基于RBAC模型的家庭业务访问控制方法

摘要

一种基于RBAC模型的家庭业务访问控制方法，包括有：步骤一、创建若干个域，其中包含有一个超级域，所述超级域由家庭业务的所有终端组成，多个域之间存在有继承关系，超级域是其它所有域的祖先域，其他每个域都拥有1个或多个父域，并从父域的组成终端中选取多个终端再组成子域；步骤二、设置多个用户角色，然后将每个用户角色分别和已创建的一个域、和若干个操作进行关联，即每个用户角色拥有对所关联的域的所有终端进行相应操作的权限。本发明属于网络通信技术领域，能基于RBAC模型来实现家庭业务在访问控制上的分权分域管理功能。

说明书

技术领域

本发明涉及一种基于RBAC模型的家庭业务访问控制方法，属于网络通信技术领域。

背景技术

随着家庭数据业务的快速发展，业务需求不断增多。家庭业务的运营涉及的步骤较为繁 复，这不利于业务的快速开展和部署。因此需要家庭开放平台为多样化的家庭业务提供统一 且通用的管理、服务和支撑保障机制，以营造良好的家庭业务生长环境。在家庭开放平台中， 可管理的数据或资源具有集中控制、分域协作及分散接入的特点，因此，分权分域管理功能 成为家庭开放平台的一项关键管理能力。其本质是为不同的管理员提供不同的功能权限，并 将集中控制的可管理的数据或资源划分为多个管理实体(可以有多个层次，即为域的继承)。 自主访问控制(DAC，Discretionary Access Control)、强制访问控制(MAC，Mandatory Access  Control)和基于角色的访问控制(RBAC)是目前三种主流的访问控制技术，由于DAC和 MAC无法较好的满足商业和政府部门系统的安全需求，因此，RBAC(Role-based Access  Control)便成为人们研究的重点。

在RBAC中，用户和权限通过角色关联，角色相对于用户来说更为稳定，用户可以通过 更换角色来获取不同的权限，而不用直接修改所对应的权限，这就极大地简化了权限的管理。 RBAC模型仅包含四个基本要素：用户、角色、会话和权限，这在家庭开放平台中是存在不 足的：基本的RBAC模型把对资源的管理统称为权限，可以体现分权的概念，但在分域上面 不能很好的满足，不能满足家庭业务上的灵活而复杂的分权分域需求。

因此，如何基于RBAC模型来实现家庭业务在访问控制上的分权分域管理功能，是一个 亟待解决的技术问题。

发明内容

有鉴于此，本发明的目的是提供一种基于RBAC模型的家庭业务访问控制方法，能基于 RBAC模型来实现家庭业务在访问控制上的分权分域管理功能。

为了达到上述目的，本发明提供了一种基于RBAC模型的家庭业务访问控制方法，包括 有：

步骤一、创建若干个域，其中包含有一个超级域，所述超级域由家庭业务的所有终端组 成，多个域之间存在有继承关系，超级域是其它所有域的祖先域，其他每个域都拥有1个或 多个父域，并从父域的组成终端中选取多个终端再组成子域；

步骤二、设置多个用户角色，然后将每个用户角色分别和已创建的一个域、和若干个操 作进行关联，即每个用户角色拥有对所关联的域的所有终端进行相应操作的权限。

与现有技术相比，本发明的有益效果是：本发明在RBAC基本模型的基础上，细化了权 限这一概念，根据家庭开放平台对终端管理的业务需求，添加了对象、操作、域、分组四个 要素，提出了域的可继承性，深入的控制角色可管理的数据内容和操作，提供了更细粒度化 的权限功能。本发明可以解决家庭开放平台对终端管理的分权分域需求，解决了系统中访问 控制约束的问题，提出了多样化的角色和权限设计方案，实现了复杂的职责分配，并且增强 了系统的安全性。

附图说明

图1是本发明一种基于RBAC模型的家庭业务访问控制方法的流程图。

图2是以当前的一个或多个域为父域而新建一个子域时的具体操作流程图。

图3是本发明中多个域继承关系示意图的一个实施例。

图4是本发明采用完全撤销方式来撤销一个域的具体操作流程图。

图5是本发明采用局部撤销方式来撤销一个域的具体操作流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明作进一步的详细 描述。

本发明在现有的RBAC模型基础上细化了权限的概念，把权限分为对象和操作，并将一 些对象的集合划分为域或分组，对象、操作与角色通过域关联，角色可以获得这个域内包含 的对象的管理和操作的权限。本发明增加了操作集、管理对象集、域和分组四个要素，其中：

