一种角色访问控制方法技术

本发明专利技术公开了一种角色访问控制方法，在用户访问时，进行用户可信度的计算，并判断是否符合用户访问的激活条件，保证了系统的安全性能，使用角色的概念来进行用户访问管理，具有明晰的角色层次管理，以及高扩展性和适应性，可以适用于各种云存储的环境。基于角色的访问控制方法的优点如下：方便授权管理、便于根据工作需要分级、方便实现最小特权、方便分担任务、方便对文件实现分级管理、容易大规模实现。

Role access control method

The invention discloses a role-based access control method in the calculation of user access, user confidence, and determine whether the user access the activation conditions, ensure the safety performance of the system, the concept of using the role of user management, role hierarchy management with clarity, and high scalability and adaptability, can applicable to all kinds of cloud storage environment. The advantages of the role-based access control method based on authorization management: convenient and easy to realize classification, according to the needs of least privilege, convenient, easy to share the task of file classification management, to achieve large-scale.

【技术实现步骤摘要】
一种角色访问控制方法
本专利技术涉及信息安全
,具体地说是一种面向云的角色访问控制方法
技术介绍
访问控制方面不断发展，从传统的自主和强制访问控制模型到之后随着网络和计算机技术发展而出现的基于角色的访问控制模型、基于任务的访问控制模型、面向分布式和跨域的访问控制模型、与时空相关的访问控制模型、基于安全属性的访问控制方式等。传统的访问控制模型有自主访问控制和强制访问控制两种，但这两种访问控制模型都存在管理困难的问题。随着计算机系统的不断发展，在云计算环境下，用户需要访问的资源越来越多，出现了对灵活性好、适应性强的访问控制模型的需求。基于角色的访问控制模型，它在用户和访问权限之间引入角色的概念，这样保证将用户和权限之间进行了分离，从而进一步的可以保证用户和访问权限的安全，提高了用户访问的灵活性。但此模型不适合在分布式的系统中应用。在云环境下，目前研究得相对较多的是通过密码学的方法实现访问控制，但是计算量较大，同时权限变更和撤销复杂。因此，设计一种适用于云存储环境下该系统的基于可信度和属性的角色访问控制方法势在必行。
技术实现思路
本专利技术旨在至少解决现有技术中存在的技术问题之一。为此，本专利技术的目的在于，通过设计一种角色访问控制方法，使用角色的概念来进行用户访问管理，具有明晰的角色层次管理，以及高扩展性和适应性。基于角色的访问控制模型的优点如下：方便授权管理、便于根据工作需要分级、方便实现最小特权、方便分担任务、方便对文件实现分级管理、容易大规模实现。为实现上述目的，本专利技术提供一种角色访问控制方法，包括以下步骤：S1，用户输入用户名和密码登录系统提出访问请求，系统对用户进行身份认证，同时在认证过程中搜集用户相关信息；S2，后台服务器对所述用户进行综合可信度的计算；S3，查询用户属性可激活的角色和权限；S4，根据用户的属性分配角色，并通过用户属性关键值进行匹配，得到用户所属角色域；S5，根据用户可信度和角色可信度进行比较，判断所述用户是否满足激活角色的条件；S6，查询用户关系数据库，确定用户对资源对象的可执行权限；S7，反馈授权结果信息至用户。更进一步的，所述系统对用户进行身份认证具体为：根据用户输入的用户名和密码进行匹配，若匹配正确，则进入下一步；若匹配失败，则拒绝登录。具体的，所述综合可信度通过如下公式计算：T＝a*AT+b*BT；其中AT表示用户基本可信度，BT表示用户行为可信度，a和b分别表示用户基本可信度和用户行为可信度的权重参数，且a+b＝1。更具体的，所述所述用户基本可信度AT通过如下公式计算：AT＝w1*t+w2*(m1÷n1)+w3*(m2÷n2)+w4*(m3÷n3)+w5*(m4÷n4)；其中，n1、n2、n3、n4分别表示可信平台、系统、安全设备、应用程序四类操作数的数目，m1、m2、m3、m4分别表示可信平台、系统、安全设备、应用程序中可信操作的数目，其中t为静态可信度。更具体的，所述用户行为可信度BT通过如下公式计算：BT＝∑vi÷∑|vi|；其中，vi表示访问事件的敏感度。更进一步的，所属用户属性关键值表示用户的权限大小。优选的，角色可信度表示系统预先设定的激活某个角色所需的最小可信度值。优选的，所述根据用户可信度和角色可信度进行比较，判断所述用户是否满足激活角色的条件具体为：若用户可信度大于等于角色可信度，则判断满足激活角色条件，进行下一步；若用户可信度小于角色可信度，则判断不满足激活角色条件，向用户反馈拒绝操作信息。优选的，所述用户相关信息为静态属性、平台环境、行为信息。通过本专利技术的技术方案，在用户访问时，进行用户可信度的计算，并判断是否符合用户访问的激活条件，保证了系统的安全性能，使用角色的概念来进行用户访问管理，具有明晰的角色层次管理，以及高扩展性和适应性，可以适用于各种云存储的环境。附图说明图1示出了本专利技术一种角色访问控制方法的流程图。图2示出了角色访问控制框图。具体实施方式为了能够更清楚地理解本专利技术的上述目的、特征和优点，下面结合附图和具体实施方式对本专利技术进行进一步的详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。在下面的描述中阐述了很多具体细节以便于充分理解本专利技术，但是，本专利技术还可以采用其他不同于在此描述的方式来实施，因此，本专利技术的保护范围并不受下面公开的具体实施例的限制。图1示出了本专利技术一种角色访问控制方法的流程图。如图1所述，一种角色访问控制方法，包括以下步骤：S1，用户输入用户名和密码登录系统提出访问请求，系统对用户进行身份认证，同时在认证过程中搜集用户相关信息；S2，后台服务器对所述用户进行综合可信度的计算；S3，查询用户属性可激活的角色和权限；S4，根据用户的属性分配角色，并通过用户属性关键值进行匹配，得到用户所属角色域；S5，根据用户可信度和角色可信度进行比较，判断所述用户是否满足激活角色的条件；S6，查询用户关系数据库，确定用户对资源对象的可执行权限；S7，反馈授权结果信息至用户。更进一步的，所述系统对用户进行身份认证具体为：根据用户输入的用户名和密码进行匹配，若匹配正确，则进入下一步；若匹配失败，则拒绝登录。综合可信度从两方面度量用户的可信度：一是基于用户身份及环境信息的可信度，相当于信任管理概念中的直接信任，将其定义为基本可信度AT，用户的基本可信度通过系统安全策略和规则来确定。二是计算用户行为可信度，根据它访问系统的行为历史，反馈其行为记录对可信度的影响。基本可信度、行为可信度均在[0,1]之间取值，用户的总体可信度是它们按照预设的权重加权计算而得。综合可信度表示系统综合评估用户的身份、平台和行为的信息以后得到的可信度值。用[0,1]上的任意实数表示，数值越大表示用户可信度越高。角色可信度表示系统事先设定的激活某个角色所需的最小可信度值。具体的，所述综合可信度通过如下公式计算：T＝a*AT+b*BT；其中AT表示用户基本可信度，BT表示用户行为可信度，a和b分别表示用户基本可信度和用户行为可信度的权重参数，且a+b＝1。影响用户可信度的因子，主要有五个：静态的属性、可信平台、系统、安全设备以及应用软件。更具体的，所述所述用户基本可信度AT通过如下公式计算：AT＝w1*t+w2*(m1÷n1)+w3*(m2÷n2)+w4*(m3÷n3)+w5*(m4÷n4)；其中，n1、n2、n3、n4分别表示可信平台、系统、安全设备、应用程序四类操作数的数目，m1、m2、m3、m4分别表示可信平台、系统、安全设备、应用程序中可信操作的数目，其中t为静态可信度(由系统设定)。更具体的，所述用户行为可信度BT通过如下公式计算：BT＝∑vi÷∑|vi|；其中，vi表示访问事件的敏感度。将良性访问事件的敏感值定为vi＝1，恶意访问事件vi＝-2，以体现可信度的慢增骤降原则。其敏感值可以通过系统的历史记录和用户的历史访问确定，也可以直接通过用户目前访问的行为目的和其权限度进行确定。更进一步的，所属用户属性关键值表示用户的权限大小。优选的，角色可信度表示系统预先设定的激活某个角色所需的最小可信度值。优选的，所述根据用户可信度和角色可信度进行比较，判断所述用户是否满足激活角色的条件具体为：若用户可信度大于等于角色可信度，则判断满本文档来自技高网...

【技术保护点】
一种角色访问控制方法，其特征在于，包括以下步骤：S1，用户输入用户名和密码登录系统提出访问请求，系统对用户进行身份认证，同时在认证过程中搜集用户相关信息；S2，后台服务器对所述用户进行综合可信度的计算；S3，查询用户属性可激活的角色和权限；S4，根据用户的属性分配角色，并通过用户属性关键值进行匹配，得到用户所属角色域；S5，根据用户可信度和角色可信度进行比较，判断所述用户是否满足激活角色的条件；S6，查询用户关系数据库，确定用户对资源对象的可执行权限；S7，反馈授权结果信息至用户。

【技术特征摘要】
1.一种角色访问控制方法，其特征在于，包括以下步骤：S1，用户输入用户名和密码登录系统提出访问请求，系统对用户进行身份认证，同时在认证过程中搜集用户相关信息；S2，后台服务器对所述用户进行综合可信度的计算；S3，查询用户属性可激活的角色和权限；S4，根据用户的属性分配角色，并通过用户属性关键值进行匹配，得到用户所属角色域；S5，根据用户可信度和角色可信度进行比较，判断所述用户是否满足激活角色的条件；S6，查询用户关系数据库，确定用户对资源对象的可执行权限；S7，反馈授权结果信息至用户。2.根据权利要求1所述的一种角色访问控制方法，其特征在于：所述系统对用户进行身份认证具体为：根据用户输入的用户名和密码进行匹配，若匹配正确，则进入下一步；若匹配失败，则拒绝登录。3.根据权利要求1所述的一种角色访问控制方法，其特征在于：所述综合可信度通过如下公式计算：T＝a*AT+b*BT；其中AT表示用户基本可信度，BT表示用户行为可信度，a和b分别表示用户基本可信度和用户行为可信度的权重参数，且a+b＝1。4.根据权利要求3所述的一种角色访问控制方法，其特征在于：所述所述用户基本可信度AT通过如下公式计算：AT＝w1*t+w2*(...

【专利技术属性】
技术研发人员：郝波，郭学光，
申请(专利权)人：中经汇通电子商务有限公司，
类型：发明
国别省市：广东,44