CN104376272A - 一种云计算企业信息系统及该系统的用户权限设定方法 - Google Patents
一种云计算企业信息系统及该系统的用户权限设定方法 Download PDFInfo
- Publication number
- CN104376272A CN104376272A CN201410641939.6A CN201410641939A CN104376272A CN 104376272 A CN104376272 A CN 104376272A CN 201410641939 A CN201410641939 A CN 201410641939A CN 104376272 A CN104376272 A CN 104376272A
- Authority
- CN
- China
- Prior art keywords
- user
- information
- storing
- access
- cloud computing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及权限管理领域,特别涉及一种对云计算企业的操作权限进行管理的信息系统及方法,包括一管理模块、一交互模块以及一数据库。本发明具有以下优点:使云服务系统按照企业用户要求灵活地定义各种文档和数据权限保护策略,通过对象访问规则的设置可以满足企业按业务规则设定数据权限的要求,通过对象布局的设置可以满足企业对敏感数据的保护要求,减少企业的数据安全顾虑,从而减少或者从根本上避免企业在信息化过程中大量软硬件基础设施的投入,加速企业信息化进程。
Description
技术领域
本发明涉及权限管理领域,特别涉及一种对云计算企业的操作权限进行管理的信息系统及方法。
背景技术
在企业的系统中,对用户进行身份验证和鉴权是应用系统的基本功能,鉴权就是解决用户对不同资源的访问权限问题。为了解决用户的权限管理问题,目前业界已经提出了一些权限管理模型,其中,角色访问控制(Role Based Access Control,RBAC)模型是目前应用较为广泛的模型之一。
基于RBAC模型的权限管理,是指应用RBAC模型的权限管理单元配置资源访问权限和为用户提供资源访问权限的查询,其中为用户提供资源访问权限的查询是权限管理的主要内容。目前,企业系统对用户权限管理的方式主要有以下几种方式:
1、按照文件和数据归属的组织机构归纳用户权限。首先定义组织机构,在组织机构内创建文档和数据,并定义文档和数据归属职能范围;同时创建用户,定义用户组织机构数据权限,并定义用户职能权限。当用户访问系统时,比较用户权限和数据归属,从而确定用户的访问权限。
但是,按照组织机构和职能定义用户数据访问权限不能体现数据共享形式的多样化。
2、按照文件和数据的所有人和所有人在组织内的网络关系归纳用户权限。首先创建用户,并定义用户在组织内的网络关系;同时用户创建文档,并定义文档在网络中的共享范围。当用户访问系统时,比较访问用户在网络中的低位和数据共享范围,从而确定用户的访问权限。
这种技术是以文档的创建用户为关键控制点,通过创建人在组织内的归属部门和上下级关系来确定文档的访问权限,因此无法将文档创建人(文档的录入人)和归属人(文档的管理者)分开。而且当所有人在组织内的关系发生变化时(比如工作职责变化,离职,或有多头上级关系)往往造成权限管理的混乱。比如:王某先为销售部业务员,在系统中负责部分销售数据的录入,该技术在权限控制时会根据王某的职务和部门将这部分数据划分为销售部数据,当王某调到生产部时这部分数据将会被划分为生产部数据。
综上所述,现有的企业系统对用户权限管理的方式存在缺乏多样性、容易造成权限管理混乱的问题。
发明内容
本发明的目的是提供一种云计算企业信息系统,以解决现有的企业系统对用户权限管理的方式容易造成权限管理混乱,安全性差的问题。
本发明的另一目的是提供一种云计算企业信息系统的用户权限设定方法,以解决现有的企业系统对用户权限管理的方式容易造成权限管理混乱,安全性差的问题。
为解决以上问题,本发明提出一种云计算企业信息系统,包括管理模块、交互模块以及数据库,交互模块用于根据用户发送的请求,向管理模块发送数据访问信息,管理模块分别与交互模块及数据库相连,用于查询及调用数据。其中,数据库又进一步包括用户模块、对象模块、角色模块及对象布局模块。用户模块,用于存储用户信息,对象模块用于存储需要进行控制的对象,以及每个对象对应的功能,角色模块用于存储用户对对象的访问权限规则信息,对象布局模块用于存储各个对象中的字段的访问规则信息。
进一步的,对象布局模块又进一步包括对象字段表和用户和对象字段布局表。对象字段表用于存储每个对象所包含的字段信息,用户和对象字段布局表用于存储用户与对象的字段之间的访问权限信息。
进一步的,用户模块又进一步包括用户表、用户组表和用户和组对应表。用户表,用于存储用户信息,用户组表用于存储按照特定区域或类别划分的组信息,用户和组对应表用于存储单个用户与组之间的对应关系信息。
进一步的,角色模块又进一步包括用户角色对应表和角色权限表。用户角色对应表用于存储用户与角色之间的对应关系信息,一角色权限表用于存储角色与对象之间的对应关系信息。
进一步的,对象模块又进一步包括对象表和功能表。对象表用于存储需要进行控制的对象信息,功能表用于存储每个对象对应的操作功能信息。
本发明还提出一种云计算企业信息系统的用户权限设定方法,包括数据库创建过程和权限验证过程。数据库创建过程包括以下步骤:(1)定义并存储需要进行数据控制的对象。(2)存储用户对对象的访问权限规则信息。(3)存储各个对象中的字段的访问规则信息。
权限验证过程包括以下步骤:(1)根据用户发送的访问请求信息,查询其有权限控制的对象。(2)查询用户有权控制的对象中其有权限访问的字段信息,并反馈给用户。
进一步的,数据库创建过程还包括步骤:存储用户信息。
权限验证过程还包括步骤:根据用户发送的访问请求信息查询用户信息,并根据用户信息查询用户有权限控制的对象。
进一步的,查询用户有权限访问的字段信息包括以下步骤:(1)查询对象包含的字段信息。(2)查询用户有权限访问的字段信息。(3)向用户反馈其有权限访问的对象的字段信息。
进一步的,所述的云计算企业信息系统的用户权限设定方法,反馈给用户的信息为图像信息或语音信息。
进一步的,所述的云计算企业信息系统的用户权限设定方法,还包括以下步骤:查询用户对其所访问对象可操作的功能信息,并反馈给用户。
相对于现有技术,本发明具有以下优点:本发明可以使云服务系统按照企业用户要求灵活地定义各种文档和数据权限保护策略,通过对象访问规则的设置可以满足企业按业务规则设定数据权限的要求,通过对象布局的设置可以满足企业对敏感数据的保护要求,减少企业的数据安全顾虑,从而减少或者从根本上避免企业在信息化过程中大量软硬件基础设施的投入,加速企业信息化进程。
具体实施方式
云计算的应用都是展现为Web服务,Web服务普遍采用的是三层架构,即表现层(UI)、业务逻辑层(BLL)、数据访问层(DAL)。对云应用生成Web页面(表现层)的控制可以实现对用户关键字段(列数据)访问权限的控制,如:用户账户,身份证号等。业务数据是在数据库访问层中获取并转化为简单JAVA对象(POJO)。用户的资源在系统中是通过数据的形式保存在数据库中的,通过在数据访问层中增加对数据访问范围的控制。就可以实现对用户特定资源的控制(行数据),例如:系统中客户信用额度是保存在数据库客户信息表中的,我们通过对该表中信用额度大于500万元的数据的访问控制,就可以实现对客户资源中信用额度大于500万的优质客户的控制。
本发明中,所述的“用户”是已在系统中定义了使用功能、资源的单个身份(平台用户),用户可以通过终端以网络连接的方式与本发明的云计算企业信息系统进行交互,也可以直接从本发明的云计算企业信息系统访问内部数据。本发明所述的“角色”定义了用户可以访问哪些功能模块,并定义用户的可控数据范围,也就是说,角色决定用户的授权访问级别。本发明所述的“对象”是用户可访问的业务对象及其数据范围,如:采购单、合同、供应商等。本发明所采用的数据查询方式可以是遍历数据查询或其它任意形式。
本发明可以使云服务系统按照企业用户要求灵活地定义各种文档和数据权限保护策略,通过对象访问规则的设置可以满足企业按业务规则设定数据权限的要求,通过对象布局的设置可以满足企业对敏感数据的保护要求,减少企业的数据安全顾虑,从而减少或者从根本上避免企业在信息化过程中大量软硬件基础设施的投入,加速企业信息化进程。
一种云计算企业信息系统,包括管理模块、交互模块以及数据库,交互模块用于根据用户发送的请求,向管理模块发送数据访问信息,管理模块分别与交互模块及数据库相连,用于查询及调用数据。其中,数据库又进一步包括用户模块、对象模块、角色模块及对象布局模块。用户模块,用于存储用户信息,对象模块用于存储需要进行控制的对象,以及每个对象对应的功能,角色模块用于存储用户对对象的访问权限规则信息,对象布局模块用于存储各个对象中的字段的访问规则信息。
进一步的,对象布局模块又进一步包括对象字段表和用户和对象字段布局表。对象字段表用于存储每个对象所包含的字段信息,用户和对象字段布局表用于存储用户与对象的字段之间的访问权限信息。
进一步的,用户模块又进一步包括用户表、用户组表和用户和组对应表。用户表,用于存储用户信息,用户组表用于存储按照特定区域或类别划分的组信息,用户和组对应表用于存储单个用户与组之间的对应关系信息。
进一步的,角色模块又进一步包括用户角色对应表和角色权限表。用户角色对应表用于存储用户与角色之间的对应关系信息,一角色权限表用于存储角色与对象之间的对应关系信息。
进一步的,对象模块又进一步包括对象表和功能表。对象表用于存储需要进行控制的对象信息,功能表用于存储每个对象对应的操作功能信息。
本发明还提出一种云计算企业信息系统的用户权限设定方法,包括数据库创建过程和权限验证过程。数据库创建过程包括以下步骤:(1)定义并存储需要进行数据控制的对象。(2)存储用户对对象的访问权限规则信息。(3)存储各个对象中的字段的访问规则信息。
权限验证过程包括以下步骤:(1)根据用户发送的访问请求信息,查询其有权限控制的对象。(2)查询用户有权控制的对象中其有权限访问的字段信息,并反馈给用户。
进一步的,数据库创建过程还包括步骤:存储用户信息。
权限验证过程还包括步骤:根据用户发送的访问请求信息查询用户信息,并根据用户信息查询用户有权限控制的对象。
进一步的,查询用户有权限访问的字段信息包括以下步骤:(1)查询对象包含的字段信息。(2)查询用户有权限访问的字段信息。(3)向用户反馈其有权限访问的对象的字段信息。
进一步的,所述的云计算企业信息系统的用户权限设定方法,反馈给用户的信息为图像信息或语音信息。
进一步的,所述的云计算企业信息系统的用户权限设定方法,还包括以下步骤:查询用户对其所访问对象可操作的功能信息,并反馈给用户。
以上公开的仅为本申请的几个具体实施例,但本申请并非局限于此,任何本领域的技术人员能思之的变化,都应落在本申请的保护范围内。
Claims (10)
1.一种云计算企业信息系统,包括一管理模块、一交互模块以及一数据库,该交互模块用于根据用户发送的请求,向该管理模块发送数据访问信息,该管理模块分别与该交互模块及该数据库相连,用于查询及调用数据,其特征在于,该数据库又进一步包括:一用户模块,用于存储用户信息;一对象模块,用于存储需要进行控制的对象,以及每个对象对应的功能;一角色模块,用于存储用户对对象的访问权限规则信息;一对象布局模块,用于存储各个对象中的字段的访问规则信息。
2.如权利要求1所述的云计算企业信息系统,其特征在于,该对象布局模块又进一步包括:一对象字段表,用于存储每个对象所包含的字段信息;一用户和对象字段布局表,用于存储用户与对象的字段之间的访问权限信息。
3.如权利要求1所述的云计算企业信息系统,其特征在于,该用户模块又进一步包括:一用户表,用于存储用户信息;一用户组表,用于存储按照特定区域或类别划分的组信息;一用户和组对应表,用于存储单个用户与组之间的对应关系信息。
4.如权利要求1所述的云计算企业信息系统,其特征在于,该角色模块又进一步包括:一用户角色对应表,用于存储用户与角色之间的对应关系信息;一角色权限表,用于存储角色与对象之间的对应关系信息。
5.如权利要求1所述的云计算企业信息系统,其特征在于,该对象模块又进一步包括:一对象表,用于存储需要进行控制的对象信息;一功能表,用于存储每个对象对应的操作功能信息。
6.一种云计算企业信息系统的用户权限设定方法,其特征在于,包括数据库创建过程和权限验证过程,数据库创建过程包括以下步骤:定义并存储需要进行数据控制的对象;存储用户对对象的访问权限规则信息;存储各个对象中的字段的访问规则信息;权限验证过程包括以下步骤:根据用户发送的访问请求信息,查询其有权限控制的对象;查询用户有权控制的对象中其有权限访问的字段信息,并反馈给用户。
7.如权利要求6所述的云计算企业信息系统的用户权限设定方法,其特征在于,数据库创建过程还包括步骤:存储用户信息;权限验证过程还包括步骤:根据用户发送的访问请求信息查询用户信息,并根据用户信息查询用户有权限控制的对象。
8.如权利要求6所述的云计算企业信息系统的用户权限设定方法,其特征在于,查询用户有权限访问的字段信息包括以下步骤:查询对象包含的字段信息;查询用户有权限访问的字段信息;向用户反馈其有权限访问的对象的字段信息。
9.如权利要求6所述的云计算企业信息系统的用户权限设定方法,其特征在于,反馈给用户的信息为图像信息或语音信息。
10.如权利要求6-9任一项所述的云计算企业信息系统的用户权限设定方法,其特征在于,还包括以下步骤:查询用户对其所访问对象可操作的功能信息,并反馈给用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410641939.6A CN104376272A (zh) | 2014-11-13 | 2014-11-13 | 一种云计算企业信息系统及该系统的用户权限设定方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410641939.6A CN104376272A (zh) | 2014-11-13 | 2014-11-13 | 一种云计算企业信息系统及该系统的用户权限设定方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104376272A true CN104376272A (zh) | 2015-02-25 |
Family
ID=52555173
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410641939.6A Pending CN104376272A (zh) | 2014-11-13 | 2014-11-13 | 一种云计算企业信息系统及该系统的用户权限设定方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104376272A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104751077A (zh) * | 2015-04-21 | 2015-07-01 | 沈文策 | 权限控制方法及装置 |
| CN105227551A (zh) * | 2015-09-24 | 2016-01-06 | 四川长虹电器股份有限公司 | Xbrl应用平台的统一权限管理方法 |
| CN107392450A (zh) * | 2017-07-07 | 2017-11-24 | 山东御银智慧金融设备有限公司 | 基于云计算的企业客户营销智能化管理系统 |
| CN108829781A (zh) * | 2018-05-31 | 2018-11-16 | 中国平安人寿保险股份有限公司 | 客户信息查询方法、装置、计算机设备和存储介质 |
| CN109815714A (zh) * | 2019-01-04 | 2019-05-28 | 平安科技(深圳)有限公司 | 权限管控方法、装置及计算机可读存储介质 |
| CN110020553A (zh) * | 2019-04-12 | 2019-07-16 | 山东浪潮云信息技术有限公司 | 一种保护敏感数据的方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102236763A (zh) * | 2010-05-05 | 2011-11-09 | 微软公司 | 基于数据驱动角色的安全 |
| CN102307185A (zh) * | 2011-06-27 | 2012-01-04 | 北京大学 | 适用于存储云内的数据隔离方法 |
| CN102456103A (zh) * | 2010-10-26 | 2012-05-16 | 王芳 | 一种改进的rbac访问控制模型 |
| CN102724221A (zh) * | 2011-03-30 | 2012-10-10 | 上海微河信息科技有限公司 | 云计算企业信息系统及该系统的用户权限设定方法 |
-
2014
- 2014-11-13 CN CN201410641939.6A patent/CN104376272A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102236763A (zh) * | 2010-05-05 | 2011-11-09 | 微软公司 | 基于数据驱动角色的安全 |
| CN102456103A (zh) * | 2010-10-26 | 2012-05-16 | 王芳 | 一种改进的rbac访问控制模型 |
| CN102724221A (zh) * | 2011-03-30 | 2012-10-10 | 上海微河信息科技有限公司 | 云计算企业信息系统及该系统的用户权限设定方法 |
| CN102307185A (zh) * | 2011-06-27 | 2012-01-04 | 北京大学 | 适用于存储云内的数据隔离方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104751077A (zh) * | 2015-04-21 | 2015-07-01 | 沈文策 | 权限控制方法及装置 |
| CN105227551A (zh) * | 2015-09-24 | 2016-01-06 | 四川长虹电器股份有限公司 | Xbrl应用平台的统一权限管理方法 |
| CN107392450A (zh) * | 2017-07-07 | 2017-11-24 | 山东御银智慧金融设备有限公司 | 基于云计算的企业客户营销智能化管理系统 |
| CN108829781A (zh) * | 2018-05-31 | 2018-11-16 | 中国平安人寿保险股份有限公司 | 客户信息查询方法、装置、计算机设备和存储介质 |
| CN109815714A (zh) * | 2019-01-04 | 2019-05-28 | 平安科技(深圳)有限公司 | 权限管控方法、装置及计算机可读存储介质 |
| CN110020553A (zh) * | 2019-04-12 | 2019-07-16 | 山东浪潮云信息技术有限公司 | 一种保护敏感数据的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102724221A (zh) | 云计算企业信息系统及该系统的用户权限设定方法 | |
| US20210056081A1 (en) | Securing Access to Confidential Data Using a Blockchain Ledger | |
| CN109889503B (zh) | 基于区块链的身份管理方法、电子装置及存储介质 | |
| CN104376272A (zh) | 一种云计算企业信息系统及该系统的用户权限设定方法 | |
| US10587413B1 (en) | Decentralized identities for cross-enterprise authentication and/or authorization | |
| EP2585970B1 (en) | Online service access controls using scale out directory features | |
| US8850041B2 (en) | Role based delegated administration model | |
| US11962511B2 (en) | Organization level identity management | |
| CN102307185B (zh) | 适用于存储云内的数据隔离方法 | |
| US8966017B2 (en) | Techniques for cloud control and management | |
| US8726342B1 (en) | Keystore access control system | |
| US8843648B2 (en) | External access and partner delegation | |
| US10397213B2 (en) | Systems, methods, and software to provide access control in cloud computing environments | |
| US9246922B2 (en) | Programmatically enabling user access to CRM secured field instances based on secured field instance settings | |
| US8578452B2 (en) | Method for securely creating a new user identity within an existing cloud account in a cloud computing system | |
| US20140173720A1 (en) | System and method for controlling the on and off state of features at runtime | |
| EP2715971B1 (en) | Automating cloud service reconnections | |
| CN104573478A (zh) | 一种Web应用的用户权限管理系统 | |
| US10432642B2 (en) | Secure data corridors for data feeds | |
| CN105262780B (zh) | 一种权限控制方法及系统 | |
| CN104751077A (zh) | 权限控制方法及装置 | |
| CN101951385B (zh) | 电子交易平台服务切换方法 | |
| Rahul et al. | A novel authentication framework for Hadoop | |
| US20170163652A1 (en) | Secure data corridors | |
| WO2017090142A1 (ja) | サービス提供システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150225 |
|
| WD01 | Invention patent application deemed withdrawn after publication |