CN112906029B - 一种标识解析用户权限控制方法及系统 - Google Patents

一种标识解析用户权限控制方法及系统 Download PDF

Info

Publication number
CN112906029B
CN112906029B CN202110248646.1A CN202110248646A CN112906029B CN 112906029 B CN112906029 B CN 112906029B CN 202110248646 A CN202110248646 A CN 202110248646A CN 112906029 B CN112906029 B CN 112906029B
Authority
CN
China
Prior art keywords
authority
user
attribute
permission
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110248646.1A
Other languages
English (en)
Other versions
CN112906029A (zh
Inventor
周昊
王冲华
张雪莹
樊佩茹
李俊
江浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Industrial Control Systems Cyber Emergency Response Team
Original Assignee
China Industrial Control Systems Cyber Emergency Response Team
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Industrial Control Systems Cyber Emergency Response Team filed Critical China Industrial Control Systems Cyber Emergency Response Team
Priority to CN202110248646.1A priority Critical patent/CN112906029B/zh
Publication of CN112906029A publication Critical patent/CN112906029A/zh
Application granted granted Critical
Publication of CN112906029B publication Critical patent/CN112906029B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种标识解析用户权限控制方法及系统,当来访用户进行标识解析数据查询时,权限管理系统首先确定登录是否成功,成功后根据用户属性建立权限模型,然后标识数据解析应用系统调用已赋予最终权重的权限模型设置操作权限,并按操作权限来控制标识数据的查询、修改或删除功能,获得未公开的标识解析数据,最后权限管理系统将未与权限策略相匹配的公开的标识解析数据发送至来访用户。本发明公开的方案能够动态计算权限,新用户注册进入系统时,不必为新用户手动绑定权限,新用户访问系统时,会根据新用户的实体属性计算并赋予权限,进而查询标识解析数据。

Description

一种标识解析用户权限控制方法及系统
技术领域
本发明涉及用户权限控制技术领域,特别是涉及一种标识解析用户权限控制方法及系统。
背景技术
当今的互联网系统中,任何多用户的系统不可避免的涉及到权限问题,系统的使用者越多、使用者本身的社会属性或分工越复杂,权限问题也就越复杂,在一个大型信息管理系统中,一个误操作带来的结果可能是非常严重的,没有对不同身份的用户加以权限限制,很容易产生敏感信息泄露或误操作的问题,所以,在系统中对于不同用户必须划分出不同的权限,经过权限系统的管理,每个账号登录后只能看到和自己有关的信息数据。也只能阅览并操作与自己职责范围内有关的业务。防止进行越权操作,为数据保护提供有效的安全保障。
当前访问控制实现方式,多以基于用户角色为基础实现的,就是用户通过角色与权限进行关联,简单的说,一个用户拥有若干角色,每一个角色拥有若干权限,这样。就构成“用户-角色-权限”的授权模型。在这种权限模型中,用户与角色之间,角色与权限之间,一般是多对多的关系。角色作为权限的载体,一个角色可以绑定多种权限,同时,一种权限可以参与多种角色。权限具体表现为,对数据的读取和修改等行为权限,对功能模块的访问和操作权限。具体关系如图1所示,每个用户关联一个或多个角色,每个角色关联一个或多个权限,从而可以实现了非常灵活的权限管理。角色可以根据实际业务需求灵活创建,这样就省去了每新增一个用户就要关联一遍所有权限的麻烦。当用户量过多使,可将相同权限的用户分组,形成用户组,将用户组绑定角色组,以这种方式实现系统的权限管理。分配权限和收回权限比较方便,也能实现大多数系统的权限控制方案。
以当前方式实现的权限控制虽然能解决大部分的权限控制场景,但在权限控制的细粒度方面不够细致,系统业务往往预先定义好用户组,角色组,和权限组,各组之间相互绑定与分配,形成不同的权限模型,但是,在工业互联网标识解析系统中,各接入系统(企业)的权限由中心权限系统集中配置与管理,当涉及到多个接入系统时,带来的权限控制需求会越来越多。例如:同时有多个系统都有商品管理员查看商品信息的系统权限控制需求,A系统的商品管理员能够查看全国所有商品的详细信息,B系统的商品管理员分全国不同的城市,不同城市的管理员只能查看对应城市的商品信息,C系统的商品管理员分全国不同的区域,华北、华南等地,不同区域的商品管理员只能查看对应区域的商品信息。以当前方式的来实现权限控制,需要新增三种角色的商品管理员,全国、区域、城市。还需要将查看商品的权限实现全国、区域、城市来划分,每一种权限划分都要有对应的业务逻辑在后台实现。当再来一个系统D,要求区域华北华南合并,这两部分地区的商品管理员权限也合并,那么,对于原权限控制系统,没有对应的角色和权限给予分配和绑定,导致权限划分达不到需求。
发明内容
本发明的目的是提供一种标识解析用户权限控制方法及系统,以实现基于实体属性的动态权限赋予控制。
为实现上述目的,本发明提供了一种标识解析用户权限控制方法,所述方法包括:
步骤S1:来访用户通过设定登录方式登录权限管理系统后,权限管理系统将来访用户的登录信息与已注册用户库的分身信息进行匹配,如果匹配成功,则返回登录结果为“来访用户是合法用户”,并执行步骤S2;如果匹配失败,则返回登录结果为“来访用户是匿名访客用户”,并执行步骤S7;
步骤S2:权限管理系统从数据库用户信息表中读取来访用户的身份属性和操作属性,根据来访用户的登录信息获取环境属性和对象属性;
步骤S3:权限管理系统根据属性信息构建权限模型;所述属性信息包括身份属性、操作属性、环境属性和对象属性;
步骤S4:权限管理系统根据所述权限模型和所述属性信息动态计算多个权限;
步骤S5:权限管理系统从各权限中选取权限权重值最小的权限作为最终权限;
步骤S6:权限管理系统获取来访用户发送的标识解析查询请求后,判断是否赋予最终权重;如果赋予最终权重,则将赋予最终权重的权限模型和标识解析查询请求通过所述请求转发系统发送至所述数据解析应用系统,以使所述数据解析应用系统根据赋予最终权重的权限模型设置操作权限,并按操作权限来控制标识数据的查询、修改或删除功能,获得未公开的标识解析数据;如果没有赋予最终权重,则执行“步骤S7”;
步骤S7:权限管理系统匿名将标识解析查询请求通过请求转发系统发送至数据解析应用系统,以使所述数据解析应用系统依次通过请求转发系统和所述权限管理系统向来访用户发送已公开的标识解析数据;
步骤S8:权限管理系统判断未公开的标识解析数据是否与权限策略相匹配;如果未公开的标识解析数据与权限策略相匹配,则将未公开的标识解析数据发送至来访用户;如果未公开的标识解析数据与权限策略相不匹配,则向来访用户发送无权访问。
可选地,所述权限管理系统根据所述权限模型和所述属性信息动态计算多个权限,具体包括:
步骤S41:PEP接收所述权限请求后生成权限申请,并将所述权限申请发送至PDP;所述PDP为策略决策点;所述PEP为策略实施点;权限模型建立完成后生成权限请求;
步骤S42:PDP接收到所述权限申请后,向PRP获取权限策略;所述PRP为策略提取点;
步骤S43:PDP向PIP发送请求属性,以使PIP接收到所述请求属性时收集属性信息,并发送至PDP;所述PIP为策略信息点;
步骤S44:PDP根据所述属性信息确定待识别的拥有者,并判断所述待识别的拥有者是否为所述权限策略的拥有者;如果所述待识别的拥有者是所述权限策略的拥有者,则向PEP发送“同意”;如果所述待识别的拥有者不是所述权限策略的拥有者,则向PEP发送“拒绝”;
步骤S45:PAP管理PRP提取的权限策略;所述PAP为策略管理点。
可选地,所述权限管理系统根据属性信息构建权限模型,具体包括:
步骤S31:根据模型建立请求预定义逻辑运算符;来访用户的登录信息与已注册用户库的分身信息匹配成功后生成模型建立请求;
步骤S32:预定义操作动作;
步骤S33:预定义访问主体与访问客体;
步骤S34:利用访问主体和访问客体的属性信息,运用所述逻辑运算符和所述操作动作构建权限模型。
可选地,所述方法还包括:根据所述来访用户建立身份属性,当所述来访用户为自然人时,所述身份属性包含姓名、身份证号、手机号码和职位;当所述来访用户为法人时,所述身份属性包含企业名称、社会信用代码和企业类型;当所述来访用户为网络设备时,所述身份属性包含设备类型、设备型号和设备ip。
可选地,所述环境属性包括当前网络ip、当前访问时间、访问客户端版本信息、访问客户端类别和当前地理位置。
本发明还提供一种标识解析用户权限控制系统,所述系统包括:
权限管理系统、请求转发系统和数据解析应用系统;所述权限管理系统包括登录匹配模块、属性信息确定模块、权限模型构建模块、多个权限确定模块、最终权限确定模块、第一判断模块和第二判断模块;
所述登录匹配模块用于将来访用户的登录信息与已注册用户库的分身信息进行匹配,如果匹配成功,则返回登录结果为“来访用户是合法用户”;如果匹配失败,则返回登录结果为“来访用户是匿名访客用户”;
所述属性信息确定模块用于从数据库用户信息表中读取来访用户的身份属性和操作属性,根据来访用户的登录信息获取环境属性和对象属性;
所述权限模型构建模块用于根据属性信息构建权限模型;所述属性信息包括身份属性、操作属性、环境属性和对象属性;
所述多个权限确定模块用于根据所述权限模型和所述属性信息动态计算多个权限;
所述最终权限确定模块用于权限管理系统从各权限中选取权限权重值最小的权限作为最终权限;
所述第一判断模块用于获取来访用户发送的标识解析查询请求后,判断是否赋予最终权重;如果赋予最终权重,则将赋予最终权重的权限模型和标识解析查询请求发送至所述请求转发系统;如果没有赋予最终权重,则匿名将标识解析查询请求发送至请求转发系统;
所述第二判断模块用于判断未公开的标识解析数据是否与权限策略相匹配;如果未公开的标识解析数据与权限策略相匹配,则将未公开的标识解析数据发送至来访用户;如果未公开的标识解析数据与权限策略相不匹配,则向来访用户发送无权访问;
所述请求转发系统用于将匿名的标识解析查询请求转发至数据解析应用系统,或将赋予最终权重的权限模型和标识解析查询请求转发至数据解析应用系统;
所述数据解析应用系统用于根据匿名的标识解析查询请求获取已公开的标识解析数据,并依次通过请求转发系统和所述权限管理系统发送至来访用户发送,或根据赋予最终权重的权限模型设置操作权限,并按操作权限来控制标识数据的查询、修改或删除功能,获得未公开的标识解析数据,并将未公开的标识解析数据通过所述请求转发系统发送至所述权限管理系统。
可选地,所述多个权限确定模块,具体包括:
权限申请发送单元,用于PEP接收所述权限请求后生成权限申请,并将所述权限申请发送至PDP;所述PDP为策略决策点;所述PEP为策略实施点;权限模型建立完成后生成权限请求;
权限策略获取单元,用于PDP接收到所述权限申请后,向PRP获取权限策略;所述PRP为策略提取点;
属性信息收集单元,用于PDP向PIP发送请求属性,以使PIP接收到所述请求属性时收集属性信息,并发送至PDP;所述PIP为策略信息点;
判断单元,用于PDP根据所述属性信息确定待识别的拥有者,并判断所述待识别的拥有者是否为所述权限策略的拥有者;如果所述待识别的拥有者是所述权限策略的拥有者,则向PEP发送“同意”;如果所述待识别的拥有者不是所述权限策略的拥有者,则向PEP发送“拒绝”;
权限策略管理单元,用于PAP管理PRP提取的权限策略;所述PAP为策略管理点。
可选地,所述权限模型构建模块,具体包括:
第一预定义单元,用于根据模型建立请求预定义逻辑运算符;来访用户的登录信息与已注册用户库的分身信息匹配成功后生成模型建立请求;
第二预定义单元,用于预定义操作动作;
第三预定义单元,用于预定义访问主体与访问客体;
权限模型构建单元,用于利用访问主体和访问客体的属性信息,运用所述逻辑运算符和所述操作动作构建权限模型。
可选地,所述方系统还包括:
身份属性构建模块,用于根据所述来访用户建立身份属性,当所述来访用户为自然人时,所述身份属性包含姓名、身份证号、手机号码和职位;当所述来访用户为法人时,所述身份属性包含企业名称、社会信用代码和企业类型;当所述来访用户为网络设备时,所述身份属性包含设备类型、设备型号和设备ip。
可选地,所述环境属性包括当前网络ip、当前访问时间、访问客户端版本信息、访问客户端类别和当前地理位置。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明在工业互联网标识解析过程中,所有标识解析查询的权限统一由权限系统管控,当来访用户进行标识解析数据查询时,权限管理系统根据用户属性建立权限模型,标识数据解析应用系统调用已赋予最终权重的权限模型设置操作权限,并按操作权限来控制标识数据的查询、修改或删除功能,获得未公开的标识解析数据。本发明公开的方案能够动态计算权限,新用户注册进入系统时,不必为新用户手动绑定权限,新用户访问系统时,会根据新用户的实体属性计算并赋予权限,进而查询标识解析数据。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为传统基于角色、权限绑定的授权方案;
图2为本发明实施例权限构成和划分解析图;
图3为本发明实施标识解析用户权限控制方法流程图;
图4为本发明实施例动态计算权限原理流程图;
图5为本发明实施例标识解析用户权限控制时序图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种标识解析用户权限控制方法及系统,以实现基于实体属性的动态权限赋予控制。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
如图2所示,权限构成主要分为三个环节,分别为页面权限、操作权限和数据权限。
页面权限:通过拦截用户是否登录,登录用户身份级别,控制页面展示不同的图文信息和操作按钮,具体表现为未登录与登录后或用户身份级别不同,看到的页面信息及操作按钮不同。或是用户查询操作时,不同用户查询后,展示的数据结果范围不同。
操作权限:通过用户属性和预定义的权限控制模型。获取用户是否对某一方法拥有调用权利,是否对某一组数拥有查询、修改等权利。除了在页面层级做一次显示控制,过滤没有权限的操作菜单或按钮,在真正操作时,在后台业务中再次做一次权限检查,确保没有请求跳过客户端进行非授权访问。
数据权限:就是有或者没有对某些数据的访问权限,具体表现形式就是当某用户对一部分数据有操作权限的时候,但不代表其对所有的数据都有查看或者管理权限。数据权限有两种表现形式:一种是行权限、另外一种是列权限。所谓行权限,就是限制用户对某些行的访问权限,比如:只能对本人的数据进行访问;对某一时间段的数据可以访问并管理,所谓列权限,就是限制用户对某些列的访问权限,比如:标识解析数据对某些公开数据可以被匿名用户查阅,但是详细内容就只有授权用户才能查看。通过数据权限,可以从物理层级限制用户对数据的行或列进行获取,这种方式比把所有数据拿到之后再根据用户权限来限制某些行或列有诸多好处,比如减少网络流量,安全风险提升等。
本发明针对工业互联网标识解析系统进行标识解析的页面权限、操作权限和数据权限,通过规则配置,匹配来访用户属性条件生成权限模型。在设置权限模型的控制条件时,对于基于属性的权限对象,主要根据定义的属性项信息,设置该属性项对应的权限模型条件表达式。
以实体属性为基础的权限控制方案中权限验证阶段实现流程具体为:先根据登录用户实现身份识别,身份识别通过后获取用户属性信息,根据属性信息和预定义的权限模型动态计算权限。根据权限计算结果赋予登录用户所属权限,具体表现为登录用户或匿名来访用户在当前状态下是否拥有对数据操作权限。因此整体的控制流程如图3所示,本发明公开一种标识解析用户权限控制方法,所述方法包括:
步骤S1:来访用户通过设定登录方式登录权限管理系统后,权限管理系统将来访用户的登录信息与已注册用户库的分身信息进行匹配,如果匹配成功,则返回登录结果为“来访用户是合法用户”,并执行步骤S2;如果匹配失败,则返回登录结果为“来访用户是匿名访客用户”,并执行步骤S7;设定登录方式为口令登录(账号密码校验)、生物特征识别登录(指纹或扫脸识别)或证书登录(系统颁发的可信安全证书)。
步骤S2:权限管理系统从数据库用户信息表中读取来访用户的身份属性和操作属性,根据来访用户的登录信息获取环境属性和对象属性。
所述来访用户分为自然人、法人、网络设备三种。根据所述来访用户建立身份属性,当所述来访用户为自然人时,所述身份属性包含姓名、身份证号、手机号码、职位等;当所述来访用户为法人时,所述身份属性包含企业名称、社会信用代码、企业类型等;当所述来访用户为网络设备时,所述身份属性包含设备类型、设备型号、设备ip等。环境属性泛指来访用户在当前状态下的环境信息,如当前网络ip、当前访问时间、访问客户端版本信息、访问客户端类别和当前地理位置等,操作属性泛指来访用户所具备的对数据操作权限,如查询、新增、删除和修改等。对象属性在工业互联网标识解析系统中唯独指标识解析数据,所有来访工业互联网标识解析系统的用户的最终操作对象都是标识解析数据,所以本发明基于属性信息动态计算用户权限时,对象属性不参与权限计算算法中。
步骤S3:权限管理系统根据属性信息构建权限模型,具体步骤如下:
步骤S31:根据模型建立请求预定义逻辑运算符;所述逻辑运算符包括且(&&)、或(||)以及非(!)中至少一种。来访用户的登录信息与已注册用户库的分身信息匹配成功后生成模型建立请求;
步骤S32:预定义操作动作;所有操作动作包括:查询、删除以及修改中至少一种。
步骤S33:预定义访问主体与访问客体;访问主体是一个主动发起查询动作的实体,包括用户、用户组、终端设备或者是应用。访问客体是被访问的实体,权限控制主要是对访问客体中标识数据的访问控制,定义访问客体时主要定义访问客体中保存的数据字段类别。
步骤S34:利用访问主体和访问客体的属性信息,运用所述逻辑运算符和所述操作动作构建权限模型;具体的,利用访问主体和访问客体的用户属性,根据权限控制需求拼装策略规则,运用所述逻辑运算符和所述操作动作构建权限模型;所述权限模型为访问主体在用户属性值为某个区间内才有权限操作访问客体数据以及权重值,当权重值越小,则说明所述权限模型的优先级越高,最小值为1。
当权限控制需求为该企业标识数据只有企业内部人员且为部门经理及以上职位才可查看时,行业或企业节点权利管理员需设置访问主体为节点内部人员,访问客体为该节点客体实体本身,即该企业中的标识解析数据、运算符设置为大于等于号、用户职位属性的运算符比较值为部门经理职位数字代码(举例为4),操作动作为查询。最终保存的权限模型为所有来访该节点的用户,只有节点内部人员才能进入该节点,且节点内部员工职位属性代码值大于4时才能请求查询标识解析数据。
步骤S4:权限管理系统根据所述权限模型和所述属性信息动态计算多个权限,所述属性信息包括身份属性、操作属性、环境属性和对象属性。所述权限为“无权访问”或“有权访问”。
如图4所示,权限管理系统包括策略管理点(Policy Administration Point,简称PAP),策略决策点(Policy Decision Point,简称PDP),策略实施点(Policy EnforcementPoint,简称PEP),策略信息点(Policy Information Point,简称PIP),策略提取点(PolicyRetrieval Point,简称PRP),因此计算多个权限的具体步骤包括:
步骤S41:PEP接收所述权限请求后生成权限申请,并将所述权限申请发送至PDP;权限模型建立完成后生成权限请求;
步骤S42:PDP接收到所述权限申请后,向PRP获取权限策略;权限策略为“该标识的拥有者能够查询、修改、新增或删除此标识数据”;
步骤S43:PDP向PIP发送请求属性,以使PIP接收到所述请求属性时收集属性信息,并发送至PDP;
步骤S44:PDP根据所述属性信息确定待识别的拥有者,并判断所述待识别的拥有者是否为所述权限策略的拥有者;如果所述待识别的拥有者是所述权限策略的拥有者,则向PEP发送“同意”,即“有权访问”;如果所述待识别的拥有者不是所述权限策略的拥有者,则向PEP发送“拒绝”,即“无权访问”。
步骤S45:PAP管理PRP提取的权限策略;所述权限策略存储在数据库中,PRP通过JDBC(访问数据库的应用程序接口)链接数据库,维护并提取权限策略,PAP将PRP提取的权限策略展示在权限控制中心网站管理系统页面中,权限管理者通过浏览器页面上操作按钮按照设定操作方式维护访问策略数据,变更过的权限策略由PAP传递给PRP,PRP将权限策略存入数据库做持久化操作。设定操作方式为新增策略、修改策略或删除策略。
步骤S5:权限管理系统从各权限中选取权限权重值最小的权限作为最终权限。
同一用户的不同属性或不同属性组会对应不同的权限策略,同一企业应用系统中也可设置多条权限模型,所以,同一用户的不同属性经过步骤S3可能会获得不同的权限计算结果,在权限设计阶段每条权限会有一个字段代表权重值。权重值越小,权重越高,最小值为1。本步骤S5的计算是直接比较多条权限对应的权限权重值,将权限权重值最小的权限作为最终权限。比如一个网络设备根据“设备类型”身份属性通过步骤S4计算权限结果为可以查询该企业标识数据,其权限权重值为10。同样的网络设备根据“ip”和“访问时间”环境属性通过步骤4计算权限结果为无权查询该企业数据,此时的权限权重值为1。1的权重值大于10,那么,步骤S5返回的最终权限为“无权访问”。
步骤S6:权限管理系统获取来访用户发送的标识解析查询请求后,判断是否赋予最终权重;如果赋予最终权重,则将赋予最终权重的权限模型和标识解析查询请求通过所述请求转发系统发送至所述数据解析应用系统,以使所述数据解析应用系统根据赋予最终权重的权限模型设置操作权限,并按操作权限来控制标识数据的查询、修改或删除功能,获得查询标识解析数据;如果没有赋予最终权重,则执行“步骤S7”。
步骤S7:权限管理系统匿名将标识解析查询请求通过请求转发系统发送至数据解析应用系统,以使所述数据解析应用系统依次通过请求转发系统和所述权限管理系统向来访用户发送已公开的标识解析数据。
步骤S8:权限管理系统判断未公开的标识解析数据是否与权限策略相匹配;如果未公开的标识解析数据与权限策略相匹配,则将未公开的标识解析数据发送至来访用户;如果未公开的标识解析数据与权限策略相不匹配,则向来访用户发送无权访问。
如图5所示,本发明还提供一种标识解析用户权限控制系统,其特征在于,所述系统包括:
权限管理系统、请求转发系统和数据解析应用系统;所述权限管理系统包括登录匹配模块、属性信息确定模块、权限模型构建模块、多个权限确定模块、最终权限确定模块、第一判断模块和第二判断模块。
所述登录匹配模块用于将来访用户的登录信息与已注册用户库的分身信息进行匹配,如果匹配成功,则返回登录结果为“来访用户是合法用户”;如果匹配失败,则返回登录结果为“来访用户是匿名访客用户”。
所述属性信息确定模块用于从数据库用户信息表中读取来访用户的身份属性和操作属性,根据来访用户的登录信息获取环境属性和对象属性;
所述权限模型构建模块用于根据属性信息构建权限模型;所述属性信息包括身份属性、操作属性、环境属性和对象属性。
所述多个权限确定模块用于根据所述权限模型和所述属性信息动态计算多个权限。
所述最终权限确定模块用于权限管理系统从各权限中选取权限权重值最小的权限作为最终权限。
所述第一判断模块用于获取来访用户发送的标识解析查询请求后,判断是否赋予最终权重;如果赋予最终权重,则将赋予最终权重的权限模型和标识解析查询请求发送至所述请求转发系统;如果没有赋予最终权重,则匿名将标识解析查询请求发送至请求转发系统。
所述第二判断模块用于判断未公开的标识解析数据是否与权限策略相匹配;如果未公开的标识解析数据与权限策略相匹配,则将未公开的标识解析数据发送至来访用户;如果未公开的标识解析数据与权限策略相不匹配,则向来访用户发送无权访问。
所述请求转发系统用于将匿名的标识解析查询请求转发至数据解析应用系统,或将赋予最终权重的权限模型和标识解析查询请求转发至数据解析应用系统。
所述数据解析应用系统用于根据匿名的标识解析查询请求获取已公开的标识解析数据,并依次通过请求转发系统和所述权限管理系统发送至来访用户发送,或根据赋予最终权重的权限模型设置操作权限,并按操作权限来控制标识数据的查询、修改或删除功能,获得未公开的标识解析数据,并将未公开的标识解析数据通过所述请求转发系统发送至所述权限管理系统。
作为一种实施方式,本发明所述多个权限确定模块,具体包括:
权限申请发送单元,用于PEP接收所述权限请求后生成权限申请,并将所述权限申请发送至PDP;所述PDP为策略决策点;所述PEP为策略实施点;权限模型建立完成后生成权限请求。
权限策略获取单元,用于PDP接收到所述权限申请后,向PRP获取权限策略;所述PRP为策略提取点。
属性信息收集单元,用于PDP向PIP发送请求属性,以使PIP接收到所述请求属性时收集属性信息,并发送至PDP;所述PIP为策略信息点。
判断单元,用于PDP根据所述属性信息确定待识别的拥有者,并判断所述待识别的拥有者是否为所述权限策略的拥有者;如果所述待识别的拥有者是所述权限策略的拥有者,则向PEP发送“同意”;如果所述待识别的拥有者不是所述权限策略的拥有者,则向PEP发送“拒绝”。
权限策略管理单元,用于PAP管理PRP提取的权限策略;所述PAP为策略管理点。
作为一种实施方式,本发明所述权限模型构建模块,具体包括:
第一预定义单元,用于根据模型建立请求预定义逻辑运算符;来访用户的登录信息与已注册用户库的分身信息匹配成功后生成模型建立请求。
第二预定义单元,用于预定义操作动作。
第三预定义单元,用于预定义访问主体与访问客体。
权限模型构建单元,用于利用访问主体和访问客体的属性信息,运用所述逻辑运算符和所述操作动作构建权限模型。
作为一种实施方式,本发明所述方系统还包括:
身份属性构建模块,用于根据所述来访用户建立身份属性,当所述来访用户为自然人时,所述身份属性包含姓名、身份证号、手机号码和职位;当所述来访用户为法人时,所述身份属性包含企业名称、社会信用代码和企业类型;当所述来访用户为网络设备时,所述身份属性包含设备类型、设备型号和设备ip。所述环境属性包括当前网络ip、当前访问时间、访问客户端版本信息、访问客户端类别和当前地理位置。
本发明标识数据解析应用系统是由多家企业、多种标识节点解析系统组成,标识数据解析应用系统权限控制由权限管理系统统一管控,权限管理系统根据来访用户的属性信息计算权限模型,并基于已赋予最终权重的权限模型对来访用户赋权,并按权限和用户访问操作指令来控制标识数据的查询、修改、删除功能,最终将未公开的标识解析数据返回来访用户。
1、本发明在工业互联网标识解析过程中,所有标识解析查询的权限统一由权限系统管控,当来访用户进行标识解析数据查询时,权限管理系统根据用户属性建立权限模型,标识数据解析应用系统调用已赋予最终权重的权限模型,设置操作权限,并按操作权限来控制标识数据的查询、修改或删除功能,获得未公开的标识解析数据。可见本发明基于实体属性的权限控制,能够实现权限的动态控制以及对资源数据不同粒度的访问控制。
2、本发明提出的技术方案,最终作用于接入系统(企业)的访问权限控制,通过权限管理功能模块定义访问主体、访问客体,结合自定义的访问策略,控制用户对数据的读写范围,通过细化访问策略,实现数据权限的控制和数据安全保护的功能。
3、本发明提出的技术方案,不需要预定义判断逻辑,减轻权限系统的维护成本,适用于权限控制需求经常变化的系统。
4、本发明采用基于实体属性信息为授权基础,其权限模型的定义,是根据通过实体的身份属性、操作属性、相关的环境属性来控制是否有对操作对象的权限。该方式可动态计算权限,新用户注册进入系统时,不必为新用户手动绑定权限,新用户访问系统时,会根据新用户的实体属性计算并赋予权限。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种标识解析用户权限控制方法,其特征在于,所述方法包括:
步骤S1:来访用户通过设定登录方式登录权限管理系统后,权限管理系统将来访用户的登录信息与已注册用户库的分身信息进行匹配,如果匹配成功,则返回登录结果为“来访用户是合法用户”,并执行步骤S2;如果匹配失败,则返回登录结果为“来访用户是匿名访客用户”,并执行步骤S7;
步骤S2:权限管理系统从数据库用户信息表中读取来访用户的身份属性和操作属性,根据来访用户的登录信息获取环境属性和对象属性;
步骤S3:权限管理系统根据属性信息构建权限模型;所述属性信息包括身份属性、操作属性、环境属性和对象属性;
步骤S4:权限管理系统根据所述权限模型和所述属性信息动态计算多个权限;
步骤S5:权限管理系统从各权限中选取权限权重值最小的权限作为最终权限;
步骤S6:权限管理系统获取来访用户发送的标识解析查询请求后,判断是否赋予最终权限;如果赋予最终权限,则将赋予最终权限的权限模型和标识解析查询请求通过请求转发系统发送至数据解析应用系统,以使所述数据解析应用系统根据赋予最终权限的权限模型设置操作权限,并按操作权限来控制标识数据的查询、修改或删除功能,获得未公开的标识解析数据;如果没有赋予最终权限,则执行“步骤S7”;
步骤S7:权限管理系统匿名将标识解析查询请求通过请求转发系统发送至数据解析应用系统,以使所述数据解析应用系统依次通过请求转发系统和所述权限管理系统向来访用户发送已公开的标识解析数据;
步骤S8:权限管理系统判断未公开的标识解析数据是否与权限策略相匹配;如果未公开的标识解析数据与权限策略相匹配,则将未公开的标识解析数据发送至来访用户;如果未公开的标识解析数据与权限策略相不匹配,则向来访用户发送无权访问。
2.根据权利要求1所述的标识解析用户权限控制方法,其特征在于,所述权限管理系统根据所述权限模型和所述属性信息动态计算多个权限,具体包括:
步骤S41:PEP接收权限请求后生成权限申请,并将所述权限申请发送至PDP;所述PDP为策略决策点;所述PEP为策略实施点;权限模型建立完成后生成权限请求;
步骤S42:PDP接收到所述权限申请后,向PRP获取权限策略;所述PRP为策略提取点;
步骤S43:PDP向PIP发送请求属性,以使PIP接收到所述请求属性时收集属性信息,并发送至PDP;所述PIP为策略信息点;
步骤S44:PDP根据所述属性信息确定待识别的拥有者,并判断所述待识别的拥有者是否为所述权限策略的拥有者;如果所述待识别的拥有者是所述权限策略的拥有者,则向PEP发送“同意”;如果所述待识别的拥有者不是所述权限策略的拥有者,则向PEP发送“拒绝”;
步骤S45:PAP管理PRP提取的权限策略;所述PAP为策略管理点。
3.根据权利要求1所述的标识解析用户权限控制方法,其特征在于,所述权限管理系统根据属性信息构建权限模型,具体包括:
步骤S31:根据模型建立请求预定义逻辑运算符;来访用户的登录信息与已注册用户库的分身信息匹配成功后生成模型建立请求;
步骤S32:预定义操作动作;
步骤S33:预定义访问主体与访问客体;
步骤S34:利用访问主体和访问客体的属性信息,运用所述逻辑运算符和所述操作动作构建权限模型。
4.根据权利要求1所述的标识解析用户权限控制方法,其特征在于,所述方法还包括:根据所述来访用户建立身份属性,当所述来访用户为自然人时,所述身份属性包含姓名、身份证号、手机号码和职位;当所述来访用户为法人时,所述身份属性包含企业名称、社会信用代码和企业类型;当所述来访用户为网络设备时,所述身份属性包含设备类型、设备型号和设备ip。
5.根据权利要求1所述的标识解析用户权限控制方法,其特征在于,所述环境属性包括当前网络ip、当前访问时间、访问客户端版本信息、访问客户端类别和当前地理位置。
6.一种标识解析用户权限控制系统,其特征在于,所述系统包括:
权限管理系统、请求转发系统和数据解析应用系统;所述权限管理系统包括登录匹配模块、属性信息确定模块、权限模型构建模块、多个权限确定模块、最终权限确定模块、第一判断模块和第二判断模块;
所述登录匹配模块用于将来访用户的登录信息与已注册用户库的分身信息进行匹配,如果匹配成功,则返回登录结果为“来访用户是合法用户”;如果匹配失败,则返回登录结果为“来访用户是匿名访客用户”;
所述属性信息确定模块用于从数据库用户信息表中读取来访用户的身份属性和操作属性,根据来访用户的登录信息获取环境属性和对象属性;
所述权限模型构建模块用于根据属性信息构建权限模型;所述属性信息包括身份属性、操作属性、环境属性和对象属性;
所述多个权限确定模块用于根据所述权限模型和所述属性信息动态计算多个权限;
所述最终权限确定模块用于权限管理系统从各权限中选取权限权重值最小的权限作为最终权限;
所述第一判断模块用于获取来访用户发送的标识解析查询请求后,判断是否赋予最终权限;如果赋予最终权限,则将赋予最终权限的权限模型和标识解析查询请求发送至所述请求转发系统;如果没有赋予最终权限,则匿名将标识解析查询请求发送至请求转发系统;
所述第二判断模块用于判断未公开的标识解析数据是否与权限策略相匹配;如果未公开的标识解析数据与权限策略相匹配,则将未公开的标识解析数据发送至来访用户;如果未公开的标识解析数据与权限策略相不匹配,则向来访用户发送无权访问;
所述请求转发系统用于将匿名的标识解析查询请求转发至数据解析应用系统,或将赋予最终权限的权限模型和标识解析查询请求转发至数据解析应用系统;
所述数据解析应用系统用于根据匿名的标识解析查询请求获取已公开的标识解析数据,并依次通过请求转发系统和所述权限管理系统发送至来访用户发送,或根据赋予最终权限的权限模型设置操作权限,并按操作权限来控制标识数据的查询、修改或删除功能,获得未公开的标识解析数据,并将未公开的标识解析数据通过所述请求转发系统发送至所述权限管理系统。
7.根据权利要求6所述的标识解析用户权限控制系统,其特征在于,所述多个权限确定模块,具体包括:
权限申请发送单元,用于PEP接收权限请求后生成权限申请,并将所述权限申请发送至PDP;所述PDP为策略决策点;所述PEP为策略实施点;权限模型建立完成后生成权限请求;
权限策略获取单元,用于PDP接收到所述权限申请后,向PRP获取权限策略;所述PRP为策略提取点;
属性信息收集单元,用于PDP向PIP发送请求属性,以使PIP接收到所述请求属性时收集属性信息,并发送至PDP;所述PIP为策略信息点;
判断单元,用于PDP根据所述属性信息确定待识别的拥有者,并判断所述待识别的拥有者是否为所述权限策略的拥有者;如果所述待识别的拥有者是所述权限策略的拥有者,则向PEP发送“同意”;如果所述待识别的拥有者不是所述权限策略的拥有者,则向PEP发送“拒绝”;
权限策略管理单元,用于PAP管理PRP提取的权限策略;所述PAP为策略管理点。
8.根据权利要求6所述的标识解析用户权限控制系统,其特征在于,所述权限模型构建模块,具体包括:
第一预定义单元,用于根据模型建立请求预定义逻辑运算符;来访用户的登录信息与已注册用户库的分身信息匹配成功后生成模型建立请求;
第二预定义单元,用于预定义操作动作;
第三预定义单元,用于预定义访问主体与访问客体;
权限模型构建单元,用于利用访问主体和访问客体的属性信息,运用所述逻辑运算符和所述操作动作构建权限模型。
9.根据权利要求6所述的标识解析用户权限控制系统,其特征在于,所述系统还包括:
身份属性构建模块,用于根据所述来访用户建立身份属性,当所述来访用户为自然人时,所述身份属性包含姓名、身份证号、手机号码和职位;当所述来访用户为法人时,所述身份属性包含企业名称、社会信用代码和企业类型;当所述来访用户为网络设备时,所述身份属性包含设备类型、设备型号和设备ip。
10.根据权利要求6所述的标识解析用户权限控制系统,其特征在于,所述环境属性包括当前网络ip、当前访问时间、访问客户端版本信息、访问客户端类别和当前地理位置。
CN202110248646.1A 2021-03-08 2021-03-08 一种标识解析用户权限控制方法及系统 Active CN112906029B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110248646.1A CN112906029B (zh) 2021-03-08 2021-03-08 一种标识解析用户权限控制方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110248646.1A CN112906029B (zh) 2021-03-08 2021-03-08 一种标识解析用户权限控制方法及系统

Publications (2)

Publication Number Publication Date
CN112906029A CN112906029A (zh) 2021-06-04
CN112906029B true CN112906029B (zh) 2021-09-07

Family

ID=76107882

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110248646.1A Active CN112906029B (zh) 2021-03-08 2021-03-08 一种标识解析用户权限控制方法及系统

Country Status (1)

Country Link
CN (1) CN112906029B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113360889B (zh) * 2021-06-08 2024-03-22 深圳追一科技有限公司 权限管理方法和装置、服务器、计算机可读存储介质
CN113626863A (zh) * 2021-08-11 2021-11-09 杭州橙鹰数据技术有限公司 数据处理方法及装置
CN113704792A (zh) * 2021-09-01 2021-11-26 江苏省未来网络创新研究院 一种基于工业互联网标识编码规范的标识数据访问权限控制方法
CN114254363B (zh) * 2021-12-24 2024-08-02 暨南大学 可自定义的多态访问控制模型及其工作方法
US12069104B2 (en) 2022-02-25 2024-08-20 Red Hat, Inc. Dynamic management of role-based access control systems
CN114924672A (zh) * 2022-03-31 2022-08-19 世纪标准(北京)科技有限公司 菜单访问权限控制方法、装置、设备和存储介质
CN114723529B (zh) * 2022-04-12 2023-05-02 杭州创惠校园网络科技有限公司 一种加密收集数据生成定制数据与数据分类的系统
CN115208653B (zh) * 2022-07-11 2024-04-09 苏州协同创新智能制造装备有限公司 一种基于主动标识的加密通讯方法
CN115499210B (zh) * 2022-09-15 2023-06-20 中国工业互联网研究院 一种基于标识的工业互联网数据动态访问控制方法及平台
CN118094504A (zh) * 2024-04-22 2024-05-28 中国电子技术标准化研究院((工业和信息化部电子工业标准化研究院)(工业和信息化部电子第四研究院)) 实体数字身份标识的通用处理方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102055763A (zh) * 2010-12-14 2011-05-11 山东中创软件工程股份有限公司 一种权限管理方法及系统
CN104811465A (zh) * 2014-01-27 2015-07-29 电信科学技术研究院 一种访问控制的决策方法和设备
US10264128B1 (en) * 2017-10-30 2019-04-16 Amazon Technologies, Inc. Dynamic machine-learning-based contact processing
CN110968894A (zh) * 2019-11-28 2020-04-07 西安理工大学 一种针对游戏业务数据的细粒度访问控制方案
CN111147256A (zh) * 2019-12-26 2020-05-12 华为技术有限公司 一种鉴权认证方法及装置
CN111444524A (zh) * 2020-03-26 2020-07-24 广州智慧城市发展研究院 一种基于联盟链的动态双访问控制机制

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102055763A (zh) * 2010-12-14 2011-05-11 山东中创软件工程股份有限公司 一种权限管理方法及系统
CN104811465A (zh) * 2014-01-27 2015-07-29 电信科学技术研究院 一种访问控制的决策方法和设备
US10264128B1 (en) * 2017-10-30 2019-04-16 Amazon Technologies, Inc. Dynamic machine-learning-based contact processing
CN110968894A (zh) * 2019-11-28 2020-04-07 西安理工大学 一种针对游戏业务数据的细粒度访问控制方案
CN111147256A (zh) * 2019-12-26 2020-05-12 华为技术有限公司 一种鉴权认证方法及装置
CN111444524A (zh) * 2020-03-26 2020-07-24 广州智慧城市发展研究院 一种基于联盟链的动态双访问控制机制

Also Published As

Publication number Publication date
CN112906029A (zh) 2021-06-04

Similar Documents

Publication Publication Date Title
CN112906029B (zh) 一种标识解析用户权限控制方法及系统
JP7222036B2 (ja) モデルトレーニングシステムおよび方法および記憶媒体
CN109670768A (zh) 多业务域的权限管理方法、装置、平台及可读存储介质
US20210073806A1 (en) Data processing system utilising distributed ledger technology
CN112637214B (zh) 资源访问方法、装置及电子设备
JP2022000757A5 (zh)
US7827598B2 (en) Grouped access control list actions
US7062563B1 (en) Method and system for implementing current user links
Al-Kahtani et al. A model for attribute-based user-role assignment
EP1764978B1 (en) Attested identities
US20200067923A1 (en) Governed access to rpa bots
CN112364377A (zh) 一种适应于电力行业的数据分类分级安全防护系统
CN114465807B (zh) 一种基于机器学习的零信任api网关动态信任评估与访问控制方法及系统
CN111191210A (zh) 数据访问权限的控制方法、装置、计算机设备和存储介质
JP2020520523A (ja) エンタープライズグループの作成
WO2020147605A1 (zh) 在线诊断平台、其权限管理方法及权限管理系统
CN105659558A (zh) 具有单一、灵活、可插拔OAuth服务器的多个资源服务器和OAuth保护的RESTful OAuth同意管理服务,以及对OAuth服务的移动应用单点登录
Xiaojian et al. Power IoT security protection architecture based on zero trust framework
CN107911282B (zh) 一种面向社交网络实现第三方应用植入的网络系统
CN107315950B (zh) 一种云计算平台管理员权限最小化的自动化划分方法及访问控制方法
CN113468511B (zh) 数据处理方法、装置、计算机可读介质及电子设备
CN109413080B (zh) 一种跨域动态权限控制方法及系统
CN102111407B (zh) 用户为中心的访问控制隐私保护方法
CN112202708A (zh) 身份认证方法、装置、电子设备及存储介质
CN108322468A (zh) 身份认证系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant