(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211070764.9 (22)申请日 2022.09.02 (65)同一申请的已公布的文献号 申请公布号 CN 115146297 A (43)申请公布日 2022.10.04 (73)专利权人 江苏荣泽信息科技股份有限公司 地址 210000 江苏省南京市江北新区研创 园团结路9 9号孵鹰大厦86 6室 (72)发明人 钟晓　王剑　孙康峰　 (74)专利代理 机构 合肥锦辉利标专利代理事务 所(普通合伙) 34210 专利代理师 陈捷 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01)审查员 段玥 (54)发明名称 用于企业级台账的权限管理方法及装置 (57)摘要 本发明公开了用于企业级台账的权限管理 方法及装置， 涉及权 限管理技术领域， 解决了现 有技术中， 无法在安全性合格的前提将实时访问 用户的访问时长最大程度降低的技术问题， 将各 个企业进行台账数据获取， 并将其构建台账数据 库， 有利于企业运营状态的准确分析， 提高企业 的管理效率； 根据建立状态将实时访问用户设定 访问权限， 提高台账数据权限管控力度， 有利于 增强台账数据的安全性， 降低风险访问发生的风 险； 将获取访问权限的实时访问用户进行数据权 限管理， 在保证数据安全的同时提高访问用户的 访问效率， 且能够最大程度缩短访问时间， 从而 降低台账数据库的访问风险， 大大提高台账数据 库的存储安全性。 权利要求书3页 说明书7页 附图1页 CN 115146297 B 2022.12.06 CN 115146297 B 1.用于企业级台账的权限管理装置， 其特 征在于， 包括 服务器， 服务器通讯连接有： 台账数据构建单元， 用于将各个企业进行台账数据获取， 并将其构建台账数据库； 在台 账数据库构建过程中设置允许访问用户和更新权限用户； 功能权限管理单元， 用于将 实时访问用户与更新权限用户以及允许访问用户进行通讯 建立， 根据建立状态将实时访问用户设定访问权限， 并根据实时访问用户设定的访问权限 将台账数据进行划分； 数据权限管理单元， 用于将获取访 问权限的实时访 问用户进行数据权限管理， 将实时 访问用户在数据访问过程中可根据可筛分系数统一访问； 控制权限管理单元， 用于将实时访 问用户在台账数据库访 问过程中进行安全监测， 并 将其访问过程进行安全 控制； 台账数据构建单 元的运行 过程如下： 构建企业对应台账数据存储库， 且将企业网络覆盖台账数据存储库， 同时企业网络作 为台账数据存储库的唯一可覆盖网络， 将企业的财务负责人作为允许访问用户， 且对应允 许访问用户赋予实时访问用户的访问权限， 但允许访问用户本身无法直接访问； 即企业内 财务统计人员作为更新权限用户， 且更新权限用户的设定需得到允许访问用户的权限认 可， 更新权限用户完成设定后， 允许访问用户进行台账数据存储库访问时需在更新权限用 户授予权限后方可访问， 且更新权限用户作为台账数据的更新用户， 其更新执行需在允许 访问用户的授权下 方可进行台账 数据存储库访问； 在企业运营过程中存在流水后， 允许访问用户授予更新权限用户的台账数据统计权 限， 将实时统计的台账数据进行合格检验， 完成合格检验后在实时统计的台账数据完成数 据合格检验后将其输送至台账数据存储库， 在统计执行完成后， 更新权限用户授予允许访 问用户核查权限， 在允许访问用户确定合格后， 此次台账数据存储完成， 且允许访问用户的 访问权限随之消失， 在接 收到更新权限用户的核查权限， 即需要进行核查时重新赋予访问 权限； 在台账 数据首次统计完成后， 台账 数据存储库则构建成功； 具体合格 检验过程如下： 采集到实时统计台账数据对应数值生成时刻与统计时刻的间隔时长以及对应台账数 据对应数值的实时偏差频率， 并将其分别与间隔时长阈值与偏差频率阈值进行比较： 若实时统计台账数据对应数值生成时刻与统计时刻的间隔时长超过间隔时长 阈值， 或 者对应台账数据对应数值的实时偏差频率超过偏差频率阈值， 则判定实时统计台账数据不 合格， 并将对应实时统计台账数据进 行重新核验， 在完成核验后立即进 行统计； 若实时统计 台账数据对应数值生成时刻与统计时刻的间隔时长未超过间隔时长阈值， 且对应台账数据 对应数值的实时偏差频率未超过偏差频率阈值， 则判定实时统计台账数据合格， 并将对应 实时统计台账 数据进行统计； 功能权限管理单 元的运行 过程如下： 将实时访问用户进行权限设定， 实时访问用户分别与 更新权限用户和允许访问用户进 行通讯建立， 并将其通讯进行合格性判定， 将更新权限用户和允许访问用户统一标记为通 讯用户， 通过合格性判定后， 当实时访问用户与更新权限用户建立通讯后且更新权限用户 授予实时访问用户访问权限， 则 当前访问权限为一级访问权限； 当实时访问用户与允许访 问用户建立通讯后且允许访问用户授予实时访问用户访问权限， 则当前访问权限为二级访权　利　要　求　书 1/3 页 2 CN 115146297 B 2问权限； 随后根据台账数据对应数据数值的浮动频率进行划分， 即台账数据对应数值浮动 频率超过对应浮动频率阈值， 则将对应台账数据 表示为一级 数据， 反之， 则将其标记为二级 数据； 实时访问用户根据对应访问权限等级 进行台账 数据匹配； 采集到实时访问用户与通讯用户通讯建立过程中连接密匙的平均使用时长以及对应 连接密匙的更 换频率， 并将分别与平均使用时长阈值和更 换频率阈值进行比较： 若实时访问用户与通讯用户通讯建立过程中连接密匙的平均使用时长未超过平均使 用时长阈值， 或者对应连接密匙的更换频率未超过更换频率阈值， 则判定当前通讯建立存 在风险， 并将对应实时访问用户和通讯用户重新通讯建立， 且使用更换后的连接密钥； 若实 时访问用户与通讯用户通讯建立过程中连接密匙的平均使用时长超过平均使用时长阈值， 且对应连接密匙的更换频率超过更换频率阈值， 则判定当前通讯建立安全， 当前实时访问 用户和通讯用户的通讯 建立合格； 数据权限管理单 元的运行 过程如下： 将获取访问权限的实时访问用户进行管理， 将对应实时访问用户的对应等级访问权限 匹配的访问台账数据， 并将访问台账数据的访问安全性进行分析， 完成安全性分析后， 选择 访问台账数据的可筛分参数， 其可筛分参数表示为金额或者日期； 将实时访问用户通过可 筛分参数设置区间进行筛分， 并将完成筛分后的台账数据内中级安全数据进行访问开放， 且高级安全数据在符合可筛 分参数时能够筛分但无法进行访问， 实时访问用户可直接向允 许访问用户提交高级安全数据访问申请， 在访问申请核通后高级安全数据可访问并在当前 实时访问用户完成访问后其访问权限需重新申请； 根据各个实时访问用户的访问过程， 将 其对应可筛 分参数的设置区间标记为 实时访问用户的访问规则， 且在访问规则不适用时进 行调整； 安全性分析 过程如下： 采集到访问台账数据的可访问频率以及对应访问台账数据的访问最长时长， 并将其分 别与访问频率阈值和访问最长时长阈值进 行比较： 若访问台账数据的可访问频率超过访问 频率阈值， 或者对应访问台账数据的访问最长时长未超过访问最长时长阈值， 则将对应访 问台账数据标记为中级安全数据； 反 之， 则将对应访问台账 数据标记为高级安全数据； 控制权限管理单 元的运行 过程如下： 将实时访 问用户的访 问过程设置安全策略， 安全策略的设置过程为： 在实时访 问用户 的访问执行过程中， 当实时访问用户被授予单一数量访问权限时， 对应获取 的访问权限需 进行实时监测， 若对应访问权限的未使用时长以及已访问时长均超过对应时长阈值， 即对 应实时访问用户需继续持有该权限， 则必须向更新权限用户和允许访问用户同时提交延时 申请， 在双方均通过延时申请后可继续持有该访问权限， 但对应实时访问用户的延时申请 相邻提交时存在安全时间阈值， 在完成延时申请提交后， 需通过安全时间阈值后方可再次 进行延时申请； 若对应访问权限的未使用时长以及已访问时长均未超过对应时长阈值， 即 对应实时访问用户可正常继续持有该权限； 当实时访问用户被授予非单一数量访问权限时， 实时访问用户需根据对应非单一数量 的访问权限顺序进行权限执行， 且在对应顺序权限执行过程中， 若当前访问权限开始执行 后， 则对应访问权限的历史相邻访问权限不再授予。 2.用于企业级台账的权限管理方法， 其特征在于， 包括权利要求1所述的用于企业级台权　利　要　求　书 2/3 页 3 CN 115146297 B 3