一種解決權限管理中訪問控制的方法
2023-12-07 23:04:41 1
專利名稱:一種解決權限管理中訪問控制的方法
技術領域:
本發明涉及一種計算機應用技術,具體地說是一種解決權限管理中訪問控制 的方法。
背景技術:
信息是一種資產,同其他重要的商業資產一樣,它對一個組織而言具有一定 價值,因而需要適當地保護,即信息安全的問題。信息安全可以通過實施一整套 的控制措施達到。這些控制措施可能是策略、做法、程序、組織結構或者軟體功 能,建立這些控制措施以確保實現該機構特殊的安全目標。
訪問控制是信息安全的核心策略之一,它的任務通過限制資源的訪問,防止 非法用戶的侵入或合法用戶的不慎操作而造成的破壞,從而保證系統資源的合法 使用。訪問控制的核心是授權策略,即為了限制訪問主體(用戶、進程、服務等) 對訪問客體(文件、系統等)的訪問權限,從而使計算機系統在合法範圍內使用;
決定用戶能做什麼,也決定代表一定用戶利益的程序能做什麼。傳統訪問控制策 略一般有三種自主型訪問控制方法、強制型訪問控制方法和基於角色的訪問控
制方法(RBAC),但三者都不能滿足在當前B/S環境下對於資源多樣性、多層次 特點而帶來的訪問控制問題。針對B/S環境下資源的複雜性,我們在基於RBAC訪 問控制的模型上進行了擴展,制定了一種便於資源管理的訪問控制模型。
發明內容
本發明的目的是在基於RBAC訪問控制的模型上深化了資源的管理及使用,實 現了資源在系統、模塊、功能、數據等細粒度上的安全訪問控制。
該方法基於RBAC模型訪問控制技術,將資源細粒度化分為功能資源和數據資 源,達到對資源的統一管理和授權;功能資源管理按系統、模塊、功能、資源進 行了分層設計和實現,數據資源類型管理從業務角度來對訪問的敏感業務數據進 行靈活定義和管理;最終再通過用戶 一角色_功能資源權限模式來完成操作頁面 的授權和用戶一數據資源權限模式完成對數據的授權,具體實施步驟如下-
1、梳理業務需求,凡是涉及到"誰"對"什麼"進行了 "什麼操作"的業務 統一作為功能資源來處理,在功能資源管理裡面進行註冊,對於跨系統進行訪問 並需要納入權限統一管理的,即系統集成,通過添加系統來完成資源註冊,2、 然後再分模塊、功能、資源依次添加來完成功能資源的管理;
3、 對於"誰"訪問"什麼資源"中的"什麼數據"的業務從數據資源類型管 理中進行註冊,來達到對數據的記錄集控制;
4、 分離角色。互斥或不相容角色、繼承角色定義,給角色按系統、模塊、功 能、資源添加操作權限;
5根據用戶在社會中扮演的角色來分配適合的角色以及要訪問的數據。 本發明的有益效果是將資源細粒度化分為功能資源和數據資源,達到對資源 的統一管理和授權;功能資源管理按系統、模塊、功能、資源進行了分層設計和 實現,數據資源類型管理從業務角度來對訪問的敏感業務數據進行靈活定義和管 理;最終再通過用戶—角色一功能資源權限模式來完成操作頁面的授權和用戶一 數據資源權限模式完成對數據的授權,實現了資源在系統、模塊、功能、數據級 等細粒度上的安全訪問控制,有效的豐富了權限管理內涵,加大了權限控制力度, 延長了管理半徑,提高了管理的方面性。
附圖1為功能資源管理的分層樹形結構圖; 附圖2為權限管理訪問控制的業務流程圖。
具體實施例方式
參照附圖對本發明的方法作以下詳細的說明-
本發明的方法是通過對資源的分類明確了用戶權限控制的範圍;對功能資源 進行分層為用戶授權管理提供了方便快捷。
例如某個角色具備用戶管理的權限,而這個用戶管理功能可能要對應六七個 相關的操作,這種情況下在權限設置管理界面裡面初始化某角色的權限,則是一 件非常累人的事情,為了給一個角色增加一個功能權限,需要你分別設置六七個
操作的權限。
針對這種情況,我們模型在操作前添加了功能、模塊的概念,用戶授權時只 需要將上述六七個操作所在的模塊設置一下就可以。
資源在我們模型中分為功能性資源和數據性資源,他們的含義分別為
功能資源用戶與業務系統進行交流, 一般是面向服務的,即業務系統會把 服務抽象成一個個功能點暴露給用戶,功能權限實際上就是決定用戶能否使用系 統提供的功能點的問題,即"'誰,對'什麼資源'進行M十麼操作'".這裡 的功能點就是對應的功能資源。
數據資源基於用戶的權限控制而言的,即""誰'訪問(什麼資源'當中
5的'哪些資源7 "。例如分論壇A的版主與分論壇B的版主擁有同樣的角色"版 主",即他們的功能權限是一致的,但A版主只能管理A論壇的帖子,B版主只能
管理B論壇的帖子,這時,RBAC就不能解決這類權限問題。這裡的帖子就是數據 資源。
功能資源管理是對功能資源進行維護的模塊,對功能資源按系統、模塊、功能、 資源進行了四級分層處理,見附圖1,協同辦公和人力資源系統是系統級的,權限管 理和組織結構是模塊級的,角色和用戶是功能級的,增加和刪除角色是資源級的。
數據資源可以按記錄級即行級和列級來進行訪問控制。
行級數據進行權限控制,是指具有不同權限的用戶對相同表中同一欄位對應 的不同記錄具有不同的權限。即用戶對表的某個欄位對應的數據一部分可訪問, 另一部分不能訪問。對於哪些數據可以訪問,哪些不能訪問,通過具體的用戶數 據權限授權來實現。
數據資源類型管理是對數據資源行級訪問進行維護的模塊。可以通過指定數 據來源和過濾條件,比如在訂單表中查詢符合訂單日期大於2008的訂單號,然後 進行記錄級訪問。
列級數據進行權限控制,是指針對某表中部分欄位,只有被授權的用戶才能訪 問,未被授權的用戶不能訪問這些欄位。
通過在功能權限的基礎上來指定要進行權限控制的欄位,然後對用戶進行授權。
最後,用戶針對功能權限按照RBAC模型進行用戶-角色-資源的授權處理,對 於數據資源權限是通過直接給用戶授權來完成。
權利要求
1、一種解決權限管理中訪問控制的方法,其特徵在於,該方法基於RBAC模型訪問控制技術,包括1)將資源細粒度化分為功能資源和數據資源,達到對資源的統一管理和授權;2)功能資源管理按系統、模塊、功能、資源進行了分層設計和實現,數據資源類型管理從業務角度來對訪問的敏感業務數據進行靈活定義和管理;3)最終再通過用戶—角色—功能資源權限模式來完成操作頁面的授權和用戶—數據資源權限模式完成對數據的授權,具體實施步驟如下第一步梳理業務需求,凡是涉及到「誰」對「什麼」進行了「什麼操作」的業務統一作為功能資源來處理,在功能資源管理裡面進行註冊,對於跨系統進行訪問並需要納入權限統一管理的,即系統集成,通過添加系統來完成資源註冊,然後再分模塊、功能、資源依次添加來完成功能資源的管理;第二步對於「誰」訪問「什麼資源」中的「什麼數據」的業務從數據資源類型管理中進行註冊,來達到對數據的記錄集控制;第三步分離角色,互斥或不相容角色、繼承角色定義,給角色按系統、模塊、功能、資源添加操作權限;第四步根據用戶在社會中扮演的角色來分配適合的角色以及要訪問的數據。
2、 根據權利要求1所述的方法,其特徵在於,功能資源管理是對功能資源進行維護的模塊,對功能資源按系統、模塊、功能、資源進行了四級分層處理,協同 辦公和人力資源系統是系統級的,權限管理和組織結構是模塊級的,.角色和用戶 是功能級的,增加和刪除角色是資源級的。
3、 根據權利要求2所述的方法,其特徵在於,數據資源可以按記錄級即行級 和列級來進行訪問控制。
4、 根據權利要求2所述的方法,其特徵在於,行級數據進行權限控制,是指 具有不同權限的用戶對相同表中同一欄位對應的不同記錄具有不同的權限,即用 戶對表的某個欄位對應的數據的訪問,是通過具體的用戶數據權限授權來實現。
5、 根據權利要求2所述的方法,其特徵在於,數據資源類型管理是對數據資 源行級訪問進行維護的模塊,通過指定數據來源和過濾條件,然後進行記錄級訪 問。 一
6、 根據權利要求2所述的方法,其特徵在於,列級數據進行權限控制,是指 針對某表中部分欄位,只有被授權的用戶才能訪問,未被授權的用戶不能訪問這些欄位,通過在功能權限的基礎上來指定要進行權限控制的欄位,然後對用戶進行 授權。
7、根據權利要求1所述的方法,其特徵在於,用戶針對功能權限按照RBAC 模型進行用戶-角色-資源的授權處理,對於數據資源權限是通過直接給用戶授權 來完成。
全文摘要
本發明提供一種解決權限管理中訪問控制的方法,該方法基於RBAC模型訪問控制技術,將資源細粒度化分為功能資源和數據資源,達到對資源的統一管理和授權;功能資源管理按系統、模塊、功能、資源進行了分層設計和實現,數據資源類型管理從業務角度來對訪問的敏感業務數據進行靈活定義和管理;最終再通過用戶—角色—功能資源權限模式來完成操作頁面的授權和用戶—數據資源權限模式完成對數據的授權,實現了資源在系統、模塊、功能、數據級等細粒度上的安全訪問控制,有效的豐富了權限管理內涵,加大了權限控制力度,延長了管理半徑,提高了管理的方面性。
文檔編號H04L29/06GK101478536SQ200810238120
公開日2009年7月8日 申請日期2008年12月8日 優先權日2008年12月8日
發明者暉 張, 娟 李, 鄭婷婷, 靜 阮, 高浩文 申請人:山東浪潮齊魯軟體產業股份有限公司