[发明专利]基于角色的权限控制机制

说明书

技术领域

本发明涉及基于角色的访问控制技术领域，尤其涉及系统应用封装访问权限给角色再赋 予用户来间接地访问数据库资源机制。

背景技术

基于角色的访问控制(RBAC)是近年来研究最多、思想最成熟的一种新型的数据库权限管 理机制，它被认为是替代传统的强制访问控制(MAC)和自主访问控制(DAC)的理想候选。基于 角色的访问控制(RBAC)的基本思想是根据企业组织视图中不同的职能岗位划分不同的角色， 将数据库资源的访问权限封装在角色中，用户通过被赋予不同的角色来间接地访问数据库资 源。

在大型数据库应用系统中往往都建有大量的表和视图，这使得对数据库资源的管理和授 权变得十分复杂。由用户直接管理数据库中资源的存取和权限的收授是十分困难的，它需要 用户对数据库结构的了解非常透彻，并且熟悉SQL语言的使用，而且一旦应用系统结构或安 全需求有所变动，都要进行大量复杂而繁琐的授权变动，非常容易出现一些意想不到的安全 漏洞。因此为大型数据库应用系统设计一种简单、高效、安全的权限管理方案已经成为系统 和系统用户的普遍需求。

系统实施基于角色的权限控制机制的好处：在系统的应用程序层实现基于角色的权限管理 方案，对系统的访问权限实现了简单、安全、高效的管理，极大地降低了系统权限管理的负 担和代价，而且使系统权限管理更加符合应用系统的业务管理规范。系统应用封装访问权限 给角色再赋予用户来间接地访问数据库资源机制并不需要系统管理人员对数据库具有透彻的 理解，降低了对系统管理员的要求，进一步降低了系统权限管理的负担和代价。

发明内容

为了克服现有的涉及基于角色的访问控制技术领域的不足，本发明提供一种基于角色的 访问控制机制，角色作为中间媒介把用户集合和权限集合联系起来，用户通过角色间接地访 问数据库资源。一个角色与权限关联可以看作是该角色拥有一组权限的集合，与用户关联又 可以看作是若干具有相同身份的用户的集合。一种在应用程序层统一实现对整个系统的基于 角色的权限管理方案，访问控制模型角色权限分配是将应用程序层系统功能项的操作权限分 配给角色而不是将访问数据库权限分配给角色，角色通过操作系统的功能项来操纵数据库资 源而不是通过访问数据库的权限来操纵数据库资源。

本发明解决其技术问题所采用的技术方案是：在角色的访问控制中，一个用户可以被赋 予多个角色，一个角色也可以被赋予多个用户，用户与角色之间是多对多的关系。同样，一 个角色可以具有多项权限，一项权限也可以被赋予多个不同的角色，角色和权限之间也是多 对多的关系。一个登陆数据库应用系统的用户，可以通过其所拥有的角色的权限来判断其可 以访问的数据库资源和对数据库资源可以进行的操作。

本发明的有益效果是，采用基于角色的访问控制技术，系统应用封装访问权限给角色再 赋予用户来间接地访问数据库资源，极大地减少了权限管理的负担和代价，使系统的权限管 理具有很大的灵活性。若系统为每类用户建立一个角色，用户对应的权限发生了改变，只需 修改角色的权限；用户的职责发生改变，只需回收用户原角色，重新授予用户新职责所对应的 角色。灵活表达和实现企业的安全策略，使系统权限管理在企业的组织视图这个较高的抽象 集上，贴近企业日常的组织管理规则。在一定程度上限制了数据库管理员的权力，保证了系 统的安全性。

附图说明

下面结合附图和实施例对本发明进一步说明。

图1为本发明实例基于角色的访问控制模型图。

图2为本发明实例在应用程序层实现基于角色的权限管理模型图。

图3为本发明实例管理角色等级示意图。

图4为本发明实例权限管理数据库-用户表图。

图5为本发明实例权限管理数据库-系统角色表图。

图6为本发明实例权限管理数据库-系统模块表图。

具体实施方式