CN117690566A

CN117690566A - 一种基于矩阵的医院权限系统管理方法

Info

Publication number: CN117690566A
Application number: CN202311809525.5A
Authority: CN
Inventors: 胡金萍; 胡值彬; 马如明; 施昊
Original assignee: Nanjing Tiansu Automation Control System Co ltd
Current assignee: Nanjing Tiansu Automation Control System Co ltd
Priority date: 2023-12-25
Filing date: 2023-12-25
Publication date: 2024-03-12

Abstract

本发明公开了一种基于矩阵的医院权限系统管理方法，涉及数据处理技术领域。本发明给权限主体建立权限数据模型，将权限主体的权限获取，模型化为权限主体多属性权限的数据并集，将权限主体的多属性权限计算转化为属性和权限的笛卡尔积，笛卡尔积再简化为矩阵运算。权限属性用0或1表示，进一步简化为计算机的逻辑与或运算，从而将海量数据的读取，用简单的矩阵运算和计算机逻辑运算替代。本发明的管理方法将用户权限的变更，转化为用户属性关系矩阵的变更，批量用户的权限变更也就是多个属性关系矩阵的变更，使得权限操作更便捷，能够实时生效。本发明的管理方法与现有传统ABAC权限模型相比，数据计算效率高、数据获取效率高。

Description

一种基于矩阵的医院权限系统管理方法

技术领域

本发明涉及数据处理技术领域，尤其涉及用户权限管理技术领域，更具体地说涉及一种基于矩阵的医院权限系统管理方法。

背景技术

基于属性的权限管理模型(Attribute-Based Access Control，简称ABAC)，将用户拥有的权限以其最小颗粒度的形式存储到数据库中，每位用户每多赋予一种权限，则用户-权限关系表中就会多一条或多条数据。用户数量越多，权限关系越多，则这张用户-权限关系表的数据量就越大。对于医联体等医院集团而言，那便是千万级以上数据级的海量数据。若获取权限的场景频繁且有高性能要求，则整个业务系统面临艰巨的数据考研，整个系统的稳定性也是一大难题。

批量变更用户权限时，对于普通的ABAC权限模型来说，也是挑战。批量用户变更权限，就需要处理数倍的用户-权限数据。批量处理的用户数量越多，用户-权限关系越复杂，需要处理的用户-权限数据量就越大。

在权限查询本就压力大的前提下，用户权限的变更更要小心翼翼。而为了不影响权限查询性能，大数据量的用户权限变更并不会实时生效，或少量多次进行，或在查询压力小的夜间进行，这就影响了用户权限的实时性，推迟了变更用户权限的生效时间。

由于医院主体和资源属性的多样化，导致医院系统的用户权限配置和管理难度大。随着时间的推移，后期的权限管理混乱，易出现确权混乱，配置失误导致的莫名提权或权限丢失等情况。如医院人员的临时借调或者轮岗，借调或轮岗到期后未能及时修改权限导致被动提权等场景。普通的ABAC权限模型并不能有效解决以上问题。

发明内容

为了克服上述现有技术中存在的缺陷和不足，本发明提供了一种基于矩阵的医院权限系统管理方法，本发明的发明目的在于解决现有ABAC权限模型的数据计算效率低、数据获取效率低的问题。本发明提供的基于矩阵的医院权限系统管理方法，给权限主体建立权限数据模型，将权限主体的权限获取，模型化为权限主体多属性权限的数据并集，将权限主体的多属性权限计算转化为属性和权限的笛卡尔积，笛卡尔积再简化为矩阵运算。权限属性用0或1表示，多属性的数据并集简化为计算机的逻辑与或运算，从而将海量数据的读取，用简单的矩阵运算和计算机逻辑运算替代。本发明的管理方法将用户权限的变更，转化为用户属性关系矩阵的变更，批量用户的权限变更也就是多个属性关系矩阵的变更，使得权限操作更便捷，能够实时生效。本发明的管理方法与现有传统ABAC权限模型相比，数据计算效率高、数据获取效率高。

为了解决上述现有技术中存在的问题，本发明是通过下述技术方案实现的。

本发明提供了一种基于矩阵的医院权限系统管理方法，该管理方法包括以下步骤：

S1、基于目标医院权限系统中的所有权限，构建权限矩阵：

式中，T_P表示权限矩阵，p_n表示权限矩阵中第n个元素，n表示权限数量；所述构建的权限矩阵中的每一个元素代表医院权限系统中的一种权限；

S2、基于目标医院权限系统中的所有属性，每一个属性单独构建一个属性矩阵：

式中，S表示属性种类数，T_S表示属性S的属性矩阵，s_m表示属性S的属性矩阵中的第m个元素，m表示属性S的属性矩阵中的元素个数；所述构建的属性矩阵中每一个元素代表该属性下的子属性；

S3、根据各属性矩阵中各子属性与权限的对应关系，得到属性-权限关系矩阵a_s1p1表示子属性s₁是否有p₁权限；属性-权限关系矩阵中的各元素用0或1表示，1代表该子属性具备该权限，0代表该子属性不具备该权限；并将该属性-权限关系矩阵作为常量保存；

S4、确定权限主体与各属性的配置关系，以及主体与各属性中各子属性的配置关系，得到主体-属性关系矩阵T_Z-S，T_Z-S表示主体Z与属性S的主体-属性关系矩阵；所述主体-属性关系矩阵T_Z-S中的每一个元素用0或1表示，0表示主体Z与属性S中的子属性无关，1表示主体Z与属性S中的子属性有关；

S5、权限主体Z获取的权限表达式为：T_Z-S1*T_S1-P*T_PUT_Z-S2*T_S2-P*T_PU…UT_Z-SN*T_SN-P*T_P，式中，N表示与权限主体Z相关的属性种类数量，T_Z-SN表示权限主体Z与属性SN的主体-属性关系矩阵，T_SN-P表示属性SN的属性-权限关系矩阵。

进一步优选的，权限主体Z获取的权限表达式为(T_Z-S1*T_S1-P|T_Z-S2*T_S2-P|…|T_Z-SN*T_SN-P)*T_P，式中，N表示与权限主体Z相关的属性种类数量，T_Z-SN表示权限主体Z与属性SN的主体-属性关系矩阵，T_SN-P表示属性SN的属性-权限关系矩阵，|为计算机逻辑或运算。

进一步优选的，将权限主体对应的所有主体-属性关系矩阵与该权限主体一起保存在权限主体列表中。

更进一步优选的，当需要获取某权限主体的权限时，从权限主体表中查出该权限主体，查询结果中包含该权限主体存储的所有主体-属性关系矩阵；调用作为常量保存的属性-权限关系矩阵，根据权限主体获取的权限表达式，从权限列表中获取到该权限主体的权限数据。

进一步优选的，当需要对权限主体的权限进行变更时，只需要对权限主体对应的主体-属性关系矩阵进行修改配置，即可根据修改后的主体-属性关系矩阵和权限表达式，对权限主体的权限进行自动变更。

进一步优选的，所述属性包括组织属性、岗位属性和/或临时授权属性中的任意一种或多种的组合。

与现有技术相比，本发明所带来的有益的技术效果表现在：

1、本发明将传统ABAC权限模型中，被授予权限主体的每一个属性用矩阵关系表示，共同构成被授予权限主体的权限矩阵集合。将权限主体的权限获取，模型化为权限主体多属性权限的数据并集。权限主体的多属性权限计算转化为属性和权限的笛卡尔积，笛卡尔积再简化为矩阵运算。提升权限数据获取效率。由于属性-权限关系矩阵中各元素用0或1表示，多属性的数据并集进一步可简化为计算机的逻辑与或运算，提升计算效率，实现了用简单的矩阵运算和计算机逻辑运算实现权限主体的权限获取、变更或配置。

2、本发明基于矩阵的医院权限系统管理方法，相较于现有传统ABAC权限模型而言，权限数据获取效率和计算效率大大提升。

3、本发明将用户权限变更，转化为用户属性关系矩阵(即主题-属性关系矩阵)的变更，批量用户的权限变更也就是多个属性关系矩阵的变更，权限操作更便捷，权限数据计算效率更快，可实时生效。

4、本发明将海量数据的查询转化为属性关系矩阵运算，简言之，查询用户拥有的权限，就是查询用户所有属性拥有的权限的并集。单个属性拥有的权限通过：人-属性关系矩阵和属性-权限关系矩阵运算可得，当用户属性变更时可直接修改人-属性关系矩阵。同理，属性权限变更时，修改属性-权限关系矩阵即可。此外，当用户有临时借调或轮岗场景时，将人-属性关系矩阵存储时，可通过设置过期时间简化权限关系维护成本。本发明的矩阵关系权限模型形成了以权限主体为核心，围绕主体属性展开的权限系统。

附图说明

图1为本发明基于矩阵的医院权限系统管理方法流程图；

图2为本发明基于矩阵的医院权限系统管理方法的权限主体的权限结构示意图。

具体实施方式

以下是结合附图的以帮助全面理解由权利要求及其等同物限定的本发明的示例性实施例，其中所述特定细节将仅被视为示例性的，而不限制本发明的范围。因此，本领域普通技术人员可在不脱离本发明的范围和精神的情况下，对实施例进行各种改变和修改。

实施例1

作为本发明一较佳实施例，参照说明书附图1所示，本实施例公开了一种基于矩阵的医院权限系统管理方法，该管理方法包括以下步骤：

S1、基于目标医院权限系统中的所有权限，构建权限矩阵：

S5、权限主体Z获取的权限表达式为：T_Z-S1*T_S1-P*T_PUT_Z-S2*T_S2-P*T_PU…UT_Z-SN*T_SN-P*T_P，式中，N表示与权限主体Z相关的属性种类数量，T_Z-SN表示权限主体Z与属性SN的主体-属性关系矩阵，T_SN-P表示属性SN的属性-权限关系矩阵。权限主体的权限获取结构如图2所示，为权限主体多属性权限的数据去重后取并集。

实施例2

作为本发明又一较佳实施例，作为本发明又一较佳实施例，本实施例是在上述实施例1的基础上，对本发明的技术方案做出的进一步详细地补充和阐述。在本实施例中，由于属性-权限关系矩阵中的各元素用0或1表示，1代表该子属性具备该权限，0代表该子属性不具备该权限；主体-属性关系矩阵T_Z-S中的每一个元素用0或1表示，0表示主体Z与属性S中的子属性无关，1表示主体Z与属性S中的子属性有关；为了进一步提升计算效率，多属性的数据并集又可简化为计算机的逻辑或运算；又有矩阵结合率。因此，上述实施例1中的权限主体Z获取的权限表达式可以简化为(T_Z-S1*T_S1-P|T_Z-S2*T_S2-P|…|T_Z-SN*T_SN-P)*T_P，式中，N表示与权限主体Z相关的属性种类数量，T_Z-SN表示权限主体Z与属性SN的主体-属性关系矩阵，T_SN-P表示属性SN的属性-权限关系矩阵，为计算机逻辑或运算。

实施例3

作为本发明又一较佳实施例，在本实施例中，传统ABAC权限模型将权限主体拥有的权限以其最小颗粒度的形式存储到数据库中，每个权限主体每多赋予一种权限，则主体-权限关系表中就会多一条或多条数据。假设某权限主体拥有三种属性，每种属性具有30种权限，则该权限主体在主体-权限关系表中约有60条数据(可能需要去重)。权限主体数量越多，主体属性越多，属性拥有的权限越多，则这张主体-权限关系表的数据量就越大。

为提升权限数据获取效率，本发明给权限主体建立权限数据模型。将权限主体的权限获取，模型化为权限主体多属性权限的数据并集。为简化模型，将权限主体的多属性权限计算转化为属性和权限的笛卡尔积；再次简化模型，将笛卡尔积转化为矩阵运算。

即权限主体获取的权限＝主体-属性1关系矩阵*属性1-权限关系矩阵*权限矩阵U主体-属性2关系矩阵*属性2-权限关系矩阵*权限矩阵U主体-属性3关系矩阵*属性3-权限关系矩阵*权限矩阵U……U权限矩阵U主体-属性n关系矩阵*属性n-权限关系矩阵*权限矩阵。U为数学集合去重后取并集。

进一步的，权限属性可用0、1表示，为进一步提升计算效率，多属性的数据并集又可简化为计算机的逻辑或运算；又有矩阵结合率。因此，上述公式可以简化为(主体-属性1关系矩阵*属性1-权限关系矩阵主体-属性2关系矩阵*属性2-权限关系矩阵|主体-属性3关系矩阵*属性3-权限关系矩阵|……|主体-属性n关系矩阵*属性n-权限关系矩阵)*权限矩阵。|为计算机逻辑或运算。

用户权限变更，转化为用户-属性关系矩阵的变更，批量用户的权限变更也就是多个用户-属性关系矩阵的变更，权限操作更便捷，实时生效。

由于海量数据的查询转化为属性关系矩阵运算。当权限主体属性变更时可直接修改主体-属性关系矩阵。同理，属性权限变更时，修改属性-权限关系矩阵即可。此外，当用户有临时借调或轮岗场景时，将人-属性关系矩阵存储时，可通过设置过期时间简化权限关系维护成本。

实施例4

作为本发明又一较佳实施例，本实施例是在上述实施例1、实施例2或实施例3的基础上，对本发明的技术方案做出的进一步详细地补充和阐述。在本实施例中，传统的ABAC权限获取流程大致分为以下：

1)从权限主体表中查出此权限主体；

2)从主体-权限关系表中查询权限主体拥有的多条数据；

3)从权限表中获取多条数据涉及的权限数据；

4)依次装配并返回。

本申请的权限获取流程可简化：

1)从权限主体表中查出此权限主体，此查询结果可同时包含主体存储的所有主体-属性关系矩阵；

2)查出所有属性-权限关系矩阵(此类矩阵作为常量保存，这步耗费时间可忽略)，

3)从权限表中获取多条数据涉及的权限数据；

4)计算装配并返回。

以上两种方式的对比可得：1)和3)两步时间一致，4)由代码进行即内存计算，耗时差距可忽略不计。步骤2)的查询差距使得矩阵模型的效率优势显而易见。用户权限变更，转化为用户-属性关系矩阵的变更，批量用户的权限变更也就是这批用户-属性关系矩阵的变更。和普通ABAC场景批量处理数倍的用户-权限数据相比，矩阵权限操作更便捷，且实时生效。由于海量数据的查询转化为属性关系矩阵运算。当权限主体属性变更时可直接修改主体-属性关系矩阵。同理，属性权限变更时，修改属性-权限关系矩阵即可。此外，当用户有临时借调或轮岗场景时，将人-属性关系矩阵存储时，可通过设置过期时间简化权限关系维护成本。

实施例5

作为本发明又一较佳实施例，本实施例提供了一种具体实例，例如：某医院后勤员工王某需要根据组织、岗位和单独赋予(临时授权场景)属性授权。则可运用3类矩阵关系表示。

员工由组织获取的权限集合A＝员工和组织关系矩阵*组织和权限关系矩阵*权限矩阵；

员工由岗位获取的权限集合B＝员工和岗位的关系矩阵*岗位和权限关系矩阵*权限矩阵；

员工单独获取的权限集合C＝员工和权限关系矩阵*权限矩阵。

员工三种属性赋予的总权限为：A、B、C取并集后去重。

具体的示例，假设员工王某拥有的权限具有三种属性：

组织：王某属于医院后勤科正式员工；

岗位：王某担任后勤科信息工程师；

临时授权：由于后勤主管李某参加医院后勤讨论会，需出差一段时间，委托王某临时承担主管的派单工作(同时也要承担信息工程师的工作)。

假设员工所在系统共有n(n＞0)个权限：

权限矩阵

组织属性：1、假设组织数量为m，m＞0；则组织(m*1)矩阵：

2、因王某仅在后勤科(正式员工)组织下，则员工和组织关系(1*m)矩阵：

T_U-D＝[1 0…0]；

3、假设后勤科员工有查看后勤所有数据的权限，即d1组织有p1权限，则组织和权限关系(m*n)矩阵：

王某从组织维度获取的权限P_D＝T_U-D*T_D-P*T_P＝p1＝后勤数据查看权限。

岗位属性：1.假设岗位数量为s，s＞0；岗位(s*1)矩阵：

2、因王某仅在j2岗位下，则员工和岗位关系(1*s)矩阵：

T_U-J＝[0 1…0]；

3、若信息工程师岗位仅有信息工单接单权限，假设岗位和权限关系(s*n)矩：

王某从岗位维度获取的权限P_J＝T_U-J*T_J-P*T_P＝pn＝信息工单接单权限。

临时授权：因王某临时承担李某的职责，则单独赋予的权限(1*n)矩阵：

T_Q＝[1 1…0]；

王某单独赋予获取的权限P_Q＝T_Q*T_P＝p1+p2＝后勤数据查看权限+后勤工单派单权限。

王某从3个属性获取的总权限：

P_all＝P_D+P_J+P_Q＝T_U-D*T_D-P*T_P+T_U-J*T_J-P*T_P+T_Q*T_P＝(T_U-D*T_D-P+T_U-J*T_J-P+T_Q)*T_P；

由于矩阵所有元素都是0或1，为提升计算机计算效率，矩阵运算可简化为二进制“与”、“或”运算。

[a]*[b₁，b₂，…，b_n]＝[ab₁，ab₂，…，ab_n]；

ab₁简化为二进制与、二进制或计算：

1 0 0…0&1 0 0…0＝1 0 0…0；

“与”运算得出的m个元素做“或”运算：

ab₁＝1

同理最终可得：

T_Q＝[1 1…0]；

对以上3个结果矩阵做二进制“或”运算，结果为：

[1 1…1]。

即：王某在李某出差期间，有以下三种权限：后勤数据查看权限、后勤工单派单权限和信息工单接单权限。若李某出差时间为7天，具体实现时可以给王某临时获取的关系矩阵T_Q添加过期时间，就可以实现指定时间范围内的提权，到期后自动降为原有权限。

权限矩阵运算引入二进制与、或运算，不仅提升了计算效率，也省略了去重操作。

此外，在确权场景，例如紧急安防场景，权限矩阵前加个n*n的系数矩阵，就可以实现临时快速授权；常规情形，使用n*n的单位矩阵即可。

Claims

1.一种基于矩阵的医院权限系统管理方法，其特征在于：包括以下步骤，

S1、基于目标医院权限系统中的所有权限，构建权限矩阵：

S5、权限主体Z获取的权限表达式为：T_Z-S1*T_S1-P*T_P∪T_Z-S2*T_S2-P*T_P∪...∪T_Z-SN*T_SN-P*T_P，式中，N表示与权限主体Z相关的属性种类数量，T_Z-SN表示权限主体Z与属性SN的主体-属性关系矩阵，T_SN-P表示属性SN的属性-权限关系矩阵。

2.如权利要求1所述的一种基于矩阵的医院权限系统管理方法，其特征在于：权限主体Z获取的权限表达式为(T_Z-S1*T_S1-P|T_Z-S2*T_S2-P|…|T_Z-SN*T_SN-P)*T_P，式中，N表示与权限主体Z相关的属性种类数量，T_Z-SN表示权限主体Z与属性SN的主体-属性关系矩阵，T_SN-P表示属性SN的属性-权限关系矩阵，|为计算机逻辑或运算。

3.如权利要求1或2所述的一种基于矩阵的医院权限系统管理方法，其特征在于：将权限主体对应的所有主体-属性关系矩阵与该权限主体一起保存在权限主体列表中。

4.如权利要求3所述的一种基于矩阵的医院权限系统管理方法，其特征在于：当需要获取某权限主体的权限时，从权限主体表中查出该权限主体，查询结果中包含该权限主体存储的所有主体-属性关系矩阵；调用作为常量保存的属性-权限关系矩阵，根据权限主体获取的权限表达式，从权限列表中获取到该权限主体的权限数据。

5.如权利要求1或2所述的一种基于矩阵的医院权限系统管理方法，其特征在于：当需要对权限主体的权限进行变更时，只需要对权限主体对应的主体-属性关系矩阵进行修改配置，即可根据修改后的主体-属性关系矩阵和权限表达式，对权限主体的权限进行自动变更。

6.如权利要求1或2所述的一种基于矩阵的医院权限系统管理方法，其特征在于：所述属性包括组织属性、岗位属性和/或临时授权属性中的任意一种或多种的组合。