客運管理信息系統中的用戶權限管理系統的製作方法
2023-09-24 05:37:20 1
客運管理信息系統中的用戶權限管理系統的製作方法
【專利摘要】本發明申請公開了一種分權技術,該技術將用戶註冊的審批權獨立出來,解決了系統管理員權限集中而給系統帶來的安全隱患。其角色包括系統管理員和業務管理員,系統管理員可給角色分配權限和將角色綁定到用戶,業務管理員可進行業務操作,角色中還設有人事管理員,人事管理員可增加刪除用戶和改變用戶屬性,系統管理員禁止增加刪除用戶、改變用戶屬性和業務操作。
【專利說明】客運管理信息系統中的用戶權限管理系統
【技術領域】
[0001]本發明涉及一種高安全性的客運管理信息系統的權限管理方法。
【背景技術】
[0002]權限系統一直以來都是信息管理系統不可缺的一部分,目前,功能權限管理技術,一般就使用基於角色訪問控制技術,系統提供用戶、角色、權限相關聯的控制功能:
1,角色管理界面,由管理員定義角色,給角色賦權限;
2,用戶角色管理界面,由管理員給系統用戶賦予角色。
[0003]在這樣的系統中,都會原始地設置一個具有最高權限的系統管理員,由它來定義其它基本角色的權限和將系統的用戶賦予角色,在這種只有單一原始系統管理員角色的系統中,任何角色和用戶的權限都直接或間接衍生於這一原始角色,整個系統的安全都建立在對其無條件的信任上。
[0004]對系統管理員權限的限制效果都不大或過於複雜,如:客運系統可以規定系統管理員只具有權限分配的權限,不能具有售票、調度、財務等客運業務操作權限,但系統管理員可以另行註冊一個用戶,然後給這個用戶分配業務操作權限;在功能權限的基礎上,引入數據級權限設置,可以有較好的效果,但這種權限系統比較複雜,其安全性論證也困難。
[0005]客運管理系統幾乎管理著客運站所有的業務,系統管理員角色一般都由普通IT員工擔任,這種單位領導與普通IT員工權責倒掛的情況對單位敏感數據(如:財務數據)的正確性、保密性和完整性帶來極大的威脅。
[0006]整個說明書對【背景技術】的任何討論,並不代表該【背景技術】一定是所屬領域技術人員所知曉的現有技術;整個說明書中的對現有技術的任何討論並不代表認為該現有技術一定是廣泛公知的或一定構成本領域的公知常識。
【發明內容】
[0007]為了克服系統管理員權限過高,而給系統敏感數據和關鍵業務的帶來的潛在威脅,本申請設計了一種分權技術,該技術將用戶註冊的審批權獨立出來,解決了系統管理員權限集中而給系統帶來的安全隱患。
[0008]本方案中的客運管理信息系統中的用戶權限管理系統,其角色包括系統管理員和業務管理員,系統管理員可給角色分配權限和將角色綁定到用戶,業務管理員可進行業務操作,角色中還設有人事管理員,人事管理員可增加刪除用戶和改變用戶屬性,系統管理員禁止增加刪除用戶、改變用戶屬性和業務操作。
[0009]用戶屬性包括其所屬部門等。用戶的角色不屬於用戶屬性,系統管理員可以對用戶的角色進行操作。
[0010]客運系統的功能一般分成系統管理和業務管理二元結構,系統管理包括對用戶、角色、權限及其相互關係的管理和其它系統維護相關的管理,業務管理主要包括車輛合同管理,例檢管理、車輛調度管理、售票管理、財務用車輛結算管理,這些業務屬於資金敏感操作,安全性要求極高,否則,就有可能造成嚴重的經濟損失,操作員必須經過嚴格的培訓才能上崗,在二元結構中,用戶、角色、權限作為一個整體由系統管理員管理,即使在系統中規定好任何用戶都不能既是系統管理員又能操作業務,如果不引入複雜的數據級權限,就不可完全防止可能的系統管理員的惡意業務操作,即,另開一個用戶,然後賦於其業務操作權限進行惡意操作,即使事後可追溯,但損失已經造成。基於這樣的事實,我們發明了一種三元系統結構,即客運系統分成系統管理、人事管理、業務管理,人事管理負責用戶及用戶所屬部門的增加與刪除,系統管理負責角色權限的分配、用戶與角色的綁定和其它系統維護相關的管理,業務管理負責客運業務的管理,三元結構中,前都與後兩個不能相容,後兩個可以相容,即:擁有系統管理權限的用戶不能具有人事管理、業務管理權限,擁有人事管理權限的用戶可以操作客運業務。這樣,系統管理員既不能操作業務,也不能另開用戶來避開這一限制。
[0011]在客運管理系統中,原始設置兩個用戶,這兩個用戶都不由操作程序產生,而是在客運系統資料庫的用戶表中設置,一個具有最高的給角色分配權限和將角色綁定到用戶的權限,一個具有最高的增刪用戶及用戶所屬部門的權限。
[0012]對系統管理員高度集中的權限進行分權,使權限在相互牽制中運行,防止系統管理員對未經許可的業務進行侵權操作而可能帶來的災難性後果。
[0013]進一步,人事管理員可進行業務操作。
[0014]進一步,系統管理員可以增加下級角色,並給下級角色賦予相應的權限。
[0015]進一步,人事管理員的用戶刪除操作必須在指定用戶沒有任何權限的前提下。
[0016]進一步,人事管理員的部門刪除操作需在指定部門無用戶的前提下。
【專利附圖】
【附圖說明】
[0017]圖1為本發明實施例的5張權限設計相關表及其關係的示意圖。
[0018]圖2是系統管理員操作流程示意圖。
[0019]圖3是人事管理員操作流程示意圖。
[0020]圖4是普通用戶操作流程示意圖。
【具體實施方式】
[0021 ] 下面通過【具體實施方式】對本發明作進一步詳細的說明:
實施例基本如附圖1、2、3、4所不:
為了將客運系統劃分成系統管理、人事管理、業務管理三元系統,對用戶、角色、權限三者及其相互關係的設計至關重要。
[0022]首先,資料庫至少包含五張表來描述用戶、角色、權限及其互關係如圖1:
用戶表:存儲客運站所有在崗職工的相關個人資料,為實現三元結構,有一個欄位記錄該用戶的權限狀態,取值範圍是{1,2,3,4},1指可以進行業務管理權限類操作,2指人事權限,3即1+2,指既可做業務操作也可做人事操作,4指系統管理操作。
[0023]角色表:存儲客運系統中已有的角色及其相關數據。
[0024]權限表:存儲客運系統所具備的各項指令,這些指令有可能對應一至多項系統菜單命令。
[0025]角色權限表:存儲角色所擁有的權限,一個角色可以擁有多項權限表中所記錄的權限。
[0026]用戶角色表:存儲用戶所對應的角色,用戶與角色是一對多關係。
[0027]用戶表原始具有兩個用戶,這兩個用戶都不由操作程序產生,而是在客運系統資料庫的用戶表中設置,即系統管理員與人事管理員,系統管理員具有最高的給角色分配權限和將角色綁定到用戶的權限,人事管理員具有最高的增加刪除用戶及用戶所屬部門的權限,它們的權限可以被其它用戶部分或全部地繼承,但系統管理、人事管理、業務管理三都的相容或排斥關係必須遵守,這種繼承是用戶到用戶,不存在角色這一環節。所有的角色所對應的權限均是業務管理類操作。
[0028]在客運系統的功能由系統管理、人事管理、業務管理三個模塊構成,系統管理員登錄系統可以作業系統管理模塊,其流程如圖2,人事管理員登錄系統可以操作人事管理和業務管理模塊,其流程如圖3,普通用戶只能操作業務管理模塊,其流程如圖4。
[0029]綜上所述,採取在用戶表中除系統管理員外,另再原始設置人事管理員,使人事管理員不再由系統管理員生成,從而取得獨立於系統管理員的效果,將用戶的增、刪、改從原來系統管理員的權限中獨立出來;在系統軟體設計中,通過檢查權限狀態是否小於等於4來實現系統管理與人事及業務管理不能共容於一個用戶,實現了對系統管理員的有效分權,能有效防止系統管理員對客運業務的非專業甚至惡意操作,大大提高了客運系統敏感數據和關鍵業務的安全。
[0030]以上所述的僅是本發明的實施例,方案中公知的具體結構及特性等常識在此未作過多描述。應當指出,對於本領域的技術人員來說,在不脫離本發明結構的前提下,還可以作出若干變形和改進,這些也應該視為本發明的保護範圍,這些都不會影響本發明實施的效果和專利的實用性。本申請要求的保護範圍應當以其權利要求的內容為準,說明書中的【具體實施方式】等記載可以用於解釋權利要求的內容。
【權利要求】
1.客運管理信息系統中的用戶權限管理系統,其特徵在於,其角色包括系統管理員和業務管理員,系統管理員可給角色分配權限和將角色綁定到用戶,業務管理員可進行業務操作,角色中還設有人事管理員,人事管理員可增加刪除用戶和改變用戶屬性,系統管理員禁止增加刪除用戶、改變用戶屬性和業務操作。
2.根據權利要求1所述的客運管理信息系統中的用戶權限管理系統,其特徵在於:人事管理員可進行業務操作。
3.根據權利要求1所述的客運管理信息系統中的用戶權限管理系統,其特徵在於:系統管理員可以增加下級角色,並給下級角色賦予相應的權限。
4.根據權利要求1所述的客運管理信息系統中的用戶權限管理系統,其特徵在於--人事管理員的用戶刪除操作必須在指定用戶沒有任何權限的前提下。
5.根據權利要求1所述的客運管理信息系統中的用戶權限管理系統,其特徵在於:人事管理員的部門刪除操作需在指定部門無用戶的前提下。
【文檔編號】G06Q10/06GK104462888SQ201410819447
【公開日】2015年3月25日 申請日期:2014年12月25日 優先權日:2014年12月25日
【發明者】韋軍, 鄒禮萍, 曾旭, 餘靜 申請人:遵義國正科技有限責任公司