[发明专利]一种权限关系数据的生成和调整方法及管理系统

说明书

技术领域

本发明涉及通信领域，尤其是一种权限关系数据的生成和调整方法及管理系统。

背景技术

用户权限是计算机系统的重要数据之一，用户权限的管理主要完成对用户访问设备的控制。具体地：设备命令被赋予权限属性，用户登陆时被赋予一定的权限，该用户只能执行与其权限相符合的命令，这样用户对设备的操作就被限制在一定范围之内了。

现有技术中，对用户权限的管理存在多种方案，例如：

有的方案一共有16个级别，设备的命令可以被动态指定为16个级别中的一个，也可以指定用户的级别。0到15级别之间的关系是由小到大的偏序关系，某级别的用户可以执行低级别或本级别的所有命令，但是比自己级别高的命令不可以执行。在实际的应用中，一般缺省地把命令分布到16个级别中到0、1、15的3个级别上。

有的方案实现为命令可以属于多个类型，类型可以包括多条命令，每个用户登陆时被赋予类型属性，可以执行该类型中的所有命令，之外的命令不能执行。

还有的方案实现为将命令被分布到4个级别上，设备的命令可以被动态指定为4个级别的一个，可以指定用户的级别。1到4级别之间的关系是由小到大的偏序关系，某级别的用户可以执行低级别或本级别的所有命令，但是比自己级别高的命令不可以执行。

在微软实现的基本组权限模型，定义了基本的管理员(administrator)、backup Operators(备份操作员)、访客(Guests)等几个基本命令集合，新创建的组可以包含这几个命令集合的一个或多个，用户属于某个组，实现用户的权限授权，命令集合不能灵活地细分，这与PC机命令本身就很少有关系，不需要更多的细分。组间权限是包含关系和并列关系。微软本地还实现了基于某个资源的权限控制，主要是其PC应用场景决定的(个人在设备上独占某些资源完成一些工作，同其他人独占的资源一般没有关系；同时具有对其他人授权的功能，但是缺省为其他无关系的人无权限)；而网络设备一般各个资源间是相互协同完成工作的，所以授权一般是基于命令操作能力的，对资源访问的控制可以通过滤器对包含某些资源名字的命令执行进行限制完成。

在实现本发明的过程中，发明人发现现有技术至少存在如下问题：

1、细分权限不灵活。在级别数量确定的情况下，例如，级别划分为15级，其中15级为最高级，包含全部的命令集合，而此时需要一权限级别，该权限基本包含的命令比14级多又比15级少，针对此种情况，只能将15级中的部分命令加入到14级中，而这样操作改变了原有的14级的内容，很不方便，而在原有的14级的内容不允许调整的情况下，就没有权限调整和细分权限的空间。如果级别数量允许增减，可以将级别数量增加为16级，此时，将原有15级的内容调整到16级上，根据需要重新设置15级的命令集合，但这种方式，命令调整量很大，尤其在低级别处进行细分时。

2、权限关系模型简单，维护复杂。对于命令级别的权限模型，只维护了级别之间的权限包含关系，导致2个级别的用户权限无叠加成为不可能。而基于类型定义的权限模型因为没有继承关系，不同用户之间的可执行的命令集合很难相互支持，因为增加一个命令的授权，需要改两个用户的类型定义，需要人为地维护2类型之间的权限包含关系。而微软的基本组权限模型也不能灵活地细分权限，只有几个基本权限的包含组合，而且不能将包含的组权限中去掉一些无用的权限的功能。

发明内容

本发明实施例的目的是提供一种权限关系数据的生成和调整方法及管理系统，以实现更加灵活的权限细分。

为实现上述目的，本发明实施例提供了一种权限关系数据的生成方法，包括如下步骤：

设置主级别、子级别以及各级别间的优先级关系，其中子级别从属于主级别；

设置命令集合，各个主级别和子级别分别与一命令集合对应；

将所有命令划分到各个主级别的命令集合中，其中，主级别高的命令集合包括所有比其主级别低的命令集合中的命令；

将主级别的命令集合中的命令，划分到该主级别包含的子级别中，其中，子级别高的命令集合包括所有比其子级别低的命令集合中的命令。

本发明实施例还提供了一种权限关系数据的调整方法，包括：当需要进行权限细分调整时，确定包含权限细分调整所涉及的全部命令的级别中最低的主级别对应的命令集合，调整该主级别所包含的子级别及子级别对应的命令集合。

本发明实施例还提供了一种权限关系数据管理系统，包括：

主级别记录模块，用于记录主级别的优先级关系，并记录各主级别与主级别的命令集合的对应关系；