[发明专利]一种资源访问控制方法

说明书

技术领域

本发明涉及一种资源访问控制方法，尤其是涉及一种基于FLEX与.NET的B/S应用中实现资源访问的控制方法。

背景技术

一般而言，信息资源传递过程中，最为关心的三个问题是“哪些资源需要得到保护”，“哪些主体可以访问被保护的资源”，“这些被授权的主体对受保护资源可以进行哪些操作”，三类问题分别对应了三类资源，即主体、客体和权限，实质上访问控制是通过主体、客体以及控制策略实现对系统资源管理与访问限制，防止非法用户进入系统对信息资源的破坏、非法使用以及利用资源信息进行违法活动。要想解决上述问题，有三类访问控制技术可以应用，包括访问控制列表（Access Control Lists, ACL）模型、强制访问控制（Mandatory Access Control, MAC）以及基于角色的访问控制（Role-Based Access Control, RBAC）安全访问控制模型。ACL访问控制模型是通过列表进行管理，一个简单的ACL是一个由一行实体与一列系统资源信息构成的数组，如果数据量庞大时，系统安全方面得不到保障，因此，ACL访问控制在网络系统中不能实现统一全局的安全控制；强制访问控制模型（MAC）系统一旦建立，那么系统独立于用户行为强制执行访问控制，用户不能改变它的安全级别或者对象的安全属性，在强制访问控制系统中以“秘密”的安全级别操作，主体与客体被分配到权限的同时，也被分配了安全级别，若用户在目标系统中以“秘密”的安全级别操作，它将不能访问系统中安全级别为“机密”的系统服务。使得应用领域比较狭窄，完整性方面不够。为此，在1992年，Sandhu针对信息管理与信息安全完整性的基础上提出了基于角色的访问控制（Role-based Access Control, RBAC）模型， RBAC是一种基于用户所在组织的责任进行系统资源访问的控制策略；其核心是设定用户与角色之间的授权讨论，以角色-权限指派作为基点，利用信息资源管理模块独立于用户-角色，根据用户操作与资源信息无关特性，不仅明确了用户性质，同时也满足了资源权限不会随着用户变化而变化，使得系统在应用方面具备了高效管理，灵活授权等特点。对于网络系统而言，RBAC通过分布式技术能够实现区域之间角色分配与授权管理，进一步加强系统管理的稳定性与灵活性，是目前解决大中型企业的信息资源的集中管理与分布式访问的重要方法之一。

实际应用中利用现有的RBAC模型在一定程度上减轻了授权管理负担，但是还存在如下缺点：

1）在授权过程中，为用户分配角色，为角色授予权限的工作量仍然很大；

2）在大型系统中存在权限粒度与角色数量的矛盾。权限数量越少，角色数量越多，角色数量的增长与权限粒度的细化成指数增长；

3）RBAC本质上是一个被动安全控制模型，缺乏灵活的动态授权机制。

发明内容

为了克服现有技术的上述缺点，本发明提供了一种资源访问控制方法，以RBAC访问控制模型为基础，引入动态权限树与Linux内核进程控制中“能力”概念， 结合XML数据格式与数据库权限表协作实现资源权限的访问控制。引入动态权限树是为了更好地对角色进行动态分配权限，使得软件系统用户能够直观、方便、快捷地与系统进行交互，而引入Linux内核进程控制中“能力”概念是为了降低数据库查询时间，减轻空间消耗，消除应用系统对超级用户的依赖，有效保障系统的安全性。

本发明解决其技术问题所采用的技术方案是：一种资源访问控制方法，包括如下步骤：

步骤一、用户基本信息输入；

步骤二、用户合法性验证；

步骤三、获取通过验证的合法用户在角色列表中的ID；

步骤四、根据用户在角色列表中的ID并结合角色-权限指派结果信息，查找资源-权限结构表的控制域，判断该用户是否具有资源访问权限：如果无，则返回步骤一；如果有，则提取权限字符串与相对应资源权限列表，进入步骤五； 

步骤五、动态生成权限树并初始化窗口。

与现有技术相比，本发明的积极效果是：

1）通过FLEX的HttpService通讯方式读取服务器端CONFIG.XML配置文件与数据库协作方法，对RBAC权限模型描述更准确方便，当系统的需求发生变化时，只需要修改配置文件CONFIG.XML，不需要修改代码，减轻了软件开发人员的开发负担；