一种标识解析用户权限控制方法及系统

技术领域

本发明涉及用户权限控制技术领域，特别是涉及一种标识解析用户权限控制方法及系统。

背景技术

当今的互联网系统中，任何多用户的系统不可避免的涉及到权限问题，系统的使用者越多、使用者本身的社会属性或分工越复杂，权限问题也就越复杂，在一个大型信息管理系统中，一个误操作带来的结果可能是非常严重的，没有对不同身份的用户加以权限限制，很容易产生敏感信息泄露或误操作的问题，所以，在系统中对于不同用户必须划分出不同的权限，经过权限系统的管理，每个账号登录后只能看到和自己有关的信息数据。也只能阅览并操作与自己职责范围内有关的业务。防止进行越权操作，为数据保护提供有效的安全保障。

当前访问控制实现方式，多以基于用户角色为基础实现的，就是用户通过角色与权限进行关联，简单的说，一个用户拥有若干角色，每一个角色拥有若干权限，这样。就构成“用户-角色-权限”的授权模型。在这种权限模型中，用户与角色之间，角色与权限之间，一般是多对多的关系。角色作为权限的载体，一个角色可以绑定多种权限，同时，一种权限可以参与多种角色。权限具体表现为，对数据的读取和修改等行为权限，对功能模块的访问和操作权限。具体关系如图1所示，每个用户关联一个或多个角色，每个角色关联一个或多个权限，从而可以实现了非常灵活的权限管理。角色可以根据实际业务需求灵活创建，这样就省去了每新增一个用户就要关联一遍所有权限的麻烦。当用户量过多使，可将相同权限的用户分组，形成用户组，将用户组绑定角色组，以这种方式实现系统的权限管理。分配权限和收回权限比较方便，也能实现大多数系统的权限控制方案。

以当前方式实现的权限控制虽然能解决大部分的权限控制场景，但在权限控制的细粒度方面不够细致，系统业务往往预先定义好用户组，角色组，和权限组，各组之间相互绑定与分配，形成不同的权限模型，但是，在工业互联网标识解析系统中，各接入系统(企业)的权限由中心权限系统集中配置与管理，当涉及到多个接入系统时，带来的权限控制需求会越来越多。例如：同时有多个系统都有商品管理员查看商品信息的系统权限控制需求，A系统的商品管理员能够查看全国所有商品的详细信息，B系统的商品管理员分全国不同的城市，不同城市的管理员只能查看对应城市的商品信息，C系统的商品管理员分全国不同的区域，华北、华南等地，不同区域的商品管理员只能查看对应区域的商品信息。以当前方式的来实现权限控制，需要新增三种角色的商品管理员，全国、区域、城市。还需要将查看商品的权限实现全国、区域、城市来划分，每一种权限划分都要有对应的业务逻辑在后台实现。当再来一个系统D，要求区域华北华南合并，这两部分地区的商品管理员权限也合并，那么，对于原权限控制系统，没有对应的角色和权限给予分配和绑定，导致权限划分达不到需求。

发明内容

本发明的目的是提供一种标识解析用户权限控制方法及系统，以实现基于实体属性的动态权限赋予控制。

为实现上述目的，本发明提供了一种标识解析用户权限控制方法，所述方法包括：

步骤S1：来访用户通过设定登录方式登录权限管理系统后，权限管理系统将来访用户的登录信息与已注册用户库的分身信息进行匹配，如果匹配成功，则返回登录结果为“来访用户是合法用户”，并执行步骤S2；如果匹配失败，则返回登录结果为“来访用户是匿名访客用户”，并执行步骤S7；

步骤S2：权限管理系统从数据库用户信息表中读取来访用户的身份属性和操作属性，根据来访用户的登录信息获取环境属性和对象属性；

步骤S3：权限管理系统根据属性信息构建权限模型；所述属性信息包括身份属性、操作属性、环境属性和对象属性；

步骤S4：权限管理系统根据所述权限模型和所述属性信息动态计算多个权限；

步骤S5：权限管理系统从各权限中选取权限权重值最小的权限作为最终权限；

步骤S6：权限管理系统获取来访用户发送的标识解析查询请求后，判断是否赋予最终权重；如果赋予最终权重，则将赋予最终权重的权限模型和标识解析查询请求通过所述请求转发系统发送至所述数据解析应用系统，以使所述数据解析应用系统根据赋予最终权重的权限模型设置操作权限，并按操作权限来控制标识数据的查询、修改或删除功能，获得未公开的标识解析数据；如果没有赋予最终权重，则执行“步骤S7”；

步骤S7：权限管理系统匿名将标识解析查询请求通过请求转发系统发送至数据解析应用系统，以使所述数据解析应用系统依次通过请求转发系统和所述权限管理系统向来访用户发送已公开的标识解析数据；

步骤S8：权限管理系统判断未公开的标识解析数据是否与权限策略相匹配；如果未公开的标识解析数据与权限策略相匹配，则将未公开的标识解析数据发送至来访用户；如果未公开的标识解析数据与权限策略相不匹配，则向来访用户发送无权访问。

可选地，所述权限管理系统根据所述权限模型和所述属性信息动态计算多个权限，具体包括：

步骤S41：PEP接收所述权限请求后生成权限申请，并将所述权限申请发送至PDP；所述PDP为策略决策点；所述PEP为策略实施点；权限模型建立完成后生成权限请求；

步骤S42：PDP接收到所述权限申请后，向PRP获取权限策略；所述PRP为策略提取点；

步骤S43：PDP向PIP发送请求属性，以使PIP接收到所述请求属性时收集属性信息，并发送至PDP；所述PIP为策略信息点；

步骤S44：PDP根据所述属性信息确定待识别的拥有者，并判断所述待识别的拥有者是否为所述权限策略的拥有者；如果所述待识别的拥有者是所述权限策略的拥有者，则向PEP发送“同意”；如果所述待识别的拥有者不是所述权限策略的拥有者，则向PEP发送“拒绝”；

步骤S45：PAP管理PRP提取的权限策略；所述PAP为策略管理点。

可选地，所述权限管理系统根据属性信息构建权限模型，具体包括：

步骤S31：根据模型建立请求预定义逻辑运算符；来访用户的登录信息与已注册用户库的分身信息匹配成功后生成模型建立请求；

步骤S32：预定义操作动作；

步骤S33：预定义访问主体与访问客体；

步骤S34：利用访问主体和访问客体的属性信息，运用所述逻辑运算符和所述操作动作构建权限模型。

可选地，所述方法还包括：根据所述来访用户建立身份属性，当所述来访用户为自然人时，所述身份属性包含姓名、身份证号、手机号码和职位；当所述来访用户为法人时，所述身份属性包含企业名称、社会信用代码和企业类型；当所述来访用户为网络设备时，所述身份属性包含设备类型、设备型号和设备ip。

可选地，所述环境属性包括当前网络ip、当前访问时间、访问客户端版本信息、访问客户端类别和当前地理位置。

本发明还提供一种标识解析用户权限控制系统，所述系统包括：

权限管理系统、请求转发系统和数据解析应用系统；所述权限管理系统包括登录匹配模块、属性信息确定模块、权限模型构建模块、多个权限确定模块、最终权限确定模块、第一判断模块和第二判断模块；

所述登录匹配模块用于将来访用户的登录信息与已注册用户库的分身信息进行匹配，如果匹配成功，则返回登录结果为“来访用户是合法用户”；如果匹配失败，则返回登录结果为“来访用户是匿名访客用户”；

所述属性信息确定模块用于从数据库用户信息表中读取来访用户的身份属性和操作属性，根据来访用户的登录信息获取环境属性和对象属性；

所述权限模型构建模块用于根据属性信息构建权限模型；所述属性信息包括身份属性、操作属性、环境属性和对象属性；

所述多个权限确定模块用于根据所述权限模型和所述属性信息动态计算多个权限；

所述最终权限确定模块用于权限管理系统从各权限中选取权限权重值最小的权限作为最终权限；

所述第一判断模块用于获取来访用户发送的标识解析查询请求后，判断是否赋予最终权重；如果赋予最终权重，则将赋予最终权重的权限模型和标识解析查询请求发送至所述请求转发系统；如果没有赋予最终权重，则匿名将标识解析查询请求发送至请求转发系统；

所述第二判断模块用于判断未公开的标识解析数据是否与权限策略相匹配；如果未公开的标识解析数据与权限策略相匹配，则将未公开的标识解析数据发送至来访用户；如果未公开的标识解析数据与权限策略相不匹配，则向来访用户发送无权访问；

所述请求转发系统用于将匿名的标识解析查询请求转发至数据解析应用系统，或将赋予最终权重的权限模型和标识解析查询请求转发至数据解析应用系统；

所述数据解析应用系统用于根据匿名的标识解析查询请求获取已公开的标识解析数据，并依次通过请求转发系统和所述权限管理系统发送至来访用户发送，或根据赋予最终权重的权限模型设置操作权限，并按操作权限来控制标识数据的查询、修改或删除功能，获得未公开的标识解析数据，并将未公开的标识解析数据通过所述请求转发系统发送至所述权限管理系统。

可选地，所述多个权限确定模块，具体包括：

权限申请发送单元，用于PEP接收所述权限请求后生成权限申请，并将所述权限申请发送至PDP；所述PDP为策略决策点；所述PEP为策略实施点；权限模型建立完成后生成权限请求；

权限策略获取单元，用于PDP接收到所述权限申请后，向PRP获取权限策略；所述PRP为策略提取点；

属性信息收集单元，用于PDP向PIP发送请求属性，以使PIP接收到所述请求属性时收集属性信息，并发送至PDP；所述PIP为策略信息点；

判断单元，用于PDP根据所述属性信息确定待识别的拥有者，并判断所述待识别的拥有者是否为所述权限策略的拥有者；如果所述待识别的拥有者是所述权限策略的拥有者，则向PEP发送“同意”；如果所述待识别的拥有者不是所述权限策略的拥有者，则向PEP发送“拒绝”；

权限策略管理单元，用于PAP管理PRP提取的权限策略；所述PAP为策略管理点。

可选地，所述权限模型构建模块，具体包括：

第一预定义单元，用于根据模型建立请求预定义逻辑运算符；来访用户的登录信息与已注册用户库的分身信息匹配成功后生成模型建立请求；

第二预定义单元，用于预定义操作动作；

第三预定义单元，用于预定义访问主体与访问客体；

权限模型构建单元，用于利用访问主体和访问客体的属性信息，运用所述逻辑运算符和所述操作动作构建权限模型。

可选地，所述方系统还包括：

身份属性构建模块，用于根据所述来访用户建立身份属性，当所述来访用户为自然人时，所述身份属性包含姓名、身份证号、手机号码和职位；当所述来访用户为法人时，所述身份属性包含企业名称、社会信用代码和企业类型；当所述来访用户为网络设备时，所述身份属性包含设备类型、设备型号和设备ip。

可选地，所述环境属性包括当前网络ip、当前访问时间、访问客户端版本信息、访问客户端类别和当前地理位置。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明在工业互联网标识解析过程中，所有标识解析查询的权限统一由权限系统管控，当来访用户进行标识解析数据查询时，权限管理系统根据用户属性建立权限模型，标识数据解析应用系统调用已赋予最终权重的权限模型设置操作权限，并按操作权限来控制标识数据的查询、修改或删除功能，获得未公开的标识解析数据。本发明公开的方案能够动态计算权限，新用户注册进入系统时，不必为新用户手动绑定权限，新用户访问系统时，会根据新用户的实体属性计算并赋予权限，进而查询标识解析数据。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为传统基于角色、权限绑定的授权方案；

图2为本发明实施例权限构成和划分解析图；

图3为本发明实施标识解析用户权限控制方法流程图；

图4为本发明实施例动态计算权限原理流程图；

图5为本发明实施例标识解析用户权限控制时序图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的目的是提供一种标识解析用户权限控制方法及系统，以实现基于实体属性的动态权限赋予控制。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

如图2所示，权限构成主要分为三个环节，分别为页面权限、操作权限和数据权限。

页面权限：通过拦截用户是否登录，登录用户身份级别，控制页面展示不同的图文信息和操作按钮，具体表现为未登录与登录后或用户身份级别不同，看到的页面信息及操作按钮不同。或是用户查询操作时，不同用户查询后，展示的数据结果范围不同。

操作权限：通过用户属性和预定义的权限控制模型。获取用户是否对某一方法拥有调用权利，是否对某一组数拥有查询、修改等权利。除了在页面层级做一次显示控制，过滤没有权限的操作菜单或按钮，在真正操作时，在后台业务中再次做一次权限检查，确保没有请求跳过客户端进行非授权访问。

数据权限：就是有或者没有对某些数据的访问权限，具体表现形式就是当某用户对一部分数据有操作权限的时候，但不代表其对所有的数据都有查看或者管理权限。数据权限有两种表现形式：一种是行权限、另外一种是列权限。所谓行权限，就是限制用户对某些行的访问权限，比如：只能对本人的数据进行访问；对某一时间段的数据可以访问并管理，所谓列权限，就是限制用户对某些列的访问权限，比如：标识解析数据对某些公开数据可以被匿名用户查阅，但是详细内容就只有授权用户才能查看。通过数据权限，可以从物理层级限制用户对数据的行或列进行获取，这种方式比把所有数据拿到之后再根据用户权限来限制某些行或列有诸多好处，比如减少网络流量，安全风险提升等。

本发明针对工业互联网标识解析系统进行标识解析的页面权限、操作权限和数据权限，通过规则配置，匹配来访用户属性条件生成权限模型。在设置权限模型的控制条件时，对于基于属性的权限对象，主要根据定义的属性项信息，设置该属性项对应的权限模型条件表达式。

以实体属性为基础的权限控制方案中权限验证阶段实现流程具体为：先根据登录用户实现身份识别，身份识别通过后获取用户属性信息，根据属性信息和预定义的权限模型动态计算权限。根据权限计算结果赋予登录用户所属权限，具体表现为登录用户或匿名来访用户在当前状态下是否拥有对数据操作权限。因此整体的控制流程如图3所示，本发明公开一种标识解析用户权限控制方法，所述方法包括：

步骤S1：来访用户通过设定登录方式登录权限管理系统后，权限管理系统将来访用户的登录信息与已注册用户库的分身信息进行匹配，如果匹配成功，则返回登录结果为“来访用户是合法用户”，并执行步骤S2；如果匹配失败，则返回登录结果为“来访用户是匿名访客用户”，并执行步骤S7；设定登录方式为口令登录(账号密码校验)、生物特征识别登录(指纹或扫脸识别)或证书登录(系统颁发的可信安全证书)。

步骤S2：权限管理系统从数据库用户信息表中读取来访用户的身份属性和操作属性，根据来访用户的登录信息获取环境属性和对象属性。

所述来访用户分为自然人、法人、网络设备三种。根据所述来访用户建立身份属性，当所述来访用户为自然人时，所述身份属性包含姓名、身份证号、手机号码、职位等；当所述来访用户为法人时，所述身份属性包含企业名称、社会信用代码、企业类型等；当所述来访用户为网络设备时，所述身份属性包含设备类型、设备型号、设备ip等。环境属性泛指来访用户在当前状态下的环境信息，如当前网络ip、当前访问时间、访问客户端版本信息、访问客户端类别和当前地理位置等，操作属性泛指来访用户所具备的对数据操作权限，如查询、新增、删除和修改等。对象属性在工业互联网标识解析系统中唯独指标识解析数据，所有来访工业互联网标识解析系统的用户的最终操作对象都是标识解析数据，所以本发明基于属性信息动态计算用户权限时，对象属性不参与权限计算算法中。

步骤S3：权限管理系统根据属性信息构建权限模型，具体步骤如下：

步骤S31：根据模型建立请求预定义逻辑运算符；所述逻辑运算符包括且(&&)、或(||)以及非(！)中至少一种。来访用户的登录信息与已注册用户库的分身信息匹配成功后生成模型建立请求；

步骤S32：预定义操作动作；所有操作动作包括：查询、删除以及修改中至少一种。

步骤S33：预定义访问主体与访问客体；访问主体是一个主动发起查询动作的实体，包括用户、用户组、终端设备或者是应用。访问客体是被访问的实体，权限控制主要是对访问客体中标识数据的访问控制，定义访问客体时主要定义访问客体中保存的数据字段类别。

步骤S34：利用访问主体和访问客体的属性信息，运用所述逻辑运算符和所述操作动作构建权限模型；具体的，利用访问主体和访问客体的用户属性，根据权限控制需求拼装策略规则，运用所述逻辑运算符和所述操作动作构建权限模型；所述权限模型为访问主体在用户属性值为某个区间内才有权限操作访问客体数据以及权重值，当权重值越小，则说明所述权限模型的优先级越高，最小值为1。

当权限控制需求为该企业标识数据只有企业内部人员且为部门经理及以上职位才可查看时，行业或企业节点权利管理员需设置访问主体为节点内部人员，访问客体为该节点客体实体本身，即该企业中的标识解析数据、运算符设置为大于等于号、用户职位属性的运算符比较值为部门经理职位数字代码(举例为4)，操作动作为查询。最终保存的权限模型为所有来访该节点的用户，只有节点内部人员才能进入该节点，且节点内部员工职位属性代码值大于4时才能请求查询标识解析数据。

步骤S4：权限管理系统根据所述权限模型和所述属性信息动态计算多个权限，所述属性信息包括身份属性、操作属性、环境属性和对象属性。所述权限为“无权访问”或“有权访问”。

如图4所示，权限管理系统包括策略管理点(Policy Administration Point，简称PAP)，策略决策点(Policy Decision Point，简称PDP)，策略实施点(Policy EnforcementPoint，简称PEP)，策略信息点(Policy Information Point，简称PIP)，策略提取点(PolicyRetrieval Point，简称PRP)，因此计算多个权限的具体步骤包括：

步骤S41：PEP接收所述权限请求后生成权限申请，并将所述权限申请发送至PDP；权限模型建立完成后生成权限请求；

步骤S42：PDP接收到所述权限申请后，向PRP获取权限策略；权限策略为“该标识的拥有者能够查询、修改、新增或删除此标识数据”；

步骤S43：PDP向PIP发送请求属性，以使PIP接收到所述请求属性时收集属性信息，并发送至PDP；

步骤S44：PDP根据所述属性信息确定待识别的拥有者，并判断所述待识别的拥有者是否为所述权限策略的拥有者；如果所述待识别的拥有者是所述权限策略的拥有者，则向PEP发送“同意”，即“有权访问”；如果所述待识别的拥有者不是所述权限策略的拥有者，则向PEP发送“拒绝”，即“无权访问”。

步骤S45：PAP管理PRP提取的权限策略；所述权限策略存储在数据库中，PRP通过JDBC(访问数据库的应用程序接口)链接数据库，维护并提取权限策略，PAP将PRP提取的权限策略展示在权限控制中心网站管理系统页面中，权限管理者通过浏览器页面上操作按钮按照设定操作方式维护访问策略数据，变更过的权限策略由PAP传递给PRP，PRP将权限策略存入数据库做持久化操作。设定操作方式为新增策略、修改策略或删除策略。

步骤S5：权限管理系统从各权限中选取权限权重值最小的权限作为最终权限。

同一用户的不同属性或不同属性组会对应不同的权限策略，同一企业应用系统中也可设置多条权限模型，所以，同一用户的不同属性经过步骤S3可能会获得不同的权限计算结果，在权限设计阶段每条权限会有一个字段代表权重值。权重值越小，权重越高，最小值为1。本步骤S5的计算是直接比较多条权限对应的权限权重值，将权限权重值最小的权限作为最终权限。比如一个网络设备根据“设备类型”身份属性通过步骤S4计算权限结果为可以查询该企业标识数据，其权限权重值为10。同样的网络设备根据“ip”和“访问时间”环境属性通过步骤4计算权限结果为无权查询该企业数据，此时的权限权重值为1。1的权重值大于10，那么，步骤S5返回的最终权限为“无权访问”。

步骤S6：权限管理系统获取来访用户发送的标识解析查询请求后，判断是否赋予最终权重；如果赋予最终权重，则将赋予最终权重的权限模型和标识解析查询请求通过所述请求转发系统发送至所述数据解析应用系统，以使所述数据解析应用系统根据赋予最终权重的权限模型设置操作权限，并按操作权限来控制标识数据的查询、修改或删除功能，获得查询标识解析数据；如果没有赋予最终权重，则执行“步骤S7”。

步骤S7：权限管理系统匿名将标识解析查询请求通过请求转发系统发送至数据解析应用系统，以使所述数据解析应用系统依次通过请求转发系统和所述权限管理系统向来访用户发送已公开的标识解析数据。

步骤S8：权限管理系统判断未公开的标识解析数据是否与权限策略相匹配；如果未公开的标识解析数据与权限策略相匹配，则将未公开的标识解析数据发送至来访用户；如果未公开的标识解析数据与权限策略相不匹配，则向来访用户发送无权访问。

如图5所示，本发明还提供一种标识解析用户权限控制系统，其特征在于，所述系统包括：

权限管理系统、请求转发系统和数据解析应用系统；所述权限管理系统包括登录匹配模块、属性信息确定模块、权限模型构建模块、多个权限确定模块、最终权限确定模块、第一判断模块和第二判断模块。

所述登录匹配模块用于将来访用户的登录信息与已注册用户库的分身信息进行匹配，如果匹配成功，则返回登录结果为“来访用户是合法用户”；如果匹配失败，则返回登录结果为“来访用户是匿名访客用户”。

所述属性信息确定模块用于从数据库用户信息表中读取来访用户的身份属性和操作属性，根据来访用户的登录信息获取环境属性和对象属性；

所述权限模型构建模块用于根据属性信息构建权限模型；所述属性信息包括身份属性、操作属性、环境属性和对象属性。

所述多个权限确定模块用于根据所述权限模型和所述属性信息动态计算多个权限。

所述最终权限确定模块用于权限管理系统从各权限中选取权限权重值最小的权限作为最终权限。

所述第一判断模块用于获取来访用户发送的标识解析查询请求后，判断是否赋予最终权重；如果赋予最终权重，则将赋予最终权重的权限模型和标识解析查询请求发送至所述请求转发系统；如果没有赋予最终权重，则匿名将标识解析查询请求发送至请求转发系统。

所述第二判断模块用于判断未公开的标识解析数据是否与权限策略相匹配；如果未公开的标识解析数据与权限策略相匹配，则将未公开的标识解析数据发送至来访用户；如果未公开的标识解析数据与权限策略相不匹配，则向来访用户发送无权访问。

所述请求转发系统用于将匿名的标识解析查询请求转发至数据解析应用系统，或将赋予最终权重的权限模型和标识解析查询请求转发至数据解析应用系统。

所述数据解析应用系统用于根据匿名的标识解析查询请求获取已公开的标识解析数据，并依次通过请求转发系统和所述权限管理系统发送至来访用户发送，或根据赋予最终权重的权限模型设置操作权限，并按操作权限来控制标识数据的查询、修改或删除功能，获得未公开的标识解析数据，并将未公开的标识解析数据通过所述请求转发系统发送至所述权限管理系统。

作为一种实施方式，本发明所述多个权限确定模块，具体包括：

权限申请发送单元，用于PEP接收所述权限请求后生成权限申请，并将所述权限申请发送至PDP；所述PDP为策略决策点；所述PEP为策略实施点；权限模型建立完成后生成权限请求。

权限策略获取单元，用于PDP接收到所述权限申请后，向PRP获取权限策略；所述PRP为策略提取点。

属性信息收集单元，用于PDP向PIP发送请求属性，以使PIP接收到所述请求属性时收集属性信息，并发送至PDP；所述PIP为策略信息点。

判断单元，用于PDP根据所述属性信息确定待识别的拥有者，并判断所述待识别的拥有者是否为所述权限策略的拥有者；如果所述待识别的拥有者是所述权限策略的拥有者，则向PEP发送“同意”；如果所述待识别的拥有者不是所述权限策略的拥有者，则向PEP发送“拒绝”。

权限策略管理单元，用于PAP管理PRP提取的权限策略；所述PAP为策略管理点。

作为一种实施方式，本发明所述权限模型构建模块，具体包括：

第一预定义单元，用于根据模型建立请求预定义逻辑运算符；来访用户的登录信息与已注册用户库的分身信息匹配成功后生成模型建立请求。

第二预定义单元，用于预定义操作动作。

第三预定义单元，用于预定义访问主体与访问客体。

权限模型构建单元，用于利用访问主体和访问客体的属性信息，运用所述逻辑运算符和所述操作动作构建权限模型。

作为一种实施方式，本发明所述方系统还包括：

身份属性构建模块，用于根据所述来访用户建立身份属性，当所述来访用户为自然人时，所述身份属性包含姓名、身份证号、手机号码和职位；当所述来访用户为法人时，所述身份属性包含企业名称、社会信用代码和企业类型；当所述来访用户为网络设备时，所述身份属性包含设备类型、设备型号和设备ip。所述环境属性包括当前网络ip、当前访问时间、访问客户端版本信息、访问客户端类别和当前地理位置。

本发明标识数据解析应用系统是由多家企业、多种标识节点解析系统组成，标识数据解析应用系统权限控制由权限管理系统统一管控，权限管理系统根据来访用户的属性信息计算权限模型，并基于已赋予最终权重的权限模型对来访用户赋权，并按权限和用户访问操作指令来控制标识数据的查询、修改、删除功能，最终将未公开的标识解析数据返回来访用户。

1、本发明在工业互联网标识解析过程中，所有标识解析查询的权限统一由权限系统管控，当来访用户进行标识解析数据查询时，权限管理系统根据用户属性建立权限模型，标识数据解析应用系统调用已赋予最终权重的权限模型，设置操作权限，并按操作权限来控制标识数据的查询、修改或删除功能，获得未公开的标识解析数据。可见本发明基于实体属性的权限控制，能够实现权限的动态控制以及对资源数据不同粒度的访问控制。

2、本发明提出的技术方案，最终作用于接入系统(企业)的访问权限控制，通过权限管理功能模块定义访问主体、访问客体，结合自定义的访问策略，控制用户对数据的读写范围，通过细化访问策略，实现数据权限的控制和数据安全保护的功能。

3、本发明提出的技术方案，不需要预定义判断逻辑，减轻权限系统的维护成本，适用于权限控制需求经常变化的系统。

4、本发明采用基于实体属性信息为授权基础，其权限模型的定义，是根据通过实体的身份属性、操作属性、相关的环境属性来控制是否有对操作对象的权限。该方式可动态计算权限，新用户注册进入系统时，不必为新用户手动绑定权限，新用户访问系统时，会根据新用户的实体属性计算并赋予权限。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。