社交雲服務系統中應用的訪問控制方法

2023-10-08 22:03:49

社交雲服務系統中應用的訪問控制方法
【專利摘要】本發明提出一種社交雲服務系統中應用的訪問控制方法。其中，所述方法包括：S1，根據多個應用的關聯性將多個應用劃分為多個應用分組；S2，獲取每個應用分組中應用的角色，並根據應用的角色生成角色分組，其中，角色分組和多個應用分組中至少一個應用分組相關聯；S3，獲取角色分組中角色的角色類型、上級角色和角色屬性，並根據角色類型、上級角色和角色屬性採用集中授權和/或分級授權的方式對用戶的應用進行授權。本發明實施例方法，支持用戶在使用應用協同的過程中的溝通、交流和協作，使得用戶在業務應用中的角色的描述信息能夠按照規則的配置成為社交域中的用戶認證信息的有效來源。
【專利說明】社交雲服務系統中應用的訪問控制方法
【技術領域】
[0001]本發明涉及雲服務系統，尤其涉及一種社交雲服務系統中應用的訪問控制方法。【背景技術】
[0002]基於角色的訪問控制是在應用軟體系統中廣泛採用的一種訪問控制方法，該方法使用角色來描述一組相關的應用，將角色作為關聯用戶和應用的中介，從而簡化對用戶進行應用授權的過程。由於基於角色的訪問控制要求授權過程集中完成，因此隨著大型組織中業務應用規模的不斷增長和非流程類業務應用的增加，由單個管理員集中完成所有應用的用戶授權的難度越來越大。
[0003]社交雲服務系統是基於網絡為多個用戶群體同時提供交流協作支持的垂直雲服務系統，它為不同群體提供完全相互獨立的網絡交流協作空間，例如，如圖1所示。每個獨立的網絡交流協作空間稱為一個社交域，每個社交域由用戶、群組、關係和應用共四部分組成，並擁有獨立的訪問地址、用戶界面、用戶空間、應用空間和數據空間。多個相互獨立的社交域可以為每個用戶提供多個獨立的網絡交流協作空間，使網絡空間中的社交環境與現實中的社交環境更加接近，從而能夠避免公共的網絡空間中的社交環境中存在的由單一的社交空間而引起的用戶社交域混合的問題。
[0004]在組織中，社交域以人為線索將組織內部的各種信息、業務流程、人和群體組織起來，既可以為組織成員提供交流和協作的服務，又可以作為組織內部不同方面應用的入口，最終成為組織內部的社交門戶。以社交門戶為入口的各個方面的應用通常採用基於角色的訪問控制方法或者其他擴展的基於角色的訪問控制模型，不同方面的應用通常會使用不同的角色模型，而且它們的具體授權方式也會有因業務的規模、管理方式和業務流程等存在差異。對於流程性較強、業務規模較小的應用，採用基於角色的訪問控制方法即可。對於流程性較強、業務規模較大的應用，用戶角色的劃分比較細緻，其訪問控制在採用基於角色的訪問控制的基礎上，需要支持面向角色的分級授權，即用戶角色授權是分散的；對於流程性較弱、協作性較強的應用，用戶角色劃分不會很細緻，其訪問控制在採用基於角色的訪問控制的基礎上，需要支持面向應用的分級授權，即用戶角色授權是集中的，應用角色授權是分散的。
[0005]與傳統的信息門戶不同，社交門戶不僅可以作為應用的入口，而且可以在應用中為用戶提供結識、溝通、交流和協作的空間，即通過社交門戶中的推薦引擎和用戶信息展示來幫助用戶結識其他用戶，通過社交門戶中的群組和社交應用來支持用戶之間的溝通、交流和協作。因此，應用的訪問控制如何與支持用戶結識、溝通、交流和協作相結合也是社交雲服務應用訪問控制中亟待解決的關鍵問題。

【發明內容】

[0006]本發明旨在至少解決上述技術問題之一。
[0007]為此,本發明的第一個目的在於提出一種社交雲服務系統中應用的訪問控制方法。該方法支持用戶在使用應用協同的過程中的溝通、交流和協作，並使得用戶在業務應用中的角色的描述信息能夠按照規則的配置成為社交域中的用戶認證信息的有效來源。
[0008]為了實現上述目的，本發明第一方面實施例的社交雲服務系統中應用的訪問控制方法，包括:所述社交雲服務系統包括多個社交域，每個社交域包括多個用戶和多個應用，所述方法具體包括:S1，根據所述多個應用的關聯性將所述多個應用劃分為多個應用分組；S2，獲取每個應用分組中應用的角色，並根據所述應用的角色生成角色分組，其中，所述角色分組和所述多個應用分組中至少一個應用分組相關聯；以及S3，獲取所述角色分組中角色的角色類型、上級角色和角色屬性，並根據所述角色類型、上級角色和角色屬性採用集中授權和/或分級授權的方式對用戶的應用進行授權。
[0009]本發明實施例的社交雲服務系統中應用的訪問控制方法，具有以下有益效果:
(I)、將角色與社交域中的群組和群組角色關聯起來，從而使得以社交域作為入口的相同應用分組的用戶可以在社交域中關聯一個或者一組群組中的指定群組角色，支持用戶在使用應用協同的過程中的溝通、交流和協作。(2)、將角色的描述信息與社交域中的用戶認證信息關聯起來，使得用戶在業務應用中的角色的描述信息能夠按照規則的配置成為社交域中的用戶認證信息的有效來源。
[0010]本發明附加的方面和優點將在下面的描述中部分給出，部分將從下面的描述中變得明顯，或通過本發明的實踐了解到。
【專利附圖】

【附圖說明】
[0011]本發明上述的和/或附加的方面和優點從下面結合附圖對實施例的描述中將變得明顯和容易理解，其中，
[0012]圖1為現有技術中社交雲服務系統的示意圖；
[0013]圖2是根據本發明一個實施例的社交雲服務系統中應用的訪問控制方法的流程圖；
[0014]圖3(a)_(c)是根據本發明一個實施例的社交雲服務系統中應用的訪問控制方法的不意圖；
[0015]圖4是根據本發明一個實施例的社交雲服務系統中應用的訪問控制方法的授權示意圖；
[0016]圖5是根據本發明一個實施例的二級用戶角色授權的流程圖；
[0017]圖6是根據本發明一個實施例的二級用戶應用授權的流程圖；
[0018]圖7是根據本發明一個實施例的角色模型的示意圖；以及
[0019]圖8是根據本發明一個具體實施例的社交雲服務系統中應用的訪問控制方法的流程圖。
【具體實施方式】
[0020]在本發明的描述中，需要理解的是，術語「第一」、「第二」僅用於描述目的，而不能理解為指示或暗示相對重要性或者隱含指明所指示的技術特徵的數量。由此，限定有「第一」、「第二」的特徵可以明示或者隱含地包括至少一個該特徵。在本發明的描述中，「多個」的含義是至少兩個，例如兩個，三個等，除非另有明確具體的限定。[0021]流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為，表示包括一個或更多個用於實現特定邏輯功能或過程的步驟的可執行指令的代碼的模塊、片段或部分，並且本發明的優選實施方式的範圍包括另外的實現，其中可以不按所示出或討論的順序，包括根據所涉及的功能按基本同時的方式或按相反的順序，來執行功能，這應被本發明的實施例所屬【技術領域】的技術人員所理解。
[0022]下面參考附圖描述根據本發明實施例的社交雲服務系統中應用的訪問控制方法。
[0023]本發明的目的是提出一種支持分級授權而且能夠與社交雲服務提供的協作和交流服務相結合的社交雲服務應用訪問控制方法。圖2是根據本發明一個實施例的社交雲服務系統中應用的訪問控制方法的流程圖，圖3(a)_(c)是根據本發明一個實施例的社交雲服務系統中應用的訪問控制方法的示意圖，圖8是根據本發明一個具體實施例的社交雲服務系統中應用的訪問控制方法的流程圖。如圖2、圖3和圖8所示，該社交雲服務系統中應用的訪問控制方法包括，
[0024]SI，根據多個應用的關聯性將多個應用劃分為多個應用分組。
[0025]S2，獲取每個應用分組中應用的角色，並根據應用的角色生成角色分組，其中，角色分組和多個應用分組中至少一個應用分組相關聯。
[0026]S3，獲取角色分組中角色的角色類型、上級角色和角色屬性，並根據角色類型、上級角色和角色屬性採用集中授權和/或分級授權的方式對用戶的應用進行授權。
