本發明公開了一種基于樹形組織模型的機構應用權限管理方法及服務系統。本方法為：建立機構之間的樹形組織模型，即機構樹；其中，每一機構對應于所述機構樹中的一節點，為機構設置應用和人員，根據人員所屬機構為對應人員設置其所屬機構的公共應用訪問權限；對于每一人員設定一對應屬性等級，對于每一應用，依據用戶屬性等級分別設置對應訪問策略；每個機構具有唯一機構ID和從屬路徑，機構的從屬路徑表示該機構在機構樹上的位置，即從機構樹根節點出發到達該機構對應的節點所要經過的機構ID。本發明通過樹形組織模型來管理不同層級的機構、下屬人員以及應用三者之間的從屬關系，簡化應用權限管理操作的同時又滿足訪問權限差異性的需求。

技術領域

本發明屬于計算機技術、信息安全技術領域，涉及一種基于樹形組織模型的應用權限管理方法及服務系統。適用于在多層級機構結構中管理下屬人員的應用訪問權限的使用場景。

背景技術

組織模型就是對企業(或機構)組織結構進行建模，是利用抽象的模型或者元素，構造出的一系列關系，用于表達企業組織機構中的實體間的層次和隸屬。絕大多數的組織機構都以樹形層次結構為主：企業的組織機構由一系列層次化的組織單元構成，每一個組織單元屬于某一個層次，對其下一層次的組織單元具有管理職責與權限，并對上一層次的組織單元負責，從而形成企業的組織樹。組織樹中的每一個節點定義了對底層節點的約束和目標。該模型雖然在組織結構建模中應用廣泛，但是沒有涉及到授權管理和訪問控制。

目前，最常見的授權管理和訪問控制的方法是基于角色的訪問控制(RBAC)。其基本思想是，對系統操作的各種權限不是直接授予具體的用戶，而是在用戶集合與權限集合之間建立一個角色集合。每一種角色對應一組相應的權限。一旦用戶被分配了適當的角色后，該用戶就擁有此角色的所有操作權限。這樣做的好處是，不必在每次創建用戶時都進行分配權限的操作，只要分配用戶相應的角色即可，而且角色的權限變更比用戶的權限變更要少得多，這樣將簡化用戶的權限管理，減少系統的開銷。

RBCA將權限的劃分完全依賴于角色，不同的權限就要分配依賴不同的角色。當面對需要劃分眾多不同權限時，該方法依然會要求分配眾多的角色，缺乏靈活性。另一方面，RBCA的權限是靜態的，即在授權之后，權限不變。但是隨著技術的發展，現在賬戶的認證狀態可能有多種：可能是口令認證登錄，也可能是數字證書認證登錄。在這種情況下，用戶不同的登錄狀態應該對應不同的權限等級，基于角色的靜態權限管理不能滿足其需求。

而到目前為止，本領域內仍沒有利用樹形組織模型及用戶認證狀態的應用授權管理技術，此課題的研究和探索具有重大的價值和意義。

發明內容

本發明針對背景技術中描述的現狀，提出一種基于樹形組織模型的機構應用權限管理方法及服務系統，適用于多級機構結構中管理下屬人員的應用訪問權限的使用場景，通過樹形組織模型來管理不同層級的機構、下屬人員以及應用三者之間的從屬關系，簡化應用權限管理操作的同時又滿足訪問權限差異性的需求。

本發明所采取的技術方案是：

在機構之間，使用樹形組織模型表示機構上下級的從屬關系，該模型被稱為機構樹。應用和人員都歸屬于機構樹上的某一個節點，人員根據自己所屬的機構節點，獲得其所屬機構的公共應用訪問權限，而不需要額外的授權，免去重復設定相同權限的操作；在機構內部，應用依據用戶屬性等級來制定訪問策略，應用的訪問策略規定了要訪問該應用的人員需要的滿足屬性等級，通過為人員設定不同的屬性等級來授予人員不同的應用訪問權限，實現權限設定的差異化。

進一步地，所述樹形組織模型為一種機構結構的表現形式，在應用系統中，每個機構都有唯一機構ID標識和從屬路徑。從屬路徑表示該機構在樹形結構上的位置，包含著從機構樹的根節點出發到達該機構對應的節點所要經過的機構ID，所有機構節點的從屬路徑的總和形成一個完備的機構樹。