基于角色和属性的一体化网络跨域安全切换访问控制方法

摘要

基于角色和属性的一体化网络跨域安全切换访问控制方法，涉及信息安全技术领域，解决现有访问控制方法在动态复杂的网络环境下不能兼顾访问控制粒度，灵活性及决策性能方面的不足等问题，该方法应用于互联网的访问控制节点，包括四类数据和访问控制决策模块，数据及访问控制决策模块均部署于互联网的访问控制节点上，当移动终端通过一体化网络访问互联网的资源/服务时，接入节点首先拦截访问请求，获取用户信息以及用户所关联的权限信息，如果接入节点无法获得权限信息，则向访问控制节点发送请求，由访问控制节点的访问控制决策模块通过下述步骤获取用户的权限；本发明的访问控制粒度更细且访问控制方法更灵活。

主权项

基于角色和属性的一体化网络跨域安全切换访问控制方法，该方法应用于互联网的访问控制节点，包括四类数据和访问控制决策模块，数据及访问控制决策模块均部署于互联网的访问控制节点上，当移动终端通过一体化网络访问互联网的资源/服务时，接入节点首先拦截访问请求，获取用户信息以及用户所关联的权限信息，如果接入节点无法获得权限信息，则向访问控制节点发送请求，由访问控制节点的访问控制决策模块通过下述步骤获取用户的权限；其特征是，该方法具体由以下步骤实现：步骤一：在节点数据库中建立用户‑角色关系表、用户‑角色策略表、角色‑权限关系表以及角色‑权限策略表，根据用户标识u到用户‑角色关系表中检索所述用户所拥有的角色集合R；步骤二：遍历步骤一所述的角色集合R中的每个角色r，使用角色标识检索角色r关联的角色策略集合Policies_r；步骤三：遍历步骤二所述的角色策略集合Policies_r中的每个角色策略policy_r，采用策略有效性计算方法，结合用户属性UATT、角色属性RATT和环境属性ENV计算每个角色策略policy_r的有效性，判断每个角色策略policy_r是否有效，如果否，则从角色集合R中删除角色r，并执行步骤二；如果是，则继续判断角色策略集合Policies_r中的下一个角色策略；步骤四：遍历角色集合R中的每个角色r，在角色‑权限关系表中检索该角色关联的所有权限标识p，并将所有权限标识p中的权限加入权限集合PP；将用户属性UATT和角色属性RATT组合形成新的角色属性RATT′；步骤五：遍历权限集合PP中的每个权限标识p，使用权限标识检索该权限关联的权限策略集合Policies_p；步骤六：遍历权限策略集合Policies_p中的每个权限策略policy_p，应用策略有效性计算方法，结合新的角色属性RATT′、对象属性OATT和环境属性ENV计算权限策略policy_p的有效性，判断权限策略policy_p是否有效，如果否，则从权限集合PP中删除权限标识p，并执行步骤五，如果是，则继续处理权限策略集合Policies_p中的下一个权限策略；实现基于角色和属性的网络访问控制。