专利名称:一种实现资源个性化安全接入控制的方法和系统的制作方法
技术领域:
本发明涉及通信领域,具体涉及一种实现资源个性化安全接入控制的方法和系统。
背景技术:
物联网是一个网络高度复杂、异构的网络。物联网充分体现了物理世界和信息空间的深度融合,使人类可以融入到一体化的智能生态环境中,实现人、机、物的协同统一。上下文感知计算本是计算机应用领域的重要技术之一。由于该技术可以显著增强计算机应用的智能性,从上世纪90年代末开始,就成为热门研究技术领域之一。随着最近几年物联网技术的发展,智能感知和智能控制思想在生活环境中的普及,以及标签技术与传感器技术及无线通信技术的发展与结合,为构建智能上下文感知基础设施、感知周围环境、主动地为人类服务提供了重要技术支持。被广泛接受的“上下文”的定义为任何可以被用来描述实体特征的信息。所述实体可以是人、地方、应用、用户,以及其它与应用和用户相互作用并且有关联的各种对象。上下文感知计算通常用于描述如下智能模型用户、服务以及资源能够发现其他用户、服务和资源,同时将他们整合起来以完成协作,能够在无需用户过多干预的前提下,产生正确的智能行为。比如,具体到物联网领域而言,通过给所有对象(包括人和物品)附上标签,从而在物理空间中的个体与信息空间中的对象之间建立了对应关系,通过观测和识别用户的状态和行为,为构建智能上下文感知计算应用提供了真实可行的途径。参见图1,图1设想了机场航站楼可能的三类旅客,包括非登机旅客、普通ID登机旅客和贵宾ID登机旅客。机场航班楼可能为这三类旅客提供如无线网络资源、数据资源和内容资源等在内的资源服务,并能控制三类旅客通过安全检查、特别通道及进入贵宾休息室。目前,还不能在不同的位置为不同的旅客自动提供不同的资源使用方式。如贵宾 ID登机旅客,从进入机场大厅到最后通过特别通道登机,其中需要多次自己提交如机票等凭证,用人工验证的方式来获取相应的资源使用权限。其次,在资源接入环境发生变化(比如网络环境发生变化)时,由于系统需要再次获取旅客的验证凭证,所以不能为旅客无间断地提供资源接入服务。最后,如贵宾ID登机旅客,在通过安检后,仍然需要多次人工提供机票等凭证,才能进入贵宾休息室和使用特别通道。综上所述可见,现有物联网中资源的接入控制存在以下不足首先,缺乏对资源的个性化安全服务的有效支持。其次,缺乏对资源安全服务的连续性和动态性的有效支持。最后,效率不高,资源服务用户体验性差,开发和部署难度大
发明内容
有鉴于此,本发明的主要目的在于提供一种实现资源个性化安全接入控制的方法和系统,以有效支持物联网资源安全服务的连续性和动态性。为达到上述目的,本发明的技术方案是这样实现的一种实现资源个性化安全接入控制的方法,该方法包括由上下文感知模块以被动或主动的方式,获取用户关联的特征身份信息,以及该身份信息关联的环境和资源能力特征信息;所述特征信息的变化情况经过上下文感知模块的过滤和处理后,形成相应的事件并通知给安全策略模块,安全策略模块基于用户上下文变化情况及基础安全策略集合,确定用户的实时安全策略;在所述用户的实时安全策略可配置的生命周期内,认证模块和授权模块以查询或者通知接收的方式,从安全策略模块获取用户实时安全策略,据此动态更新用户的认证机制和授权机制。所述确定用户的实时安全策略的过程包括由上下文感知模块以主动或被动方式,获取与每个用户关联的特征身份信息,以及该特征身份信息所关联的环境和资源能力特征信息;上述涉及特征的信息经过上下文感知模块的过滤和处理后,形成相应的事件并通知给安全策略模块,安全策略模块根据事件变化情况,基于基础安全策略集合,建立与用户相关联的实时安全策略;更新所述认证和授权机制的过程包括将所述用户的实时安全策略通过查询反馈或者通知的方式提供给自组织认证模块和自组织授权模块,自组织认证模块和自组织授权模块根据收到的安全策略,分别基于认证知识库和安全决策库,自动建立和更新相应用户的实时认证机制和资源授权权限。建立所述用户的实时安全策略时,安全策略模块根据用户资源请求,基于基础安全策略集合,建立与用户相关联的实时安全策略。 自组织认证模块和自组织授权模块建立所述认证机制和资源授权权限时,根据建立的每个用户的实时安全策略,为用户自动地动态提供相应的实时认证机制和授权机制, 以支持每个用户根据授权权限使用受保护资源。所述上下文感知模块获取涉及特征的所述信息时,动态感知、处理和发送用户关联特征信息变化情况,并以事件方式通知安全策略模块,安全策略模块更新用户的实时安全策略。所述实时安全策略具有可配置的建立、运行、更新和注销的生命周期;在用户的实时安全策略的生命周期内,自组织认证模块和自组织授权模块所维护的每个用户的实时认证和授权机制具有相应的建立、运行、更新和注销的生命周期。该方法还包括用户退出资源,安全策略模块注销相应的用户的实时安全策略;自组织认证模块和自组织授权模块注销相应的认证机制和授权机制。—种实现资源个性化安全接入控制的系统,该系统包括实时安全策略决策单元、 认证及授权机制决策单元;其中,所述实时安全策略决策单元,用于根据上下文感知模块所提供的事件,基于基础安全策略集合,确定用户的实时安全策略;所述认证及授权机制决策单元,用于根据所述实时安全策略决策单元已确定的所述用户的实时安全策略,自动建立、更新或注销所述用户的实时认证和授权机制。
所述实时安全策略决策单元包括上下文感知模块、安全策略模块;所述认证及授权机制决策单元包括自组织认证模块、自组织授权模块;其中,所述上下文感知模块,用于自动获取与每个用户关联的特征身份信息,以及该特征身份信息所关联的环境和资源能力特征信息;并在对上述涉及特征的信息经过过滤和处理后,形成相应的事件并通知给安全策略模块;所述安全策略模块,用于根据事件变化情况,基于基础安全策略集合,建立与用户相关联的实时安全策略并通过查询反馈或者通知的方式提供给自组织认证模块和自组织授权模块;所述自组织认证模块和自组织授权模块,用于根据收到的安全策略自动建立和更新相应用户的实时认证机制和资源授权权限。建立所述用户的实时安全策略时,所述安全策略模块用于根据用户资源请求,基于基础安全策略集合,建立与用户相关联的用户的实时安全策略;所述安全策略模块中至少包括但不限于上下文驱动组件、生命周期管理组件、基础安全策略组件、安全策略管理接口及用户实时安全策略组件。所述自组织认证模块和自组织授权模块建立所述用户的实时认证机制和资源授权权限时,用于根据建立的每个用户的实时安全策略,分别基于认证知识库和安全决策库, 为用户自动地动态提供相应的认证机制和授权机制,以支持每个用户根据授权权限使用受保护资源;所述自组织认证模块中至少包括但不限于如下组件认证知识库、自组织处理组件、用户实时认证组件和生命周期管理组件;所述自组织授权模块中至少包括但不限于如下组件安全决策库、自组织处理组件、用户实时授权组件和生命周期管理组件。所述上下文感知模块获取涉及特征的所述信息时,用于动态感知、处理和发送用户关联特征信息变化情况,并以事件方式通知安全策略模块,触发安全策略模块更新用户的实时安全策略;所述上下文感知模块中至少包括但不限于传感器组感知组件、用户角色感知组件、资源感知组件、事件处理组件、事件驱动组件以及应用层接口。所述用户的实时安全策略具有建立、运行、更新和注销的生命周期;在用户的实时安全策略的生命周期内,自组织认证模块和自组织授权模块所维护的每个用户的实时认证和授权机制具有相应的建立、运行、更新和注销的生命周期。用户退出资源时,所述安全策略模块还用于注销相应的用户的实时安全策略;所述自组织认证模块和自组织授权模块还用于注销相应的用户的实时认证机制和授权机制。该系统还包括安全管理模块,用于对安全策略模块、自组织认证模块和自组织授权模块的基本安全策略参数进行输入和管理。本发明方法和系统,将用户上下文感知技术与用户的实时安全策略相结合,并在用户使用资源的整个生命周期内,自动更新每个用户相应的实时认证和授权机制,具有如下的优点首先,可以有效地根据用户周围特征信息的变化,随时随地动态地为用户提供资源的无缝接入控制服务能力,有效支持物联网资源安全服务的连续性和动态性;其次,能为用户提供在复杂网络环境下的个性化安全服务支持,从而极大提升用户体验的满意度;最后,实现资源个性化安全接入控制时具有高效性、易开发性并且容易部署。
图1为现有技术中一实例实现资源个性化安全接入控制的原理示意图;图2为本发明实施例在物联网中实现资源个性化安全接入控制的原理示意图;图3为本发明实施例的上下文感知模块组件图;图4为本发明实施例的安全策略模块组件图;图5为本发明实施例的自组织认证模块组件图;图6为本发明实施例的自组织授权模块组件图;图7为本发明一实施例在物联网中实现资源个性化安全接入控制的流程图;图8为本发明另一实施例在物联网中实现资源个性化安全接入控制的流程图;图9为本发明实施例实现资源个性化安全接入控制的流程简图;图10为本发明实施例实现资源个性化安全接入控制的系统图。
具体实施例方式在实际应用中,可以提供一种能够在物联网中实现资源个性化安全接入控制的系统,包括安全管理模块,用于系统安全策略模块、自组织认证模块和自组织授权模块的基本安全策略参数输入和管理。上下文感知模块,用于接收用户资源接入请求,并对用户所处的环境、与用户接入请求相关的各类资源状态,以及其他相关事件和对象的上下文进行接收、处理和发送。上下文感知模块中至少包括但不限于传感器组感知组件、用户角色感知组件、资源感知组件、事件处理组件、事件驱动组件以及应用层接口。安全策略模块,用于接收安全管理模块提供的安全策略基本参数,并响应用户上下文变化事件,为用户生成(如为每个用户独立生成)用户的实时安全策略。安全策略模块中至少包括但不限于上下文驱动组件、生命周期管理组件、基础安全策略组件、安全策略管理接口及用户实时安全策略组件。自组织认证模块,用于根据安全策略模块提供的用户的实时安全策略参数,结合认证知识库,创建用户的实时认证机制。为用户提供(如为每个用户独立提供)个性化的认证服务能力,并用于保证安全服务的连续性。自组织认证模块中至少包括但不限于如下组件认证知识库、自组织处理组件、用户实时认证组件和生命周期管理组件。自组织授权模块,用户根据安全策略模块提供的用户的实时安全策略参数,结合安全决策库,创建用户的实时授权机制。为每个用户独立授权个性化的资源使用权限。自组织授权模块中至少包括但不限于如下组件安全决策库、自组织处理组件、用户实时授权组件和生命周期管理组件。基于上述系统,可以由上下文感知模块感知用户环境上下文和资源上下文,并根据用户资源请求,由安全策略模块建立与该用户相关的用户的实时安全策略,并进而建立相应用户的实时认证和授权机制。用户的实时安全策略具有可配置的生命周期,在一定的时间内,实时安全策略具
7有建立、运行、更新和注销四种工作状态。在用户的实时安全策略的生命周期内,自组织认证模块和自组织授权模块可以使用查询反馈或被动通知的方式,通过安全策略模块获取相应用户的实时安全策略,并建立相应的实时认证机制和授权机制。自组织认证模块和自组织授权模块所维护的用户实时认证和授权机制具有与用户实时安全策略相应的生命周期。系统自组织认证模块和自组织授权模块,根据建立的每个用户的实时安全策略, 分别基于认证知识库和安全决策库,自动为用户动态提供实时认证机制和授权机制,每个用户根据最终授权权限使用受保护资源。上下文感知模块能够感知用户、环境和资源的特征信息。当这些特征信息发生改变时,上下文感知模块能对有用的消息进行过滤和处理,最终以事件的方式发送给安全策略模块,安全策略模块更新该用户的实时安全策略并通知给自组织认证模块,自组织认证模块和自组织授权模块根据收到的安全策略自动更新相应用户的实时认证机制和授权机制。用户根据更新后所确定的授权权限使用受保护资源。用户退出资源时,安全策略模块注销相应的用户的实时安全策略。自组织认证模块和自组织授权模块注销相应用户的实时认证机制和授权机制。下面参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互结合。参见图2,图2为本发明实施例在物联网中实现资源个性化安全接入控制的原理示意图。图2中,资源池包括但不限于网络用户可能使用到的被保护的数据资源、网络资源、内容资源、网络业务和应用,以及网络中其它被保护的上下文和对象等。用户,包括但不限于终端用户以及服务和应用的提供商等。传感器组,包括一个或多个用于感知用户物理环境参数的传感器,用于收集用户物理环境特征信息。参见图3,图3为本发明实施例的上下文感知模块组件图。图3中,上下文感知模块应该包括但不限于如图3所示的组件,以实现如下功能由资源感知组件收集用户可能使用到的资源上下文的变化情况,由传感器组感知组件收集用户物理环境上下文变化情况, 由用户角色感知组件收集用户角色上下文变化情况,由事件处理组件处理收集到的事件并根据规则聚合、过滤和判断有效事件类型。上下文感知模块通过上述组件收集、处理并发送用户初始上下文信息,通过事件驱动组件和应用接口通知安全策略模块以初始化用户的实时安全策略。用户使用资源的过程中,用户上下文变化将通过上下文感知模块的事件驱动组件通知安全策略模块,以做出相应的事件反应动作。参见图4,图4为本发明实施例的安全策略模块组件图。图2中所示的安全策略模块应该包括但不限于如图4所示的组件,以实现如下功能基础安全策略组件通过安全策略管理接口,根据安全管理模块的要求,初始化通用的安全策略集合。上下文驱动组件根据上下文感知模块提供的上下文事件(如用户网络改变、物理环境改变等),参考基础安全策略组件的要求,为用户建立用户的实时安全策略,以动态适应用户对资源的接入控制安全机制,并为用户提供个性化、连续性的安全服务。生命周期管理组件用于完成对用户的实时安全策略的初始化、运行期、更新和注销管理。安全管理模块,包括但不限于完成对安全策略模块和自组织认证模块的安全参数进行设置和管理。
参见图5,图5为本发明实施例的自组织认证模块组件图。自组织认证模块可以根据每个用户的实时安全策略参数,自动组织相应用户的实时认证机制,完成对每个用户资源接入申请的认证。自组织认证模块中的自组织处理组件可以查询安全策略模块,据此自动获取相应的实时安全策略,并结合认证知识库,通过用户实时认证组件建立对应于每个用户的实时认证机制。自组织处理组件也可以接收安全策略模块所发送的安全策略改变通知,据此自动组织合适的用户的实时认证机制,并将认证结果和用户的实时安全策略发送给自组织授权模块,以完成用户资源使用周期内的资源接入权限的自动更新。参见图6,图6为本发明实施例的自组织授权模块组件图。自组织授权模块可以根据每个用户的实时安全策略参数,自动组织相应的实时授权机制,最终完成对每个用户资源接入的授权。自组织授权模块中的自组织处理组件可以从自组织认证模块获取每个用户的实时安全策略参数,并结合安全决策库,通过用户实时授权组件建立对应于每个用户的实时授权机制,以最终完成对用户资源申请的授权,允许用户使用资源。参见图7,图7为本发明一实施例在物联网中实现资源个性化安全接入控制的流程图,该流程包括如下步骤S702 安全管理模块完成对安全策略模块、自组织认证模块和自组织授权模块的相关安全参数的初始化设置。所述相关参数包括但不限于用于配置基础安全策略集合,用于配置自组织认证模块中用户认证规则集合,以及用于配置自组织授权模块或者授权权限的参数。S704 初始化用户所对应的实时安全策略。具体步骤为用户使用资源池,资源池相关服务或应用将用户接入请求发送给上下文感知模块和自组织授权模块。上下文感知模块收集并处理用户上下文,并通知安全策略模块,安全策略模块根据每个用户的上下文和基础安全策略集合,初始化该用户的实时安全策略。S706 用户根据授权权限使用资源。具体步骤为自组织认证模块通过查询获取用户对应的实时安全策略,自组织认证和自组织授权模块根据获取的所述安全策略采取对应于每个用户的认证机制和授权机制。用户根据授权权限使用受保护资源。用户对应的实时安全策略处于运行状态。S708 注销用户的实时安全策略、认证和授权机制。具体步骤为用户退出服务或应用,安全策略模块注销其相应的用户的实时安全策略。自组织认证模块和自组织授权模块注销相应的实时认证机制和授权机制。S710:用户关键上下文更新,用户根据更新后的授权权限使用受保护的资源。具体步骤为用户关键上下文参数改变,如网络环境、处所等,上下文感知模块将该事件通知安全策略模块,安全策略模块更新该用户的实时安全策略,并通知自组织认证模块。自组织认证和授权模块根据该实时安全策略更新用户的实时认证机制和授权机制。用户根据更新后的授权权限使用受保护资源。参见图8,图8为本发明另一实施例在物联网中实现资源个性化安全接入控制的流程图,该流程包括如下步骤S802 向资源池发出用户资源接入请求。实际使用中,所述请求可能是由用户人工发起,也可能是上下文感知模块感知到与用户身份绑定的特定物理感知设备进入特定场景,自动向资源池发出申请。所述资源可能是被保护的数据,也可能是某个网络业务或应用中的受保护程序或流程等。S804A:资源池中的业务或应用软件向上下文感知模块发出用户资源接入请求事件通知。S804B 同时,资源池中的业务或应用软件向自组织授权模块发出授权请求。需要说明的是,S804A和S804B,既可以采用同步工作模式,即建立用户实时安全策略和向自组织认证模块发起认证申请同时进行;也可以采用异步工作模式,即等待建立用户实时安全策略完成后,使用以通知的方式完成资源使用授权。S806A 上下文感知模块向安全策略模块发出与安全相关的用户上下文。S808 安全策略模块根据收到的用户上下文,结合基础安全策略组件,初始化用户的实时安全策略,并启动该安全策略的生命周期管理。S806B 自组织授权模块向自组织认证模块发送认证请求。需要说明的是,与前述的S804A、S804B —样,S806A和S806B既可以采用同步工作模式,也可以采用异步工作模式。S810 :自组织认证模块向安全策略模块发出用户的实时安全策略查询请求。S812 安全策略模块向自组织认证模块返回相应的用户的实时安全策略。需要说明的是,实际使用中,如果返回有效的安全策略,自组织认证模块可以使用该安全策略重新配置自组织认证模块的用户的实时认证机制。当在返回为空或者超时未返回有效安全策略时,自组织认证模块可能有如下异常处理流程方式一是通知用户本次认证失败,要求用户再次提供有效认证所需要的凭证;方式二是直接拒绝本次用户的资源接入申请,在一定时间间隔后再自动重复S810。S814 自组织认证模块使用相应的用户实时安全策略,基于认证知识库,建立每个用户实时安全认证机制。用户认证通过后,自组织认证模块通知自组织授权模块,并向自组织授权模块传递相关的用户的实时安全策略。S816 :自组织授权模块使用相应的用户实时安全策略,基于安全决策库,建立每个用户的实时授权机制,并确定用户最终授权权限。自组织授权模块向资源池发送授权权限信息。资源池中的相关执行单元(如软件应用等),将根据用户的最终授权情况进行下一步的流程处理需要说明的是,自组织授权模块需要使用用户的实时安全授权机制,来决策相应的授权机制和该用户相应的资源授权权限。S818 用户根据授权权限使用资源。S820 上下文感知模块监听到用户上下文有效变更事件。需要说明的是,实际使用中,上下文感知模块所监听到的用户上下文变更事件,既有可能是能引发S822的简单或复杂的有效事件(如用户进入或退出某一应用场景,或用户所接入的网络发生切换等),也可能是一些无用的简单或复杂事件。在这种情况下,上下文事件处理组件具有事件过滤功能,以获知所述有效事件。S822 上下文感知模块向安全策略模块发送变更通知。S824 安全策略模块更新用户的实时安全策略。S826 安全策略模块将表明安全策略更新通知发送给自组织认证模块。S828 自组织认证模块向自组织授权模块发送认证更新通知。
S830 自组织授权模块根据认证更新和策略更新,向资源池发送策略更新后的新用户资源权限。S832 用户利用资源池维持或切换用户资源。结合上述各实施例可知,本发明实现资源个性化安全接入控制的操作思路可以表示如图9所示的流程,该流程包括以下步骤步骤910 由上下文感知模块以被动或主动的方式,获取用户关联的特征身份信息,以及该身份信息关联的环境和资源能力特征信息;所述特征信息的变化情况经过上下文感知模块的过滤和处理后,形成相应的事件并通知给安全策略模块,安全策略模块基于用户上下文变化情况及基础安全策略集合,确定用户的实时安全策略。步骤920 在所述用户的实时安全策略可配置的生命周期内,认证模块和授权模块以查询或者通知接收的方式,从安全策略模块获取用户实时安全策略,据此动态更新用户的认证机制和授权机制。为了保证上述各实施例以及操作思路能够顺利实现,可以进行如图10所示的设置。参见图10,图10为本发明实施例实现资源个性化安全接入控制的系统图,该系统包括相连的实时安全策略决策单元、认证及授权机制决策单元。在实际应用时,实时安全策略决策单元能够根据上下文感知模块所提供的事件, 基于基础安全策略集合,确定用户的实时安全策略。认证及授权机制决策单元能够根据所述实时安全策略决策单元已确定的所述用户的实时安全策略,自动建立、更新或注销所述用户的实时认证和授权机制。综上所述可见,无论是方法还是系统,本发明实现资源个性化安全接入控制的技术,将用户上下文感知技术与用户的实时安全策略相结合,并在用户使用资源的整个生命周期内,自动更新每个用户相应的认证和授权机制,具有如下的优点首先,可以有效地根据用户周围特征信息(包括环境、网络、业务能力资源等)的变化,随时随地动态地为用户提供资源的无缝接入控制服务能力,有效支持物联网资源安全服务的连续性和动态性;其次,能为用户提供在复杂网络环境下的个性化的安全服务支持,从而极大提升了用户体验的满意度;最后,实现资源个性化安全接入控制时具有高效性、易开发性并且容易部署。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种实现资源个性化安全接入控制的方法,其特征在于,该方法包括由上下文感知模块以被动或主动的方式,获取用户关联的特征身份信息,以及该身份信息关联的环境和资源能力特征信息;所述特征信息的变化情况经过上下文感知模块的过滤和处理后,形成相应的事件并通知给安全策略模块,安全策略模块基于用户上下文变化情况及基础安全策略集合,确定用户的实时安全策略;在所述用户的实时安全策略可配置的生命周期内,认证模块和授权模块以查询或者通知接收的方式,从安全策略模块获取用户实时安全策略,据此动态更新用户的认证机制和授权机制。
2.根据权利要求1所述的方法,其特征在于,所述确定用户的实时安全策略的过程包括由上下文感知模块以主动或被动方式,获取与每个用户关联的特征身份信息,以及该特征身份信息所关联的环境和资源能力特征信息;上述涉及特征的信息经过上下文感知模块的过滤和处理后,形成相应的事件并通知给安全策略模块,安全策略模块根据事件变化情况,基于基础安全策略集合,建立与用户相关联的实时安全策略;更新所述认证和授权机制的过程包括将所述用户的实时安全策略通过查询反馈或者通知的方式提供给自组织认证模块和自组织授权模块,自组织认证模块和自组织授权模块根据收到的安全策略,分别基于认证知识库和安全决策库,自动建立和更新相应用户的实时认证机制和资源授权权限。
3.根据权利要求1所述的方法,其特征在于,建立所述用户的实时安全策略时,安全策略模块根据用户资源请求,基于基础安全策略集合,建立与用户相关联的实时安全策略。
4.根据权利要求1所述的方法,其特征在于,自组织认证模块和自组织授权模块建立所述认证机制和资源授权权限时,根据建立的每个用户的实时安全策略,为用户自动地动态提供相应的实时认证机制和授权机制,以支持每个用户根据授权权限使用受保护资源。
5.根据权利要求2所述的方法,其特征在于,所述上下文感知模块获取涉及特征的所述信息时,动态感知、处理和发送用户关联特征信息变化情况,并以事件方式通知安全策略模块,安全策略模块更新用户的实时安全策略。
6.根据权利要求2至5任一项所述的方法,其特征在于,所述实时安全策略具有可配置的建立、运行、更新和注销的生命周期;在用户的实时安全策略的生命周期内,自组织认证模块和自组织授权模块所维护的每个用户的实时认证和授权机制具有相应的建立、运行、更新和注销的生命周期。
7.根据权利要求2至5任一项所述的方法,其特征在于,该方法还包括用户退出资源,安全策略模块注销相应的用户的实时安全策略;自组织认证模块和自组织授权模块注销相应的认证机制和授权机制。
8.一种实现资源个性化安全接入控制的系统,其特征在于,该系统包括实时安全策略决策单元、认证及授权机制决策单元;其中,所述实时安全策略决策单元,用于根据上下文感知模块所提供的事件,基于基础安全策略集合,确定用户的实时安全策略;所述认证及授权机制决策单元,用于根据所述实时安全策略决策单元已确定的所述用户的实时安全策略,自动建立、更新或注销所述用户的实时认证和授权机制。
9.根据权利要求8所述的系统,其特征在于,所述实时安全策略决策单元包括上下文感知模块、安全策略模块;所述认证及授权机制决策单元包括自组织认证模块、自组织授权模块;其中,所述上下文感知模块,用于自动获取与每个用户关联的特征身份信息,以及该特征身份信息所关联的环境和资源能力特征信息;并在对上述涉及特征的信息经过过滤和处理后,形成相应的事件并通知给安全策略模块;所述安全策略模块,用于根据事件变化情况,基于基础安全策略集合,建立与用户相关联的实时安全策略并通过查询反馈或者通知的方式提供给自组织认证模块和自组织授权模块;所述自组织认证模块和自组织授权模块,用于根据收到的安全策略自动建立和更新相应用户的实时认证机制和资源授权权限。
10.根据权利要求9所述的系统,其特征在于,建立所述用户的实时安全策略时,所述安全策略模块用于根据用户资源请求,基于基础安全策略集合,建立与用户相关联的用户的实时安全策略;所述安全策略模块中至少包括但不限于上下文驱动组件、生命周期管理组件、基础安全策略组件、安全策略管理接口及用户实时安全策略组件。
11.根据权利要求9所述的系统,其特征在于,所述自组织认证模块和自组织授权模块建立所述用户的实时认证机制和资源授权权限时,用于根据建立的每个用户的实时安全策略,分别基于认证知识库和安全决策库,为用户自动地动态提供相应的认证机制和授权机制,以支持每个用户根据授权权限使用受保护资源;所述自组织认证模块中至少包括但不限于如下组件认证知识库、自组织处理组件、用户实时认证组件和生命周期管理组件;所述自组织授权模块中至少包括但不限于如下组件安全决策库、自组织处理组件、用户实时授权组件和生命周期管理组件。
12.根据权利要求9所述的系统,其特征在于,所述上下文感知模块获取涉及特征的所述信息时,用于动态感知、处理和发送用户关联特征信息变化情况,并以事件方式通知安全策略模块,触发安全策略模块更新用户的实时安全策略;所述上下文感知模块中至少包括但不限于传感器组感知组件、用户角色感知组件、资源感知组件、事件处理组件、事件驱动组件以及应用层接口。
13.根据权利要求9至12任一项所述的系统,其特征在于,所述用户的实时安全策略具有建立、运行、更新和注销的生命周期;在用户的实时安全策略的生命周期内,自组织认证模块和自组织授权模块所维护的每个用户的实时认证和授权机制具有相应的建立、运行、更新和注销的生命周期。
14.根据权利要求9至12任一项所述的系统,其特征在于,用户退出资源时,所述安全策略模块还用于注销相应的用户的实时安全策略;所述自组织认证模块和自组织授权模块还用于注销相应的用户的实时认证机制和授权机制。
15.根据权利要求9至12任一项所述的系统,其特征在于,该系统还包括安全管理模块,用于对安全策略模块、自组织认证模块和自组织授权模块的基本安全策略参数进行输入和管理。
全文摘要
本发明公开了一种实现资源个性化安全接入控制的方法和系统,可由上下文感知模块获取用户关联的特征身份信息,以及该身份信息关联的环境和资源能力特征信息;所述特征信息的变化情况经过上下文感知模块的过滤和处理后,形成相应的事件并通知给安全策略模块,安全策略模块基于用户上下文变化情况及基础安全策略集合,确定用户的实时安全策略;在所述用户的实时安全策略可配置的生命周期内,认证模块和授权模块从安全策略模块获取用户实时安全策略,据此动态更新用户的认证机制和授权机制。本发明方法和系统将用户上下文感知技术与相应的用户实时安全策略相结合,可有效支持物联网资源安全服务的连续性和动态性。
文档编号H04W12/00GK102300212SQ20111022618
公开日2011年12月28日 申请日期2011年8月8日 优先权日2011年8月8日
发明者王世彤 申请人:中兴通讯股份有限公司