CN101231712A - 业务授权模型及其在具体业务应用中的设定方法 - Google Patents
业务授权模型及其在具体业务应用中的设定方法 Download PDFInfo
- Publication number
- CN101231712A CN101231712A CNA2007100367311A CN200710036731A CN101231712A CN 101231712 A CN101231712 A CN 101231712A CN A2007100367311 A CNA2007100367311 A CN A2007100367311A CN 200710036731 A CN200710036731 A CN 200710036731A CN 101231712 A CN101231712 A CN 101231712A
- Authority
- CN
- China
- Prior art keywords
- authorization
- business
- dimension
- mandate
- authorization object
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种业务授权模型及其在具体业务应用中的设定方法,可使具体业务实现一种多维度的动态细粒度业务授权模型,从而使其可满足应用需求的变化,适应应用系统需求的变化,具有良好的扩展能力。该授权模型包括:授权维度,用于对业务的授权主体进行动态划分;可授权对象及可授权对象行为,用于定义业务的授权客体;授权关系,用于将所述授权维度和所述可授权对象及可授权对象行为进行关联;业务范畴,用于对所述授权关系进行约束,得到最终的受业务范畴限制的授权关系。因此,相应的本发明还公开了一种在具体业务应用中设定所述授权模型的方法。
Description
技术领域
本发明涉及一种基于授权维度和业务范畴的业务授权模型,为此本发明还涉及一种所述业务授权模型在具体业务应用中的设定方法。
背景技术
随着ERP等各种为企业服务的信息应用系统所需处理的业务越来越复杂,对权限控制的要求也趋于复杂化。而传统的授权模型无法满足这种复杂的业务授权需要,主要表现在:第一,传统的授权模型在表达复杂的业务需求时存在明显不足,往往需要将角色、组织机构的管理功能与业务逻辑相结合,来间接的实现与业务相关的权限管理,而角色不是一个动态的概念,角色中的用户无法根据其在业务中的变化而自动变化;第二,传统的授权模型的表达能力不足,无法合理的灵活的定义应用系统中的可授权资源;第三,传统的授权模型无法满足企业应用授权需求的频繁变化,无法或者很难实现在应用系统权限已经规划好的基础上添加新的业务规则。
发明内容
本发明要解决的技术问题是提供一种业务授权模型,可对业务中的授权主体进行动态的细粒度的权限划分,还可细致的表达应用系统中的可授权资源,增加可授权对象类型和可授权对象行为来扩展模型的表达能力,满足应用需求的变化;可适应应用系统需求的变化,具有良好的扩展能力。为此本发明还提供一种本发明所述授权模型在具体业务中的设定方法。
为解决上述技术问题,本发明提供一种业务授权模型,包括:
授权维度,用于对业务的授权主体进行动态划分;
可授权对象及可授权对象行为,用于定义业务的授权客体,是权限的属主,其中每一个可授权对象具有一个类型即可授权对象类型,而对每一个可授权对象类型则可以定义一系列行为即可授权对象行为;
授权关系,用于将所述授权维度和所述可授权对象及可授权对象行为进行关联;
业务范畴,用于对所述授权关系进行约束,得到最终的受业务范畴限制的授权关系。
本发明还提供一种本发明所述业务授权模型在具体业务应用中的设定方法,包括以下步骤:
根据权限管理需求为应用系统合理划分授权维度;
为应用系统定义可授权对象类型;
为可授权对象类型定义可授权对象行为;
根据需求创建可授权对象;
关联授权维度、可授权对象和可授权对象行为得到授权关系;
定义限制类型;
根据需求和限制类型创建限制条件;
根据需求、授权关系和限制条件创建业务范畴;
将授权维度中的用户加入业务范畴。
本发明由于采用了上述技术方案,具有这样的有益效果,即第一,由于对授权主体的划分是通过授权维度动态完成的,授权维度的组合和多种授权维度的结合使用,因此在不增加应用系统开发工作量的前提下,得到了一种细粒度的权限划分,即提高了访问控制的粒度,从而方便了用户对系统进行权限规划,使得权限配置更为清晰方便,同时也提高了信息应用系统在业务上的安全性;第二,通过可授权对象和可授权对象行为,细致的表达了应用系统的可授权资源,也可以通过增加可授权对象类型和可授权对象行为来扩展模型的表达能力,满足应用的需求变化;第三,由于可以为授权关系定义业务范畴,从而为应用系统授权需求的变化做好了准备,通过配置业务范畴的限制来不断完善和适应新的业务授权规则,具有良好的扩展能力,从而可节省对系统进行进一步开发的时间,提高了用户的满意度。
附图说明
下面结合附图与具体实施方式对本发明作进一步详细的说明:
图1是本发明所述业务授权模型的结构框图;
图2是本发明所述业务授权模型的应用实现流程图。
具体实施方式
如图1所示为本发明所述业务授权模型的结构框图,包括:
授权维度,用于动态划分业务的授权主体。所述授权维度包括原子授权维度和组合授权维度两种类型,由于应用系统中所有的授权主体集合又可划分成两个不相交的集合,即属于集和不属于集。因此原子授权维度的属于集是所有属于该授权维度的授权主体组成的集合;不属于集是所有不属于该授权维度的授权主体组成的集合;组合授权维度是授权维度的组合,其属于集是该组合授权维度下所有授权维度的属于集的并集;不属于集是该组合授权维度下所有授权维度的不属于集的交集。原子授权维度可以看作一个单一条件的维度,其属于集和不属于集的划分条件是原子的。例如,在一个实施例中,根据某业务的权限管理需求可将授权维度分为:用户、群组、组织机构、岗位、操作、业务单元、业务单元岗位、机构级别、机构类型等,这些授权维度都是原子授权维度,不可再进行细分。而组合授权维度则为多个授权维度的组合,例如:机构级别类型可分为机构级别和机构类型的组合,机构级别类型岗位可分为机构级别、结构类型和岗位的组合,动态链接用户集合可分为任意授权维度的组合等。
可授权对象及可授权对象行为,用于定义业务的授权客体。所述可授权对象及可授权对象行为是权限的属主,其中每一个可授权对象具有一个类型即可授权对象类型,而对每一个可授权对象类型则可以定义一系列行为即可授权对象行为。例如,组织机构[组织机构管理、子组织机构管理、组织机构人员管理],即可授权对象类型为组织机构,而该可授权对象的可授权行为包括:“组织机构管理”、“子组织机构管理”和“组织机构人员管理”。又如,应用系统[应用系统管理、子应用系统管理、子资源管理],指可授权对象类型为应用系统,其可授权行为包括:“应用系统管理”、“子应用系统管理”和“子资源管理”;资源[资源管理、资源访问、子元素管理],指可授权对象类型为资源,其可授权行为包括:“资源管理”、“资源访问”和“子元素管理”;元素[元素管理、元素访问],指可授权对象类型为元素,其可授权行为包括:“元素管理”和“元素访问”。
授权关系,用于将所述授权维度和所述可授权对象及可授权对象行为进行关联。所述授权关系可用一个三元组(D,A,B)来表示,其中D表示授权维度,A表示可授权对象的实例,B表示可授权对象行为。如果存在三元组(D,A,B)就表示任何属于授权维度D的授权主体s,s具有对可授权对象A进行可授权对象行为B的权限。
业务范畴,用于对所述授权关系进行约束,得到最终的受业务范畴限制的授权关系,可用三元组(AR,C,S)表示,其中AR表示一个授权关系,C表示一个限制条件,S表示受限制的授权主体集合。S必须是AR中的授权维度的属于集的子集。其中限制条件C可以是1、原子限制条件;2、多个原子限制条件间“与”的逻辑关系;3、多个原子限制条件间“或”的逻辑关系,其中所述原子限制条件可用一个三元组(T,P,V)来表示,其中T是一个限制类型,P是比较方法,V是限制值。限制类型可以是:集合,整数、数字,字符串,日期等。
因此综上所述,一个受业务范畴限制的授权关系可用一个四元组(D,A,B,BR)来表示,其中D表示授权维度、A表示可授权对象的实例、B表示可授权对象行为、BR表示业务范畴。因此如果存在四元组(D,A,B,BR),就表示任何属于授权维度D的授权主体s,如过s满足业务范畴BR的限制条件,那么s具有对可授权对象A进行可授权对象行为B的权限。
下面通过一个具体的实施例来说明本发明所述业务授权模型在具体业务中的设定方法,其流程图如图2所示:
(1)根据权限管理需求为应用系统合理划分授权维度。例如,根据需求创建用户、组织机构、岗位,将岗位关联到组织机构形成业务单元岗位等。其中,创建用户:张三、李四、王五、赵六;创建组织机构:总公司、总公司->南京分公司、总公司->武汉分公司;创建岗位:采购员;配置业务单元岗位:南京分公司采购员、武汉分公司采购员;用户配置:张三、李四加入到南京分公司采购员岗位,王五、赵六加入到武汉分公司采购员岗位。
(2)为应用系统定义可授权对象类型,如创建可授权对象类型为“合同”。
(3)为可授权对象类型定义可授权对象行为,如创建可授权对象行为是“查阅”,这样可授权对象行为可描述为合同[合同查阅]。
(4)根据需求创建可授权对象。如,创建实际的可授权对象的实例为:南京分公司采购合同,武汉分公司采购合同。
(5)关联授权维度、可授权对象和可授权对象行为得到授权关系,例如将某个组织机构、资源、资源的访问关联,在本例中关联如下授权关系:其(D,A,B)三元组的形式为(南京分公司采购员,南京分公司采购合同,查阅)的授权关系AR1,即指南京分公司的采购员具有对南京分公司采购合同的查阅权限;和(D,A,B)三元组为(武汉分公司采购员,武汉分公司采购合同,查阅)的授权关系AR2,即指武汉分公司的采购员具有对武汉分公司采购合同的查阅权限。
(6)合理定义限制类型T,如金额(整数类型)、矿石类型(集合类型)、可选范围:铁矿石、铜矿石、镍矿石等。
(7)根据需求和限制类型创建限制条件,如(T,P,V)三元组描述为(金额,小于等于,100万)的限制条件C1,即指金额不超过100万(小于等于100万)或(T,P,V)三元组描述为(矿石类型,等于,铁矿石)的限制条件C2,即指矿石类型是铁矿石(类型等于,铁矿石)。
(8)根据需求、授权关系和限制条件创建业务范畴,如(AR,C,S)三元组描述为(AR1,C1,南京分公司采购员)的业务范畴BR1,即指对“南京分公司的采购员具有对南京分公司采购合同的查阅权限”施加金额不超过100万的业务范畴;及(AR,C,S)三元组描述为(AR2,C2,武汉分公司采购员)的业务范畴BR2,即指对“武汉分公司的采购员具有对武汉分公司采购合同的查阅权限”施加矿石类型是铁矿石的业务范畴。
(9)将授权维度中的用户加入业务范畴,如将张三加入(D,A,B,BR)四元组描述为(南京分公司采购员,南京分公司采购合同,查阅,BR1)的受业务范畴限制的授权关系中,即指将张三加入金额不超过100万的业务范畴;将王五加入(D,A,B,BR)四元组描述为(武汉分公司采购员,南京分公司采购合同,查阅,BR2)的受业务范畴限制的授权关系中,即指将王五加入矿石类型是铁矿石的业务范畴。这样张三,李四都有对南京分公司采购合同的查阅权限,但是张三查阅的合同金额不能超过100万,李四没有金额的限制;王五,赵六都有对武汉分公司采购合同的查阅权限,但是王五只能查阅采购铁矿石的合同,赵六没有采购矿石类型的限制。
通过上面的描述可知,本发明所述业务授权模型,通过使用授权维度对授权主体进行动态划分,使用可授权对象及可授权对象行为对授权客体进行定义,使用业务范畴对授权关系施加约束,因此实现了一种多维度的动态细粒度业务授权模型。
Claims (10)
1.一种业务授权模型,其特征在于,包括:
授权维度,用于对业务的授权主体进行动态划分;
可授权对象及可授权对象行为,用于定义业务的授权客体,是权限的属主,其中每一个可授权对象具有一个类型即可授权对象类型,而对每一个可授权对象类型则可以定义一系列行为即可授权对象行为;
授权关系,用于将所述授权维度和所述可授权对象及可授权对象行为进行关联;
业务范畴,用于对所述授权关系进行约束,得到最终的受业务范畴限制的授权关系。
2.根据权利要求1所述的业务授权模型,其特征在于,所述授权维度包括原子授权维度和组合授权维度两种类型;其中所述原子授权维度为单一条件的维度,不可再进行细分;而所述组合授权维度则是多个授权维度的组合。
3.根据权利要求1或2所述的业务授权模型,其特征在于,所述授权维度包括又可划分成属于集和不属于集两个不相交的集合。
4.根据权利要求1所述的业务授权模型,其特征在于,所述授权关系用三元组(D,A,B)表示,其中D表示授权维度,A表示可授权对象的实例,B表示可授权对象行为。
5.根据权利要求1所述的业务授权模型,其特征在于,所述业务范畴用三元组(AR,C,S)表示,其中AR表示一个授权关系,C表示一个限制条件,S表示受限制的授权主体集合,其中S必须是AR中的授权维度的属于集的子集。
6.根据权利要求5所述的业务授权模型,其特征在于,所述限制条件为原子限制条件、多个原子限制条件间“与”的逻辑关系或多个原子限制条件间“或”的逻辑关系。
7.根据权利要求6所述的业务授权模型,其特征在于,所述原子限制条件用三元组(T,P,V)表示,其中T是一个限制类型,P是比较方法,V是限制值。
8.根据权利要求7所述的业务授权模型,其特征在于,所述限制类型至少包括集合,整数、数字,字符串,日期。
9.根据权利要求1所述业务授权模型,其特征在于,当所述授权关系受所述业务范畴约束时用四元组(D,A,B,BR)表示,其中D表示授权维度、A表示可授权对象的实例、B表示可授权对象行为、BR表示业务范畴。
10.一种权利要求1所述业务授权模型在具体业务应用中的设定方法,其特征在于,包括以下步骤:
根据权限管理需求为应用系统合理划分授权维度;
为应用系统定义可授权对象类型;
为可授权对象类型定义可授权对象行为;
根据需求创建可授权对象;
关联授权维度、可授权对象和可授权对象行为得到授权关系;
定义限制类型;
根据需求和限制类型创建限制条件;
根据需求、授权关系和限制条件创建业务范畴;
将授权维度中的用户加入业务范畴。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007100367311A CN101231712A (zh) | 2007-01-23 | 2007-01-23 | 业务授权模型及其在具体业务应用中的设定方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007100367311A CN101231712A (zh) | 2007-01-23 | 2007-01-23 | 业务授权模型及其在具体业务应用中的设定方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101231712A true CN101231712A (zh) | 2008-07-30 |
Family
ID=39898167
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007100367311A Pending CN101231712A (zh) | 2007-01-23 | 2007-01-23 | 业务授权模型及其在具体业务应用中的设定方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101231712A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105408912A (zh) * | 2013-06-24 | 2016-03-16 | 微软技术许可有限责任公司 | 处理认证和资源许可 |
-
2007
- 2007-01-23 CN CNA2007100367311A patent/CN101231712A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105408912A (zh) * | 2013-06-24 | 2016-03-16 | 微软技术许可有限责任公司 | 处理认证和资源许可 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102236659B (zh) | 使用复杂条件从数据源进行数据过滤的方法和系统 | |
| CN104346663A (zh) | 一种基于工作流的合同审批方法 | |
| CN107644317A (zh) | 一种基于多层次双向流转控制的业务引擎 | |
| Colangelo et al. | Ds decays to η and η′ final states: a phenomenological analysis | |
| Serrano et al. | Axiomatizations of neoclassical concepts for economies | |
| CN101231712A (zh) | 业务授权模型及其在具体业务应用中的设定方法 | |
| CN102629264A (zh) | 一种在异构数据库系统中实现数据共享并生成财务凭证的方法 | |
| Chen et al. | Inter-basin water transfer green supply chain coordination with partial backlogging under random precipitation | |
| CN106327273A (zh) | 一种基于sts的预付费售电系统和方法 | |
| Zeng et al. | On robust approximate optimal solutions for fractional semi-infinite optimization with uncertainty data | |
| Wei et al. | Sharing Economy for Cost Reduction and Efficiency Increase: The Case of Sharing E‐Commerce Logistics | |
| Liao | Perspective on supply chain management for construction engineering management risk prevention | |
| Nathan | Governance types and employment systems | |
| CN114723212A (zh) | 一种基于虚拟电厂区块链的信息安全和数据互操作方法 | |
| CN103440533B (zh) | 一种云制造模式下作业车间非瓶颈资源能力的界定方法 | |
| CN105741195A (zh) | 基于扁平化功能事务的云服务平台设计方法 | |
| CN111815303A (zh) | 数据文件流转的审批系统 | |
| Yang et al. | The Impact of Dual-Fairness Concerns Under Different Power: Structures on Green-Supply-Chain Decisions | |
| Liu | Application and optimization of project management in the process of construction engineering management | |
| Wang | Establishment of fusion model of financial accounting and management accounting based on cloud computing technology | |
| Lin et al. | Design and Application of Customer Services Business Middle Platform for Opening Service Capabilities of Electric Power Marketing | |
| Ulbricht et al. | Rethinking energy data management: trends and challenges in today's transforming markets | |
| Deng et al. | Organizational coordination theory and its application in virtual enterprise | |
| Ji et al. | Research on Production and Management Optimization of Assembled Prefabricated Component Enterprises Based on TOC Theory | |
| CN106204345A (zh) | 基于配置信息的服务交互过程模型的优化方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20080730 |