CN110889127A - 无限子集和多维度授权的特权账号访问控制方法及装置 - Google Patents
无限子集和多维度授权的特权账号访问控制方法及装置 Download PDFInfo
- Publication number
- CN110889127A CN110889127A CN201911183162.2A CN201911183162A CN110889127A CN 110889127 A CN110889127 A CN 110889127A CN 201911183162 A CN201911183162 A CN 201911183162A CN 110889127 A CN110889127 A CN 110889127A
- Authority
- CN
- China
- Prior art keywords
- resource
- user
- group
- resources
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Bioethics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Quality & Reliability (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种无限子集和多维度授权的特权账号访问控制方法,属于新一代信息技术领域,主要解决现有账号管理系统存在控制不精细、适配差、操作不便捷、拓展性差的技术问题,所述方法为:S1.创建用户组集合树、资源组集合树,将用户分配到对应的用户组节点,将资源分配到对应的资源组节点;S2.添加资源以及账号到资源组节点;S3.对资源组节点或资源组节点内的指定资源或指定资源内的指定权限账号的访问权限授权用户组节点或用户组节点内的指定用户;S4.申请访问相应的权限账号;S5.经审批通过后登录访问相应的资源。本发明还公开了一种无限子集和多维度授权的特权账号访问控制装置。本发明访问控制精细、适配强、操作便捷、高拓展性。
Description
技术领域
本发明涉及新一代信息技术领域,更具体地说,它涉及一种无限子集和多维度授权的特权账号访问控制方法及装置。
背景技术
当代信息技术的发展推动着企业信息化建设的日益健全,企业在享受互联网技术带来的效益和便利的同时,数据泄露的内部和外部风险也逐步上升。研究发现几乎所有的信息安全事件都离不开特权账号的获取与利用,那么特权账号的访问控制则是保护企业核心资产的必经之路。
目前部分企业仍然使用人工记录的方式管理特权账号,账号分散繁杂,滥用,密码共享,无法控制员工的访问等问题突出;另一方面,部分企业尝试使用市场上已出现的特权账号管理系统,但系统与企业现有业务环境很难适配,无法精细控制用户访问账号的权限以及灵活管理用户的访问。现有特权账号管理系统在访问控制上存在以下缺点:
1.访问控制不精细,无法做到只赋予用户该有的账号使用权;
2.账号管理和用户管理机制无法适配多样的企业组织结构;
3.在实现严格控制其访问权限的情况下,用户操作不便捷;
4.系统不具备支持企业业务数据增长所需的拓展性。
发明内容
本发明要解决的技术问题是针对现有技术的上述不足,本发明的目的一是提供一种访问控制精细、适配强、操作便捷、高拓展性的无限子集和多维度授权的特权账号访问控制方法。
本发明的目的二是提供一种访问控制精细、适配强、操作便捷、高拓展性的无限子集和多维度授权的特权账号访问控制装置。
为了实现上述目的一,本发明提供一种无限子集和多维度授权的特权账号访问控制方法,包括如下步骤:
S1.分别创建在横向和纵向上均可无限拓展的用户组集合树、资源组集合树,根据用户管理结构将企业用户分配到所述用户组集合树对应位置的用户组节点,根据资源管理结构将企业资源分配到所述资源组集合树对应位置的资源组节点;
S2.添加资源以及账号到资源组节点;
S3.根据授权管理结构对所述资源组节点或资源组节点内的指定资源或指定资源内的指定权限账号的访问权限授权给所述用户组节点或用户组节点内的指定用户;
S4.根据用户自身的权限层级申请相应的权限账号;
S5.申请审批通过后可以根据该权限账号登录访问相应的资源。
作为进一步地改进,各所述用户组节点内至少包括一名用户。
进一步地,各所述用户组节点内可以删除用户或新增用户,新增用户可以直接继承该用户组节点已有的授权。
进一步地,各所述资源组节点内至少包括一种资源,所述资源至少包括一个可访问该资源的资源账号。
进一步地,各所述资源组节点内可以删除资源或新增资源。
为了实现上述目的二,本发明提供一种无限子集和多维度授权的特权账号访问控制装置,包括主服务群、备服务群、异地备份单元,主服务群、备服务群分别为一套完整的装置,主服务群、备服务群通过轻量级负载均衡中间件做管理,所有组件均采用双机热备,主服务群、备服务群用于分别创建在横向和纵向上均可无限拓展的用户组集合树、资源组集合树,根据用户管理结构将企业用户分配到所述用户组集合树对应位置的用户组节点,根据资源管理结构将企业资源分配到所述资源组集合树对应位置的资源组节点,并根据上述的方法授权用户组节点内的用户对资源组节点内的资源进行登录访问,异地备份单元用于定时备份数据库数据。
有益效果
本发明与现有技术相比,具有的优点为:本发明通过创建在横向和纵向上均可无限拓展的用户组集合树、资源组集合树,可以根据用户管理需要在用户组集合树任意新增用户组节点,根据资源管理需要在资源组集合树任意新增资源组节点,拓展性高,可以充分满足企业业务拓展;同时用户组集合树、资源组集合树的无限子集层级管理方式,有效支持多种企业业务结构,适配强;资源组集合树内的资源可以多维度授权给用户组集合树内的用户,访问控制精细、灵活易用、操作便捷。
附图说明
图1为本发明的控制流程图;
图2为本发明中用户组集合树的示意图;
图3为本发明中资源组集合树的示意图;
图4为本发明中用户组节点内的用户的示意图;
图5为本发明中资源组节点内的资源的示意图;
图6为本发明中控制装置的示意图。
具体实施方式
下面结合附图中的具体实施例对本发明做进一步的说明。
参阅图1-6,一种无限子集和多维度授权的特权账号访问控制方法,包括如下步骤:
S1.分别创建在横向和纵向上均可无限拓展的用户组集合树、资源组集合树,根据用户管理结构将企业用户分配到用户组集合树对应位置的用户组节点,根据资源管理结构将企业资源分配到资源组集合树对应位置的资源组节点;
S2.添加资源以及账号到资源组节点;
S3.根据授权管理结构对资源组节点或资源组节点内的指定资源或指定资源内的指定权限账号的访问权限授权给用户组节点或用户组节点内的指定用户;
S4.根据用户自身的权限层级申请相应的权限账号;
S5.申请审批通过后可以根据该权限账号登录访问相应的资源。
如图2所示,用户组集合树包括用户组根节点,层级最高,包括了所有用户,用户组根节点包括多个第一层级的用户组节点,如图中的用户A组、用户B组、用户C组……,可以横向无限拓展,各第一层级的用户组节点包括多个第二层级的用户组节点,如图中的用户A1组、……,各第二层级的用户组节点包括多个第三层级的用户组节点,如图中的用户A11组、……,依次类推,可以纵向无限拓展。
如图3所示,资源组集合树包括资源组根节点,层级最高,包括了所有资源,资源组根节点包括多个第一层级的资源组节点,如图中的资源A组、资源B组、资源C组……,可以横向无限拓展,各第一层级的资源组节点包括多个第二层级的资源组节点,如图中的资源A1组、……,各第二层级的资源组节点包括多个第三层级的资源组节点,如图中的资源A11组、……,依次类推,可以纵向无限拓展。
如图4所示,各用户组节点内至少包括一名用户,用户组节点即为用户分组,可以包括用户1、用户2、用户……。各用户组节点内可以删除用户或新增用户,新增用户可以直接继承该用户组节点已有的授权。
如图5所示,各资源组节点内至少包括一种资源,资源组节点即为资源分组,可以包括资源A、资源B、资源……。资源至少包括一个可访问的资源账号,如资源B包括ROOT账号、GUEST账号以及其他操作权限的账号。各资源组节点内可以删除资源或新增资源以及资源账号。
企业可根据自身资源以及用户管理结构任意新增子分组节点,使得用户管理和资源管理在纵向以及横向结构上均可无限拓展,可适配企业的任意组织结构,如扁平化管理结构,多层级管理结构等,搭配多种授权模式,可支持任意用户资源管理模式。
在步骤S3中用于细分管理维度,实现多维度授权,多维度授权方式如表1所示,做到既能精细化控制,实现只赋予用户该有的访问权限,又能在一些通用的授权上提供便利性。如授权方式1:资源分组->用户分组的授权,该用户组下新增用户可以直接继承已有的分组授权,无需再次操作。
表1
一种无限子集和多维度授权的特权账号访问控制装置,如图6所示,包括主服务群、备服务群、异地备份单元,主服务群、备服务群分别为一套完整的装置,主服务群、备服务群通过轻量级负载均衡中间件做管理,所有组件均采用双机热备,切支持添加内部组件,以实现高效的业务处理能力和有效的可拓展性。主服务群、备服务群用于分别创建在横向和纵向上均可无限拓展的用户组集合树、资源组集合树,根据用户管理结构将企业用户分配到用户组集合树对应位置的用户组节点,根据资源管理结构将企业资源分配到资源组集合树对应位置的资源组节点,并根据上述方法授权用户组节点内的用户对资源组节点内的资源进行登录访问。异地备份单元用于定时备份数据库数据。
本发明通过创建在横向和纵向上均可无限拓展的用户组集合树、资源组集合树,可以根据用户管理需要在用户组集合树任意新增用户组节点,根据资源管理需要在资源组集合树任意新增资源组节点,拓展性高,可以充分满足企业业务拓展;同时用户组集合树、资源组集合树的无限子集层级管理方式,有效支持多种企业业务结构,适配强;资源组集合树内的资源可以多维度授权给用户组集合树内的用户,访问控制精细、灵活易用、操作便捷。
以上仅是本发明的优选实施方式,应当指出对于本领域的技术人员来说,在不脱离本发明结构的前提下,还可以作出若干变形和改进,这些都不会影响本发明实施的效果和专利的实用性。
Claims (6)
1.一种无限子集和多维度授权的特权账号访问控制方法,其特征在于,包括如下步骤:
S1.分别创建在横向和纵向上均可无限拓展的用户组集合树、资源组集合树,根据用户管理结构将企业用户分配到所述用户组集合树对应位置的用户组节点,根据资源管理结构将企业资源分配到所述资源组集合树对应位置的资源组节点;
S2.添加资源以及账号到资源组节点;
S3.根据授权管理结构对所述资源组节点或资源组节点内的指定资源或指定资源内的指定权限账号的访问权限授权给所述用户组节点或用户组节点内的指定用户;
S4.根据用户自身的权限层级申请相应的权限账号;
S5.申请审批通过后可以根据该权限账号登录访问相应的资源。
2.根据权利要求1所述的无限子集和多维度授权的特权账号访问控制方法,其特征在于,各所述用户组节点内至少包括一名用户。
3.根据权利要求1所述的无限子集和多维度授权的特权账号访问控制方法,其特征在于,各所述用户组节点内可以删除用户或新增用户,新增用户可以直接继承该用户组节点已有的授权。
4.根据权利要求1所述的无限子集和多维度授权的特权账号访问控制方法,其特征在于,各所述资源组节点内至少包括一种资源,所述资源至少包括一个可访问该资源的资源账号。
5.根据权利要求1所述的无限子集和多维度授权的特权账号访问控制方法,其特征在于,各所述资源组节点内可以删除资源或新增资源。
6.一种无限子集和多维度授权的特权账号访问控制装置,其特征在于,包括主服务群、备服务群、异地备份单元,主服务群、备服务群分别为一套完整的装置,主服务群、备服务群通过轻量级负载均衡中间件做管理,所有组件均采用双机热备,主服务群、备服务群用于分别创建在横向和纵向上均可无限拓展的用户组集合树、资源组集合树,根据用户管理结构将企业用户分配到所述用户组集合树对应位置的用户组节点,根据资源管理结构将企业资源分配到所述资源组集合树对应位置的资源组节点,并根据权利要求1-5任一所述的方法授权用户组节点内的用户对资源组节点内的资源进行登录访问,异地备份单元用于定时备份数据库数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911183162.2A CN110889127A (zh) | 2019-11-27 | 2019-11-27 | 无限子集和多维度授权的特权账号访问控制方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911183162.2A CN110889127A (zh) | 2019-11-27 | 2019-11-27 | 无限子集和多维度授权的特权账号访问控制方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110889127A true CN110889127A (zh) | 2020-03-17 |
Family
ID=69749030
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911183162.2A Pending CN110889127A (zh) | 2019-11-27 | 2019-11-27 | 无限子集和多维度授权的特权账号访问控制方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110889127A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112667399A (zh) * | 2020-12-28 | 2021-04-16 | 紫光云技术有限公司 | 一种云平台主子账号资源管理的方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1848022A (zh) * | 2005-04-13 | 2006-10-18 | 华为技术有限公司 | 一种基于访问控制列表的权限控制方法 |
CN101159618A (zh) * | 2007-11-23 | 2008-04-09 | 杭州华三通信技术有限公司 | 一种权限配置方法和设备 |
CN101478398A (zh) * | 2009-01-07 | 2009-07-08 | 中国人民解放军信息工程大学 | 一种面向资源管理的授权管理系统及其建立方法 |
CN101895551A (zh) * | 2010-07-22 | 2010-11-24 | 北京天融信科技有限公司 | 一种资源访问控制方法及系统 |
CN105550854A (zh) * | 2016-01-26 | 2016-05-04 | 中标软件有限公司 | 一种云环境管理平台的访问控制装置 |
-
2019
