[发明专利]基于RBAC模型的高分网格系统身份验证系统

说明书

本发明公开了一种RBAC模型的高分网格系统身份验证系统，包括：针对行业用户和区域用户，为行业用户和区域用户提供分组，每个分组内设定一个用户组管理员，用户组管理员负责分组内的用户的身份验证和权限分配；针对公众用户，系统管理员负责公众用户的身份验证和权限分配；身份验证是通过赋予角色一定的访问权限和通过检查用户的角色来实现的。该系统能够满足高分网格系统的访问控制及身份验证的需求，为高分网格系统的推广奠定基础。

技术领域

本发明属于软件系统权限管理技术领域，特别地涉及一种基于RBAC模型的高分网格系统身份验证系统。

背景技术

现代系统的权限管理和身份验证多采用RBAC方式，并不直接将权限授予用户，而是通过中间层次角色完成。角色一方面与权限关联，代表一组权限的集合；另一方面与用户关联，用户被分配某种角色后便具备了该角色所关联的所有权限。现有的技术中，该流程一般由系统管理员集中完成，即系统管理员负责给系统中的每一个人员进行角色划分并授权，在组织架构相对简单、用户相对较少的系统中，是一种有效的方式。

对于高分网格这种复杂系统，其用户一般分为三种，行业用户、区域用户、公众用户，并且行业用户和区域用户一般拥有较多层级，组织架构一般是树状单元；并且高分网格中的数据密级分为多种，不同层级的用户对不同的数据的访问权限也有区别，因此，如果直接采用RBAC方式进行身份验证权限管理会存在以下问题：

(1)系统管理员需要为系统中所有用户进行角色关联，用户很多，对系统管理员造成较大压力。

(2)高分网格系统中存在不同种类的用户，同一类用户中不同层级的用户所拥有的权限应当是不同的，如果由系统管理员对系统用户进行角色分配，则需要系统管理员充分了解每类用户的具体层级关系及其所能具有的权限，显然系统管理员做不到这种充分了解的程度，实施起来比较困难。

(3)由于高分网格系统的数据分为多个密级，不同权限的角色应该访问对应密级等级的数据，普通的RBAC方式并不能满足这样的要求。

发明内容

为解决上述问题，本发明的目的在于提供一种基于RBAC模型的高分网格系统身份验证系统，其通过将不同种类用户进行分组，组用户由对应所属组管理员分配角色并授权，充分考虑用户的分级和数据的分级，通过角色把具备规定密级要求的用户的权限和具有同等密级的数据进行关联，实现数据的安全使用。

为实现上述目的，本发明的解决方案为：

一种基于RBAC模型的高分网格系统身份验证系统，包括：

针对行业用户和区域用户，为行业用户和区域用户提供分组，每个分组内设定一个用户组管理员，用户组管理员负责分组内的用户的身份验证；

针对公众用户，系统管理员负责公众用户的身份验证；

具体的验证过程为：

注册时，系统管理员或用户组管理员通过分配角色完成角色授权；

注册审核通过的在册用户向高分网格系统发送身份验证请求，系统管理员或用户组管理员会查询所获取的身份验证信息是否存在于身份信息库中，若是，则通过会话控制的技术手段判断在册用户是否只有一个登录会话，如果目前没有登录会话，则验证通过；若否，则提示身份验证失败；

当在册用户对高分网格系统中的数据、页面元素发送访问请求时，系统管理员或用户组管理员首先会获取该用户的角色，并使用该角色所对应的权限与数据、页面元素所对应的密级进行对比，如果该角色所拥有的权限大于数据、页面元素所对应的密级，则在册用户可以使用对应的资源；否则返回权限不足的信息。

若用户想要做用户管理员，用户根据自己组织所属类别和权限需求完成用户组管理员身份的注册及相应角色申请。其中，权限需求可以是一营业执照、身份证复印件等。