CN109413080A - 一种跨域动态权限控制方法及系统 - Google Patents
一种跨域动态权限控制方法及系统 Download PDFInfo
- Publication number
- CN109413080A CN109413080A CN201811330911.5A CN201811330911A CN109413080A CN 109413080 A CN109413080 A CN 109413080A CN 201811330911 A CN201811330911 A CN 201811330911A CN 109413080 A CN109413080 A CN 109413080A
- Authority
- CN
- China
- Prior art keywords
- domain
- attribute
- policy
- resource
- point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种跨域动态权限控制方法及系统,在该方法中,包括:在云环境下注册多个子域,每两个子域之间均通过边界设备进行隔离,并且在云环境下部署统一认证中心、域定位服务器和统一属性注册中心,所述统一认证中心和域定位服务器分别用于对用户进行认证和鉴定用户具有权限的子域,用户通过统一认证中心登陆到云环境后,通过域定位服务器分配到所属的子域,所述统一属性注册中心用于对所有子域的属性进行注册和管理。本发明以属性访问控制模型为基础,来对各个子域的属性进行实时注册,实现更高扩展性和安全性的资源访问机制。
Description
技术领域
本发明涉及访问权限管理技术领域,尤其涉及一种跨域动态权限控制方法及系统。
背景技术
云计算是当前信息技术领域的热点之一,是产业界、学术界、政府等各界均十分关注的焦点。其核心思想是将大量计算资源、存储资源与软件资源链接在一起,形成规模巨大的共享资源池,数据拥有者包括企业、个人或者组织等。云服务商为数据拥有者提供数据托管服务,同样也可为云用户提供各种类型的云资源/服务。传统架构模式下的物理安全边界域消失,而是以逻辑安全域的形式存在,云资源失去了物理边界域的安全控制,存在数据安全性与隐私性的隐患。
目前,针对云环境下多安全域的访问控制没有统一的方法,一般上是采用不做控制、边界设备控制、切换子系统、单点登录等方法进行控制。
(1)、不做控制:同一云环境下采用云认证机制登陆,对认证成功后的用户,云内所有资源对其开放,实际上默认整体云环境为同一个安全域,是最粗犷的控制方法,用于安全要求不高,各个安全域之间差别不大的环境。
(2)、边界设备控制:在云中利用不同域之间的边界设备,通过预置静态的控制策略,对资源访问进行控制,由于控制策略固定,灵活度不高,可以作为基础的控制策略,主要缺点是细粒度不高,控制能力差,适合简单控制。
(3)、切换子系统:在不同域中部署不同的服务体系,采用独立的认证模式,云用户通过切换不同的子系统来达到访问不同安全域的资源的目的,但是各子系统相互之间没有联系,只能通过部分开放的接口进行数据层的调用,而且用户在几个系统之间相互切换,操作繁琐,容易失误。
(4)、单点登录:在不同域中部署不同的服务系统,各系统包含独立的认证模式,并部署单点登录服务,打通各个域的权限体系,即A域服务请求B域时会带有认证信息,表明请求是A域认证通过,并给予简单的用户信息使得B域为此用户鉴权并分配资源,构造单点登录服务实际上依然是两个相互独立的系统,两个系统之间需要用户表相同或相互对应,是基于用户身份的访问控制,灵活度和扩展性不高,相互之间缺乏策略决策等信息的交互。
发明内容
针对上述问题,本发明旨在提供一种跨域动态权限控制方法及系统,以属性访问控制模型为基础,来对各个子域的属性进行实时注册,实现更高扩展性和安全性的资源访问机制。
具体方案如下:
一种跨域动态权限控制方法,包括:在云环境下注册多个子域,每两个子域之间均通过边界设备进行隔离,并且在云环境下部署统一认证中心、域定位服务器和统一属性注册中心,所述统一认证中心和域定位服务器分别用于对用户进行认证和鉴定用户具有权限的子域,用户通过统一认证中心登陆到云环境后,通过域定位服务器分配到所属的子域,所述统一属性注册中心用于对所有子域的属性进行注册和管理。
进一步的,所述在云环境下注册子域包括以下步骤:
S101:在云环境下创建子域;
S102:构建该子域下的资源管理系统;
S103:基于属性访问控制模型,设定该子域的策略管理点、策略决策点、策略信息点和策略实施点;
S104:设定该子域的属性和策略规则
S105:将该子域的属性和策略规则注册到统一属性注册中心;
S106:统一属性注册中心将该子域的属性和策略规则分发到所述云环境下的所有子域。
进一步的,还包括域内的访问控制方法,具体包括以下步骤:
S201:A域用户登陆云环境,通过该云环境对应的统一认证服务和域定位服务完成身份认证,并跳转到该用户所属的子域;
S202:发起域内资源访问请求;
S203:A域的策略实施点拦截该请求,根据属性访问控制模型对该请求添加A域的属性后,将该请求发往A域的策略决策点;
