[发明专利]一种权限管理系统及方法

说明书

技术领域

本发明涉及信息安全技术，具体而言，涉及一种用于对用户权限进行管理的系统及相关方法。

背景技术

随着信息化技术的发展，目前众多企事业单位都已实现信息化管理，并且根据员工所处部门和职位等而实施用户权限管理。所谓用户权限管理，就是对用户访问/使用系统的权力所进行的管理。

通常，现有的用户权限管理系统在进行授权管理的设计时，主流方式均是以角色策略管理为基础，全面安全地解决用户在授权管理中各种要素的管理、各种授权策略的制定和各种权限的分配等管理功能。所谓角色指的是应用系统中权限的集合。对于授权，均是直接将授权的主体和客体即权限信息进行直接绑定，然后把生成的绑定关系通过目录服务器进行发布。用户在访问相应的业务资源时，业务系统会把用户的身份和用户访问的资源信息传递给访问控制系统，访问控制系统会去目录服务器上检索二者之间的对应关系，如果存在对应关系，则说明该用户具有访问该资源的权限，于是访问控制系统会将相应结果返回给业务系统，业务系统根据该结果而允许该用户访问该资源；反之，如果不存在对应关系，则说明该用户不具有访问该资源的权限，于是业务系统将不允许该用户访问该资源。

基于上述权限管理系统，如果要取消权限，则需要在系统中将用户与权限之间的绑定关系解除，同时在目录服务器中删除相应的授权信息。这样，访问控制系统在针对业务系统提及的访问控制请求时，由于无法检索到用户和资源之间的对应关系，则会将相应的结果返回给业务系统，从而不允许该用户访问该资源，这样便实现了权限的取消。

由上可知，现有的权限管理系统中，用户权限的授予和取消均需要通过管理员手工操作，而无法实现权限的自动取消。也就是说，在授权之后需要由管理员对权限进行监控、修改或重新设置，这不仅增大了权限管理的难度和复杂度，而且也导致人力和物力成本的极大浪费。特别是在人员数目比较大、权限的取消比较频繁的情况下，这种缺陷尤为突出。

此外，现有的权限管理系统中，对于权限的取消需要管理员手工进行干预，从而导致权限管理时效性比较差。特别是对于权限时效性要求比较强的场合(例如，仅在一段时期内使某一用户具有访问系统的权限，过了该时间段将不再允许该用户访问该系统)，由于不能及时地灵活地修改/取消权限而给系统带来很大风险。

然而如若仅设置权限，并在授权之后不再对其进行任何监控，则无法根据实际需要来及时修改或取消权限，从而导致用户一直享有最初所设置的权限，这势必也会导致系统存在安全隐患、增大系统风险。

发明内容

为解决上述问题，本发明提供一种权限管理系统及方法，其可以方便及时地对权限进行设置和自动取消，从而降低了权限管理的难度和复杂度，同时也降低了系统风险。

为此，本发明提供一种权限管理系统，其包括权限管理模块、属性证书签发模块、目录服务器和访问管理模块。其中，所述权限管理模块用于管理授权策略的制定以及权限的分配，并且根据实际需要而在授权时为相关权限设置时间约束条件；所述属性证书签发模块用于根据所述权限管理模块所建立的用户与权限之间绑定关系以及时间约束条件而生成并签发属性证书，并将已经签发成功的属性证书返回给所述权限管理模块，以便由权限管理模块将该属性证书发布到目录服务器；所述目录服务器用于存储所述属性证书和用户信息；以及所述访问管理模块用于在用户和目标资源之间建立安全机制，并在用户试图访问目标资源时，根据所述目录服务器中存储的属性证书和用户信息对该用户进行权限认证，以确定是否允许该用户访问该目标资源，从而保护目标资源的安全性。

其中，所述权限管理模块包括用户管理单元、授权管理单元和时间约束设置单元。所述用户管理单元用于管理与用户有关的信息，并根据这些信息将用户分类成群体；所述授权管理单元以角色策略管理为基础，用以对用户在权限管理中的各种要素、授权策略的制定以及权限的分配进行管理；以及时间约束设置单元用于根据实际需要而在授权时为相关权限设置时间约束条件。