The invention provides an access control method, device and system based on an access control policy, which comprises: receiving business access requests of an enterprise; configuring an identity type for the enterprise according to the access rights of the enterprise to the business; wherein the identity type refers to a plurality of identities for different enterprises of the same business subject. The access permission set of the enterprise is generated according to the permission of the identity type to the business, and the access permission set includes the permissions corresponding to the responsibilities of different identity types; according to the access permission set of the enterprise, the identity type, the organizational structure, the roles of the business participants and the responsibilities corresponding to each role, the angle-based access permission set is utilized. The access control policy of color determines the access permissions of users, roles and roles within the enterprise, where the access permissions of roles inherit from the access permission set of the enterprise. The invention can realize different access control of different enterprises to the same business subject in different identities.
【技术实现步骤摘要】
基于访问控制策略的访问控制方法、装置及系统
本专利技术是关于业务数据访问技术,特别是关于一种基于访问控制策略的访问控制方法、装置及系统。
技术介绍
基于角色的访问控制(Role-BasedAccessControl,RBAC)是一套成熟的权限模型,在实际中有着广泛的应用。传统的访问控制模型主要有自主访问控制和强制访问控制。在传统权限模型中,通常把权限直接赋予用户。而在RBAC中,增加了角色的概念,通过用户与角色关联、角色与权限关联,简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户依据职责被赋予角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求而赋予新的权限,而权限也可根据需要而从角色中回收。RBAC支持如下三个安全原则:最小权限原则,责任分离原则和数据抽象原则。(1)最小权限原则,RBAC可以将其角色配置成其完成任务所需要的最小的权限集;(2)责任分离原则,RBAC可以通过设定相互独立互斥的角色来共同完成敏感的任务,如要求计帐员和财务管理员共参与同一过帐;(3)数据抽象原则,RBAC可以通过权限的抽象来体现,如财务操作用借款、存款等抽象权限,而不用操作系统提供的典型的读、写、执行权限;虽然RBAC具有自身的优势,当多个不同企业需要以不同身份在不同的访问许可限制下来访问同一个业务主体时,RBAC会面临以下问题:1)由于RBAC是基于用户角色的访问控制,缺乏企业身份的控制管理。当多个企业共同参与同一业务主体的访问时需要建立企业身份类型以及特定业务主体的统一管理,不同企业身份代表着对于同一业务主体的不同访问控制。2)由于RBA ...
【技术保护点】
1.一种基于访问控制策略的访问控制方法,其特征在于,包括:接收企业的业务访问请求;根据所述企业对业务的访问权限为企业配置身份类型,不同企业对应不同的身份类型;其中,所述身份类型指对于同一业务主体不同企业的多种身份;根据所述身份类型对业务的权限生成所述企业的访问许可集,所述访问许可集包括不同身份类型的职责对应的权限;根据所述企业的访问许可集、身份类型、组织架构、业务参与人员的角色及各角色对应的职责,利用基于角色的访问控制策略确定企业内部的用户、用户的角色及角色的访问许可权限;其中,角色的访问许可权限继承于企业的访问许可集。
【技术特征摘要】
1.一种基于访问控制策略的访问控制方法,其特征在于,包括:接收企业的业务访问请求;根据所述企业对业务的访问权限为企业配置身份类型,不同企业对应不同的身份类型;其中,所述身份类型指对于同一业务主体不同企业的多种身份;根据所述身份类型对业务的权限生成所述企业的访问许可集,所述访问许可集包括不同身份类型的职责对应的权限;根据所述企业的访问许可集、身份类型、组织架构、业务参与人员的角色及各角色对应的职责,利用基于角色的访问控制策略确定企业内部的用户、用户的角色及角色的访问许可权限;其中,角色的访问许可权限继承于企业的访问许可集。2.根据权利要求1所述的访问控制方法,其特征在于,所述身份类型包括下述类型中的一种或几种:投资者、托管人、管理人及收益人。3.根据权利要求1所述的访问控制方法,其特征在于,根据所述企业的访问许可集、身份类型、组织架构、参与人员的角色及各角色对应的职责,利用基于角色的访问控制策略确定企业内部的用户、用户的角色及角色的访问许可权限,包括:建立企业与身份类型的映射关系、身份类型与访问许可集的映射关系;根据企业与身份类型的映射关系、身份类型与访问许可集的映射关系、所述企业的组织架构、业务参与人员的角色及各角色对应的职责,利用基于角色的访问控制策略确定企业内部的用户、用户的角色及角色的访问许可权限。4.一种基于访问控制策略的访问控制装置,其特征在于,包括:请求接收单元,用于接收企业的业务访问请求;配置单元,用于根据所述企业对业务的访问权限为企业配置身份类型,不同企业对应不同的身份类型;其中,所述身份类型指对于同一业务主体不同企业的多种身份;许可集生成单元,用于根据所述身份类型对业务的权限生成所述企业的访问许可集,所述访问许可集包括不同身份类型的职责对应的权限;访问信息确定单元,用于根据所述企业的访问许可集、身份类型、组织架构、业务参与人员的角色及各角色对应的职责,利用基于角色的访问控制策略确定企业内部的用户、用户的角色及角色的访问许可权限;其中,角色的访问许可权限继承于企业的访问许可集。5.根据权利要求4所述的访问控制装置,其特征在于,所述身份类型包括下述类型中的一种或几种:投资者、托管人、管理人及收益人。6.根据权利要求4所述的访问控制装置,其特征在于,所述访问信息确定单元包括:关系建立模块,用于建立企业与身份类型的映射关系、身份类型与访问许可集的...
【专利技术属性】
技术研发人员:周利民,
申请(专利权)人:中国银行股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。