本发明专利技术公开了一种基于用户上下文及策略的动态授权方法和系统,所述系统包括动态授权前置模块、动态授权引擎模块、动态权限组模块、动态权限策略配置模块。当用户向客户端发起请求时,客户端收集用户上下文信息并验证是否已经授权,若用户未被授权,则客户端上传上下文信息到服务端;所述服务端验证用户是否具备访问资源的权限,若用户没有权限,则根据上下文信息对用户权限进行动态计算,若计算结果符合设定的访问授权的要求,则实时为用户授予资源的访问权限。本发明专利技术区别于传统采用静态权限配置的方法来实现用户与资源授权,本发明专利技术面向用于与设备场景下的更加便捷、安全、高效的授权管理。
A dynamic authorization method and system based on user context and policy
【技术实现步骤摘要】
一种基于用户上下文及策略的动态授权方法和系统
本专利技术属于动态授权的
,具体涉及一种基于用户上下文及策略的动态授权方法和系统。
技术介绍
随着互联网技术的快速发展和广泛应用,企业规模的的不断扩大,企业信息资源的数据日趋多样化,如何安全高效的管理企业信息系统中的数据资源、做好各项资源的权限控制是各类信息管理系统面临的重大难题。因此,信息资源的权限访问控制在信息系统的设计开发工作中占据着重要的地位。权限管理几乎出现在任何IT系统里面,用户的授权是IT系统管理不可或缺的重要环节。传统的方法主要是根据用户、属性等,由管理员统一配置好相应的权限。目前主要的授权实现方案基本思路是根据一个可以登录系统用户的角色或者属性,确定该用户所能访问的系统资源范围以及操作权限,甚至通过系统设置的安全规则或者安全策略,实现用户可以访问而且只能访问自己被授权的资源。常见的技术实现有:1.RBAC:(Role-BasedAccessControl)基于角色的访问控制,是实施面向企业安全策略的一种有效的访问控制方式。其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的权限变更比用户的权限变更要少得多,这样将简化用户的权限管理,减少系统的开销。2.ABAC:(Attribute-BasedAccessControl)基于属性的权限控制,是一种为解决行业分布式应用可信关系访问控制模型,它利用相关实体(如主体、客体、环境)的属性作为授权的基础来研究如何进行访问控制,访问判定是基于请求者和资源具有的属性,请求者和资源在ABAC中通过特性来标识,具有足够的灵活性和可扩展性,同时使得安全的匿名访问成为可能。3.DAC:(DiscretionaryAccessControl)自主访问控制,产品中的操作对象被设置了权限等级。在用户登陆时,系统识别用户,根据被操作对象的权限控制列表或者权限控制矩阵信息设置用户能对哪些操作对象进行何种操作。自主访问控制模型是根据自主访问控制策略建立的一种模型,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体,某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。自主访问控制又称为任意访问控制。Linux,Unix,WindowsNT或是SERVER版本的操作系统都提供自主访问控制的功能。在实现上,首先要对用户的身份进行鉴别,然后就可以按照访问控制列表所赋予用户的权限,允许和限制用户使用客体的资源。主体控制权限的修改通常由特权用户(管理员)或是特权用户组实现。4.MAC:(MandatoryAccessControl)强制访问控制,所有的访问控制策略都由系统管理员来制定,用户无法改变。每个对象都有权限标识,每个用户也会有权限标识,用户能否操作某个对象判断在于两个权限标识的关系,而关系判断通常由系统做硬性限制。起初由政府和军方设计并使用,它有非常严格的访问控制模型。在MAC中,所有的权限由管理员预定义,并且由操作系统控制。MAC实现了数据的权限分类,例如重要的等级或安全的等级和用户的权限分类,例如部门、项目等,这样在验证的时候就可以对比用户和数据的权限等级对应关系,从而知道是否有访问权限。然而,现有授权方法和系统更偏向于企业的IT角色提供系统功能,对用户使用体验、用户所处环境对登录安全性、易用性、便捷性考虑较少,并且当用户与设备数量较多时,权限关系变得极为复杂,权限配置工作繁重,当用户与设备的关系是多对多的时候,配置量还会指数级增加。现有权限控制方法已难以满足大量的用户-设备交互场景中用户访问IT资源存在的不确定性、权限动态变化、访问时效性等需求,权限更难以由管理员集中统一进行配置,用户更无法自主管理对设备的授权:1)RBAC:RBAC模型没有提供操作顺序控制机制。这一缺陷使得RBAC模型很难应用关于那些要求有严格操作次序的实体系统。2)DAC:最大缺陷就是对权限控制比较分散,不便于管理,比如无法简单地将一组文件设置统一的权限开放给指定的一群用户。同时,该模型存在较大的安全风险,当一个程序中发生安全裂缝,会影响到该用户能访问的所有对象。这使得DAC在特洛伊木马前特别脆弱。3)ABAC:ABAC权限控制模型需要对资源属性进行复杂的计算,因其复杂性并不被广泛使用,规则如果稍微复杂一点,或者设计混乱,会给管理者维护和追查带来麻烦,同时如果权限判断需要实时执行,规则过多会导致性能问题4)MAC:MAC是为了弥补DAC权限控制过于分散的问题而诞生的,MAC非常适合机密机构或者其他等级观念强烈的行业,但对于类似商业服务系统,则因为不够灵活而不能适用。
技术实现思路
本专利技术的目的在于提供一种基于用户上下文及策略的动态授权方法,区别于传统采用静态权限配置的方法来实现用户与资源授权,本专利技术主要面向用于与设备场景下的更加便捷、安全、高效的授权管理方法。本专利技术的另一个目的在于提供一种基于用户上下文及策略的动态授权系统,用户与设备的授权关系无需提前配置好并生成相应的授权关系数据,只需要管理员在系统中配置授权策略,用户在使用时会自动根据策略进行动态授权。本专利技术主要通过以下技术方案实现:一种基于用户上下文及策略的动态授权方法,当用户向客户端发起请求时,客户端收集用户上下文信息并验证是否已经授权,若用户未被授权,则客户端上传上下文信息到服务端;所述服务端验证用户是否具备访问资源的权限,若用户没有权限,则根据上下文信息对用户权限进行动态计算,若计算结果符合设定的访问授权的要求,则实时为用户授予资源的访问权限。为了更好地实现本专利技术,进一步的,当用户发起请求时,客户端自动收集用户的即时上下文信息,同时客户端获取本地经过加密存储的前置权限信息,并验证用户是否已经授权;若本地无已授权信息,则请求被提交到服务端进行权限的验证,同时上传用户的上下文信息到服务端。为了更好地实现本专利技术,进一步的,所述服务端的动态权限组模块快速检索用户是否具备访问资源的权限;若动态权限组模块没有得到检索结果,则由服务端的动态授权引擎模块对用户权限进行动态计算。为了更好地实现本专利技术,进一步的,在实时为用户授予资源的访问权限的同时,将用户与资源的授权关系记录到动态权限组模块中,实现下一次访问直接从动态权限组模块获取用户已经授权的信息。为了更好地实现本专利技术,进一步的,若权限计算结果不符合访问授权的要求,则客户端发送提示,用户实时向设备拥有者发起实时访问授权申请,资源拥有者通过客户端即时审批、授权。为了更好地实现本专利技术,进一步的,用户与设备的授权关系被存入客户端或者服务端的动态权限组模块中,实现下一次访问无需再次授权。为了更好地实现本专利技术,进一步的,所述上下文信息包括登录状态、用户设备信息、网络位置信息。本文档来自技高网...
【技术保护点】
1.一种基于用户上下文及策略的动态授权方法,其特征在于,当用户向客户端发起请求时,客户端收集用户上下文信息并验证是否已经授权,若用户未被授权,则客户端上传上下文信息到服务端;所述服务端验证用户是否具备访问资源的权限,若用户没有权限,则根据上下文信息对用户权限进行动态计算,若计算结果符合设定的访问授权的要求,则实时为用户授予资源的访问权限。/n
【技术特征摘要】
1.一种基于用户上下文及策略的动态授权方法,其特征在于,当用户向客户端发起请求时,客户端收集用户上下文信息并验证是否已经授权,若用户未被授权,则客户端上传上下文信息到服务端;所述服务端验证用户是否具备访问资源的权限,若用户没有权限,则根据上下文信息对用户权限进行动态计算,若计算结果符合设定的访问授权的要求,则实时为用户授予资源的访问权限。
2.根据权利要求1所述的一种基于用户上下文及策略的动态授权方法,其特征在于,当用户发起请求时,客户端自动收集用户的即时上下文信息,同时客户端获取本地经过加密存储的前置权限信息,并验证用户是否已经授权;若本地无已授权信息,则请求被提交到服务端进行权限的验证,同时上传用户的上下文信息到服务端。
3.根据权利要求1或2所述的一种基于用户上下文及策略的动态授权方法,其特征在于,所述服务端的动态权限组模块快速检索用户是否具备访问资源的权限;若动态权限组模块没有得到检索结果,则由服务端的动态授权引擎模块对用户权限进行动态计算。
4.根据权利要求3所述的一种基于用户上下文及策略的动态授权方法,其特征在于,在实时为用户授予资源的访问权限的同时,将用户与资源的授权关系记录到动态权限组模块中,实现下一次访问直接从动态权限组模块获取用户已经授权的信息。
5.根据权利要求1所述的一种基于用户上下文及策略的动态授权方法,其特征在于,若权限计算结果不符合访问授权的要求,则客户端发送提示,用户实时向设备拥有者发起实时访问授权申请,资源拥有者通过客户端即时审批、授权。
6.根据权利要求5所述的...
【专利技术属性】
技术研发人员:高丽芳,杨会峰,辛锐,陈连栋,王静,张晓韬,李江鑫,李启蒙,王智慧,刘玮,杨楠,周文芳,郭少勇,王少影,肖治华,胡美慧,
申请(专利权)人:国网河北省电力有限公司信息通信分公司,国家电网有限公司,四川中电启明星信息技术有限公司,
类型:发明
国别省市:河北;13
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。