TWI862291B - 應用權限建立方法及應用權限建立系統 - Google Patents
應用權限建立方法及應用權限建立系統 Download PDFInfo
- Publication number
- TWI862291B TWI862291B TW112144861A TW112144861A TWI862291B TW I862291 B TWI862291 B TW I862291B TW 112144861 A TW112144861 A TW 112144861A TW 112144861 A TW112144861 A TW 112144861A TW I862291 B TWI862291 B TW I862291B
- Authority
- TW
- Taiwan
- Prior art keywords
- permission
- list
- application
- permissions
- review
- Prior art date
Links
Images
Landscapes
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Lock And Its Accessories (AREA)
Abstract
一種應用權限建立方法,包含有請求一第一權限;判斷該第一權限是否存在於一權限總表中的複數個應用權限中;當該第一權限存在於該權限總表中的該複數個應用權限中時,取得該第一權限;以及當該第一權限不存在於該權限總表中的該複數個應用權限中時,審核該第一權限。
Description
本發明涉及一種應用權限建立方法及應用權限建立系統,尤指一種自動化和系統化的應用權限建立方法及應用權限建立系統。
隨著資訊化及保密需求的增加,高度機密性資料通常存放於企業內部的資料中心,例如訂單資訊、財務資訊及採購資訊等。隸屬於不同單位或不同職等的員工可以存取這些高度機密性資料的資料範圍可能不同。因此,基於資安問題,資料中心必需建立一個權限機制來規範不同員工可存取的資料權限。
然而,當前資料中心的資料權限建立以人工審核為主。一般而言,由審核委員會先收集每個員工對資料權限的需求,再決定出每個員工可存取的資料權限,如此繁複的權限建立方法除了增加時間成本外,還使得公司暴露在資料安全的風險之中。
在此情形下,如何自動化和系統化應用權限建立方法及應用權限建立系統並加速業界的數位轉型,就成為業界所努力的目標之一。
本發明的主要目的之一在於提供一種應用權限建立方法及應用權限建立系統,以解決上述問題。
本發明提供一種應用權限建立方法,包含有請求一第一權限;判斷該第一權限是否存在於一權限總表中的複數個應用權限中;當該第一權限存在於該權限總表中的該複數個應用權限中時,取得該第一權限;以及當該第一權限不存在於該權限總表中的該複數個應用權限中時,審核該第一權限。
本發明提供一種應用權限建立系統,包含有一使用者介面,用來請求一第一權限;一儲存模組,用來儲存一權限總表;以及一資料處理模組,耦接該使用者介面和該儲存模組,用來執行下述步驟:判斷該第一權限是否存在於一權限總表中的複數個應用權限中;當該第一權限存在於該權限總表中的該複數個應用權限中時,取得該第一權限;以及當該第一權限不存在於該權限總表中的該複數個應用權限中時,透過該使用者介面審核該第一權限。
1:應用權限建立系統
2、3、4:流程
10:使用者介面
20:儲存模組
30:資料處理模組
50:使用者權限表
52:權限總表
S200-S208、S300-S310、S400-S408:步驟
第1圖為本發明實施例一應用權限建立系統之示意圖。
第2圖、第3圖、第4圖為本發明不同實施例之應用權限建立方法的流程之示意圖。
第5圖為本發明實施例應用權限建立系統處理一採購系統權限的示意圖。
在說明書及後續的申請專利範圍當中使用了某些詞彙來指稱特定的元件。所屬領域中具有通常知識者應可理解,硬體製造商可能會用不同的名詞來稱呼同一個元件。本說明書及後續的申請專利範圍並不以名稱的差異來做為區分元件的方式,而是以元件在功能上的差異來做為區分的準則。在通篇說明書及後續的申請專利範圍當中所提及的「包含」係為一開放式的用語,故應解釋成「包含但不限定於」。以外,「耦接」一詞在此係包含任何直接及間接的電氣連接手段。因此,若文中描述一第一裝置耦接於一第二裝置,則代表該第一裝置可直接電氣連接於該第二裝置,或透過其他裝置或連接手段間接地電氣連接至該第二裝置。
在實施例中,運算裝置可採用下列範例中的至少一者:中央處理單元(central processor unit,CPU)、圖形處理器(Graphic Processing Unit,GPU)、微控制器(microcontroller,MCU)、應用處理器(application processor,AP)、現場可程式化閘陣列(field programmable gate array,FPGA)、特殊應用積體電路(Application Specific Integrated Circuit,ASIC)、數位訊號處理器(Digital Signal Processor,DSP)、系統晶片(system-on-a-chip,SOC)、深度學習加速器(deep learning accelerator)。但本發明不以這些範例為限制。
請參考第1圖,第1圖為本發明實施例一應用權限建立系統1之示意圖。應用權限建立系統1可配置於一資料中心,用來收集使用者對資料權限的需求或申請,並自動化和系統化讓使用者取得資料權限。應用權限建立系統1包含有一使用者介面10、一儲存模組20及一資料處理模組30。使用者透過使用者介面10請求多個資料權限,使用者介面10可以是一應用程式介面(application
programing interface,API),使用者的請求會透過應用程式介面轉換為資料中心的資料格式,關於應用程式介面的轉換,為本領域人士所熟知,在此不贅述。需注意的是,為了清楚說明,在下述實施例中皆以使用者請求一第一權限為例,而不限於此。儲存模組20用來儲存一權限總表,權限總表紀錄複數個應用權限,其係使用者已經取得的應用權限或是預設可以取得的應用權限。資料處理模組30耦接使用者介面10和儲存模組20,用來執行一應用權限建立方法,以根據權限總表中的複數個應用權限判斷使用者是否能取得第一權限。
關於應用權限建立系統1的應用權限建立方法,可歸納為一流程2,如第2圖所示。流程2包含以下步驟:
步驟S200:開始。
步驟S202:判斷第一權限是否存在於權限總表中的複數個應用權限中。
步驟S204:當第一權限存在於權限總表中的複數個應用權限中時,取得第一權限。
步驟S206:當第一權限不存在於權限總表中的複數個應用權限中時,透過使用者介面審核第一權限。
步驟S208:結束。
根據流程2,於步驟S202中,當使用者透過使用者介面10請求多個資料權限時,資料處理模組30判斷第一權限是否存在於權限總表中的複數個應用權限中。於步驟S204中,當第一權限存在於權限總表中的複數個應用權限中時,即第一權限為使用者可以取得或已經取得的應用權限,因此資料處理模組30讓使用者取得第一權限。反之,於步驟S206中,當第一權限不存在於權限總表中
的複數個應用權限中時,資料處理模組30無法讓使用者自動取得第一權限。因此,需要其他機制來審核是否能讓使用者取得第一權限,舉例來說,當第一權限不存在於權限總表中的複數個應用權限中時,資料處理模組30將第一權限送交一審核委員會,其組成可以是使用者的主管等,審查委員會的委員即可透過使用者介面10審核第一權限。
在一實施例中,透過使用者介面審核第一權限可歸納為一流程3,如第3圖所示。流程3包含以下步驟:
步驟S300:開始。
步驟S302:判斷第一權限是否存在於權限總表中的複數個應用權限中。若是,執行步驟S304。若否,執行步驟S306。
步驟S304:取得第一權限。
步驟S306:決定第一權限是否通過審核。若是,執行步驟S304。若否,執行步驟S308。
步驟S308:停止取得該第一權限。
步驟S310:結束。
關於步驟S302、S304的詳細說明及其衍生變化可參考前述說明,在此不贅述。在步驟S306中,審查委員會的委員接收到使用者對第一權限的請求後,透過使用者介面10審核第一權限。當第一權限未通過審核時,資料處理模組30無法讓使用者取得第一權限。反之,當第一權限通過審核時,資料處理模組30讓使用者取得第一權限。需注意的是,權限總表的複數個應用權限中沒有第一權限,因此資料處理模組30可以將第一權限加入權限總表中,如此一來,未來使用者再次請求第一權限時,即可不經過審核委員會而由權限建立系統1自
動通過第一權限的請求。在一實施例中,應用權限建立系統1在初始建立時,權限總表中可能不存在任何資料權限,因此使用者申請的多個資料權限中的每一個資料權限都會經過步驟S306,多個資料權限中的部分資料權限在通過審核委員會的審核後,即會加入權限總表中。
另一方面,審核委員會可以利用應用權限建立系統1主動變動(新增、更新和縮減)權限總表和使用者的權限範圍。舉例來說,審查委員會的委員透過使用者介面10審核權限總表中的複數個應用權限中的一第二權限,當第二權限通過審核時,維持權限總表;當第二權限未通過審核時,將權限總表中的第二權限刪除。此外,若第二權限相同於使用者請求的或已取得的第一權限,停止取得或回收第一權限。
更進一步地,不同使用者可能具有不同的權限範圍且分別具有其對應的權限總表,且其請求的資料權限亦可能不同,為了更有效管理使用者的權限範圍,在另一實施例中,本發明另可增加自動刪除資料權限功能,使權限總表中不會有過多資料權限而造成資安問題。自動刪除資料權限功能可歸納為一流程4,如第4圖所示。流程4包含以下步驟:
步驟S400:開始。
步驟S402:判斷是否刪除權限總表中的一第三權限。
步驟S404:當第三權限經過一臨界值時間未被請求時,將權限總表中的第三權限刪除。
步驟S406:當第三權限有被請求時,維持權限總表中的第三權限。
步驟S408:結束。
關於流程4的詳細說明及其衍生變化可參考前述說明,在此不贅述。需注意的是,流程4係為本發明不同實施例,本領域具通識者當可據以做不同修飾,而不限於此。例如,當第三權限經過一臨界值時間未被請求時,資料處理模組30將權限總表中的第三權限刪除,並同時回收使用者已取得與第三權限相同的資料權限。例如,資料處理模組30可以先判斷第三權限是否為使用者已取得的資料權限,若是,則不執行流程4。若否,才開始執行流程4。
最後,關於應用權限建立系統1的實際運作可以參考第5圖。第5圖為本發明實施例應用權限建立系統1處理一採購系統權限的示意圖。儲存模組20中儲存有一權限總表52和一使用者權限表50。權限總表52紀錄使用者可取得的資料權限,其包含一請購清單、一存貨清單和一工作清單。使用者權限表50紀錄使用者目前擁有的資料權限,其包含存貨清單。在一實施例中,當使用者透過使用者介面10請求請購清單的資料權限時,資料處理模組30判斷請購清單的資料權限包含在權限總表52紀錄的資料權限中,因此使用者可以自動取得請購清單的資料權限,換言之,資料處理模組30會在使用者權限表50中加入請購清單的資料權限。需注意的是,如第5圖所示,使用者可以請求更動使用者權限表50,而審核委員會可以更動權限總表52,此外權限總表52的資料權限範圍會大於或等於使用者權限表50的資料權限範圍。在另一實施例中,審核委員會可以刪除權限總表52中存貨清單的資料權限(未示出於第5圖中),資料處理模組30判斷使用者權限表50中存貨清單的資料權限已不存在權限總表52中,因此資料處理模組30對應地刪除使用者權限表50中存貨清單的資料權限。
需注意的是,應用權限建立系統1係為本發明之實施例,本領域具通常知識者當可依本發明的精神加以結合、修飾或變化以上所述的實施例,而不
限於此。上述所有的說明、步驟、及/或流程(包含建議步驟),可透過硬體、軟體、韌體(即硬體裝置與電腦指令的組合,硬體裝置中的資料為唯讀軟體資料)、電子系統、或上述裝置的組合等方式實現。硬體可包含類比、數位及混合電路(即微電路、微晶片或矽晶片)。電子系統可包含系統單晶片(system on chip,SoC)、系統封裝(system in package,SiP)、電腦模組(computer on module,CoM)及電腦系統。本發明之流程步驟與實施例可以程式碼或指令的型態存在而儲存於儲存模組20中。儲存模組20可為電腦可讀取記錄媒體,儲存模組20可包括唯讀記憶體(read-only memory,ROM)、快閃記憶體(Flash Memory)、隨機存取記憶體(random-access memory,RAM)、用戶識別模組(Subscriber Identity Module,SIM)、硬碟或光碟唯讀記憶體(CD-ROM/DVD-ROM/BD-ROM),但不以此為限。上述流程及實施例可被編譯成程式代碼或指令並儲存於儲存模組20。資料處理模組30可用於讀取與執行儲存模組20中所儲存的程式碼或指令以實現前述所有步驟與功能。
綜上所述,本發明的應用權限建立方法及應用權限建立系統可以自動化和系統化處理使用者的資料權限請求和管理使用者的權限範圍,審核委員會可以透過本發明的應用權限建立方法及應用權限建立系統審核和更動使用者的權限範圍。如此一來,相較於先前技術,本發明可以減少人工成本並加速公司的數位轉型。
以上所述僅為本發明之較佳實施例,凡依本發明申請專利範圍所做之均等變化與修飾,皆應屬本發明之涵蓋範圍。
2:流程
S200-S208:步驟
Claims (8)
- 一種應用權限建立方法,包含以一運算裝置執行下列步驟:請求一第一權限;判斷該第一權限是否存在於一權限總表中的複數個應用權限中;當該第一權限存在於該權限總表中的該複數個應用權限中時,取得該第一權限;當該第一權限不存在於該權限總表中的該複數個應用權限中時,由一審核委員會審核該第一權限;由該審核委員會審核該權限總表中的該複數個應用權限中的一第二權限;當該第二權限通過審核時,維持該權限總表;以及當該第二權限未通過審核時,將該權限總表中的該第二權限刪除。
- 如請求項1所述之應用權限建立方法,另包含有:當該第一權限通過審核時,取得該第一權限,並將該第一權限加入該權限總表中的該複數個應用權限中;以及當該第一權限未通過審核時,停止取得該第一權限。
- 如請求項1所述之應用權限建立方法,其中將該權限總表中的該第二權限刪除的步驟另包含有:若該第二權限相同於該第一權限,停止取得或回收該第一權限。
- 如請求項1所述之應用權限建立方法,另包含有:判斷是否刪除該權限總表中的一第三權限;當該第三權限經過一臨界值時間未被請求時,將該權限總表中的該第三權限刪除;以及當該第三權限有被請求時,維持該權限總表中的該第三權限。
- 一種應用權限建立系統,包含有:一使用者介面,用來請求一第一權限;一儲存模組,用來儲存一權限總表;以及一資料處理模組,耦接該使用者介面和該儲存模組,用來執行下述步驟:判斷該第一權限是否存在於一權限總表中的複數個應用權限中;當該第一權限存在於該權限總表中的該複數個應用權限中時,取得該第一權限;當該第一權限不存在於該權限總表中的該複數個應用權限中時,由一審核委員會透過該使用者介面審核該第一權限;由該審核委員會透過該使用者介面審核該權限總表中的複數個應用權限中的一第二權限;當該第二權限通過審核時,維持該權限總表;以及當該第二權限未通過審核時,將該權限總表中的該第二權限刪除。
- 如請求項5所述之應用權限建立系統,其中該資料處理模組另執行下述步驟:當該第一權限通過審核時,取得該第一權限,並將該第一權限加入該權限總表中的該複數個應用權限中;以及 當該第一權限未通過審核時,停止取得該第一權限。
- 如請求項5所述之應用權限建立系統,其中將該權限總表中的該第二權限刪除的步驟另包含有:若該第二權限相同於該第一權限,停止取得或回收該第一權限。
- 如請求項5所述之應用權限建立系統,其中該資料處理模組另執行下述步驟:判斷是否刪除該權限總表中的一第三權限;當該第三權限經過一臨界值時間未被請求時,刪除該權限總表中的該第三權限;以及當該第三權限有被請求時,維持該權限總表中的該第三權限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW112144861A TWI862291B (zh) | 2023-11-21 | 2023-11-21 | 應用權限建立方法及應用權限建立系統 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW112144861A TWI862291B (zh) | 2023-11-21 | 2023-11-21 | 應用權限建立方法及應用權限建立系統 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI862291B true TWI862291B (zh) | 2024-11-11 |
| TW202522264A TW202522264A (zh) | 2025-06-01 |
Family
ID=94380063
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW112144861A TWI862291B (zh) | 2023-11-21 | 2023-11-21 | 應用權限建立方法及應用權限建立系統 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI862291B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080271139A1 (en) * | 2007-04-30 | 2008-10-30 | Saurabh Desai | Determination of access checks in a mixed role based access control and discretionary access control environment |
| CN104809390A (zh) * | 2014-01-26 | 2015-07-29 | 中兴通讯股份有限公司 | 系统安全运行的方法及装置 |
| TWI775460B (zh) * | 2021-06-01 | 2022-08-21 | 重量科技股份有限公司 | 具隱私保護的風險資訊交換系統及方法 |
| TWI793037B (zh) * | 2022-06-27 | 2023-02-11 | 財團法人亞洲大學 | 醫療資料所有權管理方法 |
| CN108829781B (zh) * | 2018-05-31 | 2023-07-25 | 中国平安人寿保险股份有限公司 | 客户信息查询方法、装置、计算机设备和存储介质 |
-
2023
- 2023-11-21 TW TW112144861A patent/TWI862291B/zh active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080271139A1 (en) * | 2007-04-30 | 2008-10-30 | Saurabh Desai | Determination of access checks in a mixed role based access control and discretionary access control environment |
| CN104809390A (zh) * | 2014-01-26 | 2015-07-29 | 中兴通讯股份有限公司 | 系统安全运行的方法及装置 |
| CN108829781B (zh) * | 2018-05-31 | 2023-07-25 | 中国平安人寿保险股份有限公司 | 客户信息查询方法、装置、计算机设备和存储介质 |
| TWI775460B (zh) * | 2021-06-01 | 2022-08-21 | 重量科技股份有限公司 | 具隱私保護的風險資訊交換系統及方法 |
| TWI793037B (zh) * | 2022-06-27 | 2023-02-11 | 財團法人亞洲大學 | 醫療資料所有權管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202522264A (zh) | 2025-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3591510B1 (en) | Method and device for writing service data in block chain system | |
| JP3853540B2 (ja) | ファイバチャネル接続磁気ディスク装置およびファイバチャネル接続磁気ディスク制御装置 | |
| TWI282496B (en) | Method for partitioning memory mass storage device and device thereof | |
| CN111898139B (zh) | 数据读写方法及装置、电子设备 | |
| EP4348931A1 (en) | Transfer of ownership of a computing device via a security processor | |
| US20100082679A1 (en) | Method, apparatus and computer program product for providing object privilege modification | |
| WO2021208758A1 (zh) | 数据权限管理 | |
| CN105243335A (zh) | 一种权限管理方法及装置 | |
| CN107871062A (zh) | 一种应用权限控制方法、装置及终端 | |
| CN114661788B (zh) | 区块链数据检索方法、装置、电子设备及存储介质 | |
| EP4348469A1 (en) | Firmware policy enforcement via a security processor | |
| CN105933185A (zh) | 一种确定路由器连接异常类型的方法与设备 | |
| TWI862291B (zh) | 應用權限建立方法及應用權限建立系統 | |
| US11687495B2 (en) | System and method for managing collaborative multiuser document editing via a distributed ledger | |
| CN108763963A (zh) | 基于数据访问权限的分布式处理方法、装置及系统 | |
| CN112966036B (zh) | 一种基于逻辑模型构建主数据服务的方法 | |
| US20250165652A1 (en) | Application permission establishment method and application permission establishment system | |
| CN112783954B (zh) | 数据访问方法、装置及服务器 | |
| CN114443937A (zh) | 订单查询方法、装置、系统以及计算机可读存储介质 | |
| CN112925766A (zh) | 一种数据安全管控装置、系统、方法及其可读存储介质 | |
| CN112487497A (zh) | 基于智能合约对链外文件的管理方法、装置和电子设备 | |
| CN118607001A (zh) | 一种数据跨境管理方法、系统及可读存储介质 | |
| CN115550010B (zh) | 一种基于区块链的关键环境访问控制方法 | |
| EP1752879A1 (en) | File management device, file management method, file management program, and computer-readable recording medium containing the file management program | |
| CN116644453A (zh) | 一种文档系统的权限管理方法、装置及设备 |