CN106529230A - 基于角色的权限控制机制 - Google Patents

基于角色的权限控制机制 Download PDF

Info

Publication number
CN106529230A
CN106529230A CN201510577974.0A CN201510577974A CN106529230A CN 106529230 A CN106529230 A CN 106529230A CN 201510577974 A CN201510577974 A CN 201510577974A CN 106529230 A CN106529230 A CN 106529230A
Authority
CN
China
Prior art keywords
role
user
authority
permission
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510577974.0A
Other languages
English (en)
Inventor
路文彦
孙煦峰
赵亮
陶余会
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SHANGHAI CHUWA SOFTWARE CO Ltd
Original Assignee
SHANGHAI CHUWA SOFTWARE CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHANGHAI CHUWA SOFTWARE CO Ltd filed Critical SHANGHAI CHUWA SOFTWARE CO Ltd
Priority to CN201510577974.0A priority Critical patent/CN106529230A/zh
Publication of CN106529230A publication Critical patent/CN106529230A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

一种基于角色的权限控制机制,涉及基于角色的访问控制技术领域,尤其涉及***应用封装访问权限给角色再赋予用户来间接地访问数据库资源机制。角色作为中间媒介把用户和权限联系起来,用户通过角色间接地访问数据库资源。访问控制模型的角色权限分配是将应用程序层***功能项的操作权限分配给角色,角色通过操作***的功能项来操纵数据库资源。本发明的实施例提供一种基于角色的访问控制机制,一种在应用程序层统一实现对整个***的基于角色的权限管理方案。***应用封装访问权限给角色再赋予用户来间接地访问数据库资源,极大地减少了权限管理的负担和代价,使***的权限管理具有很大的灵活性。

