本申请涉及一种基于关系的访问权限控制方法、装置及数据安全访问系统,其中,该方法包括:在权限控制层中,根据主客体关系和三元组配置关系权限;三元组的表达式包括主体描述、关系描述以及客体描述;在访问控制层中的访问控制模块接收到访问请求时,将访问请求传输至权限控制层中,并接收基于关系权限检查访问请求对应的访问者的响应结果,根据响应结果决定是否允许或拒绝转发访问请求至被访问客体。通过本申请,解决了在大型的业务组织中,角色和属性爆炸带来的管理困难和导致权限控制失效的问题,利用数据和数据使用者的关系和组织结构具有有限清晰明确的特点,来确定的关系权限,进而基于关系权限来简化管理难度,从而避免权限控制失效。免权限控制失效。免权限控制失效。
【技术实现步骤摘要】
基于关系的访问权限控制方法、装置及数据安全访问系统
[0001]本申请涉及数据库安全运维
,特别是涉及基于关系的访问权限控制方法、装置及数据安全访问系统。
技术介绍
[0002]访问权限控制在各种数据访问的应用系统和业务领域里广泛应用,通常采用基于角色(RBAC)的访问权限控制方案和基于属性(ABAC)的访问权限控制方案。
[0003]其中,基于角色(RBAC)的访问权限控制方案,具体为:一般会设置默认固定的几种角色,不同的角色被赋予不同的目标访问权限。例如数据库管理系统中的角色为:DBA、系统管理员、安全管理员、普通用户;创建用户时会赋予一个或多个角色,因此该用户会获得相应角色对数据库和数据的访问操作权限。这种方案适用于业务组织架构不太复杂,角色不多的场景,例如互联网应用
‑
共享类应用等。该方案存在的缺点为:在大型的业务组织中,需要持续添加很多的角色,赋予不同的权限,容易导致角色爆炸,并且不同角色的权限交叉重叠,会出现难以管理,容易造成错漏,导致权限控制失效等问题。
[0004]其中,基于属性(ABAC)的访问权限控制方案指根据访问主体、客体、关联其他对象的属性来赋予访问主体对客体的访问权限。因主体和客体的属性都比较多,可以做到细粒度的访问控制,在一些系统中也有采用。例如:主体的属性就包括:职务,位置,部门,敏感级别,性别,年纪等;客体的属性包括:文件类型,应用类别,数据敏感级别,服务器位置等;还可以根据业务场景定义环境属性,例如数据中心名称,位置,业务类别,生产环境,测试环境等。该方案存在的缺点为:复杂业务的属性特征多,同时权限管控管理要求复杂的系统,进行权限配置变更时,计算权限会耗时高,难以满足对实时权限计算要求严格的场景;另外,ABAC策略如果制定的不好,尤其是存在属性依赖的配置,删除和修改都会比较困难和麻烦,且存在权限控制失效风险。
[0005]针对相关技术中存在大型的业务组织中,角色和属性爆炸带来的管理困难和导致权限控制失效的问题,目前还没有提出有效的解决方案。
技术实现思路
[0006]在本实施例中提供了一种基于关系的访问权限控制方法、装置及数据安全访问系统,以解决相关技术中在大型的业务组织中,需要持续添加很多的角色,赋予不同的权限,容易导致角色爆炸,并且不同角色的权限交叉重叠,难以管理,容易造成错漏,导致权限控制失效的问题。
[0007]第一个方面,在本实施例中提供了一种基于关系的访问权限控制方法,适用于基于关系的访问权限控制系统,所述系统包括访问控制层和权限控制层;所述方法包括:
[0008]在所述权限控制层中,根据主客体关系和三元组配置关系权限;所述三元组的表达式包括主体描述、关系描述以及客体描述;
[0009]在访问控制层中的访问控制模块接收到访问请求时,将所述访问请求传输至所述
权限控制层中,并接收基于所述关系权限检查访问请求对应的访问者的响应结果,根据所述响应结果决定是否允许或拒绝转发所述访问请求至被访问客体。
[0010]在其中的一些实施例中,所述根据主客体关系和三元组配置关系权限,包括:
[0011]为主体和客体配置权限,得到主客体关系和三元组;
[0012]对所述主客体关系和所述三元组进行关系配置,得到关系权限。
[0013]在其中的一些实施例中,所述关系权限为规则、策略以及策略组中的一种;所述策略组包括多个策略;所述策略包括多个规则;所述规则用于控制访问范围。
[0014]在其中的一些实施例中,所述根据主客体关系和三元组配置关系权限,包括:
[0015]根据主客体关系、所述三元组的扩展处理,配置关系权限。
[0016]在其中的一些实施例中,所述方法还包括:
[0017]在根据所述响应结果决定是否允许或拒绝转发所述访问请求至被访问客体之后,通过所述访问控制模块返回访问结果至访问者。
[0018]在其中的一些实施例中,所述方法还包括:
[0019]在所述权限控制层中,基于预设加密传输格式对所述关系权限进行传输,并存储至分布式数据库中。
[0020]第二个方面,在本实施例中提供了一种基于关系的访问权限控制装置,适用于基于关系的访问权限控制系统,所述系统包括访问控制层和权限控制层;所述装置包括:配置单元和检查响应单元;
[0021]所述配置单元,用于在所述权限控制层中,根据主客体关系和三元组配置关系权限;所述三元组的表达式包括主体描述、关系描述以及客体描述;
[0022]所述检查响应单元,用于在访问控制层中的访问控制模块接收到访问请求时,将所述访问请求传输至所述权限控制层中,并接收基于所述关系权限检查访问请求对应的访问者的响应结果,根据所述响应结果决定是否允许或拒绝转发所述访问请求至被访问客体。
[0023]第三个方面,在本实施例中提供了一种数据安全访问系统,包括:展示层、应用层以及数据层;所述展示层架设在应用层上,用于提供交互接口;
[0024]所述应用层,与所述数据层连接;在所述应用层和所述数据层的配合下,用于执行上述第一个方面所述的基于关系的访问权限控制方法。
[0025]第三个方面,在本实施例中提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一个方面所述的基于关系的访问权限控制方法。
[0026]第四个方面,在本实施例中提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一个方面所述的基于关系的访问权限控制方法。
[0027]与相关技术相比,在本实施例中提供的基于关系的访问权限控制方法、装置及数据安全访问系统,通过在权限控制层中,根据主客体关系和三元组配置关系权限;三元组的表达式包括主体描述、关系描述以及客体描述;在访问控制层中的访问控制模块接收到访问请求时,将访问请求传输至权限控制层中,并接收基于关系权限检查访问请求对应的访问者的响应结果,根据响应结果决定是否允许或拒绝转发访问请求至被访问客体,解决了在大型的业务组织中,角色和属性爆炸带来的管理困难和导致权限控制失效的问题,利用
在大型的业务组织中数据和数据使用者的关系和组织结构具有有限清晰明确的特点,来确定的关系权限,进而基于关系权限来简化管理难度,从而避免权限控制失效。
[0028]本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
[0029]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0030]图1是本申请一实施例提供的基于关系的访问权限控制方法的终端设备的硬件结构框图;
[0031]图2是本申请一实施例提供的基于关系的访问权限控制方法的流程图;
[0032]图3是本申请一实施例提供的基于关系本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于关系的访问权限控制方法,其特征在于,适用于基于关系的访问权限控制系统,所述系统包括访问控制层和权限控制层;所述方法包括:在所述权限控制层中,根据主客体关系和三元组配置关系权限;所述三元组的表达式包括主体描述、关系描述以及客体描述;在访问控制层中的访问控制模块接收到访问请求时,将所述访问请求传输至所述权限控制层中,并接收基于所述关系权限检查访问请求对应的访问者的响应结果,根据所述响应结果决定是否允许或拒绝转发所述访问请求至被访问客体。2.根据权利要求1所述的基于关系的访问权限控制方法,其特征在于,所述根据主客体关系和三元组配置关系权限,包括:为主体和客体配置权限,得到主客体关系和三元组;对所述主客体关系和所述三元组进行关系配置,得到关系权限。3.根据权利要求2所述的基于关系的访问权限控制方法,其特征在于,所述关系权限为规则、策略以及策略组中的一种;所述策略组包括多个策略;所述策略包括多个规则;所述规则用于控制访问范围。4.根据权利要求1所述的基于关系的访问权限控制方法,其特征在于,所述根据主客体关系和三元组配置关系权限,包括:根据主客体关系、所述三元组的扩展处理,配置关系权限。5.根据权利要求1所述的基于关系的访问权限控制方法,其特征在于,所述方法还包括:在根据所述响应结果决定是否允许或拒绝转发所述访问请求至被访问客体之后,通过所述访问控制模块返回访问结果至访问者。6.根据权利要求1所述的基于关系的访问权限控制方法,...
【专利技术属性】
技术研发人员:柳牧,杨传安,
申请(专利权)人:浙江齐治科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。