CN112733185A

CN112733185A - 一种基于属性访问控制资源的方法和系统

Info

Publication number: CN112733185A
Application number: CN202011628514.3A
Authority: CN
Inventors: 翟红鹰
Original assignee: Puhua Yunchuang Technology Beijing Co ltd
Current assignee: Puhua Yunchuang Technology Beijing Co ltd
Priority date: 2020-12-30
Filing date: 2020-12-30
Publication date: 2021-04-30

Abstract

本发明公开了一种基于属性访问控制资源的方法和系统。所述方法包括如下步骤：获取用户的自身属性，其中，所述自身属性包括主题属性、资源属性和环境属性；响应所述用户的访问请求，并获取该用户的所述自身属性，并判断所述自身属性是否满足模型条件；当所述自身属性满足模型条件时，允许该用户访问资源方的相应资源。本发明的技术方案提出了基于属性访问控制方法及系统，通过这种ABAC的访问控制模型，可以按需实现不同颗粒度的权限控制，减轻了权限系统的维护成本，当系统设计权限设计复杂时，给管理者维护带来便捷，且权限判断的时候，不会出现性能问题。

Description

一种基于属性访问控制资源的方法和系统

技术领域

本发明涉及区块链技术领域，尤其涉及一种基于属性访问控制资源的方法和系统。

背景技术

权限管理，一般指根据系统设置的安全规则或者安全策略，用户可以访问而且只能访问自己被授权的资源。访问控制技术是现代信息系统中最重要的基础安全机制。

权限管理几乎出现在任何系统里面，只要有用户和密码的系统。很多人，常将“用户身份认证”、“密码加密”、“系统管理”等概念与权限管理概念混淆。企业IT管理员一般都能为系统定义角色，给用户分配角色。

相关技术中，权限管理系统中，当集中化管理，按需实现不同颗粒度的权限控制；需要预定义判断逻辑，权限系统的维护成本较高，特别是在需求经常变化的系统中；定义权限时，不能直观看出用户和对象间的关系；规则如果稍微复杂一点，或者设计混乱，会给管理者维护和追查带来麻烦；权限判断需要实时执行，规则过多会导致性能问题。

因此，有必要提供一种新的基于属性访问控制资源的方法和系统，以解决上述技术问题。

发明内容

本发明的主要目的在于提供一种基于属性访问控制资源的方法和系统，旨在解决相关技术中，权限管理系统维护成本高且运行性能欠佳的技术问题。

为实现上述目的，本发明提供的基于属性访问控制资源的方法，包括如下步骤：

获取用户的自身属性，其中，所述自身属性包括主题属性、资源属性和环境属性；

响应所述用户的访问请求，并获取该用户的所述自身属性，并判断所述自身属性是否满足模型条件；

当所述自身属性满足模型条件时，允许该用户访问资源方的相应资源。

优选地，所述响应所述用户的访问请求，并获取该用户的所述自身属性，并判断所述自身属性是否满足模型条件的步骤，具体包括如下：

响应所述用户的访问请求，其中，所述访问请求为该用户访问所述资源方发出的原始请求；

将所述访问请求发送至策略实施点，所述策略实施点构建PERM模型格式请求；

所述策略实施点将所述PERM模型格式请求发送至策略管理点；

所述策略管理点根据所述PERM模型格式请求，查找所述策略管理点中的策略文件；

所述策略管理点从策略信息点中查找策略文件中所需的属性值，依据PERM模型和所述属性值生成决策结果，其中，所述属性值即为相应的所述用户的自身属性；

所述策略管理点将决策结果返回给所述策略实施点。

优选地，所述当所述自身属性满足模型条件时，允许该用户访问资源方的相应资源的步骤，具体包括如下：

当所述决策结果为允许时，所述策略实施点发送请求至所述资源方，所述资源方将相应的所述资源返回给所述用户。

优选地，所述响应所述用户的访问请求，并获取该用户的所述自身属性，并判断所述自身属性是否满足模型条件的步骤中，通过授权引擎获取该用户的所述自身属性，并判断所述自身属性是否满足模型条件。

为解决上述技术问题，本发明还提供一种基于属性访问控制资源的系统，包括：

获取模块，所述获取模块用于获取用户的自身属性，其中，所述自身属性包括主题属性、资源属性和环境属性；

模型判断模块，所述模型判断模块用于响应所述用户的访问请求，并获取该用户的所述自身属性，并判断所述自身属性是否满足模型条件；

优选地，所述模型判断模块，具体用于：

所述策略实施点将所述PERM模型格式请求发送至策略管理点；

所述策略管理点将决策结果返回给所述策略实施点。

优选地，所述模型判断模块具体还用于：

优选地，所述模型判断模块中，通过授权引擎获取该用户的所述自身属性，并判断所述自身属性是否满足模型条件。

本发明提供的基于属性访问控制资源的方法和系统，获取用户的自身属性，其中，所述自身属性包括主题属性、资源属性和环境属性；响应所述用户的访问请求，并获取该用户的所述自身属性，并判断所述自身属性是否满足模型条件；当所述自身属性满足模型条件时，允许该用户访问资源方的相应资源。

通过这种ABAC的访问控制模型，可以按需实现不同颗粒度的权限控制，减轻了权限系统的维护成本，当系统设计权限设计复杂时，给管理者维护带来便捷，且权限判断的时候，不会出现性能问题。

进一步的，PERM的数据访问控制模型；用户在携带自身的属性值包括主题属性，资源属性，环境属性，然后向资源发送请求，授权引擎会根据subject所携带的属性进行判断，然后会给出拒绝或者同意的结果给用户，然后就可以访问资源。

访问控制模型被抽象为基于PERM(Policy,Effect,Request,Matcher)的一个文件，通过ModuleFile语法在Policy模块编写权限策略，Matcher定义了request和policy匹配的方式，进而判断Request是否满足Policy。通过这种PERM的访问控制模型，灵活的Policy权限策略和Matcher匹配策略，解决了以下技术难题；

当集中化管理，按需实现不同颗粒度的权限控制；

不需要预定义判断逻辑，减轻了权限系统的维护成本，特别是在需求经常变化的系统中；

定义权限时，不能直观看出用户和对象间的关系；规则如果稍微复杂一点，或者设计混乱，会给管理者维护和追查带来麻烦；权限判断需要实时执行，规则过多会导致性能问题。

附图说明

图1为本发明提供的基于属性访问控制资源的方法的一较优实施例的工作流程图；

图2为图1所示的步骤S02的工作流程图；

图3为图1所示的基于属性访问控制资源的方法的交互流程图；

图4为图2所示的步骤S02的交互流程图；

图5为本发明提供的基于属性访问控制资源的系统的架构图。

本发明目的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

为便于本发明的技术方案的理解，解释如下概念：

1、RBAC基于角色的访问控制(RBAC:Role-Based Access Control)。

因为DAC和MAC的诸多限制，于是诞生了RBAC。并且成为了迄今为止最为普及的权限设计模型；RBAC在用户和权限之间引入了“角色(Role)”的概念。

每个用户关联一个或多个角色，每个角色关联一个或多个权限，从而可以实现了非常灵活的权限管理。角色可以根据实际业务需求灵活创建，这样就省去了每新增一个用户就要关联一遍所有权限的麻烦。简单来说RBAC就是：用户关联角色，角色关联权限。另外，RBAC是可以模拟出DAC和MAC的效果的。

2、DAC自主访问控制(DAC:Discretionary Access Control)。

系统会识别用户，然后根据被操作对象(Subject)的权限控制列表(ACL:AccessControl List)或者权限控制矩阵(ACL:Access Control Matrix)的信息来决定用户的是否能对其进行哪些操作，例如读取或修改。

而拥有对象权限的用户，又可以将该对象的权限分配给其他用户，所以称之为“自主(Discretionary)”控制。

这种设计最常见的应用就是文件系统的权限设计，如微软的NTFS。

DAC最大缺陷就是对权限控制比较分散，不便于管理，比如无法简单地将一组文件设置统一的权限开放给指定的一群用户。

3、MAC强制访问控制(MAC:Mandatory Access Control)。

MAC是为了弥补DAC权限控制过于分散的问题而诞生的。在MAC的设计中，每一个对象都都有一些权限标识，每个用户同样也会有一些权限标识，而用户能否对该对象进行操作取决于双方的权限标识的关系，这个限制判断通常是由系统硬性限制的。比如在影视作品中我们经常能看到特工在查询机密文件时，屏幕提示需要“无法访问，需要一级安全许可”，这个例子中，文件上就有“一级安全许可”的权限标识，而用户并不具有。

MAC非常适合机密机构或者其他等级观念强烈的行业，但对于类似商业服务系统，则因为不够灵活而不能适用。

4、ABAC基于属性的权限验证(ABAC:Attribute-Based Access Control)。

ABAC被称为是权限系统设计的未来不同于常见的将用户通过某种方式关联到权限的方式，ABAC则是通过动态计算一个或一组属性来是否满足某种条件来进行授权判断(可以编写简单的逻辑)。

属性通常来说分为四类：用户属性(如用户年龄，又称主题属性)，环境属性(如当前时间)，操作属性(如读取)和对象属性(如一篇文章，又称资源属性)，所以理论上能够实现非常灵活的权限控制，几乎能满足所有类型的需求。为了实现便捷的规则设置和规则判断执行，ABAC通常有配置文件(XML、YAML等)或DSL配合规则解析引擎使用。

本发明提供一种基于属性访问控制资源的方法。

请结合参阅图1-4，为实现上述目的，本发明的一实施例中，基于属性访问控制资源的方法，包括如下步骤：

S01，获取用户的自身属性，其中，所述自身属性包括主题属性、资源属性和环境属性；

S02，响应所述用户的访问请求，并获取该用户的所述自身属性，并判断所述自身属性是否满足模型条件；

S03，当所述自身属性满足模型条件时，允许该用户访问资源方的相应资源。

所述步骤S02具体包括如下：

S21，响应所述用户的访问请求，其中，所述访问请求为该用户访问所述资源方发出的原始请求；

S22，将所述访问请求发送至策略实施点，所述策略实施点构建PERM模型格式请求；

S23，所述策略实施点将所述PERM模型格式请求发送至策略管理点；

S24，所述策略管理点根据所述PERM模型格式请求，查找所述策略管理点中的策略文件；

S25，所述策略管理点从策略信息点中查找策略文件中所需的属性值，依据PERM模型和所述属性值生成决策结果，其中，所述属性值即为相应的所述用户的自身属性；

具体的，本发明通过一种定义为PERM模型来控制权限，PERM(Policy,Effect,Request,Matcher)。它被抽象成一个文件，切换或升级项目的授权机制与修改配置一样简单。

Policy:定义权限的规则。

Effect:定义组合了多个Policy之后的结果,allow/deny。

Request:访问请求,也就是谁想操作什么。

Matcher:判断Request是否满足Policy。

S26，所述策略管理点将决策结果返回给所述策略实施点。

所述步骤S03，具体包括如下：

所述步骤S02中，通过授权引擎获取该用户的所述自身属性，并判断所述自身属性是否满足模型条件。

为便于技术方案的理解，举例说明如下：

例如规则：“允许所有班主任在上课时间自由进出校门”这条规则，其中，“班主任”是用户的主题属性(sub)，“上课时间”是环境属性(obj)，“进出”是资源属性(act)；使用PERM模型来控制权限，需要做到以下步骤：

1.Request definition；

在PERM模板文件中定义如下：

[request_definition]；

r＝sub,obj,act；

分别表示request中的accessing entity(Subject)，accessed resource(Object)，the access method(Action)。

2.Policy definition；

在PERM模板文件中定义如下：

[policy_definition]；

p＝sub,obj,act；

p2＝sub,act；

定义的每一行称为policy rule,p,p2是policy rule的名字.p2定义的是sub所有的资源都能执行act。

3.Policy effect；

在PERM模板文件中定义如下：

[policy_effect]；

e＝some(where(p.eft＝＝allow))；

上面表示有任意一条policy rule满足,则最终结果为allow。

4.Matchers；

在PERM模板文件中定义如下：

[matchers]；

m＝r.sub＝＝p.sub&&r.obj＝＝p.obj&&r.act＝＝p.act；

定义了request和policy匹配的方式,p.eft是allow还是deny,就是基于此来决定的。

5.PERM模板文件中定义上述四种模板方法，并以.conf为文件名结尾保存在项目中。

本发明提供的基于属性访问控制资源的方法，获取用户的自身属性，其中，所述自身属性包括主题属性、资源属性和环境属性；响应所述用户的访问请求，并获取该用户的所述自身属性，并判断所述自身属性是否满足模型条件；当所述自身属性满足模型条件时，允许该用户访问资源方的相应资源。

当集中化管理，按需实现不同颗粒度的权限控制；

本发明还提供一种基于属性访问控制资源的系统。

请参阅图5，基于属性访问控制资源的系统包括：

所述模型判断模块，具体用于：

所述策略实施点将所述PERM模型格式请求发送至策略管理点；

Policy:定义权限的规则。

Effect:定义组合了多个Policy之后的结果,allow/deny。

Request:访问请求,也就是谁想操作什么。

Matcher:判断Request是否满足Policy。

所述策略管理点将决策结果返回给所述策略实施点。

所述模型判断模块具体还用于：

所述模型判断模块中，通过授权引擎获取该用户的所述自身属性，并判断所述自身属性是否满足模型条件。

为便于技术方案的理解，举例说明如下：

1.Request definition；

在PERM模板文件中定义如下：

[request_definition]；

r＝sub,obj,act；

2.Policy definition；

在PERM模板文件中定义如下：

[policy_definition]；

p＝sub,obj,act；

p2＝sub,act；

3.Policy effect；

在PERM模板文件中定义如下：

[policy_effect]；

e＝some(where(p.eft＝＝allow))；

上面表示有任意一条policy rule满足,则最终结果为allow。

4.Matchers；

在PERM模板文件中定义如下：

[matchers]；

m＝r.sub＝＝p.sub&&r.obj＝＝p.obj&&r.act＝＝p.act；

本发明提供的基于属性访问控制资源的系统，获取用户的自身属性，其中，所述自身属性包括主题属性、资源属性和环境属性；响应所述用户的访问请求，并获取该用户的所述自身属性，并判断所述自身属性是否满足模型条件；当所述自身属性满足模型条件时，允许该用户访问资源方的相应资源。

当集中化管理，按需实现不同颗粒度的权限控制；

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个计算机可读存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备进入本发明各个实施例所述的方法。

在本说明书的描述中，参考术语“一实施例”、“另一实施例”、“其他实施例”、或“第一实施例～第X实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料、方法步骤或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种基于属性访问控制资源的方法，其特征在于，包括如下步骤：

2.如权利要求1所述的基于属性访问控制资源的方法，其特征在于，所述响应所述用户的访问请求，并获取该用户的所述自身属性，并判断所述自身属性是否满足模型条件的步骤，具体包括如下：

所述策略实施点将所述PERM模型格式请求发送至策略管理点；

所述策略管理点将决策结果返回给所述策略实施点。

3.如权利要求2所述的基于属性访问控制资源的方法，其特征在于，所述当所述自身属性满足模型条件时，允许该用户访问资源方的相应资源的步骤，具体包括如下：

4.如权利要求1所述的基于属性访问控制资源的方法，其特征在于，所述响应所述用户的访问请求，并获取该用户的所述自身属性，并判断所述自身属性是否满足模型条件的步骤中，通过授权引擎获取该用户的所述自身属性，并判断所述自身属性是否满足模型条件。

5.一种基于属性访问控制资源的系统，其特征在于，包括：

6.如权利要求5所述的基于属性访问控制资源的系统，其特征在于，所述模型判断模块，具体用于：

所述策略实施点将所述PERM模型格式请求发送至策略管理点；

所述策略管理点将决策结果返回给所述策略实施点。

7.如权利要求6所述的基于属性访问控制资源的系统，其特征在于，所述模型判断模块具体还用于：

8.如权利要求5所述的基于属性访问控制资源的系统，其特征在于，所述模型判断模块中，通过授权引擎获取该用户的所述自身属性，并判断所述自身属性是否满足模型条件。