技術領域

本發明公開了一種基于ABAC和RBAC的權限控制方法，涉及計算機資源訪問控制領域，具體涉及復雜業務系統中對資源的訪問相關控制。?

背景技術

訪問控制作為一種重要的安全措施在系統安全中得到廣泛的用用，在針對訪問控制的研究中產生了各種不同的訪問控制模型，這些模型的目標是禁止未授權用戶訪問資源。訪問控制核心是訪問控制策略和基于策略的授權判定，訪問控制策略描述了系統的安全需求，訪問控制模型主要研究的是訪問控制策略的表示，而訪問控制策略自身是否安全以及其是否能夠真實、及時的反應實際安全需求則直接影響整個系統的安全性和用戶對系統的滿意度，為了滿足復雜系統對訪問控制模型的需求。?

傳統的訪問控制模型，如自主訪問控制DAC(Discretionary?Access?Control)、強制訪問控制MAC(Mandatory?Access?Control)、基于角色的訪問控制RBAC(Role?Based?Access?Control)和基于屬性的訪問控制模型ABAC(Attribute?Based?Access?Control)等，并不能完全適用現今對資源的訪問控制的要求，他們不能表示復雜的場景對資源的訪問控制策略，對主體和資源的描述都比較片面，而且往往無法滿足對訪問資源控制的需求。?

本文針對以上問題提出了一種有效的解決方法。?

發明內容

本發明的目的是提供一種基于ABAC和RBAC的權限控制方法。?

本發明的目的是按以下方式實現的，包括以下步驟和內容：?

步驟一：權限模型的實體類定義，實體類的定義的信息包括基本信息、控制項信息、分配結果表信息和維度信息；

步驟二：權限模型控制觸發點設置，基于步驟一定義的實體類，將該實體類與需要控制業務資源對象關聯起來，即設置權限模型控制的觸發點；

步驟三：權限模型控制條件設置，根據步驟一定義的模型實體類，獲取定義的控制項信息，然后對定義的各個控制項，設置對應控制的條件，并將設置的條件持久化，以便后面步驟調用；

步驟四：權限模型訪問控制的調用，當用戶訪問某個業務資源時，如果該業務資源對象經過步驟二的設置，則會根據步驟二設置的關聯關系，獲取定義的實體類信息，然后根據實體類信息，獲取步驟三定義的模型控制的條件信息；?

步驟五：權限模型控制條件的解析，將步驟四獲取出來的控制條件，按照類型不同，調用不同的條件解析器進行解析，然后將結果返回；

步驟六：根據返回結果，訪問資源。根據步驟五解析的模型控制條件結果，對資源進行控制訪問。

所述基于ABAC和RBAC的權限控制方法，步驟一，定義權限模型的實體類，除了包括定義的基本信息之外，還需定義控制項信息，對于基于屬性權限對象來說，則需定義屬性控制項集合AttributeItemCollection，里面包括了定義的屬性的項名稱以及該項對應的屬性資源的類型，包括主體屬性和環境變量；對于基于角色的權限對象來說，則需定義對應的數據源信息DataSourceCollection，里面包括數據源的編號、類型以及分配時的設置信息。?

所述基于ABAC和RBAC的權限控制方法，步驟二，設置權限模型控制觸發點，選取待控制的業務資源對象，并將定義的模型與業務資源對象關聯起來，對于基于屬性權限對象，主要是將定義的模型信息與業務資源對象關聯ResAttributeRelation；對于基于角色的權限對象，除了定義的模型信息與業務資源對象關聯信息ResourceRelation之外，還需要定義相關對應的關聯字段信息ElementMappingCollection。?

所述基于ABAC和RBAC的權限控制方法，步驟三，設置權限模型控制條件，對于基于屬性的權限對象，主要根據定義的屬性項信息，設置該屬性項對應的條件表達式；對于基于角色的權限對象，則根據定義的控制信息，定義模型控制的條件信息，包括規則或者枚舉。?

所述基于ABAC和RBAC的權限控制方法，步驟四到步驟六所述的權限模型訪問控制的調用、條件解析，其主要的步驟包括以下幾步：?

1)??用戶請求對資源進行訪問，觸發了權限模型的控制；

2)??獲取基于屬性權限對象的控制信息ResAttributeRelation，如果該資源不控制屬性權限，則直接跳過屬性權限的控制；如果控制屬性權限，則繼續執行以下步驟；

3)??獲取屬性權限的定義信息AttributePermission，屬性權限的定義信息，包括定義的屬性項類型和屬性項名稱；