[发明专利]一种研发设计资源的访问授权方法及系统

权利要求书

1.一种研发设计资源的访问授权方法及该访问授权方法依托的访问授权系统，其特征在于：包括：动态决策模块、任务监控模块、动态感知模块、用户角色库模块、资源库模块、用户信息库模块、权限及策略管理模块、虚拟管理员模块；

任务监控模块分别与用户角色库模块、资源库模块、用户信息库模块以及动态感知模块相连，动态决策模块分别与用户角色库模块、资源库模块以及用户信息库模块相连；权限及策略管理模块与动态决策模块、动态感知模块以及虚拟管理员模块相连，更进一步地：动态决策模块接收资源访问请求以及用户角色库模块、资源库模块、用户信息库模块以及权限及策略管理模块的信息，输出动态访问决策结果；动态感知模块接收任务监控模块发送来的命令，输出信息给权限及策略管理模块以及虚拟管理员模块；虚拟管理员模块接收权限及策略管理模块、动态感知模块传递的信息，输出信息给权限及策略管理模块；用户角色库模块、资源库模块、用户信息库模块接收任务监控模块传递的信息，输出信息给动态决策模块。

2.根据权利要求1所述的访问授权系统，其特征在于：所述访问授权系统中各模块的信息流动关系如下：

动态决策模块首先获取并解析资源访问请求，获取用户角色库模块、资源库模块、用户信息库模块提供的信息，依据权限及策略管理模块提供的授权策略做出动态访问决策结果并返回给用户；在当前任务结束后下一任务开始前，任务监控模块将任务变动的命令传递给用户角色库模块、资源库模块、用户信息库模块以及动态感知模块，动态感知模块将用户角色、资源、用户信息变动情况传递给权限及策略管理模块、虚拟管理员模块，虚拟管理员模块将用户角色权限模型传递给权限及策略管理模块，权限及策略管理模块将计算得到的新授权策略传递给动态决策模块以及虚拟管理员模块。

3.根据权利要求2所述的访问授权系统，其特征在于：所述动态决策模块用于获取并解析任意一个发起资源访问请求的用户所发送的资源访问请求；其中，所述资源访问请求包括所述用户信息，当前任务信息以及被访问资源的资源信息；所述动态决策模块还用于：基于所述用户信息、所述当前任务信息、所述资源信息，判断所述用户是否具有访问所述资源的权限，以及响应于所述用户具有访问所述资源的权限，允许所述用户访问所述资源。

4.根据权利要求3所述的访问授权系统，其特征在于：当对资源进行授权时，首先构建用户角色树、资源类型关系树，由此使得授权过程存在隐含授权，隐含授权包括用户角色权限的继承和通过资源类型之间包含关系、推导出的衍生权限。在流程节点处设置虚拟管理员，虚拟管理员结合相邻任务的节点信息，计算出用户角色权限模型，传递给下一任务节点处的虚拟管理员，由此实现用户资源访问权限在相邻任务中的打包传递。

5.根据权利要求4所述的访问授权系统，其特征在于：所述任务监控模块，用于监控项目的流程节点，并将任务的变动信息传递给动态感知模块。

6.根据权利要求5所述的访问授权系统，其特征在于：所述动态感知模块，用于感知当前任务中用户角色、资源实例的变化；所述动态感知模块包括：用户角色感知模块，用于感知当前任务中用户角色类型与上一任务中的不同；资源实例感知模块，用于感知当前任务中资源实例的变化及各个资源实例间的组织关系；通常而言，资源类型不会随任务发生大的变化。

7.根据权利要求6所述的访问授权系统，其特征在于：所述用户信息库模块，用于存储用户信息，包括用户的唯一标识、用户名、职位、所属部门以及用户对应的用户角色；所述用户角色库模块，用于存储预设用户角色信息，即提供用户角色信息及存储服务，预设用户角色信息即表明当前任务中有哪些用户角色可以访问资源。用户角色库由权限策略中进行授权引用；所述资源库模块，用于存储预设资源信息，预设资源实例信息表明当前任务中具体访问的资源；其中，资源是对外提供服务的实体，按照资源粒度和资源类型对被访问资源进行层级划分；每一资源信息采用唯一标识索引，权限中心可对资源库进行授权引用。