法律状态公告日
法律状态信息
法律状态
2011-09-14
授权
授权
2009-09-02
实质审查的生效
实质审查的生效
2009-07-08
公开
公开
技术领域
本发明涉及一种计算机应用技术,具体地说是一种解决权限管理中访问控制的方法。
背景技术
信息是一种资产,同其他重要的商业资产一样,它对一个组织而言具有一定价值,因而需要适当地保护,即信息安全的问题。信息安全可以通过实施一整套的控制措施达到。这些控制措施可能是策略、做法、程序、组织结构或者软件功能,建立这些控制措施以确保实现该机构特殊的安全目标。
访问控制是信息安全的核心策略之一,它的任务通过限制资源的访问,防止非法用户的侵入或合法用户的不慎操作而造成的破坏,从而保证系统资源的合法使用。访问控制的核心是授权策略,即为了限制访问主体(用户、进程、服务等)对访问客体(文件、系统等)的访问权限,从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么。传统访问控制策略一般有三种:自主型访问控制方法、强制型访问控制方法和基于角色的访问控制方法(RBAC),但三者都不能满足在当前B/S环境下对于资源多样性、多层次特点而带来的访问控制问题。针对B/S环境下资源的复杂性,我们在基于RBAC访问控制的模型上进行了扩展,制定了一种便于资源管理的访问控制模型。
发明内容
本发明的目的是在基于RBAC访问控制的模型上深化了资源的管理及使用,实现了资源在系统、模块、功能、数据等细粒度上的安全访问控制。
该方法基于RBAC模型访问控制技术,将资源细粒度化分为功能资源和数据资源,达到对资源的统一管理和授权;功能资源管理按系统、模块、功能、资源进行了分层设计和实现,数据资源类型管理从业务角度来对访问的敏感业务数据进行灵活定义和管理;最终再通过用户—角色—功能资源权限模式来完成操作页面的授权和用户—数据资源权限模式完成对数据的授权,具体实施步骤如下:
1、梳理业务需求,凡是涉及到“谁”对“什么”进行了“什么操作”的业务统一作为功能资源来处理,在功能资源管理里面进行注册,对于跨系统进行访问并需要纳入权限统一管理的,即系统集成,通过添加系统来完成资源注册,
2、然后再分模块、功能、资源依次添加来完成功能资源的管理;
3、对于“谁”访问“什么资源”中的“什么数据”的业务从数据资源类型管理中进行注册,来达到对数据的记录集控制;
4、分离角色。互斥或不相容角色、继承角色定义,给角色按系统、模块、功能、资源添加操作权限;
5根据用户在社会中扮演的角色来分配适合的角色以及要访问的数据。
本发明的有益效果是将资源细粒度化分为功能资源和数据资源,达到对资源的统一管理和授权;功能资源管理按系统、模块、功能、资源进行了分层设计和实现,数据资源类型管理从业务角度来对访问的敏感业务数据进行灵活定义和管理;最终再通过用户—角色—功能资源权限模式来完成操作页面的授权和用户—数据资源权限模式完成对数据的授权,实现了资源在系统、模块、功能、数据级等细粒度上的安全访问控制,有效的丰富了权限管理内涵,加大了权限控制力度,延长了管理半径,提高了管理的方面性。
附图说明
附图1为功能资源管理的分层树形结构图;
附图2为权限管理访问控制的业务流程图。
具体实施方式
参照附图对本发明的方法作以下详细的说明:
本发明的方法是通过对资源的分类明确了用户权限控制的范围;对功能资源进行分层为用户授权管理提供了方便快捷。
例如:某个角色具备用户管理的权限,而这个用户管理功能可能要对应六七个相关的操作,这种情况下在权限设置管理界面里面初始化某角色的权限,则是一件非常累人的事情,为了给一个角色增加一个功能权限,需要你分别设置六七个操作的权限。
针对这种情况,我们模型在操作前添加了功能、模块的概念,用户授权时只需要将上述六七个操作所在的模块设置一下就可以。
资源在我们模型中分为功能性资源和数据性资源,他们的含义分别为:
功能资源:用户与业务系统进行交流,一般是面向服务的,即业务系统会把服务抽象成一个个功能点暴露给用户,功能权限实际上就是决定用户能否使用系统提供的功能点的问题,即“‘谁’对‘什么资源’进行‘什么操作’”.这里的功能点就是对应的功能资源。
数据资源:基于用户的权限控制而言的,即“‘谁’访问‘什么资源’当中的‘哪些资源’”。例如:分论坛A的版主与分论坛B的版主拥有同样的角色“版主”,即他们的功能权限是一致的,但A版主只能管理A论坛的帖子,B版主只能管理B论坛的帖子,这时,RBAC就不能解决这类权限问题。这里的帖子就是数据资源。
功能资源管理是对功能资源进行维护的模块,对功能资源按系统、模块、功能、资源进行了四级分层处理,见附图1,协同办公和人力资源系统是系统级的,权限管理和组织结构是模块级的,角色和用户是功能级的,增加和删除角色是资源级的。
数据资源可以按记录级即行级和列级来进行访问控制。
行级数据进行权限控制,是指具有不同权限的用户对相同表中同一字段对应的不同记录具有不同的权限。即用户对表的某个字段对应的数据一部分可访问,另一部分不能访问。对于哪些数据可以访问,哪些不能访问,通过具体的用户数据权限授权来实现。
数据资源类型管理是对数据资源行级访问进行维护的模块。可以通过指定数据来源和过滤条件,比如在订单表中查询符合订单日期大于2008的订单号,然后进行记录级访问。
列级数据进行权限控制,是指针对某表中部分字段,只有被授权的用户才能访问,未被授权的用户不能访问这些字段。
通过在功能权限的基础上来指定要进行权限控制的字段,然后对用户进行授权。
最后,用户针对功能权限按照RBAC模型进行用户-角色-资源的授权处理,对于数据资源权限是通过直接给用户授权来完成。
机译: 就访问控制系统所覆盖区域的访问权限而言,一种操作服务器的访问控制系统的方法,该访问控制系统包括服务器,至少一个访问控制设备和至少一个POS终端设备
机译: 用于用户中心ID管理中的动态权限管理的id提供设备,一种服务提供设备,其方法和互锁方法,能够利用分散在不同id提供设备中的用户信息
机译: 一种防止基于身份的访问控制系统访问权限滥用的方法