[发明专利]一种基于资源权限树的SaaS资源访问控制方法

权利要求书

1.一种基于资源权限树的SaaS资源访问控制方法，其特征在于：包括以下步骤：

步骤1、结合H-RBAC模型与ABAC模型，设计基于资源权限树的SaaS访问控制理论模型，简称H-RRBAC模型；

步骤2、基于H-RRBAC模型进行资源权限分配与访问控制，包括以下步骤：

步骤2.1、SaaS平台资源注册，并以代表最小业务单元的资源为根节点自动生成资源有向原子树；

步骤2.2、平台管理员按需组合资源有向原子树，生成资源有向树；

步骤2.3、平台管理员以资源有向树为单位向租户分配资源访问许可，租户管理员以被许可访问的资源有向树为单位进行角色的资源权限分配，构建角色的资源权限树；

步骤2.4、租户管理员建立用户-用户组、用户组-角色、用户-角色的关系，生成用户的资源权限树；

步骤2.5、用户访问业务时，基于用户的资源权限树进行用户对资源的访问控制。

2.根据权利要求1所述的基于资源权限树的SaaS资源访问控制方法，其特征在于：所述步骤1中，H-RRBAC模型基于H-RBAC模型与ABAC模型进行改进，其改进内容包括：

1.1、在H-RBAC模型的“角色-资源”之间引入资源有向树，基于资源有向树进行权限分配，1棵资源有向树代表一个业务场景，树与树之间有清晰的业务边界，树中资源之间的内在关联关系决定了父子资源节点权限的蕴含关系，当对某一资源节点授权时，其子节点自动继承父节点的权限，当同一业务场景访问控制策略相同时，仅需对根节点进行权限分配；

1.2、基于资源权限树进行访问控制，融合RBAC与ABAC的优点，角色对资源的访问权限由资源-操作权限、资源-ABAC规则共同确定；

1.3、通过资源权限树将主体对数据资源与非数据资源的访问权限作为一个有机整体进行统一纳管，主体对数据资源的访问权限由业务决定，业务上下文以资源有向树的形式呈现，在访问控制需求发生变化或出现访问控制权限配置错误/冲突时，能快速定位、高效应对；

所述资源权限树是由若干资源节点构成的有向树，资源节点由资源节点ID、资源信息、分配的操作权限和访问控制规则这四元组表示，其中，资源节点ID用于唯一标识节点所在的资源有向树与位置；资源信息由资源ID、资源名称、资源类型、资源属性和支持的操作权限这五元组表示，其中，资源ID用于唯一标识资源，资源名称自动获取，资源类型划分为包括但不限于菜单、页面、页面控件、数据的类型，资源属性是资源的属性集合，支持的操作权限由资源类型决定；分配的操作权限是从支持的操作权限中选择得到的权限集合；访问控制规则是基于用户、资源、上下文环境的属性信息构建的规则集合；资源节点之间的关系由SaaS软件代码预定义的业务逻辑确定。

3.根据权利要求1或2所述的基于资源权限树的SaaS资源访问控制方法，其特征在于：所述步骤2.1中，所述资源有向原子树代表一个最小的业务单元，自动按SaaS软件代码预定义的逻辑关系将业务相关的资源进行关联与组织；资源有向原子树的叶子节点是数据类型的资源；同一树内不允许有重复的资源节点。

4.根据权利要求1或2所述的基于资源权限树的SaaS资源访问控制方法，其特征在于：所述步骤2.2中，根据业务场景的需要组合1棵及以上的资源有向原子树生成1棵资源有向树，1棵资源有向树表示一个完整的业务场景，通常对应SaaS对客户开放的一个服务，其对应的访问控制策略具有相似性，是降低权限分配工作量的切入点。

5.根据权利要求1或2所述的基于资源权限树的SaaS资源访问控制方法，其特征在于：所述步骤2.3中，角色与资源权限树之间是多对多的映射关系，资源有向树与资源权限树之间是一对多的关系，根据资源有向树的生成规则，资源权限树父子节点的权限存在蕴含关系，子节点默认继承父节点的所有权限，但同时在不违反冲突约束条件下可再定义，以此在降低权限分配工作量的同时保证了权限分配的灵活性。