CN101895551A - 一种资源访问控制方法及系统 - Google Patents
一种资源访问控制方法及系统 Download PDFInfo
- Publication number
- CN101895551A CN101895551A CN2010102336926A CN201010233692A CN101895551A CN 101895551 A CN101895551 A CN 101895551A CN 2010102336926 A CN2010102336926 A CN 2010102336926A CN 201010233692 A CN201010233692 A CN 201010233692A CN 101895551 A CN101895551 A CN 101895551A
- Authority
- CN
- China
- Prior art keywords
- resource
- user
- function
- access control
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种资源访问控制方法,包括:资源管理步骤,该步骤用于将资源分成多个资源组;权限管理步骤,该步骤用于将权限分配给用户;权限由职责和管理域组成;其中,职责是功能的集合,表示用户能够对访问的资源进行何种操作;管理域是所述资源组的集合,表示用户能够访问的资源的范围;权限决策步骤,该步骤用于在用户访问资源时,根据该用户的权限,对访问进行控制。该方法中,功能不是固化的,各业务子系统能够通过功能注册动态添加功能,同时对资源衍生对象能够自动增加组标签,因而该方法能够从功能和资源两个方面对大量资源衍生对象进行有效访问控制。本发明还提供了一种相应的资源访问控制系统。
Description
技术领域
本发明属于信息安全技术领域,尤其涉及一种资源访问控制方法及系统。
背景技术
访问控制(Access Control)是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。访问控制:是指对主体访问客体的权限或能力的限制,从而使系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。随着IT化的推进,一些系统管理或使用的数据越来越多,并且每天都以数以千万计的量级累加并保存,通常无法对这种量级的数据进行资源级授权和访问控制。这样的大量数据也称为海量数据。
根据访问控制策略的不同,目前比较典型的访问控制机制有:
1、DAC(Discretionary Access Control,自主访问控制,又称为随意访问控制),是目前计算机系统中实现最多的访问控制机制。该机制允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体。
2、MAC(Mandatory Access Control,强制访问控制模型),最开始为了实现比DAC更为严格的访问控制策略,美国政府和军方开发了各种各样的控制模型,这些方案或模型都有比较完善和详尽的定义。随后逐渐形成强制访问的模型,并得到广泛的商业关注和应用。强制访问控制是将主体和客体分级,然后根据主体和客体的级别标记来决定访问模式。所谓“强制访问控制”,是指访问发生前,访问控制系统通过比较主体和客体的安全属性来决定主体能否以他所希望的模式访问一个客体。“强制”主要体现在系统强制主体服从访问控制策略上。如果系统认为某一个用户不适合访问某个文件,那么任何人(包括文件所有者)都无法使该用户具有访问该文件的权利。
3、RBAC(Role-Based Access Control,基于角色的访问控制),是一种非自主的访问控制机制,将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权,用户并不“拥有”所访问的对象,用户不能任意地将自己拥有的访问权限授予其他用户。
以上访问控制方法,对处理海量数据的授权和鉴权均不适用。
现有技术中,许多涉及海量数据的访问控制系统,放弃了数据的权限管理,仅对模块进行权限管理。这是因为大数据量资源级的数据一方面对授权、鉴权带来了较高的复杂度,另一方面由于鉴权时间过长,影响用户体验,增加企业运行成本。但是只在功能级实现访问控制,无疑放弃了用户的一部分安全保障,带来了极大的隐患。
发明内容
本发明要解决的技术问题是针对现有技术中存在的缺陷,提供一种资源访问控制方法及系统,能够对海量数据有效地进行访问控制。
为了解决上述技术问题,本发明资源访问控制方法包括如下步骤:
资源管理步骤,该步骤用于将资源分成n个资源组,其中n为自然数;
权限管理步骤,该步骤用于将权限分配给进行资源访问的用户;一个所述权限由一个职责和一个管理域组成;其中,所述职责是功能的集合,表示用户能够对访问的资源进行何种操作;所述管理域是所述资源组的集合,表示用户能够访问的资源的范围;
权限决策步骤,该步骤用于在用户访问资源时,根据该用户被分配的所述权限,对该用户的访问进行控制。
进一步地,所述资源组是以树型结构组织的。
进一步地,所述权限管理步骤中,一个用户能够被分配一个以上的所述权限。
进一步地,本发明方法还包括管理域切换步骤,该步骤用于当用户需要访问不同的管理域时,进行管理域的切换。
为了解决上述技术问题,本发明资源访问控制系统包括:
资源管理模块,该模块用于将资源分成n个资源组,其中n为自然数;
权限管理模块,该模块用于将权限分配给进行资源访问的用户;一个所述权限由一个职责和一个管理域组成;其中,所述职责是功能的集合,表示用户能够对访问的资源进行何种操作;所述管理域是所述资源组的集合,表示用户能够访问的资源的范围;
权限决策模块,该模块用于在用户访问资源时,根据该用户被分配的所述权限,对该用户的访问进行控制。
进一步地,所述资源包括原始资源以及原始资源的衍生对象。
更进一步地,所述资源管理模块还用于,对于新产生的所述原始资源的衍生对象,根据预定义的新资源分组策略,将其加入相应的所述资源组中。
进一步地,所述功能指各业务系统在所述资源访问控制系统上注册的功能。
更进一步地,所述功能包括功能标识、功能路径和功能应用属性;其中,所述功能标识是功能的显示名称,所述功能路径在所述资源访问控制系统中唯一标识一个功能,所述功能应用属性在功能鉴别后通过会话返回给所述业务系统后由所述业务系统解释和应用。
进一步地,所述权限决策模块包括功能决策模块和组过滤模块;其中,所述功能决策模块用于根据用户被分配的职责决定该用户对访问的资源能够进行何种操作;所述组过滤模块用于根据用户被分配的管理域决定该用户能够访问的资源的范围。
本发明的有益效果为:
本发明提供了一种基于职责和管理域的访问控制方法及系统,将资源访问权限通过职责和管理域授权给用户,使用户在查询、访问、使用资源的时候在功能和资源两方面均受到权限的制约;对于资源的衍生对象,也同样能够进行功能和资源两方面的制约。
本发明方法及系统操作简便,成本低,尤其使得海量数据的访问控制变得切实可行。本发明方法及系统为监控、审计等涉及海量数据的系统,特别是相关托管服务提供了权限管理的解决方案。
附图说明
图1为本发明资源访问控制方法流程示意图;
图2为本发明资源访问控制系统结构示意图。
图3为资源访问控制原理示意图;
图4为资源管理示意图;
图5为功能组织示意图;
图6为权限定义示意图;
图7为权限授权示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细说明。
本发明资源访问控制方法包括资源管理步骤、权限管理步骤和权限决策步骤,下面分别进行具体说明:
资源管理步骤用于以资源组的方式组织、管理受控访问的资源;资源管理步骤将资源分成n个资源组,其中n为自然数。资源组是受控资源的组织及管理方式,资源组是以树型结构组织的。资源组本身是一个抽象对象,它可以灵活泛化为多种类型的对象,用户可以针对自己的业务模型建立相应的资源模型,例如业务、物理位置、安全域、行政部门等,相应地在授权过程中的授权对象也将是业务、物理位置、安全域、行政部门这些和用户业务紧密结合的对象。
权限管理步骤用于将权限分配给进行资源访问的用户。一个权限由一个职责和一个管理域组成,即权限管理包括职责管理和管理域管理。其中,职责是功能的集合,表示用户能够对访问的资源进行何种操作。功能不是固化的,而是来源于业务系统中各子系统(比如浏览、查询、报表等)通过功能注册将各个子系统功能动态加入功能的总集中。功能由最基本的三个要素组成:功能标识、功能路径和功能应用属性。功能标识是功能的显示名称,功能路径在本发明资源访问控制系统中唯一标识一个功能,功能应用属性是在功能鉴别后通过会话返回给子系统后由子系统解释和应用的。功能是通过功能路径以树形结构组织的。当职责绑定了某个功能A,当功能A的子节点没有选择其他功能,则表示该职责包括功能A以及功能A的所有子功能。管理域是资源组的集合,表示用户能够访问的资源的范围。在管理域中绑定一个资源组,资源组采用树型结构,其继承特性在本发明资源访问控制系统中得到支持,即该资源组及其所有子组都包含在该管理域内,资源组及其子组所包含的资源,都属于该管理域所包含的资源的范围。管理域所包含的不仅仅是资源(即原始资源),还包括资源衍生对象(比如审计系统中,资源指设备,资源衍生对象指设备所产生的日志,通常审计日志数量巨大,往往是数以千万计)。权限的分配指,根据业务需要,将一个管理域和一个职责分配给资源访问的人员或组织(一个管理域和一个职责的组合为一个权限,一个用户可以获得一个以上这样的权限),完成权限的分配。
权限决策步骤用于在主体(用户)访问客体(资源)时,根据该用户被分配的权限,对该用户的访问进行控制。权限决策步骤包括功能决策步骤和组过滤步骤。其中,功能决策步骤用于根据用户被分配的职责决定该用户对访问的资源能够进行何种操作;组过滤步骤用于根据用户被分配的管理域决定该用户能够访问的资源的范围。
当用户登陆后,选择所拥有的一个权限,建立会话,用户对资源进行访问时将同时受到职责和管理域的制约。首先功能决策步骤通过用户的会话,获取该用户的职责,判定是否允许该用户进行该操作。然后,组过滤步骤根据该用户所在管理域的信息,获得该管理域所有的组,这个组集合内的资源,即为该用户实际能够访问的资源的范围。
图1为本发明资源访问控制方法流程示意图,如图所示,本发明资源访问控制方法具体包括如下步骤:
1、定义以树形资源组的方式管理资源。
这里资源包括原始资源以及原始资源的衍生对象。
2、业务系统以注册的方式注册业务功能。
3、将职责定义为步骤2中得到的功能的集合,即将功能集合绑定到职责上。功能有继承的特性。
4、将管理域定义为资源组的集合,即将资源组的集合绑定到管理域上。资源组有继承的特性。
5、将一个管理域和一个职责分配给资源访问的人员或组织进行权限分配。其中,一个用户能够被分配一个以上的所述权限。
6、定义组策略(即分组策略),即设定对什么样的新资源打上什么组标签。组标签为权限判别的重要标识,包括组的唯一标识(组id)和组策略特征码,一条策略可以对应多个组策略特征码。组策略特征码在职责定义时可以引用。
7、资源访问控制系统运行过程中当有新的资源衍生对象加入时,依据组策略给新资源打上组标签。
8、用户登录以后建立会话。
9、用户访问资源时,首先对用户操作的动作进行鉴别,然后对其访问的范围进行过滤。
10、如果用户要对不同管理域的资源或功能进行操作,则进行管理域切换。
图2为资源访问控制系统结构示意图,图3为资源访问控制系统工作原理示意图,如图所示,本发明资源访问控制系统包括资源管理模块、权限管理模块和权限决策模块。
其中,资源管理模块用于对受控资源的管理。以资源组的方式组织、管理受控访问的资源;资源组是受控资源的组织及管理方式,资源组是以树型结构组织的。在授权和鉴权过程中也将充分利用树形的特征。资源组本身是一个抽象对象,它可以灵活泛化为多种类型的对象,用户可以针对自己的业务模型建立相应的资源模型,例如业务、物理位置、安全域、行政部门等,相应地在授权过程中的授权对象也将是业务、物理位置、安全域、行政部门这些和用户业务紧密结合的对象。
资源管理模块还用于根据预定义的新资源分组策略,将新的资源衍生对象加入相应的资源组中。新资源分组策略,是对新资源设定组标签的规则,即设定什么样的新资源打上什么组标签。组标签为权限判别的重要标识,包括组的唯一标识(组id)和组策略特征码,用于未来权限决策。依据所有的分组策略,在新资源动态接入入口之后的组标签切面中,给新增加的受控资源上自动打上组标签。如果一个授控资源不在任何一条分组策略中,那么该资源将进入默认组;而如果是资源衍生对象,则资源将将进入该资源对象的组内。资源衍生对象,以日志为例,在收到一条日志后将根据日志所对应的资源(设备),定位该资源所在组,在存储时会存储日志的同时,会保存组标签信息。
权限管理模块用于权限的定义和权限的分配,并为权限决策步骤提供决策的信息。权限管理由两部分组成,即职责管理和管理域管理。
其中职责管理是功能类型的权限集合的管理。职责管理通过将业务系统注册的功能的集合分配给一个职责,完成职责与功能的绑定。功能不是固化的,而是来源于业务系统中各子系统(比如浏览、查询、报表等)通过功能注册将各个子系统功能动态加入功能的总集中。功能由最基本的三个要素组成:功能标识、功能路径和功能应用属性。功能标识是功能的显示名称,功能路径在本发明资源访问控制系统中唯一标识一个功能,功能应用属性是在功能鉴别后通过会话返回给子系统后由子系统解释和应用的。功能是通过功能路径以树形结构组织的。当职责绑定了某个功能A,当功能A的子节点没有选择其他功能,则表示该职责包括功能A以及功能A的所有子功能。
管理域指受控资源及其衍生物的集合,是用户或用户组能够管理的某个资源范围。
管理域管理是资源集合的管理。管理域管理通过将资源组的子集分配给一个管理域,完成管理域与资源组的绑定,资源组是管理域授权的最小单位。在管理域中绑定一个资源组,资源组采用树型结构,其继承特性在本发明资源访问控制系统中得到支持,即该资源组及其所有子组都包含在该管理域内,资源组及其子组所包含的资源,都属于该管理域所包含的资源的范围。管理域所包含的不仅仅是资源(即原始资源),还包括资源衍生对象(比如审计系统中,资源指设备,资源衍生对象指设备所产生的日志,通常审计日志数量巨大,往往是数以千万计)。权限的分配指,根据业务需要,将一个管理域和一个职责分配给资源访问的人员或组织(一个管理域和一个职责的组合为一个权限,一个用户可以获得一个以上这样的权限),完成权限的分配。
权限决策模块用于在主体(用户)访问客体(资源)时进行权限决策。权限决策模块包括功能决策模块和组过滤模块。其中,功能决策模块用于根据用户被分配的职责决定该用户对访问的资源能够进行何种操作;组过滤模块用于根据用户被分配的管理域决定该用户能够访问的资源的范围。
当用户登陆后,选择所拥有的一个权限,建立会话,用户对资源进行访问时将同时受到职责和管理域的制约。首先功能决策模块通过用户的会话,获取该用户的职责,判定是否允许该用户进行该操作。然后,组过滤模块根据该用户所在管理域的信息,获得该管理域所有的组,这个组集合内的资源,即为该用户实际能够访问的资源的范围。
下面以安全事件管理系统为例,对本发明方法进行进一步详细说明。
安全事件可能来源于各种安全设备,设备是作为资源进行管理,资源访问控制既包括对设备的访问控制,也包括对设备产生的安全事件的访问控制。通常由于安全事件数量巨大,很多安全管理平台因而放弃了相关的访问控制。
在本发明方法中,首先以树型组的方式管理设备。图4所举实例中,以业务视角进行资源组织,在资源管理根节点下包含两个资源组,分别为业务S1和业务S2,业务S1中包含两个资源,即设备Res1和系统Res2,业务S2中包含两个资源,即设备Res3和系统Res4。资源是访问控制的一个重要组成部分,但不是全部,访问控制将包括资源以及这些资源的相关衍生信息,例如运行状态,运行日志,运行事件等。以高危事件为例,在图中建立高危事件资源组,在资源管理中并没有任何资源。通过定义分组策略,则可以定义各设备中产生的高危事件加入高危事件资源组的标签。并定义两种特征码,一种是普通,一种是保密。该特征码将自动注册到资源访问控制系统中。
图5中示意的功能注册完成后在本发明资源访问控制系统中展示的功能集合。功能以树形结构展现。在注册的时候以业务功能子系统(比如浏览,查询,报表等)的功能1及其子功能为例:子系统将其需要控制的子系统整理为以“/”符号分割的url(例如:“功能树/功能1/功能1.1”、“功能树/功能1/功能1.2”),及其名称、属性的集合,然后通过注册功能,业务功能子系统的功能动态注册进本发明资源访问控制系统,以树形结构展现。在这里也展现了分组策略中定义的特征码“功能树/高危事件/HE.普通”,以及“功能树/高危事件/HE.保密”。
图6中示意的是权限的创建即权限的定义。在本发明资源访问控制系统中权限的定义分为两部分,一个部分是对功能(或者是操作类型)的集合,这部分由职责管理;另一部分是对资源及其衍生对象范围的划定,即管理域管理。在图中左边表示的是职责管理,在职责管理中定义了两个职责,职责OD1和机密管理域。其中职责OD1包括一个功能集合功能1(这意味着该职责包含功能1.1和功能1.2)和HE.普通。其中职责机密管理域包括功能HE.保密。使用功能集合定义职责,能简化功能集合的定义。而管理域则是管辖范围的定义,在图中右边表示。在管理域的根下定义了两个管理域,管理域MD1和管理域MD2。管理域MD1中分配了资源组业务S1,管理域MD2中分配了高危事件。
图7中示意了权限分配的方式。权限是职责和管理域组合而成。权限既可以分配给部门(或称为用户组,在该部门下的所有人将都拥有该权限);权限也可以直接分配给用户。图中所示部门D1分配了权限管理域MD1及职责OD1,则意味着用户U1和用户U2都能对管理域MD1范围的资源,及其资源衍生对象,行使职责OD1的权限。用户U3分别分配了权限一(管理域MD1及职责OD2),权限二(管理域MD2及机密管理员)。用户U3在不同域中都有相关职责,在本发明资源访问控制系统中用户同时只能在一个域中行使权利,即用户U3在管理域MD1执行功能2.2后,如果想在管理域MD2执行机密管理员的职责必须进行管理域切换,如果没有别的业务功能控制,那么用户U3则能够查看各设备高危事件中涉及保密的日志。
实施本发明实施例,通过以树型组的方式管理设备,并将资源访问权限通过职责和管理域授权给用户,使用户在查询、访问、使用资源的时候在功能和资源两方面均受到权限的制约。并且,资源访问控制不仅包括对安全设备的访问控制,还包括对安全设备产生的安全事件的访问控制,使得安全管理平台能够对海量安全事件实现有效的访问控制。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应注意的是,以上所述仅为本发明的具体实施例而已,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求记载的技术方案及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种资源访问控制方法,其特征在于,包括如下步骤:
资源管理步骤,该步骤用于将资源分成n个资源组,其中n为自然数;
权限管理步骤,该步骤用于将权限分配给进行资源访问的用户;一个所述权限由一个职责和一个管理域组成;其中,所述职责是功能的集合,表示用户能够对访问的资源进行何种操作;所述管理域是所述资源组的集合,表示用户能够访问的资源的范围;
权限决策步骤,该步骤用于在用户访问资源时,根据该用户被分配的所述权限,对该用户的访问进行控制。
2.根据权利要求1所述的资源访问控制方法,其特征在于:
所述资源组是以树型结构组织的。
3.根据权利要求1所述的资源访问控制方法,其特征在于:
所述权限管理步骤中,一个用户能够被分配一个以上的所述权限。
4.根据权利要求1、2或3所述的资源访问控制方法,其特征在于:
还包括管理域切换步骤,该步骤用于当用户需要访问不同的管理域时,进行管理域的切换。
5.一种资源访问控制系统,其特征在于,包括:
资源管理模块,该模块用于将资源分成n个资源组,其中n为自然数;
权限管理模块,该模块用于将权限分配给进行资源访问的用户;一个所述权限由一个职责和一个管理域组成;其中,所述职责是功能的集合,表示用户能够对访问的资源进行何种操作;所述管理域是所述资源组的集合,表示用户能够访问的资源的范围;
权限决策模块,该模块用于在用户访问资源时,根据该用户被分配的所述权限,对该用户的访问进行控制。
6.根据权利要求5所述的资源访问控制系统,其特征在于:
所述资源包括原始资源以及原始资源的衍生对象。
7.根据权利要求6所述的资源访问控制系统,其特征在于:
所述资源管理模块还用于,对于新产生的所述原始资源的衍生对象,根据预定义的新资源分组策略,将其加入相应的所述资源组中。
8.根据权利要求5、6或7所述的资源访问控制系统,其特征在于:
所述功能指各业务系统在所述资源访问控制系统上注册的功能。
9.根据权利要求8所述的资源访问控制系统,其特征在于:
所述功能包括功能标识、功能路径和功能应用属性;其中,所述功能标识是功能的显示名称,所述功能路径在所述资源访问控制系统中唯一标识一个功能,所述功能应用属性在功能鉴别后通过会话返回给所述业务系统后由所述业务系统解释和应用。
10.根据权利要求5、6或7所述的资源访问控制系统,其特征在于:
所述权限决策模块包括功能决策模块和组过滤模块;其中,所述功能决策模块用于根据用户被分配的职责决定该用户对访问的资源能够进行何种操作;所述组过滤模块用于根据用户被分配的管理域决定该用户能够访问的资源的范围。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102336926A CN101895551A (zh) | 2010-07-22 | 2010-07-22 | 一种资源访问控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102336926A CN101895551A (zh) | 2010-07-22 | 2010-07-22 | 一种资源访问控制方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101895551A true CN101895551A (zh) | 2010-11-24 |
Family
ID=43104618
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010102336926A Pending CN101895551A (zh) | 2010-07-22 | 2010-07-22 | 一种资源访问控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101895551A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102158557A (zh) * | 2011-04-12 | 2011-08-17 | 华中科技大学 | 云存储环境下安全策略分解与验证系统 |
| CN103179126A (zh) * | 2013-03-26 | 2013-06-26 | 山东中创软件商用中间件股份有限公司 | 一种访问控制方法及装置 |
| CN103188249A (zh) * | 2011-12-31 | 2013-07-03 | 北京亿阳信通科技有限公司 | 集中权限管理系统及其授权方法和鉴权方法 |
| CN103677829A (zh) * | 2013-12-13 | 2014-03-26 | 北京同有飞骥科技股份有限公司 | 对象操作访问控制的系统和方法 |
| CN104333553A (zh) * | 2014-11-11 | 2015-02-04 | 安徽四创电子股份有限公司 | 一种基于黑白名单组合的海量数据权限控制策略 |
| CN104537488A (zh) * | 2014-12-29 | 2015-04-22 | 中国南方电网有限责任公司 | 企业级信息系统功能权限统一管理方法 |
| CN104678866A (zh) * | 2013-12-03 | 2015-06-03 | 阿自倍尔株式会社 | 监视控制系统 |
| CN105074720A (zh) * | 2013-02-27 | 2015-11-18 | 微软技术许可有限责任公司 | 基于云的环境中的自主策略管理 |
| CN106506521A (zh) * | 2016-11-28 | 2017-03-15 | 腾讯科技(深圳)有限公司 | 资源访问控制方法和装置 |
| CN104125219B (zh) * | 2014-07-07 | 2017-06-16 | 四川中电启明星信息技术有限公司 | 针对电力信息系统的身份集中授权管理方法 |
| CN107506655A (zh) * | 2017-08-08 | 2017-12-22 | 北京盛华安信息技术有限公司 | 数据权限分配与访问控制的方法 |
| CN107872430A (zh) * | 2016-09-27 | 2018-04-03 | 成都鼎桥通信技术有限公司 | 光伏电站的管理方法及装置 |
| CN110889127A (zh) * | 2019-11-27 | 2020-03-17 | 广州锦行网络科技有限公司 | 无限子集和多维度授权的特权账号访问控制方法及装置 |
| CN111949973A (zh) * | 2020-07-31 | 2020-11-17 | 上海中通吉网络技术有限公司 | 身份识别与访问管理系统和方法 |
| CN114780300A (zh) * | 2022-06-20 | 2022-07-22 | 南京云信达科技有限公司 | 一种基于资源分层的备份系统权限管理方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1168752A1 (en) * | 2000-06-23 | 2002-01-02 | Matra Nortel Communications | Access control in client-sever systems |
| CN101106511A (zh) * | 2007-08-24 | 2008-01-16 | 上海可鲁系统软件有限公司 | 一种两个独立网络间的安全互通方法及装置 |
| CN101257377A (zh) * | 2008-03-11 | 2008-09-03 | 南京邮电大学 | 一种基于社区授权服务的动态访问控制方法 |
| CN101448002A (zh) * | 2008-12-12 | 2009-06-03 | 北京大学 | 一种数字资源的访问方法及设备 |
| CN101771698A (zh) * | 2010-01-15 | 2010-07-07 | 南京邮电大学 | 基于可扩展标记语言安全策略的网格访问控制方法 |
-
2010
- 2010-07-22 CN CN2010102336926A patent/CN101895551A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1168752A1 (en) * | 2000-06-23 | 2002-01-02 | Matra Nortel Communications | Access control in client-sever systems |
| CN101106511A (zh) * | 2007-08-24 | 2008-01-16 | 上海可鲁系统软件有限公司 | 一种两个独立网络间的安全互通方法及装置 |
| CN101257377A (zh) * | 2008-03-11 | 2008-09-03 | 南京邮电大学 | 一种基于社区授权服务的动态访问控制方法 |
| CN101448002A (zh) * | 2008-12-12 | 2009-06-03 | 北京大学 | 一种数字资源的访问方法及设备 |
| CN101771698A (zh) * | 2010-01-15 | 2010-07-07 | 南京邮电大学 | 基于可扩展标记语言安全策略的网格访问控制方法 |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102158557A (zh) * | 2011-04-12 | 2011-08-17 | 华中科技大学 | 云存储环境下安全策略分解与验证系统 |
| CN103188249A (zh) * | 2011-12-31 | 2013-07-03 | 北京亿阳信通科技有限公司 | 集中权限管理系统及其授权方法和鉴权方法 |
| CN105074720A (zh) * | 2013-02-27 | 2015-11-18 | 微软技术许可有限责任公司 | 基于云的环境中的自主策略管理 |
| CN105074720B (zh) * | 2013-02-27 | 2018-03-30 | 微软技术许可有限责任公司 | 基于云的环境中的自主策略管理 |
| CN103179126A (zh) * | 2013-03-26 | 2013-06-26 | 山东中创软件商用中间件股份有限公司 | 一种访问控制方法及装置 |
| CN104678866B (zh) * | 2013-12-03 | 2017-09-26 | 阿自倍尔株式会社 | 监视控制系统 |
| CN104678866A (zh) * | 2013-12-03 | 2015-06-03 | 阿自倍尔株式会社 | 监视控制系统 |
| CN103677829A (zh) * | 2013-12-13 | 2014-03-26 | 北京同有飞骥科技股份有限公司 | 对象操作访问控制的系统和方法 |
| CN103677829B (zh) * | 2013-12-13 | 2016-08-17 | 北京同有飞骥科技股份有限公司 | 对象操作访问控制的方法 |
| CN104125219B (zh) * | 2014-07-07 | 2017-06-16 | 四川中电启明星信息技术有限公司 | 针对电力信息系统的身份集中授权管理方法 |
| CN104333553A (zh) * | 2014-11-11 | 2015-02-04 | 安徽四创电子股份有限公司 | 一种基于黑白名单组合的海量数据权限控制策略 |
| CN104537488A (zh) * | 2014-12-29 | 2015-04-22 | 中国南方电网有限责任公司 | 企业级信息系统功能权限统一管理方法 |
| CN107872430A (zh) * | 2016-09-27 | 2018-04-03 | 成都鼎桥通信技术有限公司 | 光伏电站的管理方法及装置 |
| CN106506521A (zh) * | 2016-11-28 | 2017-03-15 | 腾讯科技(深圳)有限公司 | 资源访问控制方法和装置 |
| WO2018095406A1 (zh) * | 2016-11-28 | 2018-05-31 | 腾讯科技(深圳)有限公司 | 资源访问控制方法和装置 |
| CN106506521B (zh) * | 2016-11-28 | 2020-08-07 | 腾讯科技(深圳)有限公司 | 资源访问控制方法和装置 |
| US10757106B2 (en) | 2016-11-28 | 2020-08-25 | Tencent Technology (Shenzhen) Company Limited | Resource access control method and device |
| CN107506655A (zh) * | 2017-08-08 | 2017-12-22 | 北京盛华安信息技术有限公司 | 数据权限分配与访问控制的方法 |
| CN110889127A (zh) * | 2019-11-27 | 2020-03-17 | 广州锦行网络科技有限公司 | 无限子集和多维度授权的特权账号访问控制方法及装置 |
| CN111949973A (zh) * | 2020-07-31 | 2020-11-17 | 上海中通吉网络技术有限公司 | 身份识别与访问管理系统和方法 |
| CN114780300A (zh) * | 2022-06-20 | 2022-07-22 | 南京云信达科技有限公司 | 一种基于资源分层的备份系统权限管理方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101895551A (zh) | 一种资源访问控制方法及系统 | |
| CN102307185B (zh) | 适用于存储云内的数据隔离方法 | |
| Hu et al. | Guidelines for access control system evaluation metrics | |
| CN101997876B (zh) | 基于属性的访问控制模型及其跨域访问方法 | |
| CN101986599B (zh) | 基于云服务的网络安全控制方法和云安全网关 | |
| US7103784B1 (en) | Group types for administration of networks | |
| CN104301301B (zh) | 一种基于云存储系统间的数据迁移加密方法 | |
| CN101453475A (zh) | 一种授权管理系统及方法 | |
| WO2009145760A1 (en) | Hierarchical administration of resources | |
| Gonzalez et al. | A framework for authentication and authorization credentials in cloud computing | |
| CN103763369B (zh) | 一种基于san存储系统的多重权限分配方法 | |
| De Capitani di Vimercati et al. | Private data indexes for selective access to outsourced data | |
| Bai et al. | Study on the access control model | |
| US20060070124A1 (en) | Rights management | |
| CN107358122A (zh) | 一种存储数据的访问管理方法及系统 | |
| CN110474897A (zh) | 一种档案使用权限管理系统 | |
| CN104866774B (zh) | 账户权限管理的方法及系统 | |
| CN104253810A (zh) | 安全登录方法和系统 | |
| CN106997440A (zh) | 一种角色访问控制方法 | |
| CN106101074A (zh) | 一种面向大数据平台的基于用户分级的安全调度方法 | |
| Hasani et al. | Criteria specifications for the comparison and evaluation of access control models | |
| Zheng et al. | Dynamic Role-Based Access Control Model. | |
| Vignesh et al. | Secured Data Access and Control Abilities Management over Cloud Environment using Novel Cryptographic Principles | |
| CN113407626A (zh) | 一种基于区块链的规划管控方法、存储介质及终端设备 | |
| CN105335664A (zh) | 基于b/s模式的权限管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Wan Ke Inventor after: Zhang Li Inventor after: Hu Weihua Inventor after: Ban Xiaofang Inventor after: Yao Diezhan Inventor before: Wan Ke |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: WAN KE TO: WAN KE ZHANG LI HU WEIHUA BAN XIAOFANG YAO YIZHAN |
|
| ASS | Succession or assignment of patent right |
Owner name: CHINA INFORMATION TECHNOLOGY SECURITY EVALUATION C Free format text: FORMER OWNER: BEIJING HEAVEN MELTS LETTER SCIENCE TECHNOLOGIES CO., LTD. Effective date: 20130529 Owner name: BEIJING HEAVEN MELTS LETTER SCIENCE TECHNOLOGIES C Effective date: 20130529 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20130529 Address after: 100085 Building No. 8, No. 1 West Road, Beijing, Haidian District Applicant after: China Information Technology Security Evaluation Center Applicant after: Beijing heaven melts letter Science Technologies Co., Ltd. Address before: 100085 Beijing East Road, No. 1, building No. 301, building on the north side of the floor, room 3, room 3 Applicant before: Beijing heaven melts letter Science Technologies Co., Ltd. |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20101124 |