技術領域

本發明屬于信息安全技術領域，尤其涉及一種資源訪問控制方法及系統。

背景技術

訪問控制(Access?Control)是信息安全保障機制的核心內容，它是實現數據保密性和完整性機制的主要手段。訪問控制：是指對主體訪問客體的權限或能力的限制，從而使系統在合法范圍內使用；訪問控制機制決定用戶及代表一定用戶利益的程序能做什么，及做到什么程度。隨著IT化的推進，一些系統管理或使用的數據越來越多，并且每天都以數以千萬計的量級累加并保存，通常無法對這種量級的數據進行資源級授權和訪問控制。這樣的大量數據也稱為海量數據。

根據訪問控制策略的不同，目前比較典型的訪問控制機制有：

1、DAC(Discretionary?Access?Control，自主訪問控制，又稱為隨意訪問控制)，是目前計算機系統中實現最多的訪問控制機制。該機制允許合法用戶以用戶或用戶組的身份訪問策略規定的客體，同時阻止非授權用戶訪問客體。

2、MAC(Mandatory?Access?Control，強制訪問控制模型)，最開始為了實現比DAC更為嚴格的訪問控制策略，美國政府和軍方開發了各種各樣的控制模型，這些方案或模型都有比較完善和詳盡的定義。隨后逐漸形成強制訪問的模型，并得到廣泛的商業關注和應用。強制訪問控制是將主體和客體分級，然后根據主體和客體的級別標記來決定訪問模式。所謂“強制訪問控制”，是指訪問發生前，訪問控制系統通過比較主體和客體的安全屬性來決定主體能否以他所希望的模式訪問一個客體。“強制”主要體現在系統強制主體服從訪問控制策略上。如果系統認為某一個用戶不適合訪問某個文件，那么任何人(包括文件所有者)都無法使該用戶具有訪問該文件的權利。

3、RBAC(Role-Based?Access?Control，基于角色的訪問控制)，是一種非自主的訪問控制機制，將訪問許可權分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權，用戶并不“擁有”所訪問的對象，用戶不能任意地將自己擁有的訪問權限授予其他用戶。

以上訪問控制方法，對處理海量數據的授權和鑒權均不適用。

現有技術中，許多涉及海量數據的訪問控制系統，放棄了數據的權限管理，僅對模塊進行權限管理。這是因為大數據量資源級的數據一方面對授權、鑒權帶來了較高的復雜度，另一方面由于鑒權時間過長，影響用戶體驗，增加企業運行成本。但是只在功能級實現訪問控制，無疑放棄了用戶的一部分安全保障，帶來了極大的隱患。

發明內容

本發明要解決的技術問題是針對現有技術中存在的缺陷，提供一種資源訪問控制方法及系統，能夠對海量數據有效地進行訪問控制。

為了解決上述技術問題，本發明資源訪問控制方法包括如下步驟：

資源管理步驟，該步驟用于將資源分成n個資源組，其中n為自然數；

權限管理步驟，該步驟用于將權限分配給進行資源訪問的用戶；一個所述權限由一個職責和一個管理域組成；其中，所述職責是功能的集合，表示用戶能夠對訪問的資源進行何種操作；所述管理域是所述資源組的集合，表示用戶能夠訪問的資源的范圍；

權限決策步驟，該步驟用于在用戶訪問資源時，根據該用戶被分配的所述權限，對該用戶的訪問進行控制。

進一步地，所述資源組是以樹型結構組織的。

進一步地，所述權限管理步驟中，一個用戶能夠被分配一個以上的所述權限。

進一步地，本發明方法還包括管理域切換步驟，該步驟用于當用戶需要訪問不同的管理域時，進行管理域的切換。

為了解決上述技術問題，本發明資源訪問控制系統包括：

資源管理模塊，該模塊用于將資源分成n個資源組，其中n為自然數；

權限管理模塊，該模塊用于將權限分配給進行資源訪問的用戶；一個所述權限由一個職責和一個管理域組成；其中，所述職責是功能的集合，表示用戶能夠對訪問的資源進行何種操作；所述管理域是所述資源組的集合，表示用戶能夠訪問的資源的范圍；

權限決策模塊，該模塊用于在用戶訪問資源時，根據該用戶被分配的所述權限，對該用戶的訪問進行控制。

進一步地，所述資源包括原始資源以及原始資源的衍生對象。

更進一步地，所述資源管理模塊還用于，對于新產生的所述原始資源的衍生對象，根據預定義的新資源分組策略，將其加入相應的所述資源組中。

進一步地，所述功能指各業務系統在所述資源訪問控制系統上注冊的功能。