一种基于模型驱动的柔性安全访问控制方法及系统与流程

1.本发明涉及一种基于模型驱动的柔性安全访问控制方法及系统，属于计算机信息安全技术领域。


背景技术：

2.随着访问控制理论和现实应用中安全需求的发展，表达能力和灵活性现在已成为一个访问控制系统的顶级要求，并且伴随着冲突、简单性和有效性。现代访问控制方法要求柔性的刻画现实世界中的安全需求。在实际应用中要求访问控制方法要考虑访问主体、客体及系统环境等诸多因素，要求系统的控制决策机制具有柔性以反映客观需求，保障数据资源在合法范围内得以有效使用和管理。
3.访问控制是一种重要的信息安全技术，现代企业采用了此技术来保障其信息管理系统的安全，保护安全系统所维护的数据和资源，以避免未授权访问与不恰当修改，同时确保对合法用户的可用性。对于所支持的不同领域、不同安全需求的上层应用系统，急需一种支持多种安全策略的安全访问控制方法。


技术实现要素：

4.本发明提供了一种基于模型驱动的柔性安全访问控制方法及系统，解决了背景技术中披露的问题。
5.为了解决上述技术问题，本发明所采用的技术方案是：一种基于模型驱动的柔性安全访问控制方法，包括，获取应用控制状态标识；根据应用控制状态标识，从预先构建的应用控制模型中获取各用户的访问权限；其中，应用控制模型包括若干应用控制状态，各应用控制状态对应若干用户的访问权限，访问权限为用户访问应用控制模型驱动元素的权限；根据用户标识和相应的访问权限，进行应用控制模型的驱动元素访问。
6.构建应用控制模型，具体过程为，创建应用控制模型；配置应用控制模型驱动元素的数据范围控制；创建应用控制模型中包含的应用控制状态；在数据范围控制内配置应用控制状态对应用户访问驱动元素的权限。
7.驱动元素包括数据库中数据模型对象的类型、属性和关联；其中，属性表示类型的特征，关联表示类型之间的映射关系。
8.用户包括若干角色，在数据范围控制内配置应用控制状态对应角色访问驱动元素的权限。
9.权限包括可见权限和只读权限，其中，只读权限的配置前提是必须具有可见权限。
10.一种基于模型驱动的柔性安全访问控制系统，包括，
标识获取模块：获取应用控制状态标识；权限获取模块：根据应用控制状态标识，从预先构建的应用控制模型中获取各用户的访问权限；其中，应用控制模型包括若干应用控制状态，各应用控制状态对应若干用户的访问权限，访问权限为用户访问应用控制模型驱动元素的权限；访问模块：根据用户标识和相应的访问权限，进行应用控制模型的驱动元素访问。
11.还包括应用控制模型构建模块，应用控制模型构建模块包括，模型创建模块：创建应用控制模型；范围配置模块：配置应用控制模型驱动元素的数据范围控制；状态创建模块：创建应用控制模型中包含的应用控制状态；权限配置模块：在数据范围控制内配置应用控制状态对应用户访问驱动元素的权限。
12.驱动元素包括数据库中数据模型对象的类型、属性和关联；其中，属性表示类型的特征，关联表示类型之间的映射关系。
13.用户包括若干角色，权限配置模块：在数据范围控制内配置应用控制状态对应角色访问驱动元素的权限。
14.权限包括可见权限和只读权限，其中，只读权限的配置前提是必须具有可见权限。
15.本发明所达到的有益效果：本发明的应用控制模型包括若干应用控制状态，各应用控制状态对应若干用户的访问权限，基于应用控制模型进行元素访问，访问控制灵活性高，应用控制状态可配置多种访问权限，满足动态支持多种安全策略。
附图说明
16.图1为本发明方法的流程图；图2为安全访问控制设置示意图；图3为用户角色安全访问权限设置示意图。
具体实施方式
17.下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。
18.如图1所示，一种基于模型驱动的柔性安全访问控制方法，包括以下步骤：步骤1，获取应用控制状态标识；步骤2，根据应用控制状态标识，从预先构建的应用控制模型中获取各用户的访问权限；其中，应用控制模型包括若干应用控制状态，各应用控制状态对应若干用户的访问权限，访问权限为用户访问应用控制模型驱动元素的权限；步骤3，根据用户标识和相应的访问权限，进行应用控制模型的驱动元素访问。
19.上述方法的应用控制模型包括若干应用控制状态，各应用控制状态对应若干用户的访问权限，基于应用控制模型进行元素访问，访问控制灵活性高，应用控制状态可配置多种访问权限，满足动态支持多种安全策略。
20.上述应用控制状态标识为人为定义的唯一标识，通过该标识可获取相应的应用控制状态；同时上述用户标识与应用控制状态标识类似，每个用户也具备唯一标识。
21.应用控制模型包含多个应用控制状态，每一个应用控制状态设置数据安全控制，数据安全控制是针对数据范围控制的模型驱动元素设置；应用控制模型设置模型驱动元素的数据范围控制，应用控制模型具有控制权限的模型驱动元素将在数据安全控制中使用，不具有控制权限的模型驱动元素不能在数据安全控制中使用，应用控制模型的构建具体如图2所示：11）创建应用控制模型；12）配置应用控制模型驱动元素的数据范围控制；13）创建应用控制模型中包含的应用控制状态；14）在数据范围控制内配置应用控制状态对应用户访问驱动元素的权限；其中，驱动元素包括数据库中数据模型对象的类型、属性和关联；其中，属性表示类型的特征，关联表示类型之间的映射关系。
22.如图3所述，用户包括若干角色，角色是拥有相似权限的用户分类管理的对象，在数据范围控制内配置应用控制状态对应角色访问驱动元素的权限，具体包括可见权限和只读权限，其中，只读权限的配置前提是必须具有可见权限。
23.授予了角色可见权限的属性，具有角色授权的用户访问类型应用的界面能够看到属性的表单，可编辑；未授予角色可见权限的属性，任何用户访问类型应用的界面都不显示；对于授予了角色可见、只读权限的属性，具有角色授权的用户访问类型应用的界面能够看到属性的表单，不可编辑。
24.每个应用控制状态能够授予不同的数据安全控制，在类型应用中使用不同的应用控制状态。
25.例如：使用驱动元素创建的表单，配置应用控制状态标识。在用户访问表单时，获取用户授予的角色在指定的应用控制状态设置的数据安全控制，解析出用户对属性的访问权限，相应的，表单中使用了属性的组件具有与属性相同的访问权限，实现用户对表单访问权限的控制。通过切换表单的应用状态标识，和修改应用状态的数据安全控制，实现用户对表单的访问管理权限的修改，由此实现动态控制表单访问权限。
26.上述方法对应的软件系统，即基于模型驱动的柔性安全访问控制系统，包括：应用控制模型构建模块，包括：模型创建模块：创建应用控制模型；范围配置模块：配置应用控制模型驱动元素的数据范围控制；状态创建模块：创建应用控制模型中包含的应用控制状态；权限配置模块：用户包括若干角色，在数据范围控制内配置应用控制状态对应角色访问驱动元素的权限，权限包括可见权限和只读权限，其中，只读权限的配置前提是必须具有可见权限。
27.标识获取模块：获取应用控制状态标识。
28.权限获取模块：根据应用控制状态标识，从预先构建的应用控制模型中获取各用户的访问权限；其中，应用控制模型包括若干应用控制状态，各应用控制状态对应若干用户的访问权限，访问权限为用户访问应用控制模型驱动元素的权限，驱动元素包括数据库中数据模型对象的类型、属性和关联；其中，属性表示类型的特征，关联表示类型之间的映射关系。
29.访问模块：根据用户标识和相应的访问权限，进行应用控制模型的驱动元素访问。
30.一种柔性安全访问控制系统，包括服务器以及与服务器连接的客户端，服务器内装载有上述系统，客户端内设置有访问控制界面，通过访问控制界面可进行应用控制状态标识的输入，即进行访问，同时也可以进行应用控制模型的构建和修改。
31.本发明满足动态支持多种安全策略，符合最小权力原则，即缺省为无权，设置许可才有权，比缺省许可更安全可靠，并且访问、修改代价低，只需要在应用控制模型修改访问权限，即可在模型驱动的应用生效。
32.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、cd
‑
rom、光学存储器等）上实施的计算机程序产品的形式。
33.本技术是参照根据本技术实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。
34.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。
35.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。
36.以上仅为本发明的实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均包含在申请待批的本发明的权利要求范围之内。