技術領域

本發明涉及信息資源的訪問控制領域，具體涉及基于屬性和角色的訪問控制方法及系統。

背景技術

伴隨著物聯網的飛速發展，安全問題也日益顯著。像打車系統中出租車信息的泄露，微信中位置隱私的泄露等比比皆是。但目前常用的訪問控制主要還是互聯網中的訪問控制。比如：基于角色的訪問控制(Role?Based?Access?Control，簡稱RBAC)，基于屬性的訪問控制(Attribute?Based?Access?Control，簡稱ABAC)等等。其中，RBAC是在用戶和訪問權限之間引入角色的概念，用戶與特定的一個或多個角色相關聯，角色同一個或多個訪問權限相關聯，角色可以根據實際的工作需要生成或取消，而且登錄到系統中的用戶可以根據自己的需要來動態激活自己擁有的角色。在RBAC中，通過分配和取消角色來完成用戶權限的授予和取消，實現了用戶與訪問權限的邏輯分離，極大地簡化了權限管理。ABAC則是將請求者、被訪問資源、訪問方法和條件這些元素統一使用屬性來描述，而且各個元素所關聯的屬性可以根據系統需要定義。屬性概念的引入將訪問控制中對所有元素的描述統一起來提供一種統一描述的框架。但是，由于物聯網擁有諸如實時性、動態性等一些有別于互聯網的新特性，使得這些在互聯網中廣泛運用的訪問控制并不完全適用。所以，所以我們需要對其進行改進以滿足需求。

RBAC不能滿足大規模用戶動態變化的訪問需求。RBAC是提起分配好用戶和角色(權限)之間的關系，但當訪問者的身份、時間、地點等在隨時改變的時候，我們將不能預知附近訪問者的權限從而提前分配；另外，現實中對某一信息的訪問者往往數量巨大，這也增加了提前分配權限的工作量，使之不可能實現。而單純的ABAC授權過程復雜，不靈活，不能滿足實時性；同時規則的數量也會隨著用戶和屬性的增加而急劇膨脹。

發明內容

針對現有技術中的缺陷，本發明提供基于屬性和角色的訪問控制方法及系統，解決了RBAC不能滿足大規模用戶動態變化的訪問以及ABAC不能滿足訪問的實時性的問題。

第一方面，本發明提供了一種基于屬性和角色的訪問控制方法，包括：

對于提出訪問資源請求的多個用戶，根據所述多個用戶特征信息設計屬性策略；

對所述屬性策略進行檢測，并對所述屬性策略中有沖突的策略進行優化；

獲取所述用戶的屬性值，并根據預設的屬性表達式判斷該用戶是否有權訪問；

若所述用戶有權訪問，則根據所述用戶的屬性分配角色，并根據所述角色，查詢所述角色對應的權限，實現所述用戶對資源信息的訪問獲取。

可選的，所述對于提出訪問資源請求的用戶，根據用戶信息設計屬性策略，所述屬性策略包括：

所述屬性表達式與角色的對應關系，以及所述角色與所述對應的權限信息庫。

可選的，所述屬性表達式與所述角色的對應關系包括：一對一的對應關系或多對一的對應關系。

可選的，對所述屬性策略中有沖突的策略進行優化，所述沖突的策略包括：

例外沖突、策略冗余、策略隱藏和關聯沖突。

可選的，所述例外沖突、策略冗余、策略隱藏和關聯沖突，通過設定優先級、更改優先級、和/或，刪除策略進行優化。

第二方面，本發明還提供了一種基于屬性和角色的訪問控制系統，包括：

屬性策略獲取模塊，用于對于提出訪問資源請求的多個用戶，根據所述多個用戶特征信息設計屬性策略；

屬性策略優化模塊，用于對所述屬性策略進行檢測，并對所述屬性策略中有沖突的策略進行優化；

用戶訪問判斷模塊，用于獲取所述用戶的屬性值，并根據預設的屬性表達式判斷該用戶是否有權訪問；

用戶資源獲取模塊，用于當所述用戶有權訪問時，根據所述用戶的屬性分配角色，并根據所述角色，查詢所述角色對應的權限，實現所述用戶對資源信息的訪問獲取。

可選的，所述屬性策略獲取模塊中的所述屬性策略包括：

所述屬性表達式與角色的對應關系，以及所述角色與所述對應的權限信息庫。

可選的，所述屬性策略中所述屬性表達式與所述角色的對應關系包括：一對一的對應關系或多對一的對應關系。

可選的，所述屬性策略優化模塊中的所述沖突的策略包括：

例外沖突、策略冗余、策略隱藏和關聯沖突。

可選的，所述屬性策略優化模塊還用于，所述例外沖突、策略冗余、策略隱藏和關聯沖突，通過設定優先級、更改優先級、和/或，刪除策略進行優化。