访问控制方法和装置制造方法及图纸

本发明专利技术实施例提供一种访问控制方法和装置。所述方法包括：用户注册成功后，为用户分配基于用户身份的加密密钥k

【技术实现步骤摘要】
访问控制方法和装置


[0001]本专利技术涉及访问控制
，尤其涉及一种访问控制方法和装置。

技术介绍

[0002]访问控制是几乎所有系统(包括计算机系统和非计算机系统)都需要用到的一种技术。访问控制是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用的一种技术。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。
[0003]基于角色的访问控制模型(RBAC Model，Role-based Access Model)的研究较多。RBAC模型的基本思想是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。这是因为在很多实际应用中，用户并不是可以访问的客体信息资源的所有者(这些信息属于企业或公司)，这样的话，访问控制应该基于员工的职务而不是基于员工在哪个组或谁是信息的所有者，即访问控制是由各个用户在部门中所担任的角色来确定的，例如，一个学校可以有教工、老师、学生和其他管理人员等角色。RBAC从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分角色，将访问权限与角色相联系，通过给用户分配合适的角色，让用户与访问权限相联系。角色成为访问控制中访问主体和受控对象之间的一座桥梁。
[0004]现有的基于角色的文件访问控制策略效率低下，同一文件分配给不同角色时需要重复用不同角色密钥加密文件，当文件数据量很大时，这种方式会导致系统效率低下，影响正常用户访问文件。另外，现有的文件访问控制策略缺乏灵活的变动机制，一旦系统中的用户或者角色权限发生变化，会导致整个访问控制策略无法实施。

技术实现思路

[0005]针对现有技术问题，本专利技术实施例提供一种访问控制方法和装置。
[0006]本专利技术实施例提供一种访问控制方法，所述方法包括：
[0007]用户注册成功后，为用户分配基于用户身份的加密密钥k
u
和签名密钥s
u
；
[0008]若用户指派到角色r，为用户生成基于角色的密钥多元组，所述基于角色的密钥多元组包括用所述加密密钥k
u
加密的角色r的加密密钥k
r
和签名密钥s
r
以及管理员签名；
[0009]若为角色r分配使用文件的权限，为角色r生成文件多元组，所述文件多元组包括用所述角色r的加密密钥k
r
加密的对称密钥k、用对称密钥k加密的文件、允许对文件的操作权限以及管理员签名。
[0010]本专利技术实施例提供一种访问控制方法，所述方法包括：
[0011]注册成功后，从管理员获取基于用户身份的加密密钥k
u
和签名密钥s
u
；
[0012]下载基于角色的密钥多元组和文件多元组，若用户的角色为r，所述基于角色的密钥多元组包括：用所述加密密钥k
u
加密的角色r的加密密钥k
r
和签名密钥s
r
以及管理员签名；所述文件多元组包括用所述角色r的加密密钥k
r
加密的对称密钥k、用对称密钥k加密的
文件、允许对文件的操作权限以及管理员签名；
[0013]根据所述签名密钥s
u
验证所述密钥多元组和文件多元组中的管理员签名是否有效；
[0014]若所述密钥多元组和文件多元组中的管理员签名有效，根据所述加密密钥k
u
解密获得角色r的加密密钥k
r
；
[0015]根据所述角色r的加密密钥k
r
解密得到加密文件的对称密钥k，并根据所述对称密钥k解密得到文件明文。
[0016]本专利技术实施例提供一种访问控装置，所述装置包括：
[0017]分配单元，用于用户注册成功后，为用户分配基于用户身份的加密密钥k
u
和签名密钥s
u
；
[0018]第一生成单元，用于若用户指派到角色r，为用户生成基于角色的密钥多元组，所述基于角色的密钥多元组包括用所述加密密钥k
u
加密的角色r的加密密钥k
r
和签名密钥s
r
以及管理员签名；
[0019]第二生成单元，用于若为角色r分配使用文件的权限，为角色r生成文件多元组，所述文件多元组包括用所述角色r的加密密钥k
r
加密的对称密钥k、用对称密钥k加密的文件、允许对文件的操作权限以及管理员签名。
[0020]本专利技术实施例提供一种访问控制装置，所述装置包括：
[0021]获取单元，用于注册成功后，从管理员获取基于用户身份的加密密钥k
u
和签名密钥s
u
；
[0022]下载单元，用于下载基于角色的密钥多元组和文件多元组，若用户的角色为r，所述基于角色的密钥多元组包括：用所述加密密钥k
u
加密的角色r的加密密钥k
r
和签名密钥s
r
以及管理员签名；所述文件多元组包括用所述角色r的加密密钥k
r
加密的对称密钥k、用对称密钥k加密的文件、允许对文件的操作权限以及管理员签名；
[0023]验证单元，用于根据所述签名密钥s
u
验证所述密钥多元组和文件多元组中的管理员签名是否有效；
[0024]第一解密单元，用于若所述密钥多元组和文件多元组中的管理员签名有效，根据所述加密密钥k
u
解密获得角色r的加密密钥k
r
；
[0025]第二解密单元，用于根据所述角色r的加密密钥k
r
解密得到加密文件的对称密钥k，并根据所述对称密钥k解密得到文件明文。
[0026]本专利技术实施例还提供一种电子设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述访问控制方法。
[0027]本专利技术实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现上述访问控制方法。
[0028]本专利技术实施例提供的访问控制方法和装置，通过设置对称密钥来加密文件而不是直接用角色密钥加密文件，避免了在给不同角色分配文件时需要重复用不同角色的密钥加密文件的操作，大大提高了系统的工作效率。
附图说明
[0029]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现
有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0030]图1为本专利技术一实施例提供的访问控制结构的结构示意图；
[0031]图2为本专利技术一实施例提供的访问控制方法的流程示意图；
[0032]图3为本专利技术一实施例提供的访问控制方法的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问控制方法，其特征在于，所述方法包括：用户注册成功后，为用户分配基于用户身份的加密密钥k
u
和签名密钥s
u
；若用户指派到角色r，为用户生成基于角色的密钥多元组，所述基于角色的密钥多元组包括用所述加密密钥k
u
加密的角色r的加密密钥k
r
和签名密钥s
r
以及管理员签名；若为角色r分配使用文件的权限，为角色r生成文件多元组，所述文件多元组包括用所述角色r的加密密钥k
r
加密的对称密钥k、用对称密钥k加密的文件、允许对文件的操作权限以及管理员签名。2.根据权利要求1所述的访问控制方法，其特征在于，所述方法还包括：所述密钥多元组和文件多元组包括：对称密钥k的版本号及角色r的版本号。3.根据权利要求2所述的访问控制方法，其特征在于，所述方法还包括：若吊销角色r使用文件的权限，产生新的对称密钥，更新对称密钥的版本号以及更新未被吊销权限的角色的版本号；用新的对称密钥加密文件，对未被吊销权限的角色重新采用新版本角色的加密密钥加密新的对称密钥，生成新的文件多元组并替换原来的文件多元组。4.根据权利要求2所述的访问控制方法，其特征在于，所述方法还包括：若从角色r中删除用户u，更新当前角色的版本号，产生新版本角色的加密密钥和签名密钥，根据新版本角色的加密密钥生成新的密钥多元组，将原来的密钥多元组替换为新的密钥多元组；产生新的对称密钥，更新对称密钥的版本号，用新的对称密钥加密文件，用新版本角色的加密密钥加密新的对称密钥，生成新的文件多元组并替换原来的文件多元组。5.一种访问控制方法，其特征在于，所述方法包括：注册成功后，从管理员获取基于用户身份的加密密钥k
u
和签名密钥s
u
；下载基于角色的密钥多元组和文件多元组，若用户的角色为r，所述基于角色的密钥多元组包括：用所述加密密钥k
u
加密的角色r的加密密钥k
r
和签名密钥s
r
以及管理员签名；所述文件多元组包括用所述角色r的加密密钥k
r
加密的对称密钥k、用对称密钥k加密的文件、允许对文件的操作权限以及管理员签名；根据所述签名密钥s
u
验证所述密钥多元组和文件多元组中的管理员签名是否有效；若所述密钥多元组和文件多元组中的管理员签名有效，根据所述加密密钥k
u
解密获得角色r的加密密钥k
r
；根据所述角色r的加密密钥k
r
解密得...

【专利技术属性】
技术研发人员：刘道斌，冯绍鹏，
申请(专利权)人：普天信息技术有限公司，
类型：发明
国别省市：