CN110858833A - 访问控制策略配置方法、装置和系统以及存储介质 - Google Patents
访问控制策略配置方法、装置和系统以及存储介质 Download PDFInfo
- Publication number
- CN110858833A CN110858833A CN201810962847.6A CN201810962847A CN110858833A CN 110858833 A CN110858833 A CN 110858833A CN 201810962847 A CN201810962847 A CN 201810962847A CN 110858833 A CN110858833 A CN 110858833A
- Authority
- CN
- China
- Prior art keywords
- access control
- resource
- attribute
- control policy
- inheritance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Abstract
本公开提供了一种访问控制策略配置方法、装置和系统以及存储介质,涉及物联网技术领域,其中方法包括:在创建第二资源时,确定对于第二资源是否设置有接入控制策略继承属性;根据确定结果配置第二资源的访问控制策略;本公开的方法、装置和系统以及存储介质,可以根据接入控制策略继承属性确定是否继承父资源的访问策略权限,能够高效设置以及更改子资源的访问控制策略,能够根据用户对于继承关系的指示进行访问控制策略的配置和修改,提高了对于资源进行访问控制策略的设置和更改的效率,完善了现有的访问控制策略的相关标准。
Description
技术领域
本公开涉及物联网技术领域,尤其涉及一种访问控制策略配置方法、装置和系统以及存储介质。
背景技术
在物联网中,对于资源的接入控制通常使用基于属性的接入控制,通过设置资源属性控制资源接入。接入控制策略(accessControlPolicy)资源中存储的是访问控制策略内容,即请求可否经过授权的评估依据内容。目标资源与接入控制策略资源相连接是通过接入控制策略标识(accessControlPolicyIDs)属性值进行连接的,访问目标资源的请求要通过接入控制策略标识属性值中对应的一个或多个接入控制策略标识资源的授权验证,才可完成请求授权操作。
在相关的技术中,如果目标资源没有设置自身的接入控制策略标识属性值,则授权评估依据其父资源的接入控制策略标识属性值所对应的接入控制策略资源进行。在创建目标资源时,如果对于目标资源设置自身的接入控制策略标识属性值,则此目标资源不继承父资源的策略权限;或者,目标资源没有自身的接入控制策略标识属性值,继承父资源的访问控制策略,在为其单独添加了自身的接入控制策略标识属性值后,则此目标资源不继承父资源的策略权限。如果用户希望具有自身的接入控制策略标识属性值的目标资源继承父资源的策略权限,则在创建了目标资源后,用户需要重新生成新的访问控制策略然后进行部署。
公开内容
有鉴于此,本公开要解决的一个技术问题是提供一种访问控制策略配置方法、装置和系统以及存储介质。
根据本公开的一个方面,提供一种访问控制策略配置方法,用于第一资源,所述方法包括:在创建第二资源时,确定对于所述第二资源是否设置有接入控制策略继承属性;根据确定结果配置所述第二资源的访问控制策略。
可选地,所述根据确定结果配置所述第二资源的访问控制策略包括:如果设置有所述接入控制策略继承属性,则基于所述接入控制策略继承属性判断所述第二资源是否继承与此第二资源具有父子继承关系的父资源的访问控制策略;根据判断结果设置所述第二资源的访问控制策略。
可选地,如果所述接入控制策略继承属性的属性值为第一设定值,则确定所述第二资源继承所述父资源的访问控制策略;如果所述接入控制策略继承属性的属性值为第二设定值,则确定所述第二资源不继承所述父资源的访问控制策略;如果所述接入控制策略继承属性的属性值为第三设定值,则根据预设的设置规则确定所述第二资源是否继承所述父资源的访问控制策略。
可选地,所述配置所述第二资源的访问控制策略包括:当所述接入控制策略继承属性的属性值为第一设定值时,则根据所述父资源的第一访问控制策略标识属性设置所述第二资源的第二访问控制策略标识属性;当所述接入控制策略继承属性的属性值为第二设定值时,则请求应用层制定所述第二访问控制策略标识属性;当所述接入控制策略继承属性的属性值为第三设定值时,则根据所述父资源的第一访问控制策略标识属性设置所述第二访问控制策略标识属性,或请求应用层制定所述第二访问控制策略标识属性。
可选地,在创建第二资源时,确定对于所述第二资源是否设置有第三访问控制策略标识属性;如果设置有所述第三访问控制策略标识属性,则在所述第二访问控制策略标识属性中添加所述第三访问控制策略标识属性。
可选地,对于所述接入控制策略继承属性的属性值为所述第一设定值的第二资源,如果在与此第二资源相对应的所述第一访问控制策略标识属性中新添或删除访问控制策略标识信息,则在此第二资源的第二访问控制策略标识属性中相应地新添或删除所述访问控制策略标识信息。
可选地,接收到用于创建所述第二资源的资源创建消息,其中,所述资源创建消息携带有所述接入控制策略继承属性的属性值,或者所述资源创建消息携带有所述接入控制策略继承属性的属性值和所述第三访问控制策略标识属性;设置所述第二访问控制策略标识属性并返回。
可选地,如果没有设置所述接入控制策略继承属性,则基于预设的策略配置规则配置所述第二资源的访问控制策略。
根据本公开的另一方面,提供一种访问控制策略配置装置,用于第一资源,包括:属性确定模块,用于在创建第二资源时,确定对于所述第二资源是否设置有接入控制策略继承属性;控制策略配置模块,用于根据确定结果配置所述第二资源的访问控制策略。
可选地,所述控制策略配置模块,包括:继承判断单元,用于如果设置有所述接入控制策略继承属性,则基于所述接入控制策略继承属性判断所述第二资源是否继承与此第二资源具有父子继承关系的父资源的访问控制策略;策略设置单元,用于根据判断结果设置所述第二资源的访问控制策略。
可选地,继承判断单元,用于如果所述接入控制策略继承属性的属性值为第一设定值,则确定所述第二资源继承所述父资源的访问控制策略;如果所述接入控制策略继承属性的属性值为第二设定值,则确定所述第二资源不继承所述父资源的访问控制策略;策略设置单元,用于如果所述接入控制策略继承属性的属性值为第三设定值,则根据预设的设置规则确定所述第二资源是否继承所述父资源的访问控制策略。
可选地,所述策略设置单元,用于当所述接入控制策略继承属性的属性值为第一设定值时,则根据所述父资源的第一访问控制策略标识属性设置所述第二资源的第二访问控制策略标识属性;当所述接入控制策略继承属性的属性值为第二设定值时,则请求应用层制定所述第二访问控制策略标识属性;所述策略设置单元,用于当所述接入控制策略继承属性的属性值为第三设定值时,则根据所述父资源的第一访问控制策略标识属性设置所述第二访问控制策略标识属性,或请求应用层制定所述第二访问控制策略标识属性。
