CN108628879B - 一种带优先级策略的访问控制构造的检索方法 - Google Patents

一种带优先级策略的访问控制构造的检索方法 Download PDF

Info

Publication number
CN108628879B
CN108628879B CN201710163690.6A CN201710163690A CN108628879B CN 108628879 B CN108628879 B CN 108628879B CN 201710163690 A CN201710163690 A CN 201710163690A CN 108628879 B CN108628879 B CN 108628879B
Authority
CN
China
Prior art keywords
strategy
access
list
tree
matching
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710163690.6A
Other languages
English (en)
Other versions
CN108628879A (zh
Inventor
李海华
董明富
范峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Koal Safety Technology Co ltd
Original Assignee
Shanghai Koal Safety Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Koal Safety Technology Co ltd filed Critical Shanghai Koal Safety Technology Co ltd
Priority to CN201710163690.6A priority Critical patent/CN108628879B/zh
Publication of CN108628879A publication Critical patent/CN108628879A/zh
Application granted granted Critical
Publication of CN108628879B publication Critical patent/CN108628879B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开的一种带优先级策略的访问控制构造的检索方法,包括以下步骤:步骤1,将所有的访问对象组织成一棵树;步骤2,遍历策略列表,初始化各访问对象关联的策略列表;步骤3,从步骤1生成的树的第二层节点开始到树的末梢节点,分别执行将父节点的策略列表合并到自身关联的策略列表中,同时保证每一策略列表的有序性;步骤4,匹配策略时,先匹配访问对象;步骤5,在步骤4得到的访问对象关联的策略表中匹配角色,并最终返回权限查询结果。本发明的检索方法采用空间换时间的优化原则,先将RBAC模型转化成类似访问控制列表的模型,有效地避免了权限查询过程中无用的策略匹配,提高了权限查询的效率。

Description

一种带优先级策略的访问控制构造的检索方法
技术领域
本发明涉及信息系统中基于RBAC的访问控制技术领域,尤其涉及一种带优先策略的访问控制构造的检索方法。
背景技术
访问控制技术在信息系统中的应用几乎无处不在,常见的如网络防火墙、安全应用网关、数据库系统以及各类管理系统。
在众多集中式访问控制模型中,基于角色的访问控制(Rolebased Access,RBAC)是实施面向企业的安全策略的一种有效的访问控制方式,具有灵活、方便和安全性的特点。
RBAC模型的要素包括用户、角色和许可等要素。其中,用户是一个可以独立访问计算机中的数据或用数据表示其它资源的主体。角色是指一个组织或任务中的工作或者位置,它代表一种权利、资格和责任。许可是允许对一个或多个客体执行的操作。一个用户可经授权而拥有多个角色,一个角色可由多个用户组成,每个角色拥有多种许可,每个许可也可以授权给多个不同的角色,每个操作可施加于多个客体,每个客体可接受多个操作。RBAC模型的基本思想是将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权限,角色可以看成是一组操作的集合。一个角色可以拥有多个用户成员,因此,RBAC提供了一种组织的职权和责任之间的多对多关系,这种关系具有反身性、传递性、非对称性特点。
访问控制列表(Access Control List)模型是为每个客体,附加一个可以访问它的主体的明细表。
由于现有的基于RBAC模型的访问控制检索方法在权限查询过程中存在一些无用的策略匹配,这样会影响到权限查询的效率。为此,本申请人在研究将基于RBAC模型的访问控制检索方法转化成类似访问控制列表的模型,尽可能地避免权限查询过程中无用的策略匹配,提高权限查询的效率。下面将要介绍的技术方案便是在这种背景下产生的。
发明内容
本发明所要解决的技术问题:针对现有的基于RBAC模型的访问控制检索方法存在在权限查询过程中存在无用的策略匹配,影响权限查询的效率的问题,而提供一种避免权限查询过程中无用的策略匹配、提高权限查询效率的带优先级策略的访问控制构造的检索方法。
本发明所解决的技术问题可以采用以下技术方案来实现:
一种带优先级策略的访问控制构造的检索方法,包括以下步骤:
步骤1,将所有的访问对象组织成一棵树,其中所述树的根为特定访问对象,所述特定访问对象由所有的访问对象构成;
步骤2,为每个访问对象附加一个空的带优先级的策略列表,每一策略列表的元素的类型为策略;
步骤3,遍历策略数据,逐一添加到相对应的访问对象的策略列表中,同时维持每一策略列表的列表项按照优先级进行有序排列;
步骤4,从所述步骤1生成的树的第二层节点开始到树的末梢节点,分别将各自父节点的策略列表合并到自身所关联的策略列表中,同时保证策略列表的有序性;
步骤5,匹配策略时,根据用户访问目标,检索对应的访问对象,若没有匹配到具体的访问对象,则指定匹配到默认所述特定访问对象;
步骤6,从所述步骤5得到的访问对象中的策略列表的表头开始,逐一检查用户是否匹配策略关联的角色,若匹配成功,则该策略关联的操作即为当前用户访问当前对象的最终权限,同时不再检查后续策略,完成匹配检索工作。
由于采用了如上的技术方案,本发明的有益效果在于:本发明的检索方法采用空间换时间的优化原则,先将RBAC模型转化成类似访问控制列表的模型,有效地避免了权限查询过程中无用的策略匹配,提高了权限查询的效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的一个带优先级的策略表的一个具体实施例的示意图。
图2是图1所示的所有访问对象的组织成一棵树的示意图。
图3是本发明的遍历策略数据的示意图。
图4是本发明进行关联策略列表的示意图。
图5是本发明进行匹配策略时的示意图
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
参见图1,图1为一个带优先级的策略列表的一个具体实施例的示意图,在本实施例中,OA系统的功能,包含了自身独有的OA功能外,还包含了“邮件系统”和“CRM系统”两个子系统。“所有的访问对象”作为一个特殊的访问对象,通常用于指定默认的初始策略,例如默认所有主体不能访问“所有的访问对象”,超级管理员允许访问“所有的访问对象”。
本发明的一种带优先级策略的访问控制构造的检索方法,包括以下步骤:
步骤1,将所有的访问对象(客体)组织成一棵树,其中树的根为特定对象,特定访问对象由所有的访问对象构成,即特定访问对象表示包含所有的访问的客体,如图2所示;
步骤2,为每个访问对象附加一个空的带优先级的策略列表,每一策略列表的元素的类型为策略;
步骤3,遍历策略数据,逐一添加到相对应对象的策略列表中,同时维持每一策略列表的列表项按照优先级进行有序排列,如图3所示;
步骤4,从步骤1生成的树的第二层节点开始到树的末梢节点,分别将各自父节点的策略列表合并到自身关联的策略列表中,同时保证策略列表的有序性,如图4所示;
步骤5,权限匹配的输入条件是主体信息(如用户系统账号,用户身份证号等)和访问对象信息(如url地址等);在匹配策略时,先根据用户的访问目标信息,匹配访问对象;若没有匹配到具体的访问对象,则指定匹配到默认特定访问对象,即为所有的访问对象,如图5所示;
步骤6,从步骤5得到的访问对象中的策略列表的表头开始,逐一检查用户是否匹配策略关联的角色,若匹配成功,则该策略关联的操作即为当前用户访问当前对象的最终权限,不再检查后续策略,完成匹配检索工作,如图5所示。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (1)

1.一种带优先级策略的访问控制构造的检索方法,其特征在于,包括以下步骤:
步骤1,将所有的访问对象组织成一棵树,其中所述树的根为特定访问对象,所述特定访问对象由所有的访问对象构成;
步骤2,为每个访问对象附加一个空的带优先级的策略列表,每一策略列表的元素的类型为策略;
步骤3,遍历策略数据,逐一添加到相对应的访问对象的策略列表中,同时维持每一策略列表的列表项按照优先级进行有序排列;
步骤4,从所述步骤1生成的树的第二层节点开始到树的末梢节点,分别将各自父节点的策略列表合并到自身所关联的策略列表中,同时保证策略列表的有序性;
步骤5,匹配策略时,根据用户访问目标,检索对应的访问对象,若没有匹配到具体的访问对象,则指定匹配到默认所述特定访问对象;
步骤6,从所述步骤5得到的访问对象中的策略列表的表头开始,逐一检查用户是否匹配策略关联的角色,若匹配成功,则该策略关联的操作即为当前用户访问当前对象的最终权限,同时不再检查后续策略,完成匹配检索工作。
CN201710163690.6A 2017-03-19 2017-03-19 一种带优先级策略的访问控制构造的检索方法 Active CN108628879B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710163690.6A CN108628879B (zh) 2017-03-19 2017-03-19 一种带优先级策略的访问控制构造的检索方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710163690.6A CN108628879B (zh) 2017-03-19 2017-03-19 一种带优先级策略的访问控制构造的检索方法

Publications (2)

Publication Number Publication Date
CN108628879A CN108628879A (zh) 2018-10-09
CN108628879B true CN108628879B (zh) 2023-04-07

Family

ID=63686944

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710163690.6A Active CN108628879B (zh) 2017-03-19 2017-03-19 一种带优先级策略的访问控制构造的检索方法

Country Status (1)

Country Link
CN (1) CN108628879B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110941683B (zh) * 2019-11-05 2023-05-26 北京字节跳动网络技术有限公司 获取空间中对象属性信息的方法、装置、介质和电子设备

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0398645A2 (en) * 1989-05-15 1990-11-22 International Business Machines Corporation System for controlling access privileges
CN1604564A (zh) * 2004-10-29 2005-04-06 江苏南大苏富特软件股份有限公司 基于策略树的报文分组过滤及管理方法
CN101366040A (zh) * 2006-01-05 2009-02-11 微软公司 用户对于对象的访问的管理
CN101706808A (zh) * 2009-11-17 2010-05-12 中国科学院软件研究所 基于索引树的海量数据库访问控制方法
CN101714172A (zh) * 2009-11-13 2010-05-26 华中科技大学 一种支持访问控制的索引结构及其检索方法
CN102063466A (zh) * 2010-12-03 2011-05-18 中国科学院软件研究所 基于策略的数据库强制访问控制方法及其系统
CN102262667A (zh) * 2011-07-27 2011-11-30 北京航空航天大学 一种本源xml数据库中xml文档的访问控制方法
CN104967620A (zh) * 2015-06-17 2015-10-07 中国科学院信息工程研究所 一种基于属性访问控制策略的访问控制方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009113483A1 (ja) * 2008-03-10 2009-09-17 日本電気株式会社 アクセス制御システム、アクセス制御方法、及び記憶媒体
US20100299362A1 (en) * 2009-05-24 2010-11-25 Roger Frederick Osmond Method for controlling access to data containers in a computer system

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0398645A2 (en) * 1989-05-15 1990-11-22 International Business Machines Corporation System for controlling access privileges
CN1604564A (zh) * 2004-10-29 2005-04-06 江苏南大苏富特软件股份有限公司 基于策略树的报文分组过滤及管理方法
CN101366040A (zh) * 2006-01-05 2009-02-11 微软公司 用户对于对象的访问的管理
CN101714172A (zh) * 2009-11-13 2010-05-26 华中科技大学 一种支持访问控制的索引结构及其检索方法
CN101706808A (zh) * 2009-11-17 2010-05-12 中国科学院软件研究所 基于索引树的海量数据库访问控制方法
CN102063466A (zh) * 2010-12-03 2011-05-18 中国科学院软件研究所 基于策略的数据库强制访问控制方法及其系统
CN102262667A (zh) * 2011-07-27 2011-11-30 北京航空航天大学 一种本源xml数据库中xml文档的访问控制方法
CN104967620A (zh) * 2015-06-17 2015-10-07 中国科学院信息工程研究所 一种基于属性访问控制策略的访问控制方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Qi Xie.Using Description Logic to Determine Seniority Among RB-RBAC Authorization Rules.Springer.2006,第604-609页. *
谢新勤.基于访问控制列表的权限管理模型研究.信息网络安全.2011,(10),第54-57页. *
赵伟.电力信息系统等级保护安全策略的研究.科技创新导报.2017,第55-57页. *

Also Published As

Publication number Publication date
CN108628879A (zh) 2018-10-09

Similar Documents

Publication Publication Date Title
US11082226B2 (en) Zero-knowledge identity verification in a distributed computing system
US20210109907A1 (en) Versioning schemas for hierarchical data structures
CN108092945B (zh) 访问权限的确定方法和装置、终端
US20150180872A1 (en) System and method for hierarchical resource permissions and role management in a multitenant environment
US10706166B1 (en) Application specific schema extensions for a hierarchical data structure
US8843648B2 (en) External access and partner delegation
WO2020009894A1 (en) Access management tags
CN108984639B (zh) 服务器集群的数据处理方法和装置
US8180894B2 (en) System and method for policy-based registration of client devices
Henze et al. Towards data handling requirements-aware cloud computing
CN103067463A (zh) 用户root权限集中管理系统和管理方法
CN108920914B (zh) 一种权限控制方法及装置
US20170295183A1 (en) Access control for user accounts using a parallel search approach
CN109906447A (zh) 管理请求数据库系统中不存在的索引键的事务
CN106789267B (zh) 公有云管理系统及管理方法
CN108628879B (zh) 一种带优先级策略的访问控制构造的检索方法
US10360264B2 (en) Access control for user accounts using a bidirectional search approach
US20170063862A1 (en) System and method for authentication
CN108683672B (zh) 一种权限管理的方法及装置
CN114020312A (zh) 一种智能合约变更方法和系统
CN110417777B (zh) 一种优化的微服务间通信的方法及装置
WO2015150792A1 (en) An improved database access control method and system
CN116016028B (zh) 基于IPVlan为Pod创建多个网络接口的方法、系统、介质及设备
US10956363B2 (en) Automated data management via machine-readable data definition files
CN111611220A (zh) 一种基于层级式节点的文件共享方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant