CN104504343A - 一种基于资源粒度的权限控制方法 - Google Patents
一种基于资源粒度的权限控制方法 Download PDFInfo
- Publication number
- CN104504343A CN104504343A CN201410738336.8A CN201410738336A CN104504343A CN 104504343 A CN104504343 A CN 104504343A CN 201410738336 A CN201410738336 A CN 201410738336A CN 104504343 A CN104504343 A CN 104504343A
- Authority
- CN
- China
- Prior art keywords
- resource
- user
- authority
- authority control
- control method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及资源操作权限控制技术领域,特别是一种基于资源粒度权限控制方法。本发明首先由管理员根据资源的类型进行预授权给特定的角色,接着,当授权用户对资源执行操作时,权限控制***判定该用户是否具备操作权限;如果存在,权限控制***继续检测该用户是否为资源的创建者,否则权限控制***检测该用户是否通过授权获得对资源的操作权限;如果操作用户通过判定确定为资源的创建者,执行对资源的操作,否则进入权限控制***检测该用户是否通过授权获得对资源的操作权限;如果用户通过检测确认通过授权获得对资源的操作权限,则允许执行对资源的操作,否则拒绝执行。本发明解决了云计算环境中对资源的操作权限控制繁琐问题;可应用于云计算中对虚拟机资源粒度的权限控制上。
Description
技术领域
本发明涉及资源操作权限控制技术领域,特别是一种基于资源粒度权限控制方法。
背景技术
在资源管理***中,通常采用基于角色的权限控制***,只能限制用户对某个功能的操作。这种限制方法的粒度太粗,只适合简单的信息***,在同一种角色的不同用户对相同资源具有不同控制权限的情况下;比如,在云计算环境下,所有普通用户都可以对云主机进行控制,但不同的用户只能对自己购买的云主机才能进行控制。这时候这种方法并不适用,一般会在基于角色的权限控制***的基础上加入对用户名的硬性判断来实现,实现步骤如下:
1、同传统的基于角色的权限控制***一样,首先授予具体的角色对操作的执行权限,然后把角色授予用户;
2、为具体的用户授予对已有资源的控制权限;
3、用户执行操作后,权限控制***首先判断该用户被授予的角色是否有操作的执行权限,如果没有权限,则直接拒绝操作,如果有权限,则继续;
4、权限控制***查找用户对已有资源的控制权限,如果有控制权限,则允许操作,否则拒绝操作。
上述方法有如下弊端:
一是管理员需要对所有用户重新授权,配置工作量比较大,某些约定的规则,比如资源的创建人可以对资源进行控制,也不能免去配置的步骤;
二是控制方法不够灵活,这种方法对所有资源采取“一刀切”的处理办法,所有的资源授权后才能被控制,对某些不需要进行权限控制的资源来说是多余的。而且没有预授权机制,只能对已有的资源进行权限控制,每次新建资源以后管理员都必须先授权。
三是用户对资源的操作权限依赖该用户的角色权限,如果用户所述的角色不具备某个操作权限,便不能对其配置该操作权限,对于云计算环境中复杂灵活的应用场景,比如期望通过授权获取高级功能(该用户的角色是不具备此功能的)是无法满足的;
为了提升资源权限控制有效性,减少管理工作量,提高配置灵活性,适应灵活使用场景,需要一种通过资源粒度控制资源权限,在资源使用过程中,将资源操作权限直接授权给用户,进行权限控制的方式。
发明内容
本发明解决的技术问题在于提供一种基于资源粒度的权限管理方法,解决了为满足减少大量权限配置工作、根据实际业务需要灵活配置权限、适应灵活使用场景等问题。
本发明解决上述技术问题的技术方案是:
所述的方法包括如下步骤:
步骤1:根据资源的类型进行预授权给特定的角色;
步骤2:资源A创建以后,记录创建者B等信息,创建者B可以将对资源A的操作权限授予给用户C、用户E等;
步骤3:用户C对资源A执行操作D以后,权限控制***首先判断用户C是否有操作D的执行权限,如果有,执行步骤4,如果没有,执行步骤5;
步骤4:权限***判断资源A的创建者是否为用户C,如果是,执行步骤7,如果不是,执行步骤5;
步骤5:权限***判断资源A的创建者B是否有把对资源A的操作D的权限授予给用户C,如果有,执行步骤7,如果没有,执行步骤6;
步骤6:拒绝用户C对资源A执行的D操作,执行步骤8;
步骤7:执行对资源A的D操作;
步骤8:结束权限控制流程。
所述的权限控制检测用户对是否具备功能D的操作权限进行判断时不涉及D的具体操作资源对象。
所述的资源创建者是***的管理员,该用户由约定规则,具备对资源A的所有操作权限。
所述的资源使用者操作权限是资源的非创建用户、非管理用户,该用户通过***资源管理员或资源创建者授权资源使用的方式,获得资源的使用权限;如无授权,不具备对资源的操作权限,即使该用户角色具备此操作权限。
本发明通过将资源操作权限确定规则规定资源创建者用于对资源的全部操作权限,不需要做额外的配置,极大免除了管理员的管理配置工作;本发明通过基于资源粒度分配权限,使资源在基于用户角色的操作前提下还能基于资源的操作权限工作,是一种高安全级别的控制方法;本发明的方法对资源的授权采取粗细结合的方式,既免去管理员繁重的配置工作量,也能满足对资源进行精细化配置的需求;本发明也提供很大的灵活性,对于基于角色的权限控制,用户的操作权限需要基于角色,对于角色没有的操作权限用户即不具备,而本发明提供将其所属角色没有的操作权限单独授权,使用户获得对特定资源的操作权限,在保证管理的统一性前提下又提高了灵活性;本发明的方法权限控制方式比较灵活,可以简单的配置方式将资源排除在权限控制***之外,是一种侵入性较弱的权限控制方法。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明方法流程图;
具体实施方式
如图所示,资源创建者先将资源授权给非管理员、非创建者用户,授权后用户能够对资源执行操作。主要代码如下:
当用户登录***后,执行对资源的操作时,权限检测***首先检测用户是否具备功能的操作权限,主要代码如下:
其中对于判断用户是否具备的功能权限代码如下:
最后,权限控制***判断用户是否具有对资源的操作权限,如果通过主要代码如下:
Claims (5)
1.一种基于资源粒度的权限控制方法,其特征在于:所述的方法包括如下步骤:
步骤1:根据资源的类型进行预授权给特定的角色;
步骤2:资源A创建以后,记录创建者B等信息,创建者B可以将对资源A的操作权限授予给用户C、用户E等;
步骤3:用户C对资源A执行操作D以后,权限控制***首先判断用户C是否有操作D的执行权限,如果有,执行步骤4,如果没有,执行步骤5;
步骤4:权限***判断资源A的创建者是否为用户C,如果是,执行步骤7,如果不是,执行步骤5;
步骤5:权限***判断资源A的创建者B是否有把对资源A的操作D的权限授予给用户C,如果有,执行步骤7,如果没有,执行步骤6;
步骤6:拒绝用户C对资源A执行的D操作,执行步骤8;
步骤7:执行对资源A的D操作;
步骤8:结束权限控制流程。
2.根据权利要求1中所述的基于资源粒度的权限控制方法,其特征在于:所述的权限控制检测用户对是否具备功能D的操作权限进行判断时不涉及D的具体操作资源对象。
3.根据权利要求1中所述的基于资源粒度的权限控制方法,其特征在于:所述的资源创建者是***的管理员,该用户由约定规则,具备对资源A的所有操作权限。
4.根据权利要求2中所述的基于资源粒度的权限控制方法,其特征在于:所述的资源创建者是***的管理员,该用户由约定规则,具备对资源A的所有操作权限。
5.根据权利1至4任一项中所述的的基于资源粒度的权限控制方法,其特征在于:所述的资源使用者操作权限是资源的非创建用户、非管理用户,该用户通过***资源管理员或资源创建者授权资源使用的方式,获得资源的使用权限;如无授权,不具备对资源的操作权限,即使该用户角色具备此操作权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410738336.8A CN104504343A (zh) | 2014-12-05 | 2014-12-05 | 一种基于资源粒度的权限控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410738336.8A CN104504343A (zh) | 2014-12-05 | 2014-12-05 | 一种基于资源粒度的权限控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104504343A true CN104504343A (zh) | 2015-04-08 |
Family
ID=52945739
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410738336.8A Pending CN104504343A (zh) | 2014-12-05 | 2014-12-05 | 一种基于资源粒度的权限控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104504343A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107852408A (zh) * | 2015-07-17 | 2018-03-27 | Lg 电子株式会社 | 在无线通信***中保持资源同步的方法及其装置 |
| CN107911465A (zh) * | 2017-11-28 | 2018-04-13 | 国云科技股份有限公司 | 一种多云平台的资源粒度过滤方法 |
| CN108280354A (zh) * | 2017-01-05 | 2018-07-13 | 珠海金山办公软件有限公司 | 一种权限模板的使用方法及装置 |
| WO2019052496A1 (zh) * | 2017-09-14 | 2019-03-21 | 腾讯科技(深圳)有限公司 | 云存储的帐号鉴权方法和服务器 |
| CN110414211A (zh) * | 2019-07-29 | 2019-11-05 | 浪潮软件集团有限公司 | 一种基于资源的ioss权限管理方法 |
| CN111090839A (zh) * | 2018-10-23 | 2020-05-01 | 阿里巴巴集团控股有限公司 | 一种资源操作权限管理方法、装置、电子设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770169A (zh) * | 2004-11-05 | 2006-05-10 | 国际商业机器公司 | 向用户/组授予访问控制列表所有权的访问控制***和方法 |
| CN102902898A (zh) * | 2012-09-21 | 2013-01-30 | 中国科学院信息工程研究所 | 多维数字媒体的资源使用控制方法及装置 |
| CN102968599A (zh) * | 2012-10-25 | 2013-03-13 | 北京邮电大学 | 基于资源发布者自定义的访问控制***及方法 |
| CN102984000A (zh) * | 2012-11-22 | 2013-03-20 | 百度在线网络技术(北京)有限公司 | 基于Policy语言的云资源的权限管理方法以及装置 |
| CN103049684A (zh) * | 2012-12-21 | 2013-04-17 | 大唐软件技术股份有限公司 | 一种基于rbac模型扩展的数据权限控制方法和*** |
-
2014
- 2014-12-05 CN CN201410738336.8A patent/CN104504343A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770169A (zh) * | 2004-11-05 | 2006-05-10 | 国际商业机器公司 | 向用户/组授予访问控制列表所有权的访问控制***和方法 |
| CN102902898A (zh) * | 2012-09-21 | 2013-01-30 | 中国科学院信息工程研究所 | 多维数字媒体的资源使用控制方法及装置 |
| CN102968599A (zh) * | 2012-10-25 | 2013-03-13 | 北京邮电大学 | 基于资源发布者自定义的访问控制***及方法 |
| CN102984000A (zh) * | 2012-11-22 | 2013-03-20 | 百度在线网络技术(北京)有限公司 | 基于Policy语言的云资源的权限管理方法以及装置 |
| CN103049684A (zh) * | 2012-12-21 | 2013-04-17 | 大唐软件技术股份有限公司 | 一种基于rbac模型扩展的数据权限控制方法和*** |
Non-Patent Citations (1)
| Title |
|---|
| 邬小鲁 等: "基于粒度的访问控制冲突分析及解决办法", 《舰船电子工程》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107852408A (zh) * | 2015-07-17 | 2018-03-27 | Lg 电子株式会社 | 在无线通信***中保持资源同步的方法及其装置 |
| CN108280354A (zh) * | 2017-01-05 | 2018-07-13 | 珠海金山办公软件有限公司 | 一种权限模板的使用方法及装置 |
| WO2019052496A1 (zh) * | 2017-09-14 | 2019-03-21 | 腾讯科技(深圳)有限公司 | 云存储的帐号鉴权方法和服务器 |
| CN109510849A (zh) * | 2017-09-14 | 2019-03-22 | 腾讯科技(深圳)有限公司 | 云存储的帐号鉴权方法和装置 |
| US11265306B2 (en) | 2017-09-14 | 2022-03-01 | Tencent Technology (Shenzhen) Company Ltd | Account authentication method for cloud storage, and server |
| CN107911465A (zh) * | 2017-11-28 | 2018-04-13 | 国云科技股份有限公司 | 一种多云平台的资源粒度过滤方法 |
| CN111090839A (zh) * | 2018-10-23 | 2020-05-01 | 阿里巴巴集团控股有限公司 | 一种资源操作权限管理方法、装置、电子设备和存储介质 |
| CN110414211A (zh) * | 2019-07-29 | 2019-11-05 | 浪潮软件集团有限公司 | 一种基于资源的ioss权限管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104504343A (zh) | 一种基于资源粒度的权限控制方法 | |
| US20170237729A1 (en) | Securing user-accessed applications in a distributed computing environment | |
| US10348734B2 (en) | Security bypass environment for circumventing a security application in a computing environment | |
| US10216937B2 (en) | Secure BIOS password method in server computer | |
| US9078129B1 (en) | Knowledge-based authentication for restricting access to mobile devices | |
| GB2599273A (en) | Fine-grained token based access control | |
| JP2014534515A5 (zh) | ||
| WO2017161569A1 (zh) | 访问控制的方法、装置和*** | |
| CN107707572A (zh) | 一种基于角色的web安全访问控制方法 | |
| US20170220792A1 (en) | Constraining authorization tokens via filtering | |
| US11343260B2 (en) | Gradual credential disablement | |
| CN106997440A (zh) | 一种角色访问控制方法 | |
| CN103428191A (zh) | 基于cas框架与指纹相结合的单点登录方法 | |
| WO2019006998A1 (zh) | Node.js权限控制方法、存储介质、电子设备及*** | |
| CN101860436A (zh) | 一项精准控制***用户数据权限的技术 | |
| US20180343239A1 (en) | Hard coded credential bypassing | |
| Gkioulos et al. | Enhancing usage control for performance: An architecture for systems of systems | |
| Huang et al. | A trust-based cloud computing access control model | |
| US9442808B1 (en) | Session tickets for a backup and recovery system | |
| CN113472717B (zh) | Sdn访问控制方法、装置和计算机可读存储介质 | |
| CN104268090B (zh) | 一种控制分布式***容量的方法和装置 | |
| IV | WORKLOAD IDENTITY MANAGEMENT USING AGENT AND CONTROLLER | |
| CN107733650A (zh) | 账户密码的动态设定方法 | |
| Xu et al. | Research on Access Control Strategies for Medical Data Interaction Platform Based on Cloud Services | |
| Han et al. | Poster: Using quantified risk and benefit to strengthen the security of information sharing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150408 |
|
| RJ01 | Rejection of invention patent application after publication |