專利名稱：：基于分類方法的細粒度權限管理方法
技術領域：
：主體分類方法和資源分類方法，是一種動態(tài)、智能分類方法。可以運用于權限管理、身份認證等領域?；诜诸惙椒ǖ募毩６仁跈鄾Q策方法和細粒度授權查詢方法，運用于計算機軟件系統(tǒng)權限管理領域。管理主體對資源的訪問權限，管理主體對資源的査詢權限。2.
背景技術：
：計算機系統(tǒng)，尤其是網(wǎng)絡系統(tǒng)，資源放在一起集中共享，這些資源可以是圖片、數(shù)據(jù)庫、文本、計算機等。當用戶請求對某資源進行操作，為了確保系統(tǒng)安全正常運行，系統(tǒng)將對用戶和資源進行權限判斷，確保該用戶對該資源有操作權限，否則拒絕用戶請求。權限管理，就是管理用戶對資源的操作權限。目前應用最廣泛的有兩種技術方法1.基于角色的訪問控制授權方法；2.XACML(OASISextensibleAccessControlMarkupLanguage)。基于角色的訪問控制授權方法，先創(chuàng)建角色，然后授權該角色.有權限訪問的資源；將一個或者多個角色授權給用戶。當用戶訪問某資源時，首先査找該用'戶有哪些角色，查找出這些角色對應的授權資源。如果授權資源里面有被訪問資源，則允許用戶請求；否則拒絕用戶請求。比如創(chuàng)建管理員角色，授權管理員角色允許訪問"添加機構(gòu)"、"刪除機構(gòu)"網(wǎng)頁資源權限。然后給用戶張三授予管理員角色。當張三訪問"添加機構(gòu)"時，系統(tǒng)將允許該請求。當張三訪問"添加用戶"時，因為張三具備的角色都沒用被授予"添加用戶"權限，系統(tǒng)將拒絕該請求?；诮巧脑L問控制授權方法是一種粗粒度的權限控制方法。對于細化的需求，基于角色的訪問控制則無能為力。比如在某銀行系統(tǒng)中，有總行用戶張三和北京分行用戶李四，現(xiàn)有訪問控制需求1.總行管理員只能添加各個分行機構(gòu)，不能添加支行機構(gòu)2.北京分行管理員只能添加北京分行下屬支行，.不能添加分行機構(gòu)，且不能添加其他分行支行機構(gòu)。對于以上需求，基于角色的訪問控制只能授予張三和李四管理員角色，賦予該角色添加機構(gòu)的權限。但無法根據(jù)機構(gòu)的不同層級的屬性進一步授權，所以無法實現(xiàn)此類細粒度的訪問控制。.XACML是OASIS的一個標準。XACML定義了一種通用的用于保護資源的策略語言和一種訪問決策語言。典型的訪問控制和授權場景包括三個主要實體主體(Subject)、資源(Resource)和動作(Action)以及它們的屬性。主體請求得到對資源執(zhí)行動作的權限。比如在訪問請求"客戶請求査看自己的訂單"中，主體是"客戶"，資源是"自己的訂單"，動作是"査看"。4XACML的授權由策略(Policy)實現(xiàn)。策略中定義若干規(guī)則(Rule),規(guī)則指定允許或拒絕請求的條件。當主體請求訪問資源時，XACML引擎會選擇匹配的策略，評估與策略關聯(lián)的規(guī)則。評估過程中，引擎會根據(jù)規(guī)則的定義對主體、資源以及運行環(huán)境(Environment)的屬性進行計算和評估，最終做出允許或拒絕請求的決策。其步驟如圖1。由于XACML的規(guī)則支持對主體、資源以及環(huán)境的屬性進行復雜計算與評估，所以具備了進行細粒度訪問控制的能力。例如對于細粒度授權"分行管理員添加下屬支行機構(gòu)"，XACML需要創(chuàng)建一條授權策略。該策略包含的規(guī)則為1.主體為擁有"管理員"角色，且所屬機構(gòu)為分行；2.資源為支行機構(gòu)，且隸屬于主體的分行；3.動作為添加分支機構(gòu)。以上條件滿足時，決策的結(jié)果為允許，反之拒絕。在該規(guī)則中，參與評估的主體屬性有"所擁有的角色"和"所屬機構(gòu)"；資源屬性為"支行機構(gòu)"和"隸屬于主體分行"。XACML其核心是為授權策略定義規(guī)則，在規(guī)則中對主體，資源和環(huán)境屬性進行評估，根據(jù)評估結(jié)果做出訪問控制決策(允許或拒絕)。目前IBMTivoliAccessManager和OracleEntitlementServer都是采用這種思路來實現(xiàn)細粒度訪問控制。該方法并不完善，有以下兩個缺點1.重用性不強策略包含若干規(guī)則，不同的策略經(jīng)常有類似的規(guī)則，但不完全相同。例如以下兩個策略策略l:分行管理員添加下屬支行機構(gòu)。規(guī)則主體的角色為管理員，且所屬機構(gòu)為分行；資源為支行機構(gòu)，且隸屬于主體的分行。策略2:分行管理員添加分行用戶。主體的角色為管理員，且所屬機構(gòu)為分行；資源為用戶，且與主體屬于同一分行。策略1和策略2的規(guī)則中都包含了對主體的限制條件主體的角色為管理員，且所屬機構(gòu)為分行。2.不支持資源査詢對于"分行管理員有權修改下屬支行機構(gòu)"這一訪問控制，XACML可以判斷某管理員是否能夠修改某支行機構(gòu)，但不能返回該管理員有權修改的所有支行機構(gòu)。因為XACML只能返回授權策略決策結(jié)果，即允許或拒絕，而不能進行資源査詢，返回滿足策略規(guī)則的資源集合。而在實際的應用系統(tǒng)中，這種需求是隨處可見的。XACML還不支持這類查詢需求。其實用性受到限制。3.
發(fā)明內(nèi)容本發(fā)明包含兩大主題1.基于主體分類和資源分類的細粒度授權決策方法；2.基于主體分類和數(shù)據(jù)查詢的細粒度授權査詢方法。以上主題運用了主體分類方法、資源分類方法和數(shù)據(jù)査詢方法。主體分類方法和資源分類方法隸屬本發(fā)明。數(shù)據(jù)査詢方法，是一種常見方法，不隸屬本發(fā)明。主體分類方法定義主體的分類規(guī)則，直接對給定主體的屬性進行評估，從而判斷主體是否屬于該分類，而不用事先顯示地將主體劃入某分類。主體分類規(guī)則的特征是由表達式或表達式組組成，并返回布爾值。表達式可以是數(shù)學計算(+，-,*,/)、邏輯計算(AND,OR)和函數(shù)等。表達式的特征是對主體的屬性、上下文屬性或其他數(shù)據(jù)源數(shù)據(jù)的計算。主體、上下文環(huán)境和數(shù)據(jù)源都是規(guī)則的輸入?yún)?shù)。資源分類方法定義資源的分類規(guī)則，直接對給定資源和給定主體(給定主體可選)的屬性進行評估，從而判斷資源是否屬于該分類，而不用事先顯示地將資源劃入某分類。資源分類方法與主體分類方法基本類似，主要有一個顯著區(qū)別資源分類輸入?yún)?shù)為資源、主體、上下文環(huán)境和數(shù)據(jù)源。而主體分類的輸入?yún)?shù)沒有資源。資源分類方法的主體輸入?yún)?shù)是可選的。資源分類規(guī)則、表達式、表達式取值和主體分類一致，不再重復。數(shù)據(jù)査詢方法定制査詢模板，在運行的時候，對模板中的占位符賦值，形成完整SQL語句，然后進行數(shù)據(jù)庫査詢。數(shù)據(jù)査詢方法是一種常見方法。運用于細粒度權限管理領域，數(shù)據(jù)査詢占位符代表的數(shù)據(jù)，可以來自上下文、主體、資源或者數(shù)據(jù)源。細粒度授權決策，為不同請求主體設置不同資源操作權限。對給定主體、給定資源，系統(tǒng)能夠通過計算，做出決策，允許或者拒絕該請求?；谥黧w分類和資源分類的細粒度授權決策方法，是一^中簡單、直觀和實用的細粒度授權決策方法。本方法為每個操作設定一條或者多條授權決策策略。如果有多條策略，策略按照優(yōu)先級排序。當某主體請求對某資源進行操作時，評估為該操作設置的授權決策策略，得出決策結(jié)果。決策結(jié)果有兩種情況1，允許；2，拒絕，并返回拒絕理由。細粒度授權決策方法，判斷請求主體是否對請求資源具有操作權P艮，但不能告訴請求主體具有權限操作的資源有哪些。細粒度授權査詢方法，是用來査詢出請求主體對哪些資源具有操作權限。細粒度授權查詢方法，基于主體分類和數(shù)據(jù)査詢的細粒度授權査詢方法，解決了XACML等以往權限管理領域未涉及到的領域。本方法為每個操作設定一條或者多條授權査詢策略。如果有多條策略，策略按照優(yōu)先級排序。對給定主體，系統(tǒng)能夠通過計算，選擇匹配的査詢器，進行資源查詢。其査詢結(jié)果即請求主體具有權限操作的資源集合。4.附圖1是XACML工作原理圖附圖2是細粒度授權決策方法附圖3是細粒度授權決策方法附圖4是細粒度授權査詢方法決策過程示意圖。所有策略不滿足時査詢過程示意圖。評估拒絕理由示意圖。5.具體實施例方式5.1.主體分類方法主體分類方法定義主體的分類規(guī)則，直接對給定主體的屬性進行評估，從而判斷主體是否屬于該分類，而不用事先顯示地將主體劃入某分類。主體分類主要特征是1.動態(tài)匹配計算。通過評估規(guī)則判斷主體是否屬于該分類，而不用事先將主體劃入分類，為細粒度授權提供了前提條件。2.具有更好的復用性、可讀性。XACML的主體判斷規(guī)則和資源判斷規(guī)則混合在一起。通過將主體判斷規(guī)則提取出來，形成獨立分類，這種分類與業(yè)務領域中的概念一致，具有很好的穩(wěn)定性，可以在不同業(yè)務操作中復用。分類目的性和可讀性更強。主體分類規(guī)則的特征是由表達式或表達式組組成，并返回布爾值。表達式可以是數(shù)學計算(+，-，*，/)、邏輯計算(AND,OR)和函數(shù)等。表達式舉例:_//數(shù)學計算^^inta=b+l;〃邏輯計算booleanf=(a&&b)&&(c||d)&&e;〃函數(shù)c=a.add(b.getVahie());表達式的特征是對主體的屬性、上下文屬性或其他數(shù)據(jù)源數(shù)據(jù)的計算。主體、上下文環(huán)境和數(shù)據(jù)源都是規(guī)則的輸入?yún)?shù)。表達式獲取值舉例:_//主體的屬性Stringorganization=(String)SUBJECT.get("organization");〃上下文屬性Doublemoney=(Double)CONTEXT.get("money");〃執(zhí)行SQL査詢CollectionqueryResult=DATASOURCE.query("selectcolumn1,column2fromtablename");將主體、上下文環(huán)境和數(shù)據(jù)源做為輸入?yún)?shù)，執(zhí)行規(guī)則的表達式或表達式組，執(zhí)行結(jié)果就是評估結(jié)果。主體分類實施例1:名稱規(guī)則描述總行用戶Stringorganization=SUBJECT.get("organization");returnorganization.equals("總行，，)；取出主體(用戶)的organization屬性值，然后禾口總行機構(gòu)名稱"總行"進行比較。