申请/专利权人：深圳市中壬银兴信息技术有限公司

申请日：2024-04-11

公开（公告）日：2024-06-25

公开（公告）号：CN118035985B

主分类号：G06F16/242

分类号：G06F16/242;G06F16/22;G06F21/74

优先权：

专利状态码：有效-授权

法律状态：2024.06.25#授权;2024.05.31#实质审查的生效;2024.05.14#公开

摘要：本申请公开了一种基于数据模块化的MIS系统，包括：基于RBAC模型配置基础数据，并为每个需要控制权限的对象创建访问控制列表ACL；采用哈希表和树结构组织和索引元数据；接收用户的访问请求，获取访问请求中的用户ID和操作类型，根据访问请求对应的对象的ACL和用户的权限条目，结合权限表达式中定义的规则和约束条件，判断用户是否具有相应权限；根据权限校验结果，允许或拒绝用户的访问请求；对允许执行的访问请求，根据请求类型和权限规则生成SQL语句；在生成的SQL语句中，根据权限规则添加相应的条件和过滤器，以限定用户只能访问和操作被授权的数据；针对现有技术中MIS系统中权限配置不灵活的问题，本申请提高了权限配置的灵活性。

主权项：1.一种基于数据模块化的MIS系统，包括：管理模块，基于RBAC模型配置基础数据，并为每个需要控制权限的对象创建访问控制列表ACL，在ACL中为权限控制对象分配权限；将配置的基础数据和ACL存储到权限数据库中；其中，基础数据包含用户、角色和权限；缓存模块，采用哈希表和树结构组织和索引元数据，其中，元数据包含用户、角色、权限、ACL和权限表达式；在系统启动时，从权限数据库中加载元数据，并将加载的元数据缓存到内存中；当管理模块更新权限配置时，缓存模块从权限数据库中增量加载更新后的元数据；其中，权限表达式用于定义权限规则和约束条件；校验模块，接收用户的访问请求，获取访问请求中的用户ID和操作类型，根据访问请求对应的对象的ACL和用户的权限条目，结合权限表达式中定义的规则和约束条件，判断用户是否具有相应权限；根据权限校验结果，允许或拒绝用户的访问请求；执行模块，对允许执行的访问请求，根据请求类型和权限规则生成SQL语句；在生成的SQL语句中，根据权限规则添加相应的条件和过滤器，以限定用户只能访问和操作被授权的数据；执行模块执行生成的SQL语句，并将执行结果返回给用户；管理模块，包括：用户管理单元，管理用户账户的创建、修改和删除，并将用户信息存储到权限数据库的用户表中；角色管理单元，管理角色的创建、修改和删除，并将角色信息存储到权限数据库的角色表中；权限管理单元，管理权限的创建、修改和删除，权限包含对数据对象的操作权限和对功能模块的访问权限，并将权限信息存储到权限数据库的权限表中；访问控制列表ACL单元，为每个需要控制权限的对象创建ACL，并在ACL中为权限控制对象分配权限；ACL中定义了主体对客体的访问权限，主体包含用户、角色或实体；客体包含数据对象、功能模块或资源；将配置的ACL存储到权限数据库的ACL表中；用户角色分配单元，将用户分配给一个或多个角色，角色用于对用户进行分类和管理；相同角色的用户配置相同的权限；将用户与角色的关联关系存储到权限数据库的用户角色表中；角色权限分配单元，将权限分配给一个或多个角色，角色通过权限获得对资源的访问和操作；将角色与权限的关联关系存储到权限数据库的角色权限表中；为每个需要控制权限的对象创建ACL，包括：根据预定义的ACL模板生成ACL数据结构，并为ACL数据结构分配唯一的标识；其中，ACL数据结构包含主体、客体和权限规则；配置权限的规则属性，规则属性包含主体类型、主体标识、客体类型、客体标识、权限类型和约束条件；将配置的权限转换为权限表达式，将权限表达式关联到生成的ACL数据结构中；为ACL数据结构中的主体和客体创建唯一标识，并将创建的唯一标识关联到ACL数据结构中；将主体和客体按照预定义的类型进行分类，得到主体和客体的层次关系；其中，层次关系采用有向无环图DAG表示，图中父节点表示上级对象，子节点表示下级对象；为每个需要控制权限的对象创建ACL，还包括：定义权限类型，并为权限类型分配唯一的位掩码，将分配的位掩码关联到ACL数据结构中；根据主体和客体之间的层次关系，根据传播算法，生成下级对象的ACL；其中，传播算法用于控制权限在层次关系中的继承和传播的深度；根据权限修改请求，采用事务处理机制ACID，对ACL数据结构进行更新；将生成和更新的ACL数据结构存储到权限数据库的ACL表中，并为ACL表生成唯一的版本号；当ACL表变更时，采用增量同步机制更新版本号；校验模块，包含：缓存查询单元，在执行权限获取之前，通过查询缓存模块，判断缓存模块中是否存储请求访问的目标对象对应的ACL和权限规则；如果存在，则将缓存模块中的ACL和权限规则直接传递给权限获取单元和规则解析单元；请求解析单元，获取用户的访问请求，从访问请求中解析用户标识、操作类型和目标对象；并将解析结果传递给缓存查询单元和权限获取单元；权限获取单元，在缓存未命中时，根据请求解析单元提供的目标对象，从权限数据库的ACL表中获取目标对象对应的ACL，以及用户在对应ACL中的用户权限条目，并将获取的用户权限条目传递给规则解析单元和权限判断单元；规则解析单元，从缓存查询单元或权限获取单元获取的ACL中提取权限表达式；并采用语义解析和静态检查机制，对提取的权限表达式进行解析，获得权限规则和约束条件；将获得的权限规则转换为逻辑判断语句；将获得的约束条件转换为参数化查询语句；将转换得到的逻辑判断语句和参数化查询语句传递给权限判断单元；权限判断单元，根据接收的用户权限条目、逻辑判断语句和参数化查询语句，得到允许或拒绝用户访问请求的判断结果，并将判断结果传递给响应生成单元；响应生成单元，根据判断结果生成对用户访问请求的响应。

全文数据：

权利要求：

百度查询： 深圳市中壬银兴信息技术有限公司 一种基于数据模块化的MIS系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD