社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法
【專利摘要】本發(fā)明提出一種社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法�。其中,所述方法包括:S1�����,根據(jù)多個應(yīng)用的關(guān)聯(lián)性將多個應(yīng)用劃分為多個應(yīng)用分組�����;S2����,獲取每個應(yīng)用分組中應(yīng)用的角色,并根據(jù)應(yīng)用的角色生成角色分組����,其中,角色分組和多個應(yīng)用分組中至少一個應(yīng)用分組相關(guān)聯(lián)���;S3��,獲取角色分組中角色的角色類型���、上級角色和角色屬性,并根據(jù)角色類型、上級角色和角色屬性采用集中授權(quán)和/或分級授權(quán)的方式對用戶的應(yīng)用進行授權(quán)��。本發(fā)明實施例方法�����,支持用戶在使用應(yīng)用協(xié)同的過程中的溝通����、交流和協(xié)作��,使得用戶在業(yè)務(wù)應(yīng)用中的角色的描述信息能夠按照規(guī)則的配置成為社交域中的用戶認(rèn)證信息的有效來源���。
【專利說明】社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云服務(wù)系統(tǒng)���,尤其涉及一種社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法?�!颈尘凹夹g(shù)】
[0002]基于角色的訪問控制是在應(yīng)用軟件系統(tǒng)中廣泛采用的一種訪問控制方法��,該方法使用角色來描述一組相關(guān)的應(yīng)用�,將角色作為關(guān)聯(lián)用戶和應(yīng)用的中介,從而簡化對用戶進行應(yīng)用授權(quán)的過程�。由于基于角色的訪問控制要求授權(quán)過程集中完成,因此隨著大型組織中業(yè)務(wù)應(yīng)用規(guī)模的不斷增長和非流程類業(yè)務(wù)應(yīng)用的增加,由單個管理員集中完成所有應(yīng)用的用戶授權(quán)的難度越來越大�。
[0003]社交云服務(wù)系統(tǒng)是基于網(wǎng)絡(luò)為多個用戶群體同時提供交流協(xié)作支持的垂直云服務(wù)系統(tǒng),它為不同群體提供完全相互獨立的網(wǎng)絡(luò)交流協(xié)作空間��,例如��,如圖1所示����。每個獨立的網(wǎng)絡(luò)交流協(xié)作空間稱為一個社交域,每個社交域由用戶�����、群組�����、關(guān)系和應(yīng)用共四部分組成�����,并擁有獨立的訪問地址��、用戶界面��、用戶空間、應(yīng)用空間和數(shù)據(jù)空間���。多個相互獨立的社交域可以為每個用戶提供多個獨立的網(wǎng)絡(luò)交流協(xié)作空間��,使網(wǎng)絡(luò)空間中的社交環(huán)境與現(xiàn)實中的社交環(huán)境更加接近���,從而能夠避免公共的網(wǎng)絡(luò)空間中的社交環(huán)境中存在的由單一的社交空間而引起的用戶社交域混合的問題。
[0004]在組織中�����,社交域以人為線索將組織內(nèi)部的各種信息�����、業(yè)務(wù)流程����、人和群體組織起來��,既可以為組織成員提供交流和協(xié)作的服務(wù)�,又可以作為組織內(nèi)部不同方面應(yīng)用的入口,最終成為組織內(nèi)部的社交門戶���。以社交門戶為入口的各個方面的應(yīng)用通常采用基于角色的訪問控制方法或者其他擴展的基于角色的訪問控制模型�����,不同方面的應(yīng)用通常會使用不同的角色模型����,而且它們的具體授權(quán)方式也會有因業(yè)務(wù)的規(guī)模、管理方式和業(yè)務(wù)流程等存在差異���。對于流程性較強����、業(yè)務(wù)規(guī)模較小的應(yīng)用���,采用基于角色的訪問控制方法即可���。對于流程性較強、業(yè)務(wù)規(guī)模較大的應(yīng)用�,用戶角色的劃分比較細(xì)致,其訪問控制在采用基于角色的訪問控制的基礎(chǔ)上�,需要支持面向角色的分級授權(quán),即用戶角色授權(quán)是分散的�;對于流程性較弱����、協(xié)作性較強的應(yīng)用�,用戶角色劃分不會很細(xì)致,其訪問控制在采用基于角色的訪問控制的基礎(chǔ)上�����,需要支持面向應(yīng)用的分級授權(quán)��,即用戶角色授權(quán)是集中的�,應(yīng)用角色授權(quán)是分散的。
[0005]與傳統(tǒng)的信息門戶不同����,社交門戶不僅可以作為應(yīng)用的入口�,而且可以在應(yīng)用中為用戶提供結(jié)識、溝通�����、交流和協(xié)作的空間��,即通過社交門戶中的推薦引擎和用戶信息展示來幫助用戶結(jié)識其他用戶����,通過社交門戶中的群組和社交應(yīng)用來支持用戶之間的溝通���、交流和協(xié)作。因此�����,應(yīng)用的訪問控制如何與支持用戶結(jié)識�、溝通、交流和協(xié)作相結(jié)合也是社交云服務(wù)應(yīng)用訪問控制中亟待解決的關(guān)鍵問題�����。
【發(fā)明內(nèi)容】
[0006]本發(fā)明旨在至少解決上述技術(shù)問題之一��。
[0007]為此,本發(fā)明的第一個目的在于提出一種社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法�。該方法支持用戶在使用應(yīng)用協(xié)同的過程中的溝通、交流和協(xié)作���,并使得用戶在業(yè)務(wù)應(yīng)用中的角色的描述信息能夠按照規(guī)則的配置成為社交域中的用戶認(rèn)證信息的有效來源�。
