一种通用的访问控制方法及装置制造方法及图纸

一种通用的访问控制方法及装置；方法包括：访问请求实体针对待访问的资源生成访问请求消息，访问请求消息包括：访问请求实体的标识及属性信息、请求访问的资源的标识；访问请求实体将访问请求消息通过网络和/或广义网络传送给访问控制节点；访问控制节点根据访问请求消息、第一网络传播链和/或第一广义网络传播链判断访问请求是否满足预定的访问控制策略；访问控制节点将访问对象和/或操作结果通过网络和/或广义网络传送给访问请求实体；访问对象包括资源及其属性信息。本发明专利技术能够更好地满足各种应用场景下的访问控制需求。

【技术实现步骤摘要】

本专利技术涉及网络与系统安全领域，尤其涉及一种通用的访问控制方法及装置。
技术介绍
随着通信技术、网络技术和信息技术的持续快速发展和应用广泛普及，形成了包含互联网、移动网和物联网等具有开放性、异构性、移动性、动态性、多安全域等诸多特性的复杂的、泛在的网络系统。在复杂的、泛在的网络中通过“网络之网络”(Network of Network，NoN)访问“系统之系统(System of System，SoS)”已经成为信息化发展的趋势。各种网络技术与信息技术的发展，云计算技术应用普及，“人”、“机”、“物”借助泛在异构的网络广泛互联互通，公共安全、智能交通、智慧家庭与移动社交、环境监测、位置服务、移动支付等新服务模型和业务不断涌现，信息网服务呈现“云端”、“管道”、“终端”融合发展的趋势，新的服务模式的出现为用户提供随心、随时、随地的访问方式和途径。但这种泛在的网络环境在给人们带来便利的同时，对新型信息服务模式下的访问控制提出更大挑战。泛在网络环境中访问信息资源时，人们所处的环境状态与时间状态、采用的终端设备、从何处接入、经由的网络，以及要访问的信息资源及其安全属性等都将对访问权限产生重要的影响，直接决定对信息资源的访问类型以及信息资源的有效使用时间。而已有访问控制模型均无法适应泛在网络环境的上述需求，无法涵盖什么人、什么时间、从哪里接入网络、使用什么设备、经由什么网络、访问什么资源、对资源做什么操作、数据保存多长时间等多种因素，期待一种新型访问控制模型，能够随泛在网络环境中应用的不同而自适应，实现随时随地安全地访问无处不在的信息资源，真正达到“信息随心行、交互在指间”的理想境界。
技术实现思路
本专利技术要解决的技术问题是如何本专利技术能够更好地满足各种应用场景下的访问控制需求。为解决上述技术问题，采用以下技术方案：一种通用的访问控制方法，包括：访问请求实体针对待访问的资源生成访问请求消息；所述的访问请求消息包括：访问请求实体的标识及属性信息、请求访问的资源的标识；所述访问请求实体将所述访问请求消息通过网络和/或广义网络传送给访问控制节点；所述访问控制节点根据所述的访问请求消息、第一网络传播链和/或第一广义网络传播链判断访问请求是否满足预定的访问控制策略；所述第一网络传播链和/或第一广义网络传播链通过加入所述访问请求消息在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到；所述访问控制节点将访问对象和/或操作结果通过网络和/或广义网络传送给访问请求实体；所述访问对象包括所述资源及其属性信息。可选地，将所述资源及其属性信息作为访问对象通过网络和/或广义网络传送给所述访问请求实体后还包括：所述访问请求实体通过网络和/或广义网络接收所述访问对象和/或操作结果，得到第二网络传播链和/或第二广义网络传播链；所述第二网络传播链和/或第二广义网络传播链通过加入所述访问对象和/或操作结果在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到。可选地，所述的方法还包括：第一访问请求实体针对待转发的访问对象和/或操作结果，以及作为转发目标的第二访问请求实体，生成转发请求消息；所述的转发请求消息包括：第一访问请求实体标识、第二访问请求实体标识、待转发的访问对象和/或操作结果的信息；如果所述待转发的访问对象和/或操作结果是其它访问请求实体转发给所述第一访问请求实体的，则所述转发请求消息中还包括：资源传播链；所述第一访问请求实体将所述转发请求消息通过网络和/或广义网络传送给访问控制节点；所述访问控制节点当不存在资源传播链时，根据所述的转发请求消息、第三网络传播链和/或第三广义网络传播链判断转发请求是否满足预定的访问控制策略；当存在资源传播链时，根据所述的转发请求消息、第三网络传播链和/或第三广义网络传播链、及资源传播链判断转发请求是否满足预定的访问控制策略；所述第三网络传播链和/或第三广义网络传播链通过加入所述转发请求消息在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到；所述资源传播链是所述访问对象和/或操作结果在不同访问请求实体之间的转发过程中形成的；当所述转发请求消息满足预定的访问控制策略时，所述第一访问请求实体对所述待转发的访问对象和/或操作结果进行转发。可选地，所述访问控制节点设置在网络中任一设备上；设置在前台和/或后台；为集中式或分布式；各访问控制节点的控制区域是整个网络或部分网络。可选地，所述访问请求实体包括用户、自治代理、角色中任意一个或几个，访问请求实体集合不能为空；所述用户，用于描述资源的创建、接收与转发，访问请求或转发请求的发起的用户集合，由有限的个体组成；所述自治代理，用于描述资源的接收与转发、访问请求或转发请求的发起的相关进程、代理服务的集合，由有限的个体组成；所述角色是具有某种权限的集合；所述访问请求实体的属性信息包括以下任一种或任意组合：广义时态状态、访问设备、接入点；或者为空；所述广义时态状态包括以下一种或多种的任意组合：时间区间、持续时间、时间周期；或者为空；所述时间区间，用于描述事件的起始时间和终止时间之间的时间区间；所述持续时间，用于描述事件的持续时间；所述时间周期，用于描述事件的时间周期；所述接入点包括以下一种或多种的任意组合：空间位置、网络标识、效能、风险系数，或者为空；所述空间位置，用于描述对资源进行访问时接入点的相关空间位置信息；所述网络标识，用于描述访问资源时接入点的唯一网络标识；所述效能用于描述接入点的控制效果；所述风险系数用于描述接入点的安全特性；所述访问设备用于描述对资源进行访问时的设备及其组成特征和相关属性；所述设备的组成特征和相关属性包括以下一种或或多种的任意组合：通用属性、安全属性和时间属性；所述的通用属性用于描述设备基本属性及相关效能；所述的安全属性用于描述访问设备的安全特性及风险系数；所述的时间属性用于描述访问设备的时间属性；所述资源的属性信息包括以下一种或任意组合：广义时态状态、接入点、访问设备；所述资源用于描述访问的对象及其相关属性，所述访问的对象的相关属性包括通用属性、安全属性中的一种或多种的任意组合；所述资源的通用属性包括资源的类型、资源的来源、资源大小、资源时态中的一种或多种的任意组合；所述的资源的类型包括数据库表、文件、网页本文档来自技高网...

【技术保护点】
一种通用的访问控制方法，其特征在于，所述访问控制方法包括：访问请求实体针对待访问的资源生成访问请求消息；所述的访问请求消息包括：访问请求实体的标识及属性信息、请求访问的资源的标识；所述访问请求实体将所述访问请求消息通过网络和/或广义网络传送给访问控制节点；所述访问控制节点根据所述的访问请求消息、第一网络传播链和/或第一广义网络传播链判断访问请求是否满足预定的访问控制策略；所述第一网络传播链和/或第一广义网络传播链通过加入所述访问请求消息在传送过程中依次所经过的网络和/或广义网络的交互行为的信息得到；所述访问控制节点将访问对象和/或操作结果通过网络和/或广义网络传送给访问请求实体；所述访问对象包括所述资源及其属性信息。

【技术特征摘要】
1.一种通用的访问控制方法，其特征在于，所述访问控制方法包括：
访问请求实体针对待访问的资源生成访问请求消息；所述的访问请求
消息包括：访问请求实体的标识及属性信息、请求访问的资源的标识；
所述访问请求实体将所述访问请求消息通过网络和/或广义网络传送给
访问控制节点；
所述访问控制节点根据所述的访问请求消息、第一网络传播链和/或第
一广义网络传播链判断访问请求是否满足预定的访问控制策略；所述第一
网络传播链和/或第一广义网络传播链通过加入所述访问请求消息在传送过
程中依次所经过的网络和/或广义网络的交互行为的信息得到；
所述访问控制节点将访问对象和/或操作结果通过网络和/或广义网络传
送给访问请求实体；所述访问对象包括所述资源及其属性信息。
2.如权利要求1所述的方法，其特征在于，将所述资源及其属性信息
作为访问对象通过网络和/或广义网络传送给所述访问请求实体后还包括：
所述访问请求实体通过网络和/或广义网络接收所述访问对象和/或操作
结果，得到第二网络传播链和/或第二广义网络传播链；所述第二网络传播链
和/或第二广义网络传播链通过加入所述访问对象和/或操作结果在传送过程
中依次所经过的网络和/或广义网络的交互行为的信息得到。
3.如权利要求1所述的方法，其特征在于，还包括：
第一访问请求实体针对待转发的访问对象和/或操作结果，以及作为转发
目标的第二访问请求实体，生成转发请求消息；所述的转发请求消息包
括：第一访问请求实体标识、第二访问请求实体标识、待转发的访问对象
和/或操作结果的信息；如果所述待转发的访问对象和/或操作结果是其它访
问请求实体转发给所述第一访问请求实体的，则所述转发请求消息中还包
括：资源传播链；
所述第一访问请求实体将所述转发请求消息通过网络和/或广义网络传
送给访问控制节点；
所述访问控制节点当不存在资源传播链时，根据所述的转发请求消息、

\t第三网络传播链和/或第三广义网络传播链判断转发请求是否满足预定的访
问控制策略；当存在资源传播链时，根据所述的转发请求消息、第三网络传
播链和/或第三广义网络传播链、及资源传播链判断转发请求是否满足预定的
访问控制策略；所述第三网络传播链和/或第三广义网络传播链通过加入所述
转发请求消息在传送过程中依次所经过的网络和/或广义网络的交互行为的
信息得到；所述资源传播链是所述访问对象和/或操作结果在不同访问请求
实体之间的转发过程中形成的；
当所述转发请求消息满足预定的访问控制策略时，所述第一访问请求实
体对所述待转发的访问对象和/或操作结果进行转发。
4.如权利要求1到3中任一项所述的方法，其特征在于：
所述访问控制节点设置在网络中任一设备上；设置在前台和/或后台；为
集中式或分布式；各访问控制节点的控制区域是整个网络或部分网络。
5.如权利要求1到3中任一项所述的方法，其特征在于：
所述访问请求实体包括用户、自治代理、角色中任意一个或几个，访问
请求实体集合不能为空；
所述用户，用于描述资源的创建、接收与转发，访问请求或转发请求
的发起的用户集合，由有限的个体组成；所述自治代理，用于描述资源的
接收与转发、访问请求或转发请求的发起的相关进程、代理服务的集合，
由有限的个体组成；所述角色是具有某种权限的集合；
所述访问请求实体的属性信息包括以下任一种或任意组合：广义时态状
态、访问设备、接入点；或者为空；
所述广义时态状态包括以下一种或多种的任意组合：时间区间、持续
时间、时间周期；或者为空；所述时间区间，用于描述事件的起始时间和终
止时间之间的时间区间；所述持续时间，用于描述事件的持续时间；所述
时间周期，用于描述事件的时间周期；
所述接入点包括以下一种或多种的任意组合：空间位置、网络标识、效
能、风险系数，或者为空；所述空间位置，用于描述对资源进行访问时接入
点的相关空间位置信息；所述网络标识，用于描述访问资源时接入点的唯

\t一网络标识；所述效能用于描述接入点的控制效果；所述风险系数用于描述
接入点的安全特性；
所述访问设备用于描述对资源进行访问时的设备及其组成特征和相关
属性；所述设备的组成特征和相关属性包括以下一种或或多种的任意组合：
通用属性、安全属性和时间属性；所述的通用属性用于描述设备基本属性
及相关效能；所述的安全属性用于描述访问设备的安全特性及风险系数；所
述的时间属性用于描述访问设备的时间属性；
所述资源的属性信息包括以下一种或任意组合：广义时态状态、接入
点、访问设备；
所述资源用于描述访问的对象及其相关属性，所述访问的对象的相关
属性包括通用属性、安全属性中的一种或多种的任意组合；所述资源的通
用属性包括资源的类型、资源的来源、资源大小、资源时态中的一种或多
种的任意组合；所述的资源的类型包括数据库表、文件、网页中的一种或
多种的任意组合；所述的资源的来源包括创建、转发、重组中的一种或多
种的任意组合；所述的资源的安全属性包括资源允许执行的操作、分发方
式、是否允许转发、销毁方式、安全等级、加密方式、风险系数中的一种
或多种的任意组合。
6.如权利要求1到3中任一项所述的方法，其特征在于：
所述的网络包括有线网、无线网、局域网、广域网、物联网中的一种
或多种的任意组合的实际网络环境；
所述的网络包括网络节点、网络节点之间的路径；所述的网络节点包
括：设备和网络区域；
所述的网络节点属性包括通用属性和安全属性中的一种或多种的任意
组合；
所述的网络节点的通用属性包括网络类型、网络协议、节点类型、效
能中的一种或多种的任意组合；所述的网络类型包括局域网、城域网、广
域网中的一种或多种的任意组合；所述网络协议，用于描述网络中为传递
和管理信息资源而建立的规则集；所述的节点类型包括起点、终点、子网

\t的入口、子网的出口、子网的内部节点中一种或多种的任意组合；所述效
能，用于描述网络节点控制效果；
所述网络节点的安全属性，用于描述网络节点的安全特性及风险系数，
包括设备的安全属性、网络的安全属性中的一种或多种的任意组合；所述
设备的安全属性用于描述设备的安全特性及风险系数；所述的网络的安全属
性用于描述网络的安全特性及风险系数；
网络节点之间的路径用于描述网络之间的连通性；所述路径的属性包
括网络节点之间路径的连通属性、安全属性中的一种或多种的任意组合；
所述的路径的连通属性用于描述线路的状态、性能及协议，为路径选择提
供依据；所述的连通属性包括性能属性、协议属性和效能中的一种或多种
的任意组合；所述的性能属性包括带宽、开销、跳数、时延、最大传输单
元、吞吐量中的一种或多种的任意组合；所述的协议属性包括TCP/IP、
CDMA、蓝牙、802.11、ISO1898中的一种或多种的任意组合；所述效能，
用于描述连通性效果；所述路径的安全属性用于描述路径的安全特性及风
险系数，包括加密类型、安全协议、管控信息、风险系数中的一种或多种
的任意组合。
7.如权利要求1所述的方法，其特征在于：
所述的网络传播链指基于网络节点有序交互行为的信息的集合；所述
的交互行为的信息包括资源/消息的发起点、资源/消息的接收点、行为的时
间属性、接入点；其中资源/消息的发起点和资源/消息的接收点不能为空，
行为的时间属性、接入点为一种或多种的任意组合，或者为空；所述的行
为的时间属性为广义时态状态；所述的接入点用于描述网络节点的位置属
性；
所述的广义网络传播链指基于人工有序交互行为的信息的集合；所述
的交互行为的信息包括资源/消息的发起者、资源/消息的接收者、行为的时
间属性、接入点；其中资源/消息的发起者和资源/消息的接收者不能为空，
行为的时间属性、接入点为一种或多种的任意组合，或者为空。
8.如权利要求3所述的方法，其特征在于：
所述资源传播链是用于描述资源传播过程中，资源交换行为的信息的有

\t序集合；
所述的资源交换行为的信息用于描述资源在两个访问请求实体之间的
一次传输，包括资源和/或消息的创建者或转发者、资源和/或消息的接收
者、访问对象和/或操作结果、广义时态状态；其中资源和/或消息的创建者
或转发者、资源和/或消息的接收者、访问对象和/或操作结果不能为空，广
义时态状态为一种或多种的任意组合，或者为空。
9.如权利要求8所述的方法，其特征在于：
在根据资源传播链判断是否满足预定的访问控制策略时，根据以下一
个因素或其任意组合进行判断：整个资源传播链中各个转发的访问请求实体
及其对应的广义时态状态、接入点和访问设备，各个接收的访问请求实体
及其对应的广义时态状态、接入点和访问设备，转发的时间，访问对象和/
或操作结果进行判断。
10.如权利要求4所述的方法，其特征在于，访问控制节点根据所述的
访问请求消息、第一网络传播链和/或第一广义网络传播链判断所述访问请
求是否满足预定的访问控制策略包括：
判断访问请求实体是否满足访问控制策略，如果不满足则判断所述访问
请求不满足预定的访问控制策略；
判断访问请求实体对应的广义时态状态是否满足访问控制策略要求，如
果不满足则判断所述访问请求不满足预定的访问控制策略；
判断访问请求实体对应的接入点是否满足访问控制策略，如果不满足则
判断所述访问请求不满足预定的访问控制策略；
判断访问请求实体对应的访问设备是否满足访问控制策略，如果不满足
则判断所述访问请求不满足预定的访问控制策略；
判断访问请求实体在进行访问请求时的第一网络传播链和/或第一广义
网络传播链是否满足访问控制策略；如果不满足则判断所述访问请求不满足
预定的访问控制策略。
如果均满足则判断所述访问请求满足预定的访问控制策略。
11.一种通用的访问控制装置，其特征在于，包括：
请求生成...

【专利技术属性】
技术研发人员：李凤华，谢绒娜，李晖，史国振，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西;61