专利名称:权限管理的方法及设备的制作方法
技术领域:
本发明涉及智能卡技术领域,尤其涉及一种权限管理的方法及设备。
技术背景
目前,在进行权限管理时,对权限数据的安全性、时效性、使用的方便性有较高的 要求。现有技术中提供一种基于通用存储器的离线权限管理方法,在客户端使用通用存储 器缓存权限,按需或定时与服务器权限数据库同步。例如在本地磁盘、移动硬盘等通用存储 器上,将权限数据以文件、注册表等数据记录形式进行存储。权限数据的存取方式分为明文 和密文,由于是离线方式,加密权限的密钥也存储在该通用存储器中。
然而,发明人发现采用现有方法进行离线权限管理时,权限数据存储在安全密级 并不高的操作系统文件及数据库平台上,当采用明文方式存储权限时,窃取者通过操作系 统文件API即可获取及修改权限数据;当采用密文方式存储权限时,由于是离线方式,加密 权限的密钥也是存储在通用存储器中,这样窃取者也同样可以通过操作系统提供的API获 取,获取到密钥后就可以比较容易解密加密过的权限数据,导致权限数据在进行离线管理 时的安全性较低。发明内容
本发明的实施例提供一种权限管理的方法及设备,可以提高权限数据在管理时的 安全性。
为达到上述目的,本发明的实施例采用如下技术方案
一种权限管理的方法,智能卡上设有关系型数据库,包括
接收权限操作请求;
利用所述智能卡的安全认证对所述权限操作请求进行安全认证;
当所述权限操作请求通过所述智能卡的安全认证后,在所述关系型数据库上执行 与所述权限操作请求对应的操作;
返回执行所述权限操作请求后的结果。
一种智能卡,具有微处理器、存储器、通信电路,设有关系型数据库,所述智能卡包 括
接收单元,用于接收权限操作请求;
认证单元,用于利用所述智能卡的安全认证对所述权限操作请求进行安全认证;
权限处理单元,用于当所述权限操作请求通过所述智能卡的安全认证后,在所述 关系型数据库上执行与所述权限操作请求对应的操作;
发送单元,用于返回执行所述权限操作请求后的结果。
由上述技术方案所描述的本发明实施例,智能卡作为权限授予者,会接收权限操 作请求,利用智能卡自身的安全认证体系对所述权限操作请求进行安全认证,当所述权限 操作请求通过所述智能卡的安全认证后,在所述关系型数据库上执行与所述权限操作请求对应的操作,并返回操作结果。
由于本发明实施例在对权限数据进行操作之前,通过智能卡的安全认证体系对权 限操作请求进行安全认证,可以保证对权限数据的访问在安全的状态进行,同时对权限数 据的操作是在智能卡内部的关系型数据库上完成的,智能卡又可以在对权限数据进行操作 时提供安全保证。而现有技术采用基于通用存储器的离线权限管理方法对权限数据进行管 理时,由于加密权限的密钥容易被窃取而导致权限数据在进行离线管理时的安全性较低, 与现有技术相比,本发明实施例利用智能卡的安全认证体系为权限数据提供保证,由于智 能卡的安全认证体系的安全性较高,可以提高权限数据在管理时的安全性。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以 根据这些附图获得其他的附图。
图1为本发明实施例中提供一种权限管理的方法的流程图2为本发明实施例1中提供一种权限管理的方法的流程图3为本发明实施例2中提供一种智能卡的结构示意图4为本发明实施例2中提供另一种智能卡的结构示意图5为本发明实施例2中提供又一种智能卡的结构示意图。
具体实施方式
本发明实施例提供一种权限管理的方法及智能卡,权限授予者为智能卡,相对应 的,权限使用者可以为客户端。在该智能卡上设有关系型数据库,所述关系型数据库用于存 储权限数据,通过该智能卡上的关系型数据库对权限数据进行存储管理。下面将结合本发 明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
如图1所示的实施例中提供一种权限管理的方法,该方法包括
101、接收权限操作请求。
根据不同的应用需求,具体实施过程中,该权限操作请求可以为多种类型的权限 操作请求,例如,该权限操作请求可以为对权限数据进行删除的请求,或者是权限数据进行 修改的请求;该权限操作请求可以是权限使用者通过具体设备发送。
102、利用所述智能卡的安全认证对所述权限操作请求进行安全认证。
