CN101631116A - 一种分布式双重授权及访问控制方法和*** - Google Patents
一种分布式双重授权及访问控制方法和*** Download PDFInfo
- Publication number
- CN101631116A CN101631116A CN200910090837A CN200910090837A CN101631116A CN 101631116 A CN101631116 A CN 101631116A CN 200910090837 A CN200910090837 A CN 200910090837A CN 200910090837 A CN200910090837 A CN 200910090837A CN 101631116 A CN101631116 A CN 101631116A
- Authority
- CN
- China
- Prior art keywords
- user
- grouping
- resource
- access control
- application system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种分布式双重授权及访问控制方法及***,该方法应用于包括一个通用认证授权服务器和多个不同类型应用***的控制***,该方法包括:分级权限控制步骤,用于通过所述通用认证授权服务器设定用户级别,并传递用户分级信息给所述应用***,通过验证用户级别与应用***的粗粒度资源或服务的级别的匹配关系决定用户对此资源或服务的访问权限;分组权限控制步骤,用于通过所述应用***对用户和资源/服务分别进行分组设定,通过验证用户分组与数据服务分组之间相交关系决定用户对细粒度资源或服务的访问权限。
Description
技术领域
本发明涉及分布式网络环境下用户对分布式资源或服务的授权和访问控制技术,特别是一种分布式分级分组双重授权及访问控制方法和***。
背景技术
企业内部的信息设施往往由异构分布式应用***组成,实现这些应用***的集成是未来的发展趋势,不仅如此,大型应用***自身的构成也出现了分布式集成的特性,通过将不同的模块整合达到某一应用的目的。不同的信息***,尤其是Web应用***,其集成需要实现对用户的统一管理和认证,在此基础上,为进一步对信息***和资源访问进行控制,就需要实现针对用户的资源或服务的授权和访问控制。
授权和访问控制所实现的功能是对访问应用***中的资源或服务的权限控制,它是网络信息设施的一个重要组成部分,通过限制资源访问,防止非法用户的侵入或合法用户的不慎操作而造成的破坏,从而保证***资源或服务的合法使用。访问控制的核心是授权策略和方法,即用于确定一个主体是否能对客体拥有访问能力的一套规则,在分布式的网络环境下,主体是注册用户,客体是分布***中不同粒度和类别的资源或服务。
传统应用***的权限管理实质是建立用户、角色、资源、操作权限的映射关系集合,满足对资源控制的需求,例如,申请号为00129495.4的专利文献公开了一种企业间基于角色的授权的方法,基于角色的访问控制虽然也有其优势和适用的范围,但现在企业内部的信息***多数是分布式的,其构建也往往采用开放的面向服务的架构(Service Oriented Architecture,SOA),并多采用Web服务进行松散的整合,XML技术成为其主要的技术方法。而且信息***的资源类型复杂,流程复杂,基于角色的访问控制模型已无法满足需求,成为了制约信息流动的瓶颈之一。具体地,传统的基于角色的权限控制模型的数据访问控制能力有限,缺乏灵活性。一方面权限的过分集中而不能满足需求,另一方面提高了授权逻辑的复杂度,并大大增加了***管理员的工作量,对于授权对象的粒度也往往比较少地考虑,因此针对分布式网络环境下的权限控制需要考虑不同的应用需求,从各个不同的角度来实现。
单纯的用户分级授权能解决一般资源的授权和访问控制问题,但由于它属于一维的授权模式,对于复杂情况力不从心,当资源或服务存在于多个层面,从而需要有多个限制因素的时候,一维的授权方式也不能满足要求,也就是说如果把权限控制粒度只设定到某一类别或较粗粒度上的话,对于更细化的资源或服务就无法控制。
发明内容
本发明所要解决的技术问题在于提供一种分布式双重授权及访问控制方法和***。
为达到上述目的,本发明提供的分布式双重授权及访问控制方法,应用于包括一个通用认证授权服务器和多个不同类型应用***的控制***,其特征在于,包括:
分级权限控制步骤,用于通过所述通用认证授权服务器设定用户级别,并传递用户分级信息给所述应用***,通过验证用户级别与应用***的资源或服务的级别匹配关系决定用户对粗粒度资源或服务的访问权限;
分组权限控制步骤,用于通过所述应用***对用户和资源/服务分别进行分组设定,通过验证用户分组与资源/服务分组之间的相交关系决定用户对细粒度资源或服务的访问权限。
上述分布式双重授权及访问控制方法,其特征在于,所述分级访问控制步骤进一步包括:
步骤S101,通过所述通用认证授权服务器设定用户级别,并在用户完成统一登录认证后,传递用户分级信息给应用***;
步骤S102,所述应用***解析该用户分级信息,获取用户名和用户级别信息;
步骤S103,用户访问受限资源,本地应用***根据预先约定的资源或服务的级别与该用户的级别比对,决定用户的访问权限;当用户级别高于或等于数据资源的级别时,能访问;否则拒绝访问并发出相关的提示信息。
上述分布式双重授权及访问控制方法,其特征在于,所述分组访问控制步骤进一步包括:
步骤S201,预先在本地应用***对用户和资源/服务分别进行分组设定;
步骤S202,当用户通过级别验证,需要访问受分组权限控制的细粒度资源时,部署在应用***的分组访问控制逻辑检测用户分组与细粒度数据资源分组的关系决定用户的访问权限,如果有相交的分组则能访问,否则拒绝访问并发出相关的提示信息。
上述分布式双重授权及访问控制方法,其特征在于,在所述步骤S101中,传递用户分级信息时,用户的级别信息与用户名信息通过XML文档进行传递,在所述步骤S102中,采用一个基于SAX的解析器对该XML文档进行解析。
进一步的,本发明提供了一种分布式双重授权及访问控制***,包括一通用认证授权服务器及多个不同类型应用***,其特征在于,包括:其中,
