本申请提供了一种基于ABAC的鉴权方法、装置、设备及计算机可读介质,其中,一种基于ABAC的鉴权方法,所述方法包括:接收用户的请求信息;根据目标授权规则对所述请求信息进行鉴权,得到鉴权结果;所述目标授权规则为基于所述ABAC的默认授权条目的层级关系,进行条目扩展后得到的授权规则;根据所述鉴权结果,对所述请求信息放行或者拦截。本申请提供了一种基于ABAC的鉴权方案,可以至少用以解决现有的基于ABAC的鉴权方式,需要耗费很大的计算量的技术问题。术问题。术问题。
【技术实现步骤摘要】
基于ABAC的鉴权方法、装置、设备及计算机可读介质
[0001]本申请涉及信息
,尤其涉及一种基于ABAC的鉴权方法、装置、设备及计算机可读介质。
技术介绍
[0002]在操作系统中,权限是保证多用户操作系统正常工作的一种非常重要的机制。对于某些文件或者程序来说,它有自身的属性,明示着哪种权限的用户可以使用它读写或者执行功能。而对于一些通用的程序来说,哪个用户运行它,它就会自动继承那个用户的权限。例如,在Windows中有一个Administrator用户和一个普通用户Etuser,Administrator用户打开一个记事本和Etuser用户打开记事本的权限是不一样的。其中,权限管理系统中的基于角色的访问控制和基于属性的访问控制是被大家广泛采用的两种权限模型。
[0003]基于属性的访问控制,英文全称Attribute
‑
based Access Control,简称“ABAC”,是一种为解决行业分布式应用可信关系而提出的访问控制模型,ABAC访问控制利用了一组称为“属性”的特征来进行访问控制,这包括实体的主体属性(又称用户属性)、客体属性(又称资源属性)和环境属性。
[0004]基于角色的访问控制,英文全称Role
‑
Based Access Control,简称“RBAC”,是一种面向企业安全策略实施的访问控制方式。其基本思想是对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合,每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。这里,角色通常是指具有某些共同特征的一组人,例如:部门、地点、资历、级别、工作职责等。
[0005]与RBAC相比,ABAC能够对资源细粒度地授权以及根据上下文动态执行,具备更强的灵活性和动态性。
[0006]在实际应用中,ABAC和RBAC往往会被使用在需要进行权限继承的场景中,权限继承,即是说哪些用户执行的命令自动继承当前用户的权限,而涉及到操作那些没有当前用户权限的文件时,操作系统就可以自动中断并提示。
[0007]专利技术人发现相关技术中至少存在如下技术问题:
[0008]在需要进行权限继承的场景中,由于RBAC具有权限与角色相关联的特性,因此可以通过角色的授权逻辑来实现分层级的继承关系。但是ABAC授权的逻辑通常是碎片化的,且依赖于上下文属性,这使得基于ABAC的权限继承通常是隐式的且与业务逻辑耦合,然而,这种隐式授权下的权限继承方式,需要耗费很大的计算量,即对系统的计算性能具有较高的损耗。
技术实现思路
[0009]本申请的一个目的是提供一种基于ABAC的鉴权方法、装置、设备及计算机可读介质,至少用以解决现有的基于ABAC的鉴权方式,需要耗费很大的计算量的技术问题。
[0010]为实现上述目的,本申请的一些实施例提供了一种基于ABAC的鉴权方法,所述方
法包括:接收用户的请求信息;根据目标授权规则对所述请求信息进行鉴权,得到鉴权结果;所述目标授权规则为基于所述ABAC的默认授权条目的层级关系,进行条目扩展后得到的授权规则;根据所述鉴权结果,对所述请求信息放行或者拦截。
[0011]本申请的一些实施例还提供了一种基于ABAC的鉴权装置,所述装置包括接收模块、鉴权模块和输出模块:所述接收模块,用于接收用户的请求信息;所述鉴权模块,用于根据目标授权规则对所述请求信息进行鉴权,得到鉴权结果;所述目标授权规则为根据所述ABAC的默认授权条目的层级关系,进行条目扩展后得到的授权规则;所述输出模块,用于根据所述鉴权结果,对所述请求信息放行或者拦截。
[0012]本申请的一些实施例还提供了一种基于ABAC的鉴权设备,所述设备包括:一个或多个处理器;以及存储有计算机程序指令的存储器,所述计算机程序指令在被执行时使所述处理器执行如上所述的基于ABAC的鉴权方法。
[0013]本申请的一些实施例还提供了一种计算机可读介质,其上存储有计算机程序指令,所述计算机程序指令可被处理器执行以实现如上所述的基于ABAC的鉴权方法。
[0014]相较于现有技术,本申请实施例提供的方案中,通过在接收用户的请求信息后,根据目标授权规则对所述请求信息进行鉴权,得到鉴权结果,然后再根据所述鉴权结果,对所述请求信息放行或者拦截。其中,由于本申请实施例中的目标授权规则,是根据ABAC的默认授权条目结构的层级关系,对ABAC的默认授权条目结构进行扩展而得到的授权规则,本质上对层级关系作出了进一步的优化扩展,使得把相关技术中无法事先缓存的进行计算的权限转移到了ABAC中,构建了可以以较低的计算性能损耗来支持隐式权限继承的ABAC模型,因此,降低了权限管理系统的计算复杂度,进而降低了耗费的计算量的开销,同时,还可以提升鉴权效率。
附图说明
[0015]图1为本申请实施例提供的一种基于ABAC的鉴权方法的流程图;
[0016]图2为本申请实施例提供的一种相关技术中的权限管理系统的结构示意图;
[0017]图3为本申请实施例提供的一种基于ABAC的鉴权方法的应用实例的示意图;
[0018]图4为本申请实施例提供的一种的基于ABAC的鉴权装置的结构示意图;
[0019]图5为采用本申请实施例提供的一种基于ABAC的鉴权的结构示意图。
具体实施方式
[0020]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0021]在本文中使用以下术语。
[0022]分层:如果分层清晰而准确,可以看出这两个业务上层具有相同的抽象,即最上层都是组件与布局的结合,而筛选联动与数据查询,以及从数据模型映射到图元关系的映射功能都属于附加项,这些项移除了也不影响系统的运行。
[0023]碎片化:逻辑是自身将碎片信息建构到一起的产物。
[0024]算法复杂度:分为时间复杂度和空间复杂度。其作用:时间复杂度是指执行算法所需要的计算工作量;而空间复杂度是指执行这个算法所需要的内存空间。(算法的复杂性体现在运行该算法时的计算机所需资源的多少上,计算机资源最重要的是时间和空间(即寄存器)资源,因此复杂度分为时间和空间复杂度。)其中,时间复杂度是指一个算法花费的时间与算法中语句的执行次数成正比例,哪个算法中语句执行次数多,它花费时间就多。
[0025]图,是由若干给定的顶点及连接两顶点的边所构成的图形,这种图形通常用来描述某些事物之间的某种特定关系。顶点用于代表事物,连接两顶点的边则用于表示两个事物间具有这种关系。
[0026]数据库,英文全称Data Base,简称DB,是依照某种数据模型组织起来并存放二级存本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于ABAC的鉴权方法,其特征在于,所述方法包括:接收用户的请求信息;根据目标授权规则对所述请求信息进行鉴权,得到鉴权结果;所述目标授权规则为基于所述ABAC的默认授权条目的层级关系,进行条目扩展后得到的授权规则;根据所述鉴权结果,对所述请求信息放行或者拦截。2.根据权利要求1所述的方法,其特征在于,所述目标授权规则的生成方法包括:获取所述默认授权条目的层级关系;根据所述层级关系,确定所述默认授权条目的权限继承关系;根据所述权限继承关系,对所述默认授权条目进行条目扩展,以得到所述目标授权规则。3.根据权利要求2所述的方法,其特征在于,所述根据所述权限继承关系,对所述默认授权条目进行条目扩展包括:根据所述权限继承关系,确定所述默认授权条目中资源的父资源和子资源;获取权限上限,所述权限上限用于表征所述权限继承关系中,可对所述资源执行的操作权限的上限;根据所述父资源、所述子资源以及所述权限上限,确定附加授权条目;根据所述附加授权条目,对所述默认授权条目进行条目扩展。4.根据权利要求1所述的方法,其特征在于,所述根据目标授权规则对所述请求信息进行鉴权,得到鉴权结果包括:根据所述层级关系,确定所述层级关系的层级数量;根据所述层级数量,确定对所述目标授权规则执行的数据查询方法;根据所述数据查询方法和...
【专利技术属性】
技术研发人员:蒋仕龙,王磊,
申请(专利权)人:上海和今信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。