[发明专利]一种分布式双重授权及访问控制方法和系统

说明书

技术领域

本发明涉及分布式网络环境下用户对分布式资源或服务的授权和访问控 制技术，特别是一种分布式分级分组双重授权及访问控制方法和系统。

背景技术

企业内部的信息设施往往由异构分布式应用系统组成，实现这些应用系统 的集成是未来的发展趋势，不仅如此，大型应用系统自身的构成也出现了分布 式集成的特性，通过将不同的模块整合达到某一应用的目的。不同的信息系统， 尤其是Web应用系统，其集成需要实现对用户的统一管理和认证，在此基础 上，为进一步对信息系统和资源访问进行控制，就需要实现针对用户的资源或 服务的授权和访问控制。

授权和访问控制所实现的功能是对访问应用系统中的资源或服务的权限 控制，它是网络信息设施的一个重要组成部分，通过限制资源访问，防止非法 用户的侵入或合法用户的不慎操作而造成的破坏，从而保证系统资源或服务的 合法使用。访问控制的核心是授权策略和方法，即用于确定一个主体是否能对 客体拥有访问能力的一套规则，在分布式的网络环境下，主体是注册用户，客 体是分布系统中不同粒度和类别的资源或服务。

传统应用系统的权限管理实质是建立用户、角色、资源、操作权限的映射 关系集合，满足对资源控制的需求，例如，申请号为00129495.4的专利文献 公开了一种企业间基于角色的授权的方法，基于角色的访问控制虽然也有其优 势和适用的范围，但现在企业内部的信息系统多数是分布式的，其构建也往往 采用开放的面向服务的架构(Service Oriented Architecture，SOA)，并多采用 Web服务进行松散的整合，XML技术成为其主要的技术方法。而且信息系统 的资源类型复杂，流程复杂，基于角色的访问控制模型已无法满足需求，成为 了制约信息流动的瓶颈之一。具体地，传统的基于角色的权限控制模型的数据 访问控制能力有限，缺乏灵活性。一方面权限的过分集中而不能满足需求，另 一方面提高了授权逻辑的复杂度，并大大增加了系统管理员的工作量，对于授 权对象的粒度也往往比较少地考虑，因此针对分布式网络环境下的权限控制需 要考虑不同的应用需求，从各个不同的角度来实现。

单纯的用户分级授权能解决一般资源的授权和访问控制问题，但由于它属 于一维的授权模式，对于复杂情况力不从心，当资源或服务存在于多个层面， 从而需要有多个限制因素的时候，一维的授权方式也不能满足要求，也就是说 如果把权限控制粒度只设定到某一类别或较粗粒度上的话，对于更细化的资源 或服务就无法控制。

发明内容

本发明所要解决的技术问题在于提供一种分布式双重授权及访问控制方 法和系统。

为达到上述目的，本发明提供的分布式双重授权及访问控制方法，应用于 包括一个通用认证授权服务器和多个不同类型应用系统的控制系统，其特征在 于，包括：

分级权限控制步骤，用于通过所述通用认证授权服务器设定用户级别，并 传递用户分级信息给所述应用系统，通过验证用户级别与应用系统的资源或服 务的级别匹配关系决定用户对粗粒度资源或服务的访问权限；

分组权限控制步骤，用于通过所述应用系统对用户和资源/服务分别进行 分组设定，通过验证用户分组与资源/服务分组之间的相交关系决定用户对细 粒度资源或服务的访问权限。

上述分布式双重授权及访问控制方法，其特征在于，所述分级访问控制步 骤进一步包括：

步骤S101，通过所述通用认证授权服务器设定用户级别，并在用户完成 统一登录认证后，传递用户分级信息给应用系统；

步骤S102，所述应用系统解析该用户分级信息，获取用户名和用户级别 信息；

步骤S103，用户访问受限资源，本地应用系统根据预先约定的资源或服 务的级别与该用户的级别比对，决定用户的访问权限；当用户级别高于或等于 数据资源的级别时，能访问；否则拒绝访问并发出相关的提示信息。

上述分布式双重授权及访问控制方法，其特征在于，所述分组访问控制步 骤进一步包括：

步骤S201，预先在本地应用系统对用户和资源/服务分别进行分组设定；

步骤S202，当用户通过级别验证，需要访问受分组权限控制的细粒度资 源时，部署在应用系统的分组访问控制逻辑检测用户分组与细粒度数据资源分 组的关系决定用户的访问权限，如果有相交的分组则能访问，否则拒绝访问并 发出相关的提示信息。