(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210487816.6 (22)申请日 2022.05.06 (71)申请人 浙江蓝景 科技有限公司 地址 318020 浙江省台州市黄岩区江口街 道碧顷路1号 (72)发明人 王建丽　陈亚红　于亚洲　张宇　 薛付　周一帆　王容霞　 (74)专利代理 机构 杭州恒翌专利代理事务所 (特殊普通 合伙) 33298 专利代理师 王从友 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 67/1097(2022.01) (54)发明名称 一种基于角色访问控制令牌的安全访问方 法 (57)摘要 本发明公开涉及访问控制领域， 具体公开了 一种基于角色访问控制令牌的安全访问方法； 所 述方法通过依据渔业资源管理平台的分区域层 级特点， 简化现有的六元组控制模 型结构为三元 组模型结构， 将上述分区域的特点与访问控制中 的角色属性相匹配， 通过角色属性在同一网络域 中的继承和不同网络域共享角色的设置， 实现在 用户信息变更时能够便捷地通过令牌访问设置， 在保障用户访问安全控制的同时， 提升了渔业管 理平台用户对工作流 程访问的便捷性。 权利要求书1页 说明书8页 附图2页 CN 114884728 A 2022.08.09 CN 114884728 A 1.一种基于角色访问控制令牌的安全访问方法， 其特 征在于： 所述方法包括： 构建渔业管理服务平台的三元模型， 所述三元组模型包括三个实体： 主体、 令牌权限和 资源服务事件； 将权限分置 于主体的角色属性和令牌权限的映射关系中； 根据渔业管理平台中的管理结构体系拓扑图， 依据管理体系结构划分不同的网络域； 同一网络域内的网关对于同一账户的访问认证请求做同步处理； 在各域之 间建立一个共享 角色域， 其中包括与渔业管理平台中的结构体系 无关的共享角色属 性， 共享角色属 性与各 个不同域中用户的身份标识ID存在映射的关系， 每个网络域设置其自身安全策略； 当一个 网络域中用户对另一网络域中的流程应用访问时， 其身份可以通过共享角色在两个域之间 进行映射； 赋予不同的管理结构体系拓扑图各层的角色属性， 所述角色属性的权限信 息独立于用 户的身份标识ID， 通过在访问令牌消息中权限标识信息， 所述标识信息用于用户对于资源 服务事件的控制权限。 2.如权利要求1所述的方法， 其特征在于： 三元模型中实体的角色属性设置为继承特 征， 继承者 实体的属性分为两部 分： 一部分属性继承自被继承者层 级； 一部分是自己特有的 属性， 自己特有的属性 不会和继承属性冲突。 3.如权利要求2所述的方法， 其特征在于： 所述资源服务事件包括对数据的读、 写、 新 建、 删除和对物联网设备的操作。 4.如权利要求3所述的方法， 其特征在于： 主体与令牌权限是一对多的关系， 每个主体 至少拥有一个令牌权限， 一个令牌权限至少对应一个资源服 务事件。 5.如权利要求4所述的方法， 其特征在于： 用户的身份ID信息与角色属性分离， 用户身 份ID信息将令牌权限与角色属性关联。 6.如权利要求5所述的方法， 其特征在于： 设定的网络区域内的任一物联网网关生成身 份认证结果后， 启动分布式共识机制， 并计算与分布式共识机制相符合的合法数字串， 将身 份认证结果和合法数字串发送至域内其它的物联网 网关。 7.如权利要求6所述的方法， 其特征在于： 用户登录过程中对于令牌包含时间信 息的校 验， 实行动态的后台校验服务， 所述令牌信息在分配 登录后， 该令牌信息基于时间校验信息 而作废。 8.权利要求7所述的方法， 其特征在于： 认证 中心通过LDAP目录服务的方式提供用户账 户/账号集中管理， 所有与用户账号相关的管理策略均在服务端配置， 实现账号的集中维护 和管理。 9.如权利要求8与用户身份ID信 息相关联的角色属性中随着用户在渔业管理层级变化 机构管理属性动态变化。 10.如权利要求1 ‑9中任意一项权利要求的方法， 所述方法应用于渔业资源管理平台中 的工作流 程的业务审批。权　利　要　求　书 1/1 页 2 CN 114884728 A 2一种基于角色访 问控制令牌的安全访 问方法 技术领域 [0001]本发明涉及本发明涉及互联 网领域， 尤其涉及一种基于 RBAC验证令牌的安全访问 方法。 背景技术 [0002]渔业管服融合一体化平台系统中包含大量的物联网设备， 物联网安全系统对这些 物联网设备进行统一的安全管理， 重点针对密钥管理、 通信安全、 权限认证等安全问题设 计， 以保证数据的保密性、 完整性、 可用性。 对于 资源受限的物联设备， 配套一个边缘网关来 执行设备身份认证、 安全通信等功能。 对于 资源不受限的物联设备， 可直接在物联设备上实 现身份认证和安全通信等功能。 在算法方面， 采用基于标识的国密算法， 并对算法进 行轻量 化设计， 可应用于资源受 限物联网设备， 实现物联网设备认证、 通信加密， 保证数据的保密 性和完整性。 在 密钥管理方面， 建立统一的密钥分发管理体系， 确保密钥的安全性。 [0003]但是上述方案中是对于密钥管理中的令牌的简单验证， 并没有将令牌的验证与物 联网深度相结合， 且上述方案中对于是通常意义上对于令牌登录服务器的有效性执行验 证， 没有考虑到令牌验证与角色之间的动态化控制， 当用户的角色或掉线时以及发生改变 时， 需要频繁的设置不同的权限控制， 在安全和访问便利性的之间， 无法做到 很好的兼容。 发明内容 [0004]为解决上述方法之一， 本申请提供了一种基于角色访问控制(role ‑based access  control)令牌的安全访问方法， 所述方法包括： 构建渔业管理服务平台的三元模型关系， 三元组模型包括三个实体： 主体、 令牌权 限和资源服 务事件； 将权限设置 于主体的角色属性和令牌权限的映射关系； 根据渔业管理平台中的管理结构体系拓扑图， 依据管理体系结构划分不同的网络 域； 同一网络域内的网关对于同一账户的访问认证请求做同步处理； 在各域之间建立一个 共享角色域， 其中包括与具体渔业管平台中的结构体系 无关的共享角色属 性， 共享角色属 性与各个不同域中身份标识存在映射的关系， 每个网络域设置其自身安全策略； 当一个网 络域中用户对另一网络域中的流程应用访问时,其身份可以通过共享角色在两个域之 间进 行映射； 赋予不同的管理结构体系拓扑图各层的角色属性， 所述角色属性的权限信息独立 于用户的身份标识ID， 通过在访问令牌消息中权限标识信息， 所述标识信息用于用户对于 资源服务事件的控制权限。 [0005]可选的， 主体的角色属性存在继承的现象， 继承者实体的属性分为两部分： 一部分 属性继承自被继承者层级； 一部分是自己特有的属 性， 自己特有的属 性不会和继承属 性冲 突； 可选的， 所述资源服务事件包括： 对数据的读、 写、 新建、 删除和对物联 网设备的操 作。说　明　书 1/8 页 3 CN 114884728 A 3