專利名稱:訪問權(quán)限的管理方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及智能卡技術(shù)領(lǐng)域,尤其涉及一種訪問權(quán)限的管理方法及裝置�。
背景技術(shù):
隨著技術(shù)的不斷發(fā)展,基于智能卡的通信系統(tǒng)����,特別是基于智能卡的數(shù)據(jù)庫系統(tǒng)得到了廣泛的應用���。雖然智能卡可以提供相對比較安全的通信環(huán)境,但是���,在智能卡中���,一般是直接基于智能卡的特性而提供基于口令的身份認證和比較簡單或?qū)S玫氖跈?quán)服務(wù)。但是����,這些服務(wù)并不能滿足用戶對通用智能卡服務(wù)的需求。也就是說�����,基于智能卡的大多數(shù)應用提供的對用戶訪問權(quán)限的控制相對較弱�。而隨著訪問控制理論的發(fā)展,業(yè)界已經(jīng)提出了多種訪問控制模型�����,并廣泛應用于企業(yè)級的環(huán)境中���。當越來越多的基于智能卡的企業(yè)級或行業(yè)級應用誕生后�����,用戶對智能卡系統(tǒng)所提供的通用服務(wù)也提出了更高的要求��。相應的�,基于智能卡的通用安全服務(wù),特別是細粒度的授權(quán)與訪問控制服務(wù)也越來越多的受到了重視����。因此,如何在計算資源和存儲資源受限的智能卡系統(tǒng)中實現(xiàn)對用戶訪問權(quán)限的細粒度的授權(quán)與訪問控制�,從而為用戶提供通用服務(wù)并降低對智能卡系統(tǒng)智能卡資源的要求,已經(jīng)成為業(yè)界亟待解決的問題���。
發(fā)明內(nèi)容
本發(fā)明實施例提供一種實現(xiàn)通用訪問控制且降低對智能卡系統(tǒng)智能卡性能的要求的訪問權(quán)限的管理方法���、裝置��。本發(fā)明實施例采用如下技術(shù)方案一種訪問權(quán)限的管理方法��,包括接收用戶對智能卡資源的訪問請求����;根據(jù)所述訪問請求獲取所述用戶所對應的角色����;確定所述用戶對應的角色是否具有對所述智能卡資源的訪問權(quán)限��;當所述角色具有對所述智能卡資源的訪問權(quán)限時��,允許所述用戶對所述智能卡資源進行訪問�����。一種訪問權(quán)限的管理裝置��,包括請求接收單元�����,用于接收用戶對智能卡資源的訪問請求����;角色獲取單元,用于根據(jù)所述訪問請求獲取所述用戶所對應的角色�����;訪問權(quán)限獲取單元�,用于確定所述用戶對應的角色是否具有對所述智能卡資源的訪問權(quán)限�;訪問控制單元���,用于當所述角色具有對所述智能卡資源的訪問權(quán)限時�,允許所述用戶對所述智能卡資源進行訪問����。本發(fā)明實施例所述的訪問權(quán)限的管理方法及裝置,根據(jù)用戶的訪問請求獲取所述用戶所對應的角色��,并根據(jù)所述角色對應的訪問權(quán)限來確定所述用戶是否具有對其需訪問的智能卡資源進行訪問的權(quán)限��。因此��,由上可以看出�,本發(fā)明實施例所述的方法及裝置,是將用戶�����、智能卡資源����、角色和訪問權(quán)限抽象出來并不做任何限制�����,然后再根據(jù)所述用戶對應的角色制定相應的訪問權(quán)限策略,從而使得所述方法和裝置能適用于各種類型的應用系統(tǒng)�����,具有通用性����。并且,在智能卡系統(tǒng)中存儲的只是用戶-角色-訪問權(quán)限這一記錄��,因此���, 本發(fā)明實施例所述的方法以及裝置降低了對智能卡系統(tǒng)智能卡性能的要求�。
為了更清楚地說明本發(fā)明實施例的技術(shù)方案���,下面將對實施例描述中所需要使用的附圖作一簡單地介紹�����,顯而易見地���,下面描述中的附圖僅僅是本發(fā)明的一些實施例���,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下���,還可以根據(jù)這些附圖獲得其他的附圖����。圖1為本發(fā)明實施例一訪問權(quán)限的管理方法的流程圖��;圖2為應用本發(fā)明實施例的系統(tǒng)框架示意圖�;圖3為本發(fā)明實施例二訪問權(quán)限的管理方法的流程圖;圖4為第一種智能卡資源的授權(quán)信息的表示方式圖�����;圖5為第二種智能卡資源的授權(quán)信息的表示方式圖��;圖6為本發(fā)明實施例訪問權(quán)限的管理裝置的示意圖����;圖7為本發(fā)明實施例訪問權(quán)限的管理裝置的結(jié)構(gòu)圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖���,對本發(fā)明實施例中的技術(shù)方案進行清楚�、完整地描述�,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例���,而不是全部的實施例��?�;诒景l(fā)明中的實施例��,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例��,都屬于本發(fā)明保護的范圍��。隨著訪問控制理論的發(fā)展�����,業(yè)界已經(jīng)提出了多種訪問控制模型�����,如DAC(自主訪問控制模型�����,Discretionary Access Control)����、MAC (強制訪問控制模型,Mandatory Access Control)和RBAC(基于角色的訪問控制模型�,Role BasedAccess Control)。在這些訪問控制模型中����,由于RBAC具有高度的靈活性,并且能夠模擬出DAC和MAC兩種模型��,因此近年來受到了高度的重視���,已經(jīng)廣泛應用于企業(yè)級的環(huán)境中���。在PC和服務(wù)器級計算系統(tǒng)中實現(xiàn)的RBAC,系統(tǒng)中一般需要存儲主體(訪問行為的發(fā)起者��,包括用戶和角色)�����、資源(受保護的被訪問對象)和訪問行為,建立“用戶-角色”��、 “角色-資源-訪問行為”的對應關(guān)系�,并且每個對應關(guān)系的實例都可作為一個元組記錄�。 在RBAC系統(tǒng)中,角色是指為完成某項工作而應具備的權(quán)限的集合�。例如,在企業(yè)中���,部門經(jīng)理就是一個角色���,它本質(zhì)上對應著一個權(quán)限的集合?���;赗BAC的控制方法,如圖1所示�,本發(fā)明實施例一提供了一種訪問權(quán)限的管理方法,該方法可以應用于智能卡中�,包括步驟11、智能卡系統(tǒng)接收用戶對智能卡資源的訪問請求�。其中,在所述訪問請求中可包括所述訪問請求所對應的訪問行為以及所述用戶請求訪問的智能卡資源的標識等信息��。步驟12、所述智能卡系統(tǒng)根據(jù)所述訪問請求獲取所述用戶所對應的角色����。在系統(tǒng)初始化的過程中,可建立各用戶與各角色的對應關(guān)系��,因此�����,根據(jù)此對應關(guān)系可獲得所述用戶對應的角色�。步驟13、所述智能卡系統(tǒng)確定所述用戶對應的角色是否具有對所述智能卡資源的訪問權(quán)限�����。為了方便進行智能卡資源的管理并節(jié)省存儲空間����,在本發(fā)明實施例中,可將各種類型的智能卡資源按照樹形結(jié)構(gòu)進行存儲�。設(shè)智能卡系統(tǒng)中包括有一個數(shù)據(jù)庫智能卡資源,數(shù)據(jù)庫中包含的智能卡資源有表��、字段等子資源��。而對表或者字段,其對應的訪問行為有刪除表�、創(chuàng)建表、查詢字段值等訪問行為(也稱為操作)��。并且該數(shù)據(jù)庫包含有專門用于存儲訪問控制所需要的角色�、資源、用戶��、角色權(quán)限信息及用戶權(quán)限信息的表ROLES(角色)�、OBJECTS (資源)���、USERS (用戶)���、PA (角色權(quán)限信息)、UA (用戶權(quán)限信息)等�。根據(jù)以上建立的資源的存儲結(jié)構(gòu),在確定所述角色是否具有對智能卡資源的訪問權(quán)限時�,可包括如下過程首先,所述智能卡系統(tǒng)解析由步驟11中獲得的所述用戶的訪問請求����,獲取所述訪問請求對應的訪問行為以及所述用戶請求訪問的智能卡資源的標識。然后���,根據(jù)所述訪問行為確定所述用戶請求訪問的智能卡資源的類型��,并根據(jù)所述角色的角色標識以及所述智能卡資源的標識�,獲取所述角色對應的權(quán)限信息以確定所述用戶對應的角色是否具有對所述智能卡資源的訪問權(quán)限。(1)當根據(jù)所述訪問行為確定所述用戶請求訪問的智能卡資源為僅有一種訪問行為的智能卡資源時所述智能卡系統(tǒng)可首先獲取所述智能卡資源在其父資源中的編號���,并將所述編號作為其對應的權(quán)限信息中的掩碼�����。然后所述智能卡系統(tǒng)根據(jù)所述角色的角色標識以及所述智能卡資源的標識�,查找角色授權(quán)信息表��,獲取所述掩碼所表示的權(quán)限信息����。在此,所述掩碼主要用于表示子資源的編號���。然后�,當在所述權(quán)限信息中掩碼對應的比特位為第一參考值時�����,確定所述用戶對應的角色具有對所述智能卡資源的訪問權(quán)限,當在所述權(quán)限信息中掩碼對應的比特位為第二參考值時��,確定所述角色不具有對所述智能卡資源的訪問權(quán)限�。為了進一步增強智能卡系統(tǒng)的安全性,在此實施例中��,還可對權(quán)限信息做進一步的判斷����,在權(quán)限信息中增加“反向授權(quán)”的判斷。具體過程為若所述權(quán)限信息中所述訪問行為對應的“無本級訪問權(quán)限”所對應的比特位表示不允許訪問時�,則所述角色不具有對所述智能卡資源的訪問權(quán)限����;若所述權(quán)限信息中所述訪問行為對應的“無本級訪問權(quán)限”所對應的比特位表示允許訪問時,當在所述權(quán)限信息中掩碼對應的比特位為第一參考值時���,確定所述用戶對應的角色具有對所述智能卡資源的訪問權(quán)限���,當在所述權(quán)限信息中掩碼對應的比特位為第二參考值時,確定所述角色不具有對所述智能卡資源的訪問權(quán)限��。其中���,所述第一參考值可設(shè)置為1����,所述第二參考值可設(shè)置為0?�;蛘哌€可有其他的設(shè)置方式�,只需將第一參考值和第二參考值區(qū)分開即可。在所述權(quán)限信息中所述訪問行為對應的“無本級訪問權(quán)限”所對應的比特位表示允許訪問��、在所述權(quán)限信息中掩碼對應的比特位為第二參考值時�����,還可進一步獲取所述角色對所述智能卡資源的父資源的權(quán)限信息����,若對于所述父資源,所述角色的權(quán)限信息中的 “本級及下級全部權(quán)限”對應的比特位表示允許訪問時��,則所述角色具有對所述智能卡資源的訪問權(quán)限��;否則繼續(xù)獲取所述角色對所述父資源的父資源的權(quán)限信息并按照上述過程遞歸地進行權(quán)限判斷�,直至處理到根節(jié)點的權(quán)限信息為止,如果所述角色依然沒有相應的訪問權(quán)限,則不允許所述角色訪問所述智能卡資源�����。通過這個過程實現(xiàn)權(quán)限的傳播過程�����。在本發(fā)明實施例中���,權(quán)限信息中的“無本級訪問權(quán)限”所對應的比特位用1或0來表示�。當該比特位為1時����,表示允許訪問,為0時表示不允許訪問��?����;蛘呦喾?����。(2)當根據(jù)所述訪問行為確定所述用戶請求訪問的智能卡資源為有兩種以上訪問行為的智能卡資源時所述智能卡系統(tǒng)根據(jù)所述角色的角色標識以及所述智能卡資源的標識�,查找角色授權(quán)信息表,獲取所述掩碼所表示的權(quán)限信息�����。在此��,所述掩碼主要用于表示操作或者訪問行為的編號����。然后,當在所述權(quán)限信息中掩碼對應的比特位為第一參考值時�,確定所述用戶對應的角色具有對所述智能卡資源的訪問權(quán)限,當在所述權(quán)限信息中掩碼對應的比特位為第二參考值時���,確定所述角色不具有對所述智能卡資源的訪問權(quán)限���。為了進一步增強智能卡系統(tǒng)的安全性,在此實施例中�����,還可對權(quán)限信息做進一步的判斷���,在權(quán)限信息中增加“反向授權(quán)”的判斷����。具體過程為若所述權(quán)限信息中所述訪問行為對應的“無本級訪問權(quán)限”所對應的比特位表示不允許訪問時,則所述角色不具有對所述智能卡資源的訪問權(quán)限��;若所述權(quán)限信息中所述訪問行為對應的“無本級訪問權(quán)限”所對應的比特位表示允許訪問時�����,當在所述權(quán)限信息中掩碼對應的比特位為第一參考值時���,確定所述用戶對應的角色具有對所述智能卡資源的訪問權(quán)限�����,當在所述權(quán)限信息中掩碼對應的比特位為第二參考值時��,確定所述角色不具有對所述智能卡資源的訪問權(quán)限�����。其中,所述第一參考值可設(shè)置為1����,所述第二參考值可設(shè)置為0�����?�;蛘哌€可有其他的設(shè)置方式����,只需將第一參考值和第二參考值區(qū)分開即可�。在所述權(quán)限信息中所述訪問行為對應的“無本級訪問權(quán)限”所對應的比特位表示允許訪問、在所述權(quán)限信息中掩碼對應的比特位為第二參考值時���,還可進一步獲取所述角色對所述智能卡資源的父資源的權(quán)限信息��,若對于所述父資源���,所述角色的權(quán)限信息中的 “本級及下級全部權(quán)限”對應的比特位表示允許訪問時,則所述角色具有對所述智能卡資源的訪問權(quán)限�����;否則繼續(xù)獲取所述角色對所述父資源的父資源的權(quán)限信息并按照上述過程遞歸地進行權(quán)限判斷�,直至處理到根節(jié)點的權(quán)限信息為止���,如果所述角色依然沒有相應的訪問權(quán)限,則不允許所述角色訪問所述智能卡資源�����。通過這個過程實現(xiàn)權(quán)限的傳播過程���。在本發(fā)明實施例中�,權(quán)限信息中的“無本級訪問權(quán)限”所對應的比特位用1或0來表示�����。當該比特位為1時�,表示允許訪問,為0時表示不允許訪問����。或者相反�。步驟14、當所述角色具有對所述智能卡資源的訪問權(quán)限時��,允許所述用戶對智能卡資源進行訪問�����。本發(fā)明實施例所述的訪問權(quán)限的管理方法���,根據(jù)用戶的訪問請求獲取所述用戶所對應的角色�����,并根據(jù)所述角色對應的訪問權(quán)限來確定所述用戶是否具有對其需訪問的智能卡資源進行訪問的權(quán)限��。因此��,由上可以看出�����,本發(fā)明實施例所述的方法���,是將用戶、智能卡資源��、角色和訪問權(quán)限從具體的應用系統(tǒng)中抽象出來�,然后再根據(jù)所述用戶對應的角色制定相應的訪問權(quán)限策略,從而使得所述方法能適用于各種類型的應用系統(tǒng)���,具有通用性�����。并且�����,在智能卡系統(tǒng)中存儲的只是用戶-角色-訪問權(quán)限這一記錄���,該權(quán)限記錄同時包含了角色對資源的多個訪問行為�,即通過一個角色授權(quán)記錄達到表示多個授權(quán)信息的作用����,因此, 本發(fā)明實施例所述的方法以及裝置降低了對智能卡系統(tǒng)智能卡性能的要求���。以下�,結(jié)合實施例二詳細地描述一下訪問權(quán)限的管理方法的實現(xiàn)過程�。由于本發(fā)明實施例所述的方法是基于RBAC的方法,所以����,如圖2所示�,可在如下框架內(nèi)實現(xiàn)本發(fā)明實施例的方法�。其中包括用戶管理模塊(UM)完成對系統(tǒng)中所有用戶的統(tǒng)一管理,包括系統(tǒng)管理員和普通用戶的管理�。角色管理模塊(RM)完成對系統(tǒng)中所有角色的統(tǒng)一管理,包括系統(tǒng)管理角色和普通角色的管理�。智能卡資源管理模塊(OM)完成對系統(tǒng)中所有智能卡資源的統(tǒng)一管理����,包括系統(tǒng)智能卡資源和普通智能卡資源的管理。用戶權(quán)限管理模塊(UA)負責為用戶授予角色及從用戶回收角色����。角色權(quán)限管理模塊(PA):負責為角色授權(quán)及從角色回收訪問智能卡資源的權(quán)限。認證登錄系統(tǒng)負責對進入系統(tǒng)的用戶的身份的合法性進行檢查�,并建立必要的安全上下文環(huán)境,主要用于提供當前登錄入智能卡內(nèi)的用戶及其角色信息��。會話管理模塊(SM)負責從用戶登錄到用戶登出的整個周期的管理和維護�。它是卡端系統(tǒng)和外界通信的唯一通道。如圖3所示���,本發(fā)明實施例二訪問權(quán)限的管理方法包括步驟21��、存儲智能卡系統(tǒng)中的智能卡資源�����。在本發(fā)明實施例中���,與實施例一中描述的相同����,為了方便進行智能卡資源的管理并節(jié)省存儲空間�����,將各種類型的智能卡資源按照樹形結(jié)構(gòu)進行存儲��。設(shè)智能卡系統(tǒng)中包括有一個數(shù)據(jù)庫智能卡資源�����,數(shù)據(jù)庫中包含的智能卡資源有表��、字段等子資源�,而對表或者字段,其對應的訪問行為有刪除表���、創(chuàng)建表����、查詢字段值等訪問行為(也稱為操作),并且該數(shù)據(jù)庫包含有專門用于存儲訪問控制所需要的角色�、資源、用戶����、角色權(quán)限信息及用戶權(quán)限信息的表:R0LES (角色)、OBJECTS (資源)��、USERS (用戶)���、PA(角色權(quán)限信息)、UA(用戶權(quán)限信息)等�����。如表1所示���,其中�����,每種類型的智能卡資源都綁定一個訪問行為的集合����,而所述集合是在創(chuàng)建所述智能卡資源類型的時候創(chuàng)建的。其中�����,用戶的某個訪問行為可以是具體的訪問動作����,如表1中的“刪除記錄”?�;蛘哌€可以是抽象的訪問動作���,如表1中的“查詢?nèi)坑涗洝?����。其中����,對于某種智能卡資源的訪問行為的種類���,可以根據(jù)應用的不同而進行不同的設(shè)置�。表 權(quán)利要求
1.一種訪問權(quán)限的管理方法,其特征在于�,包括接收用戶對智能卡資源的訪問請求;根據(jù)所述訪問請求獲取所述用戶所對應的角色����;確定所述用戶對應的角色是否具有對所述智能卡資源的訪問權(quán)限;當所述角色具有對所述智能卡資源的訪問權(quán)限時�����,允許所述用戶對所述智能卡資源進行訪問��。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于���,確定所述用戶對應的角色是否具有對所述智能卡資源的訪問權(quán)限包括解析所述用戶的訪問請求�����,獲取所述訪問請求對應的訪問行為�����、所述用戶請求訪問的智能卡資源的標識����;根據(jù)所述角色的角色標識以及所述智能卡資源的標識,獲取所述角色對應的權(quán)限信息�;當在所述權(quán)限信息中掩碼對應的比特位為第一參考值時,確定所述用戶對應的角色具有對所述智能卡資源的訪問權(quán)限���;當在所述權(quán)限信息中掩碼對應的比特位為第二參考值時�,確定所述角色不具有對所述智能卡資源的訪問權(quán)限���。
3.根據(jù)權(quán)利要求2所述的方法�,其特征在于�����,所述當在所述權(quán)限信息中掩碼對應的比特位為第一參考值時�����,確定所述用戶對應的角色具有對所述智能卡資源的訪問權(quán)限���;當在所述權(quán)限信息中掩碼對應的比特位為第二參考值時���,確定所述角色不具有對所述智能卡資源的訪問權(quán)限具體為若所述權(quán)限信息中所述訪問行為對應的“無本級訪問權(quán)限”所對應的比特位表示不允許訪問時��,則所述角色不具有對所述智能卡資源的訪問權(quán)限�;若所述權(quán)限信息中所述訪問行為對應的“無本級訪問權(quán)限”所對應的比特位表示允許訪問時�����,當在所述權(quán)限信息中掩碼對應的比特位為第一參考值時����,確定所述用戶對應的角色具有對所述智能卡資源的訪問權(quán)限,當在所述權(quán)限信息中掩碼對應的比特位為第二參考值時���,確定所述角色不具有對所述智能卡資源的訪問權(quán)限���。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于�����,在所述權(quán)限信息中所述訪問行為對應的 “無本級訪問權(quán)限”所對應的比特位表示允許訪問�、在所述權(quán)限信息中掩碼對應的比特位為第二參考值時��,獲取所述角色對所述智能卡資源的父資源的權(quán)限信息,若對于所述父資源�, 所述角色的權(quán)限信息中的“本級及下級全部權(quán)限”對應的比特位表示允許訪問時,則所述角色具有對所述智能卡資源的訪問權(quán)限��;否則所述角色不具有對所述智能卡資源的訪問權(quán)限�。
5.根據(jù)權(quán)利要求2或3或4所述的方法,其特征在于�����,在根據(jù)所述角色的角色標識以及所述智能卡資源的標識�,獲取所述角色對應的權(quán)限信息前,所述方法還包括當根據(jù)所述訪問行為確定所述用戶請求訪問的智能卡資源為僅有一種訪問行為的智能卡資源時��,獲取所述智能卡資源在其父資源中的編號����,并將所述編號作為所述掩碼。
6.根據(jù)權(quán)利要求1-4任一所述的方法��,其特征在于�����,在所述接收用戶對智能卡資源的訪問請求前���,所述方法還包括存儲各智能卡資源�����;建立各用戶與各角色的對應關(guān)系���;設(shè)置所述角色的權(quán)限信息����。
7.根據(jù)權(quán)利要求6所述的方法����,其特征在于,所述角色的權(quán)限信息用四元組表示����,其中所述四元組包括(RoleID,Obj ID, ObjType, Grant Info)��;其中�,所述RoleID表示角色的角色標識,所述ObjID表示智能卡資源的標識�����,所述ObjType表示智能卡資源的類型標識����,所述GrantInfo表示角色擁有的對所述智能卡資源的授權(quán)信息。
8.根據(jù)權(quán)利要求1-4任一所述的方法���,其特征在于�����,分別為各用戶�����、各角色以及各智能卡資源設(shè)置安全級別�。
9.根據(jù)權(quán)利要求8所述的方法��,其特征在于����,在所述接收用戶對智能卡資源的訪問請求后,所述方法還包括確定所述用戶對應的安全級別和所述智能卡資源對應的安全級別是否匹配�����。
10.根據(jù)權(quán)利要求9所述的方法,其特征在于��,在根據(jù)所述訪問請求獲取所述用戶所對應的角色后���,所述方法還包括確定所述角色的安全級別與所述智能卡資源對應的安全級別是否匹配�。
11.一種訪問權(quán)限的管理裝置�,其特征在于,包括請求接收單元����,用于接收用戶對智能卡資源的訪問請求;角色獲取單元�����,用于根據(jù)所述訪問請求獲取所述用戶所對應的角色�����;訪問權(quán)限獲取單元�����,用于確定所述用戶對應的角色是否具有對所述智能卡資源的訪問權(quán)限;訪問控制單元��,用于當所述角色具有對所述智能卡資源的訪問權(quán)限時��,允許所述用戶對所述智能卡資源進行訪問��。
12.根據(jù)權(quán)利要求11所述的裝置���,其特征在于,所述訪問控制單元包括解析模塊���,用于解析所述用戶的訪問請求����,獲取所述訪問請求對應的訪問行為�、所述用戶請求訪問的智能卡資源的標識;權(quán)限信息獲取模塊�,用于根據(jù)所述角色的角色標識以及所述智能卡資源的標識,獲取所述角色對應的權(quán)限信息�;權(quán)限確定模塊,用于當在所述權(quán)限信息中掩碼對應的比特位為第一參考值時��,確定所述用戶對應的角色具有對所述智能卡資源的訪問權(quán)限���;當在所述權(quán)限信息中掩碼對應的比特位為第二參考值時�,確定所述角色不具有對所述智能卡資源的訪問權(quán)限。
13.根據(jù)權(quán)利要求12所述的裝置�,其特征在于,所述權(quán)限確定模塊具體用于���,若所述權(quán)限信息中所述訪問行為對應的“無本級訪問權(quán)限”所對應的比特位表示不允許訪問時�,則所述角色不具有對所述智能卡資源的訪問權(quán)限����;若所述權(quán)限信息中所述訪問行為對應的“無本級訪問權(quán)限”所對應的比特位表示允許訪問時,當在所述權(quán)限信息中掩碼對應的比特位為第一參考值時����,確定所述用戶對應的角色具有對所述智能卡資源的訪問權(quán)限,當在所述權(quán)限信息中掩碼對應的比特位為第二參考值時�����,確定所述角色不具有對所述智能卡資源的訪問權(quán)限����。
14.根據(jù)權(quán)利要求13所述的裝置,其特征在于�����,所述權(quán)限確定模塊還用于,在所述權(quán)限信息中所述訪問行為對應的“無本級訪問權(quán)限”所對應的比特位表示允許訪問�����、在所述權(quán)限信息中掩碼對應的比特位為第二參考值時����,獲取所述角色對所述智能卡資源的父資源的權(quán)限信息�,若對于所述父資源,所述角色的權(quán)限信息中的“本級及下級全部權(quán)限”對應的比特位表示允許訪問時�����,則所述角色具有對所述智能卡資源的訪問權(quán)限����;否則所述角色不具有對所述智能卡資源的訪問權(quán)限。
15.根據(jù)權(quán)利要求12或13或14所述的裝置�,其特征在于,所述訪問控制單元還包括 智能卡資源類型確定模塊�,用于根據(jù)所述訪問行為確定所述用戶請求訪問的智能卡資源是否為僅有一種訪問行為的智能卡資源;所述權(quán)限確定模塊�,還用于當根據(jù)所述訪問行為確定所述用戶請求訪問的智能卡資源為僅有一種訪問行為的智能卡資源時�,獲取所述智能卡資源在其父資源中的編號���,并將所述編號作為所述掩碼�����。
16.根據(jù)權(quán)利要求11-14任一所述的裝置�,其特征在于���,所述裝置還包括 存儲單元�,用于存儲各智能卡資源��;設(shè)置單元���,用于建立各用戶與各角色的對應關(guān)系����,并設(shè)置所述角色的權(quán)限信息�����。
17.根據(jù)權(quán)利要求16所述的裝置���,其特征在于���,所述設(shè)置單元還用于分別為各用戶��、各角色以及各智能卡資源設(shè)置安全級別�。
18.根據(jù)權(quán)利要求17所述的裝置�����,其特征在于�����,所述裝置還包括安全等級判斷單元�����,用于確定所述用戶對應的安全級別和所述智能卡資源對應的安全級別是否匹配����;或者確定所述角色的安全級別與所述智能卡資源對應的安全級別是否匹配���。
全文摘要
本發(fā)明實施例公開了一種訪問權(quán)限的管理方法及裝置�����,涉及智能卡技術(shù)領(lǐng)域�,以達到通用訪問控制且降低對智能卡系統(tǒng)性能要求的目的。所述方法包括接收用戶對智能卡資源的訪問請求�����;根據(jù)所述訪問請求獲取所述用戶所對應的角色�����;確定所述用戶對應的角色是否具有所述資源的訪問權(quán)限��;當所述角色具有對所述智能卡資源的訪問權(quán)限時�,允許所述用戶對智能卡資源進行訪問。本發(fā)明實施例主要用于智能卡技術(shù)領(lǐng)域中����。
文檔編號H04L29/06GK102231693SQ20101015637
公開日2011年11月2日 申請日期2010年4月22日 優(yōu)先權(quán)日2010年4月22日
發(fā)明者包義保, 徐中華 申請人:北京握奇數(shù)據(jù)系統(tǒng)有限公司