[发明专利]一种基于角色访问控制令牌的安全访问方法

说明书

本发明公开涉及访问控制领域，具体公开了一种基于角色访问控制令牌的安全访问方法；所述方法通过依据渔业资源管理平台的分区域层级特点，简化现有的六元组控制模型结构为三元组模型结构，将上述分区域的特点与访问控制中的角色属性相匹配，通过角色属性在同一网络域中的继承和不同网络域共享角色的设置，实现在用户信息变更时能够便捷地通过令牌访问设置，在保障用户访问安全控制的同时，提升了渔业管理平台用户对工作流程访问的便捷性。

技术领域

本发明涉及本发明涉及互联网领域，尤其涉及一种基于RBAC验证令牌的安全访问方法。

背景技术

渔业管服融合一体化平台系统中包含大量的物联网设备，物联网安全系统对这些物联网设备进行统一的安全管理，重点针对密钥管理、通信安全、权限认证等安全问题设计，以保证数据的保密性、完整性、可用性。对于资源受限的物联设备，配套一个边缘网关来执行设备身份认证、安全通信等功能。对于资源不受限的物联设备，可直接在物联设备上实现身份认证和安全通信等功能。在算法方面，采用基于标识的国密算法，并对算法进行轻量化设计，可应用于资源受限物联网设备，实现物联网设备认证、通信加密，保证数据的保密性和完整性。在密钥管理方面，建立统一的密钥分发管理体系，确保密钥的安全性。

但是上述方案中是对于密钥管理中的令牌的简单验证，并没有将令牌的验证与物联网深度相结合，且上述方案中对于是通常意义上对于令牌登录服务器的有效性执行验证，没有考虑到令牌验证与角色之间的动态化控制，当用户的角色或掉线时以及发生改变时，需要频繁的设置不同的权限控制，在安全和访问便利性的之间，无法做到很好的兼容。

发明内容

为解决上述方法之一，本申请提供了一种基于角色访问控制(role-based accesscontrol)令牌的安全访问方法，所述方法包括：

构建渔业管理服务平台的三元模型关系，三元组模型包括三个实体：主体、令牌权限和资源服务事件；将权限设置于主体的角色属性和令牌权限的映射关系；

根据渔业管理平台中的管理结构体系拓扑图，依据管理体系结构划分不同的网络域；同一网络域内的网关对于同一账户的访问认证请求做同步处理；在各域之间建立一个共享角色域，其中包括与具体渔业管平台中的结构体系无关的共享角色属性，共享角色属性与各个不同域中身份标识存在映射的关系，每个网络域设置其自身安全策略；当一个网络域中用户对另一网络域中的流程应用访问时,其身份可以通过共享角色在两个域之间进行映射；

赋予不同的管理结构体系拓扑图各层的角色属性，所述角色属性的权限信息独立于用户的身份标识ID，通过在访问令牌消息中权限标识信息，所述标识信息用于用户对于资源服务事件的控制权限。

可选的，主体的角色属性存在继承的现象，继承者实体的属性分为两部分：一部分属性继承自被继承者层级；一部分是自己特有的属性，自己特有的属性不会和继承属性冲突；

可选的，所述资源服务事件包括：对数据的读、写、新建、删除和对物联网设备的操作。

可选的，主体与令牌权限是一对多的关系，每个主体至少拥有一个令牌权限，一个令牌权限至少对应一个资源服务事件。

可选的，用户的身份ID信息与角色属性分离，用户身份ID信息将令牌权限与角色属性关联。

可选的，令牌权限的属性包括自身固有属性和权限继承的属性。

可选的，设定的网络区域内的任一物联网网关生成身份认证结果后，启动分布式共识机制，并计算与分布式共识机制相符合的合法数字串，将身份认证结果和合法数字串发送至域内其它的物联网网关。

可选的，用户登录过程中对于令牌包含时间信息的校验，实行动态的后台校验服务，所述令牌信息在分配登录后，该令牌信息基于时间校验信息而作废。