[发明专利]一种基于XACML的可验证的云访问控制方法有效
| 申请号: | 201310057624.2 | 申请日: | 2013-02-22 |
| 公开(公告)号: | CN104009959B | 公开(公告)日: | 2017-06-27 |
| 发明(设计)人: | 张立武;司晓琳;冯登国;王鹏翩;高志刚;黄杜煜 | 申请(专利权)人: | 中国科学院软件研究所 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08;H04W12/06 |
| 代理公司: | 北京君尚知识产权代理事务所(普通合伙)11200 | 代理人: | 余长江 |
| 地址: | 100190 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 xacml 验证 访问 控制 方法 | ||
1.一种基于XACML的可验证的云访问控制方法,其步骤为:
1)用户U向物联网的传感器节点发出访问请求信息;
2)该传感器节点的策略实施点PEP将访问请求生成决定权请求并将其转发给该传感器节点的云决策与验证点CDVP;
3)该云决策与验证点CDVP将该决定权请求转发给位于云CloudA的策略决策点CPDP_A和云CloudB的策略决策点CPDP_B;
4)策略决策点CPDP_A和策略决策点CPDP_B分别根据XACML访问控制策略对该决定权请求进行访问控制决策,然后将决策结果返回给该云决策与验证点CDVP;
5)该云决策与验证点CDVP对该决定权请求的两返回结果进行比较:若决策结果一致,则将返回结果发送给该策略实施点PEP执行;若不一致,则选择其中一返回结果i发送给该传感器节点的策略决策点LPDP进行决策,然后该云决策与验证点CDVP将该策略决策点LPDP的决策结果与该返回结果进行对比,将做出的授权决策发送给该策略实施点PEP执行;
其中,LPDP、CPDP_A、CPDP_B具有相同的XACML访问控制策略。
2.如权利要求1所述的方法,其特征在于所述访问请求表示为:req(sub,res,act);其中,sub表示请求的主体,res表示请求的资源,act表示请求执行的动作。
3.如权利要求1所述的方法,其特征在于所述XACML访问控制策略为单一访问控制策略;策略决策点CPDP_A和策略决策点CPDP_B分别根据XACML访问控制策略对该决定权请求进行访问控制决策,如果决策结果不是Not-Applicable,则所述返回结果包括决策结果所依据的规则编号。
4.如权利要求3所述的方法,其特征在于步骤5)中,若不一致,其中:a)云CloudA返回结果为Not-Applicable,云CloudB决策结果为Permit或Deny;或者b)云CloudA返回结果为Permit,云CloudB返回结果为Deny;
对于情况a),CDVP将云CloudB返回结果中的的规则编号传给LPDP进行评估,检查该规则编号对应规则与决定权请求是否匹配:如果匹配证明云CloudA返回结果错误,将云CloudB返回结果转发给PEP执行;如果不匹配,则云CloudB返回结果错误,将云CloudA的返回结果转发给PEP执行;
对于情况b):
b1)如果所述访问控制策略的规则组合算法为Permit-override,则CDVP选择CloudA返回结果中的规则编号,并将其发送给LPDP进行评估,如果评估结果为Permit,则将授权策略定义为Permit交给PEP执行;否则将CloudB的返回结果交给PEP执行;
b2)如果规则组合算法为Deny-override,则CDVP将CloudB返回结果中的规则编号发送给LPDP进行评估,如果评估结果为Permit,则将授权策略定义为Permit交给PEP执行;否则将CloudA的返回结果交给PEP执行;
b3)如果规则组合算法为First-Applicable或Only-One-Applicable,则CDVP将云端返回结果中规则编号进行比较,若相同,则LPDP对该规则编号对应的规则进行评估,CDVP将与LPDP评估相同的云端返回结果交由PEP执行;若规则编号不同,则LPDP对规则编号值较小的规则进行评估,CDVP将该评估结果与云端返回结果进行比较,如果一致,则将云端返回结果交给PEP执行,否则将LPDP评估结果交给PEP执行。
5.如权利要求1所述的方法,其特征在于所述XACML访问控制策略为一访问控制策略集;策略决策点CPDP_A和策略决策点CPDP_B分别根据XACML访问控制策略对该决定权请求进行访问控制决策,如果决策结果不是Not-Applicable,则所述返回结果包括所依据的策略子树信息。
6.如权利要求5所述的方法,其特征在于,步骤5)中,若不一致,其中:a)云CloudA返回结果为Not-Applicable,云CloudB决策结果为Permit或Deny;或者b)云CloudA返回结果为Permit,云CloudB返回结果为Deny;
对于情况a),CDVP将CloudB返回结果中的路径信息交给LPDP,LPDP对该路径所在的策略子树从规则节点开始进行评估,如果评估结果与CloudB的返回结果一致,则CloudB返回结果是正确的,否则CloudA返回结果是正确的,CDVP将正确的返回结果交回给PEP执行;
对应情况b):
b1)如果所述访问控制策略的规则组合算法为Permit-override,则CDVP将CloudA返回结果中的路径信息交给LPDP,对以返回的路径起始节点为根节点的策略子树进行验证,若验证通过,则CloudA返回结果是正确的,否则CloudB返回结果是正确的,CDVP将正确的返回结果交回给PEP执行;
b2)如果规则组合算法为Deny-override,则CDVP将CloudB返回结果中的路径信息交给LPDP,对以返回的路径起始节点为根节点的策略子树进行验证,若验证通过,则CloudB返回结果是正确的,否则CloudA返回结果是正确的,CDVP将正确的返回结果交回给PEP执行;
b3)如果规则组合算法为First-Applicable或Only-One-Applicable,则LPDP对云端返回结果中策略子树编号值较小的策略子树进行决策,CDVP将LPDP决策结果与云端返回结果进行比较,如果一致,则将云端返回结果交给PEP执行,否则将LPDP评估结果 交给PEP执行。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院软件研究所,未经中国科学院软件研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201310057624.2/1.html,转载请声明来源钻瓜专利网。
- 上一篇:动臂驱动装置
- 下一篇:快速哈特莱变换实现Flip-OFDM的方法
