CN114254279A

CN114254279A - 动态授权访问控制方法、装置、设备及计算机存储介质

Info

Publication number: CN114254279A
Application number: CN202111494619.9A
Authority: CN
Inventors: 刘洋
Original assignee: Migu Cultural Technology Co Ltd; China Mobile Communications Group Co Ltd; MIGU Music Co Ltd
Current assignee: Migu Cultural Technology Co Ltd; China Mobile Communications Group Co Ltd; MIGU Music Co Ltd
Priority date: 2021-12-07
Filing date: 2021-12-07
Publication date: 2022-03-29

Abstract

本发明公开了一种动态授权访问控制方法、装置、设备及计算机存储介质，所述方法包括：接收用户的授权申请请求，授权申请请求包括用户标识及待访问的权限标识；根据用户标识查找系统权限库，确定用户当前账号权限对应的基础授权码和动态授权码，基础授权码是预先设置的用户授权配置确定，动态授权码是根据包括多个环境维度的环境授权库和包括多个特权维度的特权授权库确定；根据待访问的权限标识分别与基础授权码和动态授权码的匹配状态，确定对用户的授权结果，其中，当待访问的权限标识分别与基础授权码和动态授权码匹配，则确定用户的授权结果为授权成功。本发明避免了访问控制方式的授权参考维度单一，实现了动态授权，提高了访问的安全性。

Description

动态授权访问控制方法、装置、设备及计算机存储介质

技术领域

本发明涉及信息安全技术领域，尤其涉及一种动态授权访问控制方法、装置、设备及计算机存储介质。

背景技术

对于运营有大型信息系统的企业，通常通过部署一套统一的访问控制平台来对系统中的各种权限进行统一管理。目前的访问控制方法，其原理是将访问控制平台所管理的权限与用户进行逐一映射。但存在以下几点不足：1、映射的过程通常发生在用户账号创建或权限变更时，用户账号与权限的耦合度高，一旦用户的职责发生变化或临时需要紧急变更权限等突发情况时，为满足相关安全和审计合规要求需要提交工单进行多级审批，影响了授权的实时性。2、对于权限控制的参考维度单一，只通过用户(或用户所属的角色)这一个维度来进行授权，授权方式简单，难以实现周期性授权及多条件授权的场景。

发明内容

本发明的主要目的在于提供一种动态授权访问控制方法、装置、设备及计算机存储介质，旨在解决目前访问控制方式的授权参考维度单一，只能进行静态授权，导致安全性较低的技术问题。

为实现上述目的，本发明提供一种动态授权访问控制方法，包括以下步骤：

接收用户的授权申请请求，所述授权申请请求中包括用户标识以及待访问的权限标识；

根据所述用户标识查找系统权限库，确定用户当前账号权限对应的基础授权码和动态授权码，所述基础授权码是预先设置的用户授权配置确定的，所述动态授权码是根据包括多个环境维度的环境授权库和包括多个特权维度的特权授权库确定的；

根据所述待访问的权限标识分别与所述基础授权码和所述动态授权码的匹配状态，确定对所述用户的授权结果，其中，当所述待访问的权限标识分别与所述基础授权码和所述动态授权码匹配，则确定所述用户的授权结果为授权成功。

可选地，确定所述用户当前账号权限对应的动态授权码的步骤，包括：

确定多个环境维度的环境授权库，并计算所述环境授权库对应的动态环境授权码；

确定多个特权维度的特权授权库，并计算所述特权授权库对应的动态特权授权码，根据所述动态环境授权码和所述动态特权授权码确定动态授权码。

可选地，计算所述环境授权库对应的动态环境授权码的步骤，包括：

将所述系统权限库中的所有系统权限码转换为第一矩阵；

确定所述环境授权库中的所有环境授权码，并根据各所述环境授权码和各所述环境维度构建第二矩阵；

根据所述第一矩阵和所述第二矩阵确定动态环境授权码。

可选地，根据所述第一矩阵和所述第二矩阵确定动态环境授权码的步骤，包括：

对所述第一矩阵和所述第二矩阵的矩阵乘积进行转置，得到第三矩阵；

确定所述第三矩阵中的所有授权码字节，并将各所述授权码字节进行合并，得到动态环境授权码。

可选地，将所述系统权限库中的所有系统权限码转换为第一矩阵的步骤，包括：

将所述系统权限库中的所有系统权限码构建为系统权限矩阵，并对所述系统权限矩阵进行转置处理，得到第一矩阵。

可选地，计算所述特权授权库对应的动态特权授权码的步骤，包括：

将所述系统权限库中的所有系统权限码转换为第一矩阵；

确定所述特权授权库中的所有特权授权码，并根据各所述特权授权码和各所述特权维度构建第四矩阵；

计算所述第一矩阵和所述第四矩阵之间的转置乘积矩阵，并将所述转置乘积矩阵中的所有授权码字节进行合并，得到动态特权授权码。

可选地，根据所述待访问的权限标识分别与所述基础授权码和所述动态授权码的匹配状态，确定对所述用户的授权结果的步骤，包括：

确定所述待访问的权限标识对应的待访问权限码，检测所述待访问权限码是否和基础授权码匹配；

若所述待访问权限码和基础授权码匹配，则检测所述待访问权限码是否和动态授权码匹配；

若所述待访问权限码和动态授权码匹配，则确定所述用户的授权结果为授权成功。

此外，为实现上述目的，本发明还提供一种动态授权访问控制装置，包括：

接收模块，用于接收用户的授权申请请求，所述授权申请请求中包括用户标识以及待访问的权限标识；

确定模块，用于根据所述用户标识查找系统权限库，确定用户当前账号权限对应的基础授权码和动态授权码，所述基础授权码是预先设置的用户授权配置确定的，所述动态授权码是根据包括多个环境维度的环境授权库和包括多个特权维度的特权授权库确定的；

匹配模块，用于根据所述待访问的权限标识分别与所述基础授权码和所述动态授权码的匹配状态，确定对所述用户的授权结果，其中，当所述待访问的权限标识分别与所述基础授权码和所述动态授权码匹配，则确定所述用户的授权结果为授权成功。

此外，为实现上述目的，本发明还提供一种动态授权访问控制设备，动态授权访问控制设备包括存储器、处理器及存储在存储器上并可在处理器上运行的动态授权访问控制程序，动态授权访问控制程序被处理器执行时实现如上述的动态授权访问控制方法的步骤。

此外，为实现上述目的，本发明还提供一种计算机存储介质，计算机存储介质上存储有动态授权访问控制程序，动态授权访问控制程序被处理器执行时实现如上述的动态授权访问控制方法的步骤。

本发明通过根据接收的授权申请请求中的用户标识查找系统权限库，以确定基础授权码和动态授权码，并根据授权申请请求中待访问的权限标识分别与基础授权码和动态授权码匹配的匹配状态确定对用户的授权结果。从而避免了授权参考维度单一的现象发生，实现了在进行授权时从多个角度，多个维度进行考虑。并且由于是从多个维度进行动态授权判断的，因此也避免了现有技术中只能进行静态授权，若用户身份发生改变，很难保证进行全面的手动授权变更，使得系统安全性较低的现象发生，提高了系统的安全性。

附图说明

图1是本发明实施例方案涉及的硬件运行环境的终端\装置结构示意图；

图2为本发明动态授权访问控制方法第一实施例的流程示意图；

图3为本发明动态授权访问控制装置的装置模块示意图；

图4为本发明动态授权访问控制方法中的系统权限库示意图；

图5为本发明动态授权访问控制方法中获取基础授权码集的流程示意图；

图6为本发明动态授权访问控制方法的流程示意图。

本发明目的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图。

本发明实施例终端为动态授权访问控制设备。

如图1所示，该终端可以包括：处理器1001，例如CPU，网络接口1004，用户接口1003，存储器1005，通信总线1002。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器，也可以是稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

可选地，终端还可以包括摄像头、RF(Radio Frequency，射频)电路，传感器、音频电路、WiFi模块等等。其中，传感器比如光传感器、运动传感器以及其他传感器。具体地，光传感器可包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示屏的亮度，接近传感器可在终端设备移动到耳边时，关闭显示屏和/或背光。当然，终端设备还可配置陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。

本领域技术人员可以理解，图1中示出的终端结构并不构成对终端的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及动态授权访问控制程序。

在图1所示的终端中，网络接口1004主要用于连接后台服务器，与后台服务器进行数据通信；用户接口1003主要用于连接客户端(用户端)，与客户端进行数据通信；而处理器1001可以用于调用存储器1005中存储的动态授权访问控制程序，并执行以下操作：

参照图2，本发明提供一种动态授权访问控制方法，在动态授权访问控制方法的第一实施例中，动态授权访问控制方法包括以下步骤：

步骤S10，接收用户的授权申请请求，所述授权申请请求中包括用户标识以及待访问的权限标识；

由于目前的访问控制方法是将访问控制平台所管理的权限与用户进行逐一映射，映射的过程通常发生在用户账号创建或权限变更时，用户账号与权限的耦合度高，一旦用户的职责发生变化或临时需要紧急变更权限等突发情况时，为满足相关安全和审计合规要求需要提交工单进行多级审批，拉长了授权实施时间，影响了授权的实时性，严重的可能影响客户投诉响应和系统功能割接。并且其参考维度单一，只根据用户这一个维度进行授权判断，无法根据空间、特殊事件等因素自动调整授权。因此为了避免这一现象的发生，在本实施例中，是进行动态权限的访问控制，包括首次授权判断计算、环境授权计算、特权授权计算、总体授权判断计算以及进行判断所必须的中间计算过程。也就是本实施例可以根据所管理权限的多少及权限的层级，进行多级权限访问控制的演进，只需增加分级权限的检索即可。

并且本实施例可以实现更加灵活的权限匹配，传统访问控制方式根据用户身份或角色进行，用户授权需通过工单审批，流程比较繁复，一旦用户授权需要频繁变更的情况，效率将变得十分低下。而本实施例无需变更用户固定授权即可达到变更实际授权的目的，提高了运营效率，实现了多维度的动态授权，授权可随着预制的配置条件自动变化，用户的授权状态不再固定；而传统访问控制只能进行静态授权，权限与用户是一种紧耦合关系，一旦用户身份发生改变或其他紧急情况下，很难保证进行全面的手动授权变更，从而对系统造成巨大的安全隐患；而本实施例则无需改变单个用户的授权，只需进行少量环境授权调整即可，保证的系统的健壮性。

因此，在本实施例中，将每个权限映射到一个系统权限码(m位字符串)中的一位，组成系统权限库。也就是整理系统中所有权限，若总共需要管理的权限项目为m个，则将每个权限映射到一个m位字符串中的一位，代表特定权限的m位字符串为一个系统权限码；形成一个权限映射表，即系统权限库，如图4所示，系统权限库中权限1对应权限码1；权限2对应权限码2；权限m对应权限码m。

并且在构建完成系统权限库后，需要根据系统权限库构建基础授权库。

根据用户授权，在系统权限库中配置系统权限码，组成用户基础授权库。即先进行用户基础授权码集的初始化：读取用户授权(即预设的授权配置)，根据用户授权在系统权限库中找到所有的权限码，如p_code1,…,p_coden,执行p_code₁|p_code₂|...|p_code_n，得到的结果形成用户基础授权码集，并将用户基础授权码集加入到预设的用户基础授权库中，得到基础授权库。如图5所示，用户成功登陆时，获取用户授权配置，得到用户授权集合，并确定系统权限库中用户授权集合对应的用户基础授权码集，根据用户基础授权码集构建基础授权库。

在本实施例中，当用户通过账号密码登陆访问控制平台成功后，若接收到用户的授权申请请求，则确定用户账号当前时刻的访问权限p，即用户当前账号权限，并且可以根据授权申请请求中所包含的用户标识来确定访问权限，并根据授权申请请求中待访问的权限标识进行后续权限码的查询。

步骤S20，根据所述用户标识查找系统权限库，确定用户当前账号权限对应的基础授权码和动态授权码，所述基础授权码是预先设置的用户授权配置确定的，所述动态授权码是根据包括多个环境维度的环境授权库和包括多个特权维度的特权授权库确定的；

在系统权限库中查询得到用户当前账号权限在系统权限库中的访问权限码p_code。其中，访问权限码是系统权限库中和用户当前账号权限对应的系统权限码。并且由于授权申请请求中包括有用户标识以及待访问的权限标识，因此可以直接根据待访问的权限标识和用户标识在系统权限库中查询访问权限码。

根据待访问的权限标识在基础授权库中查询用户当前账号权限对应的基础授权码a_b_code，即可以将基础授权库中与用户当前账号关联的所有授权码作为此次获取的基础授权码。然后进行首次判断，执行a_b_code&p_code的计算，得到计算结果，并根据此计算结果确定访问权限码是否和基础授权码匹配。其中，基础授权码是基础授权库中和用户当前账号对应的权限码，且是预先设置的用户授权配置确定的。若计算结果为0，则确定访问权限码和基础授权码不匹配，此时就可以直接确定授权结果为拒绝授权，授权流程结束。但是若计算结果不为0，则确定访问权限码和基础授权码匹配。

在确定访问权限码和基础授权码匹配时，则可以确定从用户维度进行判断的判断结果通过，此时还需要进行环境空间等其它维度的判断，因此可以先根据多个环境维度的环境授权库和多个特权维度的特权授权库来确定计算用户当前账号权限对应的动态授权码。

例如，可以根据环境类型和特权类型进行权限的判断，即可以先根据环境类型所有维度的系统权限码构建环境授权库，并根据特权类型所有维度的系统权限码构建特权授权库。再根据环境授权库和特权授权库来确定用户当前账号权限的授权结果。因此根据系统权限库来构建好其它的授权库后，如环境授权库和特权授权库。可以根据构建的授权库计算动态授权码，并检测待访问的权限标识是否和动态授权码匹配，根据不同的检测结果执行不同的操作。

其中，确定所有环境维度的第一权限集合，并根据所述第一权限集合和所述系统权限库构建环境授权库；

根据环境授权策略，确定每个环境维度的权限集合，在系统权限库中匹配对应的系统权限码，组成环境授权库。并将环境授权库中的系统权限码作为环境授权码。即访问控制平台可以读取预设的环境授权策略，并根据当前的环境条件得到每个环境维度下可用的权限集合，即第一权限集合。再根据第一权限集合内的权限，在系统权限库中查找到对应的系统权限码，并将其作为环境授权码。如p_code1,…,p_coden,执行：p_code₁|p_code₂|...|p_code_n，其结果即为该环境维度下的环境授权码集。所有环境授权码集形成一个环境授权库。其中一个环境授权码集中至少包括一个环境授权码。并且需要说明的是，在本实施例中可以构建多个环境授权库，但同一时间只有一个环境授权库处于激活状态。

其中，确定所有特权维度的第二权限集合，并根据所述第二权限集合和所述系统权限库构建特权授权库；

根据特权授权策略，确定每个特权维度的权限集合，在系统权限库中匹配对应的系统权限码，组成特权授权库。并将特权授权库中的系统权限码作为特权授权码。即访问控制平台读取平台特权授权策略，为每个特权维度生成一个特权授权码集，生成方法与上述生成环境授权码集的方法相同，在此不做阐述。再将各个特权授权码集形成一个特权授权库。其中，若存在多个特权授权库，则同一时间只有一个特权授权库处于激活状态。

步骤S30，根据所述待访问的权限标识分别与所述基础授权码和所述动态授权码的匹配状态，确定对所述用户的授权结果，其中，当所述待访问的权限标识分别与所述基础授权码和所述动态授权码匹配，则确定所述用户的授权结果为授权成功。

在确定用户当前账号权限对应的基础授权码和动态授权码后，可以直接将授权申请请求中待访问的权限标识分别与基础授权码和动态授权码进行匹配，并得到相应的匹配状态，并且只有在待访问的权限标识分别与基础授权码和动态授权码匹配时，可以直接确定用户的授权结果为授权成功，否则就确定用户的授权结果为授权失败。

并且当动态授权码为动态环境授权码以及动态特权授权码时，需要将待访问的权限标识分别与动态环境授权码以及动态特权授权码进行比对，根据比对结果确定授权结果。因此在获取到用户当前账号权限时，会综合判断用户当前账号权限是否合法，若合法则确定授权结果为进行授权，若不合法，则确定授权结果为拒绝授权。而动态环境授权码可以根据环境授权库进行计算得到，动态特权授权码可以根据特权授权库进行计算得到。并且在进行动态环境授权码以及动态特权授权码判断之前，先进行用户维度的判断，即通过基础授权库进行判断，在判断通过后，才会进行动态环境授权码以及动态特权授权码判断，以确定用户当前账号权限的授权结果。

并且若确定用户当前账号权限对应的访问权限码为p_code；基础授权码为a_b_code；动态环境授权码为a_e_code；动态特权授权码为a_s_code。将动态环境授权码a_e_code和动态特权授权码a_s_code输入到预设的授权结果计算公式进行计算，得到授权结果，根据授权结果确定用户当前账号权限是否和动态环境授权码及动态特权授权码匹配。其中，授权结果计算公式可以为：

result＝[a_b_code&(a_e_code|a_s_code)]&p_code；

再根据result进行授权结果判断，若result＝0，则确定授权结果为授权失败，若result＝1，则确定授权结果为授权成功。

此外，为辅助理解本实施例中关于动态授权访问控制方法的原理的理解，下面进行举例说明。

例如，如图6所示，在动态授权访问控制平台接收到用户的申请权限p后，其访问控制模块会先查询系统权限库，确定申请权限p对应的系统权限码p_code；再查询用户基础权限库，得到申请权限p对应的基础权限码a_b_code；判断a_b_code&p_code是否等于0，若是，则确定授权结果为拒绝授权。若否，则查找系统权限库，计算得到矩阵P_matrix；查找环境授权库，计算得到矩阵E_matrix；利用E_matrix和P_matrix计算得到a_e_code；查找特权授权库，计算得到矩阵S_matrix；利用S_matrix和P_matrix计算得到a_s_code；再利用a_e_code、a_s_code、a_b_code计算得到result，判断result是否等于0，若是，则确定授权结果为拒绝授权。若否，则确定授权结果为成功授权。

在本实施例中，通过根据接收的授权申请请求中的用户标识查找系统权限库，以确定基础授权码和动态授权码，并根据授权申请请求中待访问的权限标识分别与基础授权码和动态授权码匹配的匹配状态确定对用户的授权结果。从而避免了授权参考维度单一的现象发生，实现了在进行授权时从多个角度，多个维度进行考虑。并且由于是从多个维度进行动态授权判断的，因此也避免了现有技术中只能进行静态授权，若用户身份发生改变，很难保证进行全面的手动授权变更，使得系统安全性较低的现象发生，提高了系统的安全性。

进一步地，基于上述本发明的第一实施例，提出本发明动态授权访问控制方法的第二实施例，在本实施例中，上述实施例步骤S20，确定所述用户当前账号权限对应的动态授权码的步骤的细化，包括：

步骤a，确定多个环境维度的环境授权库，并计算所述环境授权库对应的动态环境授权码；

在本实施例中，动态授权码可以包括动态环境授权码和动态特权授权码。因此在计算动态授权码时，可以直接计算动态环境授权码和动态特权授权码。即可以先确定多个环境维度的环境授权库，并确定所有环境维度的第一权限集合，并根据第一权限集合和系统权限库构建环境授权库。再确定环境授权库中的所有环境授权码，并根据各个环境授权码来计算动态环境授权码a_e_code。

步骤b，确定多个特权维度的特权授权库，并计算所述特权授权库对应的动态特权授权码，根据所述动态环境授权码和所述动态特权授权码确定动态授权码。

并且还可以在系统权限库中确定属于特权类型不同维度的系统权限码，即确定所有特权维度的第二权限集合，并根据第二权限集合和系统权限库构建特权授权库。再确定特权授权库中的所有特权授权码，并根据各个特权授权码来计算动态特权授权码a_s_code。并且在本实施例中计算动态特权授权码和动态环境授权码的时间先后顺序在此不做限制，本实施例中仅以其中一种方式进行举例说明。

在本实施例中，通过根据多个环境维度的环境授权库计算动态环境授权码，并根据多个特权维度的特权授权库计算动态特权授权码，再根据动态环境授权码和动态特权授权码确定动态授权码，从而保障了获取到的动态授权码的准确有效性。

具体地，计算所述环境授权库对应的动态环境授权码的步骤，包括：

步骤g，将所述系统权限库中的所有系统权限码转换为第一矩阵；

在本实施例中计算动态环境授权码时，需要先读取系统权限库中的所有系统权限码，以形成一个m*m阶矩阵，再对该矩阵进行转置处理，得到第一矩阵P_matrix。

步骤h，确定所述环境授权库中的所有环境授权码，并根据各所述环境授权码和各所述环境维度构建第二矩阵；

在各个环境授权库中确定处于激活状态的环境授权库，若处于激活状态的环境授权库中包含了n个维度的环境维度，则在读取到该环境授权库中的所有环境授权码时，会形成一个n*m的第二矩阵E_matrix。而环境维度的确定可以是先获取环境授权库中的所有环境授权码，根据各个环境授权码对应的权限维度来确定。

步骤i，根据所述第一矩阵和所述第二矩阵确定动态环境授权码。

当获取到第一矩阵P_matrix和第二矩阵E_matrix后，可以直接计算第一矩阵P_matrix和第二矩阵E_matrix之间的乘积，得到矩阵乘积，再通过此矩阵乘积来获取动态环境授权码。

在本实施例中，通过根据系统权限库构建第一矩阵，并根据环境授权库中的环境授权码和环境维度构建第二矩阵，再根据第一矩阵和第二矩阵确定动态环境授权码，从而保障了获取到的动态环境授权码的准确有效性。

具体地，根据所述第一矩阵和所述第二矩阵确定动态环境授权码的步骤，包括：

步骤j，对所述第一矩阵和所述第二矩阵的矩阵乘积进行转置，得到第三矩阵；

在计算第一矩阵P_matrix和第二矩阵E_matrix之间的矩阵乘积后，还需要对矩阵乘积进行转置处理，也就是进行矩阵转置处理，并将经过转置处理后的矩阵乘积作为第三矩阵，即第三矩阵E_temp_matrix:

E_temp_matrix＝(E_matrix×P_matrix)^T；其中，T为矩阵转置。

此时计算得到的第三矩阵E_temp_matrix为一个m*n阶矩阵，如下所示：

其中，e_temp_code_n，n∈[1，m]，是一个n位的向量，即[e_temp_code₁，...，e_temp_code_n]。

步骤k，确定所述第三矩阵中的所有授权码字节，并将各所述授权码字节进行合并，得到动态环境授权码。

在计算动态环境授权码时，先确定第三矩阵中的所有授权码字节a_e_code_bit；再将每个授权码字节a_e_code_bit进行合并处理，得到动态环境授权码a_e_code。即a_e_dode＝[a_e_code_bit₁,...,a_e_code_bit_m]，。其中，计算授权码字节a_e_code_bit可以按照如下方式进行计算，即：

在本实施例中，通过对第一矩阵和第二矩阵的矩阵乘积进行转置，得到第三矩阵，再将第三矩阵中的所有授权码字节进行合并，得到动态环境授权码，从而保障了获取到的动态环境授权码的准确有效性。

具体地，将所述系统权限库中的所有系统权限码转换为第一矩阵的步骤，包括：

步骤l，将所述系统权限库中的所有系统权限码构建为系统权限矩阵，并对所述系统权限矩阵进行转置处理，得到第一矩阵。

在本实施例中，在构建第一矩阵时，当获取到系统权限库中的所有系统权限码，并根据各个系统权限码构建得到系统权限矩阵后，还需要对系统权限矩阵进行转置处理，也就是矩阵转置处理，得到第一矩阵。

在本实施例中，通过将系统权限库中的所有系统权限码构建为系统权限矩阵，并进行转置处理，得到第一矩阵，从而保障了获取到的第一矩阵的有效性。

进一步地，计算所述特权授权库对应的动态特权授权码的步骤，包括：

步骤m，将所述系统权限库中的所有系统权限码转换为第一矩阵；

在本实施例中，计算动态特权授权码时，同样需要将系统权限库中的所有系统权限码转换为第一矩阵，具体转换细节参照前述部分，在此不做阐述。

步骤n，确定所述特权授权库中的所有特权授权码，并根据各所述特权授权码和各所述特权维度构建第四矩阵；

然后在各个提前设置好的特权授权库中确定处于激活状态的特权授权库，若处于激活状态的特权授权库中共包含了k个维度的特权维度，则在读取到该特权授权库中的所有特权授权码时，会形成一个k*m的第四矩阵S_matrix。而特权维度的确定可以是先获取特权授权库中的所有特权授权码，根据各个特权授权码对应的权限维度来确定。

步骤p，计算所述第一矩阵和所述第四矩阵之间的转置乘积矩阵，并将所述转置乘积矩阵中的所有授权码字节进行合并，得到动态特权授权码。

在获取到系统权限库对应的第一矩阵和特权授权库对应的第四矩阵后，可以计算第一矩阵和第四矩阵之间的乘积，并进行转置处理，得到转置乘积矩阵。即S_temp_matrix＝(S_matrix×P_matrix)^T；其中，T为矩阵转置。

然后再确定转置乘积矩阵中的所有授权码字节进行合并，得到动态特权授权码a_s_code，其合并得到方式和得到动态环境特权授权码方式相同。即通过以下公式计算转置乘积矩阵中的所有授权码字节a_s_code_bit。

在本实施例中，通过根据特权授权库中的特权授权码和特权维度构建第四矩阵，将第四矩阵与系统权限库对应的第一矩阵进行计算，得到转置乘积矩阵，将转置乘积矩阵中的授权码字节进行合并，得到动态特权授权码，从而保障了获取到的动态特权授权码的准确有效性。

此外，在本实施例中，针对用户当前账号权限的授权过程为单级权限的授权过程。还可以适用于多级权限的授权过程(即二级权限的授权以一级权限为基础，只有在一级权限成功授予用户的情况下才进行二级权限的判断)，因此可以在进行二级或以上授权时采用本实施例中的方式进行。

进一步地，在另一实施例中，根据所述待访问的权限标识分别与所述基础授权码和所述动态授权码的匹配状态，确定对所述用户的授权结果的步骤，包括：

步骤x，确定所述待访问的权限标识对应的待访问权限码，检测所述待访问权限码是否和基础授权码匹配；

在本实施例中，在获取到授权申请请求，且确定授权申请请求中待访问的权限标识后，可以根据此待访问的权限标识在系统权限库中获取与之对应的待访问权限码，并将待访问权限码和基础授权码进行匹配。

步骤y，若所述待访问权限码和基础授权码匹配，则检测所述待访问权限码是否和动态授权码匹配；

若经过判断发现待访问权限码和基础授权码匹配，则可以确定从用户侧维度的检测已通过，此时可以继续检测待访问权限码是否和动态授权码匹配。但是若待访问权限码和基础授权码不匹配，则可以直接确定用户的授权结果为授权失败，结束后续的权限验证。

步骤z，若所述待访问权限码和动态授权码匹配，则确定所述用户的授权结果为授权成功。

当经过判断发现待访问权限码和动态授权码匹配时，即待访问权限码即和基础授权码匹配，也和动态授权码匹配，则可以确定用户的授权结果为授权成功。但是若待访问权限码和动态授权码不匹配，则可以确定用户的授权结果为授权失败。

在本实施例中，通过确定待访问的权限标识对应的待访问权限码，并在待访问权限码即和基础授权码匹配，也和动态授权码匹配时，就可以直接确定授权结果为授权成功，从而保障了获取到的授权结果的准确有效性。

此外，参照图3，本发明实施例还提供一种动态授权访问控制装置，包括：

接收模块A10，用于接收用户的授权申请请求，所述授权申请请求中包括用户标识以及待访问的权限标识；

确定模块A20，用于根据所述用户标识查找系统权限库，确定用户当前账号权限对应的基础授权码和动态授权码，所述基础授权码是预先设置的用户授权配置确定的，所述动态授权码是根据包括多个环境维度的环境授权库和包括多个特权维度的特权授权库确定的；

匹配模块A30，用于根据所述待访问的权限标识分别与所述基础授权码和所述动态授权码的匹配状态，确定对所述用户的授权结果，其中，当所述待访问的权限标识分别与所述基础授权码和所述动态授权码匹配，则确定所述用户的授权结果为授权成功。

可选地，确定模块A20，用于：

将所述系统权限库中的所有系统权限码转换为第一矩阵；

根据所述第一矩阵和所述第二矩阵确定动态环境授权码。

可选地，确定模块A20，用于：

将所述系统权限库中的所有系统权限码转换为第一矩阵；

可选地，匹配模块A30，用于：

其中，动态授权访问控制装置的各个功能模块实现的步骤可参照本发明动态授权访问控制方法的各个实施例，此处不再赘述。

此外，本发明还提供一种动态授权访问控制设备，所述动态授权访问控制设备包括：存储器、处理器及存储在所述存储器上的动态授权访问控制程序；所述处理器用于执行所述动态授权访问控制程序，以实现上述动态授权访问控制方法各实施例的步骤。

本发明还提供了一种计算机存储介质，计算机存储介质可以为计算机可读存储介质，所述计算机可读存储介质存储有一个或者一个以上程序，所述一个或者一个以上程序还可被一个或者一个以上的处理器执行以用于实现上述动态授权访问控制方法各实施例的步骤。

本发明计算机可读存储介质具体实施方式与上述动态授权访问控制方法各实施例基本相同，在此不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种动态授权访问控制方法，其特征在于，所述动态授权访问控制方法包括以下步骤：

2.如权利要求1所述的动态授权访问控制方法，其特征在于，所述确定用户当前账号权限对应的动态授权码的步骤，包括：

3.如权利要求2所述的动态授权访问控制方法，其特征在于，所述计算所述环境授权库对应的动态环境授权码的步骤，包括：

将所述系统权限库中的所有系统权限码转换为第一矩阵；

根据所述第一矩阵和所述第二矩阵确定动态环境授权码。

4.如权利要求3所述的动态授权访问控制方法，其特征在于，所述根据所述第一矩阵和所述第二矩阵确定动态环境授权码的步骤，包括：

5.如权利要求3所述的动态授权访问控制方法，其特征在于，所述将所述系统权限库中的所有系统权限码转换为第一矩阵的步骤，包括：

6.如权利要求2所述的动态授权访问控制方法，其特征在于，所述计算所述特权授权库对应的动态特权授权码的步骤，包括：

将所述系统权限库中的所有系统权限码转换为第一矩阵；

7.如权利要求1-6任一项所述的动态授权访问控制方法，其特征在于，所述根据所述待访问的权限标识分别与所述基础授权码和所述动态授权码的匹配状态，确定对所述用户的授权结果的步骤，包括：

8.一种动态授权访问控制装置，其特征在于，所述动态授权访问控制装置包括：

9.一种动态授权访问控制设备，其特征在于，所述动态授权访问控制设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的动态授权访问控制程序，所述动态授权访问控制程序被所述处理器执行时实现如权利要求1至7中任一项所述的动态授权访问控制方法的步骤。

10.一种计算机存储介质，其特征在于，所述计算机存储介质上存储有动态授权访问控制程序，所述动态授权访问控制程序被处理器执行时实现如权利要求1至7中任一项所述的动态授权访问控制方法的步骤。