本发明专利技术涉及一种研发设计资源的访问授权方法及系统,属于资源共享技术领域。所述访问授权系统的组成包括:动态决策、任务监控、动态感知、用户角色库、资源库、用户信息库、授权策略管理、虚拟管理员模块。所述访问授权方法包括:动态决策模块获取并解析资源访问请求;权限及策略管理模块制定、更新授权策略,并传递给动态决策模块;动态决策模块计算得到访问决策结果并返回给用户;任务监控模块传递任务变动信息;动态感知模块传递用户角色、资源变化信息;虚拟管理员模块计算并传递用户角色权限模型。所述方法及系统将资源、用户角色与任务流程绑定,对部分用户的部分资源访问权限进行打包继承,实现了动态、细粒度、快速的资源访问授权。授权。授权。
【技术实现步骤摘要】
一种研发设计资源的访问授权方法及系统
[0001]本专利技术涉及一种研发设计资源的访问授权方法及系统,属于资源共享
技术介绍
[0002]传统的资源授权访问控制场景,通常是基于用户、资源、角色等构建授权机制,实现对具有相似属性的一组或相同类型资源进行授权,其不足是没有考虑用户所处研发设计任务的不同阶段所需资源、任务、角色等的动态变化特性,导致授权速度缓慢、授权不够及时。
[0003]研发设计过程通常进行异地协同设计,以大量的资源作为支撑,因此需要实现资源的快速授权,使用户能够及时得到所需资源。在授权模型中引入项目流程,不同的流程阶段对应不同的任务,不同的任务关联着不同的用户角色和资源。实际上,在同一任务中,不同的用户角色可以访问不同的资源。因此,需要在每个任务中对不同的用户角色赋予不同的资源访问权限,同时在每个任务节点处对用户的权限进行回收再分配,从而实现快速授权、动态访问,有利于资源的合理高效利用。
技术实现思路
[0004]本专利技术的目的在于针对传统资源访问授权存在的静态性、授权不及时和授权过程缓慢的技术问题,提出了一种研发设计资源的访问授权方法及系统。
[0005]为了达到上述目的,本专利技术采取如下技术方案:
[0006]所述研发设计资源访问授权方法及系统,包括:一种研发设计资源的访问授权方法及该访问授权方法依托的访问授权系统;所述访问授权系统包括:动态决策模块、任务监控模块、动态感知模块、用户角色库模块、资源库模块、用户信息库模块、权限及策略管理模块、虚拟管理员模块;
[0007]任务监控模块分别与用户角色库模块、资源库模块、用户信息库模块以及动态感知模块相连,动态决策模块分别与用户角色库模块、资源库模块以及用户信息库模块相连;权限及策略管理模块与动态决策模块、动态感知模块以及虚拟管理员模块相连,更进一步地:动态决策模块接收资源访问请求以及用户角色库模块、资源库模块、用户信息库模块以及权限及策略管理模块的信息,输出动态访问决策结果;动态感知模块接收任务监控模块发送来的命令,输出信息给权限及策略管理模块以及虚拟管理员模块;虚拟管理员模块接收权限及策略管理模块、动态感知模块传递的信息,输出信息给权限及策略管理模块;用户角色库模块、资源库模块、用户信息库模块接收任务监控模块传递的信息,输出信息给动态决策模块;
[0008]所述访问授权系统中各模块的信息流动关系如下:
[0009]动态决策模块首先获取并解析资源访问请求,获取用户角色库模块、资源库模块、用户信息库模块提供的信息,依据权限及策略管理模块提供的授权策略做出动态访问决策结果并返回给用户;在当前任务结束后下一任务开始前,任务监控模块将任务变动的命令
传递给用户角色库模块、资源库模块、用户信息库模块以及动态感知模块,动态感知模块将用户角色、资源、用户信息变动情况传递给权限及策略管理模块、虚拟管理员模块,虚拟管理员模块将用户角色权限模型传递给权限及策略管理模块,权限及策略管理模块将计算得到的新授权策略传递给动态决策模块以及虚拟管理员模块;
[0010]所述访问授权系统中各模块的功能如下:
[0011]所述动态决策模块用于获取并解析任意一个发起资源访问请求的用户所发送的资源访问请求。其中,所述资源访问请求包括所述用户信息,当前任务信息以及被访问资源的资源信息;所述动态决策模块还用于:基于所述用户信息、所述当前任务信息、所述资源信息,判断所述用户是否具有访问所述资源的权限,以及响应于所述用户具有访问所述资源的权限,允许所述用户访问所述资源;
[0012]当对资源进行授权时,首先构建用户角色树、资源类型关系树,由此使得授权过程存在隐含授权,隐含授权包括用户角色权限的继承和通过资源类型之间包含关系、推导出的衍生权限。在流程节点处设置虚拟管理员,虚拟管理员结合相邻任务的节点信息,计算出用户角色权限模型,传递给下一任务节点处的虚拟管理员,由此实现用户资源访问权限在相邻任务中的打包传递;
[0013]所述任务监控模块,用于监控项目的流程节点,并将任务的变动信息传递给动态感知模块。
[0014]所述动态感知模块,用于感知当前任务中用户角色、资源实例的变化;所述动态感知模块包括:用户角色感知模块,用于感知当前任务中用户角色类型与上一任务中的不同;资源实例感知模块,用于感知当前任务中资源实例的变化及各个资源实例间的组织关系;通常而言,资源类型不会随任务发生大的变化。
[0015]所述用户信息库模块,用于存储用户信息,包括用户的唯一标识、用户名、职位、所属部门以及用户对应的用户角色;
[0016]所述用户角色库模块,用于存储预设用户角色信息,即提供用户角色信息及存储服务,预设用户角色信息即表明当前任务中有哪些用户角色可以访问资源。用户角色库由权限策略中进行授权引用;
[0017]所述资源库模块,用于存储预设资源信息,预设资源实例信息表明当前任务中具体访问的资源;
[0018]其中,资源是对外提供服务的实体,按照资源粒度和资源类型对被访问资源进行层级划分;每一资源信息采用唯一标识索引,权限中心可对资源库进行授权引用;
[0019]所述权限及策略管理模块,用于制定授权策略;所述权限及策略管理模块包括:用户角色管理模块,用于根据所述用户信息制定用户角色;资源角色管理模块,用于根据所述被访问资源的资源信息制定资源角色;授权策略管理模块,用于对所述用户角色、所述资源角色及所述任务信息进行关联计算,得到关联计算结果作为所述授权策略;
[0020]所述虚拟管理员管理模块,用于管理任务节点上的虚拟管理员及其权限,虚拟管理员的权限是给当前任务中的用户角色分配权限以及收回上一任务中用户角色的权限;
[0021]此外,当上一任务中的用户角色在下一任务中仍存在且其可访问的资源仍存在,则将上一任务中的管理员的对该用户角色分配权限的权限传递给下一任务;在当前任务中,管理员需将所有资源分配给新增用户角色,将新增资源分配给所有用户角色;
[0022]所述访问授权方法,包括如下步骤:
[0023]步骤1、动态决策模块在任务执行过程中,获取并解析用户发送的资源访问请求,所述资源请求包括用户角色信息、任务节点信息和所述被访问资源的信息;
[0024]步骤2、权限及策略管理模块基于任务驱动的资源访问控制模型制定授权策略,传递给动态决策模块;
[0025]步骤3、动态决策模块分别接收用户角色库模块、资源库模块、用户信息库模块传递的信息,依据权限及策略管理模块传递的授权策略进行计算,响应所述用户具有访问所述资源的权限,允许所述用户访问所述资源;
[0026]步骤4、在当前任务结束后下一任务开始前,任务监控模块分别传递任务变动信息给用户角色库模块、资源库模块、用户信息库模块、动态感知模块;
[0027]步骤5、动态感知模块将用户角色、资源内容变化信息分别传递给权限及策略管理模块、虚拟管理员模块,虚拟管理员模块对当前任务中的用户的权限进行回收与发放,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种研发设计资源的访问授权方法及该访问授权方法依托的访问授权系统,其特征在于:包括:动态决策模块、任务监控模块、动态感知模块、用户角色库模块、资源库模块、用户信息库模块、权限及策略管理模块、虚拟管理员模块;任务监控模块分别与用户角色库模块、资源库模块、用户信息库模块以及动态感知模块相连,动态决策模块分别与用户角色库模块、资源库模块以及用户信息库模块相连;权限及策略管理模块与动态决策模块、动态感知模块以及虚拟管理员模块相连,更进一步地:动态决策模块接收资源访问请求以及用户角色库模块、资源库模块、用户信息库模块以及权限及策略管理模块的信息,输出动态访问决策结果;动态感知模块接收任务监控模块发送来的命令,输出信息给权限及策略管理模块以及虚拟管理员模块;虚拟管理员模块接收权限及策略管理模块、动态感知模块传递的信息,输出信息给权限及策略管理模块;用户角色库模块、资源库模块、用户信息库模块接收任务监控模块传递的信息,输出信息给动态决策模块。2.根据权利要求1所述的访问授权系统,其特征在于:所述访问授权系统中各模块的信息流动关系如下:动态决策模块首先获取并解析资源访问请求,获取用户角色库模块、资源库模块、用户信息库模块提供的信息,依据权限及策略管理模块提供的授权策略做出动态访问决策结果并返回给用户;在当前任务结束后下一任务开始前,任务监控模块将任务变动的命令传递给用户角色库模块、资源库模块、用户信息库模块以及动态感知模块,动态感知模块将用户角色、资源、用户信息变动情况传递给权限及策略管理模块、虚拟管理员模块,虚拟管理员模块将用户角色权限模型传递给权限及策略管理模块,权限及策略管理模块将计算得到的新授权策略传递给动态决策模块以及虚拟管理员模块。3.根据权利要求2所述的访问授权系统,其特征在于:所述动态决策模块用于获取并解析任意一个发起资源访问请求的用户所发送的资源访问请求;其中,所述资源访问请求包括所述用户信息,当前任务信息以及被访问资源的资源信息;所述动态决策模块还用于:基于所述用户信息、所述当前任务信息、所述资源信息,判断所述用户是否具有访问所述资源的权限,以及响应于所述用户具有访问所述资源的权限,允许所述用户访问所述资源。4.根据权利要求3所述的访问授权系统,其特征在于:当对资源进行授权时,首先构建用户角色树、资源类型关系树,由此使得授权过程存在隐含授权,隐含授权包括用户角色权限的继承和通过资源类型之间包含关系、推导出的衍生权限。在流程节点处设置虚拟管理员,虚拟管理员结合相邻任务的节点信息,计算出用户角色权限模型,传递给下一任务节点处的虚拟管理员,由此实现用户资源访问权限在相邻任务中的打包传递。5.根据权利要求4所述的访问授权系统,其特征在于:所述任务监控模块,用于监控项目的流程节点,并将任务的变动信息传递给动态感知模块。6.根据权利要求5所述的访问授权系统,其特征在于:所述动态感知模块,用于感知当前任务中用...
【专利技术属性】
技术研发人员:张发平,王蕊蕊,孙嘉铖,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。