基于Web的泛在资源鉴权控制方法

暂无

基于Web的泛在资源鉴权控制方法\n技术领域\n[0001] 本发明属于泛在网络技术领域，具体涉及一种基于Web的泛在资源鉴权控制方法。\n背景技术\n[0002] RBAC(Role-Based Access Control)是一种用户多角色鉴权管理机制，在网络安全领域有着广泛应用。【David E Ferraiolo,Janet A.Cugini and D.Richard Kuhn."Role-Based Access Control(RBAC):Features and Motivations."NIST(1995)】RBAC机制可以验证用户身份和保证信息安全，因此自出现之日起就广泛应用于网络开发与信息安全领域。但是该机制应用于泛在网时将面临许多挑战。其一，RBAC机制无法实现除身份验证外的授权及其授权管理。基于应用的授权管理需求的出现，已经超越了当前RBAC所能提供的身份验证和身份信息的安全性阶段，而是要进一步达到资源管理验证授权的新阶段。其二，RBAC机制无法实现用户—应用—操作—资源四层架构的泛在资源授权管理的内在逻辑关系。\n[0003] 为此，本发明提供一种基于Web的泛在资源鉴权控制机制，来解决现有机制中存在的问题。\n发明内容\n[0004] 本发明目的在于提供一种基于Web的泛在资源鉴权控制机制，解决了现有机制不能满足泛在网中用户多角色、资源多分类的授权管理和用户—应用—操作—资源四层架构的泛在资源授权管理的内在逻辑关系等问题。\n[0005] 为了解决现有技术中的诸多问题，本发明提供的技术方案是：\n[0006] 一种基于Web的泛在资源鉴权控制方法，其特征在于所述方法包括以下步骤：\n[0007] (1)用户登录泛在网开放平台，泛在网开放平台上的应用进行查询该用户的权限，并对该用户身份和权限进行确认；\n[0008] (2)用户选择对资源的操作；\n[0009] (3)应用经确认用户拥有权限后，泛在网开放平台上的应用对相关的数据进行查询和处理；\n[0010] (4)泛在网开放平台上的应用向用户返回处理结果。\n[0011] 优选的技术方案是：所述方法中预先在泛在网开放平台上构建鉴权控制数据库，当用户向泛在网开放平台申请资源使用权以及使用资源时，应用对鉴权控制数据库进行插入、更新、查等操作获取泛在网资源的访问控制；所述鉴权控制数据库设置有用户鉴权表、资源信息表、资源属性表和资源数据表；其中用户鉴权表用于存储每个用户的信息；资源信息表用于存储泛在网开放平台中存在的硬件资源；资源属性表用于存储应用使用不同的硬件资源时的相关属性；资源数据表用于存储泛在网开放平台中的硬件资源上报的数据资源。\n[0012] 优选的技术方案是：所述用户鉴权表存储的字段包括用户序号、用户名、密码和权限记录；所述资源信息表存储的字段包括硬件资源序号和硬件资源自身属性；所述资源属性表存储的字段包括硬件资源序号、硬件资源当前所处位置、硬件资源收集信息的类别和硬件资源上报数据是否需要报警的阈值；所述资源数据表存储的字段包括上报数据的硬件资源序号、该数据的类别、数据上报时间和硬件资源上报的数据资源。\n[0013] 优选的技术方案是：所述用户操作包括以硬件资源作为操作对象的控制操作、设置操作、查看操作和以数据资源作为操作对象的删除操作、读取操作。\n[0014] 本发明的泛在资源鉴权控制机制为泛在资源提供了一整套高效和层次分明的访问方法，可以有效地利用泛在资源提供的信息，同时通过权限管理机制保证泛在资源的可持续应用以及数据可信度。其原理在于通过将用户的权限按应用分类、将应用的权限按操作分类、将资源按照需求分类以满足不同条件下的应用需求。具体实现是通过实现泛在资源鉴权机制的数据库来实现的，该泛在资源鉴权机制的数据库设计包括用户鉴权表、资源信息表、资源属性表和资源数据表四个表，用于存储用户—应用—操作—资源四层架构的泛在资源访问控制规则。当用户向泛在资源鉴权控制平台申请资源使用权以及使用资源时，需要对相应的数据库进行插入、更新、查询等操作，以实现泛在网资源访问控制。本发明中描述的方法能够很好的适应泛在网中用户多角色与资源多分类的应用场景，具有高效率，可扩展的特点。\n[0015] 泛在资源是自由度非常广的可联网提供信息数据的资源，其上报的数据经过收集处理可以给许多应用使用，不同应用需求的数据不同，对于数据的处理各异，因此要将不同应用对于数据的处理能力加以区分和限制，以保证资源的合理应用与可信度。\n[0016] 本发明技术方案中将泛在资源分为两类：\n[0017] 1)泛在的硬件资源，即为采集数据的泛在资源主体；\n[0018] 2)泛在的数据资源，即为由泛在资源采集上报的数据。\n[0019] 对应两类资源则有两类操作，即为：\n[0020] 1)对硬件资源的操作，包括：\n[0021] 控制，即更改资源数据上报频率、屏蔽资源等资源自身属性；\n[0022] 设置，即更改资源所处位置等资源环境属性；\n[0023] 查看，即获取资源的自身属性和环境属性。\n[0024] 2)对数据资源的操作，包括：\n[0025] 删除，即删除某些数据资源；\n[0026] 查看，即获取某些数据资源。\n[0027] 应用是执行操作的主体，用户是给出执行操作指令的主体，权限是用户给出操作指令的凭据，资源是被操作执行的主体。只有当用户拥有该权限并在应用中给出相应的操作指令时，被执行的资源才会被操作。\n[0028] 具体的数据库中设置用户鉴权表、资源信息表、资源属性表和资源数据表。其中用户鉴权表：每个用户的信息包括用户序号、用户名、密码和权限记录；资源信息表：泛在网开放平台中存在多种多样的硬件资源，资源信息主要包括硬件资源序号和硬件资源自身属性；资源属性表：具体应用使用不同的硬件资源时会对一些相关属性做出规定和处理，其中大部分是环境属性，诸如硬件资源所在位置、硬件资源要收集的信息种类等，因此资源属性表主要存储相关的属性信息，包括硬件资源序号、硬件资源当前所处位置、硬件资源收集信息的类别和硬件资源上报数据是否需要报警的阈值；资源数据表：泛在网开放平台中的硬件资源会上报多种多样的数据，依据该硬件资源可以上报的数据类型进行存储，资源数据表包括上报数据的硬件资源序号、该数据的类别、数据上报时间和数据。\n[0029] 本发明的泛在网开放平台进行资源鉴权控制是通过与泛在资源授权管理的内在逻辑关系相适应的用户—应用—操作—资源四层架构来实现的，主体建立在用户—应用—操作—资源四层架构之上，通过设计各层之间的相互关系来系统化整个机制，可以更有条理和便捷的管理鉴权系统。以下进行具体说明用户—应用—操作—资源四层架构的相邻层次间的关系：\n[0030] 1)资源-操作的关系\n[0031] 泛在资源是自由度非常广的可联网提供信息数据的资源，其上报的数据经过收集处理可以给许多应用使用，不同应用需求的数据不同，对于数据的处理各异，因此将传统的泛在资源分为硬件资源和数据资源两类。两类资源存在两类操作，分别以该类资源作为操作对象。\n[0032] 表1资源-操作表\n[0033]\n[0034] 2)权限-操作的关系\n[0035] 权限是操作执行的准入，无论对节点还是对数据进行的操作都需要相应的权限。\n[0036] 对于泛在硬件资源的操作按照权限由高到低排序为：控制、设置、查看；\n[0037] 对于泛在数据资源的操作按照权限由高到低排序为：删除、读取。\n[0038] 3)用户-权限的关系\n[0039] 每一个注册用户都拥有唯一的硬件权限和数据权限值，当一个用户注册时，会默认获得最低的权限，对于所有的泛在硬件资源和数据资源都没有任何操作的权限。只有当其他高权限用户赋给他新的权限值时用户才能进行相关的操作。\n[0040] 4)用户-应用的关系\n[0041] 用户注册以后即可拥有所有基于泛在资源的应用的使用权，使用不同的应用不需要重复注册。各应用内的同一用户的权限不同，且相互间无影响。\n[0042] 5)应用-操作的关系\n[0043] 每个应用将根据自身的应用需求和功能将操作进行包装，之后提供给用户根据用户在本应用中的权限进行调用。\n[0044] 因此，通过构建数据库，所述设置有用户鉴权表、资源信息表、资源属性表、资源数据表；通过应用进行插入、更新、查询等数据库操作可以清楚的获得用户的权限、用户能获得的资源，从而进行鉴权控制。\n[0045] 当有一些泛在硬件资源和数据资源存在时，某个应用可以对这些资源进行一定权限的操作。某个拥有权限的用户登录后使用该应用对泛在资源进行处理流程如下：\n[0046] 1)用户登录，应用查询该用户权限，对该用户身份和权限进行确认；\n[0047] 2)用户选择对资源的操作；\n[0048] 3)经确认拥有权限后应用对相关的数据进行查询和处理；\n[0049] 4)返回处理结果。\n[0050] 具体的基于Web的泛在资源鉴权控制流程按照如下步骤进行操作：\n[0051] 1)用户登录，应用查询该用户权限，对该用户身份和权限进行确认；\n[0052] 用户输入用户名和密码登录时，应用会请求数据库中存储的用户鉴权表，将用户输入的信息与数据库信息进行比对，如果该用户存在则返回该用户在该应用中的硬件资源操作权限和软件资源操作权限；如果无该用户存在返回错误信息并要求用户重新登录。\n[0053] 2)用户选择对资源的操作；\n[0054] 登录后的用户在应用中调用应用对硬件资源或者数据资源的操作，应用会将操作解析成对数据库的操作同时将用户信息作为参数形成请求。\n[0055] 3)经确认拥有权限后应用对相关的数据进行查询和处理；\n[0056] 存储数据库的应用平台接收到应用发送来的请求后对请求中的用户信息在用户鉴权表中进行查询确认权限，权限足够时平台实现请求中的操作；权限不足时平台拒绝进行操作。\n[0057] 4)返回处理结果。\n[0058] 平台将3)中的结果返回给应用，应用将操作结果显示给用户。\n[0059] 本发明提出了一种新的基于Web的泛在资源鉴权机制。其中包括资源匪类的设计和泛在资源多层访问控制机制。本发明中描述的方法能够很好的适应泛在网中应用多样化与资源复杂的应用场景，具有高效率，可扩展的特点。\n[0060] 相对于现有技术中的方案，本发明的优点是：\n[0061] 1.本发明中访问控制机制采用用户—应用—操作—资源四层架构，可实现单个用户对应多个应用，拥有众多不同权限，层次鲜明，鉴权管理便捷。\n[0062] 2.本发明中将泛在资源进行分类管理，保证应用的高效和可扩展。\n[0063] 3.本发明数据库设计合理，有实用性。\n附图说明\n[0064] 下面结合附图及实施例对本发明作进一步描述：\n[0065] 图1为泛在网开放平台的网络拓扑图；\n[0066] 图2为本发明基于Web的泛在资源鉴权控制方法用户-应用-操作-权限-资源架构图；\n[0067] 图3为本发明基于Web的泛在资源鉴权控制方法用户-应用-操作-权限-资源实际应用的原理图；\n[0068] 图4为本发明基于Web的泛在资源鉴权控制系统的结构框图。\n具体实施方式\n[0069] 以下结合具体实施例对上述方案做进一步说明。应理解，这些实施例是用于说明本发明而不限于限制本发明的范围。实施例中采用的实施条件可以根据具体厂家的条件做进一步调整，未注明的实施条件通常为常规实验中的条件。\n[0070] 实施例\n[0071] 本实施例为校园泛在节点应用实例，泛在硬件资源为Micaz和Iris节点，泛在数据资源为节点上报的数据。如图1所示。\n[0072] 泛在网开放平台的开发是为了研究需要，在泛在网开放平台中进行了居多限制，例如：\n[0073] 1)物理研究中对精度非常敏感的问题很可能对物理仪器(尤其是精密仪器)在实验过程中的震动要求很高，震动监测可以让研究者发现人感觉不到但是对实验结果会有影响的震动的发生，使得研究人员可以排除错误的数据；\n[0074] 2)对于生物研究可能需要某些培养皿在特定的光照条件下培育一定的时间，因此光照监测也可以让研究人员确认培育过程中没有意外的光照条件变化的影响。\n[0075] 泛在网开放平台涉及的设备是无线节点，节点可以向服务器传输节点当前的光照强度信息和加速度信息，服务器将这些信息解析出来后存入数据库，并通过对数据库数据的访问和监视实现系统各功能。\n[0076] 泛在网开放平台中基于Web的泛在资源鉴权控制系统部署在服务器上，可以获取服务器中数据库中的所有数据，并将获取的数据封装成json数据包，形成接口提供对外访问，只有当前用户拥有相应的权限，系统才会返回相应的数据包，否则返回错误提示。如图4所示。\n[0077] 基于Web的泛在资源鉴权控制方法用户-应用-操作-权限-资源架构图，如图2所示。\n[0078] 实际应用中，系统可以为物理实验室和生物实验室提供震动和光照监测服务，当实验者进行实验时可以由节点提供实验环境的光照和震动条件，实验者可以通过网络访问系统的网页来查看实时的光照和震动数据，尤其是长时间的实验(如培养基培养等)实验者不会每时每刻全程关注实验的情况，因此需要系统有提供历史信息的能力。在此前提下，系统必须引入权限机制来保证实验者的数据不会因无权限的他人的操作而丢失或失真。系统中用户—应用—操作—资源四层架构如图3所示。\n[0079] 权限分级结构和对应的操作如下表所示：\n[0080] 表2权限分级表\n[0081]\n[0082] 对于系统的每一个注册用户都有唯一的节点权限和数据权限值，当一个用户注册时，系统会默认用户的节点权限为4、数据权限为3，此时该用户对所有的节点和数据都没有任何操作的权限。\n[0083] 用户的权限提示只能通过比他权限高的用户赋予权限获得，但每个用户最多只能将他人的权限提升到与自己一样。系统的最高权限(节点权限为0、数据权限为0)只可预先设定。系统设定的权限和权限拥有者对应关系如下：\n[0084] 表3权限-用户设定\n[0085]\n[0086] 当有一些节点正在工作或者数据库中存有历史数据时，震动监测或者光照监测应用可以对这些资源进行一定权限的操作。某个拥有权限的用户登录后使用该应用对泛在资源进行处理流程如下：\n[0087] 1)用户登录，应用查询该用户权限，对该用户身份和权限进行确认；\n[0088] 用户输入用户名和密码登录时，应用会请求数据库中存储的用户鉴权表，将用户输入的信息与数据库信息进行比对，如果该用户存在则返回该用户在该应用中的硬件资源操作权限和软件资源操作权限；如果无该用户存在返回错误信息并要求用户重新登录。\n[0089] 2)用户选择对资源的操作；\n[0090] 登录后的用户在应用中调用应用对硬件资源或者数据资源的操作，应用会将操作解析成对数据库的操作同时将用户信息作为参数形成请求。\n[0091] 3)经确认拥有权限后应用对相关的数据进行查询和处理；\n[0092] 存储数据库的应用平台接收到应用发送来的请求后对请求中的用户信息在用户鉴权表中进行查询确认权限，权限足够时平台实现请求中的操作；权限不足时平台拒绝进行操作。\n[0093] 4)返回处理结果。\n[0094] 平台将3)中的结果返回给应用，应用将操作结果显示给用户。\n[0095] 上述实例只为说明本发明的技术构思及特点，其目的在于让熟悉此项技术的人是能够了解本发明的内容并据以实施，并不能以此限制本发明的保护范围。凡根据本发明精神实质所做的等效变换或修饰，都应涵盖在本发明的保护范围之内。