專利名稱:一種實現(xiàn)資源個性化安全接入控制的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域���,具體涉及一種實現(xiàn)資源個性化安全接入控制的方法和系統(tǒng)。
背景技術(shù):
物聯(lián)網(wǎng)是一個網(wǎng)絡(luò)高度復(fù)雜�、異構(gòu)的網(wǎng)絡(luò)。物聯(lián)網(wǎng)充分體現(xiàn)了物理世界和信息空間的深度融合��,使人類可以融入到一體化的智能生態(tài)環(huán)境中��,實現(xiàn)人�����、機(jī)�、物的協(xié)同統(tǒng)一�����。上下文感知計算本是計算機(jī)應(yīng)用領(lǐng)域的重要技術(shù)之一。由于該技術(shù)可以顯著增強(qiáng)計算機(jī)應(yīng)用的智能性����,從上世紀(jì)90年代末開始,就成為熱門研究技術(shù)領(lǐng)域之一���。隨著最近幾年物聯(lián)網(wǎng)技術(shù)的發(fā)展��,智能感知和智能控制思想在生活環(huán)境中的普及�����,以及標(biāo)簽技術(shù)與傳感器技術(shù)及無線通信技術(shù)的發(fā)展與結(jié)合����,為構(gòu)建智能上下文感知基礎(chǔ)設(shè)施���、感知周圍環(huán)境�、主動地為人類服務(wù)提供了重要技術(shù)支持����。被廣泛接受的“上下文”的定義為任何可以被用來描述實體特征的信息�����。所述實體可以是人���、地方、應(yīng)用����、用戶,以及其它與應(yīng)用和用戶相互作用并且有關(guān)聯(lián)的各種對象�。上下文感知計算通常用于描述如下智能模型用戶、服務(wù)以及資源能夠發(fā)現(xiàn)其他用戶����、服務(wù)和資源,同時將他們整合起來以完成協(xié)作���,能夠在無需用戶過多干預(yù)的前提下���,產(chǎn)生正確的智能行為。比如���,具體到物聯(lián)網(wǎng)領(lǐng)域而言���,通過給所有對象(包括人和物品)附上標(biāo)簽���,從而在物理空間中的個體與信息空間中的對象之間建立了對應(yīng)關(guān)系���,通過觀測和識別用戶的狀態(tài)和行為���,為構(gòu)建智能上下文感知計算應(yīng)用提供了真實可行的途徑。參見圖1�,圖1設(shè)想了機(jī)場航站樓可能的三類旅客,包括非登機(jī)旅客���、普通ID登機(jī)旅客和貴賓ID登機(jī)旅客�。機(jī)場航班樓可能為這三類旅客提供如無線網(wǎng)絡(luò)資源�����、數(shù)據(jù)資源和內(nèi)容資源等在內(nèi)的資源服務(wù)�,并能控制三類旅客通過安全檢查、特別通道及進(jìn)入貴賓休息室���。目前����,還不能在不同的位置為不同的旅客自動提供不同的資源使用方式。如貴賓 ID登機(jī)旅客���,從進(jìn)入機(jī)場大廳到最后通過特別通道登機(jī)���,其中需要多次自己提交如機(jī)票等憑證,用人工驗證的方式來獲取相應(yīng)的資源使用權(quán)限�。其次,在資源接入環(huán)境發(fā)生變化(比如網(wǎng)絡(luò)環(huán)境發(fā)生變化)時��,由于系統(tǒng)需要再次獲取旅客的驗證憑證��,所以不能為旅客無間斷地提供資源接入服務(wù)����。最后,如貴賓ID登機(jī)旅客�����,在通過安檢后����,仍然需要多次人工提供機(jī)票等憑證�����,才能進(jìn)入貴賓休息室和使用特別通道���。綜上所述可見�����,現(xiàn)有物聯(lián)網(wǎng)中資源的接入控制存在以下不足首先�,缺乏對資源的個性化安全服務(wù)的有效支持。其次�,缺乏對資源安全服務(wù)的連續(xù)性和動態(tài)性的有效支持。最后�,效率不高,資源服務(wù)用戶體驗性差���,開發(fā)和部署難度大
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明的主要目的在于提供一種實現(xiàn)資源個性化安全接入控制的方法和系統(tǒng),以有效支持物聯(lián)網(wǎng)資源安全服務(wù)的連續(xù)性和動態(tài)性��。為達(dá)到上述目的����,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種實現(xiàn)資源個性化安全接入控制的方法�,該方法包括由上下文感知模塊以被動或主動的方式��,獲取用戶關(guān)聯(lián)的特征身份信息����,以及該身份信息關(guān)聯(lián)的環(huán)境和資源能力特征信息;所述特征信息的變化情況經(jīng)過上下文感知模塊的過濾和處理后��,形成相應(yīng)的事件并通知給安全策略模塊�����,安全策略模塊基于用戶上下文變化情況及基礎(chǔ)安全策略集合���,確定用戶的實時安全策略�;在所述用戶的實時安全策略可配置的生命周期內(nèi)��,認(rèn)證模塊和授權(quán)模塊以查詢或者通知接收的方式����,從安全策略模塊獲取用戶實時安全策略,據(jù)此動態(tài)更新用戶的認(rèn)證機(jī)制和授權(quán)機(jī)制。所述確定用戶的實時安全策略的過程包括由上下文感知模塊以主動或被動方式��,獲取與每個用戶關(guān)聯(lián)的特征身份信息����,以及該特征身份信息所關(guān)聯(lián)的環(huán)境和資源能力特征信息;上述涉及特征的信息經(jīng)過上下文感知模塊的過濾和處理后��,形成相應(yīng)的事件并通知給安全策略模塊����,安全策略模塊根據(jù)事件變化情況��,基于基礎(chǔ)安全策略集合�,建立與用戶相關(guān)聯(lián)的實時安全策略;更新所述認(rèn)證和授權(quán)機(jī)制的過程包括將所述用戶的實時安全策略通過查詢反饋或者通知的方式提供給自組織認(rèn)證模塊和自組織授權(quán)模塊����,自組織認(rèn)證模塊和自組織授權(quán)模塊根據(jù)收到的安全策略,分別基于認(rèn)證知識庫和安全決策庫�����,自動建立和更新相應(yīng)用戶的實時認(rèn)證機(jī)制和資源授權(quán)權(quán)限��。建立所述用戶的實時安全策略時���,安全策略模塊根據(jù)用戶資源請求��,基于基礎(chǔ)安全策略集合����,建立與用戶相關(guān)聯(lián)的實時安全策略。 自組織認(rèn)證模塊和自組織授權(quán)模塊建立所述認(rèn)證機(jī)制和資源授權(quán)權(quán)限時���,根據(jù)建立的每個用戶的實時安全策略�����,為用戶自動地動態(tài)提供相應(yīng)的實時認(rèn)證機(jī)制和授權(quán)機(jī)制����, 以支持每個用戶根據(jù)授權(quán)權(quán)限使用受保護(hù)資源�。所述上下文感知模塊獲取涉及特征的所述信息時,動態(tài)感知���、處理和發(fā)送用戶關(guān)聯(lián)特征信息變化情況����,并以事件方式通知安全策略模塊,安全策略模塊更新用戶的實時安全策略�����。所述實時安全策略具有可配置的建立�����、運(yùn)行���、更新和注銷的生命周期�����;在用戶的實時安全策略的生命周期內(nèi)����,自組織認(rèn)證模塊和自組織授權(quán)模塊所維護(hù)的每個用戶的實時認(rèn)證和授權(quán)機(jī)制具有相應(yīng)的建立�、運(yùn)行�、更新和注銷的生命周期。該方法還包括用戶退出資源���,安全策略模塊注銷相應(yīng)的用戶的實時安全策略��;自組織認(rèn)證模塊和自組織授權(quán)模塊注銷相應(yīng)的認(rèn)證機(jī)制和授權(quán)機(jī)制�����?��!N實現(xiàn)資源個性化安全接入控制的系統(tǒng)���,該系統(tǒng)包括實時安全策略決策單元、 認(rèn)證及授權(quán)機(jī)制決策單元����;其中,所述實時安全策略決策單元�����,用于根據(jù)上下文感知模塊所提供的事件�,基于基礎(chǔ)安全策略集合,確定用戶的實時安全策略��;所述認(rèn)證及授權(quán)機(jī)制決策單元��,用于根據(jù)所述實時安全策略決策單元已確定的所述用戶的實時安全策略���,自動建立��、更新或注銷所述用戶的實時認(rèn)證和授權(quán)機(jī)制�����。
所述實時安全策略決策單元包括上下文感知模塊�、安全策略模塊;所述認(rèn)證及授權(quán)機(jī)制決策單元包括自組織認(rèn)證模塊��、自組織授權(quán)模塊�����;其中����,所述上下文感知模塊,用于自動獲取與每個用戶關(guān)聯(lián)的特征身份信息����,以及該特征身份信息所關(guān)聯(lián)的環(huán)境和資源能力特征信息����;并在對上述涉及特征的信息經(jīng)過過濾和處理后���,形成相應(yīng)的事件并通知給安全策略模塊;所述安全策略模塊�����,用于根據(jù)事件變化情況����,基于基礎(chǔ)安全策略集合,建立與用戶相關(guān)聯(lián)的實時安全策略并通過查詢反饋或者通知的方式提供給自組織認(rèn)證模塊和自組織授權(quán)模塊�����;所述自組織認(rèn)證模塊和自組織授權(quán)模塊�,用于根據(jù)收到的安全策略自動建立和更新相應(yīng)用戶的實時認(rèn)證機(jī)制和資源授權(quán)權(quán)限。建立所述用戶的實時安全策略時�����,所述安全策略模塊用于根據(jù)用戶資源請求����,基于基礎(chǔ)安全策略集合,建立與用戶相關(guān)聯(lián)的用戶的實時安全策略��;所述安全策略模塊中至少包括但不限于上下文驅(qū)動組件、生命周期管理組件��、基礎(chǔ)安全策略組件���、安全策略管理接口及用戶實時安全策略組件��。所述自組織認(rèn)證模塊和自組織授權(quán)模塊建立所述用戶的實時認(rèn)證機(jī)制和資源授權(quán)權(quán)限時��,用于根據(jù)建立的每個用戶的實時安全策略���,分別基于認(rèn)證知識庫和安全決策庫, 為用戶自動地動態(tài)提供相應(yīng)的認(rèn)證機(jī)制和授權(quán)機(jī)制���,以支持每個用戶根據(jù)授權(quán)權(quán)限使用受保護(hù)資源�;所述自組織認(rèn)證模塊中至少包括但不限于如下組件認(rèn)證知識庫�����、自組織處理組件���、用戶實時認(rèn)證組件和生命周期管理組件����;所述自組織授權(quán)模塊中至少包括但不限于如下組件安全決策庫���、自組織處理組件���、用戶實時授權(quán)組件和生命周期管理組件。所述上下文感知模塊獲取涉及特征的所述信息時����,用于動態(tài)感知、處理和發(fā)送用戶關(guān)聯(lián)特征信息變化情況���,并以事件方式通知安全策略模塊��,觸發(fā)安全策略模塊更新用戶的實時安全策略�;所述上下文感知模塊中至少包括但不限于傳感器組感知組件�����、用戶角色感知組件�、資源感知組件、事件處理組件����、事件驅(qū)動組件以及應(yīng)用層接口�����。所述用戶的實時安全策略具有建立�����、運(yùn)行����、更新和注銷的生命周期����;在用戶的實時安全策略的生命周期內(nèi),自組織認(rèn)證模塊和自組織授權(quán)模塊所維護(hù)的每個用戶的實時認(rèn)證和授權(quán)機(jī)制具有相應(yīng)的建立����、運(yùn)行、更新和注銷的生命周期��。用戶退出資源時��,所述安全策略模塊還用于注銷相應(yīng)的用戶的實時安全策略��;所述自組織認(rèn)證模塊和自組織授權(quán)模塊還用于注銷相應(yīng)的用戶的實時認(rèn)證機(jī)制和授權(quán)機(jī)制。該系統(tǒng)還包括安全管理模塊���,用于對安全策略模塊�、自組織認(rèn)證模塊和自組織授權(quán)模塊的基本安全策略參數(shù)進(jìn)行輸入和管理�。本發(fā)明方法和系統(tǒng)���,將用戶上下文感知技術(shù)與用戶的實時安全策略相結(jié)合�,并在用戶使用資源的整個生命周期內(nèi)�,自動更新每個用戶相應(yīng)的實時認(rèn)證和授權(quán)機(jī)制,具有如下的優(yōu)點(diǎn)首先�,可以有效地根據(jù)用戶周圍特征信息的變化,隨時隨地動態(tài)地為用戶提供資源的無縫接入控制服務(wù)能力����,有效支持物聯(lián)網(wǎng)資源安全服務(wù)的連續(xù)性和動態(tài)性;其次��,能為用戶提供在復(fù)雜網(wǎng)絡(luò)環(huán)境下的個性化安全服務(wù)支持��,從而極大提升用戶體驗的滿意度��;最后��,實現(xiàn)資源個性化安全接入控制時具有高效性、易開發(fā)性并且容易部署����。
圖1為現(xiàn)有技術(shù)中一實例實現(xiàn)資源個性化安全接入控制的原理示意圖;圖2為本發(fā)明實施例在物聯(lián)網(wǎng)中實現(xiàn)資源個性化安全接入控制的原理示意圖���;圖3為本發(fā)明實施例的上下文感知模塊組件圖��;圖4為本發(fā)明實施例的安全策略模塊組件圖����;圖5為本發(fā)明實施例的自組織認(rèn)證模塊組件圖����;圖6為本發(fā)明實施例的自組織授權(quán)模塊組件圖;圖7為本發(fā)明一實施例在物聯(lián)網(wǎng)中實現(xiàn)資源個性化安全接入控制的流程圖����;圖8為本發(fā)明另一實施例在物聯(lián)網(wǎng)中實現(xiàn)資源個性化安全接入控制的流程圖;圖9為本發(fā)明實施例實現(xiàn)資源個性化安全接入控制的流程簡圖�����;圖10為本發(fā)明實施例實現(xiàn)資源個性化安全接入控制的系統(tǒng)圖���。
具體實施例方式在實際應(yīng)用中�,可以提供一種能夠在物聯(lián)網(wǎng)中實現(xiàn)資源個性化安全接入控制的系統(tǒng),包括安全管理模塊���,用于系統(tǒng)安全策略模塊��、自組織認(rèn)證模塊和自組織授權(quán)模塊的基本安全策略參數(shù)輸入和管理�����。上下文感知模塊,用于接收用戶資源接入請求�����,并對用戶所處的環(huán)境�、與用戶接入請求相關(guān)的各類資源狀態(tài),以及其他相關(guān)事件和對象的上下文進(jìn)行接收�����、處理和發(fā)送��。上下文感知模塊中至少包括但不限于傳感器組感知組件���、用戶角色感知組件���、資源感知組件���、事件處理組件、事件驅(qū)動組件以及應(yīng)用層接口�。安全策略模塊,用于接收安全管理模塊提供的安全策略基本參數(shù)�����,并響應(yīng)用戶上下文變化事件����,為用戶生成(如為每個用戶獨(dú)立生成)用戶的實時安全策略。安全策略模塊中至少包括但不限于上下文驅(qū)動組件�、生命周期管理組件、基礎(chǔ)安全策略組件��、安全策略管理接口及用戶實時安全策略組件�。自組織認(rèn)證模塊,用于根據(jù)安全策略模塊提供的用戶的實時安全策略參數(shù)�����,結(jié)合認(rèn)證知識庫,創(chuàng)建用戶的實時認(rèn)證機(jī)制�����。為用戶提供(如為每個用戶獨(dú)立提供)個性化的認(rèn)證服務(wù)能力�����,并用于保證安全服務(wù)的連續(xù)性����。自組織認(rèn)證模塊中至少包括但不限于如下組件認(rèn)證知識庫、自組織處理組件�、用戶實時認(rèn)證組件和生命周期管理組件�����。自組織授權(quán)模塊�,用戶根據(jù)安全策略模塊提供的用戶的實時安全策略參數(shù),結(jié)合安全決策庫��,創(chuàng)建用戶的實時授權(quán)機(jī)制���。為每個用戶獨(dú)立授權(quán)個性化的資源使用權(quán)限���。自組織授權(quán)模塊中至少包括但不限于如下組件安全決策庫�����、自組織處理組件�、用戶實時授權(quán)組件和生命周期管理組件�����?��;谏鲜鱿到y(tǒng)�����,可以由上下文感知模塊感知用戶環(huán)境上下文和資源上下文���,并根據(jù)用戶資源請求,由安全策略模塊建立與該用戶相關(guān)的用戶的實時安全策略�,并進(jìn)而建立相應(yīng)用戶的實時認(rèn)證和授權(quán)機(jī)制。用戶的實時安全策略具有可配置的生命周期�,在一定的時間內(nèi),實時安全策略具
7有建立�、運(yùn)行����、更新和注銷四種工作狀態(tài)�。在用戶的實時安全策略的生命周期內(nèi),自組織認(rèn)證模塊和自組織授權(quán)模塊可以使用查詢反饋或被動通知的方式�,通過安全策略模塊獲取相應(yīng)用戶的實時安全策略,并建立相應(yīng)的實時認(rèn)證機(jī)制和授權(quán)機(jī)制���。自組織認(rèn)證模塊和自組織授權(quán)模塊所維護(hù)的用戶實時認(rèn)證和授權(quán)機(jī)制具有與用戶實時安全策略相應(yīng)的生命周期����。系統(tǒng)自組織認(rèn)證模塊和自組織授權(quán)模塊���,根據(jù)建立的每個用戶的實時安全策略��, 分別基于認(rèn)證知識庫和安全決策庫,自動為用戶動態(tài)提供實時認(rèn)證機(jī)制和授權(quán)機(jī)制�,每個用戶根據(jù)最終授權(quán)權(quán)限使用受保護(hù)資源。上下文感知模塊能夠感知用戶��、環(huán)境和資源的特征信息�����。當(dāng)這些特征信息發(fā)生改變時,上下文感知模塊能對有用的消息進(jìn)行過濾和處理����,最終以事件的方式發(fā)送給安全策略模塊,安全策略模塊更新該用戶的實時安全策略并通知給自組織認(rèn)證模塊��,自組織認(rèn)證模塊和自組織授權(quán)模塊根據(jù)收到的安全策略自動更新相應(yīng)用戶的實時認(rèn)證機(jī)制和授權(quán)機(jī)制��。用戶根據(jù)更新后所確定的授權(quán)權(quán)限使用受保護(hù)資源���。用戶退出資源時�����,安全策略模塊注銷相應(yīng)的用戶的實時安全策略����。自組織認(rèn)證模塊和自組織授權(quán)模塊注銷相應(yīng)用戶的實時認(rèn)證機(jī)制和授權(quán)機(jī)制�����。下面參考附圖并結(jié)合實施例來詳細(xì)說明本發(fā)明��。需要說明的是��,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互結(jié)合����。參見圖2,圖2為本發(fā)明實施例在物聯(lián)網(wǎng)中實現(xiàn)資源個性化安全接入控制的原理示意圖��。圖2中���,資源池包括但不限于網(wǎng)絡(luò)用戶可能使用到的被保護(hù)的數(shù)據(jù)資源�、網(wǎng)絡(luò)資源����、內(nèi)容資源、網(wǎng)絡(luò)業(yè)務(wù)和應(yīng)用�����,以及網(wǎng)絡(luò)中其它被保護(hù)的上下文和對象等��。用戶�,包括但不限于終端用戶以及服務(wù)和應(yīng)用的提供商等����。傳感器組���,包括一個或多個用于感知用戶物理環(huán)境參數(shù)的傳感器,用于收集用戶物理環(huán)境特征信息����。參見圖3,圖3為本發(fā)明實施例的上下文感知模塊組件圖�。圖3中,上下文感知模塊應(yīng)該包括但不限于如圖3所示的組件�,以實現(xiàn)如下功能由資源感知組件收集用戶可能使用到的資源上下文的變化情況,由傳感器組感知組件收集用戶物理環(huán)境上下文變化情況����, 由用戶角色感知組件收集用戶角色上下文變化情況,由事件處理組件處理收集到的事件并根據(jù)規(guī)則聚合����、過濾和判斷有效事件類型。上下文感知模塊通過上述組件收集�、處理并發(fā)送用戶初始上下文信息,通過事件驅(qū)動組件和應(yīng)用接口通知安全策略模塊以初始化用戶的實時安全策略�。用戶使用資源的過程中,用戶上下文變化將通過上下文感知模塊的事件驅(qū)動組件通知安全策略模塊���,以做出相應(yīng)的事件反應(yīng)動作�����。參見圖4���,圖4為本發(fā)明實施例的安全策略模塊組件圖�。圖2中所示的安全策略模塊應(yīng)該包括但不限于如圖4所示的組件���,以實現(xiàn)如下功能基礎(chǔ)安全策略組件通過安全策略管理接口�,根據(jù)安全管理模塊的要求����,初始化通用的安全策略集合。上下文驅(qū)動組件根據(jù)上下文感知模塊提供的上下文事件(如用戶網(wǎng)絡(luò)改變�����、物理環(huán)境改變等)����,參考基礎(chǔ)安全策略組件的要求,為用戶建立用戶的實時安全策略�����,以動態(tài)適應(yīng)用戶對資源的接入控制安全機(jī)制��,并為用戶提供個性化���、連續(xù)性的安全服務(wù)�。生命周期管理組件用于完成對用戶的實時安全策略的初始化���、運(yùn)行期��、更新和注銷管理�����。安全管理模塊�����,包括但不限于完成對安全策略模塊和自組織認(rèn)證模塊的安全參數(shù)進(jìn)行設(shè)置和管理�。
