多用户权限分配方法与流程

本发明涉及一种多用户权限分配方法。

背景技术：

通常情况下，根据在同一时间(点)使用某设备(或系统)用户的多少，可分为单用户系统和多用户系统。单用户系统表示一个用户独自占用系统的全部硬件和软件资源，单用户下，此用户对本地系统拥有绝对的权限；反之，而在同一时间(点)允许多个用户同时使用设备(或系统)，则为多用户系统。

多用户系统应用广泛，由于使用了“分时共用”的基本思路，多用户可以很大程度上保护用户的投资。但由于存在相互之间的交叉动作，多用户系统的交互关系较为复杂，特别是同安全相关的权限问题更为突出，如：用户和用户之间、用户和设备之间、用户和应用之间，都会存在是否使用、是否可用、是否给用等权限控制的问题。

无论从“控制力度”方面，还是“控制方向”方面，用户和权限都是密不可分的、不能回避的系统安全管理范畴。

(1)用户或用户身份认证，是要告诉软硬件系统“我是谁”，诸如：用户名称登记、口令验证、规则匹配、指纹识别等都可以将不良用户拒绝于系统之外；

(2)对于良性用户(通过认证的用户)，还要确认该用户是否有权限(有资格)使用指定的软硬件资源，如：某个重要的涉密文件，不是所有的用户都可以查看的，只会对部分特定用户开放。

对于上述的身份验证和权限分配的问题，现有系统多采用“建立用户，赋予权限”的二步走方式。对于小的应用系统，这二个步骤可以很好地解决用户和权限的控制问题；但当用户数量极增、权限较多、分配关系复杂的情况下，上述“二步走”的方式不但会花费较多的时间成本，分配方式也不够灵活，更改操作也较为繁琐。

技术实现要素：

本发明提出一种多用户权限分配方法，解决了现有系统多采用“建立用户，赋予权限”的二步走方式。对于小的应用系统，这二个步骤可以很好地解决用户和权限的控制问题；但当用户数量极增、权限较多、分配关系复杂的情况下，上述“二步走”的方式不但会花费较多的时间成本，分配方式也不够灵活，更改操作也较为繁琐的问题。

本发明的技术方案是这样实现的：

一种多用户权限分配方法，包括以下步骤：

(1)部署并设置多用户权限分配服务组件；

(2)所述多用户权限分配服务组件根据应用名称、组件名称、插件名称和/或软硬件设备名称，自动生成对应的调用程序，

(3)所述多用户权限分配服务组件包括默认权限和自定义权限，并自动为每一调用程序分配权限；

(4)若需访问某应用、组件、插件和/或软硬件设备，则通过加载对应的调用程序来访问。

优选的，所述默认权限包括：

使用，用于限定是否具有使用对应的应用、组件、插件或软硬件设备的权限；

建立，用于限定是否可以建立数据或内容；

修改，用于限定是否可以修改数据或内容；

删除，用于限定是否可以删除数据或内容；

引用，用于限定是否可以引用其他调用程序的数据或内容；

启动，用于限定是否可以开启应用、组件、插件或硬件设备；

关闭，用于限定是否可以关闭应用、组件、插件或硬件设备。

优选的，步骤(2)中，自动生成对应的调用程序，具体包括生成调用程序的名称，调用程序的名称基于地点、框架、应用或设备的组合格式构成。

优选的，若多个所述调用程序具有共同的权限或操作，则所述多用户权限分配服务组件将上述多个调用程序划分为调用程序集合。

优选的，某一调用程序的自定义权限分享给另一调用程序。

优选的，还包括以下步骤：

(5)若需更新或修改调用程序的权限，则所述多用户权限分配服务组件仍可自动加载对应的调用程序的名称，更新或修改其权限。

优选的，所述调用程序、默认权限和自定义权限加密后独立存储。

优选的，所述调用程序、默认权限和自定义权限的加密方式为base64加密，表现为二进制码或随机显示码。

本发明的有益效果在于：多用户权限分配服务组件除了支持普通的用户名称，用户口令，赋值权限等常规的分配方法，还支持应用或硬件设备设施的自动用户名称映射、权限自动分配功能，即组件软件应用或硬件设备设施可以自动生成用户名称并分配归属范围内的权限操作，可简化用户和权限的分配工作量，节省分配时间，特别是当应用或硬件设备设施数量众多时，效果更加明显。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种多用户权限分配方法一个实施例的流程图；

图2为调用程序的实施例一的示意图；

图3为调用程序的实施例二的示意图；

图4为调用程序集合的示意图；

图5为用户和权限的分配动作是“双向的”的示意图；

图6为现有技术权限多次分配的流程图；

图7为本发明权限统一分配的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明提出了一种多用户权限分配方法，包括以下步骤：

(1)在整体软件应用架构下部署并设置多用户权限分配服务组件；多用户权限分配服务组件在整体软件应用架构下可用usersruleframe表示。

(2)所述多用户权限分配服务组件根据应用名称、组件名称、插件名称和/或软硬件设备名称，自动生成对应的调用程序，

步骤(2)中，自动生成对应的调用程序，具体包括生成调用程序的名称，调用程序的名称基于地点、框架、应用或设备的组合格式构成。比如地点@框架@应用或硬件设备。

如图2和图3所示，停车场有一套入口设备(包括1台道闸，1台摄像机，1台车辆检测器)，则usersruleframe可以自动将入口设备中的三台子设备分别映射生成三个调用程序：park_name@base_name@switch，park_name@arch_name@camera，park_name@base_name@checker；(其中park_name表示停车场的识别号或识别字符，base_name表示该停车场建立的系统中对应的应用框架的识别号)，这三个调用程序不是使用者手工建立的。usersruleframe服务组件会自动建立这三个调用程序，并使用个三台设备的名称自动生成。当然，上述的三台设备需要接入整体软件应用框架，并且已经正确命名。

如果某个应用需要访问入口摄像机1，则可以在该应用中将调用程序pack_name@base_name@cemera_in_01放置进来，之后直接访问此设备；同理，需要访问出口的检测器2，则可以通过调用程序pack_name@base_name@checker_out_02来访问。由于cemera_in_01和checker_out_02是直接由usersruleframe关联到实际硬件设备的，默认取得了管理员权限，则上述应用也直接取得了这些设备的管理员权限，而无需再次设置权限；如果管理员权限太大，也可通过usersruleframe在应用中去除某些指定的权限，或重新分配合适的权限；

(3)所述多用户权限分配服务组件包括默认权限和自定义权限，并自动为每一调用程序分配权限；

(4)若需访问某应用、组件、插件和/或软硬件设备，则通过加载对应的调用程序来访问。

在本发明的实施例中，所述默认权限包括：

使用(use)，用于限定是否具有使用对应的应用、组件、插件或设备的权限；如：用户甲可以使用入库道闸，但不能使用出口检测器；

建立(crt)，用于限定是否可以建立数据或内容；如：用户甲可以在远程逻辑磁盘上新创建一个文件，用户乙不能在内存缓冲区中建立一个临时buffer等；

修改(mdy)，用于限定是否可以修改数据或内容；例如：用户甲不能修改由用户乙创建的数据集，但可以修改用户丙共享出来的某个文档内容；

删除(drp)，用于限定是否可以删除数据或内容；

引用(ref)，用于限定是否可以引用其他调用程序的数据或内容；此处ref多表示引用其他用户释放的某些内容，而use权限表示是否可以使用某些具体应用或具体的设备；

启动(opn)，用于限定是否可以开启应用、组件、插件或设备；相对于应用而言，opn或下面的cls表示，是否可以执行该应用；例如：用户甲在应用框架下使用plugin组件书写了一套针对rs232接口操作的应用，当用户乙需要调用此应用时，需要opn权限，表示乙用户可以执行甲用户发布的此应用；

关闭(cls)，用于限定是否可以关闭应用、组件、插件或设备。如，用户禁止关闭停车场的入口道闸，但可以关闭入口的摄像机；

对于“自定义权限”而言，没有严格意义上的名称规范或长度要求，只需要组件之间的前后名称约定一致即可；但如果组件需要同硬件设备交互，由于硬件支持环境的多样性，应该以硬件设备可识别的标准保持一致：例如：很多pcl控制电路，不支持中文接口，仅支持英文标识，则“自定义权限”中就不要包含中文字符。

在本发明的实施例中，若多个所述调用程序具有共同的权限或操作，则所述多用户权限分配服务组件将上述多个调用程序划分为调用程序集合。调用程序集合在调用程序较多，关系复杂的情况下可显著提高分配效率。如：将某些具有相同特性的的硬件设备设施共同划分到“设备用户组”，都具有opn、cls权限，表示此集合中的所属调用程序可以启动或关闭这些硬件设备设施；

图4示例了四个用户集合：分别是(a)“框架管理员atombaseframeadmin”(名称唯一且固定，在框架内拥有绝对的权限)、(b)“框架用户集合”(包含框架下各组件的管理员用户，名称唯一且固定，在所属的组件内拥有绝对的权限)、(c)“设备用户集合”(图示中仅标示了三个设备用户，分别对应某停车场入口的硬件设备，每个用户对所属的设备都拥有绝对权限)、(d)“普通用户集合”(一般用户，具体权限需要具体分配)。

在本发明的实施例中，某一调用程序的自定义权限分享给另一调用程序。如此，其他调用程序针对不同的应用或硬件设备不需要再设置一次相同功能的权限，仅需调用已有的自定义权限即可。

在本发明的实施例中，还包括以下步骤：

(5)若需更新或修改调用程序的权限，则所述多用户权限分配服务组件仍可自动加载对应的调用程序的名称，更新或修改其权限。

如图5-图7硬件设备设施自动映射调用程序的名称并自动分配该硬件设备的管理员权限，无需手工干预；在数量众多的控制系统或自动化系统中，可节省大量时间；同时，这些自动映射的调用程序对于整个应用框架都是透明可用的(可以更新或修改权限)，需要操作此类设备设施时，加载设备设施的调用程序的名称即可。例如：四个用户a，b，c，d都需要操作入口摄像机，在传统方式情况下，可能需要四次对应的分配关系，采用usersruleframe组件后，使用的方式不再是每个用户都单独调用相关设备，而仅仅是由pack_name@base_name@camera_in_01调用，用户a，b，c，d只需要同@camera_in_01用户交互，@camera_in_01用户再和实际的入口摄像机交互。

在本发明的实施例中，所述调用程序、默认权限和自定义权限加密后独立存储。

在本发明的实施例中，所述调用程序、默认权限和自定义权限的加密方式为base64加密，表现为二进制码或随机显示码。

本发明的有益效果在于：

1)多用户权限分配服务除了支持普通的用户名称，用户口令，赋值权限等常规的分配方法，还支持应用或设备设施的自动用户名称映射、权限自动分配功能，即应用框架下的组件应用或硬件设备设施可以自动生成用户名称并分配归属范围内的权限如此操作，可简化用户和权限的分配工作量，节省分配时间，特别是当应用或硬件设备设施数量众多时，效果更加明显。

2)自动分配的用户和权限在整个usersruleframe组件下，可自动生效，无需使用人工操作的方式来手动分配，同时，usersruleframe组件中配置的用户、权限以及相互之间的关系对整个应用框架都是有效的，应用框架下的其他应用或接入的硬件设备设施无需再次建立用户和分配权限；

3)usersruleframe服务下，用户和权限是相互独立的，用户就是用户，权限就是权限，二者无论是物理上，还是逻辑上，都是独立存在的；“用户拥有什么什么权限”是分配的结果，而不是与生俱来的特性；即使由usersruleframe服务自动创建的用户，并且自动分配管理员权限，也是usersruleframe在服务内部使用了建立和分配的过程，只是在实际使用过程中对用户做出了透明化而已。将用户和权限分离，也是应用框架下“高内聚，低耦合”特性的表现形式之一。

4)用户和权限的分配动作是“双向的”，即：用户可以被分配权限，权限也可以被指定给用户；无论站在用户的角度，还是站在权限的角度，二者是平行的并列的关系，并且是相互补充的。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。