專利名稱:基于資源發(fā)布者自定義的訪問控制系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通訊領(lǐng)域�,尤其涉及一種資源開放業(yè)務(wù)系統(tǒng)中資源發(fā)布者可自定義的細粒度訪問控制系統(tǒng)及方法。
背景技術(shù):
訪問控制是指允許或禁止某個主體訪問某個客體的能力����。在計算機系統(tǒng)中,訪問控制是指能夠限制主體(訪問的發(fā)起者�,一般為用戶,進程���,應(yīng)用等)對客體(能夠被訪問到的且需要被保護的資源或資源集合)的訪問權(quán)限�����,從而使計算機系統(tǒng)在合法范圍內(nèi)使用的能力��。訪問控制機制決定了哪些主體能夠訪問系統(tǒng)����,能夠訪問系統(tǒng)的何種資源以及如何使用這些資源?���,F(xiàn)有的訪問控制機制主要有自主訪問控制、強制訪問控制����、基于角色的訪問控制 方法(RBAC )、基于用戶的訪問控制方法(UBAC )����、基于任務(wù)的訪問控制方法(TBAC )、基于屬性的訪問控制方法(ABAC)等���?�;谶@些基本的訪問控制模型���,人們又根據(jù)具體業(yè)務(wù)系統(tǒng)的需求,實現(xiàn)了許多不同的訪問控制系統(tǒng)���。其中基于角色的訪問控制方法(RBAC)是目前應(yīng)用較為廣泛的訪問控制模型�����。在訪問控制中引入了角色的概念��,將所有的權(quán)限授予角色而不是直接給用戶���,這樣訪問控制就分為了權(quán)限與角色相關(guān)聯(lián)和用戶與角色相關(guān)聯(lián)兩部分���,使角色作為一個用戶與權(quán)限的代理層,從而解耦了權(quán)限和用戶的關(guān)系����。RBAC有不同的版本,但從根本上說��,RBAC訪問控制可抽象成用戶一角色一一權(quán)限——對象這幾個集合的定義及集合間的映射關(guān)系����。當前的訪問控制模型多與業(yè)務(wù)系統(tǒng)緊耦合,從而RBAC模型中各集合的定義及集合間的映射都根據(jù)特定業(yè)務(wù)系統(tǒng)進行抽象和優(yōu)化��,缺乏普適性���。例如��,在一個資源開放業(yè)務(wù)系統(tǒng)中�����,各個資源所有者可以通過系統(tǒng)開放他們所擁有的資源��,不同的應(yīng)用開發(fā)者開發(fā)的應(yīng)用可以利用這些資源構(gòu)建不同的業(yè)務(wù)���。在這樣的資源開放業(yè)務(wù)系統(tǒng)中��,對訪問控制的需求可能包括I�����、同時滿足特定應(yīng)用場景和開放業(yè)務(wù)系統(tǒng)的訪問控制功能。2��、根據(jù)不同資源所有者的資源開放意愿��,由其自定義靈活的權(quán)限管理方案���,滿足粗粒度和細粒度的訪問控制���。3、開放業(yè)務(wù)環(huán)境下的訪問控制需要面向公眾用戶�,需要在用戶未知的條件下進行角色權(quán)限定義,并結(jié)合角色定義和訪問資源的屬性信息來實現(xiàn)權(quán)限管理�����。4��、面向資源的WEB架構(gòu)的設(shè)計思想,以資源為中心而不是以動作����、任務(wù)為主心的訪問控制模型。但是���,當前的訪問控模型難以同時滿足資源開放業(yè)務(wù)系統(tǒng)的以上所有要求����。
發(fā)明內(nèi)容
本發(fā)明需要解決的技術(shù)問題在于提供一種基于資源發(fā)布者自定義的訪問控制系統(tǒng)及方法��,以克服現(xiàn)有訪問控制系統(tǒng)應(yīng)用于泛在網(wǎng)�、WEB2. 0等以用戶為中心、用戶參與資源共享及業(yè)務(wù)生成的開放業(yè)務(wù)系統(tǒng)中時����,資源無法自主制定面向資源的不同粒度的訪問控制規(guī)則的問題。為解決上述技術(shù)問題�����,本發(fā)明提供一種基于資源發(fā)布者自定義的訪問控制系統(tǒng)�����,應(yīng)用于資源開放業(yè)務(wù)系統(tǒng)中,包括訪問控制接口模塊��,用于提供與訪問控制相關(guān)的配置和查詢接口 ��;角色-資源映射規(guī)則管理模塊�����,用于管理角色和資源之間的關(guān)聯(lián)規(guī)則�����,通過所述訪問控制接口模塊接收特定格式的角色_資源之間的關(guān)聯(lián)規(guī)則���,并將所述角色_資源關(guān)聯(lián)規(guī)則存儲至訪問控制數(shù)據(jù)庫;
用戶-角色映射規(guī)則管理模塊���,用于管理用戶和角色之間的關(guān)聯(lián)規(guī)則�,通過所述訪問控制接口模塊接收特定格式的用戶-角色之間的關(guān)聯(lián)規(guī)則����,并將所述用戶-角色關(guān)聯(lián)規(guī)則存儲至訪問控制數(shù)據(jù)庫;權(quán)限判斷模塊���,用于根據(jù)用戶的權(quán)限判斷請求��,通過訪問所述訪問控制數(shù)據(jù)庫中存儲的規(guī)則判斷用戶的訪問權(quán)限����;角色權(quán)限管理模塊,用于管理角色的創(chuàng)建��,為角色所關(guān)聯(lián)的資源指派訪問權(quán)限�����。本發(fā)明進而提供一種基于資源發(fā)布者自定義的訪問控制方法��,應(yīng)用于資源開放業(yè)務(wù)系統(tǒng)中����,包括提供訪問控制接口,該訪問控制接口為與訪問控制相關(guān)的配置和查詢接口 ��;管理角色和資源之間的關(guān)聯(lián)規(guī)則��,通過所述訪問控制接口接收特定格式的角色_資源之間的關(guān)聯(lián)規(guī)則��,并將所述角色_資源關(guān)聯(lián)規(guī)則存儲至訪問控制數(shù)據(jù)庫;管理用戶和角色之間的關(guān)聯(lián)規(guī)則���,通過所述訪問控制接口接收特定格式的用戶_角色之間的關(guān)聯(lián)規(guī)則��,并將所述用戶_角色關(guān)聯(lián)規(guī)則存儲至訪問控制數(shù)據(jù)庫�����;根據(jù)用戶的權(quán)限判斷請求�,通過訪問所述訪問控制數(shù)據(jù)庫中存儲的規(guī)則判斷用戶的訪問權(quán)限���;管理角色的創(chuàng)建�,為角色所關(guān)聯(lián)的資源指派訪問權(quán)限����。根據(jù)本發(fā)明的技術(shù)方案�,資源發(fā)布者可在資源開放業(yè)務(wù)系統(tǒng)中實現(xiàn)面向資源的不同粒度的訪問控制,角色�、權(quán)限、資源對象集合的內(nèi)容���、元素數(shù)目可自定義�,用戶、角色����、權(quán)限、對象集合間的映射關(guān)系可自定義�,從而使用戶可自定義支持任意細化粒度的訪問控制規(guī)則;而且能夠支持各種開放業(yè)務(wù)環(huán)境��,支持多種開放模式�����,支持用戶角色與業(yè)務(wù)系統(tǒng)的松耦合����,使用戶在不同業(yè)務(wù)中甚至在同一業(yè)務(wù)中實現(xiàn)對不同資源訪問時的角色靈活切換,增強了訪問控制系統(tǒng)的性能擴展需求���。
此處所說明的附圖用來提供對本發(fā)明的進一步理解��,構(gòu)成本申請的一部分���,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的不當限定�。在附圖中圖I為根據(jù)本發(fā)明實施例所述的基于資源發(fā)布者自定義的訪問控制系統(tǒng)的結(jié)構(gòu)框圖����;圖2為根據(jù)本發(fā)明實施例所述的基于資源發(fā)布者自定義的訪問控制方法的流程圖���。
具體實施例方式為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點更加清楚��,以下結(jié)合附圖及具體實施例�����,對本發(fā)明作進一步地詳細說明���。根據(jù)本發(fā)明的實施例,提供了一種基于資源發(fā)布者自定義的訪問控制系統(tǒng)��。圖I為根據(jù)本發(fā)明實施例的基于資源發(fā)布者自定義的訪問控制系統(tǒng)的結(jié)構(gòu)框圖����,如圖I所示�����,包括訪問控制接口模塊101、角色-資源映射規(guī)則管理模塊102��、用戶-角色映射規(guī)則管理模塊103��、權(quán)限判斷模塊104和角色權(quán)限管理模塊105���,下面詳細描述各模塊的結(jié)構(gòu)���。訪問控制接口模塊101,用于提供與訪問控制相關(guān)的配置和查詢接口 �;角色-資源映射規(guī)則管理模塊102,用于管理角色和資源之間的關(guān)聯(lián)規(guī)則�����,通過所述訪問控制接口模塊接收特定格式的角色_資源之間的關(guān)聯(lián)規(guī)則��,并將所述角色_資源關(guān) 聯(lián)規(guī)則存儲至訪問控制數(shù)據(jù)庫����;用戶-角色映射規(guī)則管理模塊103,用于管理用戶和角色之間的關(guān)聯(lián)規(guī)則�����,通過所述訪問控制接口模塊接收特定格式的用戶_角色之間的關(guān)聯(lián)規(guī)則,并將所述用戶-角色關(guān)聯(lián)規(guī)則存儲至訪問控制數(shù)據(jù)庫�;權(quán)限判斷模塊104,用于根據(jù)用戶的權(quán)限判斷請求�,通過訪問所述訪問控制數(shù)據(jù)庫中存儲的規(guī)則判斷用戶的訪問權(quán)限;角色權(quán)限管理模塊105�����,用于管理角色的創(chuàng)建��,為角色所關(guān)聯(lián)的資源指派訪問權(quán)限��。此外����,還可以包括資源發(fā)布者自定義界面呈現(xiàn)模塊106,用于提供和維護資源發(fā)布者根據(jù)其SNS中的用戶信息和好友關(guān)系配置權(quán)限��、定義角色及分配角色的接口��。根據(jù)上述實施例����,由資源發(fā)布者定義角色和權(quán)限�����,根據(jù)資源訪問者的SNS信息進行角色映射,從而確定資源訪問權(quán)限�����。訪問控制數(shù)據(jù)庫107���,存儲所述角色_資源關(guān)聯(lián)規(guī)則和所述用戶_角色關(guān)聯(lián)規(guī)則����。另外�����,訪問控制數(shù)據(jù)庫(或稱為數(shù)據(jù)庫)還存儲有已注冊資源的描述信息���,至少包括該資源的名稱及其發(fā)布者的用戶名�����、該資源所包含的資源名稱�����、所述資源的訪問地址���、所述資源所包含的訪問權(quán)限類型���。所述權(quán)限判斷模塊進一步用于根據(jù)用戶的權(quán)限判斷請求,通過訪問所述訪問控制數(shù)據(jù)庫中存儲的規(guī)則�����,調(diào)用資源數(shù)據(jù)接口模塊和SNS(SocialNetworking Services,社會性網(wǎng)絡(luò)服務(wù))數(shù)據(jù)接口模塊來判斷用戶的權(quán)限���;其中所述資源數(shù)據(jù)接口模塊用于提供各種資源的屬性信息��;所述SNS數(shù)據(jù)接口模塊用于負責提供用戶的社交原型和社交關(guān)系�。所述角色權(quán)限管理模塊105����,還可以進一步用于根據(jù)所述資源發(fā)布者的請求建立角色,并根據(jù)所述角色_資源關(guān)聯(lián)規(guī)則確定角色所關(guān)聯(lián)的資源��,并指派訪問資源的權(quán)限�����。如此,通過資源發(fā)布者的對資源和權(quán)限的自主定義和配置��,即可實現(xiàn)面向資源的不同粒度的訪問控制��。本發(fā)明所述的資源���,包括但不限于用戶在開放業(yè)務(wù)系統(tǒng)中共享的各類設(shè)備(網(wǎng)關(guān)、傳感器���、智能終端�、嵌入式設(shè)備等)��,設(shè)備自身存儲���、計算能力�����,以及設(shè)備生成�、采集到的各類數(shù)據(jù)等��。資源的發(fā)布者應(yīng)能夠?qū)⑺鶕碛匈Y源在系統(tǒng)中注冊上傳�����,并通過開放系統(tǒng)提供給其他用戶訪問調(diào)用。一般情況下��,資源發(fā)布者即為資源擁有者�。設(shè)備或資源發(fā)布者的自定義,是指能夠?qū)ψ约核鶕碛械幕蛘攉@得授權(quán)的資源根據(jù)資源屬性進行讀取�、寫入、刪除等權(quán)限設(shè)置�,將多個資源的多種權(quán)限任意組合成角色,進而將角色以多種方式(例如社交網(wǎng)絡(luò)SNS好友關(guān)系��、用戶屬性等)分配給開放業(yè)務(wù)系統(tǒng)中的其他用戶����。所述不同粒度的訪問控制是指對資源對象的訪問控制的粒度不做限定,應(yīng)用或資源發(fā)布者可根據(jù)用戶安全需求將控制規(guī)則細化到具體資源層面�。在細粒度訪問控制中,角色���、權(quán)限映射不是唯一的�����,角色集合���、權(quán)限集合也是可定義的�����,資源發(fā)布者可根據(jù)資源屬性,隨時定義任意多的權(quán)限和角色�����。根據(jù)本發(fā)明的實施例���,還提供了一種基于資源發(fā)布者自定義的訪問控制方法���。圖2是根據(jù)本發(fā)明實施例的基于資源發(fā)布者自定義的訪問控制方法的流程圖,如圖2所示,包括 步驟S201�����,提供訪問控制接口��,該訪問控制接口為與訪問控制相關(guān)的配置和查詢接口 �;步驟S202,管理角色和資源之間的關(guān)聯(lián)規(guī)則,通過所述訪問控制接口接收特定格式的角色_資源之間的關(guān)聯(lián)規(guī)則�,并將所述角色_資源關(guān)聯(lián)規(guī)則存儲至訪問控制數(shù)據(jù)庫;步驟S203����,管理用戶和角色之間的關(guān)聯(lián)規(guī)則,通過所述訪問控制接口接收特定格式的用戶-角色之間的關(guān)聯(lián)規(guī)則���,并將所述用戶-角色關(guān)聯(lián)規(guī)則存儲至訪問控制數(shù)據(jù)庫����;步驟S204���,根據(jù)用戶的權(quán)限判斷請求�����,通過訪問所述訪問控制數(shù)據(jù)庫中存儲的規(guī)則判斷用戶的訪問權(quán)限���;步驟S205,管理角色的創(chuàng)建�����,為角色所關(guān)聯(lián)的資源指派訪問權(quán)限。此外����,根據(jù)本發(fā)明的實施例,還包括提供和維護資源發(fā)布者根據(jù)其SNS中的用戶信息和好友關(guān)系配置權(quán)限��、定義角色及分配角色的接口��。步驟S204具體包括根據(jù)用戶的權(quán)限判斷請求���,通過訪問所述訪問控制數(shù)據(jù)庫中存儲的規(guī)則,調(diào)用資源數(shù)據(jù)接口和SNS數(shù)據(jù)接口來判斷用戶的權(quán)限�����;其中所述資源數(shù)據(jù)接口用于提供各種資源的屬性信息��;所述SNS數(shù)據(jù)接口用于負責提供用戶的社交原型和社交關(guān)系��。步驟S205具體包括根據(jù)所述資源發(fā)布者的請求建立角色���,并根據(jù)所述角色_資源關(guān)聯(lián)規(guī)則確定角色所關(guān)聯(lián)的資源�����,并指派訪問資源的權(quán)限�。并且,所述訪問控制數(shù)據(jù)庫存儲所述角色_資源關(guān)聯(lián)規(guī)則和所述用戶_角色關(guān)聯(lián)規(guī)則�����。下面結(jié)合一具體實施例對本發(fā)明的權(quán)限配置過程進行說明�����。首先���,用戶I作為設(shè)備所有者��,向開放平臺上傳所擁有設(shè)備(以電燈開關(guān)控制器為例)時���,按照平臺上傳設(shè)備說明文檔提供的標準XML格式描述設(shè)備名稱、設(shè)備所包含資源名稱�、所包含資源可進行的操作(只讀、只寫�、可讀可寫)、資源位置信息等設(shè)備描述信息����,描述信息中還帶有“owner”字段���,要求該“owner”字段應(yīng)與用戶I在平臺中的用戶名一致。其中�����,資源名稱一資源可進行的操作可以是電燈開/關(guān)控制一可讀可寫��,電燈亮度調(diào)節(jié)一可讀可寫�����。然后���,用戶I在配置完成后�,向平臺發(fā)送上傳設(shè)備請求�����,并發(fā)送該XML設(shè)備描述文檔����。平臺收到上傳設(shè)備請求后��,解析該XML文檔,并為設(shè)備包括的資源進行URI分配����,包括電燈開/關(guān)控制為URIl,電燈開關(guān)亮度調(diào)節(jié)為URI2����,然后在平臺數(shù)據(jù)庫中進行統(tǒng)一存儲。用戶I在利用用戶名和密碼登陸平臺頁面后�����,可選擇設(shè)備管理����。頁面呈現(xiàn)用戶I所擁有的資源列表,包括URI1���,URI2���,以及各個資源的描述信息、可進行的操作等����。用戶I在設(shè)備管理頁面中自定義角色名“超級用戶”���,并勾選URIl可讀可寫,URI2可讀可寫��,點擊保存后將新建角色和對應(yīng)的權(quán)限寫入數(shù)據(jù)庫��,即完成賦予“超級用戶”角色所具備權(quán)限的過程��。同理�,用戶可繼續(xù)自定義角色名“一般用戶”,并勾選URIl只讀�����,URI2只讀����,保存后即賦予一般用戶相應(yīng)權(quán)限。依次類推�����,用戶可根據(jù)喜好自定義任意角色并賦予任意粒度權(quán)限���。完成角色-權(quán)限配置后��,用戶I進入分配角色頁面���。頁面將顯示用戶I已定義的角色及各自權(quán)限、平臺其他用戶�����、如考慮SNS系統(tǒng)將顯示好友列表等����。用戶I可選擇手動輸 入用戶名的方式,一個一個的進行角色分配���;也可以通過勾選用戶的方式���,進行角色分配;還可以通過群組方式���,如所有好友或?qū)W校都是北京郵電大學(xué)等��,進行角色分配��。假定用戶I分配給sam “超級用戶”角色����,分配給jeff “一般用戶”角色。每次配置結(jié)束����,用戶保存操作后,平臺將調(diào)用API��,將上述結(jié)果寫入數(shù)據(jù)庫�����。在設(shè)備所有者擁有多個設(shè)備的情況時����,例如假定用戶I既是電燈開關(guān)控制器的所有者,也是溫度傳感器的所有者�,如果是將兩個設(shè)備都上傳后,再同時配置兩個設(shè)備的資源�����,則配置權(quán)限�����、角色方法同上�。若已經(jīng)先對電燈開關(guān)控制器完成了配置,則在配置溫度傳感器時����,既可以通過對已有角色增加權(quán)限的方式;也可以通過新增角色的方式完成配置�����。通過上述配置過程�,即可實現(xiàn)對資源的訪問控制,例如方式一�、用戶直接訪問資源場景I :I) Sam登陸平臺頁面,點擊平臺設(shè)備選項�����,將看到平臺全部設(shè)備信息�����;同時�����,也可以通過平臺頁面查看有權(quán)訪問的全部設(shè)備信息。2) Sam選擇電燈開關(guān)控制器這一設(shè)備�,可以看到電燈開關(guān)控制器所具有的資源信息,即電燈開/關(guān)控制和電燈亮度調(diào)節(jié)�。3) Sam選擇“開燈”,平臺利用用戶名和資源URI1���,查詢數(shù)據(jù)庫發(fā)現(xiàn)sam有權(quán)限���,則順利完成操作。4)同理���,jeff選擇“開燈”�,平臺利用jeff用戶名和資源URIl查詢數(shù)據(jù)庫���,發(fā)現(xiàn)jeff無權(quán)操作則返回“sorry����,您無權(quán)進行此操作”��。但jeff有權(quán)限查看燈的開/關(guān)狀態(tài)����,以及燈的亮度信息�����。場景2 :如果平臺中有另一個設(shè)備一溫度調(diào)節(jié)器,該溫度調(diào)節(jié)器的所有者為用戶2����,用戶2通過自定義配置過程,賦予sam “normal”的角色���,權(quán)限是只能讀數(shù)據(jù)���,賦予jeff “top”的角色,權(quán)限是可讀可寫�����。l)Sam選擇溫度調(diào)節(jié)器這一設(shè)備����,當sam對溫度調(diào)節(jié)器進行調(diào)節(jié)操作時,平臺按上述方法查詢數(shù)據(jù)庫�,并返回sam “無權(quán)進行此操作”提示���;但sam能夠讀取溫度。
2) Jeff訪問控制流程同上�����。由上述對比可見����,同一用戶sam對于不同設(shè)備所有者(用戶I、用戶2)的資源有不同的角色和權(quán)限���。并且不同的設(shè)備所有者給sam賦予角色和權(quán)限的過程是相互獨立的��,角色和權(quán)限的更新只對同一設(shè)備所有者的資源有效�,對其他設(shè)備所有者的資源訪問無影響�。方式二 用戶通過平臺應(yīng)用訪問資源由于平臺是一個開放平臺,任何用戶既可能是owner���、普通訪問者�,也可以是應(yīng)用開發(fā)者�。開發(fā)者能夠基于平臺開放API,通過整合各類資源開發(fā)豐富多彩的應(yīng)用����。如穿衣指數(shù)應(yīng)用可以利用溫度傳感器采集的溫度數(shù)據(jù)���,進行穿衣類別推薦。用戶有可能不直接訪問平臺資源�����,而通過應(yīng)用間接訪問資源�����。在這種情況下假定溫度傳感器的所有者為用戶3���,包括兩個資源溫度數(shù)據(jù)一只讀;溫度傳感器開關(guān)控制一可讀可寫�。用戶3以及通過上述過程賦予sam “普通用戶”的角色,該角色具有讀溫度的權(quán)限����。 當sam訪問穿衣指數(shù)應(yīng)用時,平臺將根據(jù)sam的用戶名和溫度傳感器的溫度數(shù)據(jù)URI查詢其有無權(quán)限�。由于sam有權(quán)限,則返回sam穿衣指數(shù)信息����?���?梢?,用戶通過平臺應(yīng)用訪問資源時,訪問控制與應(yīng)用無關(guān)�,還是根據(jù)資源發(fā)布者對“用戶_角色-資源”的配置結(jié)果進行訪問控制。由此可見�����,本發(fā)明不僅實現(xiàn)了由資源發(fā)布者可自定義任意粒度或數(shù)量的角色�����,并可自定義用戶到角色的映射����,可為所定義的角色指派任意粒度的權(quán)限,同時支持各種開放業(yè)務(wù)環(huán)境�,支持用戶角色與業(yè)務(wù)系統(tǒng)的松耦合,使用戶在不同或相同業(yè)務(wù)中對不同資源訪問時可靈活切換角色���,增強了訪問控制系統(tǒng)的性能擴展需求����,使資源發(fā)布者以及開發(fā)具體應(yīng)用的用戶可以利用本發(fā)明的結(jié)構(gòu)實現(xiàn)自已的訪問控制規(guī)則。以上所述僅為本發(fā)明的實施例而已����,并不用于限制本發(fā)明,對于本領(lǐng)域的技術(shù)人員來說���,本發(fā)明可以有各種更改和變化�����。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改�、等同替換、改進等���,均應(yīng)包含在本發(fā)明的權(quán)利要求范圍之內(nèi)���。
權(quán)利要求
1.一種基于資源發(fā)布者自定義的訪問控制系統(tǒng),應(yīng)用于資源開放業(yè)務(wù)系統(tǒng)中�����,資源發(fā)布者根據(jù)其社會性網(wǎng)絡(luò)服務(wù)SNS用戶信息和社交關(guān)系自定義角色映射規(guī)則和所發(fā)布資源的細粒度權(quán)限規(guī)則,其特征在于����,所述系統(tǒng)包括 訪問控制接口模塊,用于提供與訪問控制相關(guān)的配置和查詢接口 �; 角色-資源映射規(guī)則管理模塊,用于管理角色和資源之間的關(guān)聯(lián)規(guī)則���,通過所述訪問控制接口模塊接收特定格式的角色-資源之間的關(guān)聯(lián)規(guī)則����,并將所述角色-資源關(guān)聯(lián)規(guī)則存儲至訪問控制數(shù)據(jù)庫�����; 用戶-角色映射規(guī)則管理模塊�,用于管理用戶和角色之間的關(guān)聯(lián)規(guī)則,通過所述訪問控制接口模塊接收特定格式的用戶-角色之間的關(guān)聯(lián)規(guī)則�����,并將所述用戶-角色關(guān)聯(lián)規(guī)則存儲至訪問控制數(shù)據(jù)庫�; 權(quán)限判斷模塊,用于根據(jù)用戶的權(quán)限判斷請求,通過訪問所述訪問控制數(shù)據(jù)庫中存儲的規(guī)則判斷用戶的訪問權(quán)限���; 角色權(quán)限管理模塊�,用于管理角色的創(chuàng)建����,為角色所關(guān)聯(lián)的資源指派訪問權(quán)限。
2.根據(jù)權(quán)利要求I所述的系統(tǒng)�����,其特征在于����,還包括 資源發(fā)布者自定義界面呈現(xiàn)模塊,用于提供和維護資源發(fā)布者根據(jù)其SNS中的用戶信息和好友關(guān)系配置權(quán)限����、定義角色及分配角色的接口�����。
3.根據(jù)權(quán)利要求I所述的系統(tǒng)�����,其特征在于,所述權(quán)限判斷模塊進一步用于根據(jù)用戶的權(quán)限判斷請求�����,通過訪問所述訪問控制數(shù)據(jù)庫中存儲的規(guī)則�,調(diào)用資源數(shù)據(jù)接口模塊和SNS數(shù)據(jù)接口模塊來判斷用戶的權(quán)限; 其中 所述資源數(shù)據(jù)接口模塊用于提供各種資源的屬性信息�����; 所述SNS數(shù)據(jù)接口模塊用于負責提供用戶的社交原型和社交關(guān)系�。
4.根據(jù)權(quán)利要求I所述的系統(tǒng),其特征在于�,所述角色權(quán)限管理模塊進一步用于根據(jù)所述資源發(fā)布者的請求建立角色,并根據(jù)所述角色-資源關(guān)聯(lián)規(guī)則確定角色所關(guān)聯(lián)的資源���,并指派訪問資源的權(quán)限��。
5.根據(jù)權(quán)利要求I所述的系統(tǒng)����,其特征在于����,還包括 所述訪問控制數(shù)據(jù)庫存儲所述角色-資源關(guān)聯(lián)規(guī)則和所述用戶-角色關(guān)聯(lián)規(guī)則�。
6.一種基于資源發(fā)布者自定義的訪問控制方法�,應(yīng)用于資源開放業(yè)務(wù)系統(tǒng)中,其特征在于����,包括 提供訪問控制接口,該訪問控制接口為與訪問控制相關(guān)的配置和查詢接口 �����; 管理角色和資源之間的關(guān)聯(lián)規(guī)則��,通過所述訪問控制接口接收特定格式的角色-資源之間的關(guān)聯(lián)規(guī)則���,并將所述角色-資源關(guān)聯(lián)規(guī)則存儲至訪問控制數(shù)據(jù)庫�����; 管理用戶和角色之間的關(guān)聯(lián)規(guī)則��,通過所述訪問控制接口接收特定格式的用戶-角色之間的關(guān)聯(lián)規(guī)則,并將所述用戶-角色關(guān)聯(lián)規(guī)則存儲至訪問控制數(shù)據(jù)庫��; 根據(jù)用戶的權(quán)限判斷請求,通過訪問所述訪問控制數(shù)據(jù)庫中存儲的規(guī)則判斷用戶的訪問權(quán)限���; 管理角色的創(chuàng)建�����,為角色所關(guān)聯(lián)的資源指派訪問權(quán)限��。
7.根據(jù)權(quán)利要求6所述的方法�����,其特征在于��,還包括 提供和維護資源發(fā)布者根據(jù)其SNS中的用戶信息和好友關(guān)系配置權(quán)限���、定義角色及分配角色的接口。
8.根據(jù)權(quán)利要求6所述的方法����,其特征在于,所述根據(jù)用戶的權(quán)限判斷請求���,通過訪問所述訪問控制數(shù)據(jù)庫中存儲的規(guī)則判斷用戶的訪問權(quán)限的步驟包括 根據(jù)用戶的權(quán)限判斷請求�,通過訪問所述訪問控制數(shù)據(jù)庫中存儲的規(guī)則,調(diào)用資源數(shù)據(jù)接口和SNS數(shù)據(jù)接口來判斷用戶的權(quán)限�����; 其中 所述資源數(shù)據(jù)接口用于提供各種資源的屬性信息���; 所述SNS數(shù)據(jù)接口用于負責提供用戶的社交原型和社交關(guān)系��。
9.根據(jù)權(quán)利要求6所述的方法����,其特征在于�����,所述管理角色的創(chuàng)建��,為角色所關(guān)聯(lián)的資源指派訪問權(quán)限的步驟包括 根據(jù)所述資源發(fā)布者的請求建立角色��,并根據(jù)所述角色-資源關(guān)聯(lián)規(guī)則確定角色所關(guān)聯(lián)的資源���,并指派訪問資源的權(quán)限����。
10.根據(jù)權(quán)利要求6所述的方法���,其特征在于���,所述訪問控制數(shù)據(jù)庫存儲所述角色-資源關(guān)聯(lián)規(guī)則和所述用戶-角色關(guān)聯(lián)規(guī)則。
全文摘要
本發(fā)明公開了一種基于資源發(fā)布者自定義的訪問控制系統(tǒng)及方法�����,該系統(tǒng)包括訪問控制接口模塊���,用于提供與訪問控制相關(guān)的配置和查詢接口���;角色-資源映射規(guī)則管理模塊,用于管理角色和資源之間的映射規(guī)則���,通過訪問控制接口模塊接收特定格式的角色-資源之間的關(guān)聯(lián)規(guī)則�,并存儲至訪問控制數(shù)據(jù)庫�����;用戶-角色映射規(guī)則管理模塊�,用于管理用戶和角色之間的關(guān)聯(lián)規(guī)則���,通過訪問控制接口模塊接收特定格式的用戶-角色之間的關(guān)聯(lián)規(guī)則,并存儲至訪問控制數(shù)據(jù)庫�����;權(quán)限判斷模塊����,用于根據(jù)用戶的權(quán)限判斷請求,通過訪問訪問控制數(shù)據(jù)庫中存儲的映射規(guī)則判斷用戶的訪問權(quán)限�����;角色權(quán)限管理模塊�,用于管理角色的創(chuàng)建,為角色所關(guān)聯(lián)的資源指派訪問權(quán)限�����。
文檔編號G06F21/62GK102968599SQ201210413289
公開日2013年3月13日 申請日期2012年10月25日 優(yōu)先權(quán)日2012年10月25日
發(fā)明者裘曉峰, 賈金斗, 成城 申請人:北京郵電大學(xué)