技術(shù)領(lǐng)域

本發(fā)明涉及權(quán)限管理技術(shù)領(lǐng)域，具體涉及一種精準(zhǔn)權(quán)限管理系統(tǒng)。

背景技術(shù)

IT信息系統(tǒng)是一個(gè)復(fù)雜的人機(jī)交互系統(tǒng)，其中每個(gè)具體環(huán)節(jié)都可能受到安全威脅。構(gòu)建強(qiáng)健的權(quán)限管理系統(tǒng)，保證信息系統(tǒng)的安全性是十分重要的。訪問(wèn)控制是針對(duì)越權(quán)使用資源的防御措施?；灸繕?biāo)是為了限制訪問(wèn)主體(用戶(hù)、進(jìn)程、服務(wù)等)對(duì)訪問(wèn)客體(文件、系統(tǒng)等)的訪問(wèn)權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用。訪問(wèn)控制策略一般有三種：自主型訪問(wèn)控制方法、強(qiáng)制型訪問(wèn)控制方法和基于角色的訪問(wèn)控制方法(RBAC)(Role-Based Access Control，是指基于角色的訪問(wèn)控制)。其中，自主式和強(qiáng)制式二者工作量大，不便于管理?；诮巧脑L問(wèn)控制方法是在用戶(hù)和權(quán)限之間加入角色的概念，通過(guò)為角色分配權(quán)限，并為用戶(hù)分配角色，實(shí)現(xiàn)用戶(hù)授權(quán)，達(dá)到了用戶(hù)與權(quán)限的分離的目的,該方法是目前公認(rèn)的解決大型企業(yè)的統(tǒng)一資源訪問(wèn)控制的有效方法。其顯著的兩大特征是：1.減小授權(quán)管理的復(fù)雜性，降低管理開(kāi)銷(xiāo)；2.靈活地支持企業(yè)的安全策略，并對(duì)企業(yè)的變化有很大的伸縮性。

權(quán)限一般分為功能權(quán)限和數(shù)據(jù)權(quán)限，功能權(quán)限主要是指主體對(duì)某個(gè)業(yè)務(wù)所具有的讀、寫(xiě)、查、改等的許可，在應(yīng)用系統(tǒng)中往往表現(xiàn)在窗體的實(shí)現(xiàn)與否、菜單項(xiàng)是否出現(xiàn)、功能按鈕是否可用等方面。數(shù)據(jù)權(quán)限主要是對(duì)主體控制資源的范圍，通過(guò)對(duì)相應(yīng)角色控制的數(shù)據(jù)范圍的定義，達(dá)到系統(tǒng)數(shù)據(jù)在組織顆粒度(組織顆粒度是數(shù)據(jù)的分類(lèi)及數(shù)據(jù)范圍的大小，例如數(shù)據(jù)分類(lèi)可以分為一般數(shù)據(jù)和保密數(shù)據(jù)，數(shù)據(jù)范圍大小可以分為單項(xiàng)業(yè)務(wù)數(shù)據(jù)范圍和多項(xiàng)業(yè)務(wù)數(shù)據(jù)范圍)的區(qū)分。目前基于RBAC的權(quán)限管理辦法多是側(cè)重于功能權(quán)限的控制，對(duì)數(shù)據(jù)權(quán)限的控制實(shí)現(xiàn)還不夠靈活或者太過(guò)復(fù)雜，從而導(dǎo)致權(quán)限的配置和管理過(guò)程復(fù)雜，增加了用戶(hù)使用的難度。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種精準(zhǔn)權(quán)限管理系統(tǒng)，所要解決的技術(shù)問(wèn)題是：目前基于RBAC的權(quán)限管理辦法多是側(cè)重于功能權(quán)限的控制，對(duì)數(shù)據(jù)權(quán)限的控制實(shí)現(xiàn)還不夠靈活或者太過(guò)復(fù)雜，從而導(dǎo)致權(quán)限的配置和管理過(guò)程復(fù)雜，增加了用戶(hù)使用的難度。

本發(fā)明解決上述技術(shù)問(wèn)題的技術(shù)方案如下：一種基于RBAC的權(quán)限管理裝置，包括用戶(hù)單元、會(huì)話(huà)單元、角色單元、管理員單元和功能權(quán)限單元；

所述用戶(hù)單元分別與會(huì)話(huà)單元和角色單元連接，向會(huì)話(huà)單元傳遞用戶(hù)的會(huì)話(huà)數(shù)據(jù)，接收角色單元發(fā)送的角色配置(角色配置是指向指定組織或用戶(hù)授予在權(quán)限管理裝置中對(duì)某個(gè)業(yè)務(wù)所具有的讀、寫(xiě)、查、改等的許可及主體控制資源的范圍)，用戶(hù)單元用于登陸權(quán)限管理裝置對(duì)應(yīng)的權(quán)限系統(tǒng)，進(jìn)行身份資料(身份資料包括關(guān)于用戶(hù)的出生日期、地點(diǎn)、身體狀況、公司職位等信息)記錄，發(fā)送會(huì)話(huà)數(shù)據(jù)和接收角色配置；

所述會(huì)話(huà)單元與角色單元連接，接收用戶(hù)單元的會(huì)話(huà)數(shù)據(jù)，并向角色單元發(fā)送激活角色數(shù)據(jù)(激活角色數(shù)據(jù)是指給用戶(hù)配置角色的信息，配置角色的信息，主要指承載配置角色的信號(hào))，用于通過(guò)會(huì)話(huà)進(jìn)程與用戶(hù)交互，確定用戶(hù)身份，激活用戶(hù)角色(用戶(hù)角色是指用戶(hù)在系統(tǒng)中具有對(duì)某個(gè)業(yè)務(wù)所具有的讀、寫(xiě)、查、改等的許可及主體控制資源的范圍的權(quán)限)；

所述角色單元分別與管理員單元、功能權(quán)限單元連接，并分別向管理員單元、功能權(quán)限單元發(fā)送訪問(wèn)請(qǐng)求，用于根據(jù)會(huì)話(huà)結(jié)果分配用戶(hù)角色(根據(jù)會(huì)話(huà)單元對(duì)用戶(hù)的身份確認(rèn)后，向用戶(hù)分配增加、修改、刪除作業(yè)任務(wù)的權(quán)限)，以及確定的用戶(hù)身份與所述用戶(hù)所屬角色之間的對(duì)應(yīng)關(guān)系；

所述管理員單元，用于根據(jù)用戶(hù)角色對(duì)用戶(hù)發(fā)送的訪問(wèn)請(qǐng)求人工識(shí)別，并將識(shí)別結(jié)果推送至外部接收單元；

所述功能權(quán)限單元，用于根據(jù)用戶(hù)角色對(duì)用戶(hù)發(fā)送的訪問(wèn)請(qǐng)求識(shí)別，向用戶(hù)分配功能權(quán)限，對(duì)操作各個(gè)業(yè)務(wù)對(duì)應(yīng)的應(yīng)用程序權(quán)限進(jìn)行控制；

所述數(shù)據(jù)記錄單元與會(huì)話(huà)單元連接，用于記錄所述會(huì)話(huà)單元在會(huì)話(huà)進(jìn)程與用戶(hù)交互過(guò)程中產(chǎn)生的數(shù)據(jù)。

進(jìn)一步，所述功能權(quán)限單元包括模塊和組織，所述操作是向用戶(hù)分配包括增加、刪除、修改、查詢(xún)各業(yè)務(wù)流程應(yīng)用模塊的權(quán)限分配單元，所述模塊為各個(gè)業(yè)務(wù)流程的應(yīng)用模塊。