一种基于制造技术

本发明专利技术涉及网络访问技术领域，且公开了一种基于

【技术实现步骤摘要】
一种基于ABAC模型的授权访问系统


[0001]本专利技术涉及网络访问
，更具体的公开了一种基于
ABAC
模型的授权访问系统
。

技术介绍

[0002]ABAC
是一种为解决行业分布式应用可信关系访问控制模型，它利用相关实体
(
如主体
、
客体
、
环境
)
的属性作为授权的基础来研究如何进行访问控制
。
基于这样的目的，可将实体的属性分为主体属性
、
客体属性和环境属性，这与传统的基于身份的访问控制
(IBAC)
不同
。
在基于属性的访问控制中，访问判定是基于请求者和资源具有的属性，请求者和资源在
ABAC
中通过特性来标识，而不像
IBAC
那样只通过
ID
来标识，这使得
ABAC
具有足够的灵活性和可扩展性，同时使得安全的匿名访问成为可能
。
[0003]而目前的基于
ABAC
模型的授权访问系统，利用较多的主体属性来对请求访问的资源进行访问控制，这样容易造成访问控制策略的条件较为繁复，设定访问控制策略的过程较为复杂，不利于快速且高效的访问策略进行制定
。
并且在通过访问策略匹配资源的过程中，由于存在较多的主体属性和客体属性，会造成请求资源的耗时较长
。
且，请求访问的资源直接从原始数据存储单元中调取，在此过程中，容易发生数据的泄漏，同时，调取反馈给访问者的资源数据存在随机性，不利于访问者快速查看到重点数据
。

技术实现思路

[0004]本专利技术主要解决的技术问题是提供一种基于
ABAC
模型的授权访问系统，能够解决目前基于
ABAC
的访问系统存在访问耗时较长，请求访问过程安全性交底，反馈的数据存在随机性的问题
。
[0005]为解决上述技术问题，根据本专利技术的一个方面，更具体的说是一种基于
ABAC
模型的授权访问系统，包括：用户访问请求提交模块
、
用户访问请求接收模块
、
访问请求解析模块
、
请求访问数据调取模块
、
云端数据库模块
、
访问控制策略存储模块
、
数据解析模块
、
对比匹配模块
、
数据暂存模块
、
访问决策制定模块
、
访问重构模块
、
数据反馈模块；
[0006]用户访问请求提交模块，将携带有用户和环境属性的访问请求进行提交；
[0007]用户访问请求接收模块，用于接收用户访问请求提交模块提交的用户访问请求；
[0008]访问请求解析模块，用于对用户的访问请求进行解析，从而得到用户请求访问的资源数据类型，以及用户和环境的属性信息；
[0009]请求访问数据调取模块，用于根据解析出来的用户请求访问的资源数据类型从云端数据库中调取相应类型的资源数据；
[0010]云端数据库模块，用于存储各种类型的资源数据；
[0011]访问控制策略存储模块，用于预先存储设定好的访问控制策略信息；
[0012]数据解析模块，用于对从云端数据库中调取到的资源数据进行解析，从而得到数据使用者以及数据使用等级属性信息；
[0013]对比匹配模块，用于根据用户
、
访问环境
、
资源数据的属性信息与访问控制策略存储模块中存储的策略进行匹配，并得到匹配结果；
[0014]访问决策制定模块，用于根据对比匹配模块的匹配结果来制定是否进行授权访问的决策；
[0015]数据暂存模块，用于对数据解析模块解析完毕的数据进行暂存；
[0016]访问重构模块，若访问决策制定模块制定授权访问的决策后，该模块会将访问请求重新构建，并使访问请求携带用户和环境属性指向数据暂存模块；
[0017]数据反馈模块，用于将符合重构后的访问请求的资源数据反馈给请求访问者
。
[0018]更进一步的，所述用户访问请求提交模块包括：用户身份获取模块
、
用户角色获取模块
、
访问时间获取模块
、
访问地点获取模块；
[0019]用户身份获取模块，用于获取用户的身份信息；
[0020]用户角色获取模块，用于获取用户的角色信息；
[0021]访问时间获取模块，用于获取用户请求访问资源数据的时间；
[0022]访问地点获取模块，用于获取用户请求访问资源数据的位置信息
。
[0023]更进一步的，所述访问请求解析模块包括：访问数据类型获取模块
、
用户及环境属性获取模块；
[0024]访问数据类型获取模块，用于获取用户请求访问哪一类型的资源数据；
[0025]用户及环境属性获取模块，用于获取用户的各项属性信息和请求访问时环境的各项属性信息
。
[0026]更进一步的，所述数据解析模块包括：数据使用者获取模块
、
数据使用等级获取模块；
[0027]数据使用者获取模块，用于获取当前请求访问的资源数据的能够被使用的使用者信息；
[0028]数据使用等级获取模块，用于获取能够使用当前请求访问的资源数据中每一条数据的使用等级信息
。
[0029]更进一步的，所述访问策略存储模块包括：用户属性存储区块
、
环境属性存储砌块
、
资源类型存储区块；
[0030]用户属性存储区块，用于存储用户的属性信息；
[0031]环境属性存储区块，用于存储访问环境的属性信息；
[0032]资源类型存储区块，用于存储符合用户和环境属性信息的资源类型信息
。
[0033]更进一步的，所述对比匹配模块包括：使用身份判别模块
、
基于策略的判定模块；
[0034]使用身份判别模块，用于根据数据解析模块获取到的当前请求访问的资源数据能够被使用的使用者信息与访问请求解析模块获取到的用户身份属性信息进行对比，若两者匹配成功，则进行基于策略的判定操作，否则，通过访问决策制定模块制定中止访问的决策；
[0035]基于策略的判定模块，用于在使用身份判别模块匹配成功后，将当前请求访问的资源数据类型中符合用户角色属性和访问环境属性的资源数据保存在数据暂存模块中，将不符合用户角色属性和访问环境属性的资源数据从数据暂存模块中删除
。
[0036]更进一步的，所述访问决策制定模块包括：访问中止模块
、
授权访问模块；
[0037]访问中止模块，用于当对比匹配模块中的使用身份判别模块匹配失败后，中止当前的访问请求；
[0本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于
ABAC
模型的授权访问系统，其特征在于，包括：用户访问请求提交模块
、
用户访问请求接收模块
、
访问请求解析模块
、
请求访问数据调取模块
、
云端数据库模块
、
访问控制策略存储模块
、
数据解析模块
、
对比匹配模块
、
数据暂存模块
、
访问决策制定模块
、
访问重构模块
、
数据反馈模块；用户访问请求提交模块，将携带有用户和环境属性的访问请求进行提交；用户访问请求接收模块，用于接收用户访问请求提交模块提交的用户访问请求；访问请求解析模块，用于对用户的访问请求进行解析，从而得到用户请求访问的资源数据类型，以及用户和环境的属性信息；请求访问数据调取模块，用于根据解析出来的用户请求访问的资源数据类型从云端数据库中调取相应类型的资源数据；云端数据库模块，用于存储各种类型的资源数据；访问控制策略存储模块，用于预先存储设定好的访问控制策略信息；数据解析模块，用于对从云端数据库中调取到的资源数据进行解析，从而得到数据使用者以及数据使用等级属性信息；对比匹配模块，用于根据用户
、
访问环境
、
资源数据的属性信息与访问控制策略存储模块中存储的策略进行匹配，并得到匹配结果；访问决策制定模块，用于根据对比匹配模块的匹配结果来制定是否进行授权访问的决策；数据暂存模块，用于对数据解析模块解析完毕的数据进行暂存；访问重构模块，若访问决策制定模块制定授权访问的决策后，该模块会将访问请求重新构建，并使访问请求携带用户和环境属性指向数据暂存模块；数据反馈模块，用于将符合重构后的访问请求的资源数据反馈给请求访问者
。2.
根据权利要求1所述的一种基于
ABAC
模型的授权访问系统，其特征在于：所述用户访问请求提交模块包括：用户身份获取模块
、
用户角色获取模块
、
访问时间获取模块
、
访问地点获取模块；用户身份获取模块，用于获取用户的身份信息；用户角色获取模块，用于获取用户的角色信息；访问时间获取模块，用于获取用户请求访问资源数据的时间；访问地点获取模块，用于获取用户请求访问资源数据的位置信息
。3.
根据权利要求1所述的一种基于
ABAC
模型的授权访问系统，其特征在于：所述访问请求解析模块包括：访问数据类型获取模块
、
用户及环境属性获取模块；访问数据类型获取模块，用于获取用户请求访问哪一类型的资源数据；用户及环境属性获取模块，用于获取用户的各项属性信息和请求访问时环境的各项属性信息
。4.
根据权利要求1所述的一种基于
ABAC
模型的授权...

【专利技术属性】
技术研发人员：段少平，鲁建凡，王长海，
申请(专利权)人：金锐软件技术杭州有限公司，
类型：发明
国别省市：