可选地,所述属性确定模块,用于在创建第二资源时,确定对于所述第二资源是否设置有第三访问控制策略标识属性;所述策略设置单元,用于如果设置有所述第三访问控制策略标识属性,则在所述第二访问控制策略标识属性中添加所述第三访问控制策略标识属性。
可选地,所述控制策略配置模块,包括:策略更新模块,用于对于所述接入控制策略继承属性的属性值为所述第一设定值的第二资源,如果在与此第二资源相对应的所述第一访问控制策略标识属性中新添或删除访问控制策略标识信息,则在此第二资源的第二访问控制策略标识属性中相应地新添或删除所述访问控制策略标识信息。
可选地,属性确定模块,用于接收到用于创建所述第二资源的资源创建消息,其中,所述资源创建消息携带有所述接入控制策略继承属性的属性值,或者所述资源创建消息携带有所述接入控制策略继承属性的属性值和所述第三访问控制策略标识属性;所述策略设置单元,用于设置所述第二访问控制策略标识属性并返回。
可选地,策略设置单元,用于如果没有设置所述接入控制策略继承属性,则基于预设的策略配置规则配置所述第二资源的访问控制策略。
根据本公开的又一方面,提供一种访问控制策略配置系统,包括:第一资源和第二资源,所述第一资源包括如上所述的访问控制策略配置装置。
可选地,所述第一资源包括:通用服务实体;所述第二资源包括:应用实体。
根据本公开的又一方面,提供一种访问控制策略配置装置,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如上所述的方法。
根据本公开的再一方面,提供一种计算机可读存储介质,其上存储有计算机程序指令,该指令被一个或多个处理器执行时实现如上所述的方法的步骤。
本公开的访问控制策略配置方法、装置和系统以及存储介质,可以根据接入控制策略继承属性确定是否继承父资源的访问策略权限,能够高效设置以及更改子资源的访问控制策略,能够根据用户对于继承关系的指示进行访问控制策略的配置和修改,提高了对于资源进行访问控制策略的设置和更改的效率,完善了现有的访问控制策略的相关标准,提高用户的使用感受度。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开的访问控制策略配置方法的一个实施例的流程示意图;
图2为本公开的访问控制策略配置方法的一个实施例中的设置访问控制策略的流程示意图;
图3为本公开的访问控制策略配置方法的另一个实施例中的设置访问控制策略的流程示意图;
图4为本公开的访问控制策略配置方法的另一个实施例的流程示意图;
图5为本公开的访问控制策略配置方法的又一个实施例的流程示意图
图6为父资源与子资源的树状结构以及父资源与子资源所设置的属性的示意图;
图7为本公开的访问控制策略配置装置的一个实施例的模块示意图;
图8为本公开的访问控制策略配置装置的一个实施例中控制策略配置模块的模块示意图;
图9为本公开的访问控制策略配置装置的一个实施例中另一控制策略配置模块的模块示意图;
图10为本公开的访问控制策略配置装置的另一个实施例的模块示意图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,也属于本公开保护的范围。
下文中的“第一”、“第二”等仅用于描述上相区别,并没有其它特殊的含义。
物联网包括感知层、网络层和应用层;其中感知层由各种传感器构成,包括例如红外传感器、电子标签、读卡器、感应器等感知终端,感知层是物联网识别物体、采集信息的来源;网络层由各种网络,包括互联网、广电网、网络管理系统和云计算平台等组成,负责传递和处理感知层获取的信息;应用层是物联网和用户的接口,它与行业需求结合,实现物联网的智能应用。
在对应于M2M架构上的应用层上,各个设备和传感器中的应用实体(ApplicationEntity,AE)提供了管理应用以及与应用进行交互的标准化的接口;在对应于应用层和网络层之间的业务层上,公共业务实体(Common Services Entity,CSE)支持资源共享和互操作性。在现有的访问控制策略配置方案中,访问控制策略(accessControlPolicy)资源中存储的是访问控制策略内容,访问控制策略内容是对于资源访的访问控制策略包括代表一组接入控制规则的属性权限,访问控制策略资源可以设置多个,对每个访问控制策略资源都设置有对应的标识符。
可以在根资源下设置访问控制策略资源,根资源下的目标资源下设置有访问控制策略标识(accessControlPolicyIDs)属性,访问控制策略标识属性的属性值包含访问控制策略的标识符列表,列表中包括至少一个访问控制策略标识符。目标资源与访问控制策略资源相连接是通过访问控制策略标识属性值来进行连接的。
访问目标资源的请求需要通过与访问控制策略标识属性中的访问控制策略的标识符列表中的一个或多个标识符对应的访问控制策略资源的授权验证,方可完成请求授权操作。如果目标资源没有访问控制策略标识属性,授权评估依据其父资源访问控制策略标识属性值所对应的访问控制策略标识属性进行,或者根据本地策略中请求者相关内容进行评估。
现有的访问控制策略配置方案存在比较严重的漏洞:一、作为发起者,一旦通过主动安全策略部署,例如在创建资源时就将访问控制策略标识属性作为属性之一发送给接收者,在应用层没有干预的情况下就意味着不继承父资源的策略权限;二、目标资源在初始没有访问控制策略标识属性值时,继承着父资源的访问控制策略,如果为其单独添加了访问控制策略标识属性,则意味着不继承父资源的策略权限。访问控制策略标识属性值为访问控制策略标识属性中包含的访问控制策略的标识符列表。
大型的物联网设备管理平台拥有大量的注册设备,并且拥有大量的访问交互数据。在安全层方面,已经有访问控制策略部署,访问控制策略包括:对已知黑名单用户的限制、对内部大数据分析主机的放行/限制、对特殊机构组织的局部权限放行/限制、对区域防控的权限部署等。在这些安全策略都部署的情况下,访问控制策略为:提供自上而下的访问控制策略,访问下级资源的同时,要兼顾遵守上级资源的访问控制权限。
平台使用用户划分等级并且存在包含关系。例如,对于高级机密组织,对于设备信息的管理,使用的用户分为不同的机密等级,机密等级越高,能看到的信息越多。现有的访问控制策略配置方法是对于资源的控制访问策略进行独立部署配置,即对于每个用户都独立配置自身的访问控制策略。
但是,大型的物联网设备管理平台的全局访问控制策略信息应属于机密信息,全局访问控制策略信息为在物联网设备管理平台下的任何资源都可以使用的访问控制策略信息,不应该被普通用户知悉;大型的物联网设备管理平台的全局访问控制策略信息数量多,用户进行获取不具有可行性;大型的物联网设备管理平台的全局访问控制策略信息被用户获取,被重新组装,生成新的访问控制集合然后进行部署,对于大部分运算力低下的物联网设备不具有可行性。现有的访问控制策略配置方法不能实现体现用户意志的访问安全控制策略的设置。
本公开的资源包括:CSE、各个设备和传感器中的应用实体(Application Entity,AE)、容器、软件等。在一个实施例中,本公开提供一种访问控制策略配置方法,用于第一资源,第一资源可以为等。图1为本公开的访问控制策略配置方法的一个实施例的流程示意图,如图1所示:
步骤101,在创建第二资源时,确定对于第二资源是否设置有接入控制策略继承属性。接入控制策略继承属性可以设置,例如为接入控制策略继承属性,第二资源可以为AE等。
步骤102,根据确定结果配置第二资源的访问控制策略。第二资源可以为AE等。可以根据接入控制策略继承属性配置第二资源的访问控制策略,能够根据用户对于继承关系的指示进行访问控制策略的配置。
图2为本公开的访问控制策略配置方法的一个实施例中的设置访问控制策略的流程示意图,如图2所示:
步骤201,如果设置有接入控制策略继承属性,则基于接入控制策略继承属性判断第二资源是否继承与此第二资源具有父子继承关系的父资源的访问控制策略。
父子继承关系可以为多种,例如,父资源是安装在汽车上的黑盒子,第二资源可以为安装在黑盒子中的故障码记录装置、油耗记录装置等,故障码记录装置、油耗记录装置等,与黑盒子为继承关系,或者,父资源是安装在室内的空调,第二资源是安装在空调中的温度传感器、湿度传感器等,温度传感器、湿度传感器等,安装在父资源内的温度传感器、湿度传感器等与空调为继承关系。在树型的设备或资源拓扑结构图中,父资源为父节点,第二资源为父资源的孩子节点。
步骤202,根据判断结果设置第二资源的访问控制策略。接入控制策略继承属性的属性值可以表明资源请求发起者的访问控制意愿以及资源的访问控制策略配置情况,确定配置该访问控制策略是继承其父资源策略权限,还是默认访问控制策略。
在一个实施例中,如果接入控制策略继承属性的属性值为第一设定值,则确定第二资源继承父资源的访问控制策略;如果接入控制策略继承属性的属性值为第二设定值,则确定第二资源不继承父资源的访问控制策略;如果接入控制策略继承属性的属性值为第三设定值,则根据预设的设置规则确定是否继承所述父资源的访问控制策略,可以继承也可以不继承父资源的访问控制策略。
第一设定值、第二设定值和第三设定值可以设置,例如,第一设定值为1、第二设定值为0、第三设定值为空值等。当属性值为1时,则根据父资源的第一访问控制策略标识属性设置第二资源的第二访问控制策略标识属性。当属性值为0时,则请求应用层制定第二访问控制策略标识属性。当属性值为空值时,预设的设置规则可以有多种,例如,根据父资源的第一访问控制策略标识属性设置第二访问控制策略标识属性或请求应用层制定第三访问控制策略标识属性。
在一个实施例中,第一访问控制策略标识属性值为第一访问控制策略标识属性包含的访问控制策略的标识符列表;第二访问控制策略标识属性值为第二访问控制策略标识属性包含的访问控制策略的标识符列表;第三访问控制策略标识属性值为第三访问控制策略标识属性包含的访问控制策略的标识符列表。标识符列表包含有至少一个访问控制策略的标识符。
图3为本公开的访问控制策略配置方法的另一个实施例中的设置访问控制策略的流程示意图,如图3所示:
步骤301,在创建第二资源时,确定对于第二资源是否设置有第三访问控制策略标识属性。
步骤302,如果设置有第三访问控制策略标识属性,则在第二访问控制策略标识属性中添加第三访问控制策略标识属性。
在一个实施例中,当在创建第二资源时,对于第二资源设置的接入控制策略继承属性的值为1,对于第二资源没有设置第三访问控制策略标识属性,则公共服务实体CSE将父资源的第一访问控制策略标识属性复制到第二资源中,作为第二资源的第二访问控制策略标识属性。第一访问控制策略标识属性包含访问控制策略的标识符列表,标识符列表包含有至少一个访问控制策略的标识符。
如果对于第二资源设置的接入控制策略继承属性的属性值为1,对于第二资源设置有第三访问控制策略标识属性,第三访问控制策略标识属性包含访问控制策略的标识符列表,标识符列表包含有至少一个访问控制策略的标识符。则公共服务实体将父资源的第一访问控制策略标识属性复制到第二资源中,并且将第三访问控制策略标识属性添加到第二资源中,作为第二资源的第二访问控制策略标识属性,第二资源的第二访问控制策略标识属性包括第一访问控制策略标识属性和第三访问控制策略标识属性。
当在创建第二资源时,对于第二资源设置的接入控制策略继承属性的属性值为0,对于第二资源没有设置第三访问控制策略标识属性值,公共服务实体请求应用层决定访问控制策略标识,将应用层决定的访问控制策略的标识符列表添加到第二资源中,作为第二资源的第二访问控制策略标识属性值。
如果对于第二资源设置的接入控制策略继承属性的属性值为0,对于第二资源设置有第三访问控制策略标识属性,公共服务实体请求应用层决定访问控制策略标识。公共服务实体将应用层决定的访问控制策略标识复制到第二资源中,并且将第三访问控制策略标识属性添加到第二资源中,作为第二资源的第二访问控制策略标识属性,第二资源的第二访问控制策略标识属性包括:应用层决定的访问控制策略的标识符列表、第三访问控制策略标识属性。
在一个实施例中,第一资源接收到用于创建第二资源的资源创建消息,其中,资源创建消息携带有接入控制策略继承属性的值,或者资源创建消息携带有接入控制策略继承属性的值和第三访问控制策略标识属性。第一资源设置第二访问控制策略标识属性并返回。
图4为本公开的访问控制策略配置方法的另一个实施例的流程示意图,如图4所示:
步骤401,发起方创建资源请求信息到公共服务实体CSE(Hosting CSE),该创建的资源请求信息中包括接入控制策略继承属性等内容。
步骤402,公共服务实体根据该资源请求信息中的接入控制策略继承属性的值,反馈该创建的资源详情到发起方,包括:当接入控制策略继承属性设置为空时,发起方的访问控制策略继承其父资源或者默认访问控制策略;当接入控制策略继承属性设置为1时,发起方可以继承其父资源的访问控制策略;当接入控制策略继承属性设置为0时,发起方不需要继承其父资源的访问控制策略。
步骤403,反馈该创建的资源详情到发起方。
图5为本公开的访问控制策略配置方法的又一个实施例的流程示意图,如图5所示:
步骤501,接收到用于创建第二资源的资源创建消息。
步骤502,判断资源创建消息中是否携带有接入控制策略继承属性。如果是,进入步骤504,如果否,进入步骤503。其中,接入控制策略继承属性设置为inheritance,inheritance的值为接入控制策略继承属性的值。
步骤503,如果没有设置接入控制策略继承属性,则基于预设的策略配置规则配置第二资源的访问控制策略,可以由Hosting CSE配置第二资源的第二访问控制策略标识属性值。预设的策略配置规则可以有多种,例如,将父资源的第一访问控制策略标识属性值复制在第二资源中,作为第二访问控制策略标识属性值。
步骤504,判断接入控制策略继承属性的值是否为1,如果是,进入步骤505,如果否,进入步骤508。
发起者建立新的资源时,希望该资源可以继承其父资源的访问控制策略信息,将接入控制策略继承属性的属性值设置为1;对于无主动防御的情况:将接入控制策略继承属性的属性值设置为1,资源创建消息内容中没有携带对于第二资源设置的第三访问控制策略标识属性值。对于有主动防御情况:将接入控制策略继承属性的属性值设置为1,资源创建消息内容中携带对于第二资源设置的第三访问控制策略标识属性值。
步骤505,判断创建消息中是否携带有第三访问控制策略标识属性值,如果是,进入步骤506,如果否,进入步骤507。
步骤506,将父资源的第一访问控制策略标识属性值复制到新创建的第二资源中。
步骤507,将父资源的第一访问控制策略标识属性值复制到新创建的第二资源中,并且,将第三访问控制策略标识属性值复制到新创建的第二资源中。
步骤508,判断接入控制策略继承属性的属性值是否为0,如果是,进入步骤509,如果否,进入步骤512。
发起者在建立新的资源时,希望该资源不需要继承其父资源的访问控制策略信息,需要将接入控制策略继承属性的属性值设置为0;对于无主动防御的情况:将接入控制策略继承属性的属性值设置为0,资源创建消息内容中没有携带对于第二资源设置的第三访问控制策略标识属性值信息。对于有主动防御情况:将接入控制策略继承属性的属性值设置为0,资源创建消息内容中携带对于第二资源设置的第三访问控制策略标识属性值信息。
步骤509,判断创建消息中是否携带有第三访问控制策略标识属性值属性,如果是,进入步骤510,如果否,进入步骤511。
步骤510,将应用层制定的访问控制策略标识属性值复制到新创建的第二资源中。
如果接入控制策略继承属性的属性值设置为0,并且请求资源创建获得通过,Hosting CSE将会请求应用层为其制定相关的访问控制策略,将第二资源的第二访问控制策略标识属性值填充。
步骤511,将应用层制定的访问控制策略标识属性值复制复制到新创建的第二资源中,并且,将第三访问控制策略标识属性值复制到新创建的第二资源中,将创建消息中的第三访问控制策略标识属性值一同添加到第二资源的第二访问控制策略标识属性值中。应用层制定的访问控制策略标识属性值为应用层制定的访问控制策略的标识符列表。
步骤512,判断接入控制策略继承属性是否为空,如果是,进入步骤513。
步骤513,判断创建消息中是否携带有第三访问控制策略标识属性值,如果是,进入步骤514,如果否,进入步骤515。
如果接入控制策略继承属性的属性值设置为空,则代表:1、发起者可能为轻量化的物联网设备,Hosting CSE为其设置访问控制策略标识属性值,并为创建的资源指定接入控制策略继承属性属性值(1,0,空),如果新建立资源的访问控制策略标识属性值为空,其访问控制策略继承其父资源或者默认访问控制策略;2、发起者不知道是否应该继承父资源的访问控制策略信息,Hosting CSE为其设置访问控制策略标识属性值,并为创建的资源指定接入控制策略继承属性的值(1,0,空),如果新建立的资源访问控制策略标识属性值为空,其访问控制策略继承其父资源或者默认访问控制策略。
步骤514,将根据父资源的第一访问控制策略标识属性值或预设的访问控制策略标识属性复制到新创建的第二资源中。
步骤515,将根据父资源的第一访问控制策略标识属性值或预设的访问控制策略标识属性复制到新创建的第二资源中,并且,将第三访问控制策略标识属性值复制到新创建的第二资源中。
在一个实施例中,对于属性值为第一设定值的第二资源,如果在与此第二资源相对应的第一访问控制策略标识属性中新添或删除访问控制策略标识信息,可以为访问控制策略的标识符,则在此第二资源的第二访问控制策略标识属性中相应地新添或删除一个或多个访问控制策略标识信息。例如,如果接入控制策略继承属性的属性值设置为1,并且请求资源创建获得通过,创建的新资源将其父资源的第一访问控制策略标识属性值内容复制到其第二访问控制策略标识属性值中。如果父资源此时更改了第一访问控制策略标识属性值内容,对于添加访问控制策略标识信息的情况,将父资源添加的访问控制策略标识属性中添加的访问控制策略标识信息加到接入控制策略继承属性属性值为1的第二资源(子资源)的第二访问控制策略标识属性中,为迭代反应;对于删除的情况,将父资源删除的访问控制策略标识信息从接入控制策略继承属性值为1的第二资源(子资源)的第二访问控制策略标识属性中删除掉,为迭代反应。
如图6所示,在资源树中,通用服务实体1为根节点,设置有访问控制策略标识属性1,访问控制策略标识属性1的属性值为访问控制策略标识属性1包含的访问控制策略的标识符列表1,列表1为{ACP_1、ACP_2、ACP_3}。通用服务实体1有多个孩子节点,分别为应用实体2、应用实体3和应用实体5。
应用实体2设置有接入控制策略继承属性1和访问控制策略标识属性2,接入控制策略继承属性1的值为1,访问控制策略标识属性2的属性值为访问控制策略标识属性2包含的访问控制策略的标识符列表2,列表2为{ACP_1、ACP_2、ACP_3}。
应用实体3设置有接入控制策略继承属性3和访问控制策略标识属性3,接入控制策略继承属性3的值为1,访问控制策略标识属性3的属性值为访问控制策略标识属性3包含的访问控制策略的标识符列表3,列表3为{ACP_1、ACP_2、ACP_3}。
应用实体5设置有接入控制策略继承属性5和访问控制策略标识属性5,接入控制策略继承属性5的值为0,访问控制策略标识属性5的属性值为访问控制策略标识属性5包含的访问控制策略的标识符列表5,列表5为{ACP_1、ACP_2、ACP_3}。
应用实体3有一个孩子节点,为应用实体4。应用实体4设置有接入控制策略继承属性4和访问控制策略标识属性4,接入控制策略继承属性4的值为1,访问控制策略标识属性4的属性值为访问控制策略标识属性4包含的访问控制策略的标识符列表4,列表4为{ACP_1、ACP_2、ACP_3}。
如果一个疑似攻击者A对物联网数据进行爬虫获取数据,为了保护数据安全,需要给所有的资源进行暂时保护,建立一条针对用户A的访问控制策略资源B,访问控制策略资源B的内容就是凡是A发起的资源获取请求,均将其屏蔽。为通用服务实体1的访问控制策略标识属性1添加了关于访问控制策略资源B的标识符ACP_4,则列表1为{ACP_1、ACP_2、ACP_3、ACP_4}。
拥有接入控制策略继承属性的属性值为1的应用实体2、应用实体3及其后代应用实体4的访问控制策略标识属性都有了更新,添加了关于A的访问控制策略ACP_4,即列表2、列表3和列表4都为{ACP_1、ACP_2、ACP_3、ACP_4}。拥有接入控制策略继承属性的属性值为0的应用实体5,不更新访问控制策略标识属性5,列表5保持不变,为{ACP_1、ACP_2、ACP_3}。也可以采用手工等方式将ACP_4添加到列表5中。
如果通用服务实体1删除了访问控制策略标识符ACP_3,则列表1为{ACP_1、ACP_2}。拥有接入控制策略继承属性的属性值为1的应用实体2、应用实体3及其后代应用实体4的访问控制策略标识属性都有了更新,删除了访问控制策略标识符ACP_3,即列表2、列表3和列表4都为{ACP_1、ACP_2},而列表5保持不变,为{ACP_1、ACP_2、ACP_3}。
在一个实施例中,如图7所示,本公开提供一种访问控制策略配置装置80,用于第一资源,包括:属性确定模块81和控制策略配置模块82。属性确定模块81在创建第二资源时,确定对于第二资源是否设置有接入控制策略继承属性。控制策略配置模块82根据确定结果配置第二资源的访问控制策略。
如图8所示,控制策略配置模块82包括:继承判断单元821和策略设置单元822。如果设置有接入控制策略继承属性,则继承判断单元821基于接入控制策略继承属性判断第二资源是否继承与此第二资源具有父子继承关系的父资源的访问控制策略。策略设置单元822根据判断结果设置第二资源的访问控制策略。
在一个实施例中,如果接入控制策略继承属性的属性值为第一设定值,则继承判断单元822确定第二资源继承父资源的访问控制策略。如果接入控制策略继承属性的属性值为第二设定值,则继承判断单元822确定第二资源不继承父资源的访问控制策略。如果接入控制策略继承属性的属性值为第二设定值,则策略设置单元822则根据预设的设置规则确定所述第二资源是否继承所述父资源的访问控制策略。
当属性值为第一设定值时,则策略设置单元822根据父资源的第一访问控制策略标识属性设置第二资源的第二访问控制策略标识属性。当属性值为第二设定值时,则策略设置单元822请求应用层制定第二访问控制策略标识属性。当属性值为第三设定值时,则策略设置单元822根据父资源的第一访问控制策略标识属性设置第二访问控制策略标识属性,或请求应用层制定所述第二访问控制策略标识属性。
属性确定模块81在创建第二资源时,确定对于第二资源是否设置有第三访问控制策略标识属性。如果设置有第三访问控制策略标识属性,则策略设置单元,822在第二访问控制策略标识属性中添加第三访问控制策略标识属性。
如图9所示,控制策略配置模块82还包括策略更新模块823。对于接入控制策略继承属性的属性值为第一设定值的第二资源,如果在与此第二资源相对应的第一访问控制策略标识属性中新添或删除访问控制策略标识信息,则策略更新模块823在此第二资源的第二访问控制策略标识属性中相应地新添或删除访问控制策略标识信息。
在一个实施例中,属性确定模块81接收到用于创建第二资源的资源创建消息,其中,资源创建消息携带有属性值,或者资源创建消息携带有属性值和第三访问控制策略标识属性。策略设置单元822设置第二访问控制策略标识属性并返回。如果没有设置接入控制策略继承属性,则策略设置单元822基于预设的策略配置规则配置第二资源的访问控制策略。
在一个实施例中,本公开提供一种访问控制策略配置系统,访问控制策略配置系统包括:第一资源和第二资源,第一资源包括如上任一实施例中的访问控制策略配置装置。第一资源可以为通用服务实体CSE等,第二资源可以为应用实体AE等。
在一个实施例中,如图10所示,提供一种访问控制策略配置装置,该装置可包括存储器111和处理器112,存储器111用于存储指令,处理器112耦合到存储器111,处理器112被配置为基于存储器111存储的指令执行实现上述的任一实施例的访问控制策略配置方法。该资源配置装置还包括通信接口113,用于与其它设备进行信息交互。同时,该装置还包括总线114,处理器112、通信接口113、以及存储器111通过总线114完成相互间的通信。
存储器111可以为高速RAM存储器、非易失性存储器(non-volatile memory)等,存储器111也可以是存储器阵列。存储器111还可能被分块,并且块可按一定的规则组合成虚拟卷。处理器112可以为中央处理器CPU,或专用集成电路ASIC(Application SpecificIntegrated Circuit),或者是被配置成实施本公开的访问控制策略配置方法的一个或多个集成电路。
在一个实施例中,本公开提供一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如上任一个实施例中的访问控制策略配置方法。
上述实施例提供的访问控制策略配置方法、装置和系统以及存储介质,可以根据接入控制策略继承属性确定是否继承父资源的访问策略权限,能够高效设置以及更改子资源的访问控制策略,能够根据用户对于继承关系的指示进行访问控制策略的配置和修改,提高了对于资源进行访问控制策略的设置和更改的效率,完善了现有的访问控制策略的相关标准。
可能以许多方式来实现本公开的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
本公开的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用,并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。
Claims (20)
1.一种访问控制策略配置方法,用于第一资源,方法包括:
在创建第二资源时,确定对于所述第二资源是否设置有接入控制策略继承属性;
根据确定结果配置所述第二资源的访问控制策略。
2.如权利要求1所述的方法,所述根据确定结果配置所述第二资源的访问控制策略包括:
如果设置有所述接入控制策略继承属性,则基于所述接入控制策略继承属性判断所述第二资源是否继承与此第二资源具有父子继承关系的父资源的访问控制策略;
根据判断结果设置所述第二资源的访问控制策略。
3.如权利要求2所述的方法,还包括:
如果所述接入控制策略继承属性的属性值为第一设定值,则确定所述第二资源继承所述父资源的访问控制策略;
如果所述接入控制策略继承属性的属性值为第二设定值,则确定所述第二资源不继承所述父资源的访问控制策略;
如果所述接入控制策略继承属性的属性值为第三设定值,则根据预设的设置规则确定所述第二资源是否继承所述父资源的访问控制策略。
4.如权利要求3所述的方法,所述配置所述第二资源的访问控制策略包括:
当所述接入控制策略继承属性的属性值为第一设定值时,则根据所述父资源的第一访问控制策略标识属性设置所述第二资源的第二访问控制策略标识属性;
当所述接入控制策略继承属性的属性值为第二设定值时,则请求应用层制定所述第二访问控制策略标识属性;
当所述接入控制策略继承属性的属性值为第三设定值时,则根据所述父资源的第一访问控制策略标识属性设置所述第二访问控制策略标识属性或请求应用层制定所述第二访问控制策略标识属性。
5.如权利要求4所述的方法,还包括:
在创建第二资源时,确定对于所述第二资源是否设置有第三访问控制策略标识属性;
如果设置有所述第三访问控制策略标识属性,则在所述第二访问控制策略标识属性中添加所述第三访问控制策略标识属性。
6.如权利要求5所述的方法,还包括:
对于所述接入控制策略继承属性的属性值为所述第一设定值的第二资源,如果在与此第二资源相对应的所述第一访问控制策略标识属性中新添或删除访问控制策略标识信息,则在此第二资源的第二访问控制策略标识属性中相应地新添或删除所述访问控制策略标识信息。
7.如权利要求5所述的方法,还包括:
接收到用于创建所述第二资源的资源创建消息,其中,所述资源创建消息携带有所述接入控制策略继承属性的属性值,或者所述资源创建消息携带有所述接入控制策略继承属性的属性值和所述第三访问控制策略标识属性;
设置所述第二访问控制策略标识属性并返回。
8.如权利要求2所述的方法,还包括:
如果没有设置所述接入控制策略继承属性,则基于预设的策略配置规则配置所述第二资源的访问控制策略。
9.一种访问控制策略配置装置,用于第一资源,包括:
属性确定模块,用于在创建第二资源时,确定对于所述第二资源是否设置有接入控制策略继承属性;
控制策略配置模块,用于根据确定结果配置所述第二资源的访问控制策略。
10.如权利要求9所述的装置,其中,
所述控制策略配置模块,包括:
继承判断单元,用于如果设置有所述接入控制策略继承属性,则基于所述接入控制策略继承属性判断所述第二资源是否继承与此第二资源具有父子继承关系的父资源的访问控制策略;
策略设置单元,用于根据判断结果设置所述第二资源的访问控制策略。
11.如权利要求10所述的装置,其中,
所述继承判断单元,用于如果所述接入控制策略继承属性的属性值为第一设定值,则确定所述第二资源继承所述父资源的访问控制策略;如果所述接入控制策略继承属性的属性值为第二设定值,则确定所述第二资源不继承所述父资源的访问控制策略;
所述策略设置单元,用于如果所述接入控制策略继承属性的属性值为第三设定值,则根据预设的设置规则确定所述第二资源是否继承所述父资源的访问控制策略。
12.如权利要求11所述的装置,其中,
所述策略设置单元,用于当所述接入控制策略继承属性的属性值为第一设定值时,则根据所述父资源的第一访问控制策略标识属性设置所述第二资源的第二访问控制策略标识属性;当所述接入控制策略继承属性的属性值为第二设定值时,则请求应用层制定所述第二访问控制策略标识属性;
所述策略设置单元,用于当所述接入控制策略继承属性的属性值为第三设定值时,则根据所述父资源的第一访问控制策略标识属性设置所述第二访问控制策略标识属性,或请求应用层制定所述第二访问控制策略标识属性。
13.如权利要求12所述的装置,其中,
所述属性确定模块,用于在创建第二资源时,确定对于所述第二资源是否设置有第三访问控制策略标识属性;
所述策略设置单元,用于如果设置有所述第三访问控制策略标识属性,则在所述第二访问控制策略标识属性中添加所述第三访问控制策略标识属性。
14.如权利要求13所述的装置,其中,
所述控制策略配置模块,包括:
策略更新模块,用于对于所述接入控制策略继承属性的属性值为所述第一设定值的第二资源,如果在与此第二资源相对应的所述第一访问控制策略标识属性中新添或删除访问控制策略标识信息,则在此第二资源的第二访问控制策略标识属性中相应地新添或删除所述访问控制策略标识信息。
15.如权利要求13所述的装置,其中,
所述属性确定模块,用于接收到用于创建所述第二资源的资源创建消息,其中,所述资源创建消息携带有所述接入控制策略继承属性的属性值,或者所述资源创建消息携带有所述接入控制策略继承属性的属性值和所述第三访问控制策略标识属性;
所述策略设置单元,用于设置所述第二访问控制策略标识属性并返回。
16.如权利要求10所述的装置,其中,
所述策略设置单元,用于如果没有设置所述接入控制策略继承属性,则基于预设的策略配置规则配置所述第二资源的访问控制策略。
17.一种访问控制策略配置系统,包括:
第一资源和第二资源,所述第一资源包括如权利要求9至16任一项所述的访问控制策略配置装置。
18.如权利要求17所述的系统,其中,
所述第一资源包括:通用服务实体;所述第二资源包括:应用实体。
19.一种访问控制策略配置装置,包括:
存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1至8中任一项所述的方法。
20.一种计算机可读存储介质,其上存储有计算机程序指令,该指令被一个或多个处理器执行时实现权利要求1至8任意一项所述的方法的步骤。
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810962847.6A CN110858833B (zh) | 2018-08-22 | 2018-08-22 | 访问控制策略配置方法、装置和系统以及存储介质 |
EP19851464.8A EP3843353B1 (en) | 2018-08-22 | 2019-08-21 | Access control policy configuration method, device and storage medium |
KR1020217007691A KR20210041074A (ko) | 2018-08-22 | 2019-08-21 | 접근 제어 정책 구성을 위한 방법, 장치, 시스템 및 저장 매체 |
PCT/CN2019/101760 WO2020038400A1 (zh) | 2018-08-22 | 2019-08-21 | 访问控制策略配置方法、装置和系统以及存储介质 |
US17/268,870 US11902279B2 (en) | 2018-08-22 | 2019-08-21 | Method, apparatus, system and storage medium for access control policy configuration |
JP2021509188A JP7433294B2 (ja) | 2018-08-22 | 2019-08-21 | アクセスコントロールポリシーの配置方法、装置、システム及び記憶媒体 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810962847.6A CN110858833B (zh) | 2018-08-22 | 2018-08-22 | 访问控制策略配置方法、装置和系统以及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110858833A true CN110858833A (zh) | 2020-03-03 |
CN110858833B CN110858833B (zh) | 2022-09-30 |
Family
ID=69592860
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810962847.6A Active CN110858833B (zh) | 2018-08-22 | 2018-08-22 | 访问控制策略配置方法、装置和系统以及存储介质 |
Country Status (6)
Country | Link |
---|---|
US (1) | US11902279B2 (zh) |
EP (1) | EP3843353B1 (zh) |
JP (1) | JP7433294B2 (zh) |
KR (1) | KR20210041074A (zh) |
CN (1) | CN110858833B (zh) |
WO (1) | WO2020038400A1 (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111611581A (zh) * | 2020-05-14 | 2020-09-01 | 陈洋洋 | 基于物联网的网络大数据信息防泄密方法及云通信服务器 |
CN114218560A (zh) * | 2022-02-22 | 2022-03-22 | 湖北芯擎科技有限公司 | 资源访问方法、装置、电子设备及存储介质 |
CN114422183A (zh) * | 2021-12-13 | 2022-04-29 | 北京思特奇信息技术股份有限公司 | 一种基于安全属性的微服务访问控制方法、系统及装置 |
CN115618387A (zh) * | 2022-10-21 | 2023-01-17 | 上海和今信息科技有限公司 | 基于abac的鉴权方法、装置、设备及计算机可读介质 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11736525B1 (en) * | 2020-06-17 | 2023-08-22 | Amazon Technologies, Inc. | Generating access control policies using static analysis |
CN114244696B (zh) * | 2021-11-08 | 2023-09-22 | 网宿科技股份有限公司 | 一种配置信息的部署方法及配置平台 |
US20230179634A1 (en) * | 2021-12-02 | 2023-06-08 | International Business Machines Corporation | Secure policy distribution in a cloud environment |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101674334A (zh) * | 2009-09-30 | 2010-03-17 | 华中科技大学 | 一种网络存储设备的访问控制方法 |
CN103065100A (zh) * | 2012-12-26 | 2013-04-24 | 中国人民解放军总参谋部第六十一研究所 | 一种基于容器的用户私有数据保护方法 |
CN104967620A (zh) * | 2015-06-17 | 2015-10-07 | 中国科学院信息工程研究所 | 一种基于属性访问控制策略的访问控制方法 |
CN106656935A (zh) * | 2015-11-03 | 2017-05-10 | 电信科学技术研究院 | 角色颁发方法、访问控制方法及相关设备 |
WO2017155162A1 (ko) * | 2016-03-07 | 2017-09-14 | 엘지전자 주식회사 | 무선 통신 시스템에서 접근 제어 정책 자원을 어나운스하기 위한 방법 및 이를 위한 장치 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH087709B2 (ja) | 1989-05-15 | 1996-01-29 | インターナシヨナル・ビジネス・マシーンズ・コーポレーシヨン | アクセス特権制御方法及びシステム |
US7480798B2 (en) | 2003-06-05 | 2009-01-20 | International Business Machines Corporation | System and method for representing multiple security groups as a single data object |
US20060259614A1 (en) * | 2005-05-11 | 2006-11-16 | Bea Systems, Inc. | System and method for distributed data redaction |
JP6240312B2 (ja) | 2013-05-16 | 2017-11-29 | エルジー エレクトロニクス インコーポレイティド | M2m通信システムにおいて購読及び通知のための方法及びそのための装置 |
US20150180872A1 (en) * | 2013-12-20 | 2015-06-25 | Cube, Co. | System and method for hierarchical resource permissions and role management in a multitenant environment |
CN110460978B (zh) | 2014-11-04 | 2021-12-14 | 华为技术有限公司 | 一种资源访问的方法和装置 |
EP3241127A1 (en) * | 2014-12-30 | 2017-11-08 | Convida Wireless, LLC | Semantics annotation and semantics repository for m2m systems |
US9922201B2 (en) | 2015-04-01 | 2018-03-20 | Dropbox, Inc. | Nested namespaces for selective content sharing |
CN106358246B (zh) | 2015-07-16 | 2020-01-24 | 电信科学技术研究院 | 一种访问令牌颁发方法及相关设备 |
WO2017024227A1 (en) | 2015-08-06 | 2017-02-09 | Convida Wireless, Llc | Mechanisms for multi-dimension data operations |
CN106714075B (zh) | 2015-08-10 | 2020-06-26 | 华为技术有限公司 | 一种处理授权的方法和设备 |
KR102219730B1 (ko) | 2016-09-29 | 2021-02-24 | 콘비다 와이어리스, 엘엘씨 | 서비스 계층에 대한 액세스 제어 정책 동기화 |
-
2018
- 2018-08-22 CN CN201810962847.6A patent/CN110858833B/zh active Active
-
2019
- 2019-08-21 JP JP2021509188A patent/JP7433294B2/ja active Active
- 2019-08-21 EP EP19851464.8A patent/EP3843353B1/en active Active
- 2019-08-21 US US17/268,870 patent/US11902279B2/en active Active
- 2019-08-21 WO PCT/CN2019/101760 patent/WO2020038400A1/zh unknown
- 2019-08-21 KR KR1020217007691A patent/KR20210041074A/ko not_active Application Discontinuation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101674334A (zh) * | 2009-09-30 | 2010-03-17 | 华中科技大学 | 一种网络存储设备的访问控制方法 |
CN103065100A (zh) * | 2012-12-26 | 2013-04-24 | 中国人民解放军总参谋部第六十一研究所 | 一种基于容器的用户私有数据保护方法 |
CN104967620A (zh) * | 2015-06-17 | 2015-10-07 | 中国科学院信息工程研究所 | 一种基于属性访问控制策略的访问控制方法 |
CN106656935A (zh) * | 2015-11-03 | 2017-05-10 | 电信科学技术研究院 | 角色颁发方法、访问控制方法及相关设备 |
WO2017155162A1 (ko) * | 2016-03-07 | 2017-09-14 | 엘지전자 주식회사 | 무선 통신 시스템에서 접근 제어 정책 자원을 어나운스하기 위한 방법 및 이를 위한 장치 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111611581A (zh) * | 2020-05-14 | 2020-09-01 | 陈洋洋 | 基于物联网的网络大数据信息防泄密方法及云通信服务器 |
CN111611581B (zh) * | 2020-05-14 | 2021-01-26 | 深圳万物安全科技有限公司 | 基于物联网的网络大数据信息防泄密方法及云通信服务器 |
CN114422183A (zh) * | 2021-12-13 | 2022-04-29 | 北京思特奇信息技术股份有限公司 | 一种基于安全属性的微服务访问控制方法、系统及装置 |
CN114218560A (zh) * | 2022-02-22 | 2022-03-22 | 湖北芯擎科技有限公司 | 资源访问方法、装置、电子设备及存储介质 |
CN114218560B (zh) * | 2022-02-22 | 2023-04-25 | 湖北芯擎科技有限公司 | 资源访问方法、装置、电子设备及存储介质 |
CN115618387A (zh) * | 2022-10-21 | 2023-01-17 | 上海和今信息科技有限公司 | 基于abac的鉴权方法、装置、设备及计算机可读介质 |
CN115618387B (zh) * | 2022-10-21 | 2024-02-06 | 上海和今信息科技有限公司 | 基于abac的鉴权方法、装置、设备及计算机可读介质 |
Also Published As
Publication number | Publication date |
---|---|
US11902279B2 (en) | 2024-02-13 |
EP3843353B1 (en) | 2023-11-22 |
CN110858833B (zh) | 2022-09-30 |
KR20210041074A (ko) | 2021-04-14 |
WO2020038400A1 (zh) | 2020-02-27 |
EP3843353A1 (en) | 2021-06-30 |
JP2021535475A (ja) | 2021-12-16 |
JP7433294B2 (ja) | 2024-02-19 |
US20210314322A1 (en) | 2021-10-07 |
EP3843353A4 (en) | 2022-05-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110858833B (zh) | 访问控制策略配置方法、装置和系统以及存储介质 | |
US10097531B2 (en) | Techniques for credential generation | |
CN109936571B (zh) | 一种海量数据共享方法、开放共享平台及电子设备 | |
US8990900B2 (en) | Authorization control | |
CN109219949B (zh) | 在网络功能虚拟化基础结构中配置安全域的方法和设备 | |
WO2010043175A1 (zh) | 基于权限控制的终端管理方法及装置 | |
WO2020156135A1 (zh) | 一种访问控制策略的处理方法、装置及计算机可读存储介质 | |
AU2014208184A1 (en) | Systems and methodologies for managing document access permissions | |
CN107306247B (zh) | 资源访问控制方法及装置 | |
KR20130120893A (ko) | 가상 머신을 이용한 클라우드 컴퓨팅 서비스를 제공하는 시스템 및 방법 | |
Verginadis et al. | Context-aware policy enforcement for PaaS-enabled access control | |
CN114726547A (zh) | 基于数据交换中间件工业互联网访问控制方法和可读介质 | |
CN111147496B (zh) | 数据处理方法及装置 | |
CN112199624A (zh) | 数据访问控制方法、装置、电子装置和存储介质 | |
CN110807185A (zh) | 系统访问方法、装置及服务器 | |
CN110858846A (zh) | 资源配置方法、装置和存储介质 | |
CN115022008A (zh) | 一种访问风险评估方法、装置、设备及介质 | |
WO2017181775A1 (zh) | 分布式授权管理方法及装置 | |
US20220014559A1 (en) | Identity management protocol router | |
US20240111689A1 (en) | Cache service for providing access to secrets in containerized cloud-computing environment | |
CN114676397A (zh) | 一种资源鉴权方法、装置、电子设备和存储介质 | |
CN117811782A (zh) | 终端访问管理方法、装置、侦听器及存储介质 | |
CN115766100A (zh) | 系统资源权限管理方法、电子设备及存储介质 | |
CN115514506A (zh) | 云平台资源管理方法、装置及可读存储介质 | |
CN117633800A (zh) | 漏洞防护方法、装置、存储介质以及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |