[发明专利]用于RFID系统的基于上下文相关的安全访问控制方法

权利要求书

1.一种用于RFID系统的基于上下文相关的安全访问控制方法，该方法基于数据库实施，该数据库包括用户集、用户组集、角色集、权限集、操作集和上下文条件集，其中，所述用户集、用户组集、角色集、权限集、操作集和上下文条件集分别由RFID系统的全体用户、全体用户组、全体角色、全体权限、全体操作和全体上下文条件组成，并且，各个权限分别被赋予一个或者多个操作，各个角色分别按角色的任务分配有一个或者多个相应的权限，各个用户组分别按用户组的任务分配有一个或者多个相应的角色，各个权限的执行分别由作为约束规则的上下文条件子集所限定，并且各个权限的上下文条件子集均包含于所述上下文条件集，各个操作分别设有前驱操作集；

所述的安全访问控制方法包括以下步骤：

初始化步骤：接受各个用户对用户权限集的申请，查找出相应的用户组和相应的若干个角色作为授权用户组和授权角色，该授权用户组中授权角色所拥有的权限包含所述用户权限集，以对相应的用户进行静态权限授权，即授权相应的用户加入所述授权用户组，授予该授权用户组中的授权角色，并获得所述用户权限集；

初始化步骤完成后，即可开始对运行中的RFID系统进行安全访问控制，即当任意一个用户为了执行目标操作而激活目标权限，即激活目标用户组中若干个目标角色的权限时，进入用户访问控制步骤：分别进行上下文条件审查、前驱事件审查和权限审查，如果该三项审查中任意一项的结果为否，则禁止用户执行所述目标操作，如果该三项审查的结果均为是，则允许用户执行所述目标操作；

其中，所述上下文条件审查包括：对用户所激活的目标权限中的任意一项权限，审查该权限当前所处的上下文条件集是否与限定该权限执行的作为约束规则的上下文条件子集一致；

所述前驱操作审查包括：审查目标操作所对应的前驱操作集中的操作是否均已完成；

所述权限审查包括：第一，审查用户是否属于用户集中的合法用户，第二，审查所述目标用户组是否为用户在初始化步骤中被授权加入授权用户组，第三，审查所述目标角色是否包含于用户在初始化步骤中被授予的授权角色，第四，审查所述目标权限是否包含于用户在初始化步骤中获得的用户权限集，以判断用户执行目标操作是否具有合法权限，如果该四项审查中任意一项的审查结果为否，则权限审查的结果为否，如果该四项审查的审查结果均为是，则权限审查的结果为是。

2.根据权利要求1所述的用于RFID系统的基于上下文相关的安全访问控制方法，其特征在于：所述初始化步骤中，还包括静态权限授权审查步骤：审查所述用户权限集中的任意两个不同的权限是否存在权限静态互斥关系，如果审查结果为是，则拒绝相应用户的申请，如果审查结果为否，则对相应的用户进行静态权限授权；

其中，所述权限静态互斥关系定义为：对于两个不同的权限，如果将它们同时赋予给一个用户时，可能造成RFID系统的安全漏洞，则该两个不同的权限之间存在静态互斥关系。

3.根据权利要求2所述的用于RFID系统的基于上下文相关的安全访问控制方法，其特征在于：本发明的安全访问控制方法还包括动态权限授权审查步骤，当任意一个用户为了执行目标操作而激活目标权限，即激活目标用户组中若干个目标角色的权限时，先进入动态权限授权审查步骤，在动态权限授权审查通过后，再进入所述用户访问控制步骤；

所述动态权限授权审查步骤为：审查用户所激活的目标权限中的任意两个不同的权限是否存在权限动态互斥关系，如果审查结果为是，则拒绝用户激活所述目标权限，从而禁止用户执行所述目标操作，如果审查结果为否，则动态权限授权审查通过，允许用户激活所述目标权限；

其中，所述权限动态互斥关系定义为：对于任意两个不同的权限，如果它们由一个用户通过某个用户组中的若干个角色进行激活时，可能造成权限操作的安全隐患，则该两个不同的权限之间存在动态互斥关系。

4.根据权利要求1至3任意一项所述的用于RFID系统的基于上下文相关的安全访问控制方法，其特征在于：所述初始化步骤中，用户通过静态权限授权获得的授权角色和用户权限集遵循最小授权规则，即仅允许用户申请获得完成任务所需的最小的用户权限集，授予该用户完成任务所需的最少的授权角色，并限定该用户拥有用户权限集的时间为完成任务所需的最短时间。