本发明涉及权限管理技术领域,具体涉及一种门禁权限管理系统。
背景技术:
I T信息系统是一个复杂的人机交互系统,其中每个具体环节都可能受到安全威胁。构建强健的权限管理系统,保证信息系统的安全性是十分重要的。访问控制是针对越权使用资源的防御措施。基本目标是为了限制访问主体(用户、进程、服务等)对访问客体(文件、系统等)的访问权限,从而使计算机系统在合法范围内使用。访问控制策略一般有三种:自主型访问控制方法、强制型访问控制方法和基于角色的访问控制方法(RBAC)(Role-Based Access Control,是指基于角色的访问控制)。其中,自主式和强制式二者工作量大,不便于管理。基于角色的访问控制方法是在用户和权限之间加入角色的概念,通过为角色分配权限,并为用户分配角色,实现用户授权,达到了用户与权限的分离的目的,该方法是目前公认的解决大型企业的统一资源访问控制的有效方法。其显著的两大特征是:1.减小授权管理的复杂性,降低管理开销;2.灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。
权限一般分为功能权限和数据权限,功能权限主要是指主体对某个业务所具有的读、写、查、改等的许可,在应用系统中往往表现在窗体的实现与否、菜单项是否出现、功能按钮是否可用等方面。数据权限主要是对主体控制资源的范围,通过对相应角色控制的数据范围的定义,达到系统数据在组织颗粒度(组织颗粒度是数据的分类及数据范围的大小,例如数据分类可以分为一般数据和保密数据,数据范围大小可以分为单项业务数据范围和多项业务数据范围)的区分。目前基于RBAC的权限管理办法多是侧重于功能权限的控制,对数据权限的控制实现还不够灵活或者太过复杂,从而导致权限的配置和管理过程复杂,增加了用户使用的难度。
技术实现要素:
本发明的目的是提供一种门禁权限管理系统,所要解决的技术问题是:目前基于RBAC的权限管理办法多是侧重于功能权限的控制,对数据权限的控制实现还不够灵活或者太过复杂,从而导致权限的配置和管理过程复杂,增加了用户使用的难度。
本发明解决上述技术问题的技术方案如下:一种基于RBAC的权限管理装置,包括用户单元、会话单元、角色单元、管理员单元和功能权限单元;
所述用户单元分别与会话单元和角色单元连接,向会话单元传递用户的会话数据,接收角色单元发送的角色配置(角色配置是指向指定组织或用户授予在权限管理装置中对某个业务所具有的读、写、查、改等的许可及主体控制资源的范围),用户单元用于登陆权限管理装置对应的权限系统,进行身份资料(身份资料包括关于用户的出生日期、地点、身体状况、公司职位等信息)记录,发送会话数据和接收角色配置;
所述会话单元与角色单元连接,接收用户单元的会话数据,并向角色单元发送激活角色数据(激活角色数据是指给用户配置角色的信息,配置角色的信息,主要指承载配置角色的信号),用于通过会话进程与用户交互,确定用户身份,激活用户角色(用户角色是指用户在系统中具有对某个业务所具有的读、写、查、改等的许可及主体控制资源的范围的权限);
所述角色单元分别与管理员单元、功能权限单元和门禁卡单元连接,并分别向管理员单元、功能权限单元发送访问请求,用于根据会话结果分配用户角色(根据会话单元对用户的身份确认后,向用户分配增加、修改、删除作业任务的权限),以及确定的用户身份与所述用户所属角色之间的对应关系;
所述管理员单元,用于根据用户角色对用户发送的访问请求人工识别,并将识别结果推送至外部接收单元;
所述功能权限单元,用于根据用户角色对用户发送的访问请求识别,向用户分配功能权限,对操作各个业务对应的应用程序权限进行控制;
所述门禁卡单元与角色单元连接,用于根据用户角色对用户发送的访问请求识别,向用户分配门禁权限,对用户的门禁权限进行控制。
进一步,所述功能权限单元包括模块和组织,所述操作是向用户分配包括增加、删除、修改、查询各业务流程应用模块的权限分配单元,所述模块为各个业务流程的应用模块。
本发明的有益效果是:通过功能权限单元分别向用户授权,从而将系统的具体数据范围的操作权限和操作各个业务对应的应用程序的权限分离,简化了权限配置过程,对于权限配置的范围和层次更有针对性,灵活地支持了系统的安全策略,并对系统的变化有很大的伸缩性,从而提高系统运作效率;门禁卡单元根据用户角色对用户发送的访问请求识别,向用户分配门禁权限,便于对用户进行门禁权限管理;通过管理员单元进行识别和审核,能对外部推送角色分配信息,便于用户了解;功能权限分配过程采用“模块+操作”组成一个功能单元来进行功能权限的分配,使权限配置和执行过程更加灵活、简便。
附图说明
图1为本发明一种门禁权限管理系统结构图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,一种门禁权限管理系统,包括用户单元、会话单元、角色单元、管理员单元、功能权限单元和门禁卡单元;
所述用户单元分别与会话单元和角色单元连接,向会话单元传递用户的会话数据,接收角色单元发送的角色配置,用户单元用于登陆权限管理装置,进行身份资料录入;
所述会话单元与角色单元连接,接收用户单元的会话数据,并向角色单元发送激活角色数据,用于通过会话进程与用户交互,激活用户角色;
所述角色单元分别与管理员单元、功能权限单元和门禁卡单元连接,并分别向管理员单元、功能权限单元和角色单元发送访问请求,用于根据会话结果分配用户角色,以及确定的用户身份与所述用户所属角色之间的对应关系;
所述管理员单元,用于根据用户角色对用户发送的访问请求人工识别,并将识别结果推送至外部接收单元;
所述功能权限单元,用于根据用户角色对用户发送的访问请求识别,向用户分配功能权限,对操作各个业务对应的应用模块的访问和操作权限进行控制;
所述门禁卡单元与角色单元连接,用于根据用户角色对用户发送的访问请求识别,向用户分配门禁权限,对用户的门禁权限进行控制。
所述功能权限单元包括模块和组织,所述操作是向用户分配包括增加、删除、修改、查询各业务流程应用模块的权限分配单元,所述模块为各个业务流程的应用模块。
通过功能权限单元分别向用户授权,从而将系统的具体数据范围的操作权限和操作各个业务对应的应用程序的权限分离,简化了权限配置过程,对于权限配置的范围和层次更有针对性,灵活地支持了系统的安全策略,并对系统的变化有很大的伸缩性,从而提高系统运作效率;门禁卡单元根据用户角色对用户发送的访问请求识别,向用户分配门禁权限,便于对用户进行门禁权限管理;通过管理员单元进行识别和审核,能对外部推送角色分配信息,便于用户了解;功能权限分配过程采用“模块+操作”组成一个功能单元来进行功能权限的分配,使权限配置和执行过程更加灵活、简便。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。