所述通用认证授权服务器,用于提供用户的统一登录认证功能、用户分级设定功能及用户信息的发布功能,在用户完成统一登录认证后,传递用户分级信息给应用***;
所述应用***,用于部署分级和分组访问控制逻辑,并通过验证用户级别与应用***的数据服务的级别的匹配关系决定用户对粗粒度资源或服务的访问权限,验证用户分组与资源或服务分组之间相交关系决定用户对细粒度资源或服务的访问权限。
上述分布式双重授权及访问控制***,其特征在于,所述通用认证授权服务器上进一步设置:
—用户分级设定模块,用于对用户分级相关信息进行设定,并在用户完成统一登录认证后,将该用户分级相关信息按设定格式文件返回给应用***;
—用户信息发布模块,基于用户库中的信息提供用户信息发布Web服务。
上述分布式双重授权及访问控制***,其特征在于,所述应用***中进一步设置:
—资源分级访问控制模块,用于从所述格式文件中解析出用户名信息和用户级别信息,并根据约定对相关资源或服务根据用户的级别提供访问控制;
—用户分组设定模块,用于提供管理界面,为本地管理提供针对具体用户的分组设定功能;
—资源分组设定模块,用于提供本地管理对应用***中的资源或服务的分组设定功能;
—资源分组访问控制模块,用于针对用户的访问,动态检测本地所设定的用户和资源/服务的分组,根据该用户与资源的分组的关系实现访问控制功能。
上述分布式双重授权及访问控制***,其特征在于,所述用户分级设定模块中的用户信息数据库表中增加控制用户级别的USER LEVEL字段用于标识用户的级别。
上述分布式双重授权及访问控制***,其特征在于,所述用户分级设定模块中,如果需要更详细的用户分级权限分配,单独设置一权限控制表,专门用于用户的权限角色管理。
上述分布式双重授权及访问控制***,其特征在于,所述资源分级访问控制模块中包括一个基于SAX的解析器,用于对用户分级设定模块返回给应用***的包含用户分级信息分级XML文件进行解析,获取其中的用户名和用户级别信息。
与现有技术相比,本发明提供的分布式分级分组双重授权及访问控制方法和***中,认证授权服务器独立于各个应用***,这也就意味着各个应用***不能直接读取用户数据库,数据的访问控制逻辑却必须部署在各个应用***中,采用一种分离的设计。通过分布式的用户授权和访问控制,提高了授权***和访问控制***的灵活性,降低了各个应用***之间的耦合度,相互之间的依赖性小,提高了用户授权的效率和资源的安全。
本发明通过双重用户授权和访问控制,分别对粗粒度和细粒度的资源或服务进行权限控制。粗粒度可以对应于一些全局的应用,而分组的方法不仅可以将资源的控制粒度扩展到任意粒度的资源,而且将用户信息通过Web服务在应用域内提供,将分组控制逻辑放到具体的数据存放地,有利于平台的灵活组合和自治,符合软件复用的思想,有利于***的扩展。
附图说明
图1为本发明分布式双重授权及访问控制方法的流程图;
图2为本发明方法中用户与资源的分组管理设置界面示意图;
图3为本发明方法中数据保护期设置界面示意图;
图4为本发明分布式双重授权及访问控制***示意框图。
具体实施方式
下面结合附图和具体实施例,对本发明的技术方案作进一步描述,但本发明不局限于下面的实施例。
本发明提供的分布式双重授权及访问控制方法,应用于包括一个通用认证授权服务器和多个不同类型应用***的控制***,主要的思想在于:双重授权方案分别对粗粒度和细粒度的资源或服务进行权限控制,通过对用户进行分级,将粗粒度资源根据与对应用户分级的约定实现权限控制;粗粒度的资源或服务可以对应于一些全局的应用,对于细粒度的资源或服务,进一步通过应用***本地授权和验证的方法,完成分布式分组授权功能,细粒度资源或服务对应于***中的一些特殊操作等,在这种双重权限控制方法中,用户可以根据相应的级别来确定是否有粗粒度资源或服务访问或其它的操作权限,从而确定是否有某类应用的权限,而当到了更加细化的细微操作时,如对其一操作方法的访问时,可以通过查看分组映射来确定是否具有更进一步的访问权限。本发明的分组的方法不仅可以将资源或服务的控制粒度扩展到任意粒度,而需要将用户信息通过Web服务在应用域内提供,将分组控制逻辑放到本地应用***,有利于平台的灵活组合和自治。
图1示出了本发明分布式双重授权及访问控制方法的实施流程,参考图1,本发明提供的分布式双重授权及访问控制方法包括:
分级权限控制步骤,用于通过通用认证授权服务器(Certificate& Authorization Server,简称CA)设定用户级别,并由CA传递用户分级信息给所述应用***,通过验证用户级别与应用***的资源或服务级别的匹配关系决定用户对粗粒度资源或服务的访问权限;
分组权限控制步骤,用于通过所述应用***对用户和资源/服务分别进行分组设定,通过验证用户分组与资源或服务分组之间相交关系决定用户对细粒度资源或服务的访问权限。
上述分级权限控制步骤进一步包括:
步骤S101,通过CA设定用户级别,并在用户完成统一登录认证后,传递用户分级信息给应用***。
用户访问分布式的应用***中的相应资源或服务时,要进行全局登录认证,之后读取该用户级别信息,并将其返回给应用***。为保持***的跨平台性,用户的级别信息与用户名信息一起通过XML文档封装后来进行传递。在利用Java平台的具体实施中,在用户认证的Servlet中将用户名和级别信息写在一个结构化的XML文档中,直接传给客户端。其中,Servlet是用Java编写的服务器端程序,它与协议和平台无关。Servlet运行于支持Java的服务器中,可以动态地扩展服务器的能力,并采用请求—响应模式提供Web服务。
以下代码片段展示了认证授权服务器在用户登录成功后输出用户名及级别信息的代码,通过XML文档返回给客户应用,XML文档的方式增强平台可扩展性和灵活性,其中“_user”是用户名变量,“_level”为用户的级别变量。
步骤S102,应用***得到的XML文档,获取用户名和用户级别信息。
