基于Web的泛在資源鑒權(quán)控制方法
【專利摘要】本發(fā)明公開了一種基于Web的泛在資源鑒權(quán)控制方法����,通過將用戶的權(quán)限按應(yīng)用分類、將應(yīng)用的權(quán)限按操作分類����、將資源按照需求分類以滿足不同條件下的應(yīng)用需求。當(dāng)用戶向泛在資源鑒權(quán)控制平臺(tái)申請(qǐng)資源使用權(quán)以及使用資源時(shí)�����,需要對(duì)相應(yīng)的數(shù)據(jù)庫進(jìn)行插入����、更新、查詢等操作����,以實(shí)現(xiàn)泛在網(wǎng)資源訪問控制。該方法能夠很好的適應(yīng)泛在網(wǎng)中用戶多角色與資源多分類的應(yīng)用場(chǎng)景�����,具有高效率,可擴(kuò)展的特點(diǎn)���。
【專利說明】基于Web的泛在資源鑒權(quán)控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于泛在網(wǎng)絡(luò)【技術(shù)領(lǐng)域】�����,具體涉及一種基于Web的泛在資源鑒權(quán)控制方法�����。
【背景技術(shù)】
[0002]RBAC (Role-Based Access Control)是一種用戶多角色鑒權(quán)管理機(jī)制���,在網(wǎng)絡(luò)安全領(lǐng)域有著廣泛應(yīng)用?!綝avid E Ferraiolo, Janet A.Cugini and D.RichardKuhn."Role-Based Access Control (RBAC):Features and Motivations."NIST(1995)】RBAC機(jī)制可以驗(yàn)證用戶身份和保證信息安全,因此自出現(xiàn)之日起就廣泛應(yīng)用于網(wǎng)絡(luò)開發(fā)與信息安全領(lǐng)域����。但是該機(jī)制應(yīng)用于泛在網(wǎng)時(shí)將面臨許多挑戰(zhàn)���。其一�����,RBAC機(jī)制無法實(shí)現(xiàn)除身份驗(yàn)證外的授權(quán)及其授權(quán)管理�����?;趹?yīng)用的授權(quán)管理需求的出現(xiàn),已經(jīng)超越了當(dāng)前RBAC所能提供的身份驗(yàn)證和身份信息的安全性階段����,而是要進(jìn)一步達(dá)到資源管理驗(yàn)證授權(quán)的新階段。其二��,RBAC機(jī)制無法實(shí)現(xiàn)用戶一應(yīng)用一操作一資源四層架構(gòu)的泛在資源授權(quán)管理的內(nèi)在邏輯關(guān)系���。
[0003]為此�����,本發(fā)明提供一種基于Web的泛在資源鑒權(quán)控制機(jī)制����,來解決現(xiàn)有機(jī)制中存在的問題�����。
【發(fā)明內(nèi)容】
[0004]本發(fā)明目的在于提供一種基于Web的泛在資源鑒權(quán)控制機(jī)制,解決了現(xiàn)有機(jī)制不能滿足泛在網(wǎng)中用戶多角色���、資源多分類的授權(quán)管理和用戶一應(yīng)用一操作一資源四層架構(gòu)的泛在資源授權(quán)管理的內(nèi)在邏輯關(guān)系等問題���。
[0005]為了解決現(xiàn)有技術(shù)中的諸多問題,本發(fā)明提供的技術(shù)方案是:
[0006]一種基于Web的泛在資源鑒權(quán)控制方法����,其特征在于所述方法包括以下步驟:
[0007](I)用戶登錄泛在網(wǎng)開放平臺(tái),泛在網(wǎng)開放平臺(tái)上的應(yīng)用進(jìn)行查詢?cè)撚脩舻臋?quán)限����,并對(duì)該用戶身份和權(quán)限進(jìn)行確認(rèn);
[0008](2)用戶選擇對(duì)資源的操作����;
[0009](3)應(yīng)用經(jīng)確認(rèn)用戶擁有權(quán)限后,泛在網(wǎng)開放平臺(tái)上的應(yīng)用對(duì)相關(guān)的數(shù)據(jù)進(jìn)行查詢和處理�����;
[0010](4)泛在網(wǎng)開放平臺(tái)上的應(yīng)用向用戶返回處理結(jié)果���。
[0011]優(yōu)選的技術(shù)方案是:所述方法中預(yù)先在泛在網(wǎng)開放平臺(tái)上構(gòu)建鑒權(quán)控制數(shù)據(jù)庫���,當(dāng)用戶向泛在網(wǎng)開放平臺(tái)申請(qǐng)資源使用權(quán)以及使用資源時(shí),應(yīng)用對(duì)鑒權(quán)控制數(shù)據(jù)庫進(jìn)行插入���、更新��、查等操作獲取泛在網(wǎng)資源的訪問控制��;所述鑒權(quán)控制數(shù)據(jù)庫設(shè)置有用戶鑒權(quán)表���、資源信息表、資源屬性表和資源數(shù)據(jù)表����;其中用戶鑒權(quán)表用于存儲(chǔ)每個(gè)用戶的信息;資源信息表用于存儲(chǔ)泛在網(wǎng)開放平臺(tái)中存在的硬件資源����;資源屬性表用于存儲(chǔ)應(yīng)用使用不同的硬件資源時(shí)的相關(guān)屬性;資源數(shù)據(jù)表用于存儲(chǔ)泛在網(wǎng)開放平臺(tái)中的硬件資源上報(bào)的數(shù)據(jù)資源�。[0012]優(yōu)選的技術(shù)方案是:所述用戶鑒權(quán)表存儲(chǔ)的字段包括用戶序號(hào)、用戶名�����、密碼和權(quán)限記錄;所述資源信息表存儲(chǔ)的字段包括硬件資源序號(hào)和硬件資源自身屬性����;所述資源屬性表存儲(chǔ)的字段包括硬件資源序號(hào)、硬件資源當(dāng)前所處位置�、硬件資源收集信息的類別和硬件資源上報(bào)數(shù)據(jù)是否需要報(bào)警的閾值;所述資源數(shù)據(jù)表存儲(chǔ)的字段包括上報(bào)數(shù)據(jù)的硬件資源序號(hào)�、該數(shù)據(jù)的類別、數(shù)據(jù)上報(bào)時(shí)間和硬件資源上報(bào)的數(shù)據(jù)資源��。
[0013]優(yōu)選的技術(shù)方案是:所述用戶操作包括以硬件資源作為操作對(duì)象的控制操作��、設(shè)置操作�、查看操作和以數(shù)據(jù)資源作為操作對(duì)象的刪除操作、讀取操作����。
[0014]本發(fā)明的泛在資源鑒權(quán)控制機(jī)制為泛在資源提供了一整套高效和層次分明的訪問方法,可以有效地利用泛在資源提供的信息�,同時(shí)通過權(quán)限管理機(jī)制保證泛在資源的可持續(xù)應(yīng)用以及數(shù)據(jù)可信度。其原理在于通過將用戶的權(quán)限按應(yīng)用分類�����、將應(yīng)用的權(quán)限按操作分類、將資源按照需求分類以滿足不同條件下的應(yīng)用需求�����。具體實(shí)現(xiàn)是通過實(shí)現(xiàn)泛在資源鑒權(quán)機(jī)制的數(shù)據(jù)庫來實(shí)現(xiàn)的����,該泛在資源鑒權(quán)機(jī)制的數(shù)據(jù)庫設(shè)計(jì)包括用戶鑒權(quán)表����、資源信息表、資源屬性表和資源數(shù)據(jù)表四個(gè)表���,用于存儲(chǔ)用戶一應(yīng)用一操作一資源四層架構(gòu)的泛在資源訪問控制規(guī)則���。當(dāng)用戶向泛在資源鑒權(quán)控制平臺(tái)申請(qǐng)資源使用權(quán)以及使用資源時(shí),需要對(duì)相應(yīng)的數(shù)據(jù)庫進(jìn)行插入����、更新、查詢等操作�����,以實(shí)現(xiàn)泛在網(wǎng)資源訪問控制。本發(fā)明中描述的方法能夠很好的適應(yīng)泛在網(wǎng)中用戶多角色與資源多分類的應(yīng)用場(chǎng)景�����,具有高效率�,可擴(kuò)展的特點(diǎn)。
[0015]泛在資源是自由度非常廣的可聯(lián)網(wǎng)提供信息數(shù)據(jù)的資源��,其上報(bào)的數(shù)據(jù)經(jīng)過收集處理可以給許多應(yīng)用使用����,不同應(yīng)用需求的數(shù)據(jù)不同,對(duì)于數(shù)據(jù)的處理各異����,因此要將不同應(yīng)用對(duì)于數(shù)據(jù)的處理能力加以區(qū)分和限制,以保證資源的合理應(yīng)用與可信度�。
[0016]本發(fā)明技術(shù)方案中將泛在資源分為兩類:
[0017]I)泛在的硬件資源,即為采集數(shù)據(jù)的泛在資源主體�;
[0018]2)泛在的數(shù)據(jù)資源,即為由泛在資源采集上報(bào)的數(shù)據(jù)���。
[0019]對(duì)應(yīng)兩類資源則有兩類操作,即為:
[0020]I)對(duì)硬件資源的操作,包括:
[0021]控制���,即更改資源數(shù)據(jù)上報(bào)頻率、屏蔽資源等資源自身屬性;
[0022]設(shè)置��,即更改資源所處位置等資源環(huán)境屬性;
[0023]查看,即獲取資源的自身屬性和環(huán)境屬性。
[0024]2)對(duì)數(shù)據(jù)資源的操作����,包括:
[0025]刪除�,即刪除某些數(shù)據(jù)資源�����;
[0026]查看����,即獲取某些數(shù)據(jù)資源�����。
[0027]應(yīng)用是執(zhí)行操作的主體,用戶是給出執(zhí)行操作指令的主體���,權(quán)限是用戶給出操作指令的憑據(jù)����,資源是被操作執(zhí)行的主體��。只有當(dāng)用戶擁有該權(quán)限并在應(yīng)用中給出相應(yīng)的操作指令時(shí),被執(zhí)行的資源才會(huì)被操作。
[0028]具體的數(shù)據(jù)庫中設(shè)置用戶鑒權(quán)表��、資源信息表���、資源屬性表和資源數(shù)據(jù)表���。其中用戶鑒權(quán)表:每個(gè)用戶的信息包括用戶序號(hào)、用戶名����、密碼和權(quán)限記錄���;資源信息表:泛在網(wǎng)開放平臺(tái)中存在多種多樣的硬件資源�,資源信息主要包括硬件資源序號(hào)和硬件資源自身屬性;資源屬性表:具體應(yīng)用使用不同的硬件資源時(shí)會(huì)對(duì)一些相關(guān)屬性做出規(guī)定和處理��,其中大部分是環(huán)境屬性���,諸如硬件資源所在位置�、硬件資源要收集的信息種類等��,因此資源屬性表主要存儲(chǔ)相關(guān)的屬性信息��,包括硬件資源序號(hào)����、硬件資源當(dāng)前所處位置、硬件資源收集信息的類別和硬件資源上報(bào)數(shù)據(jù)是否需要報(bào)警的閾值��;資源數(shù)據(jù)表:泛在網(wǎng)開放平臺(tái)中的硬件資源會(huì)上報(bào)多種多樣的數(shù)據(jù)�����,依據(jù)該硬件資源可以上報(bào)的數(shù)據(jù)類型進(jìn)行存儲(chǔ)��,資源數(shù)據(jù)表包括上報(bào)數(shù)據(jù)的硬件資源序號(hào)����、該數(shù)據(jù)的類別�����、數(shù)據(jù)上報(bào)時(shí)間和數(shù)據(jù)��。
[0029]本發(fā)明的泛在網(wǎng)開放平臺(tái)進(jìn)行資源鑒權(quán)控制是通過與泛在資源授權(quán)管理的內(nèi)在邏輯關(guān)系相適應(yīng)的用戶一應(yīng)用一操作一資源四層架構(gòu)來實(shí)現(xiàn)的�,主體建立在用戶一應(yīng)用一操作一資源四層架構(gòu)之上�,通過設(shè)計(jì)各層之間的相互關(guān)系來系統(tǒng)化整個(gè)機(jī)制,可以更有條理和便捷的管理鑒權(quán)系統(tǒng)�。以下進(jìn)行具體說明用戶一應(yīng)用一操作一資源四層架構(gòu)的相鄰層次間的關(guān)系:
[0030]I)資源-操作的關(guān)系
[0031]泛在資源是自由度非常廣的可聯(lián)網(wǎng)提供信息數(shù)據(jù)的資源,其上報(bào)的數(shù)據(jù)經(jīng)過收集處理可以給許多應(yīng)用使用��,不同應(yīng)用需求的數(shù)據(jù)不同�,對(duì)于數(shù)據(jù)的處理各異,因此將傳統(tǒng)的泛在資源分為硬件資源和數(shù)據(jù)資源兩類�。兩類資源存在兩類操作,分別以該類資源作為操作對(duì)象�。
[0032]表1資源-操作表
[0033]
【權(quán)利要求】
1.一種基于Web的泛在資源鑒權(quán)控制方法,其特征在于所述方法包括以下步驟: (1)用戶登錄泛在網(wǎng)開放平臺(tái)��,泛在網(wǎng)開放平臺(tái)上的應(yīng)用進(jìn)行查詢?cè)撚脩舻臋?quán)限��,并對(duì)該用戶身份和權(quán)限進(jìn)行確認(rèn)�; (2)用戶選擇對(duì)資源的操作; (3)應(yīng)用經(jīng)確認(rèn)用戶擁有權(quán)限后,泛在網(wǎng)開放平臺(tái)上的應(yīng)用對(duì)相關(guān)的數(shù)據(jù)進(jìn)行查詢和處理�����; (4)泛在網(wǎng)開放平臺(tái)上的應(yīng)用向用戶返回處理結(jié)果�。
2.根據(jù)權(quán)利要求1所述的泛在資源鑒權(quán)控制方法��,其特征在于所述方法中預(yù)先在泛在網(wǎng)開放平臺(tái)上構(gòu)建鑒權(quán)控制數(shù)據(jù)庫����,當(dāng)用戶向泛在網(wǎng)開放平臺(tái)申請(qǐng)資源使用權(quán)以及使用資源時(shí),應(yīng)用對(duì)鑒權(quán)控制數(shù)據(jù)庫進(jìn)行插入����、更新、查等操作獲取泛在網(wǎng)資源的訪問控制�����;所述鑒權(quán)控制數(shù)據(jù)庫設(shè)置有用戶鑒權(quán)表��、資源信息表��、資源屬性表和資源數(shù)據(jù)表����;其中用戶鑒權(quán)表用于存儲(chǔ)每個(gè)用戶的信息�;資源信息表用于存儲(chǔ)泛在網(wǎng)開放平臺(tái)中存在的硬件資源�;資源屬性表用于存儲(chǔ)應(yīng)用使用不同的硬件資源時(shí)的相關(guān)屬性;資源數(shù)據(jù)表用于存儲(chǔ)泛在網(wǎng)開放平臺(tái)中的硬件資源上報(bào)的數(shù)據(jù)資源�����。
3.根據(jù)權(quán)利要求1所述的泛在資源鑒權(quán)控制方法�����,其特征在于所述用戶鑒權(quán)表存儲(chǔ)的字段包括用戶序號(hào)����、用戶名、密碼和權(quán)限記錄�;所述資源信息表存儲(chǔ)的字段包括硬件資源序號(hào)和硬件資源自身屬性;所述資源屬性表存儲(chǔ)的字段包括硬件資源序號(hào)��、硬件資源當(dāng)前所處位置��、硬件資源收集信息的類別和硬件資源上報(bào)數(shù)據(jù)是否需要報(bào)警的閾值���;所述資源數(shù)據(jù)表存儲(chǔ)的字段包括上報(bào)數(shù)據(jù)的硬件資源序號(hào)���、該數(shù)據(jù)的類別�、數(shù)據(jù)上報(bào)時(shí)間和硬件資源上報(bào)的數(shù)據(jù)資源��。
4.根據(jù)權(quán)利要求1所述的泛在資源鑒權(quán)控制方法�,其特征在于所述用戶操作包括以硬件資源作為操作對(duì)象的控制操作��、設(shè)置操作�、查看操作和以數(shù)據(jù)資源作為操作對(duì)象的刪除操作、讀取操作���。
【文檔編號(hào)】H04L29/08GK103747015SQ201410036978
【公開日】2014年4月23日 申請(qǐng)日期:2014年1月26日 優(yōu)先權(quán)日:2014年1月26日
【發(fā)明者】黃劉生, 冷冰, 徐宏力, 楊晨凱, 許瑞陽 申請(qǐng)人:中國科學(xué)技術(shù)大學(xué)蘇州研究院