[发明专利]一种智能化动态权限控制方法和系统

说明书

技术领域

本发明涉及计算机软件安全技术领域，尤其是一种智能化动态权限控制方法和系统。

背景技术

权限控制一般指根据系统设置的安全规则或者安全策略，用户可以访问而且只能访问自己被授权的资源，不多不少。权限控制几乎出现在任何软件系统里面，只要其涉及网络化和多用户应用。虽然几乎所有软件系统都有权限控制，但大部分软件系统的权限控制都存在缺陷。而对一个大型应用软件系统，如CIMS、ERP、CRM系统，权限控制就更为重要了。目前存在的主要问题包括：1、权限控制粒度过粗，无法实施精细化控制；2、权限控制策略固化，与上下文无关，缺乏灵活性；3、权限实施过程复杂，难以理解和掌握。

发明内容

为了解决上述技术问题，本发明的目的是提供可实现灵活的、精细的粒度控制且实施方式简单易掌握的一种智能化动态权限控制方法和系统。

本发明所采用的一个技术方案是：一种智能化动态权限控制方法，该方法包括以下步骤：

A、依据权限控制范围和访问控制方式对应用软件系统动态权限进行分类，并根据上述分类结果构造动态权限规则库；

B、利用权限规则表达式实现权限规则的动态表达，并将动态权限规则表达式存储于动态权限规则库；

C、由上下文环境感知器侦测上下文敏感信息，并将上下文敏感信息传递给动态权限规则解析引擎；

D、动态权限规则解析引擎根据上下文敏感信息自动查找匹配的权限规则表达式，然后对所述查找到的权限规则表达式进行动态解析；

E、依据动态权限规则解析引擎的动态解析结果在页面进行顺序部署，实现动态权限控制。

进一步，所述步骤D包括以下子步骤：

D1、动态权限规则解析引擎根据上下文环境感知器传来的上下文敏感信息，在动态权限规则库中自动查找匹配的权限规则表达式；

D2、完成权限规则表达式中的变量替换；

D3、对变量替换后的权限规则表达式进行动态解析，得到动态解析结果。

进一步，所述步骤E包括以下子步骤：

E1、登录系统或打开页面时，依据动态解析结果判定进而限制用户访问系统或页面的权限；

E2、打开页面时，依据动态解析结果判定进而限制用户访问应用模块的权限；

E3、依据动态解析结果，生成数据查询条件，判定进而限制用户访问数据的范围；

E4、依据动态解析结果判定进而限制用户浏览数据的范围；

E5、依据动态解析结果判定进而限制用户操纵数据的权限；

E6、打开编辑页面时，依据动态解析结果判定进而限制用户操纵数据的权限。

进一步，所述A步骤中，依据访问控制方式分类的权限包括访问权限、数据权限和操作权限；所述A步骤中，依据权限控制范围分类的权限包括系统权限、模块权限、页面权限和单元权限；所述单元权限控制的权限单元包括操作按钮、编辑域、数据记录和数据单元。

进一步，所述步骤B中所述动态权限规则库包括有全局访问规则库、页面访问规则库、页面数据规则库、页面操作规则库、列表页面列控制规则库、编辑页面域控制规则库；所述动态权限规则库中权限规则采用环境敏感的权限规则表达式进行描述，支持权限规则的正向和反向定义；所述权限规则表达式支持常量和变量，所述变量包括会话变量、系统函数、自定义函数以及页面字段；所述页面数据规则库中的页面数据规则以标准SQL书写，包括常量和/或变量。

进一步，所述步骤C中的上下文敏感信息包括有用户信息、对象信息、时空属性、环境信息；所述用户信息包括有用户ID、证书、角色、组织和安全级别，所述对象信息包括有对象ID、对象属性数据，所述时空属性包括有时间属性和位置属性，所述位置属性包括IP地址和MAC地址；所述环境信息包括有操作设备、网络带宽、服务器负荷。

进一步，所述步骤C中上下文敏感信息的传递包括有以下方式：

（1）、作为页面权限引用方法的参数传递；

（2）、在页面以哈希图形式批量传递；

（3）、所述环境信息通过自定义函数以透明方式传递。

本发明所采用的另一技术方案是：一种智能化动态权限控制系统，该系统包括以下功能模块：

动态权限分类模块，用于对应用软件系统动态权限依据权限控制范围和访问控制方式进行分类；

动态权限规则库，用于存储动态权限规则表达式；

动态权限规则表达模块，用于利用权限规则表达式实现权限规则的动态表达，并将动态权限规则表达式存储于动态权限规则库；