CN105825146A - 一种rbac模型下快速分配数据权限的设计和实现 - Google Patents
一种rbac模型下快速分配数据权限的设计和实现 Download PDFInfo
- Publication number
- CN105825146A CN105825146A CN201610155394.7A CN201610155394A CN105825146A CN 105825146 A CN105825146 A CN 105825146A CN 201610155394 A CN201610155394 A CN 201610155394A CN 105825146 A CN105825146 A CN 105825146A
- Authority
- CN
- China
- Prior art keywords
- data
- distribution
- authority
- distributed
- distribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000008878 coupling Effects 0.000 claims description 3
- 238000010168 coupling process Methods 0.000 claims description 3
- 238000005859 coupling reaction Methods 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 3
- 230000008520 organization Effects 0.000 claims description 3
- 238000000034 method Methods 0.000 abstract description 5
- 230000000977 initiatory effect Effects 0.000 abstract 1
- 238000005516 engineering process Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种RBAC模型下快速分配数据权限的设计和实现,属于业务系统易用性以及交互性的领域,包括步骤和内容:1)、基于数据的快速分配权限:基于数据的分配,先选择相应的数据,反向分配给用户或者角色,在一次操作中即可完成数据的批量分配;2)、按照配置启用不同的分配界面:数据不是笼统的直接分配给用户或者角色,一份数据的控制会涉及到不同的维度,由此产生不同的分配界面,在分配科目的数据权限时,需要先分配相应的核算组织才可以分配权限,在分配报销单类型的权限时,只需要分配相关的报销单类型即可。本发明提供了一种无论是基于角色还是基于用户分配权限,都能灵活的方便的分配和初始权限。
Description
技术领域
本发明涉及业务系统易用性以及交互性的领域,具体地说是一种RBAC模型下快速分配数据权限的设计和实现。
背景技术
系统中用户或者角色过多,系统中权限的划分过细,业务复杂度的提升等原因会引起系统维护权限的巨大工作量。
目前,大多数信息化系统在解决系统数据的权限过多方面,都是采用传统的RBAC的模型,将数据的权限分配在中间可以复用的载体上,即很多系统是分配在角色上,用户通过继承角色来获得权限。在大型的企业中,一旦角色划分过多或者过细,就会带来觉得维护工作量。
在业务模块方面,很多业务基于保密或安全管理的要求,权限被要求直接授权到用户上,这样也没法使用角色来承载权限。从而无法解决权限分配工作量大的问题。
发明内容
本发明的技术任务是针对以上不足之处,提供一种RBAC模型下快速分配数据权限的设计和实现,来解决无论是基于角色还是基于用户分配权限,都能灵活的方便的分配和初始权限的问题。
本发明解决其技术问题所采用的技术方案是:
1、一种RBAC模型下快速分配数据权限的设计和实现,步骤和内容如下:
1)、基于数据的快速分配权限:通常情况下,在权限维护的过程中,分配方式是选择角色或者用户,即先选择权限的分配主体,然后给用户或者角色分配上相应的数据。当一个权限需要分配给多个用户或者角色时,需要反复的操作好几次。而基于数据的分配,是先选择相应的数据,反向分配给用户或者角色。在一次操作中即可完成数据的批量分配。
2)、按照配置启用不同的分配界面:数据不是笼统的直接分配给用户或者角色,一份数据的控制会涉及到不同的维度,由此可能产生不同的分配界面。例如在分配科目的数据权限时,需要先分配相应的核算组织才可以分配权限。但是如果在分配报销单类型的权限时,只需要分配相关的报销单类型即可。
业务数据在分配识别可以分配给哪些用户或者角色。这就需要通过数据反向的找到哪些可以分配权限的用户或者角色,通过匹配和过滤掉不应该包含权限的用户或者角色。通过此方式,解决权限扩大的问题,即用户被分配了本不该具有的数据的权限。
数据本身存在着逻辑控制关系,所以数据的分配界面是可以提供扩展接口的。这样对于不用的数据,就可以保证不同的分配方式。解决了功能性和易用性两方面的要求。既能保证数据分配的正确性,又能保证界面的易用性。
优选的,对于步骤1)的数据授权对象(数据权限的实体),用于描述数据的实体结构,数据列包含数据的来源,过滤条件,受控的维度,存储的表结构以及有效性,时间戳,其他扩展维度等列。
优选的,对于步骤2)的配置界面的扩展,由于描述数据分配界面以及扩展的实体结构,包含需要扩展的方式,需要扩展的界面,需要扩展的逻辑等信息,通过扩展可以保证不同数据的分配。
本发明的一种RBAC模型下快速分配数据权限的设计和实现和现有技术相比,具有以下有益效果:
本发明提供了一种无论是基于角色还是基于用户分配权限,都能灵活的方便的分配和初始权限;
对数据的权限的快速分配,从反向的角度提供技术支撑,使数据的权限分配具有更灵活的应用模式,极大的节省了系统的运维成本。
附图说明
下面结合附图对本发明进一步说明。
附图1为本发明RBAC模型下快速分配数据权限的原理图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明。
本发明的一种RBAC模型下快速分配数据权限的设计和实现,步骤和内容如下:
1)、基于数据的快速分配权限:通常情况下,在权限维护的过程中,分配方式是选择角色或者用户,即先选择权限的分配主体,然后给用户或者角色分配上相应的数据。当一个权限需要分配给多个用户或者角色时,需要反复的操作好几次。而基于数据的分配,是先选择相应的数据,反向分配给用户或者角色。在一次操作中即可完成数据的批量分配。
2)、按照配置启用不同的分配界面:数据不是笼统的直接分配给用户或者角色,一份数据的控制会涉及到不同的维度,由此可能产生不同的分配界面。例如在分配科目的数据权限时,需要先分配相应的核算组织才可以分配权限。但是如果在分配报销单类型的权限时,只需要分配相关的报销单类型即可。
业务数据在分配识别可以分配给哪些用户或者角色。这就需要通过数据反向的找到哪些可以分配权限的用户或者角色,通过匹配和过滤掉不应该包含权限的用户或者角色。通过此方式,解决权限扩大的问题,即用户被分配了本不该具有的数据的权限。
数据本身存在着逻辑控制关系,所以数据的分配界面是可以提供扩展接口的。这样对于不用的数据,就可以保证不同的分配方式。解决了功能性和易用性两方面的要求。既能保证数据分配的正确性,又能保证界面的易用性。
优选的,对于步骤1)的数据授权对象(数据权限的实体),用于描述数据的实体结构,数据列包含数据的来源,过滤条件,受控的维度,存储的表结构以及有效性,时间戳,其他扩展维度等列。
优选的,对于步骤2)的配置界面的扩展,由于描述数据分配界面以及扩展的实体结构,包含需要扩展的方式,需要扩展的界面,需要扩展的逻辑等信息,通过扩展可以保证不同数据的分配。
以下将通过某一ERP业务系统中数据的权限快速分配实现详细描述,是本发明的上述目标、特征和有点更加清晰、易懂。
1.登录ERP管理系统。
2.用户身份校验通过后,ERP管理信息系统打开系统主框架。
3.打开数据授权对象界面,勾选相应的信息。是否启用数据权限反向分配,是否需要使用扩展方式,扩展方式时需要的控制逻辑。分配结束后,保存具体的数据。
4.打开权限快速分配的功能菜单。
5.选择相应的数据授权主体,点击分配权限。
6.进入功能后,选择相应的数据并选择相应的用户或者角色。
7.保存分配的数据后生效。
通过上面具体实施方式,所述技术领域的技术人员可容易的实现本发明。但是应当理解,本发明并不限于上述的具体实施方式。在公开的实施方式的基础上,所述技术领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。
除说明书所述的技术特征外,均为本专业技术人员的已知技术。
Claims (4)
1.一种RBAC模型下快速分配数据权限的设计和实现,其特征在于以下步骤和内容:
1)、基于数据的快速分配权限:基于数据的分配,先选择相应的数据,反向分配给用户或者角色,在一次操作中即可完成数据的批量分配;
2)、按照配置启用不同的分配界面:数据不是笼统的直接分配给用户或者角色,一份数据的控制会涉及到不同的维度,由此产生不同的分配界面,在分配科目的数据权限时,需要先分配相应的核算组织才可以分配权限,在分配报销单类型的权限时,只需要分配相关的报销单类型即可。
2.根据权利要求1所述的一种RBAC模型下快速分配数据权限的设计和实现,其特征在于数据分配识别可以分配给哪些用户或者角色,通过数据反向的找到哪些可以分配权限的用户或者角色,通过匹配和过滤掉不应该包含权限的用户或者角色。
3.根据权利要求1所述的一种RBAC模型下快速分配数据权限的设计和实现,其特征在于数据权限的实体(数据授权对象),用于描述数据的实体结构,数据列包含数据的来源,过滤条件,受控的维度,存储的表结构以及有效性,时间戳,其他扩展维度等列。
4.根据权利要求1所述的一种RBAC模型下快速分配数据权限的设计和实现,其特征在于配置界面的扩展,包含需要扩展的方式,需要扩展的界面,需要扩展的逻辑等信息,通过扩展可以保证不同数据的分配。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610155394.7A CN105825146A (zh) | 2016-03-18 | 2016-03-18 | 一种rbac模型下快速分配数据权限的设计和实现 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610155394.7A CN105825146A (zh) | 2016-03-18 | 2016-03-18 | 一种rbac模型下快速分配数据权限的设计和实现 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105825146A true CN105825146A (zh) | 2016-08-03 |
Family
ID=56523939
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610155394.7A Pending CN105825146A (zh) | 2016-03-18 | 2016-03-18 | 一种rbac模型下快速分配数据权限的设计和实现 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105825146A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110363018A (zh) * | 2019-07-16 | 2019-10-22 | 北京明略软件系统有限公司 | 权限的控制方法及装置 |
