CN111625865A - 一种基于规则的实体权限引擎控制方法及控制系统 - Google Patents
一种基于规则的实体权限引擎控制方法及控制系统 Download PDFInfo
- Publication number
- CN111625865A CN111625865A CN202010469093.8A CN202010469093A CN111625865A CN 111625865 A CN111625865 A CN 111625865A CN 202010469093 A CN202010469093 A CN 202010469093A CN 111625865 A CN111625865 A CN 111625865A
- Authority
- CN
- China
- Prior art keywords
- rule
- authority
- interface
- request
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000012545 processing Methods 0.000 claims abstract description 4
- 238000013475 authorization Methods 0.000 claims description 16
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 4
- 230000006870 function Effects 0.000 claims description 3
- 238000013461 design Methods 0.000 abstract description 13
- 238000007726 management method Methods 0.000 description 37
- 238000011161 development Methods 0.000 description 4
- 230000007547 defect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013070 change management Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于信息安全控制处理的技术领域,公开了一种基于规则的实体权限引擎控制系统及控制方法,通过控制器、定义器、规则库、计算器和接口构成了基于规则的实体权限引擎控制系统。定义器采用基于WEB网页的方式、或者采用移动设备端的方式、或者采用硬件的电路模式进行定义;规则库采用基于ORACLE、MYSQL、MSSQL关系型数据库进行规则库的存储,或采用XML等简易的标记语言存储。本发明提供的基于规则的实体权限引擎,可以减少权限设计人员重复设计的负担、有良好的通用性、比现有的基于角色的权限设计管理粒度更小、维度更多、对提高信息化系统的安全管理水平是非常有帮助的。
Description
技术领域
本发明属于信息处理技术领域,尤其涉及一种基于规则的实体权限引擎控制方法及控制系统。
背景技术
目前,随着企业的信息化程度的不断提高,ERP、PLM、MES等信息化系统得到广泛的应用。为企业提高工作效率做出了越来越大的贡献。随着系统的建设、数据的汇总和集中,对数字资产的安全管控需求越来越多。
权限控制技术,是通过技术手段将先进的管理思维固化,使得重要的信息资产,在保证安全的同时又能被灵活应用。方案的设计就有尤为重要。
现有的技术方案多采用基于角色的权限控制技术。
通过上述分析,现有技术存在的问题及缺陷为:(1)现有的基于角色的权限控制对数据的管理粒度较大。不能实现对具体的业务数据的精细化管控。尤其是针对一些大型企业核心管理系统,例如ERP、PLM、OA等和一些有特殊要求的情况。
(2)现有的权限控制系统的设计方式多定制化的产品模式,缺乏通用性,存在重复开发轮子的问题。
(3)现有的权限控制系统的设计会因为软件设计师的个人能力、项目产品工期等原因影响,导致权限管理系统的设计质量的不稳定,直接影响管理系统的信息安全。
解决以上问题及缺陷的难度为:需要解决上述产品开发中的技术难点,至少需要对各种类型的企业管理系统有非常深入的了解,尤其是数据的控制及安全管理方面。还需要对现有的数据安全产品的设计要非常了解,有多年各种软件产品的设计经验。同时还应具有高水平的产品抽象能力。能够识别并提出解决安全产品设计共性问题的解决方案。
解决以上问题及缺陷的意义为:提出一种通用的权限系统的设计方案,对提高行业整体的系统的安全水平是非常有帮助的。好比信息加密安全领域的MD5、RSA等算法的提出。算法提出后获得了大范围的工业应用,现在已经广泛应用于通讯和信息安全领域。成为事实上的行业标准,直到区块链技术的出现。
发明内容
针对现有技术存在的问题,本发明提供了一种基于规则的实体权限引擎控制系统及控制方法。
本发明提供了一种基于规则的实体权限引擎控制系统,包括:
定义器,用于对权限的规则进行定义设置;
控制器,用于引擎内部的逻辑功能调度;
计算器,用于根据规则库的权限对实体的权限进行计算;
规则库,用于存放定义器中定义的权限规则;
接口,用于对外提供权限的服务。
定义器可采用基于WEB网页的方式、移动设备端的方式、硬件的电路模式进行定义;
规则库可采用基于ORACLE、MYSQL、MSSQL关系型数据库进行规则库的存储,或采用XML等简易的标记语言存储。
计算器可采用基于位运算的逻辑计算方式,或者采用逻辑电路进行逻辑运算;
控制器和接口可采用基于JAVA、C++、C#、VB多种语言。
一种基于规则的实体权限引擎控制系统通过对外暴露2个接口进行权限的控制及管理;
一个接口为权限定义接口,另一个接口为权限请求接口。
权限请求接口的数据至少包括:授权对象、授权对象类型、授权请求的时间、当前时间、希望授予的权限、授权的内容信息。
本发明提供的一种基于规则的实体权限引擎控制系统的控制方法,包括:权限定义和权限请求方法。要使用一种基于规则的实体权限引擎控制系统必须首先进行权限定义,然后进行权限请求方法的使用。
权限定义方法:
步骤1,权限规则定义数据通过接口进入引擎;
步骤2,通过控制器接收后判断为规则定义;
步骤3,控制器将规则定义的请求转发给定义器处理;
步骤4,定义器直接将规则写入规则库中,同时将规则的写入情况告知控制器,是否完成规则定义任务。
步骤5,控制器将规则定义情况返回给接口。
举例说明:
权限规则的定义及说明:
例如开发设计中会有如下规则要求:
A公司B部门的C科室下的人具有D类型的所有文档的查看权限。
B公司C部门的D科室的E技术员拥有F零部件的资料的查看编辑权限。
上述的每一条规则记录,对应规则库中的规则。也是权限定义的内容。
进一步,权限请求方法:
步骤1,控制器通过接口接收进入引擎的权限请求数据,对所述权限请求数据判断为规则请求数据;
步骤2,将所述规则请求数据的数据包和请求、转发给计算器和规则库;
步骤3,所述计算器比对规则库的信息和规则请求信息,并进行规则请求信息判断;
步骤4,计算器将规则请求信息判断的结果反馈给控制器。
步骤5,控制器将计算结果通过接口返回。
举例说明:
权限规则的请求及说明:
例如开发设计中会有如下规则请求要求:
A公司B部门的C科室下的人是否具有D类型的所有文档的查看权限?
B公司C部门的D科室的E技术员是否拥有F零部件的资料的查看编辑权限?
上述的每一条规则记录的请求,属于权限请求的内容。
本发明对的另一目的在于提供一种接收用户输入程序存储介质,所存储的计算机程序使电子设备执行所述基于规则的实体权限引擎控制方法。
本发明对的另一目的在于提供一种存储在计算机可读介质上的计算机程序产品,包括计算机可读程序,供于电子装置上执行时,提供用户输入接口以实施所述基于规则的实体权限引擎控制方法。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:
为针对企业开发的管理信息系统产品的精细化水平提升提供了一个成型的框架性的解决方案。为行业提供了一个通用的、标准的框架性的解决方案,解决了重复设计轮子的问题。提升了信息系统的整体质量尤其是数据安全管理部分。
对比的技术效果或者实验效果。发明专利号201910764518.5提出一种基于微服务架构的数据权限控制方法及系统。针对现有流行的互联网的微服务架构下缺乏数据权限的控制方法及系统提出了一种解决方案。方案主要介绍的主要是针对微服务架构下的权限控制服务和基础服务之间的控制信息的交互方式及其过程。我们提出的基于规则的权限控制系统及方案描述的是权限控制系统具体的实现及管理。
发明专利号201910762704.5提出一种权限管理方法。针对管理软件的产品管理中权限控制的难度,提出了采用等级管理自动分配权限的管理方式进行权限管理。是根据角色级别匹配对应的权限等级。而本发明提出的基于规则的实体权限控制系统的管理粒度比他们要小,管理更为细致。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明一种基于规则的实体权限引擎控制系统的结构示意图。
中:1、定义器;2、规则库;3、计算器;4、接口;5、控制器。
图2是本发明实施例提供的一种基于规则的实体权限引擎控制方法权限定义流程图。
图3是本发明实施例提供的一种基于规则的实体权限引擎控制方法权限请求流程图。
具体实施方式
针对现有技术存在的问题,本发明提供了一种基于规则的实体权限引擎控制系统及控制方法,下面结合附图对本发明作详细的描述。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示一种基于规则的实体权限引擎控制系统包括:定义器1、控制器5、计算器3、规则库2、接口4。定义器用于对权限的规则进行定义设置,控制器用于引擎内部的逻辑功能调度、计算器用于根据规则库的权限对实体的权限进行计算。规则库用于存放定义器中定义的权限规则。接口用于对外提供权限的服务。
所述的定义器可以采用多种形式,例如可以采用基于WEB网页的方式定义、移动设备端的方式、硬件的电路模式
所述的规则库可以采用基于ORACLE、MYSQL、MSSQL等关系型数据库进行规则库的存储,也可以采用XML等简易的标记语言存储。
所述的计算器可以采用基于位运算的逻辑计算方式,或者采用逻辑电路进行逻辑运算。
所述的控制器和接口可以采用基于JAVA、C++、C#、VB等多种语言开发设计。
实体权限引擎通过对外暴露2个接口来实现权限的控制及管理。
其中一个是权限规则定义接口,一个是权限请求接口。
其中权限定义接口信息包括:授权的对象、授权对象的类型、授权请求的生效时间和截止时间、被授权的权限、被授权的内容信息(直接或间接地址);
其中权限请求接口信息包括:授权对象、授权对象类型、授权请求的时间、当前时间、希望授予的权限、授权的内容信息;
如图2所示的本发明实施例提供的一种基于规则的实体权限引擎控制方法的权限定义流程包括:
S101,权限规则定义数据通过接口进入引擎。
S102,通过控制器接收后判断为规则定义。
S103,控制器将规则定义的请求转发给定义器处理。
S104,定义器直接将规则写入规则库中,同时将规则的写入情况告知控制器,是否完成规则定义任务。
S105,控制器将规则定义情况返回给接口。
如图3所示的本发明实施例提供的一种基于规则的实体权限引擎控制方法的权限请求流程包括:
S201,权限请求数据通过接口进入引擎。权限请求数据至少包括:授权对象、授权对象类型、授权请求的时间、当前时间、授权的内容等信息。
S202,控制器通过接口接收数据后进行判断为规则请求。
S203,控制器将规则计算请求的数据包和请求、转发给计算器和规则库。
S204,计算器和规则库建立连接。
S205,计算器通过比对规则库的信息和规则请求信息对完成规则进行判断。
S206,计算器将规则判断的结果反馈给控制器。
S207,控制器通过接口反馈控制完成的结果。
下面结合具体实施例对本发明作进一步描述。
实施例
一种基于规则的实体权限引擎控制系统及方法可以应用在:各种类型的信息管理系统中例如:项目管理系统、项目任务管理系统、文件管理系统、工程变更管理系统、产品零部件管理、工作流程管理系统、文档生命周期管理系统、ERP管理系统、PDM管理系统、MES管理系统、OA管理系统、PLM管理系统、SCM管理系统、CRM管理系统等
也可以应用于:学生学籍管理、图书馆图书管理、安全管理等其他类型的信息系统中。
应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种基于规则的实体权限引擎控制系统,其特征在于,所述基于规则的实体权限引擎控制系统包括:
定义器,用于对权限的规则进行定义设置;
控制器,用于引擎内部的逻辑功能调度;
计算器,用于根据规则库的权限对实体的权限进行计算;
规则库,用于存放定义器中定义的权限规则;
接口,用于对外提供权限的服务。
2.如权利要求1所述的基于规则的实体权限引擎控制系统,其特征在于,所述的定义器采用基于WEB网页的方式、或者采用移动设备端的方式、或者采用硬件的电路模式进行定义;
所述的规则库采用基于ORACLE、MYSQL、MSSQL关系型数据库进行规则库的存储,或采用XML简易的标记语言存储。
3.如权利要求1所述的基于规则的实体权限引擎控制系统,其特征在于,所述的计算器采用基于位运算的逻辑计算方式,或者采用逻辑电路进行逻辑运算。
4.如权利要求1所述的基于规则的实体权限引擎控制系统,其特征在于,所述的控制器接口采用JAVA语言设计、或C++语言设计、或C#语言设计、或V B语言设计、或C语言设计;
通过控制器向接口传递权限控制信息;
所述接口通过对外暴露2个接口进行权限的控制及管理,一个接口为权限定义接口,另一个接口为权限请求接口。
5.如权利要求1所述的基于规则的实体权限引擎控制系统,其特征在于,所述权限请求接口的输入数据至少包括:授权对象、授权对象类型、授权请求的时间、当前时间、授权的内容信息。
6.一种基于规则的实体权限引擎控制方法,其特征在于,所述基于规则的实体权限引擎控制方法包括权限定义方法和和权限请求方法。
7.如权利要求6所述的基于规则的实体权限引擎控制方法,其特征在于,所述权限定义方法包括以下步骤:
步骤1,权限规则定义数据通过接口进入引擎;
步骤2,通过控制器接收后判断为规则定义;
步骤3,控制器将规则定义的请求转发给定义器处理;
步骤4,定义器直接将规则写入规则库中,同时将规则的写入情况告知控制器,是否完成规则定义任务。
步骤5,控制器将规则定义情况返回给接口。
8.如权利要求6所述的基于规则的实体权限引擎控制方法,其特征在于,所述权限请求方法包括以下步骤:
步骤1,权限请求数据通过接口进入引擎;权限请求数据包括:授权对象、授权对象类型、授权请求的时间、当前时间、授权的内容信息;
步骤2,控制器通过接口接收数据后进行判断为规则请求;
步骤3,控制器将规则计算请求的数据包和请求、转发给计算器和规则库;
步骤4,计算器和规则库建立连接;
步骤5,计算器通过比对规则库的信息和规则请求信息对完成规则进行判断;
步骤6,计算器将规则判断的结果反馈给控制器;
步骤7,控制器通过接口反馈控制完成的结果。
9.一种接收用户输入程序存储介质,所存储的计算机程序使电子设备执行权利要求6~8任意一项所述基于规则的实体权限引擎控制方法。
10.一种存储在计算机可读介质上的计算机程序产品,包括计算机可读程序,供于电子装置上执行时,提供用户输入接口以实施如6~8任意一项所述基于规则的实体权限引擎控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010469093.8A CN111625865A (zh) | 2020-05-28 | 2020-05-28 | 一种基于规则的实体权限引擎控制方法及控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010469093.8A CN111625865A (zh) | 2020-05-28 | 2020-05-28 | 一种基于规则的实体权限引擎控制方法及控制系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111625865A true CN111625865A (zh) | 2020-09-04 |
Family
ID=72259333
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010469093.8A Pending CN111625865A (zh) | 2020-05-28 | 2020-05-28 | 一种基于规则的实体权限引擎控制方法及控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111625865A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1630734A1 (en) * | 2004-08-31 | 2006-03-01 | Stanley, Morgan | Organizational reference data and entitlement system |
| EP2521061A1 (en) * | 2011-05-03 | 2012-11-07 | Nxp B.V. | Semantic access management engine and method for accessing data |
| CN103020498A (zh) * | 2012-11-19 | 2013-04-03 | 广东亚仿科技股份有限公司 | 一种智能化动态权限控制方法和系统 |
| CN110941837A (zh) * | 2019-11-11 | 2020-03-31 | 北京仁科互动网络技术有限公司 | 一种基于元数据的数据权限配置方法及系统 |
-
2020
- 2020-05-28 CN CN202010469093.8A patent/CN111625865A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1630734A1 (en) * | 2004-08-31 | 2006-03-01 | Stanley, Morgan | Organizational reference data and entitlement system |
| US20070124269A1 (en) * | 2004-08-31 | 2007-05-31 | David Rutter | Organizational reference data and entitlement system with entitlement generator |
| EP2521061A1 (en) * | 2011-05-03 | 2012-11-07 | Nxp B.V. | Semantic access management engine and method for accessing data |
| CN103020498A (zh) * | 2012-11-19 | 2013-04-03 | 广东亚仿科技股份有限公司 | 一种智能化动态权限控制方法和系统 |
| CN110941837A (zh) * | 2019-11-11 | 2020-03-31 | 北京仁科互动网络技术有限公司 | 一种基于元数据的数据权限配置方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10579443B2 (en) | Kernel event triggers for content item security | |
| EP2901361B1 (en) | Secure data container for web applications | |
| US9348645B2 (en) | Method and apparatus for inter process priority donation | |
| CN102104607B (zh) | 访问业务的安全控制方法、装置及系统 | |
| CN103559118A (zh) | 一种基于aop与注解信息系统的安全审计方法 | |
| US8484610B2 (en) | Workflow execution model | |
| US11720701B2 (en) | Systems and methods to control data access and usage | |
| US10552642B2 (en) | Dynamic data-use restrictions | |
| US20120158657A1 (en) | Role-specific access control to sections of artifact content within a configuration management (cm) system | |
| CN111126947B (zh) | 业务数据的集成管理方法、装置、介质及电子设备 | |
| CN111625865A (zh) | 一种基于规则的实体权限引擎控制方法及控制系统 | |
| Gil et al. | Assessment framework for the identification and evaluation of main features for distributed usage control solutions | |
| CN104731765A (zh) | 解决由同时草稿引起的内容编辑冲突 | |
| Zhang et al. | Device-centric federated analytics at ease | |
| CN109815714A (zh) | 权限管控方法、装置及计算机可读存储介质 | |
| CN113220762A (zh) | 大数据应用中实现关键业务字段变更的通用记录处理的方法、装置、处理器及其存储介质 | |
| CN112101890A (zh) | 基于角色和云函数的权限控制方法、装置、设备及介质 | |
| US20090112673A1 (en) | Rules and workflow process integration | |
| Gautier et al. | Formal synthesis of optimal rtos | |
| US20140310331A1 (en) | Monitoring and distributing event processing within a complex event processing environment | |
| Tsai et al. | Ensuring Transparency in Using ChatGPT for Public Sentiment Analysis | |
| JP2010015419A (ja) | プラント情報処理システムおよびプラント情報処理方法 | |
| Davis | Object‐Oriented Analysis to Object‐Oriented Design: An Easy Transition | |
| CN117272374A (zh) | 权限的控制方法及相关设备 | |
| CN116186648A (zh) | 一种低代码元数据保护的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200904 |
|
| WD01 | Invention patent application deemed withdrawn after publication |