申请/专利权人：中国工程物理研究院计算机应用研究所

申请日：2020-08-06

公开（公告）日：2024-06-07

公开（公告）号：CN111935131B

主分类号：H04L9/40

分类号：H04L9/40;H04L67/10;G06F21/62

优先权：

专利状态码：有效-授权

法律状态：2024.06.07#授权;2023.08.08#实质审查的生效;2020.11.13#公开

摘要：本发明公开了一种基于资源权限树的SaaS资源访问控制方法，包括以下步骤：首先结合H‑RBAC模型与ABAC模型，设计基于资源权限树的SaaS访问控制理论模型，简称H‑RRBAC模型；接着基于H‑RRBAC模型进行资源权限分配与访问控制，具体包括：SaaS平台资源注册，并自动生成资源有向原子树；生成资源有向树；构建角色的资源权限树；生成用户的资源权限树；用户访问业务时，基于用户的资源权限树进行用户对资源的访问控制。本发明所述方法可适应SaaS模式下不同租户的不同权限管理场景，实现高效、低复杂度的权限分配，同时满足不同租户对资源不同粒度、属性动态变化的权限访问控制需求。

主权项：1.一种基于资源权限树的SaaS资源访问控制方法，其特征在于：包括以下步骤：步骤1、结合H-RBAC模型与ABAC模型，设计基于资源权限树的SaaS访问控制理论模型，简称H-RRBAC模型；步骤2、基于H-RRBAC模型进行资源权限分配与访问控制，包括以下步骤：步骤2.1、SaaS平台资源注册，并以代表最小业务单元的资源为根节点自动生成资源有向原子树；步骤2.2、平台管理员按需组合资源有向原子树，生成资源有向树；步骤2.3、平台管理员以资源有向树为单位向租户分配资源访问许可，租户管理员以被许可访问的资源有向树为单位进行角色的资源权限分配，构建角色的资源权限树；步骤2.4、租户管理员建立用户-用户组、用户组-角色、用户-角色的关系，生成用户的资源权限树；步骤2.5、用户访问业务时，基于用户的资源权限树进行用户对资源的访问控制；所述步骤1中，H-RRBAC模型基于H-RBAC模型与ABAC模型进行改进，其改进内容包括：1.1、在H-RBAC模型的“角色-资源”之间引入资源有向树，基于资源有向树进行权限分配，1棵资源有向树代表一个业务场景，树与树之间有清晰的业务边界，树中资源之间的内在关联关系决定了父子资源节点权限的蕴含关系，当对某一资源节点授权时，其子节点自动继承父节点的权限，当同一业务场景访问控制策略相同时，仅需对根节点进行权限分配；1.2、基于资源权限树进行访问控制，融合RBAC与ABAC的优点，角色对资源的访问权限由资源-操作权限、资源-ABAC规则共同确定；1.3、通过资源权限树将主体对数据资源与非数据资源的访问权限作为一个有机整体进行统一纳管，主体对数据资源的访问权限由业务决定，业务上下文以资源有向树的形式呈现，在访问控制需求发生变化或出现访问控制权限配置错误冲突时，能快速定位、高效应对；所述资源权限树是由若干资源节点构成的有向树，资源节点由资源节点ID、资源信息、分配的操作权限和访问控制规则这四元组表示，其中，资源节点ID用于唯一标识节点所在的资源有向树与位置；资源信息由资源ID、资源名称、资源类型、资源属性和支持的操作权限这五元组表示，其中，资源ID用于唯一标识资源，资源名称自动获取，资源类型划分为包括但不限于菜单、页面、页面控件、数据的类型，资源属性是资源的属性集合，支持的操作权限由资源类型决定；分配的操作权限是从支持的操作权限中选择得到的权限集合；访问控制规则是基于用户、资源、上下文环境的属性信息构建的规则集合；资源节点之间的关系由SaaS软件代码预定义的业务逻辑确定。

全文数据：

权利要求：

百度查询： 中国工程物理研究院计算机应用研究所 一种基于资源权限树的SaaS资源访问控制方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD