基于角色設(shè)置的綜合操作機制的制作方法
【專利摘要】一種基于角色設(shè)置的綜合操作機制,涉及系統(tǒng)應(yīng)用角色設(shè)置再賦予用戶來間接地綜合操作系統(tǒng)。在系統(tǒng)的應(yīng)用程序?qū)訉崿F(xiàn)基于角色設(shè)置的綜合操作管理方案,極大地降低了系統(tǒng)權(quán)限管理的負(fù)擔(dān)和代價,而且使系統(tǒng)權(quán)限管理更加符合應(yīng)用系統(tǒng)的業(yè)務(wù)管理規(guī)范。系統(tǒng)基于角色設(shè)置的綜合操作機制訪問數(shù)據(jù)庫資源機制并不需要系統(tǒng)管理人員對數(shù)據(jù)庫具有透徹的理解,降低了對系統(tǒng)管理員的要求,進(jìn)一步降低了系統(tǒng)權(quán)限管理的負(fù)擔(dān)和代價。本發(fā)明的實施例提供一種基于角色的訪問控制機制,一種基于應(yīng)用程序?qū)釉O(shè)置的對整個系統(tǒng)的角色的權(quán)限管理方案。系統(tǒng)基于角色設(shè)置的綜合操作機制,極大地減少了權(quán)限管理的負(fù)擔(dān)和代價,使系統(tǒng)的權(quán)限管理具有很大的靈活性。
【專利說明】
基于角色設(shè)置的綜合操作機制
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及基于角色的系統(tǒng)設(shè)置設(shè)置技術(shù)領(lǐng)域,尤其涉及系統(tǒng)應(yīng)用角色設(shè)置再賦予用戶來間接地綜合操作系統(tǒng)。
【背景技術(shù)】
[0002]基于角色的訪問控制(RBAC)是近年來研究最多、思想最成熟的一種新型的數(shù)據(jù)庫權(quán)限管理機制,它被認(rèn)為是替代傳統(tǒng)的強制訪問控制(MAC)和自主訪問控制(DAC)的理想候選?;诮巧脑L問控制(RBAC)的基本思想是根據(jù)企業(yè)組織視圖中不同的職能崗位劃分不同的角色,將數(shù)據(jù)庫資源的訪問權(quán)限封裝在角色中,用戶通過被賦予不同的角色來間接地訪問數(shù)據(jù)庫資源。
[0003]數(shù)據(jù)處理系統(tǒng)中把用戶分為錄入員、數(shù)據(jù)處理人員、項目管理員、系統(tǒng)管理員等四種角色,系統(tǒng)根據(jù)這四個不同的角色再分配相應(yīng)的權(quán)限按照經(jīng)普數(shù)據(jù)處理系統(tǒng)的定義,角色系統(tǒng)管理員可根據(jù)要求創(chuàng)建新的用戶和項目,并賦予某操作員項目管理員角色;項目管理員可以進(jìn)行基層表的定義、目錄定義、數(shù)據(jù)項定義、綜合表定義、公式定義、項目制度的導(dǎo)入導(dǎo)出等項目內(nèi)的管理工作,可以設(shè)定或收回項目內(nèi)的數(shù)據(jù)處理員的權(quán)限以及數(shù)據(jù)錄入員的權(quán)限;數(shù)據(jù)處理人員可以進(jìn)行數(shù)據(jù)處理系統(tǒng)某個指定專業(yè)的錄入、編輯、審核、匯總、批量處理、生成報表、數(shù)據(jù)的導(dǎo)入導(dǎo)出等各種工作;錄入員可以從事基層表數(shù)據(jù)錄入、修改、查詢工作在實際操作中以這四個角色來細(xì)分用戶是不夠的,有些數(shù)據(jù)操作權(quán)限還需細(xì)化。
