CN101645126A - 一种基于rbac模型扩展的面向业务的授权访问控制方法 - Google Patents
一种基于rbac模型扩展的面向业务的授权访问控制方法 Download PDFInfo
- Publication number
- CN101645126A CN101645126A CN200910018620A CN200910018620A CN101645126A CN 101645126 A CN101645126 A CN 101645126A CN 200910018620 A CN200910018620 A CN 200910018620A CN 200910018620 A CN200910018620 A CN 200910018620A CN 101645126 A CN101645126 A CN 101645126A
- Authority
- CN
- China
- Prior art keywords
- data
- business
- entity
- unit
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 238000013475 authorization Methods 0.000 title claims abstract description 19
- 238000012545 processing Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种基于RBAC模型扩展的面向业务的授权访问控制方法,该方法是将RBAC模型中授权许可的操作和数据,按照业务内聚度划分成业务单元,使操作和数据包含在业务单元中形成一个有机整体,使授权许可以面向业务的业务单元为分配的单位,通过面向业务的划分,使应用系统的授权的分配和访问控制体现出清晰的业务内聚度特征,符合业务关系的内在规律性,业务单元具有业务完整性的特点,具有明确的边界。当授权访问控制需求变化时,业务单元作为授权访问控制的变化基本单位,与以往孤立的操作和数据作为变化的基本单位相比,业务单元可对变化进行有效封装,使变化分解并限制在局部,从而使变化更加可控。
Description
技术领域
本发明涉及应用系统授权访问控制领域,特别是涉及一种基于角色的访问控制(RBAC,Role-Based Access Control)与面向业务相结合的方法。
背景技术
应用系统的安全一般包括五个范畴,分别是身份验证、授权访问控制、安全审计、数据私密性和完整性。其中的授权访问控制是指一旦特定用户的身份通过认证后,确定哪些资源该用户可以访问、可以进行何种方式的访问操作。在授权访问控制方面,基于角色的访问控制(RBAC,Role-Based Access Control)模型是目前应用系统中被广泛接受的一种授权访问控制模型(附图1及说明)。
在RBAC模型中,操作(OPS,operations)和受控对象(OBS,objects)是相互独立的两个元素,操作施加于受控对象从而产生授权许可(PRMS,permissions)。然而在应用系统中,应用是以业务为核心的,业务处理过程往往以高内聚、松耦合特征划分为多个业务处理单元,每个业务处理单元包含其业务操作和业务数据,业务操作脱离开相应的业务单元及业务数据也就没有实质的意义,业务操作和业务数据之间形成一个有机的整体。
基于以上的分析,针对应用系统的这种特征,如果在RBAC模型中的授权许可部分加入面向业务的特征,将相关的操作和数据按照业务内聚度进行分化、整理,以业务处理单元为边界进行划分,使包含操作和数据的业务单元成为授权许可的基本单位,将会使应用系统的授权分配体现出清晰的业务内聚度特征,符合业务关系的内在规律性。
发明内容
本发明的目的是提供一种基于RBAC模型扩展的面向业务的授权访问控制方法。
本发明的目的是按以下方式实现的,将RBAC模型中授权许可(PRMS,permissons)的操作和数据,按照业务内聚度,划分成业务单元,使操作和数据包含在业务单元中,形成一个有机整体,使授权许可以面向业务的业务单元为分配的单位,并以此为基础提供一种应用系统的授权访问控制的方法。
针对以上的问题解决方案,本发明公开的方法提供了一种基于RBAC授权访问控制模型扩展的面向业务的授权访问控制方法,控制步骤包括设计时、分配时阶段和运行时阶段。
设计时阶段:如附图2所示,基于RBAC基本模型,对授权许可(PRMS)部分结合面向业务的特征进行扩展,主要新添加了业务单元(Business Unit)定义,并将原模型中的操作(OPS)及数据(OBS)以业务单元为单位进行重新划分,将操作和数据按照业务内聚度归集到业务单元下,使应用本发明定义的授权访问控制模型的应用系统中,不再存在独立的操作和数据。设计时的具体内容包括:
如附图3所示,业务单元实体作为授权许可(PRMS)的基本单位,包含业务数据结构实体和业务操作实体(组合关系),其中业务数据结构实体用于描述业务单元下的业务实体数据结构,业务操作实体用于识别业务单元下需要进行授权访问控制的操作,数据权限实体用于定义业务单元数据权限控制的数据范围的划分依据,由于数据权限实体定义可在多个业务单元间复用,因此它与业务单元实体之间是一种聚合关系。业务操作实体和数据权限实体的关联关系是一种多对多关系,该关系表示一个业务操作在执行时受到哪些数据权限的约束。业务数据结构实体和数据授权实体之间是一种多对多关系,该关系表示一个数据权限在作用于业务实体数据时,具体和该业务实体数据的哪个数据域(字段或字段组合)相关。
业务数据结构实体定义,采用第200710015726.2号《数据访问层Xml格式数据与关系数据间的映射转换方法》发明专利中定义的数据模型来描述业务数据结构。业务数据定义映射到关系型数据库中是一组具有主从关系或关联关系的表或视图的集合,因此,业务数据是一组数据集,每个数据集是一个二维表结构,包括列集和行集。
数据权限实体定义,用于定义数据权限控制的数据范围的划分依据。其中数据范围是指业务单元中的业务数据的取值范围。根据上文所述,业务数据的取值范围的划分,就是对业务数据对应的每一个二维表的列集和行集两个维度进行划分,数据权限实体用于定义对此数据范围的划分的依据。
分配时阶段,如附图4所示,角色的授权以业务单元为单位进行授权分配。分配时阶段的具体内容包括:
角色实体和业务单元实体之间是一种多对多关联关系,该关系表示一个角色可以分配多个业务单元的授权,一个业务单元的授权可以分配给多个角色,角色和业务单元之间的一个分配关系,产生一个关联的角色的授权分配实体。在一个业务单元的角色授权中,一个角色实体可选择分配一个业务单元实体下的一个或多个业务操作实体,表示该角色在当前业务单元下可执行哪些业务操作。如果该业务操作在业务单元授权定义时定义了数据权限约束,则应根据数据权限的定义为角色分配执行该操作时可访问的数据范围,从而产生角色的数据授权分配实体数据。
运行时阶段。如附图5所示,授权访问控制运行时服务对外提供服务调用接口,接收应用系统中各程序组件的授权访问控制的相关调用。服务调用接口遵循基本的RBAC模型定义的操作接口标准,在角色的授权访问控制部分,采用以业务单元为基本单位的访问控制。在运行时服务的内部,根据输入的会话和业务单元、业务操作等信息,加载业务单元定义,根据分配时设置的角色的授权分配结果进行逻辑运算,向调用返回授权访问控制的结果。
本发明的方法与现有技术相比具有以下特点和优势:
本发明提供的面向业务的授权访问控制方法,将原RBAC模型中的操作和数据,按照业务内聚度,划分成业务单元,使操作和数据包含在业务单元中,形成一个有机整体,使面向业务的业务单元成为授权分配和授权访问的基本单位。
通过这种面向业务的划分,可贴切的反映业务实际情况,使授权访问控制模型更易于用户的理解和使用。
通过这种面向业务的划分,使应用系统的授权的分配和访问控制体现出清晰的业务内聚度特征,符合业务关系的内在规律性,业务单元具有业务完整性的特点,具有明确的边界。当授权访问控制需求变化时,业务单元作为授权访问控制的变化基本单位,与以往孤立的操作和数据作为变化的基本单位相比,业务单元可对变化进行有效封装,使变化分解并限制在局部,从而使变化更加可控。
本方法提供的授权控制访问模型,并不与任何具体的应用系统存在依存关系,是一个开放的模型,具有较广泛的适应性。
附图说明
图1是基于角色的访问控制(RBAC)的基本模型图;
图2是基于RBAC扩展的授权访问控制模型图;
图3是以业务单元为主体的授权访问控制实体关系图;
图4是以业务单元为主体的角色授权分配实体关系图;
图5是授权访问控制运行时示意图;
图6是以业务单元为主体的授权定义流程图。
具体实施方式
参照说明书附图对本发明的方法作以下详细地说明。
本发明的一种基于RBAC模型扩展的面向业务的授权访问控制方法,如附图6所示,与本发明所述方法的三个阶段对应,实施例分为三个步骤,分别为权限业务模型定义、授权分配以及权限访问控制。
在权限业务模型定义步骤,权限设计人员根据当前业务应用的业务需求,将业务应用根据高内聚、松耦合的特征划分为多个业务单元(例如,一种业务单据类型识别为一个业务单元),并描述该业务单元下的业务数据结构。根据授权访问控制的具体要求,识别出业务单元下的业务操作集。如果当前业务单元下的业务数据需要控制数据权限,则根据业务控制的需求识别出业务数据的划分依据,将其定义为数据权限实体定义。将数据权限实体和业务数据结构进行关联,用以指定该数据权限作用于业务数据的哪一个数据域(字段或字段组合);将数据权限实体和业务操作关联,用以指定该数据权限作用于当前业务单元下的哪些业务操作。
在授权分配步骤,根据权限业务模型定义步骤的定义,应用系统的权限管理人员,根据应用系统的实际业务需要,为系统的使用者创建用户,并根据管理要求和用户之前权限复用的需要识别出相应的角色,并为用户分配角色。根据角色的业务控制要求,以业务单元为基本单位进行角色的授权分配。其中,定义用户、角色以及角色的授权分配之间并没有严格的顺序要求。在授权分配完成后,应用系统已经完成了授权访问控制的定义。
在权限访问控制步骤,业务用户进入到应用系统并进行功能操作时,应用系统调用授权访问控制运行时服务进行授权访问控制。具体的,授权访问控制运行时根据当前用户会话信息检查当前用户是否具备相应的操作访问权限,并且根据定义的数据权限进行操作可访问的业务数据访问进行控制和过滤。
根据以上三个步骤的实施,实现了一个应用系统的授权访问控制。
优选的,当授权访问控制的需求发生变化时,尤其指业务单元定义部分发生变化时,例如新识别了业务操作和数据权限等,可通过对于业务单元定义的调整快速的适应变化,并且由于业务单元的对于操作和数据的封装性,这种变化将被限制在当前的业务单元,其他的业务单元不受影响。
另外需要说明的是,授权控制模型的调整会影响到应用系统,例如在业务单元下新增了一个业务操作,这需要应用系统能识别该业务操作,并和具体的业务功能关联起来,如果应用系统在这种识别、关联方式上是僵化的,则不能灵活、快速的适应这种变化。这属于应用系统对授权访问控制的使用方式方面的问题,不包括在本发明所涉及的范围内。
Claims (3)
1.一种基于RBAC模型扩展的面向业务的授权访问控制方法,其特征在于,将RBAC模型中授权许可的操作和数据,按照业务内聚度划分成业务单元,使操作和数据包含在业务单元中形成个有机整体,使授权许可以面向业务的业务单元为分配的单位,控制步骤分为1)设计时阶段、2)分配时阶段和3)运行时阶段,其中:
1)设计时阶段:基于RBAC基本模型,对授权许可部分结合面向业务的特征进行扩展,主要新添加了业务单元定义,并将原模型中的操作及数据以业务单元为单位进行重新划分,将操作和数据按照业务内聚度归集到业务单元下;具体内容包括:
业务单元实体作为授权许可的基本单位,包含业务实体数据结构实体和业务操作实体,其中业务实体数据结构实体用于描述业务单元下的业务实体数据结构,业务操作实体用于识别业务单元下需要进行授权访问控制的操作,数据权限实体用于定义业务单元数据权限控制的数据范围的划分依据,由于数据权限实体定义可在多个业务单元间复用,因此它与业务单元实体之间是一种聚合关系,业务操作实体和数据权限实体的关联关系是一种多对多关系,该关系表示一个业务操作在执行时受到哪些数据权限的约束,该关系表示一个数据权限在作用于业务实体数据时,具体和该业务实体数据的哪个数据域包括字段或字段组合相关;
2)分配时阶段:角色的授权以业务单元为单位进行授权分配;具体内容包括:角色实体和业务单元实体之间是一种多对多关联关系,该关系表示一个角色分配多个业务单元的授权,一个业务单元的授权分配给多个角色,角色和业务单元之间的一个分配关系,产生一个关联的角色的授权分配实体,在一个业务单元的角色授权中,一个角色实体选择分配一个业务单元实体下的一个或多个业务操作实体,表示该角色在当前业务单元下执行的业务操作,该业务操作在业务单元授权定义时定义了数据权限约束,则应根据数据权限的定义为角色分配执行该操作时可访问的数据范围,从而产生角色的数据授权分配实体数据;
3)运行时阶段:授权访问控制运行时服务对外提供服务调用接口,接收应用系统中各程序组件的授权访问控制的相关调用:服务调用接口遵循基本的RBAC模型定义的操作接口标准,在角色的授权访问控制部分,采用以业务单元为基本单位的访问控制。
2、根据权利要求1所述的方法,其特征在于,业务实体数据定义映射到关系型数据库中是一组具有主从关系或关联关系的表或视图的集合,因此,业务实体数据是一组数据集,每个数据集是一个二维表结构,包括列集和行集。
3、根据权利要求1所述的方法,其特征在于,数据权限实体定义,用于定义数据权限控制的数据范围的划分依据,其中数据范围是指业务单元中的业务实体数据的取值范围,业务实体数据的取值范围的划分,就是对业务实体数据对应的每一个二维表的列集和行集两个维度进行划分,数据权限实体用于定义对此数据范围的划分的依据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910018620A CN101645126A (zh) | 2009-09-07 | 2009-09-07 | 一种基于rbac模型扩展的面向业务的授权访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910018620A CN101645126A (zh) | 2009-09-07 | 2009-09-07 | 一种基于rbac模型扩展的面向业务的授权访问控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101645126A true CN101645126A (zh) | 2010-02-10 |
Family
ID=41657009
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910018620A Pending CN101645126A (zh) | 2009-09-07 | 2009-09-07 | 一种基于rbac模型扩展的面向业务的授权访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101645126A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102096785A (zh) * | 2011-02-24 | 2011-06-15 | 北京书生国际信息技术有限公司 | 一种权限控制方法和装置 |
| CN103559457A (zh) * | 2013-10-28 | 2014-02-05 | 广东工业大学 | 基于图规划的rbac安全策略分析方法 |
| CN103646218A (zh) * | 2013-12-12 | 2014-03-19 | 用友软件股份有限公司 | 数据访问权限和行为权限的定义装置和定义方法 |
| CN104917767A (zh) * | 2015-06-11 | 2015-09-16 | 杭州东信北邮信息技术有限公司 | 基于rbac模型的家庭业务访问控制方法 |
| CN105426769A (zh) * | 2015-10-30 | 2016-03-23 | 歌尔声学股份有限公司 | 角色权限的动态控制方法及系统 |
| CN106778319A (zh) * | 2015-11-23 | 2017-05-31 | 天津九洲云物联科技有限公司 | 一种基于rbac模型改进的访问控制模型 |
| CN107133516A (zh) * | 2017-04-24 | 2017-09-05 | 深信服科技股份有限公司 | 一种权限控制方法和系统 |
| CN110113369A (zh) * | 2019-06-27 | 2019-08-09 | 无锡华云数据技术服务有限公司 | 一种基于角色权限控制的鉴权方法 |
| CN112231725A (zh) * | 2020-10-13 | 2021-01-15 | 湖南皖湘科技有限公司 | 一种快速划分软件权限的方法 |
-
2009
- 2009-09-07 CN CN200910018620A patent/CN101645126A/zh active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102096785A (zh) * | 2011-02-24 | 2011-06-15 | 北京书生国际信息技术有限公司 | 一种权限控制方法和装置 |
| CN102096785B (zh) * | 2011-02-24 | 2012-12-19 | 北京书生电子技术有限公司 | 一种权限控制方法和装置 |
| CN103559457A (zh) * | 2013-10-28 | 2014-02-05 | 广东工业大学 | 基于图规划的rbac安全策略分析方法 |
| CN103646218B (zh) * | 2013-12-12 | 2016-09-28 | 用友网络科技股份有限公司 | 数据访问权限和行为权限的定义装置和定义方法 |
| CN103646218A (zh) * | 2013-12-12 | 2014-03-19 | 用友软件股份有限公司 | 数据访问权限和行为权限的定义装置和定义方法 |
| CN104917767A (zh) * | 2015-06-11 | 2015-09-16 | 杭州东信北邮信息技术有限公司 | 基于rbac模型的家庭业务访问控制方法 |
| CN104917767B (zh) * | 2015-06-11 | 2017-11-28 | 杭州东信北邮信息技术有限公司 | 基于rbac模型的家庭业务访问控制方法 |
| CN105426769A (zh) * | 2015-10-30 | 2016-03-23 | 歌尔声学股份有限公司 | 角色权限的动态控制方法及系统 |
| CN105426769B (zh) * | 2015-10-30 | 2018-01-26 | 歌尔股份有限公司 | 角色权限的动态控制方法及系统 |
| CN106778319A (zh) * | 2015-11-23 | 2017-05-31 | 天津九洲云物联科技有限公司 | 一种基于rbac模型改进的访问控制模型 |
| CN107133516A (zh) * | 2017-04-24 | 2017-09-05 | 深信服科技股份有限公司 | 一种权限控制方法和系统 |
| CN110113369A (zh) * | 2019-06-27 | 2019-08-09 | 无锡华云数据技术服务有限公司 | 一种基于角色权限控制的鉴权方法 |
| CN112231725A (zh) * | 2020-10-13 | 2021-01-15 | 湖南皖湘科技有限公司 | 一种快速划分软件权限的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101645126A (zh) | 一种基于rbac模型扩展的面向业务的授权访问控制方法 | |
| CN101478536B (zh) | 一种解决权限管理中访问控制的方法 | |
| US7284000B2 (en) | Automatic policy generation based on role entitlements and identity attributes | |
| CN104125219A (zh) | 针对电力信息系统的身份集中授权管理方法 | |
| CN108416230B (zh) | 一种基于数据隔离模型的数据访问方法 | |
| EP2711860B1 (en) | System and method for managing role based access control of users | |
| US20050138419A1 (en) | Automated role discovery | |
| CN104573478A (zh) | 一种Web应用的用户权限管理系统 | |
| CN102981835A (zh) | 安卓应用程序永久获取Root权限的方法 | |
| CN102567675A (zh) | 一种业务系统下的用户权限管理方法和系统 | |
| CN102611699A (zh) | 一种云操作系统中访问控制的方法和系统 | |
| CN105787317A (zh) | 基于多层分级系统的权限控制方法 | |
| CN103442354A (zh) | 一种移动警务终端安全管控系统 | |
| CN104850439B (zh) | 配置应用程序的方法及所适用的嵌入式设备 | |
| CN105550590A (zh) | 基于角色的权限控制机制 | |
| CN101894231A (zh) | 权限扩展控制系统及其方法 | |
| US20060259955A1 (en) | Attribute-based allocation of resources to security domains | |
| CN113282896A (zh) | 权限管理方法及系统 | |
| CN102147880A (zh) | 一种独立的新闻文稿系统及其工作流引擎 | |
| CN107426134A (zh) | 一种基于关系的访问控制方法 | |
| CN106599718B (zh) | 信息访问权限的控制方法及装置 | |
| CN104217146A (zh) | 一种基于abac和rbac的权限控制方法 | |
| CN107566375A (zh) | 访问控制方法和装置 | |
| CN106529230A (zh) | 基于角色的权限控制机制 | |
| CN108268782A (zh) | 基于角色权限控制的会议机制 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20100210 |