[发明专利]信息访问权限的控制方法及装置

说明书

本发明提出了一种信息访问权限的控制方法及装置，包括：创建用户组信息表、维度权限表以及用户组‑维度权限关系；创建用户信息表以及建立用户‑用户组关系和用户‑维度权限关系；根据角色信息表、角色‑菜单功能信息表以及所述创建的用户信息表，建立用户‑角色关系表，并根据所述用户‑角色关系表进行用户操作权限控制；根据所述用户‑用户组关系、用户组‑维度权限关系以及用户‑维度权限关系，进行用户数据访问权限控制；当进行用户数据访问权限控制时，通过调整所述用户‑维度权限关系、用户组‑维度权限关系以及用户‑用户组关系，以调整用户对应的用户组和维度权限。

技术领域

本发明涉及系统权限管理领域，尤其涉及一种信息访问权限的控制方法及装置。

背景技术

信息系统一般需要为多用户提供服务，并且需要对用户进行不同的权限设置(如功能菜单、按钮的使用权限)，即信息系统用户权限管理。传统的权限管理策略中，比较典型的是RBAC模型。RBAC模型对角色划分标准没有确切的定义，当系统复杂度极高时，需要定义的角色数量急剧增加；其次，难以满足灵活化权限控制需求，特别是在大型系统中使用时；而且，RBAC模型更多从软件系统角度考虑权限控制，忽略了现实中企业组织结构的特点。例如，某一组织机构的某一用户经常需要模拟另一组织机构的用户查询不同维度路径数据报表，即切换角色访问报表。若采用传统的RBAC模型，无法支持用户角色切换(RBAC中用户的角色是确定的)，而且需要定义大量的角色，导致角色-资源权限之间的关系复杂且不便于扩展。

发明内容

为了解决大型信息系统中用户角色定义过多的问题，以及更好适应现实企业组织结构需求，进而本发明提出了一种信息访问权限的控制方法，包括：

创建用户组信息表、维度权限表以及用户组-维度权限关系；

创建用户信息表以及建立用户-用户组关系和用户-维度权限关系；

根据角色信息表、角色-菜单功能信息表以及所述创建的用户信息表，建立用户-角色关系表，并根据所述用户-角色关系表进行用户操作权限控制；

根据所述用户-用户组关系、用户组-维度权限关系以及用户-维度权限关系，进行用户数据访问权限控制；

当进行用户数据访问权限控制时，通过调整所述用户-维度权限关系、用户组-维度权限关系以及用户-用户组关系，以调整用户对应的用户组和维度权限，其包括：

当所述用户的权限调整范围在所述用户通过用户-维度权限关系所确定的权限范围时，调整用户-维度权限关系，控制所述用户的数据访问权限；

当所述用户的权限调整范围超出所述用户通过用户-维度权限关系所确定的权限范围，并且超出所述用户所在的用户组的权限范围时，调整用户组-维度权限关系，控制所述用户的数据访问权限；

当所述用户的权限调整范围超出所述用户所在的用户组的权限范围时，调整用户-用户组关系，控制所述用户的数据访问权限。

进一步的，创建用户组信息表是根据所对应的对象的组织架构进行创建。

进一步的，所述创建用户信息表包括：

根据设定的用户组的权限，在对应用户组内创建用户，并根据所述用户组-维度权限关系，为该用户赋予对应的维度权限。

进一步的，所述用户组信息表包括父组及对应的子组，所述子组全部或者部分继承父组的访问权限；

当所述用户的权限调整范围超出所述用户所在的用户组的权限范围时，在对应用户组内创建新子组，并根据所述用户组-维度权限关系，为所述新子组赋予对应的维度权限。

进一步的，所述通过所述用户-用户组关系和用户-维度权限关系调整用户对应的用户组和维度权限，控制所述用户的数据访问权限，还包括：