專利名稱:一種解決權(quán)限管理中訪問(wèn)控制的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種計(jì)算機(jī)應(yīng)用技術(shù)���,具體地說(shuō)是一種解決權(quán)限管理中訪問(wèn)控制 的方法。
背景技術(shù):
信息是一種資產(chǎn)���,同其他重要的商業(yè)資產(chǎn)一樣����,它對(duì)一個(gè)組織而言具有一定 價(jià)值����,因而需要適當(dāng)?shù)乇Wo(hù),即信息安全的問(wèn)題。信息安全可以通過(guò)實(shí)施一整套 的控制措施達(dá)到��。這些控制措施可能是策略�、做法、程序�����、組織結(jié)構(gòu)或者軟件功 能�����,建立這些控制措施以確保實(shí)現(xiàn)該機(jī)構(gòu)特殊的安全目標(biāo)��。
訪問(wèn)控制是信息安全的核心策略之一���,它的任務(wù)通過(guò)限制資源的訪問(wèn),防止 非法用戶的侵入或合法用戶的不慎操作而造成的破壞�,從而保證系統(tǒng)資源的合法 使用。訪問(wèn)控制的核心是授權(quán)策略�,即為了限制訪問(wèn)主體(用戶、進(jìn)程�、服務(wù)等) 對(duì)訪問(wèn)客體(文件、系統(tǒng)等)的訪問(wèn)權(quán)限���,從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用���;
決定用戶能做什么�,也決定代表一定用戶利益的程序能做什么�����。傳統(tǒng)訪問(wèn)控制策 略一般有三種自主型訪問(wèn)控制方法�����、強(qiáng)制型訪問(wèn)控制方法和基于角色的訪問(wèn)控
制方法(RBAC)��,但三者都不能滿足在當(dāng)前B/S環(huán)境下對(duì)于資源多樣性�����、多層次 特點(diǎn)而帶來(lái)的訪問(wèn)控制問(wèn)題��。針對(duì)B/S環(huán)境下資源的復(fù)雜性���,我們?cè)诨赗BAC訪 問(wèn)控制的模型上進(jìn)行了擴(kuò)展����,制定了一種便于資源管理的訪問(wèn)控制模型。
發(fā)明內(nèi)容
本發(fā)明的目的是在基于RBAC訪問(wèn)控制的模型上深化了資源的管理及使用���,實(shí) 現(xiàn)了資源在系統(tǒng)���、模塊、功能����、數(shù)據(jù)等細(xì)粒度上的安全訪問(wèn)控制。
該方法基于RBAC模型訪問(wèn)控制技術(shù)�����,將資源細(xì)粒度化分為功能資源和數(shù)據(jù)資 源�����,達(dá)到對(duì)資源的統(tǒng)一管理和授權(quán)�����;功能資源管理按系統(tǒng)��、模塊����、功能、資源進(jìn) 行了分層設(shè)計(jì)和實(shí)現(xiàn)���,數(shù)據(jù)資源類型管理從業(yè)務(wù)角度來(lái)對(duì)訪問(wèn)的敏感業(yè)務(wù)數(shù)據(jù)進(jìn) 行靈活定義和管理�;最終再通過(guò)用戶 一角色_功能資源權(quán)限模式來(lái)完成操作頁(yè)面 的授權(quán)和用戶一數(shù)據(jù)資源權(quán)限模式完成對(duì)數(shù)據(jù)的授權(quán)����,具體實(shí)施步驟如下-
1、梳理業(yè)務(wù)需求���,凡是涉及到"誰(shuí)"對(duì)"什么"進(jìn)行了 "什么操作"的業(yè)務(wù) 統(tǒng)一作為功能資源來(lái)處理���,在功能資源管理里面進(jìn)行注冊(cè),對(duì)于跨系統(tǒng)進(jìn)行訪問(wèn) 并需要納入權(quán)限統(tǒng)一管理的���,即系統(tǒng)集成��,通過(guò)添加系統(tǒng)來(lái)完成資源注冊(cè)����,2����、 然后再分模塊��、功能�、資源依次添加來(lái)完成功能資源的管理����;
3、 對(duì)于"誰(shuí)"訪問(wèn)"什么資源"中的"什么數(shù)據(jù)"的業(yè)務(wù)從數(shù)據(jù)資源類型管 理中進(jìn)行注冊(cè)�,來(lái)達(dá)到對(duì)數(shù)據(jù)的記錄集控制;
