CN111064718B - 一种基于用户上下文及策略的动态授权方法和系统 - Google Patents
一种基于用户上下文及策略的动态授权方法和系统 Download PDFInfo
- Publication number
- CN111064718B CN111064718B CN201911250765.XA CN201911250765A CN111064718B CN 111064718 B CN111064718 B CN 111064718B CN 201911250765 A CN201911250765 A CN 201911250765A CN 111064718 B CN111064718 B CN 111064718B
- Authority
- CN
- China
- Prior art keywords
- user
- authorization
- authority
- dynamic
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 187
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000004364 calculation method Methods 0.000 claims abstract description 25
- 230000006399 behavior Effects 0.000 claims description 29
- 238000012795 verification Methods 0.000 claims description 10
- 238000005516 engineering process Methods 0.000 claims description 8
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 238000007405 data analysis Methods 0.000 claims description 6
- 230000003068 static effect Effects 0.000 abstract description 10
- 238000007726 management method Methods 0.000 description 19
- 230000009471 action Effects 0.000 description 12
- 238000012423 maintenance Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 3
- 238000013523 data management Methods 0.000 description 3
- 230000002085 persistent effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Abstract
本发明公开了一种基于用户上下文及策略的动态授权方法和系统,所述系统包括动态授权前置模块、动态授权引擎模块、动态权限组模块、动态权限策略配置模块。当用户向客户端发起请求时,客户端收集用户上下文信息并验证是否已经授权,若用户未被授权,则客户端上传上下文信息到服务端;所述服务端验证用户是否具备访问资源的权限,若用户没有权限,则根据上下文信息对用户权限进行动态计算,若计算结果符合设定的访问授权的要求,则实时为用户授予资源的访问权限。本发明区别于传统采用静态权限配置的方法来实现用户与资源授权,本发明面向用于与设备场景下的更加便捷、安全、高效的授权管理。
Description
技术领域
本发明属于动态授权的技术领域,具体涉及一种基于用户上下文及策略的动态授权方法和系统。
背景技术
随着互联网技术的快速发展和广泛应用,企业规模的不断扩大,企业信息资源的数据日趋多样化,如何安全高效的管理企业信息系统中的数据资源、做好各项资源的权限控制是各类信息管理系统面临的重大难题。因此,信息资源的权限访问控制在信息系统的设计开发工作中占据着重要的地位。
权限管理几乎出现在任何IT系统里面,用户的授权是IT系统管理不可或缺的重要环节。传统的方法主要是根据用户、属性等,由管理员统一配置好相应的权限。目前主要的授权实现方案基本思路是根据一个可以登录系统用户的角色或者属性,确定该用户所能访问的系统资源范围以及操作权限,甚至通过系统设置的安全规则或者安全策略,实现用户可以访问而且只能访问自己被授权的资源。常见的技术实现有:
1.RBAC:(Role-Based Access Control)基于角色的访问控制,是实施面向企业安全策略的一种有效的访问控制方式。其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的权限变更比用户的权限变更要少得多,这样将简化用户的权限管理,减少系统的开销。
2.ABAC:(Attribute-Based Access Control)基于属性的权限控制,是一种为解决行业分布式应用可信关系访问控制模型,它利用相关实体(如主体、客体、环境)的属性作为授权的基础来研究如何进行访问控制,访问判定是基于请求者和资源具有的属性,请求者和资源在ABAC中通过特性来标识,具有足够的灵活性和可扩展性,同时使得安全的匿名访问成为可能。
3.DAC:(Discretionary Access Control)自主访问控制,产品中的操作对象被设置了权限等级。在用户登陆时,系统识别用户,根据被操作对象的权限控制列表或者权限控制矩阵信息设置用户能对哪些操作对象进行何种操作。自主访问控制模型是根据自主访问控制策略建立的一种模型,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体,某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。自主访问控制又称为任意访问控制。Linux,Unix,Windows NT或是SERVER版本的操作系统都提供自主访问控制的功能。在实现上,首先要对用户的身份进行鉴别,然后就可以按照访问控制列表所赋予用户的权限,允许和限制用户使用客体的资源。主体控制权限的修改通常由特权用户(管理员)或是特权用户组实现。
4.MAC:(Mandatory Access Control)强制访问控制,所有的访问控制策略都由系统管理员来制定,用户无法改变。每个对象都有权限标识,每个用户也会有权限标识,用户能否操作某个对象判断在于两个权限标识的关系,而关系判断通常由系统做硬性限制。起初由政府和军方设计并使用,它有非常严格的访问控制模型。在MAC中,所有的权限由管理员预定义,并且由操作系统控制。MAC实现了数据的权限分类,例如重要的等级或安全的等级和用户的权限分类,例如部门、项目等,这样在验证的时候就可以对比用户和数据的权限等级对应关系,从而知道是否有访问权限。
然而,现有授权方法和系统更偏向于企业的IT角色提供系统功能,对用户使用体验、用户所处环境对登录安全性、易用性、便捷性考虑较少,并且当用户与设备数量较多时,权限关系变得极为复杂,权限配置工作繁重,当用户与设备的关系是多对多的时候,配置量还会指数级增加。现有权限控制方法已难以满足大量的用户-设备交互场景中用户访问IT资源存在的不确定性、权限动态变化、访问时效性等需求,权限更难以由管理员集中统一进行配置,用户更无法自主管理对设备的授权:
1)RBAC:RBAC模型没有提供操作顺序控制机制。这一缺陷使得RBAC模型很难应用关于那些要求有严格操作次序的实体系统。
2)DAC:最大缺陷就是对权限控制比较分散,不便于管理,比如无法简单地将一组文件设置统一的权限开放给指定的一群用户。同时,该模型存在较大的安全风险,当一个程序中发生安全裂缝,会影响到该用户能访问的所有对象。这使得DAC在特洛伊木马前特别脆弱。
3)ABAC:ABAC权限控制模型需要对资源属性进行复杂的计算,因其复杂性并不被广泛使用,规则如果稍微复杂一点,或者设计混乱,会给管理者维护和追查带来麻烦,同时如果权限判断需要实时执行,规则过多会导致性能问题
4)MAC:MAC是为了弥补DAC权限控制过于分散的问题而诞生的,MAC非常适合机密机构或者其他等级观念强烈的行业,但对于类似商业服务系统,则因为不够灵活而不能适用。
发明内容
本发明的目的在于提供一种基于用户上下文及策略的动态授权方法,区别于传统采用静态权限配置的方法来实现用户与资源授权,本发明主要面向用于与设备场景下的更加便捷、安全、高效的授权管理方法。
本发明的另一个目的在于提供一种基于用户上下文及策略的动态授权系统,用户与设备的授权关系无需提前配置好并生成相应的授权关系数据,只需要管理员在系统中配置授权策略,用户在使用时会自动根据策略进行动态授权。
本发明主要通过以下技术方案实现:一种基于用户上下文及策略的动态授权方法,当用户向客户端发起请求时,客户端收集用户上下文信息并验证是否已经授权,若用户未被授权,则客户端上传上下文信息到服务端;所述服务端验证用户是否具备访问资源的权限,若用户没有权限,则根据上下文信息对用户权限进行动态计算,若计算结果符合设定的访问授权的要求,则实时为用户授予资源的访问权限。
为了更好地实现本发明,进一步的,当用户发起请求时,客户端自动收集用户的即时上下文信息,同时客户端获取本地经过加密存储的前置权限信息,并验证用户是否已经授权;若本地无已授权信息,则请求被提交到服务端进行权限的验证,同时上传用户的上下文信息到服务端。
为了更好地实现本发明,进一步的,所述服务端的动态权限组模块快速检索用户是否具备访问资源的权限;若动态权限组模块没有得到检索结果,则由服务端的动态授权引擎模块对用户权限进行动态计算。
为了更好地实现本发明,进一步的,在实时为用户授予资源的访问权限的同时,将用户与资源的授权关系记录到动态权限组模块中,实现下一次访问直接从动态权限组模块获取用户已经授权的信息。
为了更好地实现本发明,进一步的,若权限计算结果不符合访问授权的要求,则客户端发送提示,用户实时向设备拥有者发起实时访问授权申请,资源拥有者通过客户端即时审批、授权。
为了更好地实现本发明,进一步的,用户与设备的授权关系被存入客户端或者服务端的动态权限组模块中,实现下一次访问无需再次授权。
为了更好地实现本发明,进一步的,所述上下文信息包括登录状态、用户设备信息、网络位置信息。
本发明主要通过以下技术方案实现:一种基于用户上下文及策略的动态授权系统,包括动态授权前置模块、动态授权引擎模块、动态权限组模块、动态权限策略配置模块;所述动态授权前置模块运行于用户客户端,用于收集用户的上下文信息以及加密存储权限缓存信息,所述动态授权前置模块与客户端的动态授权引擎模块通信;所述动态授权引擎模块根据用户上下文信息进行数据分析并计算得到权限分组信息;所述动态权限组模块对实际发生访问行为的用户授权关系进行存储和提供服务接口;所述动态权限策略配置模块用于配置动态授权策略、手动维护动态权限组模块的权限数据、配置动态权限组模块高速缓存策略。本发明适用于客户端,传统web端和移动端,用户与设备交互的场景。
所述动态权限组模块实现了一组快速、高效的权限查询服务,它对实际发生访问行为的用户授权关系进行存储和提供服务接口,这样就形了真实、有效的权限关系数据;对于未发生访问行为(即使用户对该设备具有访问权限)则不会产生数据,又避免了无用数据的产生;动态权限组在存储方便采用持久化存储+高速缓存的方式将数据进行分级,能大大提升用户权限检索效率;动态授权策略引擎模块对设备的使用时间计算用户权限同时,会将最经常发生以及最近发生的那一部分数据放到高速缓存中,并由动态授权策略引擎模块来自动管理高速缓存中的数据。
为了更好地实现本发明,进一步的,所述动态授权引擎模块通过标签技术将用户行为的数据集进行标记,通过一个三元组集合表示用户给设备打上了行为标签,当用户标签值异常,立即解除此当前用户与设备的授权关系,并从动态权限组模块中删除,并自动更新客户端信息,实现授权动态撤回。
为了更好地实现本发明,进一步的,当对用户进行动态授权时,所述动态授权引擎模块将自动基于用户的上下文信息为用户建立权限分组,打上标签,下次用户使用设备时,无需进行权限验证和计算。
所述动态授权引擎模块根据用户上下信息,实时进行数据分析,计算出权限分组信息,具备动态创建权限分组(授权),与动态解除权限分组(撤回授权)能力,包含以下权限计算方法:
根据动态授权策略计算用户权限:动态授权策略是为IT资源拥有者的一组灵活的配置方法,实现用户权限的策略化配置,实现在用户需要使用时自动授权;为便于理解,这里假定用户要通过移动客户端访问一组数量的智能锁具,动态授权策略中在智能锁注册时候会有相应的锁具配套信息,如所处位置、用途、拥有者等,这里假定业务允许的权限是某某部门的检修专员可打开智能锁具,则这一条规则就可以定义为某某部门的检修专员可访可在检修时段打开该智能锁;通过动态授权策略配置,可以满足大多数用户设备访问的需求,避免了为每一个用户逐一授权工作。
根据用户对设备的使用时间计算用户权限:根据用户上下文信息构建一系列三元组信息,当通过推荐算法达到设定值,可视为用户经常要使用,且经过多次成功认证成功使用设备,策略引擎模块将自动基于用户的上下文信息为其建立权限分组,打上标签,下次用户使用该设备时无需进行权限验证和计算。
根据用户行为进行解除授权:通过标签技术,将用户行为的数据集进行标记,通过一个三元组集合表示用户给设备打上了行为标签,当用户标签值异常,立即解除此当前用户与设备的授权关系,并从动态权限组中删除,并自动更新客户端信息,实现授权动态撤回。
本发明的有益效果:
(1)本发明区别于传统采用静态权限配置的方法来实现用户与资源授权,本发明主要面向用于与设备场景下的更加便捷、安全、高效的授权管理方法。区别于传统方法的按静态规则分配,动态授权引擎模块实现了权限的按实际访问需求动态授予,即只有当用户真正需要去访问时候,权限的分配动作才会发生,且自动执行。
(2)所述动态权限组模块实现了一组快速、高效的权限查询服务,它对实际发生访问行为的用户授权关系进行存储和提供服务接口,形成了真实、有效的权限关系数据。
(3)所述动态授权前置模块实现权限计算前置,减少到服务端的权限查询计算,提升系统工作效率和用户体验。
(4)所述动态授权引擎模块根据用户上下信息,实时进行数据分析,计算出权限分组信息,具备动态创建权限分组(授权),与动态解除权限分组(撤回授权)能力,实现了根据用户上下文信息构建一系列三元组信息来动态计算用于与设备的授权关系,无需管理员干预。
(5)本发明实现了一种基于持久化存储+高速缓存的方式对动态权限组模块数据进行分级存储的管理方式;实现了一种基于用户行为的权限撤销方法,实现权限动态回收;实现了基于动态策略引擎的权限计算方法,快速计算用户权限;实现了一种基于用户对设备的使用时间计算用户权限发方法。
(6)在本发明中,用户与设备的授权关系无需提前配置好并生成相应的授权关系数据,只需要管理员通过本发明的系统中配置一些简单的授权策略,用户在使用时会自动根据策略进行动态授权。有效降低系统管理员在管理中的工作,尤其是面向用户多、设备量大、设备类型繁多的情况,效率提升更加明显。
(7)本发明采用在权限数据管理方面采用密技术,并结合多因子认证对用户权限数据进行安全保护,避免权限信息泄露,大大提升权限安全性。同时,动态授权方法及系统大大减少了传统权限权管理中的申请流程,用户更容易去使用。
附图说明
图1为本发明的流程图;
图2为动态授权系统的原理框图。
具体实施方式
实施例1:
一种基于用户上下文及策略的动态授权方法,当用户向客户端发起请求时,客户端收集用户上下文信息并验证是否已经授权,若用户未被授权,则客户端上传上下文信息到服务端;所述服务端验证用户是否具备访问资源的权限,若用户没有权限,则根据上下文信息对用户权限进行动态计算,若计算结果符合设定的访问授权的要求,则实时为用户授予资源的访问权限。
本发明区别于传统采用静态权限配置的方法来实现用户与资源授权,本发明主要面向用于与设备场景下的更加便捷、安全、高效的授权管理方法。区别于传统方法的按静态规则分配,动态授权引擎模块实现了权限的按实际访问需求动态授予,即只有当用户真正需要去访问时候,权限的分配动作才会发生,且自动执行。
实施例2:
一种基于用户上下文及策略的动态授权方法,如图1所示,主要包括以下步骤:
(1)用户发起请求时,在客户端会自动收集用户的即时上下文信息,包括登录状态、用户设备信息、网络位置信息等;
(2)与此同时,客户端先获取本地经过加密存储的前置权限信息,验证用户是否已经授权;用户如果已经授权,则可以进入下一步业务行为;
(3)用户本地无已授权信息,请求将被提交到服务端进行权限的验证,同时用户的上下文信息也同步上传到服务端,首先由服务端的权限动态组模块快速检索用户是否具备访问该资源的权限;用户如果已经授权,则可以进入下一步业务行为;
(4)如果权限动态组中没有得到检索结果,则继续由服务端的动态授权引擎模块对用户权限进行动态计算;计算时主要依据用户客户端上下文信息、动态授权策略、用户信息 (岗位、职务、组织等、用户标签等)进行综合计算;
(5)这时动态授权策略会起到重要作用,动态授权策略是为IT资源拥有者的一组灵活的配置方法,实现用户权限的策略化配置,在用户需要使用时自动授权;
(6)如果权限计算结果证明用户对设备的访问授权要求合理,则实时的为用户授予该资源的访问权限,用户可以进入下一步业务行为;同时用户与改资源的授权关系将记录到动态权限组模块中,下一次访问会直接从动态权限组模块获取到用户授权。
(7)如果权限计算结果证明用户对设备的访问授权要求不合理,则在客户端会予以用户提示,让用户可以通过实时权限申请的方式,向设备拥有者发起实时访问授权申请;IT 资源拥有者可通过客户端进行即时审批及授权,授权完成后,即可进行下一步业务操作;
(8)用户下一次访问该设备时,用户与该设备的授限关系会通过客户端或者服务端的动态组中直接获取,无需再授权即可访问。
(9)在整个过程中,用户无需寻求管理人员的帮助,避免了复杂的申请流程,在用户体验、安全性和效率方面有明显的优势。
本发明区别于传统采用静态权限配置的方法来实现用户与资源授权,本发明主要面向用于与设备场景下的更加便捷、安全、高效的授权管理方法。在本方法中,用户与设备的授权关系无需提前配置好并生成相应的授权关系数据,只需要管理员通过本发明的系统中配置一些简单的授权策略,用户在使用时会自动根据策略进行动态授权。有效降低系统管理员在管理中的工作,尤其是面向用户多、设备量大、设备类型繁多的情况,效率提升更加明显;同时,采用在权限数据管理方面采用密技术,并结合多因子认证对用户权限数据进行安全保护,避免权限信息泄露,大大提升权限安全性。本发明大大减少了传统权限权管理中的申请流程,用户更容易去使用。
实施例3:
一种基于用户上下文及策略的动态授权方法,如图1所示,主要包括以下步骤:
(1)用户发起请求时,在移动端的动态权限前置模块会自动收集用户的即时上下文信息,包括登录状态、用户设备信息、网络位置信息等;
(2)用户会与需要访问的智能锁进行通信并建立连接,此时会检查用户是否该智能锁的访问权限;方法是动态权限前置模块优先从本地获取经过加密存储的前置权限信息,验证用户是否已经授权;用户如果已经授权,则可以进入下一步业务行为,例如开锁;进行下一步操作时候可以结合符合安全需求的认证方法,如指纹识别、密码校验来加强安全性;
(3)如果用户本地无已授权信息,请求将被提交到服务端的动态授权引擎模块进行权限的验证,同时用户的上下文信息也同步上传到服务端,
(4)动态授权引擎模块优先由从动态权限组模块快速检索用户是否具备访问该资源的权限;用户如果已经授权,则可以进入下一步业务行为;
(5)如果动态权限组模块中没有得到检索结果,则继续由动态授权引擎模块对用户权限进行动态计算;
(6)如果权限计算结果证明用户对设备的访问授权要求合理,则实时的为用授予该资源的访问权限,用户可以进入下一步业务行为;同时用户与该智能锁的授权关系将记录到动态权限组模块中,下一次访问会直接从动态权限组模块获取到用户授权。
(7)如果权限计算结果证明用户对设备的访问授权要求不合理,则在移动端会予以用户提示,表示该用户未取得合法授权;同时,给予用户向智能锁业主(或拥有者)进行实时权限申请的功能;
(8)可选步骤:用户坚持需要使用该锁,即可点击申请,智能锁业主(或拥有者)可在移动端收到申请消息并审核。审核通过后,用户即获得了智能锁的访问授权,并设置时效。同时用户与该智能锁的授权关系将记录到动态权限组模块中,下一次访问会直接从动态权限组模块获取到用户授权。
(9)用户下一次访问该智能锁时,用户与该设备的授限关系会通过客户端或者服务端的动态组(用户有可能更换移动终端)中直接获取,无需再授权即可访问。
(10)在整个过程中,用户无需寻求管理人员的帮助,避免了复杂的申请流程,在用户体验、安全性和效率方面有明显的优势。
本发明区别于传统采用静态权限配置的方法来实现用户与资源授权,本发明主要面向用于与设备场景下的更加便捷、安全、高效的授权管理方法。区别于传统方法的按静态规则分配,动态授权引擎模块实现了权限的按实际访问需求动态授予,即只有当用户真正需要去访问时候,权限的分配动作才会发生,且自动执行。
实施例4:
一种基于用户上下文及策略的动态授权系统,如图2所示,包括动态授权前置模块、动态授权引擎模块、动态权限组模块、动态权限策略配置模块。
(1)动态授权前置模块:动态授权前置模块运行于用户客户端设备(包括传统web客户端、移动客户端),其功能主要包括三点,一是收集用户的上下文信息,包括登录状态、用户设备信息、网络位置信息等;作用二是与负责服务端的动态授权引擎模块进行通信;作用三是实现了在客户端加密存储权限缓存信息的能力;
(2)动态授权引擎模块:根据用户上下信息,实时进行数据分析,计算出权限分组信息,具备动态创建权限分组(授权),与动态解除权限分组(撤回授权)能力,包含以下权限计算方法:
·根据动态授权策略计算用户权限:动态授权策略是为IT资源拥有者的一组灵活的配置方法,实现用户权限的策略化配置,实现在用户需要使用时自动授权;为便于理解,这里假定用户要通过移动客户端访问一组数量的智能锁具,动态授权策略中在智能锁注册时候会有相应的锁具配套信息,如所处位置、用途、拥有者等,这里假定业务允许的权限是某某部门的检修专员可打开智能锁具,则这一条规则就可以定义为某某部门的检修专员可访可在检修时段打开该智能锁;通过动态授权策略配置,可以满足大多数用户设备访问的需求,避免了为每一个用户逐一授权工作。
·根据用户对设备的使用时间计算用户权限:根据用户上下文信息构建一系列三元组信息(u,i,t)代表了用户u在时刻t对设备i产生过的行为;所以可以给定时间T,设备 i最近使用程度ni(T)可以定义为:
其中α表示时间衰减参数。
当通过推荐算法达到设定值,可视为用户经常要使用,且经过多次成功认证成功使用设备,策略引擎模块将自动基于用户的上下文信息为其建立权限分组,打上标签,
下次用户使用该设备时无需进行权限验证和计算。
·根据用户行为进行解除授权:通过标签技术,将用户行为的数据集进行标记,通过一个三元组集合(u,i,b)表示用户u给设备i打上了b行为的标签。
基于此统计每个用户最常用的标签,对每个标签统计被打过这个标签次数最多的设备,对于每个用户,找到他常用的标签;所以对于上面的算法,用户u对设备i的正常行为公式为
p(u,i)值为用户u对设备i的正常行为值,nu,b是用户u打过标签b的次数,nb,i是设备 i被打过标签b的次数。策略引擎模块通过计算用户u正在设备i上进行的行为值与p(u,i) 只比较,对于p(u,i)值视为异常行为,立即解除此当前用户与设备的授权关系,并从动态权限组模块中删除,并自动更新客户端信息,实现授权动态撤回。
当用户标签值异常,立即解除此当前用户与设备的授权关系,并从动态权限组模块中删除,并自动更新客户端信息,实现授权动态撤回。
(3)动态权限组模块:动态权限组模块实现了一组快速、高效的权限查询服务,它对实际发生访问行为的用户授权关系进行存储和提供服务接口,形成了真实、有效的权限关系数据;对于未发生访问行为(即使用户对该设备具有访问权限)则不会产生数据,又避免了无用数据的产生;动态权限组模块在存储方便采用持久化存储+高速缓存的方式将数据进行分级,能大大提升用户权限检索效率;动态授权引擎模块对设备的使用时间计算用户权限同时,会将最经常发生以及最近发生的那一部分数据放到高速缓存中,并由动态授权引擎模块来自动管理高速缓存中的数据;
(4)动态权限策略配置模块:动态权限策略配置模块,主要是为本系统提供相应管理配置服务,包括配置动态授权策略、手动维护动态权限组模块的权限数据、配置动态权限组模块高速缓存策略等。
本发明区别于传统采用静态权限配置的方法来实现用户与资源授权,本发明主要面向用于与设备场景下的更加便捷、安全、高效的授权管理方法。
在本发明中,用户与设备的授权关系无需提前配置好并生成相应的授权关系数据,只需要管理员通过本发明的系统中配置一些简单的授权策略,用户在使用时会自动根据策略进行动态授权。有效降低系统管理员在管理中的工作,尤其是面向用户多、设备量大、设备类型繁多的情况,效率提升更加明显。
同时,本发明采用在权限数据管理方面采用密技术,并结合多因子认证对用户权限数据进行安全保护,避免权限信息泄露,大大提升权限安全性。另一方面,动态授权方法及系统大大减少了传统权限权管理中的申请流程,用户更容易去使用。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。
Claims (9)
1.一种基于用户上下文及策略的动态授权方法,其特征在于,当用户向客户端发起请求时,客户端收集用户上下文信息并验证是否已经授权,若用户未被授权,则客户端上传上下文信息到服务端;所述服务端验证用户是否具备访问资源的权限,若用户没有权限,则根据上下文信息对用户权限进行动态计算,计算方法包括:根据上下文信息中的动态授权策略计算用户权限、根据上下文信息中的用户对设备的使用时间计算用户权限;若计算结果符合设定的访问授权的要求,则实时为用户授予资源的访问权限,反之根据上下文信息中的用户行为进行解除授权;
根据上下文信息中的动态授权策略计算用户权限具体是通过用户权限的策略化配置实现在用户需要使用客户端时自动授权;
根据上下文信息中的用户对设备的使用时间计算用户权限具体是根据用户的上下文信息构建用户在给定时间T对设备的使用程度,当使用程度达到设定值且用户多次成功认证使用设备,则建立权限分组并打上标签;
根据上下文信息中的用户行为进行解除授权具体是将用户行为进行标记形成标签,基于标签统计每个用户最常用的标签,通过最常用的标签计算用户对设备的正常行为值,并将用户正在设备上进行的行为值与正常行为值比较,若比较结果异常则接触设备与用户的授权。
2.根据权利要求1所述的一种基于用户上下文及策略的动态授权方法,其特征在于,当用户发起请求时,客户端自动收集用户的即时上下文信息,同时客户端获取本地经过加密存储的前置权限信息,并验证用户是否已经授权;若本地无已授权信息,则请求被提交到服务端进行权限的验证,同时上传用户的上下文信息到服务端。
3.根据权利要求1或2所述的一种基于用户上下文及策略的动态授权方法,其特征在于,所述服务端的动态权限组模块快速检索用户是否具备访问资源的权限;若动态权限组模块没有得到检索结果,则由服务端的动态授权引擎模块对用户权限进行动态计算。
4.根据权利要求3所述的一种基于用户上下文及策略的动态授权方法,其特征在于,在实时为用户授予资源的访问权限的同时,将用户与资源的授权关系记录到动态权限组模块中,实现下一次访问直接从动态权限组模块获取用户已经授权的信息。
5.根据权利要求1所述的一种基于用户上下文及策略的动态授权方法,其特征在于,若权限计算结果不符合访问授权的要求,则客户端发送提示,用户实时向设备拥有者发起实时访问授权申请,资源拥有者通过客户端即时审批、授权。
6.根据权利要求5所述的一种基于用户上下文及策略的动态授权方法,其特征在于,用户与设备的授权关系被存入客户端或者服务端的动态权限组模块中,实现下一次访问无需再次授权。
7.根据权利要求1所述的一种基于用户上下文及策略的动态授权方法,其特征在于,所述上下文信息包括登录状态、用户设备信息、网络位置信息。
8.一种基于用户上下文及策略的动态授权系统,其特征在于,包括动态授权前置模块、动态授权引擎模块、动态权限组模块、动态权限策略配置模块;所述动态授权前置模块运行于用户客户端,用于收集用户的上下文信息以及加密存储权限缓存信息,所述动态授权前置模块与客户端的动态授权引擎模块通信;所述动态授权引擎模块根据用户上下文信息进行数据分析并计算得到权限分组信息;所述动态权限组模块对实际发生访问行为的用户授权关系进行存储和提供服务接口;所述动态权限策略配置模块用于配置动态授权策略、手动维护动态权限组模块的权限数据、配置动态权限组模块高速缓存策略;所述动态授权引擎模块根据用户上下文信息进行数据分析并计算得到权限分组信息,通过标签技术将用户行为的数据集进行标记,通过一个三元组集合表示用户给设备打上了行为的标签,基于标签统计每个用户最常用的标签,通过最常用的标签计算用户对设备的正常行为值,并将用户正在设备上进行的行为值与正常行为值比较,当用户的行为值异常,立即解除此当前用户与设备的授权关系,并从动态权限组模块中删除,并自动更新客户端信息,实现授权动态撤回。
9.根据权利要求8所述的一种基于用户上下文及策略的动态授权系统,其特征在于,当对用户进行动态授权时,所述动态授权引擎模块将自动基于用户的上下文信息为用户建立权限分组,打上标签,下次用户使用设备时,无需进行权限验证和计算。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911250765.XA CN111064718B (zh) | 2019-12-09 | 2019-12-09 | 一种基于用户上下文及策略的动态授权方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911250765.XA CN111064718B (zh) | 2019-12-09 | 2019-12-09 | 一种基于用户上下文及策略的动态授权方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111064718A CN111064718A (zh) | 2020-04-24 |
CN111064718B true CN111064718B (zh) | 2022-08-02 |
Family
ID=70300194
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911250765.XA Active CN111064718B (zh) | 2019-12-09 | 2019-12-09 | 一种基于用户上下文及策略的动态授权方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111064718B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111797421A (zh) * | 2020-09-08 | 2020-10-20 | 南京国睿信维软件有限公司 | 一种多元因素的密级文件访问权限计算方法 |
CN111931142B (zh) * | 2020-09-18 | 2021-01-19 | 江苏开博科技有限公司 | 基于区块链和非定向审批机制的分布式动态身份管控方法 |
CN112187799B (zh) * | 2020-09-28 | 2023-04-07 | 京东科技控股股份有限公司 | 资源访问策略生成方法及装置、存储介质、电子设备 |
CN112800413B (zh) * | 2021-02-26 | 2024-03-15 | 上海派拉软件股份有限公司 | 一种权限信息推送方法、装置、设备及存储介质 |
CN112818308A (zh) * | 2021-03-04 | 2021-05-18 | 泰康保险集团股份有限公司 | 数据采集的方法、系统、设备和计算机可读介质 |
CN114422197A (zh) * | 2021-12-25 | 2022-04-29 | 百安居信息技术(上海)有限公司 | 一种基于策略管理的权限访问控制方法及系统 |
CN115277145B (zh) * | 2022-07-20 | 2023-05-02 | 北京志凌海纳科技有限公司 | 分布式存储访问授权管理方法、系统、设备和可读介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1773413A (zh) * | 2004-11-10 | 2006-05-17 | 中国人民解放军国防科学技术大学 | 角色定权方法 |
CN109918924A (zh) * | 2019-02-02 | 2019-06-21 | 北京奇安信科技有限公司 | 动态访问权限的控制方法及系统 |
CN110266661A (zh) * | 2019-06-04 | 2019-09-20 | 东软集团股份有限公司 | 一种授权方法、装置及设备 |
CN110535882A (zh) * | 2019-09-27 | 2019-12-03 | 南方电网科学研究院有限责任公司 | 一种基于异构终端的身份认证服务方法及系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102360355B (zh) * | 2011-09-28 | 2013-04-24 | 福州海景科技开发有限公司 | 基于云计算环境的人脸识别搜索比对引擎 |
US9232402B2 (en) * | 2013-11-21 | 2016-01-05 | At&T Intellectual Property I, L.P. | System and method for implementing a two-person access rule using mobile devices |
