技術領域

本發明涉及權限管理技術領域，具體涉及一種基于RBAC的權限管理系統。

背景技術

IT信息系統是一個復雜的人機交互系統，其中每個具體環節都可能受到安全威脅。構建強健的權限管理系統，保證信息系統的安全性是十分重要的。訪問控制是針對越權使用資源的防御措施。基本目標是為了限制訪問主體(用戶、進程、服務等)對訪問客體(文件、系統等)的訪問權限，從而使計算機系統在合法范圍內使用。訪問控制策略一般有三種：自主型訪問控制方法、強制型訪問控制方法和基于角色的訪問控制方法(RBAC)(Role-Based Access Control，是指基于角色的訪問控制)。其中，自主式和強制式二者工作量大，不便于管理。基于角色的訪問控制方法是在用戶和權限之間加入角色的概念，通過為角色分配權限，并為用戶分配角色，實現用戶授權，達到了用戶與權限的分離的目的,該方法是目前公認的解決大型企業的統一資源訪問控制的有效方法。其顯著的兩大特征是：1.減小授權管理的復雜性，降低管理開銷；2.靈活地支持企業的安全策略，并對企業的變化有很大的伸縮性。

權限一般分為功能權限和數據權限，功能權限主要是指主體對某個業務所具有的讀、寫、查、改等的許可，在應用系統中往往表現在窗體的實現與否、菜單項是否出現、功能按鈕是否可用等方面。數據權限主要是對主體控制資源的范圍，通過對相應角色控制的數據范圍的定義，達到系統數據在組織顆粒度(組織顆粒度是數據的分類及數據范圍的大小，例如數據分類可以分為一般數據和保密數據，數據范圍大小可以分為單項業務數據范圍和多項業務數據范圍)的區分。目前基于RBAC的權限管理辦法多是側重于功能權限的控制，對數據權限的控制實現還不夠靈活或者太過復雜，從而導致權限的配置和管理過程復雜，增加了用戶使用的難度。

發明內容

本發明所要解決的技術問題是提供一種基于RBAC的權限管理系統，實現了用戶與訪問權限的邏輯分離，功能和數據的權限分離，使權限的配置和管理更加簡單，降低用戶的使用難度。

本發明解決上述技術問題的技術方案如下：一種基于RBAC的權限管理裝置，包括用戶單元、會話單元、角色單元、數據權限單元、功能權限單元和數據記錄單元；

所述用戶單元分別與會話單元和角色單元連接，向會話單元傳遞用戶的會話數據，接收角色單元發送的角色配置(角色配置是指向指定組織或用戶授予在權限管理裝置中對某個業務所具有的讀、寫、查、改等的許可及主體控制資源的范圍)，用戶單元用于登陸權限管理裝置對應的權限系統，進行身份資料(身份資料包括關于用戶的出生日期、地點、身體狀況、公司職位等信息)記錄，發送會話數據和接收角色配置；

所述會話單元與角色單元連接，接收用戶單元的會話數據，并向角色單元發送激活角色數據(激活角色數據是指給用戶配置角色的信息，配置角色的信息，主要指承載配置角色的信號)，用于通過會話進程與用戶交互，確定用戶身份，激活用戶角色(用戶角色是指用戶在系統中具有對某個業務所具有的讀、寫、查、改等的許可及主體控制資源的范圍的權限)；

所述角色單元分別與數據權限單元、功能權限單元連接，并分別向數據權限單元、功能權限單元發送訪問請求，用于根據會話結果分配用戶角色(根據會話單元對用戶的身份確認后，向用戶分配增加、修改、刪除作業任務的權限)，以及確定的用戶身份與所述用戶所屬角色之間的對應關系；

所述數據權限單元，用于根據用戶角色對用戶發送的訪問請求識別，分配數據權限，并對系統的具體數據范圍的操作權限進行控制；

所述功能權限單元，用于根據用戶角色對用戶發送的訪問請求識別，向用戶分配功能權限，對操作各個業務對應的應用程序權限進行控制；

所述數據記錄單元與會話單元連接，用于記錄所述會話單元在會話進程與用戶交互過程中產生的數據。

進一步，所述功能權限單元包括模塊和組織，所述操作是向用戶分配包括增加、刪除、修改、查詢各業務流程應用模塊的權限分配單元，所述模塊為各個業務流程的應用模塊。