[0004]系統(tǒng)實施基于角色設(shè)置的綜合操作機制的好處:在系統(tǒng)的應(yīng)用程序?qū)訉崿F(xiàn)基于角色設(shè)置的綜合操作管理方案,對系統(tǒng)的訪問權(quán)限實現(xiàn)了簡單、安全、高效的管理,極大地降低了系統(tǒng)權(quán)限管理的負(fù)擔(dān)和代價,而且使系統(tǒng)權(quán)限管理更加符合應(yīng)用系統(tǒng)的業(yè)務(wù)管理規(guī)范。系統(tǒng)應(yīng)用封裝訪問權(quán)限給角色再賦予用戶來間接地訪問數(shù)據(jù)庫資源機制并不需要系統(tǒng)管理人員對數(shù)據(jù)庫具有透徹的理解,降低了對系統(tǒng)管理員的要求,進(jìn)一步降低了系統(tǒng)權(quán)限管理的負(fù)擔(dān)和代價。
【發(fā)明內(nèi)容】
[0005]為了克服現(xiàn)有的涉及基于角色設(shè)置的綜合操作機制技術(shù)領(lǐng)域的不足,本發(fā)明提供一種基于角色設(shè)置的綜合操作機制,角色作為中間媒介把用戶集合和權(quán)限集合聯(lián)系起來,用戶通過角色間接地訪問數(shù)據(jù)庫資源。系統(tǒng)把每一個數(shù)據(jù)處理的應(yīng)用作為一個項目,每一個數(shù)據(jù)處理都是基于一個項目以及由此項目建立出來的制度,每一個項目又可由多個專業(yè)組成,而每一個項目又是以處理地來劃分?jǐn)?shù)據(jù)歸屬的,故我們在劃分角色時可以充分應(yīng)用項目、專業(yè)、處理地三者的關(guān)系,即角色的設(shè)置應(yīng)建立在項目、專業(yè)、處理地三者相互關(guān)系上,以這三者關(guān)系來細(xì)化權(quán)限,劃分角色。
[0006]本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是:對于系統(tǒng)管理員來說,其擁有系統(tǒng)的所有權(quán)限,可以開用戶、設(shè)置用戶權(quán)限、創(chuàng)建新的項目等等,這個角色的權(quán)限不容置疑,同樣對于項目管理員來說也一樣,其除了不能創(chuàng)建新項目外,擁有所屬項目的一切權(quán)限,包括對項目內(nèi)用戶的權(quán)限管理權(quán)我們在這兩個角色以外再增加數(shù)據(jù)查看員、數(shù)據(jù)錄入員、數(shù)據(jù)審核員、專業(yè)人員、數(shù)據(jù)處理人員等五個角色,另外根據(jù)項目、專業(yè)、處理地三者相互之間的關(guān)系,對這五個角色的權(quán)限再加以下限制:I對某(幾)個項目的數(shù)據(jù)處理權(quán);2對某個項目的某(幾)個處理地的數(shù)據(jù)處理權(quán);3對某個項目的某(幾)個專業(yè)的數(shù)據(jù)處理權(quán);4對某個項目的某個處理地的某(幾)個專業(yè)的數(shù)據(jù)處理權(quán);5對某個項目的某個專業(yè)的某(幾)個處理地的數(shù)據(jù)處理權(quán)。
[0007]本發(fā)明的有益效果是,采用基于角色設(shè)置的綜合操作技術(shù),系統(tǒng)封裝訪問權(quán)限給角色再賦予用戶來間接地訪問數(shù)據(jù)庫資源,極大地減少了權(quán)限管理的負(fù)擔(dān)和代價,使系統(tǒng)的權(quán)限管理具有很大的靈活性。若系統(tǒng)為每類用戶建立一個角色,用戶對應(yīng)的權(quán)限發(fā)生了改變,只需修改角色的權(quán)限;用戶的職責(zé)發(fā)生改變,只需回收用戶原角色,重新授予用戶新職責(zé)所對應(yīng)的角色。靈活表達(dá)和實現(xiàn)企業(yè)的安全策略,使系統(tǒng)權(quán)限管理在企業(yè)的組織視圖這個較高的抽象集上,貼近企業(yè)日常的組織管理規(guī)則。在一定程度上限制了數(shù)據(jù)庫管理員的權(quán)力,保證了系統(tǒng)的安全性。
