CN112069473A - 一种用户授权方法及系统 - Google Patents

一种用户授权方法及系统 Download PDF

Info

Publication number
CN112069473A
CN112069473A CN202010768479.9A CN202010768479A CN112069473A CN 112069473 A CN112069473 A CN 112069473A CN 202010768479 A CN202010768479 A CN 202010768479A CN 112069473 A CN112069473 A CN 112069473A
Authority
CN
China
Prior art keywords
roles
subsystem
authorize
administrator
user authorization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010768479.9A
Other languages
English (en)
Inventor
麻磊
春意
邓建民
赵妍
孙晶
王龙
杨银占
万婧昕
任艳方
赵立先
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Academy of Railway Sciences Corp Ltd CARS
Institute of Computing Technologies of CARS
Beijing Jingwei Information Technology Co Ltd
Original Assignee
China Academy of Railway Sciences Corp Ltd CARS
Institute of Computing Technologies of CARS
Beijing Jingwei Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Academy of Railway Sciences Corp Ltd CARS, Institute of Computing Technologies of CARS, Beijing Jingwei Information Technology Co Ltd filed Critical China Academy of Railway Sciences Corp Ltd CARS
Priority to CN202010768479.9A priority Critical patent/CN112069473A/zh
Publication of CN112069473A publication Critical patent/CN112069473A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例提供一种用户授权方法及系统,该方法包括:设置系统总管理员的总管理权限;所述系统总管理员给若干子系统管理员进行授权,由所述若干子系统管理员给各自下属的若干角色进行授权;所述若干角色对若干下一级角色进行授权,直到将所有角色全部进行授权。本发明实施例通过在对系统进行授权时采用逐级授权和权限隔离的处理,使得系统实现了逐级管理以及授权明确,达到系统内部角色划分明确,互不干扰的目的。

Description

一种用户授权方法及系统
技术领域
本发明涉及信息安全技术领域,尤其涉及一种用户授权方法及系统。
背景技术
目前,常用带权限的系统大部分采用RBAC(Role-Based AccessControl)用户角色权限设计方案,即用户通过角色与权限进行关联。
上述系统中,一个用户拥有若干角色,每一个角色拥有若干权限,这样就构成“用户-角色-权限”的授权模型,在这种模型中,用户与角色之间,角色与权限之间,一般都是多对多的关系。
很显然,由于系统中存在错综复杂的多对多关系,导致现有系统中各子系统一旦增加,伴随着用户也增多,相应的角色类型也增多,全部由管理员进行分配,使得管理员容易出现失误;通过角色之间的关联,两个系统之间可以互相访问,进而了解到系统中的菜单和对应的权限等,安全性很低。随着融合到平台的系统逐渐增多,菜单也随之增多,管理员新建角色与授权工作量逐渐变大,且可能由于疏忽造成权限分配错误,容易把系统的权限分配错误。
因此,需要提出一种新的用户授权方法,解决上述问题。
发明内容
本发明实施例提供一种用户授权方法及系统,用以解决现有技术中系统对于其中各子系统的授权无法做到层级分明,权限相互隔离的缺陷。
第一方面,本发明实施例提供一种用户授权方法,包括:
设置系统总管理员的总管理权限;
所述系统总管理员给若干子系统管理员进行授权,由所述若干子系统管理员给各自下属的若干角色进行授权;
所述若干角色对若干下一级角色进行授权,直到将所有角色全部进行授权。
进一步地,若干子系统之间是相互隔离,对应地,所述若干子系统管理员之间无法互相授权。
进一步地,所述若干角色之间无法互相授权。
进一步地,任一个子系统仅能给所述任一个子系统下属的若干角色进行授权。
第二方面,本发明实施例还提供一种YYYY,包括:
总设置模块,用于设置系统总管理员的总管理权限;
一级设置模块,用于所述系统总管理员给若干子系统管理员进行授权,由所述若干子系统管理员给各自下属的若干角色进行授权;
下级设置模块,用于所述若干角色对若干下一级角色进行授权,直到将所有角色全部进行授权。
进一步地,所述一级设置模块中的若干子系统之间是相互隔离,对应地,所述若干子系统管理员之间无法互相授权。
进一步地,所述一级设置模块中的所述若干角色之间无法互相授权。
进一步地,所述一级设置模块中的任一个子系统仅能给所述任一个子系统下属的若干角色进行授权。
第三方面,本发明实施例还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述用户授权方法的步骤。
第四方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述用户授权方法的步骤。
本发明实施例提供的用户授权方法及系统,通过在对系统进行授权时采用逐级授权和权限隔离的处理,使得系统实现了逐级管理以及授权明确,达到系统内部角色划分明确,互不干扰的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种用户授权方法的流程示意图;
图2是本发明实施例提供的用户授权示意图;
图3是本发明实施例提供的一种用户授权系统的结构示意图;
图4是本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请实施例中的术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。本申请的描述中,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列部件或单元的系统、产品或设备没有限定于已列出的部件或单元,而是可选地还包括没有列出的部件或单元,或可选地还包括对于这些产品或设备固有的其它部件或单元。本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
图1是本发明实施例提供的一种用户授权方法的流程示意图,如图1所示,包括:
S1,设置系统总管理员的总管理权限;
S2,所述系统总管理员给若干子系统管理员进行授权,由所述若干子系统管理员给各自下属的若干角色进行授权;
S3,所述若干角色对若干下一级角色进行授权,直到将所有角色全部进行授权。
其中,若干子系统之间是相互隔离,对应地,所述若干子系统管理员之间无法互相授权。
其中,所述若干角色之间无法互相授权。
其中,任一个子系统仅能给所述任一个子系统下属的若干角色进行授权。
具体地,首先对系统最上级管理员设置总的管理权限,再由最上级管理员,建立下一级各系统管理员,给各系统管理员授权各自的权限,然后在该一层级上的系统管理员又可建立更下级管理员,此处各系统管理员可分配的权限仅限于自身所有的权限,即各子系统只能给自身对应的下一级的角色授权,不能跨级授权,同时,每个子系统只能从上一级别授权至下一级别,横向之间也无法对同一层级的子系统进行授权,更无法对跨过自身的子系统的下一级或下几个级别的角色进行授权。通过这种逐级授权,直到将系统中所有的子系统以及下属的角色全部授权完成。
通过以上的授权操作,达到了逐级管理,并且各级别之间授权关系是明确的,且不会互相干扰。
例如在铁路系统中,有十几个子系统,从最高级管理员开始,给各个子系统建立一个子系统管理员,分别给与各自的子系统管理员权限,这样互不干扰;具体而言,国铁集团下包括18个铁路局及各个直属单位,这些铁路局和直属单位下又有各个公司,采用了本发明实施例的授权模式,可以有效分隔数据,并逐级授权,分散工作量到具体的各个小单位,减轻各管理员压力。
以下通过一个例子来说明本发明实施例的授权流程:
如图2所示,假设整体系统为X系统,首先给该X系统设置一个总管理员权限x,X系统存在下一级子系统A1、B1、……、一直到N1,由总管理员对其进行授权,得到对应的一级子系统权限a1、b1、……、n1;
其中,对于A1一级子系统,可以向多个下一级子系统A11、A12、……、A1n继续进行授权,得到多个A1的二级子系统的权限a11、a12、……、a1n;同理,B1子系统进行同样的授权处理,对多个下一级子系统B11、B12、……、B1n继续进行授权,得到多个B1的二级子系统的权限b11、b12、……、b1n;N1子系统进行同样的授权处理,对多个下一级子系统N11、N12、……、N1n继续进行授权,得到多个N1的二级子系统的权限n11、n12、……、n1n;
上述各子系统中,A1、B1、……、N1中,各子系统无法相互授权,也无法查看到彼此之间的权限,A1仅能给下一级的A11、A12、……、A1n进行授权,无法给B11、B12、……、B1n进行授权,也无法跨过A11给A11的下一级A21授权,可以理解的是,每条授权支线上仅能自上而下进行纵向的逐级授权,而无法横向授权,也无法越级授权。
本发明实施例通过在对系统进行授权时采用逐级授权和权限隔离的处理,使得系统实现了逐级管理以及授权明确,达到系统内部角色划分明确,互不干扰的目的。
下面对本发明实施例提供的用户授权系统进行描述,下文描述的用户授权系统与上文描述的用户授权方法可相互对应参照。
图3是本发明实施例提供的一种用户授权系统的结构示意图,如图3所示,包括:总设置模块31、一级设置模块32和下级设置模块33;其中:
总设置模块31用于设置系统总管理员的总管理权限;一级设置模块32用于所述系统总管理员给若干子系统管理员进行授权,由所述若干子系统管理员给各自下属的若干角色进行授权;下级设置模块33用于所述若干角色对若干下一级角色进行授权,直到将所有角色全部进行授权。
本发明实施例通过在对系统进行授权时采用逐级授权和权限隔离的处理,使得系统实现了逐级管理以及授权明确,达到系统内部角色划分明确,互不干扰的目的。
基于上述实施例,所述一级设置模块32中的若干子系统之间是相互隔离,对应地,所述若干子系统管理员之间无法互相授权。
基于上述任一实施例,所述一级设置模块32中的所述若干角色之间无法互相授权。
基于上述任一实施例,所述一级设置模块32中的任一个子系统仅能给所述任一个子系统下属的若干角色进行授权。
图4示例了一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)410、通信接口(Communications Interface)420、存储器(memory)430和通信总线440,其中,处理器410,通信接口420,存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令,以执行用户授权方法,该方法包括:设置系统总管理员的总管理权限;所述系统总管理员给若干子系统管理员进行授权,由所述若干子系统管理员给各自下属的若干角色进行授权;所述若干角色对若干下一级角色进行授权,直到将所有角色全部进行授权。
此外,上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的用户授权方法,该方法包括:设置系统总管理员的总管理权限;所述系统总管理员给若干子系统管理员进行授权,由所述若干子系统管理员给各自下属的若干角色进行授权;所述若干角色对若干下一级角色进行授权,直到将所有角色全部进行授权。
又一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的用户授权方法,该方法包括:设置系统总管理员的总管理权限;所述系统总管理员给若干子系统管理员进行授权,由所述若干子系统管理员给各自下属的若干角色进行授权;所述若干角色对若干下一级角色进行授权,直到将所有角色全部进行授权。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种用户授权方法,其特征在于,包括:
设置系统总管理员的总管理权限;
所述系统总管理员给若干子系统管理员进行授权,由所述若干子系统管理员给各自下属的若干角色进行授权;
所述若干角色对若干下一级角色进行授权,直到将所有角色全部进行授权。
2.根据权利要求1所述的用户授权方法,其特征在于,若干子系统之间是相互隔离,对应地,所述若干子系统管理员之间无法互相授权。
3.根据权利要求1所述的用户授权方法,其特征在于,所述若干角色之间无法互相授权。
4.根据权利要求1至3中任一权利要求所述的用户授权方法,其特征在于,任一个子系统仅能给所述任一个子系统下属的若干角色进行授权。
5.一种用户授权系统,其特征在于,包括:
总设置模块,用于设置系统总管理员的总管理权限;
一级设置模块,用于所述系统总管理员给若干子系统管理员进行授权,由所述若干子系统管理员给各自下属的若干角色进行授权;
下级设置模块,用于所述若干角色对若干下一级角色进行授权,直到将所有角色全部进行授权。
6.根据权利要求5所述的用户授权系统,其特征在于,所述一级设置模块中的若干子系统之间是相互隔离,对应地,所述若干子系统管理员之间无法互相授权。
7.根据权利要求5所述的用户授权系统,其特征在于,所述一级设置模块中的所述若干角色之间无法互相授权。
8.根据权利要求5至7中任一权利要求所述的用户授权系统,其特征在于,所述一级设置模块中的任一个子系统仅能给所述任一个子系统下属的若干角色进行授权。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述用户授权方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至4任一项所述用户授权方法的步骤。
CN202010768479.9A 2020-08-03 2020-08-03 一种用户授权方法及系统 Pending CN112069473A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010768479.9A CN112069473A (zh) 2020-08-03 2020-08-03 一种用户授权方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010768479.9A CN112069473A (zh) 2020-08-03 2020-08-03 一种用户授权方法及系统

Publications (1)

Publication Number Publication Date
CN112069473A true CN112069473A (zh) 2020-12-11

Family

ID=73656798

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010768479.9A Pending CN112069473A (zh) 2020-08-03 2020-08-03 一种用户授权方法及系统

Country Status (1)

Country Link
CN (1) CN112069473A (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103107899A (zh) * 2011-11-10 2013-05-15 天津市国瑞数码安全系统有限公司 一种三权分立的分级授权管理系统及方法
CN111079127A (zh) * 2019-11-20 2020-04-28 武汉达梦数据技术有限公司 一种信息系统的用户分级授权管理方法和装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103107899A (zh) * 2011-11-10 2013-05-15 天津市国瑞数码安全系统有限公司 一种三权分立的分级授权管理系统及方法
CN111079127A (zh) * 2019-11-20 2020-04-28 武汉达梦数据技术有限公司 一种信息系统的用户分级授权管理方法和装置

Similar Documents

Publication Publication Date Title
CA3087858C (en) Authentication and authorization using tokens with action identification
CN107153565B (zh) 配置资源的方法及其网络设备
CN109889517B (zh) 数据处理方法、权限数据集创建方法、装置及电子设备
EP3547634B1 (en) Method and apparatus for determining access permission, and terminal
DE112018007217B4 (de) Sicherheitseinrichtung mit einer Angriffs-Detektionseinrichtung und einer Sicherheitsrisikozustand-Bestimmungseinrichtung und eingebettete Einrichtung hierfür
CN105721420A (zh) 访问权限控制方法和反向代理服务器
CN109413080B (zh) 一种跨域动态权限控制方法及系统
CN108881309A (zh) 大数据平台的访问方法、装置、电子设备及可读存储介质
CN109831322B (zh) 多系统账号权限集中管理方法、设备及存储介质
CN103718527A (zh) 一种通信安全处理方法、装置及系统
CN105827645B (zh) 一种用于访问控制的方法、设备与系统
CN106445399A (zh) 一种存储系统的控制方法及存储系统
CN113472575B (zh) 一种开放虚拟网络的部署方法及装置
CN106997440A (zh) 一种角色访问控制方法
CN105373714B (zh) 一种用户权限控制方法和装置
CN106487770B (zh) 鉴权方法及鉴权装置
CN104866774A (zh) 账户权限管理的方法及系统
CN104780159A (zh) 一种基于动态信任阈值的访问控制方法
CA2546163A1 (en) Attribute-based allocation of resources to security domains
CN112134848A (zh) 融合媒体云自适应访问控制方法、装置、终端及介质
CN105721486A (zh) 一种单用户多系统登录框架及方法
CN114297590A (zh) 权限管理方法、装置、电子设备和存储介质
CN112966292A (zh) 元数据访问权限控制方法、系统、电子设备及存储介质
CN113010897A (zh) 云计算安全管理方法及其系统
CN106230616B (zh) 一种业务配置信息处理方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20201211