- 2019-11-27 CN CN201911183162.2A patent/CN110889127A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1848022A (zh) * | 2005-04-13 | 2006-10-18 | 华为技术有限公司 | 一种基于访问控制列表的权限控制方法 |
CN101159618A (zh) * | 2007-11-23 | 2008-04-09 | 杭州华三通信技术有限公司 | 一种权限配置方法和设备 |
CN101478398A (zh) * | 2009-01-07 | 2009-07-08 | 中国人民解放军信息工程大学 | 一种面向资源管理的授权管理系统及其建立方法 |
CN101895551A (zh) * | 2010-07-22 | 2010-11-24 | 北京天融信科技有限公司 | 一种资源访问控制方法及系统 |
CN105550854A (zh) * | 2016-01-26 | 2016-05-04 | 中标软件有限公司 | 一种云环境管理平台的访问控制装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112667399A (zh) * | 2020-12-28 | 2021-04-16 | 紫光云技术有限公司 | 一种云平台主子账号资源管理的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109643242B (zh) | 用于多租户hadoop集群的安全设计和架构 | |
US8402514B1 (en) | Hierarchy-aware role-based access control | |
EP2405607B1 (en) | Privilege management system and method based on object | |
US8555403B1 (en) | Privileged access to managed content | |
US8429191B2 (en) | Domain based isolation of objects | |
US9286475B2 (en) | Systems and methods for enforcement of security profiles in multi-tenant database | |
US6141778A (en) | Method and apparatus for automating security functions in a computer system | |
US10372483B2 (en) | Mapping tenat groups to identity management classes | |
CN111159134A (zh) | 面向多租户的分布式文件系统安全访问控制方法及系统 | |
US20080120302A1 (en) | Resource level role based access control for storage management | |
CN102354356A (zh) | 数据权限管理装置和方法 | |
CN105550854A (zh) | 一种云环境管理平台的访问控制装置 | |
CN109840424A (zh) | 一种数据库加密与脱敏系统 | |
CN115698998A (zh) | 使用远程主体对象针对外部身份的安全资源授权 | |
CN113508383A (zh) | 数据库对象上以容器为中心的访问控制 | |
CN104917793A (zh) | 一种访问控制方法、装置及系统 | |
CN102201935B (zh) | 一种基于view的访问控制方法及其装置 | |
CN107133278A (zh) | 一种基于虚拟桌面环境的文档管理控制方法 | |
CN104715341A (zh) | 一种权限分配方法及装置 | |
CN108846755A (zh) | 一种基于智能合约的权限管理方法及装置 | |
CN107438067A (zh) | 一种基于mesos容器云平台的多租户构建方法及系统 | |
CN110889127A (zh) | 无限子集和多维度授权的特权账号访问控制方法及装置 | |
CN106161654A (zh) | 一种云教育系统 | |
CN115174177B (zh) | 权限管理方法、装置、电子设备、存储介质和程序产品 | |
CN115955346A (zh) | 一种基于身份认证体系的多租户管理系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200317 |
|
RJ01 | Rejection of invention patent application after publication |