[0027]具體而言，對用戶的應用進行授權時,可同時採用集中授權和分級授權兩種方式。集中授權採用擴展的基於角色的授權，即，通過對用戶授權角色和對應用授權角色來實現對用戶的應用授權；分級授權包含兩級授權，即一級授權和二級授權，並且分級授權可分為面向應用的分級授權和面向角色的分級授權兩種方式。
[0028]在本發明的實施例中，集中授權的方式可以為:
[0029]S31，在一級授權中完成應用分組中的應用對角色分組中的角色的授權和用戶對角色的授權。
[0030]S32，在一級授權完成的同時完成應用分組中應用對用戶的授權。
[0031]具體而言，如圖3(a)所示，在擴展的基於角色的授權中，應用對角色的授權和用戶對角色的授權均在一級授權中完成。當對應用和用戶對同一角色授權的均完成後，應用對用戶的授權也同時完成。在應用對角色的授權完成之後，被授權角色的描述信息同時按照規則被添加到社交域的用戶認證信息中，用戶也一併以指定的群組角色加入到與角色關聯的群組中。
[0032]在本發明的實施例中，步驟S3具體還包括:
[0033]S33，在面向應用的分級授權中，在一級授權中完成應用分組中的應用對角色分組中的角色的授權，並在二級授權中完成用戶對應用分組中的應用的授權。
[0034]具體而言，如圖3(b)所示，在面向應用的分級授權中，一級授權完成應用對角色的授權，即完成角色和應用、應用操作的關聯；二級授權完成用戶和應用的關聯。此時，要求用於確定被授權用戶的角色的授權方式是集中授權，對應用的授權方式是分級授權且負責分級授權的角色是其各級的上級角色，即，要求用於確定被授權用戶的角色和負責分級授權的角色具有相同的角色屬性值或用戶屬性值。在應用對角色的授權完成後，被授權角色的描述信息同時按照規則被添加到社交域的用戶認證信息中，用戶也一併以指定的群組角色加入到與角色關聯的群組中。
[0035]S34，在面向角色的分級授權中，在一級授權中完成應用分組中應用對角色分組中的角色的授權，並在二級授權中完成用戶對角色分組中的角色的授權。
[0036]如圖3(c)所示，在面向角色的分級授權中，一級授權完成應用的角色授權，即完成角色和應用、應用操作的關聯，二級授權完成用戶的角色授權。此時，要求被授權的角色的授權模式是分級授權，即要求被授權角色存在上級角色且角色屬性為前置屬性；同時，在進行被授權角色的應用授權時，授權模式必須選擇集中授權。當對應用和用戶對同一角色授權的均完成後，應用對用戶的授權也同時完成。在應用對角色的授權完成之後，被授權角色的描述信息同時按照規則被添加到社交域的用戶認證信息中，用戶也一併以指定的群組角色加入到與角色關聯的群組中。
[0037]下面結合圖4詳細說明一下本發明實施例的社交雲服務系統中應用的訪問控制方法中的授權流程。圖4是根據本發明一個實施例的社交雲服務系統中應用的訪問控制方法的授權示意圖，如圖4所示，
[0038]a)設置角色分組的信息、角色的基本信息，以及應用分組的信息、應用的基本信息、應用的操作信息。
[0039]b)設置功能角色間的二級授權關係，對於需要二級授權的功能角色確定負責對其進行二級授權的功能角色，負責授權的角色和被授權的角色需要同時存在關聯的數據角色或者同時不存在關聯數據角色，而且負責授權的角色應當是被授權角色的各級上級角色；對於前一種情況，要求用於細分兩個功能角色關聯的數據角色的用戶屬性是前置屬性；
[0040]c)進行一級用戶角色授權，候選角色應當是不關聯數據角色的功能角色或者數據角色，而且不能是b)中設置的需要二級授權的功能角色及其關聯的數據角色；
[0041]d)進行一級應用角色授權，即對應用確定其對每個功能角色是否授權，如果授權且功能角色存在關聯的數據角色而且不能是b)中設置的需要二級授權的功能角色，則需要進一步選擇授權方式是集中授權或者分級授權；當採用分級授權方式時還需要設置負責二級應用用戶授權的功能角色，負責二級應用用戶授權的功能角色必須存在關聯的數據角色，而且用於細分兩個功能角色關聯的數據角色的用戶屬性必須是相同的，用戶屬性可以是前置屬性或者後置屬性；
