一种基于令牌且支持客体属性的访问控制方法及装置

本发明涉及计算机技术领域，具体涉及一种基于令牌且支持客体属性的访问 控制方法及装置。

基于权能令牌的访问控制技术使用令牌来记录主体对客体的访问权限，令牌 可以被理解为凭证、票据，是访问权限的具化。令牌应当记录对应的主体S、客 体O以及能够访问的资源或可以执行的操作，同时令牌应该具有防篡改和防伪 造的特性。令牌的主体S指的是访问方，可以是用户或设备，客体O指的是被 访问方，通常是设备。主体持有管理方签署的令牌，可以对令牌中规定的资源进 行访问。

现有技术中，主流的令牌数据结构有使用Hash算法保证完整性的令牌结构、 使用数字签名保证完整性的令牌结构和基于区块链的令牌结构等。已存在的令牌 有一个共同的特点，即以身份标识来指定令牌的客体，这样做是为了保证针对客 体的细粒度访问控制功能，确保管理方有能力对同类型设备中的不同个体设置不 同的访问控制策略。现有的以数字签名保证令牌完整性的访问控制方案，主要包 括授权、委托授权、撤销、验证等几个环节。

本申请发明人在实施本发明的过程中，发现现有技术的方法，至少存在如下 技术问题：

主体需要对同类型的设备重复申请令牌，影响访问控制效率。令牌代表的客 体数量为1或以列表的形式给出，令牌往往只能代表单个主体与单个客体之间的 访问关系，对同类型中不同的设备往往需要重复申请令牌。

由此可知，现有技术中的方法存在访问控制效率较低的技术问题。

本发明提出一种基于令牌且支持客体属性的访问控制方法及装置，用于解决 或者至少部分解决现有技术中的方法存在的访问控制效率较低的技术问题。

为了解决上述技术问题，本发明第一方面提供了一种基于令牌且支持客体属 性的访问控制方法，包括：

管理方预先定义属性条件的类别和访问权限的类别，并对所管理的设备进行 属性标注，其中，属性条件的类别是一类属性条件的抽象，一个属性条件类别通 过设定具体的属性参数可以转化为一个属性条件，多个属性条件构成属性条件集 合CS，CS表示令牌的客体需要满足的条件，用以限定令牌的客体范围，选取部 分访问权限的类别可以构成访问权限集合AR，AR用以表示令牌的主体可以对 客体执行的操作；

管理方接收申请方发送的第一令牌请求，并从第一令牌请求中取出属性条件 集合CS、访问权限集合AR以及申请方的公钥PK，其中，CS通过以下方式生 成，申请方选取部分管理方所定义的属性条件类别并为所选取的每个类别设置具 体的属性参数以生成属性条件，生成的所有属性条件构成CS，AR由申请方选 取部分管理方所定义的访问权限类别而生成，第一令牌请求包括申请方制作的属 性条件集合CS、访问权限集合AR以及申请方的公钥PK；

管理方利用取出的申请方的公钥PK对申请方进行身份认证，并对取出的属 性条件集合CS、访问权限集合AR进行评估，当评估通过后，管理方生成发布 令牌的序列号，并基于申请方给出的属性条件集合CS、访问权限集合AR以及 申请方的公钥PK来生成申请方的令牌，并发送至申请方，完成授权，申请方作 为访问控制的主体，在访问客体时将对应的令牌发送至客体并向客体声明访问动 作；

客体接收到令牌后，根据自身所具有的属性、令牌记录的访问权限集合AR 以及公钥PK分别对令牌的属性条件集合CS、主体声明的访问动作和主体的身 份进行验证，若验证通过则允许访问。

基于同样的发明构思，本发明第二方面提供了一种基于令牌且支持客体属性 的访问控制装置，包括：

预处理模块，用于预先定义属性条件的类别和访问权限的类别，并对所管理 的设备进行属性标注，其中，属性条件的类别是一类属性条件的抽象，一个属性 条件类别通过设定具体的属性参数可以转化为一个属性条件，多个属性条件构成 属性条件集合CS，CS表示令牌的客体需要满足的条件，用以限定令牌的客体范 围，选取部分访问权限的类别可以构成访问权限集合AR，AR用以表示令牌的 主体可以对客体执行的操作；

令牌请求接收模块，用于接收申请方发送的第一令牌请求，并取出申请方的 属性条件集合CS、访问权限集合AR以及申请方的公钥PK，其中，CS通过以 下方式生成，申请方选取部分管理方所定义的属性条件类别(单个类别可以重复 选取)并为所选取的每个类别设置具体的属性参数以生成属性条件，生成的所有 属性条件构成CS，AR由申请方选取部分管理方所定义的访问权限类别而生成， 令牌请求包括申请方制作的属性条件集合CS、访问权限集合AR以及申请方的 公钥PK；

授权模块，用于利用取出的申请方的公钥PK对申请方进行身份认证，并对 取出的属性条件集合CS、访问权限集合AR进行评估，当评估通过后，管理方 生成发布令牌的序列号，并基于申请方给出的属性条件集合CS、访问权限集合 AR以及申请方的公钥PK来生成申请方的令牌，并发送至申请方，完成授权， 申请方作为访问控制的主体，在访问客体时将对应的令牌发送至客体并向客体声 明访问动作；

验证模块，用于客体根据自身所具有的属性、令牌记录的访问权限集合AR 以及公钥PK分别对令牌的属性条件集合CS、主体声明的访问动作和主体的身 份进行验证，若验证通过则允许访问。

基于同样的发明构思，本发明第三方面提供了一种计算机设备，包括存储器、 处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所 述程序时实现第一方面所述的方法。

本申请实施例中的上述一个或多个技术方案，至少具有如下一种或多种技术 效果：

相比于现有技术中主体需要对同类型的设备重复申请令牌，影响访问控制效 率而言，本发明提供一种基于令牌且支持客体属性的访问控制方法，该方法中， 管理方预先定义属性条件的类别和访问权限的类别，能够支持客体属性，单个令 牌能够代表对同一类型设备的访问权限，由于令牌能够代表对同一类型设备的访 问权限，因此对同类型设备只需要一次令牌申请，减少令牌的申请、审核和发布 的次数，能够提高访问控制效率，降低主体所需管理和存储的令牌数量，提高基 于令牌的访问控制方案在存储资源受限设备中的适用性。

进一步地，在验证阶段，客体首先对令牌的属性条件集合和主体声明的访问 动作进行判断；然后对主体进行身份认证，客体设备验证令牌时验签的次数恒为 1，不随令牌的授权路径长度变化而变化，提高访问控制在计算资源受限设备中 的适用性。

进一步地，撤销与查询环节中，查询方需提供所查询令牌授权路径中的所有 令牌，资源受限设备期待更为高效的撤销查询方式，以降低查询方所需要发送的 数据量。所要达到的效果：撤销与查询环节中，查询方只需要提供令牌的标识， 无需完整提供所查询的令牌，也不需要提供令牌授权路径中的任何令牌，以减少 查询方发送的数据量，提高访问控制在资源受限设备中的适用性。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例 或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的 附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳 动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供方法中令牌客体指定方式示意图；

图2为本发明提供方法中授权树与多级标识结构示意图；

图3为具体实施例中撤销与查询实现过程图；

图4为具体实施例中撤销请求的验证流程图；

图5为具体实施例中令牌验证的实现流程图；

图6为具体实施例中授权、委托授权、重构之间的工作过程示意图；

图7为具体实施例中两种令牌的模拟测试与对比示意图；

图8为具体实施例中两种令牌验证环节对比示意图；

图9为具体实施例中撤销查询时节点信息发送情况对比示意图。

本发明针对现有的访问控制方法由于主体需要对同类型的设备重复申请令 牌，导致访问控制效率较低的问题，提供了一种基于令牌且支持客体属性的访问 控制方法，避免了主体对同类型设备多次申请令牌的过程，访问控制的效率得到 了提升。

实施例一

本实施例提供了一种基于令牌且支持客体属性的访问控制方法，包括如下步 骤：

S1：管理方预先定义属性条件的类别和访问权限的类别，并对所管理的设备 进行属性标注，其中，属性条件的类别是一类属性条件的抽象，一个属性条件类 别通过设定具体的属性参数可以转化为一个属性条件，多个属性条件构成属性条 件集合CS，CS表示令牌的客体需要满足的条件，用以限定令牌的客体范围，选 取部分访问权限的类别可以构成访问权限集合AR，AR用以表示令牌的主体可 以对客体执行的操作；

S2：管理方接收申请方发送的第一令牌请求，并从第一令牌请求中取出属性 条件集合CS、访问权限集合AR以及申请方的公钥PK，其中，CS通过以下方 式生成，申请方选取部分管理方所定义的属性条件类别并为所选取的每个类别设 置具体的属性参数以生成属性条件，生成的所有属性条件构成CS，AR由申请 方选取部分管理方所定义的访问权限类别而生成，第一令牌请求包括申请方制作 的属性条件集合CS、访问权限集合AR以及申请方的公钥PK；

S3：管理方利用取出的申请方的公钥PK对申请方进行身份认证，并对取出 的属性条件集合CS、访问权限集合AR进行评估，当评估通过后，管理方生成 发布令牌的序列号，并基于申请方给出的属性条件集合CS、访问权限集合AR 以及申请方的公钥PK来生成申请方的令牌，并发送至申请方，完成授权，申请 方作为访问控制的主体，在访问客体时将对应的令牌发送至客体并向客体声明访 问动作；

S4：客体接收到令牌后根据自身所具有的属性、令牌记录的访问权限集合 AR以及公钥PK分别对令牌的属性条件集合CS、主体声明的访问动作和主体的 身份进行验证，若验证通过则允许访问。

具体来说，现有技术中以数字签名保证令牌完整性的访问控制方案，已经存 在授权、委托授权、撤销、验证等几个环节。

本发明采用Attribute-Enabled令牌，设计一种基于权能令牌的访问控方案， 主要包括预处理、接收令牌请求、授权和验证步骤。

主体是访问动作的发出者，令牌记录了主体的公钥，可以是人或者设备。客 体是数据服务提供方，接收主体的访问请求并对令牌进行验证，通常是设备，令 牌通过CS规定了客体的范围，主体与客体是成对出现的概念，表示访问动作的 发出与接收的关系。管理方对设备具有管理权，通常是人。管理方只发布单层令 牌，主体获得令牌后，拥有向下发布令牌的能力，即管理方委托其向其他实体进 行授权，被委托授权的主体只能发布多层令牌。

S1为预处理步骤，在发送令牌申请之前，需要设备管理方对属性条件的类 别进行定义，例如include(attr_name)表示设备应当具有attr_name属性， is(attr_name,attr_value)表示设备应具有attr_name的属性并且该属性的值为 attr_value。同时管理方应定义访问权限的类别，例如Read，Write。

管理方对所管理的设备进行属性标注。管理方有权赋予所管理设备相应的属 性，属性的类型由管理方来定义，例如安全等级、设备型号、地域等，属性由管 理方写入设备。在设备验证令牌时，需判断自身所具有的属性是否满足令牌记录 的属性条件，属性标注是属性条件判断的前提。设备管理方在设备中添加相关属 性判断函数和管理方公钥。设备管理方还提供重构服务。

S2为接收令牌请求步骤，申请方向管理方发送令牌申请。申请方在管理方 所定义的属性条件的类别中选取部分类别(单个类别可以重复选取)，之后为每 个选取的类别设置具体的参数，以构造一个属性条件集合CS，例如集合 {is(time,3),include(manager),is(area,line