【技术实现步骤摘要】
一种基于ABAC模型的授权访问系统
[0001]本专利技术涉及网络访问
,更具体的公开了一种基于
ABAC
模型的授权访问系统
。
技术介绍
[0002]ABAC
是一种为解决行业分布式应用可信关系访问控制模型,它利用相关实体
(
如主体
、
客体
、
环境
)
的属性作为授权的基础来研究如何进行访问控制
。
基于这样的目的,可将实体的属性分为主体属性
、
客体属性和环境属性,这与传统的基于身份的访问控制
(IBAC)
不同
。
在基于属性的访问控制中,访问判定是基于请求者和资源具有的属性,请求者和资源在
ABAC
中通过特性来标识,而不像
IBAC
那样只通过
ID
来标识,这使得
ABAC
具有足够的灵活性和可扩展性,同时使得安全的匿名访问成为可能
。
[0003]而目前的基于
ABAC
模型的授权访问系统,利用较多的主体属性来对请求访问的资源进行访问控制,这样容易造成访问控制策略的条件较为繁复,设定访问控制策略的过程较为复杂,不利于快速且高效的访问策略进行制定
。
并且在通过访问策略匹配资源的过程中,由于存在较多的主体属性和客体属性,会造成请求资源的耗时较长
。
且,请求访问的资源直接从原始数据存储单元中调取,在此过程中, ...
【技术保护点】
【技术特征摘要】
1.
一种基于
ABAC
模型的授权访问系统,其特征在于,包括:用户访问请求提交模块
、
用户访问请求接收模块
、
访问请求解析模块
、
请求访问数据调取模块
、
云端数据库模块
、
访问控制策略存储模块
、
数据解析模块
、
对比匹配模块
、
数据暂存模块
、
访问决策制定模块
、
访问重构模块
、
数据反馈模块;用户访问请求提交模块,将携带有用户和环境属性的访问请求进行提交;用户访问请求接收模块,用于接收用户访问请求提交模块提交的用户访问请求;访问请求解析模块,用于对用户的访问请求进行解析,从而得到用户请求访问的资源数据类型,以及用户和环境的属性信息;请求访问数据调取模块,用于根据解析出来的用户请求访问的资源数据类型从云端数据库中调取相应类型的资源数据;云端数据库模块,用于存储各种类型的资源数据;访问控制策略存储模块,用于预先存储设定好的访问控制策略信息;数据解析模块,用于对从云端数据库中调取到的资源数据进行解析,从而得到数据使用者以及数据使用等级属性信息;对比匹配模块,用于根据用户
、
访问环境
、
资源数据的属性信息与访问控制策略存储模块中存储的策略进行匹配,并得到匹配结果;访问决策制定模块,用于根据对比匹配模块的匹配结果来制定是否进行授权访问的决策;数据暂存模块,用于对数据解析模块解析完毕的数据进行暂存;访问重构模块,若访问决策制定模块制定授权访问的决策后,该模块会将访问请求重新构建,并使访问请求携带用户和环境属性指向数据暂存模块;数据反馈模块,用于将符合重构后的访问请求的资源数据反馈给请求访问者
。2.
根据权利要求1所述的一种基于
ABAC
模型的授权访问系统,其特征在于:所述用户访问请求提交模块包括:用户身份获取模块
、
用户角色获取模块
、
访问时间获取模块
、
访问地点获取模块;用户身份获取模块,用于获取用户的身份信息;用户角色获取模块,用于获取用户的角色信息;访问时间获取模块,用于获取用户请求访问资源数据的时间;访问地点获取模块,用于获取用户请求访问资源数据的位置信息
。3.
根据权利要求1所述的一种基于
ABAC
模型的授权访问系统,其特征在于:所述访问请求解析模块包括:访问数据类型获取模块
、
用户及环境属性获取模块;访问数据类型获取模块,用于获取用户请求访问哪一类型的资源数据;用户及环境属性获取模块,用于获取用户的各项属性信息和请求访问时环境的各项属性信息
。4.
根据权利要求1所述的一种基于
ABAC
模型的授权...
【专利技术属性】
技术研发人员:段少平,鲁建凡,王长海,
申请(专利权)人:金锐软件技术杭州有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。