專利名稱:訪問(wèn)權(quán)限的管理方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及智能卡技術(shù)領(lǐng)域,尤其涉及一種訪問(wèn)權(quán)限的管理方法及裝置。
背景技術(shù):
隨著技術(shù)的不斷發(fā)展,基于智能卡的通信系統(tǒng),特別是基于智能卡的數(shù)據(jù)庫(kù)系統(tǒng)得到了廣泛的應(yīng)用。雖然智能卡可以提供相對(duì)比較安全的通信環(huán)境,但是,在智能卡中,一般是直接基于智能卡的特性而提供基于口令的身份認(rèn)證和比較簡(jiǎn)單或?qū)S玫氖跈?quán)服務(wù)。但是,這些服務(wù)并不能滿足用戶對(duì)通用智能卡服務(wù)的需求。也就是說(shuō),基于智能卡的大多數(shù)應(yīng)用提供的對(duì)用戶訪問(wèn)權(quán)限的控制相對(duì)較弱。而隨著訪問(wèn)控制理論的發(fā)展,業(yè)界已經(jīng)提出了多種訪問(wèn)控制模型,并廣泛應(yīng)用于企業(yè)級(jí)的環(huán)境中。當(dāng)越來(lái)越多的基于智能卡的企業(yè)級(jí)或行業(yè)級(jí)應(yīng)用誕生后,用戶對(duì)智能卡系統(tǒng)所提供的通用服務(wù)也提出了更高的要求。相應(yīng)的,基于智能卡的通用安全服務(wù),特別是細(xì)粒度的授權(quán)與訪問(wèn)控制服務(wù)也越來(lái)越多的受到了重視。因此,如何在計(jì)算資源和存儲(chǔ)資源受限的智能卡系統(tǒng)中實(shí)現(xiàn)對(duì)用戶訪問(wèn)權(quán)限的細(xì)粒度的授權(quán)與訪問(wèn)控制,從而為用戶提供通用服務(wù)并降低對(duì)智能卡系統(tǒng)智能卡資源的要求,已經(jīng)成為業(yè)界亟待解決的問(wèn)題。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種實(shí)現(xiàn)通用訪問(wèn)控制且降低對(duì)智能卡系統(tǒng)智能卡性能的要求的訪問(wèn)權(quán)限的管理方法、裝置。本發(fā)明實(shí)施例采用如下技術(shù)方案一種訪問(wèn)權(quán)限的管理方法,包括接收用戶對(duì)智能卡資源的訪問(wèn)請(qǐng)求;根據(jù)所述訪問(wèn)請(qǐng)求獲取所述用戶所對(duì)應(yīng)的角色;確定所述用戶對(duì)應(yīng)的角色是否具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限;當(dāng)所述角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限時(shí),允許所述用戶對(duì)所述智能卡資源進(jìn)行訪問(wèn)。一種訪問(wèn)權(quán)限的管理裝置,包括請(qǐng)求接收單元,用于接收用戶對(duì)智能卡資源的訪問(wèn)請(qǐng)求;角色獲取單元,用于根據(jù)所述訪問(wèn)請(qǐng)求獲取所述用戶所對(duì)應(yīng)的角色;訪問(wèn)權(quán)限獲取單元,用于確定所述用戶對(duì)應(yīng)的角色是否具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限;訪問(wèn)控制單元,用于當(dāng)所述角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限時(shí),允許所述用戶對(duì)所述智能卡資源進(jìn)行訪問(wèn)。本發(fā)明實(shí)施例所述的訪問(wèn)權(quán)限的管理方法及裝置,根據(jù)用戶的訪問(wèn)請(qǐng)求獲取所述用戶所對(duì)應(yīng)的角色,并根據(jù)所述角色對(duì)應(yīng)的訪問(wèn)權(quán)限來(lái)確定所述用戶是否具有對(duì)其需訪問(wèn)的智能卡資源進(jìn)行訪問(wèn)的權(quán)限。因此,由上可以看出,本發(fā)明實(shí)施例所述的方法及裝置,是將用戶、智能卡資源、角色和訪問(wèn)權(quán)限抽象出來(lái)并不做任何限制,然后再根據(jù)所述用戶對(duì)應(yīng)的角色制定相應(yīng)的訪問(wèn)權(quán)限策略,從而使得所述方法和裝置能適用于各種類型的應(yīng)用系統(tǒng),具有通用性。并且,在智能卡系統(tǒng)中存儲(chǔ)的只是用戶-角色-訪問(wèn)權(quán)限這一記錄,因此, 本發(fā)明實(shí)施例所述的方法以及裝置降低了對(duì)智能卡系統(tǒng)智能卡性能的要求。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使用的附圖作一簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明實(shí)施例一訪問(wèn)權(quán)限的管理方法的流程圖;圖2為應(yīng)用本發(fā)明實(shí)施例的系統(tǒng)框架示意圖;圖3為本發(fā)明實(shí)施例二訪問(wèn)權(quán)限的管理方法的流程圖;圖4為第一種智能卡資源的授權(quán)信息的表示方式圖;圖5為第二種智能卡資源的授權(quán)信息的表示方式圖;圖6為本發(fā)明實(shí)施例訪問(wèn)權(quán)限的管理裝置的示意圖;圖7為本發(fā)明實(shí)施例訪問(wèn)權(quán)限的管理裝置的結(jié)構(gòu)圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。隨著訪問(wèn)控制理論的發(fā)展,業(yè)界已經(jīng)提出了多種訪問(wèn)控制模型,如DAC(自主訪問(wèn)控制模型,Discretionary Access Control)、MAC (強(qiáng)制訪問(wèn)控制模型,Mandatory Access Control)和RBAC(基于角色的訪問(wèn)控制模型,Role BasedAccess Control)。在這些訪問(wèn)控制模型中,由于RBAC具有高度的靈活性,并且能夠模擬出DAC和MAC兩種模型,因此近年來(lái)受到了高度的重視,已經(jīng)廣泛應(yīng)用于企業(yè)級(jí)的環(huán)境中。在PC和服務(wù)器級(jí)計(jì)算系統(tǒng)中實(shí)現(xiàn)的RBAC,系統(tǒng)中一般需要存儲(chǔ)主體(訪問(wèn)行為的發(fā)起者,包括用戶和角色)、資源(受保護(hù)的被訪問(wèn)對(duì)象)和訪問(wèn)行為,建立“用戶-角色”、 “角色-資源-訪問(wèn)行為”的對(duì)應(yīng)關(guān)系,并且每個(gè)對(duì)應(yīng)關(guān)系的實(shí)例都可作為一個(gè)元組記錄。 在RBAC系統(tǒng)中,角色是指為完成某項(xiàng)工作而應(yīng)具備的權(quán)限的集合。例如,在企業(yè)中,部門(mén)經(jīng)理就是一個(gè)角色,它本質(zhì)上對(duì)應(yīng)著一個(gè)權(quán)限的集合?;赗BAC的控制方法,如圖1所示,本發(fā)明實(shí)施例一提供了一種訪問(wèn)權(quán)限的管理方法,該方法可以應(yīng)用于智能卡中,包括步驟11、智能卡系統(tǒng)接收用戶對(duì)智能卡資源的訪問(wèn)請(qǐng)求。其中,在所述訪問(wèn)請(qǐng)求中可包括所述訪問(wèn)請(qǐng)求所對(duì)應(yīng)的訪問(wèn)行為以及所述用戶請(qǐng)求訪問(wèn)的智能卡資源的標(biāo)識(shí)等信息。步驟12、所述智能卡系統(tǒng)根據(jù)所述訪問(wèn)請(qǐng)求獲取所述用戶所對(duì)應(yīng)的角色。在系統(tǒng)初始化的過(guò)程中,可建立各用戶與各角色的對(duì)應(yīng)關(guān)系,因此,根據(jù)此對(duì)應(yīng)關(guān)系可獲得所述用戶對(duì)應(yīng)的角色。步驟13、所述智能卡系統(tǒng)確定所述用戶對(duì)應(yīng)的角色是否具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限。為了方便進(jìn)行智能卡資源的管理并節(jié)省存儲(chǔ)空間,在本發(fā)明實(shí)施例中,可將各種類型的智能卡資源按照樹(shù)形結(jié)構(gòu)進(jìn)行存儲(chǔ)。設(shè)智能卡系統(tǒng)中包括有一個(gè)數(shù)據(jù)庫(kù)智能卡資源,數(shù)據(jù)庫(kù)中包含的智能卡資源有表、字段等子資源。而對(duì)表或者字段,其對(duì)應(yīng)的訪問(wèn)行為有刪除表、創(chuàng)建表、查詢字段值等訪問(wèn)行為(也稱為操作)。并且該數(shù)據(jù)庫(kù)包含有專門(mén)用于存儲(chǔ)訪問(wèn)控制所需要的角色、資源、用戶、角色權(quán)限信息及用戶權(quán)限信息的表ROLES(角色)、OBJECTS (資源)、USERS (用戶)、PA (角色權(quán)限信息)、UA (用戶權(quán)限信息)等。