基于角色和属性的一体化网络跨域安全切换访问控制方法技术

基于角色和属性的一体化网络跨域安全切换访问控制方法，涉及信息安全技术领域，解决现有访问控制方法在动态复杂的网络环境下不能兼顾访问控制粒度，灵活性及决策性能方面的不足等问题，该方法应用于互联网的访问控制节点，包括四类数据和访问控制决策模块，数据及访问控制决策模块均部署于互联网的访问控制节点上，当移动终端通过一体化网络访问互联网的资源/服务时，接入节点首先拦截访问请求，获取用户信息以及用户所关联的权限信息，如果接入节点无法获得权限信息，则向访问控制节点发送请求，由访问控制节点的访问控制决策模块通过下述步骤获取用户的权限；本发明专利技术的访问控制粒度更细且访问控制方法更灵活。

Cross domain security switching access control method for integrated network based on role and attribute

The integration of network roles and attributes of cross domain security switch based access control method, and relates to the technical field of information security, solve the existing access control method can not take into account the granularity of access control in a dynamic and complex network environment, shortage of flexibility and decision performance, this method is applied to Internet access control node, including four types of data and the access control decision module, data access control and decision modules are deployed on the Internet access control node, when the mobile terminal to access the Internet through the integration of network resources / services, access node first intercept access request, access to user information and user permissions associated information, if unable to obtain the permission information access node, control node send the request to visit, through the access control decision module by node access control The access control granularity is finer and the access control method is more flexible.

【技术实现步骤摘要】

本专利技术涉及信息安全
，涉及一种访问控制方法，具体涉及一种基于角色和属性的细粒度访问控制方法。
技术介绍
一体化网络由地面互联网和空间网络组成，移动终端可通过地面无线基站或空间的低轨卫星(LEO)访问互联网上的资源/服务。在这样的网络中，移动终端频繁在不同网络域间切换(如从一个LEO星座切入另一个LEO星座，或从空间网络切入地面互联网)，其时空属性不断变化。访问控制需求动态复杂，访问控制决策将更多地依赖访问控制请求所处的上下文环境以及主、客体的安全属性。基于角色的访问控制方法(RBAC)容易产生角色爆炸问题,无法适应复杂多变的访问控制需求。基于属性的访问控制方法(ABAC)解决了RBAC不能很好地支持大量上下文属性的问题(即角色爆炸问题)，实现了动态且细粒度的访问控制。但与RBAC相比,ABAC的访问控制决策更复杂，更难以进行访问控制规则的安全性分析。不论RBAC还是ABAC，都有相应的优点和缺点，且存在着较强的互补性。因此，不少学者便提出了将RBAC和ABAC相结合的方案(即RABAC)，以保留RBAC的简单性和安全性，以及ABAC的灵活性。RABAC方法是以RBAC为基础，使用RBAC来管理用户和权限之间的静态关系，并确保这种关系的安全性，而应用ABAC来管理用户和权限之间的动态关系，将基于属性的访问控制规则动态地应用于用户-角色映射、角色-权限映射和用户-权限映射。然而，目前RABAC方法的访问控制粒度较粗，灵活性不够，也无法适用于一体化网络的跨域安全切换。
技术实现思路
本专利技术的目的在于提供一种基于角色和属性的一体化网络跨域安全切换访问控制方法，以解决现有方法在动态复杂的网络环境下不能兼顾访问控制粒度，灵活性及决策性能方面的不足。基于角色和属性的一体化网络访问控制方法，该方法应用于互联网的访问控制节点，包括四类数据和访问控制决策模块，数据及访问控制决策模块均部署于互联网的访问控制节点上，当移动终端通过一体化网络访问互联网的资源/服务时，接入节点首先拦截访问请求，获取用户信息以及用户所关联的权限信息，如果接入节点无法获得权限信息，则向访问控制节点发送请求，由访问控制节点的访问控制决策模块通过下述步骤获取用户的权限；该方法具体由以下步骤实现：步骤一：在节点数据库中建立用户-角色关系表、用户-角色策略表、角色-权限关系表以及角色-权限策略表，根据用户标识u到用户-角色关系表中检索所述用户所拥有的角色集合R；步骤二：遍历步骤一所述的角色集合R中的每个角色r，使用角色标识检索角色r关联的角色策略集合Policies_r；步骤三：遍历步骤二所述的角色策略集合Policies_r中的每个角色策略policy_r，采用策略有效性计算方法，结合用户属性UATT、角色属性RATT和环境属性ENV计算每个角色策略policy_r的有效性，判断每个角色策略policy_r是否有效，如果否，则从角色集合R中删除角色r，并执行步骤二；如果是，则继续判断角色策略集合Policies_r中的下一个角色策略；步骤四：遍历角色集合R中的每个角色r，在角色-权限关系表中检索该角色关联的所有权限标识p，并将所有权限标识p中的权限加入权限集合PP；将用户属性UATT和角色属性RATT组合形成新的角色属性RATT′；步骤五：遍历权限集合PP中的每个权限标识p，使用权限标识检索该权限关联的权限策略集合Policies_p；步骤六：遍历权限策略集合Policies_p中的每个权限策略policy_p，应用策略有效性计算方法，结合新的角色属性RATT′、对象属性OATT和环境属性ENV计算权限策略policy_p的有效性，判断权限策略policy_p是否有效，如果否，则从权限集合PP中删除权限标识p，并执行步骤五，如果是，则继续处理权限策略集合Policies_p中的下一个权限策略；实现基于角色和属性的网络访问控制。本专利技术的有益效果：基于RABAC的方法有两种，一种是将基于属性的访问控制策略仅用于缩减用户-权限关系，另一种则是在缩减角色-权限关系时使用单纯的角色属性RATT。相比于前者，本专利技术的方法更灵活，基于属性的访问控制策略不仅可作用于用户-权限关系，还可作用于用户-角色关系。例如，应用本专利技术的访问控制方法，人们可以定义用户在某种条件下不可激活或使用某个角色。相比于后者，本专利技术的访问控制粒度更细。本专利技术在缩减角色-权限策略时使用的是结合了用户属性的新角色属性RATT′。由于RATT′包含的用户属性，因此本专利技术可以更细粒度地控制角色-权限关系，如应用本专利技术的方法，人们可以定义某个组织机构(组织机构通常是用户的属性)的角色不能激活或使用某个权限。附图说明图1本专利技术所述的基于角色和属性的一体化网络跨域安全切换访问控制方法的框架示意图；图2本专利技术所述的基于角色和属性的一体化网络跨域安全切换访问控制方法访问控制决策流程图；图3本专利技术所述的基于角色和属性的一体化网络跨域安全切换访问控制方法中数据库设计原理图；图4本专利技术所述的基于角色和属性的一体化网络跨域安全切换访问控制方法的应用原理图。具体实施方式具体实施方式一、结合图1至图4说明本实施方式，基于角色和属性的一体化网络访问控制方法，该方法分为静态和动态两个部分，方法框架如附图1所示；静态部分使用RBAC方法确定用户和权限的映射关系，动态部分则使用基于属性的访问控制规则对用户权限关系进行缩减。在方法的静态部分，本实施方式保留了RBAC的绝大部分元素，包括用户标识u、角色R、权限标识P，权限可细分成操作OPS和对象OBS，用户-角色关系UR、角色-权限关系RP和角色继承关系RH。本实施方式中还为用户定义了用户属性UATT，如用户性别、年龄、所在单位；为角色定义了角色属性RATT，如角色等级；为权限定义了对象属性OATT，如用户访问的对象的类型、所属单位等；为环境定义了环境属性ENV，如当前时间、用户所在位置等。这些属性将在方法的动态部分参与角色和权限过滤，缩减用户-角色、角色-权限关系。在方法的动态部分，本实施方式将确定用户-权限关系的过程(会话建立过程)分为两个阶段，它们被分别命名为S1和S2。S1在用户-角色静态关系基础上根据用户属性UATT、角色属性RATT和环境属性ENV以及由这些属性定义的访问控制策略动态确定用户可用的角色；S2以S1确定的角色和其对应的权限为基础，根据新的角色属性RATT′、对象属性OATT、环境属性ENV和由这些属性定义的策略动态确定用户最终可用的权限。会话建立过程具体为：S1：由RBAC模型确定用户-角色关系UR；根据用户属性UATT、角色属性RATT、环境属性ENV和相关策略从用户-角色关系UR中删除违反规则的关系，生成新的用户-角色关系UR′；S2：由RBAC模型确定角色-权限关系RP，并将用户属性UATT和角色属性RATT组合形成新的角色属性RATT′；根据新的角色属性RATT′、对象属性OATT、环境属性ENV和相关策略从角色-权限关系RP中删除违反规则的关系，生成新的角色-权限关系RP′。通过上述S1和S2可得最终可用的用户-权限关系UP′，该关系是RBAC确定的用户-权限关系UP的子集，即由于用户-权限关系UP的安全性由RBAC保证，而本发本文档来自技高网...

【技术保护点】
基于角色和属性的一体化网络跨域安全切换访问控制方法，该方法应用于互联网的访问控制节点，包括四类数据和访问控制决策模块，数据及访问控制决策模块均部署于互联网的访问控制节点上，当移动终端通过一体化网络访问互联网的资源/服务时，接入节点首先拦截访问请求，获取用户信息以及用户所关联的权限信息，如果接入节点无法获得权限信息，则向访问控制节点发送请求，由访问控制节点的访问控制决策模块通过下述步骤获取用户的权限；其特征是，该方法具体由以下步骤实现：步骤一：在节点数据库中建立用户‑角色关系表、用户‑角色策略表、角色‑权限关系表以及角色‑权限策略表，根据用户标识u到用户‑角色关系表中检索所述用户所拥有的角色集合R；步骤二：遍历步骤一所述的角色集合R中的每个角色r，使用角色标识检索角色r关联的角色策略集合Policies_r；步骤三：遍历步骤二所述的角色策略集合Policies_r中的每个角色策略policy_r，采用策略有效性计算方法，结合用户属性UATT、角色属性RATT和环境属性ENV计算每个角色策略policy_r的有效性，判断每个角色策略policy_r是否有效，如果否，则从角色集合R中删除角色r，并执行步骤二；如果是，则继续判断角色策略集合Policies_r中的下一个角色策略；步骤四：遍历角色集合R中的每个角色r，在角色‑权限关系表中检索该角色关联的所有权限标识p，并将所有权限标识p中的权限加入权限集合PP；将用户属性UATT和角色属性RATT组合形成新的角色属性RATT′；步骤五：遍历权限集合PP中的每个权限标识p，使用权限标识检索该权限关联的权限策略集合Policies_p；步骤六：遍历权限策略集合Policies_p中的每个权限策略policy_p，应用策略有效性计算方法，结合新的角色属性RATT′、对象属性OATT和环境属性ENV计算权限策略policy_p的有效性，判断权限策略policy_p是否有效，如果否，则从权限集合PP中删除权限标识p，并执行步骤五，如果是，则继续处理权限策略集合Policies_p中的下一个权限策略；实现基于角色和属性的网络访问控制。...

【技术特征摘要】
1.基于角色和属性的一体化网络跨域安全切换访问控制方法，该方法应用于互联网的访问控制节点，包括四类数据和访问控制决策模块，数据及访问控制决策模块均部署于互联网的访问控制节点上，当移动终端通过一体化网络访问互联网的资源/服务时，接入节点首先拦截访问请求，获取用户信息以及用户所关联的权限信息，如果接入节点无法获得权限信息，则向访问控制节点发送请求，由访问控制节点的访问控制决策模块通过下述步骤获取用户的权限；其特征是，该方法具体由以下步骤实现：步骤一：在节点数据库中建立用户-角色关系表、用户-角色策略表、角色-权限关系表以及角色-权限策略表，根据用户标识u到用户-角色关系表中检索所述用户所拥有的角色集合R；步骤二：遍历步骤一所述的角色集合R中的每个角色r，使用角色标识检索角色r关联的角色策略集合Policies_r；步骤三：遍历步骤二所述的角色策略集合Policies_r中的每个角色策略policy_r，采用策略有效性计算方法，结合用户属性UATT、角色属性RATT和环境属性ENV计算每个角色策略policy_r的有效性，判断每个角色策略policy_r是否有效，如果否，则从角色集合R中删除角色r，并执行步骤二；如果是，则继续判断角色策略集合Policies_r中的下一个角色策略；步骤四：遍历角色集合R中的每个角色r，在角色-权限关系表中检索该角色关联的所有权限标识p，并将...

【专利技术属性】
技术研发人员：祁晖，底晓强，李锦青，从立钢，杨华民，任维武，毕琳，
申请(专利权)人：长春理工大学，
类型：发明
国别省市：吉林;22