一种基于ABAC模型的授权访问系统

技术领域

本发明涉及网络访问技术领域，更具体的公开了一种基于ABAC模型的授权访问系统。

背景技术

ABAC是一种为解决行业分布式应用可信关系访问控制模型，它利用相关实体(如主体、客体、环境)的属性作为授权的基础来研究如何进行访问控制。基于这样的目的，可将实体的属性分为主体属性、客体属性和环境属性，这与传统的基于身份的访问控制(IBAC)不同。在基于属性的访问控制中，访问判定是基于请求者和资源具有的属性，请求者和资源在ABAC中通过特性来标识，而不像IBAC那样只通过ID来标识，这使得ABAC具有足够的灵活性和可扩展性，同时使得安全的匿名访问成为可能。

而目前的基于ABAC模型的授权访问系统，利用较多的主体属性来对请求访问的资源进行访问控制，这样容易造成访问控制策略的条件较为繁复，设定访问控制策略的过程较为复杂，不利于快速且高效的访问策略进行制定。并且在通过访问策略匹配资源的过程中，由于存在较多的主体属性和客体属性，会造成请求资源的耗时较长。且，请求访问的资源直接从原始数据存储单元中调取，在此过程中，容易发生数据的泄漏，同时，调取反馈给访问者的资源数据存在随机性，不利于访问者快速查看到重点数据。

发明内容

本发明主要解决的技术问题是提供一种基于ABAC模型的授权访问系统，能够解决目前基于ABAC的访问系统存在访问耗时较长，请求访问过程安全性交底，反馈的数据存在随机性的问题。

为解决上述技术问题，根据本发明的一个方面，更具体的说是一种基于ABAC模型的授权访问系统，包括：用户访问请求提交模块、用户访问请求接收模块、访问请求解析模块、请求访问数据调取模块、云端数据库模块、访问控制策略存储模块、数据解析模块、对比匹配模块、数据暂存模块、访问决策制定模块、访问重构模块、数据反馈模块；

用户访问请求提交模块，将携带有用户和环境属性的访问请求进行提交；

用户访问请求接收模块，用于接收用户访问请求提交模块提交的用户访问请求；

访问请求解析模块，用于对用户的访问请求进行解析，从而得到用户请求访问的资源数据类型，以及用户和环境的属性信息；

请求访问数据调取模块，用于根据解析出来的用户请求访问的资源数据类型从云端数据库中调取相应类型的资源数据；

云端数据库模块，用于存储各种类型的资源数据；

访问控制策略存储模块，用于预先存储设定好的访问控制策略信息；

数据解析模块，用于对从云端数据库中调取到的资源数据进行解析，从而得到数据使用者以及数据使用等级属性信息；

对比匹配模块，用于根据用户、访问环境、资源数据的属性信息与访问控制策略存储模块中存储的策略进行匹配，并得到匹配结果；

访问决策制定模块，用于根据对比匹配模块的匹配结果来制定是否进行授权访问的决策；

数据暂存模块，用于对数据解析模块解析完毕的数据进行暂存；

访问重构模块，若访问决策制定模块制定授权访问的决策后，该模块会将访问请求重新构建，并使访问请求携带用户和环境属性指向数据暂存模块；

数据反馈模块，用于将符合重构后的访问请求的资源数据反馈给请求访问者。

更进一步的，所述用户访问请求提交模块包括：用户身份获取模块、用户角色获取模块、访问时间获取模块、访问地点获取模块；

用户身份获取模块，用于获取用户的身份信息；

用户角色获取模块，用于获取用户的角色信息；

访问时间获取模块，用于获取用户请求访问资源数据的时间；

访问地点获取模块，用于获取用户请求访问资源数据的位置信息。

更进一步的，所述访问请求解析模块包括：访问数据类型获取模块、用户及环境属性获取模块；

访问数据类型获取模块，用于获取用户请求访问哪一类型的资源数据；

用户及环境属性获取模块，用于获取用户的各项属性信息和请求访问时环境的各项属性信息。

更进一步的，所述数据解析模块包括：数据使用者获取模块、数据使用等级获取模块；

数据使用者获取模块，用于获取当前请求访问的资源数据的能够被使用的使用者信息；

数据使用等级获取模块，用于获取能够使用当前请求访问的资源数据中每一条数据的使用等级信息。

更进一步的，所述访问策略存储模块包括：用户属性存储区块、环境属性存储砌块、资源类型存储区块；

用户属性存储区块，用于存储用户的属性信息；

环境属性存储区块，用于存储访问环境的属性信息；

资源类型存储区块，用于存储符合用户和环境属性信息的资源类型信息。

更进一步的，所述对比匹配模块包括：使用身份判别模块、基于策略的判定模块；

使用身份判别模块，用于根据数据解析模块获取到的当前请求访问的资源数据能够被使用的使用者信息与访问请求解析模块获取到的用户身份属性信息进行对比，若两者匹配成功，则进行基于策略的判定操作，否则，通过访问决策制定模块制定中止访问的决策；

基于策略的判定模块，用于在使用身份判别模块匹配成功后，将当前请求访问的资源数据类型中符合用户角色属性和访问环境属性的资源数据保存在数据暂存模块中，将不符合用户角色属性和访问环境属性的资源数据从数据暂存模块中删除。

更进一步的，所述访问决策制定模块包括：访问中止模块、授权访问模块；

访问中止模块，用于当对比匹配模块中的使用身份判别模块匹配失败后，中止当前的访问请求；

授权访问模块，用于当对比匹配模块中的使用身份判别模块匹配成功后，且当前请求访问的资源数据类型中有满足用户角色属性信息和访问环境属性信息的数据后，则授权进行访问，反之，中止访问请求。

更进一步的，所述数据暂存模块通过数据反馈模块向请求访问者反馈数据的时候，会根据请求访问者的角色等级数据、访问数据等级信息、访问数据中每条数据数据的访问频次以及访问数据量，通过下式来对反馈的数据进行综合分析处理：

其中，S为处理分析结果，PC

然后按照处理分析结构，对反馈给请求访问者的数据进行排序，从而能够将重点的数据在前面反馈给访问者。

本发明一种基于ABAC模型的授权访问系统的有益效果为：在授权访问的过程中，分为两步进行，第一步采用请求访问资源数据的能够被使用的使用者属性信息与请求访问者的身份属性信息进行对比，若匹配成功，则进入到第二步，采用用户角色属性和访问的地点、时间属性信息与请求访问资源数据中的数据使用等级属性信息进行匹配，匹配成功则将对应的数据反馈给用户；反之，若不符合第一步或者符合第一步、不符合第二步或者不符合第一、二步，则中止访问请求。使整个访问请求的条理更加的清晰，并且访问过程中涉及到的主体和客体属性较少，能够减小访问策略的制定难度，同时能够减小系统的数据处理量，使访问更加的快速高效。另外，再将对应的数据反馈给访问者的时候，会根据综合条件，来对反馈给访问者的数据进行排序，从而可以将重点的数据在前反馈给访问者，使访问者能够快速的查看到重点资源数据。

附图说明

下面结合附图和具体实施方法对本发明做进一步详细的说明。

图1为系统原理示意图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

根据本发明的一个方面，如图1所示，提供了一种基于ABAC模型的授权访问系统，包括：用户访问请求提交模块，将携带有用户和环境属性的访问请求进行提交。该模块包括：用户身份获取模块，用于获取用户的身份信息，例如，可以获取到访问者为公司A的职员身份；用户角色获取模块，用于获取用户的角色信息，例如，可以获取到访问者为公司A的管理者角色信息；访问时间获取模块，用于根据访问者的请求访问终端的时间获取用户请求访问资源数据的时间；访问地点获取模块，用于根据请求访问者的请求终端的内置的位置信息或者通过请求访问终端的定位模块定位的位置信息获取用户请求访问资源数据的位置信息。

用户访问请求接收模块，用于接收用户访问请求提交模块提交的用户访问请求。

访问请求解析模块，用于对用户的访问请求进行解析，通过访问数据类型获取模块，获取用户请求访问哪一类型的资源数据；通过用户及环境属性获取模块，获取用户的身份、角色属性信息和请求访问时环境的访问时间、访问地点属性信息。

请求访问数据调取模块，用于根据解析出来的用户请求访问的资源数据类型从云端数据库中调取相应类型的资源数据。

云端数据库模块，用于存储各种类型的资源数据。

访问控制策略存储模块，用于预先存储设定好的访问控制策略信息。该模块包括：用户属性存储区块，用于存储用户的属性信息；环境属性存储区块，用于存储访问环境的属性信息；资源类型存储区块，用于存储符合用户和环境属性信息的资源类型信息。

数据解析模块，用于对从云端数据库中调取到的资源数据进行解析，从而得到数据使用者以及数据使用等级属性信息。该模块包括：数据使用者获取模块，用于获取当前请求访问的资源数据的能够被使用的使用者信息，例如当前请求访问的信息数据是否能够被公司A职员进行请求访问；数据使用等级获取模块，用于获取能够使用当前请求访问的资源数据中每一条数据的使用等级信息，例如，其中若干条数据的使用等级为“3”，且其对应的能够被调取使用的用户角儿等级为“经理”、“主管”等管理者。

对比匹配模块，用于根据用户、访问环境、资源数据的属性信息与访问控制策略存储模块中存储的策略进行匹配，并得到匹配结果。该模块包括：使用身份判别模块，用于根据数据解析模块获取到的当前请求访问的资源数据能够被使用的使用者信息与访问请求解析模块获取到的用户身份属性信息进行对比，若两者匹配成功，则进行基于策略的判定操作，否则，通过访问决策制定模块制定中止访问的决策，如，当前请求访问的资源数据能够被使用的使用者信息为：“能够被公司A职员使用”，请求访问者的身份信息为“公司A职员”，则两者身份匹配成功，进行后续操作；基于策略的判定模块，用于在使用身份判别模块匹配成功后，将当前请求访问的资源数据类型中符合用户角色属性和访问环境属性的资源数据保存在数据暂存模块中，将不符合用户角色属性和访问环境属性的资源数据从数据暂存模块中删除，例如，若干条数据符合策略“特定角色的访问者在特定的时间和特定的地点能够访问”则将该数据进行保留，反之则进行删除。

访问决策制定模块，用于根据对比匹配模块的匹配结果来制定是否进行授权访问的决策。该模块包括：访问中止模块，用于当对比匹配模块中的使用身份判别模块匹配失败后，中止当前的访问请求；授权访问模块，用于当对比匹配模块中的使用身份判别模块匹配成功后，且当前请求访问的资源数据类型中有满足用户角色属性信息和访问环境属性信息的数据后，则授权进行访问，反之，中止访问请求。

数据暂存模块，用于对数据解析模块解析完毕的数据进行暂存。

访问重构模块，若访问决策制定模块制定授权访问的决策后，该模块会将访问请求重新构建，并使访问请求携带用户和环境属性指向数据暂存模块。

数据反馈模块，用于将符合重构后的访问请求的资源数据反馈给请求访问者。

数据暂存模块通过数据反馈模块向请求访问者反馈数据的时候，会根据请求访问者的角色等级数据、访问数据等级信息、访问数据中每条数据数据的访问频次以及访问数据量，通过下式来对反馈的数据进行综合分析处理：

其中，S为处理分析结果，PC

其中本文中出现的电器元件均为现实中存在的电器元件。

当然，上述说明并非对本发明的限制，本发明也不仅限于上述举例，本技术领域的普通技术人员在本发明的实质范围内所做出的变化、改型、添加或替换，也属于本发明的保护范围。