[发明专利]访问权限的管理方法及装置

说明书

技术领域

本发明涉及智能卡技术领域，尤其涉及一种访问权限的管理方法及装置。

背景技术

随着技术的不断发展，基于智能卡的通信系统，特别是基于智能卡的数据库系统得到了广泛的应用。

虽然智能卡可以提供相对比较安全的通信环境，但是，在智能卡中，一般是直接基于智能卡的特性而提供基于口令的身份认证和比较简单或专用的授权服务。但是，这些服务并不能满足用户对通用智能卡服务的需求。也就是说，基于智能卡的大多数应用提供的对用户访问权限的控制相对较弱。

而随着访问控制理论的发展，业界已经提出了多种访问控制模型，并广泛应用于企业级的环境中。当越来越多的基于智能卡的企业级或行业级应用诞生后，用户对智能卡系统所提供的通用服务也提出了更高的要求。相应的，基于智能卡的通用安全服务，特别是细粒度的授权与访问控制服务也越来越多的受到了重视。

因此，如何在计算资源和存储资源受限的智能卡系统中实现对用户访问权限的细粒度的授权与访问控制，从而为用户提供通用服务并降低对智能卡系统智能卡资源的要求，已经成为业界亟待解决的问题。

发明内容

本发明实施例提供一种实现通用访问控制且降低对智能卡系统智能卡性能的要求的访问权限的管理方法、装置。

本发明实施例采用如下技术方案：

一种访问权限的管理方法，包括：

接收用户对智能卡资源的访问请求；

根据所述访问请求获取所述用户所对应的角色；

确定所述用户对应的角色是否具有对所述智能卡资源的访问权限；

当所述角色具有对所述智能卡资源的访问权限时，允许所述用户对所述智能卡资源进行访问。

一种访问权限的管理装置，包括：

请求接收单元，用于接收用户对智能卡资源的访问请求；

角色获取单元，用于根据所述访问请求获取所述用户所对应的角色；

访问权限获取单元，用于确定所述用户对应的角色是否具有对所述智能卡资源的访问权限；

访问控制单元，用于当所述角色具有对所述智能卡资源的访问权限时，允许所述用户对所述智能卡资源进行访问。

本发明实施例所述的访问权限的管理方法及装置，根据用户的访问请求获取所述用户所对应的角色，并根据所述角色对应的访问权限来确定所述用户是否具有对其需访问的智能卡资源进行访问的权限。因此，由上可以看出，本发明实施例所述的方法及装置，是将用户、智能卡资源、角色和访问权限抽象出来并不做任何限制，然后再根据所述用户对应的角色制定相应的访问权限策略，从而使得所述方法和装置能适用于各种类型的应用系统，具有通用性。并且，在智能卡系统中存储的只是用户-角色-访问权限这一记录，因此，本发明实施例所述的方法以及装置降低了对智能卡系统智能卡性能的要求。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一访问权限的管理方法的流程图；

图2为应用本发明实施例的系统框架示意图；

图3为本发明实施例二访问权限的管理方法的流程图；

图4为第一种智能卡资源的授权信息的表示方式图；

图5为第二种智能卡资源的授权信息的表示方式图；

图6为本发明实施例访问权限的管理装置的示意图；

图7为本发明实施例访问权限的管理装置的结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

随着访问控制理论的发展，业界已经提出了多种访问控制模型，如DAC(自主访问控制模型，Discretionary Access Control)、MAC(强制访问控制模型，Mandatory Access Control)和RBAC(基于角色的访问控制模型，Role BasedAccess Control)。在这些访问控制模型中，由于RBAC具有高度的灵活性，并且能够模拟出DAC和MAC两种模型，因此近年来受到了高度的重视，已经广泛应用于企业级的环境中。