法律状态公告日
法律状态信息
法律状态
2017-01-18
授权
授权
2014-06-04
实质审查的生效 IPC(主分类):H04L29/06 申请日:20140214
实质审查的生效
2014-05-07
公开
公开
技术领域
本发明涉及网络安全技术领域,特别是一种访问控制协调方法,尤其是 一种面向并发访问请求关联关系的访问控制协调方法及其装置。
背景技术
访问控制既可以实现企业系统安全需求,也可以保证合法用户的正常操 作、防止非授权用户入侵以及用户失误操作引起的安全问题。但分布式系统 中的访问控制,尤其是多管理域环境,由于安全策略异构、用户数量众多且 动态变化和没有统一协调人等原因,使得安全管理面临更为复杂的情况。因 此,如何进行恰当的访问控制,在有效支持互操作的同时确保系统安全成为 至关重要的问题。目前对于访问控制的研究多集中于单一的访问控制,对于 并发的不同类型访问控制协调方法的研究还较少。
对于B/S结构的应用系统,早期Web页面通常只包含HTML文本,因此 即使建立连接的开销比较大,也不会有太大的影响。而现在的Web页面往往 包含多种资源(图片、动画、声音等),浏览器获取资源的方式是顺序的,用 户往往不能第一时间看到自己需要的资源。同时对于客体资源的访问控制主 要依赖于服务器的认定,每获取一种资源,就建立一次连接,这样就增加了 HTTP服务器的开销,当资源文件较大时就会造成Internet上的信息堵塞。
对于C/S结构的应用系统,资源的调取方式也往往来源于多个访问控制 的客体,虽然采用了TCP/IP的面向持续连接的连接方式,但是不同目的地址 的客体会增加连接的个数,在整个系统界面的加载过程中也没有进行不同访 问控制的协调工作。
同时并发访问请求所请求的客体也存在着关联关系,因此需要根据客体 的关联关系来调度调整并发访问请求的访问顺序,根据客体访问控制的结果 来开启或关闭其他未进行的并发访问请求。因此如何根据安全要求及并发访 问请求的关联关系有效协调访问控制机制,提出有效的、满足开放式网络要 求的动态访问控制方案,对保护信息、资源和服务的安全以及个人隐私至关 重要。研究并发访问的关联关系,根据不同的关联关系制定访问控制的协调 方法,对于目前的应用系统的设计和建设具有重要的研究价值。
发明内容
针对上述问题中存在的不足之处,本发明提供了一种面向并发访问请求 关联关系的访问控制协调方法及其装置,通过并发访问请求进行合理的调度, 以实现对并发访问请求的访问控制协调工作。
为实现上述目的,本发明提供一种面向并发访问请求关联关系的访问控 制协调方法,包括以下步骤:
S10、收集并发访问的关联关系集合;
S20、通过访问请求关联关系构造多个有向图;
S30、为每个有向图建立有向图模型,并在有向图模型中加载其结构内容;
S40、按照有向图中的结构内容执行资源访问;
S50、对有向图的当前层的访问请求结果进行判断,若有向图的当前层的 访问请求结果不满足当前层的关联关系,则有向图下层的节点不再继续访问 资源;
S60、动态显示访问控制协调后的资源访问结果。
上述的面向并发访问请求关联关系的访问控制协调方法,其中,在步骤 S10中,根据客体资源的内容和安全级别,判定进行关联关系集合中的两个客 体资源是否具有关联关系,将存在关联关系的客户体资源收集起来进行访问 控制协调;
不存在关联关系的访问请求将直接并发的访问客体资源。
上述的面向并发访问请求关联关系的访问控制协调方法,其中,在步骤 S20中,在生成访问请求有向图的过程中,将具有关联关系的访问请求分在一 组,根据访问请求的安全级别划分有向图的层级。
