專利名稱:一種用戶權(quán)限管理方法、裝置的制作方法
技術領域:
本發(fā)明涉及權(quán)限管理技術領域�,具體涉及一種用戶權(quán)限管理方法、裝置���。
背景技術:
目前在企業(yè)應用系統(tǒng)中���,普遍采用基于角色的訪問控制(RBAC,Role-based Access Control)模型�����,對系統(tǒng)用戶的訪問權(quán)限進行管理控制�����。如圖1所示�����。RBAC把系統(tǒng) 用戶根據(jù)其所擁有的執(zhí)行功能和安全策略分成不同的角色�,然后對每個角色分配對應的權(quán) 限,再通過對每個用戶指定不同的角色�,來實現(xiàn)對用戶的權(quán)限管理控制。在現(xiàn)有RBAC模型中�,通常把系統(tǒng)中的權(quán)限集合進行了固定的限制,即把系統(tǒng)的資 源(功能)集合以及施加于其上的權(quán)限類別集合(即操作類別集合)進行了固化綁定�,作 為系統(tǒng)的權(quán)限集合,而現(xiàn)有RBAC模型在實際應用時����,特別是在Web系統(tǒng)中�,因為Web系統(tǒng)擁 有復雜的頁面層次和表單元素���,而這些內(nèi)容在開發(fā)和維護中的變化是非常頻繁和不可預期 的��,這就導致了當系統(tǒng)管理的資源集合處于動態(tài)變化的時候����,系統(tǒng)的權(quán)限集合不能與系統(tǒng) 資源動態(tài)適應�。可以看出�����,現(xiàn)有技術條件下的RBAC模型在具體實現(xiàn)過程中��,權(quán)限集合不具備與系 統(tǒng)的資源集合動態(tài)適應的能力��,缺少靈活性����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術問題是提供一種用戶權(quán)限管理方法、裝置����。從而使RBAC模 型中的權(quán)限集合具備與系統(tǒng)資源動態(tài)適應能力�。為解決上述技術問題�����,本發(fā)明提供方案如下本發(fā)明實施例提供了一種用戶權(quán)限管理方法���,包括在系統(tǒng)資源發(fā)生變化時,更新擴展后的基于角色的訪問控制RBAC模型中�����,獨立于 權(quán)限類別集合的資源集合中的資源����,并利用更新后的資源集合更新權(quán)限集合;確定用戶訪問更新后的所述權(quán)限集合的訪問權(quán)限��;基于確定的所述用戶的訪問權(quán)限����,對所述用戶發(fā)送的訪問請求進行權(quán)限管理控 制。優(yōu)選的�,所述方法中���,所述在系統(tǒng)資源發(fā)生變化時,更新擴展后的基于角色的訪問 控制RBAC模型中��,獨立于權(quán)限類別集合的資源集合中的資源�,并利用更新后的資源集合更 新權(quán)限集合的過程中,包括增加系統(tǒng)資源流程和刪減系統(tǒng)資源流程��,其中���,所述增加系統(tǒng)資 源流程包括將增加的系統(tǒng)資源添加至資源集合中����,更新所述資源集合中的資源�;根據(jù)所述增加的系統(tǒng)資源對應的操作權(quán)限類別編碼,將權(quán)限類別集合中對應的操 作權(quán)限類別加載至所述增加的系統(tǒng)資源�;將所述更新后的資源集合與權(quán)限類別集合組合,構(gòu)成更新后的權(quán)限集合����;所述刪減系統(tǒng)資源流程包括
4
將減少的系統(tǒng)資源從資源集合中刪除,更新所述資源集合中的資源���;將所述更新后的資源集合與權(quán)限類別集合組合���,構(gòu)成更新后的權(quán)限集合��。優(yōu)選的�,所述方法中�����,所述確定用戶訪問更新后的所述權(quán)限集合的訪問權(quán)限包 括通過會話進程與用戶交互�����,確定用戶身份���;根據(jù)確定的所述用戶身份與所述用戶所屬角色之間的對應關系,確定所述用戶所 屬角色���;根據(jù)確定的所述用戶所屬角色與所述權(quán)限集合之間的對應關系����,確定所述用戶所 屬角色對應的訪問權(quán)限��。優(yōu)選的����,所述方法中��,若根據(jù)確定的所述用戶所屬角色與所述權(quán)限集合之間的對 應關系�����,確定所述用戶所屬角色不具有訪問所述權(quán)限集合的訪問權(quán)限����,則所述方法還包 括將用戶所屬角色不具有訪問所述權(quán)限集合的訪問權(quán)限的確定結(jié)果反饋至用戶����。優(yōu)選的,所述方法中����,所述確定用戶訪問更新后的所述權(quán)限集合的訪問權(quán)限包 括根據(jù)接收的所述用戶發(fā)送的特別授權(quán)請求,為所述用戶授予不基于用戶所屬角色 訪問所述權(quán)限集合的訪問權(quán)限�����。本發(fā)明實施例還提供了一種用戶權(quán)限管理裝置����,包括更新模塊�,用于在系統(tǒng)資源發(fā)生變化時���,更新擴展后的基于角色的訪問控制RBAC 模型���,獨立于權(quán)限類別集合的資源集合中的資源,并利用更新后的資源集合更新權(quán)限集 合�����;確定模塊��,用于確定用戶訪問所述更新模塊更新后的權(quán)限集合的訪問權(quán)限�;權(quán)限管理控制模塊,用于基于所述確定模塊確定的所述用戶的訪問權(quán)限���,對所述 用戶發(fā)送的訪問請求進行權(quán)限管理控制。優(yōu)選的�����,所述更新模塊包括加載單元��,用于在系統(tǒng)資源增加時�,根據(jù)增加的系統(tǒng)資源對應的權(quán)限類別集合編 碼�����,將權(quán)限類別集合中對應的操作權(quán)限類別加載至所述增加的系統(tǒng)資源�����。優(yōu)選的��,所述確定模塊包括身份確定單元�,用于通過會話進程與用戶交互�����,確定用戶身份��;角色確定單元���,用于根據(jù)所述身份確定單元確定的用戶身份與所述用戶所屬角色 之間的對應關系���,確定所述用戶所屬角色;訪問權(quán)限確定單元���,用于根據(jù)所述角色確定單元確定的用戶所屬角色與所述權(quán)限 集合之間的對應關系�����,確定所述用戶所屬角色對應的訪問權(quán)限�。優(yōu)選的,所述確定模塊還包括提示單元����,用于在所述訪問權(quán)限確定單元確定所述用戶所屬角色不具有訪問所述 權(quán)限集合的訪問權(quán)限時,將訪問權(quán)限確定單元的確定結(jié)果反饋至用戶�。優(yōu)選的,所述確定模塊還包括特別授權(quán)單元����,用于根據(jù)接收的所述用戶發(fā)送的特別授權(quán)請求,為所述用戶授予 不基于用戶所屬角色訪問所述權(quán)限集合的訪問權(quán)限�����。
從以上所述可以看出�,本發(fā)明提供的用戶權(quán)限管理方法及裝置,通過在系統(tǒng)資源 發(fā)生變化時����,更新擴展后的基于角色的訪問控制RBAC模型中,獨立于權(quán)限類別集合的資源 集合中的資源����,并利用更新后的資源集合更新權(quán)限集合;確定用戶訪問更新后的所述權(quán)限 集合的訪問權(quán)限�;基于確定的所述用戶的訪問權(quán)限,對所述用戶發(fā)送的訪問請求進行權(quán)限 管理控制���。從而使系統(tǒng)的權(quán)限集合可以適應系統(tǒng)資源集合的動態(tài)調(diào)整����,而且還可以使系統(tǒng) 為用戶授權(quán)更加靈活����。
圖1為現(xiàn)有技術中RBAC模型結(jié)構(gòu)示意圖;圖2為本發(fā)明實施例提供的RBAC模型結(jié)構(gòu)示意圖��;圖3為本發(fā)明實施例提供的RBAC模型所涉及的封裝格式示意圖�;圖4為本發(fā)明實施例提供的用戶權(quán)限管理方法具體實現(xiàn)流程圖一;圖5為本發(fā)明實施例提供的用戶權(quán)限管理方法生成用戶權(quán)限流程圖�����;圖6為本發(fā)明實施例提供的用戶權(quán)限管理方法具體實現(xiàn)流程圖二 �����;圖7為本發(fā)明實施例提供的用戶權(quán)限管理裝置具體實現(xiàn)結(jié)構(gòu)示意圖;圖8為本發(fā)明實施例提供的用戶權(quán)限管理裝置中確定模塊具體實現(xiàn)結(jié)構(gòu)示意圖����。
具體實施例方式本發(fā)明中提供了一種系統(tǒng)資源可動態(tài)管理的擴展RBAC模型,具體可如附圖2所
7J\ ο針對現(xiàn)有的RBAC模型通常是把系統(tǒng)中的權(quán)限集合進行了固定的限制����,即把系統(tǒng) 的資源(功能)集合以及施加于其上的權(quán)限類別集合(即操作類別集合)進行了綁定,作 為系統(tǒng)的權(quán)限集合����,從而導致現(xiàn)有RBAC模型不具有靈活性的問題,本發(fā)明實施例提供了如 附圖2所示的擴展RBAC模型�,該RMAC模型中,將權(quán)限集合分解成圖2右側(cè)虛線方框內(nèi)的兩 個獨立設置部分權(quán)限類別集合與資源集合���,使得權(quán)限集合由這兩部分組合構(gòu)成��。這樣�,當 系統(tǒng)的資源集合隨著用戶需求變化而動態(tài)調(diào)整時�����,權(quán)限集合也會相應的動態(tài)調(diào)整�����。具體的�����,當系統(tǒng)新增一個資源F (F可假設是個頁面等)時����,則系統(tǒng)可以將資源F添 加至資源集合中,更新獨立設置的資源集合中的資源�����。并且�����,系統(tǒng)還可以將獨立設置的權(quán)限 類別集合中��,與資源F對應的操作權(quán)限類別�,如增加、刪除����、修改等操作加載至資源F上�,即 增加對資源F的增加����、刪除、修改等操作權(quán)限�。由于資源集合是獨立于權(quán)限類別集合設置 的,因此���,資源集合的變動�,并不會影響權(quán)限類別集合�����,這樣�,由更新后的資源集合與權(quán)限類 別集合組合,構(gòu)成更新后的系統(tǒng)權(quán)限集合����,即利用更新后的資源集合,更新權(quán)限集合�����。由于權(quán)限類別集合中的操作權(quán)限類別存在唯一的編碼,所以可根據(jù)資源的前綴編 碼來判斷新增加的資源需要加載哪些權(quán)限類別集合中的操作權(quán)限類別��。比如增力口�、刪除���、修 改的操作分別對應1����、2�����、3的編碼����,而系統(tǒng)新增加的資源的前綴編碼為1、2��、3��,則系統(tǒng)為新增 加的資源加載增加�����、刪除、修改操作權(quán)限類別����。而在系統(tǒng)資源減少時,系統(tǒng)將減少的資源從資源集合中刪除����,更新獨立設置的資 源集合中的資源,然后由更新后的資源集合與權(quán)限類別集合組合���,構(gòu)成更新后的系統(tǒng)權(quán)限
皇A
朱口 ο
6
通過上述描述可以看出��,通過將資源集合以及權(quán)限類別集合各自獨立設置��,并且 有資源集合與權(quán)限類別集合組合�����,構(gòu)成權(quán)限集合�����,從而可以實現(xiàn)系統(tǒng)權(quán)限集合能夠適應系 統(tǒng)資源集合動態(tài)變化的要求�����。因為資源集合是獨立設置的�,所以其動態(tài)調(diào)整也不會影響系 統(tǒng)的結(jié)構(gòu)。下面對本發(fā)明實施例提供的擴展RBAC模型(如附圖2所示)的具體組成進行詳 細的說明資源集合Sf :{F1��,F(xiàn)2�,…,F(xiàn)i· ·}�����,具體可以定義為系統(tǒng)中資源或功能的集合���,在 Web系統(tǒng)中一般以頁面和功能模塊的形式存在。資源集合中的元素Fi具體可以包括Fcode�����、 Ftitle.Flevel,Furl,Felse等參數(shù)�,其中,F(xiàn)code是系統(tǒng)資源的編碼��,F(xiàn)title是系統(tǒng)資源的 標題���,F(xiàn)level是系統(tǒng)資源的級別(在用菜單或樹型結(jié)構(gòu)組織資源的系統(tǒng)中非常重要)�����,F(xiàn)url 是系統(tǒng)資源的訪問路徑�,F(xiàn)else是系統(tǒng)資源的其它描述信息。