元、吞吐量中的一种或多种的任意组合;所述的协议属性包括TCP/IP、CDMA、蓝牙、 802. 11、IS01898中的一种或多种的任意组合;所述效能,用于描述连通性效果;所述路径 的安全属性用于描述路径的安全特性及风险系数,包括加密类型、安全协议、管控信息、风 险系数中的一种或多种的任意组合。7. 如权利要求1所述的方法,其特征在于: 所述的网络传播链指基于网络节点有序交互行为的信息的集合;所述的交互行为的信 息包括资源/消息的发起点、资源/消息的接收点、行为的时间属性、接入点;其中资源/消 息的发起点和资源/消息的接收点不能为空,行为的时间属性、接入点为一种或多种的任 意组合,或者为空;所述的行为的时间属性为广义时态状态;所述的接入点用于描述网络 节点的位置属性; 所述的广义网络传播链指基于人工有序交互行为的信息的集合;所述的交互行为的信 息包括资源/消息的发起者、资源/消息的接收者、行为的时间属性、接入点;其中资源/消 息的发起者和资源/消息的接收者不能为空,行为的时间属性、接入点为一种或多种的任 意组合,或者为空。8. 如权利要求3所述的方法,其特征在于: 所述资源传播链是用于描述资源传播过程中,资源交换行为的信息的有序集合; 所述的资源交换行为的信息用于描述资源在两个访问请求实体之间的一次传输,包括 资源和/或消息的创建者或转发者、资源和/或消息的接收者、访问对象和/或操作结果、 广义时态状态;其中资源和/或消息的创建者或转发者、资源和/或消息的接收者、访问对 象和/或操作结果不能为空,广义时态状态为一种或多种的任意组合,或者为空。9. 如权利要求8所述的方法,其特征在于: 在根据资源传播链判断是否满足预定的访问控制策略时,根据以下一个因素或其任意 组合进行判断:整个资源传播链中各个转发的访问请求实体及其对应的广义时态状态、接 入点和访问设备,各个接收的访问请求实体及其对应的广义时态状态、接入点和访问设备, 转发的时间,访问对象和/或操作结果进行判断。10. 如权利要求4所述的方法,其特征在于,访问控制节点根据所述的访问请求消息、 第一网络传播链和/或第一广义网络传播链判断所述访问请求是否满足预定的访问控制 策略包括: 判断访问请求实体是否满足访问控制策略,如果不满足则判断所述访问请求不满足预 定的访问控制策略; 判断访问请求实体对应的广义时态状态是否满足访问控制策略要求,如果不满足则判 断所述访问请求不满足预定的访问控制策略; 判断访问请求实体对应的接入点是否满足访问控制策略,如果不满足则判断所述访问 请求不满足预定的访问控制策略; 判断访问请求实体对应的访问设备是否满足访问控制策略,如果不满足则判断所述访 问请求不满足预定的访问控制策略; 判断访问请求实体在进行访问请求时的第一网络传播链和/或第一广义网络传播链 是否满足访问控制策略;如果不满足则判断所述访问请求不满足预定的访问控制策略。 如果均满足则判断所述访问请求满足预定的访问控制策略。11. 一种通用的访问控制装置,其特征在于,包括: 请求生成模块、请求发送模块、访问控制匹配模块、反馈模块; 所述请求生成模块用于针对访问请求实体待访问的资源生成访问请求消息;所述的访 问请求消息包括:访问请求实体的标识及属性信息、请求访问的资源的标识; 所述请求发送模块用于将所述访问请求消息通过网络和/或广义网络传送给所述访 问控制匹配模块; 所述访问控制匹配模块用于根据所述的访问请求消息、第一网络传播链和/或第一广 义网络传播链判断访问请求是否满足预定的访问控制策略;所述第一网络传播链和/或第 一广义网络传播链通过加入所述访问请求消息在传送过程中依次所经过的网络和/或广 义网络的交互行为的信息得到; 所述反馈模块用于将访问对象和/或操作结果通过网络和/或广义网络传送给访问请 求实体;所述访问对象包括所述资源及其属性信息。12. 如权利要求11所述的装置,其特征在于,还包括: 接收模块,用于通过网络和/或广义网络接收所述访问对象和/或操作结果,得到第二 网络传播链和/或第二广义网络传播链;所述第二网络传播链和/或第二广义网络传播链 通过加入所述访问对象和/或操作结果在传送过程中依次所经过的网络和/或广义网络的 交互行为的信息得到。13. 如权利要求11所述的装置,其特征在于: 所述请求生成模块还用于针对第一访问请求实体待转发的访问对象和/或操作结果, 以及作为转发目标的第二访问请求实体,生成转发请求消息;所述的转发请求消息包括: 第一访问请求实体标识、第二访问请求实体标识、待转发的访问对象和/或操作结果的信 息;如果所述待转发的访问对象和/或操作结果是其它访问请求实体转发给所述第一访问 请求实体的,则所述转发请求消息中还包括:资源传播链; 所述请求发送模块还用于将所述转发请求消息通过网络和/或广义网络传送给所述 访问控制匹配模块; 所述访问控制匹配模块还用于当不存在资源传播链时,根据所述的转发请求消息、第 三网络传播链和/或第三广义网络传播链判断转发请求是否满足预定的访问控制策略;当 存在资源传播链时,根据所述的转发请求消息、第三网络传播链和/或第三广义网络传播 链、及资源传播链判断转发请求是否满足预定的访问控制策略;所述第三网络传播链和/ 或第三广义网络传播链通过加入所述转发请求消息在传送过程中依次所经过的网络和/ 或广义网络的交互行为的信息得到;所述资源传播链是所述访问对象和/或操作结果在不 同访问请求实体之间的转发过程中形成的; 所述装置还包括: 转发模块,用于当所述转发请求消息满足预定的访问控制策略时,对所述待转发的访 问对象和/或操作结果进行转发。14. 如权利要求11到13中任一项所述的装置,其特征在于: 所述访问控制匹配模块设置在网络中任一设备上;设置在前台和/或后台;为集中式 或分布式;各访问控制节点的控制区域是整个网络或部分网络。15. 如权利要求11到13中任一项所述的装置,其特征在于: 所述访问请求实体包括用户、自治代理、角色中任意一个或几个,访问请求实体集合不 所述用户,用于描述资源的创建、接收与转发,访问请求或转发请求的发起的用户集 合,由有限的个体组成;所述自治代理,用于描述资源的接收与转发、访问请求或转发请求 的发起的相关进程、代理服务的集合,由有限的个体组成;所述角色是具有某种权限的集 合; 所述访问请求实体的属性信息包括以下任一种或任意组合:广义时态状态、访问设备、 接入点;或者为空; 所述广义时态状态包括以下一种或多种的任意组合:时间区间、持续时间、时间周期; 或者为空;所述时间区间,用于描述事件的起始时间和终止时间之间的时间区间;所述持 续时间,用于描述事件的持续时间;所述时间周期,用于描述事件的时间周期; 所述接入点包括以下一种或多种的任意组合:空间位置、网络标识、效能、风险系数,或 者为空;所述空间位置,用于描述对资源进行访问时接入点的相关空间位置信息;所述网 络标识,用于描述访问资源时接入点的唯一网络标识;所述效能用于描述接入点的控制效 果;所述风险系数用于描述接入点的安全特性; 所述访问设备用于描述对资源进行访问时的设备及其组成特征和相关属性;所述设备 的组成特征和相关属性包括以下一种或或多种的任意组合:通用属性、安全属性和时间属 性;所述的通用属性用于描述设备基本属性及相关效能;所述的安全属性用于描述访问设 备的安全特性及风险系数;所述的时间属性用于描述访问设备的时间属性; 所述资源的属性信息包括以下一种或任意组合:广义时态状态、接入点、访问设备; 所述资源用于描述访问的对象及其相关属性,所述访问的对象的相关属性包括通用属 性、安全属性中的一种或多种的任意组合;所述资源的通用属性包括资源的类型、资源的来 源、资源大小、资源时态中的一种或多种的任意组合;所述的资源的类型包括数据库表、文 件、网页中的一种或多种的任意组合;所述的资源的来源包括创建、转发、重组中的一种或 多种的任意组合;所述的资源的安全属性包括资源允许执行的操作、分发方式、是否允许转 发、销毁方式、安全等级、加密方式、风险系数中的一种或多种的任意组合。16. 如权利要求11到13中任一项所述的装置,其特征在于: 所述的网络包括有线网、无线网、局域网、广域网、物联网中的一种或多种的任意组合 的实际网络环境; 所述的网络包括网络节点、网络节点之间的路径;所述的网络节点包括:设备和网络 区域; 所述的网络节点属性包括通用属性和安全属性中的一种或多种的任意组合; 所述的网络节点的通用属性包括网络类型、网络协议、节点类型、效能中的一种或多种 的任意组合;所述的网络类型包括局域网、城域网、广域网中的一种或多种的任意组合;所 述网络协议,用于描述网络中为传递和管理信息资源而建立的规则集;所述的节点类型包 括起点、终点、子网的入口、子网的出口、子网的内部节点中一种或多种的任意组合;所述效 能,用于描述网络节点控制效果; 所述网络节点的安全属性,用于描述网络节点的安全特性及风险系数,包括设备的安 全属性、网络的安全属性中的一种或多种的任意组合;所述设备的安全属性用于描述设备 的安全特性及风险系数;所述的网络的安全属性用于描述网络的安全特性及风险系数; 网络节点之间的路径用于描述网络之间的连通性;所述路径的属性包括网络节点之 间路径的连通属性、安全属性中的一种或多种的任意组合;所述的路径的连通属性用于描 述线路的状态、性能及协议,为路径选择提供依据;所述的连通属性包括性能属性、协议属 性和效能中的一种或多种的任意组合;所述的性能属性包括带宽、开销、跳数、时延、最大 传输单元、吞吐量中的一种或多种的任意组合;所述的协议属性包括TCP/IP、CDMA、蓝牙、 802. 11、IS01898中的一种或多种的任意组合;所述效能,用于描述连通性效果;所述路径 的安全属性用于描述路径的安全特性及风险系数,包括加密类型、安全协议、管控信息、风 险系数中的一种或多种的任意组合。17. 如权利要求11所述的装置,其特征在于: 所述的网络传播链指基于网络节点有序交互行为的信息的集合;所述的交互行为的信 息包括资源/消息的发起点、资源/消息的接收点、行为的时间属性、接入点;其中资源/消 息的发起点和资源/消息的接收点不能为空,行为的时间属性、接入点为一种或多种的任 意组合,或者为空;所述的行为的时间属性为广义时态状态;所述的接入点用于描述网络 节点的位置属性; 所述的广义网络传播链指基于人工有序交互行为的信息的集合;所述的交互行为的信 息包括资源/消息的发起者、资源/消息的接收者、行为的时间属性、接入点;其中资源/消 息的发起者和资源/消息的接收者不能为空,行为的时间属性、接入点为一种或多种的任 意组合,或者为空。18. 如权利要求13所述的装置,其特征在于: 所述资源传播链是用于描述资源传播过程中,资源交换行为的信息的有序集合; 所述的资源交换行为的信息用于描述资源在两个访问请求实体之间的一次传输,包括 资源和/或消息的创建者或转发者、资源和/或消息的接收者、访问对象和/或操作结果、 广义时态状态;其中资源和/或消息的创建者或转发者、资源和/或消息的接收者、访问对 象和/或操作结果不能为空,广义时态状态为一种或多种的任意组合,或者为空。19. 如权利要求18所述的装置,其特征在于: 所述访问控制匹配模块在根据资源传播链判断是否满足预定的访问控制策略时,根据 以下一个因素或其任意组合进行判断:整个资源传播链中各个转发的访问请求实体及其对 应的广义时态状态、接入点和访问设备,各个接收的访问请求实体及其对应的广义时态状 态、接入点和访问设备,转发的时间,访问对象和/或操作结果进行判断。20. 如权利要求14所述的装置,其特征在于,所述访问控制匹配模块根据所述的访问 请求消息、第一网络传播链和/或第一广义网络传播链判断所述访问请求是否满足预定的 访问控制策略是指: 判断访问请求实体是否满足访问控制策略,如果不满足则判断所述访问请求不满足预 定的访问控制策略; 判断访问请求实体对应的广义时态状态是否满足访问控制策略要求,如果不满足则判 断所述访问请求不满足预定的访问控制策略; 判断访问请求实体对应的接入点是否满足访问控制策略,如果不满足则判断所述访问 请求不满足预定的访问控制策略; 判断访问请求实体对应的访问设备是否满足访问控制策略,如果不满足则判断所述访 问请求不满足预定的访问控制策略; 判断访问请求实体在进行访问请求时的第一网络传播链和/或第一广义网络传播链 是否满足访问控制策略;如果不满足则判断所述访问请求不满足预定的访问控制策略。 如果均满足则判断所述访问请求满足预定的访问控制策略。
【专利摘要】一种通用的访问控制方法及装置;方法包括:访问请求实体针对待访问的资源生成访问请求消息,访问请求消息包括:访问请求实体的标识及属性信息、请求访问的资源的标识;访问请求实体将访问请求消息通过网络和/或广义网络传送给访问控制节点;访问控制节点根据访问请求消息、第一网络传播链和/或第一广义网络传播链判断访问请求是否满足预定的访问控制策略;访问控制节点将访问对象和/或操作结果通过网络和/或广义网络传送给访问请求实体;访问对象包括资源及其属性信息。本发明能够更好地满足各种应用场景下的访问控制需求。
【IPC分类】H04L29/06, H04L29/08
【公开号】CN104917761
【申请号】CN201510289325
【发明人】李凤华, 谢绒娜, 李晖, 史国振
【申请人】西安电子科技大学
【公开日】2015年9月16日
【申请日】2015年5月29日