CN111917739A - 一种基于RESTful规范的ACBC的权限管理模型 - Google Patents
一种基于RESTful规范的ACBC的权限管理模型 Download PDFInfo
- Publication number
- CN111917739A CN111917739A CN202010680034.5A CN202010680034A CN111917739A CN 111917739 A CN111917739 A CN 111917739A CN 202010680034 A CN202010680034 A CN 202010680034A CN 111917739 A CN111917739 A CN 111917739A
- Authority
- CN
- China
- Prior art keywords
- identification module
- user
- module
- acbc
- management model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 claims description 29
- 238000000034 method Methods 0.000 claims description 8
- 238000012795 verification Methods 0.000 claims description 6
- 238000012550 audit Methods 0.000 claims description 5
- FVTVMQPGKVHSEY-UHFFFAOYSA-N 1-AMINOCYCLOBUTANE CARBOXYLIC ACID Chemical compound OC(=O)C1(N)CCC1 FVTVMQPGKVHSEY-UHFFFAOYSA-N 0.000 claims 9
- 238000013475 authorization Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于RESTful规范的ACBC的权限管理模型,所述权限管理模型由链接访问模块、用户审核模块、类型识别模块、时间识别模块、部门识别模块组成,所述用户审核模块、类型识别模块、时间识别模块、部门识别模块之间为并联结构。该基于RESTful规范的ACBC的权限管理模型,可以根据实际需求对不同subject,不同object设立很多条,用来满足各种或宽泛,或详细的权限限制,而无需像RBAC权限管理那样需要关心现有角色那些用户是否会受影响,完全从角色和权限关系中脱离出来。
Description
技术领域
本发明涉及权限管理技术领域,具体为一种基于RESTful规范的ACBC的权限管理模型。
背景技术
RBAC(Role-Based Access Control)基于角色的权限管理模型是目前使用很广泛一种权限管理手段。在各个行业和领域都有广泛的应用。普通的RBAC模型通过权限、角色、用户以及这三者之间的关系来进行权限控制。通常会采用用户表、角色表、权限表、用户角色表和角色权限表这样5张表来实现完整的权限管理。
ABAC(Attribute-Based Access Control)基于属性的访问控制则更多的出于开发阶段,由于其实现相对RBAC更为复杂,因此实际应用并不多。
现有RBAC权限管理模型普遍存在的问题是颗粒度不够精细,无法精确限限定某些特定操作。比如,某个角色有查看公司人员信息的权限,但同时要求该角色无法查看个别某些人的信息,这种类似的需求其实很常见,但是在常规的RBAC模型中实现起来却不是特别方便,换句话说就是普通的RBAC模型颗粒度较粗,对于需要精准权限管理的地方无法很好的适用
为此,本专利提出一种基于RESTful规范的ACBC的权限管理模型。
发明内容
本发明的目的在于提供一种基于RESTful规范的ACBC的权限管理模型,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种基于RESTful规范的ACBC的权限管理模型,所述权限管理模型由链接访问模块、用户审核模块、类型识别模块、时间识别模块、部门识别模块组成,所述用户审核模块、类型识别模块、时间识别模块、部门识别模块之间为并联结构。
优选的,所述链接访问模块用于访问商品链接,使用商品链接发送GET请求。
优选的,所述用户审核模块用于审核用户表里是否有访问的这个用户。
优选的,所述类型识别模块用于审核访问的员工类型是否是正式员工。
优选的,所述时间识别模块用于判定请求的发送时间是否在8:00到17:00时段内。
优选的,所述部门识别模块用于识别员工是否属于市场部。
优选的,所述用户审核模块、类型识别模块、时间识别模块、部门识别模块均满足的情况下才可查询商品信息。
优选的,所述用户审核模块、类型识别模块、时间识别模块、部门识别模块任意一条不满足的情况下,则返回报错,提示无权访问。
优选的,所述权限管理模型的验证流程如下:
用户表里是否有这个用户;
员工类型是否时正式员工;
该请求的发送时间是否在8:00到17:00时段内;
该员工是否属于市场部;
以上4个条件都满足,则返回商品信信息;
任意一条不满足,则返回报错,提示无权访问。
与现有技术相比,本发明的有益效果如下:该基于RESTful规范的ACBC的权限管理模型,可以根据实际需求对不同subject,不同object设立很多条,用来满足各种或宽泛,或详细的权限限制,而无需像RBAC权限管理那样需要关系现有角色那些用户是否会受影响,完全从角色和权限关系中脱离出来;所采用的权限设置方案以及权限验证过程可以很快速及精确进行授权。ABAC的控制精细程度是RBAC模型很难做到的(以上述案例为例,如用RBAC模型实现,则需要针对该规则额外定义一个角色,如果该角色只有小部分人员适用,那么授权工作也相当繁琐)。在RBAC中,如果我需要实现细粒度的资源管理或者经常subject与object的对应关系经常变动,那么管理员难以操作的,也很容易出现问题(RBAC需要针对不同权限定义不同角色,并且还需要对用户进行配置角色),其中常常被采用的解决方案就是创建那些本不应该存在的role。但是在ABAC中,管理员的管理对象会缩减到policy,也就是只处理访问控制,只对规则本身进行管理,相比角色管理则更贴近真实使用场景。
附图说明
图1为本发明工作流程结构示意图;
图2为本发明工作用户表结构示意图;
图3为本发明商品表结构示意图;
图4为本发明权限表结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明提供一种技术方案:一种基于RESTful规范的ACBC的权限管理模型,权限管理模型由链接访问模块、用户审核模块、类型识别模块、时间识别模块、部门识别模块组成,用户审核模块、类型识别模块、时间识别模块、部门识别模块之间为并联结构。