1、操作集，为操作的集合，代表了权限中具体的操作，例如对一个数据执行删除操作， 这个删除就是一个操作，操作是会话中的元行为，是最小单位；

2、对象集，其中的对象是操作所对应的具体终端；

3、域，为管理对象域集，域由一个或多个对象组成，对一个域执行一个操作就是对这个 域中所有的对象执行这个操作，域可以继承，具有层次关系；

4、分组，分组由一个或多个对象组成，每个分组隶属于一个域，分组中的对象都是所隶 属的域中的对象。

如图1所示，本发明一种基于RBAC模型的家庭业务访问控制方法，包括有：

步骤一、创建若干个域，其中包含有一个超级域，所述超级域由家庭业务的所有终端组 成，多个域之间存在有继承关系，超级域是其它所有域的祖先域，其他每个域都拥有1个或 多个父域，并从父域的组成终端中选取多个终端再组成子域；

子域继承父域，子域和父域之间的继承关系包括有单继承和多继承两种，其中单继承是 指子域仅有一个父域，即从其父域的组成终端中选取多个终端来组成子域，多继承是指子域 拥有多个父域，即子域从其多个父域的组成终端中选取多个终端而组成子域；

根据域的继承关系，从域的父域开始、向上追溯直至超级域所形成的继承分支上的所有 域都是该域的祖先域，域的继承层次是其在继承分支上所处的前后位置，超级域的继承层次 最高，其他域越靠近超级域，则其继承层次也越高；当根据域的继承关系，从域的子域开始、 向下查询而获得的所有域都是该域的子孙域；

步骤二、设置多个用户角色，然后将每个用户角色分别和已创建的一个域、和若干个操 作进行关联，即每个用户角色拥有对所关联的域的所有终端进行相应操作的权限。

本发明中的域可以继承，当创建一个角色的子角色时，可以把当前角色的域或者子域分 配给子角色，这样就不会出现一个角色把自己无权管理的对象的管理权限分配给他的子角色， 域的偏序关系使得系统更加安全。域的层次关系使用继承层次分支符prefix来标识，可以确 定每个域的父域，从而有利于向上追溯所有的祖先域、或者向下查询所有的子孙域，步骤一 进一步包括有：

为每个域分配一个唯一的标识符ID，并根据域的所有祖先域及其对应的继承层次、和自 身ID来为每个域构建一个继承层次分支符prefix，同时还设置一个域的层级深度限制值 max-depth。

所述域的ID可使用一个大于或等于0的整数进行标识，例如超级域的ID设置为0，对 于继承超级域的4个子域A、B、C、D的ID可以分别设置为：1，2，3，15。

所述prefix用于按照继承层次从高到低的次序，从超级域开始，顺序记录每个域的所有 祖先域和自身的ID，进一步的说，先对祖先域和自身的ID按照从高到低的继承层次进行排 列，即超级域的ID排在最前，而自身的ID排在最后，然后按照排列的先后次序，将祖先域 的ID、和自身的ID逐一写入到域的prefix中，其中使用继承层次分割符(例如：/)将处于 不同继承层次的祖先域、或自身的ID进行间隔，当多个祖先域处于同一继承层次时(即存在 有多继承关系)，使用多继承间隔符(例如：，)将处于同一继承层次的多个祖先域进行间隔， 例如：/0/1,2,3/4,11,6/9,12,8/13/，其中，超级域的ID是0，排在最前，ID为1、2、3的域是 超级域的子域，ID为4、11、6的域是1、2、3的子域，ID为9、12、8的域是4、11、6的 子域，域自身的ID是13，排在最后。

每个域的层级深度限制值max-depth可以根据家庭业务需要、和其父域的层级深度限制 值max-depth而设置，其值可以是一个整数，当max-depth是一个负整数时，则表示该域不限 制层级深度，即该域下的子域的max-depth的取值不受父域限制；当max-depth是0时，则表 示该域下无法再创建子域。当父域的max-depth是一个大于0的整数时，则该域下的子域的 max-depth须小于父域的max-depth，默认子域的max-depth为父域的max-depth减1。

这样，如图2所示，当根据角色需要，以当前的一个或多个域为父域而新建一个子域时， 还可以包括有：

步骤A1、为新建子域设置一个新的ID，并构建一个prefix，所述prefix的初始值为空；

步骤A2、判断新建子域与其所要继承的父域是否是单继承关系？如果是，则提取新建子 域所要继承的父域的prefix，并保存到新建子域的prefix中，然后在新建子域的prefix的结尾 处增加所述新建子域的ID，并使用继承层次分割符将父域和子域的ID进行间隔，本流程结 束；如果否，则继续步骤A3；

