雲計算企業信息系統及該系統的用戶權限設定方法
2023-06-28 03:02:26
專利名稱:雲計算企業信息系統及該系統的用戶權限設定方法
技術領域:
本發明涉及權限管理領域,特別涉及一種對雲計算企業的操作權限進行管理的信息系統及方法。
背景技術:
在企業的系統中,對用戶進行身份驗證和鑑權是應用系統的基本功能,鑑權就是解決用戶對不同資源的訪問權限問題。為了解決用戶的權限管理問題,目前業界已經提出了一些權限管理模型,其中,角色訪問控制(Role Based Access Control, RBAC)模型是目前應用較為廣泛的模型之一。
基於RBAC模型的權限管理,是指應用RBAC模型的權限管理單元配置資源訪問權限和為用戶提供資源訪問權限的查詢,其中為用戶提供資源訪問權限的查詢是權限管理的主要內容。目前,企業系統對用戶權限管理的方式主要有以下幾種方式I、按照文件和數據歸屬的組織機構歸納用戶權限。如圖I所示,首先定義組織機構,在組織機構內創建文檔和數據,並定義文檔和數據歸屬職能範圍;同時創建用戶,定義用戶組織機構數據權限,並定義用戶職能權限。當用戶訪問系統時,比較用戶權限和數據歸屬,從而確定用戶的訪問權限。但是,按照組織機構和職能定義用戶數據訪問權限不能體現數據共享形式的多樣化。2、按照文件和數據的所有人和所有人在組織內的網絡關係歸納用戶權限。如圖2所示,首先創建用戶,並定義用戶在組織內的網絡關係;同時用戶創建文檔,並定義文檔在網絡中的共享範圍。當用戶訪問系統時,比較訪問用戶在網絡中的低位和數據共享範圍,從而確定用戶的訪問權限。這種技術是以文檔的創建用戶為關鍵控制點,通過創建人在組織內的歸屬部門和上下級關係來確定文檔的訪問權限,因此無法將文檔創建人(文檔的錄入人)和歸屬人(文檔的管理者)分開。而且當所有人在組織內的關係發生變化時(比如工作職責變化,離職,或有多頭上級關係)往往造成權限管理的混亂。比如王某先為銷售部業務員,在系統中負責部分銷售數據的錄入,該技術在權限控制時會根據王某的職務和部門將這部分數據劃分為銷售部數據,當王某調到生產部時這部分數據將會被劃分為生產部數據。綜上所述,現有的企業系統對用戶權限管理的方式存在缺乏多樣性、容易造成權限管理混亂的問題。
發明內容
本發明的目的是提供一種雲計算企業信息系統,以解決現有的企業系統對用戶權限管理的方式容易造成權限管理混亂,安全性差的問題。本發明的另一目的是提供一種雲計算企業信息系統的用戶權限設定方法,以解決現有的企業系統對用戶權限管理的方式容易造成權限管理混亂,安全性差的問題。
為解決以上問題,本發明提出一種雲計算企業信息系統,包括管理模塊、交互模塊以及資料庫,交互模塊用於根據用戶發送的請求,向管理模塊發送數據訪問信息,管理模塊分別與交互模塊及資料庫相連,用於查詢及調用數據。其中,資料庫又進一步包括用戶模塊、對象模塊、角色模塊及對象布局模塊。用戶模塊,用於存儲用戶信息,對象模塊用於存儲需要進行控制的對象,以及每個對象對應的功能,角色模塊用於存儲用戶對對象的訪問權限規則信息,對象布局模塊用於存儲各個對象中的欄位的訪問規則信息。進一步的,對象布局模塊又進一步包括對象欄位表和用戶和對象欄位布局表。對象欄位表用於存儲每個對象所包含的欄位信息,用戶和對象欄位布局表用於存儲用戶與對象的欄位之間的訪問權限信息。
進一步的,用戶模塊又進一步包括用戶表、用戶組表和用戶和組對應表。用戶表,用於存儲用戶信息,用戶組表用於存儲按照特定區域或類別劃分的組信息,用戶和組對應表用於存儲單個用戶與組之間的對應關係信息。進一步的,角色模塊又進一步包括用戶角色對應表和角色權限表。用戶角色對應表用於存儲用戶與角色之間的對應關係信息,一角色權限表用於存儲角色與對象之間的對應關係信息。進一步的,對象模塊又進一步包括對象表和功能表。對象表用於存儲需要進行控制的對象信息,功能表用於存儲每個對象對應的操作功能信息。本發明還提出一種雲計算企業信息系統的用戶權限設定方法,包括資料庫創建過程和權限驗證過程。資料庫創建過程包括以下步驟(I)定義並存儲需要進行數據控制的對象。(2)存儲用戶對對象的訪問權限規則信息。(3)存儲各個對象中的欄位的訪問規則信息。權限驗證過程包括以下步驟(I)根據用戶發送的訪問請求信息,查詢其有權限控制的對象。(2)查詢用戶有權控制的對象中其有權限訪問的欄位信息,並反饋給用戶。進一步的,資料庫創建過程還包括步驟存儲用戶信息。權限驗證過程還包括步驟根據用戶發送的訪問請求信息查詢用戶信息,並根據用戶信息查詢用戶有權限控制的對象。進一步的,查詢用戶有權限訪問的欄位信息包括以下步驟(I)查詢對象包含的欄位信息。(2)查詢用戶有權限訪問的欄位信息。(3)向用戶反饋其有權限訪問的對象的欄位信息。進一步的,所述的雲計算企業信息系統的用戶權限設定方法,反饋給用戶的信息為圖像信息或語音信息。進一步的,所述的雲計算企業信息系統的用戶權限設定方法,還包括以下步驟查詢用戶對其所訪問對象可操作的功能信息,並反饋給用戶。相對於現有技術,本發明具有以下優點本發明可以使雲服務系統按照企業用戶要求靈活地定義各種文檔和數據權限保護策略,通過對象訪問規則的設置可以滿足企業按業務規則設定數據權限的要求,通過對象布局的設置可以滿足企業對敏感數據的保護要求,減少企業的數據安全顧慮,從而減少或者從根本上避免企業在信息化過程中大量軟硬體基礎設施的投入,加速企業信息化進程。
圖I為現有技術中企業系統按照文件和數據歸屬的組織機構歸納用戶權限的流程圖;圖2為現有技術中企業系統按照文件和數據的所有人和所有人在組織內的網絡關係歸納用戶權限的流程圖;圖3為本發明雲計算企業信息系統的一種實施例結構圖;圖4為本發明雲計算企業信息系統的一種實施例結構圖;圖5為本發明雲計算企業信息系統的用戶權限設定方法的一種實施例流程圖。
具體實施方式
雲計算的應用都是展現為Web服務,Web服務普遍採用的是三層架構,即表現層(Π)、業務邏輯層(BLL)、數據訪問層(DAL)。對雲應用生成Web頁面(表現層)的控制可以實現對用戶關鍵欄位(列數據)訪問權限的控制,如用戶帳戶,身份證號等。業務數據是在資料庫訪問層中獲取並轉化為簡單JAVA對象(POJO)。用戶的資源在系統中是通過數據的形式保存在資料庫中的,通過在數據訪問層中增加對數據訪問範圍的控制。就可以實現對用戶特定資源的控制(行數據),例如系統中客戶信用額度是保存在資料庫客戶信息表中的,我們通過對該表中信用額度大於500萬元的數據的訪問控制,就可以實現對客戶資源中信用額度大於500萬的優質客戶的控制。本發明中,所述的「用戶」是已在系統中定義了使用功能、資源的單個身份(平臺用戶),用戶可以通過終端以網絡連接的方式與本發明的雲計算企業信息系統進行交互,也可以直接從本發明的雲計算企業信息系統訪問內部數據。本發明所述的「角色」定義了用戶可以訪問哪些功能模塊,並定義用戶的可控數據範圍,也就是說,角色決定用戶的授權訪問級別。本發明所述的「對象」是用戶可訪問的業務對象及其數據範圍,如採購單、合同、供應商等。本發明所採用的數據查詢方式可以是遍歷數據查詢或其它任意形式。以下結合附圖,具體說明本發明。請參見圖3,其為本發明雲計算企業信息系統的一種實施例結構圖。此系統包括管理模塊31、交互模塊32以及資料庫33。交互模塊32用於根據用戶發送的請求,向管理模塊31發送數據訪問信息。管理模塊31分別與交互模塊32及資料庫33相連,用於查詢及調用數據。其中,資料庫33又進一步包括用戶模塊34、對象模塊36、角色模塊35及對象布局模塊37。用戶模塊34用於存儲用戶信息。對象模塊36用於存儲需要進行控制的對象,以及每個對象對應的功能。角色模塊35用於存儲用戶對對象的訪問權限規則信息。對象布局模塊37用於存儲各個對象中的欄位的訪問規則信息。用戶登陸系統時,向交互模塊32發送訪問請求,由管理模塊31從用戶模塊34中加載用戶的信息;接著管理模塊31根據用戶的信息查詢角色模塊35,並根據對象訪問規則找出用戶可以訪問的對象;然後從對象模塊36中查詢用戶可以訪問的對象的具體欄位數據以及該些對象具有的操作功能;同時,管理模塊31還會從對象布局模塊37中查詢該些對象的欄位數據中是否存在該用戶沒有權限獲取的敏感數據,若有,則攔截;最後,交互模塊32將用戶可以獲得的對象的詳細欄位數據以及對象相應的操作功能反饋給用戶。例如某集團公司,上海分公司某部門財務王明登入系統,據王明的『財務』角色判斷他擁有對象『報銷管理』的訪問權限,系統菜單顯示『報銷管理』,王明點擊菜單進入報銷管理一報銷單列表頁面。根據『財務』的可操作功能報銷單列表頁面顯示審核功能按鈕,根據對象布局顯示有權查看的欄位,根據對象訪問規則顯示上海分公司金額I萬元以內的數據。本發明通過對象布局的設置,可以滿足企業對敏感數據的保護要求,減少企業的數據安全顧慮。請參見圖4,其為本發明雲計算企業信息系統較為詳盡的一種實施例結構圖。與圖3相比,本實施例的用戶模塊34又進一步包括用戶表41、用戶組表42和用戶和組對應表43。用戶表41用於存儲用戶信息,在實際應用中,用戶登錄系統時輸入的往往是由數字或字母組成的登錄帳號,這裡的用戶信息就可以是登錄帳號和用戶名、用戶ID等個人信息之間的關聯信息。用戶組表42用於存儲按照特定區域或類別劃分的組信息,例如某集體公司上海分公司的所有員工可以分為一個用戶組。用戶和組對應表用於存儲單個用戶與用戶組之間的對應關係信息,即用戶是否屬於某個用戶組。對於大型企業來說,其數據量龐大,採用用戶和用戶組的方式存儲數據,可以將性質相同的用戶合併管理,方便大用戶量下的系統權限的定義。
角色模塊35又進一步包括用戶角色對應表44和角色權限表45。用戶角色對應表44用於存儲用戶與角色之間的對應關係信息。對於企業管理來說,角色通常可以表示用戶的職能,即通過用戶角色對應表44可以查詢出用戶ID與用戶職能之間的對應關係。角色權限表45用於存儲角色與對象之間的對應關係信息。例如「部門經理」這個角色對應採購單、合同、供應商三個對象信息,在實際應用中,可以採用權限標識符來表示角色與對象之間的關聯,即通過查詢角色權限表45便可以知道某個角色具有哪些對象的操作權限。對象模塊36又進一步包括對象表46和功能表47。對象表46用於存儲需要進行控制的對象信息,這裡所述的對象信息是指對象各個欄位的詳細信息,例如對象報銷單」的具體時間、金額大小、報銷人姓名等信息。功能表47用於存儲每個對象對應的操作功能信息。例如報銷單對象有創建、修改、刪除、提交、審核、查看等功能,因此通過將功能表47與角色權限表45結合起來查詢可以知道某個角色具有哪些功能的操作權限。對象布局模塊33是本發明的核心部分,其又進一步包括對象欄位表48和用戶和對象欄位布局表49。對象欄位表48用於存儲每個對象所包含的欄位信息。這裡所述的欄位信息是指欄位的名稱,例如時間、金額小、報銷人等。用戶和對象欄位布局表49用於存儲用戶與對象的欄位之間的訪問權限信息。即通過查詢用戶和對象欄位布局表49可以知道,對象的哪些欄位詳細信息可以提供給用戶,哪些不能提供給用戶。例如,財務部經理可以看到報銷金額大於兩萬的報銷單,但是不希望他看到具體的報銷人。系統就可以通過在用戶和對象欄位布局表49中將報銷單的申請人欄位的使能值設為零,來滿足這樣的需求。通過對象布局模塊33的設置,系統可以更靈活地對數據進行控制,滿足企業對敏感數據的保護要求,提高了系統的安全性。利用上述系統實施例本發明還提出了一種雲計算企業信息系統的用戶權限設定方法,如圖5所示,其為本發明雲計算企業信息系統的用戶權限設定方法的一種實施例流程圖,其包括資料庫創建過程500和權限驗證過程510。其中,資料庫創建過程500包括以下步驟S501,存儲用戶信息。用戶信息可以是用戶ID、用戶名等信息以及用戶ID、用戶名等信息與用戶登錄帳號、密碼之間的對應關係。S502,定義並存儲需要進行數據控制的對象。所述的對象可以是採購單、合同、供應商等。對象可以根據企業的實際需要來定義,例如可以將「採購單」定義為對象,當然也可以將「採購金額」或「報銷管理」定義為對象,具體操作是根據希望進行控制的數據資源來決定的。S503,存儲用戶對對象的訪問權限規則信息。所述的對象的訪問權限規則即各個用戶與各個對象之間的對應訪問權限。例如部門經理可以訪問報銷單、採購單、供應商這幾個對象的數據,公司財務職能訪問報銷單這個對象的數據。S504,存儲各個對象中的欄位的訪問規則信息。每個對象都會包含若干個欄位的數據,例如報銷單這個對象可以包含「報銷金額」、「報銷時間」、「報銷人」這三個欄位,而每個欄位下都設置有表示具體明細的數據。對於企業管理來說,有的欄位數據對於某些用戶屬於敏感數據,因此通過設置對象中欄位的訪問規則,便可以滿足企業對敏感數據的保護要求。例如,財務部經理可以看到報銷金額大於兩萬的報銷單,但是不希望他看到具體的報 銷人。就可以通過設置欄位的訪問規則來實現。權限驗證過程510即為用戶對數據訪問、查詢、操作等過程的驗證,其包括以下步驟S511,根據用戶發送的訪問請求信息,查詢用戶信息。訪問請求信息通常是由數字或字母組成的登錄帳號及登錄密碼,通過查詢是否存在與訪問請求信息相匹配的用戶信息,便可以知道該用戶是否屬於相應的角色,以及可以訪問相關的對象數據。若存在,則進入步驟S512,若不存在,則向用戶返回結束訪問的信息。S512,根據用戶信息,查詢其有權限控制的對象。當查詢到存在相關的用戶信息與用戶的訪問請求信息相對應時,便可以獲取用戶相應的角色信息,從而便可以查詢用戶有權訪問的對象。例如用戶屬於「經理」角色,則有權訪問報銷單、採購單、供應商這三個對象的數據,如果用戶屬於「部門主管」角色,則有權訪問報銷單這個對象的數據。S513,查詢對象包含的欄位信息。例如,若用戶要訪問「報銷單」這個對象時,需要查詢金額、時間、報銷人等明細數據。S514,查詢用戶有權限訪問的欄位信息。即查詢欄位信息中是否存在對於用戶是敏感數據的信息,若有,則屏蔽相關的欄位信息。S515,查詢用戶對其所訪問對象可操作的功能信息。例如報銷單對象有創建、修改、刪除、提交、審核、查看等功能,即通過查詢便可以知道某個用戶角色具有哪些功能的操作權限。S516,向用戶反饋其有權限訪問的對象的欄位信息以及可操作的功能信息。反饋給用戶的信息可以是圖像信息,其可以通過顯示設備直觀地呈現給用戶;或者也可以是語音信息,其可以通過聲音的方式呈現給用戶。值得注意的是,並不局限於最後階段才向用戶反饋信息,也可以在中間任意步驟進行的過程中與用戶產生交互過程。例如通過步驟S512獲得用戶可以控制的對象之後,便可以向用戶反饋其可控制的若干對象信息,由用戶選擇需要訪問的對象,這樣就省去了許多不必要的查詢過程,也節約了計算資源。本發明可以使雲服務系統按照企業用戶要求靈活地定義各種文檔和數據權限保護策略,通過對象訪問規則的設置可以滿足企業按業務規則設定數據權限的要求,通過對象布局的設置可以滿足企業對敏感數據的保護要求,減少企業的數據安全顧慮,從而減少或者從根本上避免企業在信息化過程中大量軟硬體基礎設施的投入,加速企業信息化進程。以上公開的僅為本申請的幾個具體實施例,但本申請並非局限於此,任何本領域的技術人員能思之的變化,都應落在本申 請的保護範圍內。
權利要求
1.一種雲計算企業信息系統,包括一管理模塊、一交互模塊以及一資料庫,該交互模塊用於根據用戶發送的請求,向該管理模塊發送數據訪問信息,該管理模塊分別與該交互模塊及該資料庫相連,用於查詢及調用數據,其特徵在於,該資料庫又進一步包括 一用戶模塊,用於存儲用戶信息; 一對象模塊,用於存儲需要進行控制的對象,以及每個對象對應的功能; 一角色模塊,用於存儲用戶對對象的訪問權限規則信息; 一對象布局模塊,用於存儲各個對象中的欄位的訪問規則信息。
2.如權利要求I所述的雲計算企業信息系統,其特徵在於,該對象布局模塊又進一步包括 一對象欄位表,用於存儲每個對象所包含的欄位信息; 一用戶和對象欄位布局表,用於存儲用戶與對象的欄位之間的訪問權限信息。
3.如權利要求I所述的雲計算企業信息系統,其特徵在於,該用戶模塊又進一步包括 一用戶表,用於存儲用戶信息; 一用戶組表,用於存儲按照特定區域或類別劃分的組信息; 一用戶和組對應表,用於存儲單個用戶與組之間的對應關係信息。
4.如權利要求I所述的雲計算企業信息系統,其特徵在於,該角色模塊又進一步包括 一用戶角色對應表,用於存儲用戶與角色之間的對應關係信息; 一角色權限表,用於存儲角色與對象之間的對應關係信息。
5.如權利要求I所述的雲計算企業信息系統,其特徵在於,該對象模塊又進一步包括 一對象表,用於存儲需要進行控制的對象信息; 一功能表,用於存儲每個對象對應的操作功能信息。
6.一種雲計算企業信息系統的用戶權限設定方法,其特徵在於,包括資料庫創建過程和權限驗證過程,資料庫創建過程包括以下步驟 定義並存儲需要進行數據控制的對象; 存儲用戶對對象的訪問權限規則信息; 存儲各個對象中的欄位的訪問規則信息;權限驗證過程包括以下步驟 根據用戶發送的訪問請求信息,查詢其有權限控制的對象; 查詢用戶有權控制的對象中其有權限訪問的欄位信息,並反饋給用戶。
7.如權利要求6所述的雲計算企業信息系統的用戶權限設定方法,其特徵在於,資料庫創建過程還包括步驟存儲用戶信息; 權限驗證過程還包括步驟根據用戶發送的訪問請求信息查詢用戶信息,並根據用戶信息查詢用戶有權限控制的對象。
8.如權利要求6所述的雲計算企業信息系統的用戶權限設定方法,其特徵在於,查詢用戶有權限訪問的欄位信息包括以下步驟 查詢對象包含的欄位信息; 查詢用戶有權限訪問的欄位信息; 向用戶反饋其有權限訪問的對象的欄位信息。
9.如權利要求6所述的雲計算企業信息系統的用戶權限設定方法,其特徵在於,反饋給用戶的信息為圖像信息或語音信息。
10.如權利要求6-9任一項所述的雲計算企業信息系統的用戶權限設定方法,其特徵在於,還包括以下步驟查詢用戶對其所訪問對象可操作的功能信息,並反饋給用戶。
全文摘要
本發明提出一種雲計算企業信息系統及該系統的用戶權限設定方法,其系統包括管理模塊、交互模塊以及資料庫,交互模塊用於根據用戶發送的請求,向管理模塊發送數據訪問信息,管理模塊分別與交互模塊及資料庫相連,用於查詢及調用數據。其中,資料庫又進一步包括用戶模塊、對象模塊、角色模塊及對象布局模塊。用戶模塊,用於存儲用戶信息,對象模塊用於存儲需要進行控制的對象,以及每個對象對應的功能,角色模塊用於存儲用戶對對象的訪問權限規則信息,對象布局模塊用於存儲各個對象中的欄位的訪問規則信息。本發明可以使企業數據管理更為多樣性,還可以進一步保證企業敏感數據的安全性。
文檔編號G06Q10/06GK102724221SQ20111007761
公開日2012年10月10日 申請日期2011年3月30日 優先權日2011年3月30日
發明者楊濤, 王微 申請人:上海微河信息科技有限公司