[发明专利]一种访问权限动态控制方法

说明书

技术领域

本发明属于信息安全领域，涉及访问控制中的权限控制技术。

背景技术

访问控制技术在数据安全性方面有着无可替代的地位，其主要通过检验用户是否有足够的权限来访问资源，来允许或拒绝用户的请求。访问控制大致经历了以下几个历程：自主访问控制、强制访问控制、角色访问控制、属性访问控制^[4]。自主访问控制强调由客体的属主对自己的客体进行管理，由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体，是一种比较宽松的访问控制,同时访问权限具有传递性。强制访问控制中每个用户只能访问到那些被标明可以由他访问的信息，相比自主访问控制是一种更严格的控制。基于角色的访问控制是实施面向企业安全策略的一种有效的访问控制方式，与自主访问控制与强制访问控制不同的是角色访问控制授权基于角色，它简化了用户的权限管理，减少系统的开销，在访问控制史中是巨大进步。

云计算尤其是以数据存储为主的存储型云平台，其注册用户基数极其庞大，每个注册用户对云平台中的资源访问权限各不相同，应用传统的角色访问控制系统为每个注册用户分配不同的角色，必将导致庞大的角色数。物联网将用户端延伸和扩展到了任何物品与物品之间，对物品操作类型由最基本的“读、写、增、删、改、查”扩充为“读、写、增、删、改、查、打开、复制、移动等等”，对角色的赋权时往往需先赋予某项特定权限方可，比如：赋予读权限需先赋予打开权限，如此需付出额外的授权，增加授权次数。

然而目前对角色访问控制的研究主要还是静态角色，在云计算和物联网这类复杂的环境中，传统的角色访问控制必然会因为用户数的暴增导致角色数的急剧增长，致使对角色的管理维护造成极大的不便。同样的授权形式单一化，也使得角色访问控制在对角色的授权的性能上很不理想。因此要求我们对角色访问控制作必要的扩展，使角色更具动态性，实现同一个角色不同的权限的目的，以减少角色数，来便于角色的管理与维护。同时也需进一步丰富授权形式，来降低权限分配的次数，适应诸如云计算物联网的复杂环境。

针对上述问题，有必要提出新的角色动态访问控制方法，使得拥有不同属性值的同一角色拥有不同权限，实现角色的动态性。

发明内容

本发明的目的在于提供一种访问权限动态控制方法，以提高访问控制性能。

为了解决以上技术问题，本发明采用的具体技术方案如下：

一种访问权限动态控制方法，其特征在于包括以下步骤：

步骤一，创建主体，角色，角色的属性，角色权限；

步骤二，为角色添加属性；

步骤三，将角色分配给用户，同时填充角色的属性值；

步骤四，根据角色及其属性值，赋予主体相应的角色权限；

所述主体为系统中动作的实施者，所述角色为系统中某个动作的主体，所述属性为角色拥有的参数类型。

所述主体、角色、属性与权限的设置依据以下四个规则

规则1.1，将系统中所有动作的实施者设置为主体的集合；

规则1.2，将系统中所有动作的实施对象设置为客体的集合；

规则1.3，将系统中所有动作的主体的角色设置为角色的集合；

规则1.4，将角色拥有的参数类型设置为属性；

规则1.5，将动作与客体的笛卡尔积设置为角色权限。

角色权限可设置为具有继承性，对于操作op1和操作op2，如果操作op1继承操作op2，那么一旦角色r被赋予了对特定客体具有操作op1的权限，则此角色r将被自动赋予对所述特定客体具有操作op2的权限。

本发明具有有益效果。传统角色访问控制在复杂环境下性能低下，主要原因有两个，其一是角色本身的静态特质，角色创建后期拥有的权限除非特殊情况一般长期保持不变，灵活性受限，其二授权机制中存在大量冗余授权，致使性能上存在很多浪费。本发明针对这两种情况，通过设计动态角色与动作继承，形成新的角色访问控制，提高了访问控制性能。

附图说明

图1为传统角色访问控制的缺陷示意图。

具体实施方式

下面结合实施例对本发明的技术方案做进一步详细说明。

传统的角色访问控制，其权限在角色激活之前就已经固定即静态角色，角色激活后，其拥有的权限若不主动为其重新分配将一直保持不变，然而我们往往会碰见同一“角色”(现实生活中的角色)在不同环境下拥有不同权限的需求，传统角色访问控制往往会将此“角色”细分为多个角色以区分，如图1所示。