[发明专利]冲突检测方法和检测设备、访问控制方法和访问控制装置

说明书

本公开涉及一种基于位置区域和角色的访问控制规则的冲突检测方法和冲突检测设备，以及基于位置区域和角色的访问控制方法和访问控制装置。所述冲突检测方法包括：将访问控制的控制目标划分为多个位置区域，将控制目标中的多个用户划分为多个角色，建立多个位置区域的区域层次关系以及多个角色的角色层次关系；基于区域层次关系以及角色层次关系，确定访问控制规则集合中的访问控制规则的效果传递规则，以及访问控制规则的冲突类型；基于区域层次关系以及角色层次关系，建立访问控制规则集合的区域树索引；以及基于效果传递规则和冲突类型，检索区域树索引，检测访问控制规则集合中的访问控制规则的冲突。

技术领域

本公开涉及网络安全中的访问控制领域，更具体地，本公开涉及一种基于位置区域和角色的访问控制规则的冲突检测方法和冲突检测设备，以及基于位置区域和角色的访问控制方法和访问控制装置。

背景技术

随着移动通信技术的发展，用户可以在任何位置访问网络资源。因而，用户所处的区域信息将成为访问控制模型的关键组成部分。例如，银行柜员仅能够在办公区中访问客户交易记录，但在拥有大量未授权人员的区域，如银行的走廊或接待室，此类敏感信息不应被访问，以免造成不必要的财产损失。与之类似的是，为了完成日常工作，公司职员可以在办公区访问网关，但为了防止在会议期间分心，在会议室里，应当禁止职员访问网关，尽管会议室也经常被包含在办公区内。此外，在实际应用中，用户被划分为不同的角色。例如，在办公室环境下，用户按照职务赋予各种角色，诸如访客、工程师、经理等。这一场景可以采用基于角色的访问控制(RBAC)模型描述。进一步地，可以扩展传统的RBAC模型，从而提供基于区域的支持。

在通常情况下，一个访问控制系统拥有两个模块，其中一个模块用于根据用户的信息以及预先存储的访问控制规则做出决策；另一个模块用于执行访问控制决策。软件定义网络(SDN)尤其适合此类架构。具体地，SDN中的控制平面可以存储访问控制信息并做出决策；而SDN中转发平面可以根据决策信息转发数据包。作为全局服务器，SDN的控制平面应当拥有针对受控区域内所有资源的访问控制规则。然而，在基于区域的访问控制中，一个大的区域经常被划分为众多子区域。由于不同子区域内的访问控制规则通常是分开制定的，因而当来自不同子区域的访问控制规则集中至位于SDN的控制平面内的全局访问控制列表时，角色和/或区域的层次关系将有可能引起规则冲突。

因此，希望提供一种基于位置区域和角色的访问控制规则的冲突检测方法，以及基于位置区域和角色的访问控制方法和访问控制装置，其能够在诸如SDN架构的集中式的控制机制下，有效地检测出全局访问控制列表中的访问控制规则的冲突，并且利用解决了访问控制规则冲突后的全局访问控制列表执行基于位置区域和角色的访问控制。

发明内容

鉴于上述问题，本公开提供一种基于位置区域和角色的访问控制规则的冲突检测方法，以及基于位置区域和角色的访问控制方法和访问控制装置。

根据本公开的一个实施例，提供了一种基于位置区域和角色的访问控制规则的冲突检测方法，包括：将访问控制的控制目标划分为多个位置区域，将所述控制目标中的多个用户划分为多个角色，建立所述多个位置区域的区域层次关系以及所述多个角色的角色层次关系；基于所述区域层次关系以及所述角色层次关系，确定访问控制规则集合中的访问控制规则的效果传递规则，以及访问控制规则的冲突类型；基于所述区域层次关系以及所述角色层次关系，建立所述访问控制规则集合的区域树索引；以及基于所述效果传递规则和所述冲突类型，检索所述区域树索引，检测所述访问控制规则集合中的访问控制规则的冲突。

此外，根据本公开的一个实施例的冲突检测方法，其中所述区域层次关系为定义在多个位置区域的集合上的偏序关系，并且以关系矩阵表示所述区域层次关系中每个偏序关系；以及所述角色层次关系为定义在多个角色的集合上的偏序关系，并且以增强哈斯图表示所述角色层次关系中的每个偏序关系。