根據(jù)以上建立的資源的存儲(chǔ)結(jié)構(gòu),在確定所述角色是否具有對(duì)智能卡資源的訪問(wèn)權(quán)限時(shí),可包括如下過(guò)程首先,所述智能卡系統(tǒng)解析由步驟11中獲得的所述用戶的訪問(wèn)請(qǐng)求,獲取所述訪問(wèn)請(qǐng)求對(duì)應(yīng)的訪問(wèn)行為以及所述用戶請(qǐng)求訪問(wèn)的智能卡資源的標(biāo)識(shí)。然后,根據(jù)所述訪問(wèn)行為確定所述用戶請(qǐng)求訪問(wèn)的智能卡資源的類型,并根據(jù)所述角色的角色標(biāo)識(shí)以及所述智能卡資源的標(biāo)識(shí),獲取所述角色對(duì)應(yīng)的權(quán)限信息以確定所述用戶對(duì)應(yīng)的角色是否具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限。(1)當(dāng)根據(jù)所述訪問(wèn)行為確定所述用戶請(qǐng)求訪問(wèn)的智能卡資源為僅有一種訪問(wèn)行為的智能卡資源時(shí)所述智能卡系統(tǒng)可首先獲取所述智能卡資源在其父資源中的編號(hào),并將所述編號(hào)作為其對(duì)應(yīng)的權(quán)限信息中的掩碼。然后所述智能卡系統(tǒng)根據(jù)所述角色的角色標(biāo)識(shí)以及所述智能卡資源的標(biāo)識(shí),查找角色授權(quán)信息表,獲取所述掩碼所表示的權(quán)限信息。在此,所述掩碼主要用于表示子資源的編號(hào)。然后,當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第一參考值時(shí),確定所述用戶對(duì)應(yīng)的角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限,當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第二參考值時(shí),確定所述角色不具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限。為了進(jìn)一步增強(qiáng)智能卡系統(tǒng)的安全性,在此實(shí)施例中,還可對(duì)權(quán)限信息做進(jìn)一步的判斷,在權(quán)限信息中增加“反向授權(quán)”的判斷。具體過(guò)程為若所述權(quán)限信息中所述訪問(wèn)行為對(duì)應(yīng)的“無(wú)本級(jí)訪問(wèn)權(quán)限”所對(duì)應(yīng)的比特位表示不允許訪問(wèn)時(shí),則所述角色不具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限;若所述權(quán)限信息中所述訪問(wèn)行為對(duì)應(yīng)的“無(wú)本級(jí)訪問(wèn)權(quán)限”所對(duì)應(yīng)的比特位表示允許訪問(wèn)時(shí),當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第一參考值時(shí),確定所述用戶對(duì)應(yīng)的角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限,當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第二參考值時(shí),確定所述角色不具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限。其中,所述第一參考值可設(shè)置為1,所述第二參考值可設(shè)置為0?;蛘哌€可有其他的設(shè)置方式,只需將第一參考值和第二參考值區(qū)分開(kāi)即可。在所述權(quán)限信息中所述訪問(wèn)行為對(duì)應(yīng)的“無(wú)本級(jí)訪問(wèn)權(quán)限”所對(duì)應(yīng)的比特位表示允許訪問(wèn)、在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第二參考值時(shí),還可進(jìn)一步獲取所述角色對(duì)所述智能卡資源的父資源的權(quán)限信息,若對(duì)于所述父資源,所述角色的權(quán)限信息中的 “本級(jí)及下級(jí)全部權(quán)限”對(duì)應(yīng)的比特位表示允許訪問(wèn)時(shí),則所述角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限;否則繼續(xù)獲取所述角色對(duì)所述父資源的父資源的權(quán)限信息并按照上述過(guò)程遞歸地進(jìn)行權(quán)限判斷,直至處理到根節(jié)點(diǎn)的權(quán)限信息為止,如果所述角色依然沒(méi)有相應(yīng)的訪問(wèn)權(quán)限,則不允許所述角色訪問(wèn)所述智能卡資源。通過(guò)這個(gè)過(guò)程實(shí)現(xiàn)權(quán)限的傳播過(guò)程。在本發(fā)明實(shí)施例中,權(quán)限信息中的“無(wú)本級(jí)訪問(wèn)權(quán)限”所對(duì)應(yīng)的比特位用1或0來(lái)表示。當(dāng)該比特位為1時(shí),表示允許訪問(wèn),為0時(shí)表示不允許訪問(wèn)?;蛘呦喾?。(2)當(dāng)根據(jù)所述訪問(wèn)行為確定所述用戶請(qǐng)求訪問(wèn)的智能卡資源為有兩種以上訪問(wèn)行為的智能卡資源時(shí)所述智能卡系統(tǒng)根據(jù)所述角色的角色標(biāo)識(shí)以及所述智能卡資源的標(biāo)識(shí),查找角色授權(quán)信息表,獲取所述掩碼所表示的權(quán)限信息。在此,所述掩碼主要用于表示操作或者訪問(wèn)行為的編號(hào)。然后,當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第一參考值時(shí),確定所述用戶對(duì)應(yīng)的角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限,當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第二參考值時(shí),確定所述角色不具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限。為了進(jìn)一步增強(qiáng)智能卡系統(tǒng)的安全性,在此實(shí)施例中,還可對(duì)權(quán)限信息做進(jìn)一步的判斷,在權(quán)限信息中增加“反向授權(quán)”的判斷。具體過(guò)程為若所述權(quán)限信息中所述訪問(wèn)行為對(duì)應(yīng)的“無(wú)本級(jí)訪問(wèn)權(quán)限”所對(duì)應(yīng)的比特位表示不允許訪問(wèn)時(shí),則所述角色不具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限;若所述權(quán)限信息中所述訪問(wèn)行為對(duì)應(yīng)的“無(wú)本級(jí)訪問(wèn)權(quán)限”所對(duì)應(yīng)的比特位表示允許訪問(wèn)時(shí),當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第一參考值時(shí),確定所述用戶對(duì)應(yīng)的角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限,當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第二參考值時(shí),確定所述角色不具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限。其中,所述第一參考值可設(shè)置為1,所述第二參考值可設(shè)置為0。或者還可有其他的設(shè)置方式,只需將第一參考值和第二參考值區(qū)分開(kāi)即可。在所述權(quán)限信息中所述訪問(wèn)行為對(duì)應(yīng)的“無(wú)本級(jí)訪問(wèn)權(quán)限”所對(duì)應(yīng)的比特位表示允許訪問(wèn)、在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第二參考值時(shí),還可進(jìn)一步獲取所述角色對(duì)所述智能卡資源的父資源的權(quán)限信息,若對(duì)于所述父資源,所述角色的權(quán)限信息中的 “本級(jí)及下級(jí)全部權(quán)限”對(duì)應(yīng)的比特位表示允許訪問(wèn)時(shí),則所述角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限;否則繼續(xù)獲取所述角色對(duì)所述父資源的父資源的權(quán)限信息并按照上述過(guò)程遞歸地進(jìn)行權(quán)限判斷,直至處理到根節(jié)點(diǎn)的權(quán)限信息為止,如果所述角色依然沒(méi)有相應(yīng)的訪問(wèn)權(quán)限,則不允許所述角色訪問(wèn)所述智能卡資源。通過(guò)這個(gè)過(guò)程實(shí)現(xiàn)權(quán)限的傳播過(guò)程。在本發(fā)明實(shí)施例中,權(quán)限信息中的“無(wú)本級(jí)訪問(wèn)權(quán)限”所對(duì)應(yīng)的比特位用1或0來(lái)表示。當(dāng)該比特位為1時(shí),表示允許訪問(wèn),為0時(shí)表示不允許訪問(wèn)?;蛘呦喾?。步驟14、當(dāng)所述角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限時(shí),允許所述用戶對(duì)智能卡資源進(jìn)行訪問(wèn)。本發(fā)明實(shí)施例所述的訪問(wèn)權(quán)限的管理方法,根據(jù)用戶的訪問(wèn)請(qǐng)求獲取所述用戶所對(duì)應(yīng)的角色,并根據(jù)所述角色對(duì)應(yīng)的訪問(wèn)權(quán)限來(lái)確定所述用戶是否具有對(duì)其需訪問(wèn)的智能卡資源進(jìn)行訪問(wèn)的權(quán)限。因此,由上可以看出,本發(fā)明實(shí)施例所述的方法,是將用戶、智能卡資源、角色和訪問(wèn)權(quán)限從具體的應(yīng)用系統(tǒng)中抽象出來(lái),然后再根據(jù)所述用戶對(duì)應(yīng)的角色制定相應(yīng)的訪問(wèn)權(quán)限策略,從而使得所述方法能適用于各種類型的應(yīng)用系統(tǒng),具有通用性。并且,在智能卡系統(tǒng)中存儲(chǔ)的只是用戶-角色-訪問(wèn)權(quán)限這一記錄,該權(quán)限記錄同時(shí)包含了角色對(duì)資源的多個(gè)訪問(wèn)行為,即通過(guò)一個(gè)角色授權(quán)記錄達(dá)到表示多個(gè)授權(quán)信息的作用,因此, 本發(fā)明實(shí)施例所述的方法以及裝置降低了對(duì)智能卡系統(tǒng)智能卡性能的要求。以下,結(jié)合實(shí)施例二詳細(xì)地描述一下訪問(wèn)權(quán)限的管理方法的實(shí)現(xiàn)過(guò)程。由于本發(fā)明實(shí)施例所述的方法是基于RBAC的方法,所以,如圖2所示,可在如下框架內(nèi)實(shí)現(xiàn)本發(fā)明實(shí)施例的方法。其中包括用戶管理模塊(UM)完成對(duì)系統(tǒng)中所有用戶的統(tǒng)一管理,包括系統(tǒng)管理員和普通用戶的管理。角色管理模塊(RM)完成對(duì)系統(tǒng)中所有角色的統(tǒng)一管理,包括系統(tǒng)管理角色和普通角色的管理。智能卡資源管理模塊(OM)完成對(duì)系統(tǒng)中所有智能卡資源的統(tǒng)一管理,包括系統(tǒng)智能卡資源和普通智能卡資源的管理。用戶權(quán)限管理模塊(UA)負(fù)責(zé)為用戶授予角色及從用戶回收角色。角色權(quán)限管理模塊(PA):負(fù)責(zé)為角色授權(quán)及從角色回收訪問(wèn)智能卡資源的權(quán)限。認(rèn)證登錄系統(tǒng)負(fù)責(zé)對(duì)進(jìn)入系統(tǒng)的用戶的身份的合法性進(jìn)行檢查,并建立必要的安全上下文環(huán)境,主要用于提供當(dāng)前登錄入智能卡內(nèi)的用戶及其角色信息。會(huì)話管理模塊(SM)負(fù)責(zé)從用戶登錄到用戶登出的整個(gè)周期的管理和維護(hù)。它是卡端系統(tǒng)和外界通信的唯一通道。如圖3所示,本發(fā)明實(shí)施例二訪問(wèn)權(quán)限的管理方法包括步驟21、存儲(chǔ)智能卡系統(tǒng)中的智能卡資源。在本發(fā)明實(shí)施例中,與實(shí)施例一中描述的相同,為了方便進(jìn)行智能卡資源的管理并節(jié)省存儲(chǔ)空間,將各種類型的智能卡資源按照樹(shù)形結(jié)構(gòu)進(jìn)行存儲(chǔ)。設(shè)智能卡系統(tǒng)中包括有一個(gè)數(shù)據(jù)庫(kù)智能卡資源,數(shù)據(jù)庫(kù)中包含的智能卡資源有表、字段等子資源,而對(duì)表或者字段,其對(duì)應(yīng)的訪問(wèn)行為有刪除表、創(chuàng)建表、查詢字段值等訪問(wèn)行為(也稱為操作),并且該數(shù)據(jù)庫(kù)包含有專門(mén)用于存儲(chǔ)訪問(wèn)控制所需要的角色、資源、用戶、角色權(quán)限信息及用戶權(quán)限信息的表:R0LES (角色)、OBJECTS (資源)、USERS (用戶)、PA(角色權(quán)限信息)、UA(用戶權(quán)限信息)等。如表1所示,其中,每種類型的智能卡資源都綁定一個(gè)訪問(wèn)行為的集合,而所述集合是在創(chuàng)建所述智能卡資源類型的時(shí)候創(chuàng)建的。其中,用戶的某個(gè)訪問(wèn)行為可以是具體的訪問(wèn)動(dòng)作,如表1中的“刪除記錄”?;蛘哌€可以是抽象的訪問(wèn)動(dòng)作,如表1中的“查詢?nèi)坑涗洝?。其中,?duì)于某種智能卡資源的訪問(wèn)行為的種類,可以根據(jù)應(yīng)用的不同而進(jìn)行不同的設(shè)置。表 權(quán)利要求
1.一種訪問(wèn)權(quán)限的管理方法,其特征在于,包括接收用戶對(duì)智能卡資源的訪問(wèn)請(qǐng)求;根據(jù)所述訪問(wèn)請(qǐng)求獲取所述用戶所對(duì)應(yīng)的角色;確定所述用戶對(duì)應(yīng)的角色是否具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限;當(dāng)所述角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限時(shí),允許所述用戶對(duì)所述智能卡資源進(jìn)行訪問(wèn)。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,確定所述用戶對(duì)應(yīng)的角色是否具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限包括解析所述用戶的訪問(wèn)請(qǐng)求,獲取所述訪問(wèn)請(qǐng)求對(duì)應(yīng)的訪問(wèn)行為、所述用戶請(qǐng)求訪問(wèn)的智能卡資源的標(biāo)識(shí);根據(jù)所述角色的角色標(biāo)識(shí)以及所述智能卡資源的標(biāo)識(shí),獲取所述角色對(duì)應(yīng)的權(quán)限信息;當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第一參考值時(shí),確定所述用戶對(duì)應(yīng)的角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限;當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第二參考值時(shí),確定所述角色不具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第一參考值時(shí),確定所述用戶對(duì)應(yīng)的角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限;當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第二參考值時(shí),確定所述角色不具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限具體為若所述權(quán)限信息中所述訪問(wèn)行為對(duì)應(yīng)的“無(wú)本級(jí)訪問(wèn)權(quán)限”所對(duì)應(yīng)的比特位表示不允許訪問(wèn)時(shí),則所述角色不具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限;若所述權(quán)限信息中所述訪問(wèn)行為對(duì)應(yīng)的“無(wú)本級(jí)訪問(wèn)權(quán)限”所對(duì)應(yīng)的比特位表示允許訪問(wèn)時(shí),當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第一參考值時(shí),確定所述用戶對(duì)應(yīng)的角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限,當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第二參考值時(shí),確定所述角色不具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,在所述權(quán)限信息中所述訪問(wèn)行為對(duì)應(yīng)的 “無(wú)本級(jí)訪問(wèn)權(quán)限”所對(duì)應(yīng)的比特位表示允許訪問(wèn)、在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第二參考值時(shí),獲取所述角色對(duì)所述智能卡資源的父資源的權(quán)限信息,若對(duì)于所述父資源, 所述角色的權(quán)限信息中的“本級(jí)及下級(jí)全部權(quán)限”對(duì)應(yīng)的比特位表示允許訪問(wèn)時(shí),則所述角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限;否則所述角色不具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限。
5.根據(jù)權(quán)利要求2或3或4所述的方法,其特征在于,在根據(jù)所述角色的角色標(biāo)識(shí)以及所述智能卡資源的標(biāo)識(shí),獲取所述角色對(duì)應(yīng)的權(quán)限信息前,所述方法還包括當(dāng)根據(jù)所述訪問(wèn)行為確定所述用戶請(qǐng)求訪問(wèn)的智能卡資源為僅有一種訪問(wèn)行為的智能卡資源時(shí),獲取所述智能卡資源在其父資源中的編號(hào),并將所述編號(hào)作為所述掩碼。
6.根據(jù)權(quán)利要求1-4任一所述的方法,其特征在于,在所述接收用戶對(duì)智能卡資源的訪問(wèn)請(qǐng)求前,所述方法還包括存儲(chǔ)各智能卡資源;建立各用戶與各角色的對(duì)應(yīng)關(guān)系;設(shè)置所述角色的權(quán)限信息。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,所述角色的權(quán)限信息用四元組表示,其中所述四元組包括(RoleID,Obj ID, ObjType, Grant Info);其中,所述RoleID表示角色的角色標(biāo)識(shí),所述ObjID表示智能卡資源的標(biāo)識(shí),所述ObjType表示智能卡資源的類型標(biāo)識(shí),所述GrantInfo表示角色擁有的對(duì)所述智能卡資源的授權(quán)信息。
8.根據(jù)權(quán)利要求1-4任一所述的方法,其特征在于,分別為各用戶、各角色以及各智能卡資源設(shè)置安全級(jí)別。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于,在所述接收用戶對(duì)智能卡資源的訪問(wèn)請(qǐng)求后,所述方法還包括確定所述用戶對(duì)應(yīng)的安全級(jí)別和所述智能卡資源對(duì)應(yīng)的安全級(jí)別是否匹配。
10.根據(jù)權(quán)利要求9所述的方法,其特征在于,在根據(jù)所述訪問(wèn)請(qǐng)求獲取所述用戶所對(duì)應(yīng)的角色后,所述方法還包括確定所述角色的安全級(jí)別與所述智能卡資源對(duì)應(yīng)的安全級(jí)別是否匹配。
11.一種訪問(wèn)權(quán)限的管理裝置,其特征在于,包括請(qǐng)求接收單元,用于接收用戶對(duì)智能卡資源的訪問(wèn)請(qǐng)求;角色獲取單元,用于根據(jù)所述訪問(wèn)請(qǐng)求獲取所述用戶所對(duì)應(yīng)的角色;訪問(wèn)權(quán)限獲取單元,用于確定所述用戶對(duì)應(yīng)的角色是否具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限;訪問(wèn)控制單元,用于當(dāng)所述角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限時(shí),允許所述用戶對(duì)所述智能卡資源進(jìn)行訪問(wèn)。
12.根據(jù)權(quán)利要求11所述的裝置,其特征在于,所述訪問(wèn)控制單元包括解析模塊,用于解析所述用戶的訪問(wèn)請(qǐng)求,獲取所述訪問(wèn)請(qǐng)求對(duì)應(yīng)的訪問(wèn)行為、所述用戶請(qǐng)求訪問(wèn)的智能卡資源的標(biāo)識(shí);權(quán)限信息獲取模塊,用于根據(jù)所述角色的角色標(biāo)識(shí)以及所述智能卡資源的標(biāo)識(shí),獲取所述角色對(duì)應(yīng)的權(quán)限信息;權(quán)限確定模塊,用于當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第一參考值時(shí),確定所述用戶對(duì)應(yīng)的角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限;當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第二參考值時(shí),確定所述角色不具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限。
13.根據(jù)權(quán)利要求12所述的裝置,其特征在于,所述權(quán)限確定模塊具體用于,若所述權(quán)限信息中所述訪問(wèn)行為對(duì)應(yīng)的“無(wú)本級(jí)訪問(wèn)權(quán)限”所對(duì)應(yīng)的比特位表示不允許訪問(wèn)時(shí),則所述角色不具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限;若所述權(quán)限信息中所述訪問(wèn)行為對(duì)應(yīng)的“無(wú)本級(jí)訪問(wèn)權(quán)限”所對(duì)應(yīng)的比特位表示允許訪問(wèn)時(shí),當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第一參考值時(shí),確定所述用戶對(duì)應(yīng)的角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限,當(dāng)在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第二參考值時(shí),確定所述角色不具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限。
14.根據(jù)權(quán)利要求13所述的裝置,其特征在于,所述權(quán)限確定模塊還用于,在所述權(quán)限信息中所述訪問(wèn)行為對(duì)應(yīng)的“無(wú)本級(jí)訪問(wèn)權(quán)限”所對(duì)應(yīng)的比特位表示允許訪問(wèn)、在所述權(quán)限信息中掩碼對(duì)應(yīng)的比特位為第二參考值時(shí),獲取所述角色對(duì)所述智能卡資源的父資源的權(quán)限信息,若對(duì)于所述父資源,所述角色的權(quán)限信息中的“本級(jí)及下級(jí)全部權(quán)限”對(duì)應(yīng)的比特位表示允許訪問(wèn)時(shí),則所述角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限;否則所述角色不具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限。
15.根據(jù)權(quán)利要求12或13或14所述的裝置,其特征在于,所述訪問(wèn)控制單元還包括 智能卡資源類型確定模塊,用于根據(jù)所述訪問(wèn)行為確定所述用戶請(qǐng)求訪問(wèn)的智能卡資源是否為僅有一種訪問(wèn)行為的智能卡資源;所述權(quán)限確定模塊,還用于當(dāng)根據(jù)所述訪問(wèn)行為確定所述用戶請(qǐng)求訪問(wèn)的智能卡資源為僅有一種訪問(wèn)行為的智能卡資源時(shí),獲取所述智能卡資源在其父資源中的編號(hào),并將所述編號(hào)作為所述掩碼。
16.根據(jù)權(quán)利要求11-14任一所述的裝置,其特征在于,所述裝置還包括 存儲(chǔ)單元,用于存儲(chǔ)各智能卡資源;設(shè)置單元,用于建立各用戶與各角色的對(duì)應(yīng)關(guān)系,并設(shè)置所述角色的權(quán)限信息。
17.根據(jù)權(quán)利要求16所述的裝置,其特征在于,所述設(shè)置單元還用于分別為各用戶、各角色以及各智能卡資源設(shè)置安全級(jí)別。
18.根據(jù)權(quán)利要求17所述的裝置,其特征在于,所述裝置還包括安全等級(jí)判斷單元,用于確定所述用戶對(duì)應(yīng)的安全級(jí)別和所述智能卡資源對(duì)應(yīng)的安全級(jí)別是否匹配;或者確定所述角色的安全級(jí)別與所述智能卡資源對(duì)應(yīng)的安全級(jí)別是否匹配。
全文摘要
本發(fā)明實(shí)施例公開(kāi)了一種訪問(wèn)權(quán)限的管理方法及裝置,涉及智能卡技術(shù)領(lǐng)域,以達(dá)到通用訪問(wèn)控制且降低對(duì)智能卡系統(tǒng)性能要求的目的。所述方法包括接收用戶對(duì)智能卡資源的訪問(wèn)請(qǐng)求;根據(jù)所述訪問(wèn)請(qǐng)求獲取所述用戶所對(duì)應(yīng)的角色;確定所述用戶對(duì)應(yīng)的角色是否具有所述資源的訪問(wèn)權(quán)限;當(dāng)所述角色具有對(duì)所述智能卡資源的訪問(wèn)權(quán)限時(shí),允許所述用戶對(duì)智能卡資源進(jìn)行訪問(wèn)。本發(fā)明實(shí)施例主要用于智能卡技術(shù)領(lǐng)域中。
文檔編號(hào)H04L29/06GK102231693SQ20101015637
公開(kāi)日2011年11月2日 申請(qǐng)日期2010年4月22日 優(yōu)先權(quán)日2010年4月22日
發(fā)明者包義保, 徐中華 申請(qǐng)人:北京握奇數(shù)據(jù)系統(tǒng)有限公司