The integration of network roles and attributes of cross domain security switch based access control method, and relates to the technical field of information security, solve the existing access control method can not take into account the granularity of access control in a dynamic and complex network environment, shortage of flexibility and decision performance, this method is applied to Internet access control node, including four types of data and the access control decision module, data access control and decision modules are deployed on the Internet access control node, when the mobile terminal to access the Internet through the integration of network resources / services, access node first intercept access request, access to user information and user permissions associated information, if unable to obtain the permission information access node, control node send the request to visit, through the access control decision module by node access control The access control granularity is finer and the access control method is more flexible.
【技术实现步骤摘要】
本专利技术涉及信息安全
,涉及一种访问控制方法,具体涉及一种基于角色和属性的细粒度访问控制方法。
技术介绍
一体化网络由地面互联网和空间网络组成,移动终端可通过地面无线基站或空间的低轨卫星(LEO)访问互联网上的资源/服务。在这样的网络中,移动终端频繁在不同网络域间切换(如从一个LEO星座切入另一个LEO星座,或从空间网络切入地面互联网),其时空属性不断变化。访问控制需求动态复杂,访问控制决策将更多地依赖访问控制请求所处的上下文环境以及主、客体的安全属性。基于角色的访问控制方法(RBAC)容易产生角色爆炸问题,无法适应复杂多变的访问控制需求。基于属性的访问控制方法(ABAC)解决了RBAC不能很好地支持大量上下文属性的问题(即角色爆炸问题),实现了动态且细粒度的访问控制。但与RBAC相比,ABAC的访问控制决策更复杂,更难以进行访问控制规则的安全性分析。不论RBAC还是ABAC,都有相应的优点和缺点,且存在着较强的互补性。因此,不少学者便提出了将RBAC和ABAC相结合的方案(即RABAC),以保留RBAC的简单性和安全性,以及ABAC的灵活性。RABAC方法是以RBAC为基础,使用RBAC来管理用户和权限之间的静态关系,并确保这种关系的安全性,而应用ABAC来管理用户和权限之间的动态关系,将基于属性的访问控制规则动态地应用于用户-角色映射、角色-权限映射和用户-权限映射。然而,目前RABAC方法的访问控制粒度较粗,灵活性不够,也无法适用于一体化网络的跨域安全切换。
技术实现思路
本专利技术的目的在于提供一种基于角色和属性的一体化网络跨域安全切换访问控 ...
【技术保护点】
基于角色和属性的一体化网络跨域安全切换访问控制方法,该方法应用于互联网的访问控制节点,包括四类数据和访问控制决策模块,数据及访问控制决策模块均部署于互联网的访问控制节点上,当移动终端通过一体化网络访问互联网的资源/服务时,接入节点首先拦截访问请求,获取用户信息以及用户所关联的权限信息,如果接入节点无法获得权限信息,则向访问控制节点发送请求,由访问控制节点的访问控制决策模块通过下述步骤获取用户的权限;其特征是,该方法具体由以下步骤实现:步骤一:在节点数据库中建立用户‑角色关系表、用户‑角色策略表、角色‑权限关系表以及角色‑权限策略表,根据用户标识u到用户‑角色关系表中检索所述用户所拥有的角色集合R;步骤二:遍历步骤一所述的角色集合R中的每个角色r,使用角色标识检索角色r关联的角色策略集合Policies_r;步骤三:遍历步骤二所述的角色策略集合Policies_r中的每个角色策略policy_r,采用策略有效性计算方法,结合用户属性UATT、角色属性RATT和环境属性ENV计算每个角色策略policy_r的有效性,判断每个角色策略policy_r是否有效,如果否,则从角色集合R中删除角色 ...
【技术特征摘要】
1.基于角色和属性的一体化网络跨域安全切换访问控制方法,该方法应用于互联网的访问控制节点,包括四类数据和访问控制决策模块,数据及访问控制决策模块均部署于互联网的访问控制节点上,当移动终端通过一体化网络访问互联网的资源/服务时,接入节点首先拦截访问请求,获取用户信息以及用户所关联的权限信息,如果接入节点无法获得权限信息,则向访问控制节点发送请求,由访问控制节点的访问控制决策模块通过下述步骤获取用户的权限;其特征是,该方法具体由以下步骤实现:步骤一:在节点数据库中建立用户-角色关系表、用户-角色策略表、角色-权限关系表以及角色-权限策略表,根据用户标识u到用户-角色关系表中检索所述用户所拥有的角色集合R;步骤二:遍历步骤一所述的角色集合R中的每个角色r,使用角色标识检索角色r关联的角色策略集合Policies_r;步骤三:遍历步骤二所述的角色策略集合Policies_r中的每个角色策略policy_r,采用策略有效性计算方法,结合用户属性UATT、角色属性RATT和环境属性ENV计算每个角色策略policy_r的有效性,判断每个角色策略policy_r是否有效,如果否,则从角色集合R中删除角色r,并执行步骤二;如果是,则继续判断角色策略集合Policies_r中的下一个角色策略;步骤四:遍历角色集合R中的每个角色r,在角色-权限关系表中检索该角色关联的所有权限标识p,并将...
【专利技术属性】
技术研发人员:祁晖,底晓强,李锦青,从立钢,杨华民,任维武,毕琳,
申请(专利权)人:长春理工大学,
类型:发明
国别省市:吉林;22
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。