本发明专利技术公开了一种访问控制方法及装置。其中,该方法包括:在执行一组任务时,按照各个所述任务对应的操作权限控制主体对客体的访问。该装置包括:控制模块,用于在执行一组任务时,按照各个所述任务对应的操作权限控制主体对客体的访问。
【技术实现步骤摘要】
本专利技术涉及通信领域,具体而言,涉及一种访问控制方法及装置。
技术介绍
工作流(Workflow)是指为达到一定的商业目的而根据一组预先定义的规则将文本、信息和任务在工作过程参与者之间传送的过程自动化。由于工作流将过程逻辑和功能逻辑相分离,增加了系统的灵活性,因此利用工作流来实现企业内部审批过程的自动化是能够大大提高企业的业务处理效率。工作流管理系统(Workflow Management System,WMS)是一个软件系统,它完成工作流的定义和管理,并按照预先定义好的工作流逻辑推进工作流实例的执行。在实际的办公应用中,一个工作流的一次执行需要多个不同部门的不同角色协调完成,在该工作流的生命周期中,什么角色能做什么工作,什么角色不能做什么工作,是由该企业的安全策略所决定的,因此,在工作流管理系统中需要有一套访问控制机制,以保证工作流的每个步骤都由正确的角色所担任并完成。访问控制(Access Control, AC)主要用于限制不合法主体对关键资源的访问,防止非法用户的侵入或合法用户的不慎操作所造成的破坏。访问控制技术中一般包括三个要素:主体:发出访问操作的主动方,通常指用户或用户的某个进程。包括用户、用户组、终端、主机或一个应用。主体可以访问客体。客体:被访问的对象。它可以是一个字节、字段、记录、程序、文件。或者是一个处理器、存储器、网络接点等。安全访问政策:一套规则,用以确定一个主体是否对客体拥有访问能力。传统的访问控制机制主要有以下三种:自主访问控制(Discret1nary AccessControl, DAC)、强制访问控制(Mandatory Access Control, MAC)和基于角色的访问控制(Role-Based Access Control,RBAC)。自主访问控制虽然可以为用户提供灵活和易行的数据访问方式,但是安全性低,容易被非法用户绕过而获得访问权。强制访问控制虽然比自主访问控制安全性更好,但由于它为每个用户及文件都赋予一定的安全级别,且不允许单个用户确定访问权限,只有系统管理员可以确定用户和文件的访问权限,这样用户使用起来不太灵活和方便。基于角色的访问控制的基本思想是授权给用户的访问权限,通常由用户在一个组织中担当的角色来确定,根据用户在组织内所处的角色作出访问授权与控制,但用户不能自主地将访问权限传给他人。基于角色的访问控制最大的特点就是将访问权限与角色相关联,不同的角色有不同权限,用户所拥有的权力不能超过他执行工作时所需的权限,当用户的职责变化时,改变授权给他们的角色,也就改变了用户的权限,这样就降低了管理的复杂度,同时也可以描述更复杂的安全策略。但是,以上三种访问控制技术都是建立在对主体-客体访问控制思想上的。只要主体拥有对某客体的特定访问权限,就可以对客体进行访问。这种静态授权不能与应用中的事务处理流程紧密相联,因此系统很难及时准确地进行权限(或角色)的授予和回收,实际应用中常常出现用户拥有权限的时间比他需要权限的时间长的情况,从而造成了潜在的不安全因素。
技术实现思路
针对相关技术中采用的静态授权而导致不安全的问题,本专利技术提供了一种访问控制方法及装置,以至少解决上述问题。根据本专利技术的一个方面,提供了一种访问控制方法,包括:在执行一组任务时,按照各个所述任务对应的操作权限控制主体对客体的访问。可选地,在执行所述一组任务之前,所述方法还包括:根据预先设置的任务与权限的对应关系,获取所述一组任务中各个任务对应的权限。可选地,根据预先设置的任务与权限的对应关系,获取一组任务中各个任务对应的权限之前,所述方法还包括:接收到主体发起的工作流的请求;获取完成所述工作流的各个流程的所述一组任务。可选地,获取完成所述工作流的各个流程的所述一组任务,包括:对所述工作流进行初始化,产生工作流实例,将所述工作流实例分为所述一组任务。可选地,将所述工作流实例分为所述一组任务,包括:根据所述工作流实例中调用的应用编程接口不同分配需要执行的所述一组任务。可选地,根据预先设置的任务与操作权限的对应关系,获取一组任务中各个任务对应的操作权限,包括:根据预先设置的主体与角色的对应关系,获取执行各个所述任务的主体端对应的角色;根据预先设置的角色与操作权限的对应关系,获取各个所述角色对应的操作权限;对于每个所述任务,取预先设置的任务与操作权限的对应关系中该任务对应的操作权限与获取的执行该任务的主体对应的角色对应的操作权限的交集,作为该任务的操作权限。可选地,按照各个所述任务对应的操作权限对控制主体对客体的访问,包括:在各个所述任务执行过程中,根据当前任务对应的操作权限判断是否允许访问客体;在允许访问所述客体的情况下,执行对所述客体的访问。可选地,在执行对所述客体的访问之后,所述方法还包括:回收所述任务的操作权限,结束所述任务。可选地,回收所述任务的操作权限,包括:根据执行所述任务的主体对应的角色的等级,确定所述角色的生命期;在所述生命期到达时,回收所述任务的操作权限。根据本专利技术的另一个方面,提供了一种访问控制装置,包括:控制模块,用于在执行一组任务时,按照各个所述任务对应的操作权限控制主体对客体的访问。可选地,所述装置还包括:第一获取模块,用于根据预先设置的任务与操作权限的对应关系,获取所述一组任务中各个任务对应的操作权限。可选地,所述装置还包括:接收模块,用于接收用户发起的工作流;第二获取模块,用于获取完成所述工作流的各个流程的所述一组任务。可选地,所述第一获取模块包括:第一获取单元,用于根据预先设置的主体与角色的对应关系,获取执行各个所述任务的主体对应的角色;第二获取单元,用于根据预先设置的角色与操作权限的对应关系,获取各个所述角色对应的第一操作权限;计算模块,用于对于每个所述任务,取预先设置的任务与操作权限的对应关系中该任务对应的第二操作权限与获取的执行该任务的主体对应的角色对应的第一操作权限的交集,作为该任务的操作权限。可选地,所述控制模块包括:判断单元,用于在各个所述任务执行过程中,根据当前任务对应的操作权限判断是否允许访问客体;执行单元,用于在允许访问所述客体的情况下,执行对所述客体的访问。可选地,所述装置还包括:回收模块通,用于在所述执行单元执行对所述客体的访问之后,回收所述任务的操作权限,结束所述任务。通过本专利技术,设置任务与操作权限的对应关系,在主体任务执行时,动态获取该任务对应的操作权限,通过该操作权限对客体的访问进行控制,从而可以按照任务动态的配置权限,从而可以及时准确地进行权限的授予和回收,避免了潜在的不安全因素。【附图说明】此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是根据本专利技术实施例的访问控制方法的流程图;图2是根据本专利技术实施例的访问控制模型图;图3是根据本专利技术实施例的权限分级示意图; 图4是本专利技术实施例中的实际工作流执行示意图;图5是根据本专利技术实施例的访问控制装置的结构示意图;图6是本专利技术实施例一的系统结构示意图;图7是本专利技术实施例二的组网结构示意图。【具体实施方式】下文中将参考附图并结合实施例来详细说明本专利技术。需要说明的是,在不冲突的情况下本文档来自技高网...
【技术保护点】
一种访问控制方法,其特征在于,包括:在执行一组任务时,按照各个所述任务对应的操作权限控制主体对客体的访问。
【技术特征摘要】
【专利技术属性】
技术研发人员:童遥,彭亦辉,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。