技術領域

本發(fā)明屬于信息安全領域，涉及訪問控制中的權限控制技術。

背景技術

訪問控制技術在數(shù)據(jù)安全性方面有著無可替代的地位，其主要通過檢驗用戶是否有足夠的權限來訪問資源，來允許或拒絕用戶的請求。訪問控制大致經(jīng)歷了以下幾個歷程：自主訪問控制、強制訪問控制、角色訪問控制、屬性訪問控制^[4]。自主訪問控制強調(diào)由客體的屬主對自己的客體進行管理，由屬主自己決定是否將自己的客體訪問權或部分訪問權授予其他主體，是一種比較寬松的訪問控制,同時訪問權限具有傳遞性。強制訪問控制中每個用戶只能訪問到那些被標明可以由他訪問的信息，相比自主訪問控制是一種更嚴格的控制。基于角色的訪問控制是實施面向企業(yè)安全策略的一種有效的訪問控制方式，與自主訪問控制與強制訪問控制不同的是角色訪問控制授權基于角色，它簡化了用戶的權限管理，減少系統(tǒng)的開銷，在訪問控制史中是巨大進步。

云計算尤其是以數(shù)據(jù)存儲為主的存儲型云平臺，其注冊用戶基數(shù)極其龐大，每個注冊用戶對云平臺中的資源訪問權限各不相同，應用傳統(tǒng)的角色訪問控制系統(tǒng)為每個注冊用戶分配不同的角色，必將導致龐大的角色數(shù)。物聯(lián)網(wǎng)將用戶端延伸和擴展到了任何物品與物品之間，對物品操作類型由最基本的“讀、寫、增、刪、改、查”擴充為“讀、寫、增、刪、改、查、打開、復制、移動等等”，對角色的賦權時往往需先賦予某項特定權限方可，比如：賦予讀權限需先賦予打開權限，如此需付出額外的授權，增加授權次數(shù)。

然而目前對角色訪問控制的研究主要還是靜態(tài)角色，在云計算和物聯(lián)網(wǎng)這類復雜的環(huán)境中，傳統(tǒng)的角色訪問控制必然會因為用戶數(shù)的暴增導致角色數(shù)的急劇增長，致使對角色的管理維護造成極大的不便。同樣的授權形式單一化，也使得角色訪問控制在對角色的授權的性能上很不理想。因此要求我們對角色訪問控制作必要的擴展，使角色更具動態(tài)性，實現(xiàn)同一個角色不同的權限的目的，以減少角色數(shù)，來便于角色的管理與維護。同時也需進一步豐富授權形式，來降低權限分配的次數(shù)，適應諸如云計算物聯(lián)網(wǎng)的復雜環(huán)境。

針對上述問題，有必要提出新的角色動態(tài)訪問控制方法，使得擁有不同屬性值的同一角色擁有不同權限，實現(xiàn)角色的動態(tài)性。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種訪問權限動態(tài)控制方法，以提高訪問控制性能。

為了解決以上技術問題，本發(fā)明采用的具體技術方案如下：

一種訪問權限動態(tài)控制方法，其特征在于包括以下步驟：

步驟一，創(chuàng)建主體，角色，角色的屬性，角色權限；

步驟二，為角色添加屬性；

步驟三，將角色分配給用戶，同時填充角色的屬性值；

步驟四，根據(jù)角色及其屬性值，賦予主體相應的角色權限；

所述主體為系統(tǒng)中動作的實施者，所述角色為系統(tǒng)中某個動作的主體，所述屬性為角色擁有的參數(shù)類型。

所述主體、角色、屬性與權限的設置依據(jù)以下四個規(guī)則

規(guī)則1.1，將系統(tǒng)中所有動作的實施者設置為主體的集合；

規(guī)則1.2，將系統(tǒng)中所有動作的實施對象設置為客體的集合；

規(guī)則1.3，將系統(tǒng)中所有動作的主體的角色設置為角色的集合；

規(guī)則1.4，將角色擁有的參數(shù)類型設置為屬性；

規(guī)則1.5，將動作與客體的笛卡爾積設置為角色權限。

角色權限可設置為具有繼承性，對于操作op1和操作op2，如果操作op1繼承操作op2，那么一旦角色r被賦予了對特定客體具有操作op1的權限，則此角色r將被自動賦予對所述特定客體具有操作op2的權限。

本發(fā)明具有有益效果。傳統(tǒng)角色訪問控制在復雜環(huán)境下性能低下，主要原因有兩個，其一是角色本身的靜態(tài)特質(zhì)，角色創(chuàng)建后期擁有的權限除非特殊情況一般長期保持不變，靈活性受限，其二授權機制中存在大量冗余授權，致使性能上存在很多浪費。本發(fā)明針對這兩種情況，通過設計動態(tài)角色與動作繼承，形成新的角色訪問控制，提高了訪問控制性能。

附圖說明

圖1為傳統(tǒng)角色訪問控制的缺陷示意圖。

具體實施方式

下面結合實施例對本發(fā)明的技術方案做進一步詳細說明。

傳統(tǒng)的角色訪問控制，其權限在角色激活之前就已經(jīng)固定即靜態(tài)角色，角色激活后，其擁有的權限若不主動為其重新分配將一直保持不變，然而我們往往會碰見同一“角色”(現(xiàn)實生活中的角色)在不同環(huán)境下?lián)碛胁煌瑱嘞薜男枨螅瑐鹘y(tǒng)角色訪問控制往往會將此“角色”細分為多個角色以區(qū)分，如圖1所示。