專利名稱：：一種數(shù)字資源的訪問方法及設備的制作方法
技術領域：
：本發(fā)明涉及計算機軟件技術，尤其涉及一種數(shù)字資源管理技術中對數(shù)字資源的訪問方法及設備。
背景技術：
：隨著信息技術的發(fā)展，數(shù)字資源管理技術在各行業(yè)得到了廣泛的應用，數(shù)字圖書館、公司的文檔管理系統(tǒng)或各級政府的政務資源庫等都是數(shù)字資源管理技術的應用實例。這些資源管理系統(tǒng)不僅通過數(shù)據(jù)資源的數(shù)字化存儲方便人們獲取，還實現(xiàn)了數(shù)字資源的傳播和共享。然而如何有效地保護這些數(shù)字資源，僅讓具有訪問權限的人員對數(shù)字資源進行與訪問權限相匹配的訪問，是數(shù)字資源管理技術中的重要部分。傳統(tǒng)的訪問控制機制通過建立用戶和數(shù)字資源的對應關系來描述每一用戶對每一數(shù)字資源的訪問權限，所述對應關系可以通過訪問控制列表(AccessControlList)或訪問控制矩陣(AccessControlMatrix)建立并保存，在用戶對某一特定數(shù)字資源進行訪問時，根據(jù)保存的用戶與數(shù)字資源的對應關系確定該用戶是否有權限對該數(shù)字資源進行訪問。這種訪問控制機制設計簡單且易于實現(xiàn)，但是，針對具有大量用戶(用戶數(shù)為N)和大量資源(資源數(shù)為M)的資源管理系統(tǒng)而言，需要建立的用戶和資源的權限關系的數(shù)量與(N*M)成比例，當用戶量和數(shù)據(jù)量增長時，需要建立的權限關系的數(shù)量也會急速增長，使得權限關系的建立非常困難，由于是針對具體用戶和具體資源，當用戶角色等信息發(fā)生變化時，對建立的權限關系進行修改也非常復雜；另外，當用戶對特定資源請求進行訪問控制時，在建立的大量的權限關系中查找相應的訪問權限困難，訪問效率較低。
發(fā)明內(nèi)容本發(fā)明實施例提供一種數(shù)字資源的訪問方法及設備，減少需建立的訪問權限關系，在訪問過程中快速查找出用戶對某些特定資源的訪問權限，提高訪問效率。一種數(shù)字資源的訪問方法，所述方法包括根據(jù)接收的資源訪問請求中的用戶信息，對多元組進行篩選，篩選出的所述多元組包含所述用戶信息所屬的用戶組；根據(jù)資源訪問請求中的操作信息進一步對篩選出的多元組進行選擇，選擇出的所述多元組中用戶與資源的關系滿足操作信息中用戶與資源的關系，且所述多元組中用戶與資源的訪問權限與^t喿作信息中用戶請求的4喿作匹配；輸出選擇出的多元組包含的資源組對應的資源。一種數(shù)字資源的訪問設備，所述設備包括請求接收模塊，用于接收資源訪問請求，所迷資源訪問請求中包含用戶信息和操作信息；第一篩選模塊，用于根據(jù)所述用戶信息對多元組進行篩選，篩選出的所迷多元組包含所述用戶信息所屬的用戶組；第二篩選模塊，用于根據(jù)所述操作信息對第一篩選模塊篩選出的多元組進行選擇，選擇出的所述多元組中用戶與資源的關系滿足操作信息中用戶與資源的關系，且所述多元組中用戶與資源的訪問權限與操作信息中用戶請求的操作匹配-,輸出模塊，用于輸出選擇出的多元組包含的資源組對應的資源。本發(fā)明實施例根據(jù)用戶信息和操作信息對多元組進行篩選，選擇出用戶與資源的關系滿足操作信息中用戶與資源的關系，且用戶與資源的訪問權限與操作信息中用戶請求的操作匹配的多元組，進而輸出選擇出的多元組包含的資源組對應的資源的方法，減少了權限關系的數(shù)量，快速地查找出用戶對特定數(shù)字資源的訪問權限。圖1為本發(fā)明實施例一中數(shù)字資源的訪問方法示意圖2為本發(fā)明實施例二中數(shù)字資源的訪問設備結構示意圖。具體實施例方式為實現(xiàn)本發(fā)明目的，本發(fā)明使用了一種授權訪問策略，該授權訪問策略包括用戶組標識、資源組標識、關系、訪問權限，進一步地，4t權訪問策略還包括資源庫標識。