S204:A域的策略决策点从A域的策略管理点调取策略规则集;
S205:A域的策略决策点从A域的策略信息点调取策略属性;
S206:A域的策略决策点综合策略规则集和策略属性,对A域的策略实施点的请求进行鉴权,判断该用户是否有权限访问A域资源,并返回经过鉴权的请求响应至A域的策略实施点;
S207:A域的策略实施点根据请求响应判断该用户是否有权限访问A域资源,如果用户具有访问A域资源的权限则能够获得资源,如果用户没有权限则返回提示信息。
进一步的,还包括跨域的访问控制方法,具体包括以下步骤:
S301:A域用户登陆云环境,通过该云环境对应的统一认证服务和域定位服务完成身份认证,并跳转到该用户所属的子域;
S302:发起跨域资源访问请求;
S303:A域的策略实施点拦截该跨域资源访问请求,根据属性访问控制模型对该跨域资源访问请求添加A域的属性后,将该跨域资源访问请求发往A域的策略决策点来判断该用户是否有权限访问B域资源;
S304:A域的策略决策点从A域的策略管理点调取策略规则集;
S305:A域的策略决策点从A域的策略信息点调取策略属性;
S306:A域的策略决策点综合策略规则集和策略属性,对A域的策略实施点的跨域资源访问请求进行鉴权,判断该用户是否有权限访问B域资源,并返回经过鉴权的请求响应至A域的策略实施点;
S307:A域的策略实施点根据请求响应判断该用户是否有权限访问A域资源,如果用户具有访问B域资源的权限,则调取统一属性中心存储的B域对应的属性,添加到跨域资源访问请求中;
S308:将新的跨域资源访问请求发送到B域的策略实施点;
S309:B域的策略实施点将该跨域资源访问请求拦截,并发往B域的策略决策点;
S310:B域的策略决策点从B域的策略管理点调取策略规则集;
S311:B域的策略决策点从B域的策略信息点调取策略属性;
S312:B域的策略决策点综合策略规则集和策略属性,对B域的策略实施点的跨域资源访问请求进行鉴权,判断该用户是否有权限访问B域资源,并返回经过鉴权的请求响应至B域的策略实施点;
S313:B域的策略实施点根据请求响应判断该用户是否有权限访问B域资源,如果用户具有访问B域资源的权限则能够获得资源,如果用户没有权限则返回提示信息。
一种跨域动态权限控制系统,包括位于同一云环境下的多个子域、统一认证中心、域定位服务器和统一属性注册中心,所述系统实现本发明实施例所述方法的步骤。
本发明采用如上技术方案,为云环境下的各子域构建基于属性的访问控制后,对应于各子域之间属性的不同而造成的跨域访问鉴权问题的情况,提出了一种基于属性的访问控制模型的跨域动态权限控制方法及系统,并具有有益效果:
(1)、建立了统一的属性注册中心,由该中心统一的管理和分发各个子域的属性;
(2)、以基于属性的访问控制为基础,将其引申到多子域的鉴权中,继承了其策略扩展性高,决策灵活的特点;
(3)、各子域从统一属性注册中心获取其他子域的属性,并添加到跨域请求中,方便其他子域的鉴权和管理;各个子域拥有自身的策略决策,且不会暴露各个子域自身的鉴权策略,安全性更强,更加可控;
(4)、属性访问控制的鉴权与登陆统一认证中心不相关,只保留统一认证中的登陆属性作为属性访问控制的外部属性,避免认证过程复杂造成用户体验不好。
附图说明
图1所示为本发明实施例的结构示意图。
图2所示为该实施例的跨域的访问控制过程的流程图。
图3所示为该实施例的注册子域的流程图。
图4所示为该实施例的域内的访问控制过程的流程图。
具体实施方式
为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。
以下首先对本发明的相关技术术语进行解释和说明:
属性(Attribute,简称attr):属性是人为定义的事物的特征点,一般包括外在属性、内在属性、行为属性等,例如资源所在服务器的系统环境、网络情况(外在属性);登录人的认证信息、角色、性别(内在属性);访问动作(行为属性);在不同的情况下,这些属性是动态可变的。
属性访问控制(Attribute Based Access Control,ABAC)即将访问控制中的主体、客体、权限三大实体用其属性进行统一描述,用实体属性之间的关系对安全需求进行形式化的建模,通过预先定义的属性访问策略实现对客体资源的有效访问。
策略管理点(Policy administration point,PAP)策略及策略规则集存储仓库,策略编辑接口。
策略决策点(Policy decision point,PDP)策略评估和授权决定组件。ABAC的核心组件。
策略信息点(Policy information point,PIP)服务检索与主体,客体,环境相关的属性。
策略实施点(Policy enforcement point,PEP)是接受策略管理的网络实体,负责执行由策略决策点分配的决策。
现结合附图和具体实施方式对本发明进一步说明。
参考图1所示,本发明实施例提供了一种基于属性访问控制模型的跨域动态权限控制方法,包括:在云环境下注册多个子域,每两个子域之间均通过边界设备进行隔离,并且在云环境下部署统一认证中心、域定位服务器和统一属性注册中心,所述统一认证中心和域定位服务器分别用于对用户进行认证和鉴定用户具有权限的子域,用户通过统一认证中心登陆到云环境后,通过域定位服务器分配到所属的子域,所述统一属性注册中心用于对所有子域的属性进行注册和管理。
当需要在所述云环境下新建子域时,应由统一属性注册中心对该子域的属性进行注册,以便统一管理,参考图3所示,注册子域包括以下步骤:
S101:在云环境下创建子域。
所述子域的创建方法与现有的常用方法相同。
S102:构建该子域下的资源管理系统。
S103:基于属性访问控制模型,设定该子域的策略管理点、策略决策点、策略信息点和实施点等策略相关机构。
S104:设定该子域的属性和策略规则。
S105:将该子域的属性和策略规则注册到统一属性注册中心。
具体的,可以将属性和策略规则通过接口或者人工的方式注册到统一属性注册中心,由统一属性注册中心进行管理。
S106:统一属性注册中心将该子域的属性和策略规则分发到所述云环境下的所有子域。
参考图4所示,所述云环境下域内的访问控制过程包括以下步骤:
S201:A域用户登陆云环境,通过该云环境对应的统一认证服务和域定位服务完成身份认证,并跳转到该用户所属的子域,该实施例中为A域。
S202:发起域内资源访问请求。
S203:A域的策略实施点(A.PEP)拦截该请求,根据属性访问控制模型对该请求添加A域的属性后,将该请求发往A域的策略决策点(A.PDP)。
S204:A域的策略决策点(A.PDP)从A域的策略管理点(A.PAP)调取策略规则集。
S205:A域的策略决策点(A.PDP)从A域的策略信息点(A.PIP)调取策略属性。
S206:A域的策略决策点(A.PDP)综合策略规则集和策略属性,对A域的策略实施点(A.PEP)的请求进行综合鉴权,判断该用户是否有权限访问A域资源,并返回经过鉴权的请求响应至A域的策略实施点(A.PEP)。
S207:A域的策略实施点(A.PEP)根据请求响应判断该用户是否有权限访问A域资源,如果用户具有访问A域资源的权限则能够获得资源,如果用户没有权限则返回提示信息。
参考图2所示,在所述云环境下跨域的访问控制包括以下步骤:
S301:A域用户登陆云环境,通过该云环境对应的统一认证服务和域定位服务完成身份认证,并跳转到该用户所属的子域,该实施例中为A域。
S302:发起跨域资源访问请求。
S303:A域的策略实施点(A.PEP)拦截该跨域资源访问请求,根据属性访问控制模型对该跨域资源访问请求添加A域的属性后,将该跨域资源访问请求发往A域的策略决策点(A.PDP)来判断该用户是否有权限访问B域资源。
S304:A域的策略决策点(A.PDP)从A域的策略管理点(A.PAP)调取策略规则集。
S305:A域的策略决策点(A.PDP)从A域的策略信息点(A.PIP)调取策略属性。
S306:A域的策略决策点(A.PDP)综合策略规则集和策略属性,对A域的策略实施点(A.PEP)的跨域资源访问请求进行鉴权,判断该用户是否有权限访问B域资源,并返回经过鉴权的请求响应至A域的策略实施点(A.PEP)。
S307:A域的策略实施点(A.PEP)根据请求响应判断该用户是否有权限访问A域资源,如果用户具有访问B域资源的权限,则调取统一属性中心存储的B域对应的属性,添加到跨域资源访问请求中。
S308:将新的跨域资源访问请求发送到B域的策略实施点(B.PEP)。
S309:B域的策略实施点(B.PEP)将该跨域资源访问请求拦截,并发往B域的策略决策点(B.PDP)。
S310:B域的策略决策点(B.PDP)从B域的策略管理点(B.PAP)调取策略规则集。
S311:B域的策略决策点(B.PDP)从B域的策略信息点(B.PIP)调取策略属性。
S312:B域的策略决策点(B.PDP)综合策略规则集和策略属性,对B域的策略实施点(B.PEP)的跨域资源访问请求进行鉴权,判断该用户是否有权限访问B域资源,并返回经过鉴权的请求响应至B域的策略实施点(B.PEP)。
S313:B域的策略实施点(B.PEP)根据请求响应判断该用户是否有权限访问B域资源,如果用户具有访问B域资源的权限则能够获得资源,如果用户没有权限则返回提示信息。
本发明采用如上技术方案,为云环境下的各子域构建基于属性的访问控制后,对应于各子域之间属性的不同而造成的跨域访问鉴权问题的情况,提出了一种基于属性的访问控制模型的跨域动态权限控制方法及系统,并具有有益效果:
(1)、建立了统一的属性注册中心,由该中心统一的管理和分发各个子域的属性;
(2)、以基于属性的访问控制为基础,将其引申到多子域的鉴权中,继承了其策略扩展性高,决策灵活的特点;
(3)、各子域从统一属性注册中心获取其他子域的属性,并添加到跨域请求中,方便其他子域的鉴权和管理;各个子域拥有自身的策略决策,且不会暴露各个子域自身的鉴权策略,安全性更强,更加可控;
(4)、属性访问控制的鉴权与登陆统一认证中心不相关,只保留统一认证中的登陆属性作为属性访问控制的外部属性,避免认证过程复杂造成用户体验不好。
实施例二
参考图1所示,本发明实施例二提供了一种基于属性访问控制模型的跨域动态权限控制系统,该系统主要包括:位于同一云环境下的多个子域、统一认证中心、域定位服务器和统一属性注册中心,所述系统实现实施例一中所述方法的步骤。
尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对本发明做出各种变化,均为本发明的保护范围。
Claims (5)
1.一种跨域动态权限控制方法,其特征在于,包括:在云环境下注册多个子域,每两个子域之间均通过边界设备进行隔离,并且在云环境下部署统一认证中心、域定位服务器和统一属性注册中心,所述统一认证中心和域定位服务器分别用于对用户进行认证和鉴定用户具有权限的子域,用户通过统一认证中心登陆到云环境后,通过域定位服务器分配到所属的子域,所述统一属性注册中心用于对所有子域的属性进行注册和管理。
2.根据权利要求1所述的跨域动态权限控制方法,其特征在于,所述在云环境下注册子域包括以下步骤:
S101:在云环境下创建子域;
S102:构建该子域下的资源管理系统;
S103:基于属性访问控制模型,设定该子域的策略管理点、策略决策点、策略信息点和策略实施点;
S104:设定该子域的属性和策略规则
S105:将该子域的属性和策略规则注册到统一属性注册中心;
S106:统一属性注册中心将该子域的属性和策略规则分发到所述云环境下的所有子域。
3.根据权利要求1所述的跨域动态权限控制方法,其特征在于:还包括域内的访问控制方法,具体包括以下步骤:
S201:A域用户登陆云环境,通过该云环境对应的统一认证服务和域定位服务完成身份认证,并跳转到该用户所属的子域;
S202:发起域内资源访问请求;
S203:A域的策略实施点拦截该请求,根据属性访问控制模型对该请求添加A域的属性后,将该请求发往A域的策略决策点;
S204:A域的策略决策点从A域的策略管理点调取策略规则集;
S205:A域的策略决策点从A域的策略信息点调取策略属性;
S206:A域的策略决策点综合策略规则集和策略属性,对A域的策略实施点的请求进行鉴权,判断该用户是否有权限访问A域资源,并返回经过鉴权的请求响应至A域的策略实施点;
S207:A域的策略实施点根据请求响应判断该用户是否有权限访问A域资源,如果用户具有访问A域资源的权限则能够获得资源,如果用户没有权限则返回提示信息。
4.根据权利要求1所述的跨域动态权限控制方法,其特征在于:还包括跨域的访问控制方法,具体包括以下步骤:
S301:A域用户登陆云环境,通过该云环境对应的统一认证服务和域定位服务完成身份认证,并跳转到该用户所属的子域;
S302:发起跨域资源访问请求;
S303:A域的策略实施点拦截该跨域资源访问请求,根据属性访问控制模型对该跨域资源访问请求添加A域的属性后,将该跨域资源访问请求发往A域的策略决策点来判断该用户是否有权限访问B域资源;
S304:A域的策略决策点从A域的策略管理点调取策略规则集;
S305:A域的策略决策点从A域的策略信息点调取策略属性;
S306:A域的策略决策点综合策略规则集和策略属性,对A域的策略实施点的跨域资源访问请求进行鉴权,判断该用户是否有权限访问B域资源,并返回经过鉴权的请求响应至A域的策略实施点;
S307:A域的策略实施点根据请求响应判断该用户是否有权限访问A域资源,如果用户具有访问B域资源的权限,则调取统一属性中心存储的B域对应的属性,添加到跨域资源访问请求中;
S308:将新的跨域资源访问请求发送到B域的策略实施点;
S309:B域的策略实施点将该跨域资源访问请求拦截,并发往B域的策略决策点;
S310:B域的策略决策点从B域的策略管理点调取策略规则集;
S311:B域的策略决策点从B域的策略信息点调取策略属性;
S312:B域的策略决策点综合策略规则集和策略属性,对B域的策略实施点的跨域资源访问请求进行鉴权,判断该用户是否有权限访问B域资源,并返回经过鉴权的请求响应至B域的策略实施点;
S313:B域的策略实施点根据请求响应判断该用户是否有权限访问B域资源,如果用户具有访问B域资源的权限则能够获得资源,如果用户没有权限则返回提示信息。
5.一种跨域动态权限控制系统,其特征在于:包括位于同一云环境下的多个子域、统一认证中心、域定位服务器和统一属性注册中心,所述系统实现如权利要求1~4中任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811330911.5A CN109413080B (zh) | 2018-11-09 | 2018-11-09 | 一种跨域动态权限控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811330911.5A CN109413080B (zh) | 2018-11-09 | 2018-11-09 | 一种跨域动态权限控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109413080A true CN109413080A (zh) | 2019-03-01 |
| CN109413080B CN109413080B (zh) | 2021-05-25 |
