本发明专利技术公开了一种基于属性和角色的访问控制方法及系统,该方法包括:对于提出访问资源请求的多个用户,根据所述多个用户特征信息设计属性策略,并对所述属性策略中有冲突的策略进行优化;获取所述用户的属性值,并根据预设的属性表达式判断该用户是否有权访问;若所述用户有权访问,则根据所述用户的属性分配角色,并根据所述角色,查询所述角色对应的权限,实现所述用户对资源信息的访问获取。该方法通过综合ABAC能够满足大规模动态访问的特点和RBAC权限分配和管理的灵活性而设计两者混杂的访问控制,并在此基础上解决了策略的冗余和冲突的问题。
【技术实现步骤摘要】
基于属性和角色的访问控制方法及系统
本专利技术涉及信息资源的访问控制领域,具体涉及基于属性和角色的访问控制方法 及系统。
技术介绍
伴随着物联网的飞速发展,安全问题也日益显著。像打车系统中出租车信息的泄 露,微信中位置隐私的泄露等比比皆是。但目前常用的访问控制主要还是互联网中的访问 控制。比如:基于角色的访问控制(Role Based Access Control,简称RBAC),基于属性的 访问控制(Attribute Based Access Control,简称ABAC)等等。其中,RBAC是在用户和访 问权限之间引入角色的概念,用户与特定的一个或多个角色相关联,角色同一个或多个访 问权限相关联,角色可以根据实际的工作需要生成或取消,而且登录到系统中的用户可以 根据自己的需要来动态激活自己拥有的角色。在RBAC中,通过分配和取消角色来完成用户 权限的授予和取消,实现了用户与访问权限的逻辑分离,极大地简化了权限管理。ABAC则是 将请求者、被访问资源、访问方法和条件这些元素统一使用属性来描述,而且各个元素所关 联的属性可以根据系统需要定义。属性概念的引入将访问控制中对所有元素的描述统一起 来提供一种统一描述的框架。但是,由于物联网拥有诸如实时性、动态性等一些有别于互联 网的新特性,使得这些在互联网中广泛运用的访问控制并不完全适用。所以,所以我们需要 对其进行改进以满足需求。 RBAC不能满足大规模用户动态变化的访问需求。RBAC是提起分配好用户和角色 (权限)之间的关系,但当访问者的身份、时间、地点等在随时改变的时候,我们将不能预知 附近访问者的权限从而提前分配;另外,现实中对某一信息的访问者往往数量巨大,这也增 加了提前分配权限的工作量,使之不可能实现。而单纯的ABAC授权过程复杂,不灵活,不能 满足实时性;同时规则的数量也会随着用户和属性的增加而急剧膨胀。
技术实现思路
针对现有技术中的缺陷,本专利技术提供基于属性和角色的访问控制方法及系统,解 决了 RBAC不能满足大规模用户动态变化的访问以及ABAC不能满足访问的实时性的问题。 第一方面,本专利技术提供了一种基于属性和角色的访问控制方法,包括: 对于提出访问资源请求的多个用户,根据所述多个用户特征信息设计属性策略; 对所述属性策略进行检测,并对所述属性策略中有冲突的策略进行优化; 获取所述用户的属性值,并根据预设的属性表达式判断该用户是否有权访问; 若所述用户有权访问,则根据所述用户的属性分配角色,并根据所述角色,查询所 述角色对应的权限,实现所述用户对资源信息的访问获取。 可选的,所述对于提出访问资源请求的用户,根据用户信息设计属性策略,所述属 性策略包括: 所述属性表达式与角色的对应关系,以及所述角色与所述对应的权限信息库。 可选的,所述属性表达式与所述角色的对应关系包括:一对一的对应关系或多对 一的对应关系。 可选的,对所述属性策略中有冲突的策略进行优化,所述冲突的策略包括: 例外冲突、策略冗余、策略隐藏和关联冲突。 可选的,所述例外冲突、策略冗余、策略隐藏和关联冲突,通过设定优先级、更改优 先级、和/或,删除策略进行优化。 第二方面,本专利技术还提供了一种基于属性和角色的访问控制系统,包括: 属性策略获取模块,用于对于提出访问资源请求的多个用户,根据所述多个用户 特征信息设计属性策略; 属性策略优化模块,用于对所述属性策略进行检测,并对所述属性策略中有冲突 的策略进行优化; 用户访问判断模块,用于获取所述用户的属性值,并根据预设的属性表达式判断 该用户是否有权访问; 用户资源获取模块,用于当所述用户有权访问时,根据所述用户的属性分配角色, 并根据所述角色,查询所述角色对应的权限,实现所述用户对资源信息的访问获取。 可选的,所述属性策略获取模块中的所述属性策略包括: 所述属性表达式与角色的对应关系,以及所述角色与所述对应的权限信息库。 可选的,所述属性策略中所述属性表达式与所述角色的对应关系包括:一对一的 对应关系或多对一的对应关系。 可选的,所述属性策略优化模块中的所述冲突的策略包括: 例外冲突、策略冗余、策略隐藏和关联冲突。 可选的,所述属性策略优化模块还用于,所述例外冲突、策略冗余、策略隐藏和关 联冲突,通过设定优先级、更改优先级、和/或,删除策略进行优化。 由上述技术方案可知,本专利技术提供了一种基于属性和角色的访问控制方法及系 统,该方法通过综合ABAC能够满足大规模动态访问的特点和RBAC权限分配和管理的灵活 性而设计两者混杂的访问控制,并在此基础上解决了策略的冗余和冲突的问题。 【附图说明】 图1为本专利技术一实施例提供的基于属性和角色的访问控制方法的流程图; 图2为本专利技术另一实施例提供的基于属性分配角色和基于角色分配权限的结构 示意图; 图3为本专利技术另一实施例提供的基于属性和角色的访问控制系统的结构示意图。 【具体实施方式】 下面结合附图,对专利技术的【具体实施方式】作进一步描述。以下实施例仅用于更加清 楚地说明本专利技术的技术方案,而不能以此来限制本专利技术的保护范围。 图1为本专利技术实施例提供的基于属性和角色的访问控制方法的流程图,如图1所 示,该方法包括如下步骤: S101、对于提出访问资源请求的多个用户,根据所述多个用户特征信息设计属性 策略; 举例来说,上述提出访问资源请求的多个用户为用户群体; 上述属性策略包括: 所述属性表达式与角色的对应关系,以及所述角色与所述对应的权限信息库,其 中,所述属性表达式与所述角色的对应关系包括:一对一的对应关系或多对一的对应关系。 S102、对所述属性策略进行检测,并对所述属性策略中有冲突的策略进行优化; 举例来说,上述冲突的策略包括: 例外冲突、策略冗余、策略隐藏和关联冲突。上述例外冲突、策略冗余、策略隐藏和 关联冲突,通过设定优先级、更改优先级、和/或,删除策略进行优化。 S103、获取所述用户的属性值,并根据预设的属性表达式判断该用户是否有权访 问; S104、若所述用户有权访问,则根据所述用户的属性分配角色,并根据所述角色, 查询所述角色对应的权限,实现所述用户对资源信息的访问获取。 上述方法通过综合ABAC能够满足大规模动态访问的特点和RBAC权限分配和管理 的灵活性而设计两者混杂的访问控制,并在此基础上解决了策略的冗余和冲突的问题。该 方法不仅仅适用于物联网中,凡是出现此类问题的网络本方法均适用。 在具体应用中,上述步骤S101的【具体实施方式】为: 根据下表1中的属性策略语言进行设计属性策略,例如网络影城规定大于11岁的 人可以获得Juvenile角色(该角色可以观看1,2级片),而大于18岁的可以获得Adult角 色(该角色可以观看1,2,3,4级片)。策略就可以如下设计 : Rulel :age > 11- > Juvenile ; Rule2 :age > 18- > Adult。 其中,属性表达式与角色设计成一对一或多对一的关系。假如这里本文档来自技高网...
【技术保护点】
一种基于属性和角色的访问控制方法,其特征在于,包括:对于提出访问资源请求的多个用户,根据所述多个用户特征信息设计属性策略;对所述属性策略进行检测,并对所述属性策略中有冲突的策略进行优化;获取所述用户的属性值,并根据预设的属性表达式判断该用户是否有权访问;若所述用户有权访问,则根据所述用户的属性分配角色,并根据所述角色,查询所述角色对应的权限,实现所述用户对资源信息的访问获取。
【技术特征摘要】
1. 一种基于属性和角色的访问控制方法,其特征在于,包括: 对于提出访问资源请求的多个用户,根据所述多个用户特征信息设计属性策略; 对所述属性策略进行检测,并对所述属性策略中有冲突的策略进行优化; 获取所述用户的属性值,并根据预设的属性表达式判断该用户是否有权访问; 若所述用户有权访问,则根据所述用户的属性分配角色,并根据所述角色,查询所述角 色对应的权限,实现所述用户对资源信息的访问获取。2. 根据权利要求1所述的方法,其特征在于,所述对于提出访问资源请求的用户,根据 用户信息设计属性策略,所述属性策略包括: 所述属性表达式与角色的对应关系,以及所述角色与所述对应的权限信息库。3. 根据权利要求2所述的方法,其特征在于,所述属性表达式与所述角色的对应关系 包括:一对一的对应关系或多对一的对应关系。4. 根据权利要求1所述的方法,其特征在于,对所述属性策略中有冲突的策略进行优 化,所述冲突的策略包括: 例外冲突、策略冗余、策略隐藏和关联冲突。5. 根据权利要求4所述的方法,其特征在于,所述例外冲突、策略冗余、策略隐藏和关 联冲突,通过设定优先级、更改优先级、和/或,删除策略进行优化。6. -种基于属性和角色的访问控制系统,其特...
【专利技术属性】
技术研发人员:孙凯文,殷丽华,郭云川,李超,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。