CN111490966A - 一种访问控制策略的处理方法、装置及计算机可读存储介质 - Google Patents
一种访问控制策略的处理方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN111490966A CN111490966A CN201910079440.3A CN201910079440A CN111490966A CN 111490966 A CN111490966 A CN 111490966A CN 201910079440 A CN201910079440 A CN 201910079440A CN 111490966 A CN111490966 A CN 111490966A
- Authority
- CN
- China
- Prior art keywords
- access control
- policy
- resource
- cse
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种访问控制策略的处理方法、装置及计算机可读存储介质,涉及通信技术领域,以解决不同种类的访问控制策略在访问控制过程中的协同工作问题。该方法包括:接收资源访问发起方对目标资源的资源访问请求;根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略;根据所述目标访问控制策略,获取对所述目标资源的策略评估结果;根据所述策略评估结果,执行访问控制决策。本发明实施例可解决不同种类的访问控制策略在访问控制过程中的协同工作问题。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种访问控制策略的处理方法、装置及计算机可读存储介质。
背景技术
oneM2M(物联网领域国际标准化组织)采用基于访问控制列表(Access ControlList,ACL)的访问控制机制。访问控制列表与oneM2M资源树中的资源绑定。访问控制策略可以存储在本地,也可以通过令牌(token)提供。oneM2M当前的规定是:在本地策略为空的情况下,如果有令牌策略,则使用令牌策略。另外,预计oneM2M将会支持新种类的访问控制策略,例如基于属性的访问控制策略。但是,oneM2M尚不支持本地策略与令牌策略合并考虑的情况。
因此,需要解决不同种类的访问控制策略在访问控制过程中的协同工作问题。
发明内容
本发明实施例提供一种访问控制策略的处理方法、装置及计算机可读存储介质,以解决不同种类的访问控制策略在访问控制过程中的协同工作问题。
为了解决上述技术问题,本发明是这样实现的:
第一方面,本发明实施例提供了一种访问控制策略的处理方法,包括:
接收资源访问发起方对目标资源的资源访问请求;
根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略;
根据所述目标访问控制策略,获取对所述目标资源的策略评估结果;
根据所述策略评估结果,执行访问控制决策;
其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
其中,所述目标访问控制策略的资源属性或子资源包括以下至少一项:
资源标识,用于唯一标识所述目标访问控制策略;
策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略;
策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源;
策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式;
令牌策略应用规则,用于描述令牌策略的使用方式;
隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息;
访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略;
PDP(Policy Decision Point,策略决策点)-CSE(Common Services entity,公共服务实体)地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE;
PRP(Policy Retrieval Point,策略获取点)-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE;
PIP(Policy Information Point,策略信息点)-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息的CSE。
其中,所述目标资源关联的访问控制策略包括:本地访问控制策略,令牌策略,分布式存储的访问控制策略中的一项或者多项;
所述本地访问控制策略包括第一本地访问控制策略和/或第二本地访问控制策略;
其中,所述第一本地访问控制策略存储在所述目标访问控制策略的访问控制策略列表中,所述第二本地访问控制策略通过资源引用的方式存储在其他访问控制策略的资源中。
其中,所述根据所述目标访问控制策略,获取对所述目标资源的策略评估结果,包括:
根据所述策略适用范围,确定所述资源访问发起方和/或所述目标资源是否适用于所述目标访问控制策略;
若所述资源访问发起方和/或所述目标资源适用于所述目标访问控制策略,获取所述目标资源关联的访问控制策略;
对所述目标资源关联的访问控制策略进行评估,获得策略评估结果。
其中,若所述资源访问请求中包括访问控制令牌,在所述令牌策略应用规则表示需使用令牌策略的情况下,所述对所述目标资源关联的访问控制策略进行评估,获得策略评估结果,包括:
对所述令牌策略进行评估,获得令牌策略评估结果。
其中,当所述策略评估结果为多个时,所述方法还包括:
根据策略合并算法对多个策略评估结果进行合并。
其中,所述方法还包括:
获取隐私策略;
所述根据所述策略评估结果,执行访问控制决策,包括:
在策略评估结果表示允许访问的情况下,允许对所述目标资源的访问,并滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
其中,在所述令牌策略应用规则表示需使用令牌策略时,若所述资源访问请求中未包括访问控制令牌,所述方法还包括:
向所述资源访问发起方发送令牌授权实体的地址。
其中,所述接收资源访问发起方对目标资源的资源访问请求,包括:
作为策略执行点的宿主CSE(Hosting CSE)PEP-CSE接收所述资源访问请求,并根据所述PDP-CSE地址列表将所述资源访问请求发送给策略决策点PDP-CSE;
所述根据所述资源访问请求,确定所述目标资源的目标访问控制策略,包括:
作为PDP-CSE的宿主CSE根据所述资源访问请求确定所述目标访问控制策略,并根据所述PRP-CSE地址列表,从策略获取点PRP-CSE获取所述目标资源关联的访问控制策略;
所述根据所述目标访问控制策略,获取对所述目标资源的策略评估结果,包括:
作为PDP-CSE的宿主CSE对所述目标资源关联的访问控制策略进行评估,获取对所述目标资源的策略评估结果,并向所述PEP-CSE发送所述策略评估结果;
所述根据所述策略评估结果,执行访问控制决策,包括:
所述PEP-CSE根据所述策略评估结果,执行访问控制决策。
其中,所述方法还包括:
作为PDP-CSE的宿主CSE根据所述PIP-CSE地址列表从策略信息点PIP-CSE获取访问控制信息。
其中,所述方法还包括:
作为PDP-CSE的宿主CSE根据策略合并算法对多个策略评估结果进行合并。
其中,所述方法还包括:
作为PDP-CSE的宿主CSE获取隐私策略,根据所述隐私策略确定需过滤的资源属性和/或子资源,并向所述PEP-CSE发送所述资源属性和/或子资源;
所述PEP-CSE根据所述策略评估结果,执行访问控制决策,包括:
在所述策略评估结果表示允许访问所述目标资源的情况下,所述PEP-CSE根据所述资源属性和/或子资源,滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
第二方面,本发明实施例提供一种访问控制策略的处理装置,包括:
接收模块,用于接收资源访问发起方对目标资源的资源访问请求;
确定模块,用于根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略;
获取模块,用于根据所述目标访问控制策略,获取对所述目标资源的策略评估结果;
执行模块,用于根据所述策略评估结果,执行访问控制决策;
其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
其中,所述目标访问控制策略的资源属性或子资源包括以下至少一项:
资源标识,用于唯一标识所述目标访问控制策略;
策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略;
策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源;
策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式;
令牌策略应用规则,用于描述令牌策略的使用方式;
隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息;
访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略;
PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE;
PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE;
PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息的CSE。
第三方面,本发明实施例提供一种通信设备,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;
所述收发机,用于接收资源访问发起方对目标资源的资源访问请求;
所述处理器,用于读取存储器中的程序,执行下列过程:
根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略;
根据所述目标访问控制策略,获取对所述目标资源的策略评估结果;
根据所述策略评估结果,执行访问控制决策;
其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
其中,所述目标访问控制策略的资源属性或子资源包括以下至少一项:
资源标识,用于唯一标识所述目标访问控制策略;
策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略;
策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源;
策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式;
令牌策略应用规则,用于描述令牌策略的使用方式;
隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息;
访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略;
PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE;
PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE;
PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息的CSE。
其中,所述目标资源关联的访问控制策略包括:本地访问控制策略,令牌策略,分布式存储的访问控制策略中的一项或者多项;
所述本地访问控制策略包括第一本地访问控制策略和/或第二本地访问控制策略;
其中,所述第一本地访问控制策略存储在所述目标访问控制策略的访问控制策略列表中,所述第二本地访问控制策略通过资源引用的方式存储在其他访问控制策略的资源中。
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
根据所述策略适用范围,确定所述资源访问发起方和/或所述目标资源是否适用于所述目标访问控制策略;
若所述资源访问发起方和/或所述目标资源适用于所述目标访问控制策略,获取所述目标资源关联的访问控制策略;
对所述目标资源关联的访问控制策略进行评估,获得策略评估结果。
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
若所述资源访问请求中包括访问控制令牌,在所述令牌策略应用规则表示需使用令牌策略的情况下,对所述令牌策略进行评估,获得令牌策略评估结果。
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
根据策略合并算法对多个策略评估结果进行合并。
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
获取隐私策略;
在策略评估结果表示允许访问的情况下,允许对所述目标资源的访问,并滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
在所述令牌策略应用规则表示需使用令牌策略时,若所述资源访问请求中未包括访问控制令牌,向所述资源访问发起方发送令牌授权实体的地址。
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
为作为策略执行点的宿主CSE PEP-CSE接收所述资源访问请求,并根据所述PDP-CSE地址列表将所述资源访问请求发送给策略决策点PDP-CSE;
为作为PDP-CSE的宿主CSE根据所述资源访问请求确定所述目标访问控制策略,并根据所述PRP-CSE地址列表,从策略获取点PRP-CSE获取所述目标资源关联的访问控制策略;
为作为PDP-CSE的宿主CSE对所述目标资源关联的访问控制策略进行评估,获取对所述目标资源的策略评估结果,并向所述PEP-CSE发送所述策略评估结果;
为所述PEP-CSE根据所述策略评估结果,执行访问控制决策。
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
为作为PDP-CSE的宿主CSE根据所述PIP-CSE地址列表从策略信息点PIP-CSE获取访问控制信息。
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
为作为PDP-CSE的宿主CSE根据策略合并算法对多个策略评估结果进行合并。
其中,所述处理器还用于读取存储器中的程序,执行下列过程:
为作为PDP-CSE的宿主CSE获取隐私策略,根据所述隐私策略确定需过滤的资源属性和/或子资源,并向所述PEP-CSE发送所述资源属性和/或子资源;
在所述策略评估结果表示允许访问所述目标资源的情况下,为所述PEP-CSE根据所述资源属性和/或子资源,滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
第四方面,本发明实施例提供一种计算机可读存储介质,用于存储计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的方法中的步骤。
在本发明实施例中,由于目标访问控制策略为具有调度能力的访问控制策略,因此,可通过该策略对目标资源关联的相同种类或者不同种类的访问控制策略进行调度,从而,利用本发明实施例可解决不同种类的访问控制策略在访问控制过程中的协同工作问题。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的访问控制策略的处理方法的流程图;
图2是本发明实施例提供的访问控制策略的处理装置的结构图;
图3是本发明实施例提供的通信设备的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,图1是本发明实施例提供的访问控制策略的处理方法的流程图,如图1所示,包括以下步骤:
步骤101、接收资源访问发起方对目标资源的资源访问请求。
其中,所述目标资源可以指的是任一资源。
步骤102、根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略。
其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
在实际应用中,所述目标访问控制策略的资源属性或子资源可包括以下至少一项:
资源标识,用于唯一标识所述目标访问控制策略;
策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略;
策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源;
策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式;
令牌策略应用规则,用于描述令牌策略的使用方式;
隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息;
访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略;
PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE;
PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE;
PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息的CSE。
因此,在此步骤中,可根据目标资源的资源标识,确定目标资源对应的目标访问控制策略。
步骤103、根据所述目标访问控制策略,获取对所述目标资源的策略评估结果。
在本发明实施例中,为使得确定的策略评估结果更为全面,所述目标资源关联的访问控制策略可包括以下任意一项或者多项:
本地访问控制策略,令牌策略,分布式存储的访问控制策略中的一项或者多项。其中,所述本地访问控制策略包括第一本地访问控制策略和/或第二本地访问控制策略。所述第一本地访问控制策略存储在所述目标访问控制策略的访问控制策略列表中,所述第二本地访问控制策略通过资源引用的方式存储在其他访问控制策略的资源中。其中,所述其他访问控制策略指的是除目标访问控制策略之外的访问控制策略。
根据目标访问控制策略所包括的资源属性不同,在本发明实施例中可有不同的处理方式。
具体的,可根据所述策略适用范围,确定所述资源访问发起方和/或所述目标资源是否适用于所述目标访问控制策略。若所述资源访问发起方和/或所述目标资源适用于所述目标访问控制策略,获取所述目标资源关联的访问控制策略。例如,若策略适用范围为空,那么表示资源访问发起方和目标资源都适用于该目标访问控制策略,则获取目标资源关联的访问控制策略,如本地访问控制策略,令牌策略,分布式存储的访问控制策略等。之后,对所述目标资源关联的访问控制策略进行评估,获得策略评估结果。
若所述资源访问请求中包括访问控制令牌,在所述令牌策略应用规则表示需使用令牌策略的情况下,需要对所述令牌策略进行评估,获得令牌策略评估结果。若所述资源访问请求中未包括访问控制令牌,需向所述资源访问发起方发送令牌授权实体的地址。
当所述策略评估结果为多个时,还可根据策略合并算法对多个策略评估结果进行合并。
步骤104、根据所述策略评估结果,执行访问控制决策。
若资源属性包括隐私策略,那么,还可获取隐私策略。在策略评估结果表示允许访问的情况下,允许对所述目标资源的访问,并滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。从而,利用这种方式可更好的保护隐私。
在本发明实施例中,由于目标访问控制策略为具有调度能力的访问控制策略,因此,可通过该策略对目标资源关联的相同种类或者不同种类的访问控制策略进行调度,从而,利用本发明实施例可解决不同种类的访问控制策略在访问控制过程中的协同工作问题。
对于分布式授权架构,那么,在以上的过程中,步骤101具体为:作为策略执行点的宿主CSE PEP-CSE接收所述资源访问请求,并根据所述PDP-CSE地址列表将所述资源访问请求发送给策略决策点PDP-CSE;
步骤102具体为:作为PDP-CSE的宿主CSE根据所述资源访问请求确定所述目标访问控制策略,并根据所述PRP-CSE地址列表,从策略获取点PRP-CSE获取所述目标资源关联的访问控制策略;
步骤103具体为:作为PDP-CSE的宿主CSE对所述目标资源关联的访问控制策略进行评估,获取对所述目标资源的策略评估结果,并向所述PEP-CSE发送所述策略评估结果;
步骤104具体为:所述PEP-CSE根据所述策略评估结果,执行访问控制决策。
若在评估的过程中需要获取访问控制信息,那么,作为PDP-CSE的宿主CSE根据所述PIP-CSE地址列表从策略信息点PIP-CSE获取访问控制信息。若需要合并多个策略评估结果,则作为PDP-CSE的宿主CSE根据策略合并算法对多个策略评估结果进行合并。若资源属性还包括隐私策略,那么,作为PDP-CSE的宿主CSE获取隐私策略,根据所述隐私策略确定需过滤的资源属性和/或子资源,并向所述PEP-CSE发送所述资源属性和/或子资源;在所述策略评估结果表示允许访问所述目标资源的情况下,所述PEP-CSE根据所述资源属性和/或子资源,滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
经研究,针对现有的oneM2M架构,其可能存在以下问题:
(1)不支持新种类的访问控制策略。例如,预计oneM2M将支持基于属性的访问控制策略,这将出现新旧策略共存的情况,当前的oneM2M访问控制系统没有相关的解决方案。
(2)不支持存储在本地的访问策略和令牌策略同时存在时的处理方法。例如发起方提供了令牌策略,但本地同时有适用策略时的处理方法。
(3)不支持隐私策略。隐私策略的特点通常是禁止将某些与个人相关的信息提供给资源访问方,而不是禁止对全部数据的访问。
(4)不支持复杂的策略应用方法。例如,在一个访问控制策略内对另一个访问控制策略的调用,多种多样的策略合并算法。
为解决上述问题,本发明实施例提出了一种针对oneM2M系统的可集成不同种类访问控制策略、不同来源访问控制策略和隐私策略的访问控制系统。此访问控制系统的核心是“具有调度能力的访问控制策略”,简称“调度策略”。在oneM2M系统中访问控制策略存储在oneM2M资源中。在本发明实施例中,将调度策略存储在命名为<accessControlSchedulingPolicy>的oneM2M资源中。
具有调度能力的访问控制策略包含两个方面的内容:
描述资源访问权限的访问控制策略以及描述如何使用这些访问控制策略的访问控制配置信息。这些访问控制策略和访问控制配置信息存储在<accessControlSchedulingPolicy>资源的资源属性或子资源中。本发明实施例不对是否使用资源属性或子资源来存储访问控制策略或配置信息进行具体的规定。
<accessControlSchedulingPolicy>资源可包含如下主要的资源属性或子资源:
资源标识:为oneM2M资源的通用属性(resourceID),在CSE资源树中唯一标识该资源。资源访问发起方访问的目标资源通过该资源标识与对应的调度策略相关联,具体是使用目标资源的accessControlPolicyIDs属性存储该资源标识。
策略管理权限:描述针对此调度策略的访问控制策略,例如对此调度策略的修改、读取和删除等。策略管理权限既可以直接存储在<accessControlSchedulingPolicy>资源中,也可以存储在单独定义的<策略管理权限>资源中,然后通过资源引用的方式指向该实际存储有策略管理权限的资源。
策略适用范围:描述适用于本调度策略的资源访问发起方和/或适用于本调度策略的目标资源。若该域为空,则不做该项检查,默认适用于所关联的目标资源。
策略合并算法:描述当调度策略中包含有多个策略时,应如何对这些策略的评估结果进行合并,以便获得一个最终的评估结果。例如“许可优先”或“否定优先”等。
令牌策略应用规则:描述是否允许使用令牌策略,令牌策略与本地策略的关系,以及如何获得令牌策略等。例如仅使用令牌策略,仅使用本地策略,令牌策略优先(如果存在令牌策略,则不使用本地策略),本地策略优先(如果存在本地策略,则不使用令牌策略),令牌策略与本地策略等同处理等。
隐私策略:针对资源访问发起方的资源访问请求,隐私策略描述哪些信息(资源属性和/或子资源)需要从返回给资源访问发起方的结果中过滤掉,以实现对用户隐私信息的保护。
访问控制策略列表:描述一个或多个访问控制策略。这些访问控制策略可以是同一种类的,也可以是不同种类的。这些策略也可以通过资源引用的方式描述,该引用指向另一个实际存储有访问控制策略的资源。存储这些访问控制策略的资源可以是专门用来存储某类访问控制策略而定义的。
PDP-CSE地址列表:描述宿主CSE可以向哪些CSE发送访问控制决策请求,以便获得相应的访问控制决策。宿主CSE利用策略合并算法将从PDP-CSE获得的访问控制决策和本地获得的访问控制决策进行合并。可以对列表中的PDP-CSE之间的关系单独规定策略合并算法。
PRP-CSE地址列表:描述宿主CSE可以向哪些CSE发送访问控制策略请求,以便获得适用的访问控制策略。可以对列表中的PRP-CSE之间的关系单独规定策略合并算法。
PIP-CSE地址列表:描述宿主CSE可以向哪些CSE发送访问控制信息请求,例如策略评估过程中需要的角色信息,以便获得适用的访问控制信息。
根据以上内容,在实际应用中,具有调度能力的访问控制策略执行的一般过程为:
(1)资源访问发起方向宿主CSE中的目标资源发送资源访问请求。
(2)宿主CSE根据目标资源属性accessControlPolicyIDs获得所关联的访问控制策略。
accessControlPolicyIDs中存储的可以是oneM2M原有的访问控制策略资源<accessControlPolicy>的资源ID,也可以是本实施例中新定义的访问控制策略资源<accessControlSchedulingPolicy>的资源ID,还可以是其他类型访问控制策略资源的ID。在此,以本实施例中新定义的调度策略<accessControlSchedulingPolicy>的资源ID为例。
(3)宿主CSE检查<accessControlSchedulingPolicy>资源的策略适用范围,以便确定资源访问控制策略是否适用于本次访问涉及的资源访问发起方和目标资源。若策略适用范围为空,则默认访问控制策略适用于当前的资源访问请求。若策略适用范围不为空,则检查当前的资源访问请求是否适用于访问控制策略。
(4)获取用于合并多个访问控制策略的策略合并算法。
(5)获取令牌策略应用规则,用于确定如何处理令牌策略。
若需要发起方提供令牌策略,但访问请求中没有令牌,则拒绝发起方的资源访问请求,并要求其提供所需的访问控制令牌。若需要发起方提供令牌,且令牌策略应用规则中还描述了如何获取令牌策略,则响应中还应提供如何获取令牌的信息,例如令牌授权实体的地址。
(6)获取并评估适用的访问控制策略,可能包括:
获取并评估存储在访问控制策略资源中的访问控制策略,和/或
获取并评估通过策略引用指定的访问控制策略,和/或
获取并评估存储在访问控制令牌中的访问控制策略。
(7)当有多个适用的访问控制策略时,使用策略合并算法合并这些策略的评估结果。
(8)若合并后的策略评估结果是允许访问,且隐私策略不为空时,则获取隐私策略。
(9)将策略评估结果返回给决策请求方。若评估结果为允许访问,且隐私策略不为空,则其中还应包含有隐私策略。
(10)宿主CSE执行访问控制决策。例如拒绝发起方的本次资源访问,或允许发起方的本次资源访问并执行隐私策略。
以下为一种可实现本发明实施例所述调度策略<accessControlSchedulingPolicy>的可能定义。具体为:
-resourceID:为oneM2M通用属性(universal attribute),其他资源通过其资源属性accessControlPolicyIDs引用此新定义的资源。
-adminPrivileges:存储针对本策略资源访问权限,例如对资源的修改,删除,或读取等。本发明实施例不规定描述策略的具体格式。
-adminPrivilegesReferences:指向另一个存储有针对本策略资源访问权限的策略资源。
-applicableSubjects:适用于本访问控制策略的资源访问发起方。
-applicableResources:适用于本访问控制策略的目标资源。
-policyCombiningAlgorithm:用来合并多个访问控制策略的算法标识:
o permit-overrides:访问许可优先,或
o deny-overrides:访问否定优先。
-privileges:等同于oneM2M<accessControlPolicy>资源中的privileges属性,用于存储oneM2M目前已经定义的访问控制策略。
