CN112134848B - 融合媒体云自适应访问控制方法、装置、终端及介质 - Google Patents

融合媒体云自适应访问控制方法、装置、终端及介质 Download PDF

Info

Publication number
CN112134848B
CN112134848B CN202010876532.7A CN202010876532A CN112134848B CN 112134848 B CN112134848 B CN 112134848B CN 202010876532 A CN202010876532 A CN 202010876532A CN 112134848 B CN112134848 B CN 112134848B
Authority
CN
China
Prior art keywords
security level
user
media
media resource
integrity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010876532.7A
Other languages
English (en)
Other versions
CN112134848A (zh
Inventor
陈卫平
琚宏伟
邓晖
赵勇
林莉
孙侃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Media Group
Original Assignee
China Media Group
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Media Group filed Critical China Media Group
Priority to CN202010876532.7A priority Critical patent/CN112134848B/zh
Publication of CN112134848A publication Critical patent/CN112134848A/zh
Application granted granted Critical
Publication of CN112134848B publication Critical patent/CN112134848B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例提供一种融合媒体云自适应访问控制方法、装置、终端及介质,涉及融合媒体云平台媒体资源访问控制技术,用于克服相关技术存在的安全风险较大、可用性较差的问题。其中,所述方法融合媒体云自适应访问控制方法,包括:接收用户发起的访问媒体资源的访问请求;在根据获取的所述用户的角色信息确定所述用户具有访问权限时,根据所示角色信息及获取的上下文环境信息确定所述用户访问所述媒体资源的风险信息;在所述风险信息满足预设条件时,允许所述用户在当前的上下文环境下访问所述媒体资源。

Description

融合媒体云自适应访问控制方法、装置、终端及介质
技术领域
本申请涉及融合媒体云平台媒体资源访问控制技术,尤其是涉及一种融合媒体云自适应访问控制方法、装置、终端及介质。
背景技术
目前,广电行业正全面推进广播电视传统媒体和新兴媒体的融合发展,以云计算、5G、AI和大数据等前沿新技术为业务生产赋能,构建基于混合云架构的融合媒体***,打造新型、方便、快捷、安全的融合媒体制播应用。
相关技术中,基于混合云架构的融合媒体***通常将业务前台部署在公有云上,业务支撑中台部署在专属云和私有云上,这样可综合利用公有云和私有云的优势和资源,既能有效应对大规模用户突发访问量的激增,又能适应广播电视台不同业务具有的IT资源弹性需求。
然而,对于融合媒体资源云存储业务,由于公有云和互联网密切交互,人员结构更为复杂,当高安全级别的媒体资源存储在公有云上,若权限限制不严,攻击者可直接连接存储,篡改内容文件,安全风险较大;而如果把媒体资源全部存储在专属云或私有云内,移动采编播等新媒体前台业务的可用性将会受到严重影响。
发明内容
本申请实施例中提供一种融合媒体云自适应访问控制方法、装置、终端及介质,用于克服相关技术存在的安全风险较大、可用性较差的问题。
本申请实施例第一方面提供一种融合媒体云自适应访问控制方法,包括:
接收用户发起的访问媒体资源的访问请求;
在根据获取的所述用户的角色信息确定所述用户具有访问权限时,根据所述角色信息及获取的上下文环境信息确定所述用户访问所述媒体资源的风险信息;
在所述风险信息满足预设条件时,允许所述用户在当前的上下文环境下访问所述媒体资源。
本申请实施例第二方面提供一种融合媒体云自适应访问控制装置,包括:
访问控制模块,用于接收用户发起的访问媒体资源的访问请求;还用于在风险信息满足预设条件时,允许所述用户在当前的上下文环境下访问所述媒体资源
风险确定模块,用于在根据获取的所述用户的角色信息确定所述用户具有访问权限时,根据所述角色信息及获取的上下文环境信息确定所述用户访问所述媒体资源的风险信息。
本申请实施例第三方面提供一种终端,包括:
存储器;
处理器;以及
计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如前述所述的方法。
本申请实施例第四方面提供一种计算机可读存储介质,其上存储有计算机程序;所述计算机程序被处理器执行以实现如前述所述的方法。
本申请实施例提供一种融合媒体云自适应访问控制方法、装置、终端及介质,通过对融合媒体云用户的细粒度权限划分,且根据用户的上下文环境进行风险评估,根据用户的权限及风险情况来判断是否允许该用户访问媒体资源,从而实现融合媒体云平台对处于不同环境用户的自适应访问控制,既能降低媒体资源的安全风险,又能确保媒体资源的可用性。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为一示例性实施例提供的方法的流程示意图;
图2为另一示例性实施例提供的方法的流程示意图;
图3为一示例性实施例提供的方法的信令示意图;
图4为一示例性实施例提供的方法对应的架构示意图;
图5为一示例性实施例提供的装置的结构框图。
具体实施方式
为了使本申请实施例中的技术方案及优点更加清楚明白,以下结合附图对本申请的示例性实施例进行进一步详细的说明,显然,所描述的实施例仅是本申请的一部分实施例,而不是所有实施例的穷举。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
相关技术中,基于混合云架构的融合媒体***通常将业务前台部署在公有云上,业务支撑中台部署在专属云和私有云上,这样可综合利用公有云和私有云的优势和资源,既能有效应对大规模用户突发访问量的激增,又能适应广播电视台不同业务具有的IT资源弹性需求。
然而,对于融合媒体资源云存储业务,由于公有云和互联网密切交互,人员结构更为复杂,当高安全级别的媒体资源存储在公有云上,若权限限制不严,攻击者可直接连接存储,篡改内容文件,安全风险较大;而如果把媒体资源全部存储在专属云或私有云内,移动采编播等新媒体前台业务的可用性将会受到严重影响。因此,如何根据业务需求实现访问权限的细粒度控制,既保证其存储安全,又不影响业务可用成为业内亟需解决的问题。
发明人在研究过程中发现,虽然相关技术中已有对访问进行控制的方案,然而由于融合媒体具有用户类型多、接入方式多、接入环境多样等特点,但是这些方案仍然难以满足融合媒体的需求。具体地:
在一些方案中,基于属性和风险的访问控制模型上,在访问控制技术中利用用户的当前状态,提出一种多维状态感知的动态访问控制方法,该方法通过对请求流的分析处理,识别用户自身请求的当前状态(基本属性信息等)和其他的对当前请求状态进行未知多维分析状态(主体客观安全系数、请求历史流对当前请求的评价系数等),达到提高访问控制方法准确度的目的,从而实现更为准确的访问控制。该方案要求为每一次访问请求存储其相关属性信息以及历史流的风险评价结果等,虽可一定程度实现多维状态感知,但对于融合媒体云环境面临的用户类型多、接入方式多、访问需求弹性的实际场景,对每次访问均进行请求流的多维状态分析不现实且同时会带来融合媒体业务性能瓶颈等问题。
在另一些方案中,通过继承思想分层描述访问权限来对用户行为进行信誉建模,云认证中心根据用户历史信誉度与用户角色树构建模型的映射关系并授予身份令牌。通过云认证中心实时监控用户行为变化,动态调整用户的综合信誉度来判断用户的可信程度。该方案基于用户历史行为计算其信誉度,并根据用户信誉度实现动态访问控制,未考虑用户所处环境状态对其访问权限的影响,无法满足融合媒体云环境下用户接入方式、接入环境多样带来的动态访问控制需求。
在又一些方案中,首先对所有资源权限进行基于最小化权限原则的权限划分,形成权限的包容集合,***管理员再通过编辑控制函数集将最小化的权限根据不同角色的具体权限需要进行打包控制,形成一个个权限集合,共同构成权限集;***将权限集里对用户角色的权限集合赋予用户。管理员只需对控制函数集进行编辑,就可以对权限的分配进行动态控制。该方案虽提出基于角色调整实现访问控制,但由于角色事先指派固定的最小化权限,故本质还是一种静态访问控制方法,缺少对用户访问时所处环境等信息的风险评估,无法适用于用户接入环境多样、访问需求多样的融合媒体云环境。
此外,虽然经典的基于属性访问控制技术在授权时考虑了用户和资源所处的环境属性,但其仅基于事先标记的主、客体属性和环境属性静态授权,缺少对访问风险的度量和评估,不支持真正的动态授权,无法满足融合媒体云环境接入用户类型多样、接入方式多样、接入环境多样等特点带来的动态访问控制需求。为此,本发明针对融合媒体云环境下,新闻媒体等采编播业务需要大量PGC专业人员在多种不同环境(异地异网等)下进行媒资采编播,并且普通UGC用户也可以使用多种类型的设备接入融合媒体云平台,存在媒体资源被泄露、破坏等潜在风险的问题。
总而言之,相关技术存在以下问题:
(1)无法根据融合媒体用户类型多、移动性强、接入环境多样等特点实现自适应访问控制;
新闻媒体需要大量人员进行媒资采编播,势必要在多种不同的环境(不受控制的网络、位置等)下对融合媒体云平台发起访问请求,这给平台带来了潜在的媒体资源泄露破坏等风险。比如,用户的身份角色拥有对某一安全等级较高的媒体资源(新闻播出文件、会议文件等)具有访问权限,但若该用户在异地异网进行媒体资源访问时,处于一个不够安全的网络环境,或使用未经认证的设备访问媒体资源,那么该用户的访问请求可能存在篡改破坏、越权访问等安全风险,因而不能简单的通过判断用户的安全级别、角色或属性等,就给予其请求的权限,这导致经典的基于安全级别、角色和属性的静态访问控制技术不能直接应用于融合媒体云平台。
(2)面对融合媒体云平台上用户数量、类型多以及不同媒体资源具有不同安全保护需求等情况难以实现用户权限的细粒度划分、控制。
目前,在融合媒体环境中访问控制***对用户权限控制方面存在的主要问题是敏感权限粒度过于粗糙。例如,媒体内容在存储应用过程中,如果对访问者权限限制不严,该访问者可获得规定之外的权限,可能直接连接存储,造成文件内容的篡改、泄露以及丢失,从而导致播出安全事故,因此确保相关人员仅有最小权限,实现细粒度的权限划分及控制是至关重要的。本发明融合了基于角色和基于属性的访问控制思想,在融合媒体云访问控制中采用以角色为中心,以属性为辅的访问控制策略,以达到对用户权限细粒度控制的要求。同时,在融合媒体云平台中不同媒体资源的安全等级差异较大,并且不同媒体资源的完整性、保密性、可用性要求不尽相同,然而目前访问控制***中大多是把数据资源存储在同一个逻辑位置,无法做到资源的隔离、独立管理应用。
为了克服上述问题,本申请实施例提供一种融合媒体云自适应访问控制方法、装置、终端及介质,通过对融合媒体云用户的细粒度权限划分,且根据用户的上下文环境进行风险评估,根据用户的权限及风险情况来判断是否允许该用户访问媒体资源,从而实现融合媒体云平台对处于不同环境用户的自适应访问控制,既能降低媒体资源的安全风险,又能确保媒体资源的可用性。
本申请中,在云计算环境复杂融合媒体云平台中,访问融合媒体云平台的用户随着所处上下文环境的变化,访问控制***的决策结果也应该随之变化。举例来说,新闻文件是在融合媒体全平台播放的文件,其拥有较高的安全性以及隐私性要求,因此融合媒体云平台要求新闻工作人员(新闻剪辑员、新闻审核员等)只能使用台内网以及台内设备完成工作,当新闻工作人员在合作单位利用合作单位的设备进行新闻文件访问时,访问控制***便会拒绝(访问控制***经计算判定当前环境的访问存在破坏新闻文件的风险)该新闻工作人员的访问请求。因此,本申请基于当前复杂融合媒体云环境引入上下文环境,根据融合媒体云用户的上下文环境信息和其身份属性(也即角色)来共同确定该用户对媒体资源(云应用服务及视频图片资源文件等)的访问权限,以实现对用户的细粒度自适应访问控制。
本申请以角色主体为中心,以角色属性为辅定义融合媒体云的访问控制策略,以实现对融合媒体云用户的细粒度权限划分。此外,在主体角色已拥有的媒体资源访问权限下,增加对角色主体所处实时环境的风险值计算,通过综合匹配角色主体的安全等级,具有不同保密性、完整性、可用性要求的媒体资源的安全等级以及角色主体的上下文环境产生的风险来判断用户是否可访问媒体资源客体文件,最终在融合媒体云平台中实现自适应访问控制。另外,本申请能够根据不同业务对媒体资源的不同完整性、保密性、可用性要求,分配不同的比值权重,根据细粒度的安全等级对媒体资源进行管理。
下面结合附图对本实施例提供的融合媒体云自适应访问控制方法的功能及实现过程进行举例说明。
如图1所示,本实施例提供一种融合媒体云自适应访问控制方法,包括:
S101、接收用户发起的访问媒体资源的访问请求;
S102、在根据获取的用户的角色信息确定用户具有访问权限时,根据角色信息及获取的上下文环境信息确定用户访问媒体资源的风险信息;
S103、在风险信息满足预设条件时,允许用户在当前的上下文环境下访问媒体资源。
在步骤S101中,接收用户通过客户端发送的访问请求。访问请求还包括请求访问的媒体资源的标识或者编号等信息,以利于快速确定用户请求访问的媒体资源。在一些示例中,访问请求还可包括用户的角色信息。用户的角色信息用于表示用户的角色属性。在一些示例中,访问请求还可包括用户的上下文环境信息。上下文环境信息包括:用户当前发起访问请求所处的周围环境信息;例如,包括访问的时间(时间上下文环境)、用户所处的地点位置(位置上下文环境)、网络环境(网络上下文环境)和使用的设备信息(设备上下文环境)等。在云计算环境复杂融合媒体云平台中,随着访问融合媒体云平台的用户所处上下文环境信息的变化,相应的决策结果也应该随之变化。
在具体实现时,用户可在通过客户端先进行身份认证,在身份认证通过后,用户才能够通过客户端发送访问请求。其中,在用户进行身份认证的过程中,可根据用户信息从预先设置的角色集中确定对应的角色,在身份认证通过之后,则赋予用户相应的角色,用户可作为相应的角色主体发起访问。用户信息可包括用户的名称、职位、工作内容等信息。
在步骤S102中,需先对用户是否具有对媒体资源的访问权限进行判断;在确定用户具有对媒体资源的访问权限时,再根据基于上下文环境信息确定的风险信息判断是否允许用户在当前上下文环境下访问该媒体资源。
如图2及图3所示,判断用户是否具有对媒体资源的访问权限,包括:
S1021、根据获取的用户的角色信息确定所述用户对应的角色主体的权限集;
S1022、在角色主体的权限集中存在媒体资源的访问权限时,确定用户具有访问权限;
该方法还包括:
S104、在角色主体的权限集中不存在媒体资源的访问权限时,确定用户没有访问权限,拒绝用户访问媒体资源。
在步骤S1021之前,根据融合媒体云平台的业务需求、权限集要求以及人员分布情况,选择相应的角色聚类方法(K-Means),谱聚类(Spectral Clustering),层次聚类(Hierarchical Clustering)等),聚类分析出在融合媒体云平台的角色集。对于角色聚类算法的选择本申请不做要求和限定,具体可视实际情况而定。
根据融合媒体云平台业务需求、权限集要求以及人员分布情况,选择相应的角色聚类方法(K-Means),谱聚类(Spectral Clustering),层次聚管理员聚类出角色后,分析每一个角色的功能权限以及所要操作媒体资源的安全等级,然后对该角色赋予相对应的权限集及安全等级;其中,权限集可以角色权限表的形式来体现。也即,根据具体人员的工作内容以及相关性质,分配给其相应属性的角色。当用户被分配角色后,其便拥有了角色的安全等级,进而获得该角色被指派的权限集。
举例来说,在融合媒体视频文件编辑发布业务应用中,有普通用户、视频剪辑员、视频审计员等角色;角色对应的主体(可称为角色主体)均需要访问普通视频文件、实时性新闻视频等媒体资源(也可称为客体资源)。
对于融合媒体播出节目审核员这个角色,其工作是审核并保证播出文件的安全性和正确性等,由于该角色的工作对于融合媒体平台来说非常重要,因此其拥有的安全等级就比较高,可以赋予其较高的安全等级;在具体实现时,可将安全等级设置为10级,大于等于7级的都是较高安全等级。例如,如表1所示,在融合媒体云平台中,普通注册用户角色被赋予安全等级3;如表1所示。
表1角色安全等级指派表示例
角色 安全等级
普通注册用户 3
在步骤S1021中,当用户对媒体资源发起访问请求之后,根据获取的用户的角色信息,具体根据用户对应的角色主体、角色属性,以及根据预设的访问控制策略得出用户是否具有对该媒体资源的访问权限。访问控制策略具体可包括:在角色主体的权限集中存在的权限为用户具有访问权限,如步骤S1022所示;在角色主体的权限集中不存在的权限为用户不具有访问权限,拒绝该用户访问。在无风险计算的前提下如果该用户无权限访问媒体资源,则直接返回拒绝访问请求,如步骤S104;反之需进行风险计算。
在融合媒体云平台中,不同安全等级的媒体资源对于保密性、完整性和可用性的安全要求不同。因此,本申请预先根据媒体资源客体的重要程度划分安全等级,并根据该媒体资源客体对于保密性(Confidentiality,简记为C)、完整性(Integrity,简记为I)和可用性(Availability,简记为A)的不同要求,设置相应的权重值,如表2所示。用户在不同的上下文环境下对云平台客体媒体资源发起访问请求时,对媒体资源的C、I、A产生的影响也会不同,如表3所示。
表2媒体资源客体的安全等级及C、I、A权重示例
Figure GDA0003905118620000091
Figure GDA0003905118620000101
表3主体所处环境对媒体资源的C、I、A影响风险值示例
上下文环境 保密性风险 完整性风险 可用性风险
情况1(上下文环境1) 0 0 0
情况2(上下文环境2) 2 1 1
为便于描述,对本实施例的部分符号进行如下说明:
角色主体安全等级:Subject Security Rank,简记为SSR;
媒体资源安全等级:Resource Security Rank,简记为RSR;
媒体资源客体对于保密性的权重要求:Resource Confidentiality Weight,简记为RWC
媒体资源客体对于完整性的权重要求:Resource Integrity Weight,简记为RWI
媒体资源客体对于可用性的权重要求:Resource Availability Weight,简记为RWA
主体环境信息:Subject Environment Information,简记为SEI;
主体环境信息对于媒体资源保密性的风险值:Subject EnvironmentConfidentiality Risk,简记为SERC
主体环境上下信息对于媒体资源完整性的风险值:Subject EnvironmentIntegrity Risk,简记为SERI
主体环境上下信息对于媒体资源可用性的风险值:Subject EnvironmentAvailability Risk,简记为SERA
在确定用户具有对媒体资源的访问权限时,根据当前用户所处的上下文环境和用户角色的安全等级计算出该访问请求对媒体资源C、I、A的安全等级,同时根据媒体资源的安全等级以及C、I、A的权重计算出其对C、I、A的安全等级要求,进而判断出用户在当前上下文环境下是否可以访问客体媒体资源。
根据角色信息及上下文环境信息确定用户访问媒体资源的风险信息,包括:
S1023、根据获取的用户的角色信息确定用户对应的角色主体的安全等级;获取媒体资源对保密性、完整性及可用性的权重要求;根据获取的上下文环境信息获取上下文环境对媒体资源保密性、完整性及可用性的风险值;
S1024、根据安全等级、权重要求及风险值分别确定保密性安全等级、完整性安全等级及可用性安全等级。
其中,上下文环境信息可从访问请求中获取,或在确定用户具有访问权限之后,获取检测的上下文环境信息。角色主体的安全等级可从相应的安全等级表中查找获取。保密性、完整性及可用性的风险值可从相应的环境风险表中查找获取。
具体地,根据如下公式(1)确定角色主体在当前所处环境下对将要访问媒体资源的保密性安全等级:
Figure GDA0003905118620000111
其中,SSR是角色主体安全等级,RWC是媒体资源客体对于保密性的权重要求,n是在融合媒体下需要考虑主体的环境信息的个数,
Figure GDA0003905118620000112
代表i环境信息对媒体资源保密性的风险值,i环境信息表示上下文环境信息中的第i个元素。
根据如下公式(2)确定角色主体在当前所处环境下对将要访问媒体资源的完整性安全等级:
Figure GDA0003905118620000113
其中,SSR是角色主体安全等级,RWI是媒体资源客体对于保密性的权重要求,n是在融合媒体下需要考虑主体的环境信息的个数,
Figure GDA0003905118620000114
代表i环境信息对媒体资源完整性的风险值。
根据如下公式(3)确定角色主体在当前所处环境下对将要访问媒体资源的可用性安全等级:
Figure GDA0003905118620000121
其中,SSR是角色主体安全等级,RWA是媒体资源客体对于保密性的权重要求,n是在融合媒体下需要考虑主体的环境信息的个数,
Figure GDA0003905118620000122
代表i环境信息对媒体资源可用性的风险值。
相应地,步骤S103可包括:
S1031、根据获取的媒体资源的安全等级及媒体资源对保密性、完整性及可用性的权重要求,分别确定媒体资源的保密性安全等级要求、完整性安全等级要求及可用性安全等级要求;
S1032、在保密性安全等级大于或等于保密性安全等级要求,完整性安全等级大于或等于完整性安全等级要求,且可用性安全等级大于或等于可用性安全等级要求时,允许用户在当前的上下文环境下访问媒体资源;
该方法还包括:
S105、在保密性安全等级小于保密性安全等级要求,或完整性安全等级小于完整性安全等级要求,或可用性安全等级小于可用性安全等级要求时,拒绝用户访问媒体资源。
其中,媒体资源的安全等级可从相应的安全等级表中查找获取。
在步骤S1031中,根据如下公式确定媒体资源的保密性安全等级要求RC
RC=RSR×RWC; 公式(4)
根据如下公式确定媒体资源的完整性安全等级要求RI
RI=RSR×RWI; 公式(5)
根据如下公式确定媒体资源的可用性安全等级要求RA
RA=RSR×RWA; 公式(6)
其中,RSR表示媒体资源的安全等级;RWC表示媒体资源客体对于保密性的权重要求;RWI表示媒体资源客体对于完整性的权重要求;RWA表示媒体资源客体对于可用性的权重要求。
然后,将公式(1)的结果与公式(4)的结果进行比较;将公式(2)的结果与公式(5)的结果进行比较;将公式(3)的结果与公式(6)的结果进行比较。
根据比较的结果判断是否允许用户在当前的上下文环境下方位该媒体资源。在保密性安全等级大于或等于保密性安全等级要求,完整性安全等级大于或等于完整性安全等级要求,且可用性安全等级大于或等于可用性安全等级要求时,允许用户在当前的上下文环境下访问媒体资源;如步骤S1032所示。否则,拒绝用户访问媒体资源。也即在保密性安全等级小于保密性安全等级要求,或完整性安全等级小于完整性安全等级要求,或可用性安全等级小于可用性安全等级要求时,拒绝用户访问媒体资源;如步骤S105所示。
本实施例首先对融合媒体云平台的媒体资源划分安全等级,并依据媒体资源对保密性、完整性、可用性的不同要求分配相应权重,以实现按照细粒度安全等级进行分类存储管理媒体资源。本实施例以角色为中心,以属性为辅定义融合媒体云的访问控制策略,以实现对融合媒体云用户的细粒度权限划分。此外,在主体角色已拥有的媒体资源访问权限下,增加对主体所处实时环境的风险值计算,通过综合匹配主体安全等级,具有不同保密性、完整性、可用性要求的媒体资源安全等级以及主体上下文环境产生的风险来判断云用户是否可访问媒体资源客体文件,最终在融合媒体云平台中实现自适应访问控制。
下面结合具体示例对本实施例的实现过程进行举例说明。
如图4所示,首先对本实施例的方法对应的装置的架构进行举例说明。本实施例的方法对应的装置包括访问控制模块及风险确定模块;访问控制模块包括:策略执行点、策略决策点、策略管理点、上下文信息点、策略处理器。对图4中的各部分进行解释说明:
角色主体(Subject,简记为S):请求对某类媒体资源执行操作的访问者,代表融合媒体云用户。
媒体资源(Media Resource,简记为MR):融合媒体云平台提供给角色主主体执行操作的云应用服务及视频图片资源文件等;
策略执行点(Policy Enforcement Point,简记为PEP):接收用户的访问请求,并按照策略决策点反馈的结果放行或禁止融合媒体云用户与媒体资源进行信息交互;
策略处理器(Policy Handler,简记为PH):将访问请求以及返回决策结果的格式转化为访问控制模块统一格式(如XACML等),同时从上下文信息点获取用户角色属性以及相应的上下文环境信息,并发送给PDP;
上下文信息点(Context Information Point,简记为CIP):在融合媒体云平台中负责收集管理包括角色主主体、媒体资源的角色属性信息以及主体用户相关的上下文环境信息(网络、设备、位置等)等;
策略决策点(Policy Decision Point,简记为PDP):判断云用户请求是否被允许,在融合媒体云平台中负责根据5)中用户所处环境的风险值、用户角色属性及媒体资源的访问控制策略来决策该用户是否拥有访问媒体资源的权限;
策略管理点(Policy Administration Point,简记为PAP):创建、维护和管理融合媒体云平台中媒体资源的访问控制策略;
访问策略信息(Access Policy Information,简记为API):在融合媒体云平台中存储并维护媒体资源文件的访问控制策略集;
角色权限表(Role Permission,简记为RP):用于存储经过角色聚类后,各种角色所拥有的权限;
主体/媒体资源等级表(Subject/Resource Rank,简记为SR/RR):用于存储角色主主体和客体资源的安全等级表;
风险确定模块(Risk Calculation,简记为RC):结合角色主主体/媒体资源等级表(SR/RR)和用户上下文环境通过一定的算法计算得出此次访问行为的风险值;
环境风险表(Environment Risk Rank,简记为ERR):存储角色主体所处不同环境的风险值表。
对基于上述架构的实现过程进行举例说明:主体向访问控制模块的PEP发起访问请求;PEP根据该访问请求向策略处理器发起请求;策略处理器请求PDP判断用户是否具有对该媒体资源的访问权限,若有则PDP向策略处理器发送获取上下文信息的请求;策略处理器将该获取上下文信息的请求发送给CIP;CIP获取用户当前所在的环境的上下文信息返回给策略处理器;策略处理器将该上下文信息返回给PDP;PDP向PAP发送获取策略信息请求;PAP返回相应的策略信息给PDP以将相应的访问控制策略返回给PDP,其中,访问控制策略可以包括:用户具有对该媒体资源的访问权限,发起对风险信息的计算;PDP根据该访问控制策略向风险确定模块发送风险计算请求(也即发送确定风险信息的请求);风险确定模块从相应的环境信息表及等级表中获取相应的风险值信息及安全等级信息,风险确定模块确定用户在当前环境中访问该媒体资源的风险值(也即安全等级),且将确定的风险值返回给PDP,PDP判断风险值是否满足相应的安全等级要求,且将判断结果返回给策略处理器,策略处理器将判断结果回复给策略执行点,策略执行点向主体返回拒绝访问的信息或将获取的媒体资源返回给主体。
在具体实现时,设各角色的安全等级(Subject Security Rank,SSR)如表4所示。媒体资源安全等级(Resource Security Rank,RSR)以及对保密性(C)、完整性(I)和可用性(A)要求的权重,如表5所示。
表4各角色的安全等级
主体 安全等级
普通用户 3
视频剪辑人员A 5
视频审计员 6
融合媒体管理员 8
表5媒体资源安全等级以及对保密性、完整性和可用性要求的权重表:
Figure GDA0003905118620000161
设用户实际所处的上下文环境包括以下三部分:网络上下文环境(NetworkContext Environmen,NCI)、设备上下文环境(Device Context Environment,DCI)、位置上下文环境(Location Context Environment,LCI);其中,网络上下文环境具体为IP辨别等,设备上下文环境具体为设备号等,位置上下文环境具体为GPS定位等。各环境元素的风险对应如表6-8所示。
表6 NCI对媒体资源的C、I、A产生影响的风险
Figure GDA0003905118620000162
表7 DCI对媒体资源的C、I、A产生影响的风险
设备信息 保密性风险 完整性风险 可用性风险
云平台已登记设备 0 0 0
云平台未登记设备 3 1 1
表8 LCI对媒体资源的C、I、A产生影响的风险表:
Figure GDA0003905118620000171
可参照图3,当视频剪辑人员A在合作单位C的办公楼使用合作单位的机器(已登记设备)访问融合媒体实时性新闻视频B时,包括如下步骤:
步骤1:视频剪辑人员A经过身份认证后,通过客户端发起访问请求;
步骤2:访问控制模块接收到用户发起的访问请求后,策略决策点(PDP)通过策略处理器(PH)从上下文信息点(CIP)、策略管理点(PAP)得到主体用户(S)、客体资源(R)的属性以及角色权限信息(RP)、访问策略信息(API),然后对视频剪辑人员A进行权限判断,如果视频剪辑人员A拥有的角色和属性包括访问新闻视频B的权限,则PDP把从CIP处得到主体用户信息、客体资源信息以及用户所处上下文环境信息发送给风险计算模块;
步骤3:风险计算模块在接收到步骤2中发送的相关信息后,首先在主体/资源等级表(SR/RR)、环境风险表(ERR)处查询得到主体用户的安全等级、客体资源的安全等级以及当前所处环境对客体资源所造成的风险值;
具体地,频剪辑人员A的安全等级SSR为5;实时性新闻视频B的安全等级、RWC、RWI、RWA依次为3、0.2、0.3、0.5;NCI对应的保密性风险值、完整性风险值及可用性风险值都为1;DCI对应的保密性风险值、完整性风险值及可用性风险值都为0;DCI对应的保密性风险值、完整性风险值及可用性风险值都为1。
步骤4:风险计算模块中的风险计算(RC)在得到步骤4中的相应信息后,通过公式(1)、(2)、(3)计算出主体用户在当前所处环境下对将要访问客体资源的保密性、完整性和可用性的安全等级;
另外通过(4)、(5)、(6)计算出客体媒体资源的保密性、完整性和可用性安全等级要求。
在A的角色拥有访问B权限的前提下,风险信息如下:
视频剪辑人员A在合作单位C的办公楼使用合作单位的机器访问新闻视频B的保密性安全等级为:
SC=5*0.2–1*0.2-0*0.2–1*0.2=0.6。
视频剪辑人员A在合作单位C的办公楼使用合作单位的机器访问新闻视频B的完整性安全等级为:
SI=5*0.3–1*0.3–0*0.3–1*0.3=0.9;
融合媒体实时性新闻视频B的保密性安全等级要求:RC=3*0.2=0.6;
融合媒体实时性新闻视频B的完整性安全等级要求:RI=3*0.3=0.9;
融合媒体实时性新闻视频B的可用性安全等级要求:RA=3*0.5=1.5。
步骤5:风险计算模块在进行完步骤5中的风险计算后,把风险值返回给PDP;
步骤6:PDP确定(SC(0.6)≥RC(0.6))AND(SI(0.9)≥RI(0.9))AND(SA(1.5)≥RA(1.5))成立,确定允许视频剪辑人员A在合作单位C的办公楼访问融合媒体实时性新闻视频B,访问控制模块中的PEP将融合媒体实时性新闻视频B返回给用户。
本实施例还提供一种融合媒体云自适应访问控制装置,其与前述方法实施例相对应,与前述实施例相同之处,本实施例不再赘述。
本实施例提供的融合媒体云自适应访问控制装置,包括:
访问控制模块11,用于接收用户发起的访问媒体资源的访问请求;还用于在风险信息满足预设条件时,允许用户在当前的上下文环境下访问媒体资源
风险确定模块12,用于在根据获取的用户的角色信息确定用户具有访问权限时,根据角色信息及获取的上下文环境信息确定用户访问媒体资源的风险信息。
在其中一种可能的实现方式中,访问控制模块11具体用于:
根据用户的角色信息确定用户对应的角色主体的权限集;
在角色主体的权限集中存在媒体资源的访问权限时,确定用户具有访问权限。
在其中一种可能的实现方式中,访问控制模块11还用于:
在角色主体的权限集中不存在媒体资源的访问权限时,确定用户没有访问权限;
拒绝用户访问媒体资源。
在其中一种可能的实现方式中,风险确定模块12具体用于:
根据获取的用户的角色信息确定用户对应的角色主体的安全等级;获取媒体资源对保密性、完整性及可用性的权重要求;根据获取的上下文环境信息获取上下文环境对媒体资源保密性、完整性及可用性的风险值;
根据安全等级、权重要求及风险值分别确定保密性安全等级、完整性安全等级及可用性安全等级。
在其中一种可能的实现方式中,风险确定模块12具体用于:
根据如下公式确定保密性安全等级SC
Figure GDA0003905118620000191
根据如下公式确定完整性安全等级SI
Figure GDA0003905118620000192
根据如下公式确定可用性安全等级SA
Figure GDA0003905118620000193
其中,SSR表示角色主体的安全等级;RWC表示媒体资源客体对于保密性的权重要求;RWI表示媒体资源客体对于完整性的权重要求;RWA表示媒体资源客体对于可用性的权重要求;n表示在融合媒体下需要考虑主体的环境信息的个数;
Figure GDA0003905118620000201
表示i环境信息对媒体资源保密性的风险值;/>
Figure GDA0003905118620000202
表示i环境信息对媒体资源完整性的风险值;
Figure GDA0003905118620000203
表示i环境信息对媒体资源可用性的风险值。
在其中一种可能的实现方式中,访问控制模块11具体用于:
根据获取的媒体资源的安全等级及媒体资源对保密性、完整性及可用性的权重要求,分别确定媒体资源的保密性安全等级要求、完整性安全等级要求及可用性安全等级要求;
在保密性安全等级大于或等于保密性安全等级要求,完整性安全等级大于或等于完整性安全等级要求,且可用性安全等级大于或等于可用性安全等级要求时,允许用户在当前的上下文环境下访问媒体资源。
在其中一种可能的实现方式中,访问控制模块11具体用于:
根据如下公式确定媒体资源的保密性安全等级要求RC
RC=RSR×RWC
根据如下公式确定媒体资源的完整性安全等级要求RI
RI=RSR×RWI
根据如下公式确定媒体资源的可用性安全等级要求RA
RA=RSR×RWA
其中,RSR表示媒体资源的安全等级;RWC表示媒体资源客体对于保密性的权重要求;RWI表示媒体资源客体对于完整性的权重要求;RWA表示媒体资源客体对于可用性的权重要求。
在其中一种可能的实现方式中,访问控制模块11还用于:
在保密性安全等级小于保密性安全等级要求,或完整性安全等级小于完整性安全等级要求,或可用性安全等级小于可用性安全等级要求时,拒绝用户访问媒体资源。
本实施例提供一种终端设备,包括:
存储器;
处理器;以及
计算机程序;
其中,计算机程序存储在存储器中,并被配置为由处理器执行以实现相应的方法。
存储器用于存储计算机程序,处理器在接收到执行指令后,执行计算机程序,前述相应实施例揭示的流过程定义的装置所执行的方法可以应用于处理器中,或者由处理器实现。
存储器可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器可通过至少一个通信接口(可以是有线或者无线)实现该***网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,实施例一揭示的方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的相应方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件单元组合执行完成。软件单元可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
本实施例提供一种计算机可读存储介质,其上存储有计算机程序;计算机程序被处理器执行以相应的方法。其具体实现可参见方法实施例,在此不再赘述。
需要说明的是:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。在这里示出和描述的所有示例中,除非另有规定,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
附图中的流程图和框图显示了根据本发明的多个实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个单元、程序段或代码的一部分,单元、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (16)

1.一种融合媒体云自适应访问控制方法,其特征在于,包括:
接收用户发起的访问媒体资源的访问请求;
在根据获取的所述用户的角色信息确定所述用户具有访问权限时,根据所述角色信息及获取的上下文环境信息确定所述用户访问所述媒体资源的风险信息;
在所述风险信息满足预设条件时,允许所述用户在当前的上下文环境下访问所述媒体资源;
根据获取的角色信息及上下文环境信息确定所述用户访问所述媒体资源的风险信息,包括:
根据所述用户的角色信息确定所述用户对应的角色主体的安全等级;获取所述媒体资源对保密性、完整性及可用性的权重要求;根据多轮评估获取的上下文环境信息获取所述上下文环境对所述媒体资源保密性、完整性及可用性的风险值;
根据所述安全等级、权重要求及风险值分别确定保密性安全等级、完整性安全等级及可用性安全等级;
所述根据所述安全等级、权重要求及风险值分别确定保密性安全等级、完整性安全等级及可用性安全等级,包括:
根据如下公式确定保密性安全等级SC
Figure FDA0003905118610000011
根据如下公式确定完整性安全等级SI
Figure FDA0003905118610000012
根据如下公式确定可用性安全等级SA
Figure FDA0003905118610000013
其中,SSR表示角色主体的安全等级;RWC表示媒体资源客体对于保密性的权重要求;RWI表示媒体资源客体对于完整性的权重要求;RWA表示媒体资源客体对于可用性的权重要求;n表示在融合媒体下需要考虑主体的环境信息的个数;
Figure FDA0003905118610000021
表示i环境信息对媒体资源保密性的风险值;
Figure FDA0003905118610000022
表示i环境信息对媒体资源完整性的风险值;
Figure FDA0003905118610000023
表示i环境信息对媒体资源可用性的风险值。
2.根据权利要求1所述的方法,其特征在于,根据获取的所述用户角色信息确定所述用户具有访问权限,包括:
根据获取的所述用户的角色信息确定所述用户对应的角色主体的权限集;
在所述角色主体的权限集中存在所述媒体资源的访问权限时,确定所述用户具有访问权限。
3.根据权利要求2所述的方法,其特征在于,还包括:
在所述角色主体的权限集中不存在所述媒体资源的访问权限时,确定所述用户没有访问权限,拒绝所述用户访问所述媒体资源。
4.根据权利要求1所述的方法,其特征在于,所述在所述风险信息满足预设条件时,允许所述用户在当前的上下文环境下访问所述媒体资源,包括:
根据获取的所述媒体资源的安全等级及所述媒体资源对保密性、完整性及可用性的权重要求,分别确定所述媒体资源的保密性安全等级要求、完整性安全等级要求及可用性安全等级要求;
在所述保密性安全等级大于或等于保密性安全等级要求,完整性安全等级大于或等于完整性安全等级要求,且可用性安全等级大于或等于可用性安全等级要求时,允许所述用户在当前的上下文环境下访问所述媒体资源。
5.根据权利要求4所述的方法,其特征在于,确定所述媒体资源的保密性安全等级要求、完整性安全等级要求及可用性安全等级要求,包括:
根据如下公式确定所述媒体资源的保密性安全等级要求RC
RC=RSR×RWC
根据如下公式确定所述媒体资源的完整性安全等级要求RI
RI=RSR×RWI
根据如下公式确定所述媒体资源的可用性安全等级要求RA
RA=RSR×RWA
其中,RSR表示媒体资源的安全等级;RWC表示媒体资源客体对于保密性的权重要求;RWI表示媒体资源客体对于完整性的权重要求;RWA表示媒体资源客体对于可用性的权重要求。
6.根据权利要求4所述的方法,其特征在于,还包括:
在所述保密性安全等级小于保密性安全等级要求,或完整性安全等级小于完整性安全等级要求,或可用性安全等级小于可用性安全等级要求时,拒绝所述用户访问所述媒体资源。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述上下文环境信息包括如下至少一种:网络上下文环境、位置上下文环境、设备上下文环境、时间上下文环境。
8.一种融合媒体云自适应访问控制装置,其特征在于,包括:
访问控制模块,用于接收用户发起的访问媒体资源的访问请求;还用于在风险信息满足预设条件时,允许所述用户在当前的上下文环境下访问所述媒体资源;
风险确定模块,用于在根据获取的所述用户的角色信息确定所述用户具有访问权限时,根据所述角色信息及获取的上下文环境信息确定所述用户访问所述媒体资源的风险信息;
所述风险确定模块具体用于:
根据所述用户的角色信息确定所述用户对应的角色主体的安全等级;获取所述媒体资源对保密性、完整性及可用性的权重要求;根据获取的上下文环境信息获取所述上下文环境对所述媒体资源保密性、完整性及可用性的风险值;
根据所述安全等级、权重要求及风险值分别确定保密性安全等级、完整性安全等级及可用性安全等级;
所述风险确定模块具体用于:
根据如下公式确定保密性安全等级SC
Figure FDA0003905118610000041
根据如下公式确定完整性安全等级SI
Figure FDA0003905118610000042
根据如下公式确定可用性安全等级SA
Figure FDA0003905118610000043
其中,SSR表示角色主体的安全等级;RWC表示媒体资源客体对于保密性的权重要求;RWI表示媒体资源客体对于完整性的权重要求;RWA表示媒体资源客体对于可用性的权重要求;n表示在融合媒体下需要考虑主体的环境信息的个数;
Figure FDA0003905118610000044
表示i环境信息对媒体资源保密性的风险值;
Figure FDA0003905118610000045
表示i环境信息对媒体资源完整性的风险值;
Figure FDA0003905118610000046
表示i环境信息对媒体资源可用性的风险值。
9.根据权利要求8所述的装置,其特征在于,所述访问控制模块具体用于:
根据获取的所述用户的角色信息确定所述用户对应的角色主体的权限集;
在所述角色主体的权限集中存在所述媒体资源的访问权限时,确定所述用户具有访问权限。
10.根据权利要求9所述的装置,其特征在于,所述访问控制模块还用于:
在所述角色主体的权限集中不存在所述媒体资源的访问权限时,确定所述用户没有访问权限;拒绝所述用户访问所述媒体资源。
11.根据权利要求8所述的装置,其特征在于,所述访问控制模块具体用于:
根据获取的所述媒体资源的安全等级及所述媒体资源对保密性、完整性及可用性的权重要求,分别确定所述媒体资源的保密性安全等级要求、完整性安全等级要求及可用性安全等级要求;
在所述保密性安全等级大于或等于保密性安全等级要求,完整性安全等级大于或等于完整性安全等级要求,且可用性安全等级大于或等于可用性安全等级要求时,允许所述用户在当前的上下文环境下访问所述媒体资源。
12.根据权利要求11所述的装置,其特征在于,所述访问控制模块具体用于:
根据如下公式确定所述媒体资源的保密性安全等级要求RC
RC=RSR×RWC
根据如下公式确定所述媒体资源的完整性安全等级要求RI
RI=RSR×RWI
根据如下公式确定所述媒体资源的可用性安全等级要求RA
RA=RSR×RWA
其中,RSR表示媒体资源的安全等级;RWC表示媒体资源客体对于保密性的权重要求;RWI表示媒体资源客体对于完整性的权重要求;RWA表示媒体资源客体对于可用性的权重要求。
13.根据权利要求11所述的装置,其特征在于,所述访问控制模块还用于:
在所述保密性安全等级小于保密性安全等级要求,或完整性安全等级小于完整性安全等级要求,或可用性安全等级小于可用性安全等级要求时,拒绝所述用户访问所述媒体资源。
14.根据权利要求8-13任一项所述的装置,其特征在于,所述上下文环境信息包括如下至少一种:网络上下文环境、位置上下文环境、设备上下文环境、时间上下文环境。
15.一种终端,其特征在于,包括:
存储器;
处理器;以及
计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如权利要求1-7任一项所述的方法。
16.一种计算机可读存储介质,其特征在于,其上存储有计算机程序;所述计算机程序被处理器执行以实现如权利要求1-7任一项所述的方法。
CN202010876532.7A 2020-08-27 2020-08-27 融合媒体云自适应访问控制方法、装置、终端及介质 Active CN112134848B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010876532.7A CN112134848B (zh) 2020-08-27 2020-08-27 融合媒体云自适应访问控制方法、装置、终端及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010876532.7A CN112134848B (zh) 2020-08-27 2020-08-27 融合媒体云自适应访问控制方法、装置、终端及介质

Publications (2)

Publication Number Publication Date
CN112134848A CN112134848A (zh) 2020-12-25
CN112134848B true CN112134848B (zh) 2023-03-24

Family

ID=73847366

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010876532.7A Active CN112134848B (zh) 2020-08-27 2020-08-27 融合媒体云自适应访问控制方法、装置、终端及介质

Country Status (1)

Country Link
CN (1) CN112134848B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114826636B (zh) * 2021-01-29 2023-09-01 华为技术有限公司 访问控制***及相关方法和设备
CN113660235B (zh) * 2021-08-10 2023-04-28 中和易茂科技服务(北京)有限公司 数据安全共享方法、存储器和处理器
CN114039755B (zh) * 2021-10-29 2024-03-22 ***股份有限公司 一种权限控制方法、装置、电子设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302334A (zh) * 2015-05-22 2017-01-04 中兴通讯股份有限公司 访问角色获取方法、装置及***

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200076818A1 (en) * 2013-10-03 2020-03-05 The Board Of Regents Of The University Of Texas System Risk-aware sessions in role based access control systems and methods of use
US9703952B2 (en) * 2014-07-07 2017-07-11 University Of Ontario Institute Of Technology Device and method for providing intent-based access control
CN109918924A (zh) * 2019-02-02 2019-06-21 北京奇安信科技有限公司 动态访问权限的控制方法及***

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302334A (zh) * 2015-05-22 2017-01-04 中兴通讯股份有限公司 访问角色获取方法、装置及***

Also Published As

Publication number Publication date
CN112134848A (zh) 2020-12-25

Similar Documents

Publication Publication Date Title
CN112134848B (zh) 融合媒体云自适应访问控制方法、装置、终端及介质
US10650156B2 (en) Environmental security controls to prevent unauthorized access to files, programs, and objects
CN108259422B (zh) 一种多租户访问控制方法和装置
US9332019B2 (en) Establishment of a trust index to enable connections from unknown devices
CN107315950B (zh) 一种云计算平台管理员权限最小化的自动化划分方法及访问控制方法
CN105827645B (zh) 一种用于访问控制的方法、设备与***
WO2020156135A1 (zh) 一种访问控制策略的处理方法、装置及计算机可读存储介质
CN116708037B (zh) 云平台访问权限控制方法及***
Salman et al. Multi-level security for the 5G/IoT ubiquitous network
CN112187800B (zh) 具备匿名访问能力的基于属性访问控制方法
Riad et al. Multi-factor synthesis decision-making for trust-based access control on cloud
CN116418568A (zh) 一种基于动态信任评估的数据安全访问控制方法、***及存储介质
US8739245B2 (en) Flexible supplicant access control
Vijayalakshmi et al. A priority-based approach for detection of anomalies in ABAC policies using clustering technique
US8726335B2 (en) Consigning authentication method
US9467448B2 (en) Consigning authentication method
CN106713228A (zh) 一种云平台密钥管理方法和***
KR20070076342A (ko) 그리드 환경에서 사용자 그룹 역할/권한 관리 시스템 및접근 제어 방법
Katsikogiannis et al. An identity and access management approach for SOA
CN116089970A (zh) 基于身份管理的配电运维用户动态访问控制***与方法
DE112022003983T5 (de) Berechtigte, sichere datenverschiebung
CN109818731B (zh) 一种流式协议强化DSoD策略方法
CN109861970B (zh) 一种基于可信策略的***
Chandrasekaran et al. Distributed access control in cloud computing systems
CN111064695A (zh) 一种认证方法及认证***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant