[發明專利]一種基于XACML的可驗證的云訪問控制方法有效
| 申請號: | 201310057624.2 | 申請日: | 2013-02-22 |
| 公開(公告)號: | CN104009959B | 公開(公告)日: | 2017-06-27 |
| 發明(設計)人: | 張立武;司曉琳;馮登國;王鵬翩;高志剛;黃杜煜 | 申請(專利權)人: | 中國科學院軟件研究所 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/08;H04W12/06 |
| 代理公司: | 北京君尚知識產權代理事務所(普通合伙)11200 | 代理人: | 余長江 |
| 地址: | 100190 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 xacml 驗證 訪問 控制 方法 | ||
1.一種基于XACML的可驗證的云訪問控制方法,其步驟為:
1)用戶U向物聯網的傳感器節點發出訪問請求信息;
2)該傳感器節點的策略實施點PEP將訪問請求生成決定權請求并將其轉發給該傳感器節點的云決策與驗證點CDVP;
3)該云決策與驗證點CDVP將該決定權請求轉發給位于云CloudA的策略決策點CPDP_A和云CloudB的策略決策點CPDP_B;
4)策略決策點CPDP_A和策略決策點CPDP_B分別根據XACML訪問控制策略對該決定權請求進行訪問控制決策,然后將決策結果返回給該云決策與驗證點CDVP;
5)該云決策與驗證點CDVP對該決定權請求的兩返回結果進行比較:若決策結果一致,則將返回結果發送給該策略實施點PEP執行;若不一致,則選擇其中一返回結果i發送給該傳感器節點的策略決策點LPDP進行決策,然后該云決策與驗證點CDVP將該策略決策點LPDP的決策結果與該返回結果進行對比,將做出的授權決策發送給該策略實施點PEP執行;
其中,LPDP、CPDP_A、CPDP_B具有相同的XACML訪問控制策略。
2.如權利要求1所述的方法,其特征在于所述訪問請求表示為:req(sub,res,act);其中,sub表示請求的主體,res表示請求的資源,act表示請求執行的動作。
3.如權利要求1所述的方法,其特征在于所述XACML訪問控制策略為單一訪問控制策略;策略決策點CPDP_A和策略決策點CPDP_B分別根據XACML訪問控制策略對該決定權請求進行訪問控制決策,如果決策結果不是Not-Applicable,則所述返回結果包括決策結果所依據的規則編號。
4.如權利要求3所述的方法,其特征在于步驟5)中,若不一致,其中:a)云CloudA返回結果為Not-Applicable,云CloudB決策結果為Permit或Deny;或者b)云CloudA返回結果為Permit,云CloudB返回結果為Deny;
對于情況a),CDVP將云CloudB返回結果中的的規則編號傳給LPDP進行評估,檢查該規則編號對應規則與決定權請求是否匹配:如果匹配證明云CloudA返回結果錯誤,將云CloudB返回結果轉發給PEP執行;如果不匹配,則云CloudB返回結果錯誤,將云CloudA的返回結果轉發給PEP執行;
對于情況b):
b1)如果所述訪問控制策略的規則組合算法為Permit-override,則CDVP選擇CloudA返回結果中的規則編號,并將其發送給LPDP進行評估,如果評估結果為Permit,則將授權策略定義為Permit交給PEP執行;否則將CloudB的返回結果交給PEP執行;
b2)如果規則組合算法為Deny-override,則CDVP將CloudB返回結果中的規則編號發送給LPDP進行評估,如果評估結果為Permit,則將授權策略定義為Permit交給PEP執行;否則將CloudA的返回結果交給PEP執行;
b3)如果規則組合算法為First-Applicable或Only-One-Applicable,則CDVP將云端返回結果中規則編號進行比較,若相同,則LPDP對該規則編號對應的規則進行評估,CDVP將與LPDP評估相同的云端返回結果交由PEP執行;若規則編號不同,則LPDP對規則編號值較小的規則進行評估,CDVP將該評估結果與云端返回結果進行比較,如果一致,則將云端返回結果交給PEP執行,否則將LPDP評估結果交給PEP執行。
5.如權利要求1所述的方法,其特征在于所述XACML訪問控制策略為一訪問控制策略集;策略決策點CPDP_A和策略決策點CPDP_B分別根據XACML訪問控制策略對該決定權請求進行訪問控制決策,如果決策結果不是Not-Applicable,則所述返回結果包括所依據的策略子樹信息。
6.如權利要求5所述的方法,其特征在于,步驟5)中,若不一致,其中:a)云CloudA返回結果為Not-Applicable,云CloudB決策結果為Permit或Deny;或者b)云CloudA返回結果為Permit,云CloudB返回結果為Deny;
對于情況a),CDVP將CloudB返回結果中的路徑信息交給LPDP,LPDP對該路徑所在的策略子樹從規則節點開始進行評估,如果評估結果與CloudB的返回結果一致,則CloudB返回結果是正確的,否則CloudA返回結果是正確的,CDVP將正確的返回結果交回給PEP執行;
對應情況b):
b1)如果所述訪問控制策略的規則組合算法為Permit-override,則CDVP將CloudA返回結果中的路徑信息交給LPDP,對以返回的路徑起始節點為根節點的策略子樹進行驗證,若驗證通過,則CloudA返回結果是正確的,否則CloudB返回結果是正確的,CDVP將正確的返回結果交回給PEP執行;
b2)如果規則組合算法為Deny-override,則CDVP將CloudB返回結果中的路徑信息交給LPDP,對以返回的路徑起始節點為根節點的策略子樹進行驗證,若驗證通過,則CloudB返回結果是正確的,否則CloudA返回結果是正確的,CDVP將正確的返回結果交回給PEP執行;
b3)如果規則組合算法為First-Applicable或Only-One-Applicable,則LPDP對云端返回結果中策略子樹編號值較小的策略子樹進行決策,CDVP將LPDP決策結果與云端返回結果進行比較,如果一致,則將云端返回結果交給PEP執行,否則將LPDP評估結果 交給PEP執行。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國科學院軟件研究所,未經中國科學院軟件研究所許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201310057624.2/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:動臂驅動裝置
- 下一篇:快速哈特萊變換實現Flip-OFDM的方法
