CN112751867B - 基于逻辑单元和信任评估的访问控制授权方法 - Google Patents

基于逻辑单元和信任评估的访问控制授权方法 Download PDF

Info

Publication number
CN112751867B
CN112751867B CN202011622147.6A CN202011622147A CN112751867B CN 112751867 B CN112751867 B CN 112751867B CN 202011622147 A CN202011622147 A CN 202011622147A CN 112751867 B CN112751867 B CN 112751867B
Authority
CN
China
Prior art keywords
role
user
trust
cloud service
logic unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011622147.6A
Other languages
English (en)
Other versions
CN112751867A (zh
Inventor
许峰
崔正冬
朱颖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Aeronautics and Astronautics
Original Assignee
Nanjing University of Aeronautics and Astronautics
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Aeronautics and Astronautics filed Critical Nanjing University of Aeronautics and Astronautics
Priority to CN202011622147.6A priority Critical patent/CN112751867B/zh
Publication of CN112751867A publication Critical patent/CN112751867A/zh
Application granted granted Critical
Publication of CN112751867B publication Critical patent/CN112751867B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一个云计算环境下基于逻辑单元和信任评估的访问控制授权方法;本方法的授权步骤为:首先,对给定的待分配的用户、角色验证是否属于对应逻辑单元,并确认云服务是否满足信任阈值。其次,根据该角色中所属逻辑单元的字段,找到其对应逻辑单元,激活该管理员;管理员再次验证用户默认逻辑单元字段中是否包含此逻辑单元;最后,授权用户,修改用户角色关系集,更新云服务的信任值。本发明在机遇角色的访问控制模型的基础上,将用户角色的授权管理交由各逻辑单元管理员负责,引入信任评估模块,对提供服务的云服务节点进行评估。因而新的授权系统适合云计算的动态特性,有较高的授权效率和较好的安全性。

Description

基于逻辑单元和信任评估的访问控制授权方法
技术领域
本发明属于计算机软件开发领域,特别涉及了一种云计算环境下的高效安全的用户授权方法。
背景技术
基于逻辑单元和信任评估的授权方法是基于角色访问控制模型和信任计算而产生的一种新型访问控制模型,用于实现云环境下高效安全的用户授权与管理。它可以使用逻辑单元将系统的全局授权转为逻辑单元内的局部授权,从而简化授权流程。同时使用信任计算技术评估选取可靠的云服务节点,提高系统的安全性。
当前,针对访问控制系统的授权管理主要有两种:一是通过管理员管理系统的方式进行授权;二是增设用户池与权限池,常用于减少冗余授权。但目前这两种方法在遇到系统用户角色规模较大时,权限的授予和撤销依旧繁琐。此外目前大多使用的基于角色的访问控制模型是一种静态的访问控制,无法满足云环境下动态访问控制的需求。
综上所述,如何简化管理,提高授权效率,实现云计算环境下的动态访问控制,已经成为本领域亟待解决的问题。
发明内容
为了解决上述背景技术中提到的技术问题,本发明提出了基于逻辑单元和信任评估的访问控制授权方法。
为了实现上述技术目的,本发明的技术方案为:为了简化大规模系统中用户角色的管理,使用逻辑单元将系统的全局授权转为逻辑单元内的局部授权。由逻辑单元的管理员授权并管理,从而实现云计算环境下的动态访问控制。
基于逻辑单元和信任评估的访问控制授权方法,包括以下步骤:
(1)首先,对给定的待分配的用户、角色、云服务节点进行合法性验证,确认该用户与该角色是否在系统用户集、角色集中,云服务是否满足信任阈值。若不在说明是非法用户或非法角色,云服务无法提供安全的服务,拒绝此次用户角色分配,否则进入步骤(2)。
(2)根据该角色中所属逻辑单元的字段,找到其对应逻辑单元,激活该逻辑单元管理员角色。
(3)逻辑单元管理员角色验证该用户默认逻辑单元字段是否包含本逻辑单元,若不包含,拒绝此次用户角色分配,若包含,进入步骤(4)。
(4)进行用户角色分配。
(5)分配成功,修改用户角色关系集。
根据权利要求1所述,基于逻辑单元和信任评估的访问控制授权方法,步骤(1)的具体过程如下:
(101)查询系统的用户集与角色集;
(102)如果用户集中包含待授权用户,角色集中包含待分配给用户的角色则进入下一步,否则授权失败;
(103)查询提供服务的云节点信任值,判断交互的历史记录是否大于系统设置的最大历史交互次数限制,大于则通过计算直接信任值得出云服务节点的信任值,小于则通过计算云服务节点的直接信任与间接信任的加权和来计算云服务节点的信任值;
(104)判断云服务节点的信任值是否大于系统设置的信任阈值,大于则加入候选节点队列,最后从候选节点队列中选择信任值最高的节点作为提供服务的云服务节点,如果队列为空则授权失败。
采用上述技术方案带来的有益效果:
(1)本发明设计的基于逻辑单元与信任评估的授权方法对于传统的授权管理,不需要某个管理员负责整个系统的授权管理工作,而是将授权管理交给了各个逻辑单元的管理员,因此大大提高了授权效率;
(2)本发明设计的基于逻辑单元与信任评估的授权方法,面对云环境动态虚拟化的特点,实时评估云服务节点的可信度,选择可靠的云服务节点向用户提供服务,保护了用户的数据安全,相比于传统的访问控制模型具有更高的安全性。
附图说明
图1是本发明的方法流程图;
图2是本发明中访问控制框架的结构图;
图3是云服务的信任评估流程;
具体实施方式
以下将结合附图,对本发明的技术方案进行详细说明。
本发明的基本思想是,通过逻辑单元将原本由系统管理员负责的全局授权和管理工作转交给各个逻辑单元执行,并通过对于提供服务的云服务节点进行信任评估,选择安全可靠的云服务节点,从而实现云环境下高效安全的授权。
1、如图1所示,本发明提出的基于逻辑单元和信任评估的授权方法,步骤如下:
(1)首先,对给定的待分配的用户、角色、云服务节点进行合法性验证,确认该用户与该角色是否在系统用户集、角色集中,云服务是否满足信任阈值。若不在说明是非法用户或非法角色,云服务无法提供安全的服务,拒绝此次用户角色分配,否则进入步骤(2)。
(2)根据该角色中所属逻辑单元的字段,找到其对应逻辑单元,激活该逻辑单元管理员角色。
(3)逻辑单元管理员角色验证该用户默认逻辑单元字段是否包含本逻辑单元,若不包含,拒绝此次用户角色分配,若包含,进入步骤(4)。
(4)进行用户角色分配。
(5)分配成功,修改用户角色关系集。
2、根据权利要求1所述基于逻辑单元和信任计算的授权方法,步骤(1)的具体过程如下:
(101)查询系统的用户集与角色集;
(102)如果用户集中包含待授权用户,角色集中包含待分配给用户的角色则进入下一步,否则授权失败;
(103)查询提供服务的云节点信任值,判断交互的历史记录是否大于系统设置的最大历史交互次数限制,大于则通过计算直接信任值得出云服务节点的信任值,小于则通过计算云服务节点的直接信任与间接信任的加权和来计算云服务节点的信任值;
(104)判断云服务节点的信任值是否大于系统设置的信任阈值,大于则加入候选节点队列,最后从候选节点队列中选择信任值最高的节点作为提供服务的云服务节点,如果队列为空则授权失败。
3、在本实施例中,可以采用如下优选方案实现上述步骤(1)中的第三步:
301、使用基于历史证据窗口的算法,根据历史交互记录计算云服务结点信任值;
302、根据信任值是否大于系统设定阈值,大于则加上激励信任更新对应记录进入步骤(2),否则授权失败,减去惩罚信任,更新记录;
实施例仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明保护范围之内。

Claims (2)

1.基于逻辑单元和信任评估的访问控制授权方法,其特征在于:
(1)首先,对给定的待分配的用户、角色、云服务节点进行合法性验证,确认该用户与该角色是否在系统用户集、角色集中,云服务是否满足信任阈值; 若不在说明是非法用户或非法角色,云服务无法提供安全的服务,拒绝此次用户角色分配,否则进入步骤(2);
(2)根据该角色中所属逻辑单元的字段,找到其对应逻辑单元,激活该逻辑单元管理员角色;
(3)逻辑单元管理员角色验证该用户默认逻辑单元字段是否包含本逻辑单元,若不包含,拒绝此次用户角色分配,若包含,进入步骤(4);
(4)进行用户角色分配;
(5)分配成功,修改用户角色关系集。
2.根据权利要求1所述基于逻辑单元和信任评估的访问控制授权方法,其特征在于,步骤(1)的具体过程如下:
(101)查询系统的用户集与角色集;
(102)如果用户集中包含待授权用户,角色集中包含待分配给用户的角色则进入下一步,否则授权失败;
(103)查询提供服务的云节点信任值,判断交互的历史记录是否大于系统设置的最大历史交互次数限制,大于则通过计算直接信任值得出云服务节点的信任值,小于则通过计算云服务节点的直接信任与间接信任的加权和来计算云服务节点的信任值;
(104)判断云服务节点的信任值是否大于系统设置的信任阈值,大于则加入候选节点队列,最后从候选节点队列中选择信任值最高的节点作为提供服务的云服务节点,如果队列为空则授权失败。
CN202011622147.6A 2020-12-31 2020-12-31 基于逻辑单元和信任评估的访问控制授权方法 Active CN112751867B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011622147.6A CN112751867B (zh) 2020-12-31 2020-12-31 基于逻辑单元和信任评估的访问控制授权方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011622147.6A CN112751867B (zh) 2020-12-31 2020-12-31 基于逻辑单元和信任评估的访问控制授权方法

Publications (2)

Publication Number Publication Date
CN112751867A CN112751867A (zh) 2021-05-04
CN112751867B true CN112751867B (zh) 2022-07-05

Family

ID=75650344

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011622147.6A Active CN112751867B (zh) 2020-12-31 2020-12-31 基于逻辑单元和信任评估的访问控制授权方法

Country Status (1)

Country Link
CN (1) CN112751867B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106997440A (zh) * 2017-04-10 2017-08-01 中经汇通电子商务有限公司 一种角色访问控制方法
CN107340951A (zh) * 2017-07-13 2017-11-10 成都牵牛草信息技术有限公司 基于角色获取的表单数据的授权方法
CN107750053A (zh) * 2017-05-25 2018-03-02 天津大学 基于多因素的无线传感器网络动态信任评价系统及方法
CN109388921A (zh) * 2017-08-10 2019-02-26 顺丰科技有限公司 一种统一用户权限管理平台及运行方法
CN109948350A (zh) * 2019-01-18 2019-06-28 深圳市万睿智能科技有限公司 一种层级组织结构账号权限分配方法及其系统与存储介质
CN111885154A (zh) * 2020-07-22 2020-11-03 北京邮电大学 基于证书链的分布式数据安全共享方法及系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6574736B1 (en) * 1998-11-30 2003-06-03 Microsoft Corporation Composable roles
JP4504329B2 (ja) * 2006-03-31 2010-07-14 株式会社東芝 ストレージシステム、当該ストレージシステムに用いられるストレージ及びアクセス制御方法
CN102904892A (zh) * 2012-10-17 2013-01-30 浪潮(北京)电子信息产业有限公司 一种云计算数据中心操作系统的安全模型及策略
CN104036166B (zh) * 2014-06-11 2017-12-15 中国人民解放军国防科学技术大学 支持强制访问控制的用户提权方法
US9736259B2 (en) * 2015-06-30 2017-08-15 Iheartmedia Management Services, Inc. Platform-as-a-service with proxy-controlled request routing

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106997440A (zh) * 2017-04-10 2017-08-01 中经汇通电子商务有限公司 一种角色访问控制方法
CN107750053A (zh) * 2017-05-25 2018-03-02 天津大学 基于多因素的无线传感器网络动态信任评价系统及方法
CN107340951A (zh) * 2017-07-13 2017-11-10 成都牵牛草信息技术有限公司 基于角色获取的表单数据的授权方法
CN109388921A (zh) * 2017-08-10 2019-02-26 顺丰科技有限公司 一种统一用户权限管理平台及运行方法
CN109948350A (zh) * 2019-01-18 2019-06-28 深圳市万睿智能科技有限公司 一种层级组织结构账号权限分配方法及其系统与存储介质
CN111885154A (zh) * 2020-07-22 2020-11-03 北京邮电大学 基于证书链的分布式数据安全共享方法及系统

Also Published As

Publication number Publication date
CN112751867A (zh) 2021-05-04

Similar Documents

Publication Publication Date Title
CN112532705B (zh) 一种基于大数据的智慧城市服务系统
US20200238847A1 (en) System to prioritize power delivery from a charging station to electric vehicle
CN108416230B (zh) 一种基于数据隔离模型的数据访问方法
CN101621518A (zh) 一种权限管理方法
US6678682B1 (en) Method, system, and software for enterprise access management control
CN102231693A (zh) 访问权限的管理方法及装置
CN112583810B (zh) 一种基于上下文的虚拟网络零信任方法
US11212291B2 (en) Securing services and intra-service communications
CN111651738B (zh) 基于前后端分离架构的细粒度角色权限统一管理方法及电子装置
EP3185507B1 (en) Access control method and apparatus
CN112751867B (zh) 基于逻辑单元和信任评估的访问控制授权方法
CN112311804B (zh) 一种多租户服务资源动态访问授权与认证系统及方法
CN116938521A (zh) 一种基于分级存储的分布式数字身份可信认证方法
CN104753902A (zh) 一种业务系统验证方法及验证装置
CN112100584B (zh) 机器学习应用服务集群的多租用户权限管理方法及系统
CN101888623B (zh) 一种基于安全服务的移动网络安全防护方法
CN109861970B (zh) 一种基于可信策略的系统
Wang et al. Research on access control technology of big data cloud computing
CN109905383A (zh) 基于pmi的委托授权管理方法及装置
Tarigonda et al. Providing data security in cloud computing using novel and mixed agent based approach
Jinbo et al. Research on Operating System Kernel Security Based on Mandatory Behavior Control Mechanism (MBC)
Lu et al. A trust-role based context aware access control model
Bao et al. Research on network privacy information security management method based on NoSQL database
CN112184225B (zh) 一种基于区块链的云渲染资源兑换方法
CN118297591A (zh) 基于区块链的数字证书存证方法、系统、设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant