【技術實現步驟摘要】
本專利技術涉及權限管理,特別涉及一種基于復合權限訪問控制模型的系統權限管理方法。
技術介紹
1、在當今數字化時代,隨著信息系統的日益復雜和龐大,權限管理系統的作用愈發凸顯。在各類權限管理系統中,經常使用到的權限訪問模塊呈現出多樣化的特點,這些模塊各自具有獨特的原理和應用場景。
2、acl模型(訪問控制列表)是一種基礎且常見的權限管理方式。dac模型(自主訪問控制)則賦予了資源的擁有者對其訪問權限的自主控制權。mac模型(強制訪問控制)是一種更為嚴格的權限管理方式。可以根據信息的敏感程度和用戶的安全級別,嚴格限制不同級別用戶對各類機密信息的訪問,從而確保信息不被泄露。abac模型(基于屬性的訪問控制)則是根據主體和客體的屬性來進行訪問控制決策。例如,在一個醫療信息系統中,醫生的職稱、專業領域等屬性與患者的病歷信息的屬性相結合,決定了醫生是否有權訪問特定患者的病歷。rbac模型(基于角色的權限訪問控制)是目前應用最為廣泛的權限管理模型之一。它將用戶與權限分離,通過定義不同的角色,并為每個角色分配相應的權限,然后將用戶分配到特定的角色中,實現用戶對資源的訪問控制。tbac模型(基于任務的訪問控制)側重于根據用戶所執行的任務來分配權限。obac模型(基于對象的訪問控制)以對象為核心,根據對象的屬性和訪問者的上下文環境來決定訪問權限。ucon模型(使用控制)則是一種更為全面的訪問控制模型,它綜合考慮了主體、客體、環境等多個因素,通過一系列的使用規則和策略來實現對資源訪問的控制。在大型系統中,由于業務的復雜性和多樣性,通常會同時
3、為此,我們提出一種系統權限管理方法,通過一個模型綜合管理系統權限。
技術實現思路
1、本專利技術通過復合權限訪問控制模型,根據系統功能以及各個節點的訪問需要,動態管理系統權限。
2、本專利技術提出的技術方案為:一種基于復合權限訪問控制模型的系統權限管理方法,所述方法包括:
3、基于復合權限訪問控制模型建立任務、對象、用戶和角色與權限的關聯;
4、建立與復合權限訪問控制模型匹配的數據存儲策略,根據數據存儲策略構建相應的數據庫以存儲用戶、角色、對象、操作和權限數據;
5、設置數據共享策略,實現數據庫內的數據在系統各個節點間的傳輸,所述數據共享策略包括基于角色的數據共享策略和基于對象的細粒度共享策略;在數據傳輸過程中,對數據庫中的敏感數據進行加密處理,并設置訪問控制策略、審計與監控策略以及應急響應策略;
6、所述基于復合權限訪問控制模型建立任務和對象屬性與權限的關聯,包括以下步驟:
7、獲取用戶信息并為用戶動態分配角色,為角色動態分配權限;
8、建立權限所對應的操作與對象的關聯;
9、在操作與對象的關聯中添加任務和時態約束;
10、根據系統功能和用戶環境,通過選擇矩陣控制權限鏈條長度,用以關聯系統權限,所述權限鏈條包括用戶、角色、任務、操作、對象中的一個或者多個。
11、優選的,構建用戶表,所述用戶表包括用戶id、用戶名、用戶密碼哈希值、用戶相關信息;
12、構建角色表,所述角色表包括角色id、角色名稱和角色描述信息;
13、構建對象表,所述對象表包括對象id、對象名稱、對象類型、對象屬性、對象創建時間、對象所有者、允許訪問權限id;
14、構建操作表,所述操作表包括多個操作id、操作名稱、操作描述;
15、構建權限表,所述權限表包括多個權限id、多個角色id、多個對象id、多個操作id、多個權限開始時間、多個權限結束時間;通過角色id關聯角色表,通過對象id關聯操作表;
16、用戶角色分配表,所述用戶角色分配表包括:多個用戶id、多個角色id、多個角色開始時間和多個角色結束時間,通過用戶id關聯用戶表,通過角色id關聯角色表。
17、優選的,所述設置數據共享策略,實現數據庫內的數據在系統各個節點間的傳輸,所述數據共享策略包括基于角色的數據共享策略和基于對象的細粒度共享策略,包括:
18、根據用戶的角色,確定用戶能夠訪問和共享的數據范圍;
19、判斷角色是否具有相應對象的訪問權限,如果是,則進入下一步驟,否則,返回上一步驟;
20、在共享數據過程中,驗證數據的來源和完整性,同時對共享數據進行加密傳輸;
21、對特定的對象,根據對象屬性和業務規則,設置不同的訪問級別和共享策略,以實現基于對象的細粒度共享。
22、優選的,所述在數據傳輸過程中,對數據庫中的敏感數據進行加密處理,并設置訪問控制策略、審計與監控策略以及應急響應策略,包括:
23、在數據傳輸過程中,使用ssl/tls協議對數據進行加密傳輸,確保數據在網絡傳輸過程中的安全性;
24、對于敏感數據,使用數據庫自帶的加密功能或第三方加密庫來實現數據的存儲加密;
25、采用多因素認證方式,確保用戶的身份真實性;
26、根據用戶的角色和權限,對用戶的訪問請求進行授權;
27、遵循最小權限原則,避免給予用戶授權多項權限;
28、定期對數據庫內的數據進行備份,并備份數據轉存到其他存儲位置;
29、在發生安全事件時,根據應急處理流程,進行責任分工,采取封鎖系統、禁止訪問、修復漏洞操作。
30、優選的,所述獲取用戶信息并為用戶動態分配角色,包括:
31、根據獲取的用戶信息,從用戶表中獲取用戶id,分配給相應的用戶;
32、從角色表中獲取多個角色id,根據用戶的工作需求將多個角色id分配給用戶id;
33、所述用戶信息包括系統節點名稱、系統節點ip地址和系統節點描述中的一個或者多個。
34、優選的,所述建立權限所對應的操作與對象的關聯,包括:
35、從操作表中獲取多個操作id、操作名稱和操作描述;
36、從權限表中獲取與相應權限id關聯的操作id,通過操作id關聯操作表;
37、從權限表中獲取與權限id關聯的對象id,通過對象id關聯對象表。
38、優選的,所述在操作與對象的關聯中添加任務和時態約束,包括:
39、構建任務表,所述任務表包括任務id、任務名稱、任務描述信息、多個操作id、用戶id和角色id,任務開始時間和任務結束時間;
40、通過操作id關聯操作表,獲取相應任務能夠進行的操作;
41、在任務開始時間時,調整任務的權限獲取優先級,使任務的權限獲取優先級與角色的權限獲取優先級相同;
42、通過任務開始時間和任務結束時間約束任務獲取操作本文檔來自技高網...
【技術保護點】
1.一種基于復合權限訪問控制模型的系統權限管理方法,其特征在于,所述方法包括:
2.根據權利要求1所述的一種基于復合權限訪問控制模型的系統權限管理方法,其特征在于,所述根據數據存儲策略構建相應的數據庫以存儲用戶、角色、對象、操作和權限數據,包括:
3.根據權利要求2所述的一種基于復合權限訪問控制模型的系統權限管理方法,其特征在于,所述設置數據共享策略,實現數據庫內的數據在系統各個節點間的傳輸,所述數據共享策略包括基于角色的數據共享策略和基于對象的細粒度共享策略,包括:
4.根據權利要求3所述的一種基于復合權限訪問控制模型的系統權限管理方法,其特征在于,所述在數據傳輸過程中,對數據庫中的敏感數據進行加密處理,并設置訪問控制策略、審計與監控策略以及應急響應策略,包括:
5.根據權利要求4所述的一種基于復合權限訪問控制模型的系統權限管理方法,其特征在于,所述獲取用戶信息并為用戶動態分配角色,包括:
6.根據權利要求5所述的一種基于復合權限訪問控制模型的系統權限管理方法,其特征在于,所述建立權限所對應的操作與對象的關聯,包括:<...
【技術特征摘要】
1.一種基于復合權限訪問控制模型的系統權限管理方法,其特征在于,所述方法包括:
2.根據權利要求1所述的一種基于復合權限訪問控制模型的系統權限管理方法,其特征在于,所述根據數據存儲策略構建相應的數據庫以存儲用戶、角色、對象、操作和權限數據,包括:
3.根據權利要求2所述的一種基于復合權限訪問控制模型的系統權限管理方法,其特征在于,所述設置數據共享策略,實現數據庫內的數據在系統各個節點間的傳輸,所述數據共享策略包括基于角色的數據共享策略和基于對象的細粒度共享策略,包括:
4.根據權利要求3所述的一種基于復合權限訪問控制模型的系統權限管理方法,其特征在于,所述在數據傳輸過程中,對數據庫中的敏感數據進行加密處理,并設置訪問控制策略、審計與監控策略以及應急響應策略,包括:
5.根據權利要求4所述的一種基于復合權限訪問控制模型的系統權限管理方法,其特征在于,所述獲取用戶信息并為用戶動態分配角色,包括:...
【專利技術屬性】
技術研發人員:李勝森,程穎,樂世宏,蘇航,馬梅婷,苗旺,
申請(專利權)人:聯通江蘇產業互聯網有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。