【附圖說明】
[0008]下面結(jié)合附圖和實施例對本發(fā)明進(jìn)一步說明。
[0009]圖1為本發(fā)明實例基于角色設(shè)置的綜合操作模型圖。
[0010]圖2為本發(fā)明實例在基于角色設(shè)置的綜合操作權(quán)限管理模型圖。
[0011 ]圖3為本發(fā)明實例管理角色等級示意圖。
[0012]圖4為本發(fā)明實例權(quán)限管理數(shù)據(jù)庫-系統(tǒng)角色表圖。
[0013]圖5為本發(fā)明實例權(quán)限管理數(shù)據(jù)庫-系統(tǒng)模塊表圖。
【具體實施方式】
[0014]在圖1中,表示了基于角色設(shè)置的綜合操作模型?;诮巧脑L問控制模型在用戶和權(quán)限之間設(shè)置了一個新的實體一一角色。角色作為中間媒介把用戶集合和權(quán)限集合聯(lián)系起來,用戶通過角色間接地訪問數(shù)據(jù)庫資源。一個角色與權(quán)限關(guān)聯(lián)可以看作是該角色擁有一組權(quán)限的集合,與用戶關(guān)聯(lián)又可以看作是若干具有相同身份的用戶的集合。一個用戶可以被賦予多個角色,一個角色也可以被賦予多個用戶,用戶與角色之間是多對多的關(guān)系。同樣,一個角色可以具有多項權(quán)限,一項權(quán)限也可以被賦予多個不同的角色,角色和權(quán)限之間也是多對多的關(guān)系。一個登陸數(shù)據(jù)庫應(yīng)用系統(tǒng)的用戶,可以通過其所擁有的角色的權(quán)限來判斷其可以訪問的數(shù)據(jù)庫資源和對數(shù)據(jù)庫資源可以進(jìn)行的操作。
[0015]對數(shù)據(jù)查看員、數(shù)據(jù)錄入員、數(shù)據(jù)審核員、專業(yè)人員、數(shù)據(jù)處理人員五個角色再進(jìn)行權(quán)限劃分,如對數(shù)據(jù)查看員可以查看某個項目的數(shù)據(jù),也可以設(shè)置查看某幾個項目的數(shù)據(jù);可以查看某個項目的某個處理地的數(shù)據(jù),也可以設(shè)置查看某個項目的某幾個處理地的數(shù)據(jù);可以查看某個項目的某個專業(yè)的數(shù)據(jù),也可以設(shè)置查看某個項目的某幾個專業(yè)的數(shù)據(jù);可以查看某個項目的某個處理地的某個專業(yè)的數(shù)據(jù),也可以設(shè)置查看某個項目的某個處理地的某幾個專業(yè)的數(shù)據(jù);可以查看某個項目的某個專業(yè)的某個處理地的數(shù)據(jù),也可以設(shè)置查看某個項目的某個專業(yè)的某幾個處理地的數(shù)據(jù)另外四個角色的權(quán)限也可以按照數(shù)據(jù)查看員相同的權(quán)限設(shè)置進(jìn)行設(shè)置。
[0016]下面對這五個角色處理權(quán)限內(nèi)(指確定的項目、專業(yè)、處理地)的相應(yīng)權(quán)限再進(jìn)行設(shè)置介紹:
[0017]1、數(shù)據(jù)查看員數(shù)據(jù)查看員角色主要是設(shè)置用于數(shù)據(jù)查看的用戶,其本身不用錄入數(shù)據(jù),也無修改數(shù)據(jù)的權(quán)限,只用來進(jìn)行數(shù)據(jù)查看。
[0018]2、數(shù)據(jù)錄入員數(shù)據(jù)錄入員角色主要是設(shè)置用于數(shù)據(jù)錄入的用戶,可以進(jìn)行數(shù)據(jù)初錄、復(fù)錄、初復(fù)錄比較、對自己錄入的數(shù)據(jù)進(jìn)行修改、刪除等操作,其包含數(shù)據(jù)查看員的權(quán)限。
[0019]3、數(shù)據(jù)審核員數(shù)據(jù)審核員角色主要是設(shè)置用于數(shù)據(jù)審核的用戶,可以對錄入數(shù)據(jù)進(jìn)行審核操作,可以對審核出錯數(shù)據(jù)進(jìn)行修改操作,其包含數(shù)據(jù)錄入員的權(quán)限。
[0020]4、專業(yè)人員專業(yè)人員角色主要是設(shè)置用于對數(shù)據(jù)進(jìn)行匯總、數(shù)據(jù)查詢、數(shù)據(jù)分析操作的用戶,其包含數(shù)據(jù)審核員的權(quán)限。
[0021]5、數(shù)據(jù)處理人員數(shù)據(jù)處理人員角色主要是用來設(shè)置對單位排重、數(shù)據(jù)導(dǎo)入導(dǎo)出、數(shù)據(jù)上報接收的用戶,其包含專業(yè)人員的權(quán)限。
【主權(quán)項】
1.基于角色設(shè)置的綜合操作機制,其特征是:基于角色的訪問控制機制,基于應(yīng)用程序?qū)釉O(shè)置的對整個系統(tǒng)的角色的權(quán)限管理方案;系統(tǒng)應(yīng)用角色設(shè)置再賦予用戶來間接地綜合操作系統(tǒng),極大地減少了權(quán)限管理的負(fù)擔(dān)和代價,使系統(tǒng)的權(quán)限管理具有很大的靈活性;靈活表達(dá)和實現(xiàn)企業(yè)的安全策略,使系統(tǒng)權(quán)限管理在組織視圖這個較高的抽象集上,貼近組織管理規(guī)則;在一定程度上限制了數(shù)據(jù)庫管理員的權(quán)力,保證了系統(tǒng)的安全性。2.根據(jù)權(quán)利要求1所述的基于角色的訪問控制機制,其特征是:在角色的訪問控制中,一個用戶可以被賦予多個角色,一個角色也可以被賦予多個用戶,用戶與角色之間是多對多的關(guān)系;同樣,一個角色可以具有多項權(quán)限,一項權(quán)限也可以被賦予多個不同的角色,角色和權(quán)限之間也是多對多的關(guān)系;一個登陸數(shù)據(jù)庫應(yīng)用系統(tǒng)的用戶,可以通過其所擁有的角色的權(quán)限來判斷其可以訪問的數(shù)據(jù)庫資源和對數(shù)據(jù)庫資源可以進(jìn)行的操作。3.根據(jù)權(quán)利要求1所述的于應(yīng)用程序?qū)釉O(shè)置的對整個系統(tǒng)的角色的權(quán)限管理方案,其特征是:角色作為中間媒介把用戶集合和權(quán)限集合聯(lián)系起來,用戶通過角色間接地訪問數(shù)據(jù)庫資源;系統(tǒng)把每一個數(shù)據(jù)處理的應(yīng)用作為一個項目,每一個數(shù)據(jù)處理都是基于一個項目以及由此項目建立出來的制度,每一個項目又可由多個專業(yè)組成,而每一個項目又是以處理地來劃分?jǐn)?shù)據(jù)歸屬的,故我們在劃分角色時可以充分應(yīng)用項目、專業(yè)、處理地三者的關(guān)系,即角色的設(shè)置應(yīng)建立在項目、專業(yè)、處理地三者相互關(guān)系上,以這三者關(guān)系來細(xì)化權(quán)限,劃分角色。
【文檔編號】G06F21/62GK105868649SQ201610189082
【公開日】2016年8月17日
【申請日】2016年3月29日
【發(fā)明人】葉君玉
【申請人】上海贊越軟件服務(wù)中心