CN102404232A - 多域访问控制***及方法 - Google Patents
多域访问控制***及方法 Download PDFInfo
- Publication number
- CN102404232A CN102404232A CN201110430967XA CN201110430967A CN102404232A CN 102404232 A CN102404232 A CN 102404232A CN 201110430967X A CN201110430967X A CN 201110430967XA CN 201110430967 A CN201110430967 A CN 201110430967A CN 102404232 A CN102404232 A CN 102404232A
- Authority
- CN
- China
- Prior art keywords
- territory
- role
- user
- trust
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开一种多域访问控制***及方法,该***包括:域管理中心,用于管理存储于本域的本域角色表、角色映射表、域间信任度表及用户信任度表;判断模组,根据该域间信任度表判断本域与该外域的域间信任度是否满足域间可信度要求;本域角色分配模组,于本域与该外域的域间信任度满足要求时,从用户信任度表获取用户信任度,并根据本域角色表分配用户本域角色;外域映射模组,根据角色映射表查找本域角色对应的外域角色;以及外域访问模组,根据外域角色对应的权限,访问请求资源;本发明通过基于用户的信任度,分配用户角色,并通过不同域间的角色映射表,获得外域角色,从而获得外域资源的访问授权,解决了不同域间的可信度问题。
Description
技术领域
本发明涉及一种多域访问控制***及方法,特别是涉及一种基于用户行为信任的多域访问控制***及方法。
背景技术
目前,对于多域间的访问控制模型的研究,人们从基于风险、基于身份、基于***可信度等角度对多域的访问控制进行了相关研究。将风险、***的可信度、身份认证等因素引入进基于角色的访问控制模型中,保证多自治域的访问控制的安全性,然而,现有技术阐述的多域间访问控制模型大多都是在两个域间的资源共享的前提下,提出用户访问外域的资源时的安全访问控制问题,对于两个域间的信任问题没有考虑,并且,对于用户访问外域的安全访问控制问题,这些模型是从风险、基于用户的身份认证、从整个***的可信度等角度来研究,现有技术没有针对用户行为信任提出一种可靠的安全访问控制模型。
综上所述,可知先前技术之多域访问控制模型存在没有针对用户行为信任提出一种可靠的安全访问控制模型的问题,因此实有必要提出改进的技术手段,来解决此一问题。
发明内容
为克服上述现有技术存在的不足,本发明的主要目的在于提供一种多域访问控制***及方法,其解决了域内基于用户行为信任的访问控制机制和域间基于用户行为信任的访问控制机制,并解决了不同域间的可信机制。
为达上述及其它目的,本发明提供一种多域访问控制***,包含多个域,其特征在于,每个域至少包括:
域管理中心,用于管理存储于本域的本域角色表、角色映射表、域间信任度表及用户信任度表;
判断模组,用于当本域的用户请求访问某外域的资源信息时,根据该域间信任度表判断本域与该外域的域间信任度是否满足域间可信度要求;
本域角色分配模组,于该判断模组判断出本域与该外域的域间信任度满足域间可信度要求时,从该用户信任度表获取该用户的用户信任度,并根据该本域角色表分配该用户本域角色;
外域映射模组,根据该角色映射表查找该用户本域角色对应的外域角色;
外域访问模组,根据该外域角色对应的权限,访问相应的请求资源。
进一步地,该***还包括一更新模组,以于该用户提出资源访问请求时,对该用户信任度表进行动态更新。
进一步地,该更新模组对用户的计算信任度的信任证据进行动态更新,若有变化,则重新计算用户的信任度,并更新该用户信任度表。
进一步地,该信任证据包括用户的属性、推荐、历史信息及上下文环境。
进一步地,该本域角色表用于存储本域中用户可分配的角色;该角色映射表用于存储本域与外域角色之间的映射;该域间信任度表用于存储不同域间的信任度;该用户信任度表用于存储用户于本域的信任度。
为达上述及其他目的,本发明提供一种多域访问控制方法,用于不同域间的访问控制,包括如下步骤:
当本域用户请求一外域服务时,根据域间信任度表判断本域与外域的域间信任度是否满足域间可信度要求;
当本域与外域的域间信任度满足域间可信度要求时,从用户信任度表中获取该用户的用户信任度,并根据本域角色表分配该用户本域角色;
根据角色映射表查找该本域角色对应的外域角色;以及
由该外域角色对应的权限,访问相应的请求资源。
进一步地,若本域与外域的域间信任度不能满足域间可信度要求时,则拒绝提供服务。
进一步地,在从一用户信任度表中获取该用户的用户信任度之前,该多域访问控制方法还包括如下步骤:
搜集信任证据;
判断是否有新的信任证据;
若有新的信任证据出现,则重新计算该用户的用户信任度,并更新用户信任度表。
进一步地,该信任证据包括用户属性、推荐、历史信息及上下文环境。
与现有技术相比,本发明一种多域访问控制***及方法通过引入域间信任度的概念,解决了不同域间的可信度问题,通过基于用户的信任度,分配用户角色,并通过不同域间的角色映射表,获得外域角色,从而获得外域资源的访问授权。
附图说明
图1为本发明一种多域访问控制***的***架构图;
图2为本发明一种多域访问控制***之较佳实施例的***架构图;
图3为本发明一种多域访问控制方法的步骤流程图。
具体实施方式
以下通过特定的具体实例并结合附图说明本发明的实施方式,本领域技术人员可由本说明书所揭示的内容轻易地了解本发明的其它优点与功效。本发明亦可通过其它不同的具体实例加以施行或应用,本说明书中的各项细节亦可基于不同观点与应用,在不背离本发明的精神下进行各种修饰与变更。
图1为本发明一种多域访问控制***的***架构图。如图1所示,本发明一种多域访问控制***,用于对不同域间的访问进行控制,其至少包含两个域,其中每个域均至少包含域管理中心10、判断模组20、本域角色分配模组30、外域映射模组40以及外域访问模组50。
其中,每个域的域管理中心10用于管理存储于本域的本域角色表11、角色映射表12、域间信任度表13以及用户信任度表14。在本发明之较佳实施例中,本域角色表11用于存储本域中用户可分配的角色,用RoleLD表示,对于本域的用户,可以根据分配的本域角色,对本域的资源进行相应的访问;角色映射表12用于存储本域与外域角色之间的映射,即当本域的用户要访问外域的资源时,本域的一些角色与外域中具有访问外域资源信息的角色的映射,用RoleLD-OD表示;域间信任度表13用于存储不同域间的信任度,即当用户提出外域资源访问请求时,域管理中心首先会查看本域与外域的信任度,当满足域间可信度要求时,允许用户提出外域资源访问请求;用户信任度表14用于存储用户于本域的信任度,用Tu表示。
判断模组20用于当本域的用户请求访问某外域的资源信息时,根据域管理中心10的域间信任度表13,判断本域与外域的域间信任度是否满足域间可信度要求;本域角色分配模组30,用于于判断模组20判断出本域与外域的域间信任度满足域间可信度要求时,获取域管理中心10的用户信任度表14中该用户的用户信任度,并根据本域角色表11分配该用户本域角色;外域映射模组40,根据域管理中心10的角色映射表12查找本域角色对应的外域角色;外域访问模组50,则由外域角色对应的权限,访问相应的请求资源。
由于,用户分配本域角色时,信任关系受到属性、推荐、历史信息、上下文环境等相关信任证据的影响,因此,当本域的用户请求访问某外域的资源信息时,需要根据用户的属性、推荐、上下文环境(如:网络状况、时间、地理位置)等信息分配用户对应的本域角色。为达到此目的,本发明之多域访问控制***还包括一更新模组60,用于于用户提出资源访问请求时,对用户信任度表14进行动态更新。具体来说,当用户提出资源访问请求时,本发明之多域访问控制***首先进行用户的计算信任度的相关因素(属性、推荐、历史信息、上下文环境等相关信任证据)进行动态更新,如果有变化,则重新计算用户的信任度,后续本域角色分配模组30则根据用户的新的信任度,进行分配用户本域角色;如果没有变化,则用用户信任度表14中的相应的用户信任度,分配用户本域角色。
图2为本发明一种多域访问控制***之较佳实施例的***架构图。在本发明较佳实施例中,以两个域为例,即该多域访问控制***括第一域A及第二域B,每个域中具有可访问的资源1及资源2,相应的,第一域A中的本域角色表11记为RoleLDA,第二域B中的本域角色表11记为RoleLDB(未示出);第一域A中的角色映射表12记为RoleLDA-ODB,第二域B中的角色映射表12记为RoleLDB-ODA(未示出);第一域A与第二域B的域间信任度表13用T(DA-DB)表示;第一域A的用户信任度表14记为TuA,第二域B的用户信任度表14记为TuB(未示出)。以第一域A中的用户A请求访问第二域B的资源信息为例,首先判断模组20根据域间信任度表T(DA-DB)判断第一域A与第二域B的域间信任度是否满足域间可信度要求;若满足域间可信度要求,则更新模组60搜集证据并判断是否有新的信任证据,若有新的信任证据出现,则更新用户信任度表TuA;本域角色分配模组30则获取用户信任度表TuA中该用户A的用户信任度,并根据本域角色表RoleLDA分配用户A本域角色;外域映射模组40则根据角色映射表RoleLDA-ODB查找本域角色对应的外域角色;外域访问模组50则由外域角色对应的权限,访问相应的请求资源
图3为本发明一种多域访问控制方法的步骤流程图,以下将配合图3说明本发明之多域访问控制方法。如图3所示,本发明之多域访问控制方法,包括如下步骤:
步骤301,当本域用户请求外域服务时,根据域间信任度表13判断本域与外域的域间信任度是否满足域间可信度要求;
步骤302,若本域与外域的域间信任度不能满足域间可信度要求时,则拒绝提供服务;否则转至步骤303;
步骤303,从用户信任度表14中获取该用户的用户信任度,并根据本域角色表11分配该用户本域角色;
步骤304,根据角色映射表12查找本域角色对应的外域角色;以及
步骤305,由外域角色对应的权限,访问相应的请求资源。
由于用户分配本域角色时,信任关系受到属性、推荐、历史信息、上下文环境等相关信任证据的影响,因此,当本域的用户请求访问某外域的资源信息时,需要根据用户的属性、推荐、上下文环境(如:网络状况、时间、地理位置)等信息分配用户对应的本域角色。较佳的,在步骤303之前,还包括:
步骤306,搜集证据类型;
步骤307,判断是否有新的信任证据;
步骤308,若有新的信任证据出现,则重新计算用户的信任度,并更新用户信任度表,并转至步骤303继续后续步骤。
综上所述,本发明一种多域访问控制***及方法提出了域间信任度的概念,解决了不同域间可信度的问题,实现多域访问控制的第一层安全机制,其通过域间的角色映射表,实现多域访问控制的第二层安全机制,并且,本发明将用户信任度与分配用户角色相结合,可以根据用户的信任证据类型变化,动态调整用户信任度,进而动态调整用户角色,进而调整用户访问外域的权限,达到安全访问控制目的。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何本领域技术人员均可在不违背本发明的精神及范畴下,对上述实施例进行修饰与改变。因此,本发明的权利保护范围,应如权利要求书所列。
Claims (9)
1.一种多域访问控制***,包含多个域,其特征在于,每个域至少包括:
域管理中心,用于管理存储于本域的本域角色表、角色映射表、域间信任度表及用户信任度表;
判断模组,用于当本域的用户请求访问某外域的资源信息时,根据该域间信任度表判断本域与该外域的域间信任度是否满足域间可信度要求;
本域角色分配模组,用于该判断模组判断出本域与该外域的域间信任度满足域间可信度要求时,从该用户信任度表获取该用户的用户信任度,并根据该本域角色表分配该用户本域角色;
外域映射模组,根据该角色映射表查找该用户本域角色对应的外域角色;
外域访问模组,根据该外域角色对应的权限,访问相应的请求资源。
2.如权利要求1所述的多域访问控制***,其特征在于:该***还包括一更新模组,以于该用户提出资源访问请求时,对该用户信任度表进行动态更新。
3.如权利要求2所述的多域访问控制***,其特征在于:该更新模组对用户的计算信任度的信任证据进行动态更新,若有变化,则重新计算用户的信任度,并更新该用户信任度表。
4.如权利要求3所述的多域访问控制***,其特征在于:该信任证据包括用户的属性、推荐、历史信息及上下文环境。
5.如权利要求1所述的多域访问控制***,其特征在于:该本域角色表用于存储本域中用户可分配的角色;该角色映射表用于存储本域与外域角色之间的映射;该域间信任度表用于存储不同域间的信任度;该用户信任度表用于存储用户于本域的信任度。
6.一种多域访问控制方法,用于不同域间的访问控制,包括如下步骤:
当本域用户请求一外域服务时,根据域间信任度表判断本域与外域的域间信任度是否满足域间可信度要求;
当本域与外域的域间信任度满足域间可信度要求时,从用户信任度表中获取该用户的用户信任度,并根据本域角色表分配该用户本域角色;
根据角色映射表查找该本域角色对应的外域角色;以及
由该外域角色对应的权限,访问相应的请求资源。
7.如权利要求6所述的多域访问控制方法,其特征在于:若本域与外域的域间信任度不能满足域间可信度要求时,则拒绝提供服务。
8.如权利要求6所述的多域访问控制方法,其特征在于,在从用户信任度表中获取该用户的用户信任度之前,该多域访问控制方法还包括如下步骤:
搜集信任证据;
判断是否有新的信任证据;
若有新的信任证据出现,则重新计算该用户的用户信任度,并更新用户信任度表。
9.如权利要求8所述的多域访问控制方法,其特征在于,该信任证据包括用户属性、推荐、历史信息及上下文环境。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110430967XA CN102404232A (zh) | 2011-12-20 | 2011-12-20 | 多域访问控制***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110430967XA CN102404232A (zh) | 2011-12-20 | 2011-12-20 | 多域访问控制***及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102404232A true CN102404232A (zh) | 2012-04-04 |
Family
ID=45886035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110430967XA Pending CN102404232A (zh) | 2011-12-20 | 2011-12-20 | 多域访问控制***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102404232A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102664888A (zh) * | 2012-04-19 | 2012-09-12 | 中国科学院软件研究所 | 一种基于信任度的访问控制方法及其*** |
| CN105827663A (zh) * | 2016-06-02 | 2016-08-03 | 中国联合网络通信集团有限公司 | 访问控制方法和*** |
| CN108710999A (zh) * | 2018-05-03 | 2018-10-26 | 上海电机学院 | 一种基于大数据环境下共享资源的可信度自动评估方法 |
| CN111262724A (zh) * | 2020-01-07 | 2020-06-09 | 中国联合网络通信集团有限公司 | 一种域间信任关系的确认方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060294192A1 (en) * | 2005-06-27 | 2006-12-28 | Yahoo! Inc. | Access control systems and methods using visibility tokens with automatic propagation |
| CN101262474A (zh) * | 2008-04-22 | 2008-09-10 | 武汉理工大学 | 一种基于跨域授权中介实现角色和组映射的跨域访问控制*** |
| CN101764692A (zh) * | 2009-12-31 | 2010-06-30 | 公安部第三研究所 | 一种跨域动态细粒度访问控制方法 |
| CN101997876A (zh) * | 2010-11-05 | 2011-03-30 | 重庆大学 | 基于属性的访问控制模型及其跨域访问方法 |
-
2011
- 2011-12-20 CN CN201110430967XA patent/CN102404232A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060294192A1 (en) * | 2005-06-27 | 2006-12-28 | Yahoo! Inc. | Access control systems and methods using visibility tokens with automatic propagation |
| CN101262474A (zh) * | 2008-04-22 | 2008-09-10 | 武汉理工大学 | 一种基于跨域授权中介实现角色和组映射的跨域访问控制*** |
| CN101764692A (zh) * | 2009-12-31 | 2010-06-30 | 公安部第三研究所 | 一种跨域动态细粒度访问控制方法 |
| CN101997876A (zh) * | 2010-11-05 | 2011-03-30 | 重庆大学 | 基于属性的访问控制模型及其跨域访问方法 |
Non-Patent Citations (2)
| Title |
|---|
| 朱一群: "《基于用户信任的动态多级访问控制模型》", 《计算机工程》, vol. 37, no. 23, 5 December 2011 (2011-12-05) * |
| 王俊等: "《新的基于角色的跨信任域授权管理模型》", 《计算机工程与应用》, vol. 46, no. 8, 31 December 2010 (2010-12-31), pages 4 - 2 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102664888A (zh) * | 2012-04-19 | 2012-09-12 | 中国科学院软件研究所 | 一种基于信任度的访问控制方法及其*** |
| CN102664888B (zh) * | 2012-04-19 | 2015-08-26 | 中国科学院软件研究所 | 一种基于信任度的访问控制方法及其*** |
| CN105827663A (zh) * | 2016-06-02 | 2016-08-03 | 中国联合网络通信集团有限公司 | 访问控制方法和*** |
| CN108710999A (zh) * | 2018-05-03 | 2018-10-26 | 上海电机学院 | 一种基于大数据环境下共享资源的可信度自动评估方法 |
| CN111262724A (zh) * | 2020-01-07 | 2020-06-09 | 中国联合网络通信集团有限公司 | 一种域间信任关系的确认方法和装置 |
| CN111262724B (zh) * | 2020-01-07 | 2023-03-24 | 中国联合网络通信集团有限公司 | 一种域间信任关系的确认方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10887306B2 (en) | Authenticating an unknown device based on relationships with other devices in a group of devices | |
| US20230098885A1 (en) | On-device Machine Learning Platform to Enable Sharing of Machine Learned Models between Applications | |
| US10032039B1 (en) | Role access to information assets based on risk model | |
| Pape et al. | Applying privacy patterns to the internet of things’(iot) architecture | |
| CN105872094B (zh) | 一种基于soa的服务机器人云平台接口***及方法 | |
| US8843648B2 (en) | External access and partner delegation | |
| JP4903287B2 (ja) | 画像情報管理システムにおけるユーザーの分類及びレベル付け管理システム | |
| CN104660578B (zh) | 一种实现数据安全存储及数据访问控制的***及其方法 | |
| CN104125219A (zh) | 针对电力信息***的身份集中授权管理方法 | |
| US9491183B1 (en) | Geographic location-based policy | |
| CN103166950B (zh) | 经由完全、仅限内容以及机能访问视图的社交装置匿名性 | |
| US20120246695A1 (en) | Access control of distributed computing resources system and method | |
| CN102255971B (zh) | 分布式服务器之间的动态负载再分发 | |
| CN102347958B (zh) | 一种基于用户信任的动态分级访问控制方法 | |
| CN109981552B (zh) | 一种权限分配方法及装置 | |
| CN105989275B (zh) | 用于认证的方法和*** | |
| CN102571703A (zh) | 云数据安全管控***及方法 | |
| JP2010537285A5 (zh) | ||
| CN103546434A (zh) | 网络访问控制的方法、装置和*** | |
| CN102404232A (zh) | 多域访问控制***及方法 | |
| JP2022507612A (ja) | 自律走行車両のナビゲーションデータを管理するための方法及びシステム | |
| CN103338194A (zh) | 一种基于信誉度评估的跨安全域访问控制***和方法 | |
| CN101594386B (zh) | 基于分布式策略验证的可信虚拟组织构建方法及装置 | |
| CN104462982A (zh) | 跨应用共享的授权策略对象、目标定义和决策合并算法 | |
| CN105827663A (zh) | 访问控制方法和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120404 |