[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN108390874A - 网络结构中基于证书的访问控制模型及访问方法 - Google Patents

网络结构中基于证书的访问控制模型及访问方法 Download PDF

Info

Publication number
CN108390874A
CN108390874A CN201810145458.4A CN201810145458A CN108390874A CN 108390874 A CN108390874 A CN 108390874A CN 201810145458 A CN201810145458 A CN 201810145458A CN 108390874 A CN108390874 A CN 108390874A
Authority
CN
China
Prior art keywords
certificate
node
starting point
access
authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810145458.4A
Other languages
English (en)
Other versions
CN108390874B (zh
Inventor
何泾沙
黄辉祥
侯立夫
廖志钢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Yongbo Technology Co ltd
Shaanxi Fenghuo Yunji Information Technology Co.,Ltd.
Original Assignee
Beijing University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Technology filed Critical Beijing University of Technology
Priority to CN201810145458.4A priority Critical patent/CN108390874B/zh
Publication of CN108390874A publication Critical patent/CN108390874A/zh
Application granted granted Critical
Publication of CN108390874B publication Critical patent/CN108390874B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了网络结构中基于证书的访问控制模型及访问方法,包括:起点、终点和节点网络;起点为访问请求的发起节点,终点为被访问节点,节点网络为多个节点通过待授权列表相连接形成的网络状的拓扑结构;起点向终点发起访问请求,终点生成待授权证书并发送至起点;证书进入节点网络进行授权流程,起点使用授权的证书访问终点;本发明将主客体都视为节点并形成节点网络,通过证书传递、间接访问规则等授权模式并使它们根据规定的逻辑表达式共同作用于访问控制的决策;使节点们能更自主、动态地管理权限而不依赖或是影响整个系统;同时,授权决策采用节点网络的拓扑结构,使模型在面对复杂信息传播时也能充分考虑到每一个节点的隐私。

Description

网络结构中基于证书的访问控制模型及访问方法
技术领域
本发明涉及信息安全技术领域,尤其涉及网络结构中基于证书的访问控制模型及访问方法。
背景技术
经典的访问控制模型是由主体,客体以及许可三元组来表示访问参与者之间的行为关系。访问控制领域有三种经典的访问控制模型:自主访问控制模型(DAC,Discretionary Access Control)、强制访问控制模型(MAC,Mandatory Access Control)以及普及率较高的基于角色的访问控制(RBAC,Role-Based Access Control)。它们有着各自的适用场景和优缺点。在过去的安全体系中,这种三元组的表现形式确实能很好地表达访问授权的情景。但由于互联网在更多类型设备上的普及以及物联网的发展,网络关系逐渐向着离散化、个体化发展,比如时下各类社交软件以及在其基础上衍生的各类互联网产品,主体和客体不再有明显界限,而更像是以一种网络化的结构呈现。同时网络信息的分布式、P2P的传播模式日益增多,需要一种具有良好适应性、兼容性及可扩展性的新型访问控制模型。
国内外的一些学者也已经在社交网络中的访问控制上提出了统一主体对主体以及主体对客体访问控制的想法,访问控制的研究重心已经在向动态化、自主化发展,学者们想要找到可以适用于网络结构的个体间的访问控制。但是他们的模型仍然受到传统访问控制模型的影响,比如在讨论U2U(User to User)以及U2R(User to Resource)如何处理的时候仍将他们区别成主客体对待;在用逻辑语言做出访问决策时仍然偏向于静态或是1对1的方式,而在处理含有路径的访问时,仅仅使用遍历的方式寻找节点,容易产生安全问题。或是仅考虑到了传播属性的影响,却局限于模仿基于属性的访问控制,将复杂的网络传播环境归纳于多个静态属性。
为了适应多样化、复杂化的网络应用场景,国内外的学者针对传统模型的某些不足提出了一些新的访问控制模型,它们或是在经典模型之上进行了相应的优化,或是针对互联网的部分特性提出了更适合的访问控制模型,本发明主要关注的是近年来国内外学者们研究适用于分布式网络或是有复杂传播关系网络的一些访问控制模型的研究:
大数据/网络中的访问控制特性分析
李昊等基于大数据及其应用的新特点,分析归纳出5个大数据访问控制迫切需要解决的问题:授权管理问题、细粒度访问控制问题、访问控制策略描述问题、个人隐私保护问题,以及访问控制在分布式架构中的实施问题;提炼了适应大数据环境的访问控制模型的特点:判定依据多元化、判定结果模糊(或不确定)化、多种访问控制技术融合化。
陈垚坤等简单地分析大数据的特点及体系架构,得出大数据环境下访问控制应满足的原则,即自主、动态、细粒度、跨域授权。通过对比分析访问控制模型DAC、MAC、RBAC及ABAC在大数据环境下适用性,可以看出在大数据以及时下的开放网络之中,自主动态的授权才是更受欢迎的访问控制模。
针对现有网络环境提出的新型访问控制模型
刘莎、谭良认为Hadoop云平台中的访问控制模型具有明显的缺点,即仅仅在授权时考虑了用户身份的真实性,没有考虑用户后期行为的可信性,而且权限一经授予就不再监管。提出一种适用于Hadoop云平台的基于信任的LT模型,为每个用户设定信任值,通过用户在集群中的行为记录实时地更新用户信任值,通过这种方式满足了开放网络中动态性访问控制的需求。
熊军给出一个基于多策略的访问控制模型,给出了基于算子的策略规范方法和基于XML的策略详细描述规范,为了进一步描述策略,对策略进行了分类。针对策略的调整,详细讨论策略的增加、取消和更改。针对策略的选择和决策问题,通过对角色、权限以及安全策略的模糊化处理及分析,引入模糊算法对用户的访问权限进行判断,实际上是想尝试结合不同的思路对访问加以控制。
Vishwamitra注意到了信息被多层传递的网络环境中,用户无法对与自身相关的信息做出应有的访问控制。提出了名为PMAC的访问控制模型,它将标识用户身份信息的一些属性诸如面部特征、身体特征和一些可共享的信息区分,在访问控制中根据关系列表和授权策略区别地对待这类信息,使用户可以通过制定策略保证一些关键隐私不被泄漏。
基于网络/关系网络的访问控制模型研究现状
李凤华等提出一种面向网络空间的访问控制模型,记为CoAC。该模型涵盖了访问请求实体、广义时态、接入点、访问设备、网络、资源、网络交互图和资源传播链等要素,可有效防止由于数据所有权与管理权分离、信息二次多次转发等带来的安全问题。
Cheng等提出了一种基于用户之间关系的访问控制模型。他们认为用户与用户间的关系是OSN(Online social networks线上社交网络)的基石,于是他们基于此提出了一种新型访问控制模型,规范化地定义了社交网络中的关系并以此连接用户,并指定了合法路径的规则,最后采用类似DFS的路径搜索算法,计算了其复杂度并验证了它的正确性。Bruns等使用Hybrid Logic描述了基于用户关系的访问控制模型。蔡红云等在此模型的基础上对关系强度的度量和传递进行了拓展。
Carminati等同样对当下社交网络为了推广信息大量地共享资源带来的安全问题,提出了基于规则的访问控制(Rule-Based Access Control),他们基于形式、深度、已存在关系带来的信任度等方面指定访问规则并配合上用来认证主体之间关系的证书对信息的传播加以限制。
Hu等人以及刘娜讨论了在OSN(Online social networks线上社交网络)中多方访问控制或存在的问题,并提出了一个模型MPAC(Multiparty Access Control)。他们以Facebook上用户之间访问信息的情景为例子,适用回答集编程(Answer Set Programming,ASP)的方式阐述了他们的模型是如何解决OSN上共享信息管理的问题。
Ma针对社交网络中的网络特性,提出了一个适合云计算环境的新型模型RuleSN,该模型使用了与Hu和Cheng相似的逻辑语言,对于社交网络中大量存在的User to User(U2U),User to Resource(U2R),Resource to Resource(R2R)关系以及用户和资源的具体属性有着很好的表达性。
前文的描述中可以看出,在互联网访问控制场景的不断变革下,传统模型在授权管理、策略描述以及隐私保护等方面都不再能够很好地适应。部分研究人员在尝试对传统访问控制做一些细节上的补充,或是堆砌越来越多的决策条件来让实验结果更适用于某一类型的访问情景。但是,日新月异的分布式网络结构以及多元化的主客体构成,都需要访问控制从模型层面上进行创新。研究人员们开始从社交网络入手,以其丰富的节点关联数据建立适用于关系网络的访问控制。这些模型的思路和构造方法都十分新颖,但是它们仍然将用户与资源区别对待。并且在策略的定义中,对带有路径的访问(间接访问)仅判断节点间的客观条件,例如节点间的关系强度或是距离,而忽略了模型的自主性和可扩展性,对保护用户隐私有一定的影响。
发明内容
针对上述问题中存在的不足之处,本发明提供网络结构中基于证书的访问控制模型及访问方法。
为实现上述目的,本发明提供一种网络结构中基于证书的访问控制模型,包括:起点、终点和节点网络;
所述起点为访问请求的发起节点,所述终点为被访问节点,所述节点网络为多个节点通过待授权列表相连接形成的网络状的拓扑结构;
所述起点向所述终点发起访问请求,所述终点生成待授权证书并发送至所述起点,所述起点通过授权证书对终点进行访问;所述待授权证书包括起点信息、申请权限和申请时间,并针对起点和申请权限获取该权限所需要的待授权列表;
所述起点从终点的待授权列表开始进入证书遍历流程,以深度优先的方式遍历所述节点网络,在证书遍历流程中,每个节点遍历完成自身的待授权列表后,会进入规则判定流程要根据自身采取的访问控制策略,给出该节点的最终返回值;回溯完成后待授权证书回溯至起点,待授权证书根据终点的逻辑表达式判断授权是否成功,如果成功则待授权证书变为授权证书,供起点进行相应操作使用,若不成功则本次访问被拒绝。
作为本发明的进一步改进,所述节点网络包括多层节点;
下层节点中的一个节点的带授权列表为上层节点的一个或多个节点。
作为本发明的进一步改进,所述逻辑表达式是将待授权列表和规则通过逻辑运算符建立连接。
本发明还提供一种网络结构中基于证书的访问控制模型的访问方法,包括:
步骤1、起点向终点发起访问请求;
步骤2、终点生成待授权证书并发送至起点,所述待授权证书包括起点信息、申请权限和申请时间,并针对起点和申请权限获取该权限所需要的待授权列表;
步骤3、起点进入证书遍历流程,以深度优先的方式遍历所述节点网络;
步骤4、在证书遍历流程中,每个节点遍历完成自身的待授权列表后,会进入规则判定流程要根据自身采取的访问控制策略,给出该节点的最终返回值;
步骤5、回溯完成后待授权证书回溯至起点,待授权证书根据终点的逻辑表达式判断授权是否成功,如果成功则待授权证书变为授权证书,供起点进行相应操作使用,若不成功则本次访问被拒绝;
步骤6、起点通过授权证书对终点进行访问。
作为本发明的进一步改进,所述证书遍历流程包括:
步骤a、判断当前节点对原请求的待授权列表是否为空,若为空跳到步骤e;
步骤b、判断该节点的待授权列表是否存在于已授权节点列表中,若存在,直接读取已授权节点列表中该节点的返回值,若不存在,进入步骤c;
步骤c、将证书传递给该节点的待授权列表,对该节点的待授权列表调用证书遍历流程,获得该节点待授权列表的返回值;
步骤d、对待授权列表的下一项重复步骤b、步骤c直到获得该节点待授权列表的所有返回值;
步骤e、进入规则判定流程,根据自身节点所使用的授权规则,得出规则各部分的返回值;
步骤f、读取逻辑表达式,逻辑表达式根据规则各部分的返回值以及待授权列表的所有返回值,通过逻辑计算得到该节点的返回值,该返回值作为整个流程的返回值并记录到已授权节点列表中。
作为本发明的进一步改进,规则判定流程包括基本信息规则和待授权列表规则;
基本信息规则为:应用基于属性的访问控制ABAC中的方式,针对节点的各类信息进行决策;包括:对起点的限制、对终点的限制、对申请权限的限制、对时间的限制和对父节点的检查;
待授权列表规则为:对待授权列表完成情况的判断。
与现有技术相比,本发明的有益效果为:
本发明提供一种网络结构中基于证书的访问控制模型,将主客体都视为节点并以某种节点关联列表作为桥梁将每个这样的节点连接起来,形成了网络状的拓扑结构;又通过证书传递、间接访问规则等新颖的授权模式并使它们根据规定的逻辑表达式共同作用于访问控制的决策;相比现有模型权限的管理较为依赖系统既定的规则,本发明使节点们能更自主、动态地管理权限而不依赖或是影响整个系统;同时,授权决策采用节点网络的拓扑结构,使模型在面对复杂信息传播时也能充分考虑到每一个节点的隐私。
附图说明
图1为本发明一种实施例公开的网络结构中基于证书的访问控制模型的框架图;
图2为本发明一种实施例公开的网络结构中基于证书的访问控制模型的访问方法的流程图;
图3为现有OAuth的基本结构图;
图4为本发明从广度上对OAuth基本结构的拓展图;
图5为本发明从深度上对OAuth基本结构的拓展图;
图6为本发明节点网络的形成原理图;
图7为本发明情景1的授权流程图。
图中:
1、起点;2、终点;3、节点网络。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
传统的访问控制模型由主体,客体及访问权限三元组来表示主体与客体之间访问与授权关系。但随着移动网络逐渐向着分布式发展,网络信息间有着复杂的传播关系,节点间彼此关联,主体和客体不再有明显界限。为了使访问控制模型层面的研究适应这样的网络环境,本发明提出了一种新型的访问控制模型,将主客体都视为节点并以某种节点关联列表作为桥梁将每个这样的节点连接起来,形成了网络状的拓扑结构。又通过证书传递、间接访问规则等新颖的授权模式并使它们根据规定的逻辑表达式共同作用于访问控制的决策。相比现有模型权限的管理较为依赖既定的规则,这种设计使节点们能更自主、动态地管理权限而不依赖或是影响整个系统。同时,授权决策采用节点网络的拓扑结构,使模型在面对复杂信息传播时也能充分考虑到每一个节点的隐私。
下面结合附图对本发明做进一步的详细描述:
本发明受到了已经得到广泛应用的OAuth技术的启发,提出了一种网络结构中基于证书的访问控制模型,打破了主体跟客体之间的关系,将参与者(包含访问主体或者被访问的资源)都视为节点。节点提出的访问请求需要通过完善被访问节点需求的证书来实现。而完成这类授权证书,则需要严谨地遍历与被访问节点相关的节点,并根据它们不同的访问控制策略进行决策,最终获得授权。本发明试图从这种新的视角来诠释互联网各类复杂环境中的访问控制,使之可以涵盖经典访问控制模型的同时,也可以弥补它们的不足,为未来网络环境发展中产生的复杂访问情景提供扩展的空间;使访问控制不仅能在新的网络环境中有较高的适用性和可扩展性,也能保留对传统模型的兼容性。同时在含有路径的访问中能给予节点较高的自由度,而不影响它们的隐私保护。
如图1所示,本发明提供一种网络结构中基于证书的访问控制模型,包括:起点1、终点2和节点网络3;
起点1为访问请求的发起节点,终点2为被访问节点,节点网络3为多个节点通过待授权列表相连接形成的网络状的拓扑结构;
起点1向终点2发起访问请求,终点2生成待授权证书并发送至起点1,起点1通过授权证书对终点2进行访问;待授权证书包括起点信息、申请权限和申请时间,并针对起点和申请权限获取该权限所需要的待授权列表;
起点1从终点2的待授权列表开始进入证书遍历流程,以深度优先的方式遍历节点网络3,在证书遍历流程中,每个节点遍历完成自身的待授权列表后,会进入规则判定流程要根据自身采取的访问控制策略,给出该节点的最终返回值;回溯完成后待授权证书回溯至起点,待授权证书根据终点的逻辑表达式判断授权是否成功,如果成功则待授权证书变为授权证书,供起点进行相应操作使用,若不成功则本次访问被拒绝。
本发明还提供一种网络结构中基于证书的访问控制模型的访问方法,包括:
步骤1、起点向终点发起访问请求;
步骤2、终点生成待授权证书并发送至起点,待授权证书包括起点信息、申请权限和申请时间,并针对起点和申请权限获取该权限所需要的待授权列表;
步骤3、起点进入证书遍历流程,以深度优先的方式遍历节点网络;
步骤4、在证书遍历流程中,每个节点遍历完成自身的待授权列表后,会进入规则判定流程要根据自身采取的访问控制策略,给出该节点的最终返回值;
步骤5、回溯完成后待授权证书回溯至起点,待授权证书根据终点的逻辑表达式判断授权是否成功,如果成功则待授权证书变为授权证书,供起点进行相应操作使用,若不成功则本次访问被拒绝;
步骤6、起点通过授权证书对终点进行访问。
进一步,证书遍历流程包括:
步骤a、判断当前节点对原请求的待授权列表是否为空,若为空跳到步骤e;
步骤b、判断该节点的待授权列表是否存在于已授权节点列表中,若存在,直接读取已授权节点列表中该节点的返回值,若不存在,进入步骤c;
步骤c、将证书传递给该节点的待授权列表,对该节点的待授权列表调用证书遍历流程,获得该节点待授权列表的返回值;
步骤d、对待授权列表的下一项重复步骤b、步骤c直到获得该节点待授权列表的所有返回值;
步骤e、进入规则判定流程,根据自身节点所使用的授权规则,得出规则各部分的返回值;
步骤f、读取逻辑表达式,逻辑表达式根据规则各部分的返回值以及待授权列表的所有返回值,通过逻辑计算得到该节点的返回值,该返回值作为整个流程的返回值并记录到已授权节点列表中。
进一步,规则判定流程包括基本信息规则和待授权列表规则;
基本信息规则为:应用基于属性的访问控制ABAC中的方式,针对节点的各类信息进行决策;包括:对起点的限制、对终点的限制、对申请权限的限制、对时间的限制和对父节点的检查;
待授权列表规则为:对待授权列表完成情况的判断。
具体的:
一、本发明提供的网络结构中基于证书的访问控制模型的构造过程为:
基于前人对于分布式、交互式以及复杂网络中访问控制模型的探索,本发明想要构造一个把访问控制参与者(包含了传统访问控制模型中的主体与客体)都当作节点的网络模型,那么在这样的结构中如何完成授权成为了本发明将要介绍的内容。本发明参考了RBAC的构建过程,主要包含构造模型的基本思路和对模型组成部分的介绍。
1、构造思路:
1)、OAuth
在现有的互联网应用环境中,已经能看到对解决“分散在网络中的节点之间的间接访问”这个问题的尝试。比如一个这样的例子:
假设你在一个社交网站上登记了你的基本信息、工作以及兴趣爱好等信息。当你浏览线上购物网站(比如淘宝)、招聘网站或是游戏网站时,为了方便这类网站的个性化推荐,你可以选择使用已有的社交网站账号进行登录。如果使用传统的访问控制方式,那么你需要将社交网站的用户名密码授权给购物网站,购物网站通过登录你的社交网站获取基本信息,最终形成个性化推荐。
这种传统的方式会引发这些问题:
①、购物网站在获取用户基本信息时,记录了用户的用户名密码,有严重的安全隐患;
②、购物网站在拥有了用户名密码后,可以获取该网站不必要的其他信息诸如工作、兴趣爱好等。用户无法限制其获取的信息范围和使用期限;
③、如果用户不想继续让购物网站获取信息,只能修改密码,但是这样又会导致其他诸如招聘网站和游戏网站都受到影响;
④、用户授权的众多网站中,如果有一个泄露了用户信息将会给用户造成很大的麻烦。
为了解决这一问题,学者们提出了名为OAuth的授权标准并得到了广泛应用。关于OAuth的具体标准在RFC文件中有详细说明,本发明只借用其思想作为引子。OAuth的大致思想包含了三个参与者:第三方应用(下文简称应用),用户,用户资源拥有者(下文简称资源)。如图3所示,OAuth的流程为:
①、用户希望应用能获取资源的部分权限,向应用提出请求;
②、应用向资源申请通过用户获取资源的相应权限;
③、资源根据应用的申请,生成了一个包含授权信息的待认证证书,呈现给用户;
④、用户了解授权内容后若同意,则生成完整的证书;
⑤、资源提供给应用证书,应用使用该证书访问被授权的部分信息。
简单地说,应用使用这个协议通过用户,完成了对资源的间接访问。但在这个场景中,用户是访问的发起者,整个流程是由用户发起的,资源端也需要直接地与用户沟通。而本发明希望讨论的场景是应用为主导发起流程,并且在授权过程中,资源端并不会参与授权过程,仅判断访问请求是否进行执行,将授权决策跟授权执行两部分分离,来构建更高效的模型。
2)、在广度上拓展间接访问
上述提到了OAuth中一个核心的模块–证书(Access token)。在应用最终获得证书前,资源端生成了一个证书包含了应用想要申请的权限信息,同时证书里也可能包含其他信息,例如证书时效,使用限制等在其他访问控制中可能会涉及的控制规则。然后资源端将证书交给用户进行进行授权,最终生成了一个类似“通行证”的证书。应用在之后进行授权内操作时可以直接使用证书完成。本发明借鉴这个思想,提炼出了多目标之间的间接访问情景,如图4所示。
在该场景中,由应用发起请求,得到一个需要用户授权的证书,资源不再参与决策,只执行是否允许访问的操作,而决策以及授权是否能完成取决于第3步中的用户是否同意对证书授权。这样的结构达到了决策层和执行层的分离,同时扩展了参与者仅有三方的情况,在实际应用中某个请求可能需要多方验证才可以生效。
3)、在深度上拓展间接访问
在解决了广度上的拓展后,还需要考虑这样的情况:如果某个用户需要其他用户对证书授权后,他才愿意进行授权,例如工作中需要逐层审批的流程。那么就需要考虑到具有“路径”特征的访问情景,即在广度的基础上,在授权环节添加深度。
如图5所示的情景体现了授权环节中的深度问题,如果用户1表示需要该证书经过用户A的授权,它才愿意授权,那么就产生了这个情景。该情景在互联网环境中十分常见,比如访问一个需要登录的页面,需要经过账号密码授权和验证码认证两个节点。通常情况下,为了防止恶意登录(如不断尝试密码),账号密码授权需要完成验证码认证才会进行。那么用户想要完成账号密码授权就必须先取得验证码节点的授权。
图5所示的步骤提供了解决这个情景的一个思路,当一个节点获取证书,但是需要另一个节点率先完成授权才能继续进行授权步骤时,它将该证书发送给要授权的节点,待完成授权后获取返回的已授权证书,再继续授权操作。这里本发明考虑到了发送证书的步骤为何不像图4所述的情景:将证书交还给请求发起方让其发送给用户A。首先,图4情景中是为了区分授权过程和执行过程才将空证书返回给发起者让其完成,而在该例子中,本身处于授权流程,这样的返回没有实际的意义;而且随着证书授权路径的不断复杂,这样的操作会极大地降低整个授权的效率,所以让这个中间节点自行地将证书发送给下一层节点,节约了不必要的操作。
4)、在关系网络中的间接访问
有了上述对深度和广度的拓展,自然会想到,如果节点之间的结构再复杂一些,比如某一节点授权前需要多个相关节点的授权,因此节点间的授权关系形成了一个二维的结构,那么要如何在这个结构中完成间接访问?为了从OAuth过渡到本发明设计的模型,本发明在上述的结构基础上进行描述,并将用“节点”代替“用户”作为模型的参与者,更能体现网络结构的精髓。如图6所示,其解释了本模型如何解决这个问题。
需要特别注意的是,节点网络并不是实际存在的网络,而是在授权流程的过程中产生的一种数据结构。从起点开始,证书经过的每一个节点都会存在一个待授权列表,表中包含着要取得该节点授权所需的其他节点的授权。如果说每一个参与者是网络中的“点”,那么这些点的待授权列表就是网络中的“边”,它们共同构成了这个数据结构。
在现有的OAuth或是访问控制模型中可能不会运用到如此复杂的间接访问结构。但是在网络世界,甚至现实生活中,这种类型的授权都很常见。可以预见到,在未来物联网等技术的高速发展下,这类节点间关系复杂的访问授权情景会越来越多,所以本发明提出的模型,尝试给出了一个解决复杂间接访问场景下访问控制的思路。后续会着重讨论在这种数据结构下如何通过证书在网络中的传递来完成访问控制的授权过程。
2、模型组成
表1列出了模型的主要构成部分以及它们的代号,在后文中提及时多用代号表示:
表1
本表完整地介绍了整个模型的雏形构造以及主要包含的元素。与传统访问控制模型不同的是,这样的结构将访问控制模型中的决策与执行操作区分开来。包含信息的节点,诸如数据库服务器或者个人电脑等,只需要根据请求是否携带完整的证书直接进行授权判断,不需要复杂的决策流程。而这个决策流程可以由起点携带着待授权证书去节点网络中完成。这种分离使访问控制的效率大大提高且更适用于分布式网络。
二、本发明的授权过程为:
结合如图1所示的访问控制模型,在分离了决策和执行层之后,对于某个请求的具体决策都是在节点网络中的授权流程完成。本章从三个部分介绍授权流程是如何对访问请求进行决策的,以及每个过程所使用的策略。
1、授权流程
如图2所示,在本模型中,一个完整的授权流程按照如下步骤运作:
1)、一个节点希望能获取另一个节点的部分权限,发起请求;
2)、被访问节点(终点)生成一个待授权的证书(T′),包含了流程的必要信息,例如起点相关信息,申请的权限,申请时间等与访问控制有关常见的信息;并针对起点和其申请的权限提供获取该权限所需要的待授权列表(Lv,authority);
3)、起点获取了这个待授权证书(T′),从L(1)进入证书遍历流程,开始以深度优先的方式遍历节点网络(N);
4)、在证书遍历流程中,每个节点遍历完成自身的L后,会进入规则判定流程要根据自身采取的访问控制策略(如认证,RBAC,ABAC等),给出该节点的最终返回值;
5)、回溯完成后T′回溯至起点,T′根据终点的逻辑表达式E判断授权是否成功,如果成功则变为T,供起点进行相应操作使用,若不成功则本次访问被拒绝;
6)、起点使用T在T中规定的规则下对终点进行访问。
2、证书遍历流程
在上述反复提及的Lv,authority是证书遍历流程主要的遍历目标,从起点的L(1)开始,每个遍历的节点针对本次请求也会有自己的L,这些L构成了节点网络的枝干。
本流程使用深度优先搜索这个经典的图遍历算法来完成证书的遍历。该算法主要使用了回溯法实现,主要思想如下:
算法-证书遍历流程:
1)、判断当前节点对原请求的L是否为空,若为空跳到步骤5;
2)、判断L(n)(n从起始位置开始)是否存在于已授权节点列表(P)中,若存在,直接读取P中该节点的返回值,若不存在,进入步骤3;
3)、将证书传递给L(n),对L(n)调用证书遍历流程,获得L(n)的返回值;
4)、n=n+1,重复步骤2、步骤3直到获得该节点L的所有返回值;
5)、进入规则(R)判定流程,根据自身节点所使用的授权规则,得出规则各部分的返回值;
6)、读取逻辑表达式(E),表达式根据规则各部分的返回值以及L的所有返回值,通过规定好的逻辑计算得到该节点的返回值,该返回值作为整个流程的返回值并记录到P中。
3、规则判定流程
整体授权流程的章节提到了节点在完成L后需要进行规则判断流程,这个流程中,节点需要结合获取到的信息进行逻辑规则的判断。在待授权证书T′中,主要包含了两部分的信息,一类是从起点带来的基本访问信息,一类是来自L的信息。所以,授权中遵循的规则也主要分为两类:基本信息规则和节点网络规则,两者在现实中可能是会有一定相关性的,比如某个节点需要另一个节点在某个时间段内的授权,但是这种耦合会将访问控制的情景变的十分复杂,所以在现阶段的研究中,本发明暂时将这两者分开讨论。
1)、基本信息规则
对于针对基本信息规则的访问控制,可以应用类似基于属性的访问控制(ABAC)中的方式,针对节点的各类信息进行决策,例如:
对起点的限制(例如黑名单);
对终点的限制;
对申请权限(行为)的限制;
时间的限制(包括行为发生时间和申请时间);
对父节点的检查(确保证书是从认可的父节点获得)。
这类规则都出自于对证书携带的信息以及每个节自身的情况设定,在具体的应用中,不同的节点可以根据自身使用场景的不同,采用不同的访问控制策略(例如账号信息认证,RBAC等)导出结果并最终作为返回值应用到网络模型当中。这种设定也使本模型能更好地兼容各类现有的、常见的访问控制模型,具体的应用会在后续章节中提到。
2)、待授权列表(L)规则
除了基本信息之外,本模型的核心之一就是对于L完成情况的判断。一个完成的L包含了当前节点要完成最终授权所需要的所有节点对本次访问的授权情况。同基本信息一样,当前节点依然可以根据自身所采用的访问控制策略,来对L的各个返回值进行更加宏观的运算。比如,某节点采用RBAC进行访问控制,它可以在基本信息规则中读取起终点的角色,并根据RBAC决定是否授权。与此同时,它在完成了自身的L后,可以读取L中每个节点的角色,并制定需要所有的某个角色在L中的返回值都为1(即同意授权)或者至少含有几个某角色的返回值为才允许授权。
4、逻辑表达式(E)
在定义了两种规则之后,原节点需要对这些规则导出的授权情况做一系列的逻辑运算,最终得到节点自身的判断。本模型定义了一种表达式:来规范化地描述规则。
其中,L和R在前文中已经给出定义,代表了逻辑运算符:
以3、2)、中提到的采用RBAC进行访问控制的节点为例,它的访问控制规则可以表示为:
R1:roles=′r1
该表达式表示了当前节点的规则是:如果起始节点的角色是r1,且当前节点的待授权列表中,有超过n个角色为r2的节点同意了授权,那么当前节点就给予授权。式中可以看出
R1属于基本信息规则,R2属于授权列表规则。
同RBAC一样,针对不同的节点,DAC、MAC或是TRBAC等主流的传统访问控制模型,都可以设计不同的规则来实现它们的思想。甚至可以混合使用,例如节点可以根据证书中携带的访问路径等信息计算信任值,再结合节点角色计算每个节点的返回值。在模型中,它们的特性能很好地与节点网络结合,来表达复杂网络情景中的授权规则。
现代的网络空间中,不同的参与者可能使用不同种类的访问控制,而在本模型下它们可以规范地表述与结合,并且不同的节点可以根据需求设计自身的规则。这三部分决策层的设计,让模型具有很强的可扩展性和兼容性,使访问控制得以跟上分布式网络的发展。
三、本发明访问控制模型的具体应用为:
前文对模型的每个部分进行了详细的拆解和描述,也针对各部分的操作流程举了一些简单的例子。本章将以微信朋友圈的例子入手,描述本模型的优势和具体应用。
微信朋友圈是一种社交工具,它的基本规则是:
1、任何人都可以发布公开信息,这些信息可以被评论
2、每个人只能阅读或者评论自己好友发布的信息
3、用户要阅读或是评论另一条评论,需要是这条评论双方的好友
举个例子:
访问控制情景1:
A:I
B回复A(I):r1
背景:A、B和C互为好友,但是D仅仅是A的好友
请求:C和D分别申请阅读r1的权限
节点:A、B、C、D、I、r1
根据基本规则,微信采用的访问控制策略是,判断C∈(FriendListA∩FriendListB)以及D∈(FriendListA∩FriendListB)的值,如果为1则授权,反之就拒绝。那么访问控制的结果就是C的请求接受,D的请求拒绝。
而根据本发明提及的模型,则有表2所示的情景1模型表:
表2
节点 L R E
A - C/D∈FriendListA C/D∈FriendListA
B - C/D∈FriendListB C/D∈FriendListB
I A - A
r1 I,A,B - I∧A∧B
情景1的授权流程如图7所示。
从授权流程图可以看出,新模型在简单的情景下,虽然认证过程较为复杂,但是得到的结果也是C的请求接受,D的请求拒绝,与软件使用的模型结果一致。下面的例子将说明传统访问控制模型的一些不足和本模型如何解决这类问题。
访问控制情景2:
A:I
B回复A(I):r1
C回复A(I):r4
C回复B(r1):r2
A回复C(r2):r3
背景:A、B、C互为好友,D只是A、C的好友,不是B的好友。
请求:D分别申请阅读r3和r4
节点:A、B、C、D、I、r1、r2、r3、r4
根据微信本身的访问控制策略,D∈(FriendListA∩FriendListC)对于r3和r4都成立,所以两者的请求都被接受。但是,在本情景中,r3与r2是相关的,那么r3中可能包含了关于r2参与者B的信息,并且B不一定愿意授权这部分信息给D看到,这就形成了一个可能泄漏用户隐私的安全漏洞。
根据本模型,则有表3的情景2模型表:
表3
节点 L R E
A - D∈FriendListA D∈FriendListA
B - D∈FriendListB D∈FriendListB
C - D∈FriendListC D∈FriendListC
I A - A
r1 I,A,B - I∧A∧B
r2 r1,B,C - r1∧B∧C
r3 r2,A,C - r2∧A∧C
r4 A,C - A∧C
对比r3和r4的请求,r4的E类似于微信本身所采用的访问控制策略,由于D∈(FriendListA∩FriendListC)为1,所以在经过A和C节点的授权后,阅读r4的申请被接受。反观r3,由于r3与r2相关,它的E包含了r2,证书要授权就要经过B的授权,显然无法通过。
这个结果相比传统访问控制策略更好的保护了用户的隐私,也体现了本模型在现代网络较为复杂的访问控制情景下,授权的流程更加严谨。当今的网络环境交互关系复杂,资源传播越发频繁,与访问路径相关或是有多层从属关系的数据往往存在安全隐患。
本发明构建了一个基于证书的访问控制模型。模型主要针对主体客体不在有明确的界限的网络环境以及分布式网络中信息传播的特点,定义了一个具有高度表达力和扩展性的模型结构,通过节点、证书传递以及待授权列表等方式,用一个新的角度诠释了在现代网络空间中常见的访问控制情景,分离了访问控制中的决策和执行;提出了基于DFS算法的证书遍历流程,并在其中加入了基本信息规则、待授权列表规则以及逻辑表达式,规范化地定义了授权流程,使模型可以表达不同类型的传统访问控制模型;并给出了一个具体的实例推导,分析了本模型的适用场景和优势。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种网络结构中基于证书的访问控制模型,其特征在于,包括:起点、终点和节点网络;
所述起点为访问请求的发起节点,所述终点为被访问节点,所述节点网络为多个节点通过待授权列表相连接形成的网络状的拓扑结构;
所述起点向所述终点发起访问请求,所述终点生成待授权证书并发送至所述起点,所述起点通过授权证书对终点进行访问;所述待授权证书包括起点信息、申请权限和申请时间,并针对起点和申请权限获取该权限所需要的待授权列表;
所述起点从终点的待授权列表开始进入证书遍历流程,以深度优先的方式遍历所述节点网络,在证书遍历流程中,每个节点遍历完成自身的待授权列表后,会进入规则判定流程要根据自身采取的访问控制策略,给出该节点的最终返回值;回溯完成后待授权证书回溯至起点,待授权证书根据终点的逻辑表达式判断授权是否成功,如果成功则待授权证书变为授权证书,供起点进行相应操作使用,若不成功则本次访问被拒绝。
2.如权利要求1所述的网络结构中基于证书的访问控制模型,其特征在于,所述节点网络包括多层节点;
下层节点中的一个节点的带授权列表为上层节点的一个或多个节点。
3.如权利要求1所述的网络结构中基于证书的访问控制模型,其特征在于,所述逻辑表达式是将待授权列表和规则通过逻辑运算符建立连接。
4.一种如权利要求1-3中任一项所述的网络结构中基于证书的访问控制模型的访问方法,其特征在于,包括:
步骤1、起点向终点发起访问请求;
步骤2、终点生成待授权证书并发送至起点,所述待授权证书包括起点信息、申请权限和申请时间,并针对起点和申请权限获取该权限所需要的待授权列表;
步骤3、起点进入证书遍历流程,以深度优先的方式遍历所述节点网络;
步骤4、在证书遍历流程中,每个节点遍历完成自身的待授权列表后,会进入规则判定流程要根据自身采取的访问控制策略,给出该节点的最终返回值;
步骤5、回溯完成后待授权证书回溯至起点,待授权证书根据终点的逻辑表达式判断授权是否成功,如果成功则待授权证书变为授权证书,供起点进行相应操作使用,若不成功则本次访问被拒绝;
步骤6、起点通过授权证书对终点进行访问。
5.如权利要求4所述的网络结构中基于证书的访问控制模型的访问方法,其特征在于,所述证书遍历流程包括:
步骤a、判断当前节点对原请求的待授权列表是否为空,若为空跳到步骤e;
步骤b、判断该节点的待授权列表是否存在于已授权节点列表中,若存在,直接读取已授权节点列表中该节点的返回值,若不存在,进入步骤c;
步骤c、将证书传递给该节点的待授权列表,对该节点的待授权列表调用证书遍历流程,获得该节点待授权列表的返回值;
步骤d、对待授权列表的下一项重复步骤b、步骤c直到获得该节点待授权列表的所有返回值;
步骤e、进入规则判定流程,根据自身节点所使用的授权规则,得出规则各部分的返回值;
步骤f、读取逻辑表达式,逻辑表达式根据规则各部分的返回值以及待授权列表的所有返回值,通过逻辑计算得到该节点的返回值,该返回值作为整个流程的返回值并记录到已授权节点列表中。
6.如权利要求4所述的网络结构中基于证书的访问控制模型的访问方法,其特征在于,规则判定流程包括基本信息规则和待授权列表规则;
基本信息规则为:应用基于属性的访问控制ABAC中的方式,针对节点的各类信息进行决策;包括:对起点的限制、对终点的限制、对申请权限的限制、对时间的限制和对父节点的检查;
待授权列表规则为:对待授权列表完成情况的判断。
CN201810145458.4A 2018-02-12 2018-02-12 网络结构中基于证书的访问控制系统及访问方法 Active CN108390874B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810145458.4A CN108390874B (zh) 2018-02-12 2018-02-12 网络结构中基于证书的访问控制系统及访问方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810145458.4A CN108390874B (zh) 2018-02-12 2018-02-12 网络结构中基于证书的访问控制系统及访问方法

