CN105825146A - 一种rbac模型下快速分配数据权限的设计和实现 - Google Patents

一种rbac模型下快速分配数据权限的设计和实现 Download PDF

Info

Publication number
CN105825146A
CN105825146A CN201610155394.7A CN201610155394A CN105825146A CN 105825146 A CN105825146 A CN 105825146A CN 201610155394 A CN201610155394 A CN 201610155394A CN 105825146 A CN105825146 A CN 105825146A
Authority
CN
China
Prior art keywords
data
distribution
authority
distributed
distribute
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610155394.7A
Other languages
English (en)
Inventor
彭晓迪
周祥国
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur General Software Co Ltd
Original Assignee
Inspur General Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur General Software Co Ltd filed Critical Inspur General Software Co Ltd
Priority to CN201610155394.7A priority Critical patent/CN105825146A/zh
Publication of CN105825146A publication Critical patent/CN105825146A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种RBAC模型下快速分配数据权限的设计和实现,属于业务系统易用性以及交互性的领域,包括步骤和内容:1)、基于数据的快速分配权限:基于数据的分配,先选择相应的数据,反向分配给用户或者角色,在一次操作中即可完成数据的批量分配;2)、按照配置启用不同的分配界面:数据不是笼统的直接分配给用户或者角色,一份数据的控制会涉及到不同的维度,由此产生不同的分配界面,在分配科目的数据权限时,需要先分配相应的核算组织才可以分配权限,在分配报销单类型的权限时,只需要分配相关的报销单类型即可。本发明提供了一种无论是基于角色还是基于用户分配权限,都能灵活的方便的分配和初始权限。

Description

一种RBAC模型下快速分配数据权限的设计和实现
技术领域
本发明涉及业务系统易用性以及交互性的领域,具体地说是一种RBAC模型下快速分配数据权限的设计和实现。
背景技术
系统中用户或者角色过多,系统中权限的划分过细,业务复杂度的提升等原因会引起系统维护权限的巨大工作量。
目前,大多数信息化系统在解决系统数据的权限过多方面,都是采用传统的RBAC的模型,将数据的权限分配在中间可以复用的载体上,即很多系统是分配在角色上,用户通过继承角色来获得权限。在大型的企业中,一旦角色划分过多或者过细,就会带来觉得维护工作量。
在业务模块方面,很多业务基于保密或安全管理的要求,权限被要求直接授权到用户上,这样也没法使用角色来承载权限。从而无法解决权限分配工作量大的问题。
发明内容
本发明的技术任务是针对以上不足之处,提供一种RBAC模型下快速分配数据权限的设计和实现,来解决无论是基于角色还是基于用户分配权限,都能灵活的方便的分配和初始权限的问题。
本发明解决其技术问题所采用的技术方案是:
1、一种RBAC模型下快速分配数据权限的设计和实现,步骤和内容如下:
1)、基于数据的快速分配权限:通常情况下,在权限维护的过程中,分配方式是选择角色或者用户,即先选择权限的分配主体,然后给用户或者角色分配上相应的数据。当一个权限需要分配给多个用户或者角色时,需要反复的操作好几次。而基于数据的分配,是先选择相应的数据,反向分配给用户或者角色。在一次操作中即可完成数据的批量分配。
2)、按照配置启用不同的分配界面:数据不是笼统的直接分配给用户或者角色,一份数据的控制会涉及到不同的维度,由此可能产生不同的分配界面。例如在分配科目的数据权限时,需要先分配相应的核算组织才可以分配权限。但是如果在分配报销单类型的权限时,只需要分配相关的报销单类型即可。
业务数据在分配识别可以分配给哪些用户或者角色。这就需要通过数据反向的找到哪些可以分配权限的用户或者角色,通过匹配和过滤掉不应该包含权限的用户或者角色。通过此方式,解决权限扩大的问题,即用户被分配了本不该具有的数据的权限。
数据本身存在着逻辑控制关系,所以数据的分配界面是可以提供扩展接口的。这样对于不用的数据,就可以保证不同的分配方式。解决了功能性和易用性两方面的要求。既能保证数据分配的正确性,又能保证界面的易用性。
优选的,对于步骤1)的数据授权对象(数据权限的实体),用于描述数据的实体结构,数据列包含数据的来源,过滤条件,受控的维度,存储的表结构以及有效性,时间戳,其他扩展维度等列。
优选的,对于步骤2)的配置界面的扩展,由于描述数据分配界面以及扩展的实体结构,包含需要扩展的方式,需要扩展的界面,需要扩展的逻辑等信息,通过扩展可以保证不同数据的分配。
本发明的一种RBAC模型下快速分配数据权限的设计和实现和现有技术相比,具有以下有益效果:
本发明提供了一种无论是基于角色还是基于用户分配权限,都能灵活的方便的分配和初始权限;
对数据的权限的快速分配,从反向的角度提供技术支撑,使数据的权限分配具有更灵活的应用模式,极大的节省了系统的运维成本。
附图说明
下面结合附图对本发明进一步说明。
附图1为本发明RBAC模型下快速分配数据权限的原理图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明。
本发明的一种RBAC模型下快速分配数据权限的设计和实现,步骤和内容如下:
1)、基于数据的快速分配权限:通常情况下,在权限维护的过程中,分配方式是选择角色或者用户,即先选择权限的分配主体,然后给用户或者角色分配上相应的数据。当一个权限需要分配给多个用户或者角色时,需要反复的操作好几次。而基于数据的分配,是先选择相应的数据,反向分配给用户或者角色。在一次操作中即可完成数据的批量分配。
2)、按照配置启用不同的分配界面:数据不是笼统的直接分配给用户或者角色,一份数据的控制会涉及到不同的维度,由此可能产生不同的分配界面。例如在分配科目的数据权限时,需要先分配相应的核算组织才可以分配权限。但是如果在分配报销单类型的权限时,只需要分配相关的报销单类型即可。
业务数据在分配识别可以分配给哪些用户或者角色。这就需要通过数据反向的找到哪些可以分配权限的用户或者角色,通过匹配和过滤掉不应该包含权限的用户或者角色。通过此方式,解决权限扩大的问题,即用户被分配了本不该具有的数据的权限。
数据本身存在着逻辑控制关系,所以数据的分配界面是可以提供扩展接口的。这样对于不用的数据,就可以保证不同的分配方式。解决了功能性和易用性两方面的要求。既能保证数据分配的正确性,又能保证界面的易用性。
优选的,对于步骤1)的数据授权对象(数据权限的实体),用于描述数据的实体结构,数据列包含数据的来源,过滤条件,受控的维度,存储的表结构以及有效性,时间戳,其他扩展维度等列。
优选的,对于步骤2)的配置界面的扩展,由于描述数据分配界面以及扩展的实体结构,包含需要扩展的方式,需要扩展的界面,需要扩展的逻辑等信息,通过扩展可以保证不同数据的分配。
以下将通过某一ERP业务系统中数据的权限快速分配实现详细描述,是本发明的上述目标、特征和有点更加清晰、易懂。
1.登录ERP管理系统。
2.用户身份校验通过后,ERP管理信息系统打开系统主框架。
3.打开数据授权对象界面,勾选相应的信息。是否启用数据权限反向分配,是否需要使用扩展方式,扩展方式时需要的控制逻辑。分配结束后,保存具体的数据。
4.打开权限快速分配的功能菜单。
5.选择相应的数据授权主体,点击分配权限。
6.进入功能后,选择相应的数据并选择相应的用户或者角色。
7.保存分配的数据后生效。
通过上面具体实施方式,所述技术领域的技术人员可容易的实现本发明。但是应当理解,本发明并不限于上述的具体实施方式。在公开的实施方式的基础上,所述技术领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。
除说明书所述的技术特征外,均为本专业技术人员的已知技术。

Claims (4)

1.一种RBAC模型下快速分配数据权限的设计和实现,其特征在于以下步骤和内容:
1)、基于数据的快速分配权限:基于数据的分配,先选择相应的数据,反向分配给用户或者角色,在一次操作中即可完成数据的批量分配;
2)、按照配置启用不同的分配界面:数据不是笼统的直接分配给用户或者角色,一份数据的控制会涉及到不同的维度,由此产生不同的分配界面,在分配科目的数据权限时,需要先分配相应的核算组织才可以分配权限,在分配报销单类型的权限时,只需要分配相关的报销单类型即可。
2.根据权利要求1所述的一种RBAC模型下快速分配数据权限的设计和实现,其特征在于数据分配识别可以分配给哪些用户或者角色,通过数据反向的找到哪些可以分配权限的用户或者角色,通过匹配和过滤掉不应该包含权限的用户或者角色。
3.根据权利要求1所述的一种RBAC模型下快速分配数据权限的设计和实现,其特征在于数据权限的实体(数据授权对象),用于描述数据的实体结构,数据列包含数据的来源,过滤条件,受控的维度,存储的表结构以及有效性,时间戳,其他扩展维度等列。
4.根据权利要求1所述的一种RBAC模型下快速分配数据权限的设计和实现,其特征在于配置界面的扩展,包含需要扩展的方式,需要扩展的界面,需要扩展的逻辑等信息,通过扩展可以保证不同数据的分配。
CN201610155394.7A 2016-03-18 2016-03-18 一种rbac模型下快速分配数据权限的设计和实现 Pending CN105825146A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610155394.7A CN105825146A (zh) 2016-03-18 2016-03-18 一种rbac模型下快速分配数据权限的设计和实现

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610155394.7A CN105825146A (zh) 2016-03-18 2016-03-18 一种rbac模型下快速分配数据权限的设计和实现

Publications (1)

Publication Number Publication Date
CN105825146A true CN105825146A (zh) 2016-08-03

Family

ID=56523939

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610155394.7A Pending CN105825146A (zh) 2016-03-18 2016-03-18 一种rbac模型下快速分配数据权限的设计和实现

Country Status (1)

Country Link
CN (1) CN105825146A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110363018A (zh) * 2019-07-16 2019-10-22 北京明略软件系统有限公司 权限的控制方法及装置
CN110443010A (zh) * 2019-07-22 2019-11-12 安徽智恒信科技股份有限公司 一种在信息系统中权限可视化配置控制方法、装置、终端及存储介质
CN110457891A (zh) * 2019-07-22 2019-11-15 安徽智恒信科技股份有限公司 一种权限配置界面显示方法、装置、终端以及存储介质

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110363018A (zh) * 2019-07-16 2019-10-22 北京明略软件系统有限公司 权限的控制方法及装置
CN110443010A (zh) * 2019-07-22 2019-11-12 安徽智恒信科技股份有限公司 一种在信息系统中权限可视化配置控制方法、装置、终端及存储介质
CN110457891A (zh) * 2019-07-22 2019-11-15 安徽智恒信科技股份有限公司 一种权限配置界面显示方法、装置、终端以及存储介质
CN110457891B (zh) * 2019-07-22 2022-02-18 安徽智恒信科技股份有限公司 一种权限配置界面显示方法、装置、终端以及存储介质
CN110443010B (zh) * 2019-07-22 2022-05-03 安徽智恒信科技股份有限公司 一种在信息系统中权限可视化配置控制方法、装置、终端及存储介质

Similar Documents

Publication Publication Date Title
CN100517276C (zh) 一种数据安全存储的方法及装置
CN102622311B (zh) Usb移动存储设备访问控制方法、装置及系统
CN100489782C (zh) 一种虚拟机系统及硬件设备的访问控制方法
US9231922B2 (en) Cloud storage system, data encryption processing device and data encryption method in cloud storage system
CN104363211A (zh) 一种权限管理方法及系统
CA2674319A1 (en) Methods and systems for solving problems with hard-coded credentials
CN100419620C (zh) 一种usb海量存储设备上应用程序与usb海量存储设备进行命令交互和双向数据传输的方法
CN103581187A (zh) 访问权限的控制方法及控制系统
CN102592077A (zh) 提供安全边界
CN105450581A (zh) 权限控制的方法和装置
CN105825146A (zh) 一种rbac模型下快速分配数据权限的设计和实现
JP2006099779A (ja) 権限管理
CN106845262A (zh) 基于企业云盘的移动存储介质数据安全保护方法
CN107609408B (zh) 一种基于过滤驱动控制文件操作行为的方法
CN103729582A (zh) 一种基于三权分立的安全存储管理方法及系统
CN105279453A (zh) 一种支持分离存储管理的文件分区隐藏系统及其方法
CN105373714A (zh) 一种用户权限控制方法和装置
CN105589660A (zh) 一种数据分布方法及装置
CN104767732A (zh) 一种适用于linux服务器的文件共享权限控制方法
US9135046B1 (en) Preventing host operating system from inspecting or modifying data received by hardware controller by moving host operating system into a virtual machine after boot up
CN106844234B (zh) 数据写入方法及装置、双活系统
CN104123371A (zh) 基于分层文件系统的Windows内核文件透明过滤的方法
CN102184370B (zh) 基于微过滤驱动模型的文档安全系统
CN108322421B (zh) 计算机系统安全管理方法及装置
CN105550567A (zh) 一种Windows虚拟机USB设备读写权限管控方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160803

WD01 Invention patent application deemed withdrawn after publication