【技术实现步骤摘要】
一种基于资源分级分类和用户特征的权限控制的方法及系统
[0001]本专利技术属于计算机数据安全
,具体涉及一种基于资源分级分类和用户特征的权限控制的方法及系统
。
技术介绍
[0002]目前被大家广泛采用的两种权限模型为:基于角色的访问控制
(RBAC)
和基于策略的访问控制
(PBAC)
,二者各有优劣:
RBAC
模型构建起来更加简单,缺点在于无法做到对资源细粒度地授权;
PBAC
模型构建相对复杂,学习成本比较高,系统根据用户的特征来赋予策略进行权限控制,随着用户的特征变化
(
如职级改变
、
调岗等
)
对应的策略变化最终权限自动变化
。
[0003](
一
)、
基于角色的访问控制
(Role
‑
based access control
,简称
RBAC)
,指的是通过用户的角色
(Role)
授权其相关权限,这实现了灵活的访问控制,相比直接授予用户权限,更加简单
、
高效
、
可扩展
。
我们只需要为该角色制定好权限后,给不同的用户分配不同的角色,后续只需要修改角色的权限,就能自动修改角色内所有用户的权限
。
[0004]RBAC
同时存在问题:
[0005]1、
粗粒度和静态
:R ...
【技术保护点】
【技术特征摘要】 【专利技术属性】
1.
一种基于资源分级分类和用户特征的权限控制的方法,其特征在于,该方法包括如下步骤:数据采集:响应于对实体扫描进行数据采集,建立数据使用情况表,所述数据使用情况表含有表名以及表结构信息;数据分级分类:将采集的数据根据预设规则进行分级分类;系统配置:根据需求创建角色,选择对应菜单下的模块并配置模块的资源信息,配置模块包括四块分类内容:常用规则;表分类
、
表分级
、
字段分类
、
字段分级;数据范围;资源目录;权限策略缓存:策略中心提前整理好权限的缓存信息;策略解析器:权限控制中心将配置的信息转换为通用的策略语言后,每个业务应用需要对于下发的策略信息进行解读,最终到数据权限控制;接口请求带有埋点信息:每个页面请求的信息都必须带有埋点,带有菜单路径,各个服务根据上下文的权限控制信息以及埋点信息,确定当前用户身份,获取对应策略信息;权限监听:权限控制中心监听用户特征变化情况,给其重新的更新权限,并且在特征进行不符合常规的变化中,给予预警
。2.
根据权利要求1所述的基于资源分级分类和用户特征的权限控制的方法,其特征在于,还包括:不认为埋点是可信的,则会比对用户是否有点位的权限进行校验,如果没有权限则直接返回
。3.
根据权利要求2所述的基于资源分级分类和用户特征的权限控制的方法,其特征在于,权限监听还包括:若某用户拥有模块资源的权限,原本几乎没有使用但是突然频繁调用,也会进行预警,或者直接关闭权限
。4.
根据权利要求3所述的基于资源分级分类和用户特征的权限控制的方法,其特征在于,权限策略缓存还包括:某些规则无法直接叠加的,同时在最终查询的时候容易影响性能,策略中心采用通过将不同的规则转换为人和组织信息,变成最简单的规则直接叠加的水平权限策略;针对字段在业务的显示,使用投票器机制找到数据对应归属的数据范围来控制字段的显示,后续通过添加越来越多的投票器打造出更多和合并可能性的垂直权限策略
。5.
根据权利要求4所述的基于资源分级分类和用户特征的权限控制的方法,其特征在于,策略解析器还包括:策略解析器提供水平解析和垂直解析两类解读的方式,各个应用如果不使用默认解析器,则可结合业务自行实现对应解析器来对策略进行解读
。6.
根据权利要求5所述的基于资源分级分类和用户特征的权限控制的方法,其特征在于,数据的分级分类包括
:
采用线分类法为主,面分类法为辅的混合分类法方式,按照数据资源的业务属性和安全隐私保护属性对数据资源进行分类,将数据资源表从低到高分为公开一级
、
一般二级
、
敏感三级
、
重要四级以及核心五级五个级别;字段在资源表的基础上根据数据受到滥用
技术研发人员:邓祖良,林彩样,罗雅英,栾江霞,侯龙滨,余凌杰,石春云,康锦锋,高强,王宇翔,
申请(专利权)人:厦门市美亚柏科信息股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。