4��、 分離角色��?���;コ饣虿幌嗳萁巧⒗^承角色定義�,給角色按系統(tǒng)、模塊���、功 能����、資源添加操作權(quán)限�����;
5根據(jù)用戶在社會(huì)中扮演的角色來(lái)分配適合的角色以及要訪問(wèn)的數(shù)據(jù)���。 本發(fā)明的有益效果是將資源細(xì)粒度化分為功能資源和數(shù)據(jù)資源����,達(dá)到對(duì)資源 的統(tǒng)一管理和授權(quán)�;功能資源管理按系統(tǒng)、模塊�、功能、資源進(jìn)行了分層設(shè)計(jì)和 實(shí)現(xiàn)����,數(shù)據(jù)資源類型管理從業(yè)務(wù)角度來(lái)對(duì)訪問(wèn)的敏感業(yè)務(wù)數(shù)據(jù)進(jìn)行靈活定義和管 理;最終再通過(guò)用戶—角色一功能資源權(quán)限模式來(lái)完成操作頁(yè)面的授權(quán)和用戶一 數(shù)據(jù)資源權(quán)限模式完成對(duì)數(shù)據(jù)的授權(quán)����,實(shí)現(xiàn)了資源在系統(tǒng)、模塊�����、功能、數(shù)據(jù)級(jí) 等細(xì)粒度上的安全訪問(wèn)控制���,有效的豐富了權(quán)限管理內(nèi)涵���,加大了權(quán)限控制力度, 延長(zhǎng)了管理半徑���,提高了管理的方面性����。
附圖1為功能資源管理的分層樹(shù)形結(jié)構(gòu)圖���; 附圖2為權(quán)限管理訪問(wèn)控制的業(yè)務(wù)流程圖�����。
具體實(shí)施例方式
參照附圖對(duì)本發(fā)明的方法作以下詳細(xì)的說(shuō)明-
本發(fā)明的方法是通過(guò)對(duì)資源的分類明確了用戶權(quán)限控制的范圍�����;對(duì)功能資源 進(jìn)行分層為用戶授權(quán)管理提供了方便快捷��。
例如某個(gè)角色具備用戶管理的權(quán)限��,而這個(gè)用戶管理功能可能要對(duì)應(yīng)六七個(gè) 相關(guān)的操作���,這種情況下在權(quán)限設(shè)置管理界面里面初始化某角色的權(quán)限,則是一 件非常累人的事情����,為了給一個(gè)角色增加一個(gè)功能權(quán)限,需要你分別設(shè)置六七個(gè)
操作的權(quán)限��。
針對(duì)這種情況��,我們模型在操作前添加了功能�、模塊的概念,用戶授權(quán)時(shí)只 需要將上述六七個(gè)操作所在的模塊設(shè)置一下就可以���。
資源在我們模型中分為功能性資源和數(shù)據(jù)性資源����,他們的含義分別為
功能資源用戶與業(yè)務(wù)系統(tǒng)進(jìn)行交流��, 一般是面向服務(wù)的�����,即業(yè)務(wù)系統(tǒng)會(huì)把 服務(wù)抽象成一個(gè)個(gè)功能點(diǎn)暴露給用戶,功能權(quán)限實(shí)際上就是決定用戶能否使用系 統(tǒng)提供的功能點(diǎn)的問(wèn)題�,即"'誰(shuí),對(duì)'什么資源'進(jìn)行M十么操作'".這里 的功能點(diǎn)就是對(duì)應(yīng)的功能資源��。
數(shù)據(jù)資源基于用戶的權(quán)限控制而言的��,即""誰(shuí)'訪問(wèn)(什么資源'當(dāng)中
5的'哪些資源7 "���。例如分論壇A的版主與分論壇B的版主擁有同樣的角色"版 主"���,即他們的功能權(quán)限是一致的,但A版主只能管理A論壇的帖子�,B版主只能
管理B論壇的帖子,這時(shí)���,RBAC就不能解決這類權(quán)限問(wèn)題��。這里的帖子就是數(shù)據(jù) 資源�。
功能資源管理是對(duì)功能資源進(jìn)行維護(hù)的模塊��,對(duì)功能資源按系統(tǒng)����、模塊����、功能����、 資源進(jìn)行了四級(jí)分層處理,見(jiàn)附圖1,協(xié)同辦公和人力資源系統(tǒng)是系統(tǒng)級(jí)的����,權(quán)限管 理和組織結(jié)構(gòu)是模塊級(jí)的����,角色和用戶是功能級(jí)的,增加和刪除角色是資源級(jí)的�。
數(shù)據(jù)資源可以按記錄級(jí)即行級(jí)和列級(jí)來(lái)進(jìn)行訪問(wèn)控制。
行級(jí)數(shù)據(jù)進(jìn)行權(quán)限控制��,是指具有不同權(quán)限的用戶對(duì)相同表中同一字段對(duì)應(yīng) 的不同記錄具有不同的權(quán)限����。即用戶對(duì)表的某個(gè)字段對(duì)應(yīng)的數(shù)據(jù)一部分可訪問(wèn), 另一部分不能訪問(wèn)����。對(duì)于哪些數(shù)據(jù)可以訪問(wèn)����,哪些不能訪問(wèn)��,通過(guò)具體的用戶數(shù) 據(jù)權(quán)限授權(quán)來(lái)實(shí)現(xiàn)��。
數(shù)據(jù)資源類型管理是對(duì)數(shù)據(jù)資源行級(jí)訪問(wèn)進(jìn)行維護(hù)的模塊�。可以通過(guò)指定數(shù) 據(jù)來(lái)源和過(guò)濾條件��,比如在訂單表中查詢符合訂單日期大于2008的訂單號(hào)��,然后 進(jìn)行記錄級(jí)訪問(wèn)����。
列級(jí)數(shù)據(jù)進(jìn)行權(quán)限控制,是指針對(duì)某表中部分字段�����,只有被授權(quán)的用戶才能訪 問(wèn)���,未被授權(quán)的用戶不能訪問(wèn)這些字段����。
通過(guò)在功能權(quán)限的基礎(chǔ)上來(lái)指定要進(jìn)行權(quán)限控制的字段,然后對(duì)用戶進(jìn)行授權(quán)��。
最后���,用戶針對(duì)功能權(quán)限按照RBAC模型進(jìn)行用戶-角色-資源的授權(quán)處理�,對(duì) 于數(shù)據(jù)資源權(quán)限是通過(guò)直接給用戶授權(quán)來(lái)完成�。
權(quán)利要求
1、一種解決權(quán)限管理中訪問(wèn)控制的方法���,其特征在于,該方法基于RBAC模型訪問(wèn)控制技術(shù)�����,包括1)將資源細(xì)粒度化分為功能資源和數(shù)據(jù)資源�,達(dá)到對(duì)資源的統(tǒng)一管理和授權(quán);2)功能資源管理按系統(tǒng)����、模塊、功能���、資源進(jìn)行了分層設(shè)計(jì)和實(shí)現(xiàn)�,數(shù)據(jù)資源類型管理從業(yè)務(wù)角度來(lái)對(duì)訪問(wèn)的敏感業(yè)務(wù)數(shù)據(jù)進(jìn)行靈活定義和管理;3)最終再通過(guò)用戶—角色—功能資源權(quán)限模式來(lái)完成操作頁(yè)面的授權(quán)和用戶—數(shù)據(jù)資源權(quán)限模式完成對(duì)數(shù)據(jù)的授權(quán)���,具體實(shí)施步驟如下第一步梳理業(yè)務(wù)需求�,凡是涉及到“誰(shuí)”對(duì)“什么”進(jìn)行了“什么操作”的業(yè)務(wù)統(tǒng)一作為功能資源來(lái)處理�����,在功能資源管理里面進(jìn)行注冊(cè)�����,對(duì)于跨系統(tǒng)進(jìn)行訪問(wèn)并需要納入權(quán)限統(tǒng)一管理的��,即系統(tǒng)集成�,通過(guò)添加系統(tǒng)來(lái)完成資源注冊(cè),然后再分模塊����、功能、資源依次添加來(lái)完成功能資源的管理�;第二步對(duì)于“誰(shuí)”訪問(wèn)“什么資源”中的“什么數(shù)據(jù)”的業(yè)務(wù)從數(shù)據(jù)資源類型管理中進(jìn)行注冊(cè),來(lái)達(dá)到對(duì)數(shù)據(jù)的記錄集控制�;第三步分離角色��,互斥或不相容角色�、繼承角色定義����,給角色按系統(tǒng)、模塊����、功能、資源添加操作權(quán)限��;第四步根據(jù)用戶在社會(huì)中扮演的角色來(lái)分配適合的角色以及要訪問(wèn)的數(shù)據(jù)��。
2��、 根據(jù)權(quán)利要求1所述的方法�,其特征在于�,功能資源管理是對(duì)功能資源進(jìn)行維護(hù)的模塊,對(duì)功能資源按系統(tǒng)�����、模塊�����、功能、資源進(jìn)行了四級(jí)分層處理����,協(xié)同 辦公和人力資源系統(tǒng)是系統(tǒng)級(jí)的,權(quán)限管理和組織結(jié)構(gòu)是模塊級(jí)的����,.角色和用戶 是功能級(jí)的,增加和刪除角色是資源級(jí)的����。
3、 根據(jù)權(quán)利要求2所述的方法��,其特征在于��,數(shù)據(jù)資源可以按記錄級(jí)即行級(jí) 和列級(jí)來(lái)進(jìn)行訪問(wèn)控制�����。
4���、 根據(jù)權(quán)利要求2所述的方法�,其特征在于,行級(jí)數(shù)據(jù)進(jìn)行權(quán)限控制���,是指 具有不同權(quán)限的用戶對(duì)相同表中同一字段對(duì)應(yīng)的不同記錄具有不同的權(quán)限�,即用 戶對(duì)表的某個(gè)字段對(duì)應(yīng)的數(shù)據(jù)的訪問(wèn)�����,是通過(guò)具體的用戶數(shù)據(jù)權(quán)限授權(quán)來(lái)實(shí)現(xiàn)���。
5����、 根據(jù)權(quán)利要求2所述的方法����,其特征在于,數(shù)據(jù)資源類型管理是對(duì)數(shù)據(jù)資 源行級(jí)訪問(wèn)進(jìn)行維護(hù)的模塊�,通過(guò)指定數(shù)據(jù)來(lái)源和過(guò)濾條件,然后進(jìn)行記錄級(jí)訪 問(wèn)����。 一
6����、 根據(jù)權(quán)利要求2所述的方法�����,其特征在于�,列級(jí)數(shù)據(jù)進(jìn)行權(quán)限控制���,是指 針對(duì)某表中部分字段����,只有被授權(quán)的用戶才能訪問(wèn)�����,未被授權(quán)的用戶不能訪問(wèn)這些字段�����,通過(guò)在功能權(quán)限的基礎(chǔ)上來(lái)指定要進(jìn)行權(quán)限控制的字段����,然后對(duì)用戶進(jìn)行 授權(quán)。
7�����、根據(jù)權(quán)利要求1所述的方法,其特征在于�,用戶針對(duì)功能權(quán)限按照RBAC 模型進(jìn)行用戶-角色-資源的授權(quán)處理,對(duì)于數(shù)據(jù)資源權(quán)限是通過(guò)直接給用戶授權(quán) 來(lái)完成���。
全文摘要
本發(fā)明提供一種解決權(quán)限管理中訪問(wèn)控制的方法�����,該方法基于RBAC模型訪問(wèn)控制技術(shù)��,將資源細(xì)粒度化分為功能資源和數(shù)據(jù)資源�����,達(dá)到對(duì)資源的統(tǒng)一管理和授權(quán)�����;功能資源管理按系統(tǒng)��、模塊��、功能�、資源進(jìn)行了分層設(shè)計(jì)和實(shí)現(xiàn)����,數(shù)據(jù)資源類型管理從業(yè)務(wù)角度來(lái)對(duì)訪問(wèn)的敏感業(yè)務(wù)數(shù)據(jù)進(jìn)行靈活定義和管理;最終再通過(guò)用戶—角色—功能資源權(quán)限模式來(lái)完成操作頁(yè)面的授權(quán)和用戶—數(shù)據(jù)資源權(quán)限模式完成對(duì)數(shù)據(jù)的授權(quán)��,實(shí)現(xiàn)了資源在系統(tǒng)�、模塊、功能���、數(shù)據(jù)級(jí)等細(xì)粒度上的安全訪問(wèn)控制���,有效的豐富了權(quán)限管理內(nèi)涵,加大了權(quán)限控制力度���,延長(zhǎng)了管理半徑����,提高了管理的方面性�����。
文檔編號(hào)H04L29/06GK101478536SQ200810238120
公開(kāi)日2009年7月8日 申請(qǐng)日期2008年12月8日 優(yōu)先權(quán)日2008年12月8日
發(fā)明者暉 張, 娟 李, 鄭婷婷, 靜 阮, 高浩文 申請(qǐng)人:山東浪潮齊魯軟件產(chǎn)業(yè)股份有限公司