-newPrivileges:用于存储新定义的oneM2M问控制策略,例如基于属性的访问控制策略。本发明实施例不规定描述策略的具体格式。
-newPrivilegesReference:指向另一个存储有新定义的oneM2M访问控制策略的策略资源。
-tokenPolicyPriority:描述应如何使用令牌策略,其值可为:
o not-permit:不允许使用令牌策略,或
o override-local-policy:令牌策略的评估结果优先,或
o override-token-policy:本地策略的评估结果优先,或
o combining-with-local-policy:令牌策略与本地策略的评估结果按policyCombiningAlgorithm指定的算法进行合并。
-tokenAuthorityURI:某个可以颁发策略令牌的授权实体的地址。宿主CSE可将该地址提供给资源访问发起方,以便后者可以向其申请访问控制令牌。
-privacyPolicy:隐私策略,描述需要从返回给资源访问发起方结果中过滤掉的资源属性列表或子资源列表:
o filtered-attributes:需要过滤掉的属性名称列表
o filtered-resources:需要过滤掉的子资源名称列表
-PDPs:适用的PDP-CSE列表,其值可为:
o policyCombiningAlgorithm:策略合并算法;
o PDP-CSEs:CSE地址列表。
-PRPs:适用的PRP-CSE列表,其值可为:
o policyCombiningAlgorithm:策略合并算法;
o PRP-CSEs:CSE地址列表。
-PIPs:适用的PIP-CSE列表,其值可为CSE地址列表。
以下,基于以上定义,描述在不同场景下的具体处理过程。
一、基于以上定义,本实施例描述令牌策略与本地策略进行合并的应用场景。
具体的,<accessControlSchedulingPolicy>策略资源中相关内容的值为:
<accessControlSchedulingPolicy>策略资源中相关内容的值为:
-resourceID:目标资源通过其属性accessControlPolicyIDs引用此访问控制策略资源的ID,以便关联到此访问控制策略资源。
-policyCombiningAlgorithm:值为permit-overrides,表示当有多个访问控制策略时,其中任何一个的评估结果为permit(允许),则合并后的策略评估结果为permit。
-abacPrivileges:其中存储新定义的针对oneM2M的基于属性的访问控制策略(Attribute Based Access Control Policy,ABAC policy)。本专利不对此ABAC策略的格式进行规定。
-tokenPolicyPriority:值为combining-with-local-policy,描述令牌策略与本地策略合并使用。
这种情况下,具体的访问控制过程为:
(1)资源访问发起方向宿主CSE发送资源访问请求,且请求中包含有访问控制令牌。令牌中存储访问控制策略,例如使用oneM2M已有访问控制策略格式描述的资源访问权限。
(2)宿主CSE根据目标资源accessControlPolicyIDs属性的值关联至适用的调度策略资源<accessControlSchedulingPolicy>。
(3)获取策略合并算法。
因为<accessControlSchedulingPolicy>资源中资源属性tokenPolicyPriority的值为combining-with-local-policy,所以需要将存储在本地的访问控制策略和存储在访问控制令牌中的访问控制策略合并使用。
(4)宿主CSE:
从abacPrivileges中获取本地的ABAC策略,评估该策略是否允许发起方的本次资源访问;
验证令牌的有效性,获取存储在令牌中的访问控制策略,评估该策略是否允许发起方的本次资源访问。
(5)宿主CSE利用policyCombiningAlgorithm提供的策略合并算法permit-overrides对第(4)步的策略评估结果进行合并,并获得最终的策略评估结果。
二、基于以上定义,本实施例描述实现动态授权的应用场景。
<accessControlSchedulingPolicy>策略资源中相关内容的值为:
-resourceID:目标资源通过其属性accessControlPolicyIDs引用此访问控制策略资源的ID,以便关联到此访问控制策略资源。
-policyCombiningAlgorithm:值为permit-overrides,表示当有多个访问控制策略时,其中任何一个的评估结果为permit(允许),则最后的策略评估结果为permit。
-privileges:值为null,表示本地没有oneM2M已有格式的访问控制策略。
-newPrivileges:值为null,表示本地没有oneM2M ABAC格式的访问控制策略。
-tokenPolicyPriority:值为override-local-policy,描述需要优先使用令牌策略。
-tokenAuthorityURI:值为https://oneM2M.authorization.com,为某个可以颁发策略令牌的授权实体的地址。
这种情况下,具体的访问控制过程为:
(1)资源访问发起方向宿主CSE发送资源访问请求,且请求中不包含有访问控制令牌。
(2)宿主CSE根据目标资源accessControlPolicyIDs属性的值关联至适用的调度策略资源<accessControlSchedulingPolicy>。
(3)因策略中tokenPolicyPriority的值为override-local-policy,意味着可以使用令牌策略或本地策略评估资源访问发起方的资源访问请求,但需要优先使用令牌策略。
(4)宿主CSE发现资源访问请求中没有提供策略令牌,而且本地的访问控制策略资源也没有存储任何访问控制策略,因此宿主CSE将拒绝本次资源访问请求。因tokenAuthorityURI不为空,因此在发送给资源访问发起方的响应中将提供令牌授权实体的地址。
(5)资源访问发起方将使用宿主CSE提供的URI(Uniform Resource Identifier,统一资源标识符)令牌授权实体请求策略令牌。
(6)令牌授权实体根据本地授权策略决定是否向发起方颁发令牌,然后将颁发的令牌发送给发起方。
三、基于以上定义,在本发明实施例中描述在分布式授权应用场景中实现隐私策略的应用。
<accessControlSchedulingPolicy>策略资源中相关内容的值为:
-resourceID:目标资源通过其属性accessControlPolicyIDs引用此访问控制策略资源的ID,以便关联到此访问控制策略资源。
-policyCombiningAlgorithm:值为permit-overrides,表示当有多个访问控制策略时,其中任何一个的评估结果为permit(允许),则最后的策略评估结果为permit。
-privileges:存储有使用oneM2M已有格式描述的访问控制策略。
-abacPrivileges:存储有使用oneM2M ABAC格式描述的访问控制策略。
-privacyPolicy:存储的隐私策略描述需要从返回给资源访问发起方的结果中过滤掉的资源属性列表或子资源列表:
-filtered-attributes:值为resourceID,resourceName,parentID,labels,表示需要从返回给发起方的响应中过滤掉这些资源属性。
-filtered-resources:值为nul,表示没有需要过滤的子资源。
-PDPs:PDP-CSE列表,其值为:
-policyCombiningAlgorithm:值为permit-overrides
-PDP-CSEs:CSE地址列表。
这种情况下,具体的访问控制过程为:
(1)资源访问发起方向宿主CSE发送资源访问请求,且请求中不包含有访问控制令牌。
(2)作为PEP的宿主CSE(PEP-CSE)根据PDPs中描述的信息将该资源请求发送给另一个作为PDP的CSE(PDP-CSE)。
(3)PDP-CSE获取到适用的<accessControlSchedulingPolicy>策略资源。
(4)PDP-CSE利用存储在privileges和abacPrivileges中访问控制策略评估发起方的资源访问请求,并使用policyCombiningAlgorithm给出的策略合并算法对策略评估结果进行合并。这里假设合并的最终结果是permit,也即允许发起方的资源访问请求。
(5)PDP-CSE发现<accessControlSchedulingPolicy>中隐私策略不为空,因此读取隐私策略,并获得需要过滤的资源属性列表。
(6)PDP-CSE将允许访问的决策请求和隐私策略返回给PEP-CSE。
(7)PEP-CSE获取发起方期望访问的目标资源,并从获取的结果中按隐私策略的规定过滤掉指定的资源属性。
(8)宿主CSE将资源访问结果返回给发起方。
参见图2,图2是本发明实施例提供的访问控制策略的处理装置的结构图,如图2所示,访问控制策略的处理装置包括:
接收模块201,用于接收资源访问发起方对目标资源的资源访问请求;
确定模块202,用于根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略;
获取模块203,用于根据所述目标访问控制策略,获取对所述目标资源的策略评估结果;
执行模块204,用于根据所述策略评估结果,执行访问控制决策;
其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
其中,所述目标访问控制策略的资源属性或子资源包括以下至少一项:
资源标识,用于唯一标识所述目标访问控制策略;
策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略;
策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源;
策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式;
令牌策略应用规则,用于描述令牌策略的使用方式;
隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息;
访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略;
PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE;
PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE;
PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息的CSE。
其中,所述目标资源关联的访问控制策略包括:本地访问控制策略,令牌策略,分布式存储的访问控制策略中的一项或者多项;
所述本地访问控制策略包括第一本地访问控制策略和/或第二本地访问控制策略;
其中,所述第一本地访问控制策略存储在所述目标访问控制策略的访问控制策略列表中,所述第二本地访问控制策略通过资源引用的方式存储在其他访问控制策略的资源中。
可选的,获取模块203包括:
确定子模块,用于根据所述策略适用范围,确定所述资源访问发起方和/或所述目标资源是否适用于所述目标访问控制策略;
第一获取子模块,用于若所述资源访问发起方和/或所述目标资源适用于所述目标访问控制策略,获取所述目标资源关联的访问控制策略;
第二获取子模块,用于对所述目标资源关联的访问控制策略进行评估,获得策略评估结果。
可选的,若所述资源访问请求中包括访问控制令牌,在所述令牌策略应用规则表示需使用令牌策略的情况下,所述获取模块203具体用于,对所述令牌策略进行评估,获得令牌策略评估结果。
可选的,所述装置还可包括:第一合并模块205,用于根据策略合并算法对多个策略评估结果进行合并。
可选的,所述装置还可包括:第二获取模块206,用于获取隐私策略;所述执行模块204具体用于,在策略评估结果表示允许访问的情况下,允许对所述目标资源的访问,并滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
可选的,所述装置还可包括:发送模块207,用于在所述令牌策略应用规则表示需使用令牌策略时,若所述资源访问请求中未包括访问控制令牌,向所述资源访问发起方发送令牌授权实体的地址。
在分布式授权架构下,所述接收模块201,具体用于为作为策略执行点的宿主CSEPEP-CSE接收所述资源访问请求,并根据所述PDP-CSE地址列表将所述资源访问请求发送给策略决策点PDP-CSE;
所述确定模块202,具体用于为作为PDP-CSE的宿主CSE根据所述资源访问请求确定所述目标访问控制策略,并根据所述PRP-CSE地址列表,从策略获取点PRP-CSE获取所述目标资源关联的访问控制策略;
所述获取模块203,具体用于作为PDP-CSE的宿主CSE对所述目标资源关联的访问控制策略进行评估,获取对所述目标资源的策略评估结果,并向所述PEP-CSE发送所述策略评估结果;
所述执行模块204,具体用于为所述PEP-CSE根据所述策略评估结果,执行访问控制决策。
在这种架构下,所述装置还可包括:信息获取模块207,用于为作为PDP-CSE的宿主CSE根据所述PIP-CSE地址列表从策略信息点PIP-CSE获取访问控制信息。合并模块208,用于为作为PDP-CSE的宿主CSE根据策略合并算法对多个策略评估结果进行合并。隐私策略获取模块209,用于为作为PDP-CSE的宿主CSE获取隐私策略,根据所述隐私策略确定需过滤的资源属性和/或子资源,并向所述PEP-CSE发送所述资源属性和/或子资源;此时,所述执行模块204具体用于,在所述策略评估结果表示允许访问所述目标资源的情况下,为所述PEP-CSE根据所述资源属性和/或子资源,滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
在本发明实施例中,由于目标访问控制策略为具有调度能力的访问控制策略,因此,可通过该策略对目标资源关联的相同种类或者不同种类的访问控制策略进行调度,从而,利用本发明实施例可解决不同种类的访问控制策略在访问控制过程中的协同工作问题。
如图3所示,本发明实施例的通信设备,包括:
收发机310,用于接收资源访问发起方对目标资源的资源访问请求;
处理器300,用于读取存储器320中的程序,执行下列过程:
读取存储器中的程序,执行下列过程:
根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略;
根据所述目标访问控制策略,获取对所述目标资源的策略评估结果;
根据所述策略评估结果,执行访问控制决策;
其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
其中,在图3中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器300代表的一个或多个处理器和存储器320代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机310可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器300负责管理总线架构和通常的处理,存储器320可以存储处理器300在执行操作时所使用的数据。
处理器300负责管理总线架构和通常的处理,存储器320可以存储处理器300在执行操作时所使用的数据。
其中,所述目标访问控制策略的资源属性或子资源包括以下至少一项:
资源标识,用于唯一标识所述目标访问控制策略;
策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略;
策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源;
策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式;
令牌策略应用规则,用于描述令牌策略的使用方式;
隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息;
访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略;
PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE;
PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE;
PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息的CSE。
其中,所述目标资源关联的访问控制策略包括:本地访问控制策略,令牌策略,分布式存储的访问控制策略中的一项或者多项;
所述本地访问控制策略包括第一本地访问控制策略和/或第二本地访问控制策略;
其中,所述第一本地访问控制策略存储在所述目标访问控制策略的访问控制策略列表中,所述第二本地访问控制策略通过资源引用的方式存储在其他访问控制策略的资源中。
处理器300还用于读取所述计算机程序,执行如下步骤:
根据所述策略适用范围,确定所述资源访问发起方和/或所述目标资源是否适用于所述目标访问控制策略;
若所述资源访问发起方和/或所述目标资源适用于所述目标访问控制策略,获取所述目标资源关联的访问控制策略;
对所述目标资源关联的访问控制策略进行评估,获得策略评估结果。
处理器300还用于读取所述计算机程序,执行如下步骤:
若所述资源访问请求中包括访问控制令牌,在所述令牌策略应用规则表示需使用令牌策略的情况下,对所述令牌策略进行评估,获得令牌策略评估结果。
处理器300还用于读取所述计算机程序,执行如下步骤:
获取隐私策略;
在策略评估结果表示允许访问的情况下,允许对所述目标资源的访问,并滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
处理器300还用于读取所述计算机程序,执行如下步骤:
在所述令牌策略应用规则表示需使用令牌策略时,若所述资源访问请求中未包括访问控制令牌,向所述资源访问发起方发送令牌授权实体的地址。
处理器300还用于读取所述计算机程序,执行如下步骤:
为作为策略执行点的宿主CSE PEP-CSE接收所述资源访问请求,并根据所述PDP-CSE地址列表将所述资源访问请求发送给策略决策点PDP-CSE;
为作为PDP-CSE的宿主CSE根据所述资源访问请求确定所述目标访问控制策略,并根据所述PRP-CSE地址列表,从策略获取点PRP-CSE获取所述目标资源关联的访问控制策略;
为作为PDP-CSE的宿主CSE对所述目标资源关联的访问控制策略进行评估,获取对所述目标资源的策略评估结果,并向所述PEP-CSE发送所述策略评估结果;
为所述PEP-CSE根据所述策略评估结果,执行访问控制决策。
处理器300还用于读取所述计算机程序,执行如下步骤:
为作为PDP-CSE的宿主CSE根据所述PIP-CSE地址列表从策略信息点PIP-CSE获取访问控制信息。
处理器300还用于读取所述计算机程序,执行如下步骤:
为作为PDP-CSE的宿主CSE根据策略合并算法对多个策略评估结果进行合并。
处理器300还用于读取所述计算机程序,执行如下步骤:
为作为PDP-CSE的宿主CSE获取隐私策略,根据所述隐私策略确定需过滤的资源属性和/或子资源,并向所述PEP-CSE发送所述资源属性和/或子资源;
在所述策略评估结果表示允许访问所述目标资源的情况下,为所述PEP-CSE根据所述资源属性和/或子资源,滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
此外,本发明实施例的计算机可读存储介质,用于存储计算机程序,所述计算机程序可被处理器执行实现以下步骤:
接收资源访问发起方对目标资源的资源访问请求;
根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略;
根据所述目标访问控制策略,获取对所述目标资源的策略评估结果;
根据所述策略评估结果,执行访问控制决策;
其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
其中,所述目标访问控制策略的资源属性或子资源包括以下至少一项:
资源标识,用于唯一标识所述目标访问控制策略;
策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略;
策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源;
策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式;
令牌策略应用规则,用于描述令牌策略的使用方式;
隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息;
访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略;
策略决策点-公共服务实体PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE;
策略获取点PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE;
策略信息点PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息的CSE。
其中,所述目标资源关联的访问控制策略包括:本地访问控制策略,令牌策略,分布式存储的访问控制策略中的一项或者多项;
所述本地访问控制策略包括第一本地访问控制策略和/或第二本地访问控制策略;
其中,所述第一本地访问控制策略存储在所述目标访问控制策略的访问控制策略列表中,所述第二本地访问控制策略通过资源引用的方式存储在其他访问控制策略的资源中。
其中,所述根据所述目标访问控制策略,获取对所述目标资源的策略评估结果,包括:
根据所述策略适用范围,确定所述资源访问发起方和/或所述目标资源是否适用于所述目标访问控制策略;
若所述资源访问发起方和/或所述目标资源适用于所述目标访问控制策略,获取所述目标资源关联的访问控制策略;
对所述目标资源关联的访问控制策略进行评估,获得策略评估结果。
其中,若所述资源访问请求中包括访问控制令牌,在所述令牌策略应用规则表示需使用令牌策略的情况下,所述对所述目标资源关联的访问控制策略进行评估,获得策略评估结果,包括:
对所述令牌策略进行评估,获得令牌策略评估结果。
其中,当所述策略评估结果为多个时,所述方法还包括:
根据策略合并算法对多个策略评估结果进行合并。
其中,所述方法还包括:
获取隐私策略;
所述根据所述策略评估结果,执行访问控制决策,包括:
在策略评估结果表示允许访问的情况下,允许对所述目标资源的访问,并滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
其中,在所述令牌策略应用规则表示需使用令牌策略时,若所述资源访问请求中未包括访问控制令牌,所述方法还包括:
向所述资源访问发起方发送令牌授权实体的地址。
其中,所述接收资源访问发起方对目标资源的资源访问请求,包括:
作为策略执行点的宿主CSE PEP-CSE接收所述资源访问请求,并根据所述PDP-CSE地址列表将所述资源访问请求发送给策略决策点PDP-CSE;
所述根据所述资源访问请求,确定所述目标资源的目标访问控制策略,包括:
作为PDP-CSE的宿主CSE根据所述资源访问请求确定所述目标访问控制策略,并根据所述PRP-CSE地址列表,从策略获取点PRP-CSE获取所述目标资源关联的访问控制策略;
所述根据所述目标访问控制策略,获取对所述目标资源的策略评估结果,包括:
作为PDP-CSE的宿主CSE对所述目标资源关联的访问控制策略进行评估,获取对所述目标资源的策略评估结果,并向所述PEP-CSE发送所述策略评估结果;
所述根据所述策略评估结果,执行访问控制决策,包括:
所述PEP-CSE根据所述策略评估结果,执行访问控制决策。
其中,所述方法还包括:
作为PDP-CSE的宿主CSE根据所述PIP-CSE地址列表从策略信息点PIP-CSE获取访问控制信息。
其中,所述方法还包括:
作为PDP-CSE的宿主CSE根据策略合并算法对多个策略评估结果进行合并。
其中,所述方法还包括:
作为PDP-CSE的宿主CSE获取隐私策略,根据所述隐私策略确定需过滤的资源属性和/或子资源,并向所述PEP-CSE发送所述资源属性和/或子资源;
所述PEP-CSE根据所述策略评估结果,执行访问控制决策,包括:
在所述策略评估结果表示允许访问所述目标资源的情况下,所述PEP-CSE根据所述资源属性和/或子资源,滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
在本申请所提供的几个实施例中,应该理解到,所揭露方法和装置,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述收发方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (27)
1.一种访问控制策略的处理方法,其特征在于,包括:
接收资源访问发起方对目标资源的资源访问请求;
根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略;
根据所述目标访问控制策略,获取对所述目标资源的策略评估结果;
根据所述策略评估结果,执行访问控制决策;
其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
2.根据权利要求1所述的方法,其特征在于,所述目标访问控制策略的资源属性或子资源包括以下至少一项:
资源标识,用于唯一标识所述目标访问控制策略;
策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略;
策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源;
策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式;
令牌策略应用规则,用于描述令牌策略的使用方式;
隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息;
访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略;
策略决策点-公共服务实体PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE;
策略获取点PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE;
策略信息点PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息的CSE。
3.根据权利要求2所述的方法,其特征在于,所述目标资源关联的访问控制策略包括:本地访问控制策略,令牌策略,分布式存储的访问控制策略中的一项或者多项;
所述本地访问控制策略包括第一本地访问控制策略和/或第二本地访问控制策略;
其中,所述第一本地访问控制策略存储在所述目标访问控制策略的访问控制策略列表中,所述第二本地访问控制策略通过资源引用的方式存储在其他访问控制策略的资源中。
4.根据权利要求3所述的方法,其特征在于,所述根据所述目标访问控制策略,获取对所述目标资源的策略评估结果,包括:
根据所述策略适用范围,确定所述资源访问发起方和/或所述目标资源是否适用于所述目标访问控制策略;
若所述资源访问发起方和/或所述目标资源适用于所述目标访问控制策略,获取所述目标资源关联的访问控制策略;
对所述目标资源关联的访问控制策略进行评估,获得策略评估结果。
5.根据权利要求4所述的方法,其特征在于,若所述资源访问请求中包括访问控制令牌,在所述令牌策略应用规则表示需使用令牌策略的情况下,所述对所述目标资源关联的访问控制策略进行评估,获得策略评估结果,包括:
对所述令牌策略进行评估,获得令牌策略评估结果。
6.根据权利要求4所述的方法,其特征在于,当所述策略评估结果为多个时,所述方法还包括:
根据策略合并算法对多个策略评估结果进行合并。
7.根据权利要求4-6任一项所述的方法,其特征在于,所述方法还包括:
获取隐私策略;
所述根据所述策略评估结果,执行访问控制决策,包括:
在策略评估结果表示允许访问的情况下,允许对所述目标资源的访问,并滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
8.根据权利要求2所述的方法,其特征在于,在所述令牌策略应用规则表示需使用令牌策略时,若所述资源访问请求中未包括访问控制令牌,所述方法还包括:
向所述资源访问发起方发送令牌授权实体的地址。
9.根据权利要求2所述的方法,其特征在于,
所述接收资源访问发起方对目标资源的资源访问请求,包括:
作为策略执行点的宿主CSE PEP-CSE接收所述资源访问请求,并根据所述PDP-CSE地址列表将所述资源访问请求发送给策略决策点PDP-CSE;
所述根据所述资源访问请求,确定所述目标资源的目标访问控制策略,包括:
作为PDP-CSE的宿主CSE根据所述资源访问请求确定所述目标访问控制策略,并根据所述PRP-CSE地址列表,从策略获取点PRP-CSE获取所述目标资源关联的访问控制策略;
所述根据所述目标访问控制策略,获取对所述目标资源的策略评估结果,包括:
作为PDP-CSE的宿主CSE对所述目标资源关联的访问控制策略进行评估,获取对所述目标资源的策略评估结果,并向所述PEP-CSE发送所述策略评估结果;
所述根据所述策略评估结果,执行访问控制决策,包括:
所述PEP-CSE根据所述策略评估结果,执行访问控制决策。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
作为PDP-CSE的宿主CSE根据所述PIP-CSE地址列表从策略信息点PIP-CSE获取访问控制信息。
11.根据权利要求9所述的方法,其特征在于,所述方法还包括:
作为PDP-CSE的宿主CSE根据策略合并算法对多个策略评估结果进行合并。
12.根据权利要求9所述的方法,其特征在于,所述方法还包括:
作为PDP-CSE的宿主CSE获取隐私策略,根据所述隐私策略确定需过滤的资源属性和/或子资源,并向所述PEP-CSE发送所述资源属性和/或子资源;
所述PEP-CSE根据所述策略评估结果,执行访问控制决策,包括:
在所述策略评估结果表示允许访问所述目标资源的情况下,所述PEP-CSE根据所述资源属性和/或子资源,滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
13.一种访问控制策略的处理装置,其特征在于,包括:
接收模块,用于接收资源访问发起方对目标资源的资源访问请求;
确定模块,用于根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略;
获取模块,用于根据所述目标访问控制策略,获取对所述目标资源的策略评估结果;
执行模块,用于根据所述策略评估结果,执行访问控制决策;
其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
14.根据权利要求13所述的装置,其特征在于,所述目标访问控制策略的资源属性或子资源包括以下至少一项:
资源标识,用于唯一标识所述目标访问控制策略;
策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略;
策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源;
策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式;
令牌策略应用规则,用于描述令牌策略的使用方式;
隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息;
访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略;
PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE;
PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE;
PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息的CSE。
15.一种通信设备,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;其特征在于,
所述收发机,用于接收资源访问发起方对目标资源的资源访问请求;
所述处理器,用于读取存储器中的程序,执行下列过程:
根据所述资源访问请求,确定所述目标资源的目标访问控制策略,其中,所述目标访问控制策略为具有调度能力的访问控制策略;
根据所述目标访问控制策略,获取对所述目标资源的策略评估结果;
根据所述策略评估结果,执行访问控制决策;
其中,所述目标访问控制策略用于对所述目标资源关联的访问控制策略进行调度,所述目标资源关联的访问控制策略包括同一种类的一个或者多个访问控制策略,或者包括不同种类的一个或者多个访问控制策略。
16.根据权利要求15所述的设备,其特征在于,所述目标访问控制策略的资源属性或子资源包括以下至少一项:
资源标识,用于唯一标识所述目标访问控制策略;
策略管理权限,用于描述针对所述目标访问控制策略的访问控制策略;
策略适用范围,用于描述适用于所述目标访问控制策略的资源访问发起方和/或适用于所述目标访问控制策略的资源;
策略合并算法,用于描述对多个访问控制策略的评估结果的合并方式;
令牌策略应用规则,用于描述令牌策略的使用方式;
隐私策略,用于描述需从返回给资源访问发起方的结果中滤除的信息;
访问控制策略列表,用于描述一个或多个访问控制策略,所述一个或者多个访问控制策略为同一种类的访问控制策略或者为不同种类的访问控制策略;
PDP-CSE地址列表,用于描述为作为策略执行点PEP的宿主CSE提供访问控制决策的CSE;
PRP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制策略的CSE;
PIP-CSE地址列表,用于描述为作为PDP的宿主CSE提供访问控制信息的CSE。
17.根据权利要求16所述设备,其特征在于,所述目标资源关联的访问控制策略包括:本地访问控制策略,令牌策略,分布式存储的访问控制策略中的一项或者多项;
所述本地访问控制策略包括第一本地访问控制策略和/或第二本地访问控制策略;
其中,所述第一本地访问控制策略存储在所述目标访问控制策略的访问控制策略列表中,所述第二本地访问控制策略通过资源引用的方式存储在其他访问控制策略的资源中。
18.根据权利要求17所述的设备,其特征在于,所述处理器还用于读取存储器中的程序,执行下列过程:
根据所述策略适用范围,确定所述资源访问发起方和/或所述目标资源是否适用于所述目标访问控制策略;
若所述资源访问发起方和/或所述目标资源适用于所述目标访问控制策略,获取所述目标资源关联的访问控制策略;
对所述目标资源关联的访问控制策略进行评估,获得策略评估结果。
19.根据权利要求18所述的设备,其特征在于,所述处理器还用于读取存储器中的程序,执行下列过程:
若所述资源访问请求中包括访问控制令牌,在所述令牌策略应用规则表示需使用令牌策略的情况下,对所述令牌策略进行评估,获得令牌策略评估结果。
20.根据权利要求18所述的设备,其特征在于,所述处理器还用于读取存储器中的程序,执行下列过程:
根据策略合并算法对多个策略评估结果进行合并。
21.根据权利要求18-20任一项所述的设备,其特征在于,所述处理器还用于读取存储器中的程序,执行下列过程:
获取隐私策略;
在策略评估结果表示允许访问的情况下,允许对所述目标资源的访问,并滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
22.根据权利要求16所述的设备,其特征在于,所述处理器还用于读取存储器中的程序,执行下列过程:
在所述令牌策略应用规则表示需使用令牌策略时,若所述资源访问请求中未包括访问控制令牌,向所述资源访问发起方发送令牌授权实体的地址。
23.根据权利要求16所述的设备,其特征在于,所述处理器还用于读取存储器中的程序,执行下列过程:
为作为策略执行点的宿主CSE PEP-CSE接收所述资源访问请求,并根据所述PDP-CSE地址列表将所述资源访问请求发送给策略决策点PDP-CSE;
为作为PDP-CSE的宿主CSE根据所述资源访问请求确定所述目标访问控制策略,并根据所述PRP-CSE地址列表,从策略获取点PRP-CSE获取所述目标资源关联的访问控制策略;
为作为PDP-CSE的宿主CSE对所述目标资源关联的访问控制策略进行评估,获取对所述目标资源的策略评估结果,并向所述PEP-CSE发送所述策略评估结果;
为所述PEP-CSE根据所述策略评估结果,执行访问控制决策。
24.根据权利要求23所述的设备,其特征在于,所述处理器还用于读取存储器中的程序,执行下列过程:
为作为PDP-CSE的宿主CSE根据所述PIP-CSE地址列表从策略信息点PIP-CSE获取访问控制信息。
25.根据权利要求23所述的设备,其特征在于,所述处理器还用于读取存储器中的程序,执行下列过程:
为作为PDP-CSE的宿主CSE根据策略合并算法对多个策略评估结果进行合并。
26.根据权利要求23所述的设备,其特征在于,所述处理器还用于读取存储器中的程序,执行下列过程:
为作为PDP-CSE的宿主CSE获取隐私策略,根据所述隐私策略确定需过滤的资源属性和/或子资源,并向所述PEP-CSE发送所述资源属性和/或子资源;
在所述策略评估结果表示允许访问所述目标资源的情况下,为所述PEP-CSE根据所述资源属性和/或子资源,滤除所述目标资源中所述隐私策略对应的资源属性和/或子资源。
27.一种计算机可读存储介质,用于存储计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至12中任一项所述的方法中的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910079440.3A CN111490966A (zh) | 2019-01-28 | 2019-01-28 | 一种访问控制策略的处理方法、装置及计算机可读存储介质 |