CN110443010A (zh) * | 2019-07-22 | 2019-11-12 | 安徽智恒信科技股份有限公司 | 一种在信息系统中权限可视化配置控制方法、装置、终端及存储介质 |
CN110457891A (zh) * | 2019-07-22 | 2019-11-15 | 安徽智恒信科技股份有限公司 | 一种权限配置界面显示方法、装置、终端以及存储介质 |
-
2016
- 2016-03-18 CN CN201610155394.7A patent/CN105825146A/zh active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110363018A (zh) * | 2019-07-16 | 2019-10-22 | 北京明略软件系统有限公司 | 权限的控制方法及装置 |
CN110443010A (zh) * | 2019-07-22 | 2019-11-12 | 安徽智恒信科技股份有限公司 | 一种在信息系统中权限可视化配置控制方法、装置、终端及存储介质 |
CN110457891A (zh) * | 2019-07-22 | 2019-11-15 | 安徽智恒信科技股份有限公司 | 一种权限配置界面显示方法、装置、终端以及存储介质 |
CN110457891B (zh) * | 2019-07-22 | 2022-02-18 | 安徽智恒信科技股份有限公司 | 一种权限配置界面显示方法、装置、终端以及存储介质 |
CN110443010B (zh) * | 2019-07-22 | 2022-05-03 | 安徽智恒信科技股份有限公司 | 一种在信息系统中权限可视化配置控制方法、装置、终端及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100517276C (zh) | 一种数据安全存储的方法及装置 | |
CN102622311B (zh) | Usb移动存储设备访问控制方法、装置及系统 | |
CN100489782C (zh) | 一种虚拟机系统及硬件设备的访问控制方法 | |
US9231922B2 (en) | Cloud storage system, data encryption processing device and data encryption method in cloud storage system | |
CN104363211A (zh) | 一种权限管理方法及系统 | |
CA2674319A1 (en) | Methods and systems for solving problems with hard-coded credentials | |
CN100419620C (zh) | 一种usb海量存储设备上应用程序与usb海量存储设备进行命令交互和双向数据传输的方法 | |
CN103581187A (zh) | 访问权限的控制方法及控制系统 | |
CN102592077A (zh) | 提供安全边界 | |
CN105450581A (zh) | 权限控制的方法和装置 | |
CN105825146A (zh) | 一种rbac模型下快速分配数据权限的设计和实现 | |
JP2006099779A (ja) | 権限管理 | |
CN106845262A (zh) | 基于企业云盘的移动存储介质数据安全保护方法 | |
CN107609408B (zh) | 一种基于过滤驱动控制文件操作行为的方法 | |
CN103729582A (zh) | 一种基于三权分立的安全存储管理方法及系统 | |
CN105279453A (zh) | 一种支持分离存储管理的文件分区隐藏系统及其方法 | |
CN105373714A (zh) | 一种用户权限控制方法和装置 | |
CN105589660A (zh) | 一种数据分布方法及装置 | |
CN104767732A (zh) | 一种适用于linux服务器的文件共享权限控制方法 | |
US9135046B1 (en) | Preventing host operating system from inspecting or modifying data received by hardware controller by moving host operating system into a virtual machine after boot up | |
CN106844234B (zh) | 数据写入方法及装置、双活系统 | |
CN104123371A (zh) | 基于分层文件系统的Windows内核文件透明过滤的方法 | |
CN102184370B (zh) | 基于微过滤驱动模型的文档安全系统 | |
CN108322421B (zh) | 计算机系统安全管理方法及装置 | |
CN105550567A (zh) | 一种Windows虚拟机USB设备读写权限管控方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160803 |
|
WD01 | Invention patent application deemed withdrawn after publication |