专利名称:一种用于查询数据的权限控制方法和系统的制作方法
技术领域:
本发明涉及权限控制领域,特别是涉及ー种用于查询数据的权限控制方法和系统。
背景技术:
在信息技术广泛应用的今天,数据库系统得到了广泛应用,工作人员通过查询数据库中的数据来获取工作各方面的信息,进而采取各种措施来推进工作的开展。数据库所保存的数据种类众多,其中不乏诸如财务数据、订单信息、统计数据等对企业、政府而言非常重要的数据,因而需要为数据库中的数据设置一定的访问权限,保证使 有权访问一数据的用户能够通过数据库查询到该数据,而使无权访问该数据的用户不能够通过数据库查询到该数据。这就涉及到权限控制的问题。现有技术中,对数据库中存储的数据进行权限控制的方法有两种,一种是采取硬件实现的方式,即将权限控制软件存储到硬件中,通过硬件运行程序来进行权限控制,同时使权限控制软件无法复制出来,从而保证该权限控制方法的安全性;第二种方法为利用各种开源框架来自行开发或请第三方来开发权限控制软件。现有技术第一种方法的缺点在于扩展难度大,这是因为硬件中所存储的权限控制软件是无法进行修改的,如果需要修改,就要重新编制权限控制软件、重新存入硬件,这无疑浪费了时间和成本。现有技术第二种方法的缺点在于开发和后期维护的难度大,这是因为开源框架自身并没有权限控制功能,因而需要开发者首先了解开源框架,然后进行权限控制软件的开发和测试,另外,使用过程中需要进行维护时,还要重新阅读相应程序、重新编写代码和测试,这也会浪费很长的时间,成本也很高。
发明内容
本发明所要解决的技术问题是提供一种用于查询数据的权限控制方法和系统,易于扩展,维护成本也很低。本发明解决上述技术问题的技术方案如下一种用于查询数据的权限控制方法,所述数据存储于数据库中;该方法包括步骤I :针对所述数据库中的数据,划分得到ー个以上的权限控制点,并设定每个权限控制点所包括的各实体的属性;步骤2 :建立与每个实体的每个属性相对应的规则树;步骤3 :指定各权限控制点中与每个实体相对应的查询规则,所述查询规则为该实体的ー个以上的属性所对应的规则树经过逻辑运算后的运算結果;步骤4 :接收查询请求,所述查询请求包括待查询的实体的名称和待查询的权限控制点;步骤5 :根据所述待查询的实体的名称,确定待查询的实体,进而确定在所述待查询的权限控制点中该实体所对应的查询规则;在所述数据库中搜索符合该查询规则的数据,并输出。本发明的有益效果是本发明中,由于可以根据业务需要,针对数据库中的数据划分出ー个以上的权限控制点,每个权限控制点可以包括ー个以上的实体,还设定了每个权限控制点中的每个实体的属性,进而建立了与各实体的每个属性相对应的规则树,这样就可以对这些实体的属性所对应的规则树进行逻辑运算从而确定与每个实体相对应的查询规则了。本发明在存储了各权限控制点中所有实体的查询规则之后,根据接收到的查询请求中待查询的权限控制点来确定用户的查询目的,进而根据查询请求中待查询的实体的名称,确定待查询的实体,从而确定在待查询的权限控制点中该实体所对应的查询规则,然后,就可以根据该查询规则从数据库中捜索到相应的数据了。利用本发明提供的权限控制方法,用户只需提供查询请求即可自动产生查询结果,因而使用很方便,当需要对该权限控制系统进行扩展以修改该权限控制方法时,只需重新设置权限控制点、每个权限控制点中各实体的属性,重新建立各实体的规则树,并重新指定每个实体对应的查询规则即可,因而本发明提供的权限控制方法易于扩展,维护成本也很低。
在上述技术方案的基础上,本发明还可以做如下改进进ー步,在所述步骤3之后,在所述步骤4之前,还包括步骤30 :接收用户身份信息,判断该用户身份信息是否为合法的身份信息,如果是,则执行所述步骤4,否则,不允许查询所述数据。进ー步,所述步骤30中判断该用户身份信息是否为合法的身份信息的方法为遍历所存储的合法的身份信息,判断所述用户身份信息是否与所存储的所有合法的身份信息中的ー个相同,如果是,则该用户身份信息为合法的身份信息,否则,该用户身份信息为非法的身份信息。进ー步,所述用户身份信息包括用户账号和用户密码。
进ー步,所述步骤3中所述的逻辑运算为逻辑与运算。另外,本发明还提供了一种用于查询数据的权限控制系统,该系统包括存储模块、配置模块、查询规则指定模块、終端模块;其中,所述存储模块用于,存储所述数据,存储各权限控制点中与每个实体相对应的查询规则;所述配置模块用于,针对所述存储模块中的数据,划分得到ー个以上的权限控制点,并设定每个权限控制点所包括的各实体的属性;建立与每个实体的每个属性相对应的规则树;将每个权限控制点所包括的各实体的属性以及每个实体的每个属性所对应的规则树发送到所述查询规则指定模块;所述查询规则指定模块用于,指定各权限控制点中与每个实体相对应的查询规贝1J,使所述查询规则为该实体的ー个以上的属性所对应的规则树经过逻辑运算后的运算结果,并将各权限控制点中每个实体所对应的查询规则发送到所述存储模块;所述终端模块用于,接收查询请求,所述查询请求包括待查询的实体的名称和待查询的权限控制点;根据所述待查询的实体的名称,确定待查询的实体,进而从所述存储模块获得在所述待查询的权限控制点中该实体所对应的查询规则;从所述存储模块搜索符合该查询规则的数据,并输出。进ー步,所述终端模块还用于,接收用户身份信息,判断该用户身份信息是否为合法的身份信息,如果是,则接收所述查询请求,否则,不接收所述查询请求。
图I为本发明提供的用于查询数据的权限控制方法的流程图;图2为利用已建立的规则树指定查询规则的ー个实施例的示意图;图3为本发明提供的用于查询数据的权限控制系统的结构图。
具体实施例方式以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。图I为本发明提供的用于查询数据的权限控制方法的流程图。该方法所要查询的数据存储于数据库中。如图I所示,该方法包括 步骤101 :针对数据库中的数据,划分得到ー个以上的权限控制点,并设定每个权限控制点所包括的各实体的属性。本发明所划分得到的权限控制点是与查询目的相对应的,查询目的不同,则所用到的权限控制点是不同的,这样,最終获得的查询结果也应该是不同的。例如,查询数据的用户为销售员,如果其查询目的为获得自己所负责的销售区域内自己所负责的产品的订单信息,则权限控制点就为订单查询,但如果其查询目的为获得销售经理的联系方式,则权限控制点就为联系方式查询了。这些数据统一存储在数据库中,如果销售员要查询自己所负责的销售区域内自己所负责的产品的订单信息,却捜索到包括所有销售员的订单信息以及所有销售经理的联系方式在内的信息,则不仅要浪费该销售员大量的时间去挑选出有用信息,而且还将威胁到该公司的核心秘密,因而本发明在确定数据的访问权限时,首先就需要根据查询目的划分出不同的权限控制点。每个权限控制点可以包括ー个以上的实体。例如,对于销售员而言,实体可以为订单,也可以为销售经理的联系方式。而且,同一个实体可以包含在不同权限控制点中,例如,订单这个实体可以在订单查询中,也可以包含在年度财务数据查询中。同一实体可以包含于不同的权限控制点中,如果ー个实体具有多个属性,则需要设定在每个权限控制点中该实体所包含的属性,例如,订单实体具有销售区域属性、金额属性、产品类型属性、销售员属性、采购商属性等多个属性,分别用于说明该订单所涉及的产品销售区域、总金额、所涉及的产品的类型、负责落实该订单的销售员以及负责为该订单的实施采购产品的采购商等信息。一个订单实体既可以供销售员进行销售情况查询,即该订单实体所在的权限控制点为销售情况查询,还可以供物流人员核对所运输的产品类型是否正确,即该订单实体所在的权限控制点为物流核对查询,这样,在销售情况查询权限控制点中,该订单实体就应包括销售区域属性、金额属性、产品类型属性、销售员属性、采购商属性等与销售有关的所有属性,而在物流核对查询权限控制点中,该订单实体就可以只包含销售区域属性、产品类型属性等与物流核对相关的属性,而屏蔽掉其他无关的属性,从而在剔除冗余信息方便查询的同时,防止公司机密外泄。通过设定每个权限控制点中每个实体的属性,就可以建立与每个实体的每个属性相对应的查询规则了。
步骤102 :建立与每个实体的每个属性相对应的规则树。本发明中,规则树指的是ー种对应关系。对于ー个实体而言,其每个属性都可以与不同的值相对应,例如,ー个订单实体中的销售员属性,可以为张三,也可以为李四;订单实体中的产品类型属性可以为产品A,也可以为产品B,还可以为产品C,或其中的两种或三种的组合。这里,在设定了每个权限控制点所包含的各实体的属性之后,就可以在每个权限控制点范围内,建立上述的各实体的属性与其值之间的对应关系,这种对应关系可形象地看作是树的形态,且用于在步骤103中建立查询规则,因而本发明称之为规则树。步骤103 :指定各权限控制点中与每个实体相对应的查询规则,该查询规则为该实体的ー个以上的属性所对应的规则树经过逻辑运算后的运算結果。本步骤是在步骤102建立的实体的各属性所对应的规则树的基础上,进ー步确定出各权限控制点中与实体相应的查询规则,从而利用该查询规则来捜索得到与权限控制点 相应的查询結果。如果在某个权限控制点下,ー个实体仅有ー个属性,则在该权限控制点下,该实体的查询规则即为该属性所对应的规则树,而无需任何逻辑运算。如果在某个权限控制点下,一个实体具有多个属性,则在该权限控制点下,该实体的查询规则为其所有属性对应的规则树进行逻辑运算后的結果。这里的逻辑运算有很多种,例如可以为逻辑与运算、逻辑或运算、逻辑非运算、逻辑与非运算、逻辑或非运算、逻辑异或运算、逻辑同或运算等。本发明可以将逻辑与运算作为本步骤所述的逻辑运算的最优实施例。例如,订单作为ー个实体具有销售员属性、采购商属性和总金额属性,这样,可以指定在销售情况查询这个权限控制点下,该订单对应的查询规则为(销售员属性=张三)&(采购商属性=采购商1)&(总金额< 3500元),其中,“&”为逻辑与运算符,该查询规则表示该订单实体由名为张三的销售员负责落实,其涉及的产品由采购商I进行采购,并且,该订单所涉及产品的总金额低于3500元,因此,当张三在查询采购商I负责采购且总金额低于3500元的销售情况时,才能查到该订单。本步骤在建立每个实体对应的查询规则之后,就可以将其存储起来长期使用了。这样,当需要查询该实体时,只需自动调用其对应的查询规则进行查询即可将查询结果输出给用户,这提高了查询效率,极大地方便了用户的查询工作。步骤104 :接收查询请求,查询请求包括待查询的实体的名称和待查询的权限控制点。本步骤是在步骤101-103已建立基础查询构架的基础上,接收用户指示从而进一步在步骤105中进行查询的步骤,该用户指示表现为查询请求的形式。本步骤中所述的待查询的权限控制点,指的是能够表明用户查询目的的信息,SP根据该待查询的权限控制点,可以确定用户的查询目的,进而在确定出待查询的实体名称所对应的实体的基础上,确定在该待查询的权限控制点下该实体对应的查询规则。查询请求的接收,可以为接收鼠标对于用户界面(UI, User Interface)上标识待查询的实体的图标、文字等的点击的形式,也可以为接收用户的文字输入的形式。只要查询请求的接收形式能够确定出待查询的实体的名称和待查询的权限控制点,并进而根据待查询的权限控制点确定查询目的,根据名称确定实体,即在本发明的保护范围之内。除了待查询的实体的名称和待查询的权限控制点,查询请求还可以包括其他内容,例如查询请求的发出时间、订单所涉及的产品名称、要查询的订单所在的时间段等。步骤105 :根据待查询的实体的名称,确定待查询的实体,进而确定在该待查询的权限控制点中该实体所对应的查询规则;在数据库中搜索符合该查询规则的数据,并输出。本步骤是根据步骤104所接收的查询请求进行查询并输出查询结果的步骤。根据步骤104所接收的查询请求,即可确定出待查询的实体的名称,进而确定待查询的实体。由于步骤103已指定了各权限控制点中每个实体对应的查询规则,因而本步骤在确定了待查询的实体后,可以直接调用在待查询的权限控制点下该实体对应的查询规贝U,在数据库中搜索符合该查询规则的数据,进而输出给用户,这里的输出方式可以为显示在显示器上,也可以为存储到一定的存储介质中,还可以是打印等方式。图2为利用已建立的规则树指定查询规则的一个实施例的示意图。如图2所示,该公司的销售区域包括华北、东北和华南三个区域,所销售的产品包括A、B、C和D四个种类,为该公司提供采购四种产品服务的采购商分别为采购商I、采购商2、采购商3和采购商4,·负责落实该公司的订单的销售员分别标号为1、2、3和4。该公司在华北地区从事销售活动的销售员为I和2,在东北地区仅由销售员3负责销售,在华南地区则由销售员3和4共同负责销售工作。采购商I单独负责该公司在华北地区销售的产品的采购工作,采购商2和采购商3共同负责在东北地区销售的产品的采购工作,采购商3和采购商4共同负责在华南地区销售的产品的采购工作。而且,销售员I负责销售的产品有A和B两种类型,销售员2负责B和C两种产品的销售,销售员3负责C和D两种产品的销售,销售员4仅销售产品D0该实施例中的规则树指的是如下几个对应关系采购商属性与采购商I、采购商2、采购商3、采购商4之间的对应关系;区域属性与华北、东北、华南地区之间的对应关系;销售员属性与1、2、3、4之间的对应关系;产品类型属性与产品A、产品B、产品C、产品D之间的对应关系。本发明所涉及的权限控制要求为销售员只能查询到自己负责区域的采购商采购到的产品的订单,并且该产品的类型也必须为该销售员所负责的类型,其他的订单一概不能被其查询到。这样,当销售员I要查询自己所负责的订单情况时,即权限控制点为订单查询时,即可根据上述的规则树,在步骤103中指定的该订单实体对应的查询规则如下(区域属性=华北)&(采购商属性=采购商1)&(销售员属性=1)&(产品类型属性=A和B),利用该查询规则,销售员I所能查询到的信息就为图2中椭圆形曲线内部所包括的订单信息(涉及产品A的全部订单信息和涉及产品B的部分订单信息)。值得指出的是,如果一个订单包括华北地区采购自采购商I的产品A和B的信息,其中的产品A的销售由销售员I来负责,而产品B由销售员2来负责销售,则销售员I在按照上述的查询规则来查询数据时,只能查到该订单中关于产品A的信息,而不能查到该订单中关于产品B的信息,即销售员I是不能获得该订单的全部信息的,这有利于保护公司的机密。由此可见,本发明中,由于可以根据业务需要,针对数据库中的数据划分出一个以上的权限控制点,每个权限控制点可以包括一个以上的实体,还设定了每个权限控制点中的每个实体的属性,进而建立了与各实体的每个属性相对应的规则树,这样就可以对这些实体的属性所对应的规则树进行逻辑运算从而确定与每个实体相对应的查询规则了。本发明在存储了各权限控制点中所有实体的查询规则之后,根据接收到的查询请求中待查询的权限控制点来确定用户的查询目的,进而根据查询请求中待查询的实体的名称,确定待查询的实体,从而确定在待查询的权限控制点中该实体所对应的查询规则,然后,就可以根据该查询规则从数据库中搜索到相应的数据了。利用本发明提供的权限控制方法,用户只需提供查询请求即可自动产生查询结果,因而使用很方便,当需要对该权限控制系统进行扩展以修改该权限控制方法时,只需重新设置权限控制点、每个权限控制点中各实体的属性,重新建立各实体的规则树,并重新指定每个实体对应的查询规则即可,因而本发明提供的权限控制方法易于扩展,维护成本也很低。 本发明划分出不同的权限控制点,不同权限控制点对应于不同的查询目的,这有利于保证查询结果高度符合查询目的,尽量少地提供冗余信息。而且本发明设定了每个权限控制点中的每个实体所对应的规则树,可以保证查询该实体的用户不能搜索到未经授权的数据,这有利于保证信息的安全性。在步骤103之后,在步骤104之前,还可以包括步骤1040 :接收用户身份信息,判断该用户身份信息是否为合法的身份信息,如果是,则执行步骤104,否则,不允许查询数据。步骤1040是一个验证用户是否为合法用户的步骤,为了公司机密不被泄露,必须保证只有合法用户才能查询该数据库中的数据,非法用户是不允许进行数据查询的,因而步骤1040设置了判断用户身份信息是否合法的判断步骤。步骤1040在接收了用户身份信息之后,判断该用户身份信息是否为合法的身份信息的方法可以为遍历所存储的所有合法的身份信息,判断所接收的用户身份信息是否与所存储的所有合法的身份信息中的一个相同,如果是,则确定该用户身份信息为合法的身份信息,执行步骤104,否则,确定该用户身份信息为非法的身份信息,不允许其查询数据。上述所接收到的用户身份信息及所存储的合法的身份信息都可以包括用户账号和用户密码。即所存储的所有合法的身份信息均为相对应的用户账号和用户密码的形式,步骤1040所接收的用户身份信息也为对应的用户账号和用户密码的形式,如果所接收的用户身份信息中相对应的一组用户账号和用户密码与所存储的所有合法的身份信息中对应的用户账号和用户密码中的一组完全相同,则该用户身份信息为合法的身份信息,该用户即为合法用户,可以执行步骤104,允许其提供查询请求,否则,该用户身份信息即为非法的身份信息,该用户为非法用户,不允许执行步骤104,也就不接收该用户的查询请求了。图3为本发明提供的用于查询数据的权限控制系统的结构图。如图2所示,该系统包括存储模块301、配置模块302、查询规则指定模块303、终端模块304 ;其中,存储模块301用于,存储数据,存储各权限控制点中与每个实体相对应的查询规则;配置模块302用于,针对存储模块301中的数据,划分得到一个以上的权限控制点,并设定每个权限控制点所包括的各实体的属性;建立与每个实体的每个属性相对应的规则树;将每个权限控制点所包括的各实体的属性以及每个实体的每个属性所对应的规则树发送到查询规则指定模块303 ;查询规则指定模块303用于,指定各权限控制点中与每个实体相对应的查询规贝U,使该查询规则为该实体的一个以上的属性所对应的规则树经过逻辑运算后的运算结果,并将各权限控制点中每个实体所对应的查询规则发送到存储模块301 ;终端模块304用于,接收查询请求,查询请求包括待查询的实体的名称和待查询的权限控制点;根据待查询的实体的名称,确定待查询的实体,进而从存储模块301获得在查询请求所提供的待查询的权限控制点中该实体所对应的查询规则;从存储模块301搜索符合该查询规则的数据,并输出。本发明中,存储模块可以数据库的形式来存储数据。另外,存储模块还有存储查询规则指定模块所建立的查询规则的功能,这样,多个终端模块在向不同用户提供查询服务时,只需从同一存储模块调用查询规则即可。配置模块可以根据不同的查询目的,针对存储模块中所存储的数据,划分得到一个以上的权限控制点,每个权限控制点与一个查询目的相对应,同时包括一个以上的实体。并且,由于不同查询目的可以涉及同一个实体,因而同一个实体可以为不同的权限控制点所共有而互不影响。另外,配置模块还可以设定每个权限控制点中的每个实体的属性,并建 立与每个实体的每个属性相对应的规则树,将二者发送到查询规则指定模块,可以令其根据规则树来指定各权限控制点中与每个实体相对应的查询规则。本发明中,每个实体可以仅有一个属性,也可以有多个属性。本发明中,查询规则指定模块是指定各权限控制点下与每个实体相对应的查询规则的模块,这里的查询规则与权限控制点有关,也就是与查询目的相关,不同查询目的下的查询规则自然应该不同。同时,查询规则还与实体相对应,其为该实体的一个以上的属性所对应的规则树进行逻辑运算的结果,这里的逻辑运算优选为逻辑与运算。查询规则指定模块所指定的查询规则要保存到存储模块中,这样,终端模块在向用户提供查询服务时,即可调用存储模块中与待查询的实体相对应的查询规则,进而应用 该查询规则在存储模块中进行检索,从而获得查询结果输出。终端模块是向用户提供查询服务的模块,终端模块的数量可以为多个。其接收用户提供的查询请求,从中获得待查询的实体的名称和待查询的权限控制点,进而根据待查询的实体的名称确定待查询的实体,这样,就可以从存储模块获得在待查询的权限控制点下与该待查询的实体相对应的查询规则了。由此可见,本发明是通过预设与实体相对应的查询规则的方式,来根据用户要查询的实体,自动调用查询规则,进而查询到相应数据输出的,这极大地简化了查询流程,提高了查询效率。另外,为了数据的安全,终端模块304还用于,接收用户身份信息,判断该用户身份信息是否为合法的身份信息,如果是,则接收查询请求,否则,不接收查询请求。由此可见,本发明具有以下优点(I)本发明中,由于可以根据业务需要,针对数据库中的数据划分出一个以上的权限控制点,每个权限控制点可以包括一个以上的实体,还设定了每个权限控制点中的每个实体的属性,进而建立了与各实体的每个属性相对应的规则树,这样就可以对这些实体的属性所对应的规则树进行逻辑运算从而确定与每个实体相对应的查询规则了。本发明在存储了各权限控制点中所有实体的查询规则之后,根据接收到的查询请求中待查询的权限控制点来确定用户的查询目的,进而根据查询请求中待查询的实体的名称,确定待查询的实体,从而确定在待查询的权限控制点中该实体所对应的查询规则,然后,就可以根据该查询规则从数据库中搜索到相应的数据了。利用本发明提供的权限控制方法,用户只需提供查询请求即可自动产生查询结果,因而使用很方便,当需要对该权限控制系统进行扩展以修改该权限控制方法时,只需重新设置权限控制点、每个权限控制点中各实体的属性,重新建立各实体的规则树,并重新指定每个实体对应的查询规则即可,因而本发明提供的权限控制方法易于扩展,维护成本也很低。(2)本发明划分出不同的权限控制点,不同权限控制点对应于不同的查询目的,这有利于保证查询结果高度符合查询目的,尽量少地提供冗余信息。而且本发明指定了每个权限控制点中的每个实体所对应的查询规则,可以保证查询该实体的用户不能搜索到未经授权的信息,这有利于保证信息的安全性。(3)本发明是通过预先设定与实体相对应的查询规则的方式,来根据用户要查询的实体,自动调用查询规则,进而查询到相应数据输出的,这极大地简化了查询流程,提高了查询效率。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种用于查询数据的权限控制方法,所述数据存储于数据库中;其特征在于,该方法包括 步骤I :针对所述数据库中的数据,划分得到ー个以上的权限控制点,并设定每个权限控制点所包括的各实体的属性; 步骤2 :建立与每个实体的每个属性相对应的规则树; 步骤3 :指定各权限控制点中与每个实体相对应的查询规则,所述查询规则为该实体的ー个以上的属性所对应的规则树经过逻辑运算后的运算結果; 步骤4 :接收查询请求,所述查询请求包括待查询的实体的名称和待查询的权限控制点; 步骤5 :根据所述待查询的实体的名称,确定待查询的实体,进而确定在所述待查询的权限控制点中该实体所对应的查询规则;在所述数据库中搜索符合该查询规则的数据,并输出。
2.根据权利要求I所述的方法,其特征在于,在所述步骤3之后,在所述步骤4之前,还包括步骤30 :接收用户身份信息,判断该用户身份信息是否为合法的身份信息,如果是,则执行所述步骤4,否则,不允许查询所述数据。
3.根据权利要求2所述的方法,其特征在于,所述步骤30中判断该用户身份信息是否为合法的身份信息的方法为遍历所存储的合法的身份信息,判断所述用户身份信息是否与所存储的所有合法的身份信息中的ー个相同,如果是,则该用户身份信息为合法的身份信息,否则,该用户身份信息为非法的身份信息。
4.根据权利要求2或3所述的方法,其特征在于,所述用户身份信息包括用户账号和用户密码。
5.根据权利要求I所述的方法,其特征在于,所述步骤3中所述的逻辑运算为逻辑与运算。
6.ー种用于查询数据的权限控制系统,其特征在干,该系统包括存储模块、配置模块、查询规则指定模块、終端模块;其中, 所述存储模块用于,存储所述数据,存储各权限控制点中与每个实体相对应的查询规则; 所述配置模块用于,针对所述存储模块中的数据,划分得到ー个以上的权限控制点,并设定每个权限控制点所包括的各实体的属性;建立与每个实体的每个属性相对应的规则树;将每个权限控制点所包括的各实体的属性以及每个实体的每个属性所对应的规则树发送到所述查询规则指定模块; 所述查询规则指定模块用于,指定各权限控制点中与每个实体相对应的查询规则,使所述查询规则为该实体的ー个以上的属性所对应的规则树经过逻辑运算后的运算结果,并将各权限控制点中每个实体所对应的查询规则发送到所述存储模块; 所述终端模块用于,接收查询请求,所述查询请求包括待查询的实体的名称和待查询的权限控制点;根据所述待查询的实体的名称,确定待查询的实体,进而从所述存储模块获得在所述待查询的权限控制点中该实体所对应的查询规则;从所述存储模块搜索符合该查询规则的数据,并输出。
7.根据权利要求6所述的系统,其特征在干,所述终端模块还用干,接收用户身份信息, 判断该用户身份信息是否为合法的身份信息,如果是,则接收所述查询请求,否则,不接收所述查询请求。
全文摘要
本发明涉及一种用于查询数据的权限控制方法和系统。该方法包括步骤1针对数据库中的数据,划分得到一个以上的权限控制点,并设定每个权限控制点所包括的各实体的属性;步骤2建立与每个实体的每个属性相对应的规则树;步骤3指定各权限控制点中与每个实体相对应的查询规则,查询规则为该实体的一个以上的属性所对应的规则树经过逻辑运算后的运算结果;步骤4接收查询请求,查询请求包括待查询的实体的名称和待查询的权限控制点;步骤5根据待查询的实体的名称,确定待查询的实体,进而确定在待查询的权限控制点中该实体所对应的查询规则;在数据库中搜索符合该查询规则的数据,并输出。本发明易于扩展,维护成本也很低。
文档编号G06F21/00GK102831123SQ20111016206
公开日2012年12月19日 申请日期2011年6月16日 优先权日2011年6月16日
发明者马强, 林凉 申请人:航天信息股份有限公司