上述的面向并发访问请求关联关系的访问控制协调方法,其中,在步骤 S40中,使用多线程的方式,按照访问请求有向图的构造访问客体资源,为每 个线程引入一张访问请求有向图,不同的线程之间的是并行同时访问资源的, 加快了访问资源的速度,保证了主体资源访问的安全性和有序性。
上述的面向并发访问请求关联关系的访问控制协调方法,其中,在对有 向图中的客体资源进行访问的过程中,按照由低到高的安全级别进行访问, 每层的资源访问必须遵循访问请求关联关系的原则进行访问,具体实施步骤 如下:
a、主体根据有向图的构造,由低层至高层进行访问请求的发送,在当前 层的访问请求响应满足关联关系描述的情况下,再执行下一层的访问请求;
b、若当前层的访问请求响应不满足当前层的关联关系描述,则较高安全 级别层的访问请求将不再执行资源访问;
c、若当前访问的层级已进行到有向图的最后一层,或者当前访问的层级 拒绝执行资源访问,则结束有向图的访问,动态显示资源访问的结果。
本发明还提供一种面向并发访问请求关联关系的访问控制协调装置,包 括:
收集模块,用于收集并发访问的关联关系集合;
有向图构成模块,用于通过访问请求关联关系构造多个有向图;
有向图模块建立模块,用于为每个有向图建立有向图模型,并在有向图 模型中加载其结构内容;
资源访问模块,用于按照有向图中的结构内容执行资源访问;
判断模块,用于对有向图的当前层的访问请求结果进行判断,若有向图 的当前层的访问请求结果不满足当前层的关联关系,则有向图下层的节点不 再继续访问资源;
显示模块,用于动态显示访问控制协调后的资源访问结果。
上述的装置,其中,在所述收集模块中,根据客体资源的内容和安全级 别,判定进行关联关系集合中的两个客体资源是否具有关联关系,将存在关 联关系的客户体资源收集起来进行访问控制协调;
不存在关联关系的访问请求将直接并发的访问客体资源。
上述的装置,其中,在所述有向图构造模块中,将具有关联关系的访问 请求分在一组,根据访问请求的安全级别划分有向图的层级。
上述的装置,其中,在所述资源访问模块中,使用多线程的方式,按照 访问请求有向图的构造访问客体资源,为每个线程引入一张访问请求有向图, 不同的线程之间的是并行同时访问资源的,加快了访问资源的速度,保证了 主体资源访问的安全性和有序性。
与现有技术相比,本发明具有以下优点:
1、由于本发明访问控制的协调过程主要是在用户前端进行的,因此,可 以减轻后台服务器端的负载压力;
2、经过协调后,没有访问权限的访问请求将不再发送,从而对于整个网 络环境可以起到节约网络流量的作用;
3、分层访问的方式可以在重要的资源访问的过程中及时发现恶意的访问 请求。同时,经过协调之后的客户端的用户界面将更加友好。
本发明提供一种面向并发访问请求关联关系的访问控制协调方法,提出 了访问请求有向图构造算法,并给出了执行访问请求有向图的访问方法;有 向图构造算法将具有关联关系的访问请求分组,在组内将访问请求按照安全 级别的由低到高分层,每层的节点连接一个汇集节点,由汇集节点连接至下 一层,构造成为有向图;在有向图的访问方法中,主体根据有向图的构造, 由低层至高层进行访问请求的发送,在当前层的访问请求响应满足关联关系 描述的情况下,再执行下一层的访问请求。若当前层的访问请求响应不满足 当前层的关联关系描述,则较高安全级别层的访问请求将不再执行。
附图说明
图1为本发明中方法部分的流程图;
图2为图1中有向图访问方法的描述图;
图3为本发明中装置部分的结构框图。
主要附图标记说明如下:
1-收集模块 2-有向图构成模块
3-有向图模块建立模块 4-资源访问模块
5-判断模块 6-显示模块
具体实施方式
在本发明中,提出了并发访问请求之间的关联关系的类型和判定方法。 在访问请求并发访问客体资源的过程中,并发访问请求之间存在着相互的关 联关系。具体的关联关系包含以下五种:或、与、非、依赖、聚合。
