本发明专利技术公开了一种基于树形组织模型的机构应用权限管理方法及服务系统。本方法为:建立机构之间的树形组织模型,即机构树;其中,每一机构对应于所述机构树中的一节点,为机构设置应用和人员,根据人员所属机构为对应人员设置其所属机构的公共应用访问权限;对于每一人员设定一对应属性等级,对于每一应用,依据用户属性等级分别设置对应访问策略;每个机构具有唯一机构ID和从属路径,机构的从属路径表示该机构在机构树上的位置,即从机构树根节点出发到达该机构对应的节点所要经过的机构ID。本发明专利技术通过树形组织模型来管理不同层级的机构、下属人员以及应用三者之间的从属关系,简化应用权限管理操作的同时又满足访问权限差异性的需求。
【技术实现步骤摘要】
一种基于树形组织模型的机构应用权限管理方法及服务系统
本专利技术属于计算机技术、信息安全
,涉及一种基于树形组织模型的应用权限管理方法及服务系统。适用于在多层级机构结构中管理下属人员的应用访问权限的使用场景。
技术介绍
组织模型就是对企业(或机构)组织结构进行建模,是利用抽象的模型或者元素,构造出的一系列关系,用于表达企业组织机构中的实体间的层次和隶属。绝大多数的组织机构都以树形层次结构为主:企业的组织机构由一系列层次化的组织单元构成,每一个组织单元属于某一个层次,对其下一层次的组织单元具有管理职责与权限,并对上一层次的组织单元负责,从而形成企业的组织树。组织树中的每一个节点定义了对底层节点的约束和目标。该模型虽然在组织结构建模中应用广泛,但是没有涉及到授权管理和访问控制。目前,最常见的授权管理和访问控制的方法是基于角色的访问控制(RBAC)。其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的权限变更比用户的权限变更要少得多,这样将简化用户的权限管理,减少系统的开销。RBCA将权限的划分完全依赖于角色,不同的权限就要分配依赖不同的角色。当面对需要划分众多不同权限时,该方法依然会要求分配众多的角色,缺乏灵活性。另一方面,RBCA的权限是静态的,即在授权之后,权限不变。但是随着技术的发展,现在账户的认证状态可能有多种:可能是口令认证登录,也可能是数字证书认证登录。在这种情况下,用户不同的登录状态应该对应不同的权限等级,基于角色的静态权限管理不能满足其需求。而到目前为止,本领域内仍没有利用树形组织模型及用户认证状态的应用授权管理技术,此课题的研究和探索具有重大的价值和意义。
技术实现思路
本专利技术针对
技术介绍
中描述的现状,提出一种基于树形组织模型的机构应用权限管理方法及服务系统,适用于多级机构结构中管理下属人员的应用访问权限的使用场景,通过树形组织模型来管理不同层级的机构、下属人员以及应用三者之间的从属关系,简化应用权限管理操作的同时又满足访问权限差异性的需求。本专利技术所采取的技术方案是:在机构之间,使用树形组织模型表示机构上下级的从属关系,该模型被称为机构树。应用和人员都归属于机构树上的某一个节点,人员根据自己所属的机构节点,获得其所属机构的公共应用访问权限,而不需要额外的授权,免去重复设定相同权限的操作;在机构内部,应用依据用户属性等级来制定访问策略,应用的访问策略规定了要访问该应用的人员需要的满足属性等级,通过为人员设定不同的属性等级来授予人员不同的应用访问权限,实现权限设定的差异化。进一步地,所述树形组织模型为一种机构结构的表现形式,在应用系统中,每个机构都有唯一机构ID标识和从属路径。从属路径表示该机构在树形结构上的位置,包含着从机构树的根节点出发到达该机构对应的节点所要经过的机构ID,所有机构节点的从属路径的总和形成一个完备的机构树。进一步地,利用所述的机构从属路径,能够判断两个机构之间是否有上下级的从属关系,如机构A的ID出现在机构B的从属路径中,则说明机构A为机构B的上级机构,机构B从属于机构A;从属路径中,从机构A到机构B的节点个数(包括机构B),代表着机构A和机构B相差的机构层级。进一步地,所述机构树的节点表示一个机构,其下属应用和人员:应用可以分配在机构树上的任意机构,且只能属于一个机构;人员可以被分配在机构树上的任意节点,且只能属于一个机构。为机构节点分配的应用和人员,分别被称为该机构的下属应用和下属人员。人员和应用的属性中都会记录其所属机构的ID,系统根据人员所属的机构节点,获得其所属机构的公共应用访问权限。进一步地,所述的机构的公共应用访问权限,为该机构下属的全部人员所共有的应用访问权限,该权限由机构在树形组织模型中的位置(从属路径)所判定,具体的权限判定规则为:机构树上某一节点的人员,有权访问该机构的从属路径上出现的所有机构的下属应用,即下级人员有权访问上级机构。机构的公共应用访问权限代表着机构整体所拥有的应用访问权限,机构的下属人员作为机构的一分子,无需授权操作,只需要根据其所属机构的ID便会获得该权限,用户个人的属性中没有该权限的任何信息。同时,当人员的所属机构被改变时,因其所属机构的ID变化,其所拥有的机构的公共应用访问权限也会随之变化。进一步地,所述的机构人员中存在管理员角色。管理员也是机构下属人员,但是拥有更多的管理权限。一个机构的管理员不仅能管理本机构,还有权限去管理所有的下级机构。换而言之,机构树上某一节点的管理员,有权去管理所有在从属路径上包含该节点的机构,即上机管理员有权管理下级机构。进一步地,所述应用访问权限和管理员权限具有传递性,随着树形结构自上而下地传递,随着树模型构扩张而扩张。因为下级机构的从属路径中会包括上级机构的从属路径,在上机机构从属路径上出现的机构ID也会在下级机构的从属路径中出现,所以下级机构会继承上级机构的公共应用访问权限。也就是说,上级机构拥有的公共应用访问权将是下级机构公共应用访问权限的子集。当在树形模型的最下层创建机构节点时,所有上级机构的下属应用,该机构都会的有权访问。总之,上级机构的公共应用访问权限会沿着从属路径传递给所有的下级机构,随着树形组织模型的深度不断变大,越是下级机构的下属人员,其能访问的应用越多。同理,上级管理员的管理权限也会沿着机构的从属路径扩大到所有的下级机构,越是上级机构的管理员,其管理权限越大。进一步地,为了防止出现上级的管理员权限过大和下层人员的应用访问权限泛滥的问题,本权限管理方法可以设置权限标签来限制权限在树形结构上的传递。权限标签代表着一个应用的访问权或是一个管理员的管理权限如何沿着从属路径传递。默认情况下,权限会不加以限制地沿着从属路径无限地传递。通过设置权限标签,可以将权设定为在从属路径上传递有限节点数或者是不传递。进一步地,当对一个应用添加了所述的应用权限标签后,判断某机构的下属人员是否有权限访问该应用时,要先判断该应用所属的机构是否出现在该人员所属机构的从属路径上(是否为上级机构),再判断两个机构在从属路径上的位置(即权限传递的节点数)是否满足权限标签的限制。当二者都满足后,才可判定该人员有权访问该应用,即该人员所在机构的公共应用访问权限能够访问该应用。同理,判断一名管理员是否有权管理某个机构,首先要判断管理员所属的机构是否为目标机构的上级,再判断两个机构在从属路径上的位置是否满足该管理员的权限标签,当二者都满足之后,才可判定该管理人员有权去管理该机构。进一步地,为满足机构内部人员权限差异化和定制化的需求,本权限管理方法为用户设置了属性等级,基于用户的属性等级进行访问控制。属性等级为两大类:用户身份权限等级和用户认证安全等级。用户身份权限等级表示该用户在机构内部的权限等级,等级越高权限范围越大;用户认证安全等级表示该用户身份认证方式的安全等级,越可靠的认证方式代表更高的安全性。进一步地,依据上述用户属性等级,机构管理员在创建机构下属应用时可以制定访本文档来自技高网...
【技术保护点】
1.一种基于树形组织模型的机构应用权限管理方法,其特征在于,建立机构之间的树形组织模型,即机构树;其中,每一机构对应于所述机构树中的一节点,为机构设置应用和人员,根据人员所属机构为对应人员设置其所属机构的公共应用访问权限;对于每一人员设定一对应属性等级,对于每一应用,依据用户属性等级分别设置对应访问策略;每个机构具有唯一机构ID和从属路径,机构的从属路径表示该机构在机构树上的位置,即从机构树根节点出发到达该机构对应的节点所要经过的机构ID。
【技术特征摘要】
1.一种基于树形组织模型的机构应用权限管理方法,其特征在于,建立机构之间的树形组织模型,即机构树;其中,每一机构对应于所述机构树中的一节点,为机构设置应用和人员,根据人员所属机构为对应人员设置其所属机构的公共应用访问权限;对于每一人员设定一对应属性等级,对于每一应用,依据用户属性等级分别设置对应访问策略;每个机构具有唯一机构ID和从属路径,机构的从属路径表示该机构在机构树上的位置,即从机构树根节点出发到达该机构对应的节点所要经过的机构ID。2.如权利要求1所述的方法,其特征在于,为机构设置应用和人员的方法为:同一应用可分配给任一机构且只能属于一个机构;同一人员可分配给任一机构且只能属于一个机构。3.如权利要求1所述的方法,其特征在于,当人员访问一应用时,若该人员所属机构的公共访问权限能访问该应用,且该用户所拥有的属性级别满足该应用的访问策略,允许该用户访问该应用;所述属性等级包括用户身份权限等级和用户认证安全等级。4.如权利要求1所述的方法,其特征在于,根据人员所属机构为对应人员设置其所属机构的公共应用访问权限的方法为:根据人员所属机构,为该人员设置该人员所属机构的从属路径上出现的所有机构的下属应用访问权限。5.如权利要求1所述的方法,其特征在于,所述人员包括管理员,根据管理员所属机构,为该管理人员设置管理该管理员所属机构及其从属路径上出现的所有机构的管理权限。6.如权利要求5所述的方法,其特征在于,选取若干管理...
【专利技术属性】
技术研发人员:荆继武,孙荣辛,蔡权伟,赵宇航,王琼霄,王平建,林璟锵,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。