CN102043930A - 数据权限控制方法及系统 - Google Patents
数据权限控制方法及系统 Download PDFInfo
- Publication number
- CN102043930A CN102043930A CN2009102054363A CN200910205436A CN102043930A CN 102043930 A CN102043930 A CN 102043930A CN 2009102054363 A CN2009102054363 A CN 2009102054363A CN 200910205436 A CN200910205436 A CN 200910205436A CN 102043930 A CN102043930 A CN 102043930A
- Authority
- CN
- China
- Prior art keywords
- file
- data
- information
- authority
- role information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
一种数据权限控制方法及系统。所述数据权限控制方法包括:创建具有访问特定文件页面及所述特定文件中特定数据权限的角色信息;将所述角色信息与用户信息关联;对用户访问文件页面的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件页面的权限时,通过所述用户访问所述文件页面的请求;在通过所述请求后,对用户访问所述文件中特定数据的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件中特定数据的权限时,通过所述用户访问所述文件中特定数据的请求。所述数据权限控制方法及系统提高了数据安全性。
Description
技术领域
本发明涉及数据处理技术领域,特别涉及数据权限控制方法及系统。
背景技术
在商务应用中,数据安全控制是十分重要的。例如,目前的商务应用中对于报表数据安全的控制手段主要是针对报表页面级的权限控制。也就是说,对于用户是否能够访问报表进行权限控制。当用户获得了报表的访问权限后,就可以查看报表中的任何数据。
然而,随着实际商务应用中数据安全的重要性越来越高,仅仅对报表页面级的权限控制已无法满足业务需求及信息安全的需求。
发明内容
本发明解决现有技术在商务应用中仅对报表页面级进行权限控制,无法满足数据安全需求的问题。
为解决上述问题,本发明提供一种数据权限控制方法,包括:
创建具有访问特定文件页面及所述特定文件中特定数据权限的角色信息;
将所述角色信息与用户信息关联;
对用户访问文件页面的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件页面的权限时,通过所述用户访问所述文件页面的请求;
在通过所述请求后,对用户访问所述文件中特定数据的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件中特定数据的权限时,通过所述用户访问所述文件中特定数据的请求。
相应地,本发明还提供一种数据权限控制系统,包括:
角色信息创建单元,创建具有访问特定文件页面及所述特定文件中特定数据权限的角色信息;
第一关联单元,将所述角色信息与用户信息关联;
第一权限控制单元,对用户访问文件页面的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件页面的权限时,通过所述用户访问所述文件页面的请求;
第二权限控制单元,对具有访问所述文件页面权限的用户访问所述文件中特定数据的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件中特定数据的权限时,通过所述用户访问所述文件中特定数据的请求。
与现有技术相比,上述数据权限控制方法及系统具有以下优点:上述数据权限控制方法及系统,对不同文件的访问及文件中特定数据的访问创建具有相应权限的角色信息,基于角色信息分别对用户访问文件页面的请求及访问文件中特定数据的请求进行权限检查。对于需访问文件中特定数据的用户而言,仅在其关联的角色信息具有相应访问权限时才能被允许访问,因而进一步增强了数据的安全性。
附图说明
图1是本发明数据权限控制方法的一种实施方式流程图;
图2是图1所示数据权限控制方法中创建角色信息的一种实施例流程图;
图3是本发明数据权限控制系统的一种实施方式结构图;
图4是图3所示数据权限控制系统中角色信息创建单元的一种实施例结构图;
图5是图3所示数据权限控制系统中第一权限控制单元、第二权限控制单元相互关系的一种实施例结构图。
具体实施方式
参照图1所示,本发明数据权限控制方法的一种实施方式包括:
步骤s1,创建具有访问特定文件页面及所述特定文件中特定数据权限的角色信息;
步骤s2,将所述角色信息与用户信息关联;
步骤s3,对用户访问文件页面的请求进行权限检查,判断与用户信息关联的角色信息是否具有访问所述文件页面的权限,若否,则执行步骤s4,若是,则执行步骤s5;
步骤s4,拒绝所述用户访问所述文件页面的请求;
步骤s5,通过所述用户访问所述文件页面的请求,并对用户访问文件中特定数据的请求进行权限检查,判断与用户信息关联的角色信息是否具有访问所述文件中特定数据的权限,若否,则执行步骤s6,若是,则执行步骤s7;
步骤s6,拒绝所述用户访问所述文件中特定数据的请求;
步骤s7,通过所述用户访问所述文件中特定数据的请求。
上述数据权限控制方法的实施方式实际上包括两个阶段,即对于访问特定文件中特定数据的操作进行授权的阶段以及根据所述授权信息进行权限检查及操作控制的阶段。
在授权阶段,基于访问特定文件中特定数据必经的两个操作:打开文件页面及查看文件中特定数据,对于访问特定文件中数据的操作进行两级权限授予,即特定文件页面级访问的权限授予及特定文件中特定数据访问的权限授予,并创建各种角色信息对有权限访问特定文件中特定数据的操作进行区分。例如,角色信息Role_1有权限访问文件B中的数据C1,而角色信息Role_2有权限访问文件B中的数据C2,角色信息Role_3有权限访问文件D中的数据E1。由于实际进行数据访问操作的都是各个用户,因而需要将所创建的角色信息与用户信息进行关联。
在权限检查及控制阶段,当某一用户提出访问特定文件中特定数据的请求时,同样依据访问特定文件中特定数据必经的两个操作进行相应的权限检查。即,首先检查与该用户信息关联的角色信息是否具有对其想访问的文件的页面级进行访问的权限,仅在该用户信息关联的角色信息具有对所述文件页面级访问的权限时,才会打开所述文件页面。但此时,该用户依然看不到任何文件中的数据,其还需接受是否具有对其想访问的数据进行访问的权限检查,仅在该用户信息关联的角色信息具有对所述数据访问的权限时,该用户才可看到其所想访问的数据。否则,即使该用户打开了文件页面,其也无法看到想访问的数据。
以下结合附图对上述数据权限控制方法进一步举例说明。
参照图2所示,创建具有访问特定文件页面及所述特定文件中特定数据权限的角色信息,可进一步包括:
步骤s11,对特定文件设置相应的文件代码,对特定文件中特定数据设置相应的数据对象代码;
步骤s12,创建角色信息,并将所创建的角色信息与所述文件代码、数据对象代码相关联。
假定某一提供用户访问的数据库中有5个报表,则可将所述10个报表分别设置文件代码为Report_1~Report_5。进一步假定该5个报表各自可以按各自具有的分类信息进行数据的划分,所述分类信息可以为公司信息、工厂信息、分析指标中的一种或多种的组合。例如,报表Report_1记录有3家公司信息相关的数据,则该报表Report_1可按公司信息划分为3个数据模块,依次设置数据对象代码为Module_11、Module_12、Module_13。报表Report_2记录有3种分析指标相关的数据,则该报表Report_2可按分析指标划分为3个数据模块,依次设置数据对象代码为Module_21、Module_22、Module_23。
则对报表Report_1及Report_2,就可设置6种角色信息Role_10~Role_12、Role_20~Role_22,如将角色信息Role_10与文件代码Report_1、数据对象代码Module_11相关联,则角色信息Role_10就有权限对报表Report_1中数据对象代码Module_11相对应的公司信息相关数据进行访问;将角色信息Role_11与文件代码Report_1、数据对象代码Module_12相关联,则角色信息Role_11就有权限对报表Report_1中数据对象代码Module_12相对应的公司信息相关数据进行访问;将角色信息Role_12与文件代码Report_1、数据对象代码Module_13相关联,则角色信息Role_12就有权限对报表Report_1中数据对象代码Module_13相对应的公司信息相关数据进行访问;将角色信息Role_20与文件Report_2、数据对象代码Module_21相关联,则角色信息Role_20就有权限对报表Report_2中数据对象代码Module_21相对应的分析指标相关数据进行访问;将角色信息Role_21与文件Report_2、数据对象代码Module_22相关联,则角色信息Role_21就有权限对报表Report_2中数据对象代码Module_22相对应的分析指标相关数据进行访问;将角色信息Role_22与文件Report_2、数据对象代码Module_23相关联,则角色信息Role_22就有权限对报表Report_2中数据对象代码Module_23相对应的分析指标相关数据进行访问。
在创建角色信息之后,将所述角色信息与用户信息关联。所述关联操作可以依据实际访问数据需求及用户经主管部门同意的申请而进行。例如,对普通职员,可以依据访问需求将其用户信息与角色信息Role_10~Role_12中的一种或多种关联;而对于公司高层,可以将其用户信息与角色信息Role_2~Role_22中的一种或多种关联。
经过上述授权阶段之后,对于某一角色信息,都会有一个或多个与其相关联的用户信息,拥有这些用户信息的用户就有权限进行与角色信息相应的数据访问操作。反之,则没有权限进行与角色信息相应的数据访问操作。
例如,对某一用户试图打开报表Report_2访问与数据对象代码Module_23相对应的分析指标相关数据的操作,就会先对其用户信息进行解析,根据上述角色信息与用户信息关联的结果,查看与该用户信息关联的角色信息。假定解析获得与该用户信息关联的角色信息为Role_21,则由于该角色信息具有访问报表Report_2的权限,该用户打开报表Report_2的这一操作请求就被通过,报表Report_2被打开。此时,该用户进一步要查看的数据为与数据对象代码Module_23相对应的分析指标相关数据,但由于角色信息Role_21仅有权限对报表Report_2中数据对象代码Module_22相对应的分析指标相关数据进行访问,因此该进一步查看与数据对象代码Module_23相对应的分析指标相关数据的操作会被拒绝,并显示警告信息,表明当前用户没有查看该分析指标相关数据的权限。
经过上述举例说明可以看到,通过以上的两级权限检查及控制,可以对用户对文件中数据的访问进行安全性更高的控制,相应地,文件中数据,特别是安全级别较高的文件中数据的安全性得到了进一步提高。
参照图3所示,本发明数据权限控制系统的一种实施方式包括:
角色信息创建单元100,创建具有访问特定文件页面及所述特定文件中特定数据权限的角色信息;
第一关联单元200,将所述角色信息与用户信息关联;
第一权限控制单元300,对用户访问文件页面的请求进行权限检查,在与用户信息关联的角色信息具有访问所述文件页面的权限时,通过所述用户访问所述文件页面的请求;在与用户信息关联的角色信息不具有访问所述文件页面的权限时,拒绝访问所述文件页面;
第二权限控制单元400,在第一权限控制单元300通过所述用户访问所述文件页面的请求后,对用户访问所述文件中特定数据的请求进行权限检查,在与用户信息关联的角色信息具有访问所述文件中特定数据的权限时,通过所述用户访问所述文件中特定数据的请求;在与用户信息关联的角色信息不具有访问所述文件中特定数据的权限时,拒绝访问所述文件中特定数据。
参照图4所示,所述角色信息创建单元的一种实施例可以包括:
设置单元101,对特定文件设置相应的文件代码,对特定文件中特定数据设置相应的数据对象代码;
创建单元102,创建角色信息;
第二关联单元103,将所创建的角色信息与所述文件代码、数据对象代码相关联。
参照图5所示,所述第一权限控制单元的一种实施例可以包括:
第一解析单元301,解析用户信息,获得与所述用户信息关联的角色信息;
第一比对单元302,将解析获得的角色信息与具有访问所述文件页面及文件中特定数据的权限的角色信息进行一致性比对;
第一执行单元303,在第一比对单元302的一致性比对结果显示比对信息一致时,通过所述用户访问所述文件页面的请求,并将解析后的角色信息发送至第二权限控制单元。
继续参照图5所示,所述第二权限控制单元的一种实施例可以包括:
第二比对单元401,将第一执行单元303发送的解析获得的角色信息与具有访问所述文件页面及文件中特定数据的权限的角色信息进行一致性比对;
第二执行单元402,在第二比对单元401的一致性比对结果显示比对信息一致时,通过所述用户访问所述文件中特定数据的请求,显示所述文件中的特定数据。
上述数据权限控制系统中各单元的工作过程可参考前述数据权限控制方法的举例说明,此处仅作概述性说明。
在授权阶段,由设置单元101设置文件代码及数据对象代码,创建单元102创建角色信息,并经由第二关联单元103将所创建的角色信息与所述文件代码、数据对象代码相关联。再由第一关联单元200将角色信息与用户信息关联。
在权限检查及操作控制阶段,由第一解析单元301解析用户信息,获得与提出访问请求的用户信息关联的角色信息,通过第一比对单元302的一致性比对来确定用户是否具有权限打开文件页面,在用户具有权限打开文件页面后,通过第一执行单元303将解析获得的角色信息发送至第二比对单元401,通过第二比对单元401的一致性比对来最终确定用户是否具有权限查看其想访问的数据,仅在用户具有查看该数据的权限时,才由第二执行单元402显示该数据。
虽然本发明已以较佳实施例披露如上,但本发明并非限定于此。任何本领域技术人员,在不脱离本发明的精神和范围内,均可作各种更动与修改,因此本发明的保护范围应当以权利要求所限定的范围为准。
Claims (10)
1.一种数据权限控制方法,其特征在于,包括:
创建具有访问特定文件页面及所述特定文件中特定数据权限的角色信息;
将所述角色信息与用户信息关联;
对用户访问文件页面的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件页面的权限时,通过所述用户访问所述文件页面的请求;
在通过所述请求后,对用户访问所述文件中特定数据的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件中特定数据的权限时,通过所述用户访问所述文件中特定数据的请求。
2.如权利要求1所述的数据权限控制方法,其特征在于,对用户访问文件页面及/或文件中特定数据的请求进行权限检查包括:
解析用户信息,获得与所述用户信息关联的角色信息;
将解析获得的角色信息与具有访问所述文件页面及文件中特定数据的权限的角色信息进行一致性比对,以确定所述用户信息关联的角色信息是否具有访问所述文件页面及/或文件中特定数据的权限。
3.如权利要求2所述的数据权限控制方法,其特征在于,还包括:与用户信息关联的角色信息与具有访问所述文件页面及文件中特定数据的权限的角色信息不一致时,确定所述用户信息关联的角色信息不具有访问所述文件页面及文件中特定数据的权限,拒绝所述用户访问所述文件页面的请求,并显示警告信息。
4.如权利要求1所述的数据权限控制方法,其特征在于,创建具有访问特定文件页面及所述特定文件中特定数据权限的角色信息包括:
对特定文件设置相应的文件代码,对特定文件中特定数据设置相应的数据对象代码;
创建角色信息,将所创建的角色信息与所述文件代码、数据对象代码相关联。
5.一种数据权限控制系统,其特征在于,包括:
角色信息创建单元,创建具有访问特定文件页面及所述特定文件中特定数据权限的角色信息;
第一关联单元,将所述角色信息与用户信息关联;
第一权限控制单元,对用户访问文件页面的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件页面的权限时,通过所述用户访问所述文件页面的请求;
第二权限控制单元,对具有访问所述文件页面权限的用户访问所述文件中特定数据的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件中特定数据的权限时,通过所述用户访问所述文件中特定数据的请求。
6.如权利要求5所述的数据权限控制系统,其特征在于,所述角色信息创建单元包括:
设置单元,对特定文件设置相应的文件代码,对特定文件中特定数据设置相应的数据对象代码;
创建单元,创建角色信息;
第二关联单元,将所创建的角色信息与所述文件代码、数据对象代码相关联。
7.如权利要求5所述的数据权限控制系统,其特征在于,第一权限控制单元包括:
第一解析单元,解析用户信息,获得与所述用户信息关联的角色信息;
第一比对单元,将解析获得的角色信息与具有访问所述文件页面及文件中特定数据的权限的角色信息进行一致性比对;
第一执行单元,在第一比对单元的一致性比对结果显示比对信息一致时,通过所述用户访问所述文件页面的请求,并将解析后的角色信息发送至第二权限控制单元。
8.如权利要求7所述的数据权限控制系统,其特征在于,第二权限控制单元包括:
第二比对单元,将第一执行单元发送的解析获得的角色信息与具有访问所述文件页面及文件中特定数据的权限的角色信息进行一致性比对;
第二执行单元,在第二比对单元的一致性比对结果显示比对信息一致时,通过所述用户访问所述文件中特定数据的请求。
9.如权利要求5所述的数据权限控制系统,其特征在于,所述特定文件为报表,所述特定文件中特定数据为报表中根据分类信息划分的数据。
10.如权利要求9所述的数据权限控制系统,其特征在于,所述分类信息包括:公司信息、工厂信息、分析指标中的一种或多种的组合。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102054363A CN102043930A (zh) | 2009-10-23 | 2009-10-23 | 数据权限控制方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102054363A CN102043930A (zh) | 2009-10-23 | 2009-10-23 | 数据权限控制方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102043930A true CN102043930A (zh) | 2011-05-04 |
Family
ID=43910063
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009102054363A Pending CN102043930A (zh) | 2009-10-23 | 2009-10-23 | 数据权限控制方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102043930A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102419771A (zh) * | 2011-11-30 | 2012-04-18 | 华为技术有限公司 | 一种用户访问网站的推荐方法、装置和系统 |
CN105760774A (zh) * | 2016-01-29 | 2016-07-13 | 杭州亿方云网络科技有限公司 | 基于rabc的企业文件协作与访问控制方法及系统 |
CN108040014A (zh) * | 2017-10-30 | 2018-05-15 | 维沃移动通信有限公司 | 一种流量控制方法和装置 |
CN112926084A (zh) * | 2021-02-24 | 2021-06-08 | 三一重工股份有限公司 | 访问权限管理方法及系统 |
-
2009
- 2009-10-23 CN CN2009102054363A patent/CN102043930A/zh active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102419771A (zh) * | 2011-11-30 | 2012-04-18 | 华为技术有限公司 | 一种用户访问网站的推荐方法、装置和系统 |
CN105760774A (zh) * | 2016-01-29 | 2016-07-13 | 杭州亿方云网络科技有限公司 | 基于rabc的企业文件协作与访问控制方法及系统 |
CN105760774B (zh) * | 2016-01-29 | 2018-11-06 | 杭州亿方云网络科技有限公司 | 基于rbac的企业文件协作与访问控制方法及系统 |
CN108040014A (zh) * | 2017-10-30 | 2018-05-15 | 维沃移动通信有限公司 | 一种流量控制方法和装置 |
CN112926084A (zh) * | 2021-02-24 | 2021-06-08 | 三一重工股份有限公司 | 访问权限管理方法及系统 |
CN112926084B (zh) * | 2021-02-24 | 2024-01-23 | 盛景智能科技(嘉兴)有限公司 | 访问权限管理方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101448002B (zh) | 一种数字资源的访问方法及设备 | |
KR20130090320A (ko) | 자필 서명을 등록 및 인증하고 자필 정보를 보관하기 위한 장치, 시스템 및 방법 | |
CN101866360A (zh) | 基于对象多维属性空间的数据仓库鉴权方法及系统 | |
CN101639879A (zh) | 数据库安全监控方法、装置及其系统 | |
CN102891832B (zh) | 身份标识绑定方法及系统 | |
CN101847197A (zh) | 一种文档访问权限的控制方法 | |
WO2015148476A1 (en) | System and method of issuing and monitoring electronic citations | |
CN105160455A (zh) | 一种访客管理系统 | |
CN102043930A (zh) | 数据权限控制方法及系统 | |
Ryan et al. | Trust in the clouds | |
CN107463921A (zh) | 一种征信授权有效性验证方法及系统 | |
CN105893212B (zh) | 审计数据安全管控及展示系统 | |
CN102902926A (zh) | 基于分布式文件同步技术的网站文件防篡改方法 | |
Cui et al. | US 2: An unified safety and security analysis method for autonomous vehicles | |
CN102609542A (zh) | 一种电力设备检测用x射线数字图像特征数据库 | |
Washizaki et al. | Taxonomy and literature survey of security pattern research | |
Divya et al. | Blockvoting: an online voting system using block chain | |
JPWO2002071269A1 (ja) | インターネットによる特許または実用新案の情報検索管理システム | |
CN109871211B (zh) | 信息展示方法和装置 | |
CN104301284A (zh) | 多应用智能卡及智能卡多应用管理方法 | |
Johnsson | Surrogate measures of safety with a focus on vulnerable road users: an exploration of theory, practice, exposure, and validity | |
CN110427770A (zh) | 一种支持业务安全标记的数据库访问控制方法及系统 | |
Jha et al. | A framework for addressing data privacy issues in e-governance projects | |
US8176320B1 (en) | System and method for data access and control | |
Al-Fedaghi | Anatomy of personal information processing: application to the EU privacy directive |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110504 |