著录项信息
专利名称 | 一种基于扩展角色的五层资源访问控制方法 |
申请号 | CN200510094977.5 | 申请日期 | 2005-10-24 |
法律状态 | 权利终止 | 申报国家 | 中国 |
公开/公告日 | 2006-06-14 | 公开/公告号 | CN1787456 |
优先权 | 暂无 | 优先权号 | 暂无 |
主分类号 | H04L12/24 | IPC分类号 | H;0;4;L;1;2;/;2;4;;;H;0;4;L;9;/;0;0查看分类表>
|
申请人 | 南京邮电大学 | 申请人地址 | 江苏省南京市新模范马路66号
变更
专利地址、主体等相关变化,请及时变更,防止失效 |
权利人 | 南京邮电大学 | 当前权利人 | 南京邮电大学 |
发明人 | 杨庚;沈剑刚 |
代理机构 | 南京经纬专利商标代理有限公司 | 代理人 | 叶连生 |
摘要
基于扩展角色的五层资源访问控制方法是一种用于信息安全领域中对资源访问进行控制的方法,该方法为:a)应用系统中的用户管理器生成新用户user1,b)建立一个资源分类文件,对系统中的文件进行资源分类,从而生成客体角色OR,c)建立一个生成角色控制域文件K,它包含了目前进行的项目,d)建立一个生成扩展客体角色关系文件EOR,它将项目中涉及到的资源标注出来,即给出项目与资源的关系,e)建立一个扩展主体角色文件ESR,它将角色和角色控制域K中的项目联系起来,f)将用户user1指派为相应的扩展主体角色,g)指派用户user1的扩展主体角色的访问权限,从而完成建立访问控制系统的全过程。
1、一种基于扩展角色的五层资源访问控制方法,包括主体、扩展主体角色、角色控制域、扩展客体角色、客体,其特征在于该控制方法为: a)应用系统中的用户管理器生成新用户user1, b)建立一个资源分类文件,对系统中的文件进行资源分类,从而生成客体角色OR, c)建立一个角色控制域文件K,它包含了目前进行的项目, d)建立一个扩展客体角色关系文件EOR,它将项目中涉及到的资源标注出来,给出项目与资源的关系, e)建立一个扩展主体角色文件ESR,它将角色和角色控制域K中的项目联系起来, f)将用户user1指派为相应的扩展主体角色, g)指派扩展主体角色的访问权限,从而完成用户的访问控制系统。
一种基于扩展角色的五层资源访问控制方法\n技术领域\n本发明是一种用于信息安全技术中对资源访问进行控制的一种新方法,属 于计算机与信息安全技术领域。\n背景技术\n近几年来互联网以及通信网在全球范围内得到了迅猛的的发展,它对人类 社会的生活方式产生了极大的影响和改变,而随之而来的网络信息安全问题就 显得越来越重要。网络黑客、病毒、信息窃取和千扰等手段的出现,使网络的 安全面临严重的挑衅。全球每年都为之付出巨大的代价,高达数亿美元之多, 如银行帐户系统被侵入、病毒发作、军事网络干扰等。\n访问控制主要有70年代形成的自主访问控制(Discretionary Access Control, DAC)和强制访问控制(MandatoryAccess Control, MAC),以及1996年提出 的基于角色的访问控制模型(Role-basedAccess Conttol, RBAC)。\n与DAC和MAC相比,RBAC显示了良好的适应性,并在实际中得到广 泛应用,许多研究工作者在此领域进行了深入的研究。基于角色访问控制的基 本思想是将权限同角色关联起来,而用户则通过赋予角色来获得相应的权限, 用户拥有的全部权限由授予该用户所有角色的权限的并集决定。传统的RBAC 包含三个最基本的元素:用户(User),角色(Role)和权限(Permission)。\n用户(User):是一个访问计算机系统中的数据或者其它资源的主体。用U 表示全体用户的集合。\n角色(Role):是指一个组织或任务中的职位或工作,代表了一种资格、 权利和责任。用R表示全体角色的集合。\n权限(Permission):是对计算机系统中的数据或者其它资源进行访问的许 可。用P表示全体权限的集合。\n近几年来,网格计算研究领域的兴起,为互联网的应用展示了新平台,世 界各国投巨资进行这方面的研究,如欧盟的EDG计划等,中国也由国家教育部 组织,构件教育计算网格环境,而计算网格中的访问控制是网格安全的重要组 成部分。由于网格计算环境资源的动态性,传统的基于用户、角色和权限构成 的三层模型己不适应这种资源的动态性,为了有效地对资源的访问进行控制, 必须研究新的资源访问控制方法。\n发明内容\n技术问题:本发明的目的是提供一种基于扩展角色的五层资源访问控制方 法,该方法提供基于主体、扩展角色、权限、扩展客体和资源的访问控制机 制,这种角色与客体关系能更好地描述实际系统中主体、角色、权限与客体之 间的联系,为计算网格环境的访问控制提供新的手段。\n技术方案:传统的三层访问控制方法为-在三层模型中有以下元素:\n用户(User):是一个访问计算机系统中的数据或者其它资源的主体,用U 表示全体用户的集合。\n角色(Role):是指一个组织或任务中的职位或工作,代表了一种资格、 权利和责任。用R表示全体角色的集合。\n权限(Permission):是对计算机系统中的数据或者其它资源进行访问的 许可。用P表示全体权限的集合。\n传统三层访问控制流程:\n1. 应用系统中的用户管理器生成新用户userl,\n2. 应用系统中的用户管理器生成角色R。如:管理员,程序员, 一般用户 等,\n3. 对用户指定角色。如用户userl为管理员,\n4. 对角色指定某种权限。如管理员可以对所有文件进行"读"和"写"操 作,\n5. 用户userl根据自己的角色和权限实现对文件等资源的访问,从而实现 对资源的访问控制。\n本发明的五层访问控制模型 五层访问控制模型中包含如下的元素-\n* U:用户集,指网格中的各种用户; « 0:客体集,指网格中的各种资源;\n* P:权限集合,指对资源的各种操作;\n* K:角色控制域集合,指网格中各种角色控制域组成的集合;\n*扩展主体角色ESR,有结构化信息的主体角色。其语义表示处于角色\n控制域k中的角色sr; *扩展客体角色EOR,有结构化信息的客体角色,。其语义表示处于角色\n控制域k中的客体角色or; 访问控制流程-\n1. 应用系统中的用户管理器生成新用户userl,\n2. 建立一个资源分类文件,对系统中的文件进行资源分类,从而生成客体 角色OR。如OR-(资源l,资源2},其中,资源1-{文件1,文件2}, 资源2={文件2,文件3,文件4},\n3. 建立一个生成角色控制域文件K,它包含了目前进行的项目。如K叫项 目1,项目2},\n4. 建立一个生成扩展客体角色关系文件EOR,它将项目中涉及到的资源 标注出来,给出项目与资源的关系。如EOR-((资源l,项目1}, {资 源2,项目1}, {资源2,项目2}},\n5. 建立一个扩展主体角色文件ESR,它将角色和角色控制域K中的项目 联系起来。如ESR-U项目经理,项目1}, {项目经理,项目2}, {程序 员,项目1}},\n6. 将用户used指派为相应的扩展主体角色。如将用户userl指派为扩展 主体中的"{项目经理,项目1}",\n7. 指派扩展主体角色的访问权限,从而完成用户的访问控制系统。如"{项 目经理,项目1}"的权限为"读",就完成了用户userl对项目1中的 资源访问权限设置,他只能读该资源。\n有益效果:本发明的意义在于克服了传统三层访问控制方法的局限性,为 信息安全领域中信息资源的访问控制提供新的方法,以更灵活、更符合实际现\n实情况的思路设计和实现对资源的访问控制。\n本发明的优点在于符合信息系统访问控制的实际情况,即将角色与参与的 项目联系起来。实现的方法简单灵活,仅仅在原来的三层模型基础上,建立角 色与项目、项目与资源的关系就可以实现,使实用性大为增强,且便于实施各 种安全策略。同时通过五层访问控制模型增强了系统的安全性,可以实现同一 种角色,在不同的场合,具有不同的访问权限。\n附图说明\n图1是基于角色的访问控制模型示意图。\n图2是角色继承示意图。\n图3是传统的三层访问控制模型示意图,其中单箭头表示一对一关系, 双箭头表示多对多关系,虚线表示约束关系。 图4是本发明五层访问控制模型示意图。\n具体实施方式\n在实际应用中,考虑一个软件开发公司,有用户3人,分别为l位经理和 2位程序员,有4个文件资源可以访问,目前正在进行2个项目,则应用5层 资源访问控制方法如下:\n1. 应用系统中的用户管理器生成用户集11={用户1,用户2,用户3},\n2. 建立一个主体角色文件SR,它包含了所有的当前角色,即SR^项目经 理,程序员},\n3. 建立一个客体集文件O,它包含了所有资源,即0={文件1,文件2, 文件3,文件4},\n4. 建立一个资源分类文件,对系统中的文件进行资源分类,既生成客体角 色OR-(资源l,资源2},其中,资源1={文件1,文件2},资源2={文 件3,文件4},\n5. 建立操作集OP-(读,写,执行},\n6. 建立一个生成角色控制域文件K,它包含了所进行的项目,即K-(项目 1,项目2},\n7. 建立一个扩展主体角色文件ESR,它将角色和角色控制域K中的项目\n8. 联系起来,即ESR-((项目经理,项目1}, {项目经理,项目2}, {程序 员,项目1}},\n9. 建立一个生成扩展客体角色关系文件EOR,它将项目中涉及到的资源 标注出来,即EOR-W资源l,项目1}, {资源2,项目1}, {资源2, 项目2}},\n10. 将用户指派为相应的扩展主体角色,如用户1指派为扩展主体中的 "{项目经理,项目1}",\n11. 指派扩展主体角色的访问权限,如"{项目经理,项目1}"的权限 为"读",这样就完成了一个用户1对资源{项目经理,项目1}的访问 控制。\n上面的流程显示了系统中基于主体、扩展角色、权限、扩展客体和资源之 间的访问控制过程。这样的过程使我们能够有效地控制同样一个角色在不同项 目中的权利,而同样一个资源在不同项目中被访问的权限。如用户l在项目1 中是经理,他可以读与项目1有关的文件,而不能读项目2有关的文件。反之, 一个文件在项目1中就可以给用户1读,若在项目2中,用户1就不可以读。
法律信息
- 2014-12-17
未缴年费专利权终止
IPC(主分类): H04L 12/24
专利号: ZL 200510094977.5
申请日: 2005.10.24
授权公告日: 2008.01.23
- 2008-01-23
- 2006-08-09
- 2006-06-14
引用专利(该专利引用了哪些专利)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 |
1
| |
2004-10-13
|
2002-05-08
| | |
2
| |
2005-06-29
|
2004-12-29
| | |
3
| |
2004-07-28
|
2003-01-06
| | |
被引用专利(该专利被哪些专利引用)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 | 该专利没有被任何外部专利所引用! |