[发明专利]一种基于职责链的权限访问控制方法及系统

说明书

本发明属于访问控制领域，提供了一种基于职责链的权限访问控制方法及系统。该方法包括，根据用户信息，创建会话，获取用户所有可用权限；从职责链表中查询与该用户相关的职责链，并根据组织、角色和权限信息过滤所述所有可用权限，得到用户最终权限；所述职责链的创建包括：建立并保存包含用户集合、组织集合、角色集合和权限集合的RBAC权限模型；采用RBAC权限模型为用户分配ID，指派用户所属组织关系，指派用户所拥有的角色关系，根据角色得到角色权限；基于用户与组织的指派关系、用户与角色的指派关系以及角色与权限的分配关系，构建职责链。

技术领域

本发明属于访问控制领域，尤其涉及一种基于职责链的权限访问控制方法及系统。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

由于具有灵活、便于管理和策略中立等优点，基于角色的访问控制(role-basedaccess control，RBAC)目前已成为在企业应用中使用最为普遍的权限访问控制模型。RBAC权限访问控制模型以角色为核心，对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合，每一种角色对应一组相应的权限。当用户被分配了适当的角色后，该用户就拥有此角色的所有访问权限。这样做的好处是，不必在每次创建用户时都进行分配权限的操作，只要分配用户相应的角色即可，而且角色的权限变更比用户的权限变更要少得多。这样极大简化了用户的权限管理，降低了权限访问控制的复杂度。

RBAC模型虽然具有诸多优势，并已得到广泛的应用，但是在支持动态授权和细粒度授权方面存在不足。为了解决RBAC模型的不足之处，随着对RBAC权限访问控制模型应用和研究的深入，RBAC模型不断被改进和扩展，包括：基于位置的LRBAC模型，利用当前的位置来确定所能够访问的资源，广泛应用于无线移动设备权限控制；基于任务的TRBAC模型，将任务置于和角色同等重要的位置，角色通过任务与权限的关联，应用于协同工作的权限控制；基于属性的ARBAC模型，属性是角色具有的特征,属性值描述了角色的实际状态和具体特征。

但是，RBAC模型中用户、角色和权限的关系是静态指定的，无法动态匹配用户与角色、角色与权限之间的关系，不能较好地满足动态变化的系统需求。例如在教育领域，教育服务提供商在不同的学校会售卖不同的功能模块，有宿舍的学校会购买宿舍管理模块、有考勤需求的学校会购买考勤模块等，这就要求不同学校的学校管理员角色可访问的系统功能模块是不同的，需要动态地根据需求变化去匹配用户权限。另一个例子，用户U1在学校S1是教师，同时他的孩子在学校S2上学，他在学校S2是家长，虽然用户U1同时具有教师和家长两个角色，但是要求用户U1不能查看学校S2的教学资源等教师相关功能，这就需要动态地根据其所在组织机构去匹配用户权限。

其次，RBAC模型并不能很好地支持细粒度授权，只能通过增加大量具有不同访问权限的角色来支持细粒度授权和访问控制，明显增加了管理成本和复杂度，容易造成角色爆炸(role explosion)问题。例如在教育领域，教育服务提供商在不同地域推广产品时，会有不同的合作伙伴，这些合作伙伴虽然都是“代理商”的角色，但是只允许访问和操作其负责的学校数据；在学校里，每个班主任只允许访问其所负责的班级的信息；在教育主管部门，同样的科室在不同地区其所负责的工作也会有所差异。如果只是利用角色进行访问控制，则达不到这种细粒度的访问控制要求。如果根据每个区域、每个学校定制不同角色，则又缺乏灵活性并带来管理上的复杂性，容易造成角色数量激增。

发明内容

为了解决上述背景技术中存在的技术问题，本发明提供一种基于职责链的权限访问控制方法及系统，其在RBAC模型基础上进行扩展，引入组织和职责的概念，能够提供对权限的细粒度授权和访问控制，同时可以利用职责链实现用户、角色和权限之间的动态授权。既保留了RABC模型灵活、便于管理等优点，又解决了RABC模型在支持动态授权和细粒度授权方面的不足。

为了实现上述目的，本发明采用如下技术方案：