CN114398652A - 权限鉴别方法及装置 - Google Patents

权限鉴别方法及装置 Download PDF

Info

Publication number
CN114398652A
CN114398652A CN202111673078.6A CN202111673078A CN114398652A CN 114398652 A CN114398652 A CN 114398652A CN 202111673078 A CN202111673078 A CN 202111673078A CN 114398652 A CN114398652 A CN 114398652A
Authority
CN
China
Prior art keywords
authority
resource
target
level
points
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111673078.6A
Other languages
English (en)
Inventor
张诚哲
胡兵
强琦
田雯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dingtalk China Information Technology Co Ltd
Original Assignee
Dingtalk China Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dingtalk China Information Technology Co Ltd filed Critical Dingtalk China Information Technology Co Ltd
Priority to CN202111673078.6A priority Critical patent/CN114398652A/zh
Publication of CN114398652A publication Critical patent/CN114398652A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本说明书一个或多个实施例提供一种权限鉴别方法及装置,应用于多级资源权限管理系统,所述多级资源中的至少一级资源设有权限点,所述权限点用于定义针对相应资源的权限类型和被授予相应权限的用户组,所述方法包括:响应于鉴别目标用户对目标资源是否存在目标权限的需求,获取本级权限集合和祖先权限集合;判断所述目标资源对所述祖先权限集合中的各个权限点的继承关系是否被打断,并根据判断结果筛选出相应的继承关系未被打断的权限点;根据所述本级权限集合和筛选出的权限点,鉴别所述目标用户对所述目标资源是否存在目标权限。

Description

权限鉴别方法及装置
技术领域
本说明书一个或多个实施例涉及权限控制领域,尤其涉及一种权限鉴别方法及装置。
背景技术
在存储系统中,需要鉴别某一用户对于存储系统中的某一资源是否具有进行某一操作的权限。权限鉴别对于存储系统的来说是十分重要的环节。如果无法保证权限鉴别的正确性,那么也就无法保证存储系统的安全。
在现有技术中,可以通过ACL(Access Control Lists,访问控制列表)实现对于多级资源的权限管理。在多级资源权限管理系统中,父级资源的权限默认被子级资源继承,但是当父级资源上的权限继承被打断时,在权限鉴别过程中子级资源的权限可能会被影响。当继承关系被打断后,如何快速鉴别用户对子级资源或者子级资源的下级资源的权限是本领域技术人员需要解决的问题。
发明内容
有鉴于此,本说明书一个或多个实施例提供一种权限鉴别方法及装置。
为实现上述目的,本说明书一个或多个实施例提供技术方案如下:
根据本说明书一个或多个实施例的第一方面,提出了一种权限鉴别方法,应用于多级资源权限管理系统,所述多级资源中的至少一级资源设有权限点,所述权限点用于定义针对相应资源的权限类型和被授予相应权限的用户组,所述方法包括:
响应于鉴别目标用户对目标资源是否存在目标权限的需求,获取本级权限集合和祖先权限集合,所述本级权限集合为用户在所述目标资源上被授予相应权限的权限点的集合,所述祖先权限集合为用户在所述目标资源的所有祖先资源上被授予相应权限的权限点的集合;
判断所述目标资源对所述祖先权限集合中的各个权限点的继承关系是否被打断,并根据判断结果筛选出相应的继承关系未被打断的权限点;
根据所述本级权限集合和筛选出的权限点,鉴别所述目标用户对所述目标资源是否存在目标权限。
根据本说明书一个或多个实施例的第二方面,提出了一种权限鉴别装置,应用于多级资源权限管理系统,所述多级资源中的至少一级资源设有权限点,所述权限点用于定义针对相应资源的权限类型和被授予相应权限的用户组,所述装置包括:
获取单元,用于响应于鉴别目标用户对目标资源是否存在目标权限的需求,获取本级权限集合和祖先权限集合,所述本级权限集合为用户在所述目标资源上被授予相应权限的权限点的集合,所述祖先权限集合为用户在所述目标资源的所有祖先资源上被授予相应权限的权限点的集合;
判断单元,用于判断所述目标资源对所述祖先权限集合中的各个权限点的继承关系是否被打断,并根据判断结果筛选出相应的继承关系未被打断的权限点;
鉴别单元,用于根据所述本级权限集合和筛选出的权限点,鉴别所述目标用户对所述目标资源是否存在目标权限。
根据本说明书一个或多个实施例的第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如第一方面所述的方法的步骤。
根据本说明书一个或多个实施例的第四方面,提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述的方法的步骤。
在本说明书所提供的技术方案中,通过获取用户在目标资源上被授予相应权限的权限点的集合,以及判断目标资源是否从祖先资源处获取权限点的方法,实现了多级资源权限管理系统中用户对目标资源的权限的快速鉴别。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本说明书一示例性实施例提供的一种权限鉴别设备架构示意图;
图2是本说明书一示例性实施例提供的一种权限鉴别方法的流程示意图;
图3是本说明书一示例性实施例提供的一种权限鉴别方法的权限模型的示意图;
图4是本说明书一示例性实施例提供的一种权限鉴别方法的权限点设置示意图;
图5是本说明书一示例性实施例提供的一种计算机设备的结构示意图;
图6是本说明书一示例性实施例提供的一种权限鉴别装置示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书一个或多个实施例相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书一个或多个实施例的一些方面相一致的装置和方法的例子。
需要说明的是:在其他实施例中并不一定按照本说明书示出和描述的顺序来执行相应方法的步骤。在一些其他实施例中,其方法所包括的步骤可以比本说明书所描述的更多或更少。此外,本说明书中所描述的单个步骤,在其他实施例中可能被分解为多个步骤进行描述;而本说明书中所描述的多个步骤,在其他实施例中也可能被合并为单个步骤进行描述。
在对具有多个层级的资源进行权限的管理时,往往采用ACL权限模型进行权限控制,对于一个多级资源权限管理系统来说,当资源的目录形式为/a/b/c/*时,父级资源/a/*上被授予相应权限的权限点可以通过继承关系继承给子级资源/a/b/*。同时,对于资源/a/b/*来说,其上被授予相应权限的权限点以及继承自资源/a/*的权限点同样可以被其子级资源/a/b/c/*所继承。在以上述权限模型进行权限控制的多级资源权限管理系统中,不需要对全部资源的权限进行设置,只要在父级资源上设置权限点,那么所述父级资源的子级资源均可以继承获取与所述权限点相应的权限。利用上述权限控制方法不需要对其父子资源的所有下级资源进行遍历、设置权限点,有效缩短了权限设置的时间。但同时,当父级资源具有的权限点不想被子级资源继承时,需要通过设置权限打断标识来打断继承关系,继承关系被打断后需要重新对子级资源上具有的权限进行鉴别。
为了解决上述问题,本说明书实施例提供一种权限鉴别方法。如图1所示为本说明书示出的一种权限鉴别设备架构示意图。如图1所示,可以包括服务器11、网络12和鉴权终端13、14和15。
服务器11可以为包含一独立主机的物理服务器,或者该服务器11可以为主机集群承载的虚拟服务器。在运行过程中,服务器11可以配置有多级资源权限管理系统,所述多级资源中的至少一级资源设有权限点,所述权限点用于定义针对相应资源的权限类型和被授予相应权限的用户组,该多级资源权限管理系统可以采用软件和/或硬件的方式实现,以提供权限鉴别服务。
鉴权终端13、14和15是指目标用户可以使用的可以发起所述目标用户对目标资源是否存在目标权限的权限鉴别需求的电子设备,如鉴权终端13为手机,鉴权终端14为笔记本电脑,鉴权终端15为台式电脑。实际上,目标用户显然还可以使用诸如下述类型的电子设备:平板设备、掌上电脑(PDAs,Personal Digital Assistants)等,本说明书一个或多个实施例并不对此进行限制。
而对于服务器11与鉴权终端13或14之间进行交互的网络12,可以包括多种类型的有线或无线网络。
下面结合图2,对本说明书的权限鉴别方法进行说明。其中,图2是一示例性实施例提供的一种权限鉴别方法流程示意图。如图2所示,该方法应用于多级资源权限管理系统,所述多级资源中的至少一级资源设有权限点,所述权限点用于定义针对相应资源的权限类型和被授予相应权限的用户组,所述方法可以包括以下步骤:
S201,响应于鉴别目标用户对目标资源是否存在目标权限的需求,获取本级权限集合和祖先权限集合,所述本级权限集合为用户在所述目标资源上被授予相应权限的权限点的集合,所述祖先权限集合为所述目标用户在所述目标资源的所有祖先资源上被授予相应权限的权限点的集合。
权限鉴别的过程就是确定某一目标用户在某一目标资源上具有何种权限的过程。在所述多级资源权限管理系统中,对某一资源的权限点是以如图3所示的模型进行设置的。假设针对资源X分别设置如图3所示的3个权限点,所述权限点的权限点ID(Policy ID)分别为Policy 1、Policy 2和Policy 3。对于Policy 1,其对应的用户组为Group 1,Group 1中包含的用户对应的用户ID为Uid1、Uid2和Uid3。对于Policy 2,其对应的用户组为Group 2,Group2中包含的用户对应的用户ID为Uid2、Uid4。对于Policy 3,其直接对应用户Uid1。通过以上对资源X的权限设置,可以获知,当前资源X的本级上,Group 1中的用户(包括用户ID为Uid1、Uid2和Uid3的用户)被授予权限点Policy 1相应的权限1;Group 2中的用户(包括用户ID为Uid2和Uid3的用户)被授予权限点Policy 2相应的权限2;用户ID为Uid1的用户单独被授予Policy 3相应的权限3。
假设目标用户的用户ID为Uid1,目标资源为资源X,则在资源X的本级资源上,需要获取本级资源权限集合。同时假设所述资源X处于具有三个层级的资源权限管理系统中,资源X对应的目录可以表示为/Z/Y/X,其父级资源为资源Y,对应目录表示为/Z/Y/*,资源Y的父级资源为资源Z对应目录为/Z/*。
其中资源Y上被授予权限点Policy 4,对应Group 1,以及Policy 5对应Group 2,同时,所述Policy 4上设置有权限打断标识,该打断标识仅针对Policy 4,对于其他权限点的继承关系不产生影响。在某一层级资源上设置有权限点同时在所述权限点上设置有针对所述权限点的权限打断标识的情况下,该级资源虽然在本级上具有权限点相应的权限,但是当该级资源的子级资源上被授予权限点时,则所述子级资源无法通过继承获取该级资源被设置权限打断标识的权限点,即对于被设置打断标识的权限点该级资源到其子级资源的继承关系被打断;若该级资源的子级资源不具有任何权限设置,则该级资源到其子级资源的继承关系不能被打断,所述子级资源可以继承获取该级资源被设置权限打断标识的权限点。其中所述权限打断标识不能单独设置。
资源Z上被授予权限点Policy 1,对应Group 1,以及Policy 2,对应Group 2。
在本说明书一示例性实施例中,所述本级权限集合的获取可以通过如下的方式进行:获取所述目标用户在所述多级资源中被授予相应权限的所有权限点;从获取的所有权限点中筛选出设置于所述目标资源上的权限点,以添加至所述本级权限集合。
例如,首先获取目标用户Uid1在所述多级资源中被授予的相应权限的所有权限点。其中,用户被授予相应权限的权限点包括用户被直接授予相应权限的权限点以及用户所在用户组被授权的权限点。对于目标用户Uid1来说,用户Uid1被直接授予的权限点为Policy 3;而由于用户Uid1在用户组Group 1中,因此用户Uid1所在用户组被授权的权限点包括Policy 1以及Policy 4。目标用户Uid1在所述多级资源中被授予的相应权限的所有权限点即为Policy 1、Policy 3以及Policy 4。然后从所有权限点中筛选出设置于目标资源X上的权限点。在Policy 1、Policy 3以及Policy 4中,被设置于目标资源X上的权限点为Policy 1以及Policy 3,因此目标用户Uid1的本级权限集合为{Policy 1,Policy 3},其含义即为在资源X上,目标用户(Uid1)在目标资源X上具有权限1和权限3。
由于{Policy 1,Policy 3}为所述目标用户(Uid1)在所述目标资源X上被授予的相应权限的权限点的集合,因此目标用户Uid1在目标资源X上一定具有权限1和权限3。
由于目标资源还可能从其父级资源,甚至其父级资源的父级资源处继承其他关于目标用户(Uid1)的权限,因此不能认为目标用户(Uid1)在目标资源X上仅具有权限1和权限3,还需要对其是否继承其他的权限点进行判断。
此时,由于父级资源的权限点可以被子级资源所继承,同时,父级资源通过继承得到的权限点也可以被其子级资源所继承。因此对于资源X,想要知道用户Uid1对其具有的权限,则还需要获取资源X的祖先资源上的权限点,也就是资源Y以及资源Z上的权限点是否可以被资源X继承。
在本说明书一示例性实施例中,对于目标用户的祖先权限集合的获取可以具体通过一下的方法:确定所述目标资源的所有祖先资源;根据所述用户在所述祖先资源上被授予相应权限的权限点生成所述祖先权限集合。
例如,对于目标资源X,根据资源X的目录/Z/Y/X就可以查询到资源X的全部祖先资源,分别为:资源Y以及资源Z。此时,在每一祖先资源层级上,根据目标用户被授予相应权限的权限点生成所述祖先权限集合。对于资源Y,由于目标用户Uid1在Group 1中,因此在资源Y上目标用户Uid1被授予权限点Policy 4;对于资源Z,由于目标用户Uid1在Group 1中,因此在资源Z上目标用户Uid1被授予权限点Policy 1。根据以上权限设置,对于目标用户Uid1,其祖先权限集合为{Policy 1,Policy 4}。
在上述实施例中可以看出,对于祖先权限集合中的权限点,可能包含本级权限集合中存在的权限点,但由于本级权限集合中存在的权限点是目标用户在目标资源上一定具有的权限点,无需进行重复判断。因此,在本说明书一示例性实施例中,在进行下一步判断所述目标资源对所述祖先权限集合中的各个权限点的继承关系是否被打断前,可以将本级权限集合中已经具有的权限点从祖先权限集合中剔除,这样在判断时可以省却对部分目标用户在目标资源上一定具有的权限的重复判断。例如,对于目标用户Uid1,其本级权限集合为{Policy 1,Policy 3},其祖先权限集合为{Policy 1,Policy 4}。对于祖先权限集合中的Policy 1,由于出现在本级权限集合中,因此其相应的权限1是目标用户Uid1在目标资源X上一定具有的。因此,将Policy 1从祖先权限集合中剔除掉,仅判断祖先权限集合中的目标资源对Policy 4的继承关系是否被打断,并不影响权限鉴定的结果。
在进行剔除时,若祖先权限集合中的全部资源均被剔除,则证明者祖先权限集合中没有除本级权限集合中的权限点外的其他权限点,证明祖先资源中没有其他权限点可以通过继承关系被本级资源继承,因此,本级权限集合中的权限点相应的权限即为目标用户在目标资源上所具有的全部权限。则根据所述本级权限集合即可鉴别所述目标用户对所述目标资源是否存在目标权限。
S202,判断所述目标资源对所述祖先权限集合中的各个权限点的继承关系是否被打断,并根据判断结果筛选出相应的继承关系未被打断的权限点。
所述本级权限集合中的权限点的相应权限是目标用户一定具有的权限。但是对于祖先权限集合中的权限点,需要进行逐一判断其继承是否被打断,某一祖先权限集合中的权限点的继承被打断,则可能导致目标用户对于目标资源不具有该权限点相应的权限。
例如,对于用户Uid1,其祖先资源权限集合中存在两个权限点Policy 1,Policy4。
在本说明书一示例性实施例中,在判断祖先权限集合中的各个权限点的继承关系是否被打断时,可以根据目标资源的目录中的排列顺序,从高级到低级进行逐步判断。对于Policy 4,其设置在资源Y上,资源Y为目标资源X的父级资源。但由于Policy 4在资源Y上同时设置有权限打断标识,由于其子级资源X上被授予了权限点Policy 1、Policy 2和Policy3,则Policy 4从资源Y到资源Z的继承关系被打断,Policy 4不能被资源X继承。对于Policy1,其设置在资源Z上,由于并未设置有权限打断标识,所以可以继承给资源Y,并通过资源Y继承给目标资源X。目标资源X对所述祖先权限集合中的权限点Policy 1的继承关系未被打断,目标资源X可以继承Policy 1。
当然,如果对祖先权限集合中的本级权限集合所含的权限点进行剔除,则祖先资源权限集合中仅包括Policy 4,此时只对Policy 4进行判断即可。
在本说明书另一示例性实施例中,提供一种简化的方法,用于判断所述目标资源对所述祖先权限集合中的各个权限点的继承关系是否被打断。对于具有复杂权限设置的多层级系统来说,简化算法可以减少计算量,提高权限鉴别的效率。简化的判断方法可以包括如下的步骤:
针对所述祖先权限集合中各类型的权限点,分别筛选出每一类型的权限点中相应资源距离所述目标资源最近的权限点;其中,剩余的权限点对应的继承关系被打断;
在筛选出的任一权限点对应的资源设有权限打断标志,且该资源的子级资源上设有权限点的情况下,判定所述任一权限点对应的继承关系被打断;
在筛选出的任一权限点对应的资源未设置权限打断标志,或者,在筛选出的任一权限点对应的资源设有权限打断标志但该资源的子级资源上未设有权限点的情况下,判定所述任一权限点对应的继承关系未被打断。
为更加详细地对简化的判断方法做解释,本申请说明书提供一如下的示例性实施例:
假设如图4所示为目标资源/A/B/C/D/E/F以及其祖先资源的所有权限点设置。现在响应于鉴别目标用户Uid1对目标资源/A/B/C/D/E/F是否存在目标权限1(由对应的权限点Policy 1授予)的需求进行权限鉴别。
对于目标用户Uid1,获取所述目标用户Uid1在所述多级资源中被授予相应权限的所有权限点,包括:Policy 5、Policy 4、Policy 1、Policy 3;从获取的所有权限点中筛选出设置于所述目标资源上的权限点Policy 1和Policy 3,以添加至所述本级权限集合,则本级权限集合为{Policy 1,Policy 3}。
确定所述目标资源/A/B/C/D/E/F的所有祖先资源:/A/B/C/D/E/*、/A/B/C/D/*、/A/B/C/*、/A/B/*、/A/*;所述目标用户Uid1在所述祖先资源上被授予相应权限的权限点包括:在资源/A/B/*上被授予的Policy 5、在资源/A/B/C/*以及/A/B/C/D/*上被授予的Policy 4,生成祖先权限集合为{Policy 5,Policy 4}。
在本申请一示例性实施例中,对于祖先权限集合中的各个权限点的继承关系是否被打断进行逐一判断,一种方法是根据资源目录逐级进行判断。
例如对于祖先权限集合中的Policy 4,从上级到下级逐级判断所述权限点是否可以被下级资源继承,首先查找到Policy 4被设置的最高级别资源/A/B/C/*,针对资源/A/B/C/*上设置的Policy 4,由于没有设置权限打断标识,下级资源/A/B/C/D/*可以继承该权限点;此时资源/A/B/C/D/*上具有两个资源点:被直接授予的权限点Policy 4以及从资源/A/B/C/*处继承的Policy 4。此时由于资源/A/B/C/D/*上设置有针对Policy 4的权限打断标识,由于资源/A/B/C/D/*的子级资源/A/B/C/D/E/*上没有设置权限点,则Policy 4可以被资源/A/B/C/D/E/*继承;在资源/A/B/C/D/E/*上,由于没有设置权限打断标识,因此,Policy 4可以被目标资源/A/B/C/D/E/F继承。
对于祖先权限集合中的Policy 5,首先查找到Policy 5被设置的最高级别资源/A/B/*,由于没有设置权限打断标识,因此,可以被资源/A/B/C/*继承,在资源/A/B/C/*上也没有权限打断标识,因此,Policy 5可以继续被资源/A/B/C/D/*继承,以此类推,最后判断Policy 5可以被目标资源/A/B/C/D/E/F继承。
现利用简化的判断方法对于最新按权限集合中的各个权限点到目标资源的继承关系是否被打断进行判断。
对于权限点Policy 5,由于其设置在资源/A/B/*层级上,因此,相应资源距离所述目标资源最近的权限点即为资源/A/B/*层级上的Policy 5;由于筛选出的资源/A/B/*层级上的Policy 5对应的资源未设置针对Policy 5的权限打断标志,则判定Policy 5对应的继承关系未被打断。
对于权限点Policy 4,在资源/A/B/C/*以及资源/A/B/C/D/*上均有设置,由于资源/A/B/C/D/*距离目标资源/A/B/C/D/E/F更近,因此,相应资源距离所述目标资源最近的权限点即为资源/A/B/C/*层级上的Policy 4。此时,资源/A/B/C/*层级上的Policy 4设置有针对Policy4的打断标识;但是由于资源/A/B/C/*的子级资源/A/B/C/D/*上未设置有权限点,则判定所述Policy 4对应的继承关系未打断。
假设此时资源/A/B/C/D/*上设置有某一权限点,对于该权限点的类型不做具体限制,此时,由于其父级资源/A/B/C/*层级上的Policy 4设置有针对Policy 4的打断标识,所以子级资源/A/B/C/D/*就无法继承获取权限点Policy 4。
可以看出,上述改进的判断方法省略了对中间级资源的权限点继承的判断,利用权限打断标识以及权限点的性质,简化了权限鉴别过程,在多级权限管理系统的权限设置较为复杂的情况下可以更快速的获得权限鉴别的结果。
通过上述方法逐一判断祖先权限集合中的各个权限点的继承关系是否被打断后,可以进行后续的步骤。
S203,根据所述本级权限集合和筛选出的权限点,鉴别所述目标用户对所述目标资源是否存在目标权限。
在前序步骤的判断结束后,所述本级权限集合中的权限点对应的权限是目标用户在目标资源上一定具有的权限,所述筛选出的权限点是目标资源可以从祖先权限集合中继承的权限点。此时只要根据所述本级权限集合和筛选出的权限点是否具有目标权限对应的权限点,即可判断目标用户在目标资源上是否具有目标权限。
在本说明书一示例性实施例中,如图4所示,如果目标用户Uid1的本级权限集合为{Policy1,Policy 3},筛选出的权限点包括Policy 4和Policy 5。此时,如果要鉴别目标用户Uid1对目标资源/A/B/C/D/E/F是否存在目标权限1(由对应的权限点Policy 1授予)的需求进行权限鉴别,则需要根据所述本级权限集合和筛选出的权限点进行判断。具体地,当要鉴别目标用户Uid1对目标资源/A/B/C/D/E/F是否存在目标权限1时,即要鉴别目标用户的本级权限集合以及筛选出的权限点中是否包含目标权限1对应的权限点Policy 1。在本实施例中,由于目标用户的本级权限集合中包括Policy 1,则目标用户Uid1对目标资源/A/B/C/D/E/F具有目标权限1。
图5是本说明书一示例性实施例的一种计算机设备的结构示意图。请参考图5,在硬件层面,该设备包括处理器502、内部总线504、网络接口506、内存508及非易失性存储器510。当然还可能包括其他功能所需要的硬件。处理器502从非易失性存储器510中读取对应的计算机程序到内存508中然后运行,在逻辑层面上形成一种权限鉴别装置。当然,除了软件实现方式之外,本说明书一个或多个实施例并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
相应于上述方法的实施例,本说明书还提供一种权限鉴别装置。
请参考图6,一种权限鉴别装置,应用于多级资源权限管理系统,所述多级资源中的至少一级资源设有权限点,所述权限点用于定义针对相应资源的权限类型和被授予相应权限的用户组,所述装置可以包括:
获取单元610,用于响应于鉴别目标用户对目标资源是否存在目标权限的需求,获取本级权限集合和祖先权限集合,所述本级权限集合为用户在所述目标资源上被授予相应权限的权限点的集合,所述祖先权限集合为用户在所述目标资源的所有祖先资源上被授予相应权限的权限点的集合;
判断单元620,用于判断所述目标资源对所述祖先权限集合中的各个权限点的继承关系是否被打断,并根据判断结果筛选出相应的继承关系未被打断的权限点;
鉴别单元630,用于根据所述本级权限集合和筛选出的权限点,鉴别所述目标用户对所述目标资源是否存在目标权限。
可选地,所述获取单元610可以具体用于:
获取所述目标用户在所述多级资源中被授予相应权限的所有权限点;
从获取的所有权限点中筛选出设置于所述目标资源上的权限点,以添加至所述本级权限集合。
可选地,所述获取单元610可以具体用于:
确定所述目标资源的所有祖先资源;
根据所述用户在所述祖先资源上被授权的所有待继承权限点生成所述用户继承权限集合。
可选地,所述权限鉴别装置还可以包括:
筛选单元640,用于从所述祖先权限集合中剔除所述本级权限集合所含的权限点。
可选地,在所述祖先权限集合中的所有权限点均被剔除的情况下,根据所述本级权限集合鉴别所述目标用户对所述目标资源是否存在目标权限。
可选地,所述判断单元620可以具体用于:
针对所述祖先权限集合中各类型的权限点,分别筛选出每一类型的权限点中相应资源距离所述目标资源最近的权限点;其中,剩余的权限点对应的继承关系被打断;
在筛选出的任一权限点设有权限打断标志,且该资源的子级资源上设有权限点的情况下,判定所述任一权限点对应的继承关系被打断;
在筛选出的任一权限点未设置权限打断标志,或者,在筛选出的任一权限点对应的资源设有权限打断标志但该资源的子级资源上未设有权限点的情况下,判定所述任一权限点对应的继承关系未被打断。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
在一个典型的配置中,计算机包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带、磁盘存储、量子存储器、基于石墨烯的存储介质或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
在本说明书一个或多个实施例中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
在本说明书一个或多个实施例使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书一个或多个实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书一个或多个实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
以上所述仅为本说明书一个或多个实施例的较佳实施例而已,并不用以限制本说明书一个或多个实施例,凡在本说明书一个或多个实施例的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书一个或多个实施例保护的范围之内。

Claims (10)

1.一种权限鉴别方法,其特征在于,应用于多级资源权限管理系统,所述多级资源中的至少一级资源设有权限点,所述权限点用于定义针对相应资源的权限类型和被授予相应权限的用户组,所述方法包括:
响应于鉴别目标用户对目标资源是否存在目标权限的需求,获取本级权限集合和祖先权限集合,所述本级权限集合为所述目标用户在所述目标资源上被授予相应权限的权限点的集合,所述祖先权限集合为所述目标用户在所述目标资源的所有祖先资源上被授予相应权限的权限点的集合;
判断所述目标资源对所述祖先权限集合中的各个权限点的继承关系是否被打断,并根据判断结果筛选出相应的继承关系未被打断的权限点;
根据所述本级权限集合和筛选出的权限点,鉴别所述目标用户对所述目标资源是否存在目标权限。
2.如权利要求1所述的方法,其特征在于,所述获取本级权限集合,包括:
获取所述目标用户在所述多级资源中被授予相应权限的所有权限点;
从获取的所有权限点中筛选出设置于所述目标资源上的权限点,以添加至所述本级权限集合。
3.如权利要求2所述的方法,其特征在于,所述目标用户被授予相应权限的权限点包括:所述目标用户被直接授予相应权限的权限点以及所述目标用户所在用户组被授权的权限点。
4.如权利要求1所述的方法,其特征在于,所述获取祖先权限集合,包括:
确定所述目标资源的所有祖先资源;
根据所述目标用户在所述祖先资源上被授予相应权限的权限点生成所述祖先权限集合。
5.如权利要求1所述的方法,其特征在于,还包括:
从所述祖先权限集合中剔除所述本级权限集合所含的权限点。
6.如权利要求5所述的方法,其特征在于,在所述祖先权限集合中的所有权限点均被剔除的情况下,根据所述本级权限集合鉴别所述目标用户对所述目标资源是否存在目标权限。
7.如权利要求1所述的方法,其特征在于,所述判断所述目标资源对所述祖先权限集合中的各个权限点的继承关系是否被打断,包括:
针对所述祖先权限集合中各类型的权限点,分别筛选出每一类型的权限点中相应资源距离所述目标资源最近的权限点;其中,剩余的权限点对应的继承关系被打断;
在筛选出的任一权限点设有权限打断标志,且该资源的子级资源上设有权限点的情况下,判定所述任一权限点对应的继承关系被打断;
在筛选出的任一权限点未设置权限打断标志,或者,在筛选出的任一权限点对应的资源设有权限打断标志但该资源的子级资源上未设有权限点的情况下,判定所述任一权限点对应的继承关系未被打断。
8.一种权限鉴别装置,其特征在于,应用于多级资源权限管理系统,所述多级资源中的至少一级资源设有权限点,所述权限点用于定义针对相应资源的权限类型和被授予相应权限的用户组,所述装置包括:
获取单元,用于响应于鉴别目标用户对目标资源是否存在目标权限的需求,获取本级权限集合和祖先权限集合,所述本级权限集合为用户在所述目标资源上被授予相应权限的权限点的集合,所述祖先权限集合为用户在所述目标资源的所有祖先资源上被授予相应权限的权限点的集合;
判断单元,用于判断所述目标资源对所述祖先权限集合中的各个权限点的继承关系是否被打断,并根据判断结果筛选出相应的继承关系未被打断的权限点;
鉴别单元,用于根据所述本级权限集合和筛选出的权限点,鉴别所述目标用户对所述目标资源是否存在目标权限。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1-7中任意一项所述方法的步骤。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-7中任意一项所述方法的步骤。
CN202111673078.6A 2021-12-31 2021-12-31 权限鉴别方法及装置 Pending CN114398652A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111673078.6A CN114398652A (zh) 2021-12-31 2021-12-31 权限鉴别方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111673078.6A CN114398652A (zh) 2021-12-31 2021-12-31 权限鉴别方法及装置

Publications (1)

Publication Number Publication Date
CN114398652A true CN114398652A (zh) 2022-04-26

Family

ID=81229012

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111673078.6A Pending CN114398652A (zh) 2021-12-31 2021-12-31 权限鉴别方法及装置

Country Status (1)

Country Link
CN (1) CN114398652A (zh)

Similar Documents

Publication Publication Date Title
CN110298188B (zh) 动态访问权限的控制方法及系统
US10728034B2 (en) Security privilege escalation exploit detection and mitigation
AU2015244192B2 (en) Device policy manager
US10614233B2 (en) Managing access to documents with a file monitor
JP6286034B2 (ja) プロセス認証とリソースパーミッション
AU2017423496B2 (en) Secure token passing via blockchains
CN110383278A (zh) 用于检测恶意计算事件的系统和方法
US8615789B2 (en) Trust assertion using hierarchical weights
CN107018174B (zh) 一种单元化系统服务处理的方法、装置及业务处理系统
US11188667B2 (en) Monitoring and preventing unauthorized data access
CN110858833B (zh) 访问控制策略配置方法、装置和系统以及存储介质
CN107203715B (zh) 执行系统调用的方法及装置
US11100242B2 (en) Restricted resource classes of an operating system
US20170185344A1 (en) Memory access control
CN106951795B (zh) 一种应用程序数据访问隔离方法及装置
CN111177703B (zh) 操作系统数据完整性的确定方法及装置
WO2020253344A1 (zh) 一种授权控制的方法、装置以及存储介质
US8689324B2 (en) Techniques to explain authorization origins for protected resource objects in a resource object domain
CN111737304B (zh) 一种区块链数据的处理方法、装置及设备
CN114398652A (zh) 权限鉴别方法及装置
WO2016018233A1 (en) Memory access control
US20210357518A1 (en) Control of access to hierarchical nodes
CN113076552B (zh) 一种hdfs资源的访问权限校验方法、装置及电子设备
US20230080084A1 (en) Access verification on portable mass storage devices
US20230367899A1 (en) System and method for data privacy control

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination