CN101847197A - 一种文档访问权限的控制方法 - Google Patents
一种文档访问权限的控制方法 Download PDFInfo
- Publication number
- CN101847197A CN101847197A CN200910048081A CN200910048081A CN101847197A CN 101847197 A CN101847197 A CN 101847197A CN 200910048081 A CN200910048081 A CN 200910048081A CN 200910048081 A CN200910048081 A CN 200910048081A CN 101847197 A CN101847197 A CN 101847197A
- Authority
- CN
- China
- Prior art keywords
- document
- access
- role
- visitor
- new
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
一种文档访问权限的控制方法,属电数字数据处理领域。其特征是首先对访问者按其角色对其进行分类;再对***中的文档按类型进行分类;对每个访问角色Si输入其可访问的文档类型,再对每个文档类型Oi,输入其允许操作的访问角色;在每个访问角色可访问的文档类型和每个文档类型所允许操作的访问角色之间确定一个的二维对应表格关系,有新的用户角色或新的文档分类出现时,所需要修改的数据量很小,不影响实时操作,同时保证最小特权原则,既便于访问角色的增加,又便于新文档生成时访问权限的处理。有利于降低管理成本,增强***的安全性。可广泛用于计算机操作***、数据库***以及其他数据***的文档保密领域。
Description
技术领域
本发明属于电数字数据处理领域,尤其涉及一种计算机***中电子文档的访问权限的控制方法。
背景技术
当前对文档的访问权限的控制可以分为两类:一类是通过对文档的访问控制列表来限制访问者的权限,这种方法运用的非常普遍。此方法是从被访问的文档的角度出发,它可以很自然的与自主性访问控制策略相结合,但是在管理上,每当有用户、用户组或用户角色新增、修改、和删除时,就要对每一个文档的访问控制列表进行编辑。
公开日为2008年7月23日,公开号为CN 101226573A的中国专利申请中公开了一种“控制电子文档的访问权限的方法”,其电子文档由至少两个基本单元组成,且设置有权限的基本单元具有至少一个权限;用户访问电子文档时,访问该电子文档中的基本单元,并获取该基本单元对应的权限。可见该专利申请所采用的即是上述控制方法。
而另一种方法则是通过对访问者本身的权限设定来控制访问对象;其是从文档的访问者的角度出发,虽然运用不是很广泛,但它能有效地符合最小特权原则,有效降低整个***的安全风险,但在管理上,每当有新的文档生成、修改或删除,就要对每一个访问者(包括用户和所有程序)的权限进行调整。
公开日为2007年8月29日,公开号为CN 101026493A的中国专利申请中公开了一种“用户权限控制方法及XML文档管理服务器”,其包括:XML文档管理服务器接受用户的操作请求;获取用户的权限配置,根据所述用户的权限配置确定所述用户可以进行所述操作请求中的操作,允许用户进行所述操作。可见,该技术方案是通过对XDMS(XML Document Management Server,XML文档管理服务器)业务级别管理功能,来实现对用户可创建和管理的文档资源进行控制的目的,属于上述第二种控制方法。
为了既能够从源头上保证涉密资料的安全,结合涉密文件的强制性加密、解密权限分级、部门分级、安全管理、涉密文档分级等多个层次,多个角度构建企业内部信息安全保障技术框架,又有利于简化***的软/硬件构成,降低管理成本,迫切地需要一种能将上述两种方法结合起来,共同实现文档访问权限的控制方法。
发明内容
本发明所要解决的技术问题是提供一种既能很好地综合上述两种控制方法各自的优点,同时又有利于降低管理成本的文档访问权限的控制方法。
本发明的技术方案是:提供一种文档访问权限的控制方法,包括通过对文档的访问控制列表来限制访问者的权限和通过对访问者本身的权限设定来控制访问对象,其特征是:首先对访问者按其角色对其进行分类;再对***中的文档按类型进行分类;对每个访问角色Si输入其可访问的文档类型,再对每个文档类型Oi,输入其允许操作的访问角色;
A)当有访问操作请求时,查询出访问者的分类角色,设为SA;
B)查询出待访问文档的类型,设为OA
C)检查在SA可操作的对象中有OA吗?
