申请/专利权人:上海申石软件有限公司
申请日:2022-05-31
公开(公告)日:2024-04-16
公开(公告)号:CN115022020B
主分类号:H04L9/40
分类号:H04L9/40
优先权:
专利状态码:有效-授权
法律状态:2024.04.16#授权;2022.09.23#实质审查的生效;2022.09.06#公开
摘要:发明涉及一种基于多维集合计算的访问控制方法及系统,属于身份信息安全技术领域,特别是涉及多维数据集合计算的对用户动态划分、组织管理、角色管理、访问控制的方法及系统,本发明通过定义角色维度:将所有可能涉及的分类方式,在权限模式建立之初尽可能详尽列出;确立角色维度之间的关联关系,要求不同的角色维度间是正交;生成用于访问控制的授权单元。并对授权单元执行计算,获得授权单元内的用户集和资源集,本发明与传统的RABCABAC权限模型相比,动态集合运算允许用户构建符合自身场景的术语,并使用动态的集合运算来解决多套权限模型带来的建模工作量大、难以调整、技术研发工作量大、性能低下等问题。
主权项:1.一种基于多维集合计算的访问控制方法,其特征在于,包括:S1、定义角色维度:将所有涉及的分类方式,在权限模式建立之初详尽列出;初始模型创建前,根据实际的业务场景确认各种广义角色的语义R1,R2,R3…;S2、确立角色维度之间的关联关系,要求不同的角色维度间是正交的;S3、当所有角色维度定义完成后,将关联的维度展开;在进行多重角色的分配动作前,明确指定广义角色的类型;初始状态下,不同的角色之间必须是正交的;建立多重角色间的关联关系,将某种角色挂载至另一种角色的节点的叶子节点下,重复同样的挂载动作,直至所有节点挂载完成;重复上述过程,直至所有角色挂载完成;使用该方法完成运算后,得到的多重角色模型是一个树形层次关系;对任意一个结果集中的用户e,必然有一组或多组角色与之对应,即有: 而在树形层次关系中,其每一个结点的父代节点集可记为: S4、生成用于访问控制的授权单元;并对授权单元执行计算,获得授权单元内的用户集和资源集;授权目标主体的分类动作,视为本质无差异的集合运算操作,将复杂的多维度、细粒度授权,分解为多次重复的广义角色分配动作;将授权目标的广义角色分配,转化为重复多次的分类动作,同时,将多重角色关联后产生的结果集定义为“授权单元”;授权单元包含一个三元组:角色向量为一维或多维向量集、角色对应的授权目标用户集合{u1,u2,u3…}、可访问资源集合{s1,s2,s3…};角色分配动作可以进行一次或有限多次,每一次角色分配,都将目标主体集合U划分为一组互不相交的非空子集,第i次分割后的结果记为约定对目标集合分类操作P是正交的,则进行k次分类后,其授权集合满足以下关系: 系统使用“授权单元”,对资源和用户进行关联。
全文数据:
权利要求:
百度查询: 上海申石软件有限公司 一种基于多维集合计算的访问控制方法及系统
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。