[发明专利]一种面向资源管理的授权管理系统及其建立方法

权利要求书

1.一种面向资源管理的授权管理系统，其特征在于，包括授权管理子系统和至少一个与所述授权管理子系统相连的资源管理子系统，

所述授权管理子系统，用于设置本子系统内的角色，并将所述角色传递给所述资源管理子系统；根据用户信息将具有访问权限的角色授予用户；

所述资源管理子系统，用于收集并管理资源；依据所述资源为所述授权管理子系统传递来的角色授予访问权限，并将授权结果返回所述授权管理子系统。

2.根据权利要求1所述的系统，其特征在于，所述授权管理子系统包括角色管理单元、用户管理单元、至少一个用户授权单元、用户属性证书管理单元和资源管理子系统注册单元：

所述角色管理单元，用于设置本子系统内的角色，将角色组成角色树，并依据角色树在预先设置的角色编码空间中对所述角色进行编码，并将编码后的角色传递给所述资源管理子系统；

所述用户管理单元，用于接收用户申请，验证用户信息，并对所述用户信息进行存储；

所述用户授权单元，用于根据所述用户管理单元中的用户信息及所述资源管理子系统返回的授权结果，为用户授予具有访问权限的角色；

所述用户属性证书管理单元，用于对所述拥有访问权限角色的用户签发用户属性证书，并对所述用户属性证书进行管理；

所述资源管理子系统注册单元，用于接收所述资源管理子系统的注册，并为所述资源管理子系统划分资源编码空间。

3.根据权利要求2所述的系统，其特征在于，所述资源管理子系统包括以下单元：

资源管理单元，用于收集资源，将所述资源组成资源树，并依据所述资源树在所述资源编码空间中对所述资源进行编码；

角色授权单元，用于根据所述资源的编码，为所述角色管理单元传递来 的编码后的角色授予访问权限，并将授权结果返回所述用户授权单元。

4.根据权利要求3所述的系统，其特征在于，所述角色的编码为全局唯一编码；所述资源的编码为全局唯一编码。

5.根据权利要求1至4中任意一项所述的系统，其特征在于，包括多个所述授权管理子系统，且授权管理子系统之间存在上下级关系，依据所述上下级关系，授权管理子系统形成树形结构。

6.根据权利要求5所述的系统，其特征在于，所述授权管理子系统形成的树形结构包括，一级授权管理子系统和所述一级授权管理子系统的下级授权管理子系统。

7.根据权利要求6所述的系统，其特征在于，进一步包括授权源点，为所述树形结构的根节点，

所述授权源点用于接收并审查所述一级授权管理子系统的注册，并为所述一级授权管理子系统制定授权策略，签发一级授权管理子系统属性证书。

8.根据权利要求7所述的系统，其特征在于，所述授权策略包括设置所述角色的个数和设置所述下级授权管理子系统的个数，以及资源编码空间和角色编码空间。

9.根据权利要求5所述的系统，其特征在于，所述授权管理子系统还包括：

下级子系统管理单元，用于接受并审查所述下级的授权管理子系统的注册，并为所述下级授权管理子系统制定下级授权策略，签发下级授权管理子系统属性证书。

10.一种面向资源管理的授权管理系统的建立方法，其特征在于，所述面向资源管理的授权管理系统包括授权管理子系统和至少一个与所述授权管理子系统相连的资源管理子系统，该方法包括以下步骤：

设置所述授权管理子系统内的角色，并将所述角色传递给所述资源管理子系统； 

收集并管理资源；依据所述资源为由所述授权管理子系统传递来的角色授予访问权限，并将授权结果返回所述授权管理子系统；

对所述授权管理子系统进行逻辑分级，并根据所述授权结果和用户信息将具有访问权限的角色授予用户；所述逻辑分级即在所述授权管理子系统中设置至少一个用户授权单元，以分别对用户授予不同的具有访问权限的角色。

11.根据权利要求10所述的方法，其特征在于，在将所述角色传递给所述资源管理子系统之前，还包括，

将所述角色组成角色树；

依据所述角色树，在预先设置的角色编码空间中对角色进行全局唯一编码。