步骤A3、提取新建子域所要继承的所有父域的prefix，并判断所有父域的prefix中的继 承层次分割符的总数是否相同？如果是，则继续步骤A4；如果否，则从所有父域的prefix中 的继承层次分割符的总数中挑选出一个最大值，然后在其他非最大值所对应的父域的prefix 的结尾处分别添加多个该父域自身的ID，并使用继承层次分割符将prefix中的多个父域的ID 进行间隔，从而使得所有父域的prefix中的继承层次分割符的总数都到达最大值，最后转向 步骤A4；

根据继承层次分割符的总数可以计算出每个域在其继承分支上的继承层次，当父域的 prefix中继承层次分割符的总数相同时，则表示所有父域在其继承分支上的继承层次相同，其 子域的prefix直接合并所有父域的prefix即可，当继承层次分割符的总数不同时，则表示父域 在其继承分支上的继承层次存在不一致，需对父域的prefix进行补全，从而使得所有父域在 其继承分支上的继承层次相同；

步骤A4、从所有父域的prefix中分别读取出处于最高继承层次的域的ID(即超级域)；

步骤A5、将读取出的、且互不重复的域的ID写入新建子域的prefix中，并使用多继承 分割符将上述处于同一继承层次的域的ID进行间隔，同时使用继承层次分割符将其和其他继 承层次的域进行间隔；

步骤A6、判断是否已读取完所有父域的prefix中的域的ID？如果是，则在新建子域的 prefix的结尾处添加新建子域的ID，并使用继承层次分割符将其和其他继承层次的域进行间 隔，同时从所有父域的终端中选取多个终端来组成新建子域，本流程结束；如果否，则继续 从所有父域的prefix中分别读取出处于下一继承层次的域的ID，然后转向步骤A5。

图3是本发明中的多个域继承关系示意图的一个实施例。如图3所示，超级域的ID为0， 其prefix设置为：/0/，max-depth设置为-1(不限制层级深度)，超级域下有4个子域A、B、 C、O，域A下创建域D，域I、L和H下创建域M，域M和F下创建域N，这样，每个域 的ID、prefix、max-depth分别如下：

1、域A，ID＝1，prefix＝/0/1/，max-depth＝6；

2、域B，ID＝2，prefix＝/0/2/，max-depth＝-1；

3、域C，ID＝3，prefix＝/0/3/，max-depth＝-1(不限制层级深度)；

4、域O，prefix＝/0/15/，max-depth＝0(该域下无法再创建子域)；

5、域D，域D的父域是域A，因此，域D的max-depth须小于其父域A的max-depth， 所以：ID＝4，prefix＝/0/1/4/，max-depth＝6-1＝5；

6、域M，域M是域I、L和H的公共子域，因此，域M的prefix应为其父域prefix的合 并，由于域I、L和H所处的继承层次一致(即继承层次分割符的总数相同)，则prefix逐层 合并即可，同时，域M的max-depth须小于其父域I、L和H的max-depth，则只能为1或者 0，所以：ID＝13，prefix＝/0/1,2,3/4,11,6/9,12,8/13/，max-depth＝1；

7、域N，域N是域M和F的公共子域，因此，域N的prefix应为域M和F的prefix的 合并，由于域M和F所处的继承层次不一致(即继承层次分割符的总数不同)，域F的prefix 需要补全为/0/2,3/6/6/6/，之后再prefix逐层合并即可，同时，其max-depth只能为0。所以： ID＝13，prefix＝/0/1,2,3/4,11,6/9,12,8,6/13,6/14/，max-depth＝0。

值得一提的是，域的撤销影响的不仅是当前操作的域，还会影响到继承于这个域的各个 子域，某个域的子域包括两种情况，以域F为例进行说明(域F的prefix为/0/2,3/6/)：

1、一种是单继承于某个域的，即prefix的开头为/0/2,3/6/的域，例如域G：/0/2,3/6/7/ 和域H：/0/2,3/6/8/；

2、另一种是多继承于某个域的，即prefix中包含/*,6/、/6,*/或/*,6,*/(*为任意符合prefix 要求的字符)的域，例如域M：/0/1,2,3/4,11,6/9,12,8/13/和域N： /0/1,2,3/4,11,6/9,12,8,6/13,6/14/。

本发明中，域的撤销可以采取全部撤销和局部撤销两种不同方式，从而满足不同的业务 需求：

1、完全撤销，即撤销某个域后，回收这个域向下的所有授权，对这个域的所有子孙域进 行处理，是一种深度的回收方式；

2、局部撤销，即撤销某个域后，不回收这个域向下的授权，对这个域的子孙域没有任何 影响，浅度的回收了当前域，并不影响其他域，影响范围较小。

如图4所示，当本发明采用完全撤销方式来撤销一个域时，还可以进一步包括有：

步骤B1、为撤销域构建一个多继承子孙集，所述多继承子孙集初始化为空；

步骤B2、逐一查找现有的所有域的prefix，并判断每个域的prefix中是否包含有撤销域的 prefix，如果是，则说明所查找到的域单继承于撤销域，将查找到的域进行撤销，并将其ID 添加到撤销域子孙集中，并继续查找下一个域的prefix，直至查找完现有的所有域；如果否， 则继续查找下一个域的prefix，直至查找完现有的所有域；

步骤B3、从所有未撤销的域中提取出一个域的prefix；

步骤B4、判断所提取域的prefix中是否包含有撤销域的ID？如果是，则进一步查找所提 取域的prefix中是否还包含有撤销域的多继承子孙集中的域的ID，删除所提取域的prefix中 所包含的撤销域和查找到的多继承子孙集中的域的ID、以及多余的多继承间隔符，同时判断 所提取域的每个终端是否属于撤销域，当所提取域的终端属于撤销域时，则将所述终端从所 提取域的终端中删除，然后继续下一步；如果否，则继续下一步；

步骤B5、判断是否已提取完所有未撤销的域？如果是，则本流程结束；如果否，则继续 从所有未撤销的域中提取下一个域的prefix，然后转向步骤B4。

如图5所示，当本发明采用局部撤销方式来撤销一个域时，还可以进一步包括有：

步骤C1、构建一个域集，所述域集由除了撤销域之外的所有域构成；

步骤C2、逐一查找域集中每个域的prefix，并判断每个域的prefix中是否包含有撤销域的 prefix，如果是，则说明所查找到的域单继承于撤销域，删除所查找到的域的prefix中的撤销 域的ID、以及多余的继承层次分割符，然后将所查找到的域从域集中去掉，再继续查找域集 中下一个域的prefix，直至查找完域集中的所有域；如果否，则继续查找下一个域的prefix， 直至查找完域集中的所有域；

步骤C3、从撤销域的prefix中提取其父域的ID，并从域集中提取出一个域的prefix；

步骤C4、判断所提取域的prefix中是否包含有撤销域的ID？如果是，则将所提取域的 prefix中的撤销域的ID替换为其父域的ID，当撤销域的父域存在有多个时，则使用多继承间 隔符将多个父域的ID进行间隔，然后将所提取域的prefix中撤销域的ID替换为间隔后的多 个父域的ID，再继续下一步；如果否，则继续下一步；

步骤C5、判断是否已提取完域集中的所有域？如果是，则本流程结束；如果否，则继续 从域集中提取下一个域的prefix，然后转向步骤C4。

例如，撤销域F，首先获取域F的ID为6、prefix为：/0/2,3/6/。域F的子域分为两种 情况：一种是单继承于域F的，即prefix开头为/0/2,3/6/的域，为/0/2,3/6/7/和/0/2,3/6/8/， 对应域G和H；另一种是多继承于域F的，即prefix中包含/*,6/、/6,*/或/*,6,*/(*为任意符 合prefix要求的字符)的域，为/0/1,2,3/4,11,6/9,12,8/13/和/0/1,2,3/4,11,6/9,12,8,6/13,6/14/， 对应域M和N：

1、全部撤销时，对于单继承于域F的域G和H直接撤销，撤销域子孙集中的ID包括7 和8；对于多继承于域F的域M和N，删除域M和N中所有属于域F的终端，并且处理域 M和N的prefix，删除6、7和8，更改后：域M的prefix：/0/1,2,3/4,11/9,12/13/，域N的 prefix：/0/1,2,3/4,11/9,12/13/14/。

2、局部撤销时，对于单继承于域F的域G和H，直接更改其prefix，使其直接继承于域 F的父域，更改后：域G的prefix：/0/2,3/7/，域H的prefix：/0/2,3/8/；对于多继承于域F 的域M和N，用F的父域(即2，3)代替F的ID(即6)，更改后：域M的prefix： /0/1,2,3/4,11,2,3/9,12,8/13/，域N的prefix：/0/1,2,3/4,11,2,3/9,12,8,2,3/13,2,3/14/。

将本发明与RBAC基本模型在家庭业务中的仿真试验效果对比来看，当系统中每个域包 含的终端个数越多，则本发明的改进效果越明显；在系统中域的层次关系越复杂，即子域个 数越多，继承深度越大的情况下，采用本发明在查询效率上的提高也越明显。因此，在操作 对象也存在复杂的层次关系时，本发明能有效地解决其技术问题，并达到较好的技术效果。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原 则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。