CN115022020B - 一种基于多维集合计算的访问控制方法及系统 - Google Patents
一种基于多维集合计算的访问控制方法及系统 Download PDFInfo
- Publication number
- CN115022020B CN115022020B CN202210608360.4A CN202210608360A CN115022020B CN 115022020 B CN115022020 B CN 115022020B CN 202210608360 A CN202210608360 A CN 202210608360A CN 115022020 B CN115022020 B CN 115022020B
- Authority
- CN
- China
- Prior art keywords
- role
- roles
- access control
- multidimensional
- authorization unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000004364 calculation method Methods 0.000 title claims abstract description 17
- 238000013475 authorization Methods 0.000 claims abstract description 40
- 230000009471 action Effects 0.000 claims description 16
- 239000013598 vector Substances 0.000 claims description 15
- 230000008569 process Effects 0.000 claims description 6
- 238000004220 aggregation Methods 0.000 claims description 3
- 230000002776 aggregation Effects 0.000 claims 2
- 230000008520 organization Effects 0.000 description 12
- 238000004590 computer program Methods 0.000 description 4
- 239000003086 colorant Substances 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000003339 best practice Methods 0.000 description 1
- 230000019771 cognition Effects 0.000 description 1
- 102000054766 genetic haplotypes Human genes 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
发明涉及一种基于多维集合计算的访问控制方法及系统,属于身份信息安全技术领域,特别是涉及多维数据集合计算的对用户动态划分、组织管理、角色管理、访问控制的方法及系统,本发明通过定义角色维度:将所有可能涉及的分类方式,在权限模式建立之初尽可能详尽列出;确立角色维度之间的关联关系,要求不同的角色维度间是正交;生成用于访问控制的授权单元。并对授权单元执行计算,获得授权单元内的用户集和资源集,本发明与传统的RABC/ABAC权限模型相比,动态集合运算允许用户构建符合自身场景的术语,并使用动态的集合运算来解决多套权限模型带来的建模工作量大、难以调整、技术研发工作量大、性能低下等问题。
Description
技术领域
本发明涉及一种基于多维集合计算的访问控制方法及系统,属于身份信息安全技术领域,特别是涉及多维数据集合计算的对用户动态划分、组织管理、角色管理、访问控制的方法及系统。
背景技术
在计算机系统安全中,基于角色的访问控制(RBAC)或基于角色的安全是一种限制授权用户访问系统的方法。它是一种实现强制访问控制(MAC)或自主访问控制(DAC)的方法。基于角色的访问控制(RBAC)是一种围绕角色和权限定义的策略中立的访问控制机制。RBAC的组件(例如角色-权限、用户-角色和角色-角色关系)使执行用户分配变得简单。
基于RBAC的角色安全模型为访问控制模型定义了基础架构,其“角色”的内在含义是广义和泛化的。角色是对授权目标(通常是用户)适当分类的行为。
在较为复杂的鉴权场景下,角色与角色之间有依存关系,在RBAC模型中没有很好定义。通常管理人员会面对诸如组织架构、角色、部门岗位、用户组、用户组等多种术语。直接使用“角色”语义,常常混淆广义角色与狭义角色之间的差别,导致场景适用性差的问题,给访问控制带来潜在的安全风险。
发明内容
发明目的:提供一种基于多维集合计算的访问控制方法及系统,解决上述提到的问题,用于建立符合真实场景的访问控制机制,可以在不同场景和语义下,使用统一的访问控制方案。
技术方案:一种基于多维集合计算的访问控制方法,包括:
S1、定义角色维度:将所有可能涉及的分类方式,在权限模式建立之初尽可能详尽列出;
S2、确立角色维度之间的关联关系,要求不同的角色维度间是正交的;
S3、当所有角色维度定义完成后,将关联的维度展开;
S4、生成用于访问控制的授权单元。并对授权单元执行计算,获得授权单元内的用户集和资源集。
在进一步的实施例中,授权目标主体的分类动作,视为本质无差异的集合运算操作,将复杂的多维度、细粒度授权,分解为多次重复的广义角色分配动作;
将授权目标的广义角色分配,转化为重复多次的分类动作,通过数学辅以实际示例加以证实:其集合计算结果是完全等价的,同时,将多重角色关联后产生的结果集定义为“授权单元”,以避免与狭义或广义的“角色”混淆;
角色分配动作可以进行一次或有限多次,每一次角色分配,都将目标主体集合U划分为一组互不相交的非空子集,第i次分割后的结果记为约定对目标集合分类操作P是正交的,则进行k次分类后,其授权集合满足以下关系:
系统使用“授权单元”,对资源和用户进行关联。
在进一步的实施例中,所述授权单元中包含以下信息:1、广义角色的向量;2、授权目标主体的信息;3、资源信息。
在进一步的实施例中,在进行多重角色的分配动作前,明确指定广义角色的类型;初始状态下,不同的角色之间必须是正交的;
建立多重角色间的关联关系,将某种角色挂载至另一种角色的节点的叶子节点下,重复同样的挂载动作,直至所有节点挂载完成;重复上述过程,直至所有角色挂载完成;
使用该方法完成运算后,得到的多重角色模型是一个树形层次关系;
应该意识到,树状展开的二维平面图,与授权单元是等价的。对任意一个结果集中的用户e,必然有一组或多组角色与之对应,即有:
而在树形层次关系中,其每一个结点的父代节点集可记为:
可见,多重角色与树形层次关系,其数学形态完全是同构的。
在进一步的实施例中,初始模型创建前,根据实际的业务场景确认各种广义角色的语义R1,R2,R3…,并确保该语义的明确性、唯一性和独立性,定义的关系类型,应是具象的、易于管理人员或用户理解的,在同一个应用系统中,含义相近或语义模糊的关系类型应尽量避免,尽管运算规则关注的仅仅是集合与集合之间的关系,但不恰当的命名可能导致管理人员操作失误。
一种基于多维集合计算的访问控制系统,提供了一种计算机程序用于实现如上提及的一种基于多维集合计算的访问控制方法。
在进一步的实施例中,作为计算机程序中的基本数据结构,树具有更强的表达能力,如可以在表达角色多维特性的同时,对角色之类的关系做更多扩展。
有益效果:本发明涉及一种基于多维集合计算的访问控制方法及系统,属于身份信息安全技术领域,特别是涉及多维数据集合计算的对用户动态划分、组织管理、角色管理、访问控制的方法及系统,本发明与传统的RABC/ABAC权限模型相比,动态集合运算允许用户构建符合自身场景的术语,并使用动态的集合运算来解决多套权限模型带来的建模工作量大、难以调整、技术研发工作量大、性能低下等问题。
附图说明
图1是本发明提供的创建简单授权模型的过程图。
图2是本发明的授权单元多维展开图。
具体实施方式
在下文的描述中,给出了大量具体的细节以便提供对本发明更为彻底的理解。然而,对于本领域技术人员而言显而易见的是,本发明可以无需一个或多个这些细节而得以实施;在其他的例子中,为了避免与本发明发生混淆,对于本领域公知的一些技术特征未进行描述。
本发明实施例提供一种通用的、基于多维集合计算模型的计算方法、装置、设备及存储介质。其可以在不同场景和语义下,使用统一的访问控制方案。
本发明中所述的“角色”或“关系类型”,若未特别说明,意为泛指的、广义的角色。即诸如组织架构、角色、部门岗位、用户组、用户组等,以及未能所列的、用于划分授权目标主体的方法。
本发明中所述的“授权目标主体”,若未特别说明,通常指用户。
为实现上述目的,本发明实现一种基于广义多维角色的动态访问控制方法,包括:
第一方面:本发明将对授权目标主体的分类动作,视为本质无差异的集合运算操作。将复杂的多维度、细粒度授权,分解为多次重复的广义角色分配动作。
将授权目标的广义角色分配,转化为重复多次的分类动作。通过数学辅以实际示例加以证实:其集合计算结果是完全等价的。同时,将多重角色关联后产生的结果集定义为“授权单元”,以避免与狭义或广义的“角色”混淆。
角色分配动作可以进行一次或有限多次,每一次角色分配,都将目标主体集合U划分为一组互不相交的非空子集,第i次分割后的结果记为约定对目标集合分类操作P是正交的,则进行k次分类后,其授权集合满足以下关系:
授权单元中包含以下信息:1、广义角色的向量;2、授权目标主体的信息;3、资源信息。
系统使用“授权单元”,对资源和用户进行关联。
第二方面:发明一种多维角色的图形化展现的方法,包括:
在进行多重角色的分配动作前,明确指定广义角色(下同)的类型;初始状态下,不同的角色之间必须是正交的;
建立多重角色间的关联关系。将某种角色挂载至另一种角色的节点的叶子节点下。重复同样的挂载动作,直至所有节点挂载完成。重复上述过程,直至所有角色挂载完成。
使用该方法完成运算后,得到的多重角色模型是一个树形层次关系;
应该意识到,树状展开的二维平面图,与授权单元是等价的。对任意一个结果集中的用户e,必然有一组或多组角色与之对应,即有而在树形层次关系中,其每一个结点的父代节点集可记为/>可见,多重角色与树形层次关系,其数学形态完全是同构的。示例更详细地阐述了这种等价关系。
第三方面:本发明实施提供了一种计算机程序,以实现本发明提及的多维角色定义、关联关系展现、二维展开的呈现方法。
更进一步地,作为计算机程序中的基本数据结构,树具有更强的表达能力,如可以在表达角色多维特性的同时,对角色之类的关系(如可见性、继承性)做更多扩展。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图1,作详细说明如下:
S1、定义角色维度:将所有可能涉及的分类方式,在权限模式建立之初尽可能详尽列出;
S2、确立角色维度之间的关联关系,要求不同的角色维度间是正交的;
S3、当所有角色维度定义完成后,将关联的维度展开;
S4、生成用于访问控制的授权单元。并对授权单元执行计算,获得授权单元内的用户集和资源集。
为便于理解,对不同角色分配动作可以使用的“划分组织”、“划分角色”、“分组”等传统RBAC中常用的术语来表述。
下文中,给出本发明的一个或多个实施本发明创造的最佳实施方案。
实施例一:图1是本发明提供的创建简单授权模型的过程。
具体地,初始模型创建前,根据实际的业务场景确认各种广义角色的语义R1,R2,R3…,并确保该语义的明确性、唯一性和独立性。定义的关系类型,应是具象的、易于管理人员或用户理解的。在同一个应用系统中,含义相近或语义模糊的关系类型应尽量避免。尽管运算规则关注的仅仅是集合与集合之间的关系,但不恰当的命名可能导致管理人员操作失误。常见的具象语义,有“组织”、“部门”、“分组”、“角色”、“岗位”等。
第二步,将具体的角色节点r加入分类中,得到 此处r代表具体的角色,如{北京分部,上海分部,广东分部∈组织}
第三步,分析角色与角色之间是否存在关联关系。在本实施例中,角色之间没有关联关系,初始模型创建结束。
第四步,直接为角色创建授权单元。授权单元包含一个三元组:1、角色向量为一维向量集,如{(Beijing)},2、角色对应的授权目标用户集合{u1,u2,u3…},3、可访问资源集合{s1,s2,s3…}。
该实例最终获得的授权单元形如((o),{'u1','u2'},{'s1','s2'}),即用户{u1,u2…}可以访问资源{s1,s2…}。这个实例证实多维集合计算的访问控制系统,与RBAC系统是完全兼容的。
实施例二:本发明提供的多维集合计算的授权模型的过程。
具体地,初始模型创建前,根据实际的业务场景确认各种广义角色的语义。
第二步,将具体的角色节点r加入分类中。本实施例中包含三类广义角色:“组织(O)”与“岗位(P)”与“组(G)”。应当注意,这两类广义角色仅为方便理解实施例存在,而且将广义角色限定在特殊语义中。
第三步,分析角色与角色之间是否存在关联关系。在本实施例中,组织与岗位有关联关系,将关联关系记为R=O×P。
第四步,为包含关联关系的广义角色创建授权单元。授权单元包含一个三元组:1、角色向量为多维向量集,如(o1,p2),2、角色对应的授权目标用户集合{u1,u2,u3…},3、可访问资源集合{s1,s2,s3…}。对没有关联关系的组(G),使用实施例中的方式处理。
更进一步地,在进行集合运算时,授权单元的角色向量(o1,p2)中元素的顺序是无须关心的。但实践中,(o1,p2)与(p2,o1)的语义常常略有差别。如(o北京分公司,p财务部)与(p财务部,o北京分公司)之间包含着隐含的主次关系,前者更符合多数人的认知。因此在建立关联的过程中,通常最佳实践是将组织(O)视为角色向量的第一维度,其它作为第二或更高维度。
最终授权单元的向量实例形如((o1,p2),{'u1','u2'},{'res1','res2'})。即归属组织O1下,岗位为P2的用户{u1,u2…}可以访问资源{s1,s2…}
实施例三:本发明提供的复杂场景多维集合计算的授权模型并生成树形图。
具体地,初始模型创建前,根据实际的业务场景确认各种广义角色的语义。本实施例中包含四类广义角色:“组织(O1)”、“组织(O2)”、“岗位(P)”与“组(G)”。其中O1与O2是不相关的两种组织管理方式,并同时与岗位(P)关联。
授权单元包含的角色向量为多维向量集,如一个实例为考虑到p出现在多个向量的某个维度中。为防止维度展开后冗余数据急剧膨胀,此处建立虚拟维度v,并将其真实维度信息指向节点p。
应当理解,本实例中对授权单元中的对应用户和资源运算,默认采用交集。即(o1,p2)对应的用户是同时属于o1与p2的用户。
最终授权单元的向量实例形如((o2,vp2),{'u1','u2'},{'res1','res2'})。即归属组织O2、O1下,岗位为P2的用户{u1,u2…}可以访问资源{s1,s2…}。
以上结合附图详细描述了本发明的优选实施方式,但是,本发明并不限于上述实施方式中的具体细节,在本发明的技术构思范围内,可以对本发明的技术方案进行多种等同变换,这些等同变换均属于本发明的保护范围。
Claims (3)
1.一种基于多维集合计算的访问控制方法,其特征在于,包括:
S1、定义角色维度:将所有涉及的分类方式,在权限模式建立之初详尽列出;
初始模型创建前,根据实际的业务场景确认各种广义角色的语义R1,R2,R3…;
S2、确立角色维度之间的关联关系,要求不同的角色维度间是正交的;
S3、当所有角色维度定义完成后,将关联的维度展开;
在进行多重角色的分配动作前,明确指定广义角色的类型;初始状态下,不同的角色之间必须是正交的;
建立多重角色间的关联关系,将某种角色挂载至另一种角色的节点的叶子节点下,重复同样的挂载动作,直至所有节点挂载完成;重复上述过程,直至所有角色挂载完成;
使用该方法完成运算后,得到的多重角色模型是一个树形层次关系;
对任意一个结果集中的用户e,必然有一组或多组角色与之对应,即有:
而在树形层次关系中,其每一个结点的父代节点集可记为:
S4、生成用于访问控制的授权单元;并对授权单元执行计算,获得授权单元内的用户集和资源集;
授权目标主体的分类动作,视为本质无差异的集合运算操作,将复杂的多维度、细粒度授权,分解为多次重复的广义角色分配动作;
将授权目标的广义角色分配,转化为重复多次的分类动作,同时,将多重角色关联后产生的结果集定义为“授权单元”;
授权单元包含一个三元组:角色向量为一维或多维向量集、角色对应的授权目标用户集合{u1,u2,u3…}、可访问资源集合{s1,s2,s3…};
角色分配动作可以进行一次或有限多次,每一次角色分配,都将目标主体集合U划分为一组互不相交的非空子集,第i次分割后的结果记为约定对目标集合分类操作P是正交的,则进行k次分类后,其授权集合满足以下关系:
系统使用“授权单元”,对资源和用户进行关联。
2.根据权利要求1所述一种基于多维集合计算的访问控制方法,其特征在于,所述授权单元中包含以下信息:1、广义角色的向量;2、授权目标主体的信息;3、资源信息。
3.一种基于多维集合计算的访问控制系统,其特征在于,所述系统包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;当一个或多个所述程序被一个或多个处理器执行时实现如权利要求1-2中任一项所述的一种基于多维集合计算的访问控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210608360.4A CN115022020B (zh) | 2022-05-31 | 2022-05-31 | 一种基于多维集合计算的访问控制方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210608360.4A CN115022020B (zh) | 2022-05-31 | 2022-05-31 | 一种基于多维集合计算的访问控制方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115022020A CN115022020A (zh) | 2022-09-06 |
CN115022020B true CN115022020B (zh) | 2024-04-16 |
Family
ID=83071574
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210608360.4A Active CN115022020B (zh) | 2022-05-31 | 2022-05-31 | 一种基于多维集合计算的访问控制方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115022020B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117688592B (zh) * | 2024-02-01 | 2024-04-26 | 山东中翰软件有限公司 | 基于数据生产节点的精细化权限管控方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104125219A (zh) * | 2014-07-07 | 2014-10-29 | 四川中电启明星信息技术有限公司 | 针对电力信息系统的身份集中授权管理方法 |
CN104881736A (zh) * | 2015-05-15 | 2015-09-02 | 西安电子科技大学 | 基于改进角色的多Agent工作流访问控制方法 |
CN110569652A (zh) * | 2019-08-29 | 2019-12-13 | 武汉大学 | 一种基于用户角色调整的动态访问控制方法 |
CN111431843A (zh) * | 2019-01-10 | 2020-07-17 | 中国科学院电子学研究所 | 云计算环境下基于信任和属性的访问控制方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060218394A1 (en) * | 2005-03-28 | 2006-09-28 | Yang Dung C | Organizational role-based controlled access management system |
US8381306B2 (en) * | 2006-05-30 | 2013-02-19 | Microsoft Corporation | Translating role-based access control policy to resource authorization policy |
-
2022
- 2022-05-31 CN CN202210608360.4A patent/CN115022020B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104125219A (zh) * | 2014-07-07 | 2014-10-29 | 四川中电启明星信息技术有限公司 | 针对电力信息系统的身份集中授权管理方法 |
CN104881736A (zh) * | 2015-05-15 | 2015-09-02 | 西安电子科技大学 | 基于改进角色的多Agent工作流访问控制方法 |
CN111431843A (zh) * | 2019-01-10 | 2020-07-17 | 中国科学院电子学研究所 | 云计算环境下基于信任和属性的访问控制方法 |
CN110569652A (zh) * | 2019-08-29 | 2019-12-13 | 武汉大学 | 一种基于用户角色调整的动态访问控制方法 |
Non-Patent Citations (2)
Title |
---|
"基于UML的多维角色访问控制系统建模";隋韦韦;魏长江;;《科技信息(学术版)》(第05期);全文 * |
"基于角色的访问控制模型改进";黄美蓉;《中国优秀硕士学位论文全文数据库》;第7-17页 * |
Also Published As
Publication number | Publication date |
---|---|
CN115022020A (zh) | 2022-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ferraiolo et al. | Extensible access control markup language (XACML) and next generation access control (NGAC) | |
Shafiq et al. | Secure interoperation in a multidomain environment employing RBAC policies | |
US9430662B2 (en) | Provisioning authorization claims using attribute-based access-control policies | |
Kaiwen et al. | Attribute-role-based hybrid access control in the internet of things | |
Li et al. | Administration in role-based access control | |
Biswas et al. | Label-based access control: An ABAC model with enumerated authorization policy | |
Pan et al. | Semantic access control for information interoperation | |
CN115022020B (zh) | 一种基于多维集合计算的访问控制方法及系统 | |
Tsankov et al. | Decentralized composite access control | |
CN108243194B (zh) | 一种基于语义的云存储访问控制方法 | |
US8819231B2 (en) | Domain based management of partitions and resource groups | |
Jacob et al. | Matrix decomposition: Analysis of an access control approach on transaction-based DAGs without finality | |
CN110928963B (zh) | 针对运维业务数据表的列级权限知识图谱构建方法 | |
US20010025281A1 (en) | Method for access control of aggregated data | |
CN115292353B (zh) | 数据查询方法、装置、计算机设备和存储介质 | |
CN111966994A (zh) | 基于数据库的区块链鉴权方法、系统及存储介质 | |
Liu et al. | Research on hybrid access control strategy for smart campus platform | |
Ranise et al. | Automated analysis of RBAC policies with temporal constraints and static role hierarchies | |
Crampton | Authorization and antichains | |
Braghin et al. | A distributed calculus for role-based access control | |
US20150033367A1 (en) | Solution for Continuous Control and Protection of Enterprise Data Based on Authorization Projection | |
Zou et al. | Multi-tenancy access control strategy for cloud services | |
Lim et al. | Intelligent access control mechanism for ubiquitous applications | |
Zeng et al. | Verifying secure information flow in federated clouds | |
CN112231733A (zh) | 对象代理特征数据库的mac防护增强系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |