一种基于匹配的访问控制方法技术

本发明专利技术公开了一种基于匹配的访问控制方法，所涉及的实体包括内容提供者，内容请求者和路由器。在本发明专利技术中，首先CQ通过可信网络向CP发起请求；当CP接收到请求时，CP通过配置与计算用户属性为CQ生成访问令牌并发送给CQ；然后，CQ可以使用该访问令牌请求内容；最后，CP通过访问令牌模块、内容权限模块和匹配模块实现了对CQ的访问令牌验证、访问内容匹配和提供。本发明专利技术使用可信信道进行数据传输确保了内容的安全性，所设计访问令牌提高了访问效率，根据内容权限与请求者属性得分，通过粗粒度与细粒度相结合的匹配方式，实现了多层次且高效的访问控制。

【技术实现步骤摘要】
一种基于匹配的访问控制方法
本专利技术涉及访问控制
，具体涉及一种基于匹配的访问控制方法。
技术介绍
访问控制是指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础，是网络安全防范和资源保护的关键策略之一，也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。目前的访问控制类型主要包括有自主访问控制，强制访问控制，基于角色的访问控制和基于属性的访问控制等。但是访问控制方案具有可靠性低，可扩展性差，未考虑访问内容的层次化，访问效率低等不足。
技术实现思路
本专利技术主要针对先存在的访问控制方案的不足，提供的一种基于匹配的访问控制方法。本专利技术包括内容权限模块、用户属性模块、匹配模块和访问令牌模块，各个模块交互步骤如下：(1)系统初始化，初始化内容权限模块定义内容的许可操作，初始化用户属性模块定义用户属性；(2)内容提供者端初始化，初始化内容权限模块和用户属性模块，内容权限模块标记可访问资源的许可操作并计分，用户属性模块内容提供者本文档来自技高网...

【技术保护点】
1.一种基于匹配的访问控制方法，其特征在于包括内容权限模块、用户属性模块、匹配模块和访问令牌模块，各个模块交互步骤如下：(1)系统初始化，初始化内容权限模块定义内容的许可操作，初始化用户属性模块定义用户属性；(2)内容提供者端初始化，初始化内容权限模块和用户属性模块，内容权限模块标记可访问资源的许可操作并计分，用户属性模块内容提供者为潜在的请求者配置用户基类和子类属性，权重并计算子类属性得分；(3)内容请求者CQ发起访问请求到内容提供者CP，CP响应CQ并返回访问令牌；在CP端，首先用户属性模块计算CQ的属性得分，然后访问令牌模块为CQ生成访问令牌，最后发送给CQ；(4)CQ使用该访问令牌访问...

【技术特征摘要】
1.一种基于匹配的访问控制方法，其特征在于包括内容权限模块、用户属性模块、匹配模块和访问令牌模块，各个模块交互步骤如下：(1)系统初始化，初始化内容权限模块定义内容的许可操作，初始化用户属性模块定义用户属性；(2)内容提供者端初始化，初始化内容权限模块和用户属性模块，内容权限模块标记可访问资源的许可操作并计分，用户属性模块内容提供者为潜在的请求者配置用户基类和子类属性，权重并计算子类属性得分；(3)内容请求者CQ发起访问请求到内容提供者CP，CP响应CQ并返回访问令牌；在CP端，首先用户属性模块计算CQ的属性得分，然后访问令牌模块为CQ生成访问令牌，最后发送给CQ；(4)CQ使用该访问令牌访问CP的内容；在CP端，首先访问令牌模块进行令牌验证，然后匹配模块根据用户属性得分和内容权限模块所提供的可访问内容集进行匹配，最后得到该请求者的许可访问内容集；另外该访问令牌可在其有效期内多次使用。2.根据权利要求1所述的一种基于匹配的访问控制方法，其特征在于内容权限模块中，CP定义内容的允许操作并根据所定义的许可操作对内容进行计算和等级划分，以实现多层次的资源集，具体实现如下：1-1定义内容的许可操作定义1:原子操作集(AtomicOperationSet,AOp)AOp＝{...,Modify,Execute,Delegate,Share,Read}(1)根据现有的远程访问资源需求，定义五种原子操作：修改(Modify)，执行(Execute)，委托(Delegate)，共享(Share)，读(Read)；其中，Modify是指更新资源的能力，Execute表示可以执行资源，Delegate表示可以将资源委托给二级用户，Share指的是该资源可以共享给多个用户，Read表示资源是可读的；为了便于描述将这五个原子操作可分别表示为M,E,D,S,R；为了定义每个资源的许可操作，引入基于五种原子操作的结构化字节；其中每位表示原子操作如果存在则对应位为1，如果不存在则对应位为0；1-2标记资源的许可操作并计分当系统启动时CP使用额外的扩展字节为每个资源标记许可操作；CP的所有资源将被重新组织到一个多层次集合根据它们的许可操作，详见定义2；定义2:带许可操作的资源集(ResourcesSet,RSet)RSet＝{(Popi,{Rj}i)},i＝0,1,3,5...n,j＝1,2,...,m(2)在CP的资源集RSet中，基础二元组为(Popi,{Rj}i)，其中一个Popi拥有一组资源Rj，i表示资源的许可操作的得分，其中i越大表示允许更多的操作；总而言之，一个POpi代表一个等级的资源。3.根据权利要求2所述的一种基于匹配的访问控制方法，其特征在于用户属性模块允许CP定义和配置潜在CQ的属性，并将特定属性分配给当前CQ；用这种方式，该CQ将被分类为不同的访问级别，具体实现如下：2-1定义用户属性定义3:用户属性集(UserAttributeSet,AttrSet)在定义3中，Typei表示第i个基类的用户属性，表示第i个基类的用户属性的子类属性集也可以用二元组(Attrj,Scorej)表示，其中Attrj表示第j个子类属性名，Scorej表示对应的属性得分；等式(3)中的一维向量其中下标m第i个基类属性的子类属性的数量，如果CQ所分配的是第j个子类属性，我们将第j个元组置为1，其他元素置为0；定义3:用户属性得分(UserAttributeScore)用户属性得分(Suser)可以通过和被计算根据根据等式(4)，其中是的一组得分见等式(5)，则是属性的权重向量，为了计算方便，我们将定义3中的简化表示为2-2配置潜在请求者的属性当系统启动时，对于潜在的CQ，CP首先需要配置用户属性基础类型即基类属性，并对每个基类属性配置相应的权重和子类属性，同时为子类属性计算属性得分，计算实现步骤如下：(1)输入该系统中CP定义的最大资源许可操作得分(MaxSop)，属性得分的量化策略(Strategy)以及需要进行得分计算的属性集合{(Typei,{Attrj}i)}；(2)选择执行的Strategy，其中1表示类等差的子类属性得分量化策略，2表示类等比的子类属性得分量化策略；属性得分计算时，设置最大的属性得分为MaxSop-1，最小的属性得分为1；(3)输出含有属性得分的属性集{(Typei,{(Attrj,Scorej)}i)}；2-3计算请求者的属性得分当收到来自内容请求者的请求时，内容提供者需要将属性分配...

【专利技术属性】
技术研发人员：吕秋云，祁伊祯，郑宁，姜妍，
申请(专利权)人：杭州电子科技大学，
类型：发明
国别省市：浙江,33