本發明公開了一種基于屬性訪問控制資源的方法和系統。所述方法包括如下步驟：獲取用戶的自身屬性，其中，所述自身屬性包括主題屬性、資源屬性和環境屬性；響應所述用戶的訪問請求，并獲取該用戶的所述自身屬性，并判斷所述自身屬性是否滿足模型條件；當所述自身屬性滿足模型條件時，允許該用戶訪問資源方的相應資源。本發明的技術方案提出了基于屬性訪問控制方法及系統，通過這種ABAC的訪問控制模型，可以按需實現不同顆粒度的權限控制，減輕了權限系統的維護成本，當系統設計權限設計復雜時，給管理者維護帶來便捷，且權限判斷的時候，不會出現性能問題。

技術領域

本發明涉及區塊鏈技術領域，尤其涉及一種基于屬性訪問控制資源的方法和系統。

背景技術

權限管理，一般指根據系統設置的安全規則或者安全策略，用戶可以訪問而且只能訪問自己被授權的資源。訪問控制技術是現代信息系統中最重要的基礎安全機制。

權限管理幾乎出現在任何系統里面，只要有用戶和密碼的系統。很多人，常將“用戶身份認證”、“密碼加密”、“系統管理”等概念與權限管理概念混淆。企業IT管理員一般都能為系統定義角色，給用戶分配角色。

相關技術中，權限管理系統中，當集中化管理，按需實現不同顆粒度的權限控制；需要預定義判斷邏輯，權限系統的維護成本較高，特別是在需求經常變化的系統中；定義權限時，不能直觀看出用戶和對象間的關系；規則如果稍微復雜一點，或者設計混亂，會給管理者維護和追查帶來麻煩；權限判斷需要實時執行，規則過多會導致性能問題。

因此，有必要提供一種新的基于屬性訪問控制資源的方法和系統，以解決上述技術問題。

發明內容

本發明的主要目的在于提供一種基于屬性訪問控制資源的方法和系統，旨在解決相關技術中，權限管理系統維護成本高且運行性能欠佳的技術問題。

為實現上述目的，本發明提供的基于屬性訪問控制資源的方法，包括如下步驟：

獲取用戶的自身屬性，其中，所述自身屬性包括主題屬性、資源屬性和環境屬性；

響應所述用戶的訪問請求，并獲取該用戶的所述自身屬性，并判斷所述自身屬性是否滿足模型條件；

當所述自身屬性滿足模型條件時，允許該用戶訪問資源方的相應資源。

優選地，所述響應所述用戶的訪問請求，并獲取該用戶的所述自身屬性，并判斷所述自身屬性是否滿足模型條件的步驟，具體包括如下：

響應所述用戶的訪問請求，其中，所述訪問請求為該用戶訪問所述資源方發出的原始請求；

將所述訪問請求發送至策略實施點，所述策略實施點構建PERM模型格式請求；

所述策略實施點將所述PERM模型格式請求發送至策略管理點；

所述策略管理點根據所述PERM模型格式請求，查找所述策略管理點中的策略文件；

所述策略管理點從策略信息點中查找策略文件中所需的屬性值，依據PERM模型和所述屬性值生成決策結果，其中，所述屬性值即為相應的所述用戶的自身屬性；

所述策略管理點將決策結果返回給所述策略實施點。

優選地，所述當所述自身屬性滿足模型條件時，允許該用戶訪問資源方的相應資源的步驟，具體包括如下：

當所述決策結果為允許時，所述策略實施點發送請求至所述資源方，所述資源方將相應的所述資源返回給所述用戶。

優選地，所述響應所述用戶的訪問請求，并獲取該用戶的所述自身屬性，并判斷所述自身屬性是否滿足模型條件的步驟中，通過授權引擎獲取該用戶的所述自身屬性，并判斷所述自身屬性是否滿足模型條件。