權(quán)限類別集合Spt :{Ptl����,Pt2,…����,Pti…},具體可以定義為系統(tǒng)中操作權(quán)限類別 的集合�����,例如新增�、修改、刪除�、審核等。權(quán)限類別集合中的元素Pti具體可以包括Ptcode�����、 Pttype、Ptdesc等參數(shù)����,其中,PTcode是操作權(quán)限類別編碼�,PTtype是操作權(quán)限類別分類 (在不同的功能流程中需要不同的權(quán)限分類方法),PTdesc是操作權(quán)限類別的描述信息�。權(quán)限集合Sp :{Spt X Sf},具體可以定義為系統(tǒng)的權(quán)限集合����,它規(guī)定了系統(tǒng)中每個 系統(tǒng)資源的所有可用操作權(quán)限類別�。本發(fā)明中�,權(quán)限集合是通過資源集合Sf與權(quán)限類別集 合Spt集合關聯(lián)組合形成的����,它會隨著系統(tǒng)資源的改變而動態(tài)變化,從而避免了現(xiàn)有RBAC 模型權(quán)限集合中固定資源可操作權(quán)限類別的做法����。權(quán)限集合中的元素Pi可表示為一個二 元組P; (Fcode��,PTcode)��,其中Fcode是資源集合中的資源編碼,PTcode是權(quán)限類別集合中 的權(quán)限類別編碼���。角色集合Sr :{R1,R2����,…,Ri�,…}����,具體可以定義為系統(tǒng)角色的集合�,角色集合 中的元素Ri具體可以包括Rcode���、Rname����、Rtype等參數(shù)�����,其中,Rcode是角色編碼���,Rname是 角色名稱,Rtype是角色類型(在系統(tǒng)通?����?梢愿鶕?jù)職能部門、職位層次進行角色類型的區(qū) 分)��。用戶集合Su:{Ul���,U2��,…��,Ui�,…}�����,具體可以定義為系統(tǒng)用戶的集合���,用戶集合中 的元素Ui具體可以包括Ucode���、Uname���、Uelse等參數(shù),其中����,Ucode是用戶編碼,Uname是用 戶名稱����,Uelse代表用戶的其他屬性信息,包括密碼��、聯(lián)系方式等�。會話集合Ss: {Si,S2�����,…��,Si���,…},具體可以定義為系統(tǒng)當前的會話集合�,其中每 個會話都存有登錄用戶的相應信息和會話的上下文環(huán)境�。本發(fā)明實施例提供的擴展RBAC模型中��,上述集合可以采用二維關系的存儲模式���, 具體可通過如附圖3所示的以下步驟����,按附圖2中從右到左的順序推導出用戶權(quán)限的生成 過程1)生成系統(tǒng)權(quán)限集合����。首先建立系統(tǒng)的資源集合Sf,即明確系統(tǒng)中的哪些頁面(甚至頁面元素)和模塊 作為系統(tǒng)資源參與權(quán)限控制��,為其指定唯一的編碼Fcode和其他必要屬性��。然后利用資源 集合Sf與權(quán)限類別集合Spt進行關聯(lián)�����,得到一個對照表(Sf-Spt)���,即系統(tǒng)權(quán)限集合Sp�����。2)為角色分配權(quán)限�。首先根據(jù)系統(tǒng)要求,按照部門或級別等劃分原則��,確定系統(tǒng)的角色集合Sr����。然后針對角色集合Sr中的每個元素Ri,在權(quán)限集合Sp中為其尋找應有的權(quán)限子集P’(P1,P2��,…… Pn)���,建立角色集合與權(quán)限集合之間的對應關系��,形成角色一權(quán)限對照表(Sr-Sp)�。3)為用戶指定角色�。新建用戶,加入系統(tǒng)用戶集合Su中���,然后在角色集合Sr中根據(jù)需要為其尋找應有 的角色子集R’ (R1, R2,……Rn)�����,建立用戶與角色集合之間的對應關系��,形成用戶一角色對 照表(Su-Sr)����。4)為用戶指定會話進程����。由系統(tǒng)為用戶指定其對應的會話進程Ss,建立會話一用戶對照表(Ss-Su)�,其中 每個會話都存有登錄用戶的相應信息和會話的上下文環(huán)境。這樣�,系統(tǒng)的權(quán)限關聯(lián)機制已經(jīng)形成。當某用戶登錄系統(tǒng)后���,系統(tǒng)會建立一個會話 進程�,通過查詢會話一用戶對照表(Ss-Su)���,得到該用戶身份�����;再通過查詢用戶一角色對照 表(Su-Sr)�,得到用戶的角色集合;再通過查詢角色一權(quán)限對照表(Sr-Sp)����,最終可以得到 用戶在系統(tǒng)中的權(quán)限集合,即明確了用戶可以對哪些資源集合進行那些類別的訪問操作��。 從而實現(xiàn)對用戶訪問權(quán)限的管理控制�。在本發(fā)明實施例提供的擴展RBAC模型一個具體實施例中,還可以為用戶進行特 別授權(quán)�,使用戶可以在基于事先分配的角色,無法訪問某個權(quán)限集合時�,可以通過特別授 權(quán),具有訪問該權(quán)限集合的訪問權(quán)限����。這是因為現(xiàn)有RBAC模型限定了系統(tǒng)的所有用戶的權(quán) 限都依附于某個(或某些)角色的權(quán)限(或權(quán)限集合),這種限定雖然解決了用戶授權(quán)的簡 單性�����,但有時候也存在明顯的不足����,例如,當某用戶由于業(yè)務要求需暫時擁有某項權(quán)限時��, 而此時用戶現(xiàn)有角色均不合適,那么����,如果給該用戶所屬角色賦予此權(quán)限,則必然同樣會給 賦予該角色的所有用戶增加此權(quán)限�����,這顯然不合適���;如果再建一個合適的新角色,然后賦予 該用戶�,但因為用戶的該項權(quán)限只是暫時的,所以權(quán)限撤銷時又要刪除相應角色�����,顯得比較 繁瑣�。而在本發(fā)明實施例提供的擴展RBAC模型一個具體實施例中,為了解決上述問題�����, 增加了為用戶特別授權(quán)的過程��,使得系統(tǒng)對用戶授權(quán)更加靈活,以解決有些用戶對暫時權(quán) 限的方便授予和撤銷�。在具體應用是,若用戶無法根據(jù)事先分配的角色訪問需要的權(quán)限集 合�,則用戶可以向系統(tǒng)發(fā)出特別授權(quán)請求,由系統(tǒng)(具體可以為管理員)直接為用戶分配訪 問特定權(quán)限集合的特別訪問權(quán)限�,從而使用戶具有不基于用戶所屬角色的特殊訪問權(quán)限。 并在用戶完成訪問后���,直接撤銷用戶的權(quán)限���。這種方法解決了現(xiàn)有技術中,臨時權(quán)限通過 RBAC模型中的角色授予存在的復雜性管理問題�����,提高了用戶授權(quán)的靈活性和可維護性���。在本發(fā)明實施例提供的擴展RBAC模型一個具體實施例中��,除在用戶瀏覽器界面 進行用戶權(quán)限驗證之外�,還可以在系統(tǒng)后臺程序代碼中�,增加用戶訪問權(quán)限的驗證過程,從 而實現(xiàn)瀏覽器和服務器端雙重驗證�,保證了權(quán)限控制的安全性和正確性���。本發(fā)明實施例對 于如何在系統(tǒng)后臺程序代碼中增加用戶訪問權(quán)驗證過程的表現(xiàn)形式并不限制。在本發(fā)明實施例提供的擴展RBAC模型一個具體實施例中��,還可以實現(xiàn)頁面的局 部更新��,從而減少了系統(tǒng)響應時間���,避免了占用過多帶寬的情況��。這是因為在現(xiàn)有RBAC模 型中,傳統(tǒng)的權(quán)限頁面應用允許用戶填寫表單(form)���,當提交表單時就向權(quán)限服務器發(fā)送 一個請求��。服務器接收并處理傳來的表單�����,然后返回一個新的網(wǎng)頁�。由于在前后兩個頁面中 的大部分超文本標識語言(HTML :Hyper Text Markup Language)代碼往往是相同的�,而用
8戶需要操作的只是頁面中的一個局部,而頁面其他部分是無需改動的�����,因此,現(xiàn)有RBAC模 型在實現(xiàn)與用戶交互時�,存在浪費帶寬的情況。而且����,由于每次應用的交互都需要向服務器 發(fā)送請求,應用的響應時間就依賴于服務器的響應時間��。這導致了用戶界面的響應比本地 應用慢得多�。下面對本發(fā)明擴展RBAC模型一個具體實施例,基于異步JavaScript和可擴展標 記語言(XML Extensible Markup Language)技術���,即AJAX技術實現(xiàn)局部頁面更新的具體 實現(xiàn)過程為例進行說明���,具體可以包括1)客戶端接收用戶訪問請求。首先用戶在客戶端將必要信息(如操作員名稱����、密碼等)在WEB頁面上填寫好,然 后點擊提交����,向系統(tǒng)發(fā)送訪問請求����。為了便于理解����,下述描述以本實施例中所涉及的擴展RBAC模型采用JAVA Spring 框架進行構(gòu)建為例進行說明。那么��,上述訪問請求即可以具體為XML超文本傳輸協(xié)議 (Http :HyperText Transfer Protocol)請求(Request)對象�。2)系統(tǒng)對用戶的訪問請求進行重新封裝后發(fā)送至系統(tǒng)后臺。本發(fā)明中為了調(diào)用后臺程序更加便捷���,可以對XMLHttpRequest對象進行封裝����, 具體的封裝格式可如附圖3所示����,其中����,接口名可為callUrl(url,inparas���,outparas�����, isSyn)�,即通過統(tǒng)一資源定位符(URL,Uniform Resource Locator)方式調(diào)用服務����。參數(shù) Url是后臺類路徑和后臺方法的結(jié)合,其中后臺類路徑與JAVA后臺管理程序spring容器 的javabean相對應����。參數(shù)inparas是輸入?yún)?shù),具體可以為基本數(shù)據(jù)類型和對象��。參數(shù) outparas是輸出參數(shù)�,其同樣可以為基本數(shù)據(jù)類型和對象。參數(shù)isSyn是指是否異步�,當需 要同步時,將此配置為true���,否則為false���。本發(fā)明通過上述對XMLHttpRequest對象的封裝����,將用戶發(fā)送的訪問請求發(fā)送給 系統(tǒng)后臺���。3)系統(tǒng)后臺根據(jù)用戶的訪問請求進行數(shù)據(jù)處理��。在系統(tǒng)后臺���,具體可由Web容器接收封裝后的訪問請求,并將訪問請求轉(zhuǎn)發(fā)至業(yè)務層����。業(yè)務層在解析了訪問請求所包含的參數(shù)之后,調(diào)用持久層相關的數(shù)據(jù)庫處理邏 輯�����,把結(jié)果序列化成XML��,并把XML寫入HttpServletResponse (HttpServlet響應)���,將 HttpServletResponse返回至系統(tǒng)前臺。4)根據(jù)系統(tǒng)后臺返回的數(shù)據(jù)��,局部更新用戶頁面。當系統(tǒng)前臺接收到系統(tǒng)后臺返回的XML文檔后�,根據(jù)XML文檔所攜帶的數(shù)據(jù),用 JavaScript操縱頁面的HTML文檔對象模型(DOMDocument Object Model)���,把客戶端用戶 界面的局部內(nèi)容進行更新����。通過上述操作���,本發(fā)明實施例提供的擴展RBAC模型即可以實現(xiàn)局部頁面更新操 作��。從而避免了系統(tǒng)與用戶交互過程中����,占用過多帶寬的情況��。而且交互過程中�,系統(tǒng)處理 的數(shù)據(jù)量小,因此加快了系統(tǒng)反映時間���,也為用戶提供更友好的界面��。通過上述描述可以看出��,本發(fā)明實施例提供的擴展RBAC模型���,可以實現(xiàn)系統(tǒng)權(quán)限 集合動態(tài)適應系統(tǒng)資源的調(diào)整變化��,使擴展RBAC模型具有很強的靈活性����。而且還可以實現(xiàn) 用戶的特別授權(quán)���,方便了用戶使用�����。另外�����,本發(fā)明實施例提供的擴展RBAC模型還可以實現(xiàn)瀏覽器和服務器端雙重驗證���,保證了權(quán)限控制的安全性和正確性。本發(fā)明實施例提供的擴 展RBAC模型還可以實現(xiàn)局部頁面更新操作���。從而避免了系統(tǒng)與用戶交互過程中�����,占用過多 帶寬的情況��。而且交互過程中����,系統(tǒng)處理的數(shù)據(jù)量小��,因此加快了系統(tǒng)反映時間����,也為用戶 提供更友好的界面。由于本發(fā)明實施例提供的擴展RBAC模型并沒有對RBAC模型進行架構(gòu) 上的改變���,因此具有很強的通用性���。基于本發(fā)明實施例提供的擴展RBAC��,本發(fā)明實施例提供一種用戶權(quán)限管理方法���, 如附圖4所示�����,包括步驟41���,系統(tǒng)在系統(tǒng)資源發(fā)生變化時�,更新獨立于權(quán)限類別集合的資源集合中的 資源�,并利用更新后的資源集合更新權(quán)限集合;步驟42���,系統(tǒng)確定用戶訪問更新后的所述權(quán)限集合的訪問權(quán)限��;步驟43��,系統(tǒng)基于確定的所述用戶的訪問權(quán)限����,對用戶發(fā)送的訪問請求進行權(quán)限
管理控制���。下面結(jié)合附圖����,對本發(fā)明提供的用戶權(quán)限管理方法的一個具體實施例的實現(xiàn)過程 進行詳細的描述。需要說明的是�����,本發(fā)明實施例提供的用戶權(quán)限管理方法在實現(xiàn)之初��,需要對基本 元素進行定義��。定義配置部分具體可以包括1)對象定義對象是指系統(tǒng)中各種功能模塊�����、界面元素(包括菜單���、按鈕等各種界 面上能控制的控件)等,它們是用戶能訪問的各種對象���。系統(tǒng)也只能控制這些事先已定義 好的對象�,因此�����,對象定義是整個系統(tǒng)的核心步驟直接影響后面的各個安全控制環(huán)節(jié)�����。對象 定義的包括如下幾步1、功能模塊定義系統(tǒng)中除部分公用的界面�����、公用功能模塊外�����,其它均為業(yè)務功能 模塊��,是用戶完成各自不同的業(yè)務功能的主要操作途徑�����。有定義的功能模塊對象就有可能 組織權(quán)限根據(jù)用戶需要完成的工作配置用戶業(yè)務功能菜單���,這也符合“最少特權(quán)策略”��。2�、界面元素控制除了功能菜單要受到控制外��,如要控制功能模塊的界面元素其 功能模塊界面元素也需定義��,大部分界面元素均包含有相關的業(yè)務功能操作,所以對相應 操作的界面元素是進行定義是有 要的����。2)權(quán)限定義在定義好對象的前提下,定義對象在不同情況的訪問類型�,希望對 象在不同情況下具有不同的訪問類型,這就需要定義對象的權(quán)限���。定義權(quán)限就是定義對象 訪問控制和數(shù)據(jù)訪問控制。為了表述方便我們對權(quán)限用一個三元組符號來表示P (O�,t,P)�, 其中O表示訪問對象;t表示訪問類型��;P表示謂詞�����。表示在謂詞ρ為真時對于對象O可進 行t類型的訪問����。權(quán)限定義系統(tǒng)安全管理基礎步驟之一,只有給各種對象定義好訪問的權(quán) 限���,才能給角色配置權(quán)限���,基于角色管理才能成為可能���。3)角色定義基于角色的訪問控制方法的思想就是把對用戶的授權(quán)分成兩部份, 用角色來充當用戶行使權(quán)限的中介���。這樣�,用戶與角色之間以及角色與權(quán)限之間就形成了 兩個多對多的關系���。系統(tǒng)提供角色定義工具允許用戶根據(jù)自己的需要(職權(quán)�、職位以及分 擔的權(quán)利和責任)定義相應的角色�。角色之間有相應繼承的關系,當一個角色rl繼承另一 個角色r2時����,rl就自動擁有了 r2的訪問權(quán)限(表示rl-> r2)。角色繼承關系自然的反 映了一個組織內(nèi)部權(quán)利和責任的關系��,為方便權(quán)限管理提供了幫助�。
4)用戶定義系統(tǒng)的最終使用者是用戶,因此必須建立用戶的鑒別機構(gòu),登記用 戶的身份信息�。在系統(tǒng)中定義可登錄的用戶操作系統(tǒng)是系統(tǒng)安全管理所必須步驟,也是人 與系統(tǒng)的接口��。另外�����,在本發(fā)明實施例實施之前����,還可以存在用戶權(quán)限的生成過程,具體可如附圖 5所示�,包括步驟51�,生成系統(tǒng)權(quán)限集合。首先建立系統(tǒng)的資源集合Sf����,即明確系統(tǒng)中的哪些頁面(甚至頁面元素)和模塊 作為系統(tǒng)資源參與權(quán)限控制,為其指定唯一的編碼Fcode和其他必要屬性�����。然后利用資源 集合Sf與權(quán)限類別集合Spt進行關聯(lián)�����,得到一個對照表(Sf-Spt),即系統(tǒng)權(quán)限集合Sp���。步驟52���,為角色分配權(quán)限。首先根據(jù)系統(tǒng)要求����,按照部門或級別等劃分原則,確定系統(tǒng)的角色集合Sr���。然后針 對角色集合Sr中的每個元素Ri��,在權(quán)限集合Sp中為其尋找應有的權(quán)限子集P’(P1,P2�,…… Pn)���,建立角色集合與權(quán)限集合之間的對應關系��,形成角色一權(quán)限對照表(Sr-Sp)�����。步驟53���,為用戶指定角色�。新建用戶�,加入系統(tǒng)用戶集合Su中,然后在角色集合Sr中根據(jù)需要為其尋找應有 的角色子集R’ (R1, R2,……Rn)�����,建立用戶與角色集合之間的對應關系�,形成用戶一角色對 照表(Su-Sr)。步驟54����,為用戶指定會話進程。由系統(tǒng)為用戶指定其對應的會話進程Ss���,建立會話一用戶對照表(Ss-Su),其中 每個會話都存有登錄用戶的相應信息和會話的上下文環(huán)境�����。如附圖6所示�,本發(fā)明實施例的實現(xiàn)過程具體可以包括步驟61,在系統(tǒng)資源發(fā)生變化時,更新權(quán)限集合�。本發(fā)明實施例中,由于權(quán)限類別集合與資源集合各自獨立設置���,并且兩者結(jié)合構(gòu) 成系統(tǒng)的權(quán)限集合��,因此�,當系統(tǒng)新增資源時����,則系統(tǒng)可以將新增加的資源添加至資源集合 中,更新獨立設置的資源集合中的資源�。并且,系統(tǒng)還可以將獨立設置的權(quán)限類別集合中�����, 與新增加的資源對應的操作權(quán)限類別�����,如增加����、刪除����、修改等操作加載至該資源上�,即增加 對該資源的增加、刪除�、修改等操作權(quán)限。由于資源集合是獨立于權(quán)限類別集合設置的����,因 此,資源集合的變動����,并不會影響權(quán)限類別集合,這樣�,由更新后的資源集合與權(quán)限類別集 合組合,構(gòu)成更新后的系統(tǒng)權(quán)限集合�,即利用更新后的資源集合,更新權(quán)限集合�。由于權(quán)限類別集合中的操作權(quán)限類別存在唯一的編碼,所以可根據(jù)資源的前綴編 碼來判斷新增加的資源需要加載哪些權(quán)限類別集合中的操作權(quán)限類別���。比如權(quán)限類比集合 中的增加、刪除��、修改的操作權(quán)限類別分別對應1、2���、3的編碼����,而系統(tǒng)新增加的資源的前綴 編碼為1���、2����、3����,則系統(tǒng)為新增加的資源加載增加、刪除�、修改操作權(quán)限類別。而在系統(tǒng)資源減少時�����,系統(tǒng)將減少的資源從資源集合中刪除���,更新獨立設置的資 源集合中的資源���,然后由更新后的資源集合與權(quán)限類別集合組合�,構(gòu)成更新后的系統(tǒng)權(quán)限
皇A
朱口 ο在本發(fā)明的另一個具體實施例中���,如果系統(tǒng)資源并沒有發(fā)生變化���,則無需執(zhí)行步 驟61。步驟62�,確認用戶身份。
11
具體的���,系統(tǒng)可以通過會話進程與用戶交互����,即可以根據(jù)已經(jīng)建立的會話一用戶 對照表(Ss-Su)���,確定用戶身份���。步驟63,確認用戶角色�。具體的,系統(tǒng)可以根據(jù)已經(jīng)確定的用戶身份����,并根據(jù)事先建立的該用戶身份與用 戶所屬角色之間的對應關系,即可以通過查找用戶一角色對照表(Su-Sr)�����,確定該用戶身份 對應的用戶所屬角色����。步驟64,確認用戶訪問權(quán)限����。具體的,系統(tǒng)可以根據(jù)已經(jīng)確定的用戶所屬角色����,并根據(jù)事先建立的該用戶所屬 角色身份與權(quán)限集合(可以為更新后的權(quán)限集合,也可以為沒有發(fā)生變化的權(quán)限集合)之 間的對應關系����,即可以通過查找角色一權(quán)限對照表(Sr-Sp),確定該用戶所屬角色訪問權(quán)限 集合的訪問權(quán)限����。如果該用戶所屬角色具有訪問權(quán)限集合的訪問權(quán)限�,則后續(xù)執(zhí)行步驟68���,如果改 用戶所屬角色不具有訪問權(quán)限集合的訪問權(quán)限�,則后續(xù)可以執(zhí)行步驟65���。步驟65���,提示用戶。具體的���,系統(tǒng)可以將用戶所屬角色不具有訪問所述權(quán)限集合的訪問權(quán)限的確定結(jié) 果反饋至用戶�。步驟66����,用戶發(fā)送特別授權(quán)請求。具體的�,在系統(tǒng)提示用戶其所屬角色不具有訪問權(quán)限集合的訪問權(quán)限情況下,如 果用戶需要訪問其所屬角色不具有訪問權(quán)限的權(quán)限集合���,則用戶向系統(tǒng)發(fā)送特別授權(quán)請 求�,希望系統(tǒng)授予其訪問該權(quán)限集合的特別訪問權(quán)限。在本發(fā)明的另一個具體實施例中��,如果用戶事先已經(jīng)知道其自身所屬角色不具有 訪問某個預定權(quán)限集合時��,則用戶可以無需系統(tǒng)提示�,自身主動向系統(tǒng)發(fā)送特別授權(quán)請求�����。步驟67��,系統(tǒng)為用戶特別授權(quán)�。系統(tǒng)在接收到用戶發(fā)送的特別授權(quán)請求時,可以為該用戶授予不基于用戶所屬角 色訪問權(quán)限集合的特別訪問權(quán)限�����。即用戶可以不基于用戶所屬角色��,向權(quán)限集合發(fā)送訪問 請求�����。另外��,本發(fā)明實施例中也可以在用戶完成訪問操作或者根據(jù)需要,撤銷為用戶授 予的特別訪問權(quán)限����。步驟68,系統(tǒng)基于確定的用戶訪問權(quán)限�,對用戶發(fā)送的訪問請求進行權(quán)限管理控 制。具體的�����,系統(tǒng)可以基于步驟64確定的用戶訪問權(quán)限���,也可以基于步驟67中授權(quán)用 戶的特別訪問權(quán)限�����,對用戶發(fā)送的訪問請求進行權(quán)限管理控制����?;诒景l(fā)明實施例提供的擴展RBAC,本發(fā)明實施例還提供一種用戶權(quán)限管理裝置 70�,如附圖7所示,包括更新模塊71����,用于在系統(tǒng)資源發(fā)生變化時����,更新獨立于權(quán)限類別集合的資源集合 中的資源����,并利用更新后的資源集合更新權(quán)限集合;確定模塊72�����,用于確定用戶訪問更新模塊71更新后的權(quán)限集合的訪問權(quán)限��;權(quán)限管理控制模塊73�,用于基于確定模塊72確定的用戶訪問權(quán)限���,對用戶發(fā)送的 訪問請求進行權(quán)限管理控制����。
本發(fā)明實施例中�����,由于權(quán)限類別集合與資源集合各自獨立設置,并且兩者結(jié)合構(gòu) 成系統(tǒng)的權(quán)限集合���,因此��,當系統(tǒng)新增資源時��,則更新模塊71可以將新增加的資源添加至 資源集合中���,更新獨立設置的資源集合中的資源。并且�����,更新模塊71還可以將獨立設置的 權(quán)限類別集合中�����,與新增加的資源對應的操作權(quán)限類別����,如增加、刪除��、修改等操作加載至 該資源上����,即增加對該資源的增加�����、刪除��、修改等操作權(quán)限��。由于資源集合是獨立于權(quán)限類 別集合設置的���,因此,資源集合的變動���,并不會影響權(quán)限類別集合,這樣�����,由更新后的資源集 合與權(quán)限類別集合組合��,構(gòu)成更新后的系統(tǒng)權(quán)限集合���,即利用更新后的資源集合�����,更新權(quán)限
皇A
朱口 ο由于權(quán)限類別集合中的操作權(quán)限類別存在唯一的編碼���,所以更新模塊71可根據(jù) 資源的前綴編碼來判斷新增加的資源需要加載哪些權(quán)限類別集合中的操作權(quán)限類別���。比 如權(quán)限類比集合中的增力卩、刪除�����、修改的操作權(quán)限類別分別對應1����、2、3的編碼�����,而新增加的 資源的前綴編碼為1�、2、3��,則更新模塊71為新增加的資源加載增加��、刪除、修改操作權(quán)限類 別����。而在系統(tǒng)資源減少時,更新模塊71將減少的資源從資源集合中刪除����,更新獨立設 置的資源集合中的資源,然后由更新后的資源集合與權(quán)限類別集合組合��,構(gòu)成更新后的系 統(tǒng)權(quán)限集合�����。在一個優(yōu)選的實施例中��,本發(fā)明實施例所涉及的更新模塊71���,還可以包括加載單元711,用于在系統(tǒng)資源增加時�����,根據(jù)增加的系統(tǒng)資源對應的權(quán)限類別集合 編碼�,將對應的權(quán)限類別集合加載至所述增加的系統(tǒng)資源����。在一個優(yōu)選的實施例中��,如附圖8所示�,本發(fā)明實施例提供的確定模塊72具體可 以包括身份確定單元721,用于通過會話進程與用戶交互����,確定用戶身份。具體的��,身份確定單元721可以通過會話進程與用戶交互����,即可以根據(jù)已經(jīng)建立 的會話一用戶對照表(Ss-Su),確定用戶身份�。需要說明的是,本發(fā)明實施例中所涉及的各種對應關系�,以及對照表均可以事先 建立。具體建立過程可如上所述���,在此不再贅述����。角色確定單元722,用于根據(jù)身份確定單元721確定的用戶身份與用戶所屬角色 之間的對應關系�����,確定所述用戶所屬角色�����。具體的�����,角色確定單元722可以根據(jù)已經(jīng)確定的用戶身份��,并根據(jù)事先建立的該 用戶身份與用戶所屬角色之間的對應關系�����,即可以通過查找用戶一角色對照表(Su-Sr)��,確 定該用戶身份對應的用戶所屬角色�。訪問權(quán)限確定單元723,用于根據(jù)角色確定單元722確定的用戶所屬角色與權(quán)限 集合之間的對應關系���,確定用戶所屬角色對應的訪問權(quán)限����。具體的��,訪問權(quán)限確定單元723可以根據(jù)已經(jīng)確定的用戶所屬角色�����,并根據(jù)事先 建立的該用戶所屬角色身份與權(quán)限集合(可以為更新模塊71更新后的權(quán)限集合�,也可以為 其他權(quán)限集合)之間的對應關系,即可以通過查找角色一權(quán)限對照表(Sr-Sp)�����,確定該用戶 所屬角色訪問權(quán)限集合的訪問權(quán)限�。
0152]在本發(fā)明實施例提供的確定模塊72另一個具體實施例中,確定模塊72還可以包 括
提示單元724�����,用于在訪問權(quán)限確定單元723確定用戶所屬角色不具有訪問權(quán)限 集合的訪問權(quán)限時�,將訪問權(quán)限確定單元723的確定結(jié)果反饋至用戶。在本發(fā)明實施例提供的確定模塊72另一個具體實施例中����,確定模塊72還可以包 括特別授權(quán)單元725����,用于根據(jù)接收的用戶發(fā)送的特別授權(quán)請求��,為用戶授予不基于 用戶所屬角色訪問權(quán)限集合的特別訪問權(quán)限�����。需要說明的是��,本發(fā)明實施例中�����,用戶發(fā)送的特別授權(quán)請求可以是在接收到提示 單元724反饋的信息情況下發(fā)送���,也可以是用戶自身主動發(fā)送�。另外��,特別授權(quán)單元725也可以在用戶完成訪問操作或者根據(jù)需要�����,撤銷為用戶 授予的特別訪問權(quán)限。在一個優(yōu)選的實施例中�,本發(fā)明實施例所涉及的權(quán)限管理控制模塊73,具體的可 以基于訪問權(quán)限確定單元723基于用戶所屬角色確定的用戶訪問權(quán)限�,也可以基于特比授 權(quán)單元725授權(quán)用戶的特別訪問權(quán)限����,對用戶發(fā)送的訪問請求進行權(quán)限管理控制。綜上所述��,本發(fā)明實施例提供的用戶權(quán)限管理方法及裝置�����,通過在系統(tǒng)資源發(fā)生 變化時��,更新擴展RBAC模型中���,獨立于權(quán)限類別集合的資源集合中的資源���,并利用更新后 的資源集合更新權(quán)限集合;確定用戶訪問更新后的所述權(quán)限集合的訪問權(quán)限����;基于確定的 所述用戶的訪問權(quán)限���,對所述用戶發(fā)送的訪問請求進行權(quán)限管理控制。從而使系統(tǒng)的權(quán)限 集合可以適應系統(tǒng)資源集合的動態(tài)調(diào)整��,而且還可以使系統(tǒng)為用戶授權(quán)更加靈活�����。以上所述僅是本發(fā)明的實施方式���,應當指出���,對于本技術領域的普通技術人員來 說,在不脫離本發(fā)明原理的前提下�����,還可以作出若干改進和潤飾�,這些改進和潤飾也應視為 本發(fā)明的保護范圍。
1權(quán)利要求
一種用戶權(quán)限管理方法��,其特征在于��,包括在系統(tǒng)資源發(fā)生變化時���,更新擴展后的基于角色的訪問控制RBAC模型中���,獨立于權(quán)限類別集合的資源集合中的資源�,并利用更新后的資源集合更新權(quán)限集合�;確定用戶訪問更新后的所述權(quán)限集合的訪問權(quán)限;基于確定的所述用戶的訪問權(quán)限����,對所述用戶發(fā)送的訪問請求進行權(quán)限管理控制���。
2.如權(quán)利請求1所述的方法���,其特征在于,所述在系統(tǒng)資源發(fā)生變化時����,更新擴展后的 基于角色的訪問控制RBAC模型中,獨立于權(quán)限類別集合的資源集合中的資源�,并利用更新 后的資源集合更新權(quán)限集合的過程中,包括增加系統(tǒng)資源流程和刪減系統(tǒng)資源流程�����,其中, 所述增加系統(tǒng)資源流程包括將增加的系統(tǒng)資源添加至資源集合中���,更新所述資源集合中的資源�; 根據(jù)所述增加的系統(tǒng)資源對應的操作權(quán)限類別編碼�����,將權(quán)限類別集合中對應的操作權(quán) 限類別加載至所述增加的系統(tǒng)資源���;將所述更新后的資源集合與權(quán)限類別集合組合�����,構(gòu)成更新后的權(quán)限集合�; 所述刪減系統(tǒng)資源流程包括將減少的系統(tǒng)資源從資源集合中刪除�����,更新所述資源集合中的資源��; 將所述更新后的資源集合與權(quán)限類別集合組合�,構(gòu)成更新后的權(quán)限集合。
3.如權(quán)利請求1所述的方法��,其特征在于,所述確定用戶訪問更新后的所述權(quán)限集合 的訪問權(quán)限包括通過會話進程與用戶交互��,確定用戶身份�����;根據(jù)確定的所述用戶身份與所述用戶所屬角色之間的對應關系��,確定所述用戶所屬角色����;根據(jù)確定的所述用戶所屬角色與所述權(quán)限集合之間的對應關系���,確定所述用戶所屬角 色對應的訪問權(quán)限�。
4.如權(quán)利要求3所述的方法����,其特征在于,若根據(jù)確定的所述用戶所屬角色與所述權(quán) 限集合之間的對應關系��,確定所述用戶所屬角色不具有訪問所述權(quán)限集合的訪問權(quán)限�,則 所述方法還包括將用戶所屬角色不具有訪問所述權(quán)限集合的訪問權(quán)限的確定結(jié)果反饋至用戶。
5.如權(quán)利要求1或4所述的方法���,其特征在于����,所述確定用戶訪問更新后的所述權(quán)限集 合的訪問權(quán)限包括根據(jù)接收的所述用戶發(fā)送的特別授權(quán)請求,為所述用戶授予不基于用戶所屬角色訪問 所述權(quán)限集合的訪問權(quán)限�����。
6.一種用戶權(quán)限管理裝置�,其特征在于,包括更新模塊�����,用于在系統(tǒng)資源發(fā)生變化時�����,更新擴展后的基于角色的訪問控制RBAC模 型�,獨立于權(quán)限類別集合的資源集合中的資源,并利用更新后的資源集合更新權(quán)限集合����; 確定模塊,用于確定用戶訪問所述更新模塊更新后的權(quán)限集合的訪問權(quán)限; 權(quán)限管理控制模塊���,用于基于所述確定模塊確定的所述用戶的訪問權(quán)限�����,對所述用戶 發(fā)送的訪問請求進行權(quán)限管理控制����。
7.如權(quán)利要求6所述的裝置���,其特征在于��,所述更新模塊包括加載單元�����,用于在系統(tǒng)資源增加時,根據(jù)增加的系統(tǒng)資源對應的權(quán)限類別集合編碼�,將權(quán)限類別集合中對應的操作權(quán)限類別加載至所述增加的系統(tǒng)資源。
8.如權(quán)利要求6所述的裝置���,其特征在于�,所述確定模塊包括 身份確定單元�����,用于通過會話進程與用戶交互,確定用戶身份�;角色確定單元,用于根據(jù)所述身份確定單元確定的用戶身份與所述用戶所屬角色之間 的對應關系����,確定所述用戶所屬角色;訪問權(quán)限確定單元�,用于根據(jù)所述角色確定單元確定的用戶所屬角色與所述權(quán)限集合 之間的對應關系,確定所述用戶所屬角色對應的訪問權(quán)限�。
9.如權(quán)利要求8所述的裝置,其特征在于���,所述確定模塊還包括提示單元�,用于在所述訪問權(quán)限確定單元確定所述用戶所屬角色不具有訪問所述權(quán)限 集合的訪問權(quán)限時�����,將訪問權(quán)限確定單元的確定結(jié)果反饋至用戶�����。
10.如權(quán)利要求6或8所述的裝置,其特征在于���,所述確定模塊還包括特別授權(quán)單元��,用于根據(jù)接收的所述用戶發(fā)送的特別授權(quán)請求��,為所述用戶授予不基 于用戶所屬角色訪問所述權(quán)限集合的訪問權(quán)限�。
全文摘要
本發(fā)明提供的用戶權(quán)限管理方法及裝置���,通過在系統(tǒng)資源發(fā)生變化時�,更新擴展后的基于角色的訪問控制RBAC模型中����,獨立于權(quán)限類別集合的資源集合中的資源,并利用更新后的資源集合更新權(quán)限集合����;確定用戶訪問更新后的所述權(quán)限集合的訪問權(quán)限;基于確定的所述用戶的訪問權(quán)限��,對所述用戶發(fā)送的訪問請求進行權(quán)限管理控制���。從而使系統(tǒng)的權(quán)限集合可以適應系統(tǒng)資源集合的動態(tài)調(diào)整,而且還可以使系統(tǒng)為用戶授權(quán)更加靈活。
文檔編號H04L12/56GK101902402SQ20101023875
公開日2010年12月1日 申請日期2010年7月21日 優(yōu)先權(quán)日2010年7月21日
發(fā)明者陳文斌 申請人:中興通訊股份有限公司