一种通用的访问控制方法及装置的制造方法
【技术领域】
[0001] 本发明设及网络与系统安全领域,尤其设及一种通用的访问控制方法及装置。
【背景技术】
[0002] 随着通信技术、网络技术和信息技术的持续快速发展和应用广泛普及,形成了 包含互联网、移动网和物联网等具有开放性、异构性、移动性、动态性、多安全域等诸多特 性的复杂的、泛在的网络系统。在复杂的、泛在的网络中通过"网络之网络"(Networkof Network,NoN)访问"系统之系统(SystemofSystem,So巧"已经成为信息化发展的趋势。
[0003] 各种网络技术与信息技术的发展,云计算技术应用普及,"人"、"机"、"物"借助泛 在异构的网络广泛互联互通,公共安全、智能交通、智慧家庭与移动社交、环境监测、位置服 务、移动支付等新服务模型和业务不断涌现,信息网服务呈现"云端"、"管道"、"终端"融合 发展的趋势,新的服务模式的出现为用户提供随屯、、随时、随地的访问方式和途径。但该种 泛在的网络环境在给人们带来便利的同时,对新型信息服务模式下的访问控制提出更大挑 战。
[0004] 泛在网络环境中访问信息资源时,人们所处的环境状态与时间状态、采用的终端 设备、从何处接入、经由的网络,W及要访问的信息资源及其安全属性等都将对访问权限产 生重要的影响,直接决定对信息资源的访问类型W及信息资源的有效使用时间。而已有访 问控制模型均无法适应泛在网络环境的上述需求,无法涵盖什么人、什么时间、从哪里接入 网络、使用什么设备、经由什么网络、访问什么资源、对资源做什么操作、数据保存多长时间 等多种因素,期待一种新型访问控制模型,能够随泛在网络环境中应用的不同而自适应,实 现随时随地安全地访问无处不在的信息资源,真正达到"信息随屯、行、交互在指间"的理想 境界。
【发明内容】
[0005] 本发明要解决的技术问题是如何本发明能够更好地满足各种应用场景下的访问 控制需求。
[0006] 为解决上述技术问题,采用W下技术方案:
[0007] 一种通用的访问控制方法,包括:
[000引访问请求实体针对待访问的资源生成访问请求消息;所述的访问请求消息包括: 访问请求实体的标识及属性信息、请求访问的资源的标识;
[0009] 所述访问请求实体将所述访问请求消息通过网络和/或广义网络传送给访问控 制节点;
[0010] 所述访问控制节点根据所述的访问请求消息、第一网络传播链和/或第一广义网 络传播链判断访问请求是否满足预定的访问控制策略;所述第一网络传播链和/或第一广 义网络传播链通过加入所述访问请求消息在传送过程中依次所经过的网络和/或广义网 络的交互行为的信息得到;
[0011] 所述访问控制节点将访问对象和/或操作结果通过网络和/或广义网络传送给访 问请求实体;所述访问对象包括所述资源及其属性信息。
[0012] 可选地,将所述资源及其属性信息作为访问对象通过网络和/或广义网络传送给 所述访问请求实体后还包括:
[0013]所述访问请求实体通过网络和/或广义网络接收所述访问对象和/或操作结果, 得到第二网络传播链和/或第二广义网络传播链;所述第二网络传播链和/或第二广义网 络传播链通过加入所述访问对象和/或操作结果在传送过程中依次所经过的网络和/或广 义网络的交互行为的信息得到。
[0014]可选地,所述的方法还包括:
[0015]第一访问请求实体针对待转发的访问对象和/或操作结果,W及作为转发目标的 第二访问请求实体,生成转发请求消息;所述的转发请求消息包括;第一访问请求实体标 识、第二访问请求实体标识、待转发的访问对象和/或操作结果的信息;如果所述待转发的 访问对象和/或操作结果是其它访问请求实体转发给所述第一访问请求实体的,则所述转 发请求消息中还包括;资源传播链;
[0016]所述第一访问请求实体将所述转发请求消息通过网络和/或广义网络传送给访 问控制节点;
[0017]所述访问控制节点当不存在资源传播链时,根据所述的转发请求消息、第=网络 传播链和/或第=广义网络传播链判断转发请求是否满足预定的访问控制策略;当存在资 源传播链时,根据所述的转发请求消息、第=网络传播链和/或第=广义网络传播链、及资 源传播链判断转发请求是否满足预定的访问控制策略;所述第=网络传播链和/或第=广 义网络传播链通过加入所述转发请求消息在传送过程中依次所经过的网络和/或广义网 络的交互行为的信息得到;所述资源传播链是所述访问对象和/或操作结果在不同访问请 求实体之间的转发过程中形成的;
[001引当所述转发请求消息满足预定的访问控制策略时,所述第一访问请求实体对所述 待转发的访问对象和/或操作结果进行转发。
[0019]可选地,所述访问控制节点设置在网络中任一设备上;设置在前台和/或后台;为 集中式或分布式;各访问控制节点的控制区域是整个网络或部分网络。
[0020] 可选地,所述访问请求实体包括用户、自治代理、角色中任意一个或几个,访问请 求实体集合不能为空;
[0021] 所述用户,用于描述资源的创建、接收与转发,访问请求或转发请求的发起的用户 集合,由有限的个体组成;所述自治代理,用于描述资源的接收与转发、访问请求或转发请 求的发起的相关进程、代理服务的集合,由有限的个体组成;所述角色是具有某种权限的集 合;
[0022] 所述访问请求实体的属性信息包括W下任一种或任意组合;广义时态状态、访问 设备、接入点;或者为空;
[0023]所述广义时态状态包括W下一种或多种的任意组合;时间区间、持续时间、时间周 期;或者为空;所述时间区间,用于描述事件的起始时间和终止时间之间的时间区间;所述 持续时间,用于描述事件的持续时间;所述时间周期,用于描述事件的时间周期;
[0024]所述接入点包括W下一种或多种的任意组合;空间位置、网络标识、效能、风险系 数,或者为空;所述空间位置,用于描述对资源进行访问时接入点的相关空间位置信息;所 述网络标识,用于描述访问资源时接入点的唯一网络标识;所述效能用于描述接入点的控 制效果;所述风险系数用于描述接入点的安全特性;
[0025] 所述访问设备用于描述对资源进行访问时的设备及其组成特征和相关属性;所述 设备的组成特征和相关属性包括W下一种或或多种的任意组合:通用属性、安全属性和时 间属性;所述的通用属性用于描述设备基本属性及相关效能;所述的安全属性用于描述访 问设备的安全特性及风险系数;所述的时间属性用于描述访问设备的时间属性;
[0026] 所述资源的属性信息包括W下一种或任意组合;广义时态状态、接入点、访问设 备;
[0027] 所述资源用于描述访问的对象及其相关属性,所述访问的对象的相关属性包括通 用属性、安全属性中的一种或多种的任意组合;所述资源的通用属性包括资源的类型、资源 的来源、资源大小、资源时态中的一种或多种的任意组合;所述的资源的类型包括数据库 表、文件、网页中的一种或多种的任意组合;所述的资源的来源包括创建、转发、重组中的一 种或多种的任意组合;所述的资源的安全属性包括资源允许执行的操作、分发方式、是否允 许转发、销毁方式、安全等级、加密方式、风险系数中的一种或多种的任意组合。
[002引可选地,所述的网络包括有线网、无线网、局域网、广域网、物联网中的一种或多种 的任意组合的实际网络环境;
[0029] 所述的网络包括网络节点、网络节点之间的路径;所述的网络节点包括;设备和 网络区域;
[0030] 所述的网络节点属性包括通用属性和安全属性中的一种或多种的任意组合;
[0031] 所述的网络节点的通用属性包括网络类型、网络协议、节点类型、效能中的一种或 多种的任意组合;所述的网络类型包括局域网、城域网、广域网中的一种或多种的任意组 合;所述网络协议,用于描述网络中为传递和管理信息资源而建立的规则集;所述的节点 类型包括起点、终点、子网的入口、子网的出口、子网的内部节点中一种或多种的任意组合; 所述效能,用于描述网络节点控制效果;
[0032] 所述网络节点的安全属性,用于描述网络节点的安全特性及风险系数,包括设备 的安全属性、网络的安全属性中的一种或多种的任意组合;所述设备的安全属性用于描述 设备的安全特性及风险系数;所述的网络的安全属性用于描述网络的安全特性及风险系 数;
[0033] 网络节点之间的路径用于描述网络之间的连通性;所述路径的属性包括网络节点 之间路径的连通属性、安全属性中的一种或多种的任意组合;所述的路径的连通属性用于 描述线路的状态、性能及协议,为路径选择提供依据;所述的连通属性包括性能属性、协议 属性和效能中的一种或多种的任意组合;所述的性能属性包括带宽、开销、跳数、时延、最大 传输单元、吞吐量中的一种或多种的任意组合;所述的协议属性包括TCP^P、CDMA、藍牙、 802. 11、IS01898中的一种或多种的任意组合;所述效能,用于描述连通性效果;所述路径 的安全属性用于描述路径的安全特性及风险系数,包括加密类型、安全协议、管控信息、风 险系数中的一种或多种的任意组合。
[0034] 可选地,所述的网络传播链指基于网络节点有序交互行为的信息的集合;所述的 交互行为的信息包括资源/消息的发起点、资源/消息的接收点、行为的时间属性、接入点; 其中资源/消息的发起点和资源/消息的接收点不能为空,行为的时间属性、接入点为一种 或多种的任意组合,或者为空;所述的行为的时间属性为广义时态状态;所述的接入点用 于描述网络节点的位置属性;
[0035] 所述的广义网络传播链指基于人工有序交互行为的信息的集合;所述的交互行为 的信息包括资源/消息的发起者、资源/消息的接收者、行为的时间属性、接入点;其中资源 /消息的发起者和资源/消息的接收者不能为空,行为的时间属性、接入点为一种或多种的 任意组合,或者为空。
[0036] 可选地,所述资源传播链是用于描述资源传播过程中,资源交换行为的信息的有 序集合;
[0037] 所述的资源交换行为的信息用于描述资源在两个访问请求实体之间的一次传输, 包括资源和/或消息的创建者或转发者、资源和/或消息的接收者、访问对象和/或操作结 果、广义时态状态;其中资源和//或消息的创建者或转发者、资源和/或消息的接收者、访 问对象和/或操作结果不能为空,广义时态状态为一种或多种的任意组合,或者为空。
[003引可选地,在根据资源传播链判断是否满足预定的访问控制策略时,根据W下一个 因素或其任意组合进行判断:整个资源传播链中各个转发的访问请求实体及其对应的广义 时态状态、接入点和访问设备,各个接收的访问请求实体及其对应的广义时态状态、接入点 和访问设备,转发的时间,访问对象和/或操作结果进行判断。
[0039] 可选地,访问控制节点根据所述的访问请求消息、第一网络传播链和/或第一广 义网络传播链判断所述访问请求是否满足预定的访问控制策略包括:
[0040] 判断访问请求实体是否满足访问控制策略,如果不满足则判断所述访问请求不满 足预定的访问控制策略;
[0041] 判断访问请求实体对应的广义时态状态是否满足访问控制策略要求,如果不满足 则判断所述访问请求不满足预定的访问控制策略;
[0042] 判断访问请求实体对应的接入点是否满足访问控制策略,如果不满足则判断所述 访问请求不满足预定的访问控制策略;
[0043] 判断访问请求实体对应的访问设备是否满足访问控制策略,如果不满足则判断所 述访问请求不满足预定的访问控制策略;
[0044] 判断访问请求实体在进行访问请求时的第一网络传播链和/或第一广义网络传 播链是否满足访问控制策略;如果不满足则判断所述访问请求不满足预定的访问控制策 略。
[0045] 如果均满足则判断所述访问请求满足预定的访问控制策略。
[0046] -种通用的访问控制装置,包括;
[0047] 请求生成模块、请求发送模块、访问控制匹配模块、反馈模块;
[0048] 所述请求生成模块用于针对访问请求实体待访问的资源生成访问请求消息;所述 的访问请求消息包括:访问请求实体的标识及属性信息、请求访问的资源的标识;
[0049] 所述请求发送模块用于将所述访问请求消息通过网络和/或广义网络传送给所 述访问控制匹配模块;
[0050] 所述访问控制匹配模块用于根据所述的访问请求消息、第一网络传播链和/或第 一广义网络传播链判断访问请求是否满足预定的访问控制策略;所述第一网络传播链和/ 或第一广义网络传播链通过加入所述访问请求消息在传送过程中依次所经过的网络和/ 或广义网络的交互行为的信息得到;
[0051] 所述反馈模块用于将访问对象和/或操作结果通过网络和/或广义网络传送给访 问请求实体;所述访问对象包括所述资源及其属性信息。
[0052] 可选地,所述的装置还包括:
[0053] 接收模块,用于通过网络和/或广义网络接收所述访问对象和/或操作结果,得到 第二网络传播链和/或第二广义网络传播链;所述第二网络传播链和/或第二广义网络传 播链通过加入所述访问对象和/或操作结果在传送过程中依次所经过的网络和/或广义网 络的交互行为的信息得到。