专利名称:数据权限控制方法及系统的制作方法
技术领域:
本发明涉及数据处理技术领域,特别涉及数据权限控制方法及系统。
背景技术:
在商务应用中,数据安全控制是十分重要的。例如,目前的商务应用中对于报表数 据安全的控制手段主要是针对报表页面级的权限控制。也就是说,对于用户是否能够访问 报表进行权限控制。当用户获得了报表的访问权限后,就可以查看报表中的任何数据。然而,随着实际商务应用中数据安全的重要性越来越高,仅仅对报表页面级的权 限控制已无法满足业务需求及信息安全的需求。
发明内容
本发明解决现有技术在商务应用中仅对报表页面级进行权限控制,无法满足数据 安全需求的问题。为解决上述问题,本发明提供一种数据权限控制方法,包括创建具有访问特定文件页面及所述特定文件中特定数据权限的角色信息;将所述角色信息与用户信息关联;对用户访问文件页面的请求进行权限检查,仅在与用户信息关联的角色信息具有 访问所述文件页面的权限时,通过所述用户访问所述文件页面的请求;在通过所述请求后,对用户访问所述文件中特定数据的请求进行权限检查,仅在 与用户信息关联的角色信息具有访问所述文件中特定数据的权限时,通过所述用户访问所 述文件中特定数据的请求。相应地,本发明还提供一种数据权限控制系统,包括角色信息创建单元,创建具有访问特定文件页面及所述特定文件中特定数据权限 的角色信息;第一关联单元,将所述角色信息与用户信息关联;第一权限控制单元,对用户访问文件页面的请求进行权限检查,仅在与用户信息 关联的角色信息具有访问所述文件页面的权限时,通过所述用户访问所述文件页面的请 求;第二权限控制单元,对具有访问所述文件页面权限的用户访问所述文件中特定数 据的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件中特定数据的 权限时,通过所述用户访问所述文件中特定数据的请求。与现有技术相比,上述数据权限控制方法及系统具有以下优点上述数据权限控 制方法及系统,对不同文件的访问及文件中特定数据的访问创建具有相应权限的角色信 息,基于角色信息分别对用户访问文件页面的请求及访问文件中特定数据的请求进行权限 检查。对于需访问文件中特定数据的用户而言,仅在其关联的角色信息具有相应访问权限 时才能被允许访问,因而进一步增强了数据的安全性。
图1是本发明数据权限控制方法的一种实施方式流程图;图2是图1所示数据权限控制方法中创建角色信息的一种实施例流程图;图3是本发明数据权限控制系统的一种实施方式结构图;图4是图3所示数据权限控制系统中角色信息创建单元的一种实施例结构图;图5是图3所示数据权限控制系统中第一权限控制单元、第二权限控制单元相互 关系的一种实施例结构图。
具体实施例方式参照图1所示,本发明数据权限控制方法的一种实施方式包括步骤Si,创建具有访问特定文件页面及所述特定文件中特定数据权限的角色信 息;步骤s2,将所述角色信息与用户信息关联;步骤S3,对用户访问文件页面的请求进行权限检查,判断与用户信息关联的角色 信息是否具有访问所述文件页面的权限,若否,则执行步骤s4,若是,则执行步骤s5 ;步骤s4,拒绝所述用户访问所述文件页面的请求;步骤s5,通过所述用户访问所述文件页面的请求,并对用户访问文件中特定数据 的请求进行权限检查,判断与用户信息关联的角色信息是否具有访问所述文件中特定数据 的权限,若否,则执行步骤s6,若是,则执行步骤s7 ;步骤s6,拒绝所述用户访问所述文件中特定数据的请求;步骤s7,通过所述用户访问所述文件中特定数据的请求。上述数据权限控制方法的实施方式实际上包括两个阶段,即对于访问特定文件中 特定数据的操作进行授权的阶段以及根据所述授权信息进行权限检查及操作控制的阶段。在授权阶段,基于访问特定文件中特定数据必经的两个操作打开文件页面及查 看文件中特定数据,对于访问特定文件中数据的操作进行两级权限授予,即特定文件页面 级访问的权限授予及特定文件中特定数据访问的权限授予,并创建各种角色信息对有权限 访问特定文件中特定数据的操作进行区分。例如,角色信息Role_l有权限访问文件B中的 数据Cl,而角色信息Role_2有权限访问文件B中的数据C2,角色信息Role_3有权限访问 文件D中的数据E1。由于实际进行数据访问操作的都是各个用户,因而需要将所创建的角 色信息与用户信息进行关联。在权限检查及控制阶段,当某一用户提出访问特定文件中特定数据的请求时,同 样依据访问特定文件中特定数据必经的两个操作进行相应的权限检查。即,首先检查与该 用户信息关联的角色信息是否具有对其想访问的文件的页面级进行访问的权限,仅在该用 户信息关联的角色信息具有对所述文件页面级访问的权限时,才会打开所述文件页面。但 此时,该用户依然看不到任何文件中的数据,其还需接受是否具有对其想访问的数据进行 访问的权限检查,仅在该用户信息关联的角色信息具有对所述数据访问的权限时,该用户 才可看到其所想访问的数据。否则,即使该用户打开了文件页面,其也无法看到想访问的数 据。
