【技术实现步骤摘要】
控制用户访问对象的系统和方法
本申请涉及信息安全领域,更具体地,涉及用于存储权限信息和基于权限信息控制用户访问对象的系统和方法。
技术介绍
权限管理系统广泛用于大多数已安装的集中式和分布式操作系统。当用户(或用户程序)请求访问对象(例如资源(例如,文件、数据库))或对资源执行操作(例如,读取、写入、编辑或删除)时,权限管理系统通常基于权限信息执行访问校验以处理请求。权限管理系统可以定义权限信息和/或将权限信息存储为数据结构,以便于管理权限信息。数据结构的设计会影响权限管理的精细化程度和灵活性(例如,权限信息之间继承关系的管理)。精细化权限控制和多层级权限继承关系可以降低用户操作和维护的成本。因此,希望提供用于将权限信息存储为更精细或可组织的数据结构,并且更有效地基于权限信息控制用户访问对象的系统和方法。
技术实现思路
本申请实施例之一提供一种控制用户访问对象的方法,所述方法可以包括:获取用户访问对象的请求;基于一个或以上预定义访问许可和一个或以上用户之间的映射关系,确定所述用户的访问权限信息,所述用户的访...
【技术保护点】
1.一种控制用户访问对象的方法,其特征在于,包括:/n获取用户访问对象的请求;/n基于一个或以上预定义访问许可和一个或以上用户之间的映射关系,确定所述用户的访问权限信息,所述用户的访问权限信息表示一个或以上权限;以及/n执行访问校验以处理所述请求;/n其中,/n所述一个或以上权限包含在至少两个权限中,所述至少两个权限存储在一个或以上存储设备的存储器中的数据结构中,所述数据结构包括至少一个有向无环图结构,每个有向无环图结构包括至少两个节点和至少两个有向边,每个节点代表一个权限,每个有向边包括从所述至少两个节点中的父节点到子节点的方向;/n所述请求包含至少一个需要校验的关键节点...
【技术特征摘要】
1.一种控制用户访问对象的方法,其特征在于,包括:
获取用户访问对象的请求;
基于一个或以上预定义访问许可和一个或以上用户之间的映射关系,确定所述用户的访问权限信息,所述用户的访问权限信息表示一个或以上权限;以及
执行访问校验以处理所述请求;
其中,
所述一个或以上权限包含在至少两个权限中,所述至少两个权限存储在一个或以上存储设备的存储器中的数据结构中,所述数据结构包括至少一个有向无环图结构,每个有向无环图结构包括至少两个节点和至少两个有向边,每个节点代表一个权限,每个有向边包括从所述至少两个节点中的父节点到子节点的方向;
所述请求包含至少一个需要校验的关键节点的节点信息;以及
执行访问校验以处理所述请求包括:
确定所述至少一个关键节点的节点信息是否与所述访问权限信息所表示的所述一个或以上权限之一匹配;以及
在确定存在所述匹配时,允许所述访问对象的请求。
2.根据权利要求1所述的方法,其特征在于,所述每个有向无环图结构允许所述至少两个权限之间的权限继承,所述父节点具有所述父节点的一个或以上子节点对应的一个或以上权限。
3.根据权利要求1或2所述的方法,其特征在于,所述用户的访问权限信息包括与所述一个或以上权限相关联的所述用户的一个或以上角色。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述对象包括对资源执行的操作。
5.根据权利要求4所述的方法,其特征在于,所述至少一个有向无环图结构包括第一有向无环图结构,所述第一有向无环图结构包括与功能操作权限相关联的所述至少两个节点中的至少两个第一节点。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述对象包括资源。
7.根据权利要求6所述的方法,其特征在于,所述至少一个有向无环图结构包括第二有向无环图结构,所述第二有向无环图结构包括与数据范围权限相关联的所述至少两个节点中的至少两个第二节点。
8.根据权利要求1至7任一项所述的方法,其特征在于,所述至少两个权限至少包括以下其中之一:
允许所述用户授予其他用户权限的权限,
为其他用户创建权限的权限,
查询用户权限的权限,
修改用户权限的权限,以及
撤销用户权限的权限。
9.根据权利要求1至8任一项所述的方法,其特征在于,确定所述至少一个关键节点的节点信息是否与所述访问权限信息表示的所述一个或以上权限之一匹配,包括:
对所述至少一个关键节点中的每个关键节点,
从所述每个关键节点遍历至所述至少一个有向无环图结构的根节点;
确定是否遍历到所述访问权限信息表示的所述一个或以上权限之一;
在确定遍历到所述访问权限信息表示的所述一个或以上权限之一时,确定存在所述匹配;以及
在确定没有遍历到所述访问权限信息表示的所述一个或以上权限时,确定不存在所述匹配。
10.根据权利要求1至9任一项所述的方法,其特征在于,包括:
验证所述访问对象的请求中包含的所述至少一个关键节点的节点信息。
11.根据权利要求1或10所述的方法,其特征在于,包括:
在确定所述访问对象的请求中包含的所述至少一个关键节点的节点信息未通过验证时,拒绝所述请求。
12.一种控制用户访问对象的系统,其特征在于,包括获取模块、权限确定模块和访问校验模块;
所述获取模块用于获取用户访问对象的请求;
所述权限确定模块用于基于一个或以上预定义访问许可和一个或以上用户之间的映射关系,确定所述用户的访问权限信息,所述用户的访问权限信息表示一个或以上权限;以及
所述访问校验模块用于执行访问校验以处理所述请求;
其中,
所述一个或以上权限包含在至少两个权限中,所述至少两个权限存储在一个或以上存储设备的存储器中的数据结构中,所述数据结构包括至少一个有向无环图结构,每个有向无环图结构包括至少两个节点和至少两个有向边,每个节点代表一个权限,每个有向边包括从所述至少两个节点中的父节点到子节点的方向;
所述请求包含至少一个需要校验的关键节点的节点信息;以及
所述访问校验模块用于确定所述至少一个关键节点的节点信息是否与所述访问权限信息所表示的所述一个或以上权限之一匹配;以及
在确定存在所述匹配时,所述访问校验模块用于允许所述访问对象的请求。
13.根据权利要求12所述的系统,其特征在于,所述每个有向无环图结构允许所述至少两个权限之间的权限继承,所述父节点具有所述父节点的一个或以上子节点对应的一个或以上权限。
14.根据权利要求12或13所述的系统,其特征在于,所述用户的访问权限信息包括与所述一个或以上权限相关联的所述用户的一个或以上角色。
15.根据权利要求12至14任一项所述的系统,其特征在于,所述对象包括对资源执行的操作。
16.根据权利要求15所述的系统,其特征在于,所述至少一个有向无环图结构包括第一有向无环图结构,所述第一有向无环图结构包括与功能操作权限相关联的所述至少两个节点中的至少两个第一节点。
17.根据权利要求12至16任一项所述的系统,其特征在于,所述对象包括资源。
18.根据权利要求17所述的系统,其特征在于,所述至少一个有向无环图结构包括第二有向无环图结构,所述第二有向无环图结构包括与数据范围权限相关联的所述至少两个节点中的至少两个第二节点。
19.根据权利要求12至18任一项所述的系统,其特征在于,所述至少两个权限至少包括以下其中之一:
允许所述用户授予其他用户权限的权限,
为其他用户创建权限的权限,
查询用户权限的权限,
修改用户权限的权限,以及
撤销用户权限的权限。
20.根据权利要求12至19任一项所述的系统,其特征在于,所述访问校验模块进一步用于:
对所述至少一个关键节点中的每个关键节点,
从所述每个关键节点遍历至所述至少一个有向无环图结构的根节点;
确定是否遍历到所述访问权限信息表示的所述一个或以上权限之一:
在确定遍历到所述访问权限信息表示的所述一个或以上权限之一时,确定存在所述匹配;以及
在确定没有遍历到所述访问权限信息表示的所述一个或以上权限时,确定不存在所述匹配。
21.根据权利要求12至20任一项所述的系统,其特征在于,进一步包括验证模块,所述验证模块用于:
验证所述访问对象的请求中包含的所述至少一个关键节点的节点信息。
22.根据权利要求21所述的系统,其特征在于,所述验证模块进一步用于:
在确定所述访问对象的请求中包含的所述至少一个关键节点的节点信息未通过验证时,拒绝所述请求。
23.一种控制用户访问对象的装置,其特征在于,包括至少一个存储介质以及至少一个处理器;
所述至少一个存储介质用于存储计算机指令;
所述至少一个处理器用于执行所述计算机指令以实现权利要求1~11中任一项所述的控制用户访问对象的方法。
24.一种计算机可读存储介质,所述存储介质存储有计...
【专利技术属性】
技术研发人员:仲哲,
申请(专利权)人:北京嘀嘀无限科技发展有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。