括以下任一种或任意组合:广义时态状态、访问设备、接入点;或者为空;
所述广义时态状态包括以下一种或多种的任意组合:时间区间、持续时间、时间周期;或者为空;所述时间区间,用于描述事件的起始时间和终止时间之间的时间区间;所述持续时间,用于描述事件的持续时间;所述时间周期,用于描述事件的时间周期;
所述接入点包括以下一种或多种的任意组合:空间位置、网络标识、效能、风险系数,或者为空;所述空间位置,用于描述对资源进行访问时接入点的相关空间位置信息;所述网络标识,用于描述访问资源时接入点的唯一网络标识;所述效能用于描述接入点的控制效果;所述风险系数用于描述接入点的安全特性;
所述访问设备用于描述对资源进行访问时的设备及其组成特征和相关属性;所述设备的组成特征和相关属性包括以下一种或或多种的任意组合:通用属性、安全属性和时间属性;所述的通用属性用于描述设备基本属性及相关效能;所述的安全属性用于描述访问设备的安全特性及风险系数;所述的时间属性用于描述访问设备的时间属性;
所述资源的属性信息包括以下一种或任意组合:广义时态状态、接入点、访问设备;
所述资源用于描述访问的对象及其相关属性,所述访问的对象的相关属性包括通用属性、安全属性中的一种或多种的任意组合;所述资源的通用属性包括资源的类型、资源的来源、资源大小、资源时态中的一种或多种的任意组合;所述的资源的类型包括数据库表、文件、网页中的一种或多种的任意组合;所述的资源的来源包括创建、转发、重组中的一种或多种的任意组合;所述的资源的安全属性包括资源允许执行的操作、分发方式、是否允许转发、销毁方式、安全等级、加密方式、风险系数中的一种或多种的任意组合。
可选地,所述的网络包括有线网、无线网、局域网、广域网、物联网中的一种或多种的任意组合的实际网络环境;
所述的网络包括网络节点、网络节点之间的路径;所述的网络节点包括:设备和网络区域;
所述的网络节点属性包括通用属性和安全属性中的一种或多种的任意组合;
所述的网络节点的通用属性包括网络类型、网络协议、节点类型、效能中的一种或多种的任意组合;所述的网络类型包括局域网、城域网、广域网中的一种或多种的任意组合;所述网络协议,用于描述网络中为传递和管理信息资源而建立的规则集;所述的节点类型包括起点、终点、子网的入口、子网的出口、子网的内部节点中一种或多种的任意组合;所述效能,用于描述网络节点控制效果;
所述网络节点的安全属性,用于描述网络节点的安全特性及风险系数,包括设备的安全属性、网络的安全属性中的一种或多种的任意组合;所述设备的安全属性用于描述设备的安全特性及风险系数;所述的网络的安全属性用于描述网络的安全特性及风险系数;
网络节点之间的路径用于描述网络之间的连通性;所述路径的属性包括网络节点之间路径的连通属性、安全属性中的一种或多种的任意组合;所述的路径的连通属性用于描述线路的状态、性能及协议,为路径选择提供依据;所述的连通属性包括性能属性、协议属性和效能中的一种或多种的任意组合;所述的性能属性包括带宽、开销、跳数、时延、最大传输单元、吞吐量中的一种或多种的任意组合;所述的协议属性包括TCP/IP、CDMA、蓝牙、802.11、ISO1898中的一种或多种的任意组合;所述效能,用于描述连通性效果;所述路径的安全属性用于描述路径的安全特性及风险系数,包括加密类型、安全协议、管控信息、风险系数中的一种或多种的任意组合。
可选地,所述的网络传播链指基于网络节点有序交互行为的信息的集合;所述的交互行为的信息包括资源/消息的发起点、资源/消息的接收点、行为的时间属性、接入点;其中资源/消息的发起点和资源/消息的接收点不能为空,行为的时间属性、接入点为一种或多种的任意组合,或者为空;所述的行为的时间属性为广义时态状态;所述的接入点用于描述网络节点的位置属性;
所述的广义网络传播链指基于人工有序交互行为的信息的集合;所述的交互行为的信息包括资源/消息的发起者、资源/消息的接收者、行为的时间属性、接入点;其中资源/消息的发起者和资源/消息的接收者不能为空,行为的时间属性、接入点为一种或多种的任意组合,或者为空。
可选地,所述资源传播链是用于描述资源传播过程中,资源交换行为的信息的有序集合;
所述的资源交换行为的信息用于描述资源在两个访问请求实体之间的一次传输,包括资源和/或消息的创建者或转发者、资源和/或消息的接收者、访问对象和/或操作结果、广义时态状态;其中资源和//或消息的创建者或转发者、资源和/或消息的接收者、访问对象和/或操作结果不能为空,广义时态状态为一种或多种的任意组合,或者为空。
可选地,在根据资源传播链判断是否满足预定的访问控制策略时,根据以下一个因素或其任意组合进行判断:整个资源传播链中各个转发的访问请求实体及其对应的广义时态状态、接入点和访问设备,各个接收的访问请求实体及其对应的广义时态状态、接入点和访问设备,转发的时间,访问对象和/或操作结果进行判断。
可选地,访问控制节点根据所述的访问请求消息、第一网络传播链和/或第一广义网络传播链判断所述访问请求是否满足预定的访问控制策略包括:
判断访问请求实体是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体对应的广义时态状态是否满足访问控制策略要求,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体对应的接入点是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体对应的访问设备是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体在进行访问请求时的第一网络传播链和/或第一广义网络传播链是否满足访问控制策略;如果不满足则判断所述访问请求不满足预定的访问控制策略。
如果均满足则判断所述访问请求满足预定的访问控制策略。
一种通用的访问控制装置,包括:
请求生成模块、请求发送模块、访问控制匹配模块、反馈模块;
所述请求生成模块用于针对访问请求实体待访问的资源生成访问请求消息;所述的访问请求消息包括:访问请求实体的标识及属性信息、请求访问的资源的标识;
所述请求发送模块用于将所述访问请求消息通过网络和/或广义网络传送给所述访问控制匹配模块;
所述访问控制匹配模块用于根据所述的访问请求消息、第一网络传播链和/或第一广义网络传播链判断访问请求是否满足预定的访问控制策略;所述第一网络传播链和/或第一广义网络传播链通过加入所述访问请求消息在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到;
所述反馈模块用于将访问对象和/或操作结果通过网络和/或广义网络传送给访问请求实体;所述访问对象包括所述资源及其属性信息。
可选地,所述的装置还包括:
接收模块,用于通过网络和/或广义网络接收所述访问对象和/或操作结果,得到第二网络传播链和/或第二广义网络传播链;所述第二网络传播链和/或第二广义网络传播链通过加入所述访问对象和/或操作结果在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到。
可选地,所述请求生成模块还用于针对第一访问请求实体待转发的访问对象和/或操作结果,以及作为转发目标的第二访问请求实体,生成转发请求消息;所述的转发请求消息包括:第一访问请求实体标识、第二访问请求实体标识、待转发的访问对象和/或操作结果的信息;如果所述待转发的访问对象和/或操作结果是其它访问请求实体转发给所述第一访问请求实体的,则所述转发请求消息中还包括:资源传播链;
所述请求发送模块还用于将所述转发请求消息通过网络和/或广义网络传送给所述访问控制匹配模块;
所述访问控制匹配模块还用于当不存在资源传播链时,根据所述的转发请求消息、第三网络传播链和/或第三广义网络传播链判断转发请求是否满足预定的访问控制策略;当存在资源传播链时,根据所述的转发请求消息、第三网络传播链和/或第三广义网络传播链、及资源传播链判断转发请求是否满足预定的访问控制策略;所述第三网络传播链和/或第三广义网络传播链通过加入所述转发请求消息在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到;所述资源传播链是所述访问对象和/或操作结果在不同访问请求实体之间的转发过程中形成的;
所述装置还包括:
转发模块,用于当所述转发请求消息满足预定的访问控制策略时,对所述待转发的访问对象和/或操作结果进行转发。
可选地,所述访问控制匹配模块设置在网络中任一设备上;设置在前台和/或后台;为集中式或分布式;各访问控制节点的控制区域是整个网络或部分网络。
可选地,所述访问请求实体包括用户、自治代理、角色中任意一个或几个,访问请求实体集合不能为空;
所述用户,用于描述资源的创建、接收与转发,访问请求或转发请求的发起的用户集合,由有限的个体组成;所述自治代理,用于描述资源的接收与转发、访问请求或转发请求的发起的相关进程、代理服务的集合,由有限的个体组成;所述角色是具有某种权限的集合;
所述访问请求实体的属性信息包括以下任一种或任意组合:广义时态状态、访问设备、接入点;或者为空;
所述广义时态状态包括以下一种或多种的任意组合:时间区间、持续时间、时间周期;或者为空;所述时间区间,用于描述事件的起始时间和终止时间之间的时间区间;所述持续时间,用于描述事件的持续时间;所述时间周期,用于描述事件的时间周期;
所述接入点包括以下一种或多种的任意组合:空间位置、网络标识、效能、风险系数,或者为空;所述空间位置,用于描述对资源进行访问时接入点的相关空间位置信息;所述网络标识,用于描述访问资源时接入点的唯一网络标识;所述效能用于描述接入点的控制效果;所述风险系数用于描述接入点的安全特性;
所述访问设备用于描述对资源进行访问时的设备及其组成特征和相关属性;所述设备的组成特征和相关属性包括以下一种或或多种的任意组合:通用属性、安全属性和时间属性;所述的通用属性用于描述设备基本属性及相关效能;所述的安全属性用于描述访问设备的安全特性及风险系数;所述的时间属性用于描述访问设备的时间属性;
所述资源的属性信息包括以下一种或任意组合:广义时态状态、接入点、访问设备;
所述资源用于描述访问的对象及其相关属性,所述访问的对象的相关属性包括通用属性、安全属性中的一种或多种的任意组合;所述资源的通用属性包括资源的类型、资源的来源、资源大小、资源时态中的一种或多种的任意组合;所述的资源的类型包括数据库表、文件、网页中的一种或多种的任意组合;所述的资源的来源包括创建、转发、重组中的一种或多种的任意组合;所述的资源的安全属性包括资源允许执行的操作、分发方式、是否允许转发、销毁方式、安全等级、加密方式、风险系数中的一种或多种的任意组合。
可选地,所述的网络包括有线网、无线网、局域网、广域网、物联网中的一种或多种的任意组合的实际网络环境;
所述的网络包括网络节点、网络节点之间的路径;所述的网络节点包括:设备和网络区域;
所述的网络节点属性包括通用属性和安全属性中的一种或多种的任意组合;
所述的网络节点的通用属性包括网络类型、网络协议、节点类型、效能中的一种或多种的任意组合;所述的网络类型包括局域网、城域网、广域网中的一种或多种的任意组合;所述网络协议,用于描述网络中为传递和管理信息资源而建立的规则集;所述的节点类型包括起点、终点、子网的入口、子网的出口、子网的内部节点中一种或多种的任意组合;所述效能,用于描述网络节点控制效果;
所述网络节点的安全属性,用于描述网络节点的安全特性及风险系数,包括设备的安全属性、网络的安全属性中的一种或多种的任意组合;所述设备的安全属性用于描述设备的安全特性及风险系数;所述的网络的安全属性用于描述网络的安全特性及风险系数;
网络节点之间的路径用于描述网络之间的连通性;所述路径的属性包括网络节点之间路径的连通属性、安全属性中的一种或多种的任意组合;所述的路径的连通属性用于描述线路的状态、性能及协议,为路径选择提供依据;所述的连通属性包括性能属性、协议属性和效能中的一种或多种的任意组合;所述的性能属性包括带宽、开销、跳数、时延、最大传输单元、吞吐量中的一种或多种的任意组合;所述的协议属性包括TCP/IP、CDMA、蓝牙、802.11、ISO1898中的一种或多种的任意组合;所述效能,用于描述连通性效果;所述路径的安全属性用于描述路径的安全特性及风险系数,包括加密类型、安全协议、管控信息、风险系数中的一种或多种的任意组合。
可选地,所述的网络传播链指基于网络节点有序交互行为的信息的集合;所述的交互行为的信息包括资源/消息的发起点、资源/消息的接收点、行为的时间属性、接入点;其中资源/消息的发起点和资源/消息的接收点不能为空,行为的时间属性、接入点为一种或多种的任意组合,或者为空;所述的行为的时间属性为广义时态状态;所述的接入点用于描述网络节点的位置属性;
所述的广义网络传播链指基于人工有序交互行为的信息的集合;所述的交互行为的信息包括资源/消息的发起者、资源/消息的接收者、行为的时间属性、接入点;其中资源/消息的发起者和资源/消息的接收者不能为空,行为的时间属性、接入点为一种或多种的任意组合,或者为空。
可选地,所述资源传播链是用于描述资源传播过程中,资源交换行为的信息的有序集合;
所述的资源交换行为的信息用于描述资源在两个访问请求实体之间的一次传输,包括资源和/或消息的创建者或转发者、资源和/或消息的接收者、访问对象和/或操作结果、广义时态状态;其中资源和//或消息的创建者或转发者、资源和/或消息的接收者、访问对象和/或操作结果不能为空,广义时态状态为一种或多种的任意组合,或者为空。
可选地,所述访问控制匹配模块在根据资源传播链判断是否满足预定的访问控制策略时,根据以下一个因素或其任意组合进行判断:整个资源传播链中各个转发的访问请求实体及其对应的广义时态状态、接入点和访问设备,各个接收的访问请求实体及其对应的广义时态状态、接入点和访问设备,转发的时间,访问对象和/或操作结果进行判断。
可选地,所述访问控制匹配模块根据所述的访问请求消息、第一网络传播链和/或第一广义网络传播链判断所述访问请求是否满足预定的访问控制策略是指:
判断访问请求实体是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体对应的广义时态状态是否满足访问控制策略要求,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体对应的接入点是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体对应的访问设备是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体在进行访问请求时的第一网络传播链和/或第一广义网络传播链是否满足访问控制策略;如果不满足则判断所述访问请求不满足预定的访问控制策略。
如果均满足则判断所述访问请求满足预定的访问控制策略。
本发明提供了一种通用/普适的访问控制方案,可以适应各种应用场景下的访问控制,而且在访问控制中可以对各种参数进行综合匹配。
附图说明
图1为实施例1中涉及的各元素的示意图;
图2为实施例2实施方案1模型图;
图3为实施例2实施方案2模型图;
图4为实施例2实施方案3模型图;
图5为实施例3中访问请求实体通过网络和/或广义网络进行访问控制的流程图;
图6为实施例3中访问控制策略判断的流程图。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。所举实例只用于解释本发明,并非用于限定本发明的范围。
需要说明的是,如果不冲突,本发明实施例以及实施例中的各个基本要素可以相互结合,均在本发明的保护范围之内。另外,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
实施例1、一种通用的访问控制方法,包括:
该访问控制方法支持访问请求实体通过以下两种方式对访问对象的访问:第一种方式通过网络和/或广义网络直接获取访问权限;第二种方式通过不同访问请求实体之间对已获得访问对象的转发来获得访问权限;
所述的第一种方式包括如下步骤:
访问请求实体针对待访问的资源生成访问请求消息;所述的访问请求消息包括:访问请求实体的标识及属性信息、请求访问的资源的标识;其中访问请求实体标识、资源的标识不能为空,属性信息可以但不限于包括:广义时态状态、访问设备、接入点等可以为一种或多种的任意组合,或者为空;
所述访问请求实体将所述访问请求消息通过网络和/或广义网络传送给访问控制节点;
所述访问控制节点根据所述的访问请求消息、第一网络传播链和/或第一广义网络传播链判断访问请求是否满足预定的访问控制策略;所述第一网络传播链和/或第一广义网络传播链通过加入所述访问请求消息在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到;当访问请求满足预定的访问控制策略时,允许访问请求实体对所述资源的访问;当访问请求不满足预定的访问控制策略时,拒绝所述访问请求实体对所述资源的访问;
所述访问控制节点将访问对象和/或操作结果通过网络和/或广义网络传送给访问请求实体;所述访问对象包括所述资源及其属性信息。
其中,所述访问控制节点可以设置在网络中任一设备上;可以设置在前台和/或后台;可以为集中式(一个访问控制节点处于一个设备上)或分布式(一个访问控制节点分布在多个设备上)。各访问控制节点的控制区域可以自行设置,可以是整个网络,也可以是部分网络(比如一个或多个局域网)。网络中可以包括一个或多个访问控制节点;当包括多个访问控制节点时,各访问控制节点所在的设备、设置方式、控制区域可以相同或不同。
第一种方式还可以包括:
所述访问请求实体通过网络和/或广义网络接收所述访问对象和/或操作结果,得到第二网络传播链和/或第二广义网络传播链;所述第二网络传播链和/或第二广义网络传播链通过加入所述访问对象和/或操作结果在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到。
第二种方式包括如下步骤:
第一访问请求实体针对待转发的访问对象和/或操作结果,以及作为转发目标的第二访问请求实体,生成转发请求消息;所述的转发请求消息包括:第一访问请求实体标识、第二访问请求实体标识、待转发的访问对象和/或操作结果的信息;如果所述待转发的访问对象和/或操作结果是其它访问请求实体转发给所述第一访问请求实体的,则所述转发请求消息中还包括:资源传播链;
第一访问请求实体将所述转发请求消息通过网络和/或广义网络传送给访问控制节点;
所述访问控制节点当不存在资源传播链时,根据所述的转发请求消息、第三网络传播链和/或第三广义网络传播链判断转发请求是否满足预定的访问控制策略;当存在资源传播链时,根据所述的转发请求消息、第三网络传播链和/或第三网络广义传播链及资源传播链判断所述转发请求是否满足预定的访问控制策略;所述第三网络传播链和/或第三广义网络传播链通过加入所述转发请求消息在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到;所述资源传播链是所述访问对象和/或操作结果在不同访问请求实体之间的转发过程中形成的;当所述转发请求满足预定的访问控制策略时,允许所述第一访问请求实体对访问对象和/或操作结果的转发;当所述转发请求不满足预定的访问控制策略时,拒绝所述第一访问请求实体对访问对象和/或操作结果的转发;
允许所述第一访问请求实体对所述访问对象和/或操作结果的转发时,所述第一访问请求实体对得到的访问对象和/或操作结果进行转发。
所述访问对象和/或操作结果的信息是用于唯一标识所述访问对象和/或操作结果的指示信息。
其中,访问对象和/或操作结果在不同访问请求实体之间的转发过程中,形成了资源传播链。
也就是说,在第一次转发时,进行访问控制策略的判断时不用判断资源传播链;而在访问对象和/或操作结果转发过程中,在进行访问控制策略的判断时还需对多次转发过程中形成的资源传播链的判断。
如图1所示,本实施例方法中涉及的各元素含义如下。
图1中左边的圆圈代表访问请求,包括:访问请求实体S、广义时态状态TG、接入点AG、访问设备DG
广义时态状态TG、接入点AG、访问设备DG可以根据具体的应用场景包括其中任意一个或任意几个,或者为空;
所述访问请求实体S,用于进行资源的创建、接收与转发、访问请求/转发请求的发起与访问控制策略的创建。访问请求实体S可以包括用户、自治代理、角色中任意一个或几个,访问请求实体集合不能为空;
所述用户,用于描述资源的创建、接收与转发,访问请求或转发请求的发起的用户集合,由有限的个体组成;所述自治代理,用于描述资源的接收与转发、访问请求或转发请求的发起的相关进程、代理服务的集合,由有限的个体组成;所述角色,用于描述与用户相关的角色和与自治代理相关的角色;角色是具有某种权限的集合,比如医生是个角色,护士是个角色。用户与角色是多对多的关系。比如好几个用户都是医生,他们被赋予医生角色,那么他们就有医生权限,好几个用户都是护士,他们被赋予护士角色。
所述广义时态状态TG,用于描述对资源进行访问时所有与时态相关的信息,包括:时间区间、持续时间、时间周期;
所述时间区间,用于描述事件的起始时间和终止时间之间的时间区间;所述持续时间,用于描述事件的持续时间;所述时间周期,用于描述事件的时间周期;
所述的广义时态状态包括但不限于时间区间、持续时间、时间周期中一种或多种的任意组合,或者为空。
比如医生在2015.1.1-2015.12.31这个时间内,每周的周一到周五,早上8点到下午5点才有权限开处方,为了描述开处方这个事件的广义时态状态,时间区间:2015.1.1-2015.12.31;时间周期:周一到周五;持续时间:早上8点到下午5点。
所述接入点AG,用于描述对资源进行访问时,所有与位置相关的信息,包括但不限于空间位置、网络标识、效能、风险系数中一种或多种任意组合,或者为空;
所述空间位置,用于描述对资源进行访问时接入点的相关空间位置信息;所述的空间位置信息比如:经度、纬度、高度等;
所述网络标识,用于描述访问资源时接入点的唯一网络标识;所述的网络标识包括但不限于信息传播端点标识地址、基站、域名、网络识别码、物理地址、IP地址、端口地址中一种或多种的任意组合,或者为空;
所述效能用于描述接入点的控制效果;所述风险系数用于描述接入点的安全特性;
所述访问设备DG,用于描述对资源进行访问时的设备及其组成特征和相关属性;
所述访问设备组成特征和相关属性包括但不限于通用属性、安全属性和时间属性中的一种或多种的任意组合;
所述的通用属性用于描述设备基本属性及相关效能,包括但不限于处理器、操作系统、接口、主存、硬盘、应用程序、效能中的一种或多种的任意组合;
所述的安全属性用于描述访问设备的安全特性及风险系数,包括但不限于安全域、安全等级、安全软件模块、安全硬件模块、最小和最大的风险容许系数中的一种或多种的任意组合;
所述的时间属性用于描述访问设备的时间属性,包括但不限于设备的有效期(即设备的正常使用时间)等;
所述的网络包括但不限于有线网、无线网、局域网、广域网、物联网中的一种或多种的任意组合的实际网络环境;
所述的网络包括网络节点、网络节点之间的路径;所述的网络节点包括:设备和网络区域;所述的网络节点是一个通用的定义,可以根据具体实际情况进行实例化,并不限于上述内容;
所述的网络节点的属性包括但不限于通用属性和安全属性中的一种或多种的任意组合;
所述的网络节点的通用属性包括但不限于网络类型、网络协议、节点类型、效能中的一种或多种的任意组合;
所述的网络类型包括但不限于局域网、城域网、广域网中的一种或多种的任意组合;
所述网络协议,用于描述网络中为传递和管理信息资源而建立的规则集,包括但不限于TCP/IP、CDMA、蓝牙、802.11、ISO1898中的一种或多种的任意组合;
所述的节点类型包括但不限于起点、终点、子网的入口、子网的出口、子网的内部节点中一种或多种的任意组合;
所述效能,用于描述网络节点控制效果;
所述网络节点的安全属性,用于描述网络节点的安全特性与风险系数,包括但不限于设备的安全属性、网络的安全属性中的一种或多种的任意组合;
所述的设备的安全属性同访问设备的安全属性;
所述的网络的安全属性用于描述网络的安全特性及风险系数,包括但不限于加密类型、安全协议、管控信息、风险系数中的一种或多种的任意组合;
网络节点之间的路径用于描述网络之间的连通性;
所述路径的属性包括但不限于网络节点之间路径的连通属性、安全属性中的一种或多种的任意组合;
所述的路径的连通属性用于描述线路的状态、性能及协议,为路径选择提供依据;所述的连通属性包括但不限于性能属性、协议属性和效能中的一种或多种的任意组合;
所述的性能属性包括但不限于带宽、开销、跳数、时延、最大传输单元、吞吐量中的一种或多种的任意组合;
所述的协议属性包括但不限于TCP/IP、CDMA、蓝牙、802.11、ISO1898中的一种或多种的任意组合;
所述效能,用于描述连通性效果;
所述路径安全属性用于描述路径的安全特性与风险系数,包括但不限于加密类型、安全协议、管控信息、风险系数中的一种或多种的任意组合;
所述的网络传播链指基于网络节点有序交互行为的集合;所述的交互行为包括但不限于资源/消息的发起点、资源/消息的接收点、行为的时间属性、接入点;其中资源/消息的发起点和资源/消息的接收点不能为空,行为的时间属性、接入点等可以为一种或多种的任意组合,或者为空;
所述的行为的时间属性为广义时态状态;
所述的接入点用于描述网络节点的位置属性;
所述广义网络传送方式是指通过人工传递的方式进行访问对象传递;
所述的人工传递的方式包括但不限于光盘、u盘、纸质材料中的一种或多种的任意组合;
所述的广义网络传播链指基于人工有序交互行为的集合;所述的交互行为包括但不限于资源/消息的发起者、资源/消息的接收者、行为的时间属性、接入点;其中资源/消息的发起者和资源/消息的接收者不能为空,行为的时间属性、接入点等可以为一种或多种的任意组合,或者为空;
所述访问对象传递包括但不限于网络传递、人工传递、网络传递和人工传递相结合的方式中的一种或多种的任意组合;
所述资源传播链用于描述资源传播过程中资源交换的全过程;所述某一资源的某次资源传播链是资源交换行为的信息的有序集合;
所述的资源交换行为的信息用于描述资源在两个访问请求实体之间的一次传输,包括资源和/或消息的创建者或转发者、资源和/或消息的接收者、访问对象和/或操作结果、广义时态状态;其中资源和/或消息的创建者或转发者、资源和/或消息的接收者、访问对象和/或操作结果不能为空,广义时态状态为一种或多种的任意组合,或者为空。
所述访问对象包含资源OG、广义时态状态TG、接入点AG、访问设备DG
广义时态状态TG、接入点AG、访问设备DG可以根据具体的应用场景为其中任意一个或任意几个或者为空;
所述资源OG,用于描述访问的对象及其相关属性,所述访问的对象的相关属性包括但不限于通用属性、安全属性中的一种或多种的任意组合;
所述资源的通用属性包括但不限于资源的类型、资源的来源、资源大小、资源时态及相关效能中的一种或多种的任意组合;
所述的资源的类型包括但不限于数据库表、文件、网页中的一种或多种的任意组合;
所述的资源的来源包括但不限于创建、转发、重组中的一种或多种的任意组合;
所述的资源的安全属性包括但不限于资源允许执行的操作、分发方式、是否允许转发、销毁方式、安全等级、加密方式、风险系数中的一种或多种的任意组合;
所述对资源允许的操作包括但不限于阅读、编辑、转发、打印、销毁中的一种或多种的任意组合;
所述对资源分发方式包括但不限于u盘、光盘、网络、加密中的一种或多种的任意组合;
所述的是否允许转发包括但不限于转发、不转发中的一种或多种的任意组合;
所述资源的销毁方式包括但不限于逻辑销毁、物理销毁中的一种或多种的任意组合;
所述资源的安全等级包括但不限于安全等级1、安全等级2、安全等级3中的一种或多种的任意组合;
所述资源的加密方式包括但不限于DES、AES、SMS2、SMS3、SMS4、RSA、ECC中的一种或多种的任意组合。
实施例2:一种通用的访问控制方法,包括:
一种通用的访问控制方法可以结合具体的应用场景,采用不同的方案实现,本实施列举了通用的访问控制方法的3种具体的实施方案,针对一种通用的访问控制方法的实施方案包括但不限于下述3种实施方案。
实施方案1,如图2所示:
一种通用的访问控制方法,包括:
访问请求实体、广义时态状态、接入点、访问设备、网络和/或广义网络、资源、网络传播链和/或广义网络传播链、资源传播链、对资源的操作;上述定义同实施例1。
访问请求实体、广义时态状态、接入点、访问设备组成了访问请求101,用于描述访问请求实体在某一广义时态状态、访问接入点的位置状态下使用什么访问设备发起访问请求动作;
传播链102包括:广义时态状态、接入点、访问设备、网络组成的网络传播链106,和/或广义时态状态、接入点、访问设备、广义网络组成的广义网络传播链107;
资源、广义时态状态、接入点、访问设备组成访问对象103;
本实施例中所述的会话SS,用于描述访问请求101与网络传播链106和/或广义网络传播链107的集合之间的映射,一个访问请求可以有多个会话,但一个会话只能从属于一个访问请求,一个会话可以映射网络传播链106和/或广义网络传播链107集合中多个元素。
在本实施例中,约束条件CC,用于描述启动会话SS之后,访问请求101只能通过网络传播链106和/或广义网络传播链107才能得到访问对象及其对应的操作。
本实施例中,还包括多种继承关系,包括但不限于:
角色的继承关系,广义时态状态的继承关系、接入点的继承关系、网络的继承关系、广义网络的继承关系、访问设备的继承关系、网络传播链的继承关系、广义网络传播链的继承关系;所述的网络传播链之间的继承关系包括广义时态状态的继承关系、接入点的继承关系、网络的继承关系、访问设备、网络传播链的继承关系;所述的广义网络传播链之间的继承关系包括广义时态状态的继承关系、接入点的继承关系、广义网络的继承关系、访问设备、广义网络传播链的继承关系;
本实施例中方案1,还包括多种分配关系,包括但不限于:
用户到角色的分配,用于描述对用户分配角色的过程;
自治代理到角色的分配,用于描述对自治代理分配角色的过程;
访问请求到网络传播链和/或广义网络传播链的分配,用于描述对访问请求分配网络传播链和/或广义网络传播链的过程;
网络传播链和/或广义网络传播链到访问对象及其操作的分配,用于描述对网络传播链和/或广义网络传播链分配访问对象及其操作的过程。本实施例中方案1,在访问请求、网络传播链和/或广义网络传播链、访问对象中同时包括广义时态状态、接入点、访问设备,在生成访问请求消息时,除了包括访问请求实体标识、资源外,还需要加入访问请求实体对应的广义时态状态、接入点、访问设备。网络传播链和/或广义网络传播链中每个节点在进行访问控制策略匹配时,要包括从广义时态状态、接入点、访问设备三个方面进行判断。同样在访问控制策略的判断过程中也需要对访问请求实体的广义时态状态、接入点和访问设备进行判断;
访问对象包括资源及其对应的广义时态状态、接入点、访问设备。在得到访问对象的访问权限后,访问请求实体得到访问对象及其对应的操作,在访问对象及其对应的操作传递过程中,需要考虑资源对应的访问设备、接入点及广义时态状态。同样在资源转发过程中,访问控制策略的匹配以及资源链的形成也都需要考虑资源对应的访问设备、接入点及广义时态状态。
实施方案2,如图3所示:
一种通用的访问控制方法包括:
访问请求实体、广义时态状态、接入点、访问设备、网络和/或广义网络、资源、网络传播链和/或广义网络传播链、资源传播链、对资源的操作;上述定义同实施例1。访问请求实体、广义时态状态、接入点、访问设备组成了访问请求111,用于描述访问请求实体在某一广义时态状态、访问接入点的位置状态下使用什么访问设备发起访问请求动作;
传播链112包括:广义时态状态、接入点、访问设备、网络组成的网络传播链116,和/或广义时态状态、接入点、访问设备、广义网络组成的广义网络传播链117;
资源、接入点组成访问对象113;
本实施例中方案2所述的会话SS,用于描述访问请求与网络传播链116和/或广义网络传播链117的集合之间的映射,一个访问请求可以有多个会话,但一个会话只能从属于一个访问请求,一个会话可以映射网络传播链116和/或广义网络传播链117集合中多个元素;
本实施例中方案2,约束条件CC,用于描述启动会话SS之后,访问请求只能通过网络传播链116和/或广义网络传播链117才能得到访问对象及其对应的操作;本实施例中方案2中的各种继承关系和分配关系同方案1;本实施例中方案2,在访问请求、网络传播链和/或广义网络传播链中同时包括广义时态状态、接入点、访问设备,在生成访问请求消息时,除了包括访问请求实体标识、资源外,还需要加入访问请求实体对应的广义时态状态、接入点、访问设备。网络传播链和/或广义网络传播链中每个节点在进行访问控制策略匹配时,要包括从广义时态状态、接入点、访问设备三个方面进行判断、同样在访问控制策略的判断过程中需要对访问请求实体的广义时态状态、接入点、访问设备进行判断;
访问对象只包括资源对应的接入点。在得到访问对象的访问权限后,访问请求实体得到访问对象及其对应的操作,在访问对象及其对应的操作传递过程中只需要考虑资源对应的访问接入点,不需要考虑资源对应的访问设备和广义时态状态。同样在资源转发过程中,访问控制策略的匹配以及资源链的形成也只需要考虑资源对应接入点,而不需要考虑资源对应的访问设备和广义时态状态。
实施方案3,如图4所示:
一种通用的访问控制方法包括:
访问请求实体、广义时态状态、接入点、访问设备、网络和/或广义网络、资源、网络传播链和/或广义网络传播链、资源传播链、对资源的操作;上述定义同实施例1。访问请求实体、广义时态状态、接入点组成了访问请求121,用于描述访问请求实体在某一广义时态状态、访问接入点的位置状态下发起访问请求动作;
传播链122包括:接入点、访问设备、网络组成的网络传播链126,和/或接入点、访问设备、广义网络组成的广义网络传播链127;
资源、接入点组成访问对象123;
本实施例中方案3中所述的会话SS,用于描述访问请求121与网络传播链126和/或广义网络传播链127集合之间的映射,一个访问请求可以有多个会话,但一个会话只能从属于一个访问请求,一个会话可以映射网络传播链126和/或广义网络传播链127集合中多个元素;
在本实施例的方案3中,约束条件CC,用于描述启动会话SS之后,访问请求只能通过网络传播链126和/或广义网络传播链127才能得到访问对象及其对应的操作。
本实施例方案3中,还包括多种继承关系,包括但不限于:
角色的继承关系,广义时态状态的继承关系、接入点的继承关系、网络和/或广义网络的继承关系、访问设备的继承关系、网络传播链的继承关系、广义网络传播链的继承关系;所述的网络传播链之间的继承关系包括接入点的继承关系、网络的继承关系、访问设备的继承关系、网络传播链的继承关系;所述的广义网络传播链之间的继承关系包括接入点的继承关系、广义网络的继承关系、访问设备的继承关系、广义网络传播链的继承关系;
在实施方案中的各种分配关系同本实施例中的方案1;
本实施方案中,访问请求中包括了访问请求实体对应的广义时态状态、接入点,但没有考虑访问请求实体发起访问请求时使用的访问设备,因此在访问请求消息生成时,需要加入访问请求实体的广义时态状态、接入点,而不需要考虑访问请求实体访问时使用的访问设备,同样在访问控制策略的判断过程中需要包括对访问请求实体的广义时态状态、接入点进行判断,而不需要考虑访问请求实体使用的访问设备;网络传播链和/或广义网络传播链中包括访问设备和接入点,而没有考虑广义时态状态,在网络传播链和/或广义网络传播链中每个节点在进行访问控制策略匹配时,要包括从接入点和访问设备进行判断,而不需要对广义时态状态进行判断。
访问对象只包括资源对应的接入点。在得到访问对象的访问权限后,访问请求实体得到访问对象及其对应的操作,在访问对象及其对应的操作传递过程中只需要考虑资源对应的访问接入点,不要需要考虑资源对应的访问设备和广义时态状态。同样在资源转发过程中,访问控制策略的匹配以及资源链的形成也只需要考虑资源对应接入点,而不需要考虑资源对应的访问设备和广义时态状态。
实施例3:一种通用的访问控制方法,如图5所示。
本实施例用来说明访问请求实体通过网络和/或广义网络对资源进行访问。本实施例中定义访问请求实体为访问请求实体S1,待访问的资源为资源O1。访问请求实体S1访问资源1的广义时态状态T1,接入点为A1,访问设备为D1。本实施例主要包括以下步骤:
210、访问请求消息的生成
访问请求实体S1对资源O1发出访问请求动作;访问请求实体S1的标识及属性信息、资源O1的标识一起形成访问请求消息,发送给访问控制节点;访问请求消息中的访问请求实体标识、资源不能为空,属性信息可以但不限于包括:广义时态状态、访问设备、接入点等可以为一种或多种的任意组合,或者为空;
220、访问请求消息的传送
访问请求消息通过网络和/或广义网络传送,在访问请求消息传递过程中形成网络传播链N1和/或广义网络传播链假如:在网络传播链N1中共有k个网络节点,那么网络传播链N1=<ni→ni+1,ti,ai,ai+t>,其中0≤i≤k-1,ti为从第i个节点到第i+1个节点对应的时态状态,ai,ai+1分别为第i个节点和第i+1个节点对应的位置信息;
在广义网络传播链NG1中共有l个广义网络节点;那么广义网络传播链NG1=<ngi→ngi+1,ti,ai,ai+1>其中0≤i≤l-1,ti为从第i个广义网络节点到第i+1个广义网络节点对应的时态状态,ai,ai+1分别为第i个广义网络节点和第i+1个广义网络节点对应的位置信息;
230、访问控制策略的匹配
判断是否满足访问控制策略,具体过程如图6所示,策略匹配可在但不限于网络传播链中的网络节点和/或广义网络传播链中的广义网络节点、资源/消息的发起点、资源/消息的接收点、资源/消息的发起者、资源/消息的接收者中的一种或多种的任意组合上实现。
访问控制策略的匹配的过程如图6所示,包括以下5个步骤:
231、判断访问请求实体S1是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策略,禁止访问请求实体访问;
232、判断访问请求实体S1对应的广义时态状态T1是否满足访问控制策略要求,在进行时态策略判断时从访问时间区间、访问持续的时间、访问周期三个方面进行判断,如果不满足则判断所述访问请求不满足预定的访问控制策略,禁止访问请求实体访问;
233、判断访问请求实体S1对应的接入点A1是否满足访问控制策略,在进行接入点的策略判断时,要从接入点的空间位置和网络标识两个方面进行判断;如果不满足则判断所述访问请求不满足预定的访问控制策略,禁止访问请求实体访问;
234、判断访问请求实体S1对应的访问设备D1是否满足访问控制策略,在进行访问设备的策略判断时,要从访问设备通用属性、安全属性、有效期三个方面进行判断,如果不满足则判断所述访问请求不满足预定的访问控制策略,禁止访问请求实体访问;
235、判断访问请求实体S1在进行访问请求时的网络传播链N1和/广义网络传播链NG1是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策略,禁止访问请求实体访问;在根据网络传播链和/或广义网络传播链判断是否满足预定的访问控制策略时,要从整个传播链中各个节点的属性和节点与节点之间路径及其属性进行判断,以确保信息在可信可控的网络和/或广义网络中传播,便于资源的追踪和监控;
如果231~235均满足,则判断所述访问请求满足预定的访问控制策略,允许访问请求实体访问。
图6中所示只是一种例子,当231~234的判断结果为“是”时进行下一步判断;而实际应用时,上述231~235的5个步骤可以选择其中任意一个或任意几个执行,且执行的顺序可以任意设置和组合。
访问请求实体满足所有的访问控制策略,则进入下一步,允许访问请求实体S1对资源O1进行访问,否则结束访问。
资源的发送
240、允许访问请求实体S1对资源O1进行访问,资源O1经过网络传播链N2和/或广义网络传播链NG2发送到访问请求实体S1。N1与N2可以相同也可以不同,NG1与NG2可以相同也可以不同。
实施例4:一种通用的访问控制方法,包括:
本实施例用来说明访问请求实体通过网络和/或广义网络实现访问对象和/或操作结果的转发。
本实施例中,访问请求实体为访问请求实体S1,得到的资源为资源O1。访问请求实体S1在得到资源O1对应的访问对象和/或操作结果后,分别经过转发请求消息的生成、访问控制策略的判断,访问对象和/或操作结果的转发三个步骤来实现将资源O1对应的访问对象和/或操作结果转发给访问请求实体S2。在访问请求实体S1和访问请求实体S2之间对资源O1对应的访问对象和/或操作结果转发过程中,形成了资源传播链:
I1=<S1→S2,O1,t1>。
在访问请求实体S3得到资源O1对应的访问对象和/或操作结果,如果有转发的权限,继续将资源O1对应的访问对象和/或操作结果转发给访问请求实体S4。在此资源传递过程中形成新的资源传播链:
I2={<S1→S2,O1,t1>,<S2→S3,O1,t2>}。
依此类推,资源O1对应的访问对象和/或操作结果从访问请求实体S2不断转发直到访问请求实体m,形成的资源链为:
Im-1={<Si→Si+1,O1,ti>,0<i≤m-1}。
资源O1对应的访问对象和/或操作结果在转发过程中,需要对资源和/或资源传播链一起转发;在进行访问控制策略的判断时,除了要从访问请求实体、广义时态状态、接入点、访问设备、网络传播链和/或广义网络传播链5个方面进行判断外,还需要对转发过程中形成的资源传播链进行匹配和判断。
对资源传播链进行访问控制策略的匹配与判断,以保证资源在可信的访问请求实体之间传播,同时又便于资源的追踪与监控。
在上述资源访问和转发的过程中,访问请求实体在自己权限的范围内对资源进行操作,并形成新的权限,新的权限必须是原有权限的子集。
在根据资源传播链判断是否满足预定的访问控制策略时,要从以下因素中的任一个或其任意组合进行判断:
整个资源传播链中各个转发的访问请求实体及其对应的广义时态状态、接入点和访问设备,各个接收的访问请求实体及其对应的广义时态状态、接入点和访问设备,转发的时间,访问对象和/或操作结果将资源传播链进行访问控制策略的匹配与判断,以保证资源在可信的访问请求实体之间以可信方式(包括时间、设备、接入点的可信)传播,同时又便于资源的追踪与监控。
实施例5:一种通用的访问控制装置,包括:
请求生成模块、请求发送模块、访问控制匹配模块、反馈模块;
所述请求生成模块用于针对访问请求实体待访问的资源生成访问请求消息;所述的访问请求消息包括:访问请求实体的标识及属性信息、请求访问的资源的标识;
所述请求发送模块用于将所述访问请求消息通过网络和/或广义网络传送给所述访问控制匹配模块;
所述访问控制匹配模块用于根据所述的访问请求消息、第一网络传播链和/或第一广义网络传播链判断访问请求是否满足预定的访问控制策略;所述第一网络传播链和/或第一广义网络传播链通过加入所述访问请求消息在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到;
所述反馈模块用于将访问对象和/或操作结果通过网络和/或广义网络传送给访问请求实体;所述访问对象包括所述资源及其属性信息。
其中,所述请求生成模块、请求发送模块可以但不限于设置于访问请求实体中,所述访问控制匹配模块、反馈模块可以但不限于设置于执行访问控制的设备中。
所述的装置还可以包括:
接收模块,用于通过网络和/或广义网络接收所述访问对象和/或操作结果,得到第二网络传播链和/或第二广义网络传播链;所述第二网络传播链和/或第二广义网络传播链通过加入所述访问对象和/或操作结果在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到。
其中,所述接收模块可以但不限于设置于访问请求实体中。
所述请求生成模块还可以用于针对第一访问请求实体待转发的访问对象和/或操作结果,以及作为转发目标的第二访问请求实体,生成转发请求消息;所述的转发请求消息包括:第一访问请求实体标识、第二访问请求实体标识、待转发的访问对象和/或操作结果的信息;如果所述待转发的访问对象和/或操作结果是其它访问请求实体转发给所述第一访问请求实体的,则所述转发请求消息中还包括:资源传播链;
所述请求发送模块还可以用于将所述转发请求消息通过网络和/或广义网络传送给所述访问控制匹配模块;
所述访问控制匹配模块还可以用于当不存在资源传播链时,根据所述的转发请求消息、第三网络传播链和/或第三广义网络传播链判断转发请求是否满足预定的访问控制策略;当存在资源传播链时,根据所述的转发请求消息、第三网络传播链和/或第三广义网络传播链、及资源传播链判断转发请求是否满足预定的访问控制策略;所述第三网络传播链和/或第三广义网络传播链通过加入所述转发请求消息在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到;所述资源传播链是所述访问对象和/或操作结果在不同访问请求实体之间的转发过程中形成的;
所述装置还可以包括:
转发模块,用于当所述转发请求消息满足预定的访问控制策略时,对所述待转发的访问对象和/或操作结果进行转发。
其中,所述转发模块可以但不限于设置于访问请求实体中。
其中,所述访问控制匹配模块可以设置在网络中任一设备上;可以设置在前台和/或后台;可以为集中式(一个访问控制匹配模块处于一个设备上)或分布式(一个访问控制匹配模块分布在多个设备上)。各访问控制匹配模块的控制区域可以自行设置,可以是整个网络,也可以是部分网络(比如一个或多个局域网)。网络中可以包括一个或多个访问控制匹配模块;当包括多个访问控制匹配模块时,各访问控制匹配模块所在的设备、设置方式、控制区域可以相同或不同。
其中,所述访问控制匹配模块在根据资源传播链判断是否满足预定的访问控制策略时,可以是根据以下一个因素或其任意组合进行判断:整个资源传播链中各个转发的访问请求实体及其对应的广义时态状态、接入点和访问设备,各个接收的访问请求实体及其对应的广义时态状态、接入点和访问设备,转发的时间,访问对象和/或操作结果进行判断。
其中,所述的访问控制匹配模块可以部署在但不限于交换机、路由器、网关、防火墙、服务器、人工中的一种或多种的任意组合;访问控制匹配可在但不限于网络传播链中的网络节点和/或广义网络传播链中的广义网络节点、资源/消息的发起点、资源/消息的接收点、资源/消息的发起者、资源/消息的接收者中的一种或多种的任意组合。访问控制策略匹配可以从但不限于访问请求实体、广义时态状态、访问设备、接入点、网络传播链和/或广义网络传播链、资源传播链方面进行匹配,匹配内容、匹配顺序根据具体应用场景可以任意组合。
其中,所述访问控制匹配模块根据所述的访问请求消息、第一网络传播链和/或第一广义网络传播链判断所述访问请求是否满足预定的访问控制策略具体可以是指:
判断访问请求实体是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体对应的广义时态状态是否满足访问控制策略要求,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体对应的接入点是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体对应的访问设备是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体在进行访问请求时的第一网络传播链和/或第一广义网络传播链是否满足访问控制策略;如果不满足则判断所述访问请求不满足预定的访问控制策略。
如果均满足则判断所述访问请求满足预定的访问控制策略。
其它细节可参见上述的实施例1~4。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (20)

1.一种通用的访问控制方法,其特征在于,所述访问控制方法包括:
访问请求实体针对待访问的资源生成访问请求消息;所述的访问请求消息包括:访问请求实体的标识及属性信息、请求访问的资源的标识;
所述访问请求实体将所述访问请求消息通过网络和/或广义网络传送给访问控制节点;
所述访问控制节点根据所述的访问请求消息、第一网络传播链和/或第一广义网络传播链判断访问请求是否满足预定的访问控制策略;所述第一网络传播链和/或第一广义网络传播链通过加入所述访问请求消息在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到;
所述访问控制节点将访问对象和/或操作结果通过网络和/或广义网络传送给访问请求实体;所述访问对象包括所述资源及其属性信息。
2.如权利要求1所述的方法,其特征在于,将所述资源及其属性信息作为访问对象通过网络和/或广义网络传送给所述访问请求实体后还包括:
所述访问请求实体通过网络和/或广义网络接收所述访问对象和/或操作结果,得到第二网络传播链和/或第二广义网络传播链;所述第二网络传播链和/或第二广义网络传播链通过加入所述访问对象和/或操作结果在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到。
3.如权利要求1所述的方法,其特征在于,还包括:
第一访问请求实体针对待转发的访问对象和/或操作结果,以及作为转发目标的第二访问请求实体,生成转发请求消息;所述的转发请求消息包括:第一访问请求实体标识、第二访问请求实体标识、待转发的访问对象和/或操作结果的信息;如果所述待转发的访问对象和/或操作结果是其它访问请求实体转发给所述第一访问请求实体的,则所述转发请求消息中还包括:资源传播链;
所述第一访问请求实体将所述转发请求消息通过网络和/或广义网络传送给访问控制节点;
所述访问控制节点当不存在资源传播链时,根据所述的转发请求消息、第三网络传播链和/或第三广义网络传播链判断转发请求是否满足预定的访问控制策略;当存在资源传播链时,根据所述的转发请求消息、第三网络传播链和/或第三广义网络传播链、及资源传播链判断转发请求是否满足预定的访问控制策略;所述第三网络传播链和/或第三广义网络传播链通过加入所述转发请求消息在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到;所述资源传播链是所述访问对象和/或操作结果在不同访问请求实体之间的转发过程中形成的;
当所述转发请求消息满足预定的访问控制策略时,所述第一访问请求实体对所述待转发的访问对象和/或操作结果进行转发。
4.如权利要求1到3中任一项所述的方法,其特征在于:
所述访问控制节点设置在网络中任一设备上;设置在前台和/或后台;为集中式或分布式;各访问控制节点的控制区域是整个网络或部分网络。
5.如权利要求1到3中任一项所述的方法,其特征在于:
所述访问请求实体包括用户、自治代理、角色中任意一个或几个,访问请求实体集合不能为空;
所述用户,用于描述资源的创建、接收与转发,访问请求或转发请求的发起的用户集合,由有限的个体组成;所述自治代理,用于描述资源的接收与转发、访问请求或转发请求的发起的相关进程、代理服务的集合,由有限的个体组成;所述角色是具有某种权限的集合;
所述访问请求实体的属性信息包括以下任一种或任意组合:广义时态状态、访问设备、接入点;或者为空;
所述广义时态状态包括以下一种或多种的任意组合:时间区间、持续时间、时间周期;或者为空;所述时间区间,用于描述事件的起始时间和终止时间之间的时间区间;所述持续时间,用于描述事件的持续时间;所述时间周期,用于描述事件的时间周期;
所述接入点包括以下一种或多种的任意组合:空间位置、网络标识、效能、风险系数,或者为空;所述空间位置,用于描述对资源进行访问时接入点的相关空间位置信息;所述网络标识,用于描述访问资源时接入点的唯一网络标识;所述效能用于描述接入点的控制效果;所述风险系数用于描述接入点的安全特性;
所述访问设备用于描述对资源进行访问时的设备及其组成特征和相关属性;所述设备的组成特征和相关属性包括以下一种或或多种的任意组合:通用属性、安全属性和时间属性;所述的通用属性用于描述设备基本属性及相关效能;所述的安全属性用于描述访问设备的安全特性及风险系数;所述的时间属性用于描述访问设备的时间属性;
所述资源的属性信息包括以下一种或任意组合:广义时态状态、接入点、访问设备;
所述资源用于描述访问的对象及其相关属性,所述访问的对象的相关属性包括通用属性、安全属性中的一种或多种的任意组合;所述资源的通用属性包括资源的类型、资源的来源、资源大小、资源时态中的一种或多种的任意组合;所述的资源的类型包括数据库表、文件、网页中的一种或多种的任意组合;所述的资源的来源包括创建、转发、重组中的一种或多种的任意组合;所述的资源的安全属性包括资源允许执行的操作、分发方式、是否允许转发、销毁方式、安全等级、加密方式、风险系数中的一种或多种的任意组合。
6.如权利要求1到3中任一项所述的方法,其特征在于:
所述的网络包括有线网、无线网、局域网、广域网、物联网中的一种或多种的任意组合的实际网络环境;
所述的网络包括网络节点、网络节点之间的路径;所述的网络节点包括:设备和网络区域;
所述的网络节点属性包括通用属性和安全属性中的一种或多种的任意组合;
所述的网络节点的通用属性包括网络类型、网络协议、节点类型、效能中的一种或多种的任意组合;所述的网络类型包括局域网、城域网、广域网中的一种或多种的任意组合;所述网络协议,用于描述网络中为传递和管理信息资源而建立的规则集;所述的节点类型包括起点、终点、子网的入口、子网的出口、子网的内部节点中一种或多种的任意组合;所述效能,用于描述网络节点控制效果;
所述网络节点的安全属性,用于描述网络节点的安全特性及风险系数,包括设备的安全属性、网络的安全属性中的一种或多种的任意组合;所述设备的安全属性用于描述设备的安全特性及风险系数;所述的网络的安全属性用于描述网络的安全特性及风险系数;
网络节点之间的路径用于描述网络之间的连通性;所述路径的属性包括网络节点之间路径的连通属性、安全属性中的一种或多种的任意组合;所述的路径的连通属性用于描述线路的状态、性能及协议,为路径选择提供依据;所述的连通属性包括性能属性、协议属性和效能中的一种或多种的任意组合;所述的性能属性包括带宽、开销、跳数、时延、最大传输单元、吞吐量中的一种或多种的任意组合;所述的协议属性包括TCP/IP、CDMA、蓝牙、802.11、ISO1898中的一种或多种的任意组合;所述效能,用于描述连通性效果;所述路径的安全属性用于描述路径的安全特性及风险系数,包括加密类型、安全协议、管控信息、风险系数中的一种或多种的任意组合。
7.如权利要求1所述的方法,其特征在于:
所述的网络传播链指基于网络节点有序交互行为的信息的集合;所述的交互行为的信息包括资源/消息的发起点、资源/消息的接收点、行为的时间属性、接入点;其中资源/消息的发起点和资源/消息的接收点不能为空,行为的时间属性、接入点为一种或多种的任意组合,或者为空;所述的行为的时间属性为广义时态状态;所述的接入点用于描述网络节点的位置属性;
所述的广义网络传播链指基于人工有序交互行为的信息的集合;所述的交互行为的信息包括资源/消息的发起者、资源/消息的接收者、行为的时间属性、接入点;其中资源/消息的发起者和资源/消息的接收者不能为空,行为的时间属性、接入点为一种或多种的任意组合,或者为空。
8.如权利要求3所述的方法,其特征在于:
所述资源传播链是用于描述资源传播过程中,资源交换行为的信息的有序集合;
所述的资源交换行为的信息用于描述资源在两个访问请求实体之间的一次传输,包括资源和/或消息的创建者或转发者、资源和/或消息的接收者、访问对象和/或操作结果、广义时态状态;其中资源和/或消息的创建者或转发者、资源和/或消息的接收者、访问对象和/或操作结果不能为空,广义时态状态为一种或多种的任意组合,或者为空。
9.如权利要求8所述的方法,其特征在于:
在根据资源传播链判断是否满足预定的访问控制策略时,根据以下一个因素或其任意组合进行判断:整个资源传播链中各个转发的访问请求实体及其对应的广义时态状态、接入点和访问设备,各个接收的访问请求实体及其对应的广义时态状态、接入点和访问设备,转发的时间,访问对象和/或操作结果进行判断。
10.如权利要求4所述的方法,其特征在于,访问控制节点根据所述的访问请求消息、第一网络传播链和/或第一广义网络传播链判断所述访问请求是否满足预定的访问控制策略包括:
判断访问请求实体是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体对应的广义时态状态是否满足访问控制策略要求,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体对应的接入点是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体对应的访问设备是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体在进行访问请求时的第一网络传播链和/或第一广义网络传播链是否满足访问控制策略;如果不满足则判断所述访问请求不满足预定的访问控制策略。
如果均满足则判断所述访问请求满足预定的访问控制策略。
11.一种通用的访问控制装置,其特征在于,包括:
请求生成模块、请求发送模块、访问控制匹配模块、反馈模块;
所述请求生成模块用于针对访问请求实体待访问的资源生成访问请求消息;所述的访问请求消息包括:访问请求实体的标识及属性信息、请求访问的资源的标识;
所述请求发送模块用于将所述访问请求消息通过网络和/或广义网络传送给所述访问控制匹配模块;
所述访问控制匹配模块用于根据所述的访问请求消息、第一网络传播链和/或第一广义网络传播链判断访问请求是否满足预定的访问控制策略;所述第一网络传播链和/或第一广义网络传播链通过加入所述访问请求消息在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到;
所述反馈模块用于将访问对象和/或操作结果通过网络和/或广义网络传送给访问请求实体;所述访问对象包括所述资源及其属性信息。
12.如权利要求11所述的装置,其特征在于,还包括:
接收模块,用于通过网络和/或广义网络接收所述访问对象和/或操作结果,得到第二网络传播链和/或第二广义网络传播链;所述第二网络传播链和/或第二广义网络传播链通过加入所述访问对象和/或操作结果在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到。
13.如权利要求11所述的装置,其特征在于:
所述请求生成模块还用于针对第一访问请求实体待转发的访问对象和/或操作结果,以及作为转发目标的第二访问请求实体,生成转发请求消息;所述的转发请求消息包括:第一访问请求实体标识、第二访问请求实体标识、待转发的访问对象和/或操作结果的信息;如果所述待转发的访问对象和/或操作结果是其它访问请求实体转发给所述第一访问请求实体的,则所述转发请求消息中还包括:资源传播链;
所述请求发送模块还用于将所述转发请求消息通过网络和/或广义网络传送给所述访问控制匹配模块;
所述访问控制匹配模块还用于当不存在资源传播链时,根据所述的转发请求消息、第三网络传播链和/或第三广义网络传播链判断转发请求是否满足预定的访问控制策略;当存在资源传播链时,根据所述的转发请求消息、第三网络传播链和/或第三广义网络传播链、及资源传播链判断转发请求是否满足预定的访问控制策略;所述第三网络传播链和/或第三广义网络传播链通过加入所述转发请求消息在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到;所述资源传播链是所述访问对象和/或操作结果在不同访问请求实体之间的转发过程中形成的;
所述装置还包括:
转发模块,用于当所述转发请求消息满足预定的访问控制策略时,对所述待转发的访问对象和/或操作结果进行转发。
14.如权利要求11到13中任一项所述的装置,其特征在于:
所述访问控制匹配模块设置在网络中任一设备上;设置在前台和/或后台;为集中式或分布式;各访问控制节点的控制区域是整个网络或部分网络。
15.如权利要求11到13中任一项所述的装置,其特征在于:
所述访问请求实体包括用户、自治代理、角色中任意一个或几个,访问请求实体集合不能为空;
所述用户,用于描述资源的创建、接收与转发,访问请求或转发请求的发起的用户集合,由有限的个体组成;所述自治代理,用于描述资源的接收与转发、访问请求或转发请求的发起的相关进程、代理服务的集合,由有限的个体组成;所述角色是具有某种权限的集合;
所述访问请求实体的属性信息包括以下任一种或任意组合:广义时态状态、访问设备、接入点;或者为空;
所述广义时态状态包括以下一种或多种的任意组合:时间区间、持续时间、时间周期;或者为空;所述时间区间,用于描述事件的起始时间和终止时间之间的时间区间;所述持续时间,用于描述事件的持续时间;所述时间周期,用于描述事件的时间周期;
所述接入点包括以下一种或多种的任意组合:空间位置、网络标识、效能、风险系数,或者为空;所述空间位置,用于描述对资源进行访问时接入点的相关空间位置信息;所述网络标识,用于描述访问资源时接入点的唯一网络标识;所述效能用于描述接入点的控制效果;所述风险系数用于描述接入点的安全特性;
所述访问设备用于描述对资源进行访问时的设备及其组成特征和相关属性;所述设备的组成特征和相关属性包括以下一种或或多种的任意组合:通用属性、安全属性和时间属性;所述的通用属性用于描述设备基本属性及相关效能;所述的安全属性用于描述访问设备的安全特性及风险系数;所述的时间属性用于描述访问设备的时间属性;
所述资源的属性信息包括以下一种或任意组合:广义时态状态、接入点、访问设备;
所述资源用于描述访问的对象及其相关属性,所述访问的对象的相关属性包括通用属性、安全属性中的一种或多种的任意组合;所述资源的通用属性包括资源的类型、资源的来源、资源大小、资源时态中的一种或多种的任意组合;所述的资源的类型包括数据库表、文件、网页中的一种或多种的任意组合;所述的资源的来源包括创建、转发、重组中的一种或多种的任意组合;所述的资源的安全属性包括资源允许执行的操作、分发方式、是否允许转发、销毁方式、安全等级、加密方式、风险系数中的一种或多种的任意组合。
16.如权利要求11到13中任一项所述的装置,其特征在于:
所述的网络包括有线网、无线网、局域网、广域网、物联网中的一种或多种的任意组合的实际网络环境;
所述的网络包括网络节点、网络节点之间的路径;所述的网络节点包括:设备和网络区域;
所述的网络节点属性包括通用属性和安全属性中的一种或多种的任意组合;
所述的网络节点的通用属性包括网络类型、网络协议、节点类型、效能中的一种或多种的任意组合;所述的网络类型包括局域网、城域网、广域网中的一种或多种的任意组合;所述网络协议,用于描述网络中为传递和管理信息资源而建立的规则集;所述的节点类型包括起点、终点、子网的入口、子网的出口、子网的内部节点中一种或多种的任意组合;所述效能,用于描述网络节点控制效果;
所述网络节点的安全属性,用于描述网络节点的安全特性及风险系数,包括设备的安全属性、网络的安全属性中的一种或多种的任意组合;所述设备的安全属性用于描述设备的安全特性及风险系数;所述的网络的安全属性用于描述网络的安全特性及风险系数;
网络节点之间的路径用于描述网络之间的连通性;所述路径的属性包括网络节点之间路径的连通属性、安全属性中的一种或多种的任意组合;所述的路径的连通属性用于描述线路的状态、性能及协议,为路径选择提供依据;所述的连通属性包括性能属性、协议属性和效能中的一种或多种的任意组合;所述的性能属性包括带宽、开销、跳数、时延、最大传输单元、吞吐量中的一种或多种的任意组合;所述的协议属性包括TCP/IP、CDMA、蓝牙、802.11、ISO1898中的一种或多种的任意组合;所述效能,用于描述连通性效果;所述路径的安全属性用于描述路径的安全特性及风险系数,包括加密类型、安全协议、管控信息、风险系数中的一种或多种的任意组合。
17.如权利要求11所述的装置,其特征在于:
所述的网络传播链指基于网络节点有序交互行为的信息的集合;所述的交互行为的信息包括资源/消息的发起点、资源/消息的接收点、行为的时间属性、接入点;其中资源/消息的发起点和资源/消息的接收点不能为空,行为的时间属性、接入点为一种或多种的任意组合,或者为空;所述的行为的时间属性为广义时态状态;所述的接入点用于描述网络节点的位置属性;
所述的广义网络传播链指基于人工有序交互行为的信息的集合;所述的交互行为的信息包括资源/消息的发起者、资源/消息的接收者、行为的时间属性、接入点;其中资源/消息的发起者和资源/消息的接收者不能为空,行为的时间属性、接入点为一种或多种的任意组合,或者为空。
18.如权利要求13所述的装置,其特征在于:
所述资源传播链是用于描述资源传播过程中,资源交换行为的信息的有序集合;
所述的资源交换行为的信息用于描述资源在两个访问请求实体之间的一次传输,包括资源和/或消息的创建者或转发者、资源和/或消息的接收者、访问对象和/或操作结果、广义时态状态;其中资源和/或消息的创建者或转发者、资源和/或消息的接收者、访问对象和/或操作结果不能为空,广义时态状态为一种或多种的任意组合,或者为空。
19.如权利要求18所述的装置,其特征在于:
所述访问控制匹配模块在根据资源传播链判断是否满足预定的访问控制策略时,根据以下一个因素或其任意组合进行判断:整个资源传播链中各个转发的访问请求实体及其对应的广义时态状态、接入点和访问设备,各个接收的访问请求实体及其对应的广义时态状态、接入点和访问设备,转发的时间,访问对象和/或操作结果进行判断。
20.如权利要求14所述的装置,其特征在于,所述访问控制匹配模块根据所述的访问请求消息、第一网络传播链和/或第一广义网络传播链判断所述访问请求是否满足预定的访问控制策略是指:
判断访问请求实体是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体对应的广义时态状态是否满足访问控制策略要求,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体对应的接入点是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体对应的访问设备是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策略;
判断访问请求实体在进行访问请求时的第一网络传播链和/或第一广义网络传播链是否满足访问控制策略;如果不满足则判断所述访问请求不满足预定的访问控制策略。
如果均满足则判断所述访问请求满足预定的访问控制策略。
CN201510289325.0A 2015-05-29 2015-05-29 一种通用的访问控制方法及装置 Active CN104917761B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510289325.0A CN104917761B (zh) 2015-05-29 2015-05-29 一种通用的访问控制方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510289325.0A CN104917761B (zh) 2015-05-29 2015-05-29 一种通用的访问控制方法及装置

Publications (2)

Publication Number Publication Date
CN104917761A true CN104917761A (zh) 2015-09-16
CN104917761B CN104917761B (zh) 2018-01-30

Family

ID=54086467

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510289325.0A Active CN104917761B (zh) 2015-05-29 2015-05-29 一种通用的访问控制方法及装置

Country Status (1)

Country Link
CN (1) CN104917761B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107944299A (zh) * 2017-12-29 2018-04-20 西安电子科技大学 一种隐私信息的处理方法、装置及系统
CN108259477A (zh) * 2017-12-30 2018-07-06 上海陆家嘴国际金融资产交易市场股份有限公司 基于sdn的网络访问控制方法、装置和计算机设备
CN109039734A (zh) * 2018-07-27 2018-12-18 北京工业大学 一种分布式的访问控制模型及访问方法
CN109165516A (zh) * 2018-08-14 2019-01-08 中国银联股份有限公司 一种访问控制方法和装置
CN109347845A (zh) * 2018-10-30 2019-02-15 中国科学院信息工程研究所 一种信息流转方法、装置及系统
CN110300124A (zh) * 2019-02-02 2019-10-01 奇安信科技集团股份有限公司 一种访问控制方法、系统、电子设备及可读介质
CN113973116A (zh) * 2020-07-22 2022-01-25 拉扎斯网络科技(上海)有限公司 资源管理方法、资源传播方法、装置、系统、设备及介质
CN117459320A (zh) * 2023-12-20 2024-01-26 新华三网络信息安全软件有限公司 数据的访问控制方法和装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080209504A1 (en) * 1999-05-06 2008-08-28 David Wayne Bonn Generalized network security policy templates for implementing similar network security policies across multiple networks
CN103647787A (zh) * 2013-12-23 2014-03-19 国网重庆市电力公司 基于接入信任度和快速权限分配的智能电网访问控制方法
CN103853986A (zh) * 2014-01-03 2014-06-11 李凤华 一种访问控制方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080209504A1 (en) * 1999-05-06 2008-08-28 David Wayne Bonn Generalized network security policy templates for implementing similar network security policies across multiple networks
CN103647787A (zh) * 2013-12-23 2014-03-19 国网重庆市电力公司 基于接入信任度和快速权限分配的智能电网访问控制方法
CN103853986A (zh) * 2014-01-03 2014-06-11 李凤华 一种访问控制方法和装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
MANG SU ET AL: ""An Action-Based Fine-Grained Access Control Mechanism for Structured Documents and Its Application"", 《THE SCIENTIFIC WORLD JOURNAL》 *
李凤华 等: ""协作信息系统的访问控制模型及其应用"", 《通信学报》 *
李凤华 等: ""基于行为的访问控制模型及其行为管理"", 《电子学报》 *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107944299A (zh) * 2017-12-29 2018-04-20 西安电子科技大学 一种隐私信息的处理方法、装置及系统
CN108259477A (zh) * 2017-12-30 2018-07-06 上海陆家嘴国际金融资产交易市场股份有限公司 基于sdn的网络访问控制方法、装置和计算机设备
CN108259477B (zh) * 2017-12-30 2020-12-08 未鲲(上海)科技服务有限公司 基于sdn的网络访问控制方法、装置和计算机设备
CN109039734A (zh) * 2018-07-27 2018-12-18 北京工业大学 一种分布式的访问控制模型及访问方法
CN109039734B (zh) * 2018-07-27 2021-07-13 北京工业大学 一种分布式的访问控制模型及访问方法
CN109165516A (zh) * 2018-08-14 2019-01-08 中国银联股份有限公司 一种访问控制方法和装置
CN109347845A (zh) * 2018-10-30 2019-02-15 中国科学院信息工程研究所 一种信息流转方法、装置及系统
CN109347845B (zh) * 2018-10-30 2020-08-07 中国科学院信息工程研究所 一种信息流转方法、装置及系统
CN110300124A (zh) * 2019-02-02 2019-10-01 奇安信科技集团股份有限公司 一种访问控制方法、系统、电子设备及可读介质
CN113973116A (zh) * 2020-07-22 2022-01-25 拉扎斯网络科技(上海)有限公司 资源管理方法、资源传播方法、装置、系统、设备及介质
CN117459320A (zh) * 2023-12-20 2024-01-26 新华三网络信息安全软件有限公司 数据的访问控制方法和装置
CN117459320B (zh) * 2023-12-20 2024-03-26 新华三网络信息安全软件有限公司 数据的访问控制方法和装置

Also Published As

Publication number Publication date
CN104917761B (zh) 2018-01-30

Similar Documents

Publication Publication Date Title
US11296937B2 (en) Decentralized data storage and processing for IoT devices
CN104917761A (zh) 一种通用的访问控制方法及装置
US11736277B2 (en) Technologies for internet of things key management
Aboodi et al. Survey on the Incorporation of NDN/CCN in IoT
US11025627B2 (en) Scalable and secure resource isolation and sharing for IoT networks
US20220248226A1 (en) Dynamic access policy provisioning in a device fog
Yousuf et al. Internet of things (IoT) security: current status, challenges and countermeasures
Suarez et al. A secure IoT management architecture based on Information-Centric Networking
Deebak et al. TAB-SAPP: A trust-aware blockchain-based seamless authentication for massive IoT-enabled industrial applications
US20090137227A1 (en) Federated Virtual Network of Communications Services
US20200067926A1 (en) Access control in an observe-notify network using callback
Bild et al. Using predictable mobility patterns to support scalable and secure MANETs of handheld devices
Bezahaf et al. BCWAN: a federated low-power WAN for the internet of things (industry track)
Kaur et al. Securing network communication between motes using hierarchical group key management scheme using threshold cryptography in smart home using internet of things
KR20150066401A (ko) M2m 환경에서의 데이터 적용기술
Muralidhar et al. Enhancing the storage of mobile nodes through ad hoc storage as a service in MANETs
WO2022187987A1 (en) Systems and methods on id swapping during data forwarding
CN117061115B (zh) 密钥协商方法、装置、计算机设备和计算机可读存储介质
Garofalaki et al. A Policy-Aware Model for Intelligent Transportation Systems
Malatras et al. Deploying pervasive secure knowledge management infrastructures
Siddiqui et al. An Adaptive Security Governance Architecture based on Smart Contracts for Syntactically Interoperable Services in Smart Cities
Sibilio Formal methods for wireless systems
Osmani et al. A scalable distributed security infrastructure for industrial control and sensor networks
Siddiqui et al. A Smart-Contract-Based Adaptive Security Governance Architecture for Smart City Service Interoperations
Seetharaman et al. Adaptive and composite privacy and security mechanism for IoT communication

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant