[发明专利]一种权限控制方法及装置

说明书

技术领域

本申请涉及网络安全技术，特别是涉及一种权限控制方法及装置。

背景技术

在网络环境中，对于网站而言每个URL(Universal Resource Locator，统一资源定位符)都是网站的一个资源，用户每发起一个资源访问请求，网站都需要对这个请求进行安全校验，以确认用户是否可以在网站上执行操作或查看内容。这种网站对用户行为的授权称为权限，权限控制就是用户到其可访问资源的映射关系的控制。

传统使用最为广泛的权限控制方法是基于角色的RBAC(Role-Based Access Control)权限控制模型。RBAC模型包含用户(USERS)、角色(ROLES)、目标objects(OBS)、操作operations(OPS)、许可权permissions(PRMS)五个基本数据元素，权限赋予角色，角色指定给一个用户，此用户就拥有了该角色所包含的权限。而对于大多数请求(URL)的访问权限，是将该URL映射到角色，然后依据角色的定义来判断用户是否有权限。

起初多数网站都使用RBAC模型来管理和维护网站资源，但是随着网站业务的发展，网站中拥有的资源越来越多，并且网站资源也在不断变化中，这时RBAC模型显示出不足。这种不足是由于用户的身份具有多样性，网站的资源也是多种多样的，并且随着网站资源的变化，用户身份也在变化，这些都导致用户可访问的资源也需要灵活多变，而RBAC模型为了满足这种灵活性，其用户类型和许可权的耦合度非常高，给管理和维护工作带来很多不便。

发明内容

本申请提供了一种权限控制方法及装置，以解决RBAC模型无法满足资源的权限控制对灵活性要求的问题。

为了解决上述问题，本申请公开了一种权限控制方法，包括：

预设权限配置文件的步骤，包括：在权限配置文件中将业务功能映射为权限、服务和服务包；

加载所述权限配置文件的步骤，包括：将所述权限配置文件中设定的权限、服务和服务包映射为权限内存模型数据；

权限判定步骤，包括：接收用户请求，并利用所述权限内存模型数据判定是否授权所述用户请求。

优选的，所述权限内存模型数据为0和1表示的二进制位向量矩阵。

优选的，利用所述权限内存模型数据判定是否授权所述用户请求，包括：利用所述二进制位向量矩阵进行位运算，并根据运算结果判定授权所述用户请求或禁止所述用户请求。

优选的，将所述权限配置文件中设定的权限、服务和服务包映射为权限内存模型数据，包括：为每一组权限分配一组位序列，位序列中设为1的每一个位分别对应权限组中的一个权限，多个权限组对应一个二维的权限位向量矩阵；在所述权限位向量矩阵中，将服务所拥有的权限对应的位设为1，否则设为0，得到服务向量矩阵；对服务包所包含的服务对应的服务向量矩阵进行或运算，得到服务包向量矩阵。

优选的，将所述权限配置文件中设定的权限、服务和服务包映射为权限内存模型数据，还包括：向服务增加权限，则将该权限对应位的值与服务向量矩阵进行或运算；和/或，向服务删除权限，则将该权限对应位的值取反，再与服务向量矩阵进行与运算。

优选的，所述预设权限配置文件的步骤还包括：在权限配置文件中设定资源的访问控制权限；所述加载权限配置文件的步骤还包括：将所述资源的访问控制权限映射到所述权限位向量矩阵的相应位置。

优选的，所述接收用户请求并利用所述权限内存模型数据判定是否授权所述用户请求，包括：接收用户请求，从用户请求中提取用户要访问的资源信息，并获得该资源的访问控制权限在权限位向量矩阵中相应位置处的值；为该用户请求分配服务包，并将该服务包对应的服务包向量矩阵授权为该用户权限；将用户权限对应的向量矩阵与该资源的访问控制权限在权限位向量矩阵中相应位置处的值进行与运算，并根据运算结果进行判定：如果运算结果大于0，则授权所述用户请求；否则，禁止所述用户请求。

本申请还提供了一种权限控制装置，包括：

权限配置模块，用于预设权限配置文件，在权限配置文件中将业务功能映射为权限、服务和服务包；

配置加载模块，用于加载所述权限配置文件，将所述权限配置文件中设定的权限、服务和服务包映射为权限内存模型数据；

权限判定模块，用于接收用户请求，并利用所述权限内存模型数据判定是否授权所述用户请求。

优选的，所述权限内存模型数据为0和1表示的二进制位向量矩阵。

优选的，所述权限判定模块利用所述二进制位向量矩阵进行位运算，并根据运算结果判定授权所述用户请求或禁止所述用户请求。