一种基于RBAC的权限管理系统的制作方法

本发明涉及权限管理技术领域，具体涉及一种基于RBAC的权限管理系统。

背景技术：

IT信息系统是一个复杂的人机交互系统，其中每个具体环节都可能受到安全威胁。构建强健的权限管理系统，保证信息系统的安全性是十分重要的。访问控制是针对越权使用资源的防御措施。基本目标是为了限制访问主体(用户、进程、服务等)对访问客体(文件、系统等)的访问权限，从而使计算机系统在合法范围内使用。访问控制策略一般有三种：自主型访问控制方法、强制型访问控制方法和基于角色的访问控制方法(RBAC)(Role-Based Access Control，是指基于角色的访问控制)。其中，自主式和强制式二者工作量大，不便于管理。基于角色的访问控制方法是在用户和权限之间加入角色的概念，通过为角色分配权限，并为用户分配角色，实现用户授权，达到了用户与权限的分离的目的,该方法是目前公认的解决大型企业的统一资源访问控制的有效方法。其显著的两大特征是：1.减小授权管理的复杂性，降低管理开销；2.灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。

权限一般分为功能权限和数据权限，功能权限主要是指主体对某个业务所具有的读、写、查、改等的许可，在应用系统中往往表现在窗体的实现与否、菜单项是否出现、功能按钮是否可用等方面。数据权限主要是对主体控制资源的范围，通过对相应角色控制的数据范围的定义，达到系统数据在组织颗粒度(组织颗粒度是数据的分类及数据范围的大小，例如数据分类可以分为一般数据和保密数据，数据范围大小可以分为单项业务数据范围和多项业务数据范围)的区分。目前基于RBAC的权限管理办法多是侧重于功能权限的控制，对数据权限的控制实现还不够灵活或者太过复杂，从而导致权限的配置和管理过程复杂，增加了用户使用的难度。

技术实现要素：

本发明所要解决的技术问题是提供一种基于RBAC的权限管理系统，实现了用户与访问权限的逻辑分离，功能和数据的权限分离，使权限的配置和管理更加简单，降低用户的使用难度。

本发明解决上述技术问题的技术方案如下：一种基于RBAC的权限管理装置，包括用户单元、会话单元、角色单元、数据权限单元、功能权限单元和数据记录单元；

所述用户单元分别与会话单元和角色单元连接，向会话单元传递用户的会话数据，接收角色单元发送的角色配置(角色配置是指向指定组织或用户授予在权限管理装置中对某个业务所具有的读、写、查、改等的许可及主体控制资源的范围)，用户单元用于登陆权限管理装置对应的权限系统，进行身份资料(身份资料包括关于用户的出生日期、地点、身体状况、公司职位等信息)记录，发送会话数据和接收角色配置；

所述会话单元与角色单元连接，接收用户单元的会话数据，并向角色单元发送激活角色数据(激活角色数据是指给用户配置角色的信息，配置角色的信息，主要指承载配置角色的信号)，用于通过会话进程与用户交互，确定用户身份，激活用户角色(用户角色是指用户在系统中具有对某个业务所具有的读、写、查、改等的许可及主体控制资源的范围的权限)；

所述角色单元分别与数据权限单元、功能权限单元连接，并分别向数据权限单元、功能权限单元发送访问请求，用于根据会话结果分配用户角色(根据会话单元对用户的身份确认后，向用户分配增加、修改、删除作业任务的权限)，以及确定的用户身份与所述用户所属角色之间的对应关系；

所述数据权限单元，用于根据用户角色对用户发送的访问请求识别，分配数据权限，并对系统的具体数据范围的操作权限进行控制；

所述功能权限单元，用于根据用户角色对用户发送的访问请求识别，向用户分配功能权限，对操作各个业务对应的应用程序权限进行控制；

所述数据记录单元与会话单元连接，用于记录所述会话单元在会话进程与用户交互过程中产生的数据。

进一步，所述功能权限单元包括模块和组织，所述操作是向用户分配包括增加、删除、修改、查询各业务流程应用模块的权限分配单元，所述模块为各个业务流程的应用模块。

本发明的有益效果是：通过将数据权限单元和功能权限单元分别向用户授权，从而将系统的具体数据范围的操作权限和操作各个业务对应的应用程序的权限分离，简化了权限配置过程，对于权限配置的范围和层次更有针对性，灵活地支持了系统的安全策略，并对系统的变化有很大的伸缩性，从而提高系统运作效率；数据记录单元记录所述会话单元在会话进程与用户交互过程中产生的数据，实现对数据保存，便于对会话进行审查，防止角色分配过程出现虚假分配；功能权限分配过程采用“模块+操作”组成一个功能单元来进行功能权限的分配，使权限配置和执行过程更加灵活、简便。

附图说明

图1为本发明一种基于RBAC的权限管理系统结构图。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

如图1所示，一种基于RBAC的权限管理系统，包括用户单元、会话单元、角色单元、数据权限单元、功能权限单元和数据记录单元；

所述用户单元分别与会话单元和角色单元连接，向会话单元传递用户的会话数据，接收角色单元发送的角色配置，用户单元用于登陆权限管理装置对应的权限系统，进行身份资料记录，发送会话数据和接收角色配置；

所述会话单元与角色单元连接，接收用户单元的会话数据，并向角色单元发送激活角色数据，用于通过会话进程与用户交互，确定用户身份，激活用户角色；

所述角色单元分别与数据权限单元、功能权限单元连接，并分别向数据权限单元、功能权限单元发送访问请求，用于根据会话结果分配用户角色，以及确定的用户身份与所述用户所属角色之间的对应关系；

所述数据权限单元，用于根据用户角色对用户发送的访问请求识别，分配数据权限，并对系统的具体数据范围的操作权限进行控制；

所述功能权限单元，用于根据用户角色对用户发送的访问请求识别，向用户分配功能权限，对操作各个业务对应的应用模块的访问和操作权限进行控制；

所述数据记录单元与会话单元连接，用于记录所述会话单元在会话进程与用户交互过程中产生的数据。

所述功能权限单元包括模块和组织，所述操作是向用户分配包括增加、删除、修改、查询各业务流程应用模块的权限分配单元，所述模块为各个业务流程的应用模块。

实施本系统，首先进入用户单元，登陆系统，进行个人资料登记，比如用户的出生日期、地点、身体状况、公司职位、帐号密码等信息进行记载，通过会话单元进行人机交互，会话单元会根据用户单元上记载的个人资料与系统内的设置进行匹配，得出用户在系统中相应的角色，会话单元发送激活信号给角色单元，激活用户角色，角色单元根据会话单元的激活信号向用户进行角色分配，比如管理员角色、数据员角色，用户得到相应的角色，同时角色单元向数据权限单元和功能权限单元发送访问请求，数据权限单元和功能权限单元分别进行访问请求识别，如果是管理员角色，数据权限单元根据角色单元不授予权限访问，功能权限单元根据访问请求识别，向拥有管理员角色的用户授予对某个业务所具有的读、写、查、改等的权限，在应用系统中往往表现在业务窗体的实现与否、业务菜单项是否出现、业务功能按钮是否可用等方面；如果是数据员角色，功能权限单元根据角色单元不授予权限访问，数据权限单元根据角色单元向拥有管理员角色的用户授予对主体资源范围控制的权限，通过对相应角色控制的数据范围的定义，达到系统数据在组织颗粒度的区分；

通过将数据权限单元和功能权限单元分别向用户授权，从而将系统的具体数据范围的操作权限和操作各个业务对应的应用程序的权限分离，简化了权限配置过程，对于权限配置的范围和层次更有针对性，灵活地支持了系统的安全策略，并对系统的变化有很大的伸缩性，从而提高系统运作效率；数据记录单元记录所述会话单元在会话进程与用户交互过程中产生的数据，实现对数据保存，便于对会话进行审查，防止角色分配过程出现虚假分配；功能权限分配过程采用“模块+操作”组成一个功能单元来进行功能权限的分配，使权限配置和执行过程更加灵活、简便。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。