[发明专利]一种基于树形组织模型的机构应用权限管理方法及服务系统

说明书

本发明公开了一种基于树形组织模型的机构应用权限管理方法及服务系统。本方法为：建立机构之间的树形组织模型，即机构树；其中，每一机构对应于所述机构树中的一节点，为机构设置应用和人员，根据人员所属机构为对应人员设置其所属机构的公共应用访问权限；对于每一人员设定一对应属性等级，对于每一应用，依据用户属性等级分别设置对应访问策略；每个机构具有唯一机构ID和从属路径，机构的从属路径表示该机构在机构树上的位置，即从机构树根节点出发到达该机构对应的节点所要经过的机构ID。本发明通过树形组织模型来管理不同层级的机构、下属人员以及应用三者之间的从属关系，简化应用权限管理操作的同时又满足访问权限差异性的需求。

技术领域

本发明属于计算机技术、信息安全技术领域，涉及一种基于树形组织模型的应用权限管理方法及服务系统。适用于在多层级机构结构中管理下属人员的应用访问权限的使用场景。

背景技术

组织模型就是对企业(或机构)组织结构进行建模，是利用抽象的模型或者元素，构造出的一系列关系，用于表达企业组织机构中的实体间的层次和隶属。绝大多数的组织机构都以树形层次结构为主：企业的组织机构由一系列层次化的组织单元构成，每一个组织单元属于某一个层次，对其下一层次的组织单元具有管理职责与权限，并对上一层次的组织单元负责，从而形成企业的组织树。组织树中的每一个节点定义了对底层节点的约束和目标。该模型虽然在组织结构建模中应用广泛，但是没有涉及到授权管理和访问控制。

目前，最常见的授权管理和访问控制的方法是基于角色的访问控制(RBAC)。其基本思想是，对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限。这样做的好处是，不必在每次创建用户时都进行分配权限的操作，只要分配用户相应的角色即可，而且角色的权限变更比用户的权限变更要少得多，这样将简化用户的权限管理，减少系统的开销。

RBCA将权限的划分完全依赖于角色，不同的权限就要分配依赖不同的角色。当面对需要划分众多不同权限时，该方法依然会要求分配众多的角色，缺乏灵活性。另一方面，RBCA的权限是静态的，即在授权之后，权限不变。但是随着技术的发展，现在账户的认证状态可能有多种：可能是口令认证登录，也可能是数字证书认证登录。在这种情况下，用户不同的登录状态应该对应不同的权限等级，基于角色的静态权限管理不能满足其需求。

而到目前为止，本领域内仍没有利用树形组织模型及用户认证状态的应用授权管理技术，此课题的研究和探索具有重大的价值和意义。

发明内容

本发明针对背景技术中描述的现状，提出一种基于树形组织模型的机构应用权限管理方法及服务系统，适用于多级机构结构中管理下属人员的应用访问权限的使用场景，通过树形组织模型来管理不同层级的机构、下属人员以及应用三者之间的从属关系，简化应用权限管理操作的同时又满足访问权限差异性的需求。

本发明所采取的技术方案是：

在机构之间，使用树形组织模型表示机构上下级的从属关系，该模型被称为机构树。应用和人员都归属于机构树上的某一个节点，人员根据自己所属的机构节点，获得其所属机构的公共应用访问权限，而不需要额外的授权，免去重复设定相同权限的操作；在机构内部，应用依据用户属性等级来制定访问策略，应用的访问策略规定了要访问该应用的人员需要的满足属性等级，通过为人员设定不同的属性等级来授予人员不同的应用访问权限，实现权限设定的差异化。

进一步地，所述树形组织模型为一种机构结构的表现形式，在应用系统中，每个机构都有唯一机构ID标识和从属路径。从属路径表示该机构在树形结构上的位置，包含着从机构树的根节点出发到达该机构对应的节点所要经过的机构ID，所有机构节点的从属路径的总和形成一个完备的机构树。