CN112953950B - 改进的基于角色的访问控制方法及系统 - Google Patents

Abstract

本申请公开了一种改进的基于角色的访问控制方法及系统，方法包括：提取步骤：任一主体访问客体资源时向域内角色控制服务器提交访问请求并从所述访问请求中提取客体；第一判断步骤：所述域内角色控制服务器判断所述主体及所述客体是否属于本域范围内后输出第一判定结果；第二判断步骤：当所述第一判定结果为所述主体和所述客体在同一域内时，所述域内角色控制服务器判断所述主体是否具备操作权限并输出第二判定结果；输出步骤：当所述第二判定结果为具备操作权限时输出所述第二判定结果至所述主体；访问步骤：所述主体根据所述第二判定结果执行其权限内的相应操作。本发明能够处理访问控制请求，通过这种分布式的访问控制有效保证效率。

Description

改进的基于角色的访问控制方法及系统

技术领域

本发明属于改进的基于角色的访问控制方法领域，具体涉及一种改进的基于角色的访问控制方法及系统。

背景技术

访问控制机制能保障系统有效保障系统的资源安全，传统的访问控制策略包括自主访问控制和强制访问控制，主要用于集中式的访问控制。分布式环境下多采用基于角色的访问控制，基于角色的访问控制的基本思想是：在主客体之间引入角色的概念，将角色和对客体的访问权限绑定，系统对用户不直接分配权限，而是授予其不同角色来表示相应的访问权限。这种方式更能方便准确模拟组织结构。但是基于角色的访问控制也存在一定的局限性，模型是针对单一域设计的，在如今分布式环境下，对于不同域间的互访，需要解决各个域间角色的对应问题。基于角色的访问控制模型在处理分布式场景时提出对等角色的概念，认为组织间的同名角色应该具有相同的权限。而实际情况是，大多数组织对其组织外部的访问权限，往往比其原有角色权限更低。采用RBAC模型无法区分组织内部和外部的主体角色，可能导致赋予组织外部主题权限过大的问题，无法满足现实业务的需要。

如图3所示：现有技术对传统的RBAC模型进行了扩展。一方面将角色扩展为职能角色和任务角色，细化角色定义；另一方面通过扩展权限的定义，给权限增加一个标识位来区别主体、访问的客体属于相同域和属于不同域时的权限，从而更有利于最小权限的实现。

FRoles(职能角色集)是职能角色的集合，每个职能角色是任务角色的集合，其代表组织中的某个工作职能，例如项目经理，销售经理，销售职员，技术总监等。职能角色可以表示为一个二元组，frole＝(frname，trset)，其中frname是职能角色的名称，trset是任务角色的集合。TRoles(任务角色集)是任务角色的集合，每个任务角色包括有一系列的权限，任务角色可以表示为一个三元组trole＝(trname，trpset，blocal_domain)，其中rname是角色的名称，rpset是任务角色的权限集合，blocal_domain是一个二值变量，是任务角色的属性，其表达的语义为当该任务角色作为某个职能角色中的一个角色赋予主体时，该主体是否拥有此任务角色。blocal_domain的取值范围为{0，1}。当主体和客体属于同一个域时，blocal_domain＝1，说明该主体所赋予的职能角色中包含有该任务角色；当主体和客体不属于同一个域时，blocal_domain＝0，说明该主体所赋予的职能角色中不包含该任务角色。

因此，当主体和客体属于同一个域时，主体所赋予的职能角色所包含的任务角色都是有效的，主体可以赋予职能角色中所有的任务角色。当主体和客体不属于同一个域时，赋予主体的职能角色中的任务角色的有效性依赖于任务角色的blocal_domain属性值。通过这样一个属性值来区分域内和域间访问时的不同权限。

现有技术的缺点：现有模型默认在各个组织间角色关系是一一对应的。在进行域间访问时，对于同名角色接收访问请求进行权限判定，而对于在域外不存在的角色，直接判定请求失败。具有一定的局限性。

发明内容

为解决上述技术问题，本申请实施例提供了一种改进的基于角色的访问控制方法及系统。改进的基于角色的访问控制方法，其中，应用于分布式环境下，所述访问控制方法包括：

提取步骤：任一主体访问客体资源时向域内角色控制服务器提交访问请求并从所述访问请求中提取客体；

第一判断步骤：所述域内角色控制服务器判断所述主体及所述客体是否属于本域范围内后输出第一判定结果；

第二判断步骤：当所述第一判定结果为所述主体和所述客体在同一域内时，所述域内角色控制服务器判断所述主体是否具备操作权限并输出第二判定结果；

输出步骤：当所述第二判定结果为具备操作权限时输出所述第二判定结果至所述主体；

访问步骤：所述主体根据所述第二判定结果执行其权限内的相应操作。

上述访问控制方法，其中，包括：

传输步骤：当所述第一判定结果为所述主体和所述客体不在同一域内时，所述域内角色控制服务器将所述访问请求输出至所述客体所在的目标域内的目标域内角色控制服务器；

第三判断步骤：所述目标域内角色控制服务器根据所述访问请求查询所述主体角色并判断所述目标域内是否存在与所述主体角色对应地角色后输出第三判定结果；

第四判断步骤：当所述第三判定结果为存在对应地所述角色时，所述目标域内角色控制服务器判断所述主体是否具备操作权限并输出所述第二判定结果。

上述访问控制方法，其中，包括：

第五判断步骤：当所述第三判定结果为不存在对应地所述角色时，所述目标域内角色控制服务器查找全局角色层次树上主体的父节点，并以所述父节点的角色查询所述目标域是否存在相应角色，并输出第五判定结果，当所述第五判定结果为存在对应地所述角色时，返回所述第四判断步骤，所述目标域内角色控制服务器判断所述主体是否具备操作权限并输出所述第二判定结果，否则在所述全局角色层次树上继续向上查找父节点，循环所述第五判断步骤操作。

上述访问控制方法，其中，包括：

所述域内角色控制服务器通过查询权限列表以及角色-权限映射表判断所述主体是否具备对所述客体的相应操作权限。

上述访问控制方法，其中，包括：

所述目标域内角色控制服务器通过查询权限列表及权限标识位来判断所述主体是否具备操作权限。

一种改进的基于角色的访问控制系统，其中，应用于分布式环境下，所述访问控制系统包括：

提取模块，任一主体访问客体资源时所述提取模块向域内角色控制服务器提交访问请求并从所述访问请求中提取客体；

第一判断模块，所述域内角色控制服务器判断所述主体及所述客体是否属于本域范围内后所述第一判断模块输出第一判定结果；

第二判断模块，当所述第一判定结果为所述主体和所述客体在同一域内时，所述域内角色控制服务器判断所述主体是否具备操作权限所述第二判断模块输出第二判定结果；

输出模块，当所述第二判定结果为具备操作权限时所述输出模块输出所述第二判定结果至所述主体；

访问模块，所述访问模块根据所述第二判定结果执行其权限内的相应操作。

上述访问控制系统，其中，包括：

传输模块，当所述第一判定结果为所述主体和所述客体不在同一域内时，所述传输模块将所述访问请求输出至所述客体所在的目标域内的目标域内角色控制服务器；

第三判断模块，所述第三判断模块根据所述访问请求查询所述主体角色并判断所述目标域内是否存在与所述主体角色对应地角色后输出第三判定结果；

第四判断模块，当所述第三判定结果为存在对应地所述角色时，所述第四判断模块判断所述主体是否具备操作权限并输出所述第二判定结果。

上述访问控制系统，其中，包括：

第五判断模块，当所述第三判定结果为不存在对应地所述角色时，所述第五判断模块查找全局角色层次树上主体的父节点，并以所述父节点的角色查询所述目标域是否存在相应角色，并输出第五判定结果，当所述第五判定结果为存在对应地所述角色时，返回所述第四判断步骤，所述第五判断模块判断所述主体是否具备操作权限并输出所述第二判定结果，否则在所述全局角色层次树上继续向上查找父节点，循环所述第五判断步骤操作。

上述访问控制系统，其中，包括：

所述域内角色控制服务器通过查询权限列表以及角色-权限映射表判断所述主体是否具备对所述客体的相应操作权限。

上述访问控制系统，其中，包括：

所述目标域内角色控制服务器通过查询权限列表及权限标识位来判断所述主体是否具备操作权限。

本发明的有益效果在于：

本发明技术方案通过引入角色层次关系树，将所有用户的角色都映射为关系树上的一个节点，节点之间层次能够体现角色所持有权限的范围大小。对于域间有差异的角色，能够保留角色的基本权限，提高现有访问控制方案的灵活性。每个域采用一个专门的控制服务器来维护层次关系结构，并处理访问控制请求，通过这种分布式的访问控制有效保证效率。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。

在附图中：

图1是改进的基于角色的访问控制方法的流程图；

图2是本发明的改进的基于角色的访问控制系统的结构示意图；

图3是现有技术中的模型结构图；

图4是本发明的角色-权限映射表；

图5是本发明的权限列表；

图6是角色用户映射表；

图7-1是域1的域内层次关系树；

图7-2是域2的域内层次关系树；

图7-3是全局角色层次关系树；

图8是根据本发明实施例的计算机设备的框架图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其他类似情景。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

下面结合附图所示的各实施方式对本发明进行详细说明，但应当说明的是，这些实施方式并非对本发明的限制，本领域普通技术人员根据这些实施方式所作的功能、方法、或者结构上的等效变换或替代，均属于本发明的保护范围之内。

在详细阐述本发明各个实施例之前，对本发明的核心发明思想予以概述，并通过下述若干实施例予以详细阐述。

请参照图1，图1是改进的基于角色的访问控制方法流程图。如图1所示，本发明的改进的基于角色的访问控制方法包括：

提取步骤S1：任一主体访问客体资源时向域内角色控制服务器提交访问请求并从所述访问请求中提取客体；

第一判断步骤S2：所述域内角色控制服务器判断所述主体及所述客体是否属于本域范围内后输出第一判定结果；

第二判断步骤S3：当所述第一判定结果为所述主体和所述客体在同一域内时，所述域内角色控制服务器判断所述主体是否具备操作权限并输出第二判定结果；

输出步骤S4：当所述第二判定结果为具备操作权限时输出所述第二判定结果至所述主体；

访问步骤S5：所述主体根据所述第二判定结果执行其权限内的相应操作；

传输步骤S6：当所述第一判定结果为所述主体和所述客体不在同一域内时，所述域内角色控制服务器将所述访问请求输出至所述客体所在的目标域内的目标域内角色控制服务器；

第三判断步骤S7：所述目标域内角色控制服务器根据所述访问请求查询所述主体角色并判断所述目标域内是否存在与所述主体角色对应地角色后输出第三判定结果；

第四判断步骤S8：当所述第三判定结果为存在对应地所述角色时，所述目标域内角色控制服务器判断所述主体是否具备操作权限并输出所述第二判定结果。

第五判断步骤S9：当所述第三判定结果为不存在对应地所述角色时，所述目标域内角色控制服务器查找全局角色层次树上主体的父节点，并以所述父节点的角色查询所述目标域是否存在相应角色，并输出第五判定结果，当所述第五判定结果为存在对应地所述角色时，返回所述第四判断步骤，所述目标域内角色控制服务器判断所述主体是否具备操作权限并输出所述第二判定结果，否则在所述全局角色层次树上继续向上查找父节点，循环所述第五判断步骤操作。

其中，所述第二判断步骤包括：

所述域内角色控制服务器通过查询权限列表以及角色-权限映射表判断所述主体是否具备对所述客体的相应操作权限。

其中，所述第四判断步骤包括：

所述目标域内角色控制服务器通过查询权限列表及权限标识位来判断所述主体是否具备操作权限。

以下，列举实施例具体说明本发明的改进的基于角色的访问控制方法如下。

实施例一：

本实例揭示了基于统计的改进的基于角色的访问控制方法如(以下简称“方法”)的具体实施方式。

为解决不同域间访问控制问题，提供了一种改进的分布式环境下基于角色的访问控制模型。该模型主要思想是：引入角色层次关系树，表示不同角色间的层次关系，该结构中的任一子节点角色都会继承来自父节点角色的所有权限，根节点是整棵关系树中拥有最少权限的角色。将不同组织看作不同的域，每个域维护各自域内的角色层次关系树，那么本域用户必定可以在该层次关系树中找到与其对应的角色；考虑到不同组织间角色关系的灵活性，必须处理域间不同角色的访问请求问题，因此每个域还必须维护一个全局的角色层次关系树，该层次关系树需要表示出所有域的角色层次关系。

由于角色层次关系树中父节点代表的权限一定是子节点权限的子集，因此作为子节点角色的用户必定拥有其父节点角色的权限。当所要访问的目标域中并不包含提交访问请求的主体角色时，不能直接判定拒绝访问，至少还应当保留主体的最基本权限。因此选择以主体角色父节点角色的身份继续保持请求，直到找到一个在目标域中对应的角色，以该角色身份作为请求主体的角色。其中几个关键组件包括角色控制服务器，域内角色层次关系树，全局角色层次关系树。

角色控制服务器：每个域指派一个专门的角色控制服务器，用于接收处理来自域内或者域外的访问请求，同时每个角色控制服务器保存该域的角色层次关系树以及一个全局统一的角色层次关系树。除此之外，角色控制服务器还需要维护几张关系表。

如图4图5图6所示的角色-权限映射表表示角色和权限的多对多关系，其中权限标识符Permission_flag表示是否允许授予外域角色对应权限，当Permission_flag取值为true时，表示允许授予外域角色该项权限；当Permission_flag取值为false时，表示不允许该权限被授予其他域的角色。

权限列表是权限的集合，表示允许对系统资源进行哪些访问操作。

如图7-1图7-2所示的域内角色层次关系树：将域内的角色层次关系用树结构来表示，具有最小权限的角色作为该角色层次树的根节点，任意子节点代表的角色所包含的权限都应该包含了其父节点的所有权限。

如图7-3所示的全局角色层次关系树：全局角色层次关系树可以看作是所有域内角色层次关系树的并集，可以表示所有域中角色的层次关系。其构造方法是每当某个域创建一个新角色，就会在该层次树上添加对应的节点，然后将信息同步到所有的角色控制服务器，使其更新所维护的全局角色层次关系树。

具体实现步骤如下：

某个主体需要访问客体资源时，首先向域内角色控制服务器提交访问请求，控制服务器会判断客体是否属于本域范围内，如果请求主体和客体在同一域内，继续执行步骤(2)，否则转到步骤(4)。

当请求主体和客体在同一域内，该域控制服务器通过查询用角色-用户映射表，权限列表以及角色-权限映射表来判断主体是否具备对该客体的相应操作权限。

控制服务器将判定结果(允许访问或者拒绝访问)返回给提交访问请求的主体，主体再去执行其权限内的相应操作。结束，完成一次访问请求。

当请求主体和客体不在同一域内，控制服务器继续将访问请求提交给客体所在的域，我们称作目标域。由目标域的角色控制服务器查询请求主体角色是否对应于目标域内的角色。如果存在对应角色，继续执行步骤(5)，否则转到步骤(6)。

目标域角色控制服务器查询请求主体在本域内对应角色的权限列表，同时还要查询权限标识位来判断是否允许授予外部角色权限。如果允许则授权访问客体，否则拒绝访问。将请求结果返回给提交请求的主体，主体再执行其权限允许的操作。结束，完成一次访问请求。

目标域不存在和提交请求主体相对应的角色，查找全局角色层次树上主体的父节点，以该父节点角色继续查询目标域是否存在相应角色。如果存在对应角色，则查询对应角色权限标识位来判断是否允许授予外部角色权限，将判定结果返回给提交请求的主体；否则，在全局角色层次树上继续向上查找父节点，循环本步骤操作。

实施例二：

请参照图2，图2是本发明的改进的基于角色的访问控制系统的结构示意图。如图2所示，本发明的一种改进的基于角色的访问控制系统，其中，应用于分布式环境下，所述访问控制系统包括：

提取模块，任一主体访问客体资源时所述提取模块向域内角色控制服务器提交访问请求并从所述访问请求中提取客体；

第一判断模块，所述域内角色控制服务器判断所述主体及所述客体是否属于本域范围内后所述第一判断模块输出第一判定结果；

第二判断模块，当所述第一判定结果为所述主体和所述客体在同一域内时，所述域内角色控制服务器判断所述主体是否具备操作权限所述第二判断模块输出第二判定结果；

输出模块，当所述第二判定结果为具备操作权限时所述输出模块输出所述第二判定结果至所述主体；

访问模块，所述访问模块根据所述第二判定结果执行其权限内的相应操作。

上述访问控制系统，其中，包括：

传输模块，当所述第一判定结果为所述主体和所述客体不在同一域内时，所述传输模块将所述访问请求输出至所述客体所在的目标域内的目标域内角色控制服务器；

第三判断模块，所述第三判断模块根据所述访问请求查询所述主体角色并判断所述目标域内是否存在与所述主体角色对应地角色后输出第三判定结果；

第四判断模块，当所述第三判定结果为存在对应地所述角色时，所述第四判断模块判断所述主体是否具备操作权限并输出所述第二判定结果。

其中，还包括：

第五判断模块，当所述第三判定结果为不存在对应地所述角色时，所述第五判断模块查找全局角色层次树上主体的父节点，并以所述父节点的角色查询所述目标域是否存在相应角色，并输出第五判定结果，当所述第五判定结果为存在对应地所述角色时，返回所述第四判断步骤，所述第五判断模块判断所述主体是否具备操作权限并输出所述第二判定结果，否则在所述全局角色层次树上继续向上查找父节点，循环所述第五判断步骤操作。

其中，还包括：

所述域内角色控制服务器通过查询权限列表以及角色-权限映射表判断所述主体是否具备对所述客体的相应操作权限。

其中，还包括：

所述目标域内角色控制服务器通过查询权限列表及权限标识位来判断所述主体是否具备操作权限。

实施例三：

结合图8所示，本实施例揭示了一种计算机设备的一种具体实施方式。计算机设备可以包括处理器81以及存储有计算机程序指令的存储器82。

具体地，上述处理器81可以包括中央处理器(CPU)，或者特定集成电路(Application Specific Integrated Circuit，简称为ASIC)，或者可以被配置成实施本申请实施例的一个或多个集成电路。

其中，存储器82可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器82可包括硬盘驱动器(Hard Disk Drive，简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive，简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus，简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器82可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器82可在数据处理装置的内部或外部。在特定实施例中，存储器82是非易失性(Non-Volatile)存储器。在特定实施例中，存储器82包括只读存储器(Read-Only Memory，简称为ROM)和随机存取存储器(RandomAccess Memory，简称为RAM)。在合适的情况下，该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory，简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory，简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory，简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory，简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下，该RAM可以是静态随机存取存储器(Static Random-Access Memory，简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory，简称为DRAM)，其中，DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory，简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory，简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory，简称SDRAM)等。

存储器82可以用来存储或者缓存需要处理和/或通信使用的各种数据文件，以及处理器81所执行的可能的计算机程序指令。

处理器81通过读取并执行存储器82中存储的计算机程序指令，以实现上述实施例中的任意一种改进的基于角色的访问控制方法。

在其中一些实施例中，计算机设备还可包括通信接口83和总线80。其中，如图8所示，处理器81、存储器82、通信接口83通过总线80连接并完成相互间的通信。

通信接口83用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信端口83还可以实现与其他部件例如：外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。

总线80包括硬件、软件或两者，将计算机设备的部件彼此耦接在一起。总线80包括但不限于以下至少之一：数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制，总线80可包括图形加速接口(Accelerated Graphics Port，简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture，简称为EISA)总线、前端总线(Front Side Bus，简称为FSB)、超传输(Hyper Transport，简称为HT)互连、工业标准架构(Industry Standard Architecture，简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count，简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture，简称为MCA)总线、外围组件互连(Peripheral Component Interconnect，简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment，简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus，简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线80可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线，但本申请考虑任何合适的总线或互连。

该计算机设备可以基于改进的基于角色的访问控制方法进行网络异常流量的检测，从而实现结合图1描述的方法。

另外，结合上述实施例中改进的基于角色的访问控制方法，本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种改进的基于角色的访问控制方法。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

综上所述，基于本发明的有益效果在于，本专利提供了一种改进的基于角色的访问控制方法，本发明技术方案通过引入角色层次关系树，将所有用户的角色都映射为关系树上的一个节点，节点之间层次能够体现角色所持有权限的范围大小。对于域间有差异的角色，能够保留角色的基本权限，提高现有访问控制方案的灵活性。每个域采用一个专门的控制服务器来维护层次关系结构，并处理访问控制请求，通过这种分布式的访问控制有效保证效率。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (6)

1.一种改进的基于角色的访问控制方法，其特征在于，应用于分布式环境下，所述访问控制方法包括：

提取步骤：任一主体访问客体资源时向域内角色控制服务器提交访问请求并从所述访问请求中提取客体；

第一判断步骤：所述域内角色控制服务器判断所述主体及所述客体是否属于本域范围内后输出第一判定结果；

第二判断步骤：当所述第一判定结果为所述主体和所述客体在同一域内时，所述域内角色控制服务器判断所述主体是否具备操作权限并输出第二判定结果；

输出步骤：当所述第二判定结果为具备操作权限时输出所述第二判定结果至所述主体；

访问步骤：所述主体根据所述第二判定结果执行其权限内的相应操作；

传输步骤：当所述第一判定结果为所述主体和所述客体不在同一域内时，所述域内角色控制服务器将所述访问请求输出至所述客体所在的目标域内的目标域内角色控制服务器；

第三判断步骤：所述目标域内角色控制服务器根据所述访问请求查询所述主体角色并判断所述目标域内是否存在与所述主体角色对应地角色后输出第三判定结果；

第四判断步骤：当所述第三判定结果为存在对应地所述角色时，所述目标域内角色控制服务器判断所述主体是否具备操作权限并输出所述第二判定结果；

第五判断步骤：当所述第三判定结果为不存在对应地所述角色时，所述目标域内角色控制服务器查找全局角色层次树上主体的父节点，并以所述父节点的角色查询所述目标域是否存在相应角色，并输出第五判定结果，当所述第五判定结果为存在对应地所述角色时，返回所述第四判断步骤，所述目标域内角色控制服务器判断所述主体是否具备操作权限并输出所述第二判定结果，否则在所述全局角色层次树上继续向上查找父节点，循环所述第五判断步骤操作。

2.如权利要求1所述的访问控制方法，其特征在于，所述第二判断步骤包括：

所述域内角色控制服务器通过查询权限列表以及角色-权限映射表判断所述主体是否具备对所述客体的相应操作权限。

3.如权利要求1所述的访问控制方法，其特征在于，所述第四判断步骤包括：

所述目标域内角色控制服务器通过查询权限列表及权限标识位来判断所述主体是否具备操作权限。

4.一种改进的基于角色的访问控制系统，其特征在于，应用于分布式环境下，所述访问控制系统包括：

提取模块，任一主体访问客体资源时所述提取模块向域内角色控制服务器提交访问请求并从所述访问请求中提取客体；

第一判断模块，所述域内角色控制服务器判断所述主体及所述客体是否属于本域范围内后所述第一判断模块输出第一判定结果；

第二判断模块，当所述第一判定结果为所述主体和所述客体在同一域内时，所述域内角色控制服务器判断所述主体是否具备操作权限所述第二判断模块输出第二判定结果；

输出模块，当所述第二判定结果为具备操作权限时所述输出模块输出所述第二判定结果至所述主体；

访问模块，所述访问模块根据所述第二判定结果执行其权限内的相应操作；

传输模块，当所述第一判定结果为所述主体和所述客体不在同一域内时，所述传输模块将所述访问请求输出至所述客体所在的目标域内的目标域内角色控制服务器；

第三判断模块，所述第三判断模块根据所述访问请求查询所述主体角色并判断所述目标域内是否存在与所述主体角色对应地角色后输出第三判定结果；

第四判断模块，当所述第三判定结果为存在对应地所述角色时，所述第四判断模块判断所述主体是否具备操作权限并输出所述第二判定结果；

第五判断模块，当所述第三判定结果为不存在对应地所述角色时，所述第五判断模块查找全局角色层次树上主体的父节点，并以所述父节点的角色查询所述目标域是否存在相应角色，并输出第五判定结果，当所述第五判定结果为存在对应地所述角色时，返回所述第四判断步骤，所述第五判断模块判断所述主体是否具备操作权限并输出所述第二判定结果，否则在所述全局角色层次树上继续向上查找父节点，循环所述第五判断步骤操作。

5.如权利要求4所述的访问控制系统，其特征在于，所述第二判断模块包括：

所述域内角色控制服务器通过查询权限列表以及角色-权限映射表判断所述主体是否具备对所述客体的相应操作权限。

6.如权利要求5所述的访问控制系统，其特征在于，所述第四判断模块包括：

所述目标域内角色控制服务器通过查询权限列表及权限标识位来判断所述主体是否具备操作权限。

Images