系统资源权限管理方法、电子设备及存储介质技术方案

本发明专利技术公开一种系统资源权限管理方法、电子设备及存储介质。系统资源权限管理方法，包括：响应于策略绑定请求，将预设策略与所述策略绑定请求所指示的用户和/或用户组绑定，所述策略包括预设条件，当满足所述预设条件时允许或拒绝访问系统资源；响应于资源访问请求，确定发起所述资源访问请求的用户为待判断用户，确定所述待判断用户的用户组为待判断用户组；判断所述资源访问请求是否满足所述待判断用户和/或所述待判断用户组所绑定的策略，得到判断结果，根据所述判断结果，判断是否允许所述待判断用户访问所述资源访问请求所指示的系统资源。本发明专利技术简化了判断流程，在保证权限管理的安全性和灵活性的基础上，提高了资源的访问速度。的访问速度。的访问速度。

【技术实现步骤摘要】
系统资源权限管理方法、电子设备及存储介质


[0001]本专利技术涉及系统资源管理相关
，特别是一种系统资源权限管理方法、电子设备及存储介质。

技术介绍

[0002]现有的系统资源权限管理方法主要有两种，分别为基于角色的访问控制(Role
‑
Based Access Control，RBAC)和基于属性的访问控制(Attribute Based Access Control，ABAC)。
[0003]基于角色的访问控制方法，通过用户的角色(Role)授权其相关权限，实现了灵活的访问控制，相比直接授予用户权限，要更加简单、高效、可扩展。在基于角色的访问控制，角色通常是指具有某些共同特征的一组人，例如:部门、地点、资历、级别、工作职责等。在系统初始时管理员根据业务需要创建多个拥有不同权限组合的不同角色，如角色A拥有全部菜单的访问及编辑权限，角色B只有菜单A的访问编辑权但无其他菜单的编辑权限。当需要赋予某个用户权限的时候，把用户归到相应角色里即可赋予符合需要的权限。
[0004]基于属性的访问控制则通过对象、资源和环境等的属性等条件来动态判断一个操作是否可以被允许。基于属性的访问控制访问控制利用了一组称为“属性”的特征。例如包括用户属性、环境属性和资源属性。
[0005]基于角色的访问控制与基于属性的访问控制之间的主要区别在于方法授予访问权限的方式。基于角色的访问控制按照角色授予访问权限，基于属性的访问控制可以根据用户特征，对象特征，操作类型等属性确定访问权限。
[0006]由于基于角色的访问控制和基于属性的访问控制二者各有优缺点，因此现有技术提出可以将这二者融合起来。然而，现有基于角色的访问控制和基于属性的访问控制的融合方式只是针对基于属性权限对象和基于角色的权限对象分别关联不同的业务资源对象的控制信息，根据不同的控制信息来确定后续的访问方式。
[0007]因此，现有技术的融合方式只是将基于角色的访问控制和基于属性的访问控制简单结合，其在针对大量用户的访问场景中，对于业务资源对象，既要基于角色的访问控制进行判断，又要基于属性的访问控制进行判断，导致判断流程显著增多，明显降低资源的访问速度。

技术实现思路

[0008]基于此，有必要针对现有技术基于角色的访问控制和基于属性的访问控制的融合方式，结合简单，在针对大量用户的访问场景中，存在判断流程多导致资源访问速度慢的技术问题，提供一种系统资源权限管理方法、电子设备及存储介质。
[0009]本专利技术提供一种系统资源权限管理方法，包括：
[0010]响应于策略绑定请求，将预设策略与所述策略绑定请求所指示的用户和/或用户组绑定，所述策略包括预设条件，当满足所述预设条件时允许或拒绝访问系统资源；
[0011]响应于资源访问请求，确定发起所述资源访问请求的用户为待判断用户，确定所述待判断用户的用户组为待判断用户组；
[0012]判断所述资源访问请求是否满足所述待判断用户和/或所述待判断用户组所绑定的策略，得到判断结果，根据所述判断结果，判断是否允许所述待判断用户访问所述资源访问请求所指示的系统资源。
[0013]进一步地，所述系统资源设有分级标签，所述判断所述资源访问请求是否满足所述待判断用户和/或所述待判断用户组所绑定的策略，具体包括：
[0014]对于所述待判断用户和/或所述待判断用户组所绑定的其中一个策略：
[0015]判断所述资源访问请求所指示的系统资源的分级标签是否满足所述策略的预设标签条件。
[0016]更进一步地，还包括：
[0017]响应于权限申请通过信息，创建关于所述权限申请通过信息所指示分级标签的策略为标签策略；
[0018]将所述标签策略绑定至所述权限申请通过信息所指定的用户和/或用户组。
[0019]进一步地，所述判断所述资源访问请求是否满足所述待判断用户和/或所述待判断用户组所绑定的策略，具体包括：
[0020]对于所述待判断用户和/或所述待判断用户组所绑定的其中一个策略：
[0021]判断所述待判断用户是否满足所述策略的预设用户条件；和/或
[0022]判断所述待判断用户组是否满足所述策略的预设用户组条件。
[0023]进一步地，所述判断所述资源访问请求是否满足所述待判断用户和/或所述待判断用户组所绑定的策略，具体包括：
[0024]对于所述待判断用户和/或所述待判断用户组所绑定的其中一个策略：
[0025]判断所述资源访问请求的来源地址是否符合所述策略的预设地址条件；和/或
[0026]判断所述资源访问请求的访问时间是否符合所述策略的时间条件。
[0027]进一步地，所述待判断用户和/或所述待判断用户组所绑定的策略包括：当满足预设允许条件时允许访问系统资源的允许策略和当满足预设拒绝条件时拒绝访问系统资源的拒绝策略。
[0028]更进一步地，所述判断所述资源访问请求是否满足所述待判断用户和/或所述待判断用户组所绑定的策略，得到判断结果，根据所述判断结果，判断是否允许所述待判断用户访问所述资源访问请求所指示的系统资源，具体包括：
[0029]获取所述待判断用户和/或所述待判断用户组所绑定的拒绝策略和允许策略；
[0030]判断所述资源访问请求是否符合所述待判断策略中的拒绝策略的拒绝条件；
[0031]如果所述资源访问请求满足任一所述拒绝策略的拒绝条件，则拒绝所述资源访问请求。
[0032]再进一步地，所述判断所述资源访问请求是否满足所述待判断用户和/或所述待判断用户组所绑定的策略，得到判断结果，根据所述判断结果，判断是否允许所述待判断用户访问所述资源访问请求所指示的系统资源，具体还包括：
[0033]如果所述资源访问请求均不满足所述拒绝策略的拒绝条件，则判断所述资源访问请求是否符合所述待判断策略中的允许策略的允许条件；
[0034]如果所述资源访问请求满足任一所述允许策略的允许条件，则允许所述资源访问请求。
[0035]本专利技术提供一种电子设备，包括：
[0036]至少一个处理器；以及，
[0037]与至少一个所述处理器通信连接的存储器；其中，
[0038]所述存储器存储有可被至少一个所述处理器执行的指令，所述指令被至少一个所述处理器执行，以使至少一个所述处理器能够执行如前所述的系统资源权限管理方法。
[0039]本专利技术提供一种存储介质，所述存储介质存储计算机指令，当计算机执行所述计算机指令时，用于执行如前所述的系统资源权限管理方法的所有步骤。
[0040]本专利技术通过将策略与用户和/或用户组绑定，从而通过用户和用户组实现了角色管理，同时通过策略中的条件对系统资源进行管理，因此，将基于角色的访问控制和基于属性的访问控制进行了深度融合，对于每个用户或用户组只需要根据其自身的策略进行判断，大大简化了判断流程，在保证权限管理的安全性和灵活性的基础上，提高了资源的访问速度。
...

【技术保护点】

【技术特征摘要】
1.一种系统资源权限管理方法，其特征在于，包括：响应于策略绑定请求，将预设策略与所述策略绑定请求所指示的用户和/或用户组绑定，所述策略包括预设条件，当满足所述预设条件时允许或拒绝访问系统资源；响应于资源访问请求，确定发起所述资源访问请求的用户为待判断用户，确定所述待判断用户的用户组为待判断用户组；判断所述资源访问请求是否满足所述待判断用户和/或所述待判断用户组所绑定的策略，得到判断结果，根据所述判断结果，判断是否允许所述待判断用户访问所述资源访问请求所指示的系统资源。2.根据权利要求1所述的系统资源权限管理方法，其特征在于，所述系统资源设有分级标签，所述判断所述资源访问请求是否满足所述待判断用户和/或所述待判断用户组所绑定的策略，具体包括：对于所述待判断用户和/或所述待判断用户组所绑定的其中一个策略：判断所述资源访问请求所指示的系统资源的分级标签是否满足所述策略的预设标签条件。3.根据权利要求2所述的系统资源权限管理方法，其特征在于，还包括：响应于权限申请通过信息，创建关于所述权限申请通过信息所指示分级标签的策略为标签策略；将所述标签策略绑定至所述权限申请通过信息所指定的用户和/或用户组。4.根据权利要求1所述的系统资源权限管理方法，其特征在于，所述判断所述资源访问请求是否满足所述待判断用户和/或所述待判断用户组所绑定的策略，具体包括：对于所述待判断用户和/或所述待判断用户组所绑定的其中一个策略：判断所述待判断用户是否满足所述策略的预设用户条件；和/或判断所述待判断用户组是否满足所述策略的预设用户组条件。5.根据权利要求1所述的系统资源权限管理方法，其特征在于，所述判断所述资源访问请求是否满足所述待判断用户和/或所述待判断用户组所绑定的策略，具体包括：对于所述待判断用户和/或所述待判断用户组所绑定的其中一个策略：判断所述资源访问请求的来源地址是否符合所述策略的预设地址条件；和/或判断所...

【专利技术属性】
技术研发人员：侯心主，
申请(专利权)人：名日之梦北京科技有限公司，
类型：发明
国别省市：