技術領域

本發明涉及權限管理技術領域，特別涉及一種基于對象的權限管理系統與 方法。

背景技術

目前，權限管理應用非常廣泛，有用戶參與的系統就會涉及到權限管理， 任何多用戶的系統都不可避免的涉及到實體鑒別、數據保密性、數據完整性、 訪問控制等安全服務，對用戶進行權限管理是應用系統的基本功能。隨著網絡 規模和業務的快速發展，權限管理的作用越來越重要，也越來越復雜，因此， 構建強健的權限管理系統，保證系統的安全性是十分重要的。

在現有的權限管理系統中，主要由授權模塊、數據庫、鑒權模塊三部分組 成。其中，授權模塊，用于將符合一個或多個條件表達式的被授權的資源設置 為一個分類，將所述分類作為授權對象；數據庫，用于存儲內容元數據及授權 模塊預先寫入的授權規則，有的系統將授權規則寫在配置文件中；鑒權模塊， 用于在鑒權時從所述數據庫中讀取授權規則，確定用戶是否具有操作的權限。 有的系統對被授權的資源建立全文索引，以提升鑒權模塊的性能。

但是，現有的權限管理系統主要存在以下問題：

1)用戶對象具體化，抽象程度不夠，當系統中有多個用戶類型難以管理。 比如，系統中有CPSP管理員、運營商管理員、企業管理員、普通用戶等多種 類型，現有的系統用戶只能是上述類型中的一種，實際的應用中往往要求一個 用戶既具有CPSP管理員的身份，又要求具有運營商管理員的某些權限，或者 要求某個用戶能同時管理多個不同的CPSP。

2)權限資源組織方式單一，不能實現精細控制，不能實現分權分域管理。 現有權限系統將權限資源主要分成功能權限和數據權限兩個部分，其中，功能 權限是指用戶能夠進行的哪些操作，例如增加、刪除、修改、查詢。數據權限 是對用戶能夠操作的資源的范圍進行界定，例如用戶A只能查看人力資源部 的資料。這種權限建模是二維的，如果增加新的維度，比如時間維度，用戶A 只能在上午9點到12點之間訪問系統，這種方式就不再適用了。另外，如果 人力資源部的資料分為兩種，一種是公司管理干部的，一種是公司普通員工的， 假設用戶A只能查看人力資源部普通員工的資料，按照功能權限和數據權限 的劃分方法也不能對上述操作實現精細控制。

權限管理包含分權管理和分域管理兩個部分。分域管理是從管理對象的層 次角度，根據用戶操作涉及到的不同層次，對其能管理的層次進行控制。比如 一個系統中有省級管理員、市級管理員，市級管理員的權限應該由省級管理員 來分配。分權管理是對在同一層的管理范圍內的操作，進行權限方面的控制。 現有的權限管理系統往往忽視了分域管理，將分域管理劃歸到分權管理中進 行，造成權限管理的復雜，難以維護。

3)不同的應用系統權限管理相互獨立，數據存儲、權限訪問和權限控制 等方面緊耦合，導致權限管理系統通用性不強，重復開發現象嚴重。

發明內容

本發明的目的在于，提供一種基于對象的權限管理系統。

本發明的另一目的在于，提供一種基于對象的權限管理方法。

本發明的基于對象的權限管理系統，包括對象管理模塊、授權鑒權管理模 塊和權限資源管理模塊，其中，所述對象管理模塊，用于從用戶實體中抽取對 象，然后將抽取的對象與應用系統中的實體對象進行關聯；其中，所述從用戶 實體中抽取的對象只包含抽象特征；所述權限資源管理模塊，用于對權限進行 建模，對權限資源進行分域、分權管理；其中，對涉及到不同層次的用戶進行 分域管理，對同一層次的用戶進行分權管理；其中，層次包括級別和管理范圍； 所述授權鑒權管理模塊，用于將所述權限資源授權給含有身份特征的實體對 象，并在對象接入權限資源時進行鑒權，獲取接入認證，認證成功后該對象獲 取權限許可，并接入權限資源，否則，拒絕接入。

其中，所述對象管理模塊從用戶實體中抽取對象，是將應用系統中的用戶 實體分離成對象數據和特征數據，并將對象數據存儲在對象表中，將特征數據 存儲在特征表。

其中，所述權限資源包括功能權限、數據權限、自定義權限，所述權限資 源為一維、或者多維、或者進行權限交叉。

其中，所述授權鑒權管理模塊提供通用的授權、鑒權接口，對于所述對象 管理模塊抽取的對象通過所述授權接口分配權限資源，在所述對象接入應用系 統時，通過所述鑒權接口獲取接入認證，認證成功所述對象獲取權限許可，認 證失敗則拒絕接入。