[0042]e)進行二級用戶角色授權，僅在在面向角色的分級授權中存在；二級用戶角色授權根據當前用戶的角色提取其可以授權的角色列表和用戶列表，讓當前用戶在上述範圍內確定哪些用戶擁有哪些角色，進一步結合被授權角色關聯的應用列表確定已完成角色授權用戶可以訪問的應用；確定用戶的待授權角色列表和每個角色的可授權用戶列表的流程如圖5所示。圖5是根據本發明一個實施例的二級用戶角色授權的流程圖，如圖5所示，在本發明的實施例中，
[0043]S501，獲取用戶的角色列表。
[0044]S502，獲取角色列表中的當前角色及當前角色的屬性值。
[0045]S503，判斷當前角色是否為數據角色。
[0046]S504，如果當前角色是數據角色，則獲取當前角色相關聯的功能角色及功能角色的屬性值。
[0047]S505，根據功能角色查找功能角色負責授權的其它功能角色。[0048]S506，根據當前角色相關聯的功能角色的屬性值和功能角色負責授權的其它功能角色獲取當前角色負責授權的數據角色作為用戶可授權的角色。
[0049]S507,如果當前角色不是數據角色，則查找當前角色負責授權的功能角色作為用戶可授權的角色。
[0050]S508，獲取待授權角色及待授權角色的屬性值。
[0051]S509，判斷待授權角色是否是數據角色。
[0052]S510，如果待授權角色是否是數據角色，則獲取待授權角色相關聯的功能角色及待授權角色相關聯的功能角色的屬性值。
[0053]S511，在當前角色的屬性值所確定的指定表中查找與待授權數據角色的屬性值具有相同的欄位值的角色，以及記錄具有相同的欄位值的角色作為可授權角色的待授權用戶。
[0054]S512，如果待授權角色是否是數據角色，則在待授權角色的屬性值所確定的指定表中查找指定欄位值與用戶在指定表中指定欄位值相同的角色，並記錄指定欄位值相同的角色對應的用戶作為可授權角色的待授權用戶。
[0055]S513，判斷是否還有未處理的待授權角色。
[0056]S514，如果沒有未處理的待授權角色，則判斷是否還有未處理的角色。其中，如果有未處理的待授權角色，則重複上述S508-S512
[0057]S515，如果沒有未處理的角色，則顯示用戶的待授權角色及每個可授權角色對應的待授權用戶，其中，如果有未處理的角色，則重複上述S502-S513。
[0058]f)進行二級用戶應用授權，僅在面向應用的分級授權中存在；二級用戶應用用戶授權根據當前用戶的角色提取其可授權的應用列表和用戶列表，讓當前用戶在上述範圍內確定哪些用戶可以訪問哪些應用，如圖6所示。圖6是根據本發明一個實施例的二級用戶應用授權的流程圖，如圖6所示，在本發明的實施例中，
[0059]S601，獲取用戶的角色列表。
[0060]S602，獲取角色列表中的第一角色。
[0061]S603，判斷第一角色是否是數據角色。
[0062]S604，如果第一角色是數據角色，則獲取與第一角色相關聯的功能角色，其中，如果第一角色不是數據角色，則跳過S604。
[0063]S605，獲取由功能角色負責二級授權的應用列表，並將應用列表作為用戶可授權的應用。
[0064]S606，獲取應用列表中的可授權應用，並獲取可授權應用授權的功能角色列表。
[0065]S607，獲取角色列表中的第二角色。
[0066]S608，判斷第二角色是否為數據角色。
[0067]S609,如果第二角色為數據角色,則獲取第二角色的屬性值,其中，第二角色的屬性值與數據角色的屬性值相同，並從數據列表中獲取與功能角色相關聯的數據角色。
[0068]S610，查找已授權的數據角色對應的用戶，並將數據角色對應的用戶作為可授權應用的待授權用戶。
[0069]S611，如果第二角色不為數據角色，則根據功能角色的屬性值所確定的指定表獲取用戶的欄位值。[0070]S612，並在指定表中查找與所述欄位值對應的用戶，並將所述用戶作為所述可授權應用的待授權用戶。
[0071]S613，判斷用戶的角色列表是否還有未處理的角色。
[0072]S614，如果沒有未處理的角色，則判斷是否還有未處理的可授權應用，其中，如果有未處理的角色，則重複上述S607-S612。
[0073]S615，如果沒有未處理的可授權應用，則顯示用戶的可授權應用及每個可授權應用對應的待授權用戶，其中，如果有未處理的可授權應用，則重複上述S606-S614。
[0074]下面詳細說明一下本發明實施例中授權元素和授權關係。
[0075]USERS = {user+}:用戶的集合；
[0076]user = (userid, username, Userproperty1, Userproperty2,..., Userpropertyn):用戶，userid和username分別表示用戶id和用戶名，Userpropertyi表示用戶屬性；
[0077]ROLEGROUPS = {roIegroup+1:角色分組的集合；
[0078]rolegroup = (rolegroupid, rolegroupname):角色分組，rolegroupid 和roIegroupname分別表示角色分組id和角色分組名稱；
[0079]APPGROUPS = {appgroup+}:應用分組的集合,應用分組必須有關聯的角色分組,一個應用分組只能關聯一個角色分組，一個角色分組可以被多個應用分組關聯；
[0080]appgroup = (appgroupid, appgroup_name, rolegroupid):應用分 組，appgroupid、appgroup_name和rolegroupid分別表示應用分組id、應用分組名稱和應用分組關聯的角色分組id ；
[0081]ROLES = {role+}:角色的集合，每個角色需要關聯一個角色分組；
[0082]role = (roleid, rolename, rolegroupid, roletype, uproleid, roleattribute,roleauthtype, authroleid, rolesnsgroups):角色。
[0083]- - roleid、rolename、rolegroupid:角色 id、角色名稱、角色分組 id ;
[0084]- - roletype:角色類型，分為功能角色和數據角色；功能角色決定用戶能夠使用的應用和應用操作，數據角色決定用戶在應用中能夠對什麼範圍的數據進行指定的操作，數據角色不能單獨存在，必須與惟一確定的功能角色關聯；功能角色分級，功能角色可以獨立存在，即不關聯數據角色的功能角色，也可以根據用戶的某項屬性與一組數據角色關聯，即關聯數據角色的功能角色；角色分類如圖7所示，圖7是根據本發明一個實施例的角色模型的不意圖；
[0085]- - uproleid:上級角色，功能角色可以有或者沒有上級角色，功能角色和它的上級功能角色必須同時具有或者不具有關聯的數據角色；數據角色必須有關聯數據角色的功能角色作為其上級角色；
[0086]- - roleattribute:角色屬性，功能角色的角色屬性分為前置屬性和後置屬性兩類，前置屬性是指用戶被授權指定角色之前就有的屬性，後置屬性是指用戶因授權角色而具有的屬性；不關聯數據角色的功能角色的角色屬性是具有該角色用戶的屬性，這個屬性必須是前置屬性；關聯數據角色的功能角色的角色屬性是用於區分其關聯的數據角色的用戶屬性，這個屬性可以是前置屬性或者後置屬性；如果功能角色存在上級角色，則功能角色的角色屬性與其上級功能角色的角色屬性相同；數據角色的角色屬性是它關聯的功能角色的用戶屬性的值；[0087]- - roleauthtype e {0，1}:角色授權類型,O表示集中授權,I表示分級授權；如果功能角色存在上級角色且角色屬性為前置屬性，則角色授權類型可以是集中授權或者分級授權；否則，其角色授權類型必須是集中授權；數據角色的角色授權類型與它關聯的功能角色相同；
[0088]- - authroleid:負責二級角色授權的功能角色，當rauthtype = I時有效,必須是當前角色的各級上級角色；
[0089]- - rolesnsgroups = {(group, grouprole) , grouprole e {O, 1}:角色關聯的社交域中的群組和群組角色；一個角色可以關聯多個群組的不同群組角色(O表示群組普通成員，I表示群組管理員)，一個角色實際關聯的群組是它的基本信息中定義的關聯群組的集合和它的所有上級群組的基本信息中定義的關聯群組的集合的併集；
[0090]APPS= {app+}:應用的集合，每個應用需要關聯一個應用分組；
[0091]app = (app id, appgroupid, apptype, appname, app icon, appaddr): /Si M? appid、appgroupid、apptype、appname、app icon和appaddr分別表示應用id、應用所屬應用分組id、應用類型、應用名稱、應用圖標、應用訪問地址；其中應用類型apptype e {O, 1}，0表示社交雲服務平臺內的應用，I表示社交雲服務平臺外的應用；
[0092]OPS= {op+}:應用操作的集合，每個應用可以關聯一組自定義的操作，用於區分不同角色的用戶在應用中的實際權限；
[0093]op = (opid, appid, opname):應用操作，opid、appid 和 opname 分別表示應用操作id、應用操作關聯的應用id和應用操作名稱； [0094]APPOPQAPPSxOPS={(叩P,叩+)+}:應用和應用操作的關聯，一個應用可以關聯多個
自定義的應用操作；
[0095]ROLE_APPOP_ROLEQROLESxAPPOPxROLE={(roie/ app, op, rolef},角色和應用、應用
操作、角色應用操作授權方式、分級授權角色之間的多對多映射集合；
[0096]assigned_app_appop_role (role) = {role e ROLES I (role, app, op+, role') e ROLE_APP0P_R0LE}:應用對角色的授權，在一級的集中授權階段完成；授權要素包括角色role、應用app、應用操作列表op+、負責對具有角色role的用戶進行應用app的二級授權的角色role』。當role』為空時,表示應用app對角色role的授權方式是集中授權；當；role』不為空時，表示應用app對角色role的授權方式是集中授權分級授權；當角色role是不關聯數據角色的功能角色或者是需要二級角色授權的關聯數據角色的功能角色時，應用app對角色role的授權方式必須是集中授權；
[0097]ROLE_USERgROLESxUSERS={(mle, user)}:角色和用戶之間的多對多映射集合；
[0098]assigned_user_levelI (role) = {role e ROLES, roleauthtype(role)=0 I (role, user) e R0LE_USER}: 一級用戶角色授權，roleauthtype (role)表示取角色role的roleauthtype屬性；一級用戶角色授權要求被授權角色role的角色授權類型是集中授權，其角色屬性可以是前置屬性或者後置屬性；當被授權角色role是數據角色且其關聯的功能角色的角色屬性是後置屬性時，用戶角色授權後應將用戶的角色屬性對應的用戶屬性值置為與所選數據角色的角色屬性值；
[0099]assigned_user_level2 (role) = {role e ROLES, roleauthtype(role)=II (role, user) e R0LE_USER}, 二級用戶角色授權，roleauthtype (role)表示取角色role的roleauthtype屬性。二級用戶角色授權要求被授權角色role存在上級角色,其角色屬性是前置屬性且角色授權類型是分級授權；
[0100]USER_APPOPQUSERSxAPPOP={(user, app, op+)+},用戶和應用、應用操作之間的多對
多映射集合；
[0101]assigned_app_appop (user) = {user e USERS I (user, app, op+) e USER_ΑΡΡ0Ρ}，用戶應用授權，僅在面向應用的二級授權中存在。用戶應用授權要求被授權應用的授權方式為分級授權，被授權用戶的角色存在上級角色，其角色屬性為前置屬性且角色授權類型是集中授權。
[0102]本發明實施例的社交雲服務系統中應用的訪問控制方法，具有以下有益效果:
[0103](I)、將角色與社交域中的群組和群組角色關聯起來，從而使得以社交域作為入口的相同應用分組的用戶可以在社交域中關聯一個或者一組群組中的指定群組角色，支持用戶在使用應用協同的過程中的溝通、交流和協作。
[0104](2)、將角色的描述信息與社交域中的用戶認證信息關聯起來，使得用戶在業務應用中的角色的描述信息能夠按照規則的配置成為社交域中的用戶認證信息的有效來源。
[0105]應當理解，本發明的各部分可以用硬體、軟體、固件或它們的組合來實現。在上述實施方式中，多個步驟或方法可以用存儲在存儲器中且由合適的指令執行系統執行的軟體或固件來實現。例如，如果用硬體來實現，和在另一實施方式中一樣，可用本領域公知的下列技術中的任一項或他們的組合來實現:具有用於對數據信號實現邏輯功能的邏輯門電路的離散邏輯電路，具有合適的組合邏輯門電路的專用集成電路，可編程門陣列(PGA)，現場可編程門陣列(FPGA)等。
[0106]在本說明書的描述中，參考術語「一個實施例」、「一些實施例」、「示例」、「具體示例」、或「一些示例」等的描述意指結合該實施例或示例描述的具體特徵、結構、材料或者特點包含於本發明的至少一個實施例或示例中。在本說明書中，對上述術語的示意性表述不必須針對的是相同的實施例或示例。而且，描述的具體特徵、結構、材料或者特點可以在任一個或多個實施例或示例中以合適的方式結合。此外，在不相互矛盾的情況下，本領域的技術人員可以將本說明書中描述的不同實施例或示例以及不同實施例或示例的特徵進行結合和組合。
[0107]儘管上面已經示出和描述了本發明的實施例，可以理解的是，上述實施例是示例性的，不能理解為對本發明的限制，本領域的普通技術人員在本發明的範圍內可以對上述實施例進行變化、修改、替換和變型。
【權利要求】
1.一種社交雲服務系統中應用的訪問控制方法，其特徵在於，所述社交雲服務系統包括多個社交域，每個社交域包括多個用戶和多個應用，所述方法包括: S1，根據所述多個應用的關聯性將所述多個應用劃分為多個應用分組； S2，獲取每個應用分組中應用的角色，並根據所述應用的角色生成角色分組，其中，所述角色分組和所述多個應用分組中至少一個應用分組相關聯；以及 S3，獲取所述角色分組中角色的角色類型、上級角色和角色屬性，並根據所述角色類型、上級角色和角色屬性採用集中授權和/或分級授權的方式對用戶的應用進行授權。
2.如權利要求1所述的方法，其特徵在於，所述集中授權包括一級授權，所述步驟S3具體包括: 在所述一級授權中完成所述應用分組中的應用對所述角色分組中的角色的授權和所述用戶對所述角色的授權；以及 在所述一級授權完成的同時完成所述應用分組中應用對所述用戶的授權。
3.如權利要求1所述的方法，其特徵在於，所述分級授權包括一級授權和二級授權，所述步驟S3具體包括: 在面向應用的分級授權中，在所述一級授權中完成所述應用分組中的應用對所述角色分組中的角色的授權，並在所述二級授權中完成所述用戶對所述應用分組中的應用的授權；以及 在面向角色的分級授權中，在所述一級授權中完成所述應用分組中應用對所述角色分組中的角色的授權，並在所述二級授權中完成所述用戶對所述角色分組中的角色的授權。
4.如權利要求3所述的方法，其特徵在於，所述角色的角色類型包括數據角色和功能角色，所述在二級授權中完成所述用戶對所述應用分組中的應用的授權，具體包括: 獲取所述用戶的角色列表，並獲取所述角色列表中的第一角色，以及判斷所述第一角色是否是所述數據角色，如果所述第一角色是所述數據角色，則獲取與所述第一角色相關聯的功能角色，並獲取由所述功能角色負責所述二級授權的應用列表，並將所述應用列表作為所述用戶可授權的應用； 獲取所述應用列表中的可授權應用，並獲取所述可授權應用授權的功能角色列表，以及獲取所述角色列表中的第二角色，並判斷所述第二角色是否為所述數據角色；以及 如果所述第二角色為所述數據角色，則獲取所述第二角色的屬性值，其中，所述第二角色的屬性值與所述數據角色的屬性值相同，並從所述數據列表中獲取與所述功能角色相關聯的數據角色，以及查找已授權的數據角色對應的用戶，並將所述數據角色對應的用戶作為所述可授權應用的待授權用戶，如果所述第二角色不為所述數據角色，則根據所述功能角色的屬性值所確定的指定表獲取所述用戶的欄位值，並在所述指定表中查找與所述欄位值對應的用戶，並將所述用戶作為所述可授權應用的待授權用戶。
5.如權利要求4所述的方法，其特徵在於，所述在將用戶作為所述可授權應用的待授權用戶之後，還包括: 判斷所述用戶的角色列表是否還有未處理的角色，如果沒有未處理的角色，則判斷是否還有未處理的可授權應用，如果沒有未處理的可授權應用，則顯示所述用戶的可授權應用及每個可授權應用對應的待授權用戶。
6.如權利要求3所述的方法，其特徵在於，所述角色的角色類型包括數據角色和功能角色，所述在二級授權中完成所述用戶對所述角色分組中的角色的授權，具體包括: 獲取所述用戶的角色列表，並獲取所述角色列表中的當前角色及所述當前角色的屬性值，以及判斷所述當前角色是否為數據角色； 如果所述當前角色是所述數據角色，則獲取所述當前角色相關聯的功能角色及所述功能角色的屬性值，並根據所述功能角色查找所述功能角色負責授權的其它功能角色，以及根據所述當前角色相關聯的功能角色的屬性值和所述功能角色負責授權的其它功能角色獲取所述當前角色負責授權的數據角色作為所述用戶可授權的角色，如果所述當前角色不是所述數據角色，則查找所述當前角色負責授權的功能角色作為所述用戶可授權的角色；獲取待授權角色及所述待授權角色的屬性值，並判斷所述待授權角色是否是數據角色，如果所述待授權角色是否是數據角色，則獲取所述待授權角色相關聯的功能角色及待授權角色相關聯的功能角色的屬性值，並在所述當前角色的屬性值所確定的指定表中查找與待授權數據角色的屬性值具有相同的欄位值的角色，以及記錄所述具有相同的欄位值的角色作為可授權角色的待授權用戶；以及 如果所述待授權角色是否是數據角色，則在所述待授權角色的屬性值所確定的指定表中查找指定欄位值與所述用戶在所述指定表中指定欄位值相同的角色，並記錄所述指定欄位值相同的角色對應的用戶作為所述可授權角色的待授權用戶。
7.如權利要 求6所述的方法，其特徵在於，所述在記錄指定欄位值相同的角色對應的用戶作為所述可授權角色的待授權用戶之後，還包括: 判斷是否還有未處理的待授權角色，如果沒有未處理的待授權角色，則判斷是否還有未處理的角色，如果沒有未處理的角色，則顯示所述用戶的待授權角色及每個可授權角色對應的待授權用戶。
【文檔編號】H04L29/08GK103929426SQ201410162787
【公開日】2014年7月16日 申請日期:2014年4月22日 優先權日:2014年4月22日
【發明者】杜炤, 劉奇峰, 劉婷 申請人:清華大學