CN101547117B - 充分体现“分级分权”的安全框架 - Google Patents
充分体现“分级分权”的安全框架 Download PDFInfo
- Publication number
- CN101547117B CN101547117B CN2009100151049A CN200910015104A CN101547117B CN 101547117 B CN101547117 B CN 101547117B CN 2009100151049 A CN2009100151049 A CN 2009100151049A CN 200910015104 A CN200910015104 A CN 200910015104A CN 101547117 B CN101547117 B CN 101547117B
- Authority
- CN
- China
- Prior art keywords
- data
- authority
- role
- authorities
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明是一种充分体现“分级分权”的安全框架,包括如下部分:数据授权:在配置文件中定义不同的角色,给角色赋予查看数据时不同的权限;数据验证:在获取数据之前,首先获取数据授权,然后获取数据,再根据数据授权过滤掉不允许查看的数据;功能授权:在配置文件中定义不同的角色,给角色赋予功能调用的不同权限;功能验证:在调用方法之前,首先获取功能授权,然后调用方法,在根据授权过滤掉不允许访问的方法。该发明的整体优点是:充分体现“分级分权”的安全框架,使用简单,不需要应用代码中季节编写任何与安全有关的代码而达到保护应用系统的目的。分级分权的安全框架实现了应用系统与安全性之间的低耦合。
Description
技术领域
本发明涉及一种充分体现“分级分权”的安全框架,即InforGuard监管平台充分体现“分级分权”的安全框架。
背景技术
在现实生活中,企业往往采用了具有层次结构的组织结构,而“角色”这一概念较好的抽象出这一模型,角色同组织架构很好的融入到一起,不同组织拥有的权限也不一样。
对于管理员采用分级分权的管理,不同级别的管理者分配给不同的管理对象和管理权限,让网络管理层次和企业的管理层次相一致,譬如机房管理员可以只管理本机房的所有主机和网站。
现在的论坛中,使用登录名称和密码的验证方式。论坛的版主、管理员和会员拥有不同的权限。他们看到的信息也不一样。管理员拥有最大权限,而会员的权限最小。根据会员积分的不同能够访问的板块也不一样。这就是一个分级分权的应用。
发明内容
本发明的目的就是针对上述的不足,提供了一种充分体现“分级分权”的安全框架,能够通过保护方法调用在更底层的级别上强制安全性,通过使用安全框架,以确保用户只有在拥有恰当授权时才能调用受保护的数据和方法;可以授权只有指定的人员才可以查看日志、告警等内容敏感信息,其他人员只能查看统计、分析、报表等统计信息。
充分体现“分级分权”的安全框架,根据不同的角色授予不同的权限。
使用Spring AOP将“切面”应用于对象,以确保只有用户在拥有恰当授权时才能调用受保护的方法。
使用分级分权的安全框架扩展性好,不需要修改现有代码,只需要修改配置文件就可以验证新增业务逻辑的授权。
本发明提供的充分体现“分级分权”的安全框架的实现方法,包括如下部分:
数据授权:在配置文件中定义不同的角色,给角色赋予查看数据时不同的权限;
数据验证:在获取数据之前,首先获取数据授权,然后获取数据,再根据数据授权过滤掉不允许查看的数据;
功能授权:在配置文件中定义不同的角色,给角色赋予功能调用的不同权限;
功能验证:在调用方法之前,首先获取功能授权,然后调用方法,在根据授权过滤掉不允许访问的方法。
数据验证和功能验证的过程是一样的,具体为:当已认证的用户通过手中持有的角色集合操控目标资源时,分级分权安全框架内置的拦截器会采用公平投票机制评估这一举动;调用到目标资源前,目标用户需要经过拦截器的预处理,即检查他的身份是否符合目标资源设定的权限要求;调用后,拦截器会审核操作结果删除没有权限查看的数据和功能。
该发明的整体优点是:充分体现“分级分权”的安全框架,使用简单,不需要在应用代码中编写任何与安全有关的代码而达到保护应用系统的目的。分级分权的安全框架实现了应用系统与安全性之间的低耦合。
附图说明
图1为本发明实施例的流程图。
具体实施方式
下面将对本发明的实施方式进行详细说明。
一种充分体现“分级分权”的安全框架,包括如下部分:
数据授权:在配置文件中定义不同的角色,给角色赋予查看数据时不同的权限;
数据验证:在获取数据之前,首先获取数据授权,然后获取数据,再根据数据授权过滤掉不允许查看的数据;
功能授权:在配置文件中定义不同的角色,给角色赋予功能调用的不同权限;
功能验证:在调用方法之前,首先获取功能授权,然后调用方法,在根据授权过滤掉不允许访问的方法。
数据验证和功能验证的过程是一样的,具体为:当已认证的用户通过手中持有的角色集合操控目标资源时,分级分权安全框架内置的拦截器会采用公平投票机制评估这一举动;调用到目标资源前,目标用户需要经过拦截器的预处理,即检查他的身份是否符合目标资源设定的权限要求;调用后,拦截器会审核操作结果删除没有权限查看的数据和功能。
拦截器参与了验证。拦截器的作用:如附图1所示,用户向该系统发出请求,拦截器分析这个请求是调用功能的请求还是数据请求。如果是功能请求,调用功能前,在功能权限XML文件中,过滤器先获取调用功能的权限,过滤掉不能够调用的功能。如果是数据请求,先获取数据,再根据数据权限的XML描述过滤掉哪些不允许被查看的数据。
例如:
public void doFilter(ServletRequest request,ServletResponse
response,
FilterChain chain)throws IOException,ServletException
{
FilterInvocation fi=new
FilterInvocation(request,response,chain);
invoke(null);
}
public void invoke(FilterInvocation fi)throws IOException,
ServletException{
if((fi.getRequest()!=null)
&&
(fi.getHttpRequest().getAttribute(FILTER_APPLIED)!=null &&
observeOncePerRequest)){
fi.getChain().doFilter(fi.getQequest(),
fi.getResponse());
}else{
if(fi.getRequest()!=null){
fi.getRequest().setAttribute(FILTER_APPLIED,
Boolean.TRUE);
}
//事前评估
InterceptorStatusToken token=super.beforeInvocation(fi);
try{//调用目标Web资源
fi.getChain().doFilter(fi.get Request(),fi.getRespose());
}finally{//事后审查
super.aftervocation(token,null);
}
}
}
事前评估:
下面的配置信息,其中accessDecisionManager属性正是完成事前评估的
<bean id=″filterBeforeFunction″
class=″org.cvicse.intercept.FilterFunction″>
<property name=″authenManager″ref=″authenManager″/>
<property name=″accessManager″ref=″accessManager″/>
<property name=″objectSource″>
<value>SECURED/secured.zul=ADMIN</value>
</property>
</bean>
上述httpRequestAccessDecisionManager accessManager的定义如下,开发者需要为AffirmativeBased配置若干投票器
<bean id=″accessManager″
class=″org.cvicse.vote.Affirmative″>
<property name=″allowAllDecisions″value=″false″/>
<property name=″decisionVoters″>
<list>
<ref bean=″roleVoter″/>
</list>
</property>
</bean>
<bean id=″roleVoter″class=″org.civcse.vote.RoleVoter″/>
事后审查:
用户操控到目标资源后,调用结果可能会返回一个领域对象集合,但是并不是任意用户都能够操作到任意领域对象的,我们需要保护他们!
在实施领域对象级的访问控制时(事后审查),分级分权的安全框架的AfterInvocationManager充当了非常主要的角色,他会对业务对象操作的结果进行审查。
<bean id=″contactManager″
class=″org.civcse.intercept.method.MethodInterceptor″>
<property name=″authenManager″>
<ref bean=″authenManager″/>
</property>
<property name=″accessManager″>
<ref local=″businessAccessManager″/>
</property>
<property name=″afterInvocationManager″>
<ref local=″afterInvocationManager″/>
</property>
<property name=″objectSource″>
<value>
com.civcse.messageManager.searchById=USER,ADMIN
com.civcse.messageManager.update=USER,ADMIN
com.civcse.messageManager.add=ADMIN
com.civcse.messageManager.update=ADMIN
com.civcse.messageManager.delete=ADMIN
</value>
</property>
</bean>
Claims (1)
1.一种充分体现“分级分权”的安全框架的实现方法,其特征在于包括如下部分:
数据授权:在配置文件中定义不同的角色,给角色赋予查看数据时不同的权限;
数据验证:在获取数据之前,首先获取数据授权,然后获取数据,再根据数据授权过滤掉不允许查看的数据;
功能授权:在配置文件中定义不同的角色,给角色赋予功能调用的不同权限;
功能验证:在调用方法之前,首先获取功能授权,然后调用方法,再根据授权过滤掉不允许访问的方法;
其中,数据验证和功能验证的过程是一样的,具体为:当已认证的用户通过手中持有的角色集合操控目标资源时,分级分权安全框架内置的拦截器会采用公平投票机制评估这一举动;调用到目标资源前,目标用户需要经过拦截器的预处理,即检查他的身份是否符合目标资源设定的权限要求;调用后,拦截器会审核操作结果删除没有权限查看的数据和功能。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100151049A CN101547117B (zh) | 2009-05-07 | 2009-05-07 | 充分体现“分级分权”的安全框架 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100151049A CN101547117B (zh) | 2009-05-07 | 2009-05-07 | 充分体现“分级分权”的安全框架 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101547117A CN101547117A (zh) | 2009-09-30 |
CN101547117B true CN101547117B (zh) | 2011-04-20 |
Family
ID=41194029
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009100151049A Active CN101547117B (zh) | 2009-05-07 | 2009-05-07 | 充分体现“分级分权”的安全框架 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101547117B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8943551B2 (en) | 2008-08-14 | 2015-01-27 | Microsoft Corporation | Cloud-based device information storage |
CN102130894A (zh) * | 2010-01-12 | 2011-07-20 | 大唐移动通信设备有限公司 | 鉴权和认证方法及系统 |
FR2976430B1 (fr) * | 2011-06-08 | 2013-05-31 | Alcatel Lucent | Controle de traitement d'un objet multimedia par une application logicielle |
CN103049684B (zh) * | 2012-12-21 | 2015-08-12 | 大唐软件技术股份有限公司 | 一种基于rbac模型扩展的数据权限控制方法和系统 |
US9405932B2 (en) | 2013-05-24 | 2016-08-02 | Microsoft Technology Licensing, Llc | User centric data maintenance |
CN104866516B (zh) * | 2013-09-27 | 2019-10-22 | 查平 | 多用途信息分享系统 |
CN105227551A (zh) * | 2015-09-24 | 2016-01-06 | 四川长虹电器股份有限公司 | Xbrl应用平台的统一权限管理方法 |
CN108009407A (zh) * | 2017-11-29 | 2018-05-08 | 华迪计算机集团有限公司 | 一种对系统用户权限进行分级管理的方法及系统 |
CN112765627B (zh) * | 2021-01-22 | 2022-02-18 | 重庆允成互联网科技有限公司 | 一种基于双层权限控制的业务报表数据权限控制方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1462968A (zh) * | 2002-05-28 | 2003-12-24 | 曾守民 | 企业组织作业流程管理系统 |
CN1934516A (zh) * | 2004-02-04 | 2007-03-21 | 东芝公司 | 一种文档处理装置的基于角色访问控制的系统和方法 |
CN101093524A (zh) * | 2006-06-22 | 2007-12-26 | 上海新纳广告传媒有限公司 | 基于层次结构的权限处理系统 |
-
2009
- 2009-05-07 CN CN2009100151049A patent/CN101547117B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1462968A (zh) * | 2002-05-28 | 2003-12-24 | 曾守民 | 企业组织作业流程管理系统 |
CN1934516A (zh) * | 2004-02-04 | 2007-03-21 | 东芝公司 | 一种文档处理装置的基于角色访问控制的系统和方法 |
CN101093524A (zh) * | 2006-06-22 | 2007-12-26 | 上海新纳广告传媒有限公司 | 基于层次结构的权限处理系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101547117A (zh) | 2009-09-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101547117B (zh) | 充分体现“分级分权”的安全框架 | |
CN103632082B (zh) | 一种通用权限管理系统及方法 | |
US8166532B2 (en) | Decentralized access control framework | |
CN101286845B (zh) | 一种基于角色的域间访问控制系统 | |
US8193904B2 (en) | Entry and exit control apparatus and entry and exit control method | |
US20090216587A1 (en) | Mapping of physical and logical coordinates of users with that of the network elements | |
US20070083915A1 (en) | Method and system for dynamic adjustment of computer security based on personal proximity | |
CN105378648A (zh) | 自配置访问控制 | |
CN102246180A (zh) | 用于模仿用户的方法和系统 | |
US10891816B2 (en) | Spatio-temporal topology learning for detection of suspicious access behavior | |
US20050273444A1 (en) | Access administration system and method for a currency compartment | |
CN110337676B (zh) | 物理访问控制系统中用于访问设置的框架 | |
CN105933348A (zh) | 基于生物特征的登录方法、终端及系统 | |
CN106104548A (zh) | 集成访问控制及身份管理系统 | |
CN104462982A (zh) | 跨应用共享的授权策略对象、目标定义和决策合并算法 | |
CN112651000A (zh) | 一种用于组件化即插式开发的权限配置集成系统 | |
CN108364376A (zh) | 一种门禁与打卡一体的考勤方法 | |
CN103916267B (zh) | 三层结构的网络空间身份管理系统 | |
EP4214899B1 (en) | Scenario-based access control | |
US8756655B2 (en) | Integrated physical access control and information technology (IT) security | |
Fernandez et al. | Security patterns for physical access control systems | |
JP2011102483A (ja) | 錠管理システム | |
Younis et al. | A novel evaluation criteria to cloud based access control models | |
JP2014105437A (ja) | 入退室管理システムおよびそのプログラム | |
GB2600696A (en) | Augmented access control system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |