技術領域

本發明涉及一種用于檢驗用戶身份及訪問權限的方法，尤其是涉及一種應用于財政管理軟件系統中的基于對象多維屬性空間的數據倉庫鑒權方法及系統。

背景技術

在現有的數據倉庫鑒權方法中，大多數系統采用基于角色的數據倉庫鑒權方法?；诮巧臄祿}庫鑒權方法提供了一種以用戶一角色一權限為基本結構的訪問控制方式，是解決大型系統統一資源訪問控制的主要解決方案，能夠滿足大多數應用系統的需求，其缺陷在于沒有就數據的控制方面提供完善的解決方案。也就是說，基于角色的數據倉庫鑒權方法是一個粗粒度的鑒權方法，只解決一些相對粗粒度的權限，即僅僅告訴系統誰能做什么事或者誰不能做什么事，它只是以能為上層的訪問控制系統提供服務為目標，無法滿足某些管理系統(譬如，財政管理軟件系統)需要將鑒權顆粒度細化到數據對象屬性的需求。

發明內容

本發明所要解決的技術問題是在使用基于角色的訪問控制方法解決粗粒度控制的基礎上如何使用基于對象多維屬性空間的數據倉庫鑒權方法對數據的訪問進行控制的問題，提供一種能夠根據數據對象的多維屬性對數據進行訪問控制的方法，將數據倉庫鑒權顆粒度細化到數據對象的屬性。

為了實現上述目的，本發明采用的技術方案如下：

一種基于對象多維屬性空間的數據倉庫鑒權方法，包括以下步驟：

(1)在配置期，確定在整個系統中用于數據鑒權的數據對象的屬性；

(2)在配置期，創建多維屬性數據權限組；

(3)在配置期，給不同的用戶角色授權不同的數據權限組；

(4)在運行期，在創建數據對象的同時，生成用戶角色相對應的數據對象多維屬性值組合ID；

(5)在運行期，在訪問數據時，根據數據對象多維屬性值組合ID判斷數據對象是否符合該用戶角色相應的數據權限組授權設置，如果符合，則該用戶角色可以訪問此數據對象，否則，不能訪問。

進一步，如上所述的基于對象多維屬性空間的數據倉庫鑒權方法，步驟(1)用于數據鑒權的數據對象的屬性應該是自始至終存在于業務數據的整個生命周期，并且自數據對象創建以后，這些屬性的值是固定不變的。

進一步，如上所述的基于對象多維屬性空間的數據倉庫鑒權方法，步驟(2)中創建的每個數據權限組為各個屬性不同取值范圍的集合。

進一步，如上所述的基于對象多維屬性空間的數據倉庫鑒權方法，步驟(2)中各個屬性的取值范圍支持全部權限和部分權限兩種模式。

進一步，如上所述的基于對象多維屬性空間的數據倉庫鑒權方法，步驟(4)中生成的數據對象多維屬性值組合ID存儲在一張獨立的表中，這張表中的一行記錄就是一個數據對象的多維屬性值的組合，而在數據對象中只記錄數據對象多維屬性值組合ID的主鍵值。

進一步，如上所述的基于對象多維屬性空間的數據倉庫鑒權方法，步驟(5)中提供一組接口，在運行期通過校驗步驟(4)中生成的數據對象多維屬性值組合ID與步驟(3)中的用戶角色對應的數據權限組之間權限關系對數據對象進行訪問控制。

進一步，如上所述的基于對象多維屬性空間的數據倉庫鑒權方法，在維護數據對象時，如果用于鑒權的數據對象的屬性發生了變更，那么要同時生成新的數據對象多維屬性值組合ID。

一種基于對象多維屬性空間的數據倉庫鑒權系統，包括：

鑒權屬性確定模塊，用于確定在整個系統中用于數據鑒權的數據對象的屬性；

權限組設置模塊，用于創建多維屬性數據權限組；

權限組授權模塊，用于給不同的用戶角色授權不同的數據權限組；

數據對象創建接口模塊，用于在創建數據對象的同時，生成用戶角色相對應的數據對象多維屬性值組合ID；

數據對象訪問接口模塊，用于在訪問數據時，根據數據對象多維屬性值組合ID判斷數據對象是否符合該用戶角色相應的數據權限組授權設置。

進一步，如上所述的基于對象多維屬性空間的數據倉庫鑒權系統，還包括：

多維屬性數據權限組信息表模塊，用于存儲多維屬性數據權限組信息；

數據對象多維屬性值組合ID表模塊，用于存儲數據對象多維屬性值組合ID的數據信息。