[发明专利]基于数据交换中间件工业互联网访问控制方法和可读介质

权利要求书

1.一种基于数据交换中间件工业互联网访问控制方法，所述数据交换中间件（2）包括访问控制实施模块（21）、访问控制决策模块（22）、访问控制策略应答模块（23）、访问控制属性应答模块（24）；

其特征在于，包括：

所述访问控制实施模块（21）接收来自发起者（1）的访问请求，根据固定交互模式对来自不同代理方式的所述发起者（1）的访问请求进行一致化处理获得决策请求，并向所述访问控制决策模块（22）发送所述决策请求；

所述访问控制决策模块（22）根据获取的所述决策请求为参数，向所述访问控制策略应答模块（23）发出策略查询请求；所述访问控制策略应答模块（23）检索适用策略后，向所述访问控制决策模块（22）返回包括访问控制策略的访问控制策略消息；

所述访问控制决策模块（22）对返回所述访问控制策略进行评估；当在评估过程中发现缺乏访问目标的属性时，向所述访问控制属性应答模块（24）发出属性查询请求；所述访问控制属性应答模块（24）查询并验证属性发布点存储在本地数据库中的属性信息，生成包括访问控制属性的访问控制属性消息返回至所述访问控制决策模块（22）；

当所述访问控制属性应答模块（24）查询的属性是外部安全域中的属性，则向外部安全域的外域访问控制属性应答模块（4）进行查询，以获得外部安全域中的访问控制属性，并通过属性映射关系确定属性的可信性﹐生成访问控制属性消息返回至所述访问控制决策模块（22）；

所述访问控制决策模块（22）依据所述访问控制策略与所述访问控制属性完成决策评估，向所述访问控制实施模块（21）发送最终决策结果；

所述访问控制实施模块（21）根据返回的所述最终决策结果拒绝或允许发起者对目标的访问。

2.权利要求1中所述的方法，其特征在于，所述访问控制实施模块（21）能够收集发起者辅助性信息；

所述访问控制决策模块（22）进一步包括，依据所述发起者（1）辅助性信息、所述访问控制策略与所述访问控制属性完成决策评估，向所述访问控制实施模块（21）发送最终决策结果。

3.权利要求1或2中所述的方法，其特征在于，所述访问控制决策模块（22）进一步包括访问控制决策，

所述访问控制决策进一步包括：开放式策略、或保守式策略；

其中，

所述开放式策略的决策逻辑为，如果没有提供显式策略明确禁止访问行为，则认为允许访问进行；

所述保守式策略的决策逻辑为，如果没有提供显式策略明确允许访问行为，则认为禁止访问进行。

4.权利要求3中所述的方法，其特征在于，

所述访问控制决策模块（22）在多条访问控制策略同时给出明确决策结果且所述决策结果之间存在冲突，指定冲突消解策略；

所述冲突消解策略包括:肯定判定优先、否定判定优先、首次判定优先任一项。

5.权利要求4中所述的方法，其特征在于，

所述访问控制策略应答模块（23）中存储的策略具体包括：

所述发起者（1）设置的白名单和黑名单；

访问目标（3）设置的白名单和黑名单。

6.权利要求5中所述的方法，其特征在于，所述访问目标（3）的属性具体包括：

主体标识、主体类型或名称、主体属性值、主体地域、主体制造商、主体使用商、主体属性信息摘要的签名。

7.权利要求6中所述的方法，其特征在于，所述主体属性信息摘要的计算方式包括：

主体属性信息摘要=HASH256（a1 || a2 || a3） and HASH256(b1 || b2 || b3)；

其中HASH256为哈希256算法，a1为主体标识，a2为主体类型编码或名称编码，a3为主体属性值，b1为主体地域编码，b2为主体制造商编码，b3为主体使用商编码，||为连接符号，and代表按位与运算。