当智能卡接收到权限操作请求后,为了确保对权限数据的操作是在安全状态下进 行的,智能卡利用其自身的安全认证体系对上述权限操作请求进行安全认证,权限操作请 求通过智能卡的安全认证之后,可以对权限数据进行相应的操作。
103、当所述权限操作请求通过所述智能卡的安全认证后,在所述关系型数据库上 执行与所述权限操作请求对应的操作。
本发明实施例中权限数据存储在智能卡上的关系型数据库中,由于智能卡集成了 CPU (Central Processing Unit,中央处理单元)、存储器和芯片操作系统,可以构成一个独 立计算机系统,具有独立的数据处理能力,通过智能卡COS (Chip Operating System,片内操作系统)的安全体系可以保障存储在智能卡内的权限数据的安全。当所述权限操作请求 通过所述智能卡的安全认证后,可以保证与所述权限操作请求对应的操作在一个安全的环 境下执行。
需要说明的是,在所述关系型数据库上执行与所述权限操作请求对应的操作时, 是在智能卡的内部进行的。
104、返回执行所述权限操作请求后的结果。
由于本发明实施例在对权限数据进行操作之前,通过智能卡的安全认证体系对权 限操作请求进行安全认证,可以保证对权限数据的访问在安全的状态进行,同时对权限数 据的操作是在智能卡内部的关系型数据库上完成的,智能卡又可以在对权限数据进行操作 时提供安全保证。与现有技术由于加密权限的密钥容易被窃取而导致权限数据在进行离线 管理时的安全性较低相比,本发明实施例利用智能卡自身安全性较高的安全认证体系为权 限数据提供保证,可以提高权限数据在管理时的安全性。
实施例1
进一步地,为了更清楚和完整地描述本发明的技术方案,对本发明实施例所描述 的权限数据进行如下说明权限数据存储在智能卡的关系型数据库上,在所述关系型数据 库上建有用户表、资源表和权限表。通过操作该关系型数据库上所建立的表可以实现对权 限数据的管理。
在所述用户表中设有用户ID字段,该用户ID字段表示用户项;在所述资源表中设 有资源ID字段,该资源ID字段表示资源项;在所述权限表中每一条权限记录由权限ID、用 户ID和资源ID组成,该权限记录可以唯一确定哪个用户对哪个资源进行何种权限的操作。
为了实现对权限数据的分级管理,在所述关系型数据库上还建有分级组表。在所 述分级组表中设有分级组ID字段,该分级组ID字段表示分级组项;在所述分级组表中还记 录有分级组所包含的用户ID。所述用户表与分级组表通过用户ID进行关联。例如,一个用 户ID为01的用户项,它所属的分级组ID为44,此时在分级表中分级组ID为44的记录中 将存储用户ID为01的用户项。当用户需要查询所述用户ID为01的用户项属于哪个分级 组时,只要在分级表中查询用户ID为01的用户项对应哪个分级组ID就可以获得。此时, 所述权限表中每一条权限记录也可以由权限ID、分级组ID和资源ID组成,此时该权限记录 可以唯一确定哪个分级组对哪个资源可以进行何种权限的操作。
所述权限记录的类型包括数字型、文本型、日期型或二进制型。
参照如上对权限数据的说明,如图2所示,本发明实施例提供一种权限管理的方 法,该方法包括
201、接收权限操作请求。
具体实施过程中,该权限操作请求可以为对权限表中的一条权限记录进行删除的 请求,或者是对用户表中的用户项进行修改的请求。根据不同的需求,该权限操作请求有很 多种类型,在此不再举例说明。
202、利用所述智能卡的安全认证对所述权限操作请求进行安全认证。
当智能卡接收到权限操作请求后,为了确保对权限数据的操作是在安全状态下进 行的,智能卡利用其自身的安全认证体系对上述权限操作请求进行安全认证,权限操作请 求通过智能卡的安全认证之后,可以对权限数据进行相应的操作。该安全认证的过程与现有的智能卡对访问者进行安全认证的过程相同,具体实施过程中可以参照现有技术。
203、当所述权限操作请求通过所述智能卡的安全认证后,在所述关系型数据库上 执行与所述权限操作请求对应的操作。
本发明实施例中权限数据存储在智能卡上的关系型数据库中,由于智能卡集成了 CPU (Central Processing Unit,中央处理单元)、存储器和芯片操作系统,可以构成一个独 立计算机系统,具有独立的数据处理能力,通过智能卡COS (Chip Operating System,片内 操作系统)的安全体系可以保障存储在智能卡内的权限数据的安全。当所述权限操作请求 通过所述智能卡的安全认证后,可以保证与所述权限操作请求对应的操作在一个安全的环 境下执行。
需要说明的是,在所述关系型数据库上执行与所述权限操作请求对应的操作时, 是在智能卡的内部进行的,而智能卡自身提供了对存储在智能卡内部的数据进行存取的权 限控制策略。例如,智能卡对涉及被保护存储区的操作进行用户资格的审查和限制,防止非 法用户存取数据或合法用户越权存取数据等。每个被保护存储区都设置有读、写、擦除的操 作存取权限值,当用户对存储区进行操作时,智能卡的COS会对操作的合法性进行检验。如 果允许本项操作,则用户正常进行操作;反之,如果本项操作受到限制,则要求用户提供相 关参数。当用户不能提供正确的参数时,则此项操作被中止。因此,智能卡还可以在所述关 系型数据库上执行权限管理操作时,对权限数据提供保护。
另外,关系型数据库本身也提供了针对存储在数据库中的数据的安全保护机制, 在智能卡自身的安全认证体系和关系型数据库提供的安全保护机制的双重保护下,提高了 对权限数据进行管理的安全性。
与所述权限操作请求对应的操作可以有多种类型,例如,在所述关系型数据库上 的权限表中对所述权限记录执行生成、增加、删除、修改或者查询操作。每条权限记录中可 以为用户对应的权限,或者为分级组对应的权限。实际应用过程中,上述权限表中除了设有 权限ID字段之外,还可以设置权限的身份、权限的范围、权限的生效时间、权限的类型、权 限所属的用户或者分级组。具体可以应用需求而定。
又如,在所述关系型数据库上的用户表中对所述用户项执行增加、删除、修改或者 查询操作。该用户表存储了所有用户的相关信息,用户表中的每一条记录至少包含用户的 ID字段,当然根据实际需要也可以增加其他的用户项属性字段进行扩充。
还如,在所述关系型数据库上的资源表中对所述资源项执行增加、删除、修改或者 查询操作。该资源表提供了可以进行访问的资源信息。该资源表中每一条记录至少包含资 源的ID字段,当然根据实际需要也可以增加其他的资源项属性字段进行扩充。
再如,在所述关系型数据库上的分级组表中对每个分级组下所包含的用户项执行 增加、删除或者修改操作。例如,用户ID为02的用户项当前所属的分级组ID为44,现在需 要将其调整为分级组ID为45的分级组下,在所述分级组表中删除分级组ID为44的记录 中用户ID为02的用户项,在分级组ID为45的记录中增加用户ID为02的用户项。由于 在权限表中,每个分级组对应的权限记录可能不相同,当用户ID为02的用户项在分级组ID 为44的分级组下时,用户ID为02的用户项将继承分级组ID为44的分级组对应的权限, 修改之后,用户ID为02的用户项将继承分级组ID为45的分级组对应的权限。
204、返回执行所述权限操作请求后的结果。
需要说明的是,通常对权限进行操作的用户一般为客户端的管理员。管理员可以 直接对上述权限表、用户表、资源表和分级组表进行管理操作。如在权限表中增加一条权限 记录,用于给用户ID为06的用户项分配一个对资源ID为88的资源的读写权限。
进一步地,上述权限管理的方法还包括如下步骤
205、当用户ID为06的用户项要访问资源ID为88的资源时,智能卡会接收所述 用户的资源访问请求,该用户通过用户ID为06的用户项来表示。根据所述权限表判断所 述用户对要访问的资源是否满足权限要求,如果查询上述权限表的记录,确认用户ID为06 的用户项对资源ID为88的资源具有读写权限,那么向该满足权限要求的用户项分发权限。
206、当所述分发给用户的权限符合预设条件时,撤销所述用户的权限。例如,当 分配给某个用户对指定资源的访问权限使用一定时间之后,该用户不再需要这个访问权限 时,智能卡将撤销所述用户的权限。对用户的访问权限进行撤销之后,用户就不再具有对指 定资源的访问权限。具体实施过程中,也可以根据实际应用的需要,智能卡可以对所授予的 权限进行撤销。
另外,为了对权限数据进行统一管理,例如,当通过多个智能卡对整个应用系统的 权限进行管理时,每个智能卡负责该应用系统中不同的应用的权限管理,此时每个智能卡 都会独立地采用上述权限管理的方法对权限数据进行管理,同时每个智能卡还需要与位于 所述智能卡外的权限分配模块同步权限数据,所述权限分配模块会按需或者定时与权限服 务器同步权限数据,所述权限服务器用于统一管理权限数据。或者,另一种可能的实现方案 为所述智能卡直接与权限服务器按需或者定时同步权限数据,使得权限服务器中保存的 权限数据与所述智能卡上的关系型数据库中保存的权限数据保持一致。
本发明实施例在对权限数据进行操作之前,一方面,通过智能卡的安全认证体系 对权限操作请求进行安全认证,可以保证对权限数据的访问在安全的状态进行,同时对权 限数据的操作是在智能卡内部的关系型数据库上完成的,智能卡的存取权限控制策略又可 以在对权限数据进行操作时提供安全保证。另一方面,关系型数据库本身也提供了针对存 储在数据库中的数据的安全保护机制,在智能卡自身的安全认证体系和关系型数据库提供 的安全保护机制的双重保护下,提高了对权限数据进行管理的安全性。
另外,现有技术中还有一种在便携式存储设备和移动装置中进行权限存储和管理 的方法,但该方法不支持设备内复杂、多级的权限管理。而本发明实施例中对权限数据的 管理是通过操作智能卡内部的关系型数据库实现的,在所述分级组表中还记录有每个分级 组ID各自所包含的用户ID,通过用户表和分级组表之间的关联操作可以对权限的多级管 理。需要说明的是,本发明实施例所提供的权限管理方法还可以应用于大容量的智能卡上。 在大容量智能卡内部建立关系型数据库,由于在该关系型数据库上可以方便地对用户表、 资源表、分级组表和权限表进行扩展,从而可以支持海量数据的处理,实现对权限的复杂管 理。
实施例2:
本发明实施例提供一种智能卡,具有微处理器、存储器、通信电路,设有关系型数 据库,所述关系型数据库用于存储权限数据,如图3所示,所述智能卡包括接收单元11,认 证单元12,权限处理单元13,发送单元14。
接收单元11用于接收权限操作请求。具体实施过程中,该权限操作请求可以为对权限表中的一条权限记录进行删除的请求,或者是对用户表中的用户项进行修改的请求。
认证单元12用于利用所述智能卡的安全认证对所述权限操作请求进行安全认 证。
权限处理单元13用于当所述权限操作请求通过所述智能卡的安全认证后,在所 述关系型数据库上执行与所述权限操作请求对应的操作。由于智能卡集成了 CPU(Central Processing Unit,中央处理单元)、存储器和芯片操作系统,可以构成一个独立计算机系 统,具有独立的数据处理能力,通过智能卡COS (ChipOperating System,片内操作系统)的 安全体系可以保障存储在智能卡内的权限数据的安全。例如智能卡对涉及被保护存储区的 操作进行用户资格的审查和限制,防止非法用户存取数据或合法用户越权存取数据等。每 个被保护存储区都设置有读、写、擦除的操作存取权限值,当用户对存储区进行操作时,智 能卡的COS会对操作的合法性进行检验。当所述权限操作请求通过所述智能卡的存取权限 检测后,可以保证与所述权限操作请求对应的操作在一个安全的环境下执行。
发送单元14用于返回执行所述权限操作请求后的结果。
进一步地,对本发明实施例中提到的权限数据进行如下说明所述智能卡中的关 系型数据库上建有用户表、资源表和权限表。其中,所述用户表中设有表示用户项的用户 ID,所述资源表中设有表示资源项的资源ID,所述权限表中每一条权限记录由权限ID、用 户ID和资源ID组成。
为了实现对权限数据的分级管理,所述智能卡中的关系型数据库上还建有分级组 表;所述分级组表中设有表示分级组项的分级组ID,在所述分级组表中还记录有每个分级 组ID各自所包含的用户ID ;所述权限表中每一条权限记录包括权限ID、分级组ID和资源 ID。
所述权限记录的类型包括数字型、文本型、日期型或二进制型。
进一步地,如图4所示,可以对上述权限处理单元13进行功能细分,所述权限处理 单元13包括以下的至少一种模块
第一权限处理模块13A用于在所述关系型数据库上的权限表中对所述权限记录 执行生成、增加、删除、修改或者查询操作;或者,
第二权限处理模块1 用于在所述关系型数据库上的用户表中对所述用户项执 行增加、删除、修改或者查询操作;或者,
第三权限处理模块13C用于在所述关系型数据库上的资源表中对所述资源项执 行增加、删除、修改或者查询操作;或者,
第四权限处理模块13D用于在所述关系型数据库上的分级组表中对所述用户表 中的用户项所属的分级组执行增加、删除或者修改操作。
需要说明的是,通常对权限进行操作的用户一般为客户端的管理员。管理员可以 直接对上述权限表、用户表、资源表和分级组表进行管理操作。如在权限表中增加一条权限 记录,用于给用户ID为06的用户项分配一个对资源ID为88的资源的读写权限。当上述 对权限进行操作的用户为一般用户时,进一步地,如图5所示,该智能卡还包括分发权限 单元15和撤销权限单元16。
分发权限单元15用于当接收到所述用户的资源访问请求时,判断所述用户对要 访问的资源是否满足权限要求,向满足权限要求的用户分发权限;
撤销权限单元16用于当所述分发给用户的权限符合预设条件时,撤销所述用户 的权限。例如,当分配给某个用户对指定资源的访问权限使用一定时间之后,该用户不再需 要这个访问权限时,智能卡将撤销所述用户的权限。对用户的访问权限进行撤销之后,用户 就不再具有对指定资源的访问权限。具体实施过程中,也可以根据实际应用的需要,智能卡 可以对所授予的权限进行撤销。
进一步地,(图未示)该智能卡还包括同步单元。
同步单元用于与位于所述智能卡外的权限分配模块同步权限数据,所述权限分配 模块与权限服务器按需或者定时同步权限数据,所述权限服务器用于统一管理权限数据。 或者,所述同步单元用于直接与权限服务器按需或者定时同步权限数据,使得权限服务器 中保存到权限数据与所述智能卡上的关系型数据库中保存的权限数据保持一致。
本发明实施例所提供的智能卡在对权限数据进行操作之前,利用其自身的安全认 证体系对权限操作请求进行安全认证,可以保证对权限数据的访问在安全的状态进行,同 时对权限数据的操作是在智能卡内部的关系型数据库上完成的,智能卡的存取权限控制策 略又可以在对权限数据进行操作时提供安全保证。与现有技术中由于加密权限的密钥容 易被窃取而导致权限数据在进行离线管理时的安全性较低相比,本发明实施例利用智能卡 自身安全性较高的安全认证体系为权限数据提供保证,可以提高权限数据在管理时的安全 性。
本发明实施例主要应用于利用智能卡进行权限的管理过程中,可以提高权限数据 的安全性。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借 助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳 的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部 分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计 算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机, 服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何 熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵 盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
权利要求
1.一种权限管理的方法,其特征在于,智能卡上设有关系型数据库,所述关系型数据库 用于存储权限数据,该方法包括接收权限操作请求;对所述权限操作请求进行安全认证;当所述权限操作请求通过所述智能卡的安全认证后,在所述关系型数据库上执行与所 述权限操作请求对应的操作;返回执行所述权限操作请求后的结果。
2.根据权利要求1所述的权限管理的方法,其特征在于,所述关系型数据库包括用户 表、资源表和权限表;所述用户表中设有表示用户项的用户ID,所述资源表中设有表示资源项的资源ID,所 述权限表中每一条权限记录包括权限ID、用户ID和资源ID,所述权限记录的类型包括数 字型、文本型、日期型或二进制型。
3.根据权利要求2所述的权限管理的方法,其特征在于,所述关系型数据库还包括分 级组表;所述分级组表中设有表示分级组项的分级组ID,在所述分级组表中还记录有每个分级 组ID各自所包含的用户ID;所述权限表中每一条权限记录包括权限ID、分级组ID和资源ID。
4.根据权利要求2所述的权限管理的方法,其特征在于,在所述关系型数据库上执行 与所述权限操作请求对应的操作包括以下至少一种操作在所述关系型数据库上的权限表中对所述权限记录执行生成、增加、删除、修改或者查 询操作;或者,在所述关系型数据库上的用户表中对所述用户项执行增加、删除、修改或者查询操作; 或者,在所述关系型数据库上的资源表中对所述资源项执行增加、删除、修改或者查询操作。
5.根据权利要求3所述的权限管理的方法,其特征在于,在所述关系型数据库上执行 与所述权限操作请求对应的操作还包括以下至少一种操作在所述关系型数据库上的分级组表中对所述用户表中的用户项所属的分级组执行增 加、删除或者修改操作。
6.根据权利要求2或3所述的权限管理的方法,其特征在于,还包括当接收到用户的资源访问请求时,根据所述权限表判断所述用户对要访问的资源是否 满足权限要求,向满足权限要求的用户分发权限;当所述分发给用户的权限符合预设条件时,撤销所述用户的权限。
7.根据权利要求1-3任一项所述的权限管理的方法,其特征在于,还包括与位于所述智能卡外的权限分配模块同步权限数据,所述权限分配模块与权限服务器 按需或者定时同步权限数据;或者,直接与权限服务器按需或者定时同步权限数据,所述权 限服务器用于统一管理权限数据。
8.一种智能卡,具有微处理器、存储器、通信电路,其特征在于,设有关系型数据库,所 述关系型数据库用于存储权限数据,所述智能卡包括接收单元,用于接收权权限操作请求;认证单元,用于利用所述智能卡的安全认证对所述权限操作请求进行安全认证;权限处理单元,用于当所述权限操作请求通过所述智能卡的安全认证后,在所述关系 型数据库上执行与所述权限操作请求对应的操作;发送单元,用于返回执行所述权限操作请求后的结果。
9.根据权利要求8所述的智能卡,其特征在于,所述智能卡中的关系型数据库上建有 用户表、资源表和权限表;所述用户表中设有表示用户项的用户ID,所述资源表中设有表示资源项的资源ID,所 述权限表中每一条权限记录由权限ID、用户ID和资源ID组成,所述权限记录的类型包括 数字型、文本型、日期型或二进制型。
10.根据权利要求9所述的智能卡,其特征在于,所述智能卡中的关系型数据库上还建 有分级组表;所述分级组表中设有表示分级组项的分级组ID,在所述分级组表中还记录有每个分级 组ID各自所包含的用户ID;所述权限表中每一条权限记录包括权限ID、分级组ID和资源ID。
11.根据权利要求9所述的智能卡,其特征在于,所述权限处理单元包括以下的至少一 种模块第一权限处理模块,用于在所述关系型数据库上的权限表中对所述权限记录执行生 成、增加、删除、修改或者查询操作;或者,第二权限处理模块,用于在所述关系型数据库上的用户表中对所述用户项执行增加、 删除、修改或者查询操作;或者,第三权限处理模块,用于在所述关系型数据库上的资源表中对所述资源项执行增加、 删除、修改或者查询操作。
12.根据权利要求10所述的智能卡,其特征在于,所述权限处理单元还包括第四权限 处理模块,用于在所述关系型数据库上的分级组表中对所述用户表中的用户项所属的分级 组执行增加、删除或者修改操作。
13.根据权利要求9或10所述的智能卡,其特征在于,还包括分发权限单元,用于当接收到所述用户的资源访问请求时,根据所述权限表判断所述 用户对要访问的资源是否满足权限要求,向满足权限要求的用户分发权限;撤销权限单元,用于当所述分发给用户的权限符合预设条件时,撤销所述用户的权限。
14.根据权利要求8-10任一项所述的智能卡,其特征在于,还包括同步单元,用于与位于所述智能卡外的权限分配模块同步权限数据,所述权限分配模 块与权限服务器按需或者定时同步权限数据;或者,所述同步单元用于直接与权限服务器按需或者定时同步权限数据,所述权限服务器用 于统一管理权限数据。
全文摘要
本发明公开一种权限管理的方法及设备,涉及智能卡技术领域,可以提高权限数据在管理时的安全性。智能卡上设有关系型数据库,所述关系型数据库用于存储权限数据,包括接收权限操作请求;利用所述智能卡的安全认证对所述权限操作请求进行安全认证;当所述权限操作请求通过所述智能卡的安全认证后,在所述关系型数据库上执行与所述权限操作请求对应的操作;返回执行所述权限操作请求后的结果。本发明实施例主要应用于利用智能卡进行权限的管理过程中。
文档编号G06F21/20GK102034036SQ20101027495
公开日2011年4月27日 申请日期2010年9月7日 优先权日2010年9月7日
发明者卢柯, 杨贵龙, 江先, 汪雪林, 童成钢 申请人:北京握奇数据系统有限公司