CN103701801B (zh) * | 2013-12-26 | 2015-07-15 | 四川九洲电器集团有限责任公司 | 一种资源访问控制方法 |
CN109241358A (zh) * | 2018-08-14 | 2019-01-18 | 中国平安财产保险股份有限公司 | 元数据管理方法、装置、计算机设备及存储介质 |
-
2019
- 2019-12-09 CN CN201911250765.XA patent/CN111064718B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1773413A (zh) * | 2004-11-10 | 2006-05-17 | 中国人民解放军国防科学技术大学 | 角色定权方法 |
CN109918924A (zh) * | 2019-02-02 | 2019-06-21 | 北京奇安信科技有限公司 | 动态访问权限的控制方法及系统 |
CN110266661A (zh) * | 2019-06-04 | 2019-09-20 | 东软集团股份有限公司 | 一种授权方法、装置及设备 |
CN110535882A (zh) * | 2019-09-27 | 2019-12-03 | 南方电网科学研究院有限责任公司 | 一种基于异构终端的身份认证服务方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111064718A (zh) | 2020-04-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111064718B (zh) | 一种基于用户上下文及策略的动态授权方法和系统 | |
US7908648B2 (en) | Method and system for enabling remote access to a computer system | |
US7318237B2 (en) | System and method for maintaining security in a distributed computer network | |
EP2405607B1 (en) | Privilege management system and method based on object | |
CN109525570B (zh) | 一种面向集团客户的数据分层安全访问控制方法 | |
CN116545731A (zh) | 一种基于时间窗动态切换的零信任网络访问控制方法及系统 | |
CN110995657A (zh) | 一种基于数据标签的数据访问方法、服务端及系统 | |
Bailey et al. | Self-adaptive federated authorization infrastructures | |
CN116708037B (zh) | 云平台访问权限控制方法及系统 | |
CN110719298A (zh) | 支持自定义更改特权账号密码的方法及装置 | |
CN114866346B (zh) | 一种基于分散式的密码服务平台 | |
CN116418568A (zh) | 一种基于动态信任评估的数据安全访问控制方法、系统及存储介质 | |
JP4805615B2 (ja) | アクセス制御方法 | |
CN114244568A (zh) | 基于终端访问行为的安全接入控制方法、装置和设备 | |
KR101689848B1 (ko) | 패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법 | |
CN112364328A (zh) | 一种计算机网络信息安全监护系统 | |
CN109726187B (zh) | 一种面向Hadoop的自适应权限控制方法及装置 | |
CN115118465B (zh) | 一种基于可信标签的云边端协同零信任访问控制方法及系统 | |
CN116192481A (zh) | 云计算服务器模型间安全通信机制分析方法 | |
KR101025029B1 (ko) | 인증서 기반의 데이터베이스 통합 보안시스템 구축방법 | |
CN116089970A (zh) | 基于身份管理的配电运维用户动态访问控制系统与方法 | |
CN111475802B (zh) | 权限的控制方法和装置 | |
CN114239034A (zh) | 一种保护敏感资源的日志记录系统及事故取证方法 | |
CN111159736B (zh) | 一种区块链的应用管控方法及系统 | |
CN113486322A (zh) | 一种一体化平台基于单点登录的控制方法、装置、介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |