187] 网络传播链和/或广义网络传播链到访问对象及其操作的分配,用于描述对网络 传播链和/或广义网络传播链分配访问对象及其操作的过程。本实施例中方案1,在访问请 求、网络传播链和/或广义网络传播链、访问对象中同时包括广义时态状态、接入点、访问 设备,在生成访问请求消息时,除了包括访问请求实体标识、资源外,还需要加入访问请求 实体对应的广义时态状态、接入点、访问设备。网络传播链和/或广义网络传播链中每个节 点在进行访问控制策略匹配时,要包括从广义时态状态、接入点、访问设备=个方面进行判 断。同样在访问控制策略的判断过程中也需要对访问请求实体的广义时态状态、接入点和 访问设备进行判断;
[0188] 访问对象包括资源及其对应的广义时态状态、接入点、访问设备。在得到访问对象 的访问权限后,访问请求实体得到访问对象及其对应的操作,在访问对象及其对应的操作 传递过程中,需要考虑资源对应的访问设备、接入点及广义时态状态。同样在资源转发过程 中,访问控制策略的匹配W及资源链的形成也都需要考虑资源对应的访问设备、接入点及 广义时态状态。
[0189] 实施方案2,如图3所示;
[0190] 一种通用的访问控制方法包括:
[0191] 访问请求实体、广义时态状态、接入点、访问设备、网络和/或广义网络、资源、网 络传播链和/或广义网络传播链、资源传播链、对资源的操作;上述定义同实施例1。访问 请求实体、广义时态状态、接入点、访问设备组成了访问请求111,用于描述访问请求实体在 某一广义时态状态、访问接入点的位置状态下使用什么访问设备发起访问请求动作;
[0192] 传播链112包括;广义时态状态、接入点、访问设备、网络组成的网络传播链116, 和/或广义时态状态、接入点、访问设备、广义网络组成的广义网络传播链117 ;
[0193] 资源、接入点组成访问对象113;
[0194] 本实施例中方案2所述的会话Ss,用于描述访问请求与网络传播链116和/或广 义网络传播链117的集合之间的映射,一个访问请求可W有多个会话,但一个会话只能从 属于一个访问请求,一个会话可W映射网络传播链116和/或广义网络传播链117集合中 多个元素;
[01巧]本实施例中方案2,约束条件Q,用于描述启动会话Ss之后,访问请求只能通过网 络传播链116和/或广义网络传播链117才能得到访问对象及其对应的操作;本实施例中 方案2中的各种继承关系和分配关系同方案1 ;本实施例中方案2,在访问请求、网络传播链 和/或广义网络传播链中同时包括广义时态状态、接入点、访问设备,在生成访问请求消息 时,除了包括访问请求实体标识、资源外,还需要加入访问请求实体对应的广义时态状态、 接入点、访问设备。网络传播链和/或广义网络传播链中每个节点在进行访问控制策略匹 配时,要包括从广义时态状态、接入点、访问设备=个方面进行判断、同样在访问控制策略 的判断过程中需要对访问请求实体的广义时态状态、接入点、访问设备进行判断;
[0196] 访问对象只包括资源对应的接入点。在得到访问对象的访问权限后,访问请求实 体得到访问对象及其对应的操作,在访问对象及其对应的操作传递过程中只需要考虑资源 对应的访问接入点,不需要考虑资源对应的访问设备和广义时态状态。同样在资源转发过 程中,访问控制策略的匹配W及资源链的形成也只需要考虑资源对应接入点,而不需要考 虑资源对应的访问设备和广义时态状态。
[0197] 实施方案3,如图4所示;
[019引一种通用的访问控制方法包括:
[0199] 访问请求实体、广义时态状态、接入点、访问设备、网络和/或广义网络、资源、网 络传播链和/或广义网络传播链、资源传播链、对资源的操作;上述定义同实施例1。访问 请求实体、广义时态状态、接入点组成了访问请求121,用于描述访问请求实体在某一广义 时态状态、访问接入点的位置状态下发起访问请求动作;
[0200] 传播链122包括港入点、访问设备、网络组成的网络传播链126,和/或接入点、 访问设备、广义网络组成的广义网络传播链127 ;
[020U 资源、接入点组成访问对象123 ;
[0202] 本实施例中方案3中所述的会话Ss,用于描述访问请求121与网络传播链126和 /或广义网络传播链127集合之间的映射,一个访问请求可W有多个会话,但一个会话只能 从属于一个访问请求,一个会话可W映射网络传播链126和/或广义网络传播链127集合 中多个元素;
[0203] 在本实施例的方案3中,约束条件Q,用于描述启动会话Ss之后,访问请求只能通 过网络传播链126和/或广义网络传播链127才能得到访问对象及其对应的操作。
[0204] 本实施例方案3中,还包括多种继承关系,包括但不限于:
[02化]角色的继承关系,广义时态状态的继承关系、接入点的继承关系、网络和/或广义 网络的继承关系、访问设备的继承关系、网络传播链的继承关系、广义网络传播链的继承关 系;所述的网络传播链之间的继承关系包括接入点的继承关系、网络的继承关系、访问设备 的继承关系、网络传播链的继承关系;所述的广义网络传播链之间的继承关系包括接入点 的继承关系、广义网络的继承关系、访问设备的继承关系、广义网络传播链的继承关系;
[0206] 在实施方案中的各种分配关系同本实施例中的方案1 ;
[0207] 本实施方案中,访问请求中包括了访问请求实体对应的广义时态状态、接入点,但 没有考虑访问请求实体发起访问请求时使用的访问设备,因此在访问请求消息生成时,需 要加入访问请求实体的广义时态状态、接入点,而不需要考虑访问请求实体访问时使用的 访问设备,同样在访问控制策略的判断过程中需要包括对访问请求实体的广义时态状态、 接入点进行判断,而不需要考虑访问请求实体使用的访问设备;网络传播链和/或广义网 络传播链中包括访问设备和接入点,而没有考虑广义时态状态,在网络传播链和/或广义 网络传播链中每个节点在进行访问控制策略匹配时,要包括从接入点和访问设备进行判 断,而不需要对广义时态状态进行判断。
[020引访问对象只包括资源对应的接入点。在得到访问对象的访问权限后,访问请求实 体得到访问对象及其对应的操作,在访问对象及其对应的操作传递过程中只需要考虑资源 对应的访问接入点,不要需要考虑资源对应的访问设备和广义时态状态。同样在资源转发 过程中,访问控制策略的匹配W及资源链的形成也只需要考虑资源对应接入点,而不需要 考虑资源对应的访问设备和广义时态状态。
[0209] 实施例3 ;-种通用的访问控制方法,如图5所示。
[0210] 本实施例用来说明访问请求实体通过网络和/或广义网络对资源进行访问。本实 施例中定义访问请求实体为访问请求实体Si,待访问的资源为资源〇1。访问请求实体Si访 问资源1的广义时态状态Ti,接入点为Ai,访问设备为〇1。本实施例主要包括W下步骤:
[0211] 210、访问请求消息的生成
[0212] 访问请求实体Si对资源0 1发出访问请求动作;访问请求实体S1的标识及属性信 息、资源〇1的标识一起形成访问请求消息,发送给访问控制节点;访问请求消息中的访问请 求实体标识、资源不能为空,属性信息可W但不限于包括;广义时态状态、访问设备、接入点 等可W为一种或多种的任意组合,或者为空;
[0213] 220、访问请求消息的传送
[0214] 访问请求消息通过网络和/或广义网络传送,在访问请求消息传递过程中形成网 络传播链Ni和/或广义网络传播链Ns,,假如;在网络传播链Ni中共有k个网络节点,那么 网络传播链Ni=<ni-nW,ti,a;,a^〉,其中0《i《k-1,ti为从第i个节点到第i+1个 节点对应的时态状态,a,,aw分别为第i个节点和第i+1个节点对应的位置信息;
[021引在广义网络传播链Nu中共有1个广义网络节点;那么广义网络传播链Nu= <ngi-ngW,ti,a;,aw〉其中0《i《^1,ti为从第i个广义网络节点到第i+1个广义网 络节点对应的时态状态,a,,aw分别为第i个广义网络节点和第i+1个广义网络节点对应 的位置信息;
[0216] 230、访问控制策略的匹配
[0217] 判断是否满足访问控制策略,具体过程如图6所示,策略匹配可在但不限于网络 传播链中的网络节点和/或广义网络传播链中的广义网络节点、资源/消息的发起点、资源 /消息的接收点、资源/消息的发起者、资源/消息的接收者中的一种或多种的任意组合上 实现。
[021引访问控制策略的匹配的过程如图6所示,包括W下5个步骤:
[0219] 231、判断访问请求实体Si是否满足访问控制策略,如果不满足则判断所述访问请 求不满足预定的访问控制策略,禁止访问请求实体访问;
[0220]232、判断访问请求实体Si对应的广义时态状态T1是否满足访问控制策略要求,在 进行时态策略判断时从访问时间区间、访问持续的时间、访问周期=个方面进行判断,如果 不满足则判断所述访问请求不满足预定的访问控制策略,禁止访问请求实体访问;
[0221] 233、判断访问请求实体Si对应的接入点Ai是否满足访问控制策略,在进行接入点 的策略判断时,要从接入点的空间位置和网络标识两个方面进行判断;如果不满足则判断 所述访问请求不满足预定的访问控制策略,禁止访问请求实体访问;
[0222] 234、判断访问请求实体Si对应的访问设备Di是否满足访问控制策略,在进行访问 设备的策略判断时,要从访问设备通用属性、安全属性、有效期=个方面进行判断,如果不 满足则判断所述访问请求不满足预定的访问控制策略,禁止访问请求实体访问;
[0223]235、判断访问请求实体Si在进行访问请求时的网络传播链N1和/广义网络传播 链Nu是否满足访问控制策略,如果不满足则判断所述访问请求不满足预定的访问控制策 略,禁止访问请求实体访问;在根据网络传播链和/或广义网络传播链判断是否满足预定 的访问控制策略时,要从整个传播链中各个节点的属性和节点与节点之间路径及其属性进 行判断,W确保信息在可信可控的网络和/或广义网络中传播,便于资源的追踪和监控;
[0224] 如果231~235均满足,则判断所述访问请求满足预定的访问控制策略,允许访问 请求实体访问。
[0225] 图6中所示只是一种例子,当231~234的判断结果为"是"时进行下一步判断; 而实际应用时,上述231~235的5个步骤可W选择其中任意一个或任意几个执行,且执行 的顺序可W任意设置和组合。
[0226] 访问请求实体满足所有的访问控制策略,则进入下一步,允许访问请求实体Si对 资源〇1进行访问,否则结束访问。
[0227] 资源的发送
[0228] 240、允许访问请求实体Si对资源0 1进行访问,资源0 1经过网络传播链N2和/或 广义网络传播链发送到访问请求实体Si。Ni与N2可W相同也可W不同,Nu与可W 相同也可W不同。
[0229] 实施例4;一种通用的访问控制方法,包括;
[0230] 本实施例用来说明访问请求实体通过网络和/或广义网络实现访问对象和/或操 作结果的转发。
[0231] 本实施例中,访问请求实体为访问请求实体Si,得到的资源为资源〇1。访问请求实 体Si在得到资源0 1对应的访问对象和/或操作结果后,分别经过转发请求消息的生成、访 问控制策略的判断,访问对象和/或操作结果的转发=个步骤来实现将资源〇1对应的访问 对象和/或操作结果转发给访问请求实体S2。在访问请求实体Si和访问请求实体S2之间 对资源〇1对应的访问对象和/或操作结果转发过程中,形成了资源传播链: 悦3引 Ii= <Si-S2, 〇1,ti〉。
[0233]在访问请求实体S3得到资源01对应的访问对象和/或操作结果,如果有转发的权 限,继续将资源〇1对应的访问对象和/或操作结果转发给访问请求实体S4。在此资源传递 过程中形成新的资源传播链:
[0234] 12= {<S 1- S 2,〇1,ti〉,- S 3,〇1,t]〉}。
[02巧]依此类推,资源化对应的访问对象和/或操作结果从访问请求实体S2不断转发直 到访问请求实体m,形成的资源链为:
[0236] Im_i= KS i- S …〇1,ti〉,0 < i《m-U。
[0237] 资源〇1对应的访问对象和/或操作结果在转发过程中,需要对资源和/或资源传 播链一起转发;在进行访问控制策略的判断时,除了要从访问请求实体、广义时态状态、接 入点、访问设备、网络传播链和/或广义网络传播链5个方面进行判断外,还需要对转发过 程中形成的资源传播链进行匹配和判断。
[023引对资源传播链进行访问控制策略的匹配与判断,W保证资源在可信的访问请求实 体之间传播,同时又便于资源的追踪与监控。
[0239] 在上述资源访问和转发的过程中,访问请求实体在自己权限的范围内对资源进行 操作,并形成新的权限,新的权限必须是原有权限的子集。
[0240] 在根据资源传播链判断是否满足预定的访问控制策略时,要从W下因素中的任一 个或其任意组合进行判断:
[0241] 整个资源传播链中各个转发的访问请求实体及其对应的广