[发明专利]一种数据权限访问控制模型

说明书

技术领域

本发明涉及计算机技术领域，具体涉及一种数据权限访问控制模型，涉及一种数据访问控制的方法，更具体地说，通过对机构间关系的定义和数据访问权限属性设置，实现用户对数据访问权限的控制。

背景技术

RBAC基于角色的访问控制（Role-Based Access Control），作为传统访问控制（自主访问，强制访问）的有前景的代替受到广泛的关注。在RBAC中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中，角色是为了完成各种工作而创造，用户则依据它的责任和资格来被指派相应的角色，用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限，而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。

角色访问控制（RBAC）引入了Role的概念,目的是为了隔离User(即动作主体，Subject)与Privilege(权限，表示对Resource的一个操作，即Operation+Resource)。

Role作为一个用户(User)与权限(Privilege)的代理层，解耦了权限和用户的关系，所有的授权应该给予Role而不是直接给User或Group。Privilege是权限颗粒，由Operation和Resource组成，表示对Resource的一个Operation。例如，对于新闻的删除操作。Role-Privilege是many-to-many的关系，这就是权限的核心。

基于角色的访问控制方法（RBAC）的显著的两大特征是：1.由于角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多，减小了授权管理的复杂性，降低管理开销。2.灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。

基于RBAC模型的访问控制，该模型是功能性权限访问控制，不是数据权限访问控制，因此做不到对数据记录级的访问控制。有些项目即使做到了对数据记录级的访问控制，但和项目耦合度太高，不能剥离，难以做到推广。

发明内容

本发明要解决的技术问题是：本发明为了克服上述模型问题的缺点，提供了一种新的数据访问控制模型。

本发明所采用的技术方案为：

一种数据权限访问控制模型，在传统权限控制基于机构、角色、用户、菜单四类实体的基础，增加机构关系、数据访问权限属性两项内容，其中：

机构关系分为：包含、归属、友邻、陌生四种；

数据访问权限属性分为：公共、私有、保护三种。

含义及相互关系说明如下：

假设A、B、C是三个机构，其中A包含B、C，B、C在机构关系上从属于A或者说A是B、C的上级；在数据访问权限上，A的用户可以访问属于B、C的公共型和保护型数据，不能访问属于B、C的私有型数据；B、C能访问属于A的公共型数据，不能访问属于A的保护型和私有型数据。

假设A、B、C是三个机构，B、C归属A，B、C在机构关系上从属于A或者说B、C是A的下级；在数据访问权限上，分属B、C的用户可以访问属于A的公共型数据，不能访问属于A的保护型和私有型数据；但A可以访问属于B的公共型和保护型数据，不能访问属于B的私有型数据。

假设A、B、C是三个机构，A、B、C为友邻关系，A、B、C是平等的朋友关系，不存在上下级之分；在数据访问权限上，分属于A、B、C的用户都可以访问属于A或属于B或属于C的公共型和保护型数据，但不能访问彼此的私有数据。

假设A、B、C是三个机构， A、B、C为陌生关系， A、B、C互不相关，不需要彼此提供任何支撑；在数据访问权限上，属于它们的用户，相互不能访问属于彼此的数据。

注意事项：

机构之间的关系，只能是上下级关系、友邻关系、陌生关系中的一种，其中上下级关系有方向性，这里用包含、归属来区分。

所述模型数据的访问权限控制实现步骤如下：

1）数据库层，建立机构关系表，表中字段有：主机构ID、从机构ID、关系代码、备注；业务表中增加字段“访问权限控制”；

2）设置数据的“访问权限控制”属性和建立机构间的关系，“访问权限控制”该字段有public、protect、private三种类型；

3）建立PO类的父类和机构关系表对应的PO类；如果有父类，在父类中增加“访问权限控制”属性，并生成对应的set/get方法；如果没有父类，新建PO父类，其他业务PO类继承此类；