[发明专利]位置敏感且基于角色的访问控制方法、装置和系统

权利要求书

1.一种访问控制方法，其中，目标空间被划分为若干位置区域，每 一位置区域具有相应的位置敏感许可集，所述目标空间中的用户被划分为 一种或多种角色，并且每一所述角色与一所述位置区域相映射，所述方法 包括以下步骤：

获取各个所述角色之间的组织关系和表示各个所述位置区域的位置向 量；

基于所述位置区域的位置向量分析所述位置区域相互之间的覆盖关系 从而建立位置偏序关系；

滤除所述位置偏序关系中的传递覆盖关系以获得位置邻接关系；

将所述各个角色之间的组织关系中的角色邻接关系添加到所述位置邻 接关系中从而建立位置-角色邻接关系；

基于所述位置-角色邻接关系来计算位置-角色偏序关系；

参考所述位置-角色偏序关系来确定是否授权用户的访问；以及

其中通过对表示所述位置-角色邻接关系的位置-角色邻接关系矩阵进 行以下矩阵运算来获得表示所述位置-角色偏序关系的位置-角色偏序关系 矩阵：

其中，I表示单位矩阵，A_L，R表示位置-角色邻接关系矩阵，N表示所 述位置区域的数目，表示逻辑或，并且A_L，Rⁿ表示矩阵A_L，R的逻辑n次 幂，n=1，...，N。

2.如权利要求1所述的方法，还包括：

接收用户的访问请求、该用户的角色信息、以及该用户的位置信息； 并且

在所述授权的步骤中，根据所述用户的访问请求、所述用户的角色信 息和所述用户的位置信息，参考所述位置-角色偏序关系来确定是否授权 该用户进行访问。

3.如权利要求1所述的方法，其中，参考所述位置-角色偏序关系包 括根据所述位置-角色偏序关系来确定各个角色的角色许可集。

4.如权利要求1所述的方法，其中，在所述位置区域呈凸多边形 时，所述位置向量是所述位置区域的顶点坐标向量，并且在建立所述位置 偏序关系的步骤中，如果一个位置区域的顶点都落在另一个位置区域内， 则判定所述一个位置区域被所述另一个位置区域覆盖。

5.如权利要求1所述的方法，其中，在所述位置区域呈矩形时，所 述位置向量是所述位置区域的对角向量，并且在建立所述位置偏序关系的 步骤中，通过对矩形位置区域的对角向量进行比较来确定这些矩形位置区 域的覆盖关系。

6.如权利要求1所述的方法，其中，在所述获取位置邻接关系的步 骤中，如果在所述位置偏序关系中，存在第一位置区域覆盖第二位置区域 的关系，并且还存在第一位置区域覆盖第三位置区域且第三位置区域覆盖 第二位置区域的关系，则确定所述第一位置区域传递覆盖所述第二位置区 域。

7.如权利要求1所述的方法，其中，在所述建立位置-角色邻接关系 的步骤中，通过遍历所述各个角色之间的组织关系来获取所述角色邻接关 系，并根据所述角色与所述位置区域的映射关系将所述角色邻接关系与所 述位置邻接关系合并以形成所述位置-角色邻接关系。

8.如权利要求1所述的方法，还包括以下步骤：

基于表示所述位置-角色偏序关系的位置-角色偏序关系矩阵来计算许 可覆盖矩阵，并根据该许可覆盖矩阵和Hasse图绘制规则来生成许可 Hasse图，并且其中所述许可覆盖矩阵是通过对所述位置-角色偏序关系矩 阵进行如下运算来获得的：

许可覆盖矩阵=(R_L，R-I)-(R_L，R-I)²

其中，R_L，R表示所述位置-角色偏序关系矩阵，I表示单位矩阵， （R_L，R-I)²表示矩阵(R_L，R-I)的逻辑平方。

9.如权利要求1到8中的任意一项所述的方法，其中，所述各个角 色之间的组织关系用矩阵、表格或Hasse图表示。