CN114553484B - 一种基于二维安全标记的双重访问权限控制方法及*** - Google Patents
一种基于二维安全标记的双重访问权限控制方法及*** Download PDFInfo
- Publication number
- CN114553484B CN114553484B CN202210055842.1A CN202210055842A CN114553484B CN 114553484 B CN114553484 B CN 114553484B CN 202210055842 A CN202210055842 A CN 202210055842A CN 114553484 B CN114553484 B CN 114553484B
- Authority
- CN
- China
- Prior art keywords
- security
- user
- service resource
- res
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 18
- 230000009977 dual effect Effects 0.000 title claims abstract description 6
- 238000013475 authorization Methods 0.000 abstract 1
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于二维安全标记的双重访问权限控制方法及***,包括:对用户和业务资源进行分级,进行安全标记。安全标记代表数据安全的属性,将安全标记分为标记类型和标记等级两个维度,细粒度的控制用户和业务资源的安全权限。访问***时,用户携带登录凭证、待访问业务资源标识、访问类型向***的鉴权服务发出请求,鉴权服务根据访问类型的不同对登录账户和待访问业务资源的安全标记进行匹配运算、判断用户的角色授权情况的双重权限控制模式,最终判定用户是否具有资源的访问控制权限。本发明通过对账户和业务资源的安全属性的细粒度分类控制和用户角色授权的双重权限控制模式,实现***访问的精确化控制,提高了***访问的安全性。
Description
技术领域
本发明属于电网调度自动化技术领域,具体涉及一种基于二维安全标记的双重访问权限控制方法及***。
背景技术
随着电网调度自动化水平的提高,加强权限控制以保障电力调度自动化***的安全日益重要。传统的电网调度自动化***用户以特定角色访问***资源,访问控制机制仅检查角色的权限,只要用户拥有某个角色,就可以使用该角色的所有权限,但对***中调度人员、管理人员等不同使用者以及他们能操作的客体资源的安全等级没有进行有效的、细粒度的分类和控制,无法适应电力调度自动化***日益增长的安全需求。
发明内容
发明目的:为了解决现有电网调度自动化***中不同使用者能操作的客体资源的安全等级没有进行有效分类和控制的问题,本发明提出了一种基于二维安全标记的双重访问权限控制方法及***。
技术方案:一种基于二维安全标记的双重访问权限控制方法,对主体登录帐户和客体业务资源数据本身进行安全标记;所述安全标记分为标记类型和标记等级两个维度;
进行业务资源访问时,包括以下步骤:
步骤1:获取用户请求,该用户请求中携带了登录凭证、待访问的业务资源标识RES_URL和访问类型ACTIONTYPE;
步骤2:根据当前用户的访问类型ACTIONTYPE,判断当前操作是否为查询操作QUERYACTION;若访问类型ACTIONTYPE为查询操作QUERYACTION,则根据查询类型的安全鉴权和用户角色鉴权共同确定用户的访问权限并返回鉴权结果;若访问类型ACTIONTYPE为非查询操作,则根据非查询操作的安全鉴权和用户角色鉴权确定用户的控制权限并返回鉴权结果。
进一步的,若访问类型ACTIONTYPE为查询操作QUERYACTION时,根据查询类型的安全鉴权和用户角色鉴权共同确定用户的访问权限并返回鉴权结果,包括以下步骤:
从登陆凭证中解析出登录帐户,根据登录帐户查询获得用户安全标记中查询操作QUERYACTION的等级配置USER_SECURITY_QUERYLEVER;
从用户请求中获得待访问的业务资源标识RES_URL,根据业务资源标识RES_URL查询获得待访问业务资源安全标记中查询操作QUERYACTION的等级配置RES_SECURITY_QUERYLEVER;
比较用户安全标记的等级配置USER_SECURITY_QUERYLEVER和待访问业务资源安全标记的等级配置RES_SECURITY_QUERYLEVER,若安全检查通过,则进行用户角色鉴权来确定用户的访问权限,否则判定该用户不具备业务资源的访问权限,拒绝访问并返回。
进一步的,若访问类型ACTIONTYPE为非查询类型时,根据非查询操作的安全鉴权和用户角色鉴权确定用户的控制权限并返回鉴权结果,包括以下步骤:
从登陆凭证中解析出登录帐户,根据登录帐户查询获得用户安全标记中查询操作QUERYACTION的等级配置USER_SECURITY_QUERYLEVER和当前操作类型对应的等级配置USER_SECURITY_LEVER;
从用户请求中获得待访问的业务资源标识RES_URL,根据业务资源标识RES_URL,查询获得待访问业务资源安全标记中查询操作QUERYACTION的等级配置RES_SECURITY_QUERYLEVER和待访问业务资源安全标记中当前操作类型对应的等级配置RES_SECURITY_LEVER;
匹配运算等级配置USER_SECURITY_QUERYLEVER、等级配置USER_SECURITY_LEVER和等级配置RES_SECURITY_QUERYLEVER、等级配置RES_SECURITY_LEVER,若安全检查通过,则进行用户角色鉴权来确定用户的控制权限,否则判定该用户不具备业务资源的控制权限,拒绝并返回鉴权结果。
进一步的,所述的用户角色鉴权,包括如下步骤:
从登陆凭证中解析出登录帐户,通过登录帐户获得该登录帐户的授权角色;
若登录帐户配置了角色,则根据用户请求中的待访问的业务资源标识RES_URL判定角色是否具有该业务资源的控制权限,并返回鉴权结果;
若登录帐户未配置角色,则查询是否有默认角色,若有,则根据用户请求中的待访问的业务资源标识RES_URL判断该默认角色是否具有该业务资源的控制权限,并返回鉴权结果;否则判定该用户不具备业务资源的控制权限,拒绝并返回。
本发明还公开了一种基于二维安全标记的双重访问权限控制***,包括如下模块:
用户请求模块,用于获取用户请求,该用户请求中携带了登录凭证、待访问的业务资源标识RES_URL和访问类型ACTIONTYPE;
访问类型分析模块,用于根据用户请求中的访问类型ACTIONTYPE,判断当前操作是否为查询操作类型;
查询操作模式结果返回模块,用于当当前用户请求的访问类型ACTIONTYPE为查询操作QUERYACTION时,则根据查询操作的安全鉴权和用户角色鉴权最终确定用户的访问权限并返回鉴权结果;
非查询操作模式结果返回模块,用于当当前用户请求的访问类型ACTIONTYPE为非查询操作时,则根据非查询操作的安全鉴权和用户角色鉴权最终确定用户的访问权限并返回鉴权结果。
进一步的,所述查询操作模式结果返回模块包括:
查询操作安全标记获取模块,用于当访问类型ACTIONTYPE为查询操作时,从登录凭证中解析出登录帐户,根据登录帐户查询获得用户安全标记中QUERYACTION的等级配置USER_SECURITY_QUERYLEVER,从用户请求中获得待访问的业务资源标识RES_URL,根据业务资源标识查询获得业务资源安全标记中QUERYACTION的等级配置RES_SECURITY_QUERYLEVER;
查询操作安全鉴权模块,用于当等级配置USER_SECURITY_QUERYLEVER高于或等于等级配置RES_SECURITY_QUERYLEVER时,则安全检查通过,调用授权角色判断模块,否则安全检查不通过,判定该用户不具备业务资源的访问权限,拒绝访问并返回。
进一步的,所述非查询操作模式结果返回模块包括:
非查询操作安全标记获取模块,用于当访问类型ACTIONTYPE为非查询操作时,则从登陆凭证中解析出登录帐户,根据登录帐户查询获得用户安全标记中查询操作QUERYACTION的等级配置USER_SECURITY_QUERYLEVER和当前操作类型对应的等级配置USER_SECURITY_LEVER,从用户请求中获得待访问的业务资源标识RES_URL,根据待访问业务资源标识查询获得业务资源安全标记中查询操作QUERYACTION的等级配置RES_SECURITY_QUERYLEVER和当前操作类型对应的等级配置RES_SECURITY_LEVER;
非查询操作安全鉴权模块,用于当等级配置USER_SECURITY_QUERYLEVER高于或等于等级配置RES_SECURITY_QUERYLEVER,并且等级配置USER_SECURITY_LEVER高于或等于等级配置RES_SECURITY_LEVER时,则安全检查通过,调用用户角色鉴权模块,否则安全检查不通过,判定该用户不具备业务资源的控制权限,拒绝并返回鉴权结果。
进一步的,所述的用户角色鉴权模块,用于从登陆凭证中解析出登录帐户,通过登录帐户获得该登录帐户的授权角色;若登录帐户配置了角色,则根据用户请求中的待访问的业务资源标识判定角色是否具有该业务资源的访问权限,并返回鉴权结果;若登录帐户未配置角色,则查询是否配置了默认角色;若有默认角色,则根据用户请求中的待访问的业务资源标识判定该默认角色是否具有该业务资源的访问权限;否则,判定该用户不具备业务资源的访问控制权限,拒绝并返回鉴权结果。
进一步的,还包括:
安全标记模块,用于对登录帐户和业务资源进行安全标记。
进一步的,所述安全标记分为标记类型和标记等级。
有益效果:本发明根据登录凭证中的帐户信息和待访问业务资源标识分别获得帐户的安全标记和待访问业务资源的安全标记,通过对安全标记进行标记类型和标记等级的二维度分类和匹配运算、判断用户的角色授权情况的双重权限控制模式,最终判定用户是否具有资源的访问控制权限。本发明对主体帐户和客体访问资源进行细粒度安全标记,通过基于二维安全标记的强制访问控制和基于角色的访问控制结合的双重控制方式,对登录用户和业务资源进行安全属性精确化控制,有效减少使用者误操作和越权操作的可能性,提高了电力调度自动化***访问控制安全性。
附图说明
图1为基于二维安全标记的双重访问权限控制方法的流程。
具体实施方式
现结合附图和实施例对本发明的技术方案做进一步说明。
用户成功登录***后,获得登录凭证信息,登录凭证中包括登录帐户LOGINNAME、用户携带登录凭证、待访问的业务资源标识RES_URL和访问类型ACTIONTYPE,向***的鉴权服务发出请求,***的鉴权服务依据图1所示的步骤来判断登录账号LOGINNAME是否具有待访问的业务资源的访问控制权限。本发明方法对主体登录帐户和客体业务资源数据本身做安全标记,并将安全标记分为标记类型和标记等级两个维度,细粒度的控制用户和业务资源的安全属性。访问***时,包括以下步骤:
步骤1:获取携带登录凭证、待访问的业务资源标识RES_URL和访问类型ACTIONTYPE的用户请求。
步骤2:根据当前用户的访问类型ACTIONTYPE,判断当前操作是否为查询操作QUERYACTION;
步骤3:在步骤2中,如果访问类型ACTIONTYPE是查询操作QUERYACTION,执行步骤4;如果访问类型ACTIONTYPE是非查询类型,执行步骤5。
步骤4:访问类型ACTIONTYPE是查询操作QUERYACTION时,从登陆凭证中解析出登录帐户,根据登录帐户查询获得用户安全标记中QUERYACTION的等级配置USER_SECURITY_QUERYLEVER,从用户请求中获得待访问的业务资源标识RES_URL,根据待访问业务资源标识查询获得业务资源安全标记中QUERYACTION的等级配置RES_SECURITY_QUERYLEVER,比较运算用户的标记等级USER_SECURITY_QUERYLEVER和待访问业务资源的标记等级RES_SECURITY_QUERYLEVER,若安全检查通过,则执行步骤6,否则判定该用户不具备业务资源的访问权限,拒绝访问并返回结果。
步骤5:访问类型ACTIONTYPE为非查询类型时,从登陆凭证中解析出登录帐户,根据登录帐户查询获得用户安全标记中QUERYACTION的等级配置USER_SECURITY_QUERYLEVER和当前操作类型对应的等级配置USER_SECURITY_LEVER,从用户请求中获得待访问的业务资源标识RES_URL,根据待访问业务资源标识查询获得业务资源安全标记中QUERYACTION的等级配置RES_SECURITY_QUERYLEVER和当前操作类型对应的等级配置RES_SECURITY_LEVER,匹配运算用户的查询标记等级USER_SECURITY_QUERYLEVER、当前操作类型的安全标记等级USER_SECURITY_LEVER和待访问业务资源的查询类型标记等级RES_SECURITY_QUERYLEVER、当前操作类型标记等级RES_SECURITY_LEVER,若安全检查通过,则进执行步骤6,否则判定该用户不具备业务资源的控制权限,拒绝并返回鉴权结果;
步骤6:通过用户请求中的登录帐户LOGINNAME获得该登录帐户的授权角色;若登录用户配置了角色,则根据用户请求中的待访问的业务资源标识判定角色是否具有该业务资源的控制权限,并返回鉴权结果;若登录帐户未配置角色,则查询是否有默认角色:若有,则根据用户请求中的待访问的业务资源标识RES_URL判断默认角色是否具有该业务资源的控制权限,并返回鉴权结果;否则判定该用户不具备业务资源的控制权限,拒绝并返回。
本发明方法对主体登录帐户和客体业务资源数据本身做安全标记,并将安全标记分为标记类型和标记等级两个维度,细粒度的控制用户和业务资源的安全属性。通过基于二维安全标记的强制访问控制和基于角色的访问控制结合的方式实现了***的权限访问控制,有效减少了使用者误操作和越权操作的可能性,提高了电力调度自动化***访问控制能力。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图来描述的。应理解可由计算机程序指令实现流程图中的每一流程。可提供这些计算机程序指令到计算机,使计算机执行的指令产生用于实现在流程图中一个流程或多个流程指定的功能的作用。
这些计算机程序指令也可存储在能引导计算机,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程中指定的功能。
这些计算机程序指令也可装载到计算机,使得在计算机执行一系列操作步骤以完成处理,从而在计算机执行的指令提供用于实现在流程图一个流程或多个流程中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (2)
1.一种基于二维安全标记的双重访问权限控制方法,其特征在于:
对主体登录帐户和客体业务资源数据本身进行安全标记;所述安全标记分为标记类型和标记等级两个维度;
进行业务资源访问时,包括以下步骤:
步骤1:获取用户请求,该用户请求中携带了登录凭证、待访问的业务资源标识RES_URL和访问类型ACTIONTYPE;
步骤2:根据当前用户的访问类型ACTIONTYPE,判断当前操作是否为查询操作QUERYACTION;若访问类型ACTIONTYPE为查询操作QUERYACTION,则根据查询类型的安全鉴权和用户角色鉴权共同确定用户的访问权限并返回鉴权结果;若访问类型ACTIONTYPE为非查询操作,则根据非查询操作的安全鉴权和用户角色鉴权确定用户的控制权限并返回鉴权结果;
其中,若访问类型ACTIONTYPE为查询操作QUERYACTION时,根据查询类型的安全鉴权和用户角色鉴权共同确定用户的访问权限并返回鉴权结果,包括以下步骤:
从登陆凭证中解析出登录帐户,根据登录帐户查询获得用户安全标记中查询操作QUERYACTION的等级配置USER_SECURITY_QUERYLEVER;
从用户请求中获得待访问的业务资源标识RES_URL,根据业务资源标识RES_URL查询获得待访问业务资源安全标记中查询操作QUERYACTION的等级配置RES_SECURITY_QUERYLEVER;
比较用户安全标记的等级配置USER_SECURITY_QUERYLEVER和待访问业务资源安全标记的等级配置RES_SECURITY_QUERYLEVER,若用户安全标记的等级配置USER_SECURITY_QUERYLEVER高于或等于待访问业务资源安全标记的等级配置RES_SECURITY_QUERYLEVER,则表示安全检查通过,进行用户角色鉴权来确定用户的访问权限,否则判定该用户不具备业务资源的访问权限,拒绝访问并返回;
若访问类型ACTIONTYPE为非查询类型时,根据非查询操作的安全鉴权和用户角色鉴权确定用户的控制权限并返回鉴权结果,包括以下步骤:
从登陆凭证中解析出登录帐户,根据登录帐户查询获得用户安全标记中查询操作QUERYACTION的等级配置USER_SECURITY_QUERYLEVER和当前操作类型对应的等级配置USER_SECURITY_LEVER;
从用户请求中获得待访问的业务资源标识RES_URL,根据业务资源标识RES_URL,查询获得待访问业务资源安全标记中查询操作QUERYACTION的等级配置RES_SECURITY_QUERYLEVER和待访问业务资源安全标记中当前操作类型对应的等级配置RES_SECURITY_LEVER;
匹配运算等级配置USER_SECURITY_QUERYLEVER、等级配置USER_SECURITY_LEVER和等级配置RES_SECURITY_QUERYLEVER、等级配置RES_SECURITY_LEVER,若安全检查通过,则进行用户角色鉴权来确定用户的控制权限,否则判定该用户不具备业务资源的控制权限,拒绝并返回鉴权结果;
所述匹配运算等级配置USER_SECURITY_QUERYLEVER、等级配置USER_SECURITY_LEVER和等级配置RES_SECURITY_QUERYLEVER、等级配置RES_SECURITY_LEVER,包括:
仅当运算等级配置USER_SECURITY_QUERYLEVER高于或等于等级配置RES_SECURITY_QUERYLEVER时,再判断等级配置USER_SECURITY_LEVER是否高于或等于等级配置RES_SECURITY_LEVER,仅当等级配置USER_SECURITY_LEVER高于或等于等级配置RES_SECURITY_LEVER时,表示安全检查通过;
所述的用户角色鉴权,包括如下步骤:
从登陆凭证中解析出登录帐户,通过登录帐户获得该登录帐户的授权角色;
若登录帐户配置了角色,则根据用户请求中的待访问的业务资源标识RES_URL判定角色是否具有该业务资源的控制权限,并返回鉴权结果;
若登录帐户未配置角色,则查询是否有默认角色,若有,则根据用户请求中的待访问的业务资源标识RES_URL判断该默认角色是否具有该业务资源的控制权限,并返回鉴权结果;否则判定该用户不具备业务资源的控制权限,拒绝并返回。
2.一种基于二维安全标记的双重访问权限控制***,其特征在于:包括如下模块:
安全标记模块,用于对登录帐户和业务资源进行安全标记;
用户请求模块,用于获取用户请求,该用户请求中携带了登录凭证、待访问的业务资源标识RES_URL和访问类型ACTIONTYPE;
访问类型分析模块,用于根据用户请求中的访问类型ACTIONTYPE,判断当前操作是否为查询操作类型;
查询操作模式结果返回模块,用于当当前用户请求的访问类型ACTIONTYPE为查询操作QUERYACTION时,则根据查询操作的安全鉴权和用户角色鉴权最终确定用户的访问权限并返回鉴权结果;
非查询操作模式结果返回模块,用于当当前用户请求的访问类型ACTIONTYPE为非查询操作时,则根据非查询操作的安全鉴权和用户角色鉴权最终确定用户的访问权限并返回鉴权结果;
所述查询操作模式结果返回模块包括:
查询操作安全标记获取模块,用于当访问类型ACTIONTYPE为查询操作时,从登录凭证中解析出登录帐户,根据登录帐户查询获得用户安全标记中QUERYACTION的等级配置USER_SECURITY_QUERYLEVER,从用户请求中获得待访问的业务资源标识RES_URL,根据业务资源标识查询获得业务资源安全标记中QUERYACTION的等级配置RES_SECURITY_QUERYLEVER;
查询操作安全鉴权模块,用于当等级配置USER_SECURITY_QUERYLEVER高于或等于等级配置RES_SECURITY_QUERYLEVER时,则安全检查通过,调用授权角色判断模块,否则安全检查不通过,判定该用户不具备业务资源的访问权限,拒绝访问并返回;
所述非查询操作模式结果返回模块包括:
非查询操作安全标记获取模块,用于当访问类型ACTIONTYPE为非查询操作时,则从登陆凭证中解析出登录帐户,根据登录帐户查询获得用户安全标记中查询操作QUERYACTION的等级配置USER_SECURITY_QUERYLEVER和当前操作类型对应的等级配置USER_SECURITY_LEVER,从用户请求中获得待访问的业务资源标识RES_URL,根据待访问业务资源标识查询获得业务资源安全标记中查询操作QUERYACTION的等级配置RES_SECURITY_QUERYLEVER和当前操作类型对应的等级配置RES_SECURITY_LEVER;
非查询操作安全鉴权模块,用于当等级配置USER_SECURITY_QUERYLEVER高于或等于等级配置RES_SECURITY_QUERYLEVER,并且等级配置USER_SECURITY_LEVER高于或等于等级配置RES_SECURITY_LEVER时,则安全检查通过,调用用户角色鉴权模块,否则安全检查不通过,判定该用户不具备业务资源的控制权限,拒绝并返回鉴权结果;
所述的用户角色鉴权模块,用于从登陆凭证中解析出登录帐户,通过登录帐户获得该登录帐户的授权角色;若登录帐户配置了角色,则根据用户请求中的待访问的业务资源标识判定角色是否具有该业务资源的访问权限,并返回鉴权结果;若登录帐户未配置角色,则查询是否配置了默认角色;若有默认角色,则根据用户请求中的待访问的业务资源标识判定该默认角色是否具有该业务资源的访问权限;否则,判定该用户不具备业务资源的访问控制权限,拒绝并返回鉴权结果;
所述安全标记分为标记类型和标记等级。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210055842.1A CN114553484B (zh) | 2022-01-18 | 2022-01-18 | 一种基于二维安全标记的双重访问权限控制方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210055842.1A CN114553484B (zh) | 2022-01-18 | 2022-01-18 | 一种基于二维安全标记的双重访问权限控制方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114553484A CN114553484A (zh) | 2022-05-27 |
| CN114553484B true CN114553484B (zh) | 2024-05-24 |
Family
ID=81671213
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210055842.1A Active CN114553484B (zh) | 2022-01-18 | 2022-01-18 | 一种基于二维安全标记的双重访问权限控制方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114553484B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101631116A (zh) * | 2009-08-10 | 2010-01-20 | 中国科学院地理科学与资源研究所 | 一种分布式双重授权及访问控制方法和*** |
| WO2011126312A2 (en) * | 2010-04-06 | 2011-10-13 | Samsung Electronics Co., Ltd. | Method and apparatus for managing remote access authority in upnp remote access service |
| CN103078859A (zh) * | 2012-12-31 | 2013-05-01 | 普天新能源有限责任公司 | 业务***权限管理方法、设备及*** |
| CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制***及控制方法 |
| CN105471847A (zh) * | 2015-11-16 | 2016-04-06 | 浙江宇视科技有限公司 | 一种用户信息的管理方法和装置 |
| CN106845175A (zh) * | 2015-12-04 | 2017-06-13 | 方正国际软件(北京)有限公司 | 一种数据权限的设定方法及装置 |
| CN110427747A (zh) * | 2019-06-20 | 2019-11-08 | 中国科学院信息工程研究所 | 一种支持业务安全标记的身份鉴别方法及装置 |
| CN111552936A (zh) * | 2020-04-26 | 2020-08-18 | 国电南瑞科技股份有限公司 | 一种基于调度机构级别的跨***访问权限控制方法及*** |
| CN112039910A (zh) * | 2020-09-04 | 2020-12-04 | 苏州浪潮智能科技有限公司 | 一种认证与权限的统一管理的方法、***、设备及介质 |
| CN112073400A (zh) * | 2020-08-28 | 2020-12-11 | 腾讯科技(深圳)有限公司 | 一种访问控制方法、***、装置及计算设备 |
| CN113098695A (zh) * | 2021-04-21 | 2021-07-09 | 金陵科技学院 | 一种基于用户属性的微服务统一权限控制方法与*** |
| CN113239344A (zh) * | 2021-05-12 | 2021-08-10 | 建信金融科技有限责任公司 | 一种访问权限控制方法和装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7395319B2 (en) * | 2003-12-31 | 2008-07-01 | Checkfree Corporation | System using contact list to identify network address for accessing electronic commerce application |
| CN101321073B (zh) * | 2007-06-04 | 2010-09-08 | 华为技术有限公司 | 一种组播业务授权控制的方法及装置 |
| US10749796B2 (en) * | 2017-04-27 | 2020-08-18 | At&T Intellectual Property I, L.P. | Method and apparatus for selecting processing paths in a software defined network |
-
2022
- 2022-01-18 CN CN202210055842.1A patent/CN114553484B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101631116A (zh) * | 2009-08-10 | 2010-01-20 | 中国科学院地理科学与资源研究所 | 一种分布式双重授权及访问控制方法和*** |
| WO2011126312A2 (en) * | 2010-04-06 | 2011-10-13 | Samsung Electronics Co., Ltd. | Method and apparatus for managing remote access authority in upnp remote access service |
| CN103078859A (zh) * | 2012-12-31 | 2013-05-01 | 普天新能源有限责任公司 | 业务***权限管理方法、设备及*** |
| CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制***及控制方法 |
| CN105471847A (zh) * | 2015-11-16 | 2016-04-06 | 浙江宇视科技有限公司 | 一种用户信息的管理方法和装置 |
| CN106845175A (zh) * | 2015-12-04 | 2017-06-13 | 方正国际软件(北京)有限公司 | 一种数据权限的设定方法及装置 |
| CN110427747A (zh) * | 2019-06-20 | 2019-11-08 | 中国科学院信息工程研究所 | 一种支持业务安全标记的身份鉴别方法及装置 |
| CN111552936A (zh) * | 2020-04-26 | 2020-08-18 | 国电南瑞科技股份有限公司 | 一种基于调度机构级别的跨***访问权限控制方法及*** |
| CN112073400A (zh) * | 2020-08-28 | 2020-12-11 | 腾讯科技(深圳)有限公司 | 一种访问控制方法、***、装置及计算设备 |
| CN112039910A (zh) * | 2020-09-04 | 2020-12-04 | 苏州浪潮智能科技有限公司 | 一种认证与权限的统一管理的方法、***、设备及介质 |
| CN113098695A (zh) * | 2021-04-21 | 2021-07-09 | 金陵科技学院 | 一种基于用户属性的微服务统一权限控制方法与*** |
| CN113239344A (zh) * | 2021-05-12 | 2021-08-10 | 建信金融科技有限责任公司 | 一种访问权限控制方法和装置 |
Non-Patent Citations (3)
| Title |
|---|
| "面向新一代调控***业务场景的权限管理""面向新一代调控***业务场景的权限管理";季惠英 等;《计算机***应用》;正文第1-7页 * |
| Xiruo Liu ; Wade Trappe ; Yanyong Zhang."Secure Name Resolution for Identifier-to-Locator Mappings in the Global Internet".《2013 22nd International Conference on Computer Communication and Networks (ICCCN)》.2013,全文. * |
| 论信息***中的访问控制;郭晓奇;;电子技术与软件工程;20200601(11) * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114553484A (zh) | 2022-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111552936B (zh) | 一种基于调度机构级别的跨***访问权限控制方法及*** | |
| US9647993B2 (en) | Multi-repository key storage and selection | |
| CN103078859A (zh) | 业务***权限管理方法、设备及*** | |
| CN102457377A (zh) | 基于角色的Web远程认证与授权方法及*** | |
| CN113468511B (zh) | 数据处理方法、装置、计算机可读介质及电子设备 | |
| CN105871577A (zh) | 资源权限管理方法及装置 | |
| CN110263566B (zh) | 一种海量日志提权行为检测及分类方法 | |
| CN112134848B (zh) | 融合媒体云自适应访问控制方法、装置、终端及介质 | |
| CN115130122A (zh) | 一种大数据安全防护方法及*** | |
| CN116208426A (zh) | 一种数据分级授权查询控制***及方法 | |
| CN114091099A (zh) | 一种针对业务***的权限分级控制方法、设备及存储介质 | |
| CN114385995B (zh) | 一种基于Handle的标识解析微服务接入工业互联网的方法及标识服务*** | |
| CN112149112B (zh) | 一种基于职权分离的企业信息安全管理方法 | |
| CN114553484B (zh) | 一种基于二维安全标记的双重访问权限控制方法及*** | |
| CN116090015B (zh) | 一种基于大数据的智慧权限应用管理***及方法 | |
| CN114386092A (zh) | 应用于半导体工艺设备的权限控制方法和半导体工艺设备 | |
| US8812698B2 (en) | Method of and system for enforcing authentication strength for remote portlets | |
| CN110968632B (zh) | 一种数据统一交换的方法与*** | |
| CN110717192A (zh) | 基于Key-Value加速器的面向大数据安全的访问控制方法 | |
| CN113949578B (zh) | 基于流量的越权漏洞自动检测方法、装置及计算机设备 | |
| CN116881880B (zh) | 时空数据管理***及时空数据服务化资源协同调度方法 | |
| CN112966235B (zh) | 一种智慧教育平台的大数据组件访问控制方法及*** | |
| CN116956252A (zh) | 一种平台多用户租用时的自适应管理方法及*** | |
| KR20180033953A (ko) | 웹 기반의 sso 서비스 방법 | |
| CN118245989A (zh) | 面向信息管理***的防越权***、方法、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |