专利名称:云计算企业信息系统及该系统的用户权限设定方法
技术领域:
本发明涉及权限管理领域,特别涉及一种对云计算企业的操作权限进行管理的信息系统及方法。
背景技术:
在企业的系统中,对用户进行身份验证和鉴权是应用系统的基本功能,鉴权就是解决用户对不同资源的访问权限问题。为了解决用户的权限管理问题,目前业界已经提出了一些权限管理模型,其中,角色访问控制(Role Based Access Control, RBAC)模型是目前应用较为广泛的模型之一。
基于RBAC模型的权限管理,是指应用RBAC模型的权限管理单元配置资源访问权限和为用户提供资源访问权限的查询,其中为用户提供资源访问权限的查询是权限管理的主要内容。目前,企业系统对用户权限管理的方式主要有以下几种方式I、按照文件和数据归属的组织机构归纳用户权限。如图I所示,首先定义组织机构,在组织机构内创建文档和数据,并定义文档和数据归属职能范围;同时创建用户,定义用户组织机构数据权限,并定义用户职能权限。当用户访问系统时,比较用户权限和数据归属,从而确定用户的访问权限。但是,按照组织机构和职能定义用户数据访问权限不能体现数据共享形式的多样化。2、按照文件和数据的所有人和所有人在组织内的网络关系归纳用户权限。如图2所示,首先创建用户,并定义用户在组织内的网络关系;同时用户创建文档,并定义文档在网络中的共享范围。当用户访问系统时,比较访问用户在网络中的低位和数据共享范围,从而确定用户的访问权限。这种技术是以文档的创建用户为关键控制点,通过创建人在组织内的归属部门和上下级关系来确定文档的访问权限,因此无法将文档创建人(文档的录入人)和归属人(文档的管理者)分开。而且当所有人在组织内的关系发生变化时(比如工作职责变化,离职,或有多头上级关系)往往造成权限管理的混乱。比如王某先为销售部业务员,在系统中负责部分销售数据的录入,该技术在权限控制时会根据王某的职务和部门将这部分数据划分为销售部数据,当王某调到生产部时这部分数据将会被划分为生产部数据。综上所述,现有的企业系统对用户权限管理的方式存在缺乏多样性、容易造成权限管理混乱的问题。
发明内容
本发明的目的是提供一种云计算企业信息系统,以解决现有的企业系统对用户权限管理的方式容易造成权限管理混乱,安全性差的问题。本发明的另一目的是提供一种云计算企业信息系统的用户权限设定方法,以解决现有的企业系统对用户权限管理的方式容易造成权限管理混乱,安全性差的问题。
为解决以上问题,本发明提出一种云计算企业信息系统,包括管理模块、交互模块以及数据库,交互模块用于根据用户发送的请求,向管理模块发送数据访问信息,管理模块分别与交互模块及数据库相连,用于查询及调用数据。其中,数据库又进一步包括用户模块、对象模块、角色模块及对象布局模块。用户模块,用于存储用户信息,对象模块用于存储需要进行控制的对象,以及每个对象对应的功能,角色模块用于存储用户对对象的访问权限规则信息,对象布局模块用于存储各个对象中的字段的访问规则信息。进一步的,对象布局模块又进一步包括对象字段表和用户和对象字段布局表。对象字段表用于存储每个对象所包含的字段信息,用户和对象字段布局表用于存储用户与对象的字段之间的访问权限信息。
进一步的,用户模块又进一步包括用户表、用户组表和用户和组对应表。用户表,用于存储用户信息,用户组表用于存储按照特定区域或类别划分的组信息,用户和组对应表用于存储单个用户与组之间的对应关系信息。进一步的,角色模块又进一步包括用户角色对应表和角色权限表。用户角色对应表用于存储用户与角色之间的对应关系信息,一角色权限表用于存储角色与对象之间的对应关系信息。进一步的,对象模块又进一步包括对象表和功能表。对象表用于存储需要进行控制的对象信息,功能表用于存储每个对象对应的操作功能信息。本发明还提出一种云计算企业信息系统的用户权限设定方法,包括数据库创建过程和权限验证过程。数据库创建过程包括以下步骤(I)定义并存储需要进行数据控制的对象。(2)存储用户对对象的访问权限规则信息。(3)存储各个对象中的字段的访问规则信息。权限验证过程包括以下步骤(I)根据用户发送的访问请求信息,查询其有权限控制的对象。(2)查询用户有权控制的对象中其有权限访问的字段信息,并反馈给用户。进一步的,数据库创建过程还包括步骤存储用户信息。权限验证过程还包括步骤根据用户发送的访问请求信息查询用户信息,并根据用户信息查询用户有权限控制的对象。进一步的,查询用户有权限访问的字段信息包括以下步骤(I)查询对象包含的字段信息。(2)查询用户有权限访问的字段信息。(3)向用户反馈其有权限访问的对象的字段信息。进一步的,所述的云计算企业信息系统的用户权限设定方法,反馈给用户的信息为图像信息或语音信息。进一步的,所述的云计算企业信息系统的用户权限设定方法,还包括以下步骤查询用户对其所访问对象可操作的功能信息,并反馈给用户。相对于现有技术,本发明具有以下优点本发明可以使云服务系统按照企业用户要求灵活地定义各种文档和数据权限保护策略,通过对象访问规则的设置可以满足企业按业务规则设定数据权限的要求,通过对象布局的设置可以满足企业对敏感数据的保护要求,减少企业的数据安全顾虑,从而减少或者从根本上避免企业在信息化过程中大量软硬件基础设施的投入,加速企业信息化进程。
图I为现有技术中企业系统按照文件和数据归属的组织机构归纳用户权限的流程图;图2为现有技术中企业系统按照文件和数据的所有人和所有人在组织内的网络关系归纳用户权限的流程图;图3为本发明云计算企业信息系统的一种实施例结构图;图4为本发明云计算企业信息系统的一种实施例结构图;图5为本发明云计算企业信息系统的用户权限设定方法的一种实施例流程图。
具体实施方式
云计算的应用都是展现为Web服务,Web服务普遍采用的是三层架构,即表现层(Π)、业务逻辑层(BLL)、数据访问层(DAL)。对云应用生成Web页面(表现层)的控制可以实现对用户关键字段(列数据)访问权限的控制,如用户账户,身份证号等。业务数据是在数据库访问层中获取并转化为简单JAVA对象(POJO)。用户的资源在系统中是通过数据的形式保存在数据库中的,通过在数据访问层中增加对数据访问范围的控制。就可以实现对用户特定资源的控制(行数据),例如系统中客户信用额度是保存在数据库客户信息表中的,我们通过对该表中信用额度大于500万元的数据的访问控制,就可以实现对客户资源中信用额度大于500万的优质客户的控制。本发明中,所述的“用户”是已在系统中定义了使用功能、资源的单个身份(平台用户),用户可以通过终端以网络连接的方式与本发明的云计算企业信息系统进行交互,也可以直接从本发明的云计算企业信息系统访问内部数据。本发明所述的“角色”定义了用户可以访问哪些功能模块,并定义用户的可控数据范围,也就是说,角色决定用户的授权访问级别。本发明所述的“对象”是用户可访问的业务对象及其数据范围,如采购单、合同、供应商等。本发明所采用的数据查询方式可以是遍历数据查询或其它任意形式。以下结合附图,具体说明本发明。请参见图3,其为本发明云计算企业信息系统的一种实施例结构图。此系统包括管理模块31、交互模块32以及数据库33。交互模块32用于根据用户发送的请求,向管理模块31发送数据访问信息。管理模块31分别与交互模块32及数据库33相连,用于查询及调用数据。其中,数据库33又进一步包括用户模块34、对象模块36、角色模块35及对象布局模块37。用户模块34用于存储用户信息。对象模块36用于存储需要进行控制的对象,以及每个对象对应的功能。角色模块35用于存储用户对对象的访问权限规则信息。对象布局模块37用于存储各个对象中的字段的访问规则信息。用户登陆系统时,向交互模块32发送访问请求,由管理模块31从用户模块34中加载用户的信息;接着管理模块31根据用户的信息查询角色模块35,并根据对象访问规则找出用户可以访问的对象;然后从对象模块36中查询用户可以访问的对象的具体字段数据以及该些对象具有的操作功能;同时,管理模块31还会从对象布局模块37中查询该些对象的字段数据中是否存在该用户没有权限获取的敏感数据,若有,则拦截;最后,交互模块32将用户可以获得的对象的详细字段数据以及对象相应的操作功能反馈给用户。例如某集团公司,上海分公司某部门财务王明登入系统,据王明的‘财务’角色判断他拥有对象‘报销管理’的访问权限,系统菜单显示‘报销管理’,王明点击菜单进入报销管理一报销单列表页面。根据‘财务’的可操作功能报销单列表页面显示审核功能按钮,根据对象布局显示有权查看的字段,根据对象访问规则显示上海分公司金额I万元以内的数据。本发明通过对象布局的设置,可以满足企业对敏感数据的保护要求,减少企业的数据安全顾虑。请参见图4,其为本发明云计算企业信息系统较为详尽的一种实施例结构图。与图3相比,本实施例的用户模块34又进一步包括用户表41、用户组表42和用户和组对应表43。用户表41用于存储用户信息,在实际应用中,用户登录系统时输入的往往是由数字或字母组成的登录帐号,这里的用户信息就可以是登录帐号和用户名、用户ID等个人信息之间的关联信息。用户组表42用于存储按照特定区域或类别划分的组信息,例如某集体公司上海分公司的所有员工可以分为一个用户组。用户和组对应表用于存储单个用户与用户组之间的对应关系信息,即用户是否属于某个用户组。对于大型企业来说,其数据量庞大,采用用户和用户组的方式存储数据,可以将性质相同的用户合并管理,方便大用户量下的系统权限的定义。
角色模块35又进一步包括用户角色对应表44和角色权限表45。用户角色对应表44用于存储用户与角色之间的对应关系信息。对于企业管理来说,角色通常可以表示用户的职能,即通过用户角色对应表44可以查询出用户ID与用户职能之间的对应关系。角色权限表45用于存储角色与对象之间的对应关系信息。例如“部门经理”这个角色对应采购单、合同、供应商三个对象信息,在实际应用中,可以采用权限标识符来表示角色与对象之间的关联,即通过查询角色权限表45便可以知道某个角色具有哪些对象的操作权限。对象模块36又进一步包括对象表46和功能表47。对象表46用于存储需要进行控制的对象信息,这里所述的对象信息是指对象各个字段的详细信息,例如对象报销单”的具体时间、金额大小、报销人姓名等信息。功能表47用于存储每个对象对应的操作功能信息。例如报销单对象有创建、修改、删除、提交、审核、查看等功能,因此通过将功能表47与角色权限表45结合起来查询可以知道某个角色具有哪些功能的操作权限。对象布局模块33是本发明的核心部分,其又进一步包括对象字段表48和用户和对象字段布局表49。对象字段表48用于存储每个对象所包含的字段信息。这里所述的字段信息是指字段的名称,例如时间、金额小、报销人等。用户和对象字段布局表49用于存储用户与对象的字段之间的访问权限信息。即通过查询用户和对象字段布局表49可以知道,对象的哪些字段详细信息可以提供给用户,哪些不能提供给用户。例如,财务部经理可以看到报销金额大于两万的报销单,但是不希望他看到具体的报销人。系统就可以通过在用户和对象字段布局表49中将报销单的申请人字段的使能值设为零,来满足这样的需求。通过对象布局模块33的设置,系统可以更灵活地对数据进行控制,满足企业对敏感数据的保护要求,提高了系统的安全性。利用上述系统实施例本发明还提出了一种云计算企业信息系统的用户权限设定方法,如图5所示,其为本发明云计算企业信息系统的用户权限设定方法的一种实施例流程图,其包括数据库创建过程500和权限验证过程510。其中,数据库创建过程500包括以下步骤S501,存储用户信息。用户信息可以是用户ID、用户名等信息以及用户ID、用户名等信息与用户登录帐号、密码之间的对应关系。S502,定义并存储需要进行数据控制的对象。所述的对象可以是采购单、合同、供应商等。对象可以根据企业的实际需要来定义,例如可以将“采购单”定义为对象,当然也可以将“采购金额”或“报销管理”定义为对象,具体操作是根据希望进行控制的数据资源来决定的。S503,存储用户对对象的访问权限规则信息。所述的对象的访问权限规则即各个用户与各个对象之间的对应访问权限。例如部门经理可以访问报销单、采购单、供应商这几个对象的数据,公司财务职能访问报销单这个对象的数据。S504,存储各个对象中的字段的访问规则信息。每个对象都会包含若干个字段的数据,例如报销单这个对象可以包含“报销金额”、“报销时间”、“报销人”这三个字段,而每个字段下都设置有表示具体明细的数据。对于企业管理来说,有的字段数据对于某些用户属于敏感数据,因此通过设置对象中字段的访问规则,便可以满足企业对敏感数据的保护要求。例如,财务部经理可以看到报销金额大于两万的报销单,但是不希望他看到具体的报 销人。就可以通过设置字段的访问规则来实现。权限验证过程510即为用户对数据访问、查询、操作等过程的验证,其包括以下步骤S511,根据用户发送的访问请求信息,查询用户信息。访问请求信息通常是由数字或字母组成的登录帐号及登录密码,通过查询是否存在与访问请求信息相匹配的用户信息,便可以知道该用户是否属于相应的角色,以及可以访问相关的对象数据。若存在,则进入步骤S512,若不存在,则向用户返回结束访问的信息。S512,根据用户信息,查询其有权限控制的对象。当查询到存在相关的用户信息与用户的访问请求信息相对应时,便可以获取用户相应的角色信息,从而便可以查询用户有权访问的对象。例如用户属于“经理”角色,则有权访问报销单、采购单、供应商这三个对象的数据,如果用户属于“部门主管”角色,则有权访问报销单这个对象的数据。S513,查询对象包含的字段信息。例如,若用户要访问“报销单”这个对象时,需要查询金额、时间、报销人等明细数据。S514,查询用户有权限访问的字段信息。即查询字段信息中是否存在对于用户是敏感数据的信息,若有,则屏蔽相关的字段信息。S515,查询用户对其所访问对象可操作的功能信息。例如报销单对象有创建、修改、删除、提交、审核、查看等功能,即通过查询便可以知道某个用户角色具有哪些功能的操作权限。S516,向用户反馈其有权限访问的对象的字段信息以及可操作的功能信息。反馈给用户的信息可以是图像信息,其可以通过显示设备直观地呈现给用户;或者也可以是语音信息,其可以通过声音的方式呈现给用户。值得注意的是,并不局限于最后阶段才向用户反馈信息,也可以在中间任意步骤进行的过程中与用户产生交互过程。例如通过步骤S512获得用户可以控制的对象之后,便可以向用户反馈其可控制的若干对象信息,由用户选择需要访问的对象,这样就省去了许多不必要的查询过程,也节约了计算资源。本发明可以使云服务系统按照企业用户要求灵活地定义各种文档和数据权限保护策略,通过对象访问规则的设置可以满足企业按业务规则设定数据权限的要求,通过对象布局的设置可以满足企业对敏感数据的保护要求,减少企业的数据安全顾虑,从而减少或者从根本上避免企业在信息化过程中大量软硬件基础设施的投入,加速企业信息化进程。以上公开的仅为本申请的几个具体实施例,但本申请并非局限于此,任何本领域的技术人员能思之的变化,都应落在本申 请的保护范围内。
权利要求
1.一种云计算企业信息系统,包括一管理模块、一交互模块以及一数据库,该交互模块用于根据用户发送的请求,向该管理模块发送数据访问信息,该管理模块分别与该交互模块及该数据库相连,用于查询及调用数据,其特征在于,该数据库又进一步包括 一用户模块,用于存储用户信息; 一对象模块,用于存储需要进行控制的对象,以及每个对象对应的功能; 一角色模块,用于存储用户对对象的访问权限规则信息; 一对象布局模块,用于存储各个对象中的字段的访问规则信息。
2.如权利要求I所述的云计算企业信息系统,其特征在于,该对象布局模块又进一步包括 一对象字段表,用于存储每个对象所包含的字段信息; 一用户和对象字段布局表,用于存储用户与对象的字段之间的访问权限信息。
3.如权利要求I所述的云计算企业信息系统,其特征在于,该用户模块又进一步包括 一用户表,用于存储用户信息; 一用户组表,用于存储按照特定区域或类别划分的组信息; 一用户和组对应表,用于存储单个用户与组之间的对应关系信息。
4.如权利要求I所述的云计算企业信息系统,其特征在于,该角色模块又进一步包括 一用户角色对应表,用于存储用户与角色之间的对应关系信息; 一角色权限表,用于存储角色与对象之间的对应关系信息。
5.如权利要求I所述的云计算企业信息系统,其特征在于,该对象模块又进一步包括 一对象表,用于存储需要进行控制的对象信息; 一功能表,用于存储每个对象对应的操作功能信息。
6.一种云计算企业信息系统的用户权限设定方法,其特征在于,包括数据库创建过程和权限验证过程,数据库创建过程包括以下步骤 定义并存储需要进行数据控制的对象; 存储用户对对象的访问权限规则信息; 存储各个对象中的字段的访问规则信息;权限验证过程包括以下步骤 根据用户发送的访问请求信息,查询其有权限控制的对象; 查询用户有权控制的对象中其有权限访问的字段信息,并反馈给用户。
7.如权利要求6所述的云计算企业信息系统的用户权限设定方法,其特征在于,数据库创建过程还包括步骤存储用户信息; 权限验证过程还包括步骤根据用户发送的访问请求信息查询用户信息,并根据用户信息查询用户有权限控制的对象。
8.如权利要求6所述的云计算企业信息系统的用户权限设定方法,其特征在于,查询用户有权限访问的字段信息包括以下步骤 查询对象包含的字段信息; 查询用户有权限访问的字段信息; 向用户反馈其有权限访问的对象的字段信息。
9.如权利要求6所述的云计算企业信息系统的用户权限设定方法,其特征在于,反馈给用户的信息为图像信息或语音信息。
10.如权利要求6-9任一项所述的云计算企业信息系统的用户权限设定方法,其特征在于,还包括以下步骤查询用户对其所访问对象可操作的功能信息,并反馈给用户。
全文摘要
本发明提出一种云计算企业信息系统及该系统的用户权限设定方法,其系统包括管理模块、交互模块以及数据库,交互模块用于根据用户发送的请求,向管理模块发送数据访问信息,管理模块分别与交互模块及数据库相连,用于查询及调用数据。其中,数据库又进一步包括用户模块、对象模块、角色模块及对象布局模块。用户模块,用于存储用户信息,对象模块用于存储需要进行控制的对象,以及每个对象对应的功能,角色模块用于存储用户对对象的访问权限规则信息,对象布局模块用于存储各个对象中的字段的访问规则信息。本发明可以使企业数据管理更为多样性,还可以进一步保证企业敏感数据的安全性。
文档编号G06Q10/06GK102724221SQ20111007761
公开日2012年10月10日 申请日期2011年3月30日 优先权日2011年3月30日
发明者杨涛, 王微 申请人:上海微河信息科技有限公司