[发明专利]可自定义的多态访问控制模型及其工作方法

说明书

本发明公开了可自定义的多态访问控制模型，包括简单属性管理模块、复杂属性管理模块、类别模块、策略模块、权限缩减模块；该模型以“属性”(包括简单属性、复杂属性及属性的层次关系等)为基础，提供用户自定义模块，管理员自定义模块，使模型具有不同存取控制模型的表达能力，具备类似程序语言中“多态”的特性，在同一应用场景下呈现多种访问控制模型的能力，相较于传统的多模型融合，本发明统一使用“属性”这一概念去表达其他元素，通过采用“归类‑评估‑权限缩减”多层架构，每层架构提供不同的功能，从而保留了模型的可审计，方便管理，细粒度控制等优势，同时是一个通用的访问控制模型，方便使用者跨平台使用，降低学习成本。

技术领域

本发明涉及数据安全领域，特别涉及可自定义的多态访问控制模型及其工作方法。

背景技术

随着社会的发展，我们已经进入到了一个信息爆炸的时代，通过各种渠道产生的数据也与日俱增，数据已经渗透到了社会生活的各个领域，海量的数据被使用和分析，这其中就包含了大量的隐私数据，隐私数据一旦泄露，带来的危害将不可估量，因此人们也越来越重视数据的安全问题。

现有的数据安全防护技术不够灵活，访问控制能力单一，跨平台能力弱，无法根据不同场景使用不同的访问控制功能进行数据保护。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提供可自定义的多态访问控制模型，该模型能根据管理员需求灵活地提供不同的访问控制功能，解决目前复杂场景下的数据的存取安全问题，能够解决现有单一访问模型防护不够灵活、控制能力单一的问题，满足复杂场景的要求。本发明以“属性”(包括简单属性、复杂属性及属性的层次关系等)为基础，提供用户自定义模块，管理员自定义模块，使模型具有不同存取控制模型的表达能力，具备类似程序语言中“多态”的特性，在同一应用场景下呈现多种访问控制模型的能力，相较于传统的多模型融合，本发明统一使用“属性”这一概念去表达其他元素，通过采用“归类-评估-权限缩减”多层架构，每层架构提供不同的功能，从而保留了模型的可审计，方便管理，细粒度控制等优势，同时本发明不针对具体的平台，是一个通用的访问控制模型，方便使用者跨平台使用，降低学习成本。

本发明的另一目的在于提供可自定义的多态访问控制模型的工作方法。

本发明的目的通过以下的技术方案实现：

可自定义的多态访问控制模型，包括简单属性管理模块、复杂属性管理模块、类别模块、策略模块、权限缩减模块；其中，

简单属性管理模块，用于从元数据库读取主体和客体的属性，并将属性信息传递到类别模块和权限缩减模块供其使用；

所述简单属性管理模块读取的属性定义如下：Attr：{name,value,tree,type}，其中name代表属性的名称，属性的名称唯一，value代表属性值，tree代表该属性处于哪种属性树中，type表示属性值是集合类型还是原子类型；在读取请求涉及的主体和客体的属性之后，简单属性管理模块还会对主体和客体进行包装，将读取到的属性和相应的主体/客体绑定起来。

复杂属性管理模块，用于从元数据库读取属性树信息，并且对其进行树化，存储在内存中，处理后的属性树信息将用于类别模块和权限缩减模块评估时使用；

所述属性树在元数据库采用二元组集合的形式进行存储，具体形式如下：{p₁,c₁,p₂,c₂,p₃,c₃,p₄,c₄}，属性树以一系列二元组parent,children来表示，其中parent代表父节点，children代表子节点；在复杂属性管理模块会维护一张映射图，其中key是属性树的名称，value是根据二元组集合树化后键所对应的属性树，如图2所示。