发明名称 |
充分体现“分级分权”的安全框架 |
摘要 |
本发明是一种充分体现“分级分权”的安全框架,包括如下部分:数据授权:在配置文件中定义不同的角色,给角色赋予查看数据时不同的权限;数据验证:在获取数据之前,首先获取数据授权,然后获取数据,再根据数据授权过滤掉不允许查看的数据;功能授权:在配置文件中定义不同的角色,给角色赋予功能调用的不同权限;功能验证:在调用方法之前,首先获取功能授权,然后调用方法,在根据授权过滤掉不允许访问的方法。该发明的整体优点是:充分体现“分级分权”的安全框架,使用简单,不需要应用代码中季节编写任何与安全有关的代码而达到保护应用系统的目的。分级分权的安全框架实现了应用系统与安全性之间的低耦合。 |
申请公布号 |
CN101547117B |
申请公布日期 |
2011.04.20 |
申请号 |
CN200910015104.9 |
申请日期 |
2009.05.07 |
申请人 |
山东中创软件商用中间件股份有限公司 |
发明人 |
刘鹏;黄三伟;刘宗福;刘春 |
分类号 |
H04L12/24(2006.01)I;H04L29/06(2006.01)I |
主分类号 |
H04L12/24(2006.01)I |
代理机构 |
济南舜源专利事务所有限公司 37205 |
代理人 |
苗峻 |
主权项 |
一种充分体现“分级分权”的安全框架的实现方法,其特征在于包括如下部分:数据授权:在配置文件中定义不同的角色,给角色赋予查看数据时不同的权限;数据验证:在获取数据之前,首先获取数据授权,然后获取数据,再根据数据授权过滤掉不允许查看的数据;功能授权:在配置文件中定义不同的角色,给角色赋予功能调用的不同权限;功能验证:在调用方法之前,首先获取功能授权,然后调用方法,再根据授权过滤掉不允许访问的方法;其中,数据验证和功能验证的过程是一样的,具体为:当已认证的用户通过手中持有的角色集合操控目标资源时,分级分权安全框架内置的拦截器会采用公平投票机制评估这一举动;调用到目标资源前,目标用户需要经过拦截器的预处理,即检查他的身份是否符合目标资源设定的权限要求;调用后,拦截器会审核操作结果删除没有权限查看的数据和功能。 |
地址 |
250014 山东省济南市千佛山东路41-1号 |