一种实现资源个性化安全接入控制的方法和系统技术方案

本发明专利技术公开了一种实现资源个性化安全接入控制的方法和系统，可由上下文感知模块获取用户关联的特征身份信息，以及该身份信息关联的环境和资源能力特征信息；所述特征信息的变化情况经过上下文感知模块的过滤和处理后，形成相应的事件并通知给安全策略模块，安全策略模块基于用户上下文变化情况及基础安全策略集合，确定用户的实时安全策略；在所述用户的实时安全策略可配置的生命周期内，认证模块和授权模块从安全策略模块获取用户实时安全策略，据此动态更新用户的认证机制和授权机制。本发明专利技术方法和系统将用户上下文感知技术与相应的用户实时安全策略相结合，可有效支持物联网资源安全服务的连续性和动态性。

【技术实现步骤摘要】
一种实现资源个性化安全接入控制的方法和系统
本专利技术涉及通信领域，具体涉及一种实现资源个性化安全接入控制的方法和系统。
技术介绍
物联网是一个网络高度复杂、异构的网络。物联网充分体现了物理世界和信息空间的深度融合，使人类可以融入到一体化的智能生态环境中，实现人、机、物的协同统一。上下文感知计算本是计算机应用领域的重要技术之一。由于该技术可以显著增强计算机应用的智能性，从上世纪90年代末开始，就成为热门研究
之一。随着最近几年物联网技术的发展，智能感知和智能控制思想在生活环境中的普及，以及标签技术与传感器技术及无线通信技术的发展与结合，为构建智能上下文感知基础设施、感知周围环境、主动地为人类服务提供了重要技术支持。被广泛接受的“上下文”的定义为：任何可以被用来描述实体特征的信息。所述实体可以是人、地方、应用、用户，以及其它与应用和用户相互作用并且有关联的各种对象。上下文感知计算通常用于描述如下智能模型：用户、服务以及资源能够发现其他用户、服务和资源，同时将他们整合起来以完成协作，能够在无需用户过多干预的前提下，产生正确的智能行为。比如，具体到物联网领域而言，通过给所有对象(包括人和物品)附上标签，从而在物理空间中的个体与信息空间中的对象之间建立了对应关系，通过观测和识别用户的状态和行为，为构建智能上下文感知计算应用提供了真实可行的途径。参见图1，图1设想了机场航站楼可能的三类旅客，包括：非登机旅客、普通ID登机旅客和贵宾ID登机旅客。机场航班楼可能为这三类旅客提供如无线网络资源、数据资源和内容资源等在内的资源服务，并能控制三类旅客通过安全检查、特别通道及进入贵宾休息室。目前，还不能在不同的位置为不同的旅客自动提供不同的资源使用方式。如贵宾ID登机旅客，从进入机场大厅到最后通过特别通道登机，其中需要多次自己提交如机票等凭证，用人工验证的方式来获取相应的资源使用权限。其次，在资源接入环境发生变化(比如网络环境发生变化)时，由于系统需要再次获取旅客的验证凭证，所以不能为旅客无间断地提供资源接入服务。最后，如贵宾ID登机旅客，在通过安检后，仍然需要多次人工提供机票等凭证，才能进入贵宾休息室和使用特别通道。综上所述可见，现有物联网中资源的接入控制存在以下不足：首先，缺乏对资源的个性化安全服务的有效支持。其次，缺乏对资源安全服务的连续性和动态性的有效支持。最后，效率不高，资源服务用户体验性差，开发和部署难度大。
技术实现思路
有鉴于此，本专利技术的主要目的在于提供一种实现资源个性化安全接入控制的方法和系统，以有效支持物联网资源安全服务的连续性和动态性。为达到上述目的，本专利技术的技术方案是这样实现的：一种实现资源个性化安全接入控制的方法，该方法包括：由上下文感知模块以被动或主动的方式，获取用户关联的特征身份信息，以及该身份信息关联的环境和资源能力特征信息；所述特征信息的变化情况经过上下文感知模块的过滤和处理后，形成相应的事件并通知给安全策略模块，安全策略模块基于用户上下文变化情况及基础安全策略集合，确定用户的实时安全策略；在所述用户的实时安全策略可配置的生命周期内，认证模块和授权模块以查询或者通知接收的方式，从安全策略模块获取用户实时安全策略，据此动态更新用户的认证机制和授权机制。所述确定用户的实时安全策略的过程包括：由上下文感知模块以主动或被动方式，获取与每个用户关联的特征身份信息，以及该特征身份信息所关联的环境和资源能力特征信息；上述涉及特征的信息经过上下文感知模块的过滤和处理后，形成相应的事件并通知给安全策略模块，安全策略模块根据事件变化情况，基于基础安全策略集合，建立与用户相关联的实时安全策略；更新所述认证和授权机制的过程包括：将所述用户的实时安全策略通过查询反馈或者通知的方式提供给自组织认证模块和自组织授权模块，自组织认证模块和自组织授权模块根据收到的安全策略，分别基于认证知识库和安全决策库，自动建立和更新相应用户的实时认证机制和资源授权权限。建立所述用户的实时安全策略时，安全策略模块根据用户资源请求，基于基础安全策略集合，建立与用户相关联的实时安全策略。自组织认证模块和自组织授权模块建立所述认证机制和资源授权权限时，根据建立的每个用户的实时安全策略，为用户自动地动态提供相应的实时认证机制和授权机制，以支持每个用户根据授权权限使用受保护资源。所述上下文感知模块获取涉及特征的所述信息时，动态感知、处理和发送用户关联特征信息变化情况，并以事件方式通知安全策略模块，安全策略模块更新用户的实时安全策略。所述实时安全策略具有可配置的建立、运行、更新和注销的生命周期；在用户的实时安全策略的生命周期内，自组织认证模块和自组织授权模块所维护的每个用户的实时认证和授权机制具有相应的建立、运行、更新和注销的生命周期。该方法还包括：用户退出资源，安全策略模块注销相应的用户的实时安全策略；自组织认证模块和自组织授权模块注销相应的认证机制和授权机制。一种实现资源个性化安全接入控制的系统，该系统包括实时安全策略决策单元、认证及授权机制决策单元；其中，所述实时安全策略决策单元，用于根据上下文感知模块所提供的事件，基于基础安全策略集合，确定用户的实时安全策略；所述认证及授权机制决策单元，用于根据所述实时安全策略决策单元已确定的所述用户的实时安全策略，自动建立、更新或注销所述用户的实时认证和授权机制。所述实时安全策略决策单元包括上下文感知模块、安全策略模块；所述认证及授权机制决策单元包括：自组织认证模块、自组织授权模块；其中，所述上下文感知模块，用于自动获取与每个用户关联的特征身份信息，以及该特征身份信息所关联的环境和资源能力特征信息；并在对上述涉及特征的信息经过过滤和处理后，形成相应的事件并通知给安全策略模块；所述安全策略模块，用于根据事件变化情况，基于基础安全策略集合，建立与用户相关联的实时安全策略并通过查询反馈或者通知的方式提供给自组织认证模块和自组织授权模块；所述自组织认证模块和自组织授权模块，用于根据收到的安全策略自动建立和更新相应用户的实时认证机制和资源授权权限。建立所述用户的实时安全策略时，所述安全策略模块用于根据用户资源请求，基于基础安全策略集合，建立与用户相关联的用户的实时安全策略；所述安全策略模块中至少包括但不限于上下文驱动组件、生命周期管理组件、基础安全策略组件、安全策略管理接口及用户实时安全策略组件。所述自组织认证模块和自组织授权模块建立所述用户的实时认证机制和资源授权权限时，用于根据建立的每个用户的实时安全策略，分别基于认证知识库和安全决策库，为用户自动地动态提供相应的认证机制和授权机制，以支持每个用户根据授权权限使用受保护资源；所述自组织认证模块中至少包括但不限于如下组件：认证知识库、自组织处理组件、用户实时认证组件和生命周期管理组件；所述自组织授权模块中至少包括但不限于如下组件：安全决策库、自组织处理组件、用户实时授权组件和生命周期管理组件。所述上下文感知模块获取涉及特征的所述信息时，用于动态感知、处理和发送用户关联特征信息变化情况，并以事件方式通知安全策略模块，触发安全策略模块更新用户的实时安全策略；所述上下文感知模块中至少包括但不限于传感器组感知组件、用户角色感知组件、资源感知组件、事件处理组件、事本文档来自技高网...

【技术保护点】
１．一种实现资源个性化安全接入控制的方法，其特征在于，该方法包括：由上下文感知模块以被动或主动的方式，获取用户关联的特征身份信息，以及该身份信息关联的环境和资源能力特征信息；所述特征信息的变化情况经过上下文感知模块的过滤和处理后，形成相应的事件并通知给安全策略模块，安全策略模块基于用户上下文变化情况及基础安全策略集合，确定用户的实时安全策略；在所述用户的实时安全策略可配置的生命周期内，认证模块和授权模块以查询或者通知接收的方式，从安全策略模块获取用户实时安全策略，据此动态更新用户的认证机制和授权机制。

【技术特征摘要】
1.一种实现资源个性化安全接入控制的方法，其特征在于，该方法包括：由上下文感知模块以被动或主动的方式，获取用户关联的特征身份信息，以及该身份信息关联的环境和资源能力特征信息；所述特征信息的变化情况经过上下文感知模块的过滤和处理后，形成相应的事件并通知给安全策略模块，安全策略模块基于用户上下文变化情况及基础安全策略集合，确定用户的实时安全策略，以动态适应用户对资源的接入控制安全机制，并为用户提供个性化、连续性的安全服务；在所述用户的实时安全策略可配置的生命周期内，认证模块和授权模块以查询或者通知接收的方式，从安全策略模块获取用户实时安全策略，据此动态更新用户的认证机制和授权机制；用户退出资源，安全策略模块注销相应的用户的实时安全策略；自组织认证模块和自组织授权模块注销相应的认证机制和授权机制。2.根据权利要求1所述的方法，其特征在于，所述确定用户的实时安全策略的过程包括：由上下文感知模块以主动或被动方式，获取与每个用户关联的特征身份信息，以及该特征身份信息所关联的环境和资源能力特征信息；上述涉及特征的信息经过上下文感知模块的过滤和处理后，形成相应的事件并通知给安全策略模块，安全策略模块根据事件变化情况，基于基础安全策略集合，建立与用户相关联的实时安全策略；更新所述认证和授权机制的过程包括：将所述用户的实时安全策略通过查询反馈或者通知的方式提供给自组织认证模块和自组织授权模块，自组织认证模块和自组织授权模块根据收到的安全策略，分别基于认证知识库和安全决策库，自动建立和更新相应用户的实时认证机制和资源授权权限。3.根据权利要求1所述的方法，其特征在于，建立所述用户的实时安全策略时，安全策略模块根据用户资源请求，基于基础安全策略集合，建立与用户相关联的实时安全策略。4.根据权利要求1所述的方法，其特征在于，自组织认证模块和自组织授权模块建立所述认证机制和资源授权权限时，根据建立的每个用户的实时安全策略，为用户自动地动态提供相应的实时认证机制和授权机制，以支持每个用户根据授权权限使用受保护资源。5.根据权利要求2所述的方法，其特征在于，所述上下文感知模块获取涉及特征的所述信息时，动态感知、处理和发送用户关联特征信息变化情况，并以事件方式通知安全策略模块，安全策略模块更新用户的实时安全策略。6.根据权利要求2至5任一项所述的方法，其特征在于，所述实时安全策略具有可配置的建立、运行、更新和注销的生命周期；在用户的实时安全策略的生命周期内，自组织认证模块和自组织授权模块所维护的每个用户的实时认证和授权机制具有相应的建立、运行、更新和注销的生命周期。7.一种实现资源个性化安全接入控制的系统，其特征在于，该系统包括实时安全策略决策单元、认证及授权机制决策单元；其中，所述实时安全策略决策单元，用于根据上下文感知模块所提供的事件，基于基础安全策略集合，确定用户的实时安全策略，以动态适应用户对资源的接入控制安全机制，并为...

【专利技术属性】
技术研发人员：王世彤，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：94