资源访问控制方法和装置与流程

本公开涉及信息安全技术领域，特别涉及一种资源访问控制方法和装置。

背景技术：

随着计算机应用技术的发展，各种资源，例如，互联网络中存在的资源、计算机设备中存储的资源，用户通过请求进行的资源访问而获得所需要的资源。

在此资源的访问中，基于安全性的因素，将通过配置资源的访问权限来实现资源的访问控制。被授予访问权限的用户方能够成功进行资源访问，如果请求进行资源访问的用户并未被授予访问权限，则其资源访问请求将被拒绝。

现有资源访问的实现，仅仅局限于一组资源，而并无法在跨组实现统一的资源访问控制。

例如，所指示的一组资源，可以是互联网络中某一服务所提供的资源，拥有访问权限的用户，并无法同时访问其它服务的资源。如果需要访问其它服务的资源，则需要重新获得授权。

也就是说，现有的资源访问控制的实现，并无法跨组进行，用户同时对两组以上的资源所请求进行的访问，需要分别进行访问权限的控制。

换而言之，并无法针对跨组资源实现用户的批量授权。

技术实现要素：

为了解决相关技术中存在的无法针对跨组资源实现用户的批量授权，进而实现跨组资源的访问控制的技术问题，本公开提供了一种资源访问控制方法和装置。

一种资源访问控制方法，所述方法包括：

接收分组资源访问指令，所述分组资源访问指令指示用户请求访问的分组资源；

从所述分组资源关联的标签信息得到授予所述用户的标签信息；

根据授予所述用户的标签信息得到所述标签信息关联的访问权限；

将所述访问权限与所述分组资源的资源权限进行匹配，根据所述匹配的结果允许或拒绝所述用户请求的分组资源访问。

一种资源访问控制装置，所述装置包括：

访问指令接收模块，用于接收分组资源访问指令，所述分组资源访问指令指示用户请求访问的分组资源；

授权信息获得模块，用于从所述分组资源关联的标签信息得到授予所述用户的标签信息；

访问权限获得模块，用于根据授予所述用户的标签信息得到所述标签信息关联的访问权限；

鉴权模块，用于将所述访问权限与所述分组资源的资源权限进行匹配，根据所述匹配的结果允许或拒绝所述用户请求的分组资源访问。

本公开的实施例提供的技术方案可以包括以下有益效果：

接收分组资源访问指令，此分组资源访问指令指示用户请求访问的分组资源，从分组资源关联的标签信息得到授予用户的标签信息，根据授予用户的标签信息得到标签信息关联的权限，将访问权限与分组资源的资源权限进行匹配，根据匹配的结果允许或拒绝用户请求的分组资源访问，此分组资源的访问控制是基于标签信息实现的，一方面，授予用户的标签信息关联于分组资源，另一方面，授予用户的标签信息还关联于访问权限，由此，便可以在标签信息的作用下实现分组资源的授权和用户的访问权限配置，授予用户的标签信息，可将其关联于两个以上分组的分组资源，即可针对跨组资源实现用户的批量授权，进而实现跨组资源的访问控制。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并于说明书一起用于解释本发明的原理。

图1是根据本公开所涉及的实施环境的示意图；

图2是根据一示例性实施例示出的一种装置的框图

图3是根据一示例性实施例示出的一种资源访问控制方法的流程图；

图4是根据另一个示例性实施例示出的一种资源访问控制方法的流程图；

图5是一示例性实施例示出的对为分组资源新建标签信息，得到新建的标签信息和分组资源之间的关联关系步骤的细节进行描述的流程图；

图6是根据一示例性实施例示出的对将访问权限与分组资源的资源权限进行匹配，根据匹配的结果允许或拒绝用户请求的分组资源访问步骤的细节进行描述的流程图；

图7是根据另一示例性实施例示出的一种资源访问控制方法的流程图；

图8是根据一示例性实施例示出的实现云服务资源访问控制的整体框架示意图；

图9是根据一示例性实施例示出的基于标签信息所实现的授权示意图；

图10是根据一示例性实施例示出的鉴权流程图；

图11是一示例性实施例示出的一种资源访问控制装置的框图；

图12是根据另一示例性实施例示出的一种资源访问控制装置的框图；

图13是图12对应实施示出的对标签资源关联模块的细节进行描述的框图；

图14是图11对应实施例示出的对鉴权模块的细节进行描述的框图；

图15是根据另一示例性实施例示出的一种资源访问控制装置的框图。

具体实施方式

这里将详细地对示例性实施例执行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

图1是本公开所涉及的实现环境的示意图。该实施环境包括：终端110、控制服务器130和云服务器150。

终端110将在控制服务器130的控制下接入云服务器150，云服务器150用于提供各种云服务，并为各个云服务存储其资源。

控制服务器150将为终端110实现控制台向导，进而在此控制台向导的作用下，终端110得以进行云服务资源访问。

也就是说，控制服务器150将对终端110发起的资源访问实现资源访问控制。

图2是根据一示例性实施例示出的一种装置200的框图。例如，装置200可以是图1所示实施环境的控制服务器150。

该装置200可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器(central processing units，CPU)222(例如，一个或一个以上处理器)和存储器232，一个或一个以上存储应用程序242或数据244的存储介质230(例如一个或一个以上海量存储设备)。其中，存储器232和存储介质230可以是短暂存储或持久存储。存储在存储介质230的程序可以包括一个或一个以上模块(图示未示出)，每个模块可以包括对装置200中的一系列指令操作。更进一步地，中央处理器222可以设置为与存储介质230通信，在装置200上执行存储介质230中的一系列指令操作。装置200还可以包括一个或一个以上电源226，一个或一个以上有线或无线网络接口250，一个或一个以上输入输出接口258，和/或，一个或一个以上操作系统241，例如Windows ServerTM，MacOS XTM，UnixTM，LinuxTM，FreeBSDTM等等。上述图3、图4、图5、图6和图7所示实施例中的步骤可以基于该图2所示的装置结构。

图3是根据一示例性实施例示出的一种资源访问控制方法的流程图。该资源访问控制方法适用于图1所示实施环境的控制服务器130，该控制服务器130在一个示例性实施例中可以是图2所示的装置。如图3所示，该资源访问控制方法，可以由控制服务器130执行，可以包括以下步骤。

在步骤310中，接收分组资源访问指令，分组资源访问指令指示用户请求访问的分组资源。

其中，分组资源访问指令，是由终端所发起的，用于请求进行分组资源访问的指令。通过此分组资源访问指令所请求进行的分组资源访问，可以是单一分组的分组资源访问，也可以是跨组资源访问，在此不进行限定。

与之相对应的，分组资源访问指令指示用户请求访问的分组资源，是归属于一个分组，或者两个以上分组的分组资源。

在此应当补充说明的是，所指的用户，在一个示例性实施例的具体实现中，是以用户标识的数据形式存在，以此来唯一标示用户以及所进行的资源访问过程。

例如，在图1所示的实施环境中，通过终端110向控制服务器130发送分组资源访问指令，以向控制服务器130请求进行分组资源的访问。

在此需要说明的是，对于所指的分组资源，其是以资源标识或者资源名称的数据形式存在的，并且存储有其所对应的实体数据。

在步骤330中，从分组资源关联的标签信息得到授予用户的标签信息。

其中，标签信息用于实现唯一存在的标签。换而言之，标签信息具备唯一性，对于授予用户的标签信息而言，其可唯一标识用户或者用户集合。

如前所述的，用户请求访问的分组资源，是归属于一个或者两个以上分组的。因此，需要从归属于一个或者两个以上分组的分组资源所关联的标签信息中获得授予用户的标签信息。

在步骤350中，根据授予用户的标签信息得到标签信息关联的访问权限。

其中，标签信息除了与分组资源存在着关联关系之外，还与访问权限存在着关联关系。访问权限用于指示可访问的资源以及访问的方式，例如，指示何种用户操作可以进行资源的访问。

在通过前述步骤获得授予用户的标签信息之后，便由标签信息和访问权限之间的关联关系，得到授予用户的标签信息所关联的访问权限，此访问权限即为用户被授予的访问权限。

在步骤370中，将访问权限与分组资源的资源权限进行匹配，根据匹配的结果允许或拒绝用户请求的分组资源访问。

其中，分组资源的资源权限，是指分组资源访问所需要具备的访问权限，只有用户被授予的访问权限与此相一致时，方可允许进行用户所请求的分组资源访问，反之，则拒绝用户请求的分组资源访问。

在如上所述的资源访问控制的实现中，通过标签信息衔接用户和分组资源，一方面，通过标签信息向用户的授予，由此标签信息关联于分组资源和访问权限，可实现用户的授权；另一方面，通过标签信息，也可直接实现资源的访问控制，进而在用户具备访问权限的条件下允许其访问分组资源，既提高了授权效率，又在标签信息的作用下，可以使得用户请求访问的分组资源不再局限于一个分组，而是可以针对跨组资源实现访问控制，授予用户的标签信息关联于两个以上分组的分组资源即可。

综上所述，通过如上所述的资源访问控制的实现，可以为两个以上分组的分组资源实现跨组的资源访问，换而言之，通过如上所述的资源访问控制，可以为存在的两个以上分组的分组资源实现一访问控制平台，在此访问控制平台将为众多分组的分组资源提供统一的访问控制。

对于用户而言，通过此访问控制平台，通过其所进行的一次资源的访问请求，即可进行跨组的资源访问，获得两个以上分组的分组资源，实现了跨组资源的访问控制。

在一个示例性实施例中，分组资源访问指令为跨组资源访问指令，步骤130，可以包括以下步骤。

从分组资源和标签信息之间的关联关系得到用户请求访问的分组资源关联且授予用户的标签信息，用户请求的分组资源归属于两个以上的分组。

其中，跨组资源访问指令用于发起两个以上分组的分组资源访问请求。用户通过跨组资源访问指令而请求进行跨组的分组资源访问。

需要说明的是，在用户或者用户集合的授权过程中，构建了分组资源和标签信息之间的关联关系，并且将此标签信息授予用户。

而分组资源和标签信息之间的关联关系，对于一标签信息而言，其可以与与个分组或者两个以上分组的分组资源存在关联；对于分组资源而言，其所关联的标签信息数量不限。

由此，用户请求访问的分组资源，可能存在着一个或者两个以上的标签信息与其关联，在此标签信息中，获得授予用户的标签信息。

通过如上所述的过程，为用户请求进行的跨组资源访问中授予用户的标签信息的获得提供了具体实现，进而使得后续所进行权限控制必然是针对跨组资源，即两个以上分组的分组资源实现的，即在授予用户的标签信息，以及此标签信息所关联的两个以上分组的分组资源的作用下，使得本次用户的资源访问能够同时针对两个以上分组的分组资源进行，归属于不同分组的分组资源的访问，不再需要逐一进行鉴权，提高了资源访问效率。

在一个示例性实施例中，步骤150，可以包括以下步骤。

从标签信息和访问权限之间的关联关系得到用户请求进行的分组资源访问中授予用户的标签信息所关联的访问权限。

其中，在为用户或者用户集合实现授权的过程中，还构建了标签信息和访问权限之间的关联关系。如前所述，授予用户的标签信息，起到唯一标识此用户的作用，而授予用户的标签信息所关联的访问权限，则为授予用户的访问权限，其指定了用户在所进行的资源访问中，有权限触发的用户操作。

从构建的众多关联信息中，根据图1对应实施例中步骤130所获得的授予用户的标签信息，获得用户请求进行的分组资源访问中授予用户的标签信息所关联的访问权限。

可以理解，所指的用户请求进行的分组资源访问，可以是一分组的分组资源访问，也可以是跨组的资源访问。与之相对应的，所获得的访问权限，是用户访问一分组的分组资源访问权限，也可以是跨组的资源访问权限，即对两个以上分组的分组资源的访问权限。

图4是根据一个示例性实施例示出的一种资源访问控制方法的流程图。该资源访问控制方法，如图4所示，可以包括以下步骤。

在步骤410中，接收分组资源的授权指令，分组资源的授权指令指示请求授权的用户和分组资源。

其中，分组资源的授权指令，是用户或者一管理员身份的用户所在终端发起的，用于请求为一用户或者用户集合对一个或者两个以上分组的分组资源访问授予权限。因此，分组资源的授权指令中，指示了请求授权的用户和分组资源，此分组资源归属于一个或者两个以上的分组。分组资源的授权指令中指示请求授权的用户，并不限于一个用户，也可以是多个用户所构成的用户集合，在此不进行限定。

为实现图1所示实施例所示分组资源访问涉及的鉴权过程，通过分组资源的授权指令来发起授权过程，通过此授权过程可以实现批量用户授权，也可以为用户授予批量分组资源的访问权限。

在步骤430中，为分组资源新建标签信息，得到新建的标签信息和分组资源之间的关联关系。

其中，标签信息具体唯一性，其可用于形成分组资源的标签(tag)，以使得对应于此标签信息的一个或者两个以上分组的分组资源构成一个整体。

标签信息可以是任意形式的，例如，可以将标签信息描述为标签名加键值的方式等，在此不进行限定。

所进行的标签信息新建过程，是针对授权指令中指示的分组资源进行的，具体而言，将为一个分组或者两个以上分组的分组资源构建一标签信息，进而建立此标签信息和一个分组或者两个以上分组的分组资源之间的关联关系，即，标签信息和分组资源信息之间，是一对一或者一对多的关联关系。

在步骤450中，对新建的标签信息配置访问权限，并建立标签信息和访问权限之间的关联关系。

其中，根据前述描述，新建的标签信息最终必将授权给相应的用户进而完成用户的授权过程。因此，需要为新建的标签信息配置访问权限，即此标签信息所关联的用户操作，以此来控制用户在进行分组资源的访问中所执行的用户操作，进而保障分组资源的安全性。

所建立的标签信息和访问权限之间的关联关系，在一个示例性实施例的具体实现中，为标签信息和用户操作之间的关联关系，在此用户操作数量为多个的情况下，即为标签信息和用户操作集合之间的关联关系，在此不进行限定。

在步骤470中，将与访问权限建立关联关系的标签信息授予请求授权的用户。

在如上所述的过程中，对建立的关联关系予以存储，并将新建的标签信息授予通过终端发起授权指令而请求授权的用户，由此，便完成了用户的授权过程，通过授予用户权限来帮助用户安全的控制其对分组资源的访问权限控制，例如，控制了哪些用户可以访问分组资源，以及可以访问的分组资源和访问的方式等。

通过如上所述的过程，能够实现批量用户的快速授权，并且授权予以访问的分组资源可以归属于两个以上的分组，因此，快速实现了跨组的分组资源的批量授权，极大提高用户的授权效率。

通过如上所述的过程，能够通过所搭建的访问控制来实现跨组的分组资源授权，进行在存在多个分组的分组资源情况下，不需要逐一通过分组所存在的平台获得授权，为分散存在的分组资源的访问和授权控制进行了统一有效的管理。

图5是一示例性实施例示出的对步骤430的细节进行描述的流程图。请求的分组资源归属于两个以上分组，在步骤430中，如图5所示，可以包括以下步骤。

在步骤431中，新建标签信息。

在步骤433中，将标签信息分别关联于归属于两个以上分组的分组资源，建立标签信息与每一分组的分组资源二者之间的关联关系。

其中，根据图4对应实施例，通过步骤410接收得到针对一个分组或者两个以上分组的分组资源发起的授权指令之后，按照授权指令中指示的分组资源，进行新建的标签信息和分组资源二者之间的关联关系构建。

在请求的分组资源归属于两个以上分组的情况下，建立标签信息与每一分组的分组资源二者之间的关联关系，由此便得到此标签信息和分组资源之间一对多的关联关系。

通过如上所述的过程，为授权过程中，授权指令中指示的分组资源打上标签，以便于后续过程中将此分组资源的访问权限授予用户的实现。

在一个示例性实施例中，步骤410之前，该资源访问控制方法还包括以下步骤。

触发进行分组资源的权限配置，在分组资源的描述信息或者权限策略的条件元素中写入标签信息，标签信息关联于访问权限。

其中，所指的分组资源的权限配置，是指配置可进行此分组资源访问的用户和用户操作。分组资源权限的配置，实质为分组资源的权限策略配置过程。

因此，其所配置的信息，可以写入分组资源的权限策略中，但也可以写入相应的描述信息中。

根据前述描述，标签信息，都有其所关联的访问权限，即每一标签信息都与相应的访问权限存在着关联关系。

对于分组资源的权限配置而言，可在确定了其所直接关联的标签信息，便也配置了可进行此分组资源访问的用户和用户操作。

因此，将标签信息作为一参数写入分组资源的描述信息或者权限策略的条件元素中，以此来完成分组资源的权限配置过程。

通过标签信息作为一参数来实现授予过程，可以非常灵活的控制分组的权限处理，不需要修改权限策略，仅通过标签的变更即可自动实现对资源的自动授权。

具体而言，如上所述的过程，可以通过以下三种方式来实现授权过程：(1)采用原生的授权语法实现；(2)通过授权接口函数实现；(3)通过访问控制平台实现。

进一步的，对于方式(1)，通过授权语法定义用户集合、授权的用户操作集合、资源集合以及上下文条件来实现授权，上下文条件和资源集合中标签信息的写入即可实现权限策略的配置，标签信息作为条件写入其中，即可实现了跨组的授权。

对于方式(2)，采用授权接口函数完成授权，其标签信息将作为参数传入。

对于方式(3)访问控制平台中实现标签授权向导，以通过此标签授权向导的交互来引导授权过程，此授权过程，也是基于标签信息的写入的。例如，通过向导步骤，在设置资源的描述信息时，选择相应的标签信息，在设置权限策略中的条件元素时，选择相应的标签信息作为条件。

通过如上所述的过程，便完成了分组资源的授权，并且在标签信息的作用下能够对多个分组的分组资源实现灵活授权，提高了分组资源管理的可控性。

图6是根据一示例性实施例示出的对步骤370的细节进行描述的流程图。该步骤370，如图6所示，可以包括以下步骤。

在步骤371中，从分组资源的描述信息或权限策略提取标签信息，根据标签信息得到关联的访问权限，该访问权限即为分组资源的资源权限。

在步骤373中，匹配资源权限和授予用户的访问权限，判断二者之间是否匹配，如果为是，则执行步骤375，如果为否，则执行步骤377。

在步骤375中，允许用户请求的分组资源访问。

在步骤377中，拒绝用户请求的分组资源访问。

其中，在分组资源的描述信息或者权限策略中，以标签信息作为参数实现了权限配置。因此，与之相对应的，也将由描述信息或权限策略中写入的标签信息获得分组资源的权限。

图7是根据另一示例性实施例示出的一种资源访问控制方法的流程图。该资源访问控制方法，如图7所示，可以包括以下步骤。

在步骤510中，接收用户的访问权限调整指令，访问权限调整指令指示新增或删减用户授权访问的分组资源。

其中，用户的访问权限调整指令，是指对此用户进行访问权限调整的指令，以通过此指令新增此用户所能够访问的分组资源，或者删减此用户所能够访问的分组资源。

用户的访问权限调整，是针对已经具备某此分组资源的访问权限的用户进行的。

在步骤530中，根据用户的访问权限调整指令，将授予用户的标签信息关联于新增的分组资源，或者从关联的分组资源解除删减的分组资源与授予用户的标签信息之间的关联关系。

其中，根据前述描述可知，授予此用户的标签信息，与访问权限、分组资源均存在着关联关系，在接收到访问权限调整指令之后，可对其所关联的分组资源进行相应调整，由此在标签信息的作用下即可实现权限的有效管理。

在一个示例性实施例的具体实现中，标签信息和分组资源之间的关联关系，分别以标签信息和分组资源进行双向索引实现。

具体的，所指的双向索引，包括从标签信息到分组资源的索引，以及从分组资源到标签信息的索引。

相对应于，在所进行的关联关系调整更新中，必须同时更新这两个索引，以此方能够方便快捷的实现访问权限的调整。

通过如上所述的过程，将使得标签信息所关联的分组资源，并不受限于某个特定分组，可以根据需要关联不同的分组，并且也可以根据需要减少所关联的分组。

综上所述，通过本公开所实现的资源访问控制，可以应用于包括云服务在内的各种web服务的资源管控，也可以应用于存储于计算机设备中各种大型项目的资源管控，在此不进行限定。

以云服务的资源访问控制为例，结合具体应用场景，描述该资源访问控制方法。在此应用场景中，一云服务资源，即为一个分组的分组资源，通过该资源访问控制方法所实现的跨组资源访问和授权，即为跨服务的资源访问和授权。

也就是说，对于所存在的众多云服务，可通过该资源访问控制方法，实现跨服务的资源访问，与之相对应的，其授权过程，也可以是针对两个以上的云服务批量进行的。

需要说明的是，现有的某一云服务，其可支持标签功能，但是并非是所有的云服务都能够支持标签功能，而通过本公开的资源访问控制方法，将为从多的动服务提供了一个统一的访问控制平台，不需要云服务支持标签功能也能够实现基于标签的资源访问控制。

并且对于支持标签功能的云服务，也将不再需要逐个对各个云服务下标签而进行单独的授权管理，有效降低了操作成本。

具体而言，图8是根据一示例性实施例示出的实现云服务资源访问控制的整体框架示意图。如图8所示的，整个框架包括标签管理系统610和权限系统630两大部分，以此来接入云服务的资源。

标签管理系统610，用于构建和维护标签信息和云服务资源之间的关联关系，并对其进行存储。

权限系统630，用于构建和维护标签信息和用户操作之间的关联关系，并通过此关联关系进行存储。此关联关系中的用户操作，用于表征访问权限，具体而言，权限系统630中维护的标签信息和用户标识之间的关联关系，是通过授权接口函数或者访问控制平台写入或者更新的。

通过该实现云服务资源访问控制的整体框架，所实现的流程将包括标签管理、权限管理和鉴权三大部分。

首先，对于标签管理，包括了标签信息和云服务资源之间关联关系的构建，以及调整。

具体的，构建的标签信息和云服务资源之间的关联关系的同时，也将标签信息授权给相应的用户，以此来实现授权。

图9是根据一示例性实施例示出的基于标签信息所实现的授权示意图。云服务资源包括云服务器资源CVM1、云服务器资源CVM2、CDN服务的资源CDN1、CDN服务的资源CDN2、LB1和LB2等等。

如图9所示，tag1和tag2为两个标签，用于分别表征不同的标签信息。在此示例性实施例中，将CVM1、CDN1和LB1作为一类资源，以授权给一类用户访问，将CVM1、LB1和LB2作为一类资源。

基于此，即对CVM1、CDN1和LB1打上标签tag1，并将标签tag1授权给用户，对CVM1、LB1和LB2打上标签tag2。

由此，使形成tag1和CVM1、CDN1、LB1之间的关联关系，即如图9所框选的关联关系710，相对应的，也形成tag2和CVM1、LB1和LB2之间的关联关系，即如图9所框选的关联关系730。

此关联关系是分别以标签和云服务资源二者为索引实现的，即双向索引，以便于应用于授权过程。

通过建立的关联关系得到区域750所示的各个云服务资源所存在的与标签之间的关联关系，此时，将标签授权给用户即完成了授权过程。

在标签管理的实现中，除了实现如上所述的授权，还通过更新标签和云服务资源之间的关联关系来实现相应用户可访问资源的新增和删减。

其次，对于权限管理流程，将用以实现云服务资源的权限配置。具体的，为授予用户的标签建立其与访问权限之间的关联关系，访问权限指示了用户针对云服务资源可以触发的用户操作。

以标签为参数，来配置访问云服务资源而必须的访问权限，进而以此为基础实现后续的鉴权过程。

最后，对于鉴权，因为标签的存在，鉴权匹配的权限，包括资源级权限和标签级权限，其中，资源级权限即为资源权限，标签级权限为授予用户的访问权限。

图10是根据一示例性实施例示出的鉴权流程图。在用户发起鉴权之后，针对所发生的操作资源，将获取授予用户的标签，即执行步骤810，并执行步骤830，获得根据关联关系获得标签级权限。

另一方面，也将由操作的资源所写入的标签，获得资源级权限，即执行步骤850。

至此，即可进行权限匹配，进而决定操作是否允许执行。

通过如上所述简明的实现方法，来进行基于标签的跨服务授权，可以极大提升用户的授权效率，授权策略也更为灵活，更易于理解和表达，可以很好的满足很多云服务用户尤其是高端云用户的鉴权需求。

下述为本公开装置实施例，可以用于执行本公开上述控制服务器130执行的资源访问控制方法实施例。对于本公开装置实施例中未披露的细节，请参照本公开资源访问控制方法实施例。

图11是一示例性实施例示出的一种资源访问控制装置的框图。该资源访问控制装置可以用于图1所示的实施环境中，执行图3所示的资源访问控制方法的全部步骤。如图11所示，该资源访问控制装置，包括但不限于：访问指令接收模块910、授权信息获得模块930、访问权限获得模块950和鉴权模块970。

访问指令接收模块910，用于接收分组资源访问指令，分组资源访问指令指示用户请求访问的分组资源。

授权信息获得模块930，用于从分组资源关联的标签信息得到授予用户的标签信息。

访问权限获得模块950，用于根据授予用户的标签信息得到标签信息关联的访问权限。

鉴权模块970，用于将访问权限与分组资源的资源权限进行匹配，根据匹配的结果允许或拒绝用户请求的分组资源访问。

在一个示例性实施例中，分组资源访问指令为跨组资源访问指令，授权信息获得模块930进一步用于从分组资源和标签信息之间的关联关系得到所述用户请求访问的分组资源关联且授予用户的标签信息，用户请求的分组资源归属于两个以上的分组。

在一个示例性实施例中，访问权限获得模块950进一步用于从标签信息和访问权限之间的关联关系得到用户请求进行的分组资源访问中授予用户的标签信息所关联的访问权限。

图12是根据另一示例性实施例示出的一种资源访问控制装置的框图。该资源访问控制装置，如图12所示，还包括但不限于：授权指令接收模块1010、标签资源关联模块1030、标签权限关联模块1050和标签授予模块1070。

授权指令接收模块1010，用于接收分组资源的授权指令，分组资源的授权指令指示请求授权的用户和分组资源。

标签资源关联模块1030，用于为分组资源新建标签信息，得到新建的标签信息和分组资源之间的关联关系。

标签权限关联模块1050，用于对新建的标签信息配置访问权限，并建立标签信息和访问权限之间的关联关系。

标签授予模块1070，用于将与访问权限建立关联关系的标签信息授予请求授权的用户。

图13是图12对应实施示出的对标签资源关联模块的细节进行描述的框图。请求授权的分组资源归属于两个以上分组，如图13所示，该标签资源关联模块1030，包括标签新建单元1031和资源关联单元1033。

标签新建单元1031，用于新建标签信息。

资源关联单元1033，用于将标签信息分别关联于归属于两个以上分组的分组资源，建立标签信息与每一分组的分组资源二者之间的关联关系。

在一个示例性实施例中，该资源访问控制装置还包括：权限配置模块。

该权限配置模块用于触发进行分组资源的权限配置，在分组资源的描述信息或者权限策略的条件元素中写入标签信息，标签信息关联于访问权限。

图14是图11对应实施例示出的对鉴权模块的细节进行描述的框图。该鉴权模块970，如图14所示，包括提取单元971和匹配单元973。

提取单元971，用于从分组资源的描述信息或权限策略提取标签信息，根据标签信息得到关联的访问权限，访问权限即为分组资源的资源权限。

匹配单元973，用于匹配资源权限和授予用户的访问权限，判断二者之间是否匹配，如果为是，则允许用户请求的分组资源访问，如果为否，则拒绝用户请求的分组资源访问。

图15是根据另一示例性实施例示出的一种资源访问控制装置的框图。该资源访问控制装置，如图15所示，可以包括调整指令接收模块1110和调整模块1130。

调整指令接收模块1110，用于接收用户的访问权限调整指望，访问权限调整指令指示新增或删减用户授权访问的分组资源。

调整模块1030，用于根据用户的访问权限调整指令，将授予用户的标签信息关联于新增的分组资源，或者从关联的分组资源解除删减的分组资源与授予用户的标签信息之间的关联关系。

可选的，本公开还提供一种控制服务器，该控制服务器可以用于图1所示实施环境中，执行图3、图4、图5、图6和图7任一所示的资源访问控制方法的全部或者部分步骤。所述装置包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为执行：

接收分组资源访问指令，所述分组资源访问指令指示用户请求访问的分组资源；

从所述分组资源关联的标签信息得到授予所述用户的标签信息；

根据授予所述用户的标签信息得到所述标签信息关联的访问权限；

将所述访问权限与所述分组资源的资源权限进行匹配，根据所述匹配的结果允许或拒绝所述用户请求的分组资源访问。

该实施例中的装置的处理器执行操作的具体方式已经在有关该资源访问控制方法的实施例中执行了详细描述，此处将不做详细阐述说明。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围执行各种修改和改变。本发明的范围仅由所附的权利要求来限制。