D)若第C)步结果为“是”,执行第G)步内容;
E)若第C)步结果为“否”,则检查在OA的可操作的访问角色中有SA吗?
F)若第E)步结果为“是”,执行第G)步内容;
G)若第E)步结果为“否”,则拒绝访问;
H)允许访问者SA访问文档OA。
具体的,在所述每个访问角色可访问的文档类型和每个文档类型所允许操作的访问角色之间为一个确定的二维表格关系。
进一步的,当所述的访问角色有新的访问者生成时,首先判断是否是新的访问角色?如“否”则加入已有的访问角色;如“是”则创建新角色,界定/输入其可访问的文档类别。
同样的,当所述的文档有新的文档生成时,首先判断其文档是否属于已有的某个分类?如“是”则加入已有的文档分类;如“否”则创建新的文档类型,界定/输入允许访问的访问者角色。
与现有技术比较,本发明的优点是:
1.很好地综合了现有两种控制方法各自的优点;
2.在每个访问角色可访问的文档类型和每个文档类型所允许操作的访问角色之间确定一个的二维对应表格关系,充分体现了最小特权原则,既便于访问角色的增加,又便于新文档生成时访问权限的处理。有利于降低管理成本。
附图说明
图1是本发明控制方法的流程示意图;
图2是新的访问者生成时的识别方法示意图;
图3是新的文档生成时的识别方法示意图。
具体实施方式
下面结合附图和实施例对本发明做进一步说明。
图1中,本文档访问权限的控制方法,包括通过对文档的访问控制列表来限制访问者的权限和通过对访问者本身的权限设定来控制访问对象,其首先对访问者按其角色对其进行分类;再对***中的文档按类型进行分类;对每个访问角色Si输入其可访问的文档类型,再对每个文档类型Oi,输入其允许操作的访问角色;
A)当有访问操作请求时,查询出访问者的分类角色,设为SA;
B)查询出待访问文档的类型,设为OA
C)检查在SA可操作的对象中有OA吗?
D)若第C)步结果为“是”,执行第G)步内容;
E)若第C)步结果为“否”,则检查在OA的可操作的访问角色中有SA吗?
F)若第E)步结果为“是”,执行第G)步内容;
G)若第E)步结果为“否”,则拒绝访问;
H)允许访问者SA访问文档OA。
具体的,在所述每个访问角色可访问的文档类型和每个文档类型所允许操作的访问角色之间为一个确定的二维表格关系。
图2中,当有新的访问者生成时,首先判断是否是新的访问角色?如“否”则加入已有的访问角色;如“是”则创建新角色,界定/输入其可访问的文档类别。
图3中,当所述的文档有新的文档生成时,首先判断其文档是否属于已有的某个分类?如“是”则加入已有的文档分类;如“否”则创建新的文档类型,界定/输入允许访问的访问者角色。
实施例一:
设定***中有三类访问者角色:一般用户、高级用户和管理员;有两类文档类型:一般文档和机密文档,并建立以下两个表:
表一:
| 现有成员 | 可操作文档类型 | |
| 一般用户 | S1,S2 | 一般文档 |
| 高级用户 | S3 | 一般文档,机密文档 |
| 管理员 | S4 | 一般文档,机密文档 |
表二:
| 现有成员 | 可操作的访问角色 | |
| 一般文档 | O1,O2 | 一般用户 |
| 机密文档 | O3,O4 | 一般用户,高级用户,管理员 |
