[发明专利]针对大容量对象的用户访问权限管理方法

权利要求书

1.针对大容量对象的用户访问权限管理方法，其特征在于包括以下步骤：

A10、建立用户访问权限管理模型，所述管理模型包括用户、用户组、对象、对象集、操作和操作集；用户是系统使用者；用户组是具相同权限的用户的集合；对象是用户可访问的系统中的资源；对象集是对象的集合；操作是用户可执行的动作，分为无限制、admin特权、安全管理及对象操作四种类型；操作集是操作的集合；

A20、建立用户，并通过将用户分别指派到不同的用户组从而使用户具有相应的权限，用户组分为超级管理员组、安全管理员组、子域安全管理员组和普通用户组四种类型；属于安全管理员组或子域安全管理员组的用户具有管理权限；属于其他类型用户组的用户不具有管理权限，仅能对可管理对象进行授权的操作；属于安全管理员组的用户可以对包括子域安全管理员组在内的全域进行管理；属于子域安全管理员组的用户只能对所属子域进行管理；

A30、用户登录时，根据用户类型允许其使用相应的权限。

2.如权利要求1所述的针对大容量对象的用户访问权限管理方法，其特征在于，在步骤A20中，首先定义用户可执行的所有操作，并内置一个超级管理员组和一个安全管理员组，内置一个admin用户属于上述两个内置用户组；然后使用admin登陆，根据规划建立用户，将用户分别指派到用户组从而使用户具有相应权限。

3.如权利要求1所述的针对大容量对象的用户访问权限管理方法，其特征在于，建立的用户可以属于多个用户组，但是只能属于一个安全管理员组或子域安全管理员组。

4.如权利要求1所述的针对大容量对象的用户访问权限管理方法，其特征在于，超级管理员组默认包含除安全管理员组或子域安全管理员所具有的管理权限外的所有权限，安全管理员组或子域安全管理员组默认具有管理权限，普通用户组的权限取决于管理者为其分配的权限。

5.如权利要求1所述的针对大容量对象的用户访问权限管理方法，其特征在于，属于安全管理员组或子域安全管理员组的用户分配权限的方法是：将对象划分为不同的对象集，将操作划分为不同的操作集，将对象集和操作集指派给用户组表示对这些对象具有相应操作权限。

6.如权利要求5所述的针对大容量对象的用户访问权限管理方法，其特征在于，将对象集和操作集直接指派给用户，对用户组内的对象授予用户组内的操作权限或者对用户自身对象授予用户自身操作权限。

7.如权利要求5所述的针对大容量对象的用户访问权限管理方法，其特征在于，建立新的用户、用户组、对象集或操作集时记录其归属的唯一的安全管理员组或子域安全管理员组ID,当属于安全管理员组的用户登录时，可以管理所有用户、用户组、对象集和操作集；而属于子域安全管理员组的用户登录时，只能管理子域内的用户、用户组、对象集和操作集。

8.如权利要求5所述的针对大容量对象的用户访问权限管理方法，其特征在于，判断用户权限的方法是：

如果是无限制操作，则总是有权限；

如果是安全管理操作，则只有安全管理员组或子域安全管理员组用户具有权限，且被编辑的用户、用户组、对象集、操作集属于用户所在区域；

如果是admin特权操作，则只有内置的admin用户具有权限；

如果是对象操作，则依次判断用户所属用户组是否包含目标对象和操作，如果包含则具有权限，否则继续，最后判断用户自身对象集和操作集是否包含目标对象和操作，如果包含则具有权限，否则无权限。