相等表示屬于總行用戶分類，否則不是。分行用戶Collectionbranches=DATASOURCE.query("selectnamefrom査i旬organization表所有分l亍機構(gòu)(父機構(gòu)是"總行")，然7<table>tableseeoriginaldocumentpage8</column></row><table>5.2.資源分類方法資源分類方法定義資源的分類規(guī)則，直接對給定資源和給定主體(給定主體可選)的屬性進行評估，從而判斷資源是否屬于該分類，而不用事先顯示地將資源劃入某分類。資源分類方法與主體分類方法基本類似，主要有一個顯著區(qū)別資源分類輸入?yún)?shù)為資源、主體、上下文環(huán)境和數(shù)據(jù)源。而主體分類的輸入?yún)?shù)沒有資源。資源分類規(guī)則、表達式、表達式取值和主體分類一致，不再重復。資源分類實施例1:<table>tableseeoriginaldocumentpage8</column></row><table>5.3.數(shù)據(jù)查詢方法在不同場景，但査詢語句非常類似的情況下，我們定制査詢模板。在運行的時候，對模板中的占位符賦值，形成完整SQL語句，然后進行數(shù)據(jù)庫査詢。運用于細粒度權限管理領域，數(shù)據(jù)査詢占位符代表的數(shù)據(jù)，可以來自上下文、主體、資源或者數(shù)據(jù)源。5.4.細粒度授權決策方法基于主體分類和資源分類的細粒度授權決策方法，是一種簡單、直觀和實用的細粒度授權決策方法。細粒度授權決策，為不同請求主體設置不同資源操作權限。對給定主體、給定資源，系統(tǒng)能夠通過計算，做出決策，允許或者拒絕該請求。本方法為每個操作設定一條或者多條授權決策策略。如果有多條策略，策略按照優(yōu)先級排序。授權決策策略包括1.主體分類，描述什么樣的主體；2.資源分類，描述什么樣的資源；3.授權關系允許或拒絕；4.拒絕理由。本方法工作原理是當某個主體請求對某個資源進行操作時1.按照優(yōu)先級順序列出為本操作設置的授權決策策略，依次評估授權決策策略；2.評估當前授權決策策略，如果請求主體滿足該策略的主體分類規(guī)則，且請求資源滿足該策略的資源分類規(guī)則，則該策略得出決策結(jié)果；否則該策略視為不能得出決策結(jié)果；3.如果決策結(jié)果是允許，直接返回允許，不再評估下一條策略；如果決策結(jié)果是拒絕，直接返回拒絕，返回的拒絕理由就是當前策略的拒絕理由，也不再評估下一條策略；如果沒有得出決策結(jié)果，返回到步驟2評估下一條策略，直到?jīng)]有策略可供評估為止；4.如果所有策略評估完畢，都不能得出決策結(jié)果，將拒絕做為決策結(jié)果，并評估出拒絕理由，然后返回拒絕理由。評估拒絕理由由以下步驟組成a)按照優(yōu)先級順序列出為本操作設置的授權決策策略，依次評估授權決策策略；b)評估當前授權決策策略，如果請求主體滿足該策略的主體分類規(guī)則，則選中該策略的拒絕理由；C)返回到步驟b評估下一條策略，直到?jīng)]有策略可供評估為止；d)返回的拒絕理由就是所有選中的拒絕理由，返回的拒絕理由可能是0條、l條或者多條。下面舉例說明本方法的有效性。細粒度授權決策方法實施例1:某銀行管理系統(tǒng)，維護機構(gòu)操作。細粒度權限控制要求是1.總行用戶，可以維護所有分行機構(gòu)，但不能維護分行下屬支行機構(gòu)；2.分行用戶，可以維護本分行下屬支行機構(gòu)，不能維護其他任意機構(gòu)，比如其他分行下屬支行，本分行機構(gòu)等。運用本細3險度授權決策方法，為維護機構(gòu)操作，設置如下授權決策策略優(yōu)先級主體分類資源分類授權關系拒絕理由1總行用戶分行機構(gòu)允許總行用戶只能維護分行機構(gòu)2分行用戶本分行下屬支行允許分行用戶只能維護本分行下屬支行備注:91.總行用戶(主體分類)，規(guī)則是請求主體的機構(gòu)等于總行機構(gòu)；2.分行用戶(主體分類)，規(guī)則是請求主體的機構(gòu)屬于機構(gòu)表中的査詢出來的分行機構(gòu)住入朱口；3.分行機構(gòu)(資源分類)，規(guī)則是請求資源的父機構(gòu)等于總行機構(gòu)；4.本分行下屬支行(資源分類)，規(guī)則是請求資源的父機構(gòu)等于請求主體的機構(gòu)，且請求主體的機構(gòu)是分行機構(gòu)。下面考察如下輸入，決策結(jié)果如何:<table>tableseeoriginaldocumentpage10</column></row><table>細粒度授權決策方法實施例2:某企業(yè)客戶關系系統(tǒng)，維護客戶操作。細粒度權限控制要求是:1.普通銷售人員，維護自己開發(fā)的客戶；2.銷售部部門經(jīng)理，維護所有客戶；3.被公司管理員列入黑名單的用戶，不能維護任何客戶。運用本細3險度授權決策方法，為維護客戶操作，設置如下授權決策策略<table>tableseeoriginaldocumentpage10</column></row><table>備注1.黑名單用戶(主體分類)，規(guī)則是請求主體的ID屬性屬于黑名單表中査詢出來的ID隹么朱口；2.普通銷售人員(主體分類)，規(guī)則是請求主體的機構(gòu)屬性是"銷售部"，且請求主體的部門經(jīng)理屬性等于"否"；3.銷售部部門經(jīng)理(主體分類)，規(guī)則是請求主體的機構(gòu)屬性是"銷售部"，且請求主體的部門經(jīng)理屬性等于"是"；4.所有客戶(資源分類)，規(guī)則是不做任何判斷直接返回true;5.自己開發(fā)的客戶(資源分類)，規(guī)則是請求資源的客戶代表ID屬性等于請求主體的ID屬性。下面考察如下輸入，決策結(jié)果如何:<table>tableseeoriginaldocumentpage11</column></row><table>基于主體分類和資源分類的細粒度授權決策方法，主要特征是1.基于主體分類方法和資源分類方法，直接描述出什么樣的主體對什么樣的資源，具有怎樣的操作權限；2.提供了一種較XACML更直觀、更實用、更簡便的細粒度控制方法；3.主體分類、資源分類是業(yè)務域概念，因此主體分類、資源分類定義可以在授權決策策略中復用，提高了管理效率。5.5.細粒度授權查詢方法細粒度授權決策方法，判斷請求主體是否對請求資源具有操作權限，但不能告訴請求主體具有權限操作的資源有哪些。細粒度授權査詢方法，是用來查詢出請求主體對哪些資源具有操作權限。基于主體分類和數(shù)據(jù)査詢的細粒度授權查詢方法，為不同請求主體設置數(shù)據(jù)査詢器。數(shù)據(jù)査詢器，可由本文5.3所描述的數(shù)據(jù)査詢方法實現(xiàn)。對給定主體，系統(tǒng)能夠通過計算，選擇匹配的查詢器，進行資源査詢。其查詢結(jié)果即請求主體具有權限操作的資源集合。本方法為每個操作設定一條或者多條授權査詢策略。如果有多條策略，策略按照優(yōu)先級排序。授權査詢策略包括1.主體分類，描述什么樣的主體；2.數(shù)據(jù)査詢器，描述查詢哪些資源。本方法工作原理是當某個主體請求查詢操作時:1.按照優(yōu)先級順序列出為本操作設置的授權査詢策略，依次評估授權査詢策略；2.評估當前授權査詢策略，如果請求主體滿足該策略的主體分類規(guī)則，執(zhí)行該策略的查詢模板得到査詢結(jié)果；3.如果當前授權査詢策略評估，得出査詢結(jié)果，那么不必評估下一條策略；否則視為不能得出査詢結(jié)果，發(fā)揮到步驟2評估下一條策略，直到?jīng)]有策略可供評估為止；4.如果所有策略評估完畢，都不能得出查詢結(jié)果，返回空集合，即該請求主體沒有查詢數(shù)據(jù)權限。下面舉例說明本方法的有效性。細粒度授權查詢方法實施例1:某銀行管理系統(tǒng)，查詢機構(gòu)操作。細粒度權限控制要求是1.總行用戶，可以査詢所有機構(gòu)；2.分行用戶，可以査詢本分行機構(gòu)及本分行下屬支行機構(gòu)。運用本細3險度授權決策方法，為查詢機構(gòu)操作，設置如下授權査詢策略優(yōu)先級主體分類數(shù)據(jù)查詢器1總行用戶査詢機構(gòu)表所有數(shù)據(jù)2分行用戶査詢機構(gòu)表本分行及本分行下屬支行數(shù)據(jù)備注1.總行用戶(主體分類)，規(guī)則是請求主體的機構(gòu)等于總行機構(gòu)；2.分行用戶(主體分類)，規(guī)則是請求主體的機構(gòu)屬于機構(gòu)表中的査詢出來的分行機構(gòu)朱口；3.査詢機構(gòu)表所有數(shù)據(jù)(數(shù)據(jù)査詢器)，規(guī)則是查詢機構(gòu)表所有數(shù)據(jù)；4.査詢機構(gòu)表本分行及本分行下屬支行數(shù)據(jù)(數(shù)據(jù)查詢器)，規(guī)則是査詢機構(gòu)表數(shù)據(jù)，查詢條件是機構(gòu)號等于請求主體機構(gòu)號，或者父機構(gòu)號等于請求主體機構(gòu)號。下面考察如下輸入，査詢結(jié)果如何:輸入查詢結(jié)果說明請求主體總行用戶張三機構(gòu)表所有機構(gòu)數(shù)據(jù)請求主體滿足優(yōu)先級1的授權查詢策略的主體分類，執(zhí)行該規(guī)則的數(shù)據(jù)査詢器，返回機構(gòu)表所有數(shù)據(jù)請求主體北京分行用戶李四北京分行及北京分行下屬支行數(shù)據(jù)請求主體滿足優(yōu)先級2的授權査詢策略的主體分類，執(zhí)行該規(guī)則的數(shù)據(jù)查詢器，返回北京分行及北京分行下屬支行數(shù)據(jù)請求主體上海分行用戶王上海分行及上海分行下屬支請求主體滿足優(yōu)先級2的授12<table>tableseeoriginaldocumentpage13</column></row><table>備注:1.黑名單用戶(主體分類)，規(guī)則是請求主體的ID屬性屬于黑名單表中査詢出來的ID魚厶.來□;2.普通銷售人員(主體分類)，規(guī)則是請求主體的機構(gòu)屬性是"銷售部"，且請求主體的部門經(jīng)理屬性等于"否"；3.銷售部部門經(jīng)理(主體分類)，規(guī)則是請求主體的機構(gòu)屬性是"銷售部"，且請求主體的部門經(jīng)理屬性等于"是"；4.不査詢?nèi)魏慰蛻?數(shù)據(jù)査詢器)，規(guī)則是査詢客戶表，查詢條件是1=2。即査詢結(jié)果總是空。5.查詢客戶表銷售人員開發(fā)的客戶(數(shù)據(jù)査詢器)，規(guī)則是査詢客戶表，査詢條件是客戶代表ID等于請求主體ID屬性；6.査詢客戶表所有客戶(數(shù)據(jù)查詢器)，規(guī)則是査詢客戶表所有數(shù)據(jù)。下面考察如下輸入，査詢結(jié)果如何:<table>tableseeoriginaldocumentpage13</column></row><table><table>tableseeoriginaldocumentpage14</column></row><table>基于主體分類和數(shù)據(jù)査詢的細粒度授權査詢方法，主要特征是1.基于主體分類方法和數(shù)據(jù)査詢方法，直接描述出什么樣的主體對哪些資源具有査詢權限；2.解決了XACML等以往權限管理領域未涉及到的領域；3.主體分類、數(shù)據(jù)查詢器是業(yè)務域概念，因此主體分類、數(shù)據(jù)查詢器定義可以在授權査詢策略中復用，提高了管理效率。權利要求1.一種主體分類方法，其特征是將給定主體做為輸入?yún)?shù)，通過運算主體分類的分類規(guī)則，判斷該主體是否屬于該分類，而不用事先顯式地對主體進行分類，主要由以下步驟組成a)創(chuàng)建主體分類，定義分類規(guī)則；b)將給定主體做為輸入?yún)?shù)，運算主體分類的分類規(guī)則；c)得出布爾值的運算結(jié)果，該布爾值表示該主體是否屬于該主體分類。2.根據(jù)權利要求1所述的主體分類方法，其特征是所述分類規(guī)則由表達式或者表達式組組成，并返回所述布爾值。3.根據(jù)權利要求2所述的主體分類方法，其特征是所述表達式可以對主體、主體屬性、上下文、數(shù)據(jù)源進行運算。4.一種資源分類方法，其特征將給定資源和請求該資源的請求主體做為輸入?yún)?shù)，通過運算資源分類的分類規(guī)則，判斷該資源是否屬于該分類，而不用事先顯式地對資源進行分類，主要由以下步驟組成a)創(chuàng)建資源分類，定義分類規(guī)則；b)將給定資源和請求該資源的請求主體做為輸入?yún)?shù)，運算資源分類的分類規(guī)則；C)得出布爾值的運算結(jié)果，該布爾值表示該資源是否屬于該資源分類。5.根據(jù)權利要求4所述的資源分類方法，其特征是所述分類規(guī)則由表達式或者表達式組組成，并返回布爾值。6.根據(jù)權利要求5所述的資源分類方法，其特征是所述表達式可以對資源、資源屬性、主體、'主體屬性、上下文、數(shù)據(jù)源進行運算。7.根據(jù)權利要求4所述的資源分類方法，其特征是所述請求該資源的請求主體，是可選輸入?yún)?shù)。8.—種基于主體分類和資源分類的細粒度授權決策方法，主要由以下步驟組成-a)創(chuàng)建一個或者多個主體分類，為每個主體分類定義分類規(guī)則；b)創(chuàng)建一個或者多個資源分類，為每個資源分類定義分類規(guī)則；c)創(chuàng)建授權決策策略，該策略包括主體分類、資源分類、授權關系、拒絕理由4個要素；d)對給定操作設置一條授權決策策略或者一組授權決策策略，如果是一組策略，對策略設置優(yōu)先級順序；e)當某主體請求對某資源進行操作時，選取該操作對應的授權決策策略或者一組授權決策策略進行評估，得出決策結(jié)果，根據(jù)決策結(jié)果，允許或者拒絕請求，如果拒絕請求，并返回拒絕理由。9.根據(jù)權利要求8所述的細粒度授權決策方法，其特征是所述評估授權決策策略由以下步驟組成a)按照優(yōu)先級順序列出為本操作設置的授權決策策略，依次評估授權決策策略；b)評估當前授權決策策略，如果請求主體滿足該策略的主體分類規(guī)則，且請求資源滿足該策略的資源分類規(guī)則，則該策略得出決策結(jié)果；否則該策略視為不能得出決策結(jié)果；c)如果決策結(jié)果是允許，直接返回允許，不再評估下一條策略；如果決策結(jié)果是拒絕，直接返回拒絕，返回的拒絕理由就是當前策略的拒絕理由，也不再評估下一條策略；如果沒有得出決策結(jié)果，返回到步驟b評估下一條策略，直到?jīng)]有策略可供評估為止；d)如果所有策略評估完畢，都不能得出決策結(jié)果，將拒絕做為決策結(jié)果，并評估出拒絕理由，然后返回拒絕理由。10.根據(jù)權利要求9所述的細粒度授權決策方法，其特征是所述所有策略評估完畢，都不能得出決策結(jié)果時，評估出返回拒絕理由由以下步驟組成a)按照優(yōu)先級順序列出為本操作設置的授權決策策略，依次評估授權決策策略；b)評估當前授權決策策略，如果請求主體滿足該策略的主體分類規(guī)則，則選中該策略的拒絕理由；c)返回到步驟b評估下一條策略，直到?jīng)]有策略可供評估為止；d)返回的拒絕理由就是所有選中的拒絕理由，返回的拒絕理由可能是0條、l條或者多條。11.一種基于主體分類和數(shù)據(jù)査詢技術的細粒度授權査詢方法，主要由以下步驟組成a)創(chuàng)建一個或者多個主體分類，為每個主體分類定義分類規(guī)則；b)創(chuàng)建一個或者多個數(shù)據(jù)査詢模板；C)創(chuàng)建授權査詢策略，該策略包括主體分類、數(shù)據(jù)査詢模板2個要素；d)對給定查詢操作設置一個授權査詢策略或者一組授權査詢策略，如果是一組策略，對策略設置優(yōu)先級次序；e)當某主體請求執(zhí)行某査詢操作時，選取該操作對應的授權査詢策略或者一組授權査詢策略進行評估，獲得査詢結(jié)果，返回査詢結(jié)果。12.根據(jù)權利要求11所述的細粒度授權查詢方法，其特征是所述的授權査詢策略評估由以下步驟組成'a)按照優(yōu)先級順序列出為本操作設置的授權査詢策略，依次評估授權查詢策略；b)評估當前授權查詢策略，如果請求主體滿足該策略的主體分類規(guī)則，執(zhí)行該策略的査詢模板得到查詢結(jié)果；C)如果當前授權査詢策略評估，得出査詢結(jié)果，那么不必評估下一條策略；否則視為不能得出査詢結(jié)果，發(fā)揮到步驟b評估下一條策略，直到?jīng)]有策略可供評估為止；d)如果所有策略評估完畢，都不能得出査詢結(jié)果，返回空集合，即該請求主體沒有査詢數(shù)據(jù)權限。全文摘要本發(fā)明公開了一種動態(tài)智能的主體、資源分類方法，以及基于分類方法的細粒度權限管理方法。主體分類方法，是一種動態(tài)、智能分類方法，是通過對主體、主體屬性、上下文、數(shù)據(jù)源進行各種運算來實現(xiàn)的。對于給定主體，只要運算規(guī)則，就可判斷主體是否屬于該分類。資源分類方法和主體分類方法非常類似，資源分類方法還可以對資源、資源屬性進行運算。細粒度授權決策方法和細粒度授權查詢方法，都運用于權限管理領域。細粒度授權決策方法，基于主體分類、資源分類，定義授權決策策略。當某主體請求對某資源進行操作時，評估策略，允許或者拒絕請求。如果拒絕請求，并返回拒絕理由。細粒度授權查詢方法，基于主體分類、數(shù)據(jù)查詢模板，定義授權查詢策略。當某主體請求進行某查詢時，評估策略，返回查詢結(jié)果。這種基于分類的授權策略，具有簡單、復用性強和易于實施等特點。文檔編號G06F21/00GK101493872SQ20091000863公開日2009年7月29日申請日期2009年2月9日優(yōu)先權日2009年2月9日發(fā)明者汪金保,磊王申請人:汪金保;王磊