CN113728600B - 访问控制方法、设备及存储介质 - Google Patents
访问控制方法、设备及存储介质 Download PDFInfo
- Publication number
- CN113728600B CN113728600B CN201980095766.3A CN201980095766A CN113728600B CN 113728600 B CN113728600 B CN 113728600B CN 201980095766 A CN201980095766 A CN 201980095766A CN 113728600 B CN113728600 B CN 113728600B
- Authority
- CN
- China
- Prior art keywords
- access
- access control
- role
- terminal device
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
一种访问控制方法,包括:终端设备(1100)确定所在的安全域的访问设备(1200)的角色;在所述终端设备(1100)的访问控制列表的至少一个访问控制角色中包括所述访问设备(1200)的角色的情况下,所述终端设备(1100)允许所述访问设备(1200)对所述终端设备(1100)中的安全资源进行配置,所述访问控制角色为被允许进行所述安全资源的配置的角色。还提供另一种访问控制方法以及电子设备(1400)、存储介质。
Description
技术领域
本发明涉及物联网技术,尤其涉及一种访问控制方法、设备及存储介质,其中,本发明涉及的设备包括以下至少之一:终端设备、访问设备和激活设备。
背景技术
相关技术中,终端设备只能由一个激活工具(Onboarding Tool,OBT)配置,即只能有一个设备业主(device owner),终端设备中的设备配置资源、证书等安全资源也只能有一个资源主人(resource owner)。由于只有resource owner具有配置相应安全资源的权限,因此,在终端设备被配置到一个安全域中后,再次进入其他安全域时,与其他安全域中的设备互联互通,需要将终端设备重新配置到其他安全域中。这样,终端设备在不同安全域中移动时,每次都需要重新配置。
发明内容
本发明实施例提供一种访问控制方法、设备及存储介质,能够避免重复繁琐的资源主人的安全资源的配置过程,打破终端设备在不同安全域的访问隔离。
本发明实施例的技术方案是这样实现的:
第一方面,本发明实施例提供一种访问控制方法,包括:
终端设备确定所在的安全域的访问设备的角色;
在所述终端设备的访问控制列表的至少一个访问控制角色中包括所述访问设备的角色的情况下,所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置,所述访问控制角色为被允许进行所述安全资源的配置的角色。
第二方面,本发明实施例提供一种访问控制方法,包括:
访问设备向所在的安全域的终端设备发送所述访问设备的角色;在所述访问设备的角色包括在所述终端设备的访问控制列表中的至少一个访问控制角色中的情况下,所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置,所述访问控制角色为被允许进行所述安全资源的配置的角色。
第三方面,本发明实施例提供一种访问控制方法,包括:
激活设备向终端设备配置访问控制列表,所述访问控制列表用于所述访问控制列表的至少一个访问控制角色中包括访问设备的角色,所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置,所述访问控制角色为被允许进行所述安全资源的配置的角色。
第四方面,本发明实施例提供一种终端设备,包括:
角色确定模块,配置为确定所在的安全域的访问设备的角色;
权限管理模块,配置为在所述终端设备的访问控制列表的至少一个访问控制角色包括所述访问设备的角色的情况下,允许具有所述访问设备对所述终端设备中的安全资源进行配置,所述访问控制角色为被允许进行所述安全资源的配置的角色。
第五方面,本发明实施例提供一种访问设备,包括:
发送模块,配置为向所在的安全域的终端设备发送所述访问设备的角色;在所述访问设备的角色包括在所述终端设备的访问控制列表中的至少一个访问控制角色中的情况下,所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置,所述访问控制角色为被允许进行所述安全资源的配置的角色。
第六方面,本发明实施例提供一种激活设备,所述方法包括:
列表配置模块,配置为向终端设备配置访问控制列表,所述访问控制列表用于所述访问控制列表的至少一个访问控制角色中包括访问设备的角色,所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置,所述访问控制角色为被允许进行所述安全资源的配置的角色。
第七方面,本发明实施例提供一种终端设备,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器用于运行所述计算机程序时,执行上述终端设备执行的访问控制方法的步骤。
第八方面,本发明实施例提供一种访问设备,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器用于运行所述计算机程序时,执行上述访问设备执行的访问控制方法的步骤。
第九方面,本发明实施例提供一种激活设备,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器用于运行所述计算机程序时,执行上述激活设备执行的访问控制方法的步骤。
第十方面,本发明实施例提供一种存储介质,存储有可执行程序,所述可执行程序被处理器执行时,实现上述终端设备执行的访问控制方法。
第十一方面,本发明实施例提供一种存储介质,存储有可执行程序,所述可执行程序被处理器执行时,实现上述访问设备执行的访问控制方法。
第十二方面,本发明实施例提供一种存储介质,存储有可执行程序,所述可执行程序被处理器执行时,实现上述激活设备执行的访问控制方法。
本发明实施例提供的访问控制方法,包括:终端设备确定所在的安全域的访问设备的角色;在所述终端设备的访问控制列表的至少一个访问控制角色中包括所述访问设备的角色的情况下,所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置。由于在终端设备中设置访问控制列表,当访问设备的角色包括在访问控制列表的至少一个被允许进行安全资源的配置的角色中,则可认为访问设备对终端设备中的安全资源具有配置权限,允许访问设备对终端设备中的安全资源进行配置,从而基于访问控制列表实现不同安全域的访问设备对终端设备中的安全资源的配置,能够避免重复繁琐的资源主人的配置过程,打破终端设备在不同安全域的访问隔离。
附图说明
图1是本发明实施例提供角色声明的一个可选的流程示意图;
图2是本发明实施例提供的设备配置的一个可选的流程示意图;
图3是本发明实施例提供的物联网***的一个可选的结构示意图;
图4是本发明实施例提供的物联网***的一个可选的结构示意图;
图5是本发明实施例提供的访问控制方法的一个可选的流程示意图;
图6是本发明实施例提供的访问控制方法的一个可选的流程示意图;
图7是本发明实施例提供的访问控制方法的一个可选的流程示意图;
图8是本发明实施例提供的访问控制方法的一个可选的流程示意图;
图9是本发明实施例提供的访问控制方法的一个可选的流程示意图;
图10是本发明实施例提供的访问控制方法的一个可选的流程示意图;
图11是本发明实施例提供的终端设备的一个可选的结构示意图;
图12是本发明实施例提供的访问设备的一个可选的结构示意图;
图13是本发明实施例提供的激活设备的一个可选的结构示意图;
图14是本发明实施例提供的电子设备的一个可选的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,所描述的实施例不应视为对本发明的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在对本发明实施例提供的访问控制方法进行详细说明之前,先对物联网***的资源、角色声明和终端设备配置进行简要说明。
在物联网中,可通过资源来表述物联网实体设备,以及物联网实体设备提供的功能服务和设备的状态等信息。提供资源的设备是服务端,访问资源的设备是客户端。客户端和服务端为逻辑功能实体,每个物联网设备可以是客户端、服务端或既是客户端又是服务端。例如,实现某项最基本功能的设备(例如灯泡)可以只做服务端,提供给客户端进行查询和控制,本身无控制或者查询其他设备的需求。
客户端在使用证书对服务端进行身份验证后,可通过使用角色证书更新服务端角色资源来声明一个或多个角色。角色凭证必须是证书凭证,并应包括证书链。服务端将验证每个证书链。另外,用于终端实体身份验证的公钥必须与所有角色证书中的公钥相同。此外,终端实体身份验证和角色证书中的主体可分辨名称必须匹配。被声明的角色编码在角色证书的subjectAltName扩展中。subjectAltName字段可以有多个值,允许单个角色证书对适用于客户端的多个角色进行编码。其中,不同角色可不同角色标识来区分,比如:主人(owner)、家庭成员(family)、访客(guest)等,不同的角色可具有不同的访问权限,比如:主人(owner)可对终端设备进行完全控制,家庭成员可对终端中的部分资源进行完全控制,访客(guest)仅对终端中的部分资源进行访问。
图1为客户端向服务端角色声明的交互流程,包括:
步骤S101,客户端向服务端发送用更新(UPDATE)请求。
UPDATE请求由客户端发送到服务端,以部分或全部更新服务端上的角色资源。这里,统一资源标识符(Uniform Resource Identifier,URI)用于标识资源的名称,URI可通过统一资源定位符(Uniform Resource Location,URL)来指示,比如:角色资源的URI为oic,其URL为/oic/sec/roles。每个资源包含属性,属性用于描述资源的状态信息,属性以“<key>=<value>”键值对的形式出现。
客户端使用UPDATE请求将角色证书相关的角色信息写入设备的角色资源。
例如,UPDATE请求的资源表述的实例为:
这里,在上述资源表述中声明客户端的角色。
资源表述即属性的快照。与资源的交互即通过交换包含资源表述的请求和响应实现。例如向资源进行读取请求,通过响应可以获得资源的表述,通过更新资源表述,对资源进行更新。
步骤S102,服务端进行角色资源的更新。
服务端在收到UPDATE请求之后,服务端会验证发送请求的客户端是否具有更新角色资源的权限。有,客户端就会根据UPDATE请求中参数来更新角色资源的信息。
步骤S103,服务端向客户端返回UPDATE响应。
终端设备需要激活后才能在安全域中与安全域中其他终端设备进行交互。激活终端设备的第一步是配置终端设备的所有权。合法用户通过OBT使用一种业主转移方法(OTM)建立终端设备的所有权。所有权建立后,再使用OBT配置终端设备,最终使终端设备能够正常操作并与其他终端设备交互。
图2为终端设备配置的交互流程示意图,如图2所示,包括:
步骤S201、OBT发现安全域中需要配置的终端设备。
这里,发现的设备为无主的需要配置的新的终端设备。
步骤S202、终端设备向OBT返回其支持的业主转让方法。
其中,步骤S201和步骤S202为OBT发现新设备并找到合适的业主转让方法。
步骤S203、OBT根据终端设备支持的业主转让方法与终端设备建立安全连接。
其中,步骤S203用于执行业主转让方法。
步骤S204、OBT将自身的ID配置到终端设备的业主资源中。
这里,业主资源的URL可为/oic/sec/doxm,可将OBT的ID配置到终端设备的业主资源的设备业主标识(deviceowneruuid)属性。
步骤S204用于建立终端设备的业主身份
步骤S205、OBT请求终端设备支持的业主凭证类型。
终端设备支持的业主凭证类型可包括:对称密钥、非对称密钥、证书等。
步骤S206、OBT选择合适的业主凭证。
OBT根据终端设备支持的业主凭证类型选择一个合适的安全凭证
步骤S207、OBT配置业主凭证。
OBT将所选的业主凭证配置到终端设备的凭证资源,终端设备的凭证资源的URL可为/oic/sec/cred。
步骤S205至步骤S207用于确定终端设备是否使用设备主人所用的对称和/或非对称凭证。
步骤S208、OBT将终端设备分配给凭证管理服务器。
凭证管理服务器(Credential Management Service,CMS)通常可作为OBT的一部分,考虑扩展性和模块化设计,CMS也可作为服务单独部署。
步骤S208用于为设备管理相关服务添加新的终端设备的信息。
步骤S209、OBT将自身的ID配置到终端设备的业主资源。
OBT配置OBT为业主资源的主人。这里,OBT可将自身的ID配置到终端设备的/oic/sec/doxm的主人标识(rowneruuid)属性。
步骤S2010、OBT将CMS的ID配置到终端设备的凭证资源。
OBT设定CMS为凭证资源的主人。OBT将CMS的ID配置到/oic/sec/cred的主人标识(rowneruuid)属性。
步骤S2011、OBT将用于与CMS建立安全连接的CMS凭证配置到终端设备的凭证资源。
步骤S209至步骤S2011用于定义终端设备和代表管理服务,例如CMS凭证和设备主人。
步骤S2012、OBT/CMS改变终端设备的状态为业务配置状态。
步骤S2013 OBT/CMS将用于与其他设备建立局域网安全连接的凭证配置到终端设备的凭证资源。
其中,步骤S2012和步骤S2013中,使用对等凭证和访问控制策略配置新设备。
步骤S2014、OBT/CMS改变终端设备的状态为正常工作状态。
通过步骤S2014使终端设备正常工作。
在上述流程中,步骤S207中配置的业主凭证为OBT与终端设备互联的凭证,步骤S2011中配置的CMS凭证为CMS与终端设备互联的凭证,步骤S2013中配置的凭证即端到端(P2P)凭证为终端设备在该安全域中与安全域中的其他终端设备互联的凭证。
在一示例中,业主资源的结构可为:
这里,OBT即激活设备是安全域的主人,可以配置安全域中的客户端和服务端互联互通。不同的安全域的主人为不同的OBT。安全域中的客户端或服务端配置后,该OBT为被配置终端设备的主人。其中,一个网络中由同一个OBT配置的多个设备中,两两之间能够互联互通,认为这些设备形成了一个安全域。其中,,例如,一个家庭网络环境中,全部设备都由男主人的手机APP(作为OBT)配置,使得家庭中的客户端和服务端能够形成一个建立安全通信连接的安全域;邻居家的网络中互联的设备是由邻居的手机APP(另一OBT)配置的,则形成与家庭的安全域不同的另一安全域。
不同安全域的配置信息是相互独立,一个安全域的配置信息无法用于其他安全域,因此,不同安全域的设备之间的访问是相互隔离的。例如,在终端设备被配置到安全域A后,终端设备中的配置信息为安全域A的配置信息;终端设备进入安全域B时,通过安全域A中的配置信息与安全域B中设备之间无法进行互联互通;如果终端设备要与安全域B中的设备互联互通,需要重新进行配置,以将终端设备配置到安全域B中。
例如,图3是一个家庭环境中的安全域的建立:
激活设备301中安装有客户端APP,激活设备301创建安全域(如家庭网络)中的终端设备以及各终端设备的管理员(admin)、家庭成员(family)、访客(guest)等各种角色。即激活设备301为家庭网络的OBT。激活设备301发现并配置灯泡1,可以控制灯泡1。
终端设备302中安装有客户端APP,激活设备301的客户端APP发现终端设备302的客户端APP,并对终端设备302的APP进行配置,赋予终端设备302的APP家庭成员(family)权限,则终端设备302也可以控制灯泡1。激活设备301也可以赋予终端设备302管理员(admin)权限,则终端设备302也可以配置和管理灯泡1。
对于一个物联网设备,如灯泡2,采取与灯泡1相同的方式进行配置。
对于一个新的具有客户端APP的终端设备,采取与终端设备302相同的方式配置其角色和权限。
上述方案中,终端设备只能由一个OBT配置,即只能有一个设备业主,其业主资源、凭证资源等安全资源也只能有一个资源主人。由于只有资源业主具有配置相应安全资源的权限,一个终端设备进入当前设备主人对应的安全域之外的其他安全域时,其他安全域的主人无法对该终端设备的安全资源进行配置,导致当前设备无法与其他安全域中的设备进行互联互通。例如:图3中的终端设备302的客户端APP被激活设备301配置后,当终端设备302进入办公室,由于办公室网络中的安全域的主人是激活设备Boss的Client APP(OBT),则激活设备Boss无法配置终端设备302的Client APP使终端设备302与办公室的安全域中的终端设备互联互通。
即使对终端设备中的配置信息进行重置,使得终端设备能够与其他安全域中的终端设备互联互通,但当终端设备再次进入当前安全域时,终端设备无法对当前安全域中的设备进行控制。
以图3所示的终端设备302为例,既使重置终端设备302的客户端APP,使激活设备Boss能够对终端设备302的客户端APP进行配置,实现终端设备302与办公室网络中的设备的互联互通,则当终端设备302再次进入家庭安全域后无法再次控制家庭安全域的设备,需要由激活设备301重新配置。这样,终端设备在不同安全域中移动时,每次都需要重新配置,用户体验不好。
基于上述问题,本发明提供一种访问控制方法,本发明实施例的访问控制入方法可以应用于图4所示的物联网***400,包括:激活设备401、凭证管理服务器402、终端设备403-1、激活设备404、凭证管理服务器405和终端设备403-2。
其中,激活设备401和凭证管理服务器402属于同一安全域:安全域1,激活设备404和凭证管理服务器405属于同一安全域:安全域2。激活设备401为安全域1的OBT即主人,凭证管理服务器402管理和配置安全域1中设备的凭证。激活设备404为网络2的OBT即主人,凭证管理服务器405管理和配置安全域2中各设备的凭证。
当终端设备403-1或终端设备403-2进入安全域1所在的网络,激活设备401对终端设备403-1或终端设备403-2进行配置,使得终端设备403-1或终端设备403-2进入安全域1。如图4所示,当终端设备403-2与终端设备403-1同时进入安全域1,终端设备403-2与终端设备403-1可进行互联互通。
激活设备401、终端设备403-1和终端设备403-2可以指接入终端、用户设备(UserEquipment,UE)、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(Session Initiation Protocol,SIP)电话、无线本地环路(Wireless LocalLoop,WLL)站、个人数字处理(Personal Digital Assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、5G网络中的终端设备或者未来演进的PLMN中的设备等。
图4示例性地示出了两个安全域和两个终端设备,可选地,该物联网***300可以包括两个以上的安全域以及与两个以上的终端设备,本发明实施例对此不做限定,且一个安全域下的终端设备的数量不进行任何的限制。
这里,安全域1和安全域2可属于同一网络,也可属于不同的网络。
图4所示的物联网还可包括:传感器、激光扫描***和智能家电等物联网设备。
本发明实施例提供的访问控制方法的一种可选的处理流程,如图5所示,包括以下步骤:
步骤S501,终端设备确定所在的安全域的访问设备的角色。
可选地,终端设备所在的安全域为已经进入的安全域。可选地,终端设备所在的安全域为未进入而待进入的安全域。
以终端设备所在的安全域为已经进入的安全域为例,当前安全域对应的激活设备对终端设备进行过配置,终端设备可与当前安全域中的其他终端设备进行互联互通。
以终端设备所在的安全域为待进入的安全域为例,当前安全域对应的激活设备未对终端设备进行过配置,终端设备与当前安全域中的其他终端设备无法进行互联互通。
访问设备为终端设备所在的安全域中请求对终端设备中的安全资源进行配置的设备,可为终端设备所在的安全域中的以下设备至少之一:激活设备、CMS、以及其他终端设备。
在本发明实施例中,在步骤S501之前,如图5所示,包括步骤S500,访问设备向终端设备发送所述访问设备的角色。此时,终端设备接收到访问设备发送的访问设备的角色。
可选地,不同安全域的访问设备的角色相同。可选地,不同安全域的访问设备的角色不同。
可选地,所述访问设备向所在的安全域的所述终端设备发送角色证书,所述角色证书的公开字段中包括所述访问设备的角色。此时,步骤S501终端设备确定所在的安全域的访问设备的角色,包括:所述终端设备从所在的安全域的访问设备发送的角色证书中的公开字段确定所述访问设备的角色。
在本发明实施例中,访问设备的角色可通过角色标识来表征。可选地,不同访问设备的角色相同,比如:访问设备1和访问设备2的角色都是owner。可选地,不同访问设备的角色不同,比如:访问设备1的角色为owner1,访问设备2的角色为owner2。
步骤S502,在所述终端设备的访问控制列表的访问控制角色包括所述访问设备的角色的情况下,所述终端设备允许具有所述访问设备对所述终端设备中的安全资源进行配置。
终端设备确定访问设备的角色后,查询终端设备中的访问控制列表(AccessControl List,ACL)的至少一个访问控制角色中是否包括访问设备的角色。在包括的情况下,则允许访问设备对所述终端设备中的安全资源进行配置,在不包括的情况下,则不允许访问设备对所述终端设备中的安全资源进行配置。其中,访问控制角色为被允许进行所述安全资源的配置的角色
在本发明实施例中,不同的角色证书中的角色可相同,角色证书的公开字段中标明该角色证书的角色。
在本发明实施例中,终端设备中包括至少一个访问控制列表,一个访问控制列表包括一个或多个访问控制角色。其中,一个访问控制列表可包括一个或多个访问控制项,一个访问控制项对应一个访问控制角色,不同的访问控制项对应不同或相同的访问控制角色。
在一示例中,终端设备中包括3个访问控制列表:列表1、列表2和列表3,其中,列表1中访问控制角色为角色1,列表2中访问控制角色为角色2和角色3,列表3中访问控制角色为角色4,当访问设备的角色为角色2时,则允许访问设备对终端设备中的安全资源进行配置,当访问设备的角色为角色5时,则不允许访问设备对终端设备中的安全资源进行配置。
可选地,所述终端设备中的安全资源包括:业主资源(/oic/sec/doxm)、凭证资源(/oic/sec/cred)、状态资源(/oic/sec/pstat)等终端设备中与初始化配置相关的资源中的一个资源或多个资源。其中,业主资源是设备业主相关的资源,凭证资源是安全凭证相关的资源,状态资源是配置状态相关的资源。
可选地,访问设备对安全资源进行配置为对安全资源中的信息进行增加、修改、删除等操作。
以访问设备为凭证管理服务器且凭证管理服务器对凭证资源进行增加操作为例,终端设备的凭证资源中包括:终端设备与冰箱建立连接的凭证1,终端设备与电视机建立连接的凭证2。终端设备允许凭证管理服务器对终端设备中的凭证资源进行配置时,凭证管理服务器向终端设备中的凭证资源中增加终端设备与台灯的建立连接的凭证3,使得终端设备能够与在与冰箱、洗衣机能够互联互通的基础上,能够与台灯建立互联互通。
可选地,所述访问列表中还包括:对应所述访问控制角色的被允许访问的安全资源;步骤S502中所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置,包括:所述终端设备允许所述访问设备对所述终端设备中的目标安全资源进行配置,所述目标安全资源为对应所述访问设备的角色的被允许访问的安全资源。
访问控制列表中被允许访问的安全资源通过URL指示。
比如:访问控制列表中访问控制角色为角色1,对应角色1的被允许访问的安全资源为:URL1,则在访问设备的角色为角色1的情况下,终端设备允许访问设备访问URL1指示的安全资源。
在本发明实施例中,访问控制列表中被允许访问的安全资源包括一个或多个安全资源,不同的安全资源通过不同的URL指示。当多个访问控制项对应同一个访问控制角色,各访问控制项中访问控制角色对应的安全资源可不同。
可选地,所述访问控制列表还包括:对应所述访问控制角色的操作权限;对应的,步骤S502中终端设备允许所述访问设备对所述终端设备中的安全资源进行配置,包括:所述终端设备允许所述访问设备对所述终端设备中的安全资源进行目标操作权限对应的配置,所述目标操作权限为对应所述访问设备的角色的操作权限。
操作权限包括:创建(Create)、检索(Retrieve)、更新(Update)、删除(Delete)和通知(Notify)等,其中,对应所述访问控制角色的操作权限可包括上述操作权限中的一个或多个。以操作权限为更新为例,终端设备允许访问设备对终端设备中的安全资源进行更新。
以访问控制列表中包括:访问控制角色、对应访问控制角色的被允许访问的安全资源以及对应访问控制角色的操作权限为例,访问控制列表包括以下内容:
/>
这里,访问控制项对应的主体中包括该访问控制项的访问控制角色。
上述访问控制列表表示角色为oic.owner.office的访问设备被允许完全控制终端设备中的安全资源:/oic/sec/doxm、/oic/sec/cred和/oic/sec/pstat"。
在本发明实施例中,对于不同的访问设备,所述访问控制列表为同一个访问控制列表,且所述不同的访问设备的角色相同;或对于不同的访问设备,所述访问控制列表为不同的访问控制列表,且所述不同的访问设备的角色不同。
以对于不同安全域的访问设备,所述访问控制列表为同一个访问控制列表,且所述不同安全域的访问设备的角色相同,访问设备为凭证管理服务器为例,安全域1的凭证管理服务器1和安全域2的凭证管理服务器2的角色都是owner,则终端设备中包括访问控制角色为owner的访问控制列表,则允许凭证管理服务器1和凭证管理服务器2对终端设备中的安全资源进行配置。
以对于不同安全域的访问设备,所述访问控制列表为不同的访问控制列表,且所述不同安全域的访问设备的角色不同,访问设备为凭证管理服务器为例,安全域1凭证管理服务器1的角色为owner1,安全域2凭证管理服务器2的角色为owner2,则终端设备中包括访问控制角色为owner1的访问控制列表1,则基于访问控制列表1允许凭证管理服务器1对终端设备中的安全资源进行控制,终端设备中包括访问控制角色为owner2的访问控制列表2,则基于访问控制列表2允许凭证管理服务器2对终端设备中的安全资源进行控制。
在实际应用中,终端设备的访问控制列表包括的访问控制角色中,部分访问控制角色为多个不同访问设备的共同的角色,部分访问控制角色分别对应不同的访问设备。
可选地,所述访问控制列表预置于所述终端设备中。终端设备中的访问控制列表可在出厂前预置在终端设备中,在对终端设备进行初始化操作时,终端设备中预置的访问控制列表不会被清除。
可选地,所述访问控制列表由激活设备配置。
以所述访问控制列表由激活设备配置为例,所述激活设备包括:所述终端设备所在的安全域的激活设备;或所述终端设备所在的安全域以外的其他安全域的激活设备。
在激活设备为终端设备所在的安全域以外的其他安全域的激活设备的情况下,由该终端设备所在的安全域以外的其他安全域的激活设备对该终端设备进行配置时,向该终端设备配置访问控制列表。
本发明实施例中,在一角色包括在终端设备中的访问控制列表的访问控制角色中,其他安全域的激活设备不再向终端设备配置访问控制角色中配置该角色的访问控制列表,从而在具有相同的角色的多个安全域中可共用同一个访问控制列表,避免进行访问控制列表的重复配置。
在访问控制列表由当前安全域的激活设备配置的情况下,在步骤S501之前,如图6所示,包括:步骤S600,激活设备向终端设备配置访问控制列表。
所述访问控制列表用于所述访问控制列表至少一个访问控制角色中包括访问设备的角色,所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置。
可选地,所述访问控制列表还包括以下至少之一:对应所述访问控制角色被允许访问的安全资源和操作权限。
在本发明实施例中,在步骤S502之前,如图7所示,包括步骤S701:所述终端设备根据信任根对所述访问设备的角色证书进行认证,以确认所述访问设备的角色。
这里,信任根中包括对访问设备的角色证书进行认证的公钥等密钥,通过密钥对访问设备的角色证书的签名进行验证,以验证角色证书的合法性,对访问设备的角色进行确认。这里,访问设备的角色证书的签名验证通过,则表征访问设备的证书颁发机构(Certificate Authority,CA)和终端设备的CA为同一CA或者为互相可信的CA,访问设备的角色证书合法。
在实际应用中,信任根中还可包括证书链等用于确定颁发角色证书的CA的信息,这里,当终端设备根据信任根对访问设备的角色证书进行验证,确定访问设备的CA。
可选地,对于不同安全域的访问设备,所述信任根为同一信任根。可选地,对于不同安全域的访问设备,所述信任根为不同的信任根。
不同安全域的访问设备的角色证书不同,不同的角色证书中的角色可相同也可不同。不同安全域的访问设备具有相同的CA,则通过同一信任根对这些不同安全域的访问设备进行认证,不同安全域的访问设备具有不同的CA,则通过不同的信任根对这些不同安全域的访问设备进行认证。
可选地,所述信任根预置于所述终端设备中。终端设备中的信任根可在出厂前预置在终端设备中,在对终端设备进行初始化操作时,终端设备中预置的信任根不会被清除。
可选地,所述信任根由激活设备配置。
以所述信任根由激活设备配置为例,所述激活设备包括:所述终端设备所在的安全域的激活设备;或所述终端设备所在的安全域以外的其他安全域的激活设备。
在激活设备为终端设备所在的安全域以外的其他安全域的激活设备的情况下,由该终端设备所在的安全域以外的其他安全域的激活设备对该终端设备进行配置时,向该终端设备配置信任根。
本发明实施例中,对多个安全域的访问设备角色证书进行认证的信任根为同一信任根的情况下,在终端设备中具有该信任根后,其他安全域的激活设备不再向终端设备中配置信任根,从而在多个安全域中可共用同一个信任根,避免进行信任根的重复配置。
本发明实施例中,当访问控制列表和信任根都预置的情况下,由于已配置了这些安全域对应的访问控制列表,因此不需要每次配置时再重复进行OTM的操作,避免了过多繁琐的资源主人配置。
在信任根由当前安全域的激活设备配置的情况下,在步骤S501之前,如图7所示,包括:步骤S700,所述激活设备向终端设备配置信任根。
所述信任根用于所述终端设备对所述访问设备的角色证书进行认证,以确认所述访问设备的角色。
在本发明实施例中,在所述终端设备进入所述安全域之前,所述方法还包括:
所述终端设备保留所述安全资源对应的配置信息;或所述终端设备初始化所述安全资源对应的配置信息。
这里,所述安全资源的配置信息为终端设备之前的安全域中的访问设备对安全资源进行的配置。
在所述终端设备保留所述安全资源对应的配置信息的情况下,终端设备中保留之前的安全域中的配置信息,从而由当前的安全域移动到之前的安全域时,能够直接基于保留的配置信息与之前的安全域中的设备进行互联互通。
在所述终端设备初始化所述安全资源对应的配置信息的情况下,终端设备中清除之前的安全域中的配置信息,恢复出厂设置。
这里,配置信息主要是在前一个安全域中配置的业主资源、凭证资源、状态资源等安全资源的初始化信息。终端设备出售或转让给别人,则用户之前配置的信息应该清空,以使终端设备恢复无主状态。终端设备未出售或转让,只是进入一个新的安全域,则之前的安全域所配置的各种初始化信息可保留。
可选地,所述终端设备保留所述安全资源对应的配置信息的保留条件包括以下至少之一:接收到指示保留所述配置信息的保留指令;以及未接收到指示初始化所述配置信息的初始化指令。
可选地,所述终端设备初始化所述安全资源对应的配置信息的初始化条件包括以下至少之一:接收到指示初始化所述配置信息的初始化指令;以及未接收到指示保留所述配置信息的保留指令。
可选地,终端设备默认保留配置信息,终端设备在进入安全域之前,可输出配置信息是否初始化的提示。在接收到用户的指示初始化所述配置信息的初始化指令的情况下,初始化所述安全资源对应的配置信息;在未接收到用户的指示初始化所述配置信息的初始化指令的情况下,保留所述安全资源对应的配置信息。
可选地,终端设备默认初始化配置信息,终端设备在进入安全域之前,可输出配置信息是否保留的提示。在接收到用户的指示保留所述配置信息的保留指令的情况下,保留所述安全资源对应的配置信息;在未接收到用户的指示保留所述配置信息的保留指令的情况下,初始化所述安全资源对应的配置信息。
本发明实施例提供的访问控制方法,包括:终端设备确定所在的安全域的访问设备的角色;在所述终端设备的访问控制列表的至少一个访问控制角色中包括所述访问设备的角色的情况下,所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置。由于在终端设备中设置访问控制列表,当访问设备的角色包括在访问控制列表的访问控制角色中,则可认为访问设备对终端设备中的安全资源具有配置权限,允许访问设备对终端设备中的安全资源进行配置,从而基于访问控制列表实现不同安全域的访问设备对终端设备中的安全资源的配置,能够避免重复繁琐的资源主人的配置过程,打破终端设备在不同安全域的访问隔离。
本发明实施例提供的访问控制方法中,基于信任根(Trust Anchor,TA)可预置也可由激活设备配置时,ACL可预置也可由激活设备配置,本发明实施例提供的访问控制方法包括以下场景:
场景1、TA预置,ACL预置;
场景2、TA预置,ACL由OBT配置;
场景3、TA由OBT配置,ACL由OBT配置;
场景4、TA由OBT配置,ACL预置。
其中,ACL的作用是根据对端设备的角色使其具有相应的权限,ACL设置了必须角色oic.owner才能访问凭证资源,则CMS的角色必须认证为oic.owner才能配置凭证资源。
TA的作用是认证CMS的角色证书的身份,当终端设备收到CMS声明的角色证书后,使用TA验证该角色证书是否合法,若验证合法,则设备认为CMS具有角色证书中的角色身份,如oic.owner。
在本发明中,ACL设置的角色权限是oic.owner1,而TA可认证的证书是oic.owner2角色的证书。持有oic.owner1的角色证书的CMS连接时,由于没有合适的TA而无法验证oic.owner1角色身份;当持有oic.owner2角色证书的CMS连接时,能够验证角色身份,但由于ACL不匹配,则也不会有相应的配置权限。因此,ACL和TA具有关联关系(如都关联到oic.owner)才能发挥作用,从而保证对端设备的合法性。
下面,本发明实施例以终端设备为移动设备、访问设备为CMS为例,通过不同的应用场景对提供的访问控制方法进行说明。需要说明的是,实例一至实例三中以访问设备为CMS为例对本发明实施例提供的访问控制方法进行说明,在实际应用中,当访问设备为OBT时,OBT与移动设备的交互可参考CMS与移动设备的交互。
实例一
移动设备预置面向业主角色(oic.owner)的访问控制列表。当接入的对端设备即访问设备认证为oic.owner时,移动设备允许对端设备访问其安全资源。访问控制列表可以ACL资源的形式进行配置。
在一示例中,ACL安全资源的内容包括如下:
上述ACL表示角色认证为oic.owner的对端设备被允许完全控制移动设备的安全资源:“/oic/sec/doxm”、“/oic/sec/cred”和“/oic/sec/pstat”。
OBT和CMS中预置了角色证书。角色证书公私钥采用相应设备的公私钥,证书公开字段中标明该证书的角色ID,如“oic.owner”。每个网络中的OBT和CMS所预置的角色证书都采用相同的oic.owner角色。
在用户Dad购买的移动设备分别进入家庭网络和办公网络时,经过配置使移动设备可以分别在两个网络中工作。并且,移动设备在由一个网络移动到另一个网络后,能够无缝切换。
移动设备在两个网络中的配置的流程如图8所示,包括:
步骤S801、移动设备进入家庭网络。
用户Dad令移动设备进入家庭网络即网络1,该家庭网络的owner为Mom的手机APP(OBT),家庭网络中的凭证管理服务器为Home CMS,负责管理和配置家庭网络中设备的凭证。
这里,在步骤S801之前,还包括:步骤S800:预置ACL。
步骤S802、移动设备进入配置状态。
Dad设置移动设备进入配置状态。
步骤S803、移动设备确认是否保留之前的配置信息。
移动设备通过人机接口询问用户Dad是否保留之前的配置信息,用户响应为否,则需要清除所有的配置信息。
步骤S804、移动设备清除所有配置信息。
用户Dad确定不保留之前的配置信息,移动设备清除所有配置信息,恢复出厂设置。
步骤S805、Mom的OBT与移动设备建立OTM连接。
步骤S806、Mom的OBT向移动设备配置TA1。
Mom的OBT配置移动设备,写入针对Home CMS的角色证书即role证书的信任根Trust Anchor(TA1)。TA1用于认证Home CMS的角色证书的合法性。例如,TA1为证书颁发机构CA的公钥签名证书,可从中提取CA公钥对role证书的签名进行验证。
此时,Mom的OBT完成OTM配置,移动设备开始与Home CMS进行P2P凭证配置。
步骤S807、Home CMS与移动设备建立基于角色的安全连接。
移动设备使用TA1对Home CMS的role证书进行认证,确认Home CMS的oic.owner角色身份,从而建立与移动设备建立基于角色的连接。
这里,建立基于角色的安全连接为使用角色证书建立的连接,包括:使用角色证书确认的对端设备的角色。这里,认证为不同的角色,则具有不同的访问控制权限。
步骤S808、Home CMS配置安全凭证Cred1到移动设备的/oic/sec/cred资源。
例如,通过以下更新请求配置安全凭证Cred1。
步骤S809、移动设备根据预置的ACL以及Home CMS的oic.owner角色允许Home CMS对/oic/sec/cred资源的配置。
步骤S8010、Home CMS配置移动设备进入正常工作状态。
步骤S8011、移动设备进入办公网络。
Dad携带移动设备进入办公网络即网络2,办公网络owner为Boss的OBT,由OfficeCMS管理和配置办公网络中设备的凭证。
步骤S8012、移动设备进入配置状态。
Dad设置移动设备进入配置状态。
步骤S8013、移动设备确认是否保留之前的配置信息。
移动设备通过人机接口询问用户Dad是否保留之前的配置信息,用户响应为是,则需要保留所有的配置信息。
步骤S8014、移动设备保留已有的配置信息。
Dad确定保留之前的配置信息,移动设备不清除配置信息,允许建立新的OTM连接。
步骤S8015、Boss的OBT与移动设备建立OTM连接。
步骤S8016、Boss的OBT向移动设备配置TA2。
Boss的OBT配置移动设备,写入Office CMS的role证书Trust Anchor(TA2)。该TA2用于认证Office CMS的role证书的合法性。
此时,Boss的OBT完成OTM配置,移动设备开始与Office CMS进行P2P凭证配置。
步骤S8017、Office CMS与移动设备建立基于角色的安全连接。
Office CMS与移动设备建立基于role的连接,移动设备使用TA2对Office CMS的role证书进行认证,确认Office CMS的oic.owner角色身份。
步骤S8018、Office CMS配置安全凭证Cred2到移动设备的/oic/sec/cred资源。
例如:
步骤S8019、移动设备根据预置的ACL以及Office CMS的oic.owner角色允许对/oic/sec/cred资源的配置。
步骤S8020、Office CMS配置移动设备进入正常工作状态。
此时,用户Dad的移动设备能够与办公网络中安全域的其他智能设备互联互通,实现各种智能化场景。当用户Dad携带该移动设备回家后,该移动设备连接家庭网络,能够与家中安全域的其他智能设备互联互通,实现各种智能化场景。
实例二
移动设备不预置面向业主角色(oic.owner)的ACL访问控制列表。
OBT和CMS则预置了角色证书。角色证书公私钥采用相应设备的公私钥,证书公开字段中标明该证书的角色ID,如“oic.owner”。Mom的OBT和Home CMS所预置的角色证书对应oic.owner.home角色,即证书公开字段中标明该证书的角色ID为oic.owner.home。Boss的OBT和Boss CMS所预置的角色证书对应oic.owner.office角色,即证书公开字段中标明该证书的角色ID为oic.owner.office。
在用户Dad购买的移动设备分别进入家庭网络和办公网络时,经过配置使移动设备可以分别在两个网络中工作。并且,移动设备在由一个网络移动到另一个网络后,能够无缝切换。
移动设备在两个网络中的配置的流程如图9所示,包括:
步骤S901、移动设备进入家庭网络。
用户Dad令移动设备进入家庭网络即网路1,该家庭网络的owner为Mom的手机APP(OBT),家庭网络中的凭证管理服务器为Home CMS,负责管理和配置家庭网络中设备的凭证。
步骤S902、移动设备进入配置状态。
Dad设置移动设备进入配置状态。
步骤S903、移动设备确认是否保留之前的配置信息。
移动设备通过人机接口询问用户Dad是否保留之前的配置信息,用户响应为否,则需要清除所有的配置信息。
步骤S904、移动设备清除所有配置信息。
用户Dad确定不保留之前的配置信息,移动设备清除所有配置信息,恢复出厂设置。
步骤S905、Mom的OBT与移动设备建立OTM连接。
步骤S906、Mom的OBT向移动设备配置TA1和ACL1。
Mom的OBT配置移动设备,写入Home CMS的角色证书的信任根Trust Anchor(TA1)和ACL1。其中,TA1用于认证Home CMS的角色证书的合法性。例如,TA1为证书颁发机构CA的公钥签名证书,可从中提取CA公钥对role证书的签名进行验证。ACL1为认证oic.owner角色的对端设备被允许完全控制本机的"/oic/sec/doxm"、"/oic/sec/cred"和"/oic/sec/pstat"资源。
在一示例中,ACL1为:
此时,Mom的OBT完成OTM配置,移动设备开始与Home CMS进行P2P凭证配置。
步骤S907、Home CMS与移动设备建立基于角色的安全连接。
Home CMS与移动设备建立基于role的连接,移动设备使用TA1对Home CMS的role证书进行认证,确认Home CMS的oic.owner.home角色身份。
步骤S908、Home CMS配置安全凭证Cred1到移动设备的/oic/sec/cred资源。
例如,通过以下更新请求配置安全凭证Cred1。
/>
步骤S909、移动设备根据配置的ACL以及Home CMS的oic.owner.home角色允许Home CMS对/oic/sec/cred资源的配置。
步骤S9010、Home CMS配置移动设备进入正常工作状态。
步骤S9011、移动设备进入办公网络。
Dad携带移动设备进入办公网络即网络2,办公网络owner为Boss的OBT,由OfficeCMS管理和配置办公网络中设备的凭证。
步骤S9012、移动设备进入配置状态。
Dad设置移动设备进入配置状态。
步骤S9013、移动设备确认是否保留之前的配置信息。
移动设备通过人机接口询问用户Dad是否保留之前的配置信息,用户响应为是,则需要保留所有的配置信息。
步骤S9014、移动设备保留已有的配置信息。
用户Dad确定保留之前的配置信息,移动设备不清除配置信息,允许建立新的OTM连接。
步骤S9015、Boss的OBT与移动设备建立OTM连接。
步骤S9016、Boss的OBT向移动设备配置TA2和ACL2。
Boss的OBT配置移动设备,写入Office CMS的role证书Trust Anchor(TA2)和ACL2。该TA2用于认证Home CMS的role证书的合法性。例如,TA2为证书颁发机构CA的公钥签名证书,可从中提取CA公钥对role证书的签名进行验证。ACL2为认证oic.owner角色的对端设备被允许完全控制本机的"/oic/sec/doxm"、"/oic/sec/cred"和"/oic/sec/pstat"资源。
在一示例中,ACL2为:
此时,Boss的OBT完成OTM配置,移动设备开始与Office CMS进行P2P凭证配置。
步骤S9017、Office CMS与移动设备建立基于角色的安全连接。
Office CMS与移动设备建立基于role的连接,移动设备使用TA2对Office CMS的role证书进行认证,确认Office CMS的oic.owner.office角色身份。
步骤S9018.、Office CMS配置安全凭证Cred2到移动设备的/oic/sec/cred资源。例如:
步骤S9019、移动设备根据配置的ACL以及Office CMS的oic.owner.office角色允许Office CMS对/oic/sec/cred资源的配置。
步骤S9020、Office CMS使移动设备进入正常工作状态。
此时,用户Dad的移动设备能够与办公网络中的安全域其他智能设备互联互通,实现各种智能化场景。当用户Dad携带该移动设备回家后,该移动设备连接家庭网络,能够与家中安全域其他智能设备互联互通,实现各种智能化场景。
实例三、
移动设备中预置通用的TA和ACL。
假设全部OBT和CMS的role证书都由同一个证书颁发机构CA签发。设备预先设置该CA用于签发role证书的私钥所对应的role证书的TA,该TA可用于对role证书的签名进行验证,以认证role证书的合法性。
设备预置面向业主角色(oic.owner)的ACL。当接入的对端设备认证为oic.owner时,设备允许对端设备访问其安全资源。
例如,终端设备预置了如下ACL:
/>
上述ACL资源表示认证为oic.owner角色的对端设备被允许完全控制本机的"/oic/sec/doxm"、"/oic/sec/cred"和"/oic/sec/pstat"资源。
OBT和CMS预置了角色证书。角色证书公私钥采用相应设备的公私钥,证书公开字段中标明该证书的角色ID,如“oic.owner”。每个网络中的OBT和CMS所预置的角色证书都采用相同的oic.owner角色。
在用户Dad购买的移动设备分别进入家庭网络和办公网络时,经过配置使移动设备可以分别在两个网络中的安全域工作。并且,移动设备在由一个网络移动到另一个网络后,能够无缝切换。
移动设备在两个网络中的配置的流程如图10所示,包括:
步骤S1001、移动设备进入家庭网络。
用户Dad令移动设备进入家庭网络,该家庭网络的owner为Mom的手机APP(OBT),家庭网络中的凭证管理服务器为Home CMS,负责管理和配置家庭网络中设备的凭证。
这里,在步骤S1001之前,还包括:步骤S1000:预置ACL和TA。
步骤S1002、移动设备进入配置状态。
Dad设置移动设备进入配置状态。
步骤S1003、Mom的OBT与移动设备建立OTM连接,进行业主配置。
步骤S1004.Mom的OBT完成OTM配置,指示Home CMS开始配置移动设备P2P凭证。
步骤S1005、Home CMS与移动设备建立基于角色的安全连接。
Home CMS与移动设备建立基于role的连接,移动设备使用TA1对Home CMS的role证书进行认证,确认Home CMS的oic.owner.home角色身份。
步骤S1006.Home CMS配置安全凭证Cred1到移动设备的/oic/sec/cred资源。
例如,通过以下更新请求配置安全凭证Cred1:
步骤S1007、移动设备根据预置的ACL以及Home CMS的oic.owner角色允许HomeCMS对/oic/sec/cred资源的配置。
步骤S1008、Home CMS使移动设备进入正常工作状态。
步骤S1009、移动设备进入办公网络。
Dad携带移动设备进入办公网络即网络2,办公网络owner为Boss的OBT,由OfficeCMS管理和配置办公网络中设备的凭证。移动设备进入办公网络后,找到办公网路的OBT即Boss的OBT。
步骤S10010、移动设备进入配置状态。
用户Dad设置移动设备进入P2P凭证配置状态。
这里,采用统一的TA,不需要配置TA,因此,可跳过移动设备与Boss的OBT之间的OBT步骤。
步骤S10011、Boss的OBT指示Office CMS开始配置移动设备P2P凭证。
步骤S10012、Office CMS与移动设备建立基于角色的安全连接。
Office CMS与移动设备建立基于role的连接,移动设备使用预先配置的TA(每个CMS的角色证书都可以采用TA进行认证)对Office CMS的role证书进行认证,确认OfficeCMS的oic.owner角色身份。
步骤S10013、ffice CMS配置安全凭证Cred2到移动设备的/oic/sec/cred资源。
例如,通过以下更新请求配置安全凭证Cred2。
步骤S10014、备根据预置的ACL以及Office CMS的oic.owner角色允许Office CMS对/oic/sec/cred资源的配置。
步骤S10015、Office CMS使移动设备进入正常工作状态。
此时,Dad的移动设备能够与办公网络中安全域的其他智能设备互联互通,实现各种智能化场景。当Dad携带该移动设备回家后,该移动设备连接家庭网络,能够与家中安全域的其他智能设备互联互通,实现各种智能化场景。
为实现上述访问控制方法,本发明实施例还提供一种终端设备1100,如图11所示,包括:
角色确定模块1101,配置为确定所在的安全域的访问设备的角色;
权限管理模块1102,配置为所述终端设备的访问控制列表中至少一个访问控制角色中包括所述访问设备的角色,允许所述访问设备对所述终端设备中的安全资源进行配置,所述访问控制角色为被允许进行所述安全资源的配置的角色。
本发明实施例中,角色确定模块1101,还配置为还配置为所述访问设备的角色证书中的公开字段确定所述访问设备的角色。
本发明实施例中,所述访问列表中包括:对应所述访问控制角色的被允许访问的安全资源;
权限管理模块1102,还配置为允许所述访问设备对所述终端设备中的目标安全资源进行配置,所述目标安全资源为对应所述访问设备的角色的被允许访问的安全资源。
本发明实施例中,所述访问控制列表还包括:对应所述访问控制角色的操作权限;
权限管理模块1102,还配置为允许所述访问设备对所述终端设备中的安全资源进行目标操作权限对应的配置,所述目标操作权限为对应所述访问设备的角色的操作权限。
本发明实施例中,对于不同安全域的访问设备,所述访问控制列表为同一个访问控制列表,且所述不同安全域的访问设备的角色相同;或
对于不同安全域的访问设备,所述访问控制列表为不同的访问控制列表,且所述不同安全域的访问设备的角色不同。
本发明实施例中,所述访问控制列表预置于所述终端设备中;
或所述访问控制列表由激活设备配置。
本发明实施例中,终端设备1100还包括:
角色认证模块,配置为根据信任根对所述访问设备的角色证书进行认证,以确认所述访问设备的角色。
本发明实施例中,对于不同安全域的访问设备,所述信任根为同一信任根,或
对于不同安全域的访问设备,所述信任根为不同的信任根。
本发明实施例中,
所述信任根预置于所述终端设备;或
所述信任根由激活设备配置。
本发明实施例中,所述激活设备包括:
所述终端设备所在的安全域的激活设备;或
所述终端设备所在的安全域以外的其他安全域的激活设备。
本发明实施例中,终端设备1100还包括:配置更新模块,配置为:在述终端设备进入所述安全域之前,保留所述安全资源对应的配置信息,或初始化所述安全资源对应的配置信息。
本发明实施例中,所述终端设备保留所述安全资源对应的配置信息的保留条件包括以下至少之一:
接收到指示保留所述配置信息的保留指令;以及
未接收到指示初始化所述配置信息的初始化指令。
本发明实施例中,所述终端设备初始化所述安全资源对应的配置信息的初始化条件包括以下至少之一:
接收到指示初始化所述配置信息的初始化指令;以及
未接收到指示保留所述配置信息的保留指令。
本发明实施例还提供一种终端设备,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器用于运行所述计算机程序时,执行上述终端设备执行的访问控制方法的步骤。
为实现上述访问控制方法,本发明实施例还提供一种访问设备1200,包括:
发送模块1201,配置为向所在的安全域的终端设备发送所述访问设备的角色;在所述访问设备的角色包括在所述终端设备的访问控制列表中的至少一个访问控制角色中的情况下,所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置,所述访问控制角色为被允许进行所述安全资源的配置的角色。
本发明实施例中,发送模块1201,还配置为向所述终端设备发送角色证书,所述角色证书的公开字段中包括所述访问设备的角色。
本发明实施例中,不同安全域的访问设备的角色相同;或不同安全域的访问设备的角色不同。
本发明实施例还提供一种访问设备,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器用于运行所述计算机程序时,执行上述访问设备执行的访问控制方法的步骤。
本发明实施例还提供一种激活设备1300,包括:
列表配置模块1301,配置为向终端设备配置访问控制列表,所述访问控制列表用于所述访问控制列表的访问控制角色中包括访问设备的角色,所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置,所述访问控制角色为被允许进行所述安全资源的配置的角色。
本发明实施例中,所述访问控制列表还包括以下至少之一:
对应所述访问控制角色的被允许访问的安全资源和操作权限。
本发明实施例中,激活设备1300还包括:
根配置模块,配置为向所述终端设备配置信任根,所述信任根用于所述终端设备对所述访问设备的角色证书进行认证,以确认所述访问设备的角色。
本发明实施例还提供一种激活设备,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器用于运行所述计算机程序时,执行上述激活设备执行的访问控制方法的步骤。
图14是本发明实施例的电子设备(终端设备、访问设备或激活设备)的硬件组成结构示意图,电子设备1400包括:至少一个处理器1401、存储器1402和至少一个网络接口1404。电子设备1400中的各个组件通过总线***1405耦合在一起。可理解,总线***1405用于实现这些组件之间的连接通信。总线***1405除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图14中将各种总线都标为总线***1405。
可以理解,存储器1402可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是ROM、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,ErasableProgrammable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,ElectricallyErasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagneticrandom access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random Access Memory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,SynchronousStatic Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random AccessMemory)、同步动态随机存取存储器(SDRAM,Synchronous Dynamic Random AccessMemory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data RateSynchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器1402旨在包括但不限于这些和任意其它适合类型的存储器。
本发明实施例中的存储器1402用于存储各种类型的数据以支持电子设备1400的操作。这些数据的示例包括:用于在电子设备1400上操作的任何计算机程序,如应用程序14021。实现本发明实施例方法的程序可以包含在应用程序14021中。
上述本发明实施例揭示的方法可以应用于处理器1401中,或者由处理器1401实现。处理器1401可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1401中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1401可以是通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器1401可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器1402,处理器1401读取存储器1402中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,电子设备1400可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、FPGA、通用处理器、控制器、MCU、MPU、或其他电子元件实现,用于执行前述方法。
本发明实施例还提供了一种存储介质,用于存储计算机程序。
可选的,该存储介质可应用于本发明实施例中的终端设备,并且该计算机程序使得计算机执行本发明实施例的各个方法中的相应流程,为了简洁,在此不再赘述。
可选的,该存储介质可应用于本发明实施例中的访问设备,并且该计算机程序使得计算机执行本发明实施例的各个方法中的相应流程,为了简洁,在此不再赘述。
可选的,该存储介质可应用于本发明实施例中的激活设备,并且该计算机程序使得计算机执行本发明实施例的各个方法中的相应流程,为了简洁,在此不再赘述。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (44)
1.一种访问控制方法,包括:
终端设备在不同安全域中移动的情况下,所述终端设备确定所在的安全域的访问设备的角色;
在所述终端设备的访问控制列表的至少一个访问控制角色中包括所述访问设备的角色的情况下,所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置,所述访问控制角色为被允许进行所述安全资源的配置的角色,其中,所述终端设备中包括至少一个访问控制列表,对于不同安全域的访问设备,所述访问控制列表为同一个访问控制列表或所述访问控制列表为不同的访问控制列表。
2.根据权利要求1所述的方法,其中,
所述访问控制列表预置于所述终端设备中;
或所述访问控制列表由激活设备配置。
3.根据权利要求1或2所述的方法,其中,
对于不同安全域的访问设备,所述访问控制列表为同一个访问控制列表,且所述不同安全域的访问设备的角色相同;或
对于不同安全域的访问设备,所述访问控制列表为不同的访问控制列表,且所述不同安全域的访问设备的角色不同。
4.根据权利要求1或2所述的方法,其中,所述访问控制列表中还包括:对应所述访问控制角色的被允许访问的安全资源;
所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置,包括:
所述终端设备允许所述访问设备对所述终端设备中的目标安全资源进行配置,所述目标安全资源为对应所述访问设备的角色的被允许访问的安全资源。
5.根据权利要求1或2所述的方法,其中,所述访问控制列表还包括:对应所述访问控制角色的操作权限;
所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置,包括:
所述终端设备允许所述访问设备对所述终端设备中的安全资源进行目标操作权限对应的配置,所述目标操作权限为对应所述访问设备的角色的操作权限。
6.根据权利要求1所述的方法,其中,所述方法还包括:
所述终端设备根据信任根对所述访问设备的角色证书进行认证,以确认所述访问设备的角色。
7.根据权利要求6所述的方法,其中,
对于不同安全域的访问设备,所述信任根为同一信任根,或
对于不同安全域的访问设备,所述信任根为不同的信任根。
8.根据权利要求6所述的方法,其中,
所述信任根预置于所述终端设备;或
所述信任根由激活设备配置。
9.根据权利要求2或8所述的方法,其中,所述激活设备包括:
所述终端设备所在的安全域的激活设备;或
所述终端设备所在的安全域以外的其他安全域的激活设备。
10.根据权利要求1、2、6至8任一项所述的方法,其中,在所述终端设备进入不同的安全域中一安全域之前,所述方法还包括:
所述终端设备保留所述安全资源对应的配置信息;或所述终端设备初始化所述安全资源对应的配置信息。
11.根据权利要求10所述的方法,其中,所述终端设备保留所述安全资源对应的配置信息的保留条件包括以下至少之一:
接收到指示保留所述配置信息的保留指令;以及
未接收到指示初始化所述配置信息的初始化指令。
12.根据权利要求10所述的方法,其中,所述终端设备初始化所述安全资源对应的配置信息的初始化条件包括以下至少之一:
接收到指示初始化所述配置信息的初始化指令;以及
未接收到指示保留所述配置信息的保留指令。
13.根据权利要求1、2、6至8任一项所述的方法,其中,所述终端设备确定所在的安全域的访问设备的角色,包括:
所述终端设备从所述访问设备发送的角色证书中的公开字段确定所述访问设备的角色。
14.一种访问控制方法,包括:
在终端设备在不同安全域中移动的情况下,访问设备向所在的安全域的终端设备发送所述访问设备的角色;在所述访问设备的角色包括在所述终端设备的访问控制列表中的至少一个访问控制角色中的情况下,所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置,所述访问控制角色为被允许进行所述安全资源的配置的角色,其中,所述终端设备中包括至少一个访问控制列表,对于不同安全域的访问设备,所述访问控制列表为同一个访问控制列表或所述访问控制列表为不同的访问控制列表。
15.根据权利要求14所述的方法,其中,所述访问设备向所在的安全域的终端设备发送所述访问设备的角色,包括:
所述访问设备向所在的安全域的终端设备发送角色证书,所述角色证书的公开字段中包括所述访问设备的角色。
16.根据权利要求14或15所述的方法,其中,
不同安全域的访问设备的角色不同。
17.一种访问控制方法,所述方法包括:
激活设备向终端设备配置访问控制列表,其中,所述终端设备在不同安全域中移动的情况下,所述访问控制列表用于所述访问控制列表的至少一个访问控制角色中包括访问设备的角色,所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置,所述访问控制角色为被允许进行所述安全资源的配置的角色,其中,所述终端设备中包括至少一个访问控制列表,对于不同安全域的访问设备,所述访问控制列表为同一个访问控制列表或所述访问控制列表为不同的访问控制列表。
18.根据权利要求17所述的方法,其中,所述访问控制列表还包括以下至少之一:
对应所述访问控制角色的被允许访问的安全资源和操作权限。
19.根据权利要求17或18所述的方法,其中,所述方法还包括:
所述激活设备向所述终端设备配置信任根,所述信任根用于所述终端设备对所述访问设备的角色证书进行认证,以确认所述访问设备的角色。
20.一种终端设备,包括:
角色确定模块,配置为在不同安全域中移动的情况下,确定所在的安全域的访问设备的角色;
权限管理模块,配置为在所述终端设备的访问控制列表的至少一个访问控制角色中包括所述访问设备的角色的情况下,允许所述访问设备对所述终端设备中的安全资源进行配置,所述访问控制角色为被允许进行所述安全资源的配置的角色,所述终端设备中包括至少一个访问控制列表,对于不同安全域的访问设备,所述访问控制列表为同一个访问控制列表或所述访问控制列表为不同的访问控制列表。
21.根据权利要求20所述的终端设备,其中,
所述访问控制列表预置于所述终端设备中;
或所述访问控制列表由激活设备配置。
22.根据权利要求20或21所述的终端设备,其中,
对于不同安全域的访问设备,所述访问控制列表为同一个访问控制列表,且所述不同安全域的访问设备的角色相同;或
对于不同安全域的访问设备,所述访问控制列表为不同的访问控制列表,且所述不同安全域的访问设备的角色不同。
23.根据权利要求20或21所述的终端设备,其中,所述访问控制列表中包括:对应所述访问控制角色的被允许访问的安全资源;
所述权限管理模块,还配置为允许所述访问设备对所述终端设备中的目标安全资源进行配置,所述目标安全资源为对应所述访问设备的角色的被允许访问的安全资源。
24.根据权利要求20或21所述的终端设备,其中,所述访问控制列表还包括:对应所述访问控制角色的操作权限;
所述权限管理模块,还配置为允许所述访问设备对所述终端设备中的安全资源进行目标操作权限对应的配置,所述目标操作权限为对应所述访问设备的角色的操作权限。
25.根据权利要求20所述的终端设备,其中,所述终端设备还包括:
角色认证模块,配置为根据信任根对所述访问设备的角色证书进行认证,以确认所述访问设备的角色。
26.根据权利要求25所述的终端设备,其中,
对于不同安全域的访问设备,所述信任根为同一信任根,或
对于不同安全域的访问设备,所述信任根为不同的信任根。
27.根据权利要求25所述的终端设备,其中,
所述信任根预置于所述终端设备;或
所述信任根由激活设备配置。
28.根据权利要求21或27所述的终端设备,其中,所述激活设备包括:
所述终端设备所在的安全域的激活设备;或
所述终端设备所在的安全域以外的其他安全域的激活设备。
29.根据权利要求20、21、25至27任一项所述的终端设备,其中,所述终端设备还包括:
配置更新模块,配置为:在述终端设备进入不同的安全域中一安全域之前,保留所述安全资源对应的配置信息,或初始化所述安全资源对应的配置信息。
30.根据权利要求29所述的终端设备,其中,所述终端设备保留所述安全资源对应的配置信息的保留条件包括以下至少之一:
接收到指示保留所述配置信息的保留指令;以及
未接收到指示初始化所述配置信息的初始化指令。
31.根据权利要求29所述的终端设备,其中,所述终端设备初始化所述安全资源对应的配置信息的初始化条件包括以下至少之一:
接收到指示初始化所述配置信息的初始化指令;以及
未接收到指示保留所述配置信息的保留指令。
32.根据权利要求20、21、25至27任一项所述的终端设备,其中,所述角色确定模块,还配置为从所述访问设备发送的角色证书中的公开字段确定所述访问设备的角色。
33.一种访问设备,包括:
发送模块,配置为在终端设备在不同安全域中移动的情况下,向所在的安全域的终端设备发送所述访问设备的角色;在所述访问设备的角色包括在所述终端设备的访问控制列表中的至少一个访问控制角色中的情况下,所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置,所述访问控制角色为被允许进行所述安全资源的配置的角色,其中,所述终端设备中包括至少一个访问控制列表,对于不同安全域的访问设备,所述访问控制列表为同一个访问控制列表或所述访问控制列表为不同的访问控制列表。
34.根据权利要求33所述的访问设备,其中,所述发送模块,还配置为向所述终端设备发送角色证书,所述角色证书的公开字段中包括所述访问设备的角色。
35.根据权利要求33或34所述的访问设备,其中,
不同安全域的访问设备的角色相同;或
不同安全域的访问设备的角色不同。
36.一种激活设备,包括:
列表配置模块,配置为向终端设备配置访问控制列表,其中,所述终端设备在不同安全域中移动的情况下,所述访问控制列表用于所述访问控制列表的至少一个访问控制角色中包括访问设备的角色,所述终端设备允许所述访问设备对所述终端设备中的安全资源进行配置,所述访问控制角色为被允许进行所述安全资源的配置的角色,其中,所述终端设备中包括至少一个访问控制列表,对于不同安全域的访问设备,所述访问控制列表为同一个访问控制列表或所述访问控制列表为不同的访问控制列表。
37.根据权利要求36所述的激活设备,其中,所述访问控制列表还包括以下至少之一:
对应所述访问控制角色被允许访问的安全资源和操作权限。
38.根据权利要求36或37所述的激活设备,其中,所述激活设备还包括:
根配置模块,配置为向所述终端设备配置信任根,所述信任根用于所述终端设备对所述访问设备的角色证书进行认证,以确认所述访问设备的角色。
39.一种终端设备,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,
所述处理器用于运行所述计算机程序时,执行权利要求1至13任一项所述的访问控制方法的步骤。
40.一种访问设备,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,
所述处理器用于运行所述计算机程序时,执行权利要求14至16任一项所述的访问控制方法的步骤。
41.一种激活设备,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,
所述处理器用于运行所述计算机程序时,执行权利要求17至19任一项所述的访问控制方法的步骤。
42.一种存储介质,存储有可执行程序,所述可执行程序被处理器执行时,实现权利要求1至13任一项所述的访问控制方法。
43.一种存储介质,存储有可执行程序,所述可执行程序被处理器执行时,实现权利要求14至16任一项所述的访问控制方法。
44.一种存储介质,存储有可执行程序,所述可执行程序被处理器执行时,实现权利要求17至19任一项所述的访问控制方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2019/105474 WO2021046782A1 (zh) | 2019-09-11 | 2019-09-11 | 访问控制方法、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113728600A CN113728600A (zh) | 2021-11-30 |
| CN113728600B true CN113728600B (zh) | 2023-10-24 |
Family
ID=74866867
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980095766.3A Active CN113728600B (zh) | 2019-09-11 | 2019-09-11 | 访问控制方法、设备及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN113728600B (zh) |
| WO (1) | WO2021046782A1 (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005094107A1 (fr) * | 2004-03-26 | 2005-10-06 | Huawei Technologies Co., Ltd. | Procede de mise en oeuvre d'une commande d'acces |
| CN101635701A (zh) * | 2008-07-21 | 2010-01-27 | 山石网科通信技术(北京)有限公司 | 安全访问控制的方法 |
| CN102263679A (zh) * | 2010-05-24 | 2011-11-30 | 杭州华三通信技术有限公司 | 一种处理源角色信息的方法和转发芯片 |
| CN103404093A (zh) * | 2011-02-21 | 2013-11-20 | 日本电气株式会社 | 通信***、数据库、控制装置、通信方法以及程序 |
| CN105224834A (zh) * | 2015-08-21 | 2016-01-06 | 镇江乐游网络科技有限公司 | 移动网络中基于角色的访问控制的***及方法 |
| CN105827663A (zh) * | 2016-06-02 | 2016-08-03 | 中国联合网络通信集团有限公司 | 访问控制方法和*** |
| CN107015996A (zh) * | 2016-01-28 | 2017-08-04 | 阿里巴巴集团控股有限公司 | 一种资源访问方法、装置及*** |
| CN108540427A (zh) * | 2017-03-02 | 2018-09-14 | 株式会社理光 | 冲突检测方法和检测设备、访问控制方法和访问控制装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7530112B2 (en) * | 2003-09-10 | 2009-05-05 | Cisco Technology, Inc. | Method and apparatus for providing network security using role-based access control |
| JP4969585B2 (ja) * | 2006-01-31 | 2012-07-04 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 役割ベースアクセス制御 |
| US9769177B2 (en) * | 2007-06-12 | 2017-09-19 | Syracuse University | Role-based access control to computing resources in an inter-organizational community |
| CN101262474B (zh) * | 2008-04-22 | 2012-02-01 | 武汉理工大学 | 一种基于跨域授权中介实现角色和组映射的跨域访问控制*** |
| CN106899561B (zh) * | 2015-12-24 | 2020-04-07 | 北京奇虎科技有限公司 | 一种基于acl的tnc权限控制方法和*** |
-
2019
- 2019-09-11 WO PCT/CN2019/105474 patent/WO2021046782A1/zh active Application Filing
- 2019-09-11 CN CN201980095766.3A patent/CN113728600B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005094107A1 (fr) * | 2004-03-26 | 2005-10-06 | Huawei Technologies Co., Ltd. | Procede de mise en oeuvre d'une commande d'acces |
| CN101635701A (zh) * | 2008-07-21 | 2010-01-27 | 山石网科通信技术(北京)有限公司 | 安全访问控制的方法 |
| CN102263679A (zh) * | 2010-05-24 | 2011-11-30 | 杭州华三通信技术有限公司 | 一种处理源角色信息的方法和转发芯片 |
| CN103404093A (zh) * | 2011-02-21 | 2013-11-20 | 日本电气株式会社 | 通信***、数据库、控制装置、通信方法以及程序 |
| CN105224834A (zh) * | 2015-08-21 | 2016-01-06 | 镇江乐游网络科技有限公司 | 移动网络中基于角色的访问控制的***及方法 |
| CN107015996A (zh) * | 2016-01-28 | 2017-08-04 | 阿里巴巴集团控股有限公司 | 一种资源访问方法、装置及*** |
| CN105827663A (zh) * | 2016-06-02 | 2016-08-03 | 中国联合网络通信集团有限公司 | 访问控制方法和*** |
| CN108540427A (zh) * | 2017-03-02 | 2018-09-14 | 株式会社理光 | 冲突检测方法和检测设备、访问控制方法和访问控制装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113728600A (zh) | 2021-11-30 |
| WO2021046782A1 (zh) | 2021-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8874769B2 (en) | Facilitating group access control to data objects in peer-to-peer overlay networks | |
| US20090288138A1 (en) | Methods, systems, and apparatus for peer-to peer authentication | |
| US8775817B2 (en) | Application-configurable distributed hash table framework | |
| CN111742531B (zh) | 简档信息共享 | |
| WO2017120746A1 (zh) | 一种网络访问权限管理方法及相关设备 | |
| Hwang et al. | Dynamic access control scheme for iot devices using blockchain | |
| CN113169970B (zh) | 一种访问控制方法、装置及存储介质 | |
| CN109344628B (zh) | 区块链网络中可信节点的管理方法,节点及存储介质 | |
| CN110602150B (zh) | 一种sdn节点间可信认证方法 | |
| CN101341691A (zh) | 授权与验证 | |
| CN114189380B (zh) | 一种基于零信任的物联网设备分布式认证***及授权方法 | |
| US9703987B2 (en) | Identity based connected services | |
| WO2023115913A1 (zh) | 认证方法、***、电子设备和计算机可读存储介质 | |
| CN114363165A (zh) | 一种电子设备的配置方法、电子设备和服务器 | |
| EP2741465B1 (en) | Method and device for managing secure communications in dynamic network environments | |
| CN113728600B (zh) | 访问控制方法、设备及存储介质 | |
| JP5190922B2 (ja) | コミュニティ通信ネットワークおよび通信制御方法 | |
| TW202308363A (zh) | 用於板載處理之使用者裝備與通訊網路間之認證技術 | |
| CN113678127B (zh) | 访问控制方法、服务器、访问设备及存储介质 | |
| Javed et al. | Global identity and reachability framework for interoperable p2p communication services | |
| Pandey et al. | AutoAdd: automated bootstrapping of an IoT device on a network | |
| Niedermayer et al. | On using home networks and cloud computing for a future internet of things | |
| CN113661690B (zh) | 一种配置客户端的方法及装置、终端设备 | |
| Heiler et al. | Peer-to-Peer Matrix | |
| WO2021035587A1 (zh) | 一种配置客户端的方法及装置、终端设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |