CN106778319A - 一种基于rbac模型改进的访问控制模型 - Google Patents
一种基于rbac模型改进的访问控制模型 Download PDFInfo
- Publication number
- CN106778319A CN106778319A CN201510818687.4A CN201510818687A CN106778319A CN 106778319 A CN106778319 A CN 106778319A CN 201510818687 A CN201510818687 A CN 201510818687A CN 106778319 A CN106778319 A CN 106778319A
- Authority
- CN
- China
- Prior art keywords
- business
- entity
- data
- role
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本发明公开了一种基于RBAC模型改进的访问控制模型,属智能家居系统领域,包括账号U、角色R、会话S、约束C、数据授权实体P、业务数据实体OBS、业务操作实体OPS;所述访问控制模型基于RBAC基本模型,对数据授权实体P部分结合面向业务的特征进行扩展,将模型中的业务操作实体OPS及业务数据实体OBS以业务单元为单位划分,将操作和数据按照业务内聚度归集到业务单元下,使应用系统中不再存在独立的操作和数据,角色R以业务单元为单位进行授权分配,服务调用接口遵循基本的RBAC模型定义的操作接口标准,在角色的授权访问控制部分,采用以业务单元为基本单位的访问控制,本发明比传统的RBAC模型灵活,满足了智能家居远程控制领域单独对用户授予权限的需要。
Description
技术领域
本发明涉及物联网智能家居领域,具体地说,是一种基于RBAC模型改进的访问控制模型;
背景技术
在RBAC(Role-Based Access Control,基于角色的访问控制模型)模型中,业务操作实体OPS和业务数据实体OBS是相互独立的两个元素,操作施加于受控对象从而产生数据授权实体P。RBAC是目前公认的解决统一资源访问控制的有效方法,然而某些情况下需要对某个用户授予特殊的权限时,RBAC就显得有些不够灵活,如果授予用户所拥有的某种角色,则拥有该角色的所有用户都会拥有该权限或被授予角色的用户会拥有该角色的所有权限。如果为了实现这一需求而单独创建一个角色又显得繁琐而不合常理,因此,结合智能家居远程控制领域单独对用户授予权限的需要。
发明内容
本发明提供了一种基于RBAC模型改进的访问控制模型,目的在于克服现有技术的不足;
本发明公开了一种基于RBAC模型改进的访问控制模型,其特征在于,包括账号U、角色R、会话S、约束C、数据授权实体P、业务数据实体OBS、业务操作实体OPS;所述账号U为业务操作主体,在智能家居领域中分为家庭主账号和家庭成员子账号;所述角色R指被授予一定的控制权限许可,派生子角色的许可是父角色许可的子集;所述会话S指账号U和角色R间的多对多指派关系;所述约束C指角色R间的互斥、包含和优先级关系;所述数据授权实体P是访问控制的授权许可;所述业务数据实体OBS为智能家居领域内的房间和可控设备;所述业务操作实体OPS为智能家居领域中开关、遥控、联动操作;
所述访问控制模型的建立分为以下三个环节:
(1)建立模型:
基于RBAC基本模型,对数据授权实体P部分结合面向业务的特征进行扩展,将模型中的业务操作实体OPS及业务数据实体OBS以业务单元为单位划分,将操作 和数据按照业务内聚度归集到业务单元下,使应用系统中不再存在独立的操作和数据;具体内容包括:
业务单元实体作为数据授权实体P的基本单位,包含业务数据结构实体OBS和业务操作实体OPS,其中业务数据结构实体用于描述业务单元下的业务实体数据结构,业务操作实体用于识别业务单元下需要进行授权访问控制的操作;业务操作实体OPS定义可在多个业务单元间复用,因此它与业务单元实体之间是一种聚合关系;业务操作实体OPS和业务数据实体OBS的关联关系是一种多对多关系,表示一个业务操作在执行时受到哪些数据权限的约束;
业务数据实体OBS定义,采用数据模型来描述业务数据结构;业务数据定义映射到关系型数据库中是一组具有主从关系或关联关系的表或视图的集合,因此业务数据是一组数据集,每个数据集是一个二维表结构;
数据授权实体P定义,用于定义数据权限控制的数据范围的划分依据;其中数据范围是指业务单元中的业务数据的取值范围;根据上文所述,业务数据的取值范围的划分,就是对业务数据对应的每一个二维表的行、列两个维度进行划分,数据权限实体用于定义对此数据范围的划分的依据;业务数据实体OBS和数据授权实体P之间是一种多对多关系,表示一个数据权限在作用于业务实体数据时,具体和该业务实体数据的哪个数据域,即字段或字段组合相关;
(2)权限分配
角色R以业务单元为单位进行授权分配;分配时的具体内容包括:
角色R和业务单元实体之间是一种多对多关联关系,表示一个角色可以分配多个业务单元的数据授权实体P,一个业务单元的数据授权实体P可以分配给多个角色,角色和业务单元之间的一个分配关系,产生一个关联的角色的授权分配实体;在一个业务单元的角色授权中,一个角色实体可选择分配一个业务单元实体下的一个或多个业务操作实体OPS,表示该角色在当前业务单元下可执行哪些业务操作;如果该业务操作在业务单元授权定义时定义了数据权限约束,则应根据数据权限的定义为角色分配执行该操作时可访问的数据范围,从而产生角色的数据授权分配实体数据;
(3)访问控制
服务调用接口遵循基本的RBAC模型定义的操作接口标准,在角色的授权访问控制部分,采用以业务单元为基本单位的访问控制;在运行时服务的内部,根据输 入的会话S和业务单元、业务操作等信息,加载业务单元定义,根据分配时设置的角色的授权分配S和C结果进行逻辑运算,向调用返回授权访问控制的结果。
与现有技术相比,本发明的积极效果是:
1.本发明比传统的RBAC模型灵活,满足了智能家居远程控制领域单独对用户授予权限的需要。
附图说明
图1是本发明所述的访问控制模型示意图;
具体实施方式
本发明提供一种基于RBAC模型改进的访问控制模型,为使本发明的目的、技术方案及效果更佳清楚、明确,以下对本发明进一步详细说明;应当理解,此处所描述的具体实施例仅用以解释本发明,并不用与限定本发明;
本发明公开了一种基于RBAC模型改进的访问控制模型,其特征在于,包括账号U、角色R、会话S、约束C、数据授权实体P、业务数据实体OBS、业务操作实体OPS;所述账号U为业务操作主体,在智能家居领域中分为家庭主账号和家庭成员子账号;所述角色R指被授予一定的控制权限许可,派生子角色的许可是父角色许可的子集;所述会话S指账号U和角色R间的多对多指派关系;所述约束C指角色R间的互斥、包含和优先级关系;所述数据授权实体P是访问控制的授权许可;所述业务数据实体OBS为智能家居领域内的房间和可控设备;所述业务操作实体OPS为智能家居领域中开关、遥控、联动操作;
所述访问控制模型的建立分为以下三个环节:
(1)建立模型:
基于RBAC基本模型,对数据授权实体P部分结合面向业务的特征进行扩展,将模型中的业务操作实体OPS及业务数据实体OBS以业务单元为单位划分,将操作和数据按照业务内聚度归集到业务单元下,使应用系统中不再存在独立的操作和数据;具体内容包括:
业务单元实体作为数据授权实体P的基本单位,包含业务数据结构实体OBS和业务操作实体OPS,其中业务数据结构实体用于描述业务单元下的业务实体数据结构,业务操作实体用于识别业务单元下需要进行授权访问控制的操作;业务操作实体OPS定义可在多个业务单元间复用,因此它与业务单元实体之间是一种聚合关系;业 务操作实体OPS和业务数据实体OBS的关联关系是一种多对多关系,表示一个业务操作在执行时受到哪些数据权限的约束;
业务数据实体OBS定义,采用数据模型来描述业务数据结构;业务数据定义映射到关系型数据库中是一组具有主从关系或关联关系的表或视图的集合,因此业务数据是一组数据集,每个数据集是一个二维表结构;
数据授权实体P定义,用于定义数据权限控制的数据范围的划分依据;其中数据范围是指业务单元中的业务数据的取值范围;根据上文所述,业务数据的取值范围的划分,就是对业务数据对应的每一个二维表的行、列两个维度进行划分,数据权限实体用于定义对此数据范围的划分的依据;业务数据实体OBS和数据授权实体P之间是一种多对多关系,表示一个数据权限在作用于业务实体数据时,具体和该业务实体数据的哪个数据域,即字段或字段组合相关;
(2)权限分配
角色R以业务单元为单位进行授权分配;分配时的具体内容包括:
角色R和业务单元实体之间是一种多对多关联关系,表示一个角色可以分配多个业务单元的数据授权实体P,一个业务单元的数据授权实体P可以分配给多个角色,角色和业务单元之间的一个分配关系,产生一个关联的角色的授权分配实体;在一个业务单元的角色授权中,一个角色实体可选择分配一个业务单元实体下的一个或多个业务操作实体OPS,表示该角色在当前业务单元下可执行哪些业务操作;如果该业务操作在业务单元授权定义时定义了数据权限约束,则应根据数据权限的定义为角色分配执行该操作时可访问的数据范围,从而产生角色的数据授权分配实体数据;
(3)访问控制
服务调用接口遵循基本的RBAC模型定义的操作接口标准,在角色的授权访问控制部分,采用以业务单元为基本单位的访问控制;在运行时服务的内部,根据输入的会话S和业务单元、业务操作等信息,加载业务单元定义,根据分配时设置的角色的授权分配S和C结果进行逻辑运算,向调用返回授权访问控制的结果。
对于本领域技术人员而言,显然本发明不限于上述示范性的实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明;因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的 含义和范围内的所有变化囊括在本发明内,不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (1)
1.一种基于RBAC模型改进的访问控制模型,其特征在于,包括账号U、角色R、会话S、约束C、数据授权实体P、业务数据实体OBS、业务操作实体OPS;所述账号U为业务操作主体,在智能家居领域中分为家庭主账号和家庭成员子账号;所述角色R指被授予一定的控制权限许可,派生子角色的许可是父角色许可的子集;所述会话S指账号U和角色R间的多对多指派关系;所述约束C指角色R间的互斥、包含和优先级关系;所述数据授权实体P是访问控制的授权许可;所述业务数据实体OBS为智能家居领域内的房间和可控设备;所述业务操作实体OPS为智能家居领域中开关、遥控、联动操作;
所述访问控制模型的建立分为以下三个环节:
(1)建立模型:
基于RBAC基本模型,对数据授权实体P部分结合面向业务的特征进行扩展,将模型中的业务操作实体OPS及业务数据实体OBS以业务单元为单位划分,将操作和数据按照业务内聚度归集到业务单元下,使应用系统中不再存在独立的操作和数据;具体内容包括:
业务单元实体作为数据授权实体P的基本单位,包含业务数据结构实体OBS和业务操作实体OPS,其中业务数据结构实体用于描述业务单元下的业务实体数据结构,业务操作实体用于识别业务单元下需要进行授权访问控制的操作;业务操作实体OPS定义可在多个业务单元间复用,因此它与业务单元实体之间是一种聚合关系;业务操作实体OPS和业务数据实体OBS的关联关系是一种多对多关系,表示一个业务操作在执行时受到哪些数据权限的约束;
业务数据实体OBS定义,采用数据模型来描述业务数据结构;业务数据定义映射到关系型数据库中是一组具有主从关系或关联关系的表或视图的集合,因此业务数据是一组数据集,每个数据集是一个二维表结构;
数据授权实体P定义,用于定义数据权限控制的数据范围的划分依据;其中数据范围是指业务单元中的业务数据的取值范围;根据上文所述,业务数据的取值范围的划分,就是对业务数据对应的每一个二维表的行、列两个维度进行划分,数据权限实体用于定义对此数据范围的划分的依据;业务数据实体OBS和数据授权实体P之间是一种多对多关系,表示一个数据权限在作用于业务实体数据时,具体和该业务实体数据的哪个数据域,即字段或字段组合相关;
(2)权限分配
角色R以业务单元为单位进行授权分配;分配时的具体内容包括:
角色R和业务单元实体之间是一种多对多关联关系,表示一个角色可以分配多个业务单元的数据授权实体P,一个业务单元的数据授权实体P可以分配给多个角色,角色和业务单元之间的一个分配关系,产生一个关联的角色的授权分配实体;在一个业务单元的角色授权中,一个角色实体可选择分配一个业务单元实体下的一个或多个业务操作实体OPS,表示该角色在当前业务单元下可执行哪些业务操作;如果该业务操作在业务单元授权定义时定义了数据权限约束,则应根据数据权限的定义为角色分配执行该操作时可访问的数据范围,从而产生角色的数据授权分配实体数据;
(3)访问控制
服务调用接口遵循基本的RBAC模型定义的操作接口标准,在角色的授权访问控制部分,采用以业务单元为基本单位的访问控制;在运行时服务的内部,根据输入的会话S和业务单元、业务操作等信息,加载业务单元定义,根据分配时设置的角色的授权分配S和C结果进行逻辑运算,向调用返回授权访问控制的结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510818687.4A CN106778319A (zh) | 2015-11-23 | 2015-11-23 | 一种基于rbac模型改进的访问控制模型 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510818687.4A CN106778319A (zh) | 2015-11-23 | 2015-11-23 | 一种基于rbac模型改进的访问控制模型 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106778319A true CN106778319A (zh) | 2017-05-31 |
Family
ID=58962907
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510818687.4A Pending CN106778319A (zh) | 2015-11-23 | 2015-11-23 | 一种基于rbac模型改进的访问控制模型 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106778319A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110659465A (zh) * | 2019-09-25 | 2020-01-07 | 四川长虹电器股份有限公司 | 一种基于rbac的个性化权限管理方法 |
CN110968413A (zh) * | 2018-09-28 | 2020-04-07 | 华为技术有限公司 | 一种数据管理方法、装置和服务器 |
CN112231725A (zh) * | 2020-10-13 | 2021-01-15 | 湖南皖湘科技有限公司 | 一种快速划分软件权限的方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1885297A (zh) * | 2006-06-02 | 2006-12-27 | 石杰 | 带有精细访问控制策略的基于角色的访问控制模型的方法 |
CN101645126A (zh) * | 2009-09-07 | 2010-02-10 | 浪潮集团山东通用软件有限公司 | 一种基于rbac模型扩展的面向业务的授权访问控制方法 |
CN102201045A (zh) * | 2011-05-12 | 2011-09-28 | 湖南大学 | 一种基于角色的访问控制模型的安全约束验证方法 |
-
2015
- 2015-11-23 CN CN201510818687.4A patent/CN106778319A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1885297A (zh) * | 2006-06-02 | 2006-12-27 | 石杰 | 带有精细访问控制策略的基于角色的访问控制模型的方法 |
CN101645126A (zh) * | 2009-09-07 | 2010-02-10 | 浪潮集团山东通用软件有限公司 | 一种基于rbac模型扩展的面向业务的授权访问控制方法 |
CN102201045A (zh) * | 2011-05-12 | 2011-09-28 | 湖南大学 | 一种基于角色的访问控制模型的安全约束验证方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110968413A (zh) * | 2018-09-28 | 2020-04-07 | 华为技术有限公司 | 一种数据管理方法、装置和服务器 |
CN110659465A (zh) * | 2019-09-25 | 2020-01-07 | 四川长虹电器股份有限公司 | 一种基于rbac的个性化权限管理方法 |
CN112231725A (zh) * | 2020-10-13 | 2021-01-15 | 湖南皖湘科技有限公司 | 一种快速划分软件权限的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104573478B (zh) | 一种Web应用的用户权限管理系统 | |
CN104090770A (zh) | 软件开发中基于用户权限配置系统功能的方法 | |
CN106778319A (zh) | 一种基于rbac模型改进的访问控制模型 | |
CN102932340A (zh) | 基于角色的访问控制系统及方法 | |
CN103500297A (zh) | 信息系统中细粒度权限管理方法 | |
CN104125219A (zh) | 针对电力信息系统的身份集中授权管理方法 | |
CN105184144A (zh) | 一种多系统权限管理方法 | |
CN104052747A (zh) | 一种基于rbac的权限管理系统 | |
CN101729403A (zh) | 基于属性和规则的访问控制方法 | |
CN106878325B (zh) | 一种确定用户访问权限的方法及装置 | |
CN109525653B (zh) | 智能设备的多用户共享方法和系统 | |
CN110363012B (zh) | 对权限资源进行权限配置的方法、权限系统和存储介质 | |
CN103763369B (zh) | 一种基于san存储系统的多重权限分配方法 | |
KR20190131085A (ko) | 사용자에 대한 역할의 일대일 매칭을 기반으로 하는 권한 부여 방법과 시스템 | |
TW200515243A (en) | Programming interface for licensing | |
KR20200022494A (ko) | 폼 데이터 조작 권한 부여 방법 | |
CN101645126A (zh) | 一种基于rbac模型扩展的面向业务的授权访问控制方法 | |
US11716516B2 (en) | Validating parameters on discrete computing applications to grant access control to content or commands | |
WO2010028583A1 (zh) | 基于权限组件对工作流组件中的权限管理的方法及装置 | |
US20170220792A1 (en) | Constraining authorization tokens via filtering | |
CN106599718B (zh) | 信息访问权限的控制方法及装置 | |
CN104217146A (zh) | 一种基于abac和rbac的权限控制方法 | |
CN102902916B (zh) | 应用程序通用的权限控制方法 | |
CN102411689B (zh) | 一种对数据库管理员权限进行控制的方法 | |
CN104717206A (zh) | 一种物联网资源访问权限控制方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170531 |
|
WD01 | Invention patent application deemed withdrawn after publication |