上述步骤S101返回给应用***一个XML文档,此XML文档的格式如下面的代码片段所示。其中包含实际的登录用户名以及用户的级别信息,部署在应用***中的分级访问控制模块具有解析此XML文档的功能,它以***的形式工作,在Java环境中,可使用应用服务器中的过滤器机制实现,通过一个基于SAX的解析器对这个返回的XML文档进行解析,获取其中的用户名和用户的级别信息。其中,SAX是指用于XML的简单API(Simple API forXML,SAX),SAX是一个用于处理XML事件驱动的“推”模型,它是一个得到了广泛认可的API。在本例中,所获取用户名为“lrd”,其级别为“2”。
步骤S103,应用***获取了用户级别以后,用户对受限资源或服务进行访问的时候,本地应用***根据预先约定的资源或服务的级别与该用户的级别比对,决定用户是否可以访问;当用户级别高于或等于资源或服务的级别时,能访问;否则拒绝访问并发出相关的提示信息。
对于加入此授权和访问控制体系的各个应用***,访问控制逻辑在获取用户的级别信息后可以利用Session对象来提高访问效率。将用户名和用户级别等标识信息存入Session对象中,这样当用户访问下一个资源或服务的时候,就不需要因开启新的级别获取进程而去访问CA,提高***的响应。其中Session对象是应用服务器实现的,用于记录使用者私有的数据变量,以作为用户再次对服务器提出要求时做确认,存在Session对象中的变量在用户的一次会话结束前将不会消失,根据实现方式的不同,Session中的变量可以通过多种方式存储。
上述过程中CA中实现认证与授权的模块可以与用户管理等相关模块放到一起部署运行,也可以作为独立的***运行。分布式分级授权及访问控制的对象是比较粗粒度的资源或服务,也就是说对于某一类或属于某一个域的资源或服务是适用的,如对具体的应用模块或某一类信息条目,权限控制可以用分级的方式进行,对于更细化的资源权限控制,如对某条目下的具体不同的数据资源的访问,则属于需要进一步授权的内容,在这种情况下,分级权限控制的步骤或者是其授权和访问权限验证的第一步,可在分级的基础上再借助于分组的授权和访问控制实现其要求。下面进一步描述分组权限控制步骤的实施流程。
上述分组权限控制步骤进一步包括:
步骤S201,预先在本地应用***对用户和资源/服务分别进行分组设定。
一方面,应用***根据分组设定的需要将从部署在通用认证授权服务器的用户信息发布Web服务获取的用户信息入库并实现多元分组设定,另一方面,将应用***中细粒度的资源或服务进行多元分组。组名可以从各应用***管理界面自由设定和添加,组与其分配条目(包括用户和资源/服务)是多对多的关系,一个用户可以属于多个组,一条资源可以属于多个组,一个组中可能有多个用户或资源/服务。具有相交分组的用户和资源/服务具有访问与被访问的权限。
步骤S202,当用户通过分级访问控制的验证,并访问细粒度资源或服务时,通过部署在应用***的分组访问控制逻辑检测用户分组与细粒度资源或服务分组的匹配关系决定用户的访问权限,匹配则能访问,否则拒绝访问并发出相关的提示信息。
用户访问分布式***中需要访问控制的细粒度的资源或服务,部署在应用***的分组访问控制逻辑运作,它检测用户是否和资源或服务是否具有相交分组来判断是否可以访问资源或服务,相当于为资源或服务加了一把锁。
图2是后台资源/服务和用户的分组管理界面示意图,分别表示一个用户所具有的分组和一个资源/服务所具有的分组,由于他们没有相重叠的分组,所以上述的用户无法访问编号为“100101-0-361”这一资源/服务。为了简化实施,如果某一资源或服务没有分配组的时候,该资源或服务是开放的,可以被任何用户访问。
除了权限设定,本方案可以允许多种扩展,如可在分级和分组两个层面增加访问保护期功能,通过增加保护期管理界面来实现设定,各自的访问控制逻辑只需增加适当的验证条件。如图3所示,图3示出了一种数据保护期管理界面示意,一类或某一资源或服务如果由于某种原因当前不允许被访问使用的话,可以在后台设置中对其添加一个解除保护的时间点,没有到达解除保护时间点的资源或服务则称为在保护期以内,这样当用户访问的时候,访问控制模块会自动检测数据是否已经过保护期,并满足访问条件,如果当前时间还在保护期以内,则提示用户该条资源或服务不能被访问。
本发明的方法,对用户和资源/服务的授权在本地应用***,访问控制逻辑也位于各个分布式应用***中。实现了资源或服务可拓的管理模式,为了能将各个不同的应用***中的资源或服务的权限分组统一管理,在CA部署一个用户信息发布Web服务,它的目的是让其它应用***查询并获取所需要设定的用户简单信息。当应用***需要对某一用户进行权限分组时,通过调用认证授权服务器的用户信息发布Web服务来获取,然后将需要赋予用户分组的用户驻留本地数据库中,由于只有登录的用户,也就是有效的用户最终可能使用应用***的用户分组访问控制,所以,应用***通过这个Web服务得到的用户不会受到CA上用户删除或变更的影响,而应用***通过Web服务获取需要的用户信息。
进一步的,本发明还提供了一种实现上述方法的***,图4示出了本发明***模型示意框图,参考图4,该***包括一个通用认证授权服务器10和多个不同类型应用***20,其中,通用认证授权服务器用于提供用户的统一登录认证功能、用户分级设定功能及存储用户信息的数据库,并利用Web服务实现用户信息的发布功能。在用户完成统一登录认证后,CA传递用户分级信息给应用***,而分组设置模块对用户和资源/服务分别进行分组设定。应用***上部署的访问控制逻辑通过验证用户级别与应用***的资源或服务的级别的匹配关系,决定用户对粗粒度资源或服务的访问权限,验证用户分组与数据服务分组之间的相交关系决定用户对细粒度资源或服务的访问权限。
上述通用认证授权服务器10进一步包括了用户分级设定模块101,用户信息发布模块102;各个应用***包括了资源分级访问控制模块201,用户分组设定模块202,资源分组设定模块203和资源分组访问控制模块204。
为实现资源或服务可拓的管理模式,本发明要求对用户和资源/服务的分组授权在分布式应用***中,权限验证逻辑也在分布式应用***中。为了能将各个不同的应用***中的资源或服务的权限分组统一管理,在认证授权服务器部署了一个用户信息发布Web服务,它的目的是让其它应用***查询并获取所需要的简单的用户信息。当应用***需要对某一用户进行权限分组时,就可以通过调用认证授权服务器的这个Web服务来获取,然后将需要赋予用户分组的用户驻留本地数据库中,由于只有登录的用户,也就是有效的用户最终可能使用应用***的用户分组访问控制,所以,应用***通过Web服务获取用户不会受到用户删除或变更的影响,而应用***也只通过Web服务获取所需的用户信息。下面对本发明授权和访问控制的核心功能模块进行详细说明:
用户级别设定模块101:具有对用户分级等相关信息的设定功能,用户的分级成为用户信息的一个属性,它能在用户完成统一登录认证以后,通过约定格式文件返回给应用***;如可以是通过XML文件封装后返回给应用***。CA具有存储用户信息的数据库表,实现用户进行级别设定,可以在用户信息数据库表中增加字段USER LEVEL用于标识用户的级别,这个字段类型为数字型。在用户级别复杂的情况下,也可以单独设立权限控制表(Access ControlList,ACL)等,专门用于用户的权限角色管理,用户的级别可以在后台管理界面中提供设置入口,由***管理员通过管理界面对注册用户进行级别设定。
用户信息发布模块102:它主要是用户信息发布Web服务,以便于分布式应用***对用户信息进行查询和下载。可以通过管理界面决定将哪些用户对外提供,以及对外提供信息的详细程度。用户的分组设定在具体的应用***中部署,这样有利于各个应用***权限的自制。认证授权服务器发布的可用于访问用户信息的Web服务为:ListUserSVR,其相关的操作(方法)有getSimpleUserInfoList:用于获取用户信息类的列表,getCount:用于获取一次搜索得到的用户的条目,getTotal:用于获取本次返回的用户的索引。在此Web服务的设计当中,构建一个简单的描述用户类型的类SimpleUserInfo,其中存储的信息包含用户ID,用户的真实姓名,电子邮件地址以及用户单位。部署在应用***中的用户分组设定模块操作的时候能访问该服务,通过搜索得到的一系列用户的信息,用一个定长类数组来对所有返回的SimpleUserInfo类进行封闭(通过方法getSimpleUserInfoList实现),同时带上相关的索引信息,如一次查询共有多少符合条件的用户(通过方法getCount实现),本次返回了多少个用户(通过方法getTotal实现),getCount和getTotal的返回值实现对用户搜索和分页显示。然后根据设定的需要将用户的信息入本地库并实现分组设定。用户信息发布Web服务中应启用一定的安全机制才能防止用户信息被第三方窃取,通常可采用口令验证和XML加密的方法。另一个层面,在认证授权服务器增加对用户信息开放的管理控制功能,可以设定对一些用户不被访问和分组,还可以针对一些用户对外开放,但是不提供详细信息。而其它用户则可以被搜索出更详细的信息并被使用。这涉及到对SimpleUserInfo类的扩展和对ListUserSVR的加强。
资源分级访问控制模块201:具有对用户级别设定模块101返回应用***包含用户分级格式文件解析的能力,如具有对XML文件进行解析的能力,以从中解析出用户名信息和用户的级别信息,并根据约定对粗粒度、某一类的资源或某一域内的资源或服务根据用户的级别提供访问控制。
用户分组设定模块202:它提供管理界面,可以通过访问用户信息发布模块102的用户信息发布Web服务获取用户信息入库,通过本地管理界面提供针对具体用户的***中的资源或服务的多元分组授权功能。
资源分组设定模块203:提供本地管理界面对应用***中的资源或服务进行的分组授权。该资源分组设定模块203可将应用***中细粒度的资源或服务进行多元分组。组与其分配条目是多对多的关系,一条资源或服务可以属于多个组,一个组中可能有多个资源或服务。
资源分组访问控制模块204:对用户的访问,分组访问控制逻辑动态检测本地所设定的用户和资源/服务的分组,根据用户与资源的分组的对应关系实现访问控制功能。
控制逻辑部署在应用***中,对用户的访问,它检测用户是否和资源或服务所处的分组交集来进行访问控制。
本发明所进行的分布式授权和访问控制是在统一认证的基础上进行的,在统一认证完成以后,可以根据资源或服务的权限需要来选择一个层次的授权或两个层次的授权,分级授权层次对较粗粒度的资源展开的,用户的分级是按照一定的标准对注册用户进行划分,而应用***中的资源服务根据约定对应于不同的用户予以不同的访问权限,高级别的用户具有较高的权限,从而实现对信息***中资源的授权。采用本发明的方法及***,访问CA,获取用户的级别信息,应用***中的分级访问控制模块根据约定来判断用户是否具有粗粒度资源或服务的访问权限,如果有访问权限,则可以访问相应的资源,否则如果需要细粒度的权限控制,则应用***中的资源分组访问控制模块可以通过在应用***中的用户分组设定模块和资源分组设定模块所设置的结果来完成访问控制,授权和访问控制过程简单、灵活和安全。
本发明提供的分布式分级分组双重授权及访问控制方法和***是一种轻量级的解决方案,认证授权服务器可以作为一个独立的网络应用,权限设置及控制客户端软件可以部署在各个需要加入统一认证和权限控制的信息***中,这种机制灵活、简单,可实施性强;此外,可用多种网络编程语言来编写用于实现本发明的操作的计算机代码,不同部分的代码可以作为独立的模块部署在不同的应用***和认证授权服务器,并实现网络环境下的交互,模块化的设计方案使应用***几乎不涉及太多的交互代码就能实现权限控制,简化***的设计,降低了权限控制与业务应用***的逻辑的耦合度,有较强的易用性。
虽然本发明已以一较佳实施例揭露如上,然其并非用以限定本发明,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明做出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (10)
1、一种分布式双重授权及访问控制方法,应用于包括一个通用认证授权服务器和多个不同类型应用***的控制***,其特征在于,包括:
分级权限控制步骤,用于通过所述通用认证授权服务器设定用户级别,并传递用户分级信息给所述应用***,通过验证用户级别与应用***的资源或服务的级别匹配关系决定用户对粗粒度资源或服务的访问权限;
分组权限控制步骤,用于通过所述应用***对用户和资源/服务分别进行分组设定,通过验证用户分组与资源/服务分组之间的相交关系决定用户对细粒度资源或服务的访问权限。
2、根据权利要求1所述的分布式双重授权及访问控制方法,其特征在于,所述分级访问控制步骤进一步包括:
步骤S101,通过所述通用认证授权服务器设定用户级别,并在用户完成统一登录认证后,传递用户分级信息给应用***;
步骤S102,所述应用***解析该用户分级信息,获取用户名和用户级别信息;
步骤S103,用户访问受限资源,本地应用***根据预先约定的资源或服务的级别与该用户的级别比对,决定用户的访问权限;当用户级别高于或等于数据资源的级别时,能访问;否则拒绝访问并发出相关的提示信息。
3、根据权利要求1或2所述的分布式双重授权及访问控制方法,其特征在于,所述分组访问控制步骤进一步包括:
步骤S201,预先在本地应用***对用户和资源/服务分别进行分组设定;
步骤S202,当用户通过级别验证,需要访问受分组权限控制的细粒度资源时,部署在应用***的分组访问控制逻辑检测用户分组与细粒度数据资源分组的关系决定用户的访问权限,如果有相交的分组则能访问,否则拒绝访问并发出相关的提示信息。
4、根据权利要求2所述的分布式双重授权及访问控制方法,其特征在于,在所述步骤S101中,传递用户分级信息时,用户的级别信息与用户名信息通过XML文档进行传递,在所述步骤S102中,采用一个基于SAX的解析器对该XML文档进行解析。
5、一种分布式双重授权及访问控制***,包括一通用认证授权服务器及多个不同类型应用***,其特征在于,包括:其中,
所述通用认证授权服务器,用于提供用户的统一登录认证功能、用户分级设定功能及用户信息的发布功能,在用户完成统一登录认证后,传递用户分级信息给应用***;
所述应用***,用于部署分级和分组访问控制逻辑,并通过验证用户级别与应用***的数据服务的级别的匹配关系决定用户对粗粒度资源或服务的访问权限,验证用户分组与资源或服务分组之间相交关系决定用户对细粒度资源或服务的访问权限。
6、根据权利要求5所述的分布式双重授权及访问控制***,其特征在于,所述通用认证授权服务器上进一步设置:
-用户分级设定模块,用于对用户分级相关信息进行设定,并在用户完成统一登录认证后,将该用户分级相关信息按设定格式文件返回给应用***;
-用户信息发布模块,基于用户库中的信息提供用户信息发布Web服务。
7、根据权利要求5所述的分布式双重授权及访问控制***,其特征在于,所述应用***中进一步设置:
-资源分级访问控制模块,用于从所述格式文件中解析出用户名信息和用户级别信息,并根据约定对相关资源或服务根据用户的级别提供访问控制;
-用户分组设定模块,用于提供管理界面,为本地管理提供针对具体用户的分组设定功能;
-资源分组设定模块,用于提供本地管理对应用***中的资源或服务的分组设定功能;
-资源分组访问控制模块,用于针对用户的访问,动态检测本地所设定的用户和资源/服务的分组,根据该用户与资源的分组的关系实现访问控制功能。
8、根据权利要求6所述的分布式双重授权及访问控制***,其特征在于,所述用户分级设定模块中的用户信息数据库表中增加控制用户级别的USER_LEVEL字段用于标识用户的级别。
9、根据权利要求6所述的分布式双重授权及访问控制***,其特征在于,所述用户分级设定模块中,如果需要更详细的用户分级权限分配,单独设置一权限控制表,专门用于用户的权限角色管理。
10、根据权利要求7所述的分布式双重授权及访问控制***,其特征在于,所述资源分级访问控制模块中包括一个基于SAX的解析器,用于对用户分级设定模块返回给应用***的包含用户分级信息分级XML文件进行解析,获取其中的用户名和用户级别信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910090837A CN101631116B (zh) | 2009-08-10 | 2009-08-10 | 一种分布式双重授权及访问控制方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910090837A CN101631116B (zh) | 2009-08-10 | 2009-08-10 | 一种分布式双重授权及访问控制方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101631116A true CN101631116A (zh) | 2010-01-20 |
| CN101631116B CN101631116B (zh) | 2012-10-17 |
Family
ID=41576062
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910090837A Expired - Fee Related CN101631116B (zh) | 2009-08-10 | 2009-08-10 | 一种分布式双重授权及访问控制方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101631116B (zh) |
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102083068A (zh) * | 2010-12-27 | 2011-06-01 | 中国电信股份有限公司 | 数据预处理及交换服务模块、信息共享方法和*** |
| CN102238181A (zh) * | 2011-06-23 | 2011-11-09 | 苏州阔地网络科技有限公司 | 一种设置优先级的组件访问控制方法及服务器 |
| CN102238088A (zh) * | 2011-06-23 | 2011-11-09 | 苏州阔地网络科技有限公司 | 一种设置优先级的组件访问控制方法及服务器 |
| CN102316152A (zh) * | 2010-06-03 | 2012-01-11 | 微软公司 | 分布式服务授权管理 |
| CN103634271A (zh) * | 2012-08-21 | 2014-03-12 | 腾讯科技(深圳)有限公司 | 一种权限控制***、装置及网络请求的权限控制方法 |
| CN103810441A (zh) * | 2014-01-28 | 2014-05-21 | 浙江大学 | 一种基于规则的多粒度遥感数据访问方法 |
| CN104038501A (zh) * | 2014-06-20 | 2014-09-10 | 西安诺瓦电子科技有限公司 | 显示终端集群管理***及显示终端集群管理方法 |
| CN104169938A (zh) * | 2013-12-30 | 2014-11-26 | 华为终端有限公司 | 权限管理方法和装置 |
| CN104272287A (zh) * | 2012-07-31 | 2015-01-07 | 惠普发展公司,有限责任合伙企业 | 管理应用和网络之间的接口 |
| CN104917793A (zh) * | 2014-03-13 | 2015-09-16 | ***通信集团河北有限公司 | 一种访问控制方法、装置及*** |
| WO2015157935A1 (zh) * | 2014-04-16 | 2015-10-22 | 华为技术有限公司 | 一种流表项管理方法及设备 |
| CN105307130A (zh) * | 2014-06-30 | 2016-02-03 | 中兴通讯股份有限公司 | 一种资源分配方法及*** |
| CN106127547A (zh) * | 2016-06-20 | 2016-11-16 | 上海斐讯数据通信技术有限公司 | 一种车辆管理***及车辆管理方法 |
| CN106126706A (zh) * | 2016-06-30 | 2016-11-16 | 国云科技股份有限公司 | 一种基于角色的资源范围控制方法 |
| CN106230603A (zh) * | 2016-09-19 | 2016-12-14 | 中国传媒大学 | 一种认证授权方法 |
| CN106850623A (zh) * | 2017-02-07 | 2017-06-13 | 浪潮通用软件有限公司 | 一种通用的信息发布权限管理方法 |
| CN107426134A (zh) * | 2016-05-23 | 2017-12-01 | 上海神计信息***工程有限公司 | 一种基于关系的访问控制方法 |
| CN107465653A (zh) * | 2016-06-02 | 2017-12-12 | 北京京东尚科信息技术有限公司 | 权限管理***及方法 |
| WO2018161292A1 (zh) * | 2017-03-09 | 2018-09-13 | 深圳峰创智诚科技有限公司 | 知识产权管理方法和*** |
| CN109376508A (zh) * | 2018-09-26 | 2019-02-22 | 中国平安人寿保险股份有限公司 | 业务单元的管理方法、计算机可读存储介质和终端设备 |
| US10244388B2 (en) | 2013-12-30 | 2019-03-26 | Huawei Device (Dongguan) Co., Ltd. | Location privacy protection method, apparatus, and system |
| CN110413671A (zh) * | 2019-06-28 | 2019-11-05 | 万翼科技有限公司 | 数据查询方法及装置 |
| CN110620782A (zh) * | 2019-09-29 | 2019-12-27 | 深圳市珍爱云信息技术有限公司 | 账户认证方法、装置、计算机设备和存储介质 |
| CN111783076A (zh) * | 2020-08-05 | 2020-10-16 | 绵阳市智慧城市产业发展有限责任公司 | 权限资源构建、建权、授权、验证多场景归一化处理模型 |
| CN112000968A (zh) * | 2020-08-13 | 2020-11-27 | 青岛海尔科技有限公司 | 一种访问的控制方法及装置、存储介质、电子装置 |
| CN113328971A (zh) * | 2020-02-28 | 2021-08-31 | ***通信集团福建有限公司 | 访问资源认证方法、装置及电子设备 |
| CN114462069A (zh) * | 2022-04-12 | 2022-05-10 | 北京天维信通科技有限公司 | 多级租户资源访问管理方法、***、智能终端及存储介质 |
| CN114553484A (zh) * | 2022-01-18 | 2022-05-27 | 国电南瑞科技股份有限公司 | 一种基于二维安全标记的双重访问权限控制方法及*** |
| CN115098843A (zh) * | 2022-05-09 | 2022-09-23 | 武汉华中数控股份有限公司 | 一种基于人脸识别的数控***的权限管理***及方法 |
| CN116599777A (zh) * | 2023-07-18 | 2023-08-15 | 北京睿芯高通量科技有限公司 | 一种多端多级认证、鉴权的方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101499906A (zh) * | 2008-02-02 | 2009-08-05 | 厦门雅迅网络股份有限公司 | 一种基于角色功能映射表实现用户权限管理的方法 |
| CN101478536B (zh) * | 2008-12-08 | 2011-09-14 | 山东浪潮齐鲁软件产业股份有限公司 | 一种解决权限管理中访问控制的方法 |
-
2009
- 2009-08-10 CN CN200910090837A patent/CN101631116B/zh not_active Expired - Fee Related
Cited By (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102316152B (zh) * | 2010-06-03 | 2016-06-15 | 微软技术许可有限责任公司 | 分布式服务授权管理 |
| CN102316152A (zh) * | 2010-06-03 | 2012-01-11 | 微软公司 | 分布式服务授权管理 |
| CN102083068B (zh) * | 2010-12-27 | 2015-04-01 | 中国电信股份有限公司 | 信息共享方法和*** |
| CN102083068A (zh) * | 2010-12-27 | 2011-06-01 | 中国电信股份有限公司 | 数据预处理及交换服务模块、信息共享方法和*** |
| CN102238181A (zh) * | 2011-06-23 | 2011-11-09 | 苏州阔地网络科技有限公司 | 一种设置优先级的组件访问控制方法及服务器 |
| CN102238088A (zh) * | 2011-06-23 | 2011-11-09 | 苏州阔地网络科技有限公司 | 一种设置优先级的组件访问控制方法及服务器 |
| CN104272287A (zh) * | 2012-07-31 | 2015-01-07 | 惠普发展公司,有限责任合伙企业 | 管理应用和网络之间的接口 |
| CN103634271A (zh) * | 2012-08-21 | 2014-03-12 | 腾讯科技(深圳)有限公司 | 一种权限控制***、装置及网络请求的权限控制方法 |
| CN103634271B (zh) * | 2012-08-21 | 2018-07-06 | 腾讯科技(深圳)有限公司 | 一种权限控制***、装置及网络请求的权限控制方法 |
| CN104169938A (zh) * | 2013-12-30 | 2014-11-26 | 华为终端有限公司 | 权限管理方法和装置 |
| US10244388B2 (en) | 2013-12-30 | 2019-03-26 | Huawei Device (Dongguan) Co., Ltd. | Location privacy protection method, apparatus, and system |
| CN103810441A (zh) * | 2014-01-28 | 2014-05-21 | 浙江大学 | 一种基于规则的多粒度遥感数据访问方法 |
| CN104917793A (zh) * | 2014-03-13 | 2015-09-16 | ***通信集团河北有限公司 | 一种访问控制方法、装置及*** |
| CN105191227A (zh) * | 2014-04-16 | 2015-12-23 | 华为技术有限公司 | 一种流表项管理方法及设备 |
| US10693731B2 (en) | 2014-04-16 | 2020-06-23 | Huawei Technologies Co., Ltd. | Flow entry management method and device |
| WO2015157935A1 (zh) * | 2014-04-16 | 2015-10-22 | 华为技术有限公司 | 一种流表项管理方法及设备 |
| CN105191227B (zh) * | 2014-04-16 | 2018-09-21 | 华为技术有限公司 | 一种流表项管理方法及设备 |
| CN104038501B (zh) * | 2014-06-20 | 2017-05-31 | 西安诺瓦电子科技有限公司 | 显示终端集群管理***及显示终端集群管理方法 |
| CN104038501A (zh) * | 2014-06-20 | 2014-09-10 | 西安诺瓦电子科技有限公司 | 显示终端集群管理***及显示终端集群管理方法 |
| CN105307130A (zh) * | 2014-06-30 | 2016-02-03 | 中兴通讯股份有限公司 | 一种资源分配方法及*** |
| CN107426134A (zh) * | 2016-05-23 | 2017-12-01 | 上海神计信息***工程有限公司 | 一种基于关系的访问控制方法 |
| CN107465653A (zh) * | 2016-06-02 | 2017-12-12 | 北京京东尚科信息技术有限公司 | 权限管理***及方法 |
| CN106127547A (zh) * | 2016-06-20 | 2016-11-16 | 上海斐讯数据通信技术有限公司 | 一种车辆管理***及车辆管理方法 |
| CN106126706A (zh) * | 2016-06-30 | 2016-11-16 | 国云科技股份有限公司 | 一种基于角色的资源范围控制方法 |
| CN106126706B (zh) * | 2016-06-30 | 2019-05-21 | 国云科技股份有限公司 | 一种基于角色的资源范围控制方法 |
| CN106230603B (zh) * | 2016-09-19 | 2019-08-16 | 中国传媒大学 | 一种认证授权方法 |
| CN106230603A (zh) * | 2016-09-19 | 2016-12-14 | 中国传媒大学 | 一种认证授权方法 |
| CN106850623A (zh) * | 2017-02-07 | 2017-06-13 | 浪潮通用软件有限公司 | 一种通用的信息发布权限管理方法 |
| WO2018161292A1 (zh) * | 2017-03-09 | 2018-09-13 | 深圳峰创智诚科技有限公司 | 知识产权管理方法和*** |
| CN109376508A (zh) * | 2018-09-26 | 2019-02-22 | 中国平安人寿保险股份有限公司 | 业务单元的管理方法、计算机可读存储介质和终端设备 |
| CN110413671A (zh) * | 2019-06-28 | 2019-11-05 | 万翼科技有限公司 | 数据查询方法及装置 |
| CN110620782A (zh) * | 2019-09-29 | 2019-12-27 | 深圳市珍爱云信息技术有限公司 | 账户认证方法、装置、计算机设备和存储介质 |
| CN113328971A (zh) * | 2020-02-28 | 2021-08-31 | ***通信集团福建有限公司 | 访问资源认证方法、装置及电子设备 |
| CN111783076A (zh) * | 2020-08-05 | 2020-10-16 | 绵阳市智慧城市产业发展有限责任公司 | 权限资源构建、建权、授权、验证多场景归一化处理模型 |
| CN112000968A (zh) * | 2020-08-13 | 2020-11-27 | 青岛海尔科技有限公司 | 一种访问的控制方法及装置、存储介质、电子装置 |
| CN114553484A (zh) * | 2022-01-18 | 2022-05-27 | 国电南瑞科技股份有限公司 | 一种基于二维安全标记的双重访问权限控制方法及*** |
| CN114553484B (zh) * | 2022-01-18 | 2024-05-24 | 国电南瑞科技股份有限公司 | 一种基于二维安全标记的双重访问权限控制方法及*** |
| CN114462069A (zh) * | 2022-04-12 | 2022-05-10 | 北京天维信通科技有限公司 | 多级租户资源访问管理方法、***、智能终端及存储介质 |
| CN114462069B (zh) * | 2022-04-12 | 2022-07-22 | 北京天维信通科技有限公司 | 多级租户资源访问管理方法、***、智能终端及存储介质 |
| CN115098843A (zh) * | 2022-05-09 | 2022-09-23 | 武汉华中数控股份有限公司 | 一种基于人脸识别的数控***的权限管理***及方法 |
| CN116599777A (zh) * | 2023-07-18 | 2023-08-15 | 北京睿芯高通量科技有限公司 | 一种多端多级认证、鉴权的方法 |
| CN116599777B (zh) * | 2023-07-18 | 2023-09-26 | 北京睿芯高通量科技有限公司 | 一种多端多级认证、鉴权的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101631116B (zh) | 2012-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101631116B (zh) | 一种分布式双重授权及访问控制方法和*** | |
| CN101262474B (zh) | 一种基于跨域授权中介实现角色和组映射的跨域访问控制*** | |
| RU2598324C2 (ru) | Средства управления доступом к онлайновой службе с использованием внемасштабных признаков каталога | |
| US8850041B2 (en) | Role based delegated administration model | |
| CA2649862C (en) | Translating role-based access control policy to resource authorization policy | |
| US20140289829A1 (en) | Computer account management system and realizing method thereof | |
| CN101997876B (zh) | 基于属性的访问控制模型及其跨域访问方法 | |
| US8843648B2 (en) | External access and partner delegation | |
| CN101523403A (zh) | 用于在Web服务环境中同步策略控制的方法和*** | |
| CN101297317A (zh) | 支持动态权限和资源共享的方法和*** | |
| CN105051749A (zh) | 基于策略的数据保护 | |
| CN102422298A (zh) | 分布式计算资源的访问控制***和方法 | |
| CN104993926B (zh) | 智能电网中基于云计算的分级密钥管理***与方法 | |
| CN105871914A (zh) | 客户关系管理***访问控制方法 | |
| CN110809006A (zh) | 一种基于区块链的物联网访问控制架构及方法 | |
| CN114363352A (zh) | 基于区块链的物联网***跨链交互方法 | |
| WO2010028583A1 (zh) | 基于权限组件对工作流组件中的权限管理的方法及装置 | |
| CN103778364B (zh) | 管理应用于应用的许可设置 | |
| CN113626853A (zh) | 一种基于区块链的可搜索加密方法及信息数据处理终端 | |
| Chai et al. | BHE-AC: A blockchain-based high-efficiency access control framework for Internet of Things | |
| US8745387B2 (en) | Security management for an integrated console for applications associated with multiple user registries | |
| CN116800541A (zh) | 一种航班运行数据分类分级访问控制及访问方法 | |
| Sabbioni et al. | A decentralized architecture for dynamic and federated access control facilitating smart tourism services | |
| CN112580001B (zh) | 一种基于分布式互通***数据库的访问控制***及方法 | |
| US8898237B1 (en) | Information portal based on partner information |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121017 Termination date: 20210810 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |