[发明专利]一种权限管理系统及方法

权利要求书

1.一种权限管理系统，其特征在于，包括权限管理模块、属性证书签发模块、目录服务器和访问管理模块，其中

所述权限管理模块用于管理授权策略的制定以及权限的分配，并且根据实际需要而在授权时为相关权限设置时间约束条件；

所述属性证书签发模块用于根据所述权限管理模块所建立的用户与权限之间绑定关系以及时间约束条件而生成并签发属性证书，并将已经签发成功的属性证书返回给所述权限管理模块，以便由权限管理模块将该属性证书发布到目录服务器；

所述目录服务器用于存储所述属性证书和用户信息；以及

所述访问管理模块用于在用户和目标资源之间建立安全机制，并在用户试图访问目标资源时，根据所述目录服务器中存储的属性证书和用户信息对该用户进行权限认证，以确定是否允许该用户访问该目标资源，从而保护目标资源的安全性。

2.根据权利要求1所述的权限管理系统，其特征在于，所述权限管理模块包括用户管理单元、授权管理单元和时间约束设置单元，其中

所述用户管理单元用于管理与用户有关的信息，并根据这些信息将用户分类成群体；

所述授权管理单元以角色策略管理为基础，用以对用户在权限管理中的各种要素、授权策略的制定以及权限的分配进行管理；以及

时间约束设置单元用于根据实际需要而在授权时为相关权限设置时间约束条件。

3.根据权利要求1所述的权限管理系统，其特征在于，所述访问管理模块包括访问控制单元和单点登陆单元，其中

所述访问控制单元用于在用户和目标资源之间建立安全机制，以在用户试图访问目标资源时，根据所述目录服务器中存储的属性证书和用户信息，判断所述用户是否具有访问权限以及当前访问时刻是否满足所述时间约束条件，只有在确定用户具有访问权限并且当前访问时刻满足所述时间约束条件时，才认定该访问权限有效并允许该用户访问该目标资源，否则，返回该用户没有权限的提示以拒绝其访问该目标资源；以及

所述单点登陆单元基于公钥基础设施技术而提供安全服务，并且可实现基于用户类型和应用系统资源的访问控制管理。

4.根据权利要求2所述的权限管理系统，其特征在于，所述时间约束设置单元采用下述方式之一来设置时间约束条件：

为所述权限设置时间段约束；或

为所述权限设置周期性时间约束；或

为所述权限同时设置时间段约束和周期性时间约束。

5.根据权利要求4所述的权限管理系统，其特征在于，所述时间段约束所采用的格式串结构为：时间段的起始年月日|时间段的终止年月日；

所述周期性时间约束所采用的格式串结构为：每一周期的起始日|每一周期的终止日；以及

同时设置时间段约束和周期性时间约束时所采用的格式串结构为：时间段的起始年月日|时间段的终止年月日&&每一周期的起始日|每一周期的终止日。

6.一种权限管理方法，其特征在于，包括下述步骤：

1)制定授权策略并为用户分配权限，同时根据实际需要为相关用户权限设置时间约束条件；

2)根据用户权限和相关时间约束条件而生成并签发属性证书；

3)将已经签发成功的属性证书发布到目录服务器；

4)在某一用户试图访问目标资源时，根据所述目录服务器中存储的用户信息和属性证书对该用户进行权限认证，以确定是否允许该用户访问该目标资源，从而保护目标资源的安全性。

7.根据权利要求1所述的权限管理方法，其特征在于，在所述步骤1)中采用下述方式之一来设置时间约束条件：

为所述权限设置时间段约束；或

为所述权限设置周期性时间约束；或

为所述权限同时设置时间段约束和周期性时间约束。

8.根据权利要求7所述的权限管理方法，其特征在于，仅设置时间段约束时所采用的格式串结构为：时间段的起始年月日|时间段的终止年月日；

仅设置周期性时间约束时所采用的格式串结构为：每一周期的起始日|每一周期的终止日；以及

同时设置时间段约束和周期性时间约束时所采用的格式串结构为：时间段的起始年月日|时间段的终止年月日&&每一周期的起始日|每一周期的终止日。