本發(fā)明涉及權(quán)限管理技術(shù)領(lǐng)域，具體涉及一種基于RBAC的權(quán)限管理系統(tǒng)。

背景技術(shù)：

IT信息系統(tǒng)是一個復(fù)雜的人機交互系統(tǒng)，其中每個具體環(huán)節(jié)都可能受到安全威脅。構(gòu)建強健的權(quán)限管理系統(tǒng)，保證信息系統(tǒng)的安全性是十分重要的。訪問控制是針對越權(quán)使用資源的防御措施?；灸繕耸菫榱讼拗圃L問主體(用戶、進程、服務(wù)等)對訪問客體(文件、系統(tǒng)等)的訪問權(quán)限，從而使計算機系統(tǒng)在合法范圍內(nèi)使用。訪問控制策略一般有三種：自主型訪問控制方法、強制型訪問控制方法和基于角色的訪問控制方法(RBAC)(Role-Based Access Control，是指基于角色的訪問控制)。其中，自主式和強制式二者工作量大，不便于管理?；诮巧脑L問控制方法是在用戶和權(quán)限之間加入角色的概念，通過為角色分配權(quán)限，并為用戶分配角色，實現(xiàn)用戶授權(quán)，達到了用戶與權(quán)限的分離的目的,該方法是目前公認的解決大型企業(yè)的統(tǒng)一資源訪問控制的有效方法。其顯著的兩大特征是：1.減小授權(quán)管理的復(fù)雜性，降低管理開銷；2.靈活地支持企業(yè)的安全策略，并對企業(yè)的變化有很大的伸縮性。

權(quán)限一般分為功能權(quán)限和數(shù)據(jù)權(quán)限，功能權(quán)限主要是指主體對某個業(yè)務(wù)所具有的讀、寫、查、改等的許可，在應(yīng)用系統(tǒng)中往往表現(xiàn)在窗體的實現(xiàn)與否、菜單項是否出現(xiàn)、功能按鈕是否可用等方面。數(shù)據(jù)權(quán)限主要是對主體控制資源的范圍，通過對相應(yīng)角色控制的數(shù)據(jù)范圍的定義，達到系統(tǒng)數(shù)據(jù)在組織顆粒度(組織顆粒度是數(shù)據(jù)的分類及數(shù)據(jù)范圍的大小，例如數(shù)據(jù)分類可以分為一般數(shù)據(jù)和保密數(shù)據(jù)，數(shù)據(jù)范圍大小可以分為單項業(yè)務(wù)數(shù)據(jù)范圍和多項業(yè)務(wù)數(shù)據(jù)范圍)的區(qū)分。目前基于RBAC的權(quán)限管理辦法多是側(cè)重于功能權(quán)限的控制，對數(shù)據(jù)權(quán)限的控制實現(xiàn)還不夠靈活或者太過復(fù)雜，從而導(dǎo)致權(quán)限的配置和管理過程復(fù)雜，增加了用戶使用的難度。

技術(shù)實現(xiàn)要素：

本發(fā)明所要解決的技術(shù)問題是提供一種基于RBAC的權(quán)限管理系統(tǒng)，實現(xiàn)了用戶與訪問權(quán)限的邏輯分離，功能和數(shù)據(jù)的權(quán)限分離，使權(quán)限的配置和管理更加簡單，降低用戶的使用難度。

本發(fā)明解決上述技術(shù)問題的技術(shù)方案如下：一種基于RBAC的權(quán)限管理裝置，包括用戶單元、會話單元、角色單元、數(shù)據(jù)權(quán)限單元、功能權(quán)限單元和數(shù)據(jù)記錄單元；

所述用戶單元分別與會話單元和角色單元連接，向會話單元傳遞用戶的會話數(shù)據(jù)，接收角色單元發(fā)送的角色配置(角色配置是指向指定組織或用戶授予在權(quán)限管理裝置中對某個業(yè)務(wù)所具有的讀、寫、查、改等的許可及主體控制資源的范圍)，用戶單元用于登陸權(quán)限管理裝置對應(yīng)的權(quán)限系統(tǒng)，進行身份資料(身份資料包括關(guān)于用戶的出生日期、地點、身體狀況、公司職位等信息)記錄，發(fā)送會話數(shù)據(jù)和接收角色配置；

所述會話單元與角色單元連接，接收用戶單元的會話數(shù)據(jù)，并向角色單元發(fā)送激活角色數(shù)據(jù)(激活角色數(shù)據(jù)是指給用戶配置角色的信息，配置角色的信息，主要指承載配置角色的信號)，用于通過會話進程與用戶交互，確定用戶身份，激活用戶角色(用戶角色是指用戶在系統(tǒng)中具有對某個業(yè)務(wù)所具有的讀、寫、查、改等的許可及主體控制資源的范圍的權(quán)限)；

所述角色單元分別與數(shù)據(jù)權(quán)限單元、功能權(quán)限單元連接，并分別向數(shù)據(jù)權(quán)限單元、功能權(quán)限單元發(fā)送訪問請求，用于根據(jù)會話結(jié)果分配用戶角色(根據(jù)會話單元對用戶的身份確認后，向用戶分配增加、修改、刪除作業(yè)任務(wù)的權(quán)限)，以及確定的用戶身份與所述用戶所屬角色之間的對應(yīng)關(guān)系；

所述數(shù)據(jù)權(quán)限單元，用于根據(jù)用戶角色對用戶發(fā)送的訪問請求識別，分配數(shù)據(jù)權(quán)限，并對系統(tǒng)的具體數(shù)據(jù)范圍的操作權(quán)限進行控制；

所述功能權(quán)限單元，用于根據(jù)用戶角色對用戶發(fā)送的訪問請求識別，向用戶分配功能權(quán)限，對操作各個業(yè)務(wù)對應(yīng)的應(yīng)用程序權(quán)限進行控制；

所述數(shù)據(jù)記錄單元與會話單元連接，用于記錄所述會話單元在會話進程與用戶交互過程中產(chǎn)生的數(shù)據(jù)。

進一步，所述功能權(quán)限單元包括模塊和組織，所述操作是向用戶分配包括增加、刪除、修改、查詢各業(yè)務(wù)流程應(yīng)用模塊的權(quán)限分配單元，所述模塊為各個業(yè)務(wù)流程的應(yīng)用模塊。

本發(fā)明的有益效果是：通過將數(shù)據(jù)權(quán)限單元和功能權(quán)限單元分別向用戶授權(quán)，從而將系統(tǒng)的具體數(shù)據(jù)范圍的操作權(quán)限和操作各個業(yè)務(wù)對應(yīng)的應(yīng)用程序的權(quán)限分離，簡化了權(quán)限配置過程，對于權(quán)限配置的范圍和層次更有針對性，靈活地支持了系統(tǒng)的安全策略，并對系統(tǒng)的變化有很大的伸縮性，從而提高系統(tǒng)運作效率；數(shù)據(jù)記錄單元記錄所述會話單元在會話進程與用戶交互過程中產(chǎn)生的數(shù)據(jù)，實現(xiàn)對數(shù)據(jù)保存，便于對會話進行審查，防止角色分配過程出現(xiàn)虛假分配；功能權(quán)限分配過程采用“模塊+操作”組成一個功能單元來進行功能權(quán)限的分配，使權(quán)限配置和執(zhí)行過程更加靈活、簡便。

附圖說明

圖1為本發(fā)明一種基于RBAC的權(quán)限管理系統(tǒng)結(jié)構(gòu)圖。

具體實施方式

以下結(jié)合附圖對本發(fā)明的原理和特征進行描述，所舉實例只用于解釋本發(fā)明，并非用于限定本發(fā)明的范圍。

如圖1所示，一種基于RBAC的權(quán)限管理系統(tǒng)，包括用戶單元、會話單元、角色單元、數(shù)據(jù)權(quán)限單元、功能權(quán)限單元和數(shù)據(jù)記錄單元；

所述用戶單元分別與會話單元和角色單元連接，向會話單元傳遞用戶的會話數(shù)據(jù)，接收角色單元發(fā)送的角色配置，用戶單元用于登陸權(quán)限管理裝置對應(yīng)的權(quán)限系統(tǒng)，進行身份資料記錄，發(fā)送會話數(shù)據(jù)和接收角色配置；

所述會話單元與角色單元連接，接收用戶單元的會話數(shù)據(jù)，并向角色單元發(fā)送激活角色數(shù)據(jù)，用于通過會話進程與用戶交互，確定用戶身份，激活用戶角色；

所述角色單元分別與數(shù)據(jù)權(quán)限單元、功能權(quán)限單元連接，并分別向數(shù)據(jù)權(quán)限單元、功能權(quán)限單元發(fā)送訪問請求，用于根據(jù)會話結(jié)果分配用戶角色，以及確定的用戶身份與所述用戶所屬角色之間的對應(yīng)關(guān)系；

所述數(shù)據(jù)權(quán)限單元，用于根據(jù)用戶角色對用戶發(fā)送的訪問請求識別，分配數(shù)據(jù)權(quán)限，并對系統(tǒng)的具體數(shù)據(jù)范圍的操作權(quán)限進行控制；

所述功能權(quán)限單元，用于根據(jù)用戶角色對用戶發(fā)送的訪問請求識別，向用戶分配功能權(quán)限，對操作各個業(yè)務(wù)對應(yīng)的應(yīng)用模塊的訪問和操作權(quán)限進行控制；

所述數(shù)據(jù)記錄單元與會話單元連接，用于記錄所述會話單元在會話進程與用戶交互過程中產(chǎn)生的數(shù)據(jù)。

所述功能權(quán)限單元包括模塊和組織，所述操作是向用戶分配包括增加、刪除、修改、查詢各業(yè)務(wù)流程應(yīng)用模塊的權(quán)限分配單元，所述模塊為各個業(yè)務(wù)流程的應(yīng)用模塊。

實施本系統(tǒng)，首先進入用戶單元，登陸系統(tǒng)，進行個人資料登記，比如用戶的出生日期、地點、身體狀況、公司職位、帳號密碼等信息進行記載，通過會話單元進行人機交互，會話單元會根據(jù)用戶單元上記載的個人資料與系統(tǒng)內(nèi)的設(shè)置進行匹配，得出用戶在系統(tǒng)中相應(yīng)的角色，會話單元發(fā)送激活信號給角色單元，激活用戶角色，角色單元根據(jù)會話單元的激活信號向用戶進行角色分配，比如管理員角色、數(shù)據(jù)員角色，用戶得到相應(yīng)的角色，同時角色單元向數(shù)據(jù)權(quán)限單元和功能權(quán)限單元發(fā)送訪問請求，數(shù)據(jù)權(quán)限單元和功能權(quán)限單元分別進行訪問請求識別，如果是管理員角色，數(shù)據(jù)權(quán)限單元根據(jù)角色單元不授予權(quán)限訪問，功能權(quán)限單元根據(jù)訪問請求識別，向擁有管理員角色的用戶授予對某個業(yè)務(wù)所具有的讀、寫、查、改等的權(quán)限，在應(yīng)用系統(tǒng)中往往表現(xiàn)在業(yè)務(wù)窗體的實現(xiàn)與否、業(yè)務(wù)菜單項是否出現(xiàn)、業(yè)務(wù)功能按鈕是否可用等方面；如果是數(shù)據(jù)員角色，功能權(quán)限單元根據(jù)角色單元不授予權(quán)限訪問，數(shù)據(jù)權(quán)限單元根據(jù)角色單元向擁有管理員角色的用戶授予對主體資源范圍控制的權(quán)限，通過對相應(yīng)角色控制的數(shù)據(jù)范圍的定義，達到系統(tǒng)數(shù)據(jù)在組織顆粒度的區(qū)分；

通過將數(shù)據(jù)權(quán)限單元和功能權(quán)限單元分別向用戶授權(quán)，從而將系統(tǒng)的具體數(shù)據(jù)范圍的操作權(quán)限和操作各個業(yè)務(wù)對應(yīng)的應(yīng)用程序的權(quán)限分離，簡化了權(quán)限配置過程，對于權(quán)限配置的范圍和層次更有針對性，靈活地支持了系統(tǒng)的安全策略，并對系統(tǒng)的變化有很大的伸縮性，從而提高系統(tǒng)運作效率；數(shù)據(jù)記錄單元記錄所述會話單元在會話進程與用戶交互過程中產(chǎn)生的數(shù)據(jù)，實現(xiàn)對數(shù)據(jù)保存，便于對會話進行審查，防止角色分配過程出現(xiàn)虛假分配；功能權(quán)限分配過程采用“模塊+操作”組成一個功能單元來進行功能權(quán)限的分配，使權(quán)限配置和執(zhí)行過程更加靈活、簡便。

以上所述僅為本發(fā)明的較佳實施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。