[发明专利]基于访问控制策略的访问控制方法、装置及系统

说明书

本发明提供了一种基于访问控制策略的访问控制方法、装置及系统，该方法包括：接收企业的业务访问请求；根据所述企业对业务的访问权限为企业配置身份类型；其中，所述身份类型指对于同一业务主体不同企业的多种身份；根据所述身份类型对业务的权限生成所述企业的访问许可集，所述访问许可集包括不同身份类型的职责对应的权限；根据所述企业的访问许可集、身份类型、组织架构、业务参与人员的角色及各角色对应的职责，利用基于角色的访问控制策略确定企业内部的用户、用户的角色及角色的访问许可权限；其中，角色的访问许可权限继承于企业的访问许可集。利用本发明，可以实现不同企业以不同身份对同一业务主体的不同访问控制。

技术领域

本发明是关于业务数据访问技术，特别是关于一种基于访问控制策略的访问控制方法、装置及系统。

背景技术

基于角色的访问控制(Role-Based Access Control，RBAC)是一套成熟的权限模型，在实际中有着广泛的应用。传统的访问控制模型主要有自主访问控制和强制访问控制。在传统权限模型中，通常把权限直接赋予用户。而在RBAC中，增加了角色的概念，通过用户与角色关联、角色与权限关联，简化了权限的管理。在一个组织中，角色是为了完成各种工作而创造，用户依据职责被赋予角色，用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求而赋予新的权限，而权限也可根据需要而从角色中回收。

RBAC支持如下三个安全原则：最小权限原则，责任分离原则和数据抽象原则。

(1)最小权限原则，RBAC可以将其角色配置成其完成任务所需要的最小的权限集；

(2)责任分离原则，RBAC可以通过设定相互独立互斥的角色来共同完成敏感的任务，如要求计帐员和财务管理员共参与同一过帐；

(3)数据抽象原则，RBAC可以通过权限的抽象来体现，如财务操作用借款、存款等抽象权限，而不用操作系统提供的典型的读、写、执行权限；

虽然RBAC具有自身的优势，当多个不同企业需要以不同身份在不同的访问许可限制下来访问同一个业务主体时，RBAC会面临以下问题：

1)由于RBAC是基于用户角色的访问控制，缺乏企业身份的控制管理。当多个企业共同参与同一业务主体的访问时需要建立企业身份类型以及特定业务主体的统一管理，不同企业身份代表着对于同一业务主体的不同访问控制。

2)由于RBAC的访问许可是基于操作和客体设定的，操作和客体都从属于特定业务主体项下，缺乏更高层次业务主体的访问控制管理。当要求访问许可中的操作和客户都基于同一业务主体项下的，只有业务主体的检查控制通过后，才能按照访问许可访问该业务主体项下的信息。

3)用户从属于企业，企业自身用户的访问控制需要遵从于企业对于特定业务主体的访问控制，缺乏基于企业访问控制对用户访问控制的制约。

发明内容

为解决现有技术中的上述问题，本发明的一个目的在于提出一种基于访问控制策略的访问控制方法、装置及系统，通过构建基于角色的用户访问控制的约束，实现不同企业以不同身份对同一业务主体的不同访问控制。

为了实现上述目的，本发明实施例提出了一种基于访问控制策略的访问控制方法，包括：

接收企业的业务访问请求；

根据所述企业对业务的访问权限为企业配置身份类型，不同企业对应不同的身份类型；其中，所述身份类型指对于同一业务主体不同企业的多种身份；

根据所述身份类型对业务的权限生成所述企业的访问许可集，所述访问许可集包括不同身份类型的职责对应的权限；

根据所述企业的访问许可集、身份类型、组织架构、业务参与人员的角色及各角色对应的职责，利用基于角色的访问控制策略确定企业内部的用户、用户的角色及角色的访问许可权限。