CN103699849A - 一种数据访问权限保护方法 - Google Patents
一种数据访问权限保护方法 Download PDFInfo
- Publication number
- CN103699849A CN103699849A CN201310719856.XA CN201310719856A CN103699849A CN 103699849 A CN103699849 A CN 103699849A CN 201310719856 A CN201310719856 A CN 201310719856A CN 103699849 A CN103699849 A CN 103699849A
- Authority
- CN
- China
- Prior art keywords
- data
- user
- authority
- management system
- functional module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
- G06F16/2358—Change logging, detection, and notification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/242—Query formulation
- G06F16/2433—Query languages
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种数据访问权限保护方法,本发明方法通过对用户访问数据表记录的范围进行条件限制,并进一步将读和写范围分开限制,结合功能模块访问授权,细化数据访问权限的粒度。本发明可灵活控制多级用户的管理权限,以及用户对系统中数据读写范围的权限,有效避免多用户对相同数据进行操作时发生的混乱情况,实现了全方位的数据保护;适用于大型信息管理系统中海量数据读写操作权限的保护和控制。
Description
技术领域
本发明涉及数据保护技术领域,特别是涉及一种数据访问权限保护方法。
背景技术
在信息管理系统中,对于数据访问权限的管理通常使用定义角色的方式来实现,这种方式方便管理且很灵活,但有个弊端,就是同一个角色下的多个用户权限都是一样的,可以查看或修改彼此管理范围内的数据,这种情况在某种程度上会造成数据访问权限管理的混乱。
发明内容
本发明解决的技术问题在于提供一种数据访问权限保护方法,通过将功能模块结合数据读写范围授权给用户的方式,进一步细化用户访问数据权限的控制,并实现数据访问权限的全方位保护。
本发明解决上述技术问题的技术方案是:
数据库中保存用户注册信息、数据表字典、功能模块信息、功能模块授权信息和数据读写范围授权信息;用户初次注册时,系统授予用户默认的功能模块访问权限和数据读写范围访问权限;系统根据用户默认权限显示对应的菜单和数据给用户;若用户对应的数据读写范围为空,则代表用户对授权的功能模块具有所有权限,否则,用户就只能在授权的功能模块及数据读写范围内操作;超级管理员或上级管理员可随时对下级管理员或普通用户的权限进行修改。
所述的访问权限保护流程可分为注册和权限设定、数据访问和写数据;
注册和权限设定流程是:
第一步,用户发送注册请求给后台管理系统;
第二步,管理系统为用户授予默认的功能模块访问权限M和数据读写范围权限R和W,并写入数据库表;
第三步,数据库根据功能模块访问权限M和数据读范围R,返回相关数据给管理系统;
第四步,管理系统将功能模块和对应数据显示给用户;
其数据访问流程如下:
第一步,若用户发送数据检索请求,检索的条件为S;
第二步,管理系统根据用户的检索请求,结合用户的功能模块权限和数据读范围权限,以M AND R AND S的检索条件去数据库中检索数据;
第三步,数据库返回相关检索数据给管理系统;
第四步,管理系统将数据检索结果显示给用户;
写数据流程是:
第一步,用户发送写数据的请求给管理系统;
第二步,管理系统根据用户的功能模块权限和数据写范围权限,在M AND W的条件范围内将数据写入数据库;
第三步,数据库返回操作结果给管理系统;
第四步,管理系统返回结果数据显示给用户;
前述写数据包括插入、修改、删除数据。
用户权限管理的详细流程为:
第一步,超级管理员或上级管理员为下级管理员或普通用户授权,授权包括功能模块访问权限和数据读写范围权限;
第二步,管理系统将授权信息写入数据库的相关授权信息表;
第三步,数据库返回操作结果给管理系统;
第四步,管理系统显示处理结果给超级管理员或上级管理员;
第五步,管理系统根据授权用户的功能模块权限和数据读写范围权限,显示个性化的菜单和数据。
所述的基本数据表为:
(1)用户表:用户编号,用户名,密码,权限等级,日期,授权人,状态;
(2)功能模块表:功能模块编号,功能描述;
(3)功能模块授权表:用户编号,用户名,功能模块编号;
(4)数据表字典:数据库名,数据表名,描述;
(5)数据授权表:用户编号,用户名,数据库名,数据表名,读范围,写范围。
采用本发明的方法,具有如下优点:(1)实现多级用户权限管理;(2)个性化的菜单及数据显示;(3)将用户对数据的读写范围分开,结合功能模块权限,实现更细粒度的数据访问权限管理;(4)实现数据访问权限的全方位保护。
附图说明
下面结合附图对本发明进一步说明:
图1是本发明的系统架构示意图;
图2是本发明的用户权限管理示意图;
图3是本发明的基本数据表。
具体实施方式
如图1所示,本发明在数据库中保存了用户注册信息、数据表字典、功能模块信息、功能模块授权信息和数据读写范围授权信息;用户初次注册时,系统授予用户默认的功能模块访问权限和数据读写范围访问权限;系统根据用户默认权限显示对应的菜单和数据给用户;若用户对应的数据读写范围为空,则代表用户对授权的功能模块具有所有权限,否则,用户就只能在授权的功能模块及数据读写范围内操作;超级管理员或上级管理员可随时对下级管理员或普通用户的权限进行修改。本发明的详细流程为:
第一步,用户发送注册请求给后台管理系统;
第二步,管理系统为用户授予默认的功能模块访问权限(假设为M)和数据读写范围权限(假设读范围为R、写范围为W),并写入数据库表;
第三步,数据库根据功能模块访问权限M和数据读范围R,返回相关数据给管理系统;
第四步,管理系统将功能模块和对应数据显示给用户;
第五步,若用户发送数据检索请求,检索的条件为S;
第六步,管理系统根据用户的检索请求,结合用户的功能模块权限和数据读范围权限,以M AND R AND S的检索条件去数据库中检索数据;
第七步,数据库返回相关检索数据给管理系统;
第八步,管理系统将数据检索结果显示给用户;
第九步,用户发送插入数据的请求给管理系统;
第十步,管理系统根据用户的功能模块权限和数据写范围权限,在M AND W的条件范围内将数据插入数据库;
第十一步,数据库返回操作结果给管理系统;
第十二步,管理系统返回结果数据显示给用户;
第十三步,用户发送修改数据的请求给管理系统;
第十四步,管理系统根据用户的功能模块权限和数据写范围权限,在M ANDW的条件范围内修改数据库中的数据;
第十五步,数据库返回操作结果给管理系统;
第十六步,管理系统返回结果数据显示给用户;
第十七步,用户发送删除数据的请求给管理系统;
第十八步,管理系统根据用户的功能模块权限和数据写范围权限,在M ANDW的条件范围内删除数据库中的数据;
第十九步,数据库返回操作结果给管理系统;
第二十步,管理系统返回结果数据显示给用户。
如图2所示,用户权限管理的详细流程为:
第一步,超级管理员或上级管理员为下级管理员或普通用户授权,授权包括功能模块访问权限和数据读写范围权限;
第二步,管理系统将授权信息写入数据库的相关授权信息表;
第三步,数据库返回操作结果给管理系统;
第四步,管理系统显示处理结果给超级管理员或上级管理员;
第五步,管理系统根据授权用户的功能模块权限和数据读写范围权限,显示个性化的菜单和数据。
如图3所示,本发明的基本数据表为:
(1)用户表:用户编号,用户名,密码,权限等级,日期,授权人,状态;
(2)功能模块表:功能模块编号,功能描述;
(3)功能模块授权表:用户编号,用户名,功能模块编号;
(4)数据表字典:数据库名,数据表名,描述;
(5)数据授权表:用户编号,用户名,数据库名,数据表名,读范围,写范围。
Claims (5)
1.一种数据访问权限保护方法,其特征在于:数据库中保存用户注册信息、数据表字典、功能模块信息、功能模块授权信息和数据读写范围授权信息;用户初次注册时,系统授予用户默认的功能模块访问权限和数据读写范围访问权限;系统根据用户默认权限显示对应的菜单和数据给用户;若用户对应的数据读写范围为空,则代表用户对授权的功能模块具有所有权限,否则,用户就只能在授权的功能模块及数据读写范围内操作;超级管理员或上级管理员可随时对下级管理员或普通用户的权限进行修改。
2.根据权利要求1所述的数据访问权限保护方法,其特征在于:所述的访问权限保护流程可分为注册和权限设定、数据访问和写数据;
注册和权限设定流程是:
第一步,用户发送注册请求给后台管理系统;
第二步,管理系统为用户授予默认的功能模块访问权限M和数据读写范围权限R和W,并写入数据库表;
第三步,数据库根据功能模块访问权限M和数据读范围R,返回相关数据给管理系统;
第四步,管理系统将功能模块和对应数据显示给用户;
其数据访问流程如下:
第一步,若用户发送数据检索请求,检索的条件为S;
第二步,管理系统根据用户的检索请求,结合用户的功能模块权限和数据读范围权限,以M AND R AND S的检索条件去数据库中检索数据;
第三步,数据库返回相关检索数据给管理系统;
第四步,管理系统将数据检索结果显示给用户;
写数据流程是:
第一步,用户发送写数据的请求给管理系统;
第二步,管理系统根据用户的功能模块权限和数据写范围权限,在M AND W的条件范围内将数据写入数据库;
第三步,数据库返回操作结果给管理系统;
第四步,管理系统返回结果数据显示给用户;
前述写数据包括插入、修改、删除数据。
3.根据权利要求1所述的数据访问权限保护方法,其特征在于:用户权限管理的详细流程为:
第一步,超级管理员或上级管理员为下级管理员或普通用户授权,授权包括功能模块访问权限和数据读写范围权限;
第二步,管理系统将授权信息写入数据库的相关授权信息表;
第三步,数据库返回操作结果给管理系统;
第四步,管理系统显示处理结果给超级管理员或上级管理员;
第五步,管理系统根据授权用户的功能模块权限和数据读写范围权限,显示个性化的菜单和数据。
4.根据权利要求2所述的数据访问权限保护方法,其特征在于:用户权限管理的详细流程为:
第一步,超级管理员或上级管理员为下级管理员或普通用户授权,授权包括功能模块访问权限和数据读写范围权限;
第二步,管理系统将授权信息写入数据库的相关授权信息表;
第三步,数据库返回操作结果给管理系统;
第四步,管理系统显示处理结果给超级管理员或上级管理员;
第五步,管理系统根据授权用户的功能模块权限和数据读写范围权限,显示个性化的菜单和数据。
5.根据权利要求1至4任一项所述的数据访问权限保护方法,其特征在于:所述的基本数据表为:
(1)用户表:用户编号,用户名,密码,权限等级,日期,授权人,状态;
(2)功能模块表:功能模块编号,功能描述;
(3)功能模块授权表:用户编号,用户名,功能模块编号;
(4)数据表字典:数据库名,数据表名,描述;
(5)数据授权表:用户编号,用户名,数据库名,数据表名,读范围,写范围。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310719856.XA CN103699849A (zh) | 2013-12-23 | 2013-12-23 | 一种数据访问权限保护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310719856.XA CN103699849A (zh) | 2013-12-23 | 2013-12-23 | 一种数据访问权限保护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103699849A true CN103699849A (zh) | 2014-04-02 |
Family
ID=50361373
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310719856.XA Pending CN103699849A (zh) | 2013-12-23 | 2013-12-23 | 一种数据访问权限保护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103699849A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107426182A (zh) * | 2017-06-21 | 2017-12-01 | 郑州云海信息技术有限公司 | 一种存储管理系统的访问控制方法及系统 |
CN109558433A (zh) * | 2017-09-27 | 2019-04-02 | 北京京东尚科信息技术有限公司 | 一种请求访问hdfs的方法和装置 |
CN112100641A (zh) * | 2020-11-09 | 2020-12-18 | 成都掌控者网络科技有限公司 | 一种多维授权方法、系统、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080120302A1 (en) * | 2006-11-17 | 2008-05-22 | Thompson Timothy J | Resource level role based access control for storage management |
CN101478536A (zh) * | 2008-12-08 | 2009-07-08 | 山东浪潮齐鲁软件产业股份有限公司 | 一种解决权限管理中访问控制的方法 |
CN101833511A (zh) * | 2010-03-29 | 2010-09-15 | 瑞斯康达科技发展股份有限公司 | 数据管理方法、装置和系统 |
CN102053969A (zh) * | 2009-10-28 | 2011-05-11 | 上海宝信软件股份有限公司 | webERP用户权限管理系统 |
-
2013
- 2013-12-23 CN CN201310719856.XA patent/CN103699849A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080120302A1 (en) * | 2006-11-17 | 2008-05-22 | Thompson Timothy J | Resource level role based access control for storage management |
CN101478536A (zh) * | 2008-12-08 | 2009-07-08 | 山东浪潮齐鲁软件产业股份有限公司 | 一种解决权限管理中访问控制的方法 |
CN102053969A (zh) * | 2009-10-28 | 2011-05-11 | 上海宝信软件股份有限公司 | webERP用户权限管理系统 |
CN101833511A (zh) * | 2010-03-29 | 2010-09-15 | 瑞斯康达科技发展股份有限公司 | 数据管理方法、装置和系统 |
Non-Patent Citations (2)
Title |
---|
吴忠懿: "基于角色访问控制的权限管理系统研究与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
马海瀚: "网络化系统中权限控制技术研究及其应用", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107426182A (zh) * | 2017-06-21 | 2017-12-01 | 郑州云海信息技术有限公司 | 一种存储管理系统的访问控制方法及系统 |
CN109558433A (zh) * | 2017-09-27 | 2019-04-02 | 北京京东尚科信息技术有限公司 | 一种请求访问hdfs的方法和装置 |
CN112100641A (zh) * | 2020-11-09 | 2020-12-18 | 成都掌控者网络科技有限公司 | 一种多维授权方法、系统、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101478536B (zh) | 一种解决权限管理中访问控制的方法 | |
US9483422B2 (en) | Access to memory region including confidential information | |
US10628613B2 (en) | Cryptographic operations for secure page mapping in a virtual machine environment | |
JP2007509435A5 (zh) | ||
AU2014240260A1 (en) | User interface management method and system | |
CN103902862A (zh) | 一种移动设备管理方法、装置及一种移动设备 | |
CN103617404A (zh) | 一种安全分区的存储装置 | |
CN102257483A (zh) | 管理对存储器件中的地址范围的访问 | |
CN101739526A (zh) | 一种面向服务体系的基于面向对象的权限管理方法 | |
CN102955745A (zh) | 一种移动存储终端及其管理数据的方法 | |
CN101866360A (zh) | 基于对象多维属性空间的数据仓库鉴权方法及系统 | |
CN102930221A (zh) | 一种保护手持设备中数据的方法 | |
CN107038369A (zh) | 一种资源访问控制的方法及终端 | |
CN102542069B (zh) | Xml数据库系统的xml文档访问控制方法及系统 | |
US20210279355A1 (en) | Methods and systems for purpose-based access control | |
CN105095945A (zh) | 一种安全存储数据的sd卡 | |
CN103699849A (zh) | 一种数据访问权限保护方法 | |
CN103309819B (zh) | 嵌入式系统及其中的内存安全管理方法 | |
CN102945208B (zh) | 多用户硬盘系统及其实现方法 | |
CN102495986A (zh) | 计算机系统中实现避免加密数据被盗用的调用控制方法 | |
CN103810441A (zh) | 一种基于规则的多粒度遥感数据访问方法 | |
GB2617984A (en) | Method for restricting access to a data owner's data | |
CN103870762A (zh) | 分区访问方法和电子设备 | |
CN103049707B (zh) | 一种基于Android平台的GPS数据拦截控制方法 | |
CN105122266B (zh) | 用于对飞行器的机载系统的关键数据进行保护的系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140402 |
|
RJ01 | Rejection of invention patent application after publication |