技術領域

本發明涉及通信領域，尤其是一種權限關系數據的生成和調整方法及管理系統。

背景技術

用戶權限是計算機系統的重要數據之一，用戶權限的管理主要完成對用戶訪問設備的控制。具體地：設備命令被賦予權限屬性，用戶登陸時被賦予一定的權限，該用戶只能執行與其權限相符合的命令，這樣用戶對設備的操作就被限制在一定范圍之內了。

現有技術中，對用戶權限的管理存在多種方案，例如：

有的方案一共有16個級別，設備的命令可以被動態指定為16個級別中的一個，也可以指定用戶的級別。0到15級別之間的關系是由小到大的偏序關系，某級別的用戶可以執行低級別或本級別的所有命令，但是比自己級別高的命令不可以執行。在實際的應用中，一般缺省地把命令分布到16個級別中到0、1、15的3個級別上。

有的方案實現為命令可以屬于多個類型，類型可以包括多條命令，每個用戶登陸時被賦予類型屬性，可以執行該類型中的所有命令，之外的命令不能執行。

還有的方案實現為將命令被分布到4個級別上，設備的命令可以被動態指定為4個級別的一個，可以指定用戶的級別。1到4級別之間的關系是由小到大的偏序關系，某級別的用戶可以執行低級別或本級別的所有命令，但是比自己級別高的命令不可以執行。

在微軟實現的基本組權限模型，定義了基本的管理員(administrator)、backup?Operators(備份操作員)、訪客(Guests)等幾個基本命令集合，新創建的組可以包含這幾個命令集合的一個或多個，用戶屬于某個組，實現用戶的權限授權，命令集合不能靈活地細分，這與PC機命令本身就很少有關系，不需要更多的細分。組間權限是包含關系和并列關系。微軟本地還實現了基于某個資源的權限控制，主要是其PC應用場景決定的(個人在設備上獨占某些資源完成一些工作，同其他人獨占的資源一般沒有關系；同時具有對其他人授權的功能，但是缺省為其他無關系的人無權限)；而網絡設備一般各個資源間是相互協同完成工作的，所以授權一般是基于命令操作能力的，對資源訪問的控制可以通過濾器對包含某些資源名字的命令執行進行限制完成。

在實現本發明的過程中，發明人發現現有技術至少存在如下問題：

1、細分權限不靈活。在級別數量確定的情況下，例如，級別劃分為15級，其中15級為最高級，包含全部的命令集合，而此時需要一權限級別，該權限基本包含的命令比14級多又比15級少，針對此種情況，只能將15級中的部分命令加入到14級中，而這樣操作改變了原有的14級的內容，很不方便，而在原有的14級的內容不允許調整的情況下，就沒有權限調整和細分權限的空間。如果級別數量允許增減，可以將級別數量增加為16級，此時，將原有15級的內容調整到16級上，根據需要重新設置15級的命令集合，但這種方式，命令調整量很大，尤其在低級別處進行細分時。

2、權限關系模型簡單，維護復雜。對于命令級別的權限模型，只維護了級別之間的權限包含關系，導致2個級別的用戶權限無疊加成為不可能。而基于類型定義的權限模型因為沒有繼承關系，不同用戶之間的可執行的命令集合很難相互支持，因為增加一個命令的授權，需要改兩個用戶的類型定義，需要人為地維護2類型之間的權限包含關系。而微軟的基本組權限模型也不能靈活地細分權限，只有幾個基本權限的包含組合，而且不能將包含的組權限中去掉一些無用的權限的功能。

發明內容

本發明實施例的目的是提供一種權限關系數據的生成和調整方法及管理系統，以實現更加靈活的權限細分。

為實現上述目的，本發明實施例提供了一種權限關系數據的生成方法，包括如下步驟：

設置主級別、子級別以及各級別間的優先級關系，其中子級別從屬于主級別；

設置命令集合，各個主級別和子級別分別與一命令集合對應；

將所有命令劃分到各個主級別的命令集合中，其中，主級別高的命令集合包括所有比其主級別低的命令集合中的命令；

將主級別的命令集合中的命令，劃分到該主級別包含的子級別中，其中，子級別高的命令集合包括所有比其子級別低的命令集合中的命令。

本發明實施例還提供了一種權限關系數據的調整方法，包括：當需要進行權限細分調整時，確定包含權限細分調整所涉及的全部命令的級別中最低的主級別對應的命令集合，調整該主級別所包含的子級別及子級別對應的命令集合。

本發明實施例還提供了一種權限關系數據管理系統，包括：

主級別記錄模塊，用于記錄主級別的優先級關系，并記錄各主級別與主級別的命令集合的對應關系；