基于PMI的委托授权管理方法及装置与流程

本发明涉及通信领域，尤其涉及一种基于pmi的委托授权管理方法及装置。

背景技术：

pmi(privilegemanagementinfrastructure，授权管理基础设施)是国家信息安全基础设施的一个重要组成部分，目标是向用户和应用程序提供授权管理服务，提供用户身份到应用授权的映射功能，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发与维护。

pmi是一个属性证书、属性权威、属性证书库等部件构成的综合系统，用来实现权限和证书的产生、管理、存储、分发和撤销等功能。pmi使用属性证书表示和容纳权限信息，通过管理证书的生命周期实现对权限生命周期的管理。属性证书的申请、签发、注销、验证流程对应着权限的申请、发放、撤销、使用和验证的过程。而且，使用属性证书进行权限管理方式使得权限的管理不必依赖某个具体的应用，而且利于权限的安全分布式应用。pmi以资源管理为核心，对资源的访问控制权统一交由授权机构统一处理，即由资源的所有者来进行访问控制。

pmi授权服务体系以高度集中的方式管理用户和为用户授权，并且采用适当的用户身份信息来实现用户认证，主要是pki体系下的数字证书，也包括动态口令或者指纹认证技术。安全平台将授权管理功能从应用系统中分离出来，以独立和集中服务的方式面向整个网络，统一为各应用系统提供授权管理服务。

pmi在体系上可以分为三级，分别是信任源点(soa中心)、属性权威机构aa中心和aa代理点。在实际应用中，这种分级体系可以根据需要进行灵活配置，可以是三级、二级或一级。授权管理系统的总体架构如图1所示。

(1)信任源点(soa中心)。信任源点(soa中心)是整个授权管理体系的中心业务节点，也是整个授权管理基础设施pmi的最终信任源和最高管理机构。soa中心的职责主要包括：授权管理策略的管理、应用授权受理、aa中心的设立审核及管理和授权管理体系业务的规范化等。

(2)授权服务中心aa。属性权威机构aa中心是授权管理基础设施pmi的核心服务节点，是对应于具体应用系统的授权管理分系统，由具有设立aa中心业务需求的各应用单位负责建设，并与soa中心通过业务协议达成相互的信任关系。aa中心的职责主要包括：应用授权受理、属性证书的发放和管理，以及aa代理点的设立审核和管理等。aa中心需要为其所发放的所有属性证书维持一个历史记录和更新记录。

(3)授权服务代理点。aa代理点是授权管理基础设施pmi的用户代理节点，也称为资源管理中心，是与具体应用用户的接口，是对应aa中心的附属机构，接受aa中心的直接管理，由各aa中心负责建设，报经主管的soa中心同意，并签发相应的证书。aa代理点的设立和数目由各aa中心根据自身的业务发展需求而定。aa代理点的职责主要包括应用授权服务代理和应用授权审核代理等，负责对具体的用户应用资源进行授权审核，并将属性证书的操作请求提交到授权服务中心进行处理。

(4)访问控制执行者。访问控制执行者是指用户应用系统中具体对授权验证服务的调用模块，因此，实际上并不属于授权管理基础设施的部分，但却是授权管理体系的重要组成部分。访问控制执行者的主要职责是：将最终用户针对特定的操作授权所提交的授权信息(属性证书)连同对应的身份验证信息(公钥证书)一起提交到授权服务代理点，并根据授权服务中心返回的授权结果，进行具体的应用授权处理。

在基于pmi技术的访问控制模式中，用户要访问某个业务，首先需要经过管理员的授权才能访问。如果业务的授权管理员不能及时授权，那用户就无法访问该业务。

技术实现要素：

本发明实施例提供一种基于pmi的委托授权管理方法及装置，用以解决现有技术中的上述问题。

本发明实施例提供一种基于pmi的委托授权管理方法，包括：

基于pmi的授权模型，根据业务授权管理员的操作确定待委托管理员，并授予委托资源集合，其中，所述委托资源集合为当前业务资源的部分集合；

为每个委托资源集合生成委托业务编码，关联原有业务；

根据受委托管理员的操作创建角色并进行角色授权；

根据受委托管理员的操作进行用户组授权和用户授权。

优选地，所述委托业务编码作为虚拟业务id，用于标识以下信息：资源、角色、组、用户授权信息以及信息之间的关联关系。

优选地，授予委托资源集合之后，所述方法进一步包括：

为业务授权管理员和受委托管理员提供委托的业务列表、所委托的资源集合、补集，即与全集资源相差的集合的查看。

优选地，关联原有业务具体包括：

在原先所有业务id上增加委托业务编码；

全局可见业务列表不变，列表中没有委托业务编码的为原业务id。

优选地，所述方法进一步包括：

为业务授权管理员提供所有委托业务编码、全部委托的资源、受委托管理员的查看。

优选地，根据受委托管理员的操作创建角色并进行角色授权具体包括：

根据受委托管理员的操作在委托的资源里面对角色授权，保存所操作的角色和资源对应的业务id、委托业务编码。

优选地，根据受委托管理员的操作进行用户组授权和用户授权具体包括：

根据受委托管理员的操作对组授权，保存所操作的组和角色对应的业务id、委托业务编码；

根据受委托管理员的操作对用户授权，保存所操作的用户、组和角色对应的业务id、委托业务编码。

优选地，根据受委托管理员的操作进行用户授权具体包括：

以增量的方式对所有用户授权，禁止修改原有授权。

本发明实施例还提供了一种基于pmi的委托授权管理装置，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述方法所述的信号测量方法的步骤。

采用本发明实施例，通过基于pmi的授权模型，对业务的部分资源管理权限的授权委托和撤销委托，在保持原有授权管理方式同样有效的前提下，增加了一种业务的授权方式，使得权限管理更加灵活。本委托授权支持分级的授权支持集中授权和分布授权相结合的方式。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1是本发明实施例中基于pmi的委托授权总体架构；

图2是本发明实施例中基于pmi的委托授权管理方法的处理流程图；

图3是本发明实施例中基于pmi的委托授权管理装置的示意图；

图4是本发明实施例中基于pmi的委托授权管理装置委托授权页面。

具体实施方式

本发明实施例提供一种委托授权的方法，业务的授权管理员可以将该业务的全部或部分资源委托给受委托管理员，由受委托管理员代为授权。通过基于pmi的授权模型，对业务的部分资源管理权限的授权委托和撤销委托，在保持原有授权管理方式同样有效的前提下，增加了一种业务的授权方式，使得权限管理更加灵活。本委托授权支持分级的授权支持集中授权和分布授权相结合的方式。

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

业务授权管理员所管辖的业务一般为本单位的业务。业务授权管理员可以将所管辖的全部或部分业务权限委托给指定的受委托管理员，受委托管理员可在委托范围内授权。委托的为权限树集合。

受委托管理员可查看获取的权限树，采用基于rbac的模型，建立角色、组并授权给用户。权限树授权应在5秒内完成。

委托授权不影响原有授权体系。

委托授权有如下功能：委托资源给指定的受委托管理员，该受委托管理员在委托资源范围内可新建角色，对人员、人员组授权。

(1)委托授权

该业务授权管理员为主管业务的领导，委托授权操作。选择“待委托管理员”(可从管理员或普通用户里面选择)，授予委托资源集合，为当前业务资源的部分集合。

为每个委托资源集合生成委托业务编码，该委托业务编码相当于虚拟业务id，标识以下：资源、角色、组、用户授权信息以及信息之间的关联关系。

委托授权成功之后，业务授权管理员和受委托管理员均可查看委托的业务列表、所委托的资源集合、补集(与全集资源相差的集合)。

(2)受委托管理员

受委托管理员可对如下资源操作：

1)业务列表(委托业务和原先授权业务)

增加委托业务编码，业务和委托业务的关联。原先所有业务id的地方均加上委托业务编码。

全局可见业务列表不变，列表除了业务id还需要扩展委托业务编码，没有委托业务的编码为原业务id。

2)委托资源

在委托授权功能下面，可对所委托的资源查看。业务授权管理员可查看所有委托业务编码、全部委托的资源、受委托管理员。

3)授权路径

采用原有授权流程，受委托管理员与正常看到的业务一样。

角色授权

可在委托的资源里面对角色授权，保存所操作的角色和资源对应的业务id、委托业务编码。

组授权

可对组授权，保存所操作的组和角色对应的业务id、委托业务编码。

用户授权

可对用户授权，保存所操作的用户、组和角色对应的业务id、委托业务编码。

委托授权可以对所有用户授权，但是增量的方式，不能去掉原有授权。

如图2所示，委托授权包括以下步骤：

1)业务授权管理员选择委托的对象，即受委托管理员；2)选择待委托管理的业务资源集合；3)为委托资源集合生成委托业务编码，关联原有业务；4)受委托管理员创建角色并进行角色授权；5)受委托管理员进行用户组授权、用户授权。

本发明实施例提供一种基于pmi的授权管理系统装置，如图3所示，包括：存储器210、处理器220及存储在所述存储器210上并可在所述处理器220上运行的计算机程序，所述计算机程序被所述处理器220执行时实现基于pmi的授权管理方法所述的步骤。图4为授权管理系统装置内的委托授权页面。

综上所述，本发明实施例通过基于pmi的授权模型，对业务的部分资源管理权限的授权委托和撤销委托，在保持原有授权管理方式同样有效的前提下，增加了一种业务的授权方式，使得权限管理更加灵活。本委托授权支持分级的授权支持集中授权和分布授权相结合的方式。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。