[发明专利]一种基于用户角色调整的动态访问控制方法

说明书

本发明公开了一种基于用户角色调整的动态访问控制方法。首先对所有资源权限进行基于最小化权限原则的权限划分，形成权限的包容集合，系统管理员再通过编辑控制函数集将最小化的权限根据不同角色的具体权限需要进行打包控制，形成一个个权限集合，共同构成权限集。最后系统将权限集里对用户角色的权限集合赋予用户。管理员只需对控制函数集进行编辑，就可以对权限的分配进行动态控制。本发明能适应于用户角色身份的动态变化，保护用户角色与权限之间的正确对应关系，有效防止内网资源的非法访问，很好地满足系统不断变化的安全需求。

技术领域

本发明属于信息安全技术领域，涉及一种访问控制方法，尤其涉及一种适用于内部网络资源的基于角色调整的访问控制方法。

背景技术

当前主流的访问控制方式主要有三种模式：自主访问控制、强制访问控制和基于角色的访问控制。

自主访问控制(DAC)，是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问，并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。属主可自行决定自己的客体的访问权限或部分访问权限授予其他主体。这种模式是自主进行的，在一定程度上可以实现不同用户的权限隔离和资源保护，实现高效简便。

强制访问控制(MAC)，是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制，按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对象。这种访问控制的信息流从低安全级向高安全级流动。

DAC或MAC模型的主要任务都是对系统中的访问主体和受控对象进行一维的权限管理。当用户数量多、处理的信息数据量巨大时，用户权限的管理任务将变得十分繁重且难以维护，这就降低了系统的安全性和可靠性。

基于角色的访问控制(RBAC)是目前国际上流行的安全访问控制方法。它从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分角色，将访问权限与角色相联系，并且提供角色分配规则。基于角色访问控制可以很好地描述角色层次关系，实现最小特权原则和职责分离原则。

随着网络环境不断发展，系统结构持续优化，资源权限也在不断细化，用户自身的角色及其对应的资源访问权限往往会因为一些外在因素发生变化。同时，系统中的角色也会进行更新或增删，相应的访问权限也会随之变化，如果用户的角色身份地位被降低，而分配给用户的权限没有收回或降低，又或是资源访问权限等级被提升，而分配到相应角色的权限没有进行对应调整，则都会造成低等级角色用户非法访问高等级内部工作网络资源的严重后果。传统的面向封闭环境的静态访问控制策略在当前信息形势下，难以保证内部工作网络资源对终端的安全分配，针对以上问题，提出了一种基于用户角色调整的动态访问控制方法，基于最小权限原则，实现用户角色变更时对资源访问权限的动态调整。

发明内容

本发明旨在提供一种访问权限动态控制方法，提高访问控制灵活性。

为此，本发明的目的在于，通过设计基于用户角色调整的动态访问控制方法，能有效保障内网访问控制权限分配的安全性，能够根据用户角色变化和系统资源权限更新动态调整用户权限，具有安全性高、授权管理便捷、可以根据工作需要灵活调整终端度量内容、容易实现的优点。

为实现上述目的，本发明提供基于用户角色调整的动态访问控制方法，包括以下步骤：

一种基于用户角色调整的动态访问控制方法，其特征在于,基于用户定义:

用户ID生成唯一身份令牌(T_u)(如USBKey设备和密保卡等)，该令牌由用户身份标识(U_id)、身份有效开始时间(T_s)、身份有效时间(T_v)以及用户主机标识(Host)所组成，如式(1)所示：