资源访问控制方法和装置制造方法及图纸

本公开揭示了一种资源访问控制方法和装置。所述方法包括：接收分组资源访问指令，分组资源访问指令指示用户请求访问的分组资源；从分组资源关联的标签信息得到授予用户的标签信息，进而得到标签信息关联的访问权限；将访问权限与分组资源的资源权限进行匹配，根据匹配的结果允许或拒绝用户请求的分组资源访问。分组资源的访问控制基于标签信息实现，一方面，授予用户的标签信息关联于分组资源，另一方面，授予用户的标签信息还关联于访问权限，由此便可以在标签信息的作用下实现分组资源的授权和用户的访问权限配置，授予用户的标签信息，可将其关联于两个以上分组的分组资源，针对跨组资源实现用户的批量授权，实现跨组资源的访问控制。

【技术实现步骤摘要】

本公开涉及信息安全
，特别涉及一种资源访问控制方法和装置。
技术介绍
随着计算机应用技术的发展，各种资源，例如，互联网络中存在的资源、计算机设备中存储的资源，用户通过请求进行的资源访问而获得所需要的资源。在此资源的访问中，基于安全性的因素，将通过配置资源的访问权限来实现资源的访问控制。被授予访问权限的用户方能够成功进行资源访问，如果请求进行资源访问的用户并未被授予访问权限，则其资源访问请求将被拒绝。现有资源访问的实现，仅仅局限于一组资源，而并无法在跨组实现统一的资源访问控制。例如，所指示的一组资源，可以是互联网络中某一服务所提供的资源，拥有访问权限的用户，并无法同时访问其它服务的资源。如果需要访问其它服务的资源，则需要重新获得授权。也就是说，现有的资源访问控制的实现，并无法跨组进行，用户同时对两组以上的资源所请求进行的访问，需要分别进行访问权限的控制。换而言之，并无法针对跨组资源实现用户的批量授权。
技术实现思路
为了解决相关技术中存在的无法针对跨组资源实现用户的批量授权，进而实现跨组资源的访问控制的技术问题，本公开提供了一种资源访问控制方法和装置。一种资源访问控制方法，所述方法包括：接收分组资源访问指令，所述分组资源访问指令指示用户请求访问的分组资源；从所述分组资源关联的标签信息得到授予所述用户的标签信息；根据授予所述用户的标签信息得到所述标签信息关联的访问权限；将所述访问权限与所述分组资源的资源权限进行匹配，根据所述匹配的结果允许或拒绝所述用户请求的分组资源访问。一种资源访问控制装置，所述装置包括：访问指令接收模块，用于接收分组资源访问指令，所述分组资源访问指令指示用户请求访问的分组资源；授权信息获得模块，用于从所述分组资源关联的标签信息得到授予所述用户的标签信息；访问权限获得模块，用于根据授予所述用户的标签信息得到所述标签信息关联的访问权限；鉴权模块，用于将所述访问权限与所述分组资源的资源权限进行匹配，根据所述匹配的结果允许或拒绝所述用户请求的分组资源访问。本公开的实施例提供的技术方案可以包括以下有益效果：接收分组资源访问指令，此分组资源访问指令指示用户请求访问的分组资源，从分组资源关联的标签信息得到授予用户的标签信息，根据授予用户的标签信息得到标签信息关联的权限，将访问权限与分组资源的资源权限进行匹配，根据匹配的结果允许或拒绝用户请求的分组资源访问，此分组资源的访问控制是基于标签信息实现的，一方面，授予用户的标签信息关联于分组资源，另一方面，授予用户的标签信息还关联于访问权限，由此，便可以在标签信息的作用下实现分组资源的授权和用户的访问权限配置，授予用户的标签信息，可将其关联于两个以上分组的分组资源，即可针对跨组资源实现用户的批量授权，进而实现跨组资源的访问控制。应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本公开。附图说明此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本专利技术的实施例，并于说明书一起用于解释本专利技术的原理。图1是根据本公开所涉及的实施环境的示意图；图2是根据一示例性实施例示出的一种装置的框图图3是根据一示例性实施例示出的一种资源访问控制方法的流程图；图4是根据另一个示例性实施例示出的一种资源访问控制方法的流程图；图5是一示例性实施例示出的对为分组资源新建标签信息，得到新建的标签信息和分组资源之间的关联关系步骤的细节进行描述的流程图；图6是根据一示例性实施例示出的对将访问权限与分组资源的资源权限进行匹配，根据匹配的结果允许或拒绝用户请求的分组资源访问步骤的细节进行描述的流程图；图7是根据另一示例性实施例示出的一种资源访问控制方法的流程图；图8是根据一示例性实施例示出的实现云服务资源访问控制的整体框架示意图；图9是根据一示例性实施例示出的基于标签信息所实现的授权示意图；图10是根据一示例性实施例示出的鉴权流程图；图11是一示例性实施例示出的一种资源访问控制装置的框图；图12是根据另一示例性实施例示出的一种资源访问控制装置的框图；图13是图12对应实施示出的对标签资源关联模块的细节进行描述的框图；图14是图11对应实施例示出的对鉴权模块的细节进行描述的框图；图15是根据另一示例性实施例示出的一种资源访问控制装置的框图。具体实施方式这里将详细地对示例性实施例执行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本专利技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本专利技术的一些方面相一致的装置和方法的例子。图1是本公开所涉及的实现环境的示意图。该实施环境包括：终端110、控制服务器130和云服务器150。终端110将在控制服务器130的控制下接入云服务器150，云服务器150用于提供各种云服务，并为各个云服务存储其资源。控制服务器150将为终端110实现控制台向导，进而在此控制台向导的作用下，终端110得以进行云服务资源访问。也就是说，控制服务器150将对终端110发起的资源访问实现资源访问控制。图2是根据一示例性实施例示出的一种装置200的框图。例如，装置200可以是图1所示实施环境的控制服务器150。该装置200可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器(centralprocessingunits，CPU)222(例如，一个或一个以上处理器)和存储器232，一个或一个以上存储应用程序242或数据244的存储介质230(例如一个或一个以上海量存储设备)。其中，存储器232和存储介质230可以是短暂存储或持久存储。存储在存储介质230的程序可以包括一个或一个以上模块(图示未示出)，每个模块可以包括对装置200中的一系列指令操作。更进一步地，中央处理器222可以设置为与存储介质230通信，在装置200上执行存储介质230中的一系列指令操作。装置200还可以包括一个或一个以上电源226，一个或一个以上有线或无线网络接口250，一个或一个以上输入输出接口258，和/或，一个或一个以上操作系统241，例如WindowsServerTM，MacOSXTM，UnixTM，LinuxTM，FreeBSDTM等等。上述图3、图4、图5、图6和图7所示实施例中的步骤可以基于该图2所示的装置结构。图3是根据一示例性实施例示出的一种资源访问控制方法的流程图。该资源访问控制方法适用于图1所示实施环境的控制服务器130，该控制服务器130在一个示例性实施例中可以是图2所示的装置。如图3所示，该资源访问控制方法，可以由控制服务器130执行，可以包括以下步骤。在步骤310中，接收分组资源访问指令，分组资源访问指令指示用户请求访问的分组资源。其中，分组资源访问指令，是由终端所发起的，用于请求进行分组资源访问的指令。通过此分组资源访问指令所请求进行的分组资源访问，可以是单一分组的分组资源访问，也可以是跨组资源访问，在此不进行限定。与之相对应的，分组资源访问指令指示用户请求访问的分组资源，是归属于一个分组，或者两个以上分组的分组资源。在此应当补充说明的是，所指的用户，在一个示例性实施例的具体实现中，是以用户标识的数据形式存在，以本文档来自技高网...

【技术保护点】
一种资源访问控制方法，其特征在于，所述方法包括：接收分组资源访问指令，所述分组资源访问指令指示用户请求访问的分组资源；从所述分组资源关联的标签信息得到授予所述用户的标签信息；根据授予所述用户的标签信息得到所述标签信息关联的访问权限；将所述访问权限与所述分组资源的资源权限进行匹配，根据所述匹配的结果允许或拒绝所述用户请求的分组资源访问。

【技术特征摘要】
1.一种资源访问控制方法，其特征在于，所述方法包括：接收分组资源访问指令，所述分组资源访问指令指示用户请求访问的分组资源；从所述分组资源关联的标签信息得到授予所述用户的标签信息；根据授予所述用户的标签信息得到所述标签信息关联的访问权限；将所述访问权限与所述分组资源的资源权限进行匹配，根据所述匹配的结果允许或拒绝所述用户请求的分组资源访问。2.根据权利要求1所述的方法，其特征在于，所述分组资源访问指令为跨组资源访问指令，所述从所述分组资源关联的标签信息得到授予所述用户的标签信息，包括：从分组资源和标签信息之间的关联关系得到所述用户请求访问的分组资源关联且授予所述用户的标签信息，所述用户请求的分组资源归属于两个以上的分组。3.根据权利要求1所述的方法，其特征在于，所述根据授予所述用户的标签信息得到所述标签信息关联的访问权限，包括：从标签信息和访问权限之间的关联关系得到所述用户请求进行的分组资源访问中授予所述用户的标签信息所关联的访问权限。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：接收分组资源的授权指令，所述分组资源的授权指令指示请求授权的用户和分组资源；为所述分组资源新建标签信息，得到新建的所述标签信息和分组资源之间的关联关系；对新建的所述标签信息配置访问权限，并建立所述标签信息和访问权限之间的关联关系；将与所述访问权限建立关联关系的标签信息授予请求授权的用户。5.根据权利要求4所述的方法，其特征在于，所请求授权的分组资源归属于两个以上分组，所述为所述分组资源新建标签信息，得到新建的所述标签信息和分组资源之间的关联关系，包括：新建标签信息；将所述标签信息分别关联于归属于两个以分组的分组资源，建立所述标签信息与每一分组的分组资源二者之间的关联关系。6.根据权利要求5所述的方法，其特征在于，所述接收分组资源的授权指令之前，所述方法还包括：触发进行所述分组资源的权限配置，在所述分组资源的描述信息或者权限策略的条件元素中写入标签信息，所述标签信息关联于访问权限。7.根据权利要求6所述的方法，其特征在于，所述将所述访问权限与所述分组资源的资源权限进行匹配，根据所述匹配的结果允许或拒绝所述用户请求的分组资源访问，包括：从分组资源的描述信息或权限策略提取标签信息，根据标签信息得到关联的访问权限，所述访问权限即为所述分组资源的资源权限；匹配所述资源权限和授予所述用户的访问权限，判断二者之间是否匹配，如果为是，则允许所述用户请求的分组资源访问，如果为否，则拒绝所述用户请求的分组资源访问。8.根据权利要求1所述的方法，其特征在于，所述方法还包括：接收用户的访问权限调整指令，所述访问权限调整指令指示新增或删减所述用户授权访问的分组资源；根据所述用户的访问权限调整指令，将授予所述用户的标签信息关联于新增的分组资源，或者从关联的分组资源解除删减的所述分组资源与授予所述用户的标签信息之间的关联关系。9.一种资源访问控制...

【专利技术属性】
技术研发人员：袁哲，肖影，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东;44