Description

基于角色的权限控制机制
技术领域
本发明涉及基于角色的访问控制技术领域,尤其涉及***应用封装访问权限给角色再赋予用户来间接地访问数据库资源机制。
背景技术
基于角色的访问控制(RBAC)是近年来研究最多、思想最成熟的一种新型的数据库权限管理机制,它被认为是替代传统的强制访问控制(MAC)和自主访问控制(DAC)的理想候选。基于角色的访问控制(RBAC)的基本思想是根据企业组织视图中不同的职能岗位划分不同的角色,将数据库资源的访问权限封装在角色中,用户通过被赋予不同的角色来间接地访问数据库资源。
在大型数据库应用***中往往都建有大量的表和视图,这使得对数据库资源的管理和授权变得十分复杂。由用户直接管理数据库中资源的存取和权限的收授是十分困难的,它需要用户对数据库结构的了解非常透彻,并且熟悉SQL语言的使用,而且一旦应用***结构或安全需求有所变动,都要进行大量复杂而繁琐的授权变动,非常容易出现一些意想不到的安全漏洞。因此为大型数据库应用***设计一种简单、高效、安全的权限管理方案已经成为***和***用户的普遍需求。
***实施基于角色的权限控制机制的好处:在***的应用程序层实现基于角色的权限管理方案,对***的访问权限实现了简单、安全、高效的管理,极大地降低了***权限管理的负担和代价,而且使***权限管理更加符合应用***的业务管理规范。***应用封装访问权限给角色再赋予用户来间接地访问数据库资源机制并不需要***管理人员对数据库具有透彻的理解,降低了对***管理员的要求,进一步降低了***权限管理的负担和代价。
发明内容
为了克服现有的涉及基于角色的访问控制技术领域的不足,本发明提供一种基于角色的访问控制机制,角色作为中间媒介把用户集合和权限集合联系起来,用户通过角色间接地访问数据库资源。一个角色与权限关联可以看作是该角色拥有一组权限的集合,与用户关联又可以看作是若干具有相同身份的用户的集合。一种在应用程序层统一实现对整个***的基于角色的权限管理方案,访问控制模型角色权限分配是将应用程序层***功能项的操作权限分配给角色而不是将访问数据库权限分配给角色,角色通过操作***的功能项来操纵数据库资源而不是通过访问数据库的权限来操纵数据库资源。
本发明解决其技术问题所采用的技术方案是:在角色的访问控制中,一个用户可以被赋予多个角色,一个角色也可以被赋予多个用户,用户与角色之间是多对多的关系。同样,一个角色可以具有多项权限,一项权限也可以被赋予多个不同的角色,角色和权限之间也是多对多的关系。一个登陆数据库应用***的用户,可以通过其所拥有的角色的权限来判断其可以访问的数据库资源和对数据库资源可以进行的操作。
本发明的有益效果是,采用基于角色的访问控制技术,***应用封装访问权限给角色再赋予用户来间接地访问数据库资源,极大地减少了权限管理的负担和代价,使***的权限管理具有很大的灵活性。若***为每类用户建立一个角色,用户对应的权限发生了改变,只需修改角色的权限;用户的职责发生改变,只需回收用户原角色,重新授予用户新职责所对应的角色。灵活表达和实现企业的安全策略,使***权限管理在企业的组织视图这个较高的抽象集上,贴近企业日常的组织管理规则。在一定程度上限制了数据库管理员的权力,保证了***的安全性。
附图说明
下面结合附图和实施例对本发明进一步说明。
图1为本发明实例基于角色的访问控制模型图。
图2为本发明实例在应用程序层实现基于角色的权限管理模型图。
图3为本发明实例管理角色等级示意图。
图4为本发明实例权限管理数据库-用户表图。
图5为本发明实例权限管理数据库-***角色表图。
图6为本发明实例权限管理数据库-***模块表图。
具体实施方式
在图1中,表示了基于角色的访问控制模型的所有实体和步骤。基于角色的访问控制模型在用户和权限之间设置了一个新的实体一一角色。角色作为中间媒介把用户集合和权限集合联系起来,用户通过角色间接地访问数据库资源。一个角色与权限关联可以看作是该角色拥有一组权限的集合,与用户关联又可以看作是若干具有相同身份的用户的集合。一个用户可以被赋予多个角色,一个角色也可以被赋予多个用户,用户与角色之间是多对多的关系。同样,一个角色可以具有多项权限,一项权限也可以被赋予多个不同的角色,角色和权限之间也是多对多的关系。一个登陆数据库应用***的用户,可以通过其所拥有的角色的权限来判断其可以访问的数据库资源和对数据库资源可以进行的操作。
从图1中可以看出,角色还可以划分成不同的等级,各级角色通过角色继承形成偏序关系,也可以引入约束机制,对授权的各个环节进行相应的限制。最常见的约束是定义互斥角色和限制可被赋予某特定角色的数目。
在图3中,管理角色可分为如图所示的三个等级:最高等级为***级管理员角色,它负责管理***内所有的角色和用户,能够干预所有角色和用户的权限管理;部门级管理员负责对部门范围内所有的角色和用户进行管理;组级管理员负责部门内某角色组和用户组的权限管理。
在将***功能项分配给角色之前,首先确定***的功能控制单元。***的功能控制单元表示***需要进行权限控制的功能项。功能控制单元在***开发时由开发人员与***用户商量确定。可以将功能控制单元进行分层定义,使用户有一个清晰的功能控制视图。根据具体需要可以分为应用子***、功能模块、模块中的功能项等层次。然后根据最小特权原理将功能控制单元的操作权限赋予***角色。所谓最小特权原理是指用户所拥有的权力不能超过执行工作时所需的权限,在基于角色的访问控制中是指将只有角色需要执行的操作才授权给角色。
在将***角色赋予***用户之前,首先给所有数据库应用***的可能用户分配一个账号,由***维护人员按部门建立并维护整个数据库应用***的用户信息。企业主管负责安排***级管理员,各部门主管负责安排部门级***管理员和组级管理员。部门级管理员负责与本部门业务有关的角色建立与维护,能将属于本部门的功能控制单元的操作权限赋予给特定的角色,并能将本部门建立的角色赋予本部门相应的用户或除去指定用户的角色。组级管理员能够对部门内某角色组和用户组的权限进行管理。
在图4中,应用程序层实现基于角色的权限管理的运行过程如下:
1.用户登陆时向会话管理工具发送用户编码、密码口令进行身份认证。
2.确认用户身份合法后,进入应用程序主窗体模块,启动会话管理工具,获得用户的角色及权限。授权用户在应用程序主窗体中能够进行的操作,这表现在用户在应用程序主窗体中可选择的菜单项上。
3.用户每进入一个新的子窗体模块都启动一次新的会话,以确定用户在新的子窗体模块中能够操作的***功能项,这表现在用户在应用程序子窗体模块中可操作用于实现***功能项的控件或其他方式上。用户可以同时在工作站上打开多个***子窗体模块,与***建立多个会话。

Claims (3)

1.基于角色的权限控制机制,其特征是:基于角色的访问控制机制,基于应用程序层统一实现的对整个***的角色的权限管理方案;***应用封装访问权限给角色再赋予用户来间接地访问数据库资源,极大地减少了权限管理的负担和代价,使***的权限管理具有很大的灵活性;灵活表达和实现企业的安全策略,使***权限管理在组织视图这个较高的抽象集上,贴近组织管理规则;在一定程度上限制了数据库管理员的权力,保证了***的安全性。
2.根据权利要求1所述的基于角色的访问控制机制,其特征是:在角色的访问控制中,一个用户可以被赋予多个角色,一个角色也可以被赋予多个用户,用户与角色之间是多对多的关系。同样,一个角色可以具有多项权限,一项权限也可以被赋予多个不同的角色,角色和权限之间也是多对多的关系。一个登陆数据库应用***的用户,可以通过其所拥有的角色的权限来判断其可以访问的数据库资源和对数据库资源可以进行的操作。
3.根据权利要求1所述的基于应用程序层统一实现的对整个***的角色的权限管理方案,其特征是:访问控制模型角色权限分配是将应用程序层***功能项的操作权限分配给角色而不是将访问数据库权限分配给角色,角色通过操作***的功能项来操纵数据库资源而不是通过访问数据库的权限来操纵数据库资源。
CN201510577974.0A 2015-09-11 2015-09-11 基于角色的权限控制机制 Pending CN106529230A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510577974.0A CN106529230A (zh) 2015-09-11 2015-09-11 基于角色的权限控制机制

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510577974.0A CN106529230A (zh) 2015-09-11 2015-09-11 基于角色的权限控制机制

Publications (1)

Publication Number Publication Date
CN106529230A true CN106529230A (zh) 2017-03-22

Family

ID=58346746

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510577974.0A Pending CN106529230A (zh) 2015-09-11 2015-09-11 基于角色的权限控制机制

Country Status (1)

Country Link
CN (1) CN106529230A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108009431A (zh) * 2017-10-24 2018-05-08 广东康美通信息服务有限公司 一种商户门店管理***、方法及存储介质
CN109033810A (zh) * 2018-08-08 2018-12-18 郑州市景安网络科技股份有限公司 一种权限管理***
CN109871690A (zh) * 2018-05-04 2019-06-11 360企业安全技术(珠海)有限公司 设备权限的管理方法及装置、存储介质、电子装置
WO2021254501A1 (zh) * 2020-06-19 2021-12-23 京东方科技集团股份有限公司 角色授权方法及***

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108009431A (zh) * 2017-10-24 2018-05-08 广东康美通信息服务有限公司 一种商户门店管理***、方法及存储介质
CN109871690A (zh) * 2018-05-04 2019-06-11 360企业安全技术(珠海)有限公司 设备权限的管理方法及装置、存储介质、电子装置
CN109033810A (zh) * 2018-08-08 2018-12-18 郑州市景安网络科技股份有限公司 一种权限管理***
WO2021254501A1 (zh) * 2020-06-19 2021-12-23 京东方科技集团股份有限公司 角色授权方法及***

Similar Documents

Publication Publication Date Title
CN109643242B (zh) 用于多租户hadoop集群的安全设计和架构
CN105550590A (zh) 基于角色的权限控制机制
CN108475288B (zh) 一种联合数据库统一访问控制的***、方法和设备
CN105787317B (zh) 基于多层分级***的权限控制方法
CN102891840B (zh) 基于三权分立的信息安全管理***及信息安全的管理方法
CN101639882B (zh) 基于存储加密的数据库安全保密***
CN103617485A (zh) 统一权限管理部署***
CN106529230A (zh) 基于角色的权限控制机制
CN105184144A (zh) 一种多***权限管理方法
CN102231693A (zh) 访问权限的管理方法及装置
WO2023039225A1 (en) Data management and governance systems and methods
CN101344941A (zh) 4a管理平台中的智能审计决策树生成方法
CN102904877A (zh) 一种基于云存储的二进制序列化角色权限管理方法
CN106599718B (zh) 信息访问权限的控制方法及装置
CN107566375A (zh) 访问控制方法和装置
CN102411689B (zh) 一种对数据库管理员权限进行控制的方法
CN108268782A (zh) 基于角色权限控制的会议机制
CN107194239A (zh) 一种权限管理方法及装置
CN107016278A (zh) 一种权限分配方法、装置及后台管理***
CN102801743A (zh) 基于多方授权和动态密码的sap安全敏感信息***
CA2604644A1 (en) A computer system, integrable software component and software application
CN108881197A (zh) 基于rbac模型的高分网格***身份验证***
CN102801560B (zh) 可以实现审计大量设备并扩容用户的审计***的审计方法
CN102833226B (zh) 一种信息访问***及其安全控制方法
Sengupta Dynamic fragmentation and query translation based security framework for distributed databases

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170322