【技术实现步骤摘要】
本专利技术涉及数据处理,尤其涉及用户权限管理,更具体地说涉及一种基于矩阵的医院权限系统管理方法。
技术介绍
1、基于属性的权限管理模型(attribute-based access control,简称abac),将用户拥有的权限以其最小颗粒度的形式存储到数据库中,每位用户每多赋予一种权限,则用户-权限关系表中就会多一条或多条数据。用户数量越多,权限关系越多,则这张用户-权限关系表的数据量就越大。对于医联体等医院集团而言,那便是千万级以上数据级的海量数据。若获取权限的场景频繁且有高性能要求,则整个业务系统面临艰巨的数据考研,整个系统的稳定性也是一大难题。
2、批量变更用户权限时,对于普通的abac权限模型来说,也是挑战。批量用户变更权限,就需要处理数倍的用户-权限数据。批量处理的用户数量越多,用户-权限关系越复杂,需要处理的用户-权限数据量就越大。
3、在权限查询本就压力大的前提下,用户权限的变更更要小心翼翼。而为了不影响权限查询性能,大数据量的用户权限变更并不会实时生效,或少量多次进行,或在查询压力小的夜间进行,这就影响了用户权限的实时性,推迟了变更用户权限的生效时间。
4、由于医院主体和资源属性的多样化,导致医院系统的用户权限配置和管理难度大。随着时间的推移,后期的权限管理混乱,易出现确权混乱,配置失误导致的莫名提权或权限丢失等情况。如医院人员的临时借调或者轮岗,借调或轮岗到期后未能及时修改权限导致被动提权等场景。普通的abac权限模型并不能有效解决以上问题。
1、为了克服上述现有技术中存在的缺陷和不足,本专利技术提供了一种基于矩阵的医院权限系统管理方法,本专利技术的专利技术目的在于解决现有abac权限模型的数据计算效率低、数据获取效率低的问题。本专利技术提供的基于矩阵的医院权限系统管理方法,给权限主体建立权限数据模型,将权限主体的权限获取,模型化为权限主体多属性权限的数据并集,将权限主体的多属性权限计算转化为属性和权限的笛卡尔积,笛卡尔积再简化为矩阵运算。权限属性用0或1表示,多属性的数据并集简化为计算机的逻辑与或运算,从而将海量数据的读取,用简单的矩阵运算和计算机逻辑运算替代。本专利技术的管理方法将用户权限的变更,转化为用户属性关系矩阵的变更,批量用户的权限变更也就是多个属性关系矩阵的变更,使得权限操作更便捷,能够实时生效。本专利技术的管理方法与现有传统abac权限模型相比,数据计算效率高、数据获取效率高。
2、为了解决上述现有技术中存在的问题,本专利技术是通过下述技术方案实现的。
3、本专利技术提供了一种基于矩阵的医院权限系统管理方法,该管理方法包括以下步骤:
4、s1、基于目标医院权限系统中的所有权限,构建权限矩阵:
5、式中,tp表示权限矩阵,pn表示权限矩阵中第n个元素,n表示权限数量;所述构建的权限矩阵中的每一个元素代表医院权限系统中的一种权限;
6、s2、基于目标医院权限系统中的所有属性,每一个属性单独构建一个属性矩阵:
7、式中,s表示属性种类数,ts表示属性s的属性矩阵,sm表示属性s的属性矩阵中的第m个元素,m表示属性s的属性矩阵中的元素个数;所述构建的属性矩阵中每一个元素代表该属性下的子属性;
8、s3、根据各属性矩阵中各子属性与权限的对应关系,得到属性-权限关系矩阵as1p1表示子属性s1是否有p1权限;属性-权限关系矩阵中的各元素用0或1表示,1代表该子属性具备该权限,0代表该子属性不具备该权限;并将该属性-权限关系矩阵作为常量保存;
9、s4、确定权限主体与各属性的配置关系,以及主体与各属性中各子属性的配置关系,得到主体-属性关系矩阵tz-s,tz-s表示主体z与属性s的主体-属性关系矩阵;所述主体-属性关系矩阵tz-s中的每一个元素用0或1表示,0表示主体z与属性s中的子属性无关,1表示主体z与属性s中的子属性有关;
10、s5、权限主体z获取的权限表达式为:tz-s1*ts1-p*tputz-s2*ts2-p*tpu…utz-sn*tsn-p*tp,式中,n表示与权限主体z相关的属性种类数量,tz-sn表示权限主体z与属性sn的主体-属性关系矩阵,tsn-p表示属性sn的属性-权限关系矩阵。
11、进一步优选的,权限主体z获取的权限表达式为(tz-s1*ts1-p|tz-s2*ts2-p|…|tz-sn*tsn-p)*tp,式中,n表示与权限主体z相关的属性种类数量,tz-sn表示权限主体z与属性sn的主体-属性关系矩阵,tsn-p表示属性sn的属性-权限关系矩阵,|为计算机逻辑或运算。
12、进一步优选的,将权限主体对应的所有主体-属性关系矩阵与该权限主体一起保存在权限主体列表中。
13、更进一步优选的,当需要获取某权限主体的权限时,从权限主体表中查出该权限主体,查询结果中包含该权限主体存储的所有主体-属性关系矩阵;调用作为常量保存的属性-权限关系矩阵,根据权限主体获取的权限表达式,从权限列表中获取到该权限主体的权限数据。
14、进一步优选的,当需要对权限主体的权限进行变更时,只需要对权限主体对应的主体-属性关系矩阵进行修改配置,即可根据修改后的主体-属性关系矩阵和权限表达式,对权限主体的权限进行自动变更。
15、进一步优选的,所述属性包括组织属性、岗位属性和/或临时授权属性中的任意一种或多种的组合。
16、与现有技术相比,本专利技术所带来的有益的技术效果表现在:
17、1、本专利技术将传统abac权限模型中,被授予权限主体的每一个属性用矩阵关系表示,共同构成被授予权限主体的权限矩阵集合。将权限主体的权限获取,模型化为权限主体多属性权限的数据并集。权限主体的多属性权限计算转化为属性和权限的笛卡尔积,笛卡尔积再简化为矩阵运算。提升权限数据获取效率。由于属性-权限关系矩阵中各元素用0或1表示,多属性的数据并集进一步可简化为计算机的逻辑与或运算,提升计算效率,实现了用简单的矩阵运算和计算机逻辑运算实现权限主体的权限获取、变更或配置。
18、2、本专利技术基于矩阵的医院权限系统管理方法,相较于现有传统abac权限模型而言,权限数据获取效率和计算效率大大提升。
19、3、本专利技术将用户权限变更,转化为用户属性关系矩阵(即主题-属性关系矩阵)的变更,批量用户的权限变更也就是多个属性关系矩阵的变更,权限操作更便捷,权限数据计算效率更快,可实时生效。
20、4、本专利技术将海量数据的查询转化为属性关系矩阵运算,简言之,查询用户拥有的权限,就是查询用户所有属性拥有的权限的并集。单个属性拥有的权限通过:人-属性关系矩阵和属性-权限关系矩阵运算可得,当用户属性变更时可直接修改人-属性关系矩阵。同理,属性权限变更时,修改属性-权限关系矩阵即可。此外,当用户有临时借调或轮岗场景时,将人-属性关系矩阵存储时,可通过设置过期时间简化权限关系维护成本。本专利技术的矩阵关系权限模型形成了本文档来自技高网...
【技术保护点】
1.一种基于矩阵的医院权限系统管理方法,其特征在于:包括以下步骤,
2.如权利要求1所述的一种基于矩阵的医院权限系统管理方法,其特征在于:权限主体Z获取的权限表达式为(TZ-S1*TS1-P|TZ-S2*TS2-P|…|TZ-SN*TSN-P)*TP,式中,N表示与权限主体Z相关的属性种类数量,TZ-SN表示权限主体Z与属性SN的主体-属性关系矩阵,TSN-P表示属性SN的属性-权限关系矩阵,|为计算机逻辑或运算。
3.如权利要求1或2所述的一种基于矩阵的医院权限系统管理方法,其特征在于:将权限主体对应的所有主体-属性关系矩阵与该权限主体一起保存在权限主体列表中。
4.如权利要求3所述的一种基于矩阵的医院权限系统管理方法,其特征在于:当需要获取某权限主体的权限时,从权限主体表中查出该权限主体,查询结果中包含该权限主体存储的所有主体-属性关系矩阵;调用作为常量保存的属性-权限关系矩阵,根据权限主体获取的权限表达式,从权限列表中获取到该权限主体的权限数据。
5.如权利要求1或2所述的一种基于矩阵的医院权限系统管理方法,其特征在于:当需要
6.如权利要求1或2所述的一种基于矩阵的医院权限系统管理方法,其特征在于:所述属性包括组织属性、岗位属性和/或临时授权属性中的任意一种或多种的组合。
...【技术特征摘要】
1.一种基于矩阵的医院权限系统管理方法,其特征在于:包括以下步骤,
2.如权利要求1所述的一种基于矩阵的医院权限系统管理方法,其特征在于:权限主体z获取的权限表达式为(tz-s1*ts1-p|tz-s2*ts2-p|…|tz-sn*tsn-p)*tp,式中,n表示与权限主体z相关的属性种类数量,tz-sn表示权限主体z与属性sn的主体-属性关系矩阵,tsn-p表示属性sn的属性-权限关系矩阵,|为计算机逻辑或运算。
3.如权利要求1或2所述的一种基于矩阵的医院权限系统管理方法,其特征在于:将权限主体对应的所有主体-属性关系矩阵与该权限主体一起保存在权限主体列表中。
4.如权利要求3所述的一种基于矩阵的医院权限系统管...
【专利技术属性】
技术研发人员:胡金萍,胡值彬,马如明,施昊,
申请(专利权)人:南京天溯自动化控制系统有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。