權限管理方法和裝置、權限控制方法和裝置的製作方法
2023-10-09 00:47:29 2
專利名稱:權限管理方法和裝置、權限控制方法和裝置的製作方法
技術領域:
本發明涉及權限管理技術,特別是涉及一種權限管理方法和裝置、權限控制方法和裝置。
背景技術:
近年來,隨著計算機網絡技術的迅速發展和廣泛應用,網絡信息安全顯得尤其重要,其根本目標是保障計算機中信息的保密性、完整性和可用性,其中,訪問控制是保障管理信息安全的一種重要技術。在多種訪問控制技術中,由於基於角色的訪問控制(RBAC, Role Based Access Control)通過引入角色(Role)這一中介,人工分配用戶合適的角色, 從而授權用戶角色的權限,實現了用戶與權限的邏輯分離,大大地方便了權限的管理,故 RBAC模型在眾多行業中得到了廣泛應用。例如,大型集簇設備控制軟體主要採用RBAC模型,該控制軟體是一個多用戶的系統。其中,用戶的角色一般包括操作員、設備工程師、工藝工程師等不同身份的用戶,不同的角色能夠通過軟體進行不同級別的操作。例如,操作員角色被定義為對機臺了解程度不高,只進行固定的生產操作;又如,對於設備工程師,該角色定義為對機臺非常了解,對機臺經常進行一些維護型的操作;或者,工藝工程師角色被定義為非常熟悉產品的設計、製作工藝,故經常進行一些工藝流程(Recipe)的編制。參照圖1,示出了現有技術一種典型的半導體設備控制軟體的用戶權限分配方案。 在這個方案中,用戶和角色之間是多對一的關係,即一個用戶只能屬於一個角色,但一個角色可以包含多個用戶,例如,用戶1是角色1的成員,用戶2和用戶3均是角色3的成員。角色和權限之間是多對多的關係,即一個角色可以擁有多個權限,一種權限也可以屬於多個角色。但是,在有些時候,一個自然人可能需要同時擁有多種角色的權限,例如,該自然人既需要擁有「操作員」的權限,還要擁有「設備工程師」和「工藝工程師」的權限。這樣,應用現有技術,其就需要註冊多個帳號以滿足需要。例如,其用「張三」帳號來申請「操作員」 角色,用「李四」帳號來申請「設備工程師」角色,以及,用「王五」帳號來申請「工藝工程師」 角色。但是,很多控制軟體不支持多帳號的登錄,這樣,該自然人在使用控制軟體的過程中就不可避免地進行帳號的切換,所述切換既影響了該自然人的工作效率,又使得權限使用的方便性大大下降。總之,需要本領域技術人員迫切解決的一個技術問題就是如何能夠提高上述情形下的工作效率,以及,權限使用的方便性。
發明內容
本發明提供一種權限管理方法和裝置,能夠提高用戶的工作效率,且增加權限使用的方便性。相應的,本發明還提供了一種權限控制方法和裝置,用以保障上述方法在實際中
4的實現及應用。為了解決上述問題,本發明公開了一種權限管理方法,包括定義用戶的多角色,生成用戶與角色之間的多對多映射關係;定義權限,生成角色權限映射關係。優選的,所述方法還包括進行用戶維護,其中,所述用戶維護包括創建新用戶,刪除用戶,編輯用戶和修改用戶所對應的多個角色。優選的,所述方法還包括依據所述用戶維護,更新用戶與角色之間的多對多映射關係。優選的,所述方法還包括進行角色維護和/或權限維護,其中,所述角色維護包括創建新角色,刪除角色, 編輯角色和修改用戶所對應的權限,所述權限維護包括創建新權限、刪除權限和編輯權限。優選的,所述方法還包括依據所述角色維護和/或權限維護,更新用戶與角色之間的多對多映射關係和/ 或角色權限映射關係。依據另一實施例,本發明還公開了一種權限控制方法,包括依據預置的用戶與角色之間的多對多映射關係,獲取當前用戶所對應的多個角色;依據預置的角色權限映射關係,獲取所述多個角色對應的權限;依據所述多個角色對應的權限,向所述當前用戶開放權限。