Publications (2)

Publication Number Publication Date
CN108390874A true CN108390874A (zh) 2018-08-10
CN108390874B CN108390874B (zh) 2020-08-07

Family

ID=63069428

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810145458.4A Active CN108390874B (zh) 2018-02-12 2018-02-12 网络结构中基于证书的访问控制系统及访问方法

Country Status (1)

Country Link
CN (1) CN108390874B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109657111A (zh) * 2018-12-20 2019-04-19 北京天融信网络安全技术有限公司 一种连通图的处理方法及装置
CN110611591A (zh) * 2019-09-18 2019-12-24 重庆特斯联智慧科技股份有限公司 一种网络拓扑建立方法及装置
CN112333173A (zh) * 2020-03-11 2021-02-05 合肥达朴汇联科技有限公司 基于数据提供方的数据传送方法、系统、设备及存储介质
CN117336101A (zh) * 2023-11-29 2024-01-02 南京中孚信息技术有限公司 一种细粒度网络接入控制方法、系统、设备及介质
CN117792778A (zh) * 2023-12-29 2024-03-29 北京观翌信息技术有限公司 一种互联互通系统、以及数据传输方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080289036A1 (en) * 2007-05-19 2008-11-20 Madhusudanan Kandasamy Time-based control of user access in a data processing system incorporating a role-based access control model
CN101321064A (zh) * 2008-07-17 2008-12-10 上海众恒信息产业有限公司 一种基于数字证书技术的信息系统的访问控制方法及装置
CN101997876A (zh) * 2010-11-05 2011-03-30 重庆大学 基于属性的访问控制模型及其跨域访问方法
US20170163684A1 (en) * 2015-12-08 2017-06-08 Sap Se Electronic access controls

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080289036A1 (en) * 2007-05-19 2008-11-20 Madhusudanan Kandasamy Time-based control of user access in a data processing system incorporating a role-based access control model
CN101321064A (zh) * 2008-07-17 2008-12-10 上海众恒信息产业有限公司 一种基于数字证书技术的信息系统的访问控制方法及装置
CN101997876A (zh) * 2010-11-05 2011-03-30 重庆大学 基于属性的访问控制模型及其跨域访问方法
US20170163684A1 (en) * 2015-12-08 2017-06-08 Sap Se Electronic access controls

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
ARINDAM KHALED 等: "A Token-Based Access Control System for RDF Data in the Clouds", 《2010 IEEE SECOND INTERNATIONAL CONFERENCE ON CLOUD COMPUTING TECHNOLOGY AND SCIENCE》 *
刘恒强: "基于属性证书的访问控制模型研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *
苏雪 等: "基于证书的服务组合动态访问控制策略", 《计算机应用与软件》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109657111A (zh) * 2018-12-20 2019-04-19 北京天融信网络安全技术有限公司 一种连通图的处理方法及装置
CN109657111B (zh) * 2018-12-20 2023-03-14 北京天融信网络安全技术有限公司 一种连通图的处理方法及装置
CN110611591A (zh) * 2019-09-18 2019-12-24 重庆特斯联智慧科技股份有限公司 一种网络拓扑建立方法及装置
CN110611591B (zh) * 2019-09-18 2022-09-09 重庆特斯联智慧科技股份有限公司 一种网络拓扑建立方法及装置
CN112333173A (zh) * 2020-03-11 2021-02-05 合肥达朴汇联科技有限公司 基于数据提供方的数据传送方法、系统、设备及存储介质
CN117336101A (zh) * 2023-11-29 2024-01-02 南京中孚信息技术有限公司 一种细粒度网络接入控制方法、系统、设备及介质
CN117336101B (zh) * 2023-11-29 2024-02-23 南京中孚信息技术有限公司 一种细粒度网络接入控制方法、系统、设备及介质
CN117792778A (zh) * 2023-12-29 2024-03-29 北京观翌信息技术有限公司 一种互联互通系统、以及数据传输方法
CN117792778B (zh) * 2023-12-29 2024-07-19 北京观翌信息技术有限公司 一种互联互通系统、以及数据传输方法

Also Published As

Publication number Publication date
CN108390874B (zh) 2020-08-07

Similar Documents

Publication Publication Date Title
CN108390874A (zh) 网络结构中基于证书的访问控制模型及访问方法
He et al. Rethinking access control and authentication for the home internet of things ({{{{{IoT}}}}})
CN104144158B (zh) 用于基于策略的自动同意的方法和装置
CN110050474A (zh) 用于物联网网络中的复合对象的子对象的类型命名和区块链
US9390243B2 (en) Dynamic trust score for evaluating ongoing online relationships
Muir et al. An exploratory study into the negotiation of cyber-security within the family home
Maratea et al. Deviant identity in online contexts: New directives in the study of a classic concept
Ebner et al. Fairness, trust and security in online dispute resolution
CN107911282B (zh) 一种面向社交网络实现第三方应用植入的网络系统
US8887248B2 (en) JUBISM: judgement based information sharing with monitoring
KR20120087238A (ko) 자원공유를 위한 소셜 네트워크 시스템, 이의 구축 및 유지방법
Alexopoulos et al. Towards secure distributed trust management on a global scale: An analytical approach for applying distributed ledgers for authorization in the IoT
Kaposi The culture and politics of Internet use among young people in Kuwait.
Kohl The net and the nation state: Multidisciplinary perspectives on internet governance
Zhao et al. Zero trust access authorization and control of network boundary based on cloud sea big data fuzzy clustering
Santaniello et al. Electronic regimes: Democracy and geopolitical strategies in digital networks
Kneuer et al. Conceptualizing Authoritarian Gravity Centers: Sources and Addressees, Mechanisms and Motives of Authoritarian Pressure and Attraction 1
Bailey et al. Interoperability of social media: an appraisal of the regulatory and technical ecosystem
Liu et al. The combination of pairwise and group interactions promotes consensus in opinion dynamics
Ziyi International Law Protection of Cross‐Border Transmission of Personal Information Based on Cloud Computing and Big Data
Wang et al. Public and Private Blockchain Infusion: A Novel Approach to Federated Learning
Pal et al. Security, Privacy and Trust for the Metaverse of Things
Musiani When social links are network links: The dawn of peer-to-peer social networks and its implications for privacy
Zhang et al. GT‐Bidding: Group Trust Model of P2P Network Based on Bidding
Li et al. Towards building a firm metaverse security base

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20231103

Address after: Room 10408, 4th Floor, Building B, Xi'an National Digital Publishing Base, No. 996 Tianguqi Road, High tech Zone, Xi'an City, Shaanxi Province, 710000

Patentee after: Shaanxi Fenghuo Yunji Information Technology Co.,Ltd.

Address before: 101200 room 205-211526, No. 40, Fuqian West Street, Pinggu town, Pinggu District, Beijing (cluster registration)

Patentee before: BEIJING YONGBO TECHNOLOGY CO.,LTD.

Effective date of registration: 20231103

Address after: 101200 room 205-211526, No. 40, Fuqian West Street, Pinggu town, Pinggu District, Beijing (cluster registration)

Patentee after: BEIJING YONGBO TECHNOLOGY CO.,LTD.

Address before: 100124 No. 100 Chaoyang District Ping Tian Park, Beijing

Patentee before: Beijing University of Technology

PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Certificate based access control system and access methods in network architecture

Effective date of registration: 20231229

Granted publication date: 20200807

Pledgee: Xi'an innovation financing Company limited by guarantee

Pledgor: Shaanxi Fenghuo Yunji Information Technology Co.,Ltd.

Registration number: Y2023980075523