本发明专利技术公开了一种基于资源发布者自定义的访问控制系统及方法,该系统包括:访问控制接口模块,用于提供与访问控制相关的配置和查询接口;角色-资源映射规则管理模块,用于管理角色和资源之间的映射规则,通过访问控制接口模块接收特定格式的角色-资源之间的关联规则,并存储至访问控制数据库;用户-角色映射规则管理模块,用于管理用户和角色之间的关联规则,通过访问控制接口模块接收特定格式的用户-角色之间的关联规则,并存储至访问控制数据库;权限判断模块,用于根据用户的权限判断请求,通过访问访问控制数据库中存储的映射规则判断用户的访问权限;角色权限管理模块,用于管理角色的创建,为角色所关联的资源指派访问权限。
【技术实现步骤摘要】
本专利技术涉及通讯领域,尤其涉及一种资源开放业务系统中资源发布者可自定义的细粒度访问控制系统及方法。
技术介绍
访问控制是指允许或禁止某个主体访问某个客体的能力。在计算机系统中,访问控制是指能够限制主体(访问的发起者,一般为用户,进程,应用等)对客体(能够被访问到的且需要被保护的资源或资源集合)的访问权限,从而使计算机系统在合法范围内使用的能力。访问控制机制决定了哪些主体能够访问系统,能够访问系统的何种资源以及如何使用这些资源。现有的访问控制机制主要有自主访问控制、强制访问控制、基于角色的访问控制 方法(RBAC )、基于用户的访问控制方法(UBAC )、基于任务的访问控制方法(TBAC )、基于属性的访问控制方法(ABAC)等。基于这些基本的访问控制模型,人们又根据具体业务系统的需求,实现了许多不同的访问控制系统。其中基于角色的访问控制方法(RBAC)是目前应用较为广泛的访问控制模型。在访问控制中引入了角色的概念,将所有的权限授予角色而不是直接给用户,这样访问控制就分为了权限与角色相关联和用户与角色相关联两部分,使角色作为一个用户与权限的代理层,从而解耦了权限和用户的关系。RBAC有不同的版本,但从根本上说,RBAC访问控制可抽象成用户一角色一一权限——对象这几个集合的定义及集合间的映射关系。当前的访问控制模型多与业务系统紧耦合,从而RBAC模型中各集合的定义及集合间的映射都根据特定业务系统进行抽象和优化,缺乏普适性。例如,在一个资源开放业务系统中,各个资源所有者可以通过系统开放他们所拥有的资源,不同的应用开发者开发的应用可以利用这些资源构建不同的业务。在这样的资源开放业务系统中,对访问控制的需求可能包括I、同时满足特定应用场景和开放业务系统的访问控制功能。2、根据不同资源所有者的资源开放意愿,由其自定义灵活的权限管理方案,满足粗粒度和细粒度的访问控制。3、开放业务环境下的访问控制需要面向公众用户,需要在用户未知的条件下进行角色权限定义,并结合角色定义和访问资源的属性信息来实现权限管理。4、面向资源的WEB架构的设计思想,以资源为中心而不是以动作、任务为主心的访问控制模型。但是,当前的访问控模型难以同时满足资源开放业务系统的以上所有要求。
技术实现思路
本专利技术需要解决的技术问题在于提供一种,以克服现有访问控制系统应用于泛在网、WEB2. 0等以用户为中心、用户参与资源共享及业务生成的开放业务系统中时,资源无法自主制定面向资源的不同粒度的访问控制规则的问题。为解决上述技术问题,本专利技术提供一种基于资源发布者自定义的访问控制系统,应用于资源开放业务系统中,包括访问控制接口模块,用于提供与访问控制相关的配置和查询接口 ;角色-资源映射规则管理模块,用于管理角色和资源之间的关联规则,通过所述访问控制接口模块接收特定格式的角色_资源之间的关联规则,并将所述角色_资源关联规则存储至访问控制数据库; 用户-角色映射规则管理模块,用于管理用户和角色之间的关联规则,通过所述访问控制接口模块接收特定格式的用户-角色之间的关联规则,并将所述用户-角色关联规则存储至访问控制数据库;权限判断模块,用于根据用户的权限判断请求,通过访问所述访问控制数据库中存储的规则判断用户的访问权限;角色权限管理模块,用于管理角色的创建,为角色所关联的资源指派访问权限。本专利技术进而提供一种基于资源发布者自定义的访问控制方法,应用于资源开放业务系统中,包括提供访问控制接口,该访问控制接口为与访问控制相关的配置和查询接口 ;管理角色和资源之间的关联规则,通过所述访问控制接口接收特定格式的角色_资源之间的关联规则,并将所述角色_资源关联规则存储至访问控制数据库;管理用户和角色之间的关联规则,通过所述访问控制接口接收特定格式的用户_角色之间的关联规则,并将所述用户_角色关联规则存储至访问控制数据库;根据用户的权限判断请求,通过访问所述访问控制数据库中存储的规则判断用户的访问权限;管理角色的创建,为角色所关联的资源指派访问权限。根据本专利技术的技术方案,资源发布者可在资源开放业务系统中实现面向资源的不同粒度的访问控制,角色、权限、资源对象集合的内容、元素数目可自定义,用户、角色、权限、对象集合间的映射关系可自定义,从而使用户可自定义支持任意细化粒度的访问控制规则;而且能够支持各种开放业务环境,支持多种开放模式,支持用户角色与业务系统的松耦合,使用户在不同业务中甚至在同一业务中实现对不同资源访问时的角色灵活切换,增强了访问控制系统的性能扩展需求。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中图I为根据本专利技术实施例所述的基于资源发布者自定义的访问控制系统的结构框图;图2为根据本专利技术实施例所述的基于资源发布者自定义的访问控制方法的流程图。具体实施例方式为使本专利技术的目的、技术方案和优点更加清楚,以下结合附图及具体实施例,对本专利技术作进一步地详细说明。根据本专利技术的实施例,提供了一种基于资源发布者自定义的访问控制系统。图I为根据本专利技术实施例的基于资源发布者自定义的访问控制系统的结构框图,如图I所示,包括访问控制接口模块101、角色-资源映射规则管理模块102、用户-角色映射规则管理模块103、权限判断模块104和角色权限管理模块105,下面详细描述各模块的结构。访问控制接口模块101,用于提供与访问控制相关的配置和查询接口 ;角色-资源映射规则管理模块102,用于管理角色和资源之间的关联规则,通过所述访问控制接口模块接收特定格式的角色_资源之间的关联规则,并将所述角色_资源关 联规则存储至访问控制数据库;用户-角色映射规则管理模块103,用于管理用户和角色之间的关联规则,通过所述访问控制接口模块接收特定格式的用户_角色之间的关联规则,并将所述用户-角色关联规则存储至访问控制数据库;权限判断模块104,用于根据用户的权限判断请求,通过访问所述访问控制数据库中存储的规则判断用户的访问权限;角色权限管理模块105,用于管理角色的创建,为角色所关联的资源指派访问权限。此外,还可以包括资源发布者自定义界面呈现模块106,用于提供和维护资源发布者根据其SNS中的用户信息和好友关系配置权限、定义角色及分配角色的接口。根据上述实施例,由资源发布者定义角色和权限,根据资源访问者的SNS信息进行角色映射,从而确定资源访问权限。访问控制数据库107,存储所述角色_资源关联规则和所述用户_角色关联规则。另外,访问控制数据库(或称为数据库)还存储有已注册资源的描述信息,至少包括该资源的名称及其发布者的用户名、该资源所包含的资源名称、所述资源的访问地址、所述资源所包含的访问权限类型。所述权限判断模块进一步用于根据用户的权限判断请求,通过访问所述访问控制数据库中存储的规则,调用资源数据接口模块和SNS(SocialNetworking Services,社会性网络服务)数据接口模块来判断用户的权限;其中所述资源数据接口模块用于提供各种资源的属性信息;所述SNS数据接口模块用于负责提供用户的社交原型和社交关系。所述角色权限管理模块105,还可以进一步用于根据所述资源发布者的请求建立角色,并根据本文档来自技高网...
【技术保护点】
一种基于资源发布者自定义的访问控制系统,应用于资源开放业务系统中,资源发布者根据其社会性网络服务SNS用户信息和社交关系自定义角色映射规则和所发布资源的细粒度权限规则,其特征在于,所述系统包括:访问控制接口模块,用于提供与访问控制相关的配置和查询接口;角色?资源映射规则管理模块,用于管理角色和资源之间的关联规则,通过所述访问控制接口模块接收特定格式的角色?资源之间的关联规则,并将所述角色?资源关联规则存储至访问控制数据库;用户?角色映射规则管理模块,用于管理用户和角色之间的关联规则,通过所述访问控制接口模块接收特定格式的用户?角色之间的关联规则,并将所述用户?角色关联规则存储至访问控制数据库;权限判断模块,用于根据用户的权限判断请求,通过访问所述访问控制数据库中存储的规则判断用户的访问权限;角色权限管理模块,用于管理角色的创建,为角色所关联的资源指派访问权限。
【技术特征摘要】
【专利技术属性】
技术研发人员:裘晓峰,贾金斗,成城,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。