技术特征:
1.一种研发设计资源的访问授权方法及该访问授权方法依托的访问授权系统,其特征在于:包括:动态决策模块、任务监控模块、动态感知模块、用户角色库模块、资源库模块、用户信息库模块、权限及策略管理模块、虚拟管理员模块;任务监控模块分别与用户角色库模块、资源库模块、用户信息库模块以及动态感知模块相连,动态决策模块分别与用户角色库模块、资源库模块以及用户信息库模块相连;权限及策略管理模块与动态决策模块、动态感知模块以及虚拟管理员模块相连,更进一步地:动态决策模块接收资源访问请求以及用户角色库模块、资源库模块、用户信息库模块以及权限及策略管理模块的信息,输出动态访问决策结果;动态感知模块接收任务监控模块发送来的命令,输出信息给权限及策略管理模块以及虚拟管理员模块;虚拟管理员模块接收权限及策略管理模块、动态感知模块传递的信息,输出信息给权限及策略管理模块;用户角色库模块、资源库模块、用户信息库模块接收任务监控模块传递的信息,输出信息给动态决策模块。2.根据权利要求1所述的访问授权系统,其特征在于:所述访问授权系统中各模块的信息流动关系如下:动态决策模块首先获取并解析资源访问请求,获取用户角色库模块、资源库模块、用户信息库模块提供的信息,依据权限及策略管理模块提供的授权策略做出动态访问决策结果并返回给用户;在当前任务结束后下一任务开始前,任务监控模块将任务变动的命令传递给用户角色库模块、资源库模块、用户信息库模块以及动态感知模块,动态感知模块将用户角色、资源、用户信息变动情况传递给权限及策略管理模块、虚拟管理员模块,虚拟管理员模块将用户角色权限模型传递给权限及策略管理模块,权限及策略管理模块将计算得到的新授权策略传递给动态决策模块以及虚拟管理员模块。3.根据权利要求2所述的访问授权系统,其特征在于:所述动态决策模块用于获取并解析任意一个发起资源访问请求的用户所发送的资源访问请求;其中,所述资源访问请求包括所述用户信息,当前任务信息以及被访问资源的资源信息;所述动态决策模块还用于:基于所述用户信息、所述当前任务信息、所述资源信息,判断所述用户是否具有访问所述资源的权限,以及响应于所述用户具有访问所述资源的权限,允许所述用户访问所述资源。4.根据权利要求3所述的访问授权系统,其特征在于:当对资源进行授权时,首先构建用户角色树、资源类型关系树,由此使得授权过程存在隐含授权,隐含授权包括用户角色权限的继承和通过资源类型之间包含关系、推导出的衍生权限。在流程节点处设置虚拟管理员,虚拟管理员结合相邻任务的节点信息,计算出用户角色权限模型,传递给下一任务节点处的虚拟管理员,由此实现用户资源访问权限在相邻任务中的打包传递。5.根据权利要求4所述的访问授权系统,其特征在于:所述任务监控模块,用于监控项目的流程节点,并将任务的变动信息传递给动态感知模块。6.根据权利要求5所述的访问授权系统,其特征在于:所述动态感知模块,用于感知当前任务中用户角色、资源实例的变化;所述动态感知模块包括:用户角色感知模块,用于感知当前任务中用户角色类型与上一任务中的不同;资源实例感知模块,用于感知当前任务中资源实例的变化及各个资源实例间的组织关系;通常而言,资源类型不会随任务发生大的变化。7.根据权利要求6所述的访问授权系统,其特征在于:所述用户信息库模块,用于存储
用户信息,包括用户的唯一标识、用户名、职位、所属部门以及用户对应的用户角色;所述用户角色库模块,用于存储预设用户角色信息,即提供用户角色信息及存储服务,预设用户角色信息即表明当前任务中有哪些用户角色可以访问资源。用户角色库由权限策略中进行授权引用;所述资源库模块,用于存储预设资源信息,预设资源实例信息表明当前任务中具体访问的资源;其中,资源是对外提供服务的实体,按照资源粒度和资源类型对被访问资源进行层级划分;每一资源信息采用唯一标识索引,权限中心可对资源库进行授权引用。8.根据权利要求7所述的访问授权系统,其特征在于:所述权限及策略管理模块,用于制定授权策略;所述权限及策略管理模块包括:用户角色管理模块,用于根据所述用户信息制定用户角色;资源角色管理模块,用于根据所述被访问资源的资源信息制定资源角色;授权策略管理模块,用于对所述用户角色、所述资源角色及所述任务信息进行关联计算,得到关联计算结果作为所述授权策略。9.根据权利要求8所述的访问授权系统,其特征在于:所述虚拟管理员管理模块,用于管理任务节点上的虚拟管理员及其权限,虚拟管理员的权限是给当前任务中的用户角色分配权限以及收回上一任务中用户角色的权限;此外,当上一任务中的用户角色在下一任务中仍存在且其可访问的资源仍存在,则将上一任务中的管理员的对该用户角色分配权限的权限传递给下一任务;在当前任务中,管理员需将所有资源分配给新增用户角色,将新增资源分配给所有用户角色。10.一种研发设计资源的访问授权方法,其特征在于:包括如下步骤:步骤1、动态决策模块在任务执行过程中,获取并解析用户发送的资源访问请求,所述资源请求包括用户角色信息、任务节点信息和所述被访问资源的信息;步骤2、权限及策略管理模块基于任务驱动的资源访问控制模型制定授权策略,传递给动态决策模块;步骤3、动态决策模块分别接收用户角色库模块、资源库模块、用户信息库模块传递的信息,依据权限及策略管理模块传递的授权策略进行计算,响应所述用户具有访问所述资源的权限,允许所述用户访问所述资源;步骤4、在当前任务结束后下一任务开始前,任务监控模块分别传递任务变动信息给用户角色库模块、资源库模块、用户信息库模块、动态感知模块;步骤5、动态感知模块将用户角色、资源内容变化信息分别传递给权限及策略管理模块、虚拟管理员模块,虚拟管理员模块对当前任务中的用户的权限进行回收与发放,计算得到用户角色权限模型并传递给权限及策略管理模块,权限及策略管理模块基于虚拟管理员权限继承模型更新授权策略。
技术总结
本发明涉及一种研发设计资源的访问授权方法及系统,属于资源共享技术领域。所述访问授权系统的组成包括:动态决策、任务监控、动态感知、用户角色库、资源库、用户信息库、授权策略管理、虚拟管理员模块。所述访问授权方法包括:动态决策模块获取并解析资源访问请求;权限及策略管理模块制定、更新授权策略,并传递给动态决策模块;动态决策模块计算得到访问决策结果并返回给用户;任务监控模块传递任务变动信息;动态感知模块传递用户角色、资源变化信息;虚拟管理员模块计算并传递用户角色权限模型。所述方法及系统将资源、用户角色与任务流程绑定,对部分用户的部分资源访问权限进行打包继承,实现了动态、细粒度、快速的资源访问授权。授权。授权。
技术研发人员:张发平 王蕊蕊 孙嘉铖
受保护的技术使用者:北京理工大学
技术研发日:2021.02.05
技术公布日:2021/9/17