专利名称:一种解决权限管理中访问控制的方法
技术领域:
本发明涉及一种计算机应用技术,具体地说是一种解决权限管理中访问控制 的方法。
背景技术:
信息是一种资产,同其他重要的商业资产一样,它对一个组织而言具有一定 价值,因而需要适当地保护,即信息安全的问题。信息安全可以通过实施一整套 的控制措施达到。这些控制措施可能是策略、做法、程序、组织结构或者软件功 能,建立这些控制措施以确保实现该机构特殊的安全目标。
访问控制是信息安全的核心策略之一,它的任务通过限制资源的访问,防止 非法用户的侵入或合法用户的不慎操作而造成的破坏,从而保证系统资源的合法 使用。访问控制的核心是授权策略,即为了限制访问主体(用户、进程、服务等) 对访问客体(文件、系统等)的访问权限,从而使计算机系统在合法范围内使用;
决定用户能做什么,也决定代表一定用户利益的程序能做什么。传统访问控制策 略一般有三种自主型访问控制方法、强制型访问控制方法和基于角色的访问控
制方法(RBAC),但三者都不能满足在当前B/S环境下对于资源多样性、多层次 特点而带来的访问控制问题。针对B/S环境下资源的复杂性,我们在基于RBAC访 问控制的模型上进行了扩展,制定了一种便于资源管理的访问控制模型。
发明内容
本发明的目的是在基于RBAC访问控制的模型上深化了资源的管理及使用,实 现了资源在系统、模块、功能、数据等细粒度上的安全访问控制。
该方法基于RBAC模型访问控制技术,将资源细粒度化分为功能资源和数据资 源,达到对资源的统一管理和授权;功能资源管理按系统、模块、功能、资源进 行了分层设计和实现,数据资源类型管理从业务角度来对访问的敏感业务数据进 行灵活定义和管理;最终再通过用户 一角色_功能资源权限模式来完成操作页面 的授权和用户一数据资源权限模式完成对数据的授权,具体实施步骤如下-
1、梳理业务需求,凡是涉及到"谁"对"什么"进行了 "什么操作"的业务 统一作为功能资源来处理,在功能资源管理里面进行注册,对于跨系统进行访问 并需要纳入权限统一管理的,即系统集成,通过添加系统来完成资源注册,2、 然后再分模块、功能、资源依次添加来完成功能资源的管理;
3、 对于"谁"访问"什么资源"中的"什么数据"的业务从数据资源类型管 理中进行注册,来达到对数据的记录集控制;
4、 分离角色。互斥或不相容角色、继承角色定义,给角色按系统、模块、功 能、资源添加操作权限;
5根据用户在社会中扮演的角色来分配适合的角色以及要访问的数据。 本发明的有益效果是将资源细粒度化分为功能资源和数据资源,达到对资源 的统一管理和授权;功能资源管理按系统、模块、功能、资源进行了分层设计和 实现,数据资源类型管理从业务角度来对访问的敏感业务数据进行灵活定义和管 理;最终再通过用户—角色一功能资源权限模式来完成操作页面的授权和用户一 数据资源权限模式完成对数据的授权,实现了资源在系统、模块、功能、数据级 等细粒度上的安全访问控制,有效的丰富了权限管理内涵,加大了权限控制力度, 延长了管理半径,提高了管理的方面性。
附图1为功能资源管理的分层树形结构图; 附图2为权限管理访问控制的业务流程图。
具体实施例方式
参照附图对本发明的方法作以下详细的说明-
本发明的方法是通过对资源的分类明确了用户权限控制的范围;对功能资源 进行分层为用户授权管理提供了方便快捷。
例如某个角色具备用户管理的权限,而这个用户管理功能可能要对应六七个 相关的操作,这种情况下在权限设置管理界面里面初始化某角色的权限,则是一 件非常累人的事情,为了给一个角色增加一个功能权限,需要你分别设置六七个
操作的权限。
针对这种情况,我们模型在操作前添加了功能、模块的概念,用户授权时只 需要将上述六七个操作所在的模块设置一下就可以。
资源在我们模型中分为功能性资源和数据性资源,他们的含义分别为
功能资源用户与业务系统进行交流, 一般是面向服务的,即业务系统会把 服务抽象成一个个功能点暴露给用户,功能权限实际上就是决定用户能否使用系 统提供的功能点的问题,即"'谁,对'什么资源'进行M十么操作'".这里 的功能点就是对应的功能资源。
数据资源基于用户的权限控制而言的,即""谁'访问(什么资源'当中
5的'哪些资源7 "。例如分论坛A的版主与分论坛B的版主拥有同样的角色"版 主",即他们的功能权限是一致的,但A版主只能管理A论坛的帖子,B版主只能
管理B论坛的帖子,这时,RBAC就不能解决这类权限问题。这里的帖子就是数据 资源。
功能资源管理是对功能资源进行维护的模块,对功能资源按系统、模块、功能、 资源进行了四级分层处理,见附图1,协同办公和人力资源系统是系统级的,权限管 理和组织结构是模块级的,角色和用户是功能级的,增加和删除角色是资源级的。
数据资源可以按记录级即行级和列级来进行访问控制。
行级数据进行权限控制,是指具有不同权限的用户对相同表中同一字段对应 的不同记录具有不同的权限。即用户对表的某个字段对应的数据一部分可访问, 另一部分不能访问。对于哪些数据可以访问,哪些不能访问,通过具体的用户数 据权限授权来实现。
数据资源类型管理是对数据资源行级访问进行维护的模块。可以通过指定数 据来源和过滤条件,比如在订单表中查询符合订单日期大于2008的订单号,然后 进行记录级访问。
列级数据进行权限控制,是指针对某表中部分字段,只有被授权的用户才能访 问,未被授权的用户不能访问这些字段。
通过在功能权限的基础上来指定要进行权限控制的字段,然后对用户进行授权。
最后,用户针对功能权限按照RBAC模型进行用户-角色-资源的授权处理,对 于数据资源权限是通过直接给用户授权来完成。
权利要求
1、一种解决权限管理中访问控制的方法,其特征在于,该方法基于RBAC模型访问控制技术,包括1)将资源细粒度化分为功能资源和数据资源,达到对资源的统一管理和授权;2)功能资源管理按系统、模块、功能、资源进行了分层设计和实现,数据资源类型管理从业务角度来对访问的敏感业务数据进行灵活定义和管理;3)最终再通过用户—角色—功能资源权限模式来完成操作页面的授权和用户—数据资源权限模式完成对数据的授权,具体实施步骤如下第一步梳理业务需求,凡是涉及到“谁”对“什么”进行了“什么操作”的业务统一作为功能资源来处理,在功能资源管理里面进行注册,对于跨系统进行访问并需要纳入权限统一管理的,即系统集成,通过添加系统来完成资源注册,然后再分模块、功能、资源依次添加来完成功能资源的管理;第二步对于“谁”访问“什么资源”中的“什么数据”的业务从数据资源类型管理中进行注册,来达到对数据的记录集控制;第三步分离角色,互斥或不相容角色、继承角色定义,给角色按系统、模块、功能、资源添加操作权限;第四步根据用户在社会中扮演的角色来分配适合的角色以及要访问的数据。
2、 根据权利要求1所述的方法,其特征在于,功能资源管理是对功能资源进行维护的模块,对功能资源按系统、模块、功能、资源进行了四级分层处理,协同 办公和人力资源系统是系统级的,权限管理和组织结构是模块级的,.角色和用户 是功能级的,增加和删除角色是资源级的。
3、 根据权利要求2所述的方法,其特征在于,数据资源可以按记录级即行级 和列级来进行访问控制。
4、 根据权利要求2所述的方法,其特征在于,行级数据进行权限控制,是指 具有不同权限的用户对相同表中同一字段对应的不同记录具有不同的权限,即用 户对表的某个字段对应的数据的访问,是通过具体的用户数据权限授权来实现。
5、 根据权利要求2所述的方法,其特征在于,数据资源类型管理是对数据资 源行级访问进行维护的模块,通过指定数据来源和过滤条件,然后进行记录级访 问。 一
6、 根据权利要求2所述的方法,其特征在于,列级数据进行权限控制,是指 针对某表中部分字段,只有被授权的用户才能访问,未被授权的用户不能访问这些字段,通过在功能权限的基础上来指定要进行权限控制的字段,然后对用户进行 授权。
7、根据权利要求1所述的方法,其特征在于,用户针对功能权限按照RBAC 模型进行用户-角色-资源的授权处理,对于数据资源权限是通过直接给用户授权 来完成。
全文摘要
本发明提供一种解决权限管理中访问控制的方法,该方法基于RBAC模型访问控制技术,将资源细粒度化分为功能资源和数据资源,达到对资源的统一管理和授权;功能资源管理按系统、模块、功能、资源进行了分层设计和实现,数据资源类型管理从业务角度来对访问的敏感业务数据进行灵活定义和管理;最终再通过用户—角色—功能资源权限模式来完成操作页面的授权和用户—数据资源权限模式完成对数据的授权,实现了资源在系统、模块、功能、数据级等细粒度上的安全访问控制,有效的丰富了权限管理内涵,加大了权限控制力度,延长了管理半径,提高了管理的方面性。
文档编号H04L29/06GK101478536SQ200810238120
公开日2009年7月8日 申请日期2008年12月8日 优先权日2008年12月8日
发明者晖 张, 娟 李, 郑婷婷, 静 阮, 高浩文 申请人:山东浪潮齐鲁软件产业股份有限公司