[发明专利]权限管理设备及其权限管理方法和介质

说明书

本申请公开了一种权限管理方法，应用于计算机信息技术领域。通过将策略文件按照属性值进行分类，并存储在各策略文件集，可先查询策略文件所处的策略文件集，再在策略文件集中查询所需的策略文件，提高了查询策略文件的效率。具体的，该方法应用于权限管理设备，该方法包括：权限管理设备，接收用户的资源获取请求，其中资源获取请求包括用于标识的属性值；根据接收的资源获取请求中的属性值，查询权限管理设备的策略文件库中属性值对应的策略文件集，其中策略文件库包括多个策略文件集；从查询到的策略文件集中查询对应属性值的策略文件；以及根据查询到的策略文件和属性值，确定用户是否有权限获取所请求的资源。

技术领域

本申请涉及计算机信息技术领域，特别涉及一种权限管理设备及其权限管理方法和介质。

背景技术

权限控制作为一种重要的安全措施在系统安全中得到广泛的应用，在针对权限控制的研究中产生了各种不同的权限控制模型，这些模型的目标是禁止未授权用户访问资源。权限控制核心是权限控制策略和基于策略的授权判定，权限控制策略描述了系统的安全需求，权限控制模型主要研究的是权限控制策略的表达，而权限控制策略自身是否安全以及其是否能够真实、及时的反应实际安全需求，则直接影响整个系统的安全性和用户对系统的满意度，为了满足复杂系统对权限控制模型的需求。

基于属性的权限控制(Attribute-Based Access Control，ABAC)模型是利用属性把权限控制中所涉及的主体、资源、环境、授权统一建模，从而使权限控制策略的制定和约束的表达更加准确和灵活。目前已经有一些基于extensible access control markuplanguage(XACML)的实现，例如AuthzForce，SunXACML等。

在记载权限控制策略的策略文件数量大、数据量多的情况下，基于ABAC的权限控制系统的效率很重要。但是，目前的ABAC系统在进行权限校验时会遍历策略文件库中所有的策略文件并进行规则匹配，直到找到符合条件的策略文件，使得权限校验效率比较低。另外，策略文件的数量巨大时，对于策略文件的维护也比较困难。例如，用户只能根据通过主体属性ID(IDentifier，唯一识别号)查找策略文件。如果用户需要根据特定条件查找策略文件，则需要遍历查看策略文件，查询策略文件的效率比较低。

发明内容

本申请的一些实施例提供了一种权限管理方法、设备、可读介质和电子设备，以下从多个方面介绍本申请，以下多个方面的实施方式和有益效果可互相参考。

第一方面，本申请的实施方式提供了一种权限管理方法，该方法包括：应用于权限管理设备，其特征在于，包括：权限管理设备接收资源获取请求，其中资源获取请求包括用于标识的属性值；权限管理设备根据接收的资源获取请求中的属性值，查询权限管理设备的策略文件库中属性值对应的策略文件集，其中策略文件库包括多个策略文件集；权限管理设备从查询到的策略文件集中查询对应属性值的策略文件；权限管理设备根据查询到的策略文件和属性值，确定用户是否有权限获取所请求的资源。

如上所述，根据策略文件中一种或多种属性的属性值对策略文件进行分类，各类策略文件从策略文件库中下载并储存在不同的策略文件集中，各策略文件集具有对应的策略索引式，查询的时候，通过索引式找到属性值对应的策略文件集，然后在策略文件集中查询对应属性值的策略文件。因为策略文件是依据属性值进行的分类，根据属性值就可以获得判断用户的权限所需的策略文件集，查询策略文件集，再在策略文件集中查询策略文件，使得查询策略文件的范围缩小，提高了查询策略文件的效率，进而提高了权限管理设备权限管理的效率，提升用户的体验。

例如，上述接收用户的资源获取请求可以由ABAC系统中的策略实施点来完成；上述根据接收的资源获取请求中的属性值，查询权限管理设备的策略文件库中属性值对应的策略文件集，以及从查询到的策略文件集中查询对应属性值的策略文件，由ABAC系统中的策略管理点完成；上述根据查询到的策略文件和属性值，确定用户是否有权限获取所请求的资源，由ABAC系统中的策略决策点来完成。