[发明专利]一种三权分立的分级授权管理系统及方法

说明书

技术领域

本发明公开了一种涉及对用户、授权和审计进行分立、分级管理的系统及方法。

背景技术

在一个大型的信息网络中，用户身份管理、用户授权管理和审计管理是系统安全管理的三个重要的因素，其主要管理工作要由管理员完成。除了技术之外，还需要一个安全策略、安全管理机制和制度来提供安全保证。管理员的权力过大，容易造成对权力的误用或滥用。此外，如果攻击者攻破了某个管理角色，就会得到对系统的完全控制，系统的安全性将非常脆弱。

发明内容

针对上述问题，本发明提供一种三权分立的分级授权管理系统及方法，该方法实现的系统采用分层管理的方法，通过用户管理、授权管理、审计管理三权分立的策略，实现对访问者灵活的身份认证、操作鉴权、安全审计。

本发明具有以下特征：

1.用户管理、授权管理与审计管理须由至少三个管理员完成。

2．用户管理员不能对用户进行授权管理和审计管理，授权管理员不能对用户、组、域等进行管理，不能对审计记录进行管理，审计管理员不能对用户、组、域等进行管理，不能进行授权管理。

3.管理员之间可存在上下级关系，下级管理员的管理范围和管理策略（包括管理员、时间、地址、传递性、对象属性等）由上级管理员指定。

4.管理员是经鉴别的用户。

5.上级管理员为下级管理员授予的管理权限是上级管理员的管理权限的子集；一个管理员可以有多个上级，其管理权限是每个上级授予的管理权限的并集。

6．授权管理可以采用基于角色、基于组、基于任务或其他任何一种授权方法。

7．用户、授权、审计信息的发布可以使用LDAP、关系数据库、或带有签名的计算机文件。

附图说明

图1是本发明的一个实施例的用户分层管理示意图。

图2是本发明的一个实施例的授权分层管理示意图。

图3是本发明的一个实施例的审计分层管理示意图。

图4是本发明一种三权分立的分级授权管理系统的示意框图。

 

具体实施方式

从组织机构的人事管理来看，一个用户可以在多个部门或者分支机构任职，但其档案关系只能存放在一个分支机构的一个部门内，用户在该部门的任职被看作是专职，而在其他部门的任职看作是兼职。

用户的管理采用类似于现实生活中的人事管理办法，各个分支机构的用户由本机构的管理系统进行管理，上级（或平级）机构可以借调下级机构的用户到本级机构任兼职，也可以被下调到下级机构任职。该用户的档案信息仍保存在原机构的用户信息数据库，而其所用的用户信息来自原机构的用户信息发布库。

用户被借调到另一机构后，所借调的机构的用户信息库中会增加该用户的信息，并且将此信息发布到借调机构的用户信息发布库，以供授权系统和审计系统使用。在用户的原单位的用户信息数据库中的信息被更新，并且信息发布库中的信息也被更新后，系统可以自动更新借调机构的相关数据。

用户管理员没有管理用户授权的权限，但当用户管理员锁定或删除一个用户、工作组或用户域时，他们的权限也将响应的被锁定（但不能删除）。

上级机构的用户管理员有权管理下级机构的用户信息，因此，上级机构的用户管理系统可以访问下级机构的用户管理信息数据库，并对其进行用户管理操作。

下级机构的用户管理员有权查看上级机构的用户信息，但不能查看详细的信息，只能查看上级机构用户信息发布库中的内容。因此，下级机构的用户管理系统只能访问上级机构的用户信息发布库。

从业务处理的层面来看，各级分支机构的业务系统中的数据资源属于本机构管理和使用，这一约定俗成的权限实际上是来自上级机构对下级的授权。

上级机构在授权给下级机构时，一般侧重于将一个权限资源集授权给该机构单位，而对于下级机构的用户的授权管理则交给下级单位的授权者（权限管理员）负责完成。

在上级机构修改了下级机构的权限资源集时，下级机构的授权信息必须得到及时的更新，以保证下级机构的用户的权限没有超越上级机构的权限管制。

上级机构授予下级机构的权限可以是权限资源集，也可以是建立这个权限资源集上的角色，如果是角色，下级机构的管理不能再修改这些角色的任何信息。但可以创建新的角色，并将上级机构创建的角色授予所新建的角色。

权限管理员在进行授权管理时，只能使用单位的用户信息发布库中的用户信息，也就是只能给本机构的用户管理员所管辖的范围内的用户授权。