【技术实现步骤摘要】
访问控制方法和装置
[0001]本专利技术涉及访问控制
,尤其涉及一种访问控制方法和装置。
技术介绍
[0002]访问控制是几乎所有系统(包括计算机系统和非计算机系统)都需要用到的一种技术。访问控制是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。
[0003]基于角色的访问控制模型(RBAC Model,Role-based Access Model)的研究较多。RBAC模型的基本思想是将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。这是因为在很多实际应用中,用户并不是可以访问的客体信息资源的所有者(这些信息属于企业或公司),这样的话,访问控制应该基于员工的职务而不是基于员工在哪个组或谁是信息的所有者,即访问控制是由各个用户在部门中所担任的角色来确定的,例如,一个学校可以有教工、老师、学生和其他管理人员等角色。RBAC从控制主体的角度出发,根据管理中相对稳定的职权和责任来划分角色,将访问权限与角色相联系,通过给用户分配合适的角色,让用户与访问权限相联系。角色成为访问控制中访问主体和受控对象之间的一座桥梁。
[0004]现有的基于角色的文件访问控制策略效率低下,同一文件分配给不同角色时需要重复用不同角色密钥加密文件,当文件数据量很大时,这种方式会导致系统效率低下,影响正常用户访问文件。另外,现有的文件访问控制策略缺乏灵活的变动机制,一旦系统中 ...
【技术保护点】
【技术特征摘要】
1.一种访问控制方法,其特征在于,所述方法包括:用户注册成功后,为用户分配基于用户身份的加密密钥k
u
和签名密钥s
u
;若用户指派到角色r,为用户生成基于角色的密钥多元组,所述基于角色的密钥多元组包括用所述加密密钥k
u
加密的角色r的加密密钥k
r
和签名密钥s
r
以及管理员签名;若为角色r分配使用文件的权限,为角色r生成文件多元组,所述文件多元组包括用所述角色r的加密密钥k
r
加密的对称密钥k、用对称密钥k加密的文件、允许对文件的操作权限以及管理员签名。2.根据权利要求1所述的访问控制方法,其特征在于,所述方法还包括:所述密钥多元组和文件多元组包括:对称密钥k的版本号及角色r的版本号。3.根据权利要求2所述的访问控制方法,其特征在于,所述方法还包括:若吊销角色r使用文件的权限,产生新的对称密钥,更新对称密钥的版本号以及更新未被吊销权限的角色的版本号;用新的对称密钥加密文件,对未被吊销权限的角色重新采用新版本角色的加密密钥加密新的对称密钥,生成新的文件多元组并替换原来的文件多元组。4.根据权利要求2所述的访问控制方法,其特征在于,所述方法还包括:若从角色r中删除用户u,更新当前角色的版本号,产生新版本角色的加密密钥和签名密钥,根据新版本角色的加密密钥生成新的密钥多元组,将原来的密钥多元组替换为新的密钥多元组;产生新的对称密钥,更新对称密钥的版本号,用新的对称密钥加密文件,用新版本角色的加密密钥加密新的对称密钥,生成新的文件多元组并替换原来的文件多元组。5.一种访问控制方法,其特征在于,所述方法包括:注册成功后,从管理员获取基于用户身份的加密密钥k
u
和签名密钥s
u
;下载基于角色的密钥多元组和文件多元组,若用户的角色为r,所述基于角色的密钥多元组包括:用所述加密密钥k
u
加密的角色r的加密密钥k
r
和签名密钥s
r
以及管理员签名;所述文件多元组包括用所述角色r的加密密钥k
r
加密的对称密钥k、用对称密钥k加密的文件、允许对文件的操作权限以及管理员签名;根据所述签名密钥s
u
验证所述密钥多元组和文件多元组中的管理员签名是否有效;若所述密钥多元组和文件多元组中的管理员签名有效,根据所述加密密钥k
u
解密获得角色r的加密密钥k
r
;根据所述角色r的加密密钥k
r
解密得...
【专利技术属性】
技术研发人员:刘道斌,冯绍鹏,
申请(专利权)人:普天信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。