(1)“或”关系,标识为“∪”,代表的是两个并发访问请求,至少有一 个获得访问控制的允许,主体才能获取两个访问请求响应的结果。
(2)“与”关系,标识为“∩”,代表的是两个并发访问请求,都获得了 访问控制的允许,主体才能获取两个访问请求响应的结果。
(3)“非”关系,标识为“!”,代表并发访问请求1,在并发访问请求2 访问控制拒绝的情况下,主体才能获取两个访问请求响应的结果。
(4)“优先”关系,标识为“→”,代表的是并发访问请求1,应该在并发 访问请求2前面,优先被执行。
(5)“聚合”关系,标识为“×”,代表的是该并发访问请求是由多个并 发子访问请求组成的。
如图1与图2所示,本发明提供一种面向并发访问请求关联关系的访问 控制协调方法,包括以下步骤:
S10、收集并发访问的关联关系集合。
在步骤S10中,根据客体资源的内容和安全级别,判定进行关联关系集 合中的两个客体资源是否具有关联关系,将存在关联关系的客户体资源收集 起来进行访问控制协调;
不存在关联关系的访问请求将直接并发的访问客体资源。
S20、通过访问请求关联关系构造多个有向图。
在步骤S20中,在生成访问请求有向图的过程中,将具有关联关系的访 问请求分在一组,根据访问请求的安全级别划分有向图的层级。
S30、为每个有向图建立有向图模型,并在有向图模型中加载其结构内容。
S40、按照有向图中的结构内容执行资源访问。
在步骤S40中,使用多线程的方式,按照访问请求有向图的构造访问客 体资源,为每个线程引入一张访问请求有向图,不同的线程之间的是并行同 时访问资源的,加快了访问资源的速度,保证了主体资源访问的安全性和有 序性。
在对有向图中的客体资源进行访问的过程中,按照由低到高的安全级别 进行访问,每层的资源访问必须遵循访问请求关联关系的原则进行访问,具 体实施步骤如下:
a、主体根据有向图的构造,由低层至高层进行访问请求的发送,在当前 层的访问请求响应满足关联关系描述的情况下,再执行下一层的访问请求;
b、若当前层的访问请求响应不满足当前层的关联关系描述,则较高安全 级别层的访问请求将不再执行资源访问;
c、若当前访问的层级已进行到有向图的最后一层,或者当前访问的层级 拒绝执行资源访问,则结束有向图的访问,动态显示资源访问的结果。
S50、对有向图的当前层的访问请求结果进行判断,若有向图的当前层的 访问请求结果不满足当前层的关联关系,则有向图下层的节点不再继续访问 资源。
另外,若有向图的当前层的访问请求结果满足当前层的关联关系,则返 回步骤S40。
S60、动态显示访问控制协调后的资源访问结果。
本发明提出了一种访问请求有向图构造算法。访问请求有向图的构造算 法将根据访问请求之间的关联关系构造有向图,访问请求有向图中每个并发 的访问请求作为有向图中的一个节点,有向图构造的过程采用递归的方法, 将具有相互联系的节点构造在一个有向图中,建立访问请求有向图的过程如 下:
将并发的访问请求分别创建一个有向图节点;
根据访问请求的属性将访问请求分组,触发访问控制的访问请求节点单 独分为一组(A组),不触发访问控制的访问请求节点分为一组(B组);
A组根据访问请求节点访问资源的访问控制安全级别,将节点分层,每 层有关联的节点组合起来,共同连接一个新创建的节点,称为“汇集节点”。 层与层之间有关联关系时,上层节点通过汇集节点与下层节点组合起来,再 共同连接一个新创建的汇集节点。重复执行上述,生成访问请求有向图;
A组生成的访问请求有向图,将相互之间没有连接的图拆分开,形成多 张访问图;
B组根据访问资源的类型构造多张访问图,每张访问图中设一层访问控 制节点。
如图3所示,本发明还提供一种面向并发访问请求关联关系的访问控制 协调装置,包括收集模块1、有向图构成模块2、有向图模块建立模块3、资 源访问模块4、判断模块5与显示模块6。
收集模块用于收集并发访问的关联关系集合。
在收集模块中,根据客体资源的内容和安全级别,判定进行关联关系集 合中的两个客体资源是否具有关联关系,将存在关联关系的客户体资源收集 起来进行访问控制协调;不存在关联关系的访问请求将直接并发的访问客体 资源。
有向图构成模块用于通过访问请求关联关系构造多个有向图。
有向图构造模块中,将具有关联关系的访问请求分在一组,根据访问请 求的安全级别划分有向图的层级。
有向图模块建立模块用于为每个有向图建立有向图模型,并在有向图模 型中加载其结构内容。
资源访问模块用于按照有向图中的结构内容执行资源访问。
在资源访问模块中,使用多线程的方式,按照访问请求有向图的构造访 问客体资源,为每个线程引入一张访问请求有向图,不同的线程之间的是并 行同时访问资源的,加快了访问资源的速度,保证了主体资源访问的安全性 和有序性。
判断模块用于对有向图的当前层的访问请求结果进行判断,若有向图的 当前层的访问请求结果不满足当前层的关联关系,则有向图下层的节点不再 继续访问资源。
另外,若有向图的当前层的访问请求结果满足当前层的关联关系,则返 回资源访问模块。
显示模块用于动态显示访问控制协调后的资源访问结果。
使用多线程的方式,按照访问请求有向图的构造访问客体资源,为每个 线程引入一张访问请求有向图,不同的线程之间的是并行同时访问资源的, 加快了访问资源的速度,保证了主体资源访问的安全性和有序性。
在对有向图中的客体资源进行访问的过程中,按照由低到高的安全级别 进行访问,每层的资源访问必须遵循访问请求关联关系的原则进行访问,具 体实施步骤如下:
a、主体根据有向图的构造,由低层至高层进行访问请求的发送,在当前 层的访问请求响应满足关联关系描述的情况下,再执行下一层的访问请求;
b、若当前层的访问请求响应不满足当前层的关联关系描述,则较高安全 级别层的访问请求将不再执行资源访问;
c、若当前访问的层级已进行到有向图的最后一层,或者当前访问的层级 拒绝执行资源访问,则结束有向图的访问,动态显示资源访问的结果。
本发明提出了一种访问请求有向图构造算法。访问请求有向图的构造算 法将根据访问请求之间的关联关系构造有向图,访问请求有向图中每个并发 的访问请求作为有向图中的一个节点,有向图构造的过程采用递归的方法, 将具有相互联系的节点构造在一个有向图中,建立访问请求有向图的过程如 下:
将并发的访问请求分别创建一个有向图节点;
根据访问请求的属性将访问请求分组,触发访问控制的访问请求节点单 独分为一组(A组),不触发访问控制的访问请求节点分为一组(B组);
A组根据访问请求节点访问资源的访问控制安全级别,将节点分层,每 层有关联的节点组合起来,共同连接一个新创建的节点,称为“汇集节点”。 层与层之间有关联关系时,上层节点通过汇集节点与下层节点组合起来,再 共同连接一个新创建的汇集节点。重复执行上述,生成访问请求有向图;
A组生成的访问请求有向图,将相互之间没有连接的图拆分开,形成多 张访问图;
B组根据访问资源的类型构造多张访问图,每张访问图中设一层访问控 制节点。
惟以上所述者,仅为本发明的较佳实施例而已,举凡熟悉此项技艺的专 业人士。在了解本发明的技术手段之后,自然能依据实际的需要,在本发明 的教导下加以变化。因此凡依本发明申请专利范围所作的同等变化与修饰, 曾应仍属本发明专利涵盖的范围内。
机译: 网络访问控制方法,网络访问控制系统,认证处理设备,访问控制设备,代理请求设备和访问请求单元
机译: 访问请求设备网络访问控制方法,网络访问控制系统,认证处理设备,访问控制设备和代理请求设备
机译: 网络访问控制方法,网络访问控制系统,认证设备,访问控制设备,代理请求设备和访问请求设备