CN105827663A - 访问控制方法和系统 - Google Patents
访问控制方法和系统 Download PDFInfo
- Publication number
- CN105827663A CN105827663A CN201610390518.XA CN201610390518A CN105827663A CN 105827663 A CN105827663 A CN 105827663A CN 201610390518 A CN201610390518 A CN 201610390518A CN 105827663 A CN105827663 A CN 105827663A
- Authority
- CN
- China
- Prior art keywords
- role
- security domain
- destination object
- authority
- mapping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种访问控制方法和系统,所述访问控制方法包括:请求访问目标对象;判断请求对象与所述目标对象是否处于同一安全域;若所述请求对象与所述目标对象处于同一安全域,根据预设的第一映射模型将所述请求对象映射至所述目标对象的第一权限;根据所述第一权限访问所述目标对象;若所述请求对象与所述目标对象处于不同安全域,根据预设的第二映射模型将所述请求对象映射至所述目标对象的第二权限;根据所述第二权限访问所述目标对象。本发明提供的技术方案基于角色映射控制对象的跨域访问权限,在独立自治的安全域之间通过角色映射建立起合同性质的访问授权关系,既提高了访问控制的安全性和公平性,又提高了访问控制的灵活性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种访问控制方法和系统。
背景技术
Java智能卡作为一种广泛应用的智能卡,满足了用户对于一卡多用的需要,节省了发行方的市场部署时间,延长了智能卡的使用周期。目前,Java智能卡已经成为移动终端最主要的SIM卡品种。当多个应用存在于同一Java智能卡之中时,Java智能卡需要提供一种面向对象的访问机制,一方面保证了卡内不同应用提供方开发的应用相互隔离互不干扰,另一方面也为多个合作方的应用在卡内进行数据交换提供技术支持。
现有技术采用应用防火墙机制实现应用的隔离和共享。然而,这种应用防火墙机制存在如下漏洞:首先,请求对象认为目标对象是绝对信任的,只要目标对象同意,请求对象可以毫无戒备地访问目标对象提供的服务。在这种情况上,请求对象可能遭受到目标对象的恶意服务,存在数据泄漏或者遭到攻击等安全隐患。其次,现有技术使用的分级对象共享机制使得卡内应用信息只可以从等级低的对象流向等级高的对象。由于卡内应用的业务类型往往存在较大差异,现有技术将所有对象按照同样的参考体系进行访问权限的分级,使得访问控制缺乏合理性和公平性。
发明内容
为解决上述问题,本发明提供一种访问控制方法和系统,至少部分解决现有的访问控制存在安全漏洞,以及缺乏合理性和公平性的问题。
为此,本发明提供一种访问控制方法,包括:
请求访问目标对象;
判断请求对象与所述目标对象是否处于同一安全域;
若所述请求对象与所述目标对象处于同一安全域,根据预设的第一映射模型将所述请求对象映射至所述目标对象的第一权限;
根据所述第一权限访问所述目标对象;
若所述请求对象与所述目标对象处于不同安全域,根据预设的第二映射模型将所述请求对象映射至所述目标对象的第二权限;
根据所述第二权限访问所述目标对象。
可选的,所述安全域包括至少一个对象,所述对象具有至少一个角色,所述角色具有对应的权限。
可选的,所述若所述请求对象与所述目标对象处于同一安全域,根据预设的第一映射模型将所述请求对象映射至所述目标对象的第一权限的步骤包括:
将所述请求对象的角色映射至所述目标对象的角色;
获取所述目标对象的角色对应的第一权限。
可选的,所述若所述请求对象与所述目标对象处于不同安全域,根据预设的第二映射模型将所述请求对象映射至所述目标对象的第二权限的步骤包括:
将所述请求对象的角色映射至所述目标对象的角色;
获取所述目标对象的角色对应的第二权限;
将所述第二权限发送至所述请求对象。
可选的,所述将所述请求对象的角色映射至所述目标对象的角色的步骤包括:
将第一安全域内的第一角色转换为第二安全域内的第二角色,所述请求对象属于所述第一安全域,所述目标对象属于所述第二安全域,所述第一角色为所述请求对象在所述第一安全域内的角色,所述第二角色为所述目标对象在所述第二安全域内的角色。
本发明还提供一种访问控制系统,包括:
第一请求单元,用于请求访问目标对象;
第一判断单元,用于判断请求对象与所述目标对象是否处于同一安全域;
第一映射单元,用于若所述请求对象与所述目标对象处于同一安全域,根据预设的第一映射模型将所述请求对象映射至所述目标对象的第一权限;
第一访问单元,用于根据所述第一权限访问所述目标对象;
第二映射单元,用于若所述请求对象与所述目标对象处于不同安全域,根据预设的第二映射模型将所述请求对象映射至所述目标对象的第二权限;
第二访问单元,用于根据所述第二权限访问所述目标对象。
可选的,所述安全域包括至少一个对象,所述对象具有至少一个角色,所述角色具有对应的权限。
可选的,所述第一映射单元包括:
第一映射模块,用于将所述请求对象的角色映射至所述目标对象的角色;
第一获取模块,用于获取所述目标对象的角色对应的第一权限。
可选的,所述第二映射单元包括:
第二映射模块,用于将所述请求对象的角色映射至所述目标对象的角色;
第二获取模块,用于获取所述目标对象的角色对应的第二权限;
第一发送模块,用于将所述第二权限发送至所述请求对象。
可选的,所述第二映射模块包括:
第一转换子模块,用于将第一安全域内的第一角色转换为第二安全域内的第二角色,所述请求对象属于所述第一安全域,所述目标对象属于所述第二安全域,所述第一角色为所述请求对象在所述第一安全域内的角色,所述第二角色为所述目标对象在所述第二安全域内的角色。
本发明具有下述有益效果:
本发明提供的访问控制方法和系统之中,所述访问控制方法包括:请求访问目标对象;判断请求对象与所述目标对象是否处于同一安全域;若所述请求对象与所述目标对象处于同一安全域,根据预设的第一映射模型将所述请求对象映射至所述目标对象的第一权限;根据所述第一权限访问所述目标对象;若所述请求对象与所述目标对象处于不同安全域,根据预设的第二映射模型将所述请求对象映射至所述目标对象的第二权限;根据所述第二权限访问所述目标对象。本发明提供的技术方案基于角色映射控制对象的跨域访问权限,在独立自治的安全域之间通过角色映射建立起合同性质的访问授权关系,从而实现了相互联通以及相互操作。而且,通过第三方权威机构负责存储跨域对象之间的映射关系,从而保证了访问控制的公平性和安全性。本发明提供的技术方案以角色作为载体,每个对象对应一个域内角色,不同的角色匹配不同的权限。各个安全域自行对角色进行设置和管理,跨域访问时通过角色映射进行不同域内角色和权限的匹配。这样既能够保证各个安全域对域内对象的独立控制权,又能够在保证域内自治性的基础上解决跨域授权的问题,从而提高了资源共享的灵活性。因此,本发明提供的技术方案既提高了访问控制的安全性和公平性,又提高了访问控制的灵活性。
附图说明
图1为本发明实施例一提供的一种访问控制方法的流程图;
图2为图1所示访问控制方法的具体流程图;
图3为图1所示访问控制方法的映射流程图;
图4为本发明实施例二提供的一种访问控制系统的结构示意图。
具体实施方式
为使本领域的技术人员更好地理解本发明的技术方案,下面结合附图对本发明提供的访问控制方法和系统进行详细描述。
实施例一
图1为本发明实施例一提供的一种访问控制方法的流程图。如图1所示,所述访问控制方法包括:
步骤1001、请求访问目标对象。
步骤1002、判断请求对象与所述目标对象是否处于同一安全域。
步骤1003、若所述请求对象与所述目标对象处于同一安全域,根据预设的第一映射模型将所述请求对象映射至所述目标对象的第一权限。
步骤1004、根据所述第一权限访问所述目标对象。
本实施例中,所述安全域包括至少一个对象,所述对象具有至少一个角色,所述角色具有对应的权限。所述若所述请求对象与所述目标对象处于同一安全域,根据预设的第一映射模型将所述请求对象映射至所述目标对象的第一权限的步骤包括:将所述请求对象的角色映射至所述目标对象的角色;获取所述目标对象的角色对应的第一权限。
在实际应用中,应用防火墙机制将Java智能卡内的对象划分为以应用上下文为标签的多个集合。同一集合内的对象之间的访问是合法的,不同集合之间的对象访问是有条件的。这种跨集合的对象访问规则就是共享接口对象访问机制。请求对象首先将共享接口服务请求通过JAVA卡运行环境(JavaCardRuntimeEnvironment,简称JCRE)发送至目标对象,由目标对象验证是否开放共享接口服务。如果验证成功,请求对象可以调用共享接口提供的服务。
根据上述应用防火墙原理,Java智能卡的存储区域分成不同的安全域,不同安全域对应不同类型的对象集合,彼此之间通过防火墙进行隔离。每个安全域内设置一个代理(Agent),所述代理对域内所有对象进行角色管理、角色对应的权限管理以及对象之间的访问控制。本实施例中,同一安全域的对象之间的相互访问由对应的代理根据对象所属的角色权限进行控制。不同安全域之间对象的相互访问则需要JCRE进行角色映射,再根据映射后的角色权限跨域调用共享接口提供的服务。本实施例提供的技术方案基于角色映射控制对象的跨域访问权限,在独立自治的安全域之间通过角色映射建立起合同性质的访问授权关系,从而实现了相互联通以及相互操作。而且,通过第三方权威机构负责存储跨域对象之间的映射关系,从而保证了访问控制的公平性和安全性。
本实施例以对象编号(ObjectID,OID)作为JAVA智能卡上每个应用对象的唯一身份标识。图2为图1所示访问控制方法的具体流程图。如图2所示,整个卡对象的访问过程包括两部分,虚线所示为用户与卡应用的服务请求建立过程:用户向卡应用发起服务请求,请求信息包括请求服务的应用OID以及用户信息。根据用户信息对用户身份进行验证,具体验证方式包括密码认证、PIN码认证以及生物识别认证之中的至少一种。身份验证成功后,建立用户与访问请求对象之间的服务通道,根据用户身份提供相应服务。
参见图2,实线部分表示对象之间的相互访问流程,假设请求Objecti请求调用目标Objectj的共享接口服务,具体流程为:请求Objecti向AgentI提出访问请求,访问请求信息包括申请者OID、目标OID和访问请求类型。其中,申请者OID为Objecti对应的OIDi,目标OID为Objectj对应的OIDj。访问请求类型设置为1,默认为共享接口访问。
AgentI获取请求Objecti的服务请求后,访问控制模块首先根据OIDj寻址到目标Objectj的存储位置。如果请求Objecti和目标Objectj在同一安全域内则根据两者在域内的角色,按权限共享两者的访问空间,Objecti可以通过访问通道获取目标Objectj的部分服务和数据。
步骤1005、若所述请求对象与所述目标对象处于不同安全域,根据预设的第二映射模型将所述请求对象映射至所述目标对象的第二权限。
步骤1006、根据所述第二权限访问所述目标对象。
本实施例中,所述若所述请求对象与所述目标对象处于不同安全域,根据预设的第二映射模型将所述请求对象映射至所述目标对象的第二权限的步骤包括:将所述请求对象的角色映射至所述目标对象的角色;获取所述目标对象的角色对应的第二权限;将所述第二权限发送至所述请求对象。
参见图2,若所述请求对象与所述目标对象不在同一安全域内,首先识别出此次访问请求对应的角色映射类型,然后根据映射需求将访问请求以及Objecti对应的角色ri转发至JCRE。JCRE根据此次访问请求信息,按照请求Objecti和目标Objectj的映射关系,将请求Objecti在安全域I内的角色ri转换为目标Objectj所属的安全域J内的角色rj,并将访问请求连同映射后的角色rj下发AgentJ。AgentJ根据角色rj以及目标Objectj对应角色的权限下发至Objectj。建立请求Objectj和目标Objectj的访问通道,按照角色权限共享两者的访问空间。本实施例提供的技术方案以角色作为载体,每个对象对应一个域内角色,不同的角色匹配不同的权限。各个安全域自行对角色进行设置和管理,跨域访问时通过角色映射进行不同域内角色和权限的匹配。这样既能够保证各个安全域对域内对象的独立控制权,又能够在保证域内自治性的基础上解决跨域授权的问题,从而提高了资源共享的灵活性。因此,本实施例提供的技术方案既提高了访问控制的安全性和公平性,又提高了访问控制的灵活性。
本实施例中,所述将所述请求对象的角色映射至所述目标对象的角色的步骤包括:将第一安全域内的第一角色转换为第二安全域内的第二角色,所述请求对象属于所述第一安全域,所述目标对象属于所述第二安全域,所述第一角色为所述请求对象在所述第一安全域内的角色,所述第二角色为所述目标对象在所述第二安全域内的角色。
图3为图1所示访问控制方法的映射流程图。如图3所示,将JAVA智能卡内的安全域集设置为SECS,安全域内的对象集设置为OBJSp,安全域角色集设置为ROLESp,下标p是安全域标识,p∈SECS。安全域内角色对应关系表示为JCRE中的映射中介集为MAPS,引入第三方角色集ROLESf作为跨域角色映射的中介角色,下标f是映射中介标识,f∈MAPS。
参见图3,本实施例根据对象访问过程中是否引入第三方角色集作为中介以及是否直接进行角色指派,将角色映射分为以下四类:安全域角色与中介角色映射、安全域角色间映射、指派型跨域对象间角色映射以及指派型对象与中介角色映射。下面分别对这四种映射进行说明:
安全域角色与中介角色映射时,若有安全域I内角色ri∈ROLESI,中介角色rj∈ROLESf,则用(ri,rj)∈RRSMI,f表示将安全域I角色ri映射为中介角色rj,其中是映射关系集。类似有(ri,rj)∈RRSMf,J,表示将中介角色ri映射为平台安全域J角色rj。
安全域角色之间映射时,若有安全域I内角色ri∈ROLESI,安全域J内角色rj∈ROLESJ,则用(ri,rj)∈RRSSI,J表示将安全域I的角色ri映射为安全域J内角色rj,其中是映射关系集。
跨域对象间角色映射时。若有安全域I内对象oi∈OBJSI,安全域J内角色rj∈ROLESJ,则用(oi,rj)∈ORSSI,J表示安全域I的用户oi被指派了安全域J内rj角色,其中是跨域对象角色映射关系集。
对象与中介角色映射时,若有安全域I内对象oi∈OBJSI,中介角色rj∈ROLESf,则用(oi,rj)∈ORSMI,J表示安全域I的用户oi被指派了中介角色rj,其中是对象与中介角色映射的映射关系集。
为了兼顾访问控制的公平性和安全性,同时保证卡内调用的响应速度,根据访问范围、映射关系、映射关系的存储点以及映射行为的发生位置,本实施例设置了三种映射模型:多边映射模型、双边映射模型以及单点映射模型。下面分别对这三种映射模型进行说明:
在多边映射模型之中,本实施例利用JCRE作中介,通过引入第三方角色集来达到跨域访问控制的目的。建立每个安全域自身角色集到第三方角色集的映射,映射关系保存在位于JCRE上映射中介的策略库内。当跨域访问请求发生时,策略库中的角色转换函数根据请求的流向进行角色映射。以安全域I内的对象oi跨域访问安全域J的对象为例,安全域I首先对oi认证和授权后传递给JCRE的角色ri表示为:
rolesI(oi)={ri∈ROLESf|oi∈OBJSI}
位于JCRE上的角色映射模块首先根据请求安全域I的属性匹配出与之对应的映射中介,调用对应的角色转换函数将角色ri映射成中介角色:
g_rolesf(oi)={rf∈ROLESf|(ri,rf)∈RRSMI,f,ri∈rolesI(oi)}
其中,g_rolesf(oi)为安全域I与映射中介间的角色转换函数。接下来角色映射模块根据目标安全域J的属性匹配出与之对应的映射中介,调用对应的角色转换函数将中介角色rf再次转换成安全域J可以识别的角色:
rolesJ(oi)={rj∈ROLESJ|(rf,rj)∈RRSMf,J,(ri,rf)∈RRSMI,f,ri∈rolesI(oi)}安全域J的访问控制系统根据转化后的角色最终决定对象oi的访问权限。
本实施例提供的多边映射模型采用了间接映射的方式将I域的角色ri转换为J域的角色rj。JCRE保留了(ri,rf)∈RRSMI,f以及(rf,rj)∈RRSMf,J的映射关系,但是两个角色间的直接映射关系(ri,rj)∈RRMMI,J并未出现在映射信息库中。这样,一方面可以保护各安全域的角色信息,确保访问控制的公平性。另一方面可以保证角色映射的灵活性,各个安全域可以根据自身情况随时更改相应的映射信息。
在双边映射模型之中,参与访问交互的两个安全域之间通过协商就特定的角色映射关系达成一致,直接在映射关系中添加(ri,rj)∈RRMMI,J。当安全域I拥有角色ri的对象oi跨域访问安全域J的服务时,直接由域J匹配的映射中介将其转换为可识别角色rj,即:
rolesJ(oi)={(ri,rj)∈RRMMI,J,ri∈rolesI(oi)}
在单点映射模型之中,本实施例直接指定对象和角色之间的对应关系,包括以下两种情况:a)安全域给自身所辖对象直接指派中介角色;b)给安全域的对象指派本安全域内角色。下面对上述两种情况进行说明:
本实施例中,安全域I给自身所辖对象oi直接指派中介角色rf,即直接添加对象中介角色映射关系(oi,rf)∈ORSMI,f,该信息存储于请求安全域对应的映射中介中,当跨域访问请求发生时,oi直接获得中介角色:
g_rolesf(oi)={rf∈ROLESf|(oi,rf)∈ORSMI,f,ri∈rolesI(oi)}
本实施例中:目标安全域通过跨域对象角色映射(指派),可以直接授予跨域请求对象相应权限。当安全域J指派角色rj给安全域I的对象oi时,添加映射关系(oi,rj)∈ORSSI,J,该映射关系存储在位于目标安全域J对应的映射中介中。当对象oi访问安全域J时,将通过身份转换获得对应的角色:
rolesJ(oi)={rj∈ROLESJ|(oi,rj)∈ORSSI,J,ri∈rolesI(oi)}
本实施例提供的技术方案以角色作为载体,每个对象对应一个域内角色,不同的角色匹配不同的权限。各个安全域自行对角色进行设置和管理,跨域访问时通过角色映射进行不同域内角色和权限的匹配。这样既能够保证各个安全域对域内对象的独立控制权,又能够在保证域内自治性的基础上解决跨域授权的问题,从而提高了资源共享的灵活性。因此,本实施例提供的技术方案既提高了访问控制的安全性和公平性,又提高了访问控制的灵活性。
本实施例以安全域I内的对象oi请求跨域访问安全域J的对象为例,从请求对象oi到目标角色rj整个映射流程。首先,由AgentI的访问控制模块识别请求对象oi到目标角色rj是否存在指派关系。如果存在指派型跨域对象间角色映射,即(oi,rj)∈ORSSI,J,则参考跨域角色指派模型,由目标安全域J所属的映射代理直接计算出目标角色rj。如果存在指派型对象与中介角色映射,即存在(oi,rf)∈ORSMI,f,则先由请求安全域所属的映射代理参考中介角色指派模型计算出中介角色rf,再由目标安全域J所属的映射代理根据rf与J域角色之间的映射关系(rf,rj)∈RRMSf,J计算出目标角色rj。如果请求对象oi到目标角色rj之间不存在指派关系,AgentI识别出oi在I域角色ri。判断是否存在两个安全域角色之间的映射关系,即(ri,rj)∈RRMMI,J。如果存在(ri,rj)∈RRMMI,J映射,则参考双边映射模型,由目标安全域J所属的映射代理根据映射关系直接计算出目标角色rj。如果不存在(ri,rj)∈RRMMI,J映射,则参考多边映射模型,先由域I所属的映射代理根据映射(ri,rf)∈RRSMI,f转换成中介角色,再由域J所属的映射代理根据映射(rf,rj)∈RRSMf,J计算出目标角色rj。
本实施例提供的访问控制方法包括:请求访问目标对象;判断请求对象与所述目标对象是否处于同一安全域;若所述请求对象与所述目标对象处于同一安全域,根据预设的第一映射模型将所述请求对象映射至所述目标对象的第一权限;根据所述第一权限访问所述目标对象;若所述请求对象与所述目标对象处于不同安全域,根据预设的第二映射模型将所述请求对象映射至所述目标对象的第二权限;根据所述第二权限访问所述目标对象。本实施例提供的技术方案基于角色映射控制对象的跨域访问权限,在独立自治的安全域之间通过角色映射建立起合同性质的访问授权关系,从而实现了相互联通以及相互操作。而且,通过第三方权威机构负责存储跨域对象之间的映射关系,从而保证了访问控制的公平性和安全性。本实施例提供的技术方案以角色作为载体,每个对象对应一个域内角色,不同的角色匹配不同的权限。各个安全域自行对角色进行设置和管理,跨域访问时通过角色映射进行不同域内角色和权限的匹配。这样既能够保证各个安全域对域内对象的独立控制权,又能够在保证域内自治性的基础上解决跨域授权的问题,从而提高了资源共享的灵活性。因此,本实施例提供的技术方案既提高了访问控制的安全性和公平性,又提高了访问控制的灵活性。
实施例二
图4为本发明实施例二提供的一种访问控制系统的结构示意图。如图4所示,所述访问控制系统包括第一请求单元101、第一判断单元102、第一映射单元103、第一访问单元104、第二映射单元105以及第二访问单元106。所述第一请求单元101用于请求访问目标对象;第一判断单元102用于判断请求对象与所述目标对象是否处于同一安全域;第一映射单元103用于若所述请求对象与所述目标对象处于同一安全域,根据预设的第一映射模型将所述请求对象映射至所述目标对象的第一权限;第一访问单元104用于根据所述第一权限访问所述目标对象;第二映射单元105用于若所述请求对象与所述目标对象处于不同安全域,根据预设的第二映射模型将所述请求对象映射至所述目标对象的第二权限;第二访问单元106用于根据所述第二权限访问所述目标对象。本实施例提供的技术方案以角色作为载体,每个对象对应一个域内角色,不同的角色匹配不同的权限。各个安全域自行对角色进行设置和管理,跨域访问时通过角色映射进行不同域内角色和权限的匹配。这样既能够保证各个安全域对域内对象的独立控制权,又能够在保证域内自治性的基础上解决跨域授权的问题,从而提高了资源共享的灵活性。
本实施例中,所述安全域包括至少一个对象,所述对象具有至少一个角色,所述角色具有对应的权限。优选的,所述第一映射单元包括第一映射模块和第一获取模块,所述第一映射模块用于将所述请求对象的角色映射至所述目标对象的角色;所述第一获取模块用于获取所述目标对象的角色对应的第一权限。根据应用防火墙原理,Java智能卡的存储区域分成不同的安全域,不同安全域对应不同类型的对象集合,彼此之间通过防火墙进行隔离。每个安全域内设置一个代理(Agent),所述代理对域内所有对象进行角色管理、角色对应的权限管理以及对象之间的访问控制。本实施例中,同一安全域的对象之间的相互访问由对应的代理根据对象所属的角色权限进行控制。不同安全域之间对象的相互访问则需要JCRE进行角色映射,再根据映射后的角色权限跨域调用共享接口提供的服务。本实施例提供的技术方案基于角色映射控制对象的跨域访问权限,在独立自治的安全域之间通过角色映射建立起合同性质的访问授权关系,从而实现了相互联通以及相互操作。而且,通过第三方权威机构负责存储跨域对象之间的映射关系,从而保证了访问控制的公平性和安全性。
本实施例中,所述第二映射单元包括第二映射模块、第二获取模块以及第一发送模块。所述第二映射模块用于将所述请求对象的角色映射至所述目标对象的角色;第二获取模块用于获取所述目标对象的角色对应的第二权限;第一发送模块用于将所述第二权限发送至所述请求对象。优选的,所述第二映射模块包括第一转换子模块,所述第一转换子模块用于将第一安全域内的第一角色转换为第二安全域内的第二角色,所述请求对象属于所述第一安全域,所述目标对象属于所述第二安全域,所述第一角色为所述请求对象在所述第一安全域内的角色,所述第二角色为所述目标对象在所述第二安全域内的角色。
本实施例提供的访问控制系统包括第一请求单元、第一判断单元、第一映射单元、第一访问单元、第二映射单元以及第二访问单元。所述第一请求单元用于请求访问目标对象;第一判断单元用于判断请求对象与所述目标对象是否处于同一安全域;第一映射单元用于若所述请求对象与所述目标对象处于同一安全域,根据预设的第一映射模型将所述请求对象映射至所述目标对象的第一权限;第一访问单元用于根据所述第一权限访问所述目标对象;第二映射单元用于若所述请求对象与所述目标对象处于不同安全域,根据预设的第二映射模型将所述请求对象映射至所述目标对象的第二权限;第二访问单元用于根据所述第二权限访问所述目标对象。本实施例提供的技术方案基于角色映射控制对象的跨域访问权限,在独立自治的安全域之间通过角色映射建立起合同性质的访问授权关系,从而实现了相互联通以及相互操作。而且,通过第三方权威机构负责存储跨域对象之间的映射关系,从而保证了访问控制的公平性和安全性。本实施例提供的技术方案以角色作为载体,每个对象对应一个域内角色,不同的角色匹配不同的权限。各个安全域自行对角色进行设置和管理,跨域访问时通过角色映射进行不同域内角色和权限的匹配。这样既能够保证各个安全域对域内对象的独立控制权,又能够在保证域内自治性的基础上解决跨域授权的问题,从而提高了资源共享的灵活性。因此,本实施例提供的技术方案既提高了访问控制的安全性和公平性,又提高了访问控制的灵活性。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (10)
1.一种访问控制方法,其特征在于,包括:
请求访问目标对象;
判断请求对象与所述目标对象是否处于同一安全域;
若所述请求对象与所述目标对象处于同一安全域,根据预设的第一映射模型将所述请求对象映射至所述目标对象的第一权限;
根据所述第一权限访问所述目标对象;
若所述请求对象与所述目标对象处于不同安全域,根据预设的第二映射模型将所述请求对象映射至所述目标对象的第二权限;
根据所述第二权限访问所述目标对象。
2.根据权利要求1所述的访问控制方法,其特征在于,所述安全域包括至少一个对象,所述对象具有至少一个角色,所述角色具有对应的权限。
3.根据权利要求2所述的访问控制方法,其特征在于,所述若所述请求对象与所述目标对象处于同一安全域,根据预设的第一映射模型将所述请求对象映射至所述目标对象的第一权限的步骤包括:
将所述请求对象的角色映射至所述目标对象的角色;
获取所述目标对象的角色对应的第一权限。
4.根据权利要求2所述的访问控制方法,其特征在于,所述若所述请求对象与所述目标对象处于不同安全域,根据预设的第二映射模型将所述请求对象映射至所述目标对象的第二权限的步骤包括:
将所述请求对象的角色映射至所述目标对象的角色;
获取所述目标对象的角色对应的第二权限;
将所述第二权限发送至所述请求对象。
5.根据权利要求4所述的访问控制方法,其特征在于,所述将所述请求对象的角色映射至所述目标对象的角色的步骤包括:
将第一安全域内的第一角色转换为第二安全域内的第二角色,所述请求对象属于所述第一安全域,所述目标对象属于所述第二安全域,所述第一角色为所述请求对象在所述第一安全域内的角色,所述第二角色为所述目标对象在所述第二安全域内的角色。
6.一种访问控制系统,其特征在于,包括:
第一请求单元,用于请求访问目标对象;
第一判断单元,用于判断请求对象与所述目标对象是否处于同一安全域;
第一映射单元,用于若所述请求对象与所述目标对象处于同一安全域,根据预设的第一映射模型将所述请求对象映射至所述目标对象的第一权限;
第一访问单元,用于根据所述第一权限访问所述目标对象;
第二映射单元,用于若所述请求对象与所述目标对象处于不同安全域,根据预设的第二映射模型将所述请求对象映射至所述目标对象的第二权限;
第二访问单元,用于根据所述第二权限访问所述目标对象。
7.根据权利要求6所述的访问控制系统,其特征在于,所述安全域包括至少一个对象,所述对象具有至少一个角色,所述角色具有对应的权限。
8.根据权利要求7所述的访问控制系统,其特征在于,所述第一映射单元包括:
第一映射模块,用于将所述请求对象的角色映射至所述目标对象的角色;
第一获取模块,用于获取所述目标对象的角色对应的第一权限。
9.根据权利要求7所述的访问控制系统,其特征在于,所述第二映射单元包括:
第二映射模块,用于将所述请求对象的角色映射至所述目标对象的角色;
第二获取模块,用于获取所述目标对象的角色对应的第二权限;
第一发送模块,用于将所述第二权限发送至所述请求对象。
10.根据权利要求9所述的访问控制系统,其特征在于,所述第二映射模块包括:
第一转换子模块,用于将第一安全域内的第一角色转换为第二安全域内的第二角色,所述请求对象属于所述第一安全域,所述目标对象属于所述第二安全域,所述第一角色为所述请求对象在所述第一安全域内的角色,所述第二角色为所述目标对象在所述第二安全域内的角色。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610390518.XA CN105827663A (zh) | 2016-06-02 | 2016-06-02 | 访问控制方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610390518.XA CN105827663A (zh) | 2016-06-02 | 2016-06-02 | 访问控制方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105827663A true CN105827663A (zh) | 2016-08-03 |
Family
ID=56531969
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610390518.XA Pending CN105827663A (zh) | 2016-06-02 | 2016-06-02 | 访问控制方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105827663A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106533693A (zh) * | 2016-11-03 | 2017-03-22 | 中车青岛四方机车车辆股份有限公司 | 轨道车辆监控检修系统的接入方法和装置 |
CN107391568A (zh) * | 2017-06-16 | 2017-11-24 | 福建省华渔教育科技有限公司 | 突破跨域请求限制的方法及其系统 |
CN108595479A (zh) * | 2018-03-13 | 2018-09-28 | 泰安协同软件有限公司 | 基于统一Web出入口的Web请求处理方法 |
EP3435269A1 (fr) * | 2017-07-27 | 2019-01-30 | Idemia Identity & Security France | Pare-feu logiciel |
CN109472159A (zh) * | 2018-11-15 | 2019-03-15 | 泰康保险集团股份有限公司 | 访问控制方法、装置、介质及电子设备 |
CN113728600A (zh) * | 2019-09-11 | 2021-11-30 | Oppo广东移动通信有限公司 | 访问控制方法、设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1633085A (zh) * | 2004-12-29 | 2005-06-29 | 北京邮电大学 | 一种基于无等级角色间映射的访问控制方法 |
CN101453475A (zh) * | 2009-01-06 | 2009-06-10 | 中国人民解放军信息工程大学 | 一种授权管理系统及方法 |
CN101764692A (zh) * | 2009-12-31 | 2010-06-30 | 公安部第三研究所 | 一种跨域动态细粒度访问控制方法 |
CN102404232A (zh) * | 2011-12-20 | 2012-04-04 | 上海电机学院 | 多域访问控制系统及方法 |
CN102664888A (zh) * | 2012-04-19 | 2012-09-12 | 中国科学院软件研究所 | 一种基于信任度的访问控制方法及其系统 |
CN105491061A (zh) * | 2015-12-30 | 2016-04-13 | 中电长城网际系统应用有限公司 | 一种访问控制系统及其方法 |
-
2016
- 2016-06-02 CN CN201610390518.XA patent/CN105827663A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1633085A (zh) * | 2004-12-29 | 2005-06-29 | 北京邮电大学 | 一种基于无等级角色间映射的访问控制方法 |
CN100574210C (zh) * | 2004-12-29 | 2009-12-23 | 北京邮电大学 | 一种基于无等级角色间映射的访问控制方法 |
CN101453475A (zh) * | 2009-01-06 | 2009-06-10 | 中国人民解放军信息工程大学 | 一种授权管理系统及方法 |
CN101764692A (zh) * | 2009-12-31 | 2010-06-30 | 公安部第三研究所 | 一种跨域动态细粒度访问控制方法 |
CN102404232A (zh) * | 2011-12-20 | 2012-04-04 | 上海电机学院 | 多域访问控制系统及方法 |
CN102664888A (zh) * | 2012-04-19 | 2012-09-12 | 中国科学院软件研究所 | 一种基于信任度的访问控制方法及其系统 |
CN105491061A (zh) * | 2015-12-30 | 2016-04-13 | 中电长城网际系统应用有限公司 | 一种访问控制系统及其方法 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106533693A (zh) * | 2016-11-03 | 2017-03-22 | 中车青岛四方机车车辆股份有限公司 | 轨道车辆监控检修系统的接入方法和装置 |
CN107391568A (zh) * | 2017-06-16 | 2017-11-24 | 福建省华渔教育科技有限公司 | 突破跨域请求限制的方法及其系统 |
CN107391568B (zh) * | 2017-06-16 | 2020-01-21 | 福建省华渔教育科技有限公司 | 突破跨域请求限制的方法及其系统 |
EP3435269A1 (fr) * | 2017-07-27 | 2019-01-30 | Idemia Identity & Security France | Pare-feu logiciel |
FR3069670A1 (fr) * | 2017-07-27 | 2019-02-01 | Safran Identity and Security | Pare-feu logiciel |
CN108595479A (zh) * | 2018-03-13 | 2018-09-28 | 泰安协同软件有限公司 | 基于统一Web出入口的Web请求处理方法 |
CN108595479B (zh) * | 2018-03-13 | 2021-07-27 | 泰安协同软件有限公司 | 基于统一Web出入口的Web请求处理方法 |
CN109472159A (zh) * | 2018-11-15 | 2019-03-15 | 泰康保险集团股份有限公司 | 访问控制方法、装置、介质及电子设备 |
CN113728600A (zh) * | 2019-09-11 | 2021-11-30 | Oppo广东移动通信有限公司 | 访问控制方法、设备及存储介质 |
CN113728600B (zh) * | 2019-09-11 | 2023-10-24 | Oppo广东移动通信有限公司 | 访问控制方法、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105827663A (zh) | 访问控制方法和系统 | |
CN101582769B (zh) | 用户接入网络的权限设置方法和设备 | |
CN102870104B (zh) | 验证对域名系统记录的更新 | |
CN102195957B (zh) | 一种资源共享方法、装置及系统 | |
KR102472362B1 (ko) | 블록 체인 기반 사물 인터넷 장치 제어 시스템 및 방법 | |
US8539225B2 (en) | Method and device for dynamic deployment of trust bridges in an ad hoc wireless network | |
US9491183B1 (en) | Geographic location-based policy | |
CN101073239B (zh) | 安全信息存储装置与至少一个第三方之间的通信方法和系统、相应实体、装置和第三方 | |
CN101971184B (zh) | 根据标准协议opc ua通信且具有用于认证的单点登录机制的客户端/服务器系统及在这样的系统中实施单点登录的方法 | |
KR101453154B1 (ko) | M2m 통신에서 리소스 접근 권한 설정 방법 | |
CN102823217B (zh) | 证书机构 | |
US9491625B2 (en) | Access point apparatus for configuring multiple security tunnel, and system having the same and method thereof | |
KR100953595B1 (ko) | 홈네트워크 서비스 품질 관리 시스템 | |
CN101309279B (zh) | 终端访问的控制方法、系统和设备 | |
CN103686724A (zh) | 移动应用接入认证授权方法和系统 | |
CN109088890A (zh) | 一种身份认证方法、相关装置及系统 | |
CN106161361A (zh) | 一种跨域资源的访问方法及装置 | |
CN111885031B (zh) | 一种基于会话过程的细粒度访问控制方法及系统 | |
CN105488875A (zh) | 一种门禁验证方法及装置 | |
CN101436936A (zh) | 一种基于dhcp协议的接入认证方法及系统 | |
CN101335647A (zh) | 家庭网络访问方法以及家庭网络管理系统 | |
CN102882994A (zh) | Ip地址分配、获取方法及装置 | |
CN115150830B (zh) | 5g专网接入认证失败时保障终端公网访问的方法和系统 | |
Timpner et al. | Secure smartphone-based registration and key deployment for vehicle-to-cloud communications | |
CN110753063A (zh) | 认证方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160803 |
|
RJ01 | Rejection of invention patent application after publication |