以下结合附图对上述数据权限控制方法进一步举例说明。参照图2所示,创建具有访问特定文件页面及所述特定文件中特定数据权限的角 色信息,可进一步包括步骤sll,对特定文件设置相应的文件代码,对特定文件中特定数据设置相应的数 据对象代码;步骤sl2,创建角色信息,并将所创建的角色信息与所述文件代码、数据对象代码 相关联。假定某一提供用户访问的数据库中有5个报表,则可将所述10个报表分别设置文 件代码为IteportJ R印ort_5。进一步假定该5个报表各自可以按各自具有的分类信息 进行数据的划分,所述分类信息可以为公司信息、工厂信息、分析指标中的一种或多种的组 合。例如,报表IteportJ记录有3家公司信息相关的数据,则该报表Iteport_l可按公司信 息划分为3个数据模块,依次设置数据对象代码为Module_ll、Module_12、Module_13。报 表R印ort_2记录有3种分析指标相关的数据,则该报表R印ort_2可按分析指标划分为3 个数据模块,依次设置数据对象代码为Module_21、Module_22、Module_23。则对报表R印ort_l及R印ort_2,就可设置6种角色信息Role_10 Role_12、 Role_20 Role_22,如将角色信息Role_10与文件代码R印ort_l、数据对象代码 Module_l 1相关联,则角色信息Role_10就有权限对报表Itep0rt_l中数据对象代码 ModuleJl相对应的公司信息相关数据进行访问;将角色信息Role_ll与文件代码 R印ort_l、数据对象代码Module_12相关联,则角色信息Role_l 1就有权限对报表R印ort_l 中数据对象代码Module_12相对应的公司信息相关数据进行访问;将角色信息Role_12与 文件代码R印ort_l、数据对象代码Module_13相关联,则角色信息Role_12就有权限对报 表IteportJ中数据对象代码Module_13相对应的公司信息相关数据进行访问;将角色信息 Role_20与文件R印ort_2、数据对象代码Module_21相关联,则角色信息Role_20就有权限 对报表R印ort_2中数据对象代码Module_21相对应的分析指标相关数据进行访问;将角色 信息Role_21与文件R印ort_2、数据对象代码Module_22相关联,则角色信息Role_21就有 权限对报表R印ort_2中数据对象代码Module_22相对应的分析指标相关数据进行访问;将 角色信息Role_22与文件R印ort_2、数据对象代码Module_23相关联,则角色信息Role_22 就有权限对报表R印ort_2中数据对象代码Module_23相对应的分析指标相关数据进行访 问。在创建角色信息之后,将所述角色信息与用户信息关联。所述关联操作可以依据 实际访问数据需求及用户经主管部门同意的申请而进行。例如,对普通职员,可以依据访问 需求将其用户信息与角色信息Role_10 Role_12中的一种或多种关联;而对于公司高层, 可以将其用户信息与角色信息Role_2 Role_22中的一种或多种关联。经过上述授权阶段之后,对于某一角色信息,都会有一个或多个与其相关联的用 户信息,拥有这些用户信息的用户就有权限进行与角色信息相应的数据访问操作。反之,则 没有权限进行与角色信息相应的数据访问操作。例如,对某一用户试图打开报表R印ort_2访问与数据对象代码Module_23相对 应的分析指标相关数据的操作,就会先对其用户信息进行解析,根据上述角色信息与用户 信息关联的结果,查看与该用户信息关联的角色信息。假定解析获得与该用户信息关联的角色信息为Role_21,则由于该角色信息具有访问报表R印ort_2的权限,该用户打开报表 Report_2的这一操作请求就被通过,报表R印ort_2被打开。此时,该用户进一步要查看的 数据为与数据对象代码Module_23相对应的分析指标相关数据,但由于角色信息Role_21 仅有权限对报表R印ort_2中数据对象代码Module_22相对应的分析指标相关数据进行访 问,因此该进一步查看与数据对象代码Module_23相对应的分析指标相关数据的操作会被 拒绝,并显示警告信息,表明当前用户没有查看该分析指标相关数据的权限。经过上述举例说明可以看到,通过以上的两级权限检查及控制,可以对用户对文 件中数据的访问进行安全性更高的控制,相应地,文件中数据,特别是安全级别较高的文件 中数据的安全性得到了进一步提高。参照图3所示,本发明数据权限控制系统的一种实施方式包括角色信息创建单元100,创建具有访问特定文件页面及所述特定文件中特定数据 权限的角色信息;第一关联单元200,将所述角色信息与用户信息关联;第一权限控制单元300,对用户访问文件页面的请求进行权限检查,在与用户信 息关联的角色信息具有访问所述文件页面的权限时,通过所述用户访问所述文件页面的请 求;在与用户信息关联的角色信息不具有访问所述文件页面的权限时,拒绝访问所述文件 页面;第二权限控制单元400,在第一权限控制单元300通过所述用户访问所述文件页 面的请求后,对用户访问所述文件中特定数据的请求进行权限检查,在与用户信息关联的 角色信息具有访问所述文件中特定数据的权限时,通过所述用户访问所述文件中特定数据 的请求;在与用户信息关联的角色信息不具有访问所述文件中特定数据的权限时,拒绝访 问所述文件中特定数据。参照图4所示,所述角色信息创建单元的一种实施例可以包括设置单元101,对特定文件设置相应的文件代码,对特定文件中特定数据设置相应 的数据对象代码;创建单元102,创建角色信息;第二关联单元103,将所创建的角色信息与所述文件代码、数据对象代码相关联。参照图5所示,所述第一权限控制单元的一种实施例可以包括第一解析单元301,解析用户信息,获得与所述用户信息关联的角色信息;第一比对单元302,将解析获得的角色信息与具有访问所述文件页面及文件中特 定数据的权限的角色信息进行一致性比对;第一执行单元303,在第一比对单元302的一致性比对结果显示比对信息一致时, 通过所述用户访问所述文件页面的请求,并将解析后的角色信息发送至第二权限控制单兀。继续参照图5所示,所述第二权限控制单元的一种实施例可以包括第二比对单元401,将第一执行单元303发送的解析获得的角色信息与具有访问 所述文件页面及文件中特定数据的权限的角色信息进行一致性比对;第二执行单元402,在第二比对单元401的一致性比对结果显示比对信息一致时, 通过所述用户访问所述文件中特定数据的请求,显示所述文件中的特定数据。7
上述数据权限控制系统中各单元的工作过程可参考前述数据权限控制方法的举 例说明,此处仅作概述性说明。在授权阶段,由设置单元101设置文件代码及数据对象代码,创建单元102创建角 色信息,并经由第二关联单元103将所创建的角色信息与所述文件代码、数据对象代码相 关联。再由第一关联单元200将角色信息与用户信息关联。在权限检查及操作控制阶段,由第一解析单元301解析用户信息,获得与提出访 问请求的用户信息关联的角色信息,通过第一比对单元302的一致性比对来确定用户是否 具有权限打开文件页面,在用户具有权限打开文件页面后,通过第一执行单元303将解析 获得的角色信息发送至第二比对单元401,通过第二比对单元401的一致性比对来最终确 定用户是否具有权限查看其想访问的数据,仅在用户具有查看该数据的权限时,才由第二 执行单元402显示该数据。虽然本发明已以较佳实施例披露如上,但本发明并非限定于此。任何本领域技术 人员,在不脱离本发明的精神和范围内,均可作各种更动与修改,因此本发明的保护范围应 当以权利要求所限定的范围为准。
权利要求
1.一种数据权限控制方法,其特征在于,包括创建具有访问特定文件页面及所述特定文件中特定数据权限的角色信息; 将所述角色信息与用户信息关联;对用户访问文件页面的请求进行权限检查,仅在与用户信息关联的角色信息具有访问 所述文件页面的权限时,通过所述用户访问所述文件页面的请求;在通过所述请求后,对用户访问所述文件中特定数据的请求进行权限检查,仅在与用 户信息关联的角色信息具有访问所述文件中特定数据的权限时,通过所述用户访问所述文 件中特定数据的请求。
2.如权利要求1所述的数据权限控制方法,其特征在于,对用户访问文件页面及/或文 件中特定数据的请求进行权限检查包括解析用户信息,获得与所述用户信息关联的角色信息;将解析获得的角色信息与具有访问所述文件页面及文件中特定数据的权限的角色信 息进行一致性比对,以确定所述用户信息关联的角色信息是否具有访问所述文件页面及/ 或文件中特定数据的权限。
3.如权利要求2所述的数据权限控制方法,其特征在于,还包括与用户信息关联的角 色信息与具有访问所述文件页面及文件中特定数据的权限的角色信息不一致时,确定所述 用户信息关联的角色信息不具有访问所述文件页面及文件中特定数据的权限,拒绝所述用 户访问所述文件页面的请求,并显示警告信息。
4.如权利要求1所述的数据权限控制方法,其特征在于,创建具有访问特定文件页面 及所述特定文件中特定数据权限的角色信息包括对特定文件设置相应的文件代码,对特定文件中特定数据设置相应的数据对象代码; 创建角色信息,将所创建的角色信息与所述文件代码、数据对象代码相关联。
5.一种数据权限控制系统,其特征在于,包括角色信息创建单元,创建具有访问特定文件页面及所述特定文件中特定数据权限的角 色信息;第一关联单元,将所述角色信息与用户信息关联;第一权限控制单元,对用户访问文件页面的请求进行权限检查,仅在与用户信息关联 的角色信息具有访问所述文件页面的权限时,通过所述用户访问所述文件页面的请求;第二权限控制单元,对具有访问所述文件页面权限的用户访问所述文件中特定数据的 请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件中特定数据的权限 时,通过所述用户访问所述文件中特定数据的请求。
6.如权利要求5所述的数据权限控制系统,其特征在于,所述角色信息创建单元包括 设置单元,对特定文件设置相应的文件代码,对特定文件中特定数据设置相应的数据对象代码;创建单元,创建角色信息;第二关联单元,将所创建的角色信息与所述文件代码、数据对象代码相关联。
7.如权利要求5所述的数据权限控制系统,其特征在于,第一权限控制单元包括 第一解析单元,解析用户信息,获得与所述用户信息关联的角色信息;第一比对单元,将解析获得的角色信息与具有访问所述文件页面及文件中特定数据的权限的角色信息进行一致性比对;第一执行单元,在第一比对单元的一致性比对结果显示比对信息一致时,通过所述用 户访问所述文件页面的请求,并将解析后的角色信息发送至第二权限控制单元。
8.如权利要求7所述的数据权限控制系统,其特征在于,第二权限控制单元包括第二比对单元,将第一执行单元发送的解析获得的角色信息与具有访问所述文件页面 及文件中特定数据的权限的角色信息进行一致性比对;第二执行单元,在第二比对单元的一致性比对结果显示比对信息一致时,通过所述用 户访问所述文件中特定数据的请求。
9.如权利要求5所述的数据权限控制系统,其特征在于,所述特定文件为报表,所述特 定文件中特定数据为报表中根据分类信息划分的数据。
10.如权利要求9所述的数据权限控制系统,其特征在于,所述分类信息包括公司信 息、工厂信息、分析指标中的一种或多种的组合。
全文摘要
一种数据权限控制方法及系统。所述数据权限控制方法包括创建具有访问特定文件页面及所述特定文件中特定数据权限的角色信息;将所述角色信息与用户信息关联;对用户访问文件页面的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件页面的权限时,通过所述用户访问所述文件页面的请求;在通过所述请求后,对用户访问所述文件中特定数据的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件中特定数据的权限时,通过所述用户访问所述文件中特定数据的请求。所述数据权限控制方法及系统提高了数据安全性。
文档编号G06F21/24GK102043930SQ20091020543
公开日2011年5月4日 申请日期2009年10月23日 优先权日2009年10月23日
发明者杨郁州 申请人:无锡华润上华半导体有限公司, 无锡华润上华科技有限公司