按照图1的方法进行判断和鉴别,当有一个一般用户S2要访问一个机密文档O3时,查询了上述两个表,都可证实被S2访问O3无权限,必须被拒绝,故拒绝/阻止其访问行为。
实施例二:
当有一个新的用户S5出现,他是被定义为高级用户角色。
则根据图2所示的原则,那就直接加入这个组就可以了,具体如下表所示。
表三:
| 现有成员 | 可操作类别 | |
| 一般用户 | S1,S2 | 一般文档 |
| 现有成员 | 可操作类别 | |
| 高级用户 | S3,S5 | 一般文档,机密文档 |
| 管理员 | S4 | 一般文档,机密文档 |
同样,当有一个新的文档O5生成,根据图3所示的判别原则,如果文档属于已有的分类,如机密文档,就直接加入这个文档类别就可以了,具体如下表所示。
表四:
| 现有成员 | 可操作的访问角色 | |
| 一般文档 | O1,O2 | 一般用户 |
| 机密文档 | O3,O4,O5 | 一般用户,高级用户,管理员 |
实施例三:
当有一个新的用户S6出现,但并不属于已有任何一个用户角色,则需要为其创建一个新的角色;假设其为“领导”,同时需要输入这个角色允许操作的文档类型,具体如下表所示。
表五:
| 现有成员 | 可操作类别 | |
| 一般用户 | S1,S2 | 一般文档 |
| 高级用户 | S3,S5 | 一般文档,机密文档 |
| 管理员 | S4 | 一般文档,机密文档 |
| 领导 | S6 | 一般文档,机密文档 |
同样,当有新的文档O6生成,而O6不属于已有任何一个文档类型,则需要创建一个新的文档类型,假设为“绝密文档”,同时输入允许操作的访问者角色,具体如下表所示。
表六:
| 现有成员 | 可操作的访问角色 | |
| 一般文档 | O1,O2 | 一般用户 |
| 机密文档 | O3,O4,O5 | 一般用户,高级用户,管理员 |
| 现有成员 | 可操作的访问角色 | |
| 绝密文档 | O6 | 管理员,领导 |
这时,如果S6要访问O6,虽然在表五中并没有查到,但在表六中S6作为领导,被允许访问。
从上述的实施例可见,由于本发明采用了同时对访问者按其角色对其进行分类和对***中的文档按类型进行分类的文档访问权限控制方法,在当各访问者角色(意味着其可访问的文档种类)和各文档类型(意味着其允许访问的访问者角色)两个表格都相当大的时候,有新的用户角色或新的文档分类出现时,所需要修改的数据量很小,不影响实时操作,同时保证最小特权原则,既便于访问角色的增加,又便于新文档生成时访问权限的处理。有利于降低管理成本,增强***的安全性。
本发明可广泛用于计算机操作***、数据库***以及其他数据***中电子文档的保护/保密领域。
Claims (4)
1.一种文档访问权限的控制方法,包括通过对文档的访问控制列表来限制访问者的权限和通过对访问者本身的权限设定来控制访问对象,其特征是:
首先对访问者按其角色对其进行分类;
再对***中的文档按类型进行分类;
对每个访问角色Si输入其可访问的文档类型,再对每个文档类型Oi,输入其允许操作的访问角色;
A)当有访问操作请求时,查询出访问者的分类角色,设为SA;
B)查询出待访问文档的类型,设为OA
C)检查在SA可操作的对象中有OA吗?
D)若第C)步结果为“是”,执行第G)步内容;
E)若第C)步结果为“否”,则检查在OA的可操作的访问角色中有SA吗?
F)若第E)步结果为“是”,执行第G)步内容;
G)若第E)步结果为“否”,则拒绝访问;
H)允许访问者SA访问文档OA。
2.按照权利要求1所述的文档访问权限的控制方法,其特征是在所述每个访问角色可访问的文档类型和每个文档类型所允许操作的访问角色之间为一个确定的二维表格关系。
3.按照权利要求1或2所述的文档访问权限的控制方法,其特征是当所述的访问角色有新的访问者生成时,首先判断是否是新的访问角色?如“否”则加入已有的访问角色;如“是”则创建新角色,界定/输入其可访问的文档类别。
4.按照权利要求1或2所述的文档访问权限的控制方法,其特征是当所述的文档有新的文档生成时,首先判断其文档是否属于已有的某个分类?如“是”则加入已有的文档分类;如“否”则创建新的文档类型,界定/输入允许访问的访问者角色。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910048081A CN101847197A (zh) | 2009-03-24 | 2009-03-24 | 一种文档访问权限的控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910048081A CN101847197A (zh) | 2009-03-24 | 2009-03-24 | 一种文档访问权限的控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101847197A true CN101847197A (zh) | 2010-09-29 |
Family
ID=42771815
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910048081A Pending CN101847197A (zh) | 2009-03-24 | 2009-03-24 | 一种文档访问权限的控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101847197A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102096785A (zh) * | 2011-02-24 | 2011-06-15 | 北京书生国际信息技术有限公司 | 一种权限控制方法和装置 |
| CN102456105A (zh) * | 2010-10-29 | 2012-05-16 | 镇江雅迅软件有限责任公司 | 一种基于文档管理***的权限设置方法 |
| WO2013063944A1 (zh) * | 2011-10-31 | 2013-05-10 | 腾讯科技(深圳)有限公司 | 权限管理方法、***及计算机存储介质 |
| CN103488948A (zh) * | 2013-09-17 | 2014-01-01 | 北京思特奇信息技术股份有限公司 | 一种实现操作***数据安全的方法及装置 |
| CN106709370A (zh) * | 2016-12-31 | 2017-05-24 | 北京明朝万达科技股份有限公司 | 一种基于文本内容的长词识别方法及*** |
| CN107515879A (zh) * | 2016-06-16 | 2017-12-26 | 伊姆西公司 | 用于文档检索的方法和电子设备 |
| CN107682376A (zh) * | 2017-11-21 | 2018-02-09 | 北京顶象技术有限公司 | 风控数据交互方法及装置 |
| CN108009444A (zh) * | 2017-12-15 | 2018-05-08 | 广州市齐明软件科技有限公司 | 全文搜索的权限控制方法、装置与计算机可读存储介质 |
| CN108230225A (zh) * | 2017-12-29 | 2018-06-29 | 中国地质大学(武汉) | 一种面向地学大数据的分层访问控制方法 |
| CN108280353A (zh) * | 2017-01-05 | 2018-07-13 | 珠海金山办公软件有限公司 | 一种安全文档操作的判断方法及装置 |
| CN108632238A (zh) * | 2017-09-18 | 2018-10-09 | 北京视联动力国际信息技术有限公司 | 一种权限控制的方法和装置 |
-
2009
- 2009-03-24 CN CN200910048081A patent/CN101847197A/zh active Pending
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102456105A (zh) * | 2010-10-29 | 2012-05-16 | 镇江雅迅软件有限责任公司 | 一种基于文档管理***的权限设置方法 |
| CN102096785A (zh) * | 2011-02-24 | 2011-06-15 | 北京书生国际信息技术有限公司 | 一种权限控制方法和装置 |
| CN102096785B (zh) * | 2011-02-24 | 2012-12-19 | 北京书生电子技术有限公司 | 一种权限控制方法和装置 |
| WO2013063944A1 (zh) * | 2011-10-31 | 2013-05-10 | 腾讯科技(深圳)有限公司 | 权限管理方法、***及计算机存储介质 |
| CN103488948A (zh) * | 2013-09-17 | 2014-01-01 | 北京思特奇信息技术股份有限公司 | 一种实现操作***数据安全的方法及装置 |
| CN107515879B (zh) * | 2016-06-16 | 2021-03-19 | 伊姆西Ip控股有限责任公司 | 用于文档检索的方法和电子设备 |
| CN107515879A (zh) * | 2016-06-16 | 2017-12-26 | 伊姆西公司 | 用于文档检索的方法和电子设备 |
| US10943023B2 (en) | 2016-06-16 | 2021-03-09 | EMC IP Holding Company LLC | Method for filtering documents and electronic device |
| CN106709370B (zh) * | 2016-12-31 | 2019-10-29 | 北京明朝万达科技股份有限公司 | 一种基于文本内容的长词识别方法及*** |
| CN106709370A (zh) * | 2016-12-31 | 2017-05-24 | 北京明朝万达科技股份有限公司 | 一种基于文本内容的长词识别方法及*** |
| CN108280353A (zh) * | 2017-01-05 | 2018-07-13 | 珠海金山办公软件有限公司 | 一种安全文档操作的判断方法及装置 |
| CN108280353B (zh) * | 2017-01-05 | 2021-12-28 | 珠海金山办公软件有限公司 | 一种安全文档操作的判断方法及装置 |
| CN108632238A (zh) * | 2017-09-18 | 2018-10-09 | 北京视联动力国际信息技术有限公司 | 一种权限控制的方法和装置 |
| CN107682376A (zh) * | 2017-11-21 | 2018-02-09 | 北京顶象技术有限公司 | 风控数据交互方法及装置 |
| CN107682376B (zh) * | 2017-11-21 | 2021-03-23 | 北京顶象技术有限公司 | 风控数据交互方法及装置 |
| CN108009444A (zh) * | 2017-12-15 | 2018-05-08 | 广州市齐明软件科技有限公司 | 全文搜索的权限控制方法、装置与计算机可读存储介质 |
| CN108230225A (zh) * | 2017-12-29 | 2018-06-29 | 中国地质大学(武汉) | 一种面向地学大数据的分层访问控制方法 |
| CN108230225B (zh) * | 2017-12-29 | 2020-11-27 | 中国地质大学(武汉) | 一种面向地学大数据的分层访问控制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101847197A (zh) | 一种文档访问权限的控制方法 | |
| Abouelmehdi et al. | Big data security and privacy in healthcare: A Review | |
| US9411977B2 (en) | System and method for enforcing role membership removal requirements | |
| CN107111702B (zh) | 协同环境中针对数据丢失防护的访问阻止 | |
| JP5722337B2 (ja) | リソースプロパティに基づくリソースアクセス制御 | |
| Ubale Swapnaja et al. | Analysis of dac mac rbac access control based models for security | |
| US8984583B2 (en) | Healthcare privacy breach prevention through integrated audit and access control | |
| EP2521066A1 (en) | Fine-grained relational database access-control policy enforcement using reverse queries | |
| US20110219425A1 (en) | Access control using roles and multi-dimensional constraints | |
| US20210286890A1 (en) | Systems and methods for dynamically applying information rights management policies to documents | |
| CN102347958A (zh) | 一种基于用户信任的动态分级访问控制方法 | |
| CN107358122A (zh) | 一种存储数据的访问管理方法及*** | |
| US11630924B2 (en) | Sharing data with a particular audience | |
| CN103763369A (zh) | 一种基于san存储***的多重权限分配方法 | |
| WO2019244036A1 (en) | Method and server for access verification in an identity and access management system | |
| Ma et al. | RCBAC: A risk-aware content-based access control model for large-scale text data | |
| US20100223576A1 (en) | Electronic data classification system | |
| CN111368286A (zh) | 权限控制方法、装置、设备及存储介质 | |
| Zhang et al. | Improved Bell–LaPadula model with break the glass mechanism | |
| Gkioulos et al. | Enhancing usage control for performance: An architecture for systems of systems | |
| JP2019175374A (ja) | 情報管理装置、情報管理方法、及び情報管理プログラム | |
| Nayak et al. | Standardization of big data and its policies | |
| Akkuzu et al. | Data-driven Chinese walls | |
| Grandison et al. | The impact of industry constraints on model-driven data disclosure controls | |
| Wu et al. | Enterprise data security storage integrating blockchain and artificial intelligence technology in investment risk management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100929 |