參見圖5���,圖5為本發(fā)明實施例的自組織認(rèn)證模塊組件圖�。自組織認(rèn)證模塊可以根據(jù)每個用戶的實時安全策略參數(shù),自動組織相應(yīng)用戶的實時認(rèn)證機(jī)制�,完成對每個用戶資源接入申請的認(rèn)證。自組織認(rèn)證模塊中的自組織處理組件可以查詢安全策略模塊���,據(jù)此自動獲取相應(yīng)的實時安全策略���,并結(jié)合認(rèn)證知識庫,通過用戶實時認(rèn)證組件建立對應(yīng)于每個用戶的實時認(rèn)證機(jī)制���。自組織處理組件也可以接收安全策略模塊所發(fā)送的安全策略改變通知���,據(jù)此自動組織合適的用戶的實時認(rèn)證機(jī)制,并將認(rèn)證結(jié)果和用戶的實時安全策略發(fā)送給自組織授權(quán)模塊��,以完成用戶資源使用周期內(nèi)的資源接入權(quán)限的自動更新�。參見圖6,圖6為本發(fā)明實施例的自組織授權(quán)模塊組件圖�。自組織授權(quán)模塊可以根據(jù)每個用戶的實時安全策略參數(shù),自動組織相應(yīng)的實時授權(quán)機(jī)制����,最終完成對每個用戶資源接入的授權(quán)。自組織授權(quán)模塊中的自組織處理組件可以從自組織認(rèn)證模塊獲取每個用戶的實時安全策略參數(shù)�,并結(jié)合安全決策庫���,通過用戶實時授權(quán)組件建立對應(yīng)于每個用戶的實時授權(quán)機(jī)制,以最終完成對用戶資源申請的授權(quán)��,允許用戶使用資源�。參見圖7����,圖7為本發(fā)明一實施例在物聯(lián)網(wǎng)中實現(xiàn)資源個性化安全接入控制的流程圖,該流程包括如下步驟S702 安全管理模塊完成對安全策略模塊�、自組織認(rèn)證模塊和自組織授權(quán)模塊的相關(guān)安全參數(shù)的初始化設(shè)置。所述相關(guān)參數(shù)包括但不限于用于配置基礎(chǔ)安全策略集合���,用于配置自組織認(rèn)證模塊中用戶認(rèn)證規(guī)則集合���,以及用于配置自組織授權(quán)模塊或者授權(quán)權(quán)限的參數(shù)。S704 初始化用戶所對應(yīng)的實時安全策略�����。具體步驟為用戶使用資源池�����,資源池相關(guān)服務(wù)或應(yīng)用將用戶接入請求發(fā)送給上下文感知模塊和自組織授權(quán)模塊。上下文感知模塊收集并處理用戶上下文����,并通知安全策略模塊,安全策略模塊根據(jù)每個用戶的上下文和基礎(chǔ)安全策略集合�����,初始化該用戶的實時安全策略����。S706 用戶根據(jù)授權(quán)權(quán)限使用資源。具體步驟為自組織認(rèn)證模塊通過查詢獲取用戶對應(yīng)的實時安全策略����,自組織認(rèn)證和自組織授權(quán)模塊根據(jù)獲取的所述安全策略采取對應(yīng)于每個用戶的認(rèn)證機(jī)制和授權(quán)機(jī)制。用戶根據(jù)授權(quán)權(quán)限使用受保護(hù)資源����。用戶對應(yīng)的實時安全策略處于運(yùn)行狀態(tài)。S708 注銷用戶的實時安全策略��、認(rèn)證和授權(quán)機(jī)制����。具體步驟為用戶退出服務(wù)或應(yīng)用�����,安全策略模塊注銷其相應(yīng)的用戶的實時安全策略�。自組織認(rèn)證模塊和自組織授權(quán)模塊注銷相應(yīng)的實時認(rèn)證機(jī)制和授權(quán)機(jī)制���。S710:用戶關(guān)鍵上下文更新����,用戶根據(jù)更新后的授權(quán)權(quán)限使用受保護(hù)的資源�。具體步驟為用戶關(guān)鍵上下文參數(shù)改變���,如網(wǎng)絡(luò)環(huán)境�����、處所等���,上下文感知模塊將該事件通知安全策略模塊,安全策略模塊更新該用戶的實時安全策略�,并通知自組織認(rèn)證模塊。自組織認(rèn)證和授權(quán)模塊根據(jù)該實時安全策略更新用戶的實時認(rèn)證機(jī)制和授權(quán)機(jī)制��。用戶根據(jù)更新后的授權(quán)權(quán)限使用受保護(hù)資源。參見圖8����,圖8為本發(fā)明另一實施例在物聯(lián)網(wǎng)中實現(xiàn)資源個性化安全接入控制的流程圖,該流程包括如下步驟S802 向資源池發(fā)出用戶資源接入請求�����。實際使用中��,所述請求可能是由用戶人工發(fā)起�����,也可能是上下文感知模塊感知到與用戶身份綁定的特定物理感知設(shè)備進(jìn)入特定場景�,自動向資源池發(fā)出申請。所述資源可能是被保護(hù)的數(shù)據(jù)��,也可能是某個網(wǎng)絡(luò)業(yè)務(wù)或應(yīng)用中的受保護(hù)程序或流程等�。S804A:資源池中的業(yè)務(wù)或應(yīng)用軟件向上下文感知模塊發(fā)出用戶資源接入請求事件通知。S804B 同時�����,資源池中的業(yè)務(wù)或應(yīng)用軟件向自組織授權(quán)模塊發(fā)出授權(quán)請求�����。需要說明的是,S804A和S804B���,既可以采用同步工作模式��,即建立用戶實時安全策略和向自組織認(rèn)證模塊發(fā)起認(rèn)證申請同時進(jìn)行�;也可以采用異步工作模式��,即等待建立用戶實時安全策略完成后�,使用以通知的方式完成資源使用授權(quán)。S806A 上下文感知模塊向安全策略模塊發(fā)出與安全相關(guān)的用戶上下文�����。S808 安全策略模塊根據(jù)收到的用戶上下文�����,結(jié)合基礎(chǔ)安全策略組件��,初始化用戶的實時安全策略����,并啟動該安全策略的生命周期管理。S806B 自組織授權(quán)模塊向自組織認(rèn)證模塊發(fā)送認(rèn)證請求���。需要說明的是��,與前述的S804A��、S804B —樣���,S806A和S806B既可以采用同步工作模式,也可以采用異步工作模式���。S810 :自組織認(rèn)證模塊向安全策略模塊發(fā)出用戶的實時安全策略查詢請求���。S812 安全策略模塊向自組織認(rèn)證模塊返回相應(yīng)的用戶的實時安全策略。需要說明的是��,實際使用中���,如果返回有效的安全策略����,自組織認(rèn)證模塊可以使用該安全策略重新配置自組織認(rèn)證模塊的用戶的實時認(rèn)證機(jī)制。當(dāng)在返回為空或者超時未返回有效安全策略時����,自組織認(rèn)證模塊可能有如下異常處理流程方式一是通知用戶本次認(rèn)證失敗,要求用戶再次提供有效認(rèn)證所需要的憑證�;方式二是直接拒絕本次用戶的資源接入申請,在一定時間間隔后再自動重復(fù)S810��。S814 自組織認(rèn)證模塊使用相應(yīng)的用戶實時安全策略�����,基于認(rèn)證知識庫��,建立每個用戶實時安全認(rèn)證機(jī)制�����。用戶認(rèn)證通過后�����,自組織認(rèn)證模塊通知自組織授權(quán)模塊��,并向自組織授權(quán)模塊傳遞相關(guān)的用戶的實時安全策略�。S816 :自組織授權(quán)模塊使用相應(yīng)的用戶實時安全策略,基于安全決策庫����,建立每個用戶的實時授權(quán)機(jī)制,并確定用戶最終授權(quán)權(quán)限�。自組織授權(quán)模塊向資源池發(fā)送授權(quán)權(quán)限信息。資源池中的相關(guān)執(zhí)行單元(如軟件應(yīng)用等)���,將根據(jù)用戶的最終授權(quán)情況進(jìn)行下一步的流程處理需要說明的是��,自組織授權(quán)模塊需要使用用戶的實時安全授權(quán)機(jī)制�����,來決策相應(yīng)的授權(quán)機(jī)制和該用戶相應(yīng)的資源授權(quán)權(quán)限�����。S818 用戶根據(jù)授權(quán)權(quán)限使用資源���。S820 上下文感知模塊監(jiān)聽到用戶上下文有效變更事件。需要說明的是���,實際使用中�����,上下文感知模塊所監(jiān)聽到的用戶上下文變更事件�,既有可能是能引發(fā)S822的簡單或復(fù)雜的有效事件(如用戶進(jìn)入或退出某一應(yīng)用場景,或用戶所接入的網(wǎng)絡(luò)發(fā)生切換等)��,也可能是一些無用的簡單或復(fù)雜事件��。在這種情況下�,上下文事件處理組件具有事件過濾功能,以獲知所述有效事件�。S822 上下文感知模塊向安全策略模塊發(fā)送變更通知。S824 安全策略模塊更新用戶的實時安全策略�����。S826 安全策略模塊將表明安全策略更新通知發(fā)送給自組織認(rèn)證模塊����。S828 自組織認(rèn)證模塊向自組織授權(quán)模塊發(fā)送認(rèn)證更新通知。
S830 自組織授權(quán)模塊根據(jù)認(rèn)證更新和策略更新��,向資源池發(fā)送策略更新后的新用戶資源權(quán)限�。S832 用戶利用資源池維持或切換用戶資源���。結(jié)合上述各實施例可知��,本發(fā)明實現(xiàn)資源個性化安全接入控制的操作思路可以表示如圖9所示的流程��,該流程包括以下步驟步驟910 由上下文感知模塊以被動或主動的方式��,獲取用戶關(guān)聯(lián)的特征身份信息�,以及該身份信息關(guān)聯(lián)的環(huán)境和資源能力特征信息;所述特征信息的變化情況經(jīng)過上下文感知模塊的過濾和處理后���,形成相應(yīng)的事件并通知給安全策略模塊�����,安全策略模塊基于用戶上下文變化情況及基礎(chǔ)安全策略集合�����,確定用戶的實時安全策略��。步驟920 在所述用戶的實時安全策略可配置的生命周期內(nèi)��,認(rèn)證模塊和授權(quán)模塊以查詢或者通知接收的方式�����,從安全策略模塊獲取用戶實時安全策略��,據(jù)此動態(tài)更新用戶的認(rèn)證機(jī)制和授權(quán)機(jī)制����。為了保證上述各實施例以及操作思路能夠順利實現(xiàn),可以進(jìn)行如圖10所示的設(shè)置�����。參見圖10��,圖10為本發(fā)明實施例實現(xiàn)資源個性化安全接入控制的系統(tǒng)圖�����,該系統(tǒng)包括相連的實時安全策略決策單元���、認(rèn)證及授權(quán)機(jī)制決策單元��。在實際應(yīng)用時��,實時安全策略決策單元能夠根據(jù)上下文感知模塊所提供的事件��, 基于基礎(chǔ)安全策略集合�,確定用戶的實時安全策略。認(rèn)證及授權(quán)機(jī)制決策單元能夠根據(jù)所述實時安全策略決策單元已確定的所述用戶的實時安全策略����,自動建立���、更新或注銷所述用戶的實時認(rèn)證和授權(quán)機(jī)制�。綜上所述可見�,無論是方法還是系統(tǒng),本發(fā)明實現(xiàn)資源個性化安全接入控制的技術(shù)�����,將用戶上下文感知技術(shù)與用戶的實時安全策略相結(jié)合����,并在用戶使用資源的整個生命周期內(nèi),自動更新每個用戶相應(yīng)的認(rèn)證和授權(quán)機(jī)制����,具有如下的優(yōu)點(diǎn)首先,可以有效地根據(jù)用戶周圍特征信息(包括環(huán)境���、網(wǎng)絡(luò)�、業(yè)務(wù)能力資源等)的變化,隨時隨地動態(tài)地為用戶提供資源的無縫接入控制服務(wù)能力����,有效支持物聯(lián)網(wǎng)資源安全服務(wù)的連續(xù)性和動態(tài)性;其次�,能為用戶提供在復(fù)雜網(wǎng)絡(luò)環(huán)境下的個性化的安全服務(wù)支持,從而極大提升了用戶體驗的滿意度��;最后��,實現(xiàn)資源個性化安全接入控制時具有高效性�、易開發(fā)性并且容易部署。以上所述����,僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護(hù)范圍�����。
權(quán)利要求
1.一種實現(xiàn)資源個性化安全接入控制的方法�����,其特征在于,該方法包括由上下文感知模塊以被動或主動的方式�����,獲取用戶關(guān)聯(lián)的特征身份信息��,以及該身份信息關(guān)聯(lián)的環(huán)境和資源能力特征信息�;所述特征信息的變化情況經(jīng)過上下文感知模塊的過濾和處理后���,形成相應(yīng)的事件并通知給安全策略模塊�,安全策略模塊基于用戶上下文變化情況及基礎(chǔ)安全策略集合��,確定用戶的實時安全策略���;在所述用戶的實時安全策略可配置的生命周期內(nèi)����,認(rèn)證模塊和授權(quán)模塊以查詢或者通知接收的方式�����,從安全策略模塊獲取用戶實時安全策略�����,據(jù)此動態(tài)更新用戶的認(rèn)證機(jī)制和授權(quán)機(jī)制。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述確定用戶的實時安全策略的過程包括由上下文感知模塊以主動或被動方式��,獲取與每個用戶關(guān)聯(lián)的特征身份信息�����,以及該特征身份信息所關(guān)聯(lián)的環(huán)境和資源能力特征信息���;上述涉及特征的信息經(jīng)過上下文感知模塊的過濾和處理后����,形成相應(yīng)的事件并通知給安全策略模塊���,安全策略模塊根據(jù)事件變化情況��,基于基礎(chǔ)安全策略集合�,建立與用戶相關(guān)聯(lián)的實時安全策略���;更新所述認(rèn)證和授權(quán)機(jī)制的過程包括將所述用戶的實時安全策略通過查詢反饋或者通知的方式提供給自組織認(rèn)證模塊和自組織授權(quán)模塊�����,自組織認(rèn)證模塊和自組織授權(quán)模塊根據(jù)收到的安全策略��,分別基于認(rèn)證知識庫和安全決策庫�����,自動建立和更新相應(yīng)用戶的實時認(rèn)證機(jī)制和資源授權(quán)權(quán)限���。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于�,建立所述用戶的實時安全策略時,安全策略模塊根據(jù)用戶資源請求�����,基于基礎(chǔ)安全策略集合�,建立與用戶相關(guān)聯(lián)的實時安全策略。
4.根據(jù)權(quán)利要求1所述的方法�,其特征在于,自組織認(rèn)證模塊和自組織授權(quán)模塊建立所述認(rèn)證機(jī)制和資源授權(quán)權(quán)限時�,根據(jù)建立的每個用戶的實時安全策略,為用戶自動地動態(tài)提供相應(yīng)的實時認(rèn)證機(jī)制和授權(quán)機(jī)制,以支持每個用戶根據(jù)授權(quán)權(quán)限使用受保護(hù)資源�����。
5.根據(jù)權(quán)利要求2所述的方法���,其特征在于��,所述上下文感知模塊獲取涉及特征的所述信息時��,動態(tài)感知��、處理和發(fā)送用戶關(guān)聯(lián)特征信息變化情況����,并以事件方式通知安全策略模塊�����,安全策略模塊更新用戶的實時安全策略�����。
6.根據(jù)權(quán)利要求2至5任一項所述的方法����,其特征在于���,所述實時安全策略具有可配置的建立、運(yùn)行���、更新和注銷的生命周期�;在用戶的實時安全策略的生命周期內(nèi)����,自組織認(rèn)證模塊和自組織授權(quán)模塊所維護(hù)的每個用戶的實時認(rèn)證和授權(quán)機(jī)制具有相應(yīng)的建立、運(yùn)行�、更新和注銷的生命周期。
7.根據(jù)權(quán)利要求2至5任一項所述的方法�,其特征在于��,該方法還包括用戶退出資源���,安全策略模塊注銷相應(yīng)的用戶的實時安全策略�;自組織認(rèn)證模塊和自組織授權(quán)模塊注銷相應(yīng)的認(rèn)證機(jī)制和授權(quán)機(jī)制�。
8.一種實現(xiàn)資源個性化安全接入控制的系統(tǒng),其特征在于�,該系統(tǒng)包括實時安全策略決策單元����、認(rèn)證及授權(quán)機(jī)制決策單元�;其中,所述實時安全策略決策單元���,用于根據(jù)上下文感知模塊所提供的事件���,基于基礎(chǔ)安全策略集合,確定用戶的實時安全策略�����;所述認(rèn)證及授權(quán)機(jī)制決策單元�����,用于根據(jù)所述實時安全策略決策單元已確定的所述用戶的實時安全策略���,自動建立�、更新或注銷所述用戶的實時認(rèn)證和授權(quán)機(jī)制�。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于����,所述實時安全策略決策單元包括上下文感知模塊�、安全策略模塊���;所述認(rèn)證及授權(quán)機(jī)制決策單元包括自組織認(rèn)證模塊��、自組織授權(quán)模塊��;其中�����,所述上下文感知模塊�����,用于自動獲取與每個用戶關(guān)聯(lián)的特征身份信息���,以及該特征身份信息所關(guān)聯(lián)的環(huán)境和資源能力特征信息;并在對上述涉及特征的信息經(jīng)過過濾和處理后�����,形成相應(yīng)的事件并通知給安全策略模塊����;所述安全策略模塊,用于根據(jù)事件變化情況��,基于基礎(chǔ)安全策略集合���,建立與用戶相關(guān)聯(lián)的實時安全策略并通過查詢反饋或者通知的方式提供給自組織認(rèn)證模塊和自組織授權(quán)模塊�����;所述自組織認(rèn)證模塊和自組織授權(quán)模塊�����,用于根據(jù)收到的安全策略自動建立和更新相應(yīng)用戶的實時認(rèn)證機(jī)制和資源授權(quán)權(quán)限�����。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)���,其特征在于,建立所述用戶的實時安全策略時��,所述安全策略模塊用于根據(jù)用戶資源請求�����,基于基礎(chǔ)安全策略集合,建立與用戶相關(guān)聯(lián)的用戶的實時安全策略����;所述安全策略模塊中至少包括但不限于上下文驅(qū)動組件、生命周期管理組件�����、基礎(chǔ)安全策略組件����、安全策略管理接口及用戶實時安全策略組件。
11.根據(jù)權(quán)利要求9所述的系統(tǒng)���,其特征在于�,所述自組織認(rèn)證模塊和自組織授權(quán)模塊建立所述用戶的實時認(rèn)證機(jī)制和資源授權(quán)權(quán)限時���,用于根據(jù)建立的每個用戶的實時安全策略�����,分別基于認(rèn)證知識庫和安全決策庫�,為用戶自動地動態(tài)提供相應(yīng)的認(rèn)證機(jī)制和授權(quán)機(jī)制����,以支持每個用戶根據(jù)授權(quán)權(quán)限使用受保護(hù)資源;所述自組織認(rèn)證模塊中至少包括但不限于如下組件認(rèn)證知識庫��、自組織處理組件����、用戶實時認(rèn)證組件和生命周期管理組件;所述自組織授權(quán)模塊中至少包括但不限于如下組件安全決策庫�����、自組織處理組件����、用戶實時授權(quán)組件和生命周期管理組件。
12.根據(jù)權(quán)利要求9所述的系統(tǒng)�����,其特征在于��,所述上下文感知模塊獲取涉及特征的所述信息時,用于動態(tài)感知��、處理和發(fā)送用戶關(guān)聯(lián)特征信息變化情況�,并以事件方式通知安全策略模塊,觸發(fā)安全策略模塊更新用戶的實時安全策略��;所述上下文感知模塊中至少包括但不限于傳感器組感知組件����、用戶角色感知組件、資源感知組件���、事件處理組件��、事件驅(qū)動組件以及應(yīng)用層接口����。
13.根據(jù)權(quán)利要求9至12任一項所述的系統(tǒng)���,其特征在于���,所述用戶的實時安全策略具有建立、運(yùn)行�����、更新和注銷的生命周期;在用戶的實時安全策略的生命周期內(nèi)��,自組織認(rèn)證模塊和自組織授權(quán)模塊所維護(hù)的每個用戶的實時認(rèn)證和授權(quán)機(jī)制具有相應(yīng)的建立�����、運(yùn)行����、更新和注銷的生命周期�。
14.根據(jù)權(quán)利要求9至12任一項所述的系統(tǒng),其特征在于����,用戶退出資源時,所述安全策略模塊還用于注銷相應(yīng)的用戶的實時安全策略�����;所述自組織認(rèn)證模塊和自組織授權(quán)模塊還用于注銷相應(yīng)的用戶的實時認(rèn)證機(jī)制和授權(quán)機(jī)制��。
15.根據(jù)權(quán)利要求9至12任一項所述的系統(tǒng)����,其特征在于�����,該系統(tǒng)還包括安全管理模塊���,用于對安全策略模塊、自組織認(rèn)證模塊和自組織授權(quán)模塊的基本安全策略參數(shù)進(jìn)行輸入和管理��。
全文摘要
本發(fā)明公開了一種實現(xiàn)資源個性化安全接入控制的方法和系統(tǒng)����,可由上下文感知模塊獲取用戶關(guān)聯(lián)的特征身份信息,以及該身份信息關(guān)聯(lián)的環(huán)境和資源能力特征信息��;所述特征信息的變化情況經(jīng)過上下文感知模塊的過濾和處理后��,形成相應(yīng)的事件并通知給安全策略模塊�,安全策略模塊基于用戶上下文變化情況及基礎(chǔ)安全策略集合,確定用戶的實時安全策略�����;在所述用戶的實時安全策略可配置的生命周期內(nèi)����,認(rèn)證模塊和授權(quán)模塊從安全策略模塊獲取用戶實時安全策略�����,據(jù)此動態(tài)更新用戶的認(rèn)證機(jī)制和授權(quán)機(jī)制����。本發(fā)明方法和系統(tǒng)將用戶上下文感知技術(shù)與相應(yīng)的用戶實時安全策略相結(jié)合�,可有效支持物聯(lián)網(wǎng)資源安全服務(wù)的連續(xù)性和動態(tài)性���。
文檔編號H04W12/00GK102300212SQ20111022618
公開日2011年12月28日 申請日期2011年8月8日 優(yōu)先權(quán)日2011年8月8日
發(fā)明者王世彤 申請人:中興通訊股份有限公司