一种基于黑白名单组合的海量数据权限控制策略的制作方法
【专利摘要】本发明涉及一种基于黑白名单组合的海量数据权限控制策略,首先,服务器预先存储组织机构表、用户访问权限表和资源信息表,用户访问权限表设置为多级资源组结构,分为增权限和减权限,对该条资源具有权限为增权限,否则为减权限;当用户在客户端登录时,客户端将用户输入的账号和密码发送至服务器进行验证;若验证通过,则在用户访问权限表中对用户权限进行查询,生成黑白名单,黑名单对应减权限,白名单对应增权限;根据黑白名单获取用户的资源权限并加载相应的资源。对于数量在数万个级别的资源,使用本策略时权限表数据量大幅降低;当新资源加入时,只需将该资源加入资源组,无需变更权限表就可以对任何资源进行授权,灵活的管理用户权限。
【专利说明】一种基于黑白名单组合的海量数据权限控制策略
【技术领域】
[0001] 本发明涉及数据访问权限管理【技术领域】,尤其是一种基于黑白名单组合的海量数 据权限控制策略。
【背景技术】
[0002] 随着计算机技术的发展,智慧城市、平安城市已经广泛的在城市管理中应用。在平 安城市的建设中,产生了大量的网络信息资源,如何妥善地管理和使用这些资源成为研究 的热点问题。
[0003] 在国内外传统的权限管理策略中,采用的是通过直接向用户添加资源的方式,如 图1所示,或者通过资源组授权给用户,如图2所示。前者采用用户与资源对应的权限管理 策略的优点在于权限管理比较灵活,但是对于监控摄像头这种数量在数万个级别的资源, 使用该策略会导致权限表庞大,并且在进行权限校对时效率低下;而后者虽然解决了数据 量大的问题,但是该方法权限管理粒度太大,不便于权限的微调,灵活性较差。
【发明内容】
[0004] 本发明的目的在于提供一种在针对海量资源的权限控制时,既能缩小权限表的数 据量,又能灵活的管理权限,以最小的数据存储量、最高的效率实现最灵活的权限管理方法 的基于黑白名单组合的海量数据权限控制策略。
[0005] 为实现上述目的,本发明采用了以下技术方案:一种基于黑白名单组合的海量数 据权限控制策略,该策略包括下列顺序的步骤: (1) 服务器预先存储组织机构表、用户访问权限表和资源信息表,用户访问权限表设置 为多级资源组结构,且分为增权限和减权限,对该条资源具有权限则称为增权限,否则称为 减权限; (2) 当用户在客户端登录时,客户端将用户输入的账号和密码发送至服务器进行验 证; (3) 若服务器验证通过,则在用户访问权限表中对用户权限进行查询,生成黑白名单, 其中黑名单对应减权限,白名单对应增权限; (4) 根据黑白名单获取用户的资源权限并加载相应的资源。
[0006] 所述组织机构表包括组织机构ID、父机构ID和机构名称,父机构ID是组织机构 ID的上一级;所述用户访问权限表包括用户ID、资源类型、资源编号以及增/减权限,所述 资源类型分为资源组和单个资源两种,当资源类型为资源组时,所述资源编号为机构ID,当 资源类型为单个资源时,所述资源编号为该资源的ID,每条权限记录区分增权限和减权限。
[0007] 所述用户访问权限表的每条记录了给一个用户添加或删除对某个资源组下的资 源的访问权限,或者是对具体某一个资源的访问权限,是资源组还是单个资源由资源类型 决定,其中,资源组是分级别的,并采取向上兼容的方式,即上级机构具有对其下级机构的 资源权限;在修改用户权限时,先查询用户访问权限表,若已有对该资源的权限设置,则提 醒用户是否覆盖该条记录。
[0008] 在生成黑白名单时,采用自上而下的方式,对于每一级资源组,先将该用户下所有 增权限项所对应的资源加入,然后从中删除减权限的资源。
[0009] 对于不同级别的用户权限若有互相矛盾的情况,采取低级别的分组权限。
[0010] 在业务系统调用资源时或者加载资源时,将黑白名单所对应的用户权限转化为单 个资源的描述形式。
[0011] 由上述技术方案可知,对于监控摄像头这种数量在数万个级别的资源,使用本策 略时权限表数据量大幅降低;当新资源加入时,如新增视频监控点,只需将该资源加入资源 组,无需变更权限表,就可以对任何资源进行授权,并且可以灵活的管理用户权限。总之,本 发明结合了用户与资源对应以及用户与资源组对应的权限管理策略的优点,既能缩小权限 表的数据量,又能灵活的管理权限,以最小的数据存储量、最高的效率实现最灵活的权限管 理。
【专利附图】
【附图说明】
[0012] 图1为现有的用户与资源对应的权限控制方法示意图。
[0013] 图2为现有的用户与资源组对应的权限控制方法示意图。
[0014] 图3为本发明的权限控制策略示意图。
[0015] 图4为本发明实施例中的组织机构图。
[0016] 图5 (a)、5 (b)、5 (c)、5 (d)均为本发明实施例中的黑白名单图。
【具体实施方式】
[0017] 一种基于黑白名单组合的海量数据权限控制策略,包括:首先,服务器预先存储组 织机构表、用户访问权限表和资源信息表,用户访问权限表设置为多级资源组结构,且分为 增权限和减权限,对该条资源具有权限则称为增权限,否则称为减权限;其次,当用户在客 户端登录时,客户端将用户输入的账号和密码发送至服务器进行验证;再次,若服务器验 证通过,则在用户访问权限表中对用户权限进行查询,生成黑白名单,其中黑名单对应减权 限,白名单对应增权限;最后,验证通过后,用户在客户端登录成功,根据黑白名单获取用户 的资源权限并加载相应的资源,如图3、4、5所示。本发明采用向用户授予资源组或者单个 资源的增权限或减权限的方式进行权限控制,图3中正号对应增权限,负号对应减权限。
[0018] 如图4所示,所述组织机构表包括组织机构ID、父机构ID和机构名称,父机构ID 是组织机构ID的上一级,在本实施例中,组织机构表如表一所示:
【权利要求】
1. 一种基于黑白名单组合的海量数据权限控制策略,其特征在于,该策略包括下列顺 序的步骤: (1) 服务器预先存储组织机构表、用户访问权限表和资源信息表,用户访问权限表设置 为多级资源组结构,且分为增权限和减权限,对该条资源具有权限则称为增权限,否则称为 减权限; (2) 当用户在客户端登录时,客户端将用户输入的账号和密码发送至服务器进行验 证; (3) 若服务器验证通过,则在用户访问权限表中对用户权限进行查询,生成黑白名单, 其中黑名单对应减权限,白名单对应增权限; (4) 根据黑白名单获取用户的资源权限并加载相应的资源。
2. 根据权利要求1所述的基于黑白名单组合的海量数据权限控制策略,其特征在于: 所述组织机构表包括组织机构ID、父机构ID和机构名称,父机构ID是组织机构ID的上一 级;所述用户访问权限表包括用户ID、资源类型、资源编号以及增/减权限,所述资源类型 分为资源组和单个资源两种,当资源类型为资源组时,所述资源编号为机构ID,当资源类型 为单个资源时,所述资源编号为该资源的ID,每条权限记录区分增权限和减权限。
3. 根据权利要求1所述的基于黑白名单组合的海量数据权限控制策略,其特征在于: 所述用户访问权限表的每条记录了给一个用户添加或删除对某个资源组下的资源的访问 权限,或者是对具体某一个资源的访问权限,是资源组还是单个资源由资源类型决定,其 中,资源组是分级别的,并采取向上兼容的方式,即上级机构具有对其下级机构的资源权 限。
4. 根据权利要求1所述的基于黑白名单组合的海量数据权限控制策略,其特征在于: 在修改用户权限时,先查询用户访问权限表,若已有对该资源的权限设置,则提醒用户是否 覆盖该条记录。
5. 根据权利要求1所述的基于黑白名单组合的海量数据权限控制策略,其特征在于: 在生成黑白名单时,采用自上而下的方式,对于每一级资源组,先将该用户下所有增权限项 所对应的资源加入,然后从中删除减权限的资源。
6. 根据权利要求1所述的基于黑白名单组合的海量数据权限控制策略,其特征在于: 对于不同级别的用户权限若有互相矛盾的情况,采取低级别的分组权限。
7. 根据权利要求1所述的基于黑白名单组合的海量数据权限控制策略,其特征在于: 在业务系统调用资源时或者加载资源时,将黑白名单所对应的用户权限转化为单个资源的 描述形式。
【文档编号】H04L29/06GK104333553SQ201410630147
【公开日】2015年2月4日 申请日期:2014年11月11日 优先权日:2014年11月11日
【发明者】范联伟, 周春寅, 王汉林, 王佐成, 余保华, 王卫 申请人:安徽四创电子股份有限公司