CN104917767B - 基于rbac模型的家庭业务访问控制方法 - Google Patents
基于rbac模型的家庭业务访问控制方法 Download PDFInfo
- Publication number
- CN104917767B CN104917767B CN201510319497.8A CN201510319497A CN104917767B CN 104917767 B CN104917767 B CN 104917767B CN 201510319497 A CN201510319497 A CN 201510319497A CN 104917767 B CN104917767 B CN 104917767B
- Authority
- CN
- China
- Prior art keywords
- domain
- prefix
- father
- domains
- subdomain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Abstract
一种基于RBAC模型的家庭业务访问控制方法,包括有:步骤一、创建若干个域,其中包含有一个超级域,所述超级域由家庭业务的所有终端组成,多个域之间存在有继承关系,超级域是其它所有域的祖先域,其他每个域都拥有1个或多个父域,并从父域的组成终端中选取多个终端再组成子域;步骤二、设置多个用户角色,然后将每个用户角色分别和已创建的一个域、和若干个操作进行关联,即每个用户角色拥有对所关联的域的所有终端进行相应操作的权限。本发明属于网络通信技术领域,能基于RBAC模型来实现家庭业务在访问控制上的分权分域管理功能。
Description
技术领域
本发明涉及一种基于RBAC模型的家庭业务访问控制方法,属于网络通信技术领域。
背景技术
随着家庭数据业务的快速发展,业务需求不断增多。家庭业务的运营涉及的步骤较为繁复,这不利于业务的快速开展和部署。因此需要家庭开放平台为多样化的家庭业务提供统一且通用的管理、服务和支撑保障机制,以营造良好的家庭业务生长环境。在家庭开放平台中,可管理的数据或资源具有集中控制、分域协作及分散接入的特点,因此,分权分域管理功能成为家庭开放平台的一项关键管理能力。其本质是为不同的管理员提供不同的功能权限,并将集中控制的可管理的数据或资源划分为多个管理实体(可以有多个层次,即为域的继承)。自主访问控制(DAC,Discretionary Access Control)、强制访问控制(MAC,Mandatory Access Control)和基于角色的访问控制(RBAC)是目前三种主流的访问控制技术,由于DAC和MAC无法较好的满足商业和政府部门系统的安全需求,因此,RBAC(Role-based Access Control)便成为人们研究的重点。
在RBAC中,用户和权限通过角色关联,角色相对于用户来说更为稳定,用户可以通过更换角色来获取不同的权限,而不用直接修改所对应的权限,这就极大地简化了权限的管理。RBAC模型仅包含四个基本要素:用户、角色、会话和权限,这在家庭开放平台中是存在不足的:基本的RBAC模型把对资源的管理统称为权限,可以体现分权的概念,但在分域上面不能很好的满足,不能满足家庭业务上的灵活而复杂的分权分域需求。
因此,如何基于RBAC模型来实现家庭业务在访问控制上的分权分域管理功能,是一个亟待解决的技术问题。
发明内容
有鉴于此,本发明的目的是提供一种基于RBAC模型的家庭业务访问控制方法,能基于RBAC模型来实现家庭业务在访问控制上的分权分域管理功能。
为了达到上述目的,本发明提供了一种基于RBAC模型的家庭业务访问控制方法,包括有:
步骤一、创建若干个域,其中包含有一个超级域,所述超级域由家庭业务的所有终端组成,多个域之间存在有继承关系,超级域是其它所有域的祖先域,其他每个域都拥有1个或多个父域,并从父域的组成终端中选取多个终端再组成子域;
步骤二、设置多个用户角色,然后将每个用户角色分别和已创建的一个域、和若干个操作进行关联,即每个用户角色拥有对所关联的域的所有终端进行相应操作的权限,
步骤一进一步包括有:
为每个域分配一个唯一的标识符ID,并根据域的所有祖先域及其对应的继承层次、和自身ID来为每个域构建一个继承层次分支符prefix,所述prefix用于按照继承层次从高到低的次序,从超级域开始,顺序记录每个域的所有祖先域和自身的ID,
根据域的所有祖先域及其对应的继承层次、和自身ID来为每个域构建一个继承层次分支符prefix,进一步包括有:
先对祖先域和自身的ID按照从高到低的继承层次进行排列,即超级域的ID排在最前,而自身的ID排在最后,然后按照排列的先后次序,将祖先域的ID、和自身的ID逐一写入到域的prefix中,其中使用继承层次分割符将处于不同继承层次的祖先域、或自身的ID进行间隔,当其中多个祖先域处于同一继承层次时,使用多继承间隔符将处于同一继承层次的多个祖先域进行间隔。
与现有技术相比,本发明的有益效果是:本发明在RBAC基本模型的基础上,细化了权限这一概念,根据家庭开放平台对终端管理的业务需求,添加了对象、操作、域、分组四个要素,提出了域的可继承性,深入的控制角色可管理的数据内容和操作,提供了更细粒度化的权限功能。本发明可以解决家庭开放平台对终端管理的分权分域需求,解决了系统中访问控制约束的问题,提出了多样化的角色和权限设计方案,实现了复杂的职责分配,并且增强了系统的安全性。
附图说明
图1是本发明一种基于RBAC模型的家庭业务访问控制方法的流程图。
图2是以当前的一个或多个域为父域而新建一个子域时的具体操作流程图。
图3是本发明中多个域继承关系示意图的一个实施例。
图4是本发明采用完全撤销方式来撤销一个域的具体操作流程图。
图5是本发明采用局部撤销方式来撤销一个域的具体操作流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
本发明在现有的RBAC模型基础上细化了权限的概念,把权限分为对象和操作,并将一些对象的集合划分为域或分组,对象、操作与角色通过域关联,角色可以获得这个域内包含的对象的管理和操作的权限。本发明增加了操作集、管理对象集、域和分组四个要素,其中:
1、操作集,为操作的集合,代表了权限中具体的操作,例如对一个数据执行删除操作,这个删除就是一个操作,操作是会话中的元行为,是最小单位;
2、对象集,其中的对象是操作所对应的具体终端;
3、域,为管理对象域集,域由一个或多个对象组成,对一个域执行一个操作就是对这个域中所有的对象执行这个操作,域可以继承,具有层次关系;
4、分组,分组由一个或多个对象组成,每个分组隶属于一个域,分组中的对象都是所隶属的域中的对象。
如图1所示,本发明一种基于RBAC模型的家庭业务访问控制方法,包括有:
步骤一、创建若干个域,其中包含有一个超级域,所述超级域由家庭业务的所有终端组成,多个域之间存在有继承关系,超级域是其它所有域的祖先域,其他每个域都拥有1个或多个父域,并从父域的组成终端中选取多个终端再组成子域;
子域继承父域,子域和父域之间的继承关系包括有单继承和多继承两种,其中单继承是指子域仅有一个父域,即从其父域的组成终端中选取多个终端来组成子域,多继承是指子域拥有多个父域,即子域从其多个父域的组成终端中选取多个终端而组成子域;
根据域的继承关系,从域的父域开始、向上追溯直至超级域所形成的继承分支上的所有域都是该域的祖先域,域的继承层次是其在继承分支上所处的前后位置,超级域的继承层次最高,其他域越靠近超级域,则其继承层次也越高;当根据域的继承关系,从域的子域开始、向下查询而获得的所有域都是该域的子孙域;
步骤二、设置多个用户角色,然后将每个用户角色分别和已创建的一个域、和若干个操作进行关联,即每个用户角色拥有对所关联的域的所有终端进行相应操作的权限。
本发明中的域可以继承,当创建一个角色的子角色时,可以把当前角色的域或者子域分配给子角色,这样就不会出现一个角色把自己无权管理的对象的管理权限分配给他的子角色,域的偏序关系使得系统更加安全。域的层次关系使用继承层次分支符prefix来标识,可以确定每个域的父域,从而有利于向上追溯所有的祖先域、或者向下查询所有的子孙域,步骤一进一步包括有:
为每个域分配一个唯一的标识符ID,并根据域的所有祖先域及其对应的继承层次、和自身ID来为每个域构建一个继承层次分支符prefix,同时还设置一个域的层级深度限制值max-depth。
所述域的ID可使用一个大于或等于0的整数进行标识,例如超级域的ID设置为0,对于继承超级域的4个子域A、B、C、D的ID可以分别设置为:1,2,3,15。
所述prefix用于按照继承层次从高到低的次序,从超级域开始,顺序记录每个域的所有祖先域和自身的ID,进一步的说,先对祖先域和自身的ID按照从高到低的继承层次进行排列,即超级域的ID排在最前,而自身的ID排在最后,然后按照排列的先后次序,将祖先域的ID、和自身的ID逐一写入到域的prefix中,其中使用继承层次分割符(例如:/)将处于不同继承层次的祖先域、或自身的ID进行间隔,当多个祖先域处于同一继承层次时(即存在有多继承关系),使用多继承间隔符(例如:,)将处于同一继承层次的多个祖先域进行间隔,例如:/0/1,2,3/4,11,6/9,12,8/13/,其中,超级域的ID是0,排在最前,ID为1、2、3的域是超级域的子域,ID为4、11、6的域是1、2、3的子域,ID为9、12、8的域是4、11、6的子域,域自身的ID是13,排在最后。
每个域的层级深度限制值max-depth可以根据家庭业务需要、和其父域的层级深度限制值max-depth而设置,其值可以是一个整数,当max-depth是一个负整数时,则表示该域不限制层级深度,即该域下的子域的max-depth的取值不受父域限制;当max-depth是0时,则表示该域下无法再创建子域。当父域的max-depth是一个大于0的整数时,则该域下的子域的max-depth须小于父域的max-depth,默认子域的max-depth为父域的max-depth减1。
这样,如图2所示,当根据角色需要,以当前的一个或多个域为父域而新建一个子域时,还可以包括有:
步骤A1、为新建子域设置一个新的ID,并构建一个prefix,所述prefix的初始值为空;
步骤A2、判断新建子域与其所要继承的父域是否是单继承关系?如果是,则提取新建子域所要继承的父域的prefix,并保存到新建子域的prefix中,然后在新建子域的prefix的结尾处增加所述新建子域的ID,并使用继承层次分割符将父域和子域的ID进行间隔,本流程结束;如果否,则继续步骤A3;
步骤A3、提取新建子域所要继承的所有父域的prefix,并判断所有父域的prefix中的继承层次分割符的总数是否相同?如果是,则继续步骤A4;如果否,则从所有父域的prefix中的继承层次分割符的总数中挑选出一个最大值,然后在其他非最大值所对应的父域的prefix的结尾处分别添加多个该父域自身的ID,并使用继承层次分割符将prefix中的多个父域的ID进行间隔,从而使得所有父域的prefix中的继承层次分割符的总数都到达最大值,最后转向步骤A4;
根据继承层次分割符的总数可以计算出每个域在其继承分支上的继承层次,当父域的prefix中继承层次分割符的总数相同时,则表示所有父域在其继承分支上的继承层次相同,其子域的prefix直接合并所有父域的prefix即可,当继承层次分割符的总数不同时,则表示父域在其继承分支上的继承层次存在不一致,需对父域的prefix进行补全,从而使得所有父域在其继承分支上的继承层次相同;
步骤A4、从所有父域的prefix中分别读取出处于最高继承层次的域的ID(即超级域);
步骤A5、将读取出的、且互不重复的域的ID写入新建子域的prefix中,并使用多继承分割符将上述处于同一继承层次的域的ID进行间隔,同时使用继承层次分割符将其和其他继承层次的域进行间隔;
步骤A6、判断是否已读取完所有父域的prefix中的域的ID?如果是,则在新建子域的prefix的结尾处添加新建子域的ID,并使用继承层次分割符将其和其他继承层次的域进行间隔,同时从所有父域的终端中选取多个终端来组成新建子域,本流程结束;如果否,则继续从所有父域的prefix中分别读取出处于下一继承层次的域的ID,然后转向步骤A5。
图3是本发明中的多个域继承关系示意图的一个实施例。如图3所示,超级域的ID为0,其prefix设置为:/0/,max-depth设置为-1(不限制层级深度),超级域下有4个子域A、B、C、O,域A下创建域D,域I、L和H下创建域M,域M和F下创建域N,这样,每个域的ID、prefix、max-depth分别如下:
1、域A,ID=1,prefix=/0/1/,max-depth=6;
2、域B,ID=2,prefix=/0/2/,max-depth=-1;
3、域C,ID=3,prefix=/0/3/,max-depth=-1(不限制层级深度);
4、域O,prefix=/0/15/,max-depth=0(该域下无法再创建子域);
5、域D,域D的父域是域A,因此,域D的max-depth须小于其父域A的max-depth,所以:ID=4,prefix=/0/1/4/,max-depth=6-1=5;
6、域M,域M是域I、L和H的公共子域,因此,域M的prefix应为其父域prefix的合并,由于域I、L和H所处的继承层次一致(即继承层次分割符的总数相同),则prefix逐层合并即可,同时,域M的max-depth须小于其父域I、L和H的max-depth,则只能为1或者0,所以:ID=13,prefix=/0/1,2,3/4,11,6/9,12,8/13/,max-depth=1;
7、域N,域N是域M和F的公共子域,因此,域N的prefix应为域M和F的prefix的合并,由于域M和F所处的继承层次不一致(即继承层次分割符的总数不同),域F的prefix需要补全为/0/2,3/6/6/6/,之后再prefix逐层合并即可,同时,其max-depth只能为0。所以:ID=13,prefix=/0/1,2,3/4,11,6/9,12,8,6/13,6/14/,max-depth=0。
值得一提的是,域的撤销影响的不仅是当前操作的域,还会影响到继承于这个域的各个子域,某个域的子域包括两种情况,以域F为例进行说明(域F的prefix为/0/2,3/6/):
1、一种是单继承于某个域的,即prefix的开头为/0/2,3/6/的域,例如域G:/0/2,3/6/7/和域H:/0/2,3/6/8/;
2、另一种是多继承于某个域的,即prefix中包含/*,6/、/6,*/或/*,6,*/(*为任意符合prefix要求的字符)的域,例如域M:/0/1,2,3/4,11,6/9,12,8/13/和域N:/0/1,2,3/4,11,6/9,12,8,6/13,6/14/。
本发明中,域的撤销可以采取全部撤销和局部撤销两种不同方式,从而满足不同的业务需求:
1、完全撤销,即撤销某个域后,回收这个域向下的所有授权,对这个域的所有子孙域进行处理,是一种深度的回收方式;
2、局部撤销,即撤销某个域后,不回收这个域向下的授权,对这个域的子孙域没有任何影响,浅度的回收了当前域,并不影响其他域,影响范围较小。
如图4所示,当本发明采用完全撤销方式来撤销一个域时,还可以进一步包括有:
步骤B1、为撤销域构建一个多继承子孙集,所述多继承子孙集初始化为空;
步骤B2、逐一查找现有的所有域的prefix,并判断每个域的prefix中是否包含有撤销域的prefix,如果是,则说明所查找到的域单继承于撤销域,将查找到的域进行撤销,并将其ID添加到撤销域子孙集中,并继续查找下一个域的prefix,直至查找完现有的所有域;如果否,则继续查找下一个域的prefix,直至查找完现有的所有域;
步骤B3、从所有未撤销的域中提取出一个域的prefix;
步骤B4、判断所提取域的prefix中是否包含有撤销域的ID?如果是,则进一步查找所提取域的prefix中是否还包含有撤销域的多继承子孙集中的域的ID,删除所提取域的prefix中所包含的撤销域和查找到的多继承子孙集中的域的ID、以及多余的多继承间隔符,同时判断所提取域的每个终端是否属于撤销域,当所提取域的终端属于撤销域时,则将所述终端从所提取域的终端中删除,然后继续下一步;如果否,则继续下一步;
步骤B5、判断是否已提取完所有未撤销的域?如果是,则本流程结束;如果否,则继续从所有未撤销的域中提取下一个域的prefix,然后转向步骤B4。
如图5所示,当本发明采用局部撤销方式来撤销一个域时,还可以进一步包括有:
步骤C1、构建一个域集,所述域集由除了撤销域之外的所有域构成;
步骤C2、逐一查找域集中每个域的prefix,并判断每个域的prefix中是否包含有撤销域的prefix,如果是,则说明所查找到的域单继承于撤销域,删除所查找到的域的prefix中的撤销域的ID、以及多余的继承层次分割符,然后将所查找到的域从域集中去掉,再继续查找域集中下一个域的prefix,直至查找完域集中的所有域;如果否,则继续查找下一个域的prefix,直至查找完域集中的所有域;
步骤C3、从撤销域的prefix中提取其父域的ID,并从域集中提取出一个域的prefix;
步骤C4、判断所提取域的prefix中是否包含有撤销域的ID?如果是,则将所提取域的prefix中的撤销域的ID替换为其父域的ID,当撤销域的父域存在有多个时,则使用多继承间隔符将多个父域的ID进行间隔,然后将所提取域的prefix中撤销域的ID替换为间隔后的多个父域的ID,再继续下一步;如果否,则继续下一步;
步骤C5、判断是否已提取完域集中的所有域?如果是,则本流程结束;如果否,则继续从域集中提取下一个域的prefix,然后转向步骤C4。
例如,撤销域F,首先获取域F的ID为6、prefix为:/0/2,3/6/。域F的子域分为两种情况:一种是单继承于域F的,即prefix开头为/0/2,3/6/的域,为/0/2,3/6/7/和/0/2,3/6/8/,对应域G和H;另一种是多继承于域F的,即prefix中包含/*,6/、/6,*/或/*,6,*/(*为任意符合prefix要求的字符)的域,为/0/1,2,3/4,11,6/9,12,8/13/和/0/1,2,3/4,11,6/9,12,8,6/13,6/14/,对应域M和N:
1、全部撤销时,对于单继承于域F的域G和H直接撤销,撤销域子孙集中的ID包括7和8;对于多继承于域F的域M和N,删除域M和N中所有属于域F的终端,并且处理域M和N的prefix,删除6、7和8,更改后:域M的prefix:/0/1,2,3/4,11/9,12/13/,域N的prefix:/0/1,2,3/4,11/9,12/13/14/。
2、局部撤销时,对于单继承于域F的域G和H,直接更改其prefix,使其直接继承于域F的父域,更改后:域G的prefix:/0/2,3/7/,域H的prefix:/0/2,3/8/;对于多继承于域F的域M和N,用F的父域(即2,3)代替F的ID(即6),更改后:域M的prefix:/0/1,2,3/4,11,2,3/9,12,8/13/,域N的prefix:/0/1,2,3/4,11,2,3/9,12,8,2,3/13,2,3/14/。
将本发明与RBAC基本模型在家庭业务中的仿真试验效果对比来看,当系统中每个域包含的终端个数越多,则本发明的改进效果越明显;在系统中域的层次关系越复杂,即子域个数越多,继承深度越大的情况下,采用本发明在查询效率上的提高也越明显。因此,在操作对象也存在复杂的层次关系时,本发明能有效地解决其技术问题,并达到较好的技术效果。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (9)
1.一种基于RBAC模型的家庭业务访问控制方法,其特征在于,包括有:
步骤一、创建若干个域,其中包含有一个超级域,所述超级域由家庭业务的所有终端组成,多个域之间存在有继承关系,超级域是其它所有域的祖先域,其他每个域都拥有1个或多个父域,并从父域的组成终端中选取多个终端再组成子域;
步骤二、设置多个用户角色,然后将每个用户角色分别和已创建的一个域、和若干个操作进行关联,即每个用户角色拥有对所关联的域的所有终端进行相应操作的权限,
步骤一进一步包括有:
为每个域分配一个唯一的标识符ID,并根据域的所有祖先域及其对应的继承层次、和自身ID来为每个域构建一个继承层次分支符prefix,所述prefix用于按照继承层次从高到低的次序,从超级域开始,顺序记录每个域的所有祖先域和自身的ID,
根据域的所有祖先域及其对应的继承层次、和自身ID来为每个域构建一个继承层次分支符prefix,进一步包括有:
先对祖先域和自身的ID按照从高到低的继承层次进行排列,即超级域的ID排在最前,而自身的ID排在最后,然后按照排列的先后次序,将祖先域的ID、和自身的ID逐一写入到域的prefix中,其中使用继承层次分割符将处于不同继承层次的祖先域、或自身的ID进行间隔,当其中多个祖先域处于同一继承层次时,使用多继承间隔符将处于同一继承层次的多个祖先域进行间隔。
2.根据权利要求1所述的方法,其特征在于,同时还设置一个域的层级深度限制值max-depth,每个域的层级深度限制值max-depth根据家庭业务需要、和其父域的层级深度限制值max-depth而设置,其值是一个整数,当max-depth是一个负整数时,则表示该域不限制层级深度,即该域下的子域的max-depth的取值不受父域限制;当max-depth是0时,则表示该域下无法再创建子域;当max-depth是一个大于0的整数时,则该域下的子域的max-depth须小于父域的max-depth。
3.根据权利要求1所述的方法,其特征在于,以当前的一个或多个域为父域而新建一个子域时,还包括有:
步骤A1、为新建子域设置一个新的ID,并构建一个prefix,所述prefix的初始值为空;
步骤A2、判断新建子域与其所要继承的父域是否是单继承关系,如果是,则提取新建子域所要继承的父域的prefix,并保存到新建子域的prefix中,然后在新建子域的prefix的结尾处增加所述新建子域的ID,并使用继承层次分割符将父域和子域的ID进行间隔,本流程结束。
4.根据权利要求3所述的方法,其特征在于,步骤A2中,当新建子域与其所要继承的父域不是单继承关系时,还包括有:
步骤A3、提取新建子域所要继承的所有父域的prefix,并判断所有父域的prefix中的继承层次分割符的总数是否相同,如果是,则继续步骤A4;
步骤A4、从所有父域的prefix中分别读取出处于最高继承层次的域的ID;
步骤A5、将读取出的、且互不重复的域的ID写入新建子域的prefix中,并使用多继承分割符将上述处于同一继承层次的域的ID进行间隔,同时使用继承层次分割符将其和其他继承层次的域进行间隔;
步骤A6、判断是否已读取完所有父域的prefix中的域的ID,如果是,则在新建子域的prefix的结尾处添加新建子域的ID,并使用继承层次分割符将其和其他继承层次的域进行间隔,同时从所有父域的终端中选取多个终端来组成新建子域,本流程结束;如果否,则继续从所有父域的prefix中分别读取出处于下一继承层次的域的ID,然后转向步骤A5。
5.根据权利要求4所述的方法,其特征在于,步骤A3中,当所有父域的prefix中的继承层次分割符的总数不相同时,还包括有:
从所有父域的prefix中的继承层次分割符的总数中挑选出一个最大值,然后在其他非最大值所对应的父域的prefix的结尾处分别添加多个该父域自身的ID,并使用继承层次分割符将prefix中的多个父域的ID进行间隔,从而使得所有父域的prefix中的继承层次分割符的总数都到达最大值,最后转向步骤A4。
6.根据权利要求3所述的方法,其特征在于,当撤销一个域时,还包括有:
步骤B1、为撤销域构建一个多继承子孙集,所述多继承子孙集初始化为空;
步骤B2、逐一查找现有的所有域的prefix,并判断每个域的prefix中是否包含有撤销域的prefix,如果是,则将查找到的域进行撤销,并将其ID添加到撤销域子孙集中,并继续查找下一个域的prefix,直至查找完现有的所有域;如果否,则继续查找下一个域的prefix,直至查找完现有的所有域。
7.根据权利要求6所述的方法,其特征在于,步骤B2之后,还包括有:
步骤B3、从所有未撤销的域中提取出一个域的prefix;
步骤B4、判断所提取域的prefix中是否包含有撤销域的ID,如果是,则进一步查找所提取域的prefix中是否还包含有撤销域的多继承子孙集中的域的ID,删除所提取域的prefix中所包含的撤销域和查找到的多继承子孙集中的域的ID、以及多余的多继承间隔符,同时判断所提取域的每个终端是否属于撤销域,当所提取域的终端属于撤销域时,则将所述终端从所提取域的终端中删除,然后继续下一步;如果否,则继续下一步;
步骤B5、判断是否已提取完所有未撤销的域,如果是,则本流程结束;如果否,则继续从所有未撤销的域中提取下一个域的prefix,然后转向步骤B4。
8.根据权利要求3所述的方法,其特征在于,当撤销一个域时,还包括有:
步骤C1、构建一个域集,所述域集由除了撤销域之外的所有域构成;
步骤C2、逐一查找域集中每个域的prefix,并判断每个域的prefix中是否包含有撤销域的prefix,如果是,则说明所查找到的域单继承于撤销域,删除所查找到的域的prefix中的撤销域的ID、以及多余的继承层次分割符,然后将所查找到的域从域集中去掉,再继续查找域集中下一个域的prefix,直至查找完域集中的所有域;如果否,则继续查找下一个域的prefix,直至查找完域集中的所有域。
9.根据权利要求8所述的方法,其特征在于,步骤C2之后,还包括有:
步骤C3、从撤销域的prefix中提取其父域的ID,并从域集中提取出一个域的prefix;
步骤C4、判断所提取域的prefix中是否包含有撤销域的ID,如果是,则将所提取域的prefix中的撤销域的ID替换为其父域的ID,当撤销域的父域存在有多个时,则使用多继承间隔符将多个父域的ID进行间隔,然后将所提取域的prefix中撤销域的ID替换为间隔后的多个父域的ID,再继续下一步;如果否,则继续下一步;
步骤C5、判断是否已提取完域集中的所有域,如果是,则本流程结束;如果否,则继续从域集中提取下一个域的prefix,然后转向步骤C4。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510319497.8A CN104917767B (zh) | 2015-06-11 | 2015-06-11 | 基于rbac模型的家庭业务访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510319497.8A CN104917767B (zh) | 2015-06-11 | 2015-06-11 | 基于rbac模型的家庭业务访问控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104917767A CN104917767A (zh) | 2015-09-16 |
| CN104917767B true CN104917767B (zh) | 2017-11-28 |
Family
ID=54086473
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510319497.8A Active CN104917767B (zh) | 2015-06-11 | 2015-06-11 | 基于rbac模型的家庭业务访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104917767B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190356658A1 (en) * | 2018-05-17 | 2019-11-21 | Disney Enterprises Inc. | Mediation of entitlement transfers among affiliated domains |
| CN109087053B (zh) * | 2018-06-01 | 2023-05-09 | 平安科技(深圳)有限公司 | 基于关联拓扑图的协同办公处理方法、装置、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101645126A (zh) * | 2009-09-07 | 2010-02-10 | 浪潮集团山东通用软件有限公司 | 一种基于rbac模型扩展的面向业务的授权访问控制方法 |
| CN102104599A (zh) * | 2010-12-29 | 2011-06-22 | 北京理工大学 | 一种基于信任机制的dRBAC模型的改进方法 |
| CN102857488A (zh) * | 2012-05-10 | 2013-01-02 | 中国人民解放军理工大学 | 网络访问控制模型及其方法和终端 |
| CN102957697A (zh) * | 2012-10-26 | 2013-03-06 | 上海交通大学 | 一种多域间基于rbac模型的访问控制策略合成方法 |
-
2015
- 2015-06-11 CN CN201510319497.8A patent/CN104917767B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101645126A (zh) * | 2009-09-07 | 2010-02-10 | 浪潮集团山东通用软件有限公司 | 一种基于rbac模型扩展的面向业务的授权访问控制方法 |
| CN102104599A (zh) * | 2010-12-29 | 2011-06-22 | 北京理工大学 | 一种基于信任机制的dRBAC模型的改进方法 |
| CN102857488A (zh) * | 2012-05-10 | 2013-01-02 | 中国人民解放军理工大学 | 网络访问控制模型及其方法和终端 |
| CN102957697A (zh) * | 2012-10-26 | 2013-03-06 | 上海交通大学 | 一种多域间基于rbac模型的访问控制策略合成方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于云平台的分权分域系统分析与设计;方正宁;《互联网天地》;20141231;正文第2.1.2节-第4.2节,图4 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104917767A (zh) | 2015-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105488431B (zh) | 区块链系统权限管理方法和装置 | |
| CN108322432B (zh) | 一种基于树形组织模型的机构应用权限管理方法及服务系统 | |
| CN101730099B (zh) | 基于权限控制的终端管理方法及装置 | |
| US7913161B2 (en) | Computer-implemented methods and systems for electronic document inheritance | |
| CN109948350A (zh) | 一种层级组织结构账号权限分配方法及其系统与存储介质 | |
| CN108092806A (zh) | 一种基于多云平台的多角色管理方法 | |
| CN106126977B (zh) | 一种高效的电子文档权限继承及传播方法 | |
| CN107506655A (zh) | 数据权限分配与访问控制的方法 | |
| CN111079127A (zh) | 一种信息系统的用户分级授权管理方法和装置 | |
| CN107786355A (zh) | 一种智慧城市信息共享的方法和装置 | |
| CN104917767B (zh) | 基于rbac模型的家庭业务访问控制方法 | |
| CN103500298A (zh) | 一种基于角色管理的权限分配的实现方法 | |
| CN106339450A (zh) | 一种树形数据的索引方法 | |
| CN112230832B (zh) | 一种跨组织用户的分级管理系统 | |
| CN104915412B (zh) | 一种动态管理数据库连接的方法及系统 | |
| CN102999329B (zh) | 基于可扩展标记语言映射配置的活动目录接口开发方法 | |
| CN102298560A (zh) | 设备管理装置、设备管理方法和设备管理系统 | |
| CN108009422A (zh) | 一种基于多层级用户分组管理的多域划分方法及系统 | |
| CN111611220A (zh) | 一种基于层级式节点的文件共享方法及系统 | |
| CN106940765A (zh) | 一种访问权限动态控制方法 | |
| CN101576981A (zh) | 场景式服务系统 | |
| CN103281175B (zh) | 一种lkh密钥管理树动态平衡方法 | |
| CN112860653A (zh) | 一种政务信息资源目录管理方法和系统 | |
| CN115686497A (zh) | 业务开发数据管理方法、开发引擎、电子设备和存储介质 | |
| CN108173688A (zh) | 一种基于树和版本号的组网配置内容的管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310013, Zhejiang, Xihu District, Wensanlu Road, No. 398, 4 floor, Hangzhou Applicant after: EB Information Technology Ltd. Address before: 100191 Beijing, Zhichun Road, No. 9, hearing the building on the floor of the 7 floor, Applicant before: EB Information Technology Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 310013 4th floor, No.398 Wensan Road, Xihu District, Hangzhou City, Zhejiang Province Patentee after: Xinxun Digital Technology (Hangzhou) Co.,Ltd. Address before: 310013 4th floor, No.398 Wensan Road, Xihu District, Hangzhou City, Zhejiang Province Patentee before: EB Information Technology Ltd. |