一條授權訪問策略可以用一個五元組描述(資源庫標識，用戶組標識，資源組標識，關系，訪問權限)。下面具體對五元組中的各元素進行詳細說明"資源庫標識，，表示五元組描述的授權訪問策略所作用的資源庫，資源庫標識必須是系統(tǒng)已經(jīng)定義的合法的資源庫名稱。"用戶組標識"表示五元組描述的授權訪問策略所作用的用戶集合，用戶組標識可以是系統(tǒng)中預先定義的一個用戶組名，也可以為空，當用戶組標識為空時，表示該授權訪問策略作用于全體合法用戶。"資源組標識"表示五元組描述的授權訪問策略所作用的數(shù)字資源的集合，可以是系統(tǒng)預先設定的一個資源組名，也可以為空，當資源組標識為空時，表示該授權訪問策略作用于同一五元組中資源庫標識對應的資源庫中全體數(shù)字資源。"關系"表示五元組描述的授權訪問策略中用戶組中的用戶與資源組中的數(shù)字資源必須要滿足的關系。"權限"表示五元組描述的授權訪問策略中賦予用戶組中的用戶對資源組中的資源的訪問權限，如只讀R、修改M、刪除D等，其中，修改和刪除隱含讀的權限。才艮據(jù)以上對五元組的描述，一條授權訪問策略可以通過以下公式定義假設T表示系統(tǒng)中資源庫集合，t表示T中的一個資源庫；S表示系統(tǒng)中用戶組集合，s表示S中的一個用戶組；O表示系統(tǒng)中資源組集合，o表示O中的一個資源組；R表示系統(tǒng)中所有關系集合，r表示R中的一個關系；P表示系統(tǒng)中權限集合，p表示P中的一個權限，則授權訪問策略集A={(t，s，o,r，p)|t6T,s6S，o€0，rGR,p6P}。A中一個4受權訪問策略a的具體含義是如果s中的某個用戶與o中的某個資源存在關系r，則該用戶對該資源就有權限p。一條授權訪問策略中的"用戶組"、"資源組"和"關系"元素可以分別通過以下"主體表達式"、"約束表達式"和"關系表達式"來表示。"主體表達式，，用于表示授權訪問策略中的用戶組，可以出現(xiàn)如下幾種類型(1)、通過函數(shù)AllUser()表示。如果針對全體用戶，則主體表達式可以寫為"AllUser()"的形式，表示將全體用戶劃分在一組。(2)、利用用戶屬性表示。在主體表達式中可以采用"user.屬性名，，的方式來表示用戶的屬性名稱，如用戶的職務級別屬性名稱為DutyLevelID,則表示所有職務為科長的主體表達式可以寫成"user.DutyLevelID二科長，，。(3)、利用用戶角色表示。在主體表達式中可以采用"user.role"表示用戶所屬的角色，用戶是否具有某種角色可以表示為"user.rolein角色名稱"，如表示角色為系統(tǒng)管理員的主體表達式可以寫為"user.rolein系統(tǒng)管理員角色"。(4)、利用用戶所屬組表示。在主體表達式中可以采用"user.group"表示用戶所屬組，用戶是否屬于某個組就可以表示為"user.groupin組名稱"，如表示所有屬于研發(fā)組的主體表達式可以寫為"user.groupin研發(fā)組"。"約束表達式"用于表示授權訪問策略中的資源組中的資源所要滿足的約束條件，如果約束表達式為空，表示資源組中的資源沒有約束條件。"約束表達式"可以出現(xiàn)如下幾種類型(1)、利用資產(chǎn)屬性表示。在約束表達式中可以采用"field.屬性名"來表示數(shù)字資源的資產(chǎn)屬性，如要表示所有狀態(tài)為草擬的數(shù)字資源，其屬性名稱為status,則約束表達式可以為"field.Status-草擬"。(2)、利用用戶屬性表示。在約束表達式中也可以引用用戶屬性，其引用方式與在主體表達式中相同。例如，部門屬性為dept，表示用戶所在的部門，資產(chǎn)也具有部門屬性dept，表示資產(chǎn)所屬的部門，在用戶只能讀本部門的數(shù)字資源時，約束表達式為"field.dept=field.dept"。"關系表達式"表示授權訪問策略中用戶組中的用戶與資源組中的資源之間要滿足的關系，包括但不限于以下幾種關系(1)、創(chuàng)建者關系，表示用戶與資源之間是創(chuàng)建者的關系，即該資源由該用戶創(chuàng)建。(2)、同部門關系，表示資源是同部門的用戶所有，即如果資源的部門屬性與用戶的部門屬性相同，則該資源為該用戶所有。(3)、顯示權限關系，表示是否向用戶顯示該用戶對資源組中的資源訪問的權限，如果用戶與資源間的關系具有顯示授權關系，則在用戶請求獲知訪問權限時，向用戶顯示其與資源的訪問權限。本發(fā)明實施例中涉及的授權訪問策略并不限于五元組，也可以對該五元組進行擴展，額外增加新的元素，成為六元組或七元組等，后續(xù)為筒便描述，稱之為多元組，每一條多元組表示一條授權訪問策略。根據(jù)預先設定的上述授權訪問策略，可以對數(shù)字資源進行訪問，如圖l所示，為本發(fā)明實施例一中對數(shù)字資源的訪問方法示意圖，該方法包括以下步驟步驟101:用戶向服務器發(fā)起資源訪問請求，所述資源訪問請求中包含用戶信息和操作信息。所述操作信息可以為請求查詢所述用戶對資源庫中的數(shù)字資源的訪問權限，也可以為請求對資源庫中的數(shù)字資源進行讀、修改、刪除等操作。資源訪問請求中還可以包含待訪問的數(shù)字資源所屬的資源庫標識和訪問條件。步驟102:根據(jù)接收到的資源庫標識，對多元組進行一次篩選，一次篩選后的多元組中包含所述資源庫標識。服務器預先設置并保存多條授權訪問策略即多條多元組，同一多元組中的資源組與資源組標識具有對應關系，用戶組與用戶組標識具有對應關系。服務器將能夠發(fā)起資源訪問請求的用戶按照一定條件劃分為多個用戶組，用主體表達式表示，每個用戶組中包含多個用戶，一條授權訪問策略中用戶組的用戶對該策略中的資源組可以看作具有相同的訪問權限。同時，服務器還將資源庫中的數(shù)字資源按照一定條件劃分為多個資源組，用約束表達式表示。步驟102并不是實現(xiàn)本發(fā)明目的的必要步驟，可以不利用資源庫標識對多元組進行一次篩選，而看作對系統(tǒng)中的全體資源庫進行后續(xù)操作。步驟103:服務器根據(jù)接收到的用戶信息確定所述用戶所屬的用戶組。步驟104:對步驟102中確定出的多元組進行二次篩選，二次篩選出的多元組中包含步驟103中確定出的用戶組。步驟105:根據(jù)資源訪問請求中的訪問條件，對步驟104篩選后的多元組進行三次篩選，三次篩選出的多元組中包含滿足所述訪問條件的資源組。步驟105也不是實現(xiàn)本發(fā)明目的的必要步驟，可以按照訪問條件對多元組進行三次篩選，而看作對系統(tǒng)中的任意資源進行后續(xù)操作。步驟106:根據(jù)資源訪問請求中的操作信息，進一步對步驟105篩選后的多元組進行四次篩選，四次篩選后的多元組中用戶與資源的關系滿足操作信息中用戶與資源的關系，且用戶與資源的訪問權限與操作信息中用戶請求的操作匹配。步驟107:如果搡作信息為請求查詢數(shù)字資源的訪問權限，則執(zhí)行步驟108;如果操作信息為請求對資源庫中的數(shù)字資源進行讀、修改、刪除等操作，則執(zhí)行步驟109。步驟108:向用戶輸出步驟106篩選出的多元組中的資源組對應的資源，以及用戶與資源的訪問權限，此時訪.問過程結束。輸出包括顯示、打印、傳送等操作。步驟109:向用戶輸出步驟106篩選出的多元組中的資源組對應的資源，并跳轉到數(shù)字資源處理服務器，讓用戶對數(shù)字資源進行相應的操作。步驟101至步驟109描述了一種數(shù)字資源的訪問方法，由于將用戶和數(shù)字資源都按組進行了劃分，因此只需要建立用戶組和資源組間的權限關系，減少了權限關系建立的數(shù)量。并且，通過用戶與資源的關系，可以從大量的授權訪問策略中快速查找出特定用戶對特定資源的訪問權限，提高了訪問效率。假設將實施例一的方案應用于某公司的數(shù)據(jù)庫中，數(shù)據(jù)庫服務器利用用戶所屬組來表示主體表達式，將能夠發(fā)起資源訪問請求的用戶(如公司員工)按照所屬部門劃分為三個組，其標識分別為研發(fā)組、財務組、人事組；將數(shù)據(jù)庫中的數(shù)字資源按數(shù)字資源所屬部門劃分為多個組，進一步地，屬于同一部門的數(shù)字資源又按照創(chuàng)建時間劃分為2008年前創(chuàng)建和2008年后創(chuàng)建第一資源組A中的數(shù)字資源屬于研發(fā)組且創(chuàng)建時間為2008年前，第一資源組B中的數(shù)字資源屬于研發(fā)組且創(chuàng)建時間為2008年后；第二資源組A中數(shù)字資源屬于財務組且創(chuàng)建時間為2008年前，第二資源組B中數(shù)字資源屬于財務組且創(chuàng)建時間為2008年后；第三資源組中A數(shù)字資源屬于人事組且創(chuàng)建時間為2008年前，第三資源組中B數(shù)字資源屬于人事組且創(chuàng)建時間為2008年后。服務器根據(jù)用戶組和資源組的權限關系建立多個授權訪問策略即五元組，由于該權限關系針對公司數(shù)據(jù)庫中的所有數(shù)字資源，因此，資源庫為公司資源庫，如表l所示，為建立的授權訪問策略集合，該授權訪問策略集合可以存儲在數(shù)據(jù)庫服務器的<table>tableseeoriginaldocumentpage11</column></row><table>表1表l中包含了18條五元組，每條五元組中都包含了"資源庫標識"、"用戶組標識"、"資源組標識"、"關系"和"權限"五個元素，實施例二以表l所示的五元組集合為基礎，詳細闡述實施例一的具體實現(xiàn)手段。假設屬于研發(fā)組某一用戶希望查詢自身能夠同部門的數(shù)字資源進行什么樣的訪問，即對同部門資源的訪問權限是什么，則實施過程如下第一步用戶向公司的數(shù)據(jù)庫服務器發(fā)起資源訪問請求，包括用戶信息和操作信息。用戶信息可以是系統(tǒng)預先為用戶開設的賬號和密碼，用于表示用戶的身份，如用戶是否為公司員工，如果是公司員工屬于什么部門。操作信息為查詢對同部門的數(shù)字資源的訪問權限是什么。資源訪問請求還可以進一步包括訪問條件對2008年后的數(shù)字資源進行訪問。資源訪問請求中可以不包含資源庫標識，默認用戶的訪問是針對整個公司數(shù)據(jù)庫中的數(shù)字資源。第二步數(shù)據(jù)庫服務器根據(jù)接收到的用戶信息確定該用戶所屬的用戶組。在本步驟中，數(shù)據(jù)庫服務器可以根據(jù)用戶信息對用戶進行鑒權，如果鑒權通過，確定用戶為合法用戶后執(zhí)行后續(xù)步驟；否則，向用戶返回鑒權失敗響應消息，停止資源訪問過程。第三步數(shù)據(jù)庫服務器從表l中的五元組中查找出包含研發(fā)組標識的五元組。在表1所示的五元組集合中，查找出前六條五元組中包含研發(fā)組標識。第四步根據(jù)訪問條件對2008年后的數(shù)字資源進行訪問，從第三步查找出的五元組中確定出包含滿足該訪問條件的資源組的五元組。對第三步中查找出的六條五元組進行篩選，其中的三條五元組中的資源組滿足訪問條件，分別是(公司標識，研發(fā)組，第一資源組B，同部門/顯示權限，修改/刪除)、(公司標識，研發(fā)組，第二資源組B,訪問者，只讀)、和(公司標識，研發(fā)組，第三資源組B,訪問者，只讀)。第五步根據(jù)操作信息，從第四步中確定出的三個五元組中進一步選擇用戶與資源關系為同部門的五元組。選擇出的五元組為(公司標識，研發(fā)組，第一資源組B,同部門/顯示權限，修改/刪除)。第六步將第五步選擇出的五元組中第一資源組B中的資源，以及用戶與該資源的訪問權限修改/刪除向用戶輸出。在本實施例中，由于用戶對同部門的資源有顯示權限，則將滿足訪問條件和操作信息的資源與用戶的訪問權限向用戶輸出。假設本實施例三中，屬于研發(fā)組某一用戶希望對同部門的數(shù)據(jù)進行修改，則實施例三的流程如下第一步用戶向公司的數(shù)據(jù)庫服務器發(fā)起資源訪問請求，包括用戶信息和操作信息。操作信息為對同部門的數(shù)字資源進行修改。資源訪問請求還可以進一步包括訪問條件對2008年前的數(shù)字資源進行訪問。本實施例三的第二、三步與實施例二相同。第四步根據(jù)訪問條件對2008年前的數(shù)字資源進行修改，從第三步查找出的五元組中確定出包含滿足該訪問條件的資源組的五元組。對第三步中查找出的六條五元組進行篩選，其中的三條五元組中的資源組滿足訪問條件，分別是(公司標識，研發(fā)組，第一資源組A,同部門/顯示權限，修文/刪除)、(公司標識，研發(fā)組，第二資源組A，訪問者，只讀)、和(公司標識，研發(fā)組，第三資源組A,訪問者，只讀)。第五步根據(jù)操作信息，從第四步中確定出的三個五元組中進一步選擇用戶與資源關系為同部門的五元組。選擇出的五元組為(公司標識，研發(fā)組，第一資源組A,同部門/顯示權限，修改/刪除)。第六步根據(jù)表l所示，用戶可以對第一資源組A中的資源進行修改，因此，向用戶輸出第五步選擇出的五元組中的第一資源組A中的資源，并跳轉到數(shù)字資源處理服務器，讓用戶對數(shù)字資源進行修改。如果實施例三中操作信息是用戶對財務部門的數(shù)字資源進行修改，則由于請求的操作與用戶的權限不匹配，因此，不允許用戶對財務部門的數(shù)字資源進行修改的操作。本發(fā)明實施例四是與實施例一屬于同一發(fā)明構思下的一種數(shù)字資源的訪問設備，如圖2所示，所述設備包括請求接收模塊ll、第一篩選模塊12、第二篩選模塊13和輸出模塊14，其中請求接收模塊11用于接收資源訪問請求，所述資源訪問請求中包含用戶信息和操作信息；第一篩選模塊12用于根據(jù)所述用戶信息對多元組進行篩選，篩選出的所述多元組包含所述用戶信息所屬的用戶組；第二篩選模塊13用于根據(jù)所述操作信息對第一篩選模塊11篩選出的多元組進行選擇，選擇出的所述多元組中用戶與資源的關系滿足操作信息中用戶與資源的關系，且所述多元組中用戶與資源的訪問權限與操作信息中用戶請求的操作匹配；輸出模塊14用于輸出選擇出的多元組包含的資源組對應的資源。在所述操作信息為查詢對資源的訪問權限時，輸出模塊14進一步用于輸出選擇出的所述多元組中的資源組對應的資源，以及用戶與資源的訪問權限。所述設備還包括第三篩選模塊15,用于根據(jù)資源訪問請求中的資源庫標識，確定包含所述資源庫標識的多元組；所述第一篩選模塊12進一步用于從第三篩選模塊15篩選后的多元組中，篩選出包含所述用戶信息所屬的用戶組的多元組。所述設備還包括第四篩選模塊16，用于根據(jù)資源訪問請求中的訪問條件，從第一篩選模塊篩選出的多元組中選擇包含滿足所述訪問條件的資源組的多元組；所述第二篩選模塊13進一步用于從第四篩選模塊16篩選后的多元組中，篩選出用戶與資源的關系滿足操作信息中用戶與資源的關系，并且用戶與資源的訪問權限與操作信息中用戶請求的操作匹配的多元組。通過本發(fā)明實施例提供的方法和設備，減少需建立的訪問權限關系，在訪問過程中可以根據(jù)用戶與資源的關系快速查找出用戶對某些特定資源的訪問權限，降低了訪問控制帶來的高管理成本及執(zhí)行訪問控制時所需的系統(tǒng)開銷，管理員可以根據(jù)具體的業(yè)務需求，定義靈活可變、支持粗細粒度的授權訪問策略，在充分滿足資源共享的同時對資源進行有效保護。明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權利要求及其等同技術的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動和變型在內(nèi)。權利要求1、一種數(shù)字資源的訪問方法，其特征在于，所述方法包括根據(jù)接收的資源訪問請求中的用戶信息，對多元組進行篩選，篩選出的所述多元組包含所述用戶信息所屬的用戶組；根據(jù)所述資源訪問請求中的操作信息進一步對篩選出的多元組進行選擇，選擇出的所述多元組中用戶與資源的關系滿足操作信息中用戶與資源的關系，且所述多元組中用戶與資源的訪問權限與操作信息中用戶請求的操作匹配；輸出選擇出的多元組包含的資源組對應的資源。2、如權利要求1所述的方法，其特征在于，根據(jù)接收的資源訪問請求中的用戶信息，對多元組進行篩選之前，所述方法還包括根據(jù)資源訪問請求中的資源庫標識，確定包含所述資源庫標識的多元組；所述對多元組進行篩選是指對確定的出包含所述資源庫標識的多元組進行篩選。3、如權利要求1所述的方法，其特征在于，篩選出包含所述用戶信息所屬的用戶組的多元組之后，且根據(jù)資源訪問請求中的操作信息選擇出多元組之前，所述方法還包括根據(jù)資源訪問請求中的訪問條件，從篩選出的多元組中選擇包含滿足所述訪問條件的資源組的多元組；所述根據(jù)所述資源訪問請求中的操作信息進一步對篩選出的多元組進行選擇，是指對包含滿足所述訪問條件的資源組的多元組進行選擇。4、如權利要求1所述的方法，其特征在于，若所述操作信息為查詢對資源的訪問權限，則輸出選擇出的多元組包含的資源組對應的資源，包括輸出選擇出的所述多元組中的資源組對應的資源，以及用戶與資源的訪問權限。5、一種數(shù)字資源的訪問設備，其特征在于，所述設備包括請求接收模塊，用于接收資源訪問請求，所述資源訪問請求中包含用戶信息和操作信息；第一篩選模塊，用于根據(jù)所述用戶信息對多元組進行篩選，篩選出的所述多元組包含所述用戶信息所屬的用戶組；第二篩選模塊，用于根據(jù)所述操作信息對第一篩選模塊篩選出的多元組進行選擇，選擇出的所述多元組中用戶與資源的關系滿足操作信息中用戶與資源的關系，且所述多元組中用戶與資源的訪問權限與操作信息中用戶請求的操作匹配；輸出模塊，用于輸出選擇出的多元組包含的資源組對應的資源。6、如權利要求5所述的設備，其特征在于，所述設備還包括第三篩選模塊，用于根據(jù)資源訪問請求中的資源庫標識，確定包含所述資源庫標識的多元組；所述第一篩選模塊，進一步用于從第三篩選模塊篩選后的多元組中，篩選出包含所述用戶信息所屬的用戶組的多元組。7、如權利要求6所述的設備，其特征在于，所述設備還包括第四篩選模塊，用于根據(jù)資源訪問請求中的訪問條件，從第一篩選模塊篩選出的多元組中選擇包含滿足所述訪問條件的資源組的多元組；所述第二篩選模塊，進一步用于從第四篩選模塊篩選后的多元組中，篩選出用戶與資源的關系滿足操作信息中用戶與資源的關系，并且用戶與資源的訪問權限與操作信息中用戶請求的操作匹配的多元組。8、如權利要求5所述的設備，其特征在于，所述輸出模塊，進一步用于在所述操作信息為查詢對資源的訪問權限時，輸出選擇出的所述多元組中的資源組對應的資源，以及用戶與資源的訪問權限。全文摘要本發(fā)明公開了一種數(shù)字資源的訪問方法，所述方法包括根據(jù)接收的資源訪問請求中的用戶信息，對多元組進行篩選，篩選出的所述多元組包含所述用戶信息所屬的用戶組；根據(jù)資源訪問請求中的操作信息進一步對篩選出的多元組進行選擇，選擇出的所述多元組中用戶與資源的關系滿足操作信息中用戶與資源的關系，且所述多元組中用戶與資源的訪問權限與操作信息中用戶請求的操作匹配；輸出選擇出的多元組包含的資源組對應的資源。通過本發(fā)明，減少了權限關系的數(shù)量，快速地查找出用戶對特定數(shù)據(jù)資源的訪問權限。本發(fā)明還公開了一種數(shù)字資源的訪問設備。文檔編號H04L29/06GK101448002SQ20081023953公開日2009年6月3日申請日期2008年12月12日優(yōu)先權日2008年12月12日發(fā)明者劉小武,周智臻,熊開宏申請人:北京大學;北大方正集團有限公司;北京方正電子政務信息科技有限公司