[0008]為了實現(xiàn)上述目的�����,本發(fā)明第一方面實施例的社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法,包括:所述社交云服務(wù)系統(tǒng)包括多個社交域�,每個社交域包括多個用戶和多個應(yīng)用,所述方法具體包括:S1���,根據(jù)所述多個應(yīng)用的關(guān)聯(lián)性將所述多個應(yīng)用劃分為多個應(yīng)用分組�;S2��,獲取每個應(yīng)用分組中應(yīng)用的角色��,并根據(jù)所述應(yīng)用的角色生成角色分組�,其中,所述角色分組和所述多個應(yīng)用分組中至少一個應(yīng)用分組相關(guān)聯(lián)����;以及S3,獲取所述角色分組中角色的角色類型�、上級角色和角色屬性,并根據(jù)所述角色類型����、上級角色和角色屬性采用集中授權(quán)和/或分級授權(quán)的方式對用戶的應(yīng)用進行授權(quán)��。
[0009]本發(fā)明實施例的社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法�,具有以下有益效果:
(I)�����、將角色與社交域中的群組和群組角色關(guān)聯(lián)起來���,從而使得以社交域作為入口的相同應(yīng)用分組的用戶可以在社交域中關(guān)聯(lián)一個或者一組群組中的指定群組角色,支持用戶在使用應(yīng)用協(xié)同的過程中的溝通�����、交流和協(xié)作��。(2)�、將角色的描述信息與社交域中的用戶認(rèn)證信息關(guān)聯(lián)起來,使得用戶在業(yè)務(wù)應(yīng)用中的角色的描述信息能夠按照規(guī)則的配置成為社交域中的用戶認(rèn)證信息的有效來源�����。
[0010]本發(fā)明附加的方面和優(yōu)點將在下面的描述中部分給出�,部分將從下面的描述中變得明顯,或通過本發(fā)明的實踐了解到�。
【專利附圖】
【附圖說明】
[0011]本發(fā)明上述的和/或附加的方面和優(yōu)點從下面結(jié)合附圖對實施例的描述中將變得明顯和容易理解,其中��,
[0012]圖1為現(xiàn)有技術(shù)中社交云服務(wù)系統(tǒng)的示意圖;
[0013]圖2是根據(jù)本發(fā)明一個實施例的社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法的流程圖���;
[0014]圖3(a)_(c)是根據(jù)本發(fā)明一個實施例的社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法的不意圖�����;
[0015]圖4是根據(jù)本發(fā)明一個實施例的社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法的授權(quán)示意圖���;
[0016]圖5是根據(jù)本發(fā)明一個實施例的二級用戶角色授權(quán)的流程圖;
[0017]圖6是根據(jù)本發(fā)明一個實施例的二級用戶應(yīng)用授權(quán)的流程圖����;
[0018]圖7是根據(jù)本發(fā)明一個實施例的角色模型的示意圖;以及
[0019]圖8是根據(jù)本發(fā)明一個具體實施例的社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法的流程圖��。
【具體實施方式】
[0020]在本發(fā)明的描述中����,需要理解的是,術(shù)語“第一”����、“第二”僅用于描述目的,而不能理解為指示或暗示相對重要性或者隱含指明所指示的技術(shù)特征的數(shù)量�����。由此�����,限定有“第一”�����、“第二”的特征可以明示或者隱含地包括至少一個該特征�。在本發(fā)明的描述中,“多個”的含義是至少兩個���,例如兩個�,三個等��,除非另有明確具體的限定��。[0021]流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為�,表示包括一個或更多個用于實現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分�����,并且本發(fā)明的優(yōu)選實施方式的范圍包括另外的實現(xiàn),其中可以不按所示出或討論的順序��,包括根據(jù)所涉及的功能按基本同時的方式或按相反的順序�,來執(zhí)行功能,這應(yīng)被本發(fā)明的實施例所屬【技術(shù)領(lǐng)域】的技術(shù)人員所理解�����。
[0022]下面參考附圖描述根據(jù)本發(fā)明實施例的社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法�����。
[0023]本發(fā)明的目的是提出一種支持分級授權(quán)而且能夠與社交云服務(wù)提供的協(xié)作和交流服務(wù)相結(jié)合的社交云服務(wù)應(yīng)用訪問控制方法�����。圖2是根據(jù)本發(fā)明一個實施例的社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法的流程圖�,圖3(a)_(c)是根據(jù)本發(fā)明一個實施例的社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法的示意圖,圖8是根據(jù)本發(fā)明一個具體實施例的社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法的流程圖�����。如圖2�、圖3和圖8所示,該社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法包括����,
[0024]SI���,根據(jù)多個應(yīng)用的關(guān)聯(lián)性將多個應(yīng)用劃分為多個應(yīng)用分組�����。
[0025]S2���,獲取每個應(yīng)用分組中應(yīng)用的角色��,并根據(jù)應(yīng)用的角色生成角色分組�����,其中��,角色分組和多個應(yīng)用分組中至少一個應(yīng)用分組相關(guān)聯(lián)�。
[0026]S3����,獲取角色分組中角色的角色類型、上級角色和角色屬性�����,并根據(jù)角色類型、上級角色和角色屬性采用集中授權(quán)和/或分級授權(quán)的方式對用戶的應(yīng)用進行授權(quán)���。
[0027]具體而言����,對用戶的應(yīng)用進行授權(quán)時,可同時采用集中授權(quán)和分級授權(quán)兩種方式���。集中授權(quán)采用擴展的基于角色的授權(quán)�����,即�����,通過對用戶授權(quán)角色和對應(yīng)用授權(quán)角色來實現(xiàn)對用戶的應(yīng)用授權(quán)����;分級授權(quán)包含兩級授權(quán)����,即一級授權(quán)和二級授權(quán)���,并且分級授權(quán)可分為面向應(yīng)用的分級授權(quán)和面向角色的分級授權(quán)兩種方式。
[0028]在本發(fā)明的實施例中�,集中授權(quán)的方式可以為:
[0029]S31,在一級授權(quán)中完成應(yīng)用分組中的應(yīng)用對角色分組中的角色的授權(quán)和用戶對角色的授權(quán)����。
[0030]S32�����,在一級授權(quán)完成的同時完成應(yīng)用分組中應(yīng)用對用戶的授權(quán)����。
[0031]具體而言,如圖3(a)所示��,在擴展的基于角色的授權(quán)中���,應(yīng)用對角色的授權(quán)和用戶對角色的授權(quán)均在一級授權(quán)中完成�����。當(dāng)對應(yīng)用和用戶對同一角色授權(quán)的均完成后�,應(yīng)用對用戶的授權(quán)也同時完成。在應(yīng)用對角色的授權(quán)完成之后�����,被授權(quán)角色的描述信息同時按照規(guī)則被添加到社交域的用戶認(rèn)證信息中����,用戶也一并以指定的群組角色加入到與角色關(guān)聯(lián)的群組中。
[0032]在本發(fā)明的實施例中���,步驟S3具體還包括:
[0033]S33���,在面向應(yīng)用的分級授權(quán)中,在一級授權(quán)中完成應(yīng)用分組中的應(yīng)用對角色分組中的角色的授權(quán)���,并在二級授權(quán)中完成用戶對應(yīng)用分組中的應(yīng)用的授權(quán)����。
[0034]具體而言����,如圖3(b)所示,在面向應(yīng)用的分級授權(quán)中���,一級授權(quán)完成應(yīng)用對角色的授權(quán)�����,即完成角色和應(yīng)用��、應(yīng)用操作的關(guān)聯(lián)�����;二級授權(quán)完成用戶和應(yīng)用的關(guān)聯(lián)����。此時����,要求用于確定被授權(quán)用戶的角色的授權(quán)方式是集中授權(quán),對應(yīng)用的授權(quán)方式是分級授權(quán)且負(fù)責(zé)分級授權(quán)的角色是其各級的上級角色����,即,要求用于確定被授權(quán)用戶的角色和負(fù)責(zé)分級授權(quán)的角色具有相同的角色屬性值或用戶屬性值���。在應(yīng)用對角色的授權(quán)完成后�����,被授權(quán)角色的描述信息同時按照規(guī)則被添加到社交域的用戶認(rèn)證信息中�,用戶也一并以指定的群組角色加入到與角色關(guān)聯(lián)的群組中。
[0035]S34��,在面向角色的分級授權(quán)中�����,在一級授權(quán)中完成應(yīng)用分組中應(yīng)用對角色分組中的角色的授權(quán)�����,并在二級授權(quán)中完成用戶對角色分組中的角色的授權(quán)���。
[0036]如圖3(c)所示���,在面向角色的分級授權(quán)中,一級授權(quán)完成應(yīng)用的角色授權(quán)�,即完成角色和應(yīng)用、應(yīng)用操作的關(guān)聯(lián)��,二級授權(quán)完成用戶的角色授權(quán)。此時��,要求被授權(quán)的角色的授權(quán)模式是分級授權(quán)���,即要求被授權(quán)角色存在上級角色且角色屬性為前置屬性��;同時�����,在進行被授權(quán)角色的應(yīng)用授權(quán)時����,授權(quán)模式必須選擇集中授權(quán)����。當(dāng)對應(yīng)用和用戶對同一角色授權(quán)的均完成后�����,應(yīng)用對用戶的授權(quán)也同時完成�����。在應(yīng)用對角色的授權(quán)完成之后,被授權(quán)角色的描述信息同時按照規(guī)則被添加到社交域的用戶認(rèn)證信息中��,用戶也一并以指定的群組角色加入到與角色關(guān)聯(lián)的群組中�。
[0037]下面結(jié)合圖4詳細(xì)說明一下本發(fā)明實施例的社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法中的授權(quán)流程。圖4是根據(jù)本發(fā)明一個實施例的社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法的授權(quán)示意圖�����,如圖4所示�����,
[0038]a)設(shè)置角色分組的信息�����、角色的基本信息�����,以及應(yīng)用分組的信息����、應(yīng)用的基本信息、應(yīng)用的操作信息�����。
[0039]b)設(shè)置功能角色間的二級授權(quán)關(guān)系,對于需要二級授權(quán)的功能角色確定負(fù)責(zé)對其進行二級授權(quán)的功能角色����,負(fù)責(zé)授權(quán)的角色和被授權(quán)的角色需要同時存在關(guān)聯(lián)的數(shù)據(jù)角色或者同時不存在關(guān)聯(lián)數(shù)據(jù)角色,而且負(fù)責(zé)授權(quán)的角色應(yīng)當(dāng)是被授權(quán)角色的各級上級角色�;對于前一種情況,要求用于細(xì)分兩個功能角色關(guān)聯(lián)的數(shù)據(jù)角色的用戶屬性是前置屬性��;
[0040]c)進行一級用戶角色授權(quán)���,候選角色應(yīng)當(dāng)是不關(guān)聯(lián)數(shù)據(jù)角色的功能角色或者數(shù)據(jù)角色�,而且不能是b)中設(shè)置的需要二級授權(quán)的功能角色及其關(guān)聯(lián)的數(shù)據(jù)角色��;
[0041]d)進行一級應(yīng)用角色授權(quán)����,即對應(yīng)用確定其對每個功能角色是否授權(quán),如果授權(quán)且功能角色存在關(guān)聯(lián)的數(shù)據(jù)角色而且不能是b)中設(shè)置的需要二級授權(quán)的功能角色��,則需要進一步選擇授權(quán)方式是集中授權(quán)或者分級授權(quán)����;當(dāng)采用分級授權(quán)方式時還需要設(shè)置負(fù)責(zé)二級應(yīng)用用戶授權(quán)的功能角色,負(fù)責(zé)二級應(yīng)用用戶授權(quán)的功能角色必須存在關(guān)聯(lián)的數(shù)據(jù)角色��,而且用于細(xì)分兩個功能角色關(guān)聯(lián)的數(shù)據(jù)角色的用戶屬性必須是相同的����,用戶屬性可以是前置屬性或者后置屬性;
[0042]e)進行二級用戶角色授權(quán)�����,僅在在面向角色的分級授權(quán)中存在�;二級用戶角色授權(quán)根據(jù)當(dāng)前用戶的角色提取其可以授權(quán)的角色列表和用戶列表,讓當(dāng)前用戶在上述范圍內(nèi)確定哪些用戶擁有哪些角色��,進一步結(jié)合被授權(quán)角色關(guān)聯(lián)的應(yīng)用列表確定已完成角色授權(quán)用戶可以訪問的應(yīng)用���;確定用戶的待授權(quán)角色列表和每個角色的可授權(quán)用戶列表的流程如圖5所示����。圖5是根據(jù)本發(fā)明一個實施例的二級用戶角色授權(quán)的流程圖�����,如圖5所示��,在本發(fā)明的實施例中,
[0043]S501�,獲取用戶的角色列表。
[0044]S502�����,獲取角色列表中的當(dāng)前角色及當(dāng)前角色的屬性值����。
[0045]S503,判斷當(dāng)前角色是否為數(shù)據(jù)角色��。
[0046]S504��,如果當(dāng)前角色是數(shù)據(jù)角色���,則獲取當(dāng)前角色相關(guān)聯(lián)的功能角色及功能角色的屬性值���。
[0047]S505,根據(jù)功能角色查找功能角色負(fù)責(zé)授權(quán)的其它功能角色����。[0048]S506,根據(jù)當(dāng)前角色相關(guān)聯(lián)的功能角色的屬性值和功能角色負(fù)責(zé)授權(quán)的其它功能角色獲取當(dāng)前角色負(fù)責(zé)授權(quán)的數(shù)據(jù)角色作為用戶可授權(quán)的角色�����。
[0049]S507,如果當(dāng)前角色不是數(shù)據(jù)角色����,則查找當(dāng)前角色負(fù)責(zé)授權(quán)的功能角色作為用戶可授權(quán)的角色。
[0050]S508�,獲取待授權(quán)角色及待授權(quán)角色的屬性值。
[0051]S509�,判斷待授權(quán)角色是否是數(shù)據(jù)角色。
[0052]S510��,如果待授權(quán)角色是否是數(shù)據(jù)角色�����,則獲取待授權(quán)角色相關(guān)聯(lián)的功能角色及待授權(quán)角色相關(guān)聯(lián)的功能角色的屬性值�。
[0053]S511,在當(dāng)前角色的屬性值所確定的指定表中查找與待授權(quán)數(shù)據(jù)角色的屬性值具有相同的字段值的角色���,以及記錄具有相同的字段值的角色作為可授權(quán)角色的待授權(quán)用戶����。
[0054]S512����,如果待授權(quán)角色是否是數(shù)據(jù)角色����,則在待授權(quán)角色的屬性值所確定的指定表中查找指定字段值與用戶在指定表中指定字段值相同的角色��,并記錄指定字段值相同的角色對應(yīng)的用戶作為可授權(quán)角色的待授權(quán)用戶����。
[0055]S513,判斷是否還有未處理的待授權(quán)角色�。
[0056]S514,如果沒有未處理的待授權(quán)角色��,則判斷是否還有未處理的角色����。其中,如果有未處理的待授權(quán)角色�,則重復(fù)上述S508-S512
[0057]S515,如果沒有未處理的角色�,則顯示用戶的待授權(quán)角色及每個可授權(quán)角色對應(yīng)的待授權(quán)用戶,其中�����,如果有未處理的角色,則重復(fù)上述S502-S513��。
[0058]f)進行二級用戶應(yīng)用授權(quán)��,僅在面向應(yīng)用的分級授權(quán)中存在����;二級用戶應(yīng)用用戶授權(quán)根據(jù)當(dāng)前用戶的角色提取其可授權(quán)的應(yīng)用列表和用戶列表��,讓當(dāng)前用戶在上述范圍內(nèi)確定哪些用戶可以訪問哪些應(yīng)用�����,如圖6所示�����。圖6是根據(jù)本發(fā)明一個實施例的二級用戶應(yīng)用授權(quán)的流程圖�,如圖6所示,在本發(fā)明的實施例中��,
[0059]S601���,獲取用戶的角色列表�。
[0060]S602,獲取角色列表中的第一角色��。
[0061]S603�����,判斷第一角色是否是數(shù)據(jù)角色���。
[0062]S604����,如果第一角色是數(shù)據(jù)角色��,則獲取與第一角色相關(guān)聯(lián)的功能角色����,其中,如果第一角色不是數(shù)據(jù)角色����,則跳過S604。
[0063]S605����,獲取由功能角色負(fù)責(zé)二級授權(quán)的應(yīng)用列表���,并將應(yīng)用列表作為用戶可授權(quán)的應(yīng)用。
[0064]S606��,獲取應(yīng)用列表中的可授權(quán)應(yīng)用�����,并獲取可授權(quán)應(yīng)用授權(quán)的功能角色列表��。
[0065]S607�,獲取角色列表中的第二角色��。
[0066]S608�����,判斷第二角色是否為數(shù)據(jù)角色�。
[0067]S609,如果第二角色為數(shù)據(jù)角色,則獲取第二角色的屬性值,其中,第二角色的屬性值與數(shù)據(jù)角色的屬性值相同�,并從數(shù)據(jù)列表中獲取與功能角色相關(guān)聯(lián)的數(shù)據(jù)角色。
[0068]S610�,查找已授權(quán)的數(shù)據(jù)角色對應(yīng)的用戶,并將數(shù)據(jù)角色對應(yīng)的用戶作為可授權(quán)應(yīng)用的待授權(quán)用戶。
[0069]S611����,如果第二角色不為數(shù)據(jù)角色,則根據(jù)功能角色的屬性值所確定的指定表獲取用戶的字段值�。[0070]S612,并在指定表中查找與所述字段值對應(yīng)的用戶�����,并將所述用戶作為所述可授權(quán)應(yīng)用的待授權(quán)用戶���。
[0071]S613��,判斷用戶的角色列表是否還有未處理的角色�����。
[0072]S614��,如果沒有未處理的角色��,則判斷是否還有未處理的可授權(quán)應(yīng)用���,其中����,如果有未處理的角色��,則重復(fù)上述S607-S612�����。
[0073]S615����,如果沒有未處理的可授權(quán)應(yīng)用,則顯示用戶的可授權(quán)應(yīng)用及每個可授權(quán)應(yīng)用對應(yīng)的待授權(quán)用戶�����,其中�,如果有未處理的可授權(quán)應(yīng)用�����,則重復(fù)上述S606-S614���。
[0074]下面詳細(xì)說明一下本發(fā)明實施例中授權(quán)元素和授權(quán)關(guān)系����。
[0075]USERS = {user+}:用戶的集合;
[0076]user = (userid, username, Userproperty1, Userproperty2,..., Userpropertyn):用戶�,userid和username分別表示用戶id和用戶名,Userpropertyi表示用戶屬性����;
[0077]ROLEGROUPS = {roIegroup+1:角色分組的集合;
[0078]rolegroup = (rolegroupid, rolegroupname):角色分組��,rolegroupid 和roIegroupname分別表示角色分組id和角色分組名稱�����;
[0079]APPGROUPS = {appgroup+}:應(yīng)用分組的集合,應(yīng)用分組必須有關(guān)聯(lián)的角色分組,一個應(yīng)用分組只能關(guān)聯(lián)一個角色分組����,一個角色分組可以被多個應(yīng)用分組關(guān)聯(lián);
[0080]appgroup = (appgroupid, appgroup_name, rolegroupid):應(yīng)用分 組��,appgroupid���、appgroup_name和rolegroupid分別表示應(yīng)用分組id����、應(yīng)用分組名稱和應(yīng)用分組關(guān)聯(lián)的角色分組id ;
[0081]ROLES = {role+}:角色的集合��,每個角色需要關(guān)聯(lián)一個角色分組�����;
[0082]role = (roleid, rolename, rolegroupid, roletype, uproleid, roleattribute,roleauthtype, authroleid, rolesnsgroups):角色����。
[0083]- - roleid、rolename�、rolegroupid:角色 id、角色名稱���、角色分組 id ;
[0084]- - roletype:角色類型�����,分為功能角色和數(shù)據(jù)角色;功能角色決定用戶能夠使用的應(yīng)用和應(yīng)用操作�,數(shù)據(jù)角色決定用戶在應(yīng)用中能夠?qū)κ裁捶秶臄?shù)據(jù)進行指定的操作,數(shù)據(jù)角色不能單獨存在�����,必須與惟一確定的功能角色關(guān)聯(lián);功能角色分級�����,功能角色可以獨立存在���,即不關(guān)聯(lián)數(shù)據(jù)角色的功能角色��,也可以根據(jù)用戶的某項屬性與一組數(shù)據(jù)角色關(guān)聯(lián)�����,即關(guān)聯(lián)數(shù)據(jù)角色的功能角色�;角色分類如圖7所示�,圖7是根據(jù)本發(fā)明一個實施例的角色模型的不意圖;
[0085]- - uproleid:上級角色���,功能角色可以有或者沒有上級角色��,功能角色和它的上級功能角色必須同時具有或者不具有關(guān)聯(lián)的數(shù)據(jù)角色���;數(shù)據(jù)角色必須有關(guān)聯(lián)數(shù)據(jù)角色的功能角色作為其上級角色;
