本發(fā)明公開了一種RBAC模型的高分網(wǎng)格系統(tǒng)身份驗證系統(tǒng)，包括：針對行業(yè)用戶和區(qū)域用戶，為行業(yè)用戶和區(qū)域用戶提供分組，每個分組內(nèi)設(shè)定一個用戶組管理員，用戶組管理員負責分組內(nèi)的用戶的身份驗證和權(quán)限分配；針對公眾用戶，系統(tǒng)管理員負責公眾用戶的身份驗證和權(quán)限分配；身份驗證是通過賦予角色一定的訪問權(quán)限和通過檢查用戶的角色來實現(xiàn)的。該系統(tǒng)能夠滿足高分網(wǎng)格系統(tǒng)的訪問控制及身份驗證的需求，為高分網(wǎng)格系統(tǒng)的推廣奠定基礎(chǔ)。

技術(shù)領(lǐng)域

本發(fā)明屬于軟件系統(tǒng)權(quán)限管理技術(shù)領(lǐng)域，特別地涉及一種基于RBAC模型的高分網(wǎng)格系統(tǒng)身份驗證系統(tǒng)。

背景技術(shù)

現(xiàn)代系統(tǒng)的權(quán)限管理和身份驗證多采用RBAC方式，并不直接將權(quán)限授予用戶，而是通過中間層次角色完成。角色一方面與權(quán)限關(guān)聯(lián)，代表一組權(quán)限的集合；另一方面與用戶關(guān)聯(lián)，用戶被分配某種角色后便具備了該角色所關(guān)聯(lián)的所有權(quán)限。現(xiàn)有的技術(shù)中，該流程一般由系統(tǒng)管理員集中完成，即系統(tǒng)管理員負責給系統(tǒng)中的每一個人員進行角色劃分并授權(quán)，在組織架構(gòu)相對簡單、用戶相對較少的系統(tǒng)中，是一種有效的方式。

對于高分網(wǎng)格這種復(fù)雜系統(tǒng)，其用戶一般分為三種，行業(yè)用戶、區(qū)域用戶、公眾用戶，并且行業(yè)用戶和區(qū)域用戶一般擁有較多層級，組織架構(gòu)一般是樹狀單元；并且高分網(wǎng)格中的數(shù)據(jù)密級分為多種，不同層級的用戶對不同的數(shù)據(jù)的訪問權(quán)限也有區(qū)別，因此，如果直接采用RBAC方式進行身份驗證權(quán)限管理會存在以下問題：

(1)系統(tǒng)管理員需要為系統(tǒng)中所有用戶進行角色關(guān)聯(lián)，用戶很多，對系統(tǒng)管理員造成較大壓力。

(2)高分網(wǎng)格系統(tǒng)中存在不同種類的用戶，同一類用戶中不同層級的用戶所擁有的權(quán)限應(yīng)當是不同的，如果由系統(tǒng)管理員對系統(tǒng)用戶進行角色分配，則需要系統(tǒng)管理員充分了解每類用戶的具體層級關(guān)系及其所能具有的權(quán)限，顯然系統(tǒng)管理員做不到這種充分了解的程度，實施起來比較困難。

(3)由于高分網(wǎng)格系統(tǒng)的數(shù)據(jù)分為多個密級，不同權(quán)限的角色應(yīng)該訪問對應(yīng)密級等級的數(shù)據(jù)，普通的RBAC方式并不能滿足這樣的要求。

發(fā)明內(nèi)容

為解決上述問題，本發(fā)明的目的在于提供一種基于RBAC模型的高分網(wǎng)格系統(tǒng)身份驗證系統(tǒng)，其通過將不同種類用戶進行分組，組用戶由對應(yīng)所屬組管理員分配角色并授權(quán)，充分考慮用戶的分級和數(shù)據(jù)的分級，通過角色把具備規(guī)定密級要求的用戶的權(quán)限和具有同等密級的數(shù)據(jù)進行關(guān)聯(lián)，實現(xiàn)數(shù)據(jù)的安全使用。

為實現(xiàn)上述目的，本發(fā)明的解決方案為：

一種基于RBAC模型的高分網(wǎng)格系統(tǒng)身份驗證系統(tǒng)，包括：

針對行業(yè)用戶和區(qū)域用戶，為行業(yè)用戶和區(qū)域用戶提供分組，每個分組內(nèi)設(shè)定一個用戶組管理員，用戶組管理員負責分組內(nèi)的用戶的身份驗證；

針對公眾用戶，系統(tǒng)管理員負責公眾用戶的身份驗證；

具體的驗證過程為：

注冊時，系統(tǒng)管理員或用戶組管理員通過分配角色完成角色授權(quán)；

注冊審核通過的在冊用戶向高分網(wǎng)格系統(tǒng)發(fā)送身份驗證請求，系統(tǒng)管理員或用戶組管理員會查詢所獲取的身份驗證信息是否存在于身份信息庫中，若是，則通過會話控制的技術(shù)手段判斷在冊用戶是否只有一個登錄會話，如果目前沒有登錄會話，則驗證通過；若否，則提示身份驗證失敗；

當在冊用戶對高分網(wǎng)格系統(tǒng)中的數(shù)據(jù)、頁面元素發(fā)送訪問請求時，系統(tǒng)管理員或用戶組管理員首先會獲取該用戶的角色，并使用該角色所對應(yīng)的權(quán)限與數(shù)據(jù)、頁面元素所對應(yīng)的密級進行對比，如果該角色所擁有的權(quán)限大于數(shù)據(jù)、頁面元素所對應(yīng)的密級，則在冊用戶可以使用對應(yīng)的資源；否則返回權(quán)限不足的信息。

若用戶想要做用戶管理員，用戶根據(jù)自己組織所屬類別和權(quán)限需求完成用戶組管理員身份的注冊及相應(yīng)角色申請。其中，權(quán)限需求可以是一營業(yè)執(zhí)照、身份證復(fù)印件等。