[发明专利]位置敏感且基于角色的访问控制方法、装置和系统

说明书

技术领域

本发明涉及访问控制，更具体地涉及利用自动建立的位置敏感且基于 角色的访问控制模型对目标资源进行访问控制的方法、装置和系统。

背景技术

随着基于位置服务(LBS)的普及，位置敏感-基于角色的访问控制 (LRBAC)在诸如机密会议、公司信息安全、金融机构的数据安全等的许 多应用中都有很好的前景。

特定的应用场合(例如通信网络、公司、医院等)通常涉及各种用 户，其中，这些用户可以按相互关系或者用户在该应用场合中充当的角色 来成组或归类。角色之间通常具有层级关系并且各个角色通常承担不同的 职能职责，因而各个用户可能需要与其角色相关联地访问特定资源。另 外，出于安全、隐私或其它因素的考虑，可能需要按角色限制用户对特定 资源的访问。于是希望开发基于用户角色的访问控制机制。

此外，可以使用位置信息来提供额外的安全措施，因而服务的可访问 性也可以取决于用户的位置。例如，对于特定的目标资源，仅当用户位于 该目标资源所在位置时才允许该用户对其进行访问。因此，很重要的是对 访问控制机制的传统概念进行扩展，以考虑用户在有界空间的假设下的移 动性。可能由于以下几种原因而使空间有界化：因为物理和技术限制(例 如，办公空间、公园边界、网络范围等)，或者因为营销抉择(例如，赋 予到访者的区域越大，则到访者支付费用也越多)，或者出于安全的考虑 (例如，军事区内的服务)。

出于以上考虑，LRBAC系统使用用户的位置和角色信息作为判断依 据来授予用户访问许可。现有的LRBAC系统是基于LRBAC模型来管理 用户对目标资源的访问的。LRBAC模型的核心思想是通过建立许可分配 (PA，permission assignment)关系来模型化从角色、位置到许可的分 配。PA限定了当针对特定角色的许可根据该角色所关联用户的位置而动 态变化时的安全策略。

LRBAC模型的建立可以追溯到由R.Sandhu、D.Ferraiolo和R.Kuhn 在论文“The NIST Model for Role Based Access Control：Towards a Unified Standard，Proceedings of 5th ACM Workshop on Role Based Access Control， July 26-27，2000”中提出的RBAC模型(Role-Based Access Control model)。RBAC模型将用户的角色视为访问控制的唯一判断依据。

基于RBAC，通过引入用户的位置信息作为访问控制的附加判断依 据，提出了各种位置敏感-基于角色的访问控制(LRBAC)模型。例如， 在F.Hansen和V.Oleshchuk的论文“Spatial role-based access control model for wireless networks，Proceedings of Vehicular Technology Conference， 2003”中，RBAC被扩展以克服无线计算环境中的空间需求并限定基于位 置的安全策略。在Indrakshi Ray、Mahendra Kumar和Lijun Yu的论文“A Location-Aware Role-Based Access Control Model，Proceedings of ICISS 2006： 147-161”中提出了一种LRBAC模型，用以示出RBAC模型中的不同分量 如何与位置相关，以及该位置信息如何用于判断用户是否可以访问给定目 标。在M.L.Damiani、E.Bertino、B.Catania和P.Perlasca的论文“A Spaially Aware RBAC，ACM TISSEC，February 2007”中提出了一种GEO- RBAC模型，用以利用OGC(开放地理空间信息联盟)标准来模型化位置 信息。空间实体被用于模型化目标、用户位置、和地理上有界的角色。

可见，以上的位置敏感-基于角色的访问控制主要集中于对使用角色和 位置两者作为判断依据的访问控制模型的描述和公式表示，因此这样的模 型是很难付诸实际应用的。具体而言，当特定应用环境需要位置敏感-基于 角色的访问控制时，将需要花费大量精力来分析并定义从角色、位置到许 可的多对多分配。