基于rbac模型的家庭业务访问控制方法
【技术领域】
[0001]本发明涉及一种基于RBAC模型的家庭业务访问控制方法,属于网络通信技术领域。
【背景技术】
[0002]随着家庭数据业务的快速发展,业务需求不断增多。家庭业务的运营涉及的步骤较为繁复,这不利于业务的快速开展和部署。因此需要家庭开放平台为多样化的家庭业务提供统一且通用的管理、服务和支撑保障机制,以营造良好的家庭业务生长环境。在家庭开放平台中,可管理的数据或资源具有集中控制、分域协作及分散接入的特点,因此,分权分域管理功能成为家庭开放平台的一项关键管理能力。其本质是为不同的管理员提供不同的功能权限,并将集中控制的可管理的数据或资源划分为多个管理实体(可以有多个层次,即为域的继承)。自主访问控制(DAC,Discret1nary Access Control)、强制访问控制(MAC,Mandatory Access Control)和基于角色的访问控制(RBAC)是目前三种主流的访问控制技术,由于DAC和MAC无法较好的满足商业和政府部门系统的安全需求,因此,RBAC(Role-based Access Control)便成为人们研宄的重点。
[0003]在RBAC中,用户和权限通过角色关联,角色相对于用户来说更为稳定,用户可以通过更换角色来获取不同的权限,而不用直接修改所对应的权限,这就极大地简化了权限的管理。RBAC模型仅包含四个基本要素:用户、角色、会话和权限,这在家庭开放平台中是存在不足的:基本的RBAC模型把对资源的管理统称为权限,可以体现分权的概念,但在分域上面不能很好的满足,不能满足家庭业务上的灵活而复杂的分权分域需求。
[0004]因此,如何基于RBAC模型来实现家庭业务在访问控制上的分权分域管理功能,是一个亟待解决的技术问题。
【发明内容】
[0005]有鉴于此,本发明的目的是提供一种基于RBAC模型的家庭业务访问控制方法,能基于RBAC模型来实现家庭业务在访问控制上的分权分域管理功能。
[0006]为了达到上述目的,本发明提供了一种基于RBAC模型的家庭业务访问控制方法,包括有:
[0007]步骤一、创建若干个域,其中包含有一个超级域,所述超级域由家庭业务的所有终端组成,多个域之间存在有继承关系,超级域是其它所有域的祖先域,其他每个域都拥有I个或多个父域,并从父域的组成终端中选取多个终端再组成子域;
[0008]步骤二、设置多个用户角色,然后将每个用户角色分别和已创建的一个域、和若干个操作进行关联,即每个用户角色拥有对所关联的域的所有终端进行相应操作的权限。
[0009]与现有技术相比,本发明的有益效果是:本发明在RBAC基本模型的基础上,细化了权限这一概念,根据家庭开放平台对终端管理的业务需求,添加了对象、操作、域、分组四个要素,提出了域的可继承性,深入的控制角色可管理的数据内容和操作,提供了更细粒度化的权限功能。本发明可以解决家庭开放平台对终端管理的分权分域需求,解决了系统中访问控制约束的问题,提出了多样化的角色和权限设计方案,实现了复杂的职责分配,并且增强了系统的安全性。
【附图说明】
[0010]图1是本发明一种基于RBAC模型的家庭业务访问控制方法的流程图。
[0011]图2是以当前的一个或多个域为父域而新建一个子域时的具体操作流程图。
[0012]图3是本发明中多个域继承关系示意图的一个实施例。
[0013]图4是本发明采用完全撤销方式来撤销一个域的具体操作流程图。
[0014]图5是本发明采用局部撤销方式来撤销一个域的具体操作流程图。
【具体实施方式】
[0015]为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
[0016]本发明在现有的RBAC模型基础上细化了权限的概念,把权限分为对象和操作,并将一些对象的集合划分为域或分组,对象、操作与角色通过域关联,角色可以获得这个域内包含的对象的管理和操作的权限。本发明增加了操作集、管理对象集、域和分组四个要素,其中:
[0017]1、操作集,为操作的集合,代表了权限中具体的操作,例如对一个数据执行删除操作,这个删除就是一个操作,操作是会话中的元行为,是最小单位;
[0018]2、对象集,其中的对象是操作所对应的具体终端;
[0019]3、域,为管理对象域集,域由一个或多个对象组成,对一个域执行一个操作就是对这个域中所有的对象执行这个操作,域可以继承,具有层次关系;
[0020]4、分组,分组由一个或多个对象组成,每个分组隶属于一个域,分组中的对象都是所隶属的域中的对象。
[0021]如图1所示,本发明一种基于RBAC模型的家庭业务访问控制方法,包括有:
[0022]步骤一、创建若干个域,其中包含有一个超级域,所述超级域由家庭业务的所有终端组成,多个域之间存在有继承关系,超级域是其它所有域的祖先域,其他每个域都拥有I个或多个父域,并从父域的组成终端中选取多个终端再组成子域;
[0023]子域继承父域,子域和父域之间的继承关系包括有单继承和多继承两种,其中单继承是指子域仅有一个父域,即从其父域的组成终端中选取多个终端来组成子域,多继承是指子域拥有多个父域,即子域从其多个父域的组成终端中选取多个终端而组成子域;
[0024]根据域的继承关系,从域的父域开始、向上追溯直至超级域所形成的继承分支上的所有域都是该域的祖先域,域的继承层次是其在继承分支上所处的前后位置,超级域的继承层次最高,其他域越靠近超级域,则其继承层次也越高;当根据域的继承关系,从域的子域开始、向下查询而获得的所有域都是该域的子孙域;
[0025]步骤二、设置多个用户角色,然后将每个用户角色分别和已创建的一个域、和若干个操作进行关联,即每个用户角色拥有对所关联的域的所有终端进行相应操作的权限。
[0026]本发明中的域可以继承,当创建一个角色的子角色时,可以把当前角色的域或者子域分配给子角色,这样就不会出现一个角色把自己无权管理的对象的管理权限分配给他的子角色,域的偏序关系使得系统更加安全。域的层次关系使用继承层次分支符prefix来标识,可以确定每个域的父域,从而有利于向上追溯所有的祖先域、或者向下查询所有的子孙域,步骤一进一步包括有:
[0027]为每个域分配一个唯一的标识符ID,并根据域的所有祖先域及其对应的继承层次、和自身ID来为每个域构建一个继承层次分支符prefix,同时还设置一个域的层级深度限制值 max-deptho
[0028]所述域的ID可使用一个大于或等于O的整数进行标识,例如超级域的ID设置为0,对于继承超级域的4个子域A、B、C、D的ID可以分别设置为:1,2,3,15。
[0029]所述prefix用于按照继承层次从高到低的次序,从超级域开始,顺序记录每个域的所有祖先域和自身的ID,进一步的说,先对祖先域和自身的ID按照从高到低的继承层次进行排列,即超级域的ID排在最前,而自身的ID排在最后,然后按照排列的先后次序,将祖先域的ID、和自身的ID逐一写入到域的prefix中,其中使用继承层次分割符(例如:/)将处于不同继承层次的祖先域、或自身的ID进行间隔,当多个祖先域处于同一继承层次时(即存在有多继承关系),使用多继承间隔符(例如:,)将处于同一继承层次的多个祖先域进行间隔,例如:/0/1,2, 3/4,11,6/9,12,8/13/,其中,超级域的ID是0,排在最前,ID为1、2、3的域是超级域的子域,ID为4、11、6的域是1、2、3的子域,ID为9、12、8的域是4、11、6的子域,域自身的ID是13,排在最后。
[0030]每个域的层级深度限制值max-d印th可以根据家庭业务需要、和其父域的层级深度限制值max-depth而设置,其值可以是一个整数,当max-depth是一个负整数时,则表示该域不限制层级深度,即该域下的子域的max-depth的取值不受父域限制;imax_depth是O时,则表示该域下无法再创建子域。当父域的max-depth是一个大于O的整数时,则该域下的子域的max-depth须小于父域的max-depth,默认子域的max-depth为父域的max-depth减L.
[0031]这样,如图2所示,当根据角色需要,以当前的一个或多个域为父域而新建一个子域时,还可以包括有:
[0032]步骤Al、为新建子域设置一个新的ID,并构建一个prefix,所述prefix的初始值为空;
[0033]步骤A2、判断新建子域与其所要继承的父域是否是单继承关系?如果是,则提取新建子域所要继承的父域的prefix,并保存到新建子域的prefix中,然后在新建子域的prefix的结尾处增加所述新建子域的ID,并使用继承层次分割符将父域和子域的ID进行间隔,本流程结束;如果否,则继续步骤A3 ;
[0034]步骤A3、提取新建子域所要继承的所有父域的prefi