访问控制方法、装置、电子设备及存储介质与流程

文档序号:33477330发布日期:2023-03-15 10:47阅读:54来源:国知局
访问控制方法、装置、电子设备及存储介质与流程

1.本发明涉及数据安全技术领域,尤其涉及一种访问控制方法、装置、电子设备及计算机可读存储介质。


背景技术:

2.访问控制技术,指防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围内使用。现有技术中,基于角色的访问控制(rbac)和基于属性的访问控制(abac)是访问控制的两种常见模型。其中,rbac模型构建起来更简单,性能较高,但灵活度较低,控制粒度较粗。abac模型灵活度极高,控制粒度较细,但模型非常复杂,性能较低,学习成本也比较高。因此,亟需一种能够在更细控制粒度下高效对用户进行访问控制的方法。


技术实现要素:

3.本发明提供一种访问控制方法、装置、电子设备及可读存储介质,其主要目的在于在更细控制粒度下,提高对用户访问控制的效率。
4.为实现上述目的,本发明提供的一种访问控制方法,包括:获取不同权限场景的用户集合及权限规则集合,基于关键字匹配算法将所述用户集合中同一权限场景下的所有用户作为用户域,汇总所有权限场景对应的用户域得到用户域集合;基于redis的数据结构将所述用户域集合缓存至目标数据库,以及基于字段索引的数据结构将所述权限规则集合缓存至目标数据库;接收访问用户的访问请求,基于所述访问请求,利用标准二分查找算法对所述目标数据库中缓存的权限规则集合进行权限规则查询,得到规则查询结果,基于所述规则查询结果对所述用户域集合进行复合权限查询,得到权限查询结果;基于所述权限查询结果对所述访问用户的访问请求进行访问控制。
5.可选地,所述基于redis的数据结构将所述用户域集合缓存至目标数据库,以及基于字段索引的数据结构将所述权限规则集合缓存至目标数据库,包括:基于redis中的set数据结构将所述用户域集合缓存至目标数据库;基于用户域及权限场景构建复合字段索引的数据结构将所述权限规则集合缓存至目标数据库。
6.可选地,所述基于redis中的set数据结构将所述用户域集合缓存至目标数据库,包括:将所述用户域集合中每个用户域对应的用户域参数及权限场景参数作为set数据结构中的键;将所述用户域集合中每个用户域对应的用户列表作为所述set数据结构中的键对应的值;将所述用户域集合中所有用户域对应的键值对缓存至目标数据库。
7.可选地,所述基于redis中的set数据结构将所述用户域集合缓存至目标数据库之后,所述方法还包括:在所述用户集合变化时,重新基于权限场景对变化后的用户集合进行用户域构建,得到调整用户域集合;对比所述用户域集合及所述调整用户域集合中对应用户域的用户,得到待调整用户;基于所述待调整用户更新所述目标数据库中缓存的用户域集合,得到更新后的用户域集合。
8.可选地,所述基于用户域及权限场景构建复合字段索引的数据结构将所述权限规则集合缓存至目标数据库,包括:基于所述权限规则集合中权限规则对应的权限场景及用户域构建复合字段;将所述复合字段作为索引,并基于所述复合字段对所述权限规则集合中的权限规则进行排列,得到有序数组;将所述有序数组缓存至目标数据库。
9.可选地,所述基于所述访问请求,利用标准二分查找算法对所述目标数据库中缓存的权限规则集合进行权限规则查询,得到规则查询结果,基于所述规则查询结果对所述用户域集合进行复合权限查询,得到权限查询结果,包括:解析所述访问请求中的目标访问权限;查找所述目标数据库中有序数组中间位置的权限规则与所述目标访问权限是否相同;在所述目标数据库中有序数组中间位置的权限规则与所述目标访问权限不相同时,基于所述中间位置将所述有序数组分为前后子数组,继续查找所述前后子数组中间位置的权限规则与所述目标访问权限是否相同,直至所述有序数组中目标位置的权限规则与所述目标访问权限相同,将所述目标位置权限规则对应的权限场景及用户域作为所述目标访问权限对应的目标权限场景及所述目标权限场景对应的目标用户域;在所述目标数据库的用户域集合中查找所述目标用户域对应的目标用户列表;若所述目标用户列表中不包括所述访问用户,则权限查询结果为不存在权限;若所述目标用户列表中包括所述访问用户,则权限查询结果为存在权限。
10.可选地,所述权限规则通过下述方法获取:接收权限规则构建指令,解析所述权限规则构建指令,得到所述权限规则构建指令对应的权限场景、用户域及权限;汇总所述权限规则构建指令对应的权限场景、用户域及权限,得到权限规则。
11.为了解决上述问题,本发明还提供一种访问控制装置,所述装置包括:用户域构建模块,用于获取不同权限场景的用户集合及权限规则集合,基于关键字匹配算法将所述用户集合中同一权限场景下的所有用户作为用户域,汇总所有权限场景对应的用户域得到用户域集合;数据缓存模块,用于基于redis的数据结构将所述用户域集合缓存至目标数据库,以及基于字段索引的数据结构将所述权限规则集合缓存至目标数据库;访问控制模块,用于接收访问用户的访问请求,基于所述访问请求,利用标准二分
查找算法对所述目标数据库中缓存的权限规则集合进行权限规则查询,得到规则查询结果,基于所述规则查询结果对所述用户域集合进行复合权限查询,得到权限查询结果,基于所述权限查询结果对所述访问用户的访问请求进行访问控制。
12.为了解决上述问题,本发明还提供一种电子设备,所述电子设备包括:存储器,存储至少一个计算机程序;及处理器,执行所述存储器中存储的计算机程序以实现上述所述的访问控制方法。
13.为了解决上述问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个计算机程序,所述至少一个计算机程序被电子设备中的处理器执行以实现上述所述的访问控制方法。
14.本实施例基于权限场景可以更细粒度的划分用户域,相比 rbac模型可以更细粒度、更动态地指定用户权限,提高用户访问权限控制的灵活度。同时,基于redis的数据结构及基于字段索引的数据结构分别将用户域集合及权限规则集合缓存至目标数据库,基于访问请求对目标数据库中缓存的权限规则集合及用户域集合进行复合权限查询,即使团队中设定了大量权限规则,系统也可以以个位数毫秒级的时延返回权限判断结果,性能相比通用 abac 系统有较大优势,大大提高了访问控制的效率。因此本发明提出的访问控制方法、装置、电子设备及计算机可读存储介质,可以在更细控制粒度下,提高对用户访问控制的效率。
附图说明
15.图1为本发明一实施例提供的访问控制方法的流程示意图;图2为本发明另一实施例提供的访问控制方法的流程示意图;图3为本发明另一实施例提供的访问控制方法的流程示意图;图4为本发明一实施例提供的访问控制装置的功能模块图;图5为本发明一实施例提供的实现所述访问控制方法的电子设备的结构示意图。
16.本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
17.应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
18.本技术实施例提供一种访问控制方法。所述访问控制方法的执行主体包括但不限于服务端、终端等能够被配置为执行本技术实施例提供的该方法的电子设备中的至少一种。换言之,所述访问控制方法可以由安装在终端设备或服务端设备的软件或硬件来执行,所述软件可以是区块链平台。所述服务端包括但不限于:单台服务器、服务器集群、云端服务器或云端服务器集群等。所述服务器可以是独立的服务器,也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(content delivery network,cdn)、以及大数据和人工智能平台等基础云计算服务的云服务器。
19.参照图1所示,为本发明一实施例提供的访问控制方法的流程示意图。在本实施例中,所述访问控制方法包括:s1、获取不同权限场景的用户集合及权限规则集合,基于关键字匹配算法将所述
用户集合中同一权限场景下的所有用户作为用户域,汇总所有权限场景对应的用户域得到用户域集合。
20.本发明实施例中,所述权限场景是指用来判断不同用户访问控制权限时的场景以及代表场景的对象,例如,「项目a」和「项目b」就是两个不同的权限场景。所述用户域是指不同权限场景下若干用户的集合,例如,用户域「所有人」代表团队内的所有成员,用户域「部门a」代表部门a以及部门a下所有子部门的用户。所述关键字匹配算法是一种自然语言处理方法,通过关键词的匹配程度来查找信息,包括精确匹配、短语匹配等。例如,将权限场景作为关键词,可以将同一权限场景下的用户快速查找出来,提高数据处理的速度。
21.本发明实施例中,基于权限场景可以更细粒度的划分用户域,相比 rbac 可以更细粒度、更动态地指定用户权限,提高用户访问权限控制的灵活度。例如,「项目角色」这类用户域,「产品经理」这个项目角色的用户域,在「项目a」和「项目b」两个不同的权限场景下可以包括不同的用户,「项目a」里包括用户 1、用户 2,但在「项目b」里包括不同的用户3、用户4、用户5。
22.本发明一可选实施例中,所述权限规则通过下述方法获取:接收权限规则构建指令,解析所述权限规则构建指令,得到所述权限规则构建指令对应的权限场景、用户域及权限;汇总所述权限规则构建指令对应的权限场景、用户域及权限,得到权限规则。
23.所述权限规则是通过权限规则构建指令构建,用于确定不同用户域的权限,描述了在「某个权限场景」下,「某个用户域」有「某个权限」。例如,在「项目a」下,「产品经理」这类用户域有「新建工作项」的权限。
24.s2、基于redis的数据结构将所述用户域集合缓存至目标数据库,以及基于字段索引的数据结构将所述权限规则集合缓存至目标数据库。
25.本发明实施例中,为了提高权限检索的效率,分别以不同的数据结构将用户域集合及权限规则集合缓存。
26.详细地,所述基于redis的数据结构将所述用户域集合缓存至目标数据库,以及基于字段索引的数据结构将所述权限规则集合缓存至目标数据库,包括:基于redis中的set数据结构将所述用户域集合缓存至目标数据库;基于用户域及权限场景构建复合字段索引的数据结构将所述权限规则集合缓存至目标数据库。
27.本发明一可选实施例中,通过redis的set数据结构,缓存某个用户域在某个权限场景下的用户列表。reids的set数据结构是集合类型,可以保存多个字符串元素,集合中的元素不能重复,并且集合中的元素也是无序的。
28.具体地,所述基于redis中的set数据结构将所述用户域集合缓存至目标数据库,包括:将所述用户域集合中每个用户域对应的用户域参数及权限场景参数作为set数据结构中的键;将所述用户域集合中每个用户域对应的用户列表作为所述set数据结构中的键对应的值;将所述用户域集合中所有用户域对应的键值对缓存至目标数据库。
29.本发明一可选实施例中, redis的set数据结构中的键值对(key-value)包括:键:《权限场景参数》:《用户域参数》;值:《用户列表》。其中,权限场景参数用来确定对应的权限场景,用户域参数用来确定对应的用户域。
30.本发明另一可实施例中,所述基于redis中的set数据结构将所述用户域集合缓存至目标数据库之后,所述方法还包括:在所述用户集合变化时,重新基于权限场景对变化后的用户集合进行用户域构建,得到调整用户域集合;对比所述用户域集合及所述调整用户域集合中对应用户域的用户,得到待调整用户;基于所述待调整用户更新所述目标数据库中缓存的用户域集合,得到更新后的用户域集合。
31.本发明一可选实施例中,由于用户集合中的用户职位、权限可能发生变化,因此需要对缓存的用户域集合进行更新,从而保证权限控制的准确性。通过在用户集合变化时,重新基于权限场景对变化后的用户集合进行用户域构建,对比用户域在变化前、变化后包含的用户列表,可以快速找到实际发生改变的待调整用户,重新更新待调整用户相关的缓存。例如,部门a下包含子部门b,部门b下包含子部门c,当某个用户加入部门c时,也相当于同时加入了部门a和部门b,此时除了需要刷新部门c的缓存,还需要刷新部门a和部门b的缓存。
32.具体地,参照图2所示,所述基于用户域及权限场景构建复合字段索引的数据结构将所述权限规则集合缓存至目标数据库,包括:s20、基于所述权限规则集合中权限规则对应的权限场景及用户域构建复合字段;s21、将所述复合字段作为索引,并基于所述复合字段对所述权限规则集合中的权限规则进行排列,得到有序数组;s22、将所述有序数组缓存至目标数据库。
33.本发明一可选实施例中,将权限规则加载到内存,分别以「权限场景-用户域」和「用户域-权限场景」构建复合字段,并以复合字段的方式进行排序,形成两个有序数组,通过使用这种内存数据结构中的复合字段作为索引,除了减少数据库查询外,还可以在响应获取权限规则的api请求时,直接以数组范围切片的方式返回结果,减少大量中间内存分配,避免内存垃圾回收(gc)引发的延迟,大大提高了响应速度。
34.s3、接收访问用户的访问请求,基于所述访问请求,利用标准二分查找算法对所述目标数据库中缓存的权限规则集合进行权限规则查询,得到规则查询结果,基于所述规则查询结果对所述用户域集合进行复合权限查询,得到权限查询结果。
35.本发明实施例中,通过复合权限查询,先利用缓存的权限规则集合确定权限场景及用户域,再通过缓存的用户域集合快速查找访问用户是否在确定的权限场景下的用户域中,从而快速准确地确定该访问用户是否具有访问权限。
36.具体地,参照图3所示,所述基于所述访问请求,利用标准二分查找算法对所述目标数据库中缓存的权限规则集合进行权限规则查询,得到规则查询结果,基于所述规则查询结果对所述用户域集合进行复合权限查询,得到权限查询结果,包括:s30、解析所述访问请求中的目标访问权限;s31、查找所述目标数据库中有序数组中间位置的权限规则与所述目标访问权限
是否相同;s32、在所述目标数据库中有序数组中间位置的权限规则与所述目标访问权限不相同时,基于所述中间位置将所述有序数组分为前后子数组,继续查找所述前后子数组中间位置的权限规则与所述目标访问权限是否相同,直至所述有序数组中目标位置的权限规则与所述目标访问权限相同,将所述目标位置权限规则对应的权限场景及用户域作为所述目标访问权限对应的目标权限场景及所述目标权限场景对应的目标用户域;s33、在所述目标数据库的用户域集合中查找所述目标用户域对应的目标用户列表;s34、若所述目标用户列表中不包括所述访问用户,则权限查询结果为不存在权限;s35、若所述目标用户列表中包括所述访问用户,则权限查询结果为存在权限。
37.本发明一可选实施例中,当判断一个访问用户在某权限场景下是否有某一项访问权限时,系统先查询权限规则缓存,由于缓存里的权限规则已经按照「权限场景-用户域」和「用户域-权限场景」构建复合字段排序,因此可以通过标准二分查找算法,以o(log n)的时间复杂度快速找到该权限在对应权限场景下的所有用户域,其中,查找到的权限场景及用户域即为目标权限场景及目标用户域,然后对于查找到的每个目标用户域,检查访问用户是否在用户域缓存的set集合中,如果存在,则权限查询结果为存在权限,如果不存在,则权限查询结果为不存在权限。
38.标椎二分查找也称折半查找(binary search),它是一种效率较高的查找方法,要求必须采用顺序存储结构,而且元素按关键字有序排列,由于缓存里的权限规则是一种有序数组,查找时将访问请求中的目标访问权限作为关键字与有序数组中间位置记录的数据比较,如果两者相等,则查找成功;否则利用中间位置将有序数组分成前、后两个子数组,如果中间位置记录的关键字大于查找关键字,则进一步查找前一子数组,否则进一步查找后一子数组,重复以上过程,直到找到满足条件的记录,使查找成功,或直到子数组不存在为止,此时查找不成功。
39.例如,若有序数组是升序数组,且目标访问权限序号为33,查找升序数组中间位置权限规则与目标访问权限是否相同,在有序数组中间位置的权限规则与目标访问权限不相同时,基于中间位置将有序数组分为前后子数组,并在目标访问权限序号大于中间位置时,查找前一个子数组,否则查找后一个子数组,直至利用标准二分查找算法查找到所述有序数组中目标位置元素相同时,得到目标访问权限对应的目标权限场景及目标权限场景对应的目标用户域。
40.通过对所述目标数据库中缓存的权限规则集合及用户域集合进行复合权限查询,即使团队中设定了大量权限规则(如超过 1000000 条权限规则),系统也可以以个位数毫秒级的时延返回权限判断结果,性能相比通用 abac 系统有较大优势。
41.s4、基于所述权限查询结果对所述访问用户的访问请求进行访问控制。
42.本发明实施例中,当访问用户的权限查询结果为存在权限,说明该访问用户有此项权限,当访问用户的权限查询结果为不存在权限,说明该访问用户没有此项权限,从而根据权限查询结果可以快速准确地对访问用户的访问请求进行控制。
43.本实施例基于权限场景可以更细粒度的划分用户域,相比 rbac模型可以更细粒
度、更动态地指定用户权限,提高用户访问权限控制的灵活度。同时,基于redis的数据结构及基于字段索引的数据结构分别将用户域集合及权限规则集合缓存至目标数据库,基于访问请求对目标数据库中缓存的权限规则集合及用户域集合进行复合权限查询,即使团队中设定了大量权限规则,系统也可以以个位数毫秒级的时延返回权限判断结果,性能相比通用 abac 系统有较大优势,大大提高了访问控制的效率。因此本发明提出的访问控制方法,可以在更细控制粒度下,提高对用户访问控制的效率。
44.如图4所示,是本发明一实施例提供的访问控制装置的功能模块图。
45.本发明所述访问控制装置100可以安装于电子设备中。根据实现的功能,所述访问控制装置100可以包括用户域构建模块101、数据缓存模块102及访问控制模块103。本发明所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
46.在本实施例中,关于各模块/单元的功能如下:所述用户域构建模块101,用于获取不同权限场景的用户集合及权限规则集合,基于关键字匹配算法将所述用户集合中同一权限场景下的所有用户作为用户域,汇总所有权限场景对应的用户域得到用户域集合;所述数据缓存模块102,用于基于redis的数据结构将所述用户域集合缓存至目标数据库,以及基于字段索引的数据结构将所述权限规则集合缓存至目标数据库;所述访问控制模块103,用于接收访问用户的访问请求,基于所述访问请求,利用标准二分查找算法对所述目标数据库中缓存的权限规则集合进行权限规则查询,得到规则查询结果,基于所述规则查询结果对所述用户域集合进行复合权限查询,得到权限查询结果,基于所述权限查询结果对所述访问用户的访问请求进行访问控制。
47.详细地,所述访问控制装置100各模块的具体实施方式如下:步骤一、获取不同权限场景的用户集合及权限规则集合,基于关键字匹配算法将所述用户集合中同一权限场景下的所有用户作为用户域,汇总所有权限场景对应的用户域得到用户域集合。
48.本发明实施例中,所述权限场景是指用来判断不同用户访问控制权限时的场景以及代表场景的对象,例如,「项目a」和「项目b」就是两个不同的权限场景。所述用户域是指不同权限场景下若干用户的集合,例如,用户域「所有人」代表团队内的所有成员,用户域「部门a」代表部门a以及部门a下所有子部门的用户。所述关键字匹配算法是一种自然语言处理方法,通过关键词的匹配程度来查找信息,包括精确匹配、短语匹配等。例如,将权限场景作为关键词,可以将同一权限场景下的用户快速查找出来,提高数据处理的速度。
49.本发明实施例中,基于权限场景可以更细粒度的划分用户域,相比 rbac 可以更细粒度、更动态地指定用户权限,提高用户访问权限控制的灵活度。例如,「项目角色」这类用户域,「产品经理」这个项目角色的用户域,在「项目a」和「项目b」两个不同的权限场景下可以包括不同的用户,「项目a」里包括用户 1、用户 2,但在「项目b」里包括不同的用户3、用户4、用户5。
50.本发明一可选实施例中,所述权限规则通过下述方法获取:接收权限规则构建指令,解析所述权限规则构建指令,得到所述权限规则构建指令对应的权限场景、用户域及权限;
汇总所述权限规则构建指令对应的权限场景、用户域及权限,得到权限规则。
51.所述权限规则是通过权限规则构建指令构建,用于确定不同用户域的权限,描述了在「某个权限场景」下,「某个用户域」有「某个权限」。例如,在「项目a」下,「产品经理」这类用户域有「新建工作项」的权限。
52.步骤二、基于redis的数据结构将所述用户域集合缓存至目标数据库,以及基于字段索引的数据结构将所述权限规则集合缓存至目标数据库。
53.本发明实施例中,为了提高权限检索的效率,分别以不同的数据结构将用户域集合及权限规则集合缓存。
54.详细地,所述基于redis的数据结构将所述用户域集合缓存至目标数据库,以及基于字段索引的数据结构将所述权限规则集合缓存至目标数据库,包括:基于redis中的set数据结构将所述用户域集合缓存至目标数据库;基于用户域及权限场景构建复合字段索引的数据结构将所述权限规则集合缓存至目标数据库。
55.本发明一可选实施例中,通过redis的set数据结构,缓存某个用户域在某个权限场景下的用户列表。reids的set数据结构是集合类型,可以保存多个字符串元素,集合中的元素不能重复,并且集合中的元素也是无序的。
56.具体地,所述基于redis中的set数据结构将所述用户域集合缓存至目标数据库,包括:将所述用户域集合中每个用户域对应的用户域参数及权限场景参数作为set数据结构中的键;将所述用户域集合中每个用户域对应的用户列表作为所述set数据结构中的键对应的值;将所述用户域集合中所有用户域对应的键值对缓存至目标数据库。
57.本发明一可选实施例中, redis的set数据结构中的键值对(key-value)包括:键:《权限场景参数》:《用户域参数》;值:《用户列表》。其中,权限场景参数用来确定对应的权限场景,用户域参数用来确定对应的用户域。
58.本发明另一可实施例中,所述基于redis中的set数据结构将所述用户域集合缓存至目标数据库之后,所述方法还包括:在所述用户集合变化时,重新基于权限场景对变化后的用户集合进行用户域构建,得到调整用户域集合;对比所述用户域集合及所述调整用户域集合中对应用户域的用户,得到待调整用户;基于所述待调整用户更新所述目标数据库中缓存的用户域集合,得到更新后的用户域集合。
59.本发明一可选实施例中,由于用户集合中的用户职位、权限可能发生变化,因此需要对缓存的用户域集合进行更新,从而保证权限控制的准确性。通过在用户集合变化时,重新基于权限场景对变化后的用户集合进行用户域构建,对比用户域在变化前、变化后包含的用户列表,可以快速找到实际发生改变的待调整用户,重新更新待调整用户相关的缓存。例如,部门a下包含子部门b,部门b下包含子部门c,当某个用户加入部门c时,也相当于同时
加入了部门a和部门b,此时除了需要刷新部门c的缓存,还需要刷新部门a和部门b的缓存。
60.具体地,所述基于用户域及权限场景构建复合字段索引的数据结构将所述权限规则集合缓存至目标数据库,包括:基于所述权限规则集合中权限规则对应的权限场景及用户域构建复合字段;将所述复合字段作为索引,并基于所述复合字段对所述权限规则集合中的权限规则进行排列,得到有序数组;将所述有序数组缓存至目标数据库。
61.本发明一可选实施例中,将权限规则加载到内存,分别以「权限场景-用户域」和「用户域-权限场景」构建复合字段,并以复合字段的方式进行排序,形成两个有序数组,通过使用这种内存数据结构中的复合字段作为索引,除了减少数据库查询外,还可以在响应获取权限规则的api请求时,直接以数组范围切片的方式返回结果,减少大量中间内存分配,避免内存垃圾回收(gc)引发的延迟,大大提高了响应速度。
62.步骤三、接收访问用户的访问请求,基于所述访问请求,利用标准二分查找算法对所述目标数据库中缓存的权限规则集合进行权限规则查询,得到规则查询结果,基于所述规则查询结果对所述用户域集合进行复合权限查询,得到权限查询结果。
63.本发明实施例中,通过复合权限查询,先利用缓存的权限规则集合确定权限场景及用户域,再通过缓存的用户域集合快速查找访问用户是否在确定的权限场景下的用户域中,从而快速准确地确定该访问用户是否具有访问权限。
64.具体地,所述基于所述访问请求,利用标准二分查找算法对所述目标数据库中缓存的权限规则集合进行权限规则查询,得到规则查询结果,基于所述规则查询结果对所述用户域集合进行复合权限查询,得到权限查询结果,包括:解析所述访问请求中的目标访问权限;查找所述目标数据库中有序数组中间位置的权限规则与所述目标访问权限是否相同;在所述目标数据库中有序数组中间位置的权限规则与所述目标访问权限不相同时,基于所述中间位置将所述有序数组分为前后子数组,继续查找所述前后子数组中间位置的权限规则与所述目标访问权限是否相同,直至所述有序数组中目标位置的权限规则与所述目标访问权限相同,将所述目标位置权限规则对应的权限场景及用户域作为所述目标访问权限对应的目标权限场景及所述目标权限场景对应的目标用户域;在所述目标数据库的用户域集合中查找所述目标用户域对应的目标用户列表;若所述目标用户列表中不包括所述访问用户,则权限查询结果为不存在权限;若所述目标用户列表中包括所述访问用户,则权限查询结果为存在权限。
65.本发明一可选实施例中,当判断一个访问用户在某权限场景下是否有某一项访问权限时,系统先查询权限规则缓存,由于缓存里的权限规则已经按照「权限场景-用户域」和「用户域-权限场景」构建复合字段排序,因此可以通过标准二分查找算法,以o(log n)的时间复杂度快速找到该权限在对应权限场景下的所有用户域,其中,查找到的权限场景及用户域即为目标权限场景及目标用户域,然后对于查找到的每个目标用户域,检查访问用户是否在用户域缓存的set集合中,如果存在,则权限查询结果为存在权限,如果不存在,则权限查询结果为不存在权限。
66.标椎二分查找也称折半查找(binary search),它是一种效率较高的查找方法,要求必须采用顺序存储结构,而且元素按关键字有序排列,由于缓存里的权限规则是一种有序数组,查找时将访问请求中的目标访问权限作为关键字与有序数组中间位置记录的数据比较,如果两者相等,则查找成功;否则利用中间位置将有序数组分成前、后两个子数组,如果中间位置记录的关键字大于查找关键字,则进一步查找前一子数组,否则进一步查找后一子数组,重复以上过程,直到找到满足条件的记录,使查找成功,或直到子数组不存在为止,此时查找不成功。
67.例如,若有序数组是升序数组,且目标访问权限序号为33,查找升序数组中间位置权限规则与目标访问权限是否相同,在有序数组中间位置的权限规则与目标访问权限不相同时,基于中间位置将有序数组分为前后子数组,并在目标访问权限序号大于中间位置时,查找前一个子数组,否则查找后一个子数组,直至利用标准二分查找算法查找到所述有序数组中目标位置元素相同时,得到目标访问权限对应的目标权限场景及目标权限场景对应的目标用户域。
68.通过对所述目标数据库中缓存的权限规则集合及用户域集合进行复合权限查询,即使团队中设定了大量权限规则(如超过 1000000 条权限规则),系统也可以以个位数毫秒级的时延返回权限判断结果,性能相比通用 abac 系统有较大优势。
69.步骤四、基于所述权限查询结果对所述访问用户的访问请求进行访问控制。
70.本发明实施例中,当访问用户的权限查询结果为存在权限,说明该访问用户有此项权限,当访问用户的权限查询结果为不存在权限,说明该访问用户没有此项权限,从而根据权限查询结果可以快速准确地对访问用户的访问请求进行控制。
71.本实施例基于权限场景可以更细粒度的划分用户域,相比 rbac模型可以更细粒度、更动态地指定用户权限,提高用户访问权限控制的灵活度。同时,基于redis的数据结构及基于字段索引的数据结构分别将用户域集合及权限规则集合缓存至目标数据库,基于访问请求对目标数据库中缓存的权限规则集合及用户域集合进行复合权限查询,即使团队中设定了大量权限规则,系统也可以以个位数毫秒级的时延返回权限判断结果,性能相比通用 abac 系统有较大优势,大大提高了访问控制的效率。因此本发明提出的访问控制装置,可以在更细控制粒度下,提高对用户访问控制的效率。
72.如图5所示,是本发明一实施例提供的实现所述访问控制方法的电子设备的结构示意图。
73.所述电子设备可以包括处理器10、存储器11、通信接口12和总线13,还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序,如访问控制程序。
74.其中,所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:sd或dx存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备的内部存储单元,例如该电子设备的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备的外部存储设备,例如电子设备上配备的插接式移动硬盘、智能存储卡(smart media card, smc)、安全数字(secure digital, sd)卡、闪存卡(flash card)等。进一步地,所述存储器11还可以既包括电子设备的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备的应用软件及各类数据,例如访问控制程序的代码等,还可以用于暂时地存储已经输出或者
将要输出的数据。
75.所述处理器10在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(central processing unit,cpu)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(control unit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器11内的程序或者模块(例如访问控制程序等),以及调用存储在所述存储器11内的数据,以执行电子设备的各种功能和处理数据。
76.所述通信接口12用于上述电子设备与其他设备之间的通信,包括网络接口和用户接口。可选地,所述网络接口可以包括有线接口和/或无线接口(如wi-fi接口、蓝牙接口等),通常用于在该电子设备与其他电子设备之间建立通信连接。所述用户接口可以是显示器(display)、输入单元(比如键盘(keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是led显示器、液晶显示器、触控式液晶显示器以及oled(organic light-emitting diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。
77.所述总线13可以是外设部件互连标准(peripheralcomponent interconnect,简称pci)总线或扩展工业标准结构(extendedindustry standard architecture,简称eisa)总线等。该总线13可以分为地址总线、数据总线、控制总线等。所述总线13被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。
78.图5仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图5示出的结构并不构成对所述电子设备的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
79.例如,尽管未示出,所述电子设备还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器10逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备还可以包括多种传感器、蓝牙模块、wi-fi模块等,在此不再赘述。
80.进一步地,所述电子设备还可以包括网络接口,可选地,所述网络接口可以包括有线接口和/或无线接口(如wi-fi接口、蓝牙接口等),通常用于在该电子设备与其他电子设备之间建立通信连接。
81.可选地,该电子设备还可以包括用户接口,用户接口可以是显示器(display)、输入单元(比如键盘(keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是led显示器、液晶显示器、触控式液晶显示器以及oled(organic light-emitting diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。
82.应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
83.所述电子设备中的所述存储器11存储的访问控制程序是多个指令的组合,在所述处理器10中运行时,可以实现:获取不同权限场景的用户集合及权限规则集合,基于关键字匹配算法将所述用户集合中同一权限场景下的所有用户作为用户域,汇总所有权限场景对应的用户域得到用户域集合;基于redis的数据结构将所述用户域集合缓存至目标数据库,以及基于字段索引的数据结构将所述权限规则集合缓存至目标数据库;接收访问用户的访问请求,基于所述访问请求,利用标准二分查找算法对所述目标数据库中缓存的权限规则集合进行权限规则查询,得到规则查询结果,基于所述规则查询结果对所述用户域集合进行复合权限查询,得到权限查询结果;基于所述权限查询结果对所述访问用户的访问请求进行访问控制。
84.具体地,所述处理器10对上述指令的具体实现方法可参考附图对应实施例中相关步骤的描述,在此不赘述。
85.进一步地,所述电子设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。所述计算机可读存储介质可以是易失性的,也可以是非易失性的。例如,所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom,read-only memory)。
86.本发明还提供一种计算机可读存储介质,所述可读存储介质存储有计算机程序,所述计算机程序在被电子设备的处理器所执行时,可以实现:获取不同权限场景的用户集合及权限规则集合,基于关键字匹配算法将所述用户集合中同一权限场景下的所有用户作为用户域,汇总所有权限场景对应的用户域得到用户域集合;基于redis的数据结构将所述用户域集合缓存至目标数据库,以及基于字段索引的数据结构将所述权限规则集合缓存至目标数据库;接收访问用户的访问请求,基于所述访问请求,利用标准二分查找算法对所述目标数据库中缓存的权限规则集合进行权限规则查询,得到规则查询结果,基于所述规则查询结果对所述用户域集合进行复合权限查询,得到权限查询结果;基于所述权限查询结果对所述访问用户的访问请求进行访问控制。
87.在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
88.所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
89.另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
90.对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
91.因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
92.本技术实施例可以基于人工智能技术对相关的数据进行获取和处理。其中,人工智能(artificial intelligence,ai)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
93.人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
94.此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称,而并不表示任何特定的顺序。
95.最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1