PCT/CN2020/071912 WO2020156135A1 (zh) | 2019-01-28 | 2020-01-14 | 一种访问控制策略的处理方法、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910079440.3A CN111490966A (zh) | 2019-01-28 | 2019-01-28 | 一种访问控制策略的处理方法、装置及计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111490966A true CN111490966A (zh) | 2020-08-04 |
Family
ID=71812141
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910079440.3A Pending CN111490966A (zh) | 2019-01-28 | 2019-01-28 | 一种访问控制策略的处理方法、装置及计算机可读存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN111490966A (zh) |
WO (1) | WO2020156135A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022156694A1 (zh) * | 2021-01-22 | 2022-07-28 | 京东方科技集团股份有限公司 | 数据共享方法、装置、系统、服务器和计算机存储介质 |
CN112243003B (zh) * | 2020-10-13 | 2023-04-11 | 中移(杭州)信息技术有限公司 | 访问控制方法、电子设备及存储介质 |
WO2023109450A1 (zh) * | 2021-12-17 | 2023-06-22 | 华为技术有限公司 | 访问控制方法及其相关装置 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113472775B (zh) * | 2021-06-29 | 2023-07-14 | 深信服科技股份有限公司 | 一种暴露面确定方法、系统及存储介质 |
CN116112264B (zh) * | 2023-01-31 | 2024-04-02 | 深圳市艾莉诗科技有限公司 | 一种基于区块链的策略隐藏大数据访问控制方法和装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104811465A (zh) * | 2014-01-27 | 2015-07-29 | 电信科学技术研究院 | 一种访问控制的决策方法和设备 |
CN106656937A (zh) * | 2015-11-03 | 2017-05-10 | 电信科学技术研究院 | 一种访问控制方法和访问令牌颁发方法、设备 |
CN106656936A (zh) * | 2015-11-03 | 2017-05-10 | 电信科学技术研究院 | 一种访问控制方法和设备 |
CN107306398A (zh) * | 2016-04-18 | 2017-10-31 | 电信科学技术研究院 | 分布式授权管理方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010116613A1 (ja) * | 2009-04-10 | 2010-10-14 | 日本電気株式会社 | アクセス制御ポリシテンプレート生成装置、システム、方法およびプログラム |
US10075443B2 (en) * | 2015-06-09 | 2018-09-11 | Intel Corporation | System, apparatus and method for stateful application of control data in a device |
CN107306247B (zh) * | 2016-04-18 | 2020-09-01 | 电信科学技术研究院 | 资源访问控制方法及装置 |
-
2019
- 2019-01-28 CN CN201910079440.3A patent/CN111490966A/zh active Pending
-
2020
- 2020-01-14 WO PCT/CN2020/071912 patent/WO2020156135A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104811465A (zh) * | 2014-01-27 | 2015-07-29 | 电信科学技术研究院 | 一种访问控制的决策方法和设备 |
CN106656937A (zh) * | 2015-11-03 | 2017-05-10 | 电信科学技术研究院 | 一种访问控制方法和访问令牌颁发方法、设备 |
CN106656936A (zh) * | 2015-11-03 | 2017-05-10 | 电信科学技术研究院 | 一种访问控制方法和设备 |
CN107306398A (zh) * | 2016-04-18 | 2017-10-31 | 电信科学技术研究院 | 分布式授权管理方法及装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112243003B (zh) * | 2020-10-13 | 2023-04-11 | 中移(杭州)信息技术有限公司 | 访问控制方法、电子设备及存储介质 |
WO2022156694A1 (zh) * | 2021-01-22 | 2022-07-28 | 京东方科技集团股份有限公司 | 数据共享方法、装置、系统、服务器和计算机存储介质 |
WO2023109450A1 (zh) * | 2021-12-17 | 2023-06-22 | 华为技术有限公司 | 访问控制方法及其相关装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2020156135A1 (zh) | 2020-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111490966A (zh) | 一种访问控制策略的处理方法、装置及计算机可读存储介质 | |
JP2635898B2 (ja) | アクセスの制御方法及びデータ処理システム | |
CN102567454B (zh) | 实现云计算环境中数据的粒度自主访问控制的方法和系统 | |
CN110298188B (zh) | 动态访问权限的控制方法及系统 | |
US7895409B2 (en) | Application inspection tool for determining a security partition | |
US8122484B2 (en) | Access control policy conversion | |
CN109889517B (zh) | 数据处理方法、权限数据集创建方法、装置及电子设备 | |
US8661499B2 (en) | Dynamic policy trees for matching policies | |
US6678682B1 (en) | Method, system, and software for enterprise access management control | |
CN110858833B (zh) | 访问控制策略配置方法、装置和系统以及存储介质 | |
CN110289965B (zh) | 一种应用程序服务的管理方法及装置 | |
CN110138767B (zh) | 事务请求的处理方法、装置、设备和存储介质 | |
CN107306247B (zh) | 资源访问控制方法及装置 | |
CN111062028A (zh) | 权限管理方法及装置、存储介质、电子设备 | |
CN107566375B (zh) | 访问控制方法和装置 | |
CN114726547A (zh) | 基于数据交换中间件工业互联网访问控制方法和可读介质 | |
CN112084021A (zh) | 教育系统的界面配置方法、装置、设备及可读存储介质 | |
CN115694943B (zh) | 基于行为的操作系统动态强制访问控制方法、系统及介质 | |
CN108282477B (zh) | 基于SaaS云平台的业务数据共享方法和装置 | |
US8046457B2 (en) | Apparatus, methods, and computer program products for managing network elements and associated network element resources by multiple management systems | |
CN115022008A (zh) | 一种访问风险评估方法、装置、设备及介质 | |
US20110321121A1 (en) | Information processing system and operation method of information processing system | |
CN113691539A (zh) | 企业内部统一功能权限管理方法及系统 | |
CN112000968A (zh) | 一种访问的控制方法及装置、存储介质、电子装置 | |
CN112970021A (zh) | 一种用于实现系统状态感知安全策略的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200804 |