链接访问模块用于访问商品链接,使用商品链接发送GET请求。
用户审核模块用于审核用户表里是否有访问的这个用户。
类型识别模块用于审核访问的员工类型是否是正式员工。
时间识别模块用于判定请求的发送时间是否在8:00到17:00时段内。
部门识别模块用于识别员工是否属于市场部。
用户审核模块、类型识别模块、时间识别模块、部门识别模块均满足的情况下才可查询商品信息。
用户审核模块、类型识别模块、时间识别模块、部门识别模块任意一条不满足的情况下,则返回报错,提示无权访问。
由于RESTful规范在一定程度上对http请求的格式进行了规范,因此本专利所使用的ABAC中的Attribute,Subject,Object、Operation、Environment Conditions和Policy就有了更明确的定义。
Subject:系统用户
Object:被访问资源,在RESTful规范中URI即为资源,因此这里也就是指URI。
Environment Conditions:环境特征,指时间、安全等级、运行环境(生产环境还是测试环境)等外围条件。
Attribute:Subject\Object\Environment Conditions的属性,也可以理解成上述对象的字段,比如:用户有用户名、姓名、年龄、是否正式员工、联系方式等相关属性,再比如:服务器上的文件有文件名、文件大小、文件路径等属性;
Operation:操作,结合RESTful规范,即请求方法GET、POST、PUT、DELETE等。
Policy:规则,即授权逻辑或者访问规则。
有了以上这些定义,就可以制定一个相对比较复杂的授权规则。比如:公司的正式员工,在工作时间内,通过公司局域网,可以访问共享服务器中某个路径下的文件。在这条授权规则规定了以下内容
Subject:用户且带有Attribute:正式员工
Object:共享服务器中某个路径(URI)
Environment Conditions:工作时间使用公司局域网
Operation:GET请求
权限验证过程也将逐一验证上规则是否全部符合要求,任何一条不满足时,该请求都将被拒绝。
以下为一个应用实例:请参阅图2、图3和图4
张三用以上链接发送GET请求,查询商品价格信息时,权限验证流程如下:
1.用户表里是否有张三这个用户
2.张三的员工类型是否时正式员工
3.该请求的发送时间是否在8:00到17:00时段内
以上3个条件都满足,则返回商品信信息。
任意一条不满足,则返回报错,提示无权访问。
例如张三在早上7点去查询商品价格,则不会得到相应信息。
张三通过上述链接在10:00发送POST请求,添加信商品价格信息,权限验证流程如下:
1.用户表里是否有张三这个用户
2.张三的员工类型是否时正式员工
3.该请求的发送时间是否在8:00到17:00时段内
4.张三是否属于市场部
张三均符合上述要求,因此张三的操作有效,数据存入库中。
李四执行同样操作则无法操作,由于李四不属于市场部。
类似这样的规则可以根据实际需求对不同subject,不同object设立很多条,用来满足各种或宽泛,或详细的权限限制,而无需像RBAC权限管理那样需要关系现有角色那些用户是否会受影响,完全从角色和权限关系中脱离出来。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (9)
1.一种基于RESTful规范的ACBC的权限管理模型,其特征在于,所述权限管理模型由链接访问模块、用户审核模块、类型识别模块、时间识别模块、部门识别模块组成,所述用户审核模块、类型识别模块、时间识别模块、部门识别模块之间为并联结构。
2.根据权利要求1所述的一种基于RESTful规范的ACBC的权限管理模型,其特征在于:所述链接访问模块用于访问商品链接,使用商品链接发送GET请求。
3.根据权利要求1所述的一种基于RESTful规范的ACBC的权限管理模型,其特征在于:所述用户审核模块用于审核用户表里是否有访问的这个用户。
4.根据权利要求1所述的一种基于RESTful规范的ACBC的权限管理模型,其特征在于:所述类型识别模块用于审核访问的员工类型是否是正式员工。
5.根据权利要求1所述的一种基于RESTful规范的ACBC的权限管理模型,其特征在于:所述时间识别模块用于判定请求的发送时间是否在8:00到17:00时段内。
6.根据权利要求1所述的一种基于RESTful规范的ACBC的权限管理模型,其特征在于:所述部门识别模块用于识别员工是否属于市场部。
7.根据权利要求1所述的一种基于RESTful规范的ACBC的权限管理模型,其特征在于:所述用户审核模块、类型识别模块、时间识别模块、部门识别模块均满足的情况下才可查询商品信息。
8.根据权利要求1所述的一种基于RESTful规范的ACBC的权限管理模型,其特征在于:所述用户审核模块、类型识别模块、时间识别模块、部门识别模块任意一条不满足的情况下,则返回报错,提示无权访问。
9.根据权利要求1所述的一种基于RESTful规范的ACBC的权限管理模型,其特征在于:所述权限管理模型的验证流程如下:
用户表里是否有这个用户;
员工类型是否是正式员工;
该请求的发送时间是否在8:00到17:00时段内;
该员工是否属于市场部;
以上4个条件都满足,则返回商品信信息;
任意一条不满足,则返回报错,提示无权访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010680034.5A CN111917739A (zh) | 2020-07-15 | 2020-07-15 | 一种基于RESTful规范的ACBC的权限管理模型 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010680034.5A CN111917739A (zh) | 2020-07-15 | 2020-07-15 | 一种基于RESTful规范的ACBC的权限管理模型 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111917739A true CN111917739A (zh) | 2020-11-10 |
Family
ID=73280984
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010680034.5A Pending CN111917739A (zh) | 2020-07-15 | 2020-07-15 | 一种基于RESTful规范的ACBC的权限管理模型 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111917739A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997876A (zh) * | 2010-11-05 | 2011-03-30 | 重庆大学 | 基于属性的访问控制模型及其跨域访问方法 |
| CN104243453A (zh) * | 2014-08-26 | 2014-12-24 | 中国科学院信息工程研究所 | 基于属性和角色的访问控制方法及系统 |
| CN108900483A (zh) * | 2018-06-13 | 2018-11-27 | 江苏物联网研究发展中心 | 云存储细粒度访问控制方法、数据上传和数据访问方法 |
| CN110941853A (zh) * | 2019-11-22 | 2020-03-31 | 星环信息科技(上海)有限公司 | 一种数据库的权限控制方法、计算机设备及存储介质 |
-
2020
- 2020-07-15 CN CN202010680034.5A patent/CN111917739A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997876A (zh) * | 2010-11-05 | 2011-03-30 | 重庆大学 | 基于属性的访问控制模型及其跨域访问方法 |
| CN104243453A (zh) * | 2014-08-26 | 2014-12-24 | 中国科学院信息工程研究所 | 基于属性和角色的访问控制方法及系统 |
| CN108900483A (zh) * | 2018-06-13 | 2018-11-27 | 江苏物联网研究发展中心 | 云存储细粒度访问控制方法、数据上传和数据访问方法 |
| CN110941853A (zh) * | 2019-11-22 | 2020-03-31 | 星环信息科技(上海)有限公司 | 一种数据库的权限控制方法、计算机设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230132505A1 (en) | Blockchain-based certification audit data sharing and integrity verification system, device, and method thereof | |
| US7363650B2 (en) | System and method for incrementally distributing a security policy in a computer network | |
| US8769604B2 (en) | System and method for enforcing role membership removal requirements | |
| US20030101341A1 (en) | Method and system for protecting data from unauthorized disclosure | |
| US12041046B2 (en) | System and method for identity management of cloud based computing services in identity management artificial intelligence systems | |
| US20030115322A1 (en) | System and method for analyzing security policies in a distributed computer network | |
| US20220366078A1 (en) | Systems and Methods for Dynamically Granting Access to Database Based on Machine Learning Generated Risk Score | |
| CN101729403A (zh) | 基于属性和规则的访问控制方法 | |
| US20150026760A1 (en) | System and Method for Policy-Based Confidentiality Management | |
| CN114422197A (zh) | 一种基于策略管理的权限访问控制方法及系统 | |
| KR20200033961A (ko) | 시스템에서 권한 부여 조작자에 대해 권한 부여하는 방법 | |
| CN113220762A (zh) | 大数据应用中实现关键业务字段变更的通用记录处理的方法、装置、处理器及其存储介质 | |
| Armando et al. | Balancing trust and risk in access control | |
| US20170103231A1 (en) | System and method for distributed, policy-based confidentiality management | |
| CN111917739A (zh) | 一种基于RESTful规范的ACBC的权限管理模型 | |
| Cameron et al. | An overview of the digital identity lifecycle (v2) | |
| Pardal et al. | Assessment of visibility restriction mechanisms for RFID data discovery services | |
| US12001580B1 (en) | Security description framework | |
| Ferreira et al. | Identity management: a comparative approach | |
| Pardal et al. | Enforcing RFID data visibility restrictions using XACML security policies | |
| US11520909B1 (en) | Role-based object identifier schema | |
| CN114139214B (zh) | 一种基于许可区块链的大数据分析系统及方法 | |
| Moniruzzaman et al. | A study of privacy policy enforcement in access control models | |
| Ghazinour et al. | A dynamic trust model enforcing security policies | |
| US11895120B2 (en) | Multiparty binary access controls |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201110 |