[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN105095777A - 一种云环境下的多模式访问控制策略制定和执行方法 - Google Patents

一种云环境下的多模式访问控制策略制定和执行方法 Download PDF

Info

Publication number
CN105095777A
CN105095777A CN201510462753.9A CN201510462753A CN105095777A CN 105095777 A CN105095777 A CN 105095777A CN 201510462753 A CN201510462753 A CN 201510462753A CN 105095777 A CN105095777 A CN 105095777A
Authority
CN
China
Prior art keywords
access control
user
access
attribute
attr
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510462753.9A
Other languages
English (en)
Other versions
CN105095777B (zh
Inventor
李春花
周可
吴泽邦
魏荣磊
雷成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huazhong University of Science and Technology
Original Assignee
Huazhong University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huazhong University of Science and Technology filed Critical Huazhong University of Science and Technology
Priority to CN201510462753.9A priority Critical patent/CN105095777B/zh
Publication of CN105095777A publication Critical patent/CN105095777A/zh
Application granted granted Critical
Publication of CN105095777B publication Critical patent/CN105095777B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种云环境下的多模式安全访问控制方法,针对云环境下不同域内数据访问特点,选择最优的访问控制方法。通过定义一种访问策略描述语言,统一约束访问策略的制定和使用规则,使得IBAC、ABAC和DABAC协同工作,实现云环境下的数据安全保障。在个人域内使用IBAC实现细粒度的访问控制,在群组域内使用ABAC实现高效可扩展的访问控制,并在现有属性访问控制基础上,引入动态属性的概念,采用多叉树结构表达访问策略,设计能够支持动态授权的动态属性访问控制策略,以满足公共域访问控制的自适应需求。

Description

一种云环境下的多模式访问控制策略制定和执行方法
技术领域
本发明属于计算机存储技术领域,主要涉及一种云环境下的多模式访问控制策略制定和执行方法。
背景技术
与传统的存储环境相比,云存储环境具有多态性、复杂性和动态性等特点。多态性主要表现在用户群体分散广、背景层次差别大、相互之间黏度低及其需求多元化和多样性等方面;复杂性主要表现在用户在不同的场景下具有不同的特征信息,且用户的特征信息往往是不可预测的,因此在不同的场景下用户的权限也应不尽相同;动态性则主要表现在用户的特征信息通常是有时效性的,在不同的时间段内可能会出现完全不同的特征信息,此外为适应云环境的复杂多变性,数据的访问策略也应不定期的进行更新。因此,日趋多样性和多元化的云服务必将给云中数据安全带来新的挑战。
面对云环境下海量用户的情形,无论从用户权限设定的简洁性还是从制定访问控制列表或访问矩阵的复杂度而言,基于身份的访问控制都将无法适应;广泛应用于传统领域的基于角色访问控制,角色的制定困难、适应性和扩展性差等问题,使其无法适应云环境开放的特点;目前针对云环境下访问控制,学术界公认基于属性的访问控制将是最佳的解决方案之一,而传统的基于属性的访问控制虽然可以很好的实现云环境下高效、可扩展的访问控制需求,但无法适用于用户权限频繁变更或属性值变动频繁的情况。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种云环境下的多模式访问控制策略制定和执行方法,其目的在于,通过三种不同访问控制方法的协同工作,实现云环境下数据的安全访问控制机制,从而解决现有方法中存在的无法适用于用户权限频繁变更或属性值变动频繁的技术问题。
为实现上述目的,按照本发明的一个方面,提供了一种云环境下的多模式访问控制策略制定方法,包括以下步骤:
(1)客户端根据待上传的数据对象选择需要制定的访问控制策略类型,如果是IBAC,则进入步骤(2),如果是ABAC,则进入步骤(3),如果是DABAC,则进入步骤(5);
(2)客户端将可以访问该数据对象的用户纳入白名单,将不能访问该数据对象的用户纳入黑名单,然后转步骤(7);
(3)客户端建立多个静态属性二元组Sstaticattr={attrname:attrvalue},其中attrname表示属性名称,attrvalue表示属性值;
(4)客户端将建立的多个静态属性二元组进行逻辑组合,以生成访问控制策略,然后转步骤(7)。
(5)客户端建立多个动态属性二元组Sdynamicattr={attrname:(attrvalue1,attrvalue2...),attrweight},其中attrname表示属性名称,attrvalue表示属性值,attrweight表示属性权重;
(6)客户端将建立的多个动态属性二元组进行组合,以生成访问控制策略;
(7)将策略封装为xml格式文本,过程结束。
优选地,步骤(6)中动态属性二元组的组合包括逻辑组合、以及动态属性二元组集合。
按照本发明的另一方面,提供了一种云环境下的多模式访问控制策略执行方法,包括以下步骤:
(1)接收来自用户的访问请求,并查找与该访问请求的对象所对应的访问控制策略,如果是IBAC,则转入步骤(2),如果是ABAC,则转入步骤(4),如果是DABAC,则转入步骤(5);
(2)判断用户是否存在于该访问控制策略的黑名单中,如果是则表示该用户没有访问权限,过程结束,否则转入步骤(3);
(3)判断用户是否存在于该访问控制策略的白名单中,如果是则转入步骤(7),否则过程结束;
(4)获取ABAC访问控制策略,并根据二叉树生成算法将该策略转化为访问控制二叉树,由此二叉树判断用户的访问权限,若合法则转步骤(7),否则过程结束;
(5)获取DABAC访问控制策略,并根据多叉树生成算法将该策略转化为多叉树,并根据该多叉树判断用户的访问权限,若合法则转步骤(6),否则不执行跳转;
(6)向用户返回TAG标签,用于对用户的动态属性值进行反馈修正(该步骤可选,并非所有动态属性都需要反馈机制);
(7)对用户访问请求进行响应,过程结束。
优选地,根据二叉树判断用户的访问权限包括:
4-1)由二叉树生成算法获取访问控制二叉树的根节点;
4-2)判断根节点是否有左右子树,若没有左右子树,则跳转至步骤4-7),否则不跳转;
4-3)获取根节点的逻辑词,按照AND、OR、NOT分别采取不同的处理方法,并获取其左右子树,其中若其左子树是叶子节点,则跳转至步骤4-7),否则不跳转,若其右子树是叶子节点,则跳转至步骤4-7),否则跳转至步骤4-5)。
4-4)以左子树的根节点作为新的根节点,然后返回步骤4-2);
4-5)以右子树的根节点作为新的根节点,然后返回步骤4-2);
4-6)返回到整个访问控制二叉树的根节点,并判断是否有匹配成功信息,如果有则跳转至步骤4-8),否则表示匹配失败,过程结束;
4-7)对叶子节点进行处理,处理规则如下:若叶子节点所拥有的静态属性在用户属性集内,且用户属性值满足叶子节点的表达式要求,则表示该节点匹配成功,返回匹配成功信息,否则返回匹配失败信息;
4-8)用户属性满足该访问控制要求,权限判断过程结束。
优选地,步骤(5)中在进行权限判断时,遇到in关键词应该按照如下规则对in关键词进行处理:
1)将in表达式分解为:权重表达式+子限制条件
2)当遇到根节点不是逻辑连接词,而是权重表达式时,遍历所有子限制条件项,判断用户动态属性集是否满足子限制条件规则要求,并计算权重值;
3)比较计算的权重值是否满足权重表达式,若满足则表示该节点匹配成功,否则匹配失败。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
(1)本发明适用于用户权限频繁变更或属性值变动频繁的情况:策略制定部分,由于采用了步骤(2)、步骤(3)和步骤(5),使用户可以根据自己的需要选择相应的访问控制方案,可以实现细粒度以用户为单位的身份访问控制、在大用户基数下实现快速便捷的属性访问控制和实现自适应的动态属性访问控制,并且满足了云环境下的多样化需求。
(2)本发明简化了不同场景下访问策略的制定和权限判断:本发明中的访问策略描述语言采用标签式策略描述,在策略制定部分,由于采用了步骤(4)和步骤(6),使得ABAC中逻辑表达的访问策略更加清晰和便于解析,结合对应的权限判断算法,相较于传统的XACML而言,简化了访问策略的制定和权限判断的复杂度;
(3)本发明在现有属性访问控制基础上,引入动态属性的概念,通过用户的访问行为动态修正用户的属性集合,相较于传统的静态属性访问控制而言,一方面扩充了属性的应用范畴,将不可量化和瞬时动态的属性纳入访问策略的条件判断之中,增强了访问策略的自适应性和扩展性;另一方面在策略执行部分,由于步骤(6)通过动态修正用户的属性集合,可以为用户提供个性化的服务需求。
附图说明
图1是本发明涉及的多模式安全访问控制模型;
图2是本发明涉及的访问策略制定流程图;
图3是本发明涉及的权限判断流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
以下首先对本发明的相关技术术语进行解释和说明:
域(Area):又称空间。域是指系统中存储数据区域的逻辑划分。域可分为个人域(SecretArea,简称SA)、群组域(GroupArea,简称GA)和公共域(publicArea,简称PA)。
个人域(SA):又指用户私人空间,用于存放用户个人数据的存储区域,通常一个用户(User)对应一个SA;
群组域(GA):又指组空间,用于存放组内数据共享的存储区域。通常一个组(Group)对应一个GA;
公共域(PA):又指公共空间,用于存放面向所有用户数据共享的存储区域。
属性(Attribute,简称attr):属性是用户的特征描述,一般是由属性名和属性值构成的二元组来描述。属性又分为静态属性和动态属性。
静态属性(StaticAttr):静态属性是指在一定时间范围内属性值相对固定或较少变动的一类属性。如,性别一般是固定不变的、职业是相对稳定的,较少变动的如住址,这些都可以划分为静态属性的范畴。静态属性元组由[静态属性名:静态属性值]构成,描述如下:
Sstaticattr={attrname:attrvalue}
动态属性(DynamicAttr):动态属性是指在一定时间范围内属性值变动频繁或为非量化的一类属性。如,技能熟练度等非量化属性、变动频繁的活跃度、用户的地理位置信息等,这些可以划分为动态属性。动态属性较之于静态属性也有一个很大的不同,就是用户一开始可能不具有某个系统所规定的属性,或者其属性值不满足系统要求,但根据用户一系列的操作行为,进行分析后赋予用户该属性,或者对该用户的属性值进行反馈修正,使其属性值满足要求,这种“从无到有”、“从不满足到满足”的过程很好地体现了动态属性的“动态”性。例如对于用户喜好这一属性,经过用户的一些行为分析得出用户很喜欢跳舞,则可以由系统动态赋予一个爱好为跳舞的属性给用户,而在一开始用户是不具有该属性的。动态属性元组由[动态属性名:动态属性值,动态属性所占权重]构成,描述如下:
Sdynamicattr={attrname:(attrvalue1,attrvalue2...),attrweight}
访问策略(Policy):访问策略是指访问域的安全要求,是访问控制的权限判断所依据的规则。
本发明主要基于可扩展的访问控制标识语言(eXtensibleAccessControlMarkupLanguage,简称XACML),设计了一种适用于多模式访问控制模型的统一访问控制策略描述语言(UniverseAccessControlMarkupLanguage,UACML),以实现IBAC、ABAC和DABAC三种访问策略的统一描述。表1给出了一个具体的访问策略示例:
表1访问策略描述示例
其中:
method标签:用于定义采用的访问策略,其值为IBAC、ABAC、DABAC;
whitelist标签:表示白名单,在白名单的用户可以直接访问数据,即便其不满足访问策略规则;
