CN105577703A

CN105577703A - 大数据警务云系统的用户权限管理方法

Info

Publication number: CN105577703A
Application number: CN201610158330.2A
Authority: CN
Inventors: 李娜; 戚思宇; 李士锋; 魏立恒; 余弦; 潘景山; 刘广起; 宋立峰
Original assignee: Public Security Department Of Shandong Province; Shandong Computer Science Center
Current assignee: Public Security Department Of Shandong Province; Shandong Computer Science Center National Super Computing Center in Jinan; Shandong Computer Science Center
Priority date: 2016-03-18
Filing date: 2016-03-18
Publication date: 2016-05-11
Anticipated expiration: 2036-03-18
Also published as: CN105577703B

Abstract

本发明的大数据警务云系统的用户权限管理方法，映射关系建立阶段包括：a).云应用的标记；b).建立用户信息数据元表；c).建立权限数据元表；d).建立映射关系；权限管理实施阶段包括：1).填写个人注册信息；2).生成个人权限列表；3).生成权限时间；4).保存信息；5).发送权限请求；6).接收权限请求；7).返回权限指令；8).加载应用程序或功能模块。本发明的用户权限管理方法，有效地实现了云系统上警务云应用较多（如数十或上百个）时的自动权限管理，减少基层民警用户使用云应用的权限审批流程，更好的建立不同业务、不同单位部分之间的分级授权制度，清晰化权限边界，有益效果显著，适于应用推广。

Description

大数据警务云系统的用户权限管理方法

技术领域

本发明涉及一种大数据警务云系统的用户权限管理方法，更具体的说，尤其涉及一种可对开放式云应用生态体系上的几十或上百个云应用进行自动统一管理的大数据警务云系统的用户权限管理方法。

背景技术

山东省大数据警务云系统上已运行有警务专题、通用工具、社会服务、队伍管理等四大类几十种云应用，面向全省十万民警和各警种提供大数据一体化应用服务。为实现良性可持续发展的应用生态体系，除了现有在线运行的专题警务、移动警务、民生服务等主干应用外，还开放数据及开发服务接口，支持地市、警种开发者开发个性化警务应用，以及民警个人开发者和群众开发者开发各种应用。随着新开发应用的不断增多，就给系统用户的权限管理带来了挑战。

传统的应用软件的权限管理是将用户分为不同的角色进行程序功能调用的权限限制，其中用户、角色和权限是多对多关系。对于山东省大数据警务云系统的开放式应用生态体系，传统的权限管理方式面对不断增加的云应用进行方便的用户权限管理遇到困难。如何更好的进行几十个甚至上百种云应用的用户权限统一管理，减少基层民警用户注册使用云应用的次数和权限审批流程，更好的建立不同业务、不同单位部门之间的分级授权制度，清晰化权限边界，这些问题都有待解决。同时，大数据警务云系统在公安内网中运行，容易成为不法分子的攻击目标，对于网络通信的抗干扰、抗噪声和保密性要求较高。在权限管理过程中，需要对警员身份进行有效认证，加强权限服务器与其他设备的通信传输抗攻击性能，保证数据的保密性，避免重大安全数据的外泄。

本发明提出一种基于山东省大数据警务云系统的用户权限管理方法，能够进行分布式的用户身份认证和权限管理，实现网络保密通信的用户身份认证，解决用户权限的精确化和动态化控制，增强大数据警务云系统用用的易用性。

发明内容

本发明为了克服上述技术问题的缺点，提供了一种大数据警务云系统的用户权限管理方法。

本发明的大数据警务云系统的用户权限管理方法，其特别之处在于，包括映射关系建立阶段和权限管理实施阶段；

所述映射关系建立阶段通过以下步骤来实现：

a).云应用的标记，设大数据警务云系统上在线运行的云应用数目为M个，其分别标记为ap1、ap2、…、apM，并设云应用api所包含的可独立运行的功能模块数量为N个，功能模块分别标记为api1、api2、…、apiN，其中，1≤i≤M，N≥1；b).建立用户信息数据元表，设需要使用警务云应用的单位为J1个、部门为J2个、业务为J3个，J1个单位分别标记为dw1、dw2、…、dwJ2，J2个部分分别标记为bm1、bm2、…、bmJ1，J3个业务分别标记为yw1、yw2、…、ywJ3，建立用户信息数据元表；c).建立权限数据元表，按照可否运行该应用、可否运行该应用下的某个功能模块、可否查看历史数据、可否添加数据、可否修改数据、可否删除数据、是否显示个人历史数据建立权限数据元表；d).建立映射关系，按照某个单位、某个单位下的某个部门、某单位下某个部门的某类业务人员，对所有警务云应用的使用权限进行定义，为每个警务云应用建立用户信息数据元表与权限数据元表的一一映射关系；

所述权限管理实施阶段通过以下步骤来实现：

1).填写个人注册信息，用户初次注册或修改注册信息时，填写包括姓名、身份证号、业务、单位、部门在内的基本个人信息，提交或修改注册信息后进行一次人工审核，以保证注册数据的真实性和准确性；2).生成个人权限列表，首先根据个人注册信息，按照单位、部门、业务的顺序生成个人信息编码，然后按照步骤d)中建立的映射关系，对所有警务云应用生成个人权限列表；3).生成权限时间，按照个人身份证号中的年龄信息，生成在岗年限之内的权限时间；4).保存信息，将个人信息编码、个人权限列表和权限时间在内的信息保存至权限管理服务器上；5).发送权限请求，当用户通过远方的登录端使用某个警务云应用时，由远方登录端向权限管理服务器发送个人信息编码的扩频通信码，进行权限请求；6).接收权限请求，权限管理服务器接收到权限请求时，从接收的扩频码中还原出个人信息编码，并将还原出的个人信息编码与保存的原始个人信息编码进行比较，判断是否一致，如果不一致，表明该用户身份认证不通过，不具有使用警务云应用的权限；如果一致，则该权限请求有效，执行步骤7)；7).返回权限指令，根据该个人信息编码查找对应的个人权限列表和权限时间，将权限指令返回至用户的远方登录端；8).加载应用程序或功能模块，远方登录端接收到权限服务器发送的权限指令后，得到该用户的个人权限列表和权限时间，判断其是否具有使用该警务云应用或其功能模块的权限，如果没有使用权限，则禁止警务云系统向登录端加载云应用或功能模块；如果有使用权限，则向登录端加载该云应用或功能模块。

本发明的大数据警务云系统的用户权限管理方法，步骤5)所述的发送权限请求采用扩频技术发送，个人信息编码采用二进制数据保存，其通过以下步骤来实现：

5-1).生成扩频码，利用秘钥K生成两个服从均匀分布、长度为Q的扩频码k1、k2，k1、k2中的元素∈{0,1}，两个序列k1、k2不相关或相关性很小；5-2).对个人信息编码扩频，对于待发送的二进制的个人信息编码每一位按照顺序进行扩频，对于编码为0的位,利用扩频码k1对其进行扩频，对于编码为1的位，利用扩频码k2对其进行扩频，设待发送长度为S的二进制个人信息编码的第i位Gi对应的扩频码为Pi，利用公式(1)进行扩频发送：

P_{i} = \{\begin{matrix} \begin{matrix} k_{1} & G_{i} = 0 \\ k_{2} & G_{i} = 1 \end{matrix} & G_{i} &Element; {0, 1}, i = 1, 2, 3, ..., S \end{matrix} - - - (1)

5-3).信息发送，将扩频后的个人信息编码通过传输信道发送至权限服务器；

步骤6)所述的接收权限请求，通过以下步骤来实现：

6-1).判断接收信息的位数，首先计算接收到信息的总位数，判断信息的总位数是否是Q的整数倍，以保证接收信息的完整性；如果接收到信息长度为S′，则计算S′与Q比值，若该比值不等于S，则接收到的信息不完整，丢弃数据，返回错误代码，等待重新接收；若该比值等于S，则接收信息完整，执行步骤6-2)；6-2).还原信息，按照长度Q对接收到的信息依次截取，设某次截取的数据记为D，按照公式(2)和公式(3)分别计算序列D与序列k1、k2的相关系数Pk1、Pk2：

P k 1 = \frac{Σ_{i = 1}^{Q} (D_{i} - \overset{&OverBar;}{D}) (k 1_{i} - \overset{&OverBar;}{k 1})}{\sqrt{Σ_{i = 1}^{Q} {(D_{i} - \overset{&OverBar;}{D})}^{2} \cdot Σ_{i = 1}^{Q} {(k 1_{i} - \overset{&OverBar;}{k 1})}^{2} \cdot}} - - - (2)

P k 2 = \frac{Σ_{i = 1}^{Q} (D_{i} - \overset{&OverBar;}{D}) (k 2_{i} - \overset{&OverBar;}{k 2})}{\sqrt{Σ_{i = 1}^{Q} {(D_{i} - \overset{&OverBar;}{D})}^{2} \cdot Σ_{i = 1}^{Q} {(k 2_{i} - \overset{&OverBar;}{k 2})}^{2} \cdot}} - - - (3)

设某次截取的数据D还原的个人信息编码为G′，则按照下述公式(4)计算每位还原的编码：

G_{i}^{'} = \{\begin{matrix} \begin{matrix} 0 & P k 1 &GreaterEqual; P k 2 \\ 1 & P k 1 < P k 2 \end{matrix} & i = 1, 2, ..., S \end{matrix} - - - (4)

将所接收的信息还原完毕后，个人信息编码还原完毕。

本发明的大数据警务云系统的用户权限管理方法，步骤b)中建立用户信息数据元表的过程中，单位为按照行政级别划分的公安系统内所有实体单位，包括省厅、各市局、各派出所；部门划分为科技、信访、装财、宣传部门，业务按照警务功能进行划分，包括刑侦、治安、交通、出入境、情报。

本发明的有益效果是：本发明的大数据警务云系统的用户权限管理方法，首先根据规范后的用户信息数据元表、权限数据元表，为云系统上的每个警务云应用建立用户信息数据元表与权限数据元表的一一映射关系；然后，当用户注册或更改注册信息时，根据其填写的业务、单位、部门信息利用建立的映射关系生成个人权限列表；当用户从远方登录端发送使用某云应用或某功能模块的请求时，通过对其使用权限的验证，确定是否向其加载某云应用或某功能模块，有效地实现了云系统上警务云应用较多(如数十或上百个)时的自动权限管理，减少基层民警用户使用云应用的权限审批流程，更好的建立不同业务、不同单位部门之间的分级授权制度，清晰化权限边界，有益效果显著，适于应用推广。

进一步地，在远方登录端与权限管理服务器数据传输的过程中，通过采用长度为Q的扩频码k1、k2对待传输的数据进行扩频，接收端再利用序列k1、k2对接收的数据进行还原，有效地保证了数据传输过程中的保密性，使其具有更强的抗攻击性能。

附图说明

图1为本发明中的用户权限构成示意图；

图2为本发明中扩频调制及解调还原的示意图；

图3为本发明中权限管理实施阶段的流程图。

具体实施方式

下面结合附图与实施例对本发明作进一步说明。

本发明的大数据警务云系统的用户权限管理方法，包括映射关系建立阶段和权限管理实施阶段；

映射关系建立阶段通过以下步骤来实现：

a).云应用的标记，设大数据警务云系统上在线运行的云应用数目为M个，其分别标记为ap1、ap2、…、apM，并设云应用api所包含的可独立运行的功能模块数量为N个，功能模块分别标记为api1、api2、…、apiN，其中，1≤i≤M，N≥1；

由于云应用的数量较多，如几十或上百个，而且某个云应用有可能又有多个功能模块组成，对其进行编号，有利于标记某类用户是否享有权限使用该应用或该应用的某个功能模块。

b).建立用户信息数据元表，设需要使用警务云应用的单位为J1个、部门为J2个、业务为J3个，J1个单位分别标记为dw1、dw2、…、dwJ2，J2个部门分别标记为bm1、bm2、…、bmJ1，J3个业务分别标记为yw1、yw2、…、ywJ3，建立用户信息数据元表；

该步骤中，建立用户信息数据元表的过程中，单位为按照行政级别划分的公安系统内所有实体单位，包括省厅、各市局、各派出所等；部门划分为科技、信访、装财、宣传部门等，业务按照警务功能进行划分，包括刑侦、治安、交通、出入境、情报等。

将注册用户按照单位、部门和业务的不同进行区分，更有利于用户的权限管理；如dw1单位下bm2部门的yw3业务人员，是否具有使用ap2云应用下的ap24功能模块的功能，就十分容易标记了。

c).建立权限数据元表，按照可否运行该应用、可否运行该应用下的某个功能模块、可否查看历史数据、可否添加数据、可否修改数据、可否删除数据、是否显示个人历史数据建立权限数据元表；

d).建立映射关系，按照某个单位、某个单位下的某个部门、某个单位下某个部门的某类业务人员，对所有警务云应用的使用权限进行定义，为每个警务云应用建立用户信息数据元表与权限数据元表的一一映射关系；

例如“民警记事本”，属于通用类应用，则用户所有权限都设置成“可以”。如对于垂直搜索引擎“警务千度”业务应用，则根据用户信息确定权限：例如所有用户都有执行检索、查看历史数据的权限；当用户是派出所户籍警时，拥有添加数据权限；当用户是纪委等特殊部门人员时，拥有不显示个人历史数据权限。

进一步地，对信息数据元表进行八位二进制的编码。如业务数据元表若包含16个数据元，则依次编码为00000000,00000001，……，00010000。单位数据元表若包括244家单位，则依次编码为00000000,00000001，……，10010000。依次类推。

如图3所示，给出了本发明中权限管理实施阶段的流程图，所述权限管理实施阶段通过以下步骤来实现：

1).填写个人注册信息，用户初次注册或修改注册信息时，填写包括姓名、身份证号、业务、单位、部门在内的基本个人信息，提交或修改注册信息后进行一次人工审核，以保证注册数据的真实性和准确性；

2).生成个人权限列表，首先根据个人注册信息，按照单位、部门、业务的顺序生成个人信息编码，然后按照步骤d)中建立的映射关系，对所有警务云应用生成个人权限列表；

如图1所示，给出了本发明中的用户权限构成示意图，已注册的不同的用户1、用户2…用户n各自具备不同的用户个人信息编码和各自的权限期限，并保存在权限管理服务器上。

3).生成权限时间，按照个人身份证号中的年龄信息，生成在岗年限之内的权限时间；

4).保存信息，将个人信息编码、个人权限列表和权限时间在内的信息保存至权限管理服务器上；

5).发送权限请求，当用户通过远方的登录端使用某个警务云应用时，由远方登录端向权限管理服务器发送个人信息编码的扩频通信码，进行权限请求；

6).接收权限请求，权限管理服务器接收到权限请求时，从接收的扩频码中还原出个人信息编码，并将还原出的个人信息编码与保存的原始个人信息编码进行比较，判断是否一致，如果不一致，表明该用户身份认证不通过，不具有使用警务云应用的权限；如果一致，则该权限请求有效，执行步骤7)；

7).返回权限指令，根据该个人信息编码查找对应的个人权限列表和权限时间，将权限指令返回至用户的远方登录端；

8).加载应用程序或功能模块，远方登录端接收到权限服务器发送的权限指令后，得到该用户的个人权限列表和权限时间，判断其是否具有使用该警务云应用或其功能模块的权限，如果没有使用权限，则禁止警务云系统向登录端加载云应用或功能模块；如果有使用权限，则向登录端加载该云应用或功能模块。

如图2所示，给出了其中本发明中扩频调制及解调还原的示意图，步骤5)所述的发送权限请求采用扩频技术发送，个人信息编码采用二进制数据保存，其通过以下步骤来实现：

5-1).生成扩频码，利用秘钥K生成两个服从均匀分布、长度为Q的扩频码k1、k2，k1、k2中的元素∈{0,1}，两个序列k1、k2不相关或相关性很小；

5-2).对个人信息编码扩频，对于待发送的二进制的个人信息编码每一位按照顺序进行扩频，对于编码为0的位,利用扩频码k1对其进行扩频，对于编码为1的位，利用扩频码k2对其进行扩频，设待发送长度为S的二进制个人信息编码的第i位Gi对应的扩频码为Pi，利用公式(1)进行扩频发送：

P_{i} = \{\begin{matrix} \begin{matrix} k_{1} & G_{i} = 0 \\ k_{2} & G_{i} = 1 \end{matrix} & G_{i} &Element; {0, 1}, i = 1, 2, 3, ..., S \end{matrix} - - - (1);

步骤6)所述的接收权限请求，通过以下步骤来实现：

6-1).判断接收信息的位数，首先计算接收到信息的总位数，判断信息的总位数是否是Q的整数倍，以保证接收信息的完整性；如果接收到信息长度为S′，则计算S′与Q比值，若该比值不等于S，则接收到的信息不完整，丢弃数据，返回错误代码，等待重新接收；若该比值等于S，则接收信息完整，执行步骤6-2)；

6-2).还原信息，按照长度Q对接收到的信息依次截取，设某次截取的数据记为D，按照公式(2)和公式(3)分别计算序列D与序列k1、k2的相关系数Pk1、Pk2：

P k 1 = \frac{Σ_{i = 1}^{Q} (D_{i} - \overset{&OverBar;}{D}) (k 1_{i} - \overset{&OverBar;}{k 1})}{\sqrt{Σ_{i = 1}^{Q} {(D_{i} - \overset{&OverBar;}{D})}^{2} \cdot Σ_{i = 1}^{Q} {(k 1_{i} - \overset{&OverBar;}{k 1})}^{2} \cdot}} - - - (2)

P k 2 = \frac{Σ_{i = 1}^{Q} (D_{i} - \overset{&OverBar;}{D}) (k 2_{i} - \overset{&OverBar;}{k 2})}{\sqrt{Σ_{i = 1}^{Q} {(D_{i} - \overset{&OverBar;}{D})}^{2} \cdot Σ_{i = 1}^{Q} {(k 2_{i} - \overset{&OverBar;}{k 2})}^{2} \cdot}} - - - (3)

G_{i}^{'} = \{\begin{matrix} \begin{matrix} 0 & P k 1 &GreaterEqual; P k 2 \\ 1 & P k 1 < P k 2 \end{matrix} & i = 1, 2, ..., S \end{matrix} - - - (4)

将所接收的信息还原完毕后，个人信息编码还原完毕。

该步骤中，计算相关系数Pk1、Pk2时，序列k1、k2的获取采用与步骤5-1)中相同的秘钥和方法，因此获取的序列也完全相同。

进一步地，步骤7)中的返回权限指令和步骤8)中的加载应用程序或功能模块，也可以采用与步骤5)和步骤6)中相同的扩频调制及解调还原方法，以增加数据传输的安全性。

Claims

1.一种大数据警务云系统的用户权限管理方法，其特征在于，包括映射关系建立阶段和权限管理实施阶段；

所述映射关系建立阶段通过以下步骤来实现：

所述权限管理实施阶段通过以下步骤来实现：

2.根据权利要求1所述的大数据警务云系统的用户权限管理方法，其特征在于：步骤5)所述的发送权限请求采用扩频技术发送，个人信息编码采用二进制数据保存，其通过以下步骤来实现：

P_{i} = \{\begin{matrix} k_{1} & G_{i} = 0 \\ k_{2} & G_{i} = 1 \end{matrix}, G_{i} &Element; {0, 1}, i = 1, 2, 3, ..., S - - - (1)

步骤6)所述的接收权限请求，通过以下步骤来实现：

P k 1 = \frac{Σ_{i = 1}^{Q} (D_{i} - \overset{&OverBar;}{D}) (k 1_{i} - \overset{&OverBar;}{k 1})}{\sqrt{Σ_{i = 1}^{Q} {(D_{i} - \overset{&OverBar;}{D})}^{2} \cdot Σ_{i = 1}^{Q} {(k 1_{i} - \overset{&OverBar;}{k 1})}^{2} \cdot}} - - - (2)

P k 2 = \frac{Σ_{i = 1}^{Q} (D_{i} - \overset{&OverBar;}{D}) (k 2_{i} - \overset{&OverBar;}{k 2})}{\sqrt{Σ_{i = 1}^{Q} {(D_{i} - \overset{&OverBar;}{D})}^{2} \cdot Σ_{i = 1}^{Q} {(k 2_{i} - \overset{&OverBar;}{k 2})}^{2} \cdot}} - - - (3)

G_{i}^{'} = \{\begin{matrix} 0 & P k 1 &GreaterEqual; P k 2 \\ 1 & P k 1 < P k 2 \end{matrix}, i = 1, 2, ..., S - - - (4)

将所接收的信息还原完毕后，个人信息编码还原完毕。

3.根据权利要求1或2所述的大数据警务云系统的用户权限管理方法，其特征在于:步骤b)中建立用户信息数据元表的过程中，单位为按照行政级别划分的公安系统内所有实体单位，包括省厅、各市局、各派出所；部门划分为科技、信访、装财、宣传部门，业务按照警务功能进行划分，包括刑侦、治安、交通、出入境、情报。