Family
ID=65472599
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811330911.5A Active CN109413080B (zh) | 2018-11-09 | 2018-11-09 | 一种跨域动态权限控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109413080B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110113188A (zh) * | 2019-04-22 | 2019-08-09 | 腾讯科技(深圳)有限公司 | 跨子域通信运维方法、总运维服务器和介质 |
| CN110300104A (zh) * | 2019-06-21 | 2019-10-01 | 山东超越数控电子股份有限公司 | 一种边缘云场景下用户权限控制与转移方法及系统 |
| CN111314318A (zh) * | 2020-01-20 | 2020-06-19 | 扆亮海 | 不同域间安全互操作的跨域授权访问管制系统 |
| CN113660240A (zh) * | 2021-08-11 | 2021-11-16 | 中电积至(海南)信息技术有限公司 | 一种基于联邦结构的物联网访问控制方法 |
| CN112243003B (zh) * | 2020-10-13 | 2023-04-11 | 中移(杭州)信息技术有限公司 | 访问控制方法、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101398771A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种基于构件的分布式系统访问控制方法及访问控制系统 |
| CN101997876A (zh) * | 2010-11-05 | 2011-03-30 | 重庆大学 | 基于属性的访问控制模型及其跨域访问方法 |
| US20120060207A1 (en) * | 2010-09-03 | 2012-03-08 | Ebay Inc. | Role-based attribute based access control (rabac) |
| CN102694867A (zh) * | 2012-06-06 | 2012-09-26 | 江苏大学 | 一种soa中基于属性的跨安全域访问控制方法和系统 |
| CN106992988A (zh) * | 2017-05-11 | 2017-07-28 | 浙江工商大学 | 一种跨域匿名资源共享平台及其实现方法 |
-
2018
- 2018-11-09 CN CN201811330911.5A patent/CN109413080B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101398771A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种基于构件的分布式系统访问控制方法及访问控制系统 |
| US20120060207A1 (en) * | 2010-09-03 | 2012-03-08 | Ebay Inc. | Role-based attribute based access control (rabac) |
| CN101997876A (zh) * | 2010-11-05 | 2011-03-30 | 重庆大学 | 基于属性的访问控制模型及其跨域访问方法 |
| CN102694867A (zh) * | 2012-06-06 | 2012-09-26 | 江苏大学 | 一种soa中基于属性的跨安全域访问控制方法和系统 |
| CN106992988A (zh) * | 2017-05-11 | 2017-07-28 | 浙江工商大学 | 一种跨域匿名资源共享平台及其实现方法 |
Non-Patent Citations (1)
| Title |
|---|
| 冯黎晓: "《云计算环境下基于属性的访问控制方法研究》", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110113188A (zh) * | 2019-04-22 | 2019-08-09 | 腾讯科技(深圳)有限公司 | 跨子域通信运维方法、总运维服务器和介质 |
| CN110113188B (zh) * | 2019-04-22 | 2021-10-08 | 腾讯科技(深圳)有限公司 | 跨子域通信运维方法、总运维服务器和介质 |
| CN110300104A (zh) * | 2019-06-21 | 2019-10-01 | 山东超越数控电子股份有限公司 | 一种边缘云场景下用户权限控制与转移方法及系统 |
| CN110300104B (zh) * | 2019-06-21 | 2021-10-22 | 山东超越数控电子股份有限公司 | 一种边缘云场景下用户权限控制与转移方法及系统 |
| CN111314318A (zh) * | 2020-01-20 | 2020-06-19 | 扆亮海 | 不同域间安全互操作的跨域授权访问管制系统 |
| CN112243003B (zh) * | 2020-10-13 | 2023-04-11 | 中移(杭州)信息技术有限公司 | 访问控制方法、电子设备及存储介质 |
| CN113660240A (zh) * | 2021-08-11 | 2021-11-16 | 中电积至(海南)信息技术有限公司 | 一种基于联邦结构的物联网访问控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109413080B (zh) | 2021-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109413080A (zh) | 一种跨域动态权限控制方法及系统 | |
| CN109643242A (zh) | 用于多租户hadoop集群的安全设计和架构 | |
| CN108337260B (zh) | 多租户身份和数据安全性管理云服务 | |
| CN102567454B (zh) | 实现云计算环境中数据的粒度自主访问控制的方法和系统 | |
| Tari et al. | A role-based access control for intranet security | |
| CN109565511A (zh) | 用于多租户身份和数据安全管理云服务的租户和服务管理 | |
| CN109670768A (zh) | 多业务域的权限管理方法、装置、平台及可读存储介质 | |
| US20130218911A1 (en) | Systems and methods for enforcement of security profiles in multi-tenant database | |
| US8990900B2 (en) | Authorization control | |
| US10372483B2 (en) | Mapping tenat groups to identity management classes | |
| CN106992988A (zh) | 一种跨域匿名资源共享平台及其实现方法 | |
| CN111062807A (zh) | 一种基于区块链的物联网数据服务信誉评估方法 | |
| US20120011587A1 (en) | Systems and methods for establishing trust between entities in support of transactions | |
| JP2015534138A (ja) | セキュアな認証及び情報の共有と分析のための方法及びシステム | |
| CN101707594A (zh) | 基于单点登录的网格认证信任模型 | |
| CN106096976A (zh) | 小型企业客户关系管理方法 | |
| CN113420320A (zh) | 一种数据共享场景下的区块链权限管理方法和系统 | |
| CN105871880A (zh) | 一种云环境下基于信任模型的跨租户访问控制方法 | |
| CN110881039B (zh) | 一种云安全管理系统 | |
| Chai et al. | BHE-AC: A blockchain-based high-efficiency access control framework for Internet of Things | |
| Zhang et al. | A trust‐based noise injection strategy for privacy protection in cloud | |
| Schläger et al. | Attribute-based authentication and authorisation infrastructures for e-commerce providers | |
| US10880295B2 (en) | Access control in a computer system | |
| Francis | Mastering Active Directory: Design, Deploy, and Protect Active Directory Domain Services for Windows Server 2022 | |
| Wang et al. | A trust and attribute-based access control framework in internet of things |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |