[发明专利]一种基于ABAC和RBAC的权限控制方法

说明书

技术领域

本发明公开了一种基于ABAC和RBAC的权限控制方法，涉及计算机资源访问控制领域，具体涉及复杂业务系统中对资源的访问相关控制。 

背景技术

访问控制作为一种重要的安全措施在系统安全中得到广泛的用用，在针对访问控制的研究中产生了各种不同的访问控制模型，这些模型的目标是禁止未授权用户访问资源。访问控制核心是访问控制策略和基于策略的授权判定，访问控制策略描述了系统的安全需求，访问控制模型主要研究的是访问控制策略的表示，而访问控制策略自身是否安全以及其是否能够真实、及时的反应实际安全需求则直接影响整个系统的安全性和用户对系统的满意度，为了满足复杂系统对访问控制模型的需求。 

传统的访问控制模型，如自主访问控制DAC(Discretionary Access Control)、强制访问控制MAC(Mandatory Access Control)、基于角色的访问控制RBAC(Role Based Access Control)和基于属性的访问控制模型ABAC(Attribute Based Access Control)等，并不能完全适用现今对资源的访问控制的要求，他们不能表示复杂的场景对资源的访问控制策略，对主体和资源的描述都比较片面，而且往往无法满足对访问资源控制的需求。 

本文针对以上问题提出了一种有效的解决方法。 

发明内容

本发明的目的是提供一种基于ABAC和RBAC的权限控制方法。 

本发明的目的是按以下方式实现的，包括以下步骤和内容： 

步骤一：权限模型的实体类定义，实体类的定义的信息包括基本信息、控制项信息、分配结果表信息和维度信息；

步骤二：权限模型控制触发点设置，基于步骤一定义的实体类，将该实体类与需要控制业务资源对象关联起来，即设置权限模型控制的触发点；

步骤三：权限模型控制条件设置，根据步骤一定义的模型实体类，获取定义的控制项信息，然后对定义的各个控制项，设置对应控制的条件，并将设置的条件持久化，以便后面步骤调用；

步骤四：权限模型访问控制的调用，当用户访问某个业务资源时，如果该业务资源对象经过步骤二的设置，则会根据步骤二设置的关联关系，获取定义的实体类信息，然后根据实体类信息，获取步骤三定义的模型控制的条件信息； 

步骤五：权限模型控制条件的解析，将步骤四获取出来的控制条件，按照类型不同，调用不同的条件解析器进行解析，然后将结果返回；

步骤六：根据返回结果，访问资源。根据步骤五解析的模型控制条件结果，对资源进行控制访问。

所述基于ABAC和RBAC的权限控制方法，步骤一，定义权限模型的实体类，除了包括定义的基本信息之外，还需定义控制项信息，对于基于属性权限对象来说，则需定义属性控制项集合AttributeItemCollection，里面包括了定义的属性的项名称以及该项对应的属性资源的类型，包括主体属性和环境变量；对于基于角色的权限对象来说，则需定义对应的数据源信息DataSourceCollection，里面包括数据源的编号、类型以及分配时的设置信息。 

所述基于ABAC和RBAC的权限控制方法，步骤二，设置权限模型控制触发点，选取待控制的业务资源对象，并将定义的模型与业务资源对象关联起来，对于基于属性权限对象，主要是将定义的模型信息与业务资源对象关联ResAttributeRelation；对于基于角色的权限对象，除了定义的模型信息与业务资源对象关联信息ResourceRelation之外，还需要定义相关对应的关联字段信息ElementMappingCollection。 

所述基于ABAC和RBAC的权限控制方法，步骤三，设置权限模型控制条件，对于基于属性的权限对象，主要根据定义的属性项信息，设置该属性项对应的条件表达式；对于基于角色的权限对象，则根据定义的控制信息，定义模型控制的条件信息，包括规则或者枚举。 

所述基于ABAC和RBAC的权限控制方法，步骤四到步骤六所述的权限模型访问控制的调用、条件解析，其主要的步骤包括以下几步： 

1)  用户请求对资源进行访问，触发了权限模型的控制；

2)  获取基于属性权限对象的控制信息ResAttributeRelation，如果该资源不控制属性权限，则直接跳过属性权限的控制；如果控制属性权限，则继续执行以下步骤；

3)  获取属性权限的定义信息AttributePermission，属性权限的定义信息，包括定义的属性项类型和属性项名称；