CN115065513B - 资源访问控制方法、装置及存储介质 - Google Patents
资源访问控制方法、装置及存储介质 Download PDFInfo
- Publication number
- CN115065513B CN115065513B CN202210619777.0A CN202210619777A CN115065513B CN 115065513 B CN115065513 B CN 115065513B CN 202210619777 A CN202210619777 A CN 202210619777A CN 115065513 B CN115065513 B CN 115065513B
- Authority
- CN
- China
- Prior art keywords
- authority
- permission
- service
- client
- rights
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种资源访问控制方法、装置及存储介质,其中,方法包括:获取客户端发送的访问请求,所述访问请求包括客户端标识和业务标识;基于预设的业务标识与权限集合标识的对应关系,确定所述业务标识对应的权限集合;所述权限集合包括通用权限集合和特征权限集合;所述通用权限集合是所述业务标识对应的业务的通用访问权限所组成的集合;所述特征权限集合是由组成所述业务的子业务对应的特有访问权限所组成的集合;基于所述业务标识对应的权限集合,对所述客户端标识对应客户端的资源访问进行权限控制。本申请的方法,解决了现有的基于RBAC的访问控制技术,在业务逻辑频繁变化的情况下灵活性差的问题。
Description
技术领域
本申请涉及计算机安全技术领域,尤其涉及一种资源访问控制方法、装置及存储介质。
背景技术
访问控制技术是一种确保资源安全性的重要控制技术。在如图1所示的访问控制系统架构中,云端的服务器11采用访问控制技术,允许有权限的客户端12基于其拥有的权限对云端资源进行访问,阻止无权限的客户端12对云端资源进行访问。
访问控制技术的实现主要包括如下三个阶段:如图1所示,第一阶段,服务器11创建访问控制模型,如基于角色的访问控制(Role-Based Access Control,简称:RBAC)模型。服务器11基于业务属性创建角色,并建立角色与业务所需的所有权限的对应关系。业务自身的逻辑关系即体现为角色与权限的对应关系。第二阶段,服务器11基于作为用户的客户端12所发送的权限配置申请,进行用户权限配置。具体地,服务器11基于权限配置申请和预先配置的角色与权限的对应关系,给客户端12分配角色。客户端12与所分配角色之间的对应关系,确保了客户端12拥有所分配角色对应的权限。客户端12若执行一种角色的权限即可完成该角色对应的业务操作。第三阶段,在客户端12的资源访问过程中,服务器11对客户端12的资源访问进行控制。具体地,在资源访问过程中,即在权限执行过程中,客户端12向服务器12发送访问申请,服务器11基于访问申请对客户端12的权限进行鉴权,确定客户端12所拥有的权限。服务器11基于客户端12所拥有的权限,对客户端12的资源访问进行权限控制。
现有的基于RBAC的访问控制技术,在业务逻辑频繁变化的情况下,需要创建大量的角色与权限的对应关系才能满足业务需求,灵活性差,服务器对访问控制模型的维护难度大。
发明内容
本申请提供一种资源访问控制方法、装置及存储介质,以解决现有的基于RBAC的访问控制技术,在业务逻辑频繁变化的情况下灵活性差的问题。
第一方面,本申请提供一种资源访问控制方法,包括:
获取客户端发送的访问请求,所述访问请求包括客户端标识和业务标识;
基于预设的业务标识与权限集合标识的对应关系,确定所述业务标识对应的权限集合;所述权限集合包括通用权限集合和特征权限集合;所述通用权限集合是所述业务标识对应的业务的通用访问权限所组成的集合;所述特征权限集合是由组成所述业务的子业务对应的特有访问权限所组成的集合;
基于所述业务标识对应的权限集合,对所述客户端标识对应客户端的资源访问进行权限控制。
可选的,所述通用权限集合和特征权限集合均包括表征各自对应权限的权限结构,所述权限结构包括表征权限操作规则的操作表达式所组成的操作集合、与所述操作表达式关联的待访问资源所组成的资源集合以及由所述操作表达式的操作条件所组成的条件集合;
所述基于所述业务标识对应的权限集合,对所述客户端标识对应客户端的资源访问进行权限控制,包括:
分别对所述业务标识对应的通用权限集合和特征权限集合各自的权限结构进行解析,确定所述业务标识对应的权限;
基于所述业务标识对应的权限,对所述客户端标识对应客户端的资源访问进行权限控制。
可选的,所述权限结构还包括与所述操作表达式关联的权限类型,所述权限类型包括允许和拒绝;
所述分别对所述业务标识对应的通用权限集合和特征权限集合各自的权限结构进行解析,确定所述业务标识对应的权限,包括:
分别对所述业务标识对应的通用权限集合和特征权限集合各自的权限结构进行解析,获得由所述通用权限集合和特征权限集合中的权限所组成的第一权限集合;
确定所述第一权限集合中是否包含权限组,所述权限组是由操作表达式以及所述操作表达式所对应的待访问资源和操作条件相同但权限类型不同的两个权限所组成;
若确定所述第一权限集合中包含权限组,则对权限组中权限类型为允许的权限进行无效标识的标记,确定所述第一权限集合中不含无效标识的权限为所述业务标识对应的权限;
若确定所述第一权限集合中不包含权限组,则确定所述第一权限集合中的权限为所述业务标识对应的权限。
可选的,在所述确定所述第一权限集合中是否包含权限组之后,所述方法还包括:
若确定所述第一权限集合中包含权限组,则对所述第一权限集合的权限组中权限类型为允许的权限进行删除,得到第二权限集合,确定所述第二权限集合中的权限为所述业务标识对应的权限。
可选的,一个特征权限集合对应一个子业务,所述业务标识对应的权限集合包括一个或多个通用权限集合和一个或多个特征权限集合;
所述基于所述业务标识对应的权限集合,对所述客户端标识对应客户端的资源访问进行权限控制,包括:
基于所述业务标识对应的所述一个或多个通用权限集合和所述一个或多个特征权限集合,对所述客户端标识对应客户端的资源访问进行权限控制。
可选的,所述基于所述业务标识对应的权限,对所述客户端标识对应客户端的资源访问进行权限控制,包括:
基于所述业务标识对应的多个权限,采用优先遍历权限类型为拒绝的权限的方式,对所述客户端标识对应客户端的资源访问进行权限控制。
可选的,所述基于所述业务标识对应的权限,采用优先遍历权限类型为拒绝的权限的方式,对所述客户端标识对应客户端的资源访问进行权限控制,包括:
按权限类型对所述业务标识对应的多个权限进行分类,得到拒绝类权限和允许类权限;
将所述拒绝类权限和允许类权限按遍历先后顺序排布,得到第三权限集合;
基于所述第三权限集合,对所述客户端标识对应客户端的资源访问进行权限控制。
第二方面,本申请提供一种资源访问控制设备,所述设备包括:收发模块、控制模块;
所述收发模块,用于获取客户端发送的访问请求,所述访问请求包括客户端标识和业务标识;
所述控制模块,用于基于预设的业务标识与权限集合标识的对应关系,确定所述业务标识对应的权限集合;并基于所述业务标识对应的权限集合,对所述客户端标识对应客户端的资源访问进行权限控制;所述权限集合包括通用权限集合和特征权限集合;所述通用权限集合是所述业务标识对应的业务的通用访问权限所组成的集合;所述特征权限集合是由组成所述业务的子业务对应的特有访问权限所组成的集合。
第三方面,本申请提供一种资源访问控制装置,所述装置包括:
处理器和存储器;
所述存储器存储所述处理器可执行的可执行指令;
其中,所述处理器执行所述存储器存储的可执行指令,使得所述处理器执行如上所述的方法。
第四方面,本申请提供一种存储介质,所述存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上所述的方法。
本申请提供的资源访问控制方法、装置及存储介质,基于预设的业务标识与通用权限集合和特征权限集合的对应关系,确定出客户端发送的访问请求中的业务标识对应的通用权限集合和特征权限集合,并基于所确定的通用权限集合和特征权限集合,实现对该客户端的资源访问进行权限控制。此外,通用权限集合、特征权限集合以及业务标识分别与通用权限集合和特征权限集合的对应关系的设置,实现在业务逻辑频繁变化促使频繁产生新业务的情况下,通过对通用权限集合和特征权限集合的高效复用以提高本申请提供的资源访问控制技术的灵活性。本申请解决了现有的基于RBAC的访问控制技术,在业务逻辑频繁变化的情况下灵活性差的问题。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为现有的访问控制系统架构图;
图2为本申请实施例提供的资源访问控制系统架构图;
图3为本申请实施例提供的资源访问控制模型结构图;
图4为本申请实施例提供的资源访问控制方法流程图;
图5为本申请实施例提供的资源访问控制装置结构图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在现有的基于RBAC的访问控制技术中,一个角色就是一种业务或一种工作职能或工作岗位。为了确保角色对应工作职能或业务职能的职能分离,以避免同一个用户同时执行两个冲突的角色,RBAC模型的角色与权限之间的对应关系是静态设定的。两个冲突的角色例如出纳角色和会计角色。一个角色对应了该角色所表征的业务或工作职能的全部权限,确保需进行业务操作的用户执行一个角色即可,而无需同时执行两个角色。角色与权限之间对应关系的静态设定,同时决定了如图1所示作为用户的客户端12在执行一个角色过程中,拥有的是该角色对应的所有权限,而无法做到只拥有该角色对应权限中的部分权限。由于业务自身的逻辑关系体现为角色与权限的对应关系。若需要新增一种新业务B,对于采用现有的基于RBAC的访问控制技术的服务器11而言,需要按下述方式一或方式二为新业务B创建新角色B和角色B与权限的对应关系:
方式一、若新业务B的权限包含已有业务A的全部权限和业务B特有的特征权限,即业务B的权限组成为:角色A的全部权限+业务B特有的一个或多个特征权限,则服务器11创建新角色B,并建立角色B分别与角色A和各个特征权限的对应关系,确保客户端12执行角色B时拥有新业务B的所有权限。
方式二、若新业务B的权限包含已有业务A的部分权限和业务B特有的特征权限,即业务B的权限组成为:角色A的部分权限+业务B特有的一个或多个特征权限,则服务器11创建新角色B,并建立角色B分别与业务B各个权限的对应关系。
其中,角色A为已有业务A或旧业务A对应的角色。当新业务B的权限组成为方式二示出的权限组成时,服务器11在创建角色B与权限的对应关系过程中,无法通过创建角色B与角色A的对应关系来复用已有的角色A。服务器11需按新业务B所拥有的权限的数量,创建同等数量的角色B与权限对应关系。服务器11为了实现业务逻辑关系而进行的角色与权限对应关系的创建工作,是访问控制模型维护的技术重点也是技术难点。
在业务的实际应用中,只有旧业务需要被淘汰或被新业务取代的情况下,新业务的权限组成才可能是方式一中的权限组成。然而,新业务的开发往往是为了适用于新的应用场景,通常是与旧业务并存的,且新业务与旧业务之间既有相同的通用权限,又有各自业务所特有的不相同的特征权限,如方式二中示出的权限组成。因此,在业务逻辑频繁变化促使频繁产生新业务的情况下,采用现有技术的服务器11通常需按方式二创建大量角色与权限的对应关系才能满足业务需求,灵活性差,使得服务器11对访问控制模型的维护难度和维护压力大。
对此,本申请在将业务的权限拆分为通用权限和特征权限的前提下,提出一种资源访问控制方法,以解决现有的基于RBAC的访问控制技术,在业务逻辑频繁变化的情况下灵活性差,导致服务器对访问控制模型的维护难度大的问题。下面结合部分实施例对本申请提供的资源访问控制方法进行说明。
图2为本申请实施例提供的资源访问控制系统架构图。图3为本申请实施例提供的资源访问控制模型结构图。如图2所示,该系统架构包括:资源访问控制设备21和客户端12。资源访问控制设备21获取客户端12发送的访问请求,该访问请求包括如图3所示的客户端标识和业务标识Yi。资源访问控制设备21基于预设的业务标识与权限集合标识的对应关系,确定业务标识对应的权限集合。其中,权限集合包括通用权限集合和特征权限集合;通用权限集合是业务标识对应的业务的通用访问权限所组成的集合;特征权限集合是由组成该业务的子业务对应的特有访问权限所组成的集合。资源访问控制设备21基于业务标识对应的权限集合,对客户端标识对应客户端12的资源访问进行权限控制。
示例性地,资源访问控制设备21采用图3所示的资源访问控制模型,按如下方式实现对客户端12的资源访问的权限控制:资源访问控制设备21获取客户端12发送的如图3所示的访问请求,假设该访问请求包含客户端标识和业务标识Y2。资源访问控制设备21基于如图3所示的预设的业务标识Yi与权限集合标识Qj对应关系列表3,确定业务标识Y2对应的权限集合标识Q2和Q1.2。资源访问控制设备21根据权限集合标识Q2和Q2.1确定通用权限集合Q2和特征权限集合Q1.2。资源访问控制设备21基于通用权限集合Q2和特征权限集合Q1.2中的权限,对客户端标识对应客户端12的资源访问进行权限控制。其中,列表3是将表征业务标识列表的列表1和表征权限集合标识类别的列表2进行关联的关联列表。业务标识如图3所示的Y1、Y2、Y3、…、Ym,权限集合标识如图3所示的通用权限集合标识QC、QD、…、QN和特征权限集合标识QC1、QC2、QD1、…、QN1、…。
在本申请提供的资源访问控制方法中,假设业务标识对应业务C的通用权限与通用权限集合QC对应,业务标识对应子业务C1的特征权限与特征权限集合QC1对应。若资源访问控制设备21需新增一种新的子业务C3,该新子业务C3所属的业务类别与业务C的业务类别相同,C3包含了其所属业务类别的通用权限。子业务C3为业务C的组成子业务。C3所属业务类别的通用权限为通用权限集合QC中的权限。资源访问控制设备21为新子业务C3的特征权限创建一个对应的新特征权限集合QC3,并为客户端12配置业务标识以及业务标识分别与通用权限集合QC和新特征权限集合QC3的对应关系即可。
下面以一具体示例对本申请提供的资源访问控制方法的技术效果进行说明:
假设上述业务B与子业务C3权限相同,均对应包含权限q1、q2、q3、q6。上述业务A与子业务C1权限相同,均对应包含权限q1、q2、q3、q4。在现有技术的访问控制系统中,客户端12的业务标识Ya与业务A的角色A对应。子业务C1为组成业务C的组成子业务。在本申请的资源访问控制系统中,客户端12的业务标识Yc1分别与子业务C1的特征权限集合QC1和子业务所属的业务C的通用权限集合QC对应。业务B和子业务C3为新增的业务,业务B和子业务C3对应的业务标识为Yk。业务A是现有的访问控制系统中的已有业务,子业务C1是本申请实施例提供的资源访问控制系统中的已有业务。在新增业务的过程中,采用现有技术的服务器11和采用本申请方法的资源访问控制设备21对各自的访问控制模型的维护难度对比如表1所示:
表1访问控制模型的维护难度对比
从表1可知,本申请提供的资源访问控制方法,资源访问控制设备21在新增业务C3的过程中,新建的对应关系包括业务C3的特征权限集合QC3与业务C3的特征权限q6的对应关系,业务标识Yk分别与特征权限集合QC3和业务C3所属业务类型C的通用权限集合QC的对应关系。资源访问控制设备21通过新建业务标识Yk与通用权限集合QC的对应关系,在确保了客户端12执行业务标识Yk对应子业务C3时拥有子业务C3的所有权限q1、q2、q3、q6的前提下,实现对通用权限集合QC的复用,进而减少了需新建的权限集合与权限对应关系的数量,降低资源访问控制设备21对访问控制模型的维护难度和维护压力。例如表1所示,资源访问控制设备21新建的权限集合与权限对应关系数量为1,而服务器11新建的角色与权限对应关系数量为4。相较于采用现有技术的服务器11,采用本申请方法的资源访问控制设备21新建的权限集合与权限对应关系数量少,对访问控制模型的维护难度和维护压力小。同理地,资源访问控制设备21也可以通过新建业务标识与特征权限集合的对应关系实现对特征权限集合的复用。因此,在本申请方法中,通用权限集合和特征权限集合的设置,可以实现对通用权限集合和特征权限集合的高效复用,提高本申请提供的资源访问控制技术在业务逻辑频繁变化情况下的灵活性。
本申请实施例提供的资源访问控制方法,基于预设的业务标识与通用权限集合和特征权限集合的对应关系,确定出客户端发送的访问请求中业务标识对应的通用权限集合和特征权限集合,并基于所确定的通用权限集合和特征权限集合,实现对客户端的资源访问进行权限控制。此外,通用权限集合、特征权限集合以及业务标识分别与通用权限集合和特征权限集合的对应关系的设置,实现在业务逻辑频繁变化促使频繁产生新业务的情况下,通过对通用权限集合和特征权限集合的高效复用以提高本申请提供的资源访问控制技术的灵活性。本申请实施例提供的方法解决了现有的基于RBAC的访问控制技术,在业务逻辑频繁变化的情况下灵活性差的问题。
下面结合图2和图4对本申请提供的资源访问控制方法进行详细说明。图4为本申请实施例提供的资源访问控制方法流程图。图4所示实施例的执行主体为图2所示实施例中的资源访问控制设备21。如图4所示,该方法包括:
S401、获取客户端发送的访问请求,访问请求包括客户端标识和业务标识。
具体而言,资源访问控制设备21获取客户端12发送的访问请求,该访问请求包括客户端12的客户端标识和业务标识。
S402、基于预设的业务标识与权限集合标识的对应关系,确定业务标识对应的权限集合。权限集合包括通用权限集合和特征权限集合。通用权限集合是业务标识对应的业务的通用访问权限所组成的集合。特征权限集合是由组成业务的子业务对应的特有访问权限所组成的集合。
具体而言,资源访问控制设备21基于预设的业务标识与权限集合标识的对应关系,确定业务标识对应的权限集合。其中,权限集合包括通用权限集合和特征权限集合。通用权限集合是业务标识对应的业务的通用访问权限所组成的集合。特征权限集合是由组成业务的子业务对应的特有访问权限所组成的集合。
可选地,通用权限集合和特征权限集合均包括表征各自对应权限的权限结构。其中,权限结构包括表征权限操作规则的操作表达式所组成的操作集合、与操作表达式关联的待访问资源所组成的资源集合以及由操作表达式的操作条件所组成的条件集合。
资源访问控制设备21基于业务标识对应的权限集合,按如下步骤(1)-(2)对客户端标识对应客户端的资源访问进行权限控制:
(1)资源访问控制设备21分别对业务标识对应的通用权限集合和特征权限集合各自的权限结构进行解析,确定业务标识对应的权限。
(2)资源访问控制设备21基于业务标识对应的权限,对客户端标识对应客户端12的资源访问进行权限控制。
示例性地,操作集合可以是“{业务标识}:{操作模块标识}:{操作名称}”的结构形式。资源集合可以是“{提供资源的用户的标识}:{资源所属地域编码}:{资源标识}”的结构形式,该结构形式的资源集合适用于访问资源是分布式存储的场景。条件集合如“{操作名称}:{运算符,时间};{操作名称}:{运算符,互联网协议地址(nternet Protocol Address,简称:IP地址)};{操作名称}:{运算符,用户标识};…”的结构形式。其中,操作模块标识是指操作软件模块的标识,该操作软件模块中包括具体的操作规则和操作规则对应的资源标识。运算符例如==、!=、>、<、>=、<=、like、notLike等运算符。用户标识例如为客户端标识。
采用包括操作集合、资源集合、条件集合的权限结构来表征权限,可以高效便捷地实现对权限集合中权限的变更或替换,提高本申请提供的访问控制方法在业务逻辑频繁变动情况下的灵活性。权限结构中条件集合的设置,可以实现资源访问控制设备21对客户端12的资源访问的动态权限控制。如资源访问控制设备21可以基于时间、客户端12的IP地址等操作条件,对客户端12的资源访问进行条件化的动态权限控制。
可选地,权限结构还包括与操作表达式关联的权限类型,权限类型包括允许和拒绝。资源访问控制设备21按如下步骤(1.1)-(1.4),分别对业务标识对应的通用权限集合和特征权限集合各自的权限结构进行解析,确定业务标识对应的权限:
(1.1)资源访问控制设备21分别对业务标识对应的通用权限集合和特征权限集合各自的权限结构进行解析,获得由通用权限集合和特征权限集合中的权限所组成的第一权限集合。
(1.2)资源访问控制设备21确定第一权限集合中是否包含权限组。其中,权限组是由操作表达式以及操作表达式所对应的待访问资源和操作条件相同但权限类型不同的两个权限所组成。资源访问控制设备21若确定第一权限集合中包含权限组,则执行步骤(1.3);反之,资源访问控制设备21若确定第一权限集合中不包含权限组,则执行步骤(1.4)。
(1.3)资源访问控制设备21若确定第一权限集合中包含权限组,则对权限组中权限类型为允许的权限进行无效标识的标记,确定第一权限集合中不含无效标识的权限为业务标识对应的权限。
(1.4)资源访问控制设备21若确定第一权限集合中不包含权限组,则确定第一权限集合中的权限为业务标识对应的权限。
可选地,在资源访问控制设备21确定第一权限集合中是否包含权限组之后,若确定第一权限集合中包含权限组,则对第一权限集合的权限组中权限类型为允许的权限进行删除,得到第二权限集合,确定第二权限集合中的权限为业务标识对应的权限。通过在权限结构中设置拒绝权限类型,并结合本步骤或上述步骤(1.3)所示的确定业务标识对应权限的方式,实现了对通用权限集合和/或特征权限集合中的权限类型为允许的权限的无效处理,有助于对权限进行灵活组合,并提高对新增业务的权限配置的灵活性。因此,权限结构中拒绝权限类型的设置,进一步提高了本申请提供的访问控制方法在业务逻辑频繁变化情况下的灵活性。
S403、基于业务标识对应的权限集合,对客户端标识对应客户端的资源访问进行权限控制。
具体而言,资源访问控制设备21基于业务标识对应的权限集合,对客户端标识对应客户端的资源访问进行权限控制。
可选地,一个特征权限集合对应一个子业务。在业务标识对应的权限集合包括一个或多个通用权限集合和一个或多个特征权限集合的情况下,资源访问控制设备21基于业务标识对应的一个或多个通用权限集合和一个或多个特征权限集合,对客户端标识对应客户端12的资源访问进行权限控制。
在现有的访问控制技术中,客户端12进行资源访问的过程中,服务器11对客户端12进行鉴权后确定出客户端12所拥有的权限,如服务器11对客户端12鉴权后得到客户端12的权限列表。客户端12每执行一个访问操作,服务器11会遍历客户端12的权限列表,确定客户端12执行的访问操作是否属于客户端12的权限列表中权限。若服务器11在遍历客户端12的权限列表过程中遍历到客户端12所执行的访问操作对应的权限,服务器11停止遍历并确定客户端12执行的访问操作为允许权限操作。若确定客户端12执行的访问操作不属于客户端12的权限列表中权限,则说明客户端12所执行的访问操作为非允许权限操作,服务器11阻止客户端12的该访问操作。也就是说,若客户端12所执行的访问操作为非允许权限操作,服务器11只有遍历完客户端12的权限列表,才能确定出客户端12所执行的访问操作是非允许权限操作。若客户端12的权限列表中权限数量巨大,服务器11对客户端12的非允许权限操作的确定耗时较长,对用户体验感的提升产生不利影响。因此,在本申请中,可选地,资源访问控制设备21基于业务标识对应的多个权限,采用优先遍历权限类型为拒绝的权限的方式,对客户端标识对应客户端12的资源访问进行权限控制。
示例性地,资源访问控制设备21基于业务标识对应的权限,按如下步骤I-III,采用优先遍历权限类型为拒绝的权限的方式,对客户端标识对应客户端12的资源访问进行权限控制:
I、资源访问控制设备21按权限类型对业务标识对应的多个权限进行分类,得到拒绝类权限和允许类权限。
II、资源访问控制设备21将拒绝类权限和允许类权限按遍历先后顺序排布,得到第三权限集合。
III、资源访问控制设备21基于第三权限集合,对客户端标识对应客户端12的资源访问进行权限控制。
若客户端12执行的访问操作属于业务标识对应的拒绝类权限,资源访问控制设备21采用优先遍历拒绝类权限的方式即优先遍历权限类型为拒绝的权限的方式,可以快速确定出客户端12执行的访问操作为非允许权限操作,有效减小了对客户端12非允许权限操作的确定的耗时,以提升用户体验感。
本申请实施例提供的资源访问控制方法,通过预设的业务标识与通用权限集合和特征权限集合的对应关系,确定出客户端发送的访问请求中业务标识所对应的权限,基于所确定的业务标识对应的权限,对该客户端的资源访问进行权限控制。在本申请方法中,通用权限集合、特征权限集合以及业务标识分别与通用权限集合和特征权限集合的对应关系的设置,实现了在业务逻辑频繁变化促使频繁产生新业务的情况下对通用权限集合和特征权限集合的高效复用,提高了本申请提供的资源访问控制技术在业务逻辑频繁变化情况下的灵活性。此外,通用权限集合和特征权限集合中的权限通过权限结构进行表征,进一步提高了本申请提供的访问控制方法在业务逻辑频繁变化情况下的灵活性,并实现对客户端的资源访问的动态权限控制。本申请提供的资源访问控制方法中采用的优先遍历拒绝类权限的方式,有效减少了对客户端非允许权限操作的确定的耗时,以提升用户体验感。
本申请实施例还提供一种资源访问控制设备。如图2所示,该资源访问控制设备21包括:收发模块211和控制模块212。
收发模块211,用于获取客户端12发送的访问请求,访问请求包括客户端标识和业务标识。
控制模块212,用于基于预设的业务标识与权限集合标识的对应关系,确定业务标识对应的权限集合;并基于业务标识对应的权限集合,对客户端标识对应客户端12的资源访问进行权限控制。权限集合包括通用权限集合和特征权限集合。通用权限集合是业务标识对应的业务的通用访问权限所组成的集合。特征权限集合是由组成业务的子业务对应的特有访问权限所组成的集合。
本实施例的具体实现原理和技术效果与图4所示实施例的具体实现原理和技术效果类似,本实施例此处不再赘述。
本申请实施例还提供一种资源访问控制装置。图5为本申请实施例提供的资源访问控制装置结构图。如图5所示,该资源访问控制装置包括处理器51和存储器52,存储器52存储有处理器51可执行指令,使得该处理器51可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,本实施例此处不再赘述。应理解,上述处理器51可以是中央处理单元(英文:Central Processing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。存储器52可能包含高速随机存取存储器(英文:Random Access Memory,简称:RAM),也可能还包括非易失性存储器(英文:Non-volatile memory,简称:NVM),例如至少一个磁盘存储器,还可以为U盘、移动硬盘、只读存储器、磁盘或光盘等。
本申请实施例还提供一种存储介质,该存储介质中存储有计算机执行指令,这些计算机执行指令被处理器执行时,实现上述的资源访问控制方法。存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(英文:Static Random-Access Memory,简称:SRAM),电可擦除可编程只读存储器(英文:Electrically-Erasable Programmable Read-Only Memory,简称:EEPROM),可擦除可编程只读存储器(英文:Erasable Programmable Read-Only Memory,简称:EPROM),可编程只读存储器(英文:Programmable Read-Only Memory,简称:PROM),只读存储器(英文:Read-Only Memory,简称:ROM),磁存储器,快闪存储器,磁盘或光盘。存储介质可以是通用或专用计算机能够存取的任何可用介质。
一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路(英文:Application Specific Integrated Circuits,简称:ASIC)中。当然,处理器和存储介质也可以作为分立组件存在于电子设备或主控设备中。
本申请实施例还提供一种程序产品,如计算机程序,该计算机程序被处理器执行时实现本申请所涵盖的资源访问控制方法。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施方式仅用以说明本发明的技术方案,而非对其进行限制;尽管参照前述实施方式对本发明已经进行了详细的说明,但本领域的普通技术人员应当理解:其依然可以对前述实施方式所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施方式技术方案的范围。
Claims (9)
1.一种资源访问控制方法,其特征在于,包括:
获取客户端发送的访问请求,所述访问请求包括客户端标识和业务标识;
基于预设的业务标识与权限集合标识的对应关系,确定所述业务标识对应的权限集合;所述权限集合包括通用权限集合和特征权限集合;所述通用权限集合是所述业务标识对应的业务的通用访问权限所组成的集合;所述特征权限集合是由组成所述业务的子业务对应的特有访问权限所组成的集合;
基于所述业务标识对应的权限集合,对所述客户端标识对应客户端的资源访问进行权限控制;
所述通用权限集合和特征权限集合均包括表征各自对应权限的权限结构;所述权限结构包括与操作表达式关联的权限类型,所述权限类型包括允许和拒绝;
所述基于所述业务标识对应的权限,对所述客户端标识对应客户端的资源访问进行权限控制,包括:
基于所述业务标识对应的多个权限,采用优先遍历权限类型为拒绝的权限的方式,对所述客户端标识对应客户端的资源访问进行权限控制。
2.根据权利要求1所述的方法,其特征在于,所述权限结构还包括表征权限操作规则的操作表达式所组成的操作集合、与所述操作表达式关联的待访问资源所组成的资源集合以及由所述操作表达式的操作条件所组成的条件集合;
所述基于所述业务标识对应的权限集合,对所述客户端标识对应客户端的资源访问进行权限控制,包括:
分别对所述业务标识对应的通用权限集合和特征权限集合各自的权限结构进行解析,确定所述业务标识对应的权限;
基于所述业务标识对应的权限,对所述客户端标识对应客户端的资源访问进行权限控制。
3.根据权利要求2所述的方法,其特征在于,所述分别对所述业务标识对应的通用权限集合和特征权限集合各自的权限结构进行解析,确定所述业务标识对应的权限,包括:
分别对所述业务标识对应的通用权限集合和特征权限集合各自的权限结构进行解析,获得由所述通用权限集合和特征权限集合中的权限所组成的第一权限集合;
确定所述第一权限集合中是否包含权限组,所述权限组是由操作表达式以及所述操作表达式所对应的待访问资源和操作条件相同但权限类型不同的两个权限所组成;
若确定所述第一权限集合中包含权限组,则对权限组中权限类型为允许的权限进行无效标识的标记,确定所述第一权限集合中不含无效标识的权限为所述业务标识对应的权限;
若确定所述第一权限集合中不包含权限组,则确定所述第一权限集合中的权限为所述业务标识对应的权限。
4.根据权利要求3所述的方法,其特征在于,在所述确定所述第一权限集合中是否包含权限组之后,所述方法还包括:
若确定所述第一权限集合中包含权限组,则对所述第一权限集合的权限组中权限类型为允许的权限进行删除,得到第二权限集合,确定所述第二权限集合中的权限为所述业务标识对应的权限。
5.根据权利要求1-4任一项所述的方法,其特征在于,一个特征权限集合对应一个子业务,所述业务标识对应的权限集合包括一个或多个通用权限集合和一个或多个特征权限集合;
所述基于所述业务标识对应的权限集合,对所述客户端标识对应客户端的资源访问进行权限控制,包括:
基于所述业务标识对应的所述一个或多个通用权限集合和所述一个或多个特征权限集合,对所述客户端标识对应客户端的资源访问进行权限控制。
6.根据权利要求1所述的方法,其特征在于,所述基于所述业务标识对应的权限,采用优先遍历权限类型为拒绝的权限的方式,对所述客户端标识对应客户端的资源访问进行权限控制,包括:
按权限类型对所述业务标识对应的多个权限进行分类,得到拒绝类权限和允许类权限;
将所述拒绝类权限和允许类权限按遍历先后顺序排布,得到第三权限集合;
基于所述第三权限集合,对所述客户端标识对应客户端的资源访问进行权限控制。
7.一种资源访问控制设备,其特征在于,所述设备包括:收发模块、控制模块;
所述收发模块,用于获取客户端发送的访问请求,所述访问请求包括客户端标识和业务标识;
所述控制模块,用于基于预设的业务标识与权限集合标识的对应关系,确定所述业务标识对应的权限集合;并基于所述业务标识对应的权限集合,对所述客户端标识对应客户端的资源访问进行权限控制;所述权限集合包括通用权限集合和特征权限集合;所述通用权限集合是所述业务标识对应的业务的通用访问权限所组成的集合;所述特征权限集合是由组成所述业务的子业务对应的特有访问权限所组成的集合;
所述通用权限集合和特征权限集合均包括表征各自对应权限的权限结构;所述权限结构包括与操作表达式关联的权限类型,所述权限类型包括允许和拒绝;
所述控制模块,具体用于基于所述业务标识对应的多个权限,采用优先遍历权限类型为拒绝的权限的方式,对所述客户端标识对应客户端的资源访问进行权限控制。
8.一种资源访问控制装置,其特征在于,所述装置包括:
处理器和存储器;
所述存储器存储所述处理器可执行的可执行指令;
其中,所述处理器执行所述存储器存储的可执行指令,使得所述处理器执行如权利要求1-6任一项所述的方法。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210619777.0A CN115065513B (zh) | 2022-06-02 | 2022-06-02 | 资源访问控制方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210619777.0A CN115065513B (zh) | 2022-06-02 | 2022-06-02 | 资源访问控制方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115065513A CN115065513A (zh) | 2022-09-16 |
| CN115065513B true CN115065513B (zh) | 2023-10-03 |
Family
ID=83198036
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210619777.0A Active CN115065513B (zh) | 2022-06-02 | 2022-06-02 | 资源访问控制方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115065513B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20070108308A (ko) * | 2006-01-09 | 2007-11-09 | 엘지전자 주식회사 | 세션 기반의 서비스 제공 방법 및 그 시스템 |
| CN109862001A (zh) * | 2019-01-23 | 2019-06-07 | 中国电子科技集团公司电子科学研究院 | 基于云管理平台的多级权限管理方法 |
| CN110516452A (zh) * | 2019-08-07 | 2019-11-29 | 浙江大搜车软件技术有限公司 | Rbac资源权限分配方法、装置、电子设备和存储介质 |
| CN111931140A (zh) * | 2020-07-31 | 2020-11-13 | 支付宝(杭州)信息技术有限公司 | 权限管理方法、资源访问控制方法、装置和电子设备 |
| CN112635034A (zh) * | 2020-12-30 | 2021-04-09 | 微医云(杭州)控股有限公司 | 一种业务权限系统、权限分配方法、电子设备及存储介质 |
| CN112818309A (zh) * | 2021-03-04 | 2021-05-18 | 重庆度小满优扬科技有限公司 | 数据访问权限的控制方法、装置以及存储介质 |
| CN112906028A (zh) * | 2021-03-04 | 2021-06-04 | 广州虎牙科技有限公司 | 访问控制方法、装置、电子设备及计算机可读存储介质 |
| CN112988286A (zh) * | 2021-03-12 | 2021-06-18 | 武汉蔚来能源有限公司 | 资源维护方法、装置及计算机存储介质 |
| CN114218551A (zh) * | 2021-11-08 | 2022-03-22 | 中国建设银行股份有限公司 | 鉴权方法、装置、电子设备和存储介质 |
| CN114329369A (zh) * | 2021-12-28 | 2022-04-12 | 中国电信股份有限公司 | 权限管理方法及装置、电子设备、计算机可读介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8713642B2 (en) * | 2003-12-15 | 2014-04-29 | International Business Machines Corporation | Collaborative computing community role mapping system and method |
-
2022
- 2022-06-02 CN CN202210619777.0A patent/CN115065513B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20070108308A (ko) * | 2006-01-09 | 2007-11-09 | 엘지전자 주식회사 | 세션 기반의 서비스 제공 방법 및 그 시스템 |
| CN109862001A (zh) * | 2019-01-23 | 2019-06-07 | 中国电子科技集团公司电子科学研究院 | 基于云管理平台的多级权限管理方法 |
| CN110516452A (zh) * | 2019-08-07 | 2019-11-29 | 浙江大搜车软件技术有限公司 | Rbac资源权限分配方法、装置、电子设备和存储介质 |
| CN111931140A (zh) * | 2020-07-31 | 2020-11-13 | 支付宝(杭州)信息技术有限公司 | 权限管理方法、资源访问控制方法、装置和电子设备 |
| CN112635034A (zh) * | 2020-12-30 | 2021-04-09 | 微医云(杭州)控股有限公司 | 一种业务权限系统、权限分配方法、电子设备及存储介质 |
| CN112818309A (zh) * | 2021-03-04 | 2021-05-18 | 重庆度小满优扬科技有限公司 | 数据访问权限的控制方法、装置以及存储介质 |
| CN112906028A (zh) * | 2021-03-04 | 2021-06-04 | 广州虎牙科技有限公司 | 访问控制方法、装置、电子设备及计算机可读存储介质 |
| CN112988286A (zh) * | 2021-03-12 | 2021-06-18 | 武汉蔚来能源有限公司 | 资源维护方法、装置及计算机存储介质 |
| CN114218551A (zh) * | 2021-11-08 | 2022-03-22 | 中国建设银行股份有限公司 | 鉴权方法、装置、电子设备和存储介质 |
| CN114329369A (zh) * | 2021-12-28 | 2022-04-12 | 中国电信股份有限公司 | 权限管理方法及装置、电子设备、计算机可读介质 |
Non-Patent Citations (2)
| Title |
|---|
| 基于RBAC模型的云计算平台访问控制系统设计研究;沙杰;;信息与电脑(理论版)(第03期);全文 * |
| 基于RBAC通用权限控制系统的设计与实现;唐诠杰;;金融科技时代(第05期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115065513A (zh) | 2022-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8656161B2 (en) | Information sharing system, information sharing method, group management program and compartment management program | |
| CN111698228A (zh) | 系统访问权限授予方法、装置、服务器及存储介质 | |
| RU2598324C2 (ru) | Средства управления доступом к онлайновой службе с использованием внемасштабных признаков каталога | |
| CN109254831B (zh) | 基于云管理平台的虚拟机网络安全管理方法 | |
| US7702693B1 (en) | Role-based access control enforced by filesystem of an operating system | |
| US9805209B2 (en) | Systems and methodologies for managing document access permissions | |
| CN111488595A (zh) | 用于实现权限控制的方法及相关设备 | |
| JP2015523661A (ja) | 電子メール用のデーター検出および保護ポリシー | |
| CN112883390B (zh) | 一种权限控制方法、装置及存储介质 | |
| CN113094055A (zh) | 维持对于在部署到云计算环境期间的受限数据的控制 | |
| CN107315950B (zh) | 一种云计算平台管理员权限最小化的自动化划分方法及访问控制方法 | |
| US8745701B2 (en) | Method and system for modeling options for opaque management data for a user and/or an owner | |
| US12021694B2 (en) | Virtualized network functions | |
| JP2004158007A (ja) | コンピュータアクセス権限 | |
| CN111062028A (zh) | 权限管理方法及装置、存储介质、电子设备 | |
| CN115242546A (zh) | 一种基于零信任架构的工业控制系统访问控制方法 | |
| CN111368286A (zh) | 权限控制方法、装置、设备及存储介质 | |
| CN115238247A (zh) | 基于零信任数据访问控制系统的数据处理方法 | |
| CN115065513B (zh) | 资源访问控制方法、装置及存储介质 | |
| CN111585949B (zh) | 漏洞扫描方法及相关设备 | |
| US20210006551A1 (en) | Tag-based access permissions for cloud computing resources | |
| CN116881933A (zh) | 一种基于属性访问控制的文件访问控制方法及访问控制系统 | |
| CN111147496A (zh) | 数据处理方法及装置 | |
| Gorrieri et al. | Supporting secure coordination in SecSpaces | |
| JP2007004610A (ja) | 複合的アクセス認可方法及び装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |