CN109039734B - 一种分布式的访问控制模型及访问方法 - Google Patents

一种分布式的访问控制模型及访问方法 Download PDF

Info

Publication number
CN109039734B
CN109039734B CN201810844957.2A CN201810844957A CN109039734B CN 109039734 B CN109039734 B CN 109039734B CN 201810844957 A CN201810844957 A CN 201810844957A CN 109039734 B CN109039734 B CN 109039734B
Authority
CN
China
Prior art keywords
access control
access
strategy
node
updating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810844957.2A
Other languages
English (en)
Other versions
CN109039734A (zh
Inventor
何泾沙
蔡方博
朱娜斐
李文欣
韩松
葛加可
张胜凡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zero to One (Beijing) Technology Development Co.,Ltd.
Original Assignee
Beijing University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Technology filed Critical Beijing University of Technology
Priority to CN201810844957.2A priority Critical patent/CN109039734B/zh
Publication of CN109039734A publication Critical patent/CN109039734A/zh
Application granted granted Critical
Publication of CN109039734B publication Critical patent/CN109039734B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1014Server selection for load balancing based on the content of a request
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种分布式的访问控制模型及访问方法,访问控制主体发出访问请求信息,访问控制主体的邻居节点根据访问请求信息判断自己是否是访问控制客体;若是,则判断访问控制主体的访问请求是否符合自己的被访问控制策略,若符合,则提供相应的访问内容和操作;若不符合,则返回拒绝访问的信息;若不是,则分析访问请求信息,并根据本节点预存的访问控制策略判断此访问请求中的访问控制主体是否有权限访问本条访问请求中的访问控制客体;若有权限,则将此访问请求转发给自己的邻居节点,并重复上述操作;若无权限,则返回拒绝信息。本发明访问控制策略采用分布式的管理方式,让网络中与其有访问关系的每一个节点共同管理全网的访问控制策略。

Description

一种分布式的访问控制模型及访问方法
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种分布式的访问控制模型及访问方法,该模型利用分布式管理与授权实现更安全流畅的完成复杂网络中的访问控制。
背景技术
计算机科学与技术是信息技术的核心。随着通信技术、信息技术和网络技术的快速发展和应用的广泛普及,计算机硬件、操作系统、网络安全、数据库等技术推动了信息技术的不断变革。在开放式网络给人们带来极大便利和价值的同时,也对网络安全提出了更高的要求。尤其是在控制用户访问信息和资源方面,需要确保网络信息和资源最大化共享在可控制前提下实现,访问控制成为按照设置的安全策略对信息、资源和服务的访问请求进行授权的安全保障手段。然而,开放式网络的特性,也对网络的安全保障提出了更高的要求。
访问控制模型(access control model)是对访问控制策略及其作用的一种形式化的表示方法。授权策略是访问控制的关键,用于确定访问控制主体是否能对客体进行访问的一套策略。传统的访问控制策略是通过访问控制矩阵来实现访问控制,矩阵的每一行代表一个主体,每一列代表一个客体,矩阵中的每一项内容代表主体对客体能够执行的访问方式。根据矩阵中的每一项访问权限由谁来决定,可以将访问控制策略分为自主访问控制和强制访问控制。90年代初,根据访问控制场景的需求,研究者们研发了基于角色的访问控制策略。随着信息存储与访问日益呈现分布式的态势,现有以客体为中心的集中式授权访问控制已经无法满足目前复杂网络访问控制安全性和鲁棒性的要求。此外,传统集中式授权的访问控制模型存在自适应能力低、部署与应用方式单一,容易成为攻击者的目标等缺陷,无法应对动态异构式的开放网络对访问控制安全的要求。
发明内容
针对上述问题中存在的不足之处,本发明提供一种分布式的访问控制模型及访问方法。
为实现上述目的,本发明提供一种分布式的访问控制模型,访问控制模型的每个访问控制节点包括:
访问控制请求接收模块,用于接收访问请求信息,所述访问请求信息包括访问控制客体、访问内容和操作权限;
访问控制决策模块,用于分析访问请求信息,根据本节点预存的的访问控制策略判断此次访问控制是否允许访问,并将分析结果传递给访问控制执行模块;
访问控制执行模块,用于接收所述访问控制决策模块的分析结果,若允许访问,则执行访问内容;若拒绝访问,则返回拒绝信息;
访问控制记录模块,用于记录所述访问控制执行模块的执行记录,所述执行记录包括访问记录与拒绝记录;
访问控制策略存储模块,用于存储本节点的访问控制策略,本节点的访问控制策略为与本节点有访问关系的节点的控制策略。
作为本发明的进一步改进,还包括:
访问控制策略更新模块,用于当访问控制策略有更新时,通过非对称加密算法验证是否是正常的安全更新;若是,则直接在访问控制策略更新模块中更新访问控制策略,并将更新后的访问控制策略存储在访问控制策略存储模块中;若不是,则拒绝更新策略。
本发明还提供一种基于分布式的访问控制模型的访问方法,包括:
步骤1、访问控制主体发出访问请求信息,并将访问请求信息发送广播至访问控制主体的邻居节点;所述访问请求信息包括访问控制客体、访问内容和操作权限;
步骤2、邻居节点根据接收的访问请求信息判断自己是否是访问请求信息需要访问的访问控制客体;
步骤3、若是访问控制主体的访问控制客体,则根据自己访问权限的列表判断访问控制主体的访问请求是否符合自己的被访问控制策略;若符合,则提供给访问控制主体相应的访问内容和操作;若不符合,则返回拒绝访问的信息;
步骤4、若不是访问控制主体的访问控制客体,则分析访问请求信息,并根据本节点预存的访问控制策略判断此访问请求中的访问控制主体是否有权限访问本条访问请求中的访问控制客体;
步骤5、若有权限,则将此访问请求转发给自己可实现此访问控制路径中的邻居节点,并返回步骤2;
步骤6、若无权限,则代替访问控制客体返回拒绝信息。
作为本发明的进一步改进,还包括:访问控制策略更新;
当访问控制策略有更新时,通过非对称加密算法验证是否是正常的安全更新;若是,则直接在访问控制策略更新模块中更新访问控制策略,并将更新后的访问控制策略存储在访问控制策略存储模块中;若不是,则拒绝更新策略。
作为本发明的进一步改进,所述访问控制策略更新的方法包括:
步骤a、欲进行访问控制策略更新的访问控制节点向自己一跳主动访问的邻居节点发送更新策略的请求;
步骤b、一跳邻居节点接收更新策略的请求后,根据彼此建立连接的时间数据生成一对密钥,公钥向欲进行策略更新的访问控制节点公开;得到该公钥后,欲进行策略更新的访问控制节点用该密钥对更新的策略进行加密,并将其发送给有连接的一跳邻居节点;
步骤c、一跳邻居节点收到加密的信息之后用自己的私钥进行解密,若解密成功,则将新的访问控制策略更新在自己存储的访问控制策略库中;若解密失败,则返回错误信息给欲进行访问控制策略更新的访问控制节点;
步骤d、一跳邻居节点将更新的访问控制策略,逐步用上述的方法一跳一跳的更新至网络中与之有访问关系的所有节点,使得访问控制模型覆盖的所有节点在最短的时间内完成整个网络分布存储的策略更新。
与现有技术相比,本发明的有益效果为:
1、安全性强:本模型通过分布式记录、分布式传播、分布式存储实现去中心化的网络访问和信息传输的过程;在没有中心的情况下,模型的全部参与者达成共识,共同构建了区块链数据库;本模型对访问控制策略和权限实现去中心管理和授权的特色拥有极强的安全性,只要不是全网节点在同一时间全部崩溃,数据库系统就可以一直运转下去。
2、管理型更强:本系统实现访问控制模型授权分布式管理,可以实现全网络的访问控制权限统一,避免出现访问过程中相同客体与主体通过不同的访问路径拥有不同的访问控制权限;这样分布式授权管理更安全,更可靠。
3、可扩展性强:本模型的开发是基于分布式的访问控制方法,通过用户权限之间的分配信息来生成系统所需的束的过程,系统能够适应用户、权限以及用户权限之间分配关系的动态调整,因此本访问控制模型的扩展性更强;
4、从效果上来看,本访问控制模型可以生成一套记录时间先后的、不可篡改的、可以信任的访问控制策略库,这套访问控制策略列表是去中心化存储且数据安全能够得到有效保证的。
5、密码学的非对称加密算法保证了存在每个节点中的访问控制策略列表是不可以被轻易篡改、伪造的可信数据库;分布式存储的访问控制策略的数据安全能够得到有效的保证。
附图说明
图1为本发明一种实施例公开的分布式的访问控制模型中每个访问控制节点的框架图;
图2为本发明一种实施例公开的基于分布式的访问控制模型的访问方法的流程图;
图3为本发明一种实施例公开的访问控制策略更新的流程图。
图中:
1、访问控制请求接收模块;2、访问控制决策模块;3、访问控制执行模块;4、访问控制记录模块;5、访问控制策略存储模块;6访问控制策略更新模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图对本发明做进一步的详细描述:
本发明提供一种面向复杂网络的基于分布式管理和授权的分布式的访问控制模型。该访问控制模型根据分布式访问流程包含了访问控制节点(包括访问控制主体、访问控制客体)、访问属性集合(访问权限、生命周期、执行次数、访问管理)等。
本发明设计的原理就是改变传统基于访问控制矩阵的集中式管理机制,改变其单一的授权访问模式;分布式管理的实现流程是将传统存在中心服务器中的访问控制矩阵或者访问控制列表,以访问控制列表的形式存储到本访问控制模型覆盖的参与访问并与其有访问关系(包括可以访问自己和自己可以访问)的每一个节点,即每个节点均存储有自己可访问哪些节点以及哪些节点可访问自己的控制策略;用分布式的访问控制策略管理方式代替传统的集中式访问控制矩阵的模式,让网络中与其有访问关系的每一个节点共同管理全网的访问控制策略,这样的做法可以改变传统访问控制策略集中式存储部署模式单一、自适应性差、容易为网络攻击目标的缺点。同时,分布式访问控制策略的管理方式更加安全的保护访问控制策略在执行过程中被篡改的可能,为保护网络资源的安全访问起到更加科学的控制作用;传统的访问控制判别是存储在中心端或者客体端来执行访问,这样会对访问控制的客体端带来更多的判别工作。本发明提供的分布式访问控制策略的管理方式可以将客体节点的访问控制是否接受的判别工作,移交给访问路过的路径节点代理。在传统的访问控制机制中可以存在访问主体到访问客体通过不同的访问路径获取不同的权限,本发明的分布式访问控制策略管理,可以实现全网的访问控制策略一致性的原则,为用户对资源访问的控制进行更安全的保障。
如图1所示,本发明提供一种分布式的访问控制模型,访问控制模型的每个访问控制节点包括:访问控制请求接收模块1、访问控制决策模块2、访问控制执行模块3、访问控制记录模块4、访问控制策略存储模块5和访问控制策略更新模块6;其中:
访问控制请求接收模块1,用于接收访问控制主体的访问请求信息,访问请求信息包括访问控制客体、访问内容和操作权限;
访问控制决策模块2,用于分析访问请求信息,根据本节点预存的的访问控制策略判断此次访问控制是否允许访问,并将分析结果传递给访问控制执行模块3;
访问控制执行模块3,用于接收访问控制决策模块的分析结果,若允许访问,则执行访问内容;若拒绝访问,则返回拒绝信息;
访问控制记录模块4,用于记录访问控制执行模块3的执行记录,执行记录包括访问记录与拒绝记录,此功能便于实现网络安全中访问溯源;
访问控制策略存储模块5,用于存储本节点的访问控制策略,本节点的访问控制策略为与本节点有访问关系的节点的控制策略;本节点的访问控制策略也可为全网节点的访问控制策略。
访问控制策略更新模块5,用于当访问控制策略有更新时,通过非对称加密算法验证是否是正常的安全更新;若是,则直接在访问控制策略更新模块中更新访问控制策略,并将更新后的访问控制策略存储在访问控制策略存储模块中;若不是,则拒绝更新策略。
访问过程中,访问控制主体通过其所使用的设备作为发起访问请求,传统访问控制模型的授权一般用三元组(S,O,P)表示,其中S表示主体,O表示客体,P表示许可。如果存在元组(S,O,P),则表明S可在O上执行P许可。这些三元组都是预先定义好并静态地存放在系统中,且无论何时都是有效的。对于用户的权限限制,访问控制是被动的、消极的。
分布式管理是本模型的核心概念,DBAC的属性可以通过一个六元(S,O,P,T,F,A)进行描述。S表示主体(subject),即主动发起访问请求的实体;O表示客体(object),即系统中可以被访问的资源具;P表示权限(permission),即对客体资源的各种操作;T表示生命周期(times)即操作执行的时间,同时也表示一个主体单次访问请求所的有效期限;F表示执行次数(frequency)即执行访问请求对信息资源获取的次数;A表示管理(administration),及访问控制过程中策略的管理;T、F和A是DBAC不同于其他访问控制模型的显著特点。在访问请求失效F触发之前或结束之后,它的保护状态是无效的,其中包含的访问控制授权是不可使用的。当访问失效F被触发时,本次访问任务的委托执行者开始拥有执行者许可集中的权限,同时本次访问请求的最大允许执行次数-1。在生命周期期间,六元组(S,O,P,T,F,A)有效,当访问请求执行生命周期终止,即T生命周期被判定无效时,六元组(S,O,P,T,F,A)无效,访问请求和委托权限也被收回。
如图2所示,本发明还提供一种基于分布式的访问控制模型的访问方法,在一次访问中访问控制主体发送单次的访问请求(目标客体,访问内容,操作权限,生命周期,执行次数),无论是目标的客体节点还是路过节点,在接收到访问信息时候记录执行访问操作的时间,同时每条访问请求,记录从主体开始的每个节点的执行过程(访问路径);具体包括:
步骤1、访问控制主体发出访问请求信息,并将访问请求信息发送广播至访问控制主体的邻居节点;访问请求信息包括访问控制客体、访问内容和操作权限;
步骤2、邻居节点根据接收的访问请求信息判断自己是否是访问请求信息需要访问的访问控制客体;具体为:
一条访问控制请求中会出现访问控制主体,访问控制客体,访问权限(所执行的操作)等内容。如果收到一条访问控制请求,第一次查看主体是谁,客体是谁。先判断主体是否满足安全访问的要求,若满足查看客体是谁,如果客体是自己则进行判断主体是否有权对自己进行相应权限的访问操作;若客体不是自己,此时节点根据自己内存在的访问控制策略判断该主体发送过来的访问控制请求是否满足访问客体的条件,若满足则进行访问传递;若不满足则直接拒绝访问。
步骤3、若是访问控制主体的访问控制客体,则根据自己访问权限的列表(自己的访问控制列表是指本模型覆盖的网络节点中包括所有可以访问的节点及相应的策略。比如自己作为主体可以访问哪一些节点,自己作为客体可以被哪些节点访问及其权限)判断访问控制主体的访问请求是否符合自己的被访问控制策略;若符合,则提供给访问控制主体相应的访问内容和操作;若不符合,则返回拒绝访问的信息;
步骤4、若不是访问控制主体的访问控制客体(自己是一次访问中的一个路过节点),则分析访问请求信息,根据自己存储的与自己访问有关(可以通过路径访问自己和自己可以访问的)节点的访问控制列表,判断访问控制主体是否有权限访问本条访问请求中的访问控制客体;
步骤5、若有权限,则将此访问请求转发给自己可实现此访问控制路径中的邻居节点,并返回步骤2;
步骤6、若无权限,则按照原路返回自己判断的信息,因此拒绝此访问控制主体的访问请求。
每个节点中存储有与自己访问有关(可以通过路径访问自己和自己可以访问的)节点的访问控制列表,当某个节点的访问控制策略发生改变的时候,由广播的形式将自己的改变广播给自己的邻居节点;在单位的时间内完成与自己有访问关系的所有节点的权限更新。为了保证权限更新的安全性,在权限更新的时候;若单个节点的主体发生权限改变,需要从自己的固定密钥对广播权限进行解密算法。若密钥相同可以执行权限的操作,若密钥不同则禁止权限变更及广播的操作,这样的做法更加安全的保障了整个访问控制分布式权限管理的安全性。
如图3所示,本发明提供基于非对称加密算法对访问控制策略更新的方法,包括:
步骤a、欲进行访问控制策略更新的访问控制节点向自己一跳主动访问的邻居节点发送更新策略的请求;
步骤b、一跳邻居节点接收更新策略的请求后,根据彼此建立连接的时间数据生成一对密钥,公钥向欲进行策略更新的访问控制节点公开;得到该公钥后,欲进行策略更新的访问控制节点用该密钥对更新的策略进行加密,并将其发送给有连接的一跳邻居节点;
步骤c、一跳邻居节点收到加密的信息之后用自己的私钥进行解密,若解密成功,则将新的访问控制策略更新在自己存储的访问控制策略库中;若解密失败,则返回错误信息给欲进行访问控制策略更新的访问控制节点;
步骤d、一跳邻居节点将更新的访问控制策略,逐步用上述的方法一跳一跳的更新至网络中与之有访问关系的所有节点,使得访问控制模型覆盖的所有节点在最短的时间内完成整个网络分布存储的策略更新。
本发明的优点为:
1、安全性强:本模型通过分布式记录、分布式传播、分布式存储实现去中心化的网络访问和信息传输的过程;在没有中心的情况下,模型的全部参与者达成共识,共同构建了区块链数据库;本模型去中心管理和授权的特色拥有极强的安全性,只要不是全网节点在同一时间全部崩溃,数据库系统就可以一直运转下去。
2、管理型更强:本系统实现访问控制模型授权分布式管理,可以实现全网络的访问控制权限统一,避免出现访问过程中相同客体与主体通过不同的访问路径拥有不同的访问控制权限;这样分布式授权管理更安全,更可靠。
3、可扩展性强:本模型的开发是基于分布式的访问控制方法,通过用户权限之间的分配信息来生成系统所需的访问约束的过程,系统能够适应用户、权限以及用户权限之间分配与控制关系的动态调整,因此本访问控制模型的扩展性更强;
4、从效果上来看,本访问控制模型可以生成一套记录时间先后的、不可篡改的、可以信任的访问控制策略库,这套访问控制策略列表是去中心化存储且数据安全能够得到有效保证的。
5、密码学的非对称加密算法保证了存在每个节点中的访问控制策略列表是不可以被轻易篡改、伪造的可信数据库;分布式存储的访问控制策略的数据安全能够得到有效的保证。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (4)

1.一种基于分布式的访问控制模型的访问方法,其特征在于,
所述访问控制模型的每个访问控制节点包括:
访问控制请求接收模块,用于接收访问请求信息,所述访问请求信息包括访问控制客体、访问内容和操作权限;
访问控制决策模块,用于分析访问请求信息,根据本节点预存的访问控制策略判断此次访问控制是否允许访问,并将分析结果传递给访问控制执行模块;
访问控制执行模块,用于接收所述访问控制决策模块的分析结果,若允许访问,则执行访问内容;若拒绝访问,则返回拒绝信息;
访问控制记录模块,用于记录所述访问控制执行模块的执行记录,所述执行记录包括访问记录与拒绝记录;
访问控制策略存储模块,用于存储本节点的访问控制策略,本节点的访问控制策略为与本节点有访问关系的节点的控制策略;
所述访问方法,包括:
步骤1、访问控制主体发出访问请求信息,并将访问请求信息发送广播至访问控制主体的邻居节点;所述访问请求信息包括访问控制客体、访问内容和操作权限;
步骤2、邻居节点根据接收的访问请求信息判断自己是否是访问请求信息需要访问的访问控制客体;
步骤3、若是访问控制主体的访问控制客体,则根据自己访问权限的列表判断访问控制主体的访问请求是否符合自己的被访问控制策略;若符合,则提供给访问控制主体相应的访问内容和操作;若不符合,则返回拒绝访问的信息;
步骤4、若不是访问控制主体的访问控制客体,则分析访问请求信息,并根据本节点预存的访问控制策略判断此访问请求中的访问控制主体是否有权限访问本条访问请求中的访问控制客体;
步骤5、若有权限,则将此访问请求转发给自己可实现此访问控制路径中的邻居节点,并返回步骤2;
步骤6、若无权限,则代替访问控制客体返回拒绝信息。
2.如权利要求1所述的基于分布式的访问控制模型的访问方法,其特征在于,所述访问控制模型的每个访问控制节点还包括:
访问控制策略更新模块,用于当访问控制策略有更新时,通过非对称加密算法验证是否是正常的安全更新;若是,则直接在访问控制策略更新模块中更新访问控制策略,并将更新后的访问控制策略存储在访问控制策略存储模块中;若不是,则拒绝更新策略。
3.如权利要求1所述的基于分布式的访问控制模型的访问方法,其特征在于,还包括:访问控制策略更新;
当访问控制策略有更新时,通过非对称加密算法验证是否是正常的安全更新;若是,则直接在访问控制策略更新模块中更新访问控制策略,并将更新后的访问控制策略存储在访问控制策略存储模块中;若不是,则拒绝更新策略。
4.如权利要求3所述的基于分布式的访问控制模型的访问方法,其特征在于,所述访问控制策略更新的方法包括:
步骤a、欲进行访问控制策略更新的访问控制节点向自己一跳主动访问的邻居节点发送更新策略的请求;
步骤b、一跳邻居节点接收更新策略的请求后,根据彼此建立连接的时间数据生成一对密钥,公钥向欲进行策略更新的访问控制节点公开;得到该公钥后,欲进行策略更新的访问控制节点用该密钥对更新的策略进行加密,并将其发送给有连接的一跳邻居节点;
步骤c、一跳邻居节点收到加密的信息之后用自己的私钥进行解密,若解密成功,则将新的访问控制策略更新在自己存储的访问控制策略库中;若解密失败,则返回错误信息给欲进行访问控制策略更新的访问控制节点;
步骤d、一跳邻居节点将更新的访问控制策略,逐步用上述的方法一跳一跳的更新至网络中与之有访问关系的所有节点,使得访问控制模型覆盖的所有节点在最短的时间内完成整个网络分布存储的策略更新。
CN201810844957.2A 2018-07-27 2018-07-27 一种分布式的访问控制模型及访问方法 Active CN109039734B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810844957.2A CN109039734B (zh) 2018-07-27 2018-07-27 一种分布式的访问控制模型及访问方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810844957.2A CN109039734B (zh) 2018-07-27 2018-07-27 一种分布式的访问控制模型及访问方法

Publications (2)

Publication Number Publication Date
CN109039734A CN109039734A (zh) 2018-12-18
CN109039734B true CN109039734B (zh) 2021-07-13

Family

ID=64647277

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810844957.2A Active CN109039734B (zh) 2018-07-27 2018-07-27 一种分布式的访问控制模型及访问方法

Country Status (1)

Country Link
CN (1) CN109039734B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110717192B (zh) * 2019-09-11 2021-05-18 南京工业职业技术大学 基于Key-Value加速器的面向大数据安全的访问控制方法
CN110855637A (zh) * 2019-10-28 2020-02-28 西北工业大学 一种基于属性的区块链物联网分布式访问控制方法
CN113949563B (zh) * 2021-10-15 2023-10-10 傲普(上海)新能源有限公司 一种基于策略的数据服务器资源访问控制方法
CN114257397B (zh) * 2021-11-05 2024-04-26 奇安信科技集团股份有限公司 基于复杂网络的策略冲突处理方法及装置
CN117614724B (zh) * 2023-12-06 2024-08-06 北京东方通科技股份有限公司 一种基于体系细粒度处理的工业互联网访问控制方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102104599A (zh) * 2010-12-29 2011-06-22 北京理工大学 一种基于信任机制的dRBAC模型的改进方法
CN104917761A (zh) * 2015-05-29 2015-09-16 西安电子科技大学 一种通用的访问控制方法及装置
CN106973031A (zh) * 2016-01-13 2017-07-21 电信科学技术研究院 一种资源访问控制方法、装置及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7013332B2 (en) * 2001-01-09 2006-03-14 Microsoft Corporation Distributed policy model for access control

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102104599A (zh) * 2010-12-29 2011-06-22 北京理工大学 一种基于信任机制的dRBAC模型的改进方法
CN104917761A (zh) * 2015-05-29 2015-09-16 西安电子科技大学 一种通用的访问控制方法及装置
CN106973031A (zh) * 2016-01-13 2017-07-21 电信科学技术研究院 一种资源访问控制方法、装置及系统

Also Published As

Publication number Publication date
CN109039734A (zh) 2018-12-18

Similar Documents

Publication Publication Date Title
CN109039734B (zh) 一种分布式的访问控制模型及访问方法
CN111709056B (zh) 基于区块链的数据共享方法及系统
US10454927B2 (en) Systems and methods for managing relationships among digital identities
CN110535833B (zh) 一种基于区块链的数据共享控制方法
CN110489996B (zh) 一种数据库数据安全管理方法及系统
JP5100286B2 (ja) 暗号モジュール選定装置およびプログラム
US6957261B2 (en) Resource policy management using a centralized policy data structure
US6957330B1 (en) Method and system for secure information handling
EP0511483B1 (en) Method and apparatus for authenticating users of a communication system to each other
CN110535880B (zh) 物联网的访问控制方法以及系统
Ouaddah et al. Harnessing the power of blockchain technology to solve IoT security & privacy issues.
EP1984889A2 (en) Secure digital content management using mutating identifiers
CN114239046A (zh) 数据共享方法
WO2022148182A1 (zh) 一种密钥管理方法及相关设备
KR20190030317A (ko) 블록체인을 이용한 사물인터넷 보안 시스템 및 보안 방법
US7958548B2 (en) Method for provision of access
CN116956247B (zh) 一种基于bim的信息处理系统
CN100574210C (zh) 一种基于无等级角色间映射的访问控制方法
US9485229B2 (en) Object level encryption system including encryption key management system
CN106992978A (zh) 网络安全管理方法及服务器
US20160148021A1 (en) Systems and Methods for Trading of Text based Data Representation
CN117290861A (zh) 基于属性的智慧消防资源访问控制系统和方法
Zeydan et al. Blockchain-based self-sovereign identity solution for aerial base station integrated networks
CN117294465B (zh) 一种基于跨域通信的属性加密系统及方法
CN114978771B (zh) 一种基于区块链技术的数据安全共享方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20240126

Address after: 101200 room 205-211526, No. 40, Fuqian West Street, Pinggu town, Pinggu District, Beijing (cluster registration)

Patentee after: BEIJING YONGBO TECHNOLOGY CO.,LTD.

Country or region after: China

Address before: 100124 No. 100 Chaoyang District Ping Tian Park, Beijing

Patentee before: Beijing University of Technology

Country or region before: China

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20240821

Address after: 101-371, 1st Floor, Building 24, No.1 Hongye East Road, Daxing District, Beijing 102600

Patentee after: Zero to One (Beijing) Technology Development Co.,Ltd.

Country or region after: China

Address before: 101200 room 205-211526, No. 40, Fuqian West Street, Pinggu town, Pinggu District, Beijing (cluster registration)

Patentee before: BEIJING YONGBO TECHNOLOGY CO.,LTD.

Country or region before: China

TR01 Transfer of patent right