[发明专利]基于RBAC模型的家庭业务访问控制方法

说明书

技术领域

本发明涉及一种基于RBAC模型的家庭业务访问控制方法，属于网络通信技术领域。

背景技术

随着家庭数据业务的快速发展，业务需求不断增多。家庭业务的运营涉及的步骤较为繁复，这不利于业务的快速开展和部署。因此需要家庭开放平台为多样化的家庭业务提供统一且通用的管理、服务和支撑保障机制，以营造良好的家庭业务生长环境。在家庭开放平台中，可管理的数据或资源具有集中控制、分域协作及分散接入的特点，因此，分权分域管理功能成为家庭开放平台的一项关键管理能力。其本质是为不同的管理员提供不同的功能权限，并将集中控制的可管理的数据或资源划分为多个管理实体(可以有多个层次，即为域的继承)。自主访问控制(DAC，Discretionary Access Control)、强制访问控制(MAC，Mandatory Access Control)和基于角色的访问控制(RBAC)是目前三种主流的访问控制技术，由于DAC和MAC无法较好的满足商业和政府部门系统的安全需求，因此，RBAC(Role-based Access Control)便成为人们研究的重点。

在RBAC中，用户和权限通过角色关联，角色相对于用户来说更为稳定，用户可以通过更换角色来获取不同的权限，而不用直接修改所对应的权限，这就极大地简化了权限的管理。RBAC模型仅包含四个基本要素：用户、角色、会话和权限，这在家庭开放平台中是存在不足的：基本的RBAC模型把对资源的管理统称为权限，可以体现分权的概念，但在分域上面不能很好的满足，不能满足家庭业务上的灵活而复杂的分权分域需求。

因此，如何基于RBAC模型来实现家庭业务在访问控制上的分权分域管理功能，是一个亟待解决的技术问题。

发明内容

有鉴于此，本发明的目的是提供一种基于RBAC模型的家庭业务访问控制方法，能基于RBAC模型来实现家庭业务在访问控制上的分权分域管理功能。

为了达到上述目的，本发明提供了一种基于RBAC模型的家庭业务访问控制方法，包括有：

步骤一、创建若干个域，其中包含有一个超级域，所述超级域由家庭业务的所有终端组成，多个域之间存在有继承关系，超级域是其它所有域的祖先域，其他每个域都拥有1个或多个父域，并从父域的组成终端中选取多个终端再组成子域；

步骤二、设置多个用户角色，然后将每个用户角色分别和已创建的一个域、和若干个操作进行关联，即每个用户角色拥有对所关联的域的所有终端进行相应操作的权限，

步骤一进一步包括有：

为每个域分配一个唯一的标识符ID，并根据域的所有祖先域及其对应的继承层次、和自身ID来为每个域构建一个继承层次分支符prefix，所述prefix用于按照继承层次从高到低的次序，从超级域开始，顺序记录每个域的所有祖先域和自身的ID，

根据域的所有祖先域及其对应的继承层次、和自身ID来为每个域构建一个继承层次分支符prefix，进一步包括有：

先对祖先域和自身的ID按照从高到低的继承层次进行排列，即超级域的ID排在最前，而自身的ID排在最后，然后按照排列的先后次序，将祖先域的ID、和自身的ID逐一写入到域的prefix中，其中使用继承层次分割符将处于不同继承层次的祖先域、或自身的ID进行间隔，当其中多个祖先域处于同一继承层次时，使用多继承间隔符将处于同一继承层次的多个祖先域进行间隔。

与现有技术相比，本发明的有益效果是：本发明在RBAC基本模型的基础上，细化了权限这一概念，根据家庭开放平台对终端管理的业务需求，添加了对象、操作、域、分组四个要素，提出了域的可继承性，深入的控制角色可管理的数据内容和操作，提供了更细粒度化的权限功能。本发明可以解决家庭开放平台对终端管理的分权分域需求，解决了系统中访问控制约束的问题，提出了多样化的角色和权限设计方案，实现了复杂的职责分配，并且增强了系统的安全性。

附图说明

图1是本发明一种基于RBAC模型的家庭业务访问控制方法的流程图。

图2是以当前的一个或多个域为父域而新建一个子域时的具体操作流程图。

图3是本发明中多个域继承关系示意图的一个实施例。

图4是本发明采用完全撤销方式来撤销一个域的具体操作流程图。

图5是本发明采用局部撤销方式来撤销一个域的具体操作流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明作进一步的详细描述。