[0086]- - roleattribute:角色屬性���,功能角色的角色屬性分為前置屬性和后置屬性兩類���,前置屬性是指用戶被授權(quán)指定角色之前就有的屬性�����,后置屬性是指用戶因授權(quán)角色而具有的屬性�;不關(guān)聯(lián)數(shù)據(jù)角色的功能角色的角色屬性是具有該角色用戶的屬性�,這個屬性必須是前置屬性;關(guān)聯(lián)數(shù)據(jù)角色的功能角色的角色屬性是用于區(qū)分其關(guān)聯(lián)的數(shù)據(jù)角色的用戶屬性���,這個屬性可以是前置屬性或者后置屬性���;如果功能角色存在上級角色,則功能角色的角色屬性與其上級功能角色的角色屬性相同�����;數(shù)據(jù)角色的角色屬性是它關(guān)聯(lián)的功能角色的用戶屬性的值�;[0087]- - roleauthtype e {0,1}:角色授權(quán)類型,O表示集中授權(quán),I表示分級授權(quán)����;如果功能角色存在上級角色且角色屬性為前置屬性,則角色授權(quán)類型可以是集中授權(quán)或者分級授權(quán)�;否則,其角色授權(quán)類型必須是集中授權(quán)��;數(shù)據(jù)角色的角色授權(quán)類型與它關(guān)聯(lián)的功能角色相同����;
[0088]- - authroleid:負(fù)責(zé)二級角色授權(quán)的功能角色,當(dāng)rauthtype = I時有效,必須是當(dāng)前角色的各級上級角色��;
[0089]- - rolesnsgroups = {(group, grouprole) , grouprole e {O, 1}:角色關(guān)聯(lián)的社交域中的群組和群組角色���;一個角色可以關(guān)聯(lián)多個群組的不同群組角色(O表示群組普通成員��,I表示群組管理員)��,一個角色實際關(guān)聯(lián)的群組是它的基本信息中定義的關(guān)聯(lián)群組的集合和它的所有上級群組的基本信息中定義的關(guān)聯(lián)群組的集合的并集����;
[0090]APPS= {app+}:應(yīng)用的集合�,每個應(yīng)用需要關(guān)聯(lián)一個應(yīng)用分組;
[0091]app = (app id, appgroupid, apptype, appname, app icon, appaddr): /Si M? appid��、appgroupid、apptype���、appname���、app icon和appaddr分別表示應(yīng)用id、應(yīng)用所屬應(yīng)用分組id�、應(yīng)用類型、應(yīng)用名稱����、應(yīng)用圖標(biāo)、應(yīng)用訪問地址����;其中應(yīng)用類型apptype e {O, 1},0表示社交云服務(wù)平臺內(nèi)的應(yīng)用���,I表示社交云服務(wù)平臺外的應(yīng)用����;
[0092]OPS= {op+}:應(yīng)用操作的集合����,每個應(yīng)用可以關(guān)聯(lián)一組自定義的操作,用于區(qū)分不同角色的用戶在應(yīng)用中的實際權(quán)限;
[0093]op = (opid, appid, opname):應(yīng)用操作���,opid、appid 和 opname 分別表示應(yīng)用操作id�、應(yīng)用操作關(guān)聯(lián)的應(yīng)用id和應(yīng)用操作名稱; [0094]APPOPQAPPSxOPS={(叩P,叩+)+}:應(yīng)用和應(yīng)用操作的關(guān)聯(lián)�����,一個應(yīng)用可以關(guān)聯(lián)多個
自定義的應(yīng)用操作�;
[0095]ROLE_APPOP_ROLEQROLESxAPPOPxROLE={(roie/ app, op, rolef},角色和應(yīng)用、應(yīng)用
操作��、角色應(yīng)用操作授權(quán)方式�、分級授權(quán)角色之間的多對多映射集合;
[0096]assigned_app_appop_role (role) = {role e ROLES I (role, app, op+, role') e ROLE_APP0P_R0LE}:應(yīng)用對角色的授權(quán)�,在一級的集中授權(quán)階段完成;授權(quán)要素包括角色role�����、應(yīng)用app�、應(yīng)用操作列表op+、負(fù)責(zé)對具有角色role的用戶進行應(yīng)用app的二級授權(quán)的角色role’����。當(dāng)role’為空時,表示應(yīng)用app對角色role的授權(quán)方式是集中授權(quán)��;當(dāng)�����;role’不為空時����,表示應(yīng)用app對角色role的授權(quán)方式是集中授權(quán)分級授權(quán)�;當(dāng)角色role是不關(guān)聯(lián)數(shù)據(jù)角色的功能角色或者是需要二級角色授權(quán)的關(guān)聯(lián)數(shù)據(jù)角色的功能角色時,應(yīng)用app對角色role的授權(quán)方式必須是集中授權(quán)����;
[0097]ROLE_USERgROLESxUSERS={(mle, user)}:角色和用戶之間的多對多映射集合;
[0098]assigned_user_levelI (role) = {role e ROLES, roleauthtype(role)=0 I (role, user) e R0LE_USER}: 一級用戶角色授權(quán)��,roleauthtype (role)表示取角色role的roleauthtype屬性���;一級用戶角色授權(quán)要求被授權(quán)角色role的角色授權(quán)類型是集中授權(quán)���,其角色屬性可以是前置屬性或者后置屬性;當(dāng)被授權(quán)角色role是數(shù)據(jù)角色且其關(guān)聯(lián)的功能角色的角色屬性是后置屬性時��,用戶角色授權(quán)后應(yīng)將用戶的角色屬性對應(yīng)的用戶屬性值置為與所選數(shù)據(jù)角色的角色屬性值;
[0099]assigned_user_level2 (role) = {role e ROLES, roleauthtype(role)=II (role, user) e R0LE_USER}, 二級用戶角色授權(quán)����,roleauthtype (role)表示取角色role的roleauthtype屬性。二級用戶角色授權(quán)要求被授權(quán)角色role存在上級角色,其角色屬性是前置屬性且角色授權(quán)類型是分級授權(quán)��;
[0100]USER_APPOPQUSERSxAPPOP={(user, app, op+)+},用戶和應(yīng)用�、應(yīng)用操作之間的多對
多映射集合��;
[0101]assigned_app_appop (user) = {user e USERS I (user, app, op+) e USER_ΑΡΡ0Ρ}��,用戶應(yīng)用授權(quán)���,僅在面向應(yīng)用的二級授權(quán)中存在�。用戶應(yīng)用授權(quán)要求被授權(quán)應(yīng)用的授權(quán)方式為分級授權(quán)��,被授權(quán)用戶的角色存在上級角色����,其角色屬性為前置屬性且角色授權(quán)類型是集中授權(quán)。
[0102]本發(fā)明實施例的社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法����,具有以下有益效果:
[0103](I)�����、將角色與社交域中的群組和群組角色關(guān)聯(lián)起來���,從而使得以社交域作為入口的相同應(yīng)用分組的用戶可以在社交域中關(guān)聯(lián)一個或者一組群組中的指定群組角色,支持用戶在使用應(yīng)用協(xié)同的過程中的溝通���、交流和協(xié)作����。
[0104](2)�、將角色的描述信息與社交域中的用戶認(rèn)證信息關(guān)聯(lián)起來,使得用戶在業(yè)務(wù)應(yīng)用中的角色的描述信息能夠按照規(guī)則的配置成為社交域中的用戶認(rèn)證信息的有效來源��。
[0105]應(yīng)當(dāng)理解�,本發(fā)明的各部分可以用硬件、軟件��、固件或它們的組合來實現(xiàn)����。在上述實施方式中,多個步驟或方法可以用存儲在存儲器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來實現(xiàn)�。例如�,如果用硬件來實現(xiàn)����,和在另一實施方式中一樣,可用本領(lǐng)域公知的下列技術(shù)中的任一項或他們的組合來實現(xiàn):具有用于對數(shù)據(jù)信號實現(xiàn)邏輯功能的邏輯門電路的離散邏輯電路��,具有合適的組合邏輯門電路的專用集成電路���,可編程門陣列(PGA)���,現(xiàn)場可編程門陣列(FPGA)等���。
[0106]在本說明書的描述中����,參考術(shù)語“一個實施例”���、“一些實施例”�、“示例”����、“具體示例”���、或“一些示例”等的描述意指結(jié)合該實施例或示例描述的具體特征、結(jié)構(gòu)�����、材料或者特點包含于本發(fā)明的至少一個實施例或示例中���。在本說明書中��,對上述術(shù)語的示意性表述不必須針對的是相同的實施例或示例���。而且,描述的具體特征�����、結(jié)構(gòu)�、材料或者特點可以在任一個或多個實施例或示例中以合適的方式結(jié)合。此外��,在不相互矛盾的情況下�,本領(lǐng)域的技術(shù)人員可以將本說明書中描述的不同實施例或示例以及不同實施例或示例的特征進行結(jié)合和組合。
[0107]盡管上面已經(jīng)示出和描述了本發(fā)明的實施例���,可以理解的是�����,上述實施例是示例性的��,不能理解為對本發(fā)明的限制����,本領(lǐng)域的普通技術(shù)人員在本發(fā)明的范圍內(nèi)可以對上述實施例進行變化、修改��、替換和變型����。
【權(quán)利要求】
1.一種社交云服務(wù)系統(tǒng)中應(yīng)用的訪問控制方法����,其特征在于,所述社交云服務(wù)系統(tǒng)包括多個社交域����,每個社交域包括多個用戶和多個應(yīng)用,所述方法包括: S1�����,根據(jù)所述多個應(yīng)用的關(guān)聯(lián)性將所述多個應(yīng)用劃分為多個應(yīng)用分組; S2�,獲取每個應(yīng)用分組中應(yīng)用的角色,并根據(jù)所述應(yīng)用的角色生成角色分組���,其中���,所述角色分組和所述多個應(yīng)用分組中至少一個應(yīng)用分組相關(guān)聯(lián);以及 S3�����,獲取所述角色分組中角色的角色類型���、上級角色和角色屬性���,并根據(jù)所述角色類型、上級角色和角色屬性采用集中授權(quán)和/或分級授權(quán)的方式對用戶的應(yīng)用進行授權(quán)����。
2.如權(quán)利要求1所述的方法,其特征在于,所述集中授權(quán)包括一級授權(quán)�,所述步驟S3具體包括: 在所述一級授權(quán)中完成所述應(yīng)用分組中的應(yīng)用對所述角色分組中的角色的授權(quán)和所述用戶對所述角色的授權(quán);以及 在所述一級授權(quán)完成的同時完成所述應(yīng)用分組中應(yīng)用對所述用戶的授權(quán)��。
3.如權(quán)利要求1所述的方法��,其特征在于�����,所述分級授權(quán)包括一級授權(quán)和二級授權(quán)���,所述步驟S3具體包括: 在面向應(yīng)用的分級授權(quán)中��,在所述一級授權(quán)中完成所述應(yīng)用分組中的應(yīng)用對所述角色分組中的角色的授權(quán)�����,并在所述二級授權(quán)中完成所述用戶對所述應(yīng)用分組中的應(yīng)用的授權(quán)�����;以及 在面向角色的分級授權(quán)中,在所述一級授權(quán)中完成所述應(yīng)用分組中應(yīng)用對所述角色分組中的角色的授權(quán)�,并在所述二級授權(quán)中完成所述用戶對所述角色分組中的角色的授權(quán)。
4.如權(quán)利要求3所述的方法,其特征在于��,所述角色的角色類型包括數(shù)據(jù)角色和功能角色�,所述在二級授權(quán)中完成所述用戶對所述應(yīng)用分組中的應(yīng)用的授權(quán),具體包括: 獲取所述用戶的角色列表��,并獲取所述角色列表中的第一角色�,以及判斷所述第一角色是否是所述數(shù)據(jù)角色,如果所述第一角色是所述數(shù)據(jù)角色��,則獲取與所述第一角色相關(guān)聯(lián)的功能角色�,并獲取由所述功能角色負(fù)責(zé)所述二級授權(quán)的應(yīng)用列表,并將所述應(yīng)用列表作為所述用戶可授權(quán)的應(yīng)用���; 獲取所述應(yīng)用列表中的可授權(quán)應(yīng)用�,并獲取所述可授權(quán)應(yīng)用授權(quán)的功能角色列表�����,以及獲取所述角色列表中的第二角色�,并判斷所述第二角色是否為所述數(shù)據(jù)角色;以及 如果所述第二角色為所述數(shù)據(jù)角色�����,則獲取所述第二角色的屬性值,其中��,所述第二角色的屬性值與所述數(shù)據(jù)角色的屬性值相同����,并從所述數(shù)據(jù)列表中獲取與所述功能角色相關(guān)聯(lián)的數(shù)據(jù)角色,以及查找已授權(quán)的數(shù)據(jù)角色對應(yīng)的用戶�����,并將所述數(shù)據(jù)角色對應(yīng)的用戶作為所述可授權(quán)應(yīng)用的待授權(quán)用戶���,如果所述第二角色不為所述數(shù)據(jù)角色��,則根據(jù)所述功能角色的屬性值所確定的指定表獲取所述用戶的字段值��,并在所述指定表中查找與所述字段值對應(yīng)的用戶��,并將所述用戶作為所述可授權(quán)應(yīng)用的待授權(quán)用戶��。
5.如權(quán)利要求4所述的方法�,其特征在于���,所述在將用戶作為所述可授權(quán)應(yīng)用的待授權(quán)用戶之后,還包括: 判斷所述用戶的角色列表是否還有未處理的角色,如果沒有未處理的角色���,則判斷是否還有未處理的可授權(quán)應(yīng)用����,如果沒有未處理的可授權(quán)應(yīng)用�,則顯示所述用戶的可授權(quán)應(yīng)用及每個可授權(quán)應(yīng)用對應(yīng)的待授權(quán)用戶。
6.如權(quán)利要求3所述的方法�,其特征在于,所述角色的角色類型包括數(shù)據(jù)角色和功能角色�,所述在二級授權(quán)中完成所述用戶對所述角色分組中的角色的授權(quán),具體包括: 獲取所述用戶的角色列表���,并獲取所述角色列表中的當(dāng)前角色及所述當(dāng)前角色的屬性值�,以及判斷所述當(dāng)前角色是否為數(shù)據(jù)角色��; 如果所述當(dāng)前角色是所述數(shù)據(jù)角色�,則獲取所述當(dāng)前角色相關(guān)聯(lián)的功能角色及所述功能角色的屬性值,并根據(jù)所述功能角色查找所述功能角色負(fù)責(zé)授權(quán)的其它功能角色���,以及根據(jù)所述當(dāng)前角色相關(guān)聯(lián)的功能角色的屬性值和所述功能角色負(fù)責(zé)授權(quán)的其它功能角色獲取所述當(dāng)前角色負(fù)責(zé)授權(quán)的數(shù)據(jù)角色作為所述用戶可授權(quán)的角色�,如果所述當(dāng)前角色不是所述數(shù)據(jù)角色�,則查找所述當(dāng)前角色負(fù)責(zé)授權(quán)的功能角色作為所述用戶可授權(quán)的角色�����;獲取待授權(quán)角色及所述待授權(quán)角色的屬性值�,并判斷所述待授權(quán)角色是否是數(shù)據(jù)角色���,如果所述待授權(quán)角色是否是數(shù)據(jù)角色�����,則獲取所述待授權(quán)角色相關(guān)聯(lián)的功能角色及待授權(quán)角色相關(guān)聯(lián)的功能角色的屬性值�,并在所述當(dāng)前角色的屬性值所確定的指定表中查找與待授權(quán)數(shù)據(jù)角色的屬性值具有相同的字段值的角色��,以及記錄所述具有相同的字段值的角色作為可授權(quán)角色的待授權(quán)用戶�����;以及 如果所述待授權(quán)角色是否是數(shù)據(jù)角色����,則在所述待授權(quán)角色的屬性值所確定的指定表中查找指定字段值與所述用戶在所述指定表中指定字段值相同的角色,并記錄所述指定字段值相同的角色對應(yīng)的用戶作為所述可授權(quán)角色的待授權(quán)用戶����。
7.如權(quán)利要 求6所述的方法��,其特征在于����,所述在記錄指定字段值相同的角色對應(yīng)的用戶作為所述可授權(quán)角色的待授權(quán)用戶之后���,還包括: 判斷是否還有未處理的待授權(quán)角色,如果沒有未處理的待授權(quán)角色����,則判斷是否還有未處理的角色,如果沒有未處理的角色�����,則顯示所述用戶的待授權(quán)角色及每個可授權(quán)角色對應(yīng)的待授權(quán)用戶��。
【文檔編號】H04L29/08GK103929426SQ201410162787
【公開日】2014年7月16日 申請日期:2014年4月22日 優(yōu)先權(quán)日:2014年4月22日
【發(fā)明者】杜炤, 劉奇峰, 劉婷 申請人:清華大學(xué)