支持多环节传递和多层级继承的数据动态访问控制方法与流程

本发明属于数据信息访问控制，特别涉及支持多环节传递和多层级继承的数据动态访问控制方法。

背景技术：

1、当前全球已经进入“数据驱动”时代，数据价值日益凸显，数字化转型背景下，各类人员经常通过远程终端进行数据分析、数据产品开发等，一旦终端用户取得的数据访问权限，中台无法限制终端用户的数据查看、复制行为，同时数据交叉访问和数据共享使用复杂，针对数据的隐蔽恶意行为难以发现，数据很可能被恶意复制、截屏，导致数据泄露。因此，数据安全与访问控制成为关键的研究领域之一。目前的保护措施只能实现静态访问控制和内部流转保护，无法对用户访问行为的进行延伸控制保护，而且往往只支持单一环节的传递和单一层级的继承，无法满足复杂应用场景下多环节传递和多层级继承的需求。因此，设计一种支持多环节传递和多层级继承的数据动态访问控制模型，具有十分重要的意义。

2、公开号为cn105592066b的中国专利公开了一种资源访问控制方法及装置。方法包括：接入设备在硬件存储器中记录终端公共表项的属性到允许终端用户访问的公共资源的映射关系；接入设备接收终端发来的资源访问请求，在硬件存储器中查找到该终端对应的终端公共表项，根据终端公共表项的属性到允许终端用户访问的公共资源的映射关系，确定允许该终端用户访问的公共资源；接入设备判断资源访问请求要访问的公共资源是否包含在所确定的允许该终端用户访问的公共资源中，若是，将资源访问请求转发出去；否则，丢弃资源访问请求。该发明基于预定义的属性和规则来控制访问，无法动态调整或根据具体的用户行为变化，难以灵活地延伸到对用户行为变化的动态控制和保护，在面对多环节传递和多层级继承的复杂应用场景时存在局限性。

技术实现思路

1、为解决上述背景技术中存在的技术问题，本发明提供支持多环节传递和多层级继承的数据动态访问控制方法，实现对终端数据的延伸保护与树型规则下访问控制权限的多环节横向动态传递及多层级纵向动态继承。

2、为实现上述目的，本发明采用如下技术方案：

3、本发明提供支持多环节传递和多层级继承的数据动态访问控制方法，包括以下步骤：

4、定义多维属性、用户属性树和访问策略规则。

5、根据访问策略规则构造基于代数表达式的访问控制策略树。

6、基于最小权限原则实现树结构下的权限动态变更。

7、依据xacml流模型完成访问策略的自动生成。

8、利用用户属性树的树型结构特征及属性关系规则实现访问控制权限的横向动态传递及纵向动态继承。

9、优选的，定义多维属性具体为：

10、将访问请求实体及资源形式化规范描述为主体及客体，并对属性定义按照主体、客体进行划分。

11、多维属性通过键-值即属性名-属性值的形式来存储属性信息。

12、优选的，定义用户属性树具体为：

13、定义用户主体属性，以用于描述使用系统的用户。

14、确定用户属性树的高度，明确从根节点到叶子节点的层数，设计节点的层级结构，以反映属性之间的层次和依赖关系。

15、确定用户姓名属性节点到根节点的路径。

16、确定用户属性树中用户姓名属性节点的叶子节点，用户的叶子节点为用户在不同项目、角色或职责下的分类。

17、定义访问策略规则具体为：

18、访问策略规则定义为通过对由布尔运算符组成的代数表达式对属性信息进行规则组合得到的细粒度访问策略。

19、优选的，根据访问策略规则构造基于代数表达式的访问策略控制树具体为：

20、将访问策略规则使用树结构描述，树结构中的每个非叶节点为布尔运算符，叶子节点表示属性。

21、优选的，基于最小权限原则实现树结构下的权限动态变更具体为：

22、通过自下而上的方法找到访问控制策略树中与目标节点相关的最小集合，对其进行变更，进而实现细粒度、一对多的权限动态变更，所述目标节点即与需要修改的权限对应的叶子节点。

23、优选的，通过自下而上的方法找到访问控制策略树中与目标节点相关的最小集合，对其进行变更，并根据子集覆盖的方法实现最小权限原则，具体为：

24、s1：初始化访问控制策略树，给定目标节点和属性变化。

25、s2：利用子集覆盖的方法，自下而上寻找目标节点到根节点的路径。

26、s3：在访问控制策略树中找到需要变更的具体位置，调整相关节点的值后，重新验证修改后的访问控制策略树。

27、优选的，由策略执行点、策略决策点、策略管理点、策略信息点、上下文处理器组成的xacml数据流模型进行自动生成访问策略，具体为：

28、a1：策略管理点将所有访问控制策略树转换为需要的访问策略，所述访问策略使用xacml语言描述。

29、a2：由主体用户发起访问请求后，策略执行点截获主体用户发送的访问控制请求。

30、a3：策略执行点将截获的访问控制请求发送给上下文处理器，由上下文处理器把请求统一成xacml格式的访问控制请求。

31、a4：上下文处理器将产生的xacml格式的访问控制请求发送给访问控制决策点，请求访问控制决策点进行访问控制决策。

32、a5：访问控制决策点在处理访问控制决策时需要进行查询属性信息，将属性查询请求发送至上下文处理器。

33、a6：上下文处理器依据属性查询请求的类型，向策略信息点发送属性查询请求。

34、a7：策略信息点根据属性查询请求向不同的实体请求不同的属性信息并将得到的信息返回至上下文处理器。

35、a8：上下文处理器将属性信息和资源的上下文信息发送给策略决策点。

36、a9：策略决策点根据策略信息、属性信息以及资源的上下文信息进行访问控制决策，并将决策结果返回给上下文处理器。

37、a10：上下文处理器将决策结果返回策略执行点，以执行相应的决策结果。

38、优选的，利用用户属性树的树型结构特征，在面临复杂属性关系规则时，通过机器学习的方法对用户属性树进行分析，并计算出二者层次关系表示，根据得到的主体之间的层次关系表示，以及访问策略控制树的结构规则，进行权限变更，即在同层之间权限传递，上下层之间权限继承，以实现访问控制权限的横向动态传递及纵向动态继承。

39、另一方面，本发明还提供一种电子设备，所述电子设备包括：存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如本发明任一实施例所述的支持多环节传递和多层级继承的数据动态访问控制方法。

40、再一方面，本发明还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如本发明任一实施例所述的支持多环节传递和多层级继承的数据动态访问控制方法。

41、与现有技术相比，本发明具有以下技术效果：

42、本发明提出了一种支持多环节传递和多层级继承的数据动态访问控制方法。该方法可以实现对终端数据使用延伸保护，实现数据终端使用权限细粒度、一对多的动态变更，防止过度授权、越权访问等情况的出现。实现终端数据的权限动态变更、访问控制权限的多环节横向动态传递及多层级纵向动态继承，有效提升访问控制的智能化和自动化水平。不仅简化了权限管理的复杂度，还提高了系统的安全性和灵活性，适用于各种需要精细访问控制的场景。