移动网络中基于角色的访问控制的系统及方法
【技术领域】
[0001]本发明涉及一种移动网络中基于角色的访问控制的系统及方法,属于技术领域。
【背景技术】
[0002]移动计算,智能终端设备,如智能手机,可穿戴智能设备等,在基于面向个人服务计算领域已经取得了极大的成功,并在人们的日常工作,出行,和生活的各个方面有着革命性的发展。现代的智能移动终端,或可穿戴智能设备基于当前的移动计算特性,都有大量的对敏感信息的访问,很多应用需要要求本地敏感资源的访问控制(例如,相机和录音机)和远程访问控制(例如,远程数据库上的保密文件)。敏感资源的访问取决于当前用户的角色,对敏感资源的访问控制对个人和对公司的安全性都至关重要。
[0003]—个用户在不同的情况下可以有不同的角色,而每种角色都有其特定属性以及访问权限。如何合理有效的制定利用这些访问策略,是非常值得研究的。一种策略就好比假设手机使用者拥有多重角色身份,并符合在不同的安全区域和工作时间条件下,可以使其手机具有不用属性的访问权限。现有方法当用户想访问敏感资源,他将不得不连接访问控制服务器以获得许可,而频繁的连接服务器会耗费大量设备电池。并且敏感资源不可能缓存在本地磁盘。当用户角色转变的时候,所有与之角色相关联的敏感资源都要从设备清除(例如用户文件)。
【发明内容】
[0004]本发明的目的是克服现有技术存在的缺陷,提出移动网络中基于角色的访问控制的系统及方法,通过制定移动终端访问策略,通过使用加密方案控制访问策略的实施,解决现有技术中的角色转变导致相关联的敏感资源会从设备中清除以及频繁的连接服务器会耗费大量设备电池的技术问题。
[0005]本发明采用如下技术方案:移动网络中基于角色的访问控制的系统,其特征在于,包括移动设备、访问控制服务器、敏感数据数据库,所述移动设备与所述访问控制服务器相连接,所述访问控制服务器与所述敏感数据数据库相连接。
[0006]优选地,所述移动设备包括应用、标准检测器、本地磁盘,所述本地磁盘用来实现对敏感数据进行缓存;所述应用与所述标准检测器进行双向级联,所述标准检测器与所述本地磁盘进行双向级联,所述标准检测器与所述访问控制服务器进行双向级联。
[0007]本发明还提出一种移动网络中基于角色的访问控制的方法,其特征在于,包括如下步骤:
[0008]步骤SI所述移动设备启动,并给所述移动设备的本地每个敏感资源指派一个唯一的身份标识;
[0009]步骤S2所述移动设备会依次提交身份标识列表给所述访问控制服务器;
[0010]步骤S3所述访问控制服务器会结合本地敏感资源的访问控制策略,根据属性加密方法去加密所述身份标识;
[0011]步骤S4所述访问控制服务器会将加密后的身份标识信息反馈给所述移动设备;
[0012]步骤S5加密后的所述身份标识信息会存储在所述标准检测器上;
[0013]步骤S6当某个所述应用想访问本地敏感资源时,所述应用向所述标准监测器发送资源请求,所述标准检测器会在所述本地磁盘中根据当前用户角色解密被所述应用请求的所述身份标识;如果解密能正确的执行,那么所述应用能访问被请求的本地敏感资源;否则,转入步骤S7;
[0014]步骤S7所述应用访问就被拒绝,即当前的用户角色不能访问敏感资源,此时改变用户角色去满足访问权限;
[0015]步骤S8当某个所述应用想访问远程敏感资源时,所述标准检测器将来自所述应用的资源请求传输到所述访问控制服务器,所述访问控制服务器再将资源请求传输到所述敏感数据数据库,所述标准检测器会在所述敏感数据数据库中根据当前用户角色解密被所述应用请求的所述身份标识;如果解密能正确的执行,那么所述应用能访问被请求的远程敏感资源。
[0016]优选地,所述步骤S3所述的所述属性加密方法包括如下步骤:
[0017]SSl将加密的敏感资源缓存存储在所述本地磁盘一段时间,缓存时间的长短由移动设备企业的策略决定;
[0018]SS2当用户角色变化时,所述移动设备将新收到一条基于新角色的解密密钥;
[0019]SS3如果新的用户角色仍然满足缓存加密数据相关的访问控制策略,缓存加密敏感资源仍然可以利用新的用户角色进行解密;否则,解密操作将被拒绝。
[0020]优选地,所述步骤S7中的所述改变用户角色去满足访问权限包括如下步骤:
[0021]SSSl用户先用所述移动设备的发送条预先下载敏感资源的相关请求,然后所述访问控制服务器会根据访问控制策略给以解密的敏感资源与回复;
[0022]SSS2所述访问控制服务器根据移动设备企业的策略决定敏感资源在所述本地磁盘的有效时间;
[0023]SSS3用户可以在本地设备缓存加密的敏感资源直到角色可以适配加密的敏感资源相关的访问控制策略;如果预先下载的敏感资源有效期已到,用户将无法解密该敏感资源。
[0024]本发明所达到的有益效果:本发明通过制定移动终端访问策略,通过使用加密方案控制访问策略的实施,解决现有技术中的角色转变导致相关联的敏感资源会从设备中清除以及频繁的连接服务器会耗费大量设备电池的技术问题。
【附图说明】
[0025]图1是本发明的远程敏感资源被访问时的流程图。
[0026]图2是本发明的本地敏感资源被访问时的流程图。
[0027]图3是本发明的本地敏感资源的属性加密方法的流程图。
[0028]图4是本发明的经过属性加密的本地敏感资源被访问时的流程图。
【具体实施方式】
[0029]下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
[0030]本发明采用如下技术方案:移动网络中基于角色的访问控制的系统,其特征在于,包括移动设备、访问控制服务器、敏感数据数据库,所述移动设备与所述访问控制服务器相连接,所述访问控制服务器与所述敏感数据数据库相连接;所述移动设备包括应用、标准检测器、本地磁盘,所述本地磁盘用来实现对敏感数据进行缓存;所述应用与所述标准检测器进行双向级联,所述标准检测器与所述本地磁盘进行双向级联,所述标准检测器与所述访问控制服务器进行双向级联。
[0031]本发明还提出一种移动网络中基于角色的访问控制的方法,其特征在于,包括如下步骤:
[0032]步骤SI所述移动设备启动,并给所述移动设备的本地每个敏感资源指派一个唯一的身份标识;
[0033]步骤S2所述移动设备会依次提交身份标识列表给所述访问控制服务器;
[0034]步骤S3所述访问控制服务器会