優選的,所述依據所述多個角色對應的權限,向所述當前用戶開放權限的步驟,包括在所述多個角色對應的權限中存在衝突的權限時,從所述衝突的權限中選擇最小權限或者最大權限提供給當前用戶,其中,所述衝突的權限是指同一用戶所應的不同角色對同一對象或資源進行相同操作的兩個或多個權限。優選的,所述依據所述多個角色對應的權限,向所述當前用戶開放權限的步驟,包括將欲向所述當前用戶開放的權限顯示為可操作狀態。依據另一實施例,本發明還公開了一種權限管理裝置,包括用戶角色映射模塊,用於定義用戶的多角色,生成用戶與角色之間的多對多映射關係;角色權限映射模塊,用於定義權限,生成角色權限映射關係。優選的,所述裝置還包括用戶維護模塊,用於進行用戶維護,其中,所述用戶維護包括創建新用戶,刪除用戶,編輯用戶和修改用戶所對應的多個角色;優選的,所述裝置還包括第一更新模塊,用於依據所述用戶維護,更新用戶與角色之間的多對多映射關係。優選的,所述裝置還包括角色權限維護模塊,用於進行角色維護和/或權限維護,其中,所述角色維護包括創建新角色,刪除角色,編輯角色和修改用戶所對應的權限,所述權限維護包括創建新權限、刪除權限和編輯權限;優選的,所述裝置還包括第二更新模塊,用於依據所述角色維護和/或權限維護,更新用戶與角色之間的多對多映射關係和/或角色權限映射關係。依據另一實施例,本發明還公開了一種權限控制裝置,包括角色獲取模塊,用於依據預置的用戶與角色之間的多對多映射關係,獲取當前用戶所對應的多個角色;權限獲取模塊,用於依據預置的角色權限映射關係,獲取所述多個角色對應的權限;及權限開放模塊,用於依據所述多個角色對應的權限,向所述當前用戶開放權限。優選的,所述權限開放模塊,具體用於在所述多個角色對應的權限中存在衝突的權限時,從所述衝突的權限中選擇最小權限或者最大權限提供給當前用戶,其中,所述衝突的權限是指同一用戶所應的不同角色對同一對象或資源進行相同操作的兩個或多個權限。優選的,所述權限開放模塊,具體用於將欲向所述當前用戶開放的權限顯示為可操作狀態。與現有技術相比,本發明具有以下優點本發明採用用戶與角色之間的多對多映射關係,具體而言,在一個自然人註冊帳號時,允許一個帳號同時屬於多個不同的角色,因而,對於用戶側,能夠避免不必要的多帳號註冊動作,以及,頻繁的帳號切換動作,因而,能夠增加用戶使用權限的方便性,同時,還能夠提高用戶的工作效率。另外,對於權限管理系統側,由於要維護的用戶數量減小,因而權限管理的複雜性大大減小。再者,在所述多個角色對應的權限中存在衝突的權限時,可以本領域技術人員的指示,從所述衝突的權限中選擇最小權限或者最大權限提供給當前用戶,以滿足當前的權限需求。
圖1是現有技術一種典型的半導體設備控制軟體的用戶權限分配方案;圖2是本發明一種權限管理方法實施例的流程圖;圖3是本發明一種權限管理方案的示例;圖4是本發明一種權限管理裝置實施例的結構圖;圖5是本發明一種權限控制方法實施例的流程圖;圖6是本發明一種用戶登錄系統的流程示例;圖7是本發明一種權限控制裝置實施例的結構圖。
具體實施例方式為使本發明的上述目的、特徵和優點能夠更加明顯易懂,下面結合附圖和具體實施方式
對本發明作進一步詳細的說明。
本發明可用於眾多通用或專用的計算裝置環境或配置中。例如個人計算機、伺服器計算機、手持設備或可攜式設備、平板式設備、多處理器裝置、包括以上任何裝置或設備的分布式計算環境等等。本發明可以在由計算機執行的計算機可執行指令的一般上下文中描述,例如程序模塊。一般地,程序模塊包括執行特定任務或實現特定抽象數據類型的例程、程序、對象、組件、數據結構等等。也可以在分布式計算環境中實踐本發明,在這些分布式計算環境中,由通過通信網絡而被連接的遠程處理設備來執行任務。在分布式計算環境中,程序模塊可以位於包括存儲設備在內的本地和遠程計算機存儲介質中。為使本領域技術人員更好地理解本發明,以下對權限管理的原理作進一步的介紹。權限可表述為這樣的邏輯表達式判斷「Who對What進行How的操作」的邏輯表達式是否為真。Who 權限的擁用者或主體(User、Role等等);What 權限針對的對象或資源(Resource等);How:具體的權限(Privilege);Role 角色,擁有一定數量的權限;Operator 操作,表明對What的How操作;User 用戶,與Role相關,但不能與I^rivilege直接相關,User要擁有對某種資源的權限,必須通過Role去關聯,以解決Who的問題;Resource 系統的資源,例如,在節目製作領域,這些資源可以是部門新聞,文檔等各種可以被提供給用戶訪問的對象;在辦公自動化(0A,OfficeAutomation)領域,這些資源可以包括員工數據;在審計領域,這些資源可以是各環節的預算數據;在半導體設備控制領域,這些資源可以包括設備模塊的控制項等等;Privilege 與Resource相關的權限,也即,這個權限是綁定在特定的資源實例上的。例如部門新聞的發布權限,叫做"部門新聞發布權限",或者,員工數據的查看權限,叫做「員工數據查看權限」,或者,預算數據的審批權限,叫做「預算審批權限」等等。在實際應用中,可以針對不同的應用,需要根據項目的實際情況和具體架構,在維護性、靈活性、完整性等多個權限管理方案之間比較權衡,選擇符合的方案。其中,由於權利管理在OA領域中的廣泛應用,從而OA領域在眾多領域中起到模範帶頭作用。OA領域基於採用RBAC模型進行權限管理,實現了用戶和權限的邏輯分離,從而增加了權限管理的靈活性;具體地,OA領域中的角色往往與職務掛鈎,很多時候,職務「總經理」、「部門經理」、「員工」等本身就是角色,而OA領域中一個自然人通常只具有唯一的職務,意味著一個自然人也就只具有唯一的角色,因此,OA領域中用戶和角色之間是多對一的關係。由於RBAC模型的該多對一的關係具有靈活性高的優點,因而其它領域也紛紛效仿, 使RBAC模型的該多對一的關係在近段時間內得到了廣泛而良好的應用和發展。這樣,該多對一的關係權限管理技術領域為技術人員普遍採用的映射關係,因此,這些技術人員很難去想到、甚至不去考慮採用其它映射關係,如一對一關係、多對多關係、一對多關係等。但是,本專利發明人在遇到一個自然人可能同時擁有多種角色的權限的需求時, 注意到,如果允許一個用戶同時屬於多個不同的角色,將會避免一個自然人的多帳號註冊
7動作,以及,頻繁的帳號切換動作,因而,能夠增加用戶使用權限的方便性,同時,還能夠提高用戶的工作效率。參照圖2,示出了本發明一種權限管理方法實施例的流程圖,具體可以包括步驟201、定義用戶的多角色,生成用戶與角色之間的多對多映射關係;本發明可以應用於節目製作、OA、審計、生產設備控制等各種可以應用權限的領域;為了簡便起見,在本發明的具體實施例中主要採用生產設備控制領域中的半導體設備控制為具體應用環境進行介紹,但其並不應作為本發明的應用限制。本步驟可以用於將一個用戶和多個角色進行綁定,為用戶分配多角色,並記錄用戶與多角色的映射關係。假設用戶信息如表1所示表權利要求
1.一種權限管理方法,其特徵在於,包括定義用戶的多角色,生成用戶與角色之間的多對多映射關係; 定義權限,生成角色權限映射關係。
2.如權利要求1所述的方法,其特徵在於,還包括進行用戶維護,其中,所述用戶維護包括創建新用戶,刪除用戶,編輯用戶和修改用戶所對應的多個角色。
3.如權利要求2所述的方法,其特徵在於,還包括 依據所述用戶維護,更新用戶與角色之間的多對多映射關係。
4.如權利要求1至3中任一項所述的方法,其特徵在於,還包括進行角色維護和/或權限維護,其中,所述角色維護包括創建新角色,刪除角色,編輯角色和修改用戶所對應的權限,所述權限維護包括創建新權限、刪除權限和編輯權限。
5.如權利要求4所述的方法,其特徵在於,還包括依據所述角色維護和/或權限維護,更新用戶與角色之間的多對多映射關係和/或角色權限映射關係。
6.一種權限控制方法,其特徵在於,包括依據預置的用戶與角色之間的多對多映射關係,獲取當前用戶所對應的多個角色; 依據預置的角色權限映射關係,獲取所述多個角色對應的權限; 依據所述多個角色對應的權限,向所述當前用戶開放權限。
7.如權利要求6所述的方法,其特徵在於,所述依據所述多個角色對應的權限,向所述當前用戶開放權限的步驟,包括在所述多個角色對應的權限中存在衝突的權限時,從所述衝突的權限中選擇最小權限或者最大權限提供給當前用戶,其中,所述衝突的權限是指同一用戶所應的不同角色對同一對象或資源進行相同操作的兩個或多個權限。
8.如權利要求6或7所述的方法,其特徵在於,所述依據所述多個角色對應的權限,向所述當前用戶開放權限的步驟,包括將欲向所述當前用戶開放的權限顯示為可操作狀態。
9.一種權限管理裝置,其特徵在於,包括用戶角色映射模塊,用於定義用戶的多角色,生成用戶與角色之間的多對多映射關係;角色權限映射模塊,用於定義權限,生成角色權限映射關係。
10.如權利要求9所述的裝置,其特徵在於,還包括用戶維護模塊,用於進行用戶維護,其中,所述用戶維護包括創建新用戶,刪除用戶,編輯用戶和修改用戶所對應的多個角色;
11.如權利要求10所述的裝置,其特徵在於,還包括第一更新模塊,用於依據所述用戶維護,更新用戶與角色之間的多對多映射關係。
12.如權利要求9至11中任一項所述的裝置,其特徵在於,還包括角色權限維護模塊,用於進行角色維護和/或權限維護,其中,所述角色維護包括創建新角色,刪除角色,編輯角色和修改用戶所對應的權限,所述權限維護包括創建新權限、刪除權限和編輯權限;
13.如權利要求12所述的裝置,其特徵在於,還包括第二更新模塊,用於依據所述角色維護和/或權限維護,更新用戶與角色之間的多對多映射關係和/或角色權限映射關係。
14.一種權限控制裝置,其特徵在於,包括角色獲取模塊,用於依據預置的用戶與角色之間的多對多映射關係,獲取當前用戶所對應的多個角色;權限獲取模塊,用於依據預置的角色權限映射關係,獲取所述多個角色對應的權限;及權限開放模塊,用於依據所述多個角色對應的權限,向所述當前用戶開放權限。
15.如權利要求14所述的裝置,其特徵在於,所述權限開放模塊,具體用於在所述多個角色對應的權限中存在衝突的權限時,從所述衝突的權限中選擇最小權限或者最大權限提供給當前用戶,其中,所述衝突的權限是指同一用戶所應的不同角色對同一對象或資源進行相同操作的兩個或多個權限。
16.如權利要求14或15所述的裝置,其特徵在於,所述權限開放模塊,具體用於將欲向所述當前用戶開放的權限顯示為可操作狀態。
全文摘要
本發明提供了一種權限管理方法和裝置、權限控制方法和裝置,其中的權限控制方法具體包括依據預置的用戶與角色之間的多對多映射關係,獲取當前用戶所對應的多個角色;依據預置的角色權限映射關係,獲取所述多個角色對應的權限;依據所述多個角色對應的權限,向所述當前用戶開放權限。本發明能夠提高用戶的工作效率,且增加權限使用的方便性。
文檔編號H04L12/24GK102468971SQ20101053659
公開日2012年5月23日 申請日期2010年11月4日 優先權日2010年11月4日
發明者陳玉靜 申請人:北京北方微電子基地設備工藝研究中心有限責任公司