本發(fā)明涉及車輛軟件服務(wù)，尤其涉及一種基于soa的安全訪問控制方法、系統(tǒng)、設(shè)備、車輛及介質(zhì)。

背景技術(shù)：

1、車載soa(service-oriented?architecture，面向服務(wù)的架構(gòu))是一種在汽車行業(yè)中廣泛應(yīng)用的軟件架構(gòu)設(shè)計模式，旨在將汽車軟件系統(tǒng)劃分為一系列獨(dú)立的、可復(fù)用的服務(wù)，這些服務(wù)通過定義良好的接口和協(xié)議進(jìn)行通信和協(xié)作，以實(shí)現(xiàn)汽車軟件系統(tǒng)的高度模塊化、可擴(kuò)展性和可維護(hù)性。soa架構(gòu)本身并未提供訪問控制等安全機(jī)制，所以接入車載以太網(wǎng)的設(shè)備及其上運(yùn)行的應(yīng)用均可在未授權(quán)的情況下訪問該架構(gòu)提供的soa服務(wù)接口，容易導(dǎo)致車載信息泄露。目前，為提高soa架構(gòu)的訪問安全性，主要是以存儲模塊為核心，建立基于數(shù)據(jù)分法服務(wù)、守護(hù)進(jìn)程技術(shù)、per模塊、訪問策略模塊等四階段計算模型，在存儲模塊的單一部件中對數(shù)據(jù)訪問進(jìn)行策略控制，但缺少對整車服務(wù)請求的通盤考慮和保護(hù)。

技術(shù)實(shí)現(xiàn)思路

1、本技術(shù)實(shí)施例的主要目的在于提出一種基于soa的安全訪問控制系統(tǒng)、方法、設(shè)備、車輛及介質(zhì)，旨在提高對soa架構(gòu)中車載信息保護(hù)的全面性和靈活性。

2、為實(shí)現(xiàn)上述目的，本技術(shù)實(shí)施例的一方面提出了一種基于soa的安全訪問控制方法，應(yīng)用于基于soa的安全訪問控制系統(tǒng)中，所述基于soa的安全訪問控制系統(tǒng)包括策略執(zhí)行單元、分布在不同位置的策略決策單元和策略管理單元，應(yīng)用于所述策略執(zhí)行單元的所述安全訪問控制方法包括以下步驟：

3、接收來自客戶端的服務(wù)訪問請求；

4、將所述服務(wù)訪問請求轉(zhuǎn)化為預(yù)設(shè)的標(biāo)準(zhǔn)四元組形式得到請求四元組，其中，所述請求四元組包括主體、客體、資源和動作；

5、根據(jù)所述請求四元組將所述請求四元組轉(zhuǎn)發(fā)至客體對應(yīng)的策略決策單元，以接收來自所述策略決策單元的資源訪問控制結(jié)果；

6、根據(jù)所述資源訪問控制結(jié)果進(jìn)行服務(wù)調(diào)用控制，以向所述客戶端返回服務(wù)請求響應(yīng)；

7、其中，所述策略決策單元用于根據(jù)所述請求四元組查詢所述策略管理單元中存儲的資源控制策略，得到資源訪問控制結(jié)果。

8、在一些實(shí)施例中，所述將所述服務(wù)訪問請求轉(zhuǎn)化為標(biāo)準(zhǔn)四元組形式得到請求四元組，包括以下步驟：

9、對所述服務(wù)訪問請求進(jìn)行解析，得到請求頭、資源定位符和請求體數(shù)據(jù)；

10、根據(jù)所述請求頭確定請求四元組中的主體，其中，所述主體用于表征請求車載服務(wù)的客戶端；

11、根據(jù)所述資源定位符確定所要調(diào)用的車載服務(wù)；

12、根據(jù)所述車載服務(wù)的關(guān)聯(lián)資源確定請求四元組中的資源，并根據(jù)所述關(guān)聯(lián)資源的分布位置確定請求四元組中的客體；

13、根據(jù)所述車載服務(wù)與所述關(guān)聯(lián)資源的交互方式確定請求四元組中的動作。

14、在一些實(shí)施例中，所述根據(jù)所述請求四元組將所述請求四元組轉(zhuǎn)發(fā)至對應(yīng)的策略決策單元，包括以下步驟：

15、根據(jù)所述請求四元組中主體對發(fā)起所述服務(wù)訪問請求的客戶端進(jìn)行身份驗(yàn)證；

16、當(dāng)所述客戶端通過身份驗(yàn)證，則將所述請求四元組轉(zhuǎn)發(fā)至所述客體對應(yīng)的策略決策單元；

17、當(dāng)所述客戶端未通過身份驗(yàn)證，則向所述客戶端返回請求失敗消息。

18、在一些實(shí)施例中，所述根據(jù)所述資源訪問控制結(jié)果進(jìn)行服務(wù)調(diào)用控制，以向所述客戶端返回服務(wù)請求響應(yīng)，包括以下步驟：

19、根據(jù)所述資源訪問控制結(jié)果判斷所述主體是否允許訪問所述請求四元組中的資源；

20、當(dāng)所述主體允許訪問所述請求四元組中的資源，則根據(jù)所述請求體數(shù)據(jù)調(diào)用所述車載服務(wù)得到所述車載服務(wù)的反饋數(shù)據(jù)，并將所述反饋數(shù)據(jù)作為服務(wù)請求響應(yīng)返回至所述客戶端；

21、當(dāng)所述主體不允許訪問所述請求四元組中的資源，則將請求失敗消息作為服務(wù)請求響應(yīng)返回至所述客戶端。

22、為實(shí)現(xiàn)上述目的，本技術(shù)實(shí)施例的另一方面提出了一種基于soa的安全訪問控制方法，應(yīng)用于基于soa的安全訪問控制系統(tǒng)中，所述基于soa的安全訪問控制系統(tǒng)包括策略執(zhí)行單元、分布在不同位置的策略決策單元和策略管理單元，應(yīng)用于所述策略決策單元的所述安全訪問控制方法包括以下步驟：

23、接收來自所述策略執(zhí)行單元的請求四元組，其中，所述請求四元組包括主體、客體、資源和動作，其中，所述請求四元組通過所述策略執(zhí)行單元得到，所述策略執(zhí)行單元接收來自客戶端的服務(wù)訪問請求，并將所述服務(wù)訪問請求轉(zhuǎn)化為預(yù)設(shè)的標(biāo)準(zhǔn)四元組形式得到請求四元組；

24、根據(jù)所述請求四元組查詢所述策略管理單元中存儲的資源控制策略，得到資源訪問控制結(jié)果；

25、將所述資源訪問控制結(jié)果發(fā)送至策略執(zhí)行單元，以使所述策略執(zhí)行單元根據(jù)所述資源訪問控制結(jié)果進(jìn)行服務(wù)調(diào)用控制，以向所述客戶端返回服務(wù)請求響應(yīng)。

26、在一些實(shí)施例中，所述策略管理單元采用私鑰對資源控制策略進(jìn)行存儲，所述策略管理單元中存儲的資源控制策略包括基礎(chǔ)訪問控制策略和專屬訪問控制策略的至少其中一種；

27、所述根據(jù)所述請求四元組查詢所述策略管理單元中存儲的資源控制策略，得到資源訪問控制結(jié)果，包括以下步驟：

28、根據(jù)所述請求四元組中主體確定訪問角色；

29、根據(jù)所述訪問角色選擇查詢所述策略管理單元中的基礎(chǔ)訪問控制策略或者專屬訪問控制策略。

30、為實(shí)現(xiàn)上述目的，本技術(shù)實(shí)施例的另一方面提出了一種基于soa的安全訪問控制系統(tǒng)，包括策略執(zhí)行單元、分布在不同位置的策略決策單元和策略管理單元；

31、所述策略執(zhí)行單元用于接收來自客戶端的服務(wù)訪問請求；將所述服務(wù)訪問請求轉(zhuǎn)化為預(yù)設(shè)的標(biāo)準(zhǔn)四元組形式得到請求四元組，其中，所述請求四元組包括主體、客體、資源和動作；

32、根據(jù)所述請求四元組將所述請求四元組轉(zhuǎn)發(fā)至客體對應(yīng)的策略決策單元；

33、所述策略決策單元用于根據(jù)所述請求四元組查詢所述策略管理單元中存儲的資源控制策略，得到資源訪問控制結(jié)果；

34、所述策略執(zhí)行單元還用于接收來自所述策略決策單元的資源訪問控制結(jié)果，根據(jù)所述資源訪問控制結(jié)果進(jìn)行服務(wù)調(diào)用控制，以向所述客戶端返回服務(wù)請求響應(yīng)。

35、為實(shí)現(xiàn)上述目的，本技術(shù)實(shí)施例的另一方面提出了一種電子設(shè)備，所述電子設(shè)備包括存儲器、處理器、存儲在所述存儲器上并可在所述處理器上運(yùn)行的程序以及用于實(shí)現(xiàn)所述處理器和所述存儲器之間的連接通信的數(shù)據(jù)總線，所述程序被所述處理器執(zhí)行時實(shí)現(xiàn)上述實(shí)施例所述的基于soa的安全訪問控制方法。

36、為實(shí)現(xiàn)上述目的，本技術(shù)實(shí)施例的另一方面提出了一種車輛，包括上述實(shí)施例所述的基于soa的安全訪問控制系統(tǒng)或者電子設(shè)備。

37、為實(shí)現(xiàn)上述目的，本技術(shù)實(shí)施例的另一方面提出了一種存儲介質(zhì)，所述存儲介質(zhì)為計算機(jī)可讀存儲介質(zhì)，用于計算機(jī)可讀存儲，所述存儲介質(zhì)存儲有一個或者多個程序，所述一個或者多個程序可被一個或者多個處理器執(zhí)行，以實(shí)現(xiàn)上述實(shí)施例所述的基于soa的安全訪問控制方法。

38、本技術(shù)提出的基于soa的安全訪問控制方法、系統(tǒng)、設(shè)備、車輛及介質(zhì)，系統(tǒng)包括策略執(zhí)行單元、分布在不同位置的策略決策單元和策略管理單元，策略執(zhí)行單元接收來自客戶端的服務(wù)訪問請求，將服務(wù)訪問請求轉(zhuǎn)化為預(yù)設(shè)的標(biāo)準(zhǔn)四元組形式得到請求四元組，請求四元組包括主體、客體、資源和動作，根據(jù)請求四元組將請求四元組轉(zhuǎn)發(fā)至客體對應(yīng)的策略決策單元。策略決策單元根據(jù)請求四元組查詢策略管理單元中存儲的資源控制策略，得到資源訪問控制結(jié)果。策略執(zhí)行單元根據(jù)資源訪問控制結(jié)果進(jìn)行服務(wù)調(diào)用控制，以向客戶端返回服務(wù)請求響應(yīng)。本技術(shù)在策略執(zhí)行單元解析服務(wù)訪問請求所涉及的訪問資源形成請求四元組，再通過使用分布式訪問控制方案進(jìn)行資源訪問控制，從而在策略執(zhí)行單元實(shí)現(xiàn)服務(wù)控制，提高對soa架構(gòu)中車載信息保護(hù)的全面性和靈活性。