blacklist标签:表示黑名单,黑名单中的用户无权访问数据;
policy标签:具体的访问策略逻辑表达式。在DABAC中,policy中的item值通常为动态属性,进行逻辑表达式匹配时将不仅仅是简单的是或否进行决定。
rule标签:访问策略的逻辑子单元,其中item条目通常为属性应满足的条件表达式。
特别的,在DABAC中引入了动态属性权重因子weight,并且该weight是可选的,也就是说,并非所有场合都需要设置权重因子,有些场合只需要单纯的属性组合就可以了。之所以引入权重因子,是考虑类比RBAC中角色之间的层次关系,说明不同属性对应的权限重要程度并不相同,应用到动态属性中,说明某些属性的重要程度要高于其他属性,用户只要具备了关键属性即可,如果没有具备关键属性,则需要拥有更多的其他属性才能满足访问要求。举例说明如下:
一个公司要招聘一个程序员,该公司大部分项目都是用Java编写的,于是该公司比较注重Java编程基础,所以招聘程序员时比较看重Java的编程能力,但公司仍然为非Java程序员提供了应聘机会,要求非Java程序员至少需要掌握两门面向对象编程语言。
于是,该公司指定的招聘要求可以形式化描述如下:
S={[Java,weight1=2],[C++,weight2=1],[C#,weight3=1],[Eiffel,weight4=1],……},
Policy=(WEIGHT>=2inS)
其中,S为规定的属性集合,并定义了权重值,Java语言权重最高,为2,其他面向对象语言权重为1,Policy为公司制定的招聘要求,各个语言所对应的weight可以相加求和。对于S中所规定的属性,应聘者属性weight之和WEIGHT至少不小于2,即可以只会Java语言,也可以会任意两门非Java语言,这都是满足招聘要求的。
以下结合附图对本发明进一步说明:
本发明的基本思路在于,将云环境划分为三个逻辑区域,并根据不同域内数据的特点,采用不同的访问控制方法,如图1所示。其中在面向个人用户的个人域中,采用传统的基于身份的访问控制策略(IdentitybasedAccessControl,简称IBAC);面向群体用户的群组域中,采用基于属性的访问控制策略(AttributebasedAccessControl,简称ABAC);面向用户不确定的公共域中,则采用基于动态属性的访问控制策略(DynamicAttributebasedAccessControl,简称DABAC)。从图1中也可以看出,该过程主要包括访问策略制定和权限判断两个部分。
如图2所示,在本发明中,云环境下的多模式访问控制策略制定方法包括以下步骤:
(1)客户端根据待上传的数据对象选择需要制定的访问控制策略类型,如果是IBAC,则进入步骤(2),如果是ABAC,则进入步骤(3),如果是DABAC,则进入步骤(5);
(2)客户端将可以访问该数据对象的用户纳入白名单(Whitelist),将不能访问该数据对象的用户纳入黑名单(Blacklist),然后转步骤(7);
(3)客户端建立多个静态属性二元组Sstaticattr={attrname:attrvalue},其中attrname表示属性名称,attrvalue表示属性值;如表1所示,其中attrname是“job”、“skill”等,attrvalue是“clientdeveloper”、“junior”等;
(4)客户端将建立的多个静态属性二元组进行逻辑组合,以生成访问控制策略Policy,然后转步骤(7)。例如如果建立的属性二元组如下:
item1:{attr:proglanguage,value:java,weight:2}
item2:{attr:proglanguage,value:max3d,weight:1}
item3:{attr:job,value:developer,weight:1}
item4:{attr:skill,value:junior,weight:1}
item5:{attr:workyears,value:>3,weight:2}
item6:{attr:os,value:linux,weight:1}
假设经过逻辑组合后的访问控制策略是:
Policy=((developerandjava)or(designerandmax3d))andwork_year>2
其表示客户端所制定的策略要求是要么是java工程师,要么是max3d设计人员,并且要求工作年龄大于两年。
(5)与ABAC类似,DABAC中客户端仍然需要先建立多个动态属性二元组Sdynamicattr={attrname:(attrvalue1,attrvalue2...),attrweight},其中attrname表示属性名称,attrvalue表示属性值,attrweight表示属性权重。如表1所示,属性“job”所对应的属性权重为1,属性“work_year”所对应的属性权重为2;
(6)客户端将建立的多个动态属性二元组进行组合,以生成访问控制策略Policy,与ABAC所不同的是,DABAC中动态属性二元组的组合不仅仅是and、or、not等逻辑组合,还有可能是权重值weight的要求,及由此引入的in关键字,通过in关键字之后的动态属性二元组集合,来计算用户属性所具有的权重值。
例如如果建立的动态属性二元组如下:
item1:{attr:proglanguage,value:java,weight:2}
item2:{attr:proglanguage,value:max3d,weight:1}
item3:{attr:job,value:developer,weight:1}
item4:{attr:skill,value:junior,weight:1}
item5:{attr:workyears,value:>3,weight:2}
item6:{attr:os,value:linux,weight:1}
假设经过组合后的访问策略为:
Policy=weight>=2in(item2,item3,item5)
其表示客户端所制定的策略要求是要么工作年龄大于3年,要么至少具有max3d、developer、work_year>3中三种属性的任意两种。
(7)将策略封装为表1所示的xml格式文本,策略制定结束。
如图3所示,在本发明中,云环境下的多模式访问控制策略执行方法包括以下步骤:
(1)接收来自用户的访问请求,并查找与该访问请求的对象所对应的访问控制策略,如果是IBAC,则转入步骤(2),如果是ABAC,则转入步骤(4),如果是DABAC,则转入步骤(5);
(2)判断用户是否存在于该访问控制策略的黑名单中,如果是则表示该用户没有访问权限,过程结束,否则转入步骤(3);
(3)判断用户是否存在于该访问控制策略的白名单中,如果是则转入步骤(7),否则过程结束;
(4)获取ABAC访问控制策略,并根据二叉树生成算法将该策略转化为访问控制二叉树,由此二叉树判断用户的访问权限,若合法则转步骤(7),否则过程结束;
具体而言,在基于属性的访问控制中,一般采用二叉树结构,叶子节点代表各个独立的属性,中间节点代表逻辑连接词:与(and)、或(or)、非(not),对于中间节点的处理如下:
1)AND节点:仅当其左右孩子节点同时匹配成功时,该节点的匹配才是成功,返回匹配成功信息,否则返回匹配失败信息;
2)OR节点:当其左右孩子节点中任一个匹配成功,即至少有一个孩子节点返回匹配成功时,该节点的匹配才是成功,返回匹配成功信息,否则返回匹配失败信息;
3)NOT节点:当其孩子节点匹配失败,即孩子节点返回匹配失败时,该节点的匹配才是成功,返回匹配成功信息,否则返回匹配失败信息;
根据二叉树判断用户的访问权限包括:
4-1)由二叉树生成算法获取访问控制二叉树的根节点;
4-2)判断根节点是否有左右子树,若没有左右子树,则跳转至步骤4-7),否则不跳转;
4-3)获取根节点的逻辑词,按照AND、OR、NOT分别采取不同的处理方法,并获取其左右子树,其中若其左子树是叶子节点,则跳转至步骤4-7),否则不跳转,若其右子树是叶子节点,则跳转至步骤4-7),否则跳转至步骤4-5);
4-4)以左子树的根节点作为新的根节点,然后返回步骤4-2);
4-5)以右子树的根节点作为新的根节点,然后返回步骤4-2);
4-6)返回到整个访问控制二叉树的根节点,并判断是否有匹配成功信息,如果有则跳转至步骤4-8),否则表示匹配失败,过程结束;
4-7)对叶子节点进行处理,处理规则如下:若叶子节点所拥有的静态属性在用户属性集内,且用户属性值满足叶子节点的表达式要求,则表示该节点匹配成功,返回匹配成功信息,否则返回匹配失败信息;
4-8)用户属性满足该访问控制要求,权限判断过程结束。
(5)获取DABAC访问控制策略,并根据多叉树生成算法将该策略转化为多叉树,并根据该多叉树判断用户的访问权限,若合法则转步骤(6),否则不执行跳转;
多叉树生成算法同二叉树生成算法的区别在于,由于在访问控制策略制定过程中,可能存在对属性权重值之和weight的要求而引入了in关键词,因此在进行权限判断的时候,遇到in关键词应该按照如下规则对in关键词进行处理,处理规则如下:
1)将in表达式分解为:权重表达式(weight)+子限制条件(Policy中item标签项),因此在创建访问控制多叉树的时候,该表达式的根节点为权重表达式,子节点为各子限制条件;
如: ( ra t e > = 2 i n { i t e m 1 , i t e m 2. , i t e m 3 } ) ⇒ r a t e > = 2 + ( i t e m 1 , i t e m 2 , i t e m 3 )
2)与步骤4-3有所不同的是,当遇到根节点不是逻辑连接词AND、OR、NOT,而是权重表达式的时候,应进行如下处理:遍历所有子限制条件项,判断用户动态属性集是否满足子限制条件规则要求,并计算权重值weight;
3)比较计算的weight值是否满足权重表达式,若满足则表示该节点匹配成功,否则匹配失败;
(6)向用户返回TAG标签,用于对用户的动态属性值进行反馈修正(该步骤可选,并非所有动态属性都需要反馈机制);
(7)对用户访问请求进行响应,过程结束。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种云环境下的多模式访问控制策略制定方法,其特征在于,包括以下步骤:
(1)客户端根据待上传的数据对象选择需要制定的访问控制策略类型,如果是IBAC,则进入步骤(2),如果是ABAC,则进入步骤(3),如果是DABAC,则进入步骤(5);
(2)客户端将可以访问该数据对象的用户纳入白名单,将不能访问该数据对象的用户纳入黑名单,然后转步骤(7);
(3)客户端建立多个静态属性二元组Sstaticattr={attrname:attrvalue},其中attrname表示属性名称,attrvalue表示属性值;
(4)客户端将建立的多个静态属性二元组进行逻辑组合,以生成访问控制策略,然后转步骤(7)。
(5)客户端建立多个动态属性二元组Sdynamicattr={attrname:(attrvalue1,attrvalue2...),attrweight},其中attrname表示属性名称,attrvalue表示属性值,attrweight表示属性权重;
(6)客户端将建立的多个动态属性二元组进行组合,以生成访问控制策略;
(7)将策略封装为xml格式文本,过程结束。
2.根据权利要求1所述的多模式访问控制策略制定方法,其特征在于,步骤(6)中动态属性二元组的组合包括逻辑组合、以及动态属性二元组集合。
3.一种云环境下的多模式访问控制策略执行方法,其特征在于,包括以下步骤:
(1)接收来自用户的访问请求,并查找与该访问请求的对象所对应的访问控制策略,如果是IBAC,则转入步骤(2),如果是ABAC,则转入步骤(4),如果是DABAC,则转入步骤(5);
(2)判断用户是否存在于该访问控制策略的黑名单中,如果是则表示该用户没有访问权限,过程结束,否则转入步骤(3);
(3)判断用户是否存在于该访问控制策略的白名单中,如果是则转入步骤(7),否则过程结束;
(4)获取ABAC访问控制策略,并根据二叉树生成算法将该策略转化为访问控制二叉树,由此二叉树判断用户的访问权限,若合法则转步骤(7),否则过程结束;
(5)获取DABAC访问控制策略,并根据多叉树生成算法将该策略转化为多叉树,并根据该多叉树判断用户的访问权限,若合法则转步骤(6),否则不执行跳转;
(6)向用户返回TAG标签,用于对用户的动态属性值进行反馈修正(该步骤可选,并非所有动态属性都需要反馈机制);
(7)对用户访问请求进行响应,过程结束。
4.根据权利要求3所述的多模式访问控制策略执行方法,其特征在于,根据二叉树判断用户的访问权限包括:
4-1)由二叉树生成算法获取访问控制二叉树的根节点;
4-2)判断根节点是否有左右子树,若没有左右子树,则跳转至步骤4-7),否则不跳转;
4-3)获取根节点的逻辑词,按照AND、OR、NOT分别采取不同的处理方法,并获取其左右子树,其中若其左子树是叶子节点,则跳转至步骤4-7),否则不跳转,若其右子树是叶子节点,则跳转至步骤4-7),否则跳转至步骤4-5)。
4-4)以左子树的根节点作为新的根节点,然后返回步骤4-2);
4-5)以右子树的根节点作为新的根节点,然后返回步骤4-2);
4-6)返回到整个访问控制二叉树的根节点,并判断是否有匹配成功信息,如果有则跳转至步骤4-8),否则表示匹配失败,过程结束;
4-7)对叶子节点进行处理,处理规则如下:若叶子节点所拥有的静态属性在用户属性集内,且用户属性值满足叶子节点的表达式要求,则表示该节点匹配成功,返回匹配成功信息,否则返回匹配失败信息;
4-8)用户属性满足该访问控制要求,权限判断过程结束。
5.根据权利要求3所述的多模式访问控制策略执行方法,其特征在于,步骤(5)中在进行权限判断时,遇到in关键词应该按照如下规则对in关键词进行处理:
1)将in表达式分解为:权重表达式+子限制条件
2)当遇到根节点不是逻辑连接词,而是权重表达式时,遍历所有子限制条件项,判断用户动态属性集是否满足子限制条件规则要求,并计算权重值;
3)比较计算的权重值是否满足权重表达式,若满足则表示该节点匹配成功,否则匹配失败。
CN201510462753.9A 2015-07-31 2015-07-31 一种云环境下的多模式访问控制策略制定和执行方法 Active CN105095777B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510462753.9A CN105095777B (zh) 2015-07-31 2015-07-31 一种云环境下的多模式访问控制策略制定和执行方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510462753.9A CN105095777B (zh) 2015-07-31 2015-07-31 一种云环境下的多模式访问控制策略制定和执行方法

Publications (2)

Publication Number Publication Date
CN105095777A true CN105095777A (zh) 2015-11-25
CN105095777B CN105095777B (zh) 2018-01-09

Family

ID=54576180

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510462753.9A Active CN105095777B (zh) 2015-07-31 2015-07-31 一种云环境下的多模式访问控制策略制定和执行方法

Country Status (1)

Country Link
CN (1) CN105095777B (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107133522A (zh) * 2016-02-29 2017-09-05 阿里巴巴集团控股有限公司 一种权限确定方法及装置
CN107506655A (zh) * 2017-08-08 2017-12-22 北京盛华安信息技术有限公司 数据权限分配与访问控制的方法
CN109063508A (zh) * 2018-07-24 2018-12-21 中国人民解放军陆军工程大学 一种动态多维空间访问控制方法
CN109902497A (zh) * 2019-02-26 2019-06-18 南威软件股份有限公司 一种面向大数据集群的访问权限管理方法及系统
CN109960186A (zh) * 2017-12-25 2019-07-02 北京创昱科技有限公司 控制流程的处理方法、装置、电子设备和存储介质
CN110688291A (zh) * 2019-10-08 2020-01-14 腾讯科技(深圳)有限公司 一种数据处理的方法以及相关装置
CN111177744A (zh) * 2019-12-07 2020-05-19 杭州电子科技大学 一种基于二叉树的访问控制策略存储和匹配方法
CN111669349A (zh) * 2019-03-05 2020-09-15 中国环境监测总站 一种基于控制驱动管理的数据访问安全控制方法及装置
CN114254363A (zh) * 2021-12-24 2022-03-29 暨南大学 可自定义的多态访问控制模型及其工作方法
US20220156393A1 (en) * 2020-11-19 2022-05-19 Tetrate.io Repeatable NGAC Policy Class Structure
US20230122504A1 (en) * 2021-10-20 2023-04-20 Dell Products L.P. Common Access Management Across Role-Based Access Control and Attribute-Based Access Control
CN116450729A (zh) * 2023-04-20 2023-07-18 中国人民解放军战略支援部队信息工程大学 面向异构访问控制系统的abac策略挖掘方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242277A (zh) * 2008-03-11 2008-08-13 南京邮电大学 网格环境下的基于信任度的授权委托方法
CN101771683A (zh) * 2009-01-07 2010-07-07 北京航空航天大学 访问控制策略生成方法及装置
CN101997876A (zh) * 2010-11-05 2011-03-30 重庆大学 基于属性的访问控制模型及其跨域访问方法
CN104217146A (zh) * 2014-09-04 2014-12-17 浪潮通用软件有限公司 一种基于abac和rbac的权限控制方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242277A (zh) * 2008-03-11 2008-08-13 南京邮电大学 网格环境下的基于信任度的授权委托方法
CN101771683A (zh) * 2009-01-07 2010-07-07 北京航空航天大学 访问控制策略生成方法及装置
CN101997876A (zh) * 2010-11-05 2011-03-30 重庆大学 基于属性的访问控制模型及其跨域访问方法
CN104217146A (zh) * 2014-09-04 2014-12-17 浪潮通用软件有限公司 一种基于abac和rbac的权限控制方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
宋锴: "公安综合信息系统访问控制的研究与应用", 《中国优秀硕士学位论文全文数据库》 *

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107133522A (zh) * 2016-02-29 2017-09-05 阿里巴巴集团控股有限公司 一种权限确定方法及装置
CN107506655A (zh) * 2017-08-08 2017-12-22 北京盛华安信息技术有限公司 数据权限分配与访问控制的方法
CN109960186A (zh) * 2017-12-25 2019-07-02 北京创昱科技有限公司 控制流程的处理方法、装置、电子设备和存储介质
CN109063508A (zh) * 2018-07-24 2018-12-21 中国人民解放军陆军工程大学 一种动态多维空间访问控制方法
CN109902497A (zh) * 2019-02-26 2019-06-18 南威软件股份有限公司 一种面向大数据集群的访问权限管理方法及系统
CN111669349B (zh) * 2019-03-05 2022-08-05 中国环境监测总站 一种基于控制驱动管理的数据访问安全控制方法及装置
CN111669349A (zh) * 2019-03-05 2020-09-15 中国环境监测总站 一种基于控制驱动管理的数据访问安全控制方法及装置
CN110688291A (zh) * 2019-10-08 2020-01-14 腾讯科技(深圳)有限公司 一种数据处理的方法以及相关装置
CN111177744B (zh) * 2019-12-07 2022-02-11 杭州电子科技大学 一种基于二叉树的访问控制策略存储和匹配方法
CN111177744A (zh) * 2019-12-07 2020-05-19 杭州电子科技大学 一种基于二叉树的访问控制策略存储和匹配方法
US20220156393A1 (en) * 2020-11-19 2022-05-19 Tetrate.io Repeatable NGAC Policy Class Structure
US20230122504A1 (en) * 2021-10-20 2023-04-20 Dell Products L.P. Common Access Management Across Role-Based Access Control and Attribute-Based Access Control
US12132736B2 (en) * 2021-10-20 2024-10-29 Dell Products L.P. Common access management across role-based access control and attribute-based access control
CN114254363A (zh) * 2021-12-24 2022-03-29 暨南大学 可自定义的多态访问控制模型及其工作方法
CN114254363B (zh) * 2021-12-24 2024-08-02 暨南大学 可自定义的多态访问控制模型及其工作方法
CN116450729A (zh) * 2023-04-20 2023-07-18 中国人民解放军战略支援部队信息工程大学 面向异构访问控制系统的abac策略挖掘方法及系统
CN116450729B (zh) * 2023-04-20 2024-12-03 中国人民解放军网络空间部队信息工程大学 面向异构访问控制系统的abac策略挖掘方法及系统

Also Published As

Publication number Publication date
CN105095777B (zh) 2018-01-09

Similar Documents

Publication Publication Date Title
CN105095777B (zh) 一种云环境下的多模式访问控制策略制定和执行方法
Qi et al. A correlation graph based approach for personalized and compatible web apis recommendation in mobile app development
Crampton et al. Path conditions and principal matching: a new approach to access control
US8296820B2 (en) Applying security policies to multiple systems and controlling policy propagation
CN103020498B (zh) 一种智能化动态权限控制方法和系统
Ferrini et al. Supporting rbac with xacml+ owl
Zhang et al. Synthesising verified access control systems in XACML
US20220188448A1 (en) System and method for implementing mandatory access control on queries of a self-describing data system
Jeusfeld et al. DeepTelos: Multi-level modeling with most general instances
US9275151B2 (en) System and method for generating a user profile
Jindou et al. Access control method for web of things based on role and sns
US11968214B2 (en) Efficient retrieval and rendering of access-controlled computer resources
CN105245554A (zh) 一种云环境下的动态属性访问控制方法
Takabi et al. Semantic-based policy management for cloud computing environments
Villata et al. An access control model for linked data
Blanco et al. Security policies by design in NoSQL document databases
Cheng et al. Extended ReBAC administrative models with cascading revocation and provenance support
JPWO2021119010A5 (zh)
WO2014107390A2 (en) Managing authorization of actions associated with data objects
US20100299288A1 (en) Rule-based vocabulary assignment of terms to concepts
Sheng et al. Application of ontology in e-government
Singh et al. Evaluation of approaches for designing secure data warehouse
US20120216240A1 (en) Providing data security through declarative modeling of queries
Matsumoto et al. PR-OWL Decision: Toward Reusable Ontology Language for Decision Making under Uncertainty.
Xueyuan et al. Design and implementation of an apriori-based recommendation system for college libraries

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant