CN104573430B - 一种数据访问权限控制方法及装置 - Google Patents
一种数据访问权限控制方法及装置 Download PDFInfo
- Publication number
- CN104573430B CN104573430B CN201310496792.1A CN201310496792A CN104573430B CN 104573430 B CN104573430 B CN 104573430B CN 201310496792 A CN201310496792 A CN 201310496792A CN 104573430 B CN104573430 B CN 104573430B
- Authority
- CN
- China
- Prior art keywords
- user
- permission
- group
- permission group
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种数据访问权限控制方法及装置,用于解决多维度的用户的权限控制问题。本发明实施例包括:接收用户的访问请求;根据所述用户的维度信息,确定用户对应的权限组;根据用户的维度值,确定用户在每个权限组中的权限集;将用户在所述每个权限组中的权限集进行合并,获得用户的权限。
Description
技术领域
本发明涉及通信技术领域,尤其是涉及一种数据访问权限控制方法及装置。
背景技术
在普通的业务应用系统中,可能会根据用户的不同的维度的信息,来获取用户的数据访问权限,不同维度的数据权限的定义可能不同,如何解决这些权限的合并,往往是一个比较复杂的问题。
通常,不同的维度的信息可以认为是不同的用户属性,例如,用户的部门信息,级别信息等等。目前,一种针对数据表的多维度权限控制方案:定义数据表的每一个字段(或称属性)在每种维度下的权限访问策略,如数据表的列代表维度,数据表的行代表字段,每一个字段在每种维度下都对应设置有访问权限策略;可是对于某一个字段而言,只有在各个维度下都拥有访问权限的用户才可以对该字段进行访问,因此这种多个维度之间的权限配合关系过于单一;并且,需要针对每一个字段进行单独的配置,在列数目(即维度)过多的情形下,操作过于繁琐。
发明内容
本发明实施例提供了一种数据访问权限控制方法及装置,用于解决多维度的用户的权限控制问题。
本发明第一方面提供一种数据访问权限控制方法,其中,可包括:
接收用户的访问请求;
根据所述用户的维度信息,确定所述用户对应的权限组;
根据所述用户的维度值,确定所述用户在每个权限组中的权限集;
将所述用户在所述每个权限组中的权限集进行合并,获得所述用户的权限。
结合第一方面,在第一种可能的实施方式中,所述方法还包括:
为每个维度配置一个对应的权限组,所述权限组包含不同的维度值对应的不同的权限集。
结合第一方面或第一方面的第一种可能的实施方式,在第二种可能的实施方式中,所述方法还包括:
为每个用户类别配置一个对应的权限域,所述权限域包含所述每个维度对应的每个权限组;
则,根据所述用户的维度信息,确定所述用户对应的权限组,包括:
根据所述用户的类别,确定所述用户对应的权限域;
根据所述用户的维度信息,从所述用户对应的权限域中确定所述用户对应的权限组。
结合第一方面的第二种可能的实施方式,在第三种可能的实施方式中,所述根据所述用户的维度值,确定所述用户在每个权限组中的权限集,包括:
确定所述用户对应的权限组的类别,所述权限组的类别包括互斥权限组或非互斥权限组,其中,所述互斥权限组中一个用户配置一种权限集,所述非互斥权限组中一个用户配置多种权限集;
根据所述用户的维度值,确定所述用户在每个权限组中的权限集,其中,对所述用户在非互斥权限组中的所有权限集进行取并集,获得所述用户在非互斥权限组中的权限集,或者,获得所述用户在互斥权限组中的唯一权限集。
结合第一方面或第一方面的第一种可能的实施方式,在第四种可能的实施方式中,所述将所述用户在所述每个权限组中的权限集进行合并,包括:
根据预置的第一合并策略或者第二合并策略,将所述用户在所述每个权限组中的权限集进行合并,其中,所述第一合并策略为根据用户的业务逻辑配置的权限组之间的合并策略,所述第二合并策略为每个用户配置的合并策略。
结合第一方面的第四种可能的实施方式,在第五种可能的实施方式中,所述合并包括求并集或求交集。
本发明第二方面还提供一种数据访问权限控制装置,其中,可包括:
接收模块,用于接收用户的访问请求;
第一确定模块,用于根据所述用户的维度信息,确定所述用户对应的权限组;
第二确定模块,用于根据所述用户的维度值,确定所述用户在每个权限组中的权限集;
合并模块,用于将所述用户在所述每个权限组中的权限集进行合并,获得所述用户的权限。
结合第二方面,在第一种可能的实施方式中,所述装置还包括:
配置模块,用于为每个维度配置一个对应的权限组,所述权限组包含不同的维度值对应的不同的权限集。
结合第二方面或第二方面的第一种可能的实施方式,在第二种可能的实施方式中,所述配置模块,还用于:为每个用户类别配置一个对应的权限域,所述权限域包含所述每个维度对应的每个权限组;
则,所述第一确定模块用于:根据所述用户的类别,确定所述用户对应的权限域;根据所述用户的维度信息,从所述用户对应的权限域中确定所述用户对应的权限组。
结合第二方面的第二种可能的实施方式,在第三种可能的实施方式中,所述第二确定模块用于:
确定所述用户对应的权限组的类别,所述权限组的类别包括互斥权限组或非互斥权限组,其中,所述互斥权限组中一个用户配置一种权限集,所述非互斥权限组中一个用户配置多种权限集;
根据所述用户的维度值,确定所述用户在每个权限组中的权限集,其中,对所述用户在非互斥权限组中的所有权限集进行取并集,获得所述用户在非互斥权限组中的权限集,或者,获得所述用户在互斥权限组中的唯一权限集。
结合第二方面或第二方面的第一种可能的实施方式,在第四种可能的实施方式中,所述合并模块,具体用于:
根据预置的第一合并策略或者第二合并策略,将所述用户在所述每个权限组中的权限集进行求并集或求交集,获得所述用户的权限,其中,所述第一合并策略为根据用户的业务逻辑配置的权限组之间的合并策略,所述第二合并策略为每个用户配置的合并策略。
从以上技术方案可以看出,本发明实施例提供的一种数据访问权限控制方法及装置,具有以下优点:通过用户的维度信息和维度值,确定出用户对应的权限组和在权限组中的权限集,并且对权限集进行合并,从而实现权限的归类;进一步地,根据维度值定义权限组的类别,并根据合并策略对权限集进行合并,以使得权限分类更有针对性,更好地解决多维度的用户的权限控制问题。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的数据访问权限控制方法的流程示意图;
图2a为本发明实施例二提供的数据访问权限控制方法的流程示意图;
图2b为本发明实施例二提供的一种用户权限分析示意图;
图2c为本发明实施例二提供的另一种用户权限分析示意图;
图3为本发明实施例提供的一种数据访问权限控制装置的结构示意图;
图4为本发明实施例提供的数据访问权限控制装置的另一结构示意图。
具体实施方式
本发明实施例提供了一种数据访问权限控制方法及装置,用于解决多维度的用户的权限控制问题。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了更加了解本发明技术方案,以下简单介绍一下与用户权限控制相关的概念,首先用户就是一个可以独立访问计算机系统中的数据或者用数据表示的其它资源的主体;权限是对计算机系统中的数据或者用数据表示的其它资源进行访问的许可。可分为对象访问控制和数据访问控制两种;其中,对象访问控制用二元组(控制对象,访问类型)来表示,控制对象表示系统中一切需要进行访问控制的资源,访问类型是指对于相应的控制对象的访问控制,如:读取、修改、删除等等;数据访问控制用于保障系统的安全性,如果不对数据访问加以控制,则系统的安全性得不到保证,容易发生数据泄密事件,因此在权限中必须对对象可访问的数据给予保护。
下面通过具体实施例,分别进行详细说明。
实施例一
请参考图1,图1为本发明实施例提供的一种数据访问权限控制方法的流程示意图,其中,所述权限控制方法包括:
步骤101、接收用户的访问请求;
即接收用户对数据访问的请求,检测所述用户的权限,不同类型的用户可访问的数据权限不一样。例如:一个用户登录系统之后,需要判断该用户身份(或称用户类别)是内部用户还是外部用户,内部用户与外部用户采用两套完全不同的权限定义信息;以银行业务为例,内部用户就是指银行内部人员,外部用户则是指银行外部的人员。
步骤102、根据所述用户的维度信息,确定所述用户对应的权限组;
可以理解的是,不同的维度的信息可以认为是不同的用户属性,例如可以包括用户的部门信息、级别信息、学历信息等等;所述维度与所述权限组相互对应。
步骤103、根据所述用户的维度值,确定所述用户在每个权限组中的权限集;
可以理解的是,不同的维度可以包含不同的维度值,例如,部门信息可以包括硬件部门、软件部门、行政部门等,所述硬件部门、软件部门、行政部门为该维度的维度值;所述维度值与每个权限组中的权限集对应。
步骤104、将所述用户在所述每个权限组中的权限集进行合并,获得所述用户的权限。
由上述可知,本发明实施例提供的一种数据访问权限控制方法,通过用户的维度信息和维度值,确定出用户对应的权限组和在权限组中的权限集,并且对权限集进行合并,从而实现权限的归类,解决多维度的用户的权限控制问题,提高用户体验。
实施例二
请参考图2a,图2a为本发明实施例二提供的数据访问权限控制方法的流程示意图,其中,所述权限控制方法可以包括:
步骤201、为每个用户类别配置一个对应的权限域,所述权限域包含所述每个维度对应的每个权限组;
即所述用户类别与所述权限域一一对应;本发明实施例中用户类别可以包括内部用户和外部用户,且一个用户只能从属于一个权限域Domain;
可一并参考图2b,图2b为本发明实施例二提供的一种用户权限分析示意图,例如,外部用户对应权限域Domain1,内部用户对应权限域Domain2。
步骤202、为每个维度配置一个对应的权限组,所述权限组包含不同的维度值对应的不同的权限集;
其中,所述权限域中包含若干权限组PermGroup,每个维度对应一个权限组;每个所述权限组中包含若干权限集PermSet,每个维度值对应一个权限集,例如,在权限域Domain1内,PermGroup1是一个权限组,PermSet111为PermGroup1中的一个权限集。
步骤203、接收用户的访问请求;
步骤204、根据所述用户的类别,确定所述用户对应的权限域;
即在配置好所述用户对应的权限域、权限组和权限集后,当接收到用户对数据访问的请求时,检测所述用户的类别,从而确定所述用户可访问的权限域;
步骤205、根据所述用户的维度信息,从所述用户对应的权限域中确定所述用户对应的权限组;
优选地,可以根据所述用户的维度信息,先确定所述用户对应的权限组的类别,本实施例中,所述权限组的类别可以包括互斥权限组或非互斥权限组;其中,所述互斥权限组中一个用户配置一种权限集,例如,每个用户只能属于一个部门,则部门信息对应的权限组为互斥权限组,所述非互斥权限组中一个用户配置多种权限集,例如,一个用户可以存在两种以上角色,因此用户角色对应的权限组为非互斥权限组。
步骤206、根据所述用户的维度值,确定所述用户在每个权限组中的权限集;
其中,对所述用户在非互斥权限组中的所有权限集进行取并集,获得所述用户在非互斥权限组中的权限集,或者,获得所述用户在互斥权限组中的唯一权限集。
步骤207、将所述用户在所述每个权限组中的权限集进行合并,获得所述用户的权限。
优选地,可以根据预置的第一合并策略或者第二合并策略,将所述用户在所述每个权限组中的权限集进行合并,获得所述用户的权限;其中,所述第一合并策略为根据用户的业务逻辑配置的权限组之间的合并策略,所述第二合并策略为每个用户配置的合并策略。
可以理解的是,所述合并包括但不限于求并集或求交集。在同一个权限域范围内,可支持配置多种第一合并策略,所述第一合并策略为一种跨组的合并策略;例如,若权限组PermGroup1与权限组PermGroup2为非互斥权限组,权限组PermGroup3为互斥权限组,则所述第一合并策略可以是:权限组PermGroup1与权限组PermGroup2做并集,再与权限组PermGroup3做交集,可简单标记为PermGroup1并PermGroup2交PermGroup3。
由上述可知,本发明实施例提供的一种数据访问权限控制方法,通过用户的维度信息和维度值,确定出用户对应的权限组和在权限组中的权限集,并且对权限集进行合并,从而实现权限的归类;进一步地,根据维度值定义权限组的类别,并根据合并策略对权限集进行合并,以使得权限分类更有针对性,更好地解决多维度的用户的权限控制问题。
以下结合实际应用场景,对该实施二提供的所述数据访问权限控制方法进行分析说明:
首先,在该实际应用场景中,若登陆用户为外部用户,则根据该外部用户的一些用户基础信息来判断该用户拥有哪些权限,可参考图2c,图2c为本发明实施例二提供的另一种用户权限分析示意图;
在该实施例中,假设针对属性1,可以获知该用户拥有权限集1(即属性1对应权限集1);针对属性2,可以获知该用户拥有权限集2;针对属性3,可以获知该用户拥有权限集3;针对属性4,可以获知该用户拥有权限集4;针对属性5,可以获知该用户拥有权限集5。即根据所述用户的属性,可以确定所述用户对应的权限集,其中,各属性代表各维度的信息,如属性1、属性2和属性3可以代表不同的用户角色,同一个用户有可能拥有一个或多个属性;
属性4与属性5各拥有多个不同的属性值,不同的属性值可能对应不同的权限集,但是每一个用户只能拥有某一种属性值。例如:属性4用来表示用户级别,一个用户只能拥有一种级别信息,属性5用来表示用户部门,一个用户只能拥有一种部门信息。不同的属性所对应的权限集之间,通过合并可以获取到最终的权限集合:
{{权限集1}并{权限集2}并{权限集3}}交{权限集4}交{权限集5}。
接着,可结合参考图2a和图2b,针对该实际应用,采用本发明提供的数据访问权限控制方法进行权限控制分析:
首先,按照前述步骤201的描述内容,分别为内部用户和外部用户分别创建一个权限域,如外部用户对应权限域Domain1,内部用户对应权限域Domain2;以外部用户为例,根据前述的各个维度的信息,为每个维度配置一个对应的权限组,所述权限组包含不同的维度值对应的不同的权限集,在权限域Domain1中,创建3个权限组,分别为PermGroup1,PermGroup2和PermGroup3。然后,为各权限组定义其包含的权限集信息,其中PermGroup1为非互斥权限组,配置权限组PermGroup1中包含各不同用户角色对应的不同权限集,即根据属性1、属性2和属性3配置3个权限集;PermGroup2和PermGroup3为互斥权限组,配置权限组PermGroup2包含各不同的级别对应的权限集,配置权限组PermGroup3包含各不同的部门对应的权限集;
其中,对用户在非互斥权限组PermGroup1中的所有权限集进行取并集,获得所述用户在非互斥权限组中的权限集;对于互斥权限组,用户可获得其在互斥权限组中的唯一权限集。最后,根据预置的第一合并策略或者第二合并策略,将所述用户在所述每个权限组中的权限集进行合并,其中,所述第一合并策略为根据用户的业务逻辑配置的权限组之间的合并策略,所述第二合并策略为每个用户配置的合并策略,所述合并包括求并集或求交集。本发明该实施例中,结合实际应用场景,若根据预置的第一合并策略对所述用户在所述每个权限组中的权限集进行合并,则第一合并策略可以为:PermGroup1交PermGroup2交PermGroup3,该实施例中对所述第二合并策略不作具体限定。
可以理解的是,本发明实施例中,进行合并操作包括但不限于将用户在所述每个权限组中的权限集进行取并集或者取交集;另容易想到的是,登陆用户为内部用户时的权限控制操作可参考上述操作过程进行实现,该实施例二中仅以登陆用户是外部用户为例子对权限合并方法进行说明,并不构成对本发明的限定。
由上述可知,本发明实施例提供的一种数据访问权限控制方法,通过用户的维度信息和维度值,确定出用户对应的权限组和在权限组中的权限集,并且对权限集进行合并,从而实现权限的归类;进一步地,根据维度值定义权限组的类别,并根据合并策略对权限集进行合并,以使得权限分类更有针对性,更好地解决多维度的用户的权限控制问题。
实施例三
为了更好地理解本发明技术方案,下面以某银行的某业务数据的权限访问需求为实际应用需求,且以登陆用户为内部用户作为例子,对所述数据访问权限控制方法进行分析说明:
首先,在该实施例中,假设该业务数据表包含c1,c2,c3,c4,……,c100共100个字段,所述字段表示用户请求访问的数据信息;用户可访问的列集由一个或多个字段组成。
在银行业务系统中,定义了用户的不同的角色,如下:
Role1:可访问的列集为{c1,c2,c3}
Role2:可访问的列集为{c3,c4,c5,c6}
Role3:可访问的列集为{c7,c8,c9,c10}
……
每一个用户属于某一个部门,每一个部门可访问的列集定义如下:
Dept1:可访问的列集为{c1,c2,c3,c4}
Dept2:可访问的列集为{c3,c4,c5,c6,c7,c8}
……
每一个用户属于某一种用户级别,每一种用户级别可访问的列集定义如下:
Level1:可访问的列集为{c1,c2,c3,c4,c5,c6}
Level2:可访问的列集为{c1,c2,c3,c4,c5,c6,c7,c8}
……
那么,如果一个拥有角色Role1,Role2,属于部门Dept1且用户级别为Level2的用户而言,它能访问的列集为:
({c1,c2,c3}并{c3,c4,c5,c6})交{c1,c2,c3,c4}交{c1,c2,c3,c4,c5,c6,c7,c8};
接下来,针对该实际应用(银行的某业务数据的权限访问),采用本发明提供的数据访问权限控制方法进行权限控制分析:
首先,按照前述步骤201的描述内容,为内部用户配置一个权限域InternalDomain;
其次,根据前述的各个维度的信息和前述步骤202的描述内容,在该权限域InternalDomain中,为每个维度配置一个对应的权限组,所述权限组包含不同的维度值对应的不同的权限集;由此,为系统用户角色配置一个对应的权限组,名称为SysRoleGroup,该权限组SysRoleGroup为非互斥权限组,其中,该权限组中配置如下权限集:
Role1:{c1,c2,c3}
Role2:{c3,c4,c5,c6}
Role3:{c7,c8,c9,c10}
……
为部门信息配置一个对应的权限组DeptGroup,该权限组为互斥权限组,其中,该权限组中配置如下权限集:
Dept1:{c1,c2,c3,c4}
Dept2:{c3,c4,c5,c6,c7,c8}
……
为用户级别信息配置一个对应的权限组UserLevelGroup,该权限组为互斥权限组,该权限组中配置如下权限集:
Level1:{c1,c2,c3,c4,c5,c6}
Level2:{c1,c2,c3,c4,c5,c6,c7,c8}
……
结合上述权限访问控制需求(拥有角色Role1,Role2,属于部门Dept1且用户级别为Level2的用户能访问的列集),根据用户的访问请求,在配置好的权限组和权限集中,根据所述用户的维度信息,从所述用户对应的权限域中确定所述用户对应的权限组;根据所述用户的维度值,确定所述用户在每个权限组中的权限集,最后,根据预置的第一合并策略或者第二合并策略,将所述用户在所述每个权限组中的权限集进行合并,获得所述用户的权限,其中,所述第一合并策略为根据用户的业务逻辑配置的权限组之间的合并策略,所述第二合并策略为每个用户配置的合并策略,所述合并包括求并集或求交集。本发明该实施例中,结合实际应用场景,若根据预置的第一合并策略对所述用户在所述每个权限组中的权限集进行合并,则第一合并策略可以为:SysRoleGroup交DeptGroup交UserLevelGroup,该实施例中对所述第二合并策略不作具体限定。
可以理解的是,本发明实施例中,进行合并操作包括但不限于将用户在所述每个权限组中的权限集进行取并集或者取交集;另容易想到的是,登陆用户为内部用户时的权限控制操作可参考上述操作过程进行实现,该实施例三中仅以登陆用户是银行内部用户为例子对权限合并方法进行说明,并不构成对本发明的限定。
由上述可知,本发明实施例提供的一种数据访问权限控制方法,通过用户的维度信息和维度值,确定出用户对应的权限组和在权限组中的权限集,并且对权限集进行合并,从而实现权限的归类;进一步地,根据维度值定义权限组的类别,并根据合并策略对权限集进行合并,以使得权限分类更有针对性,更好地解决多维度的用户的权限控制问题。
为便于更好的实施本发明实施例提供的数据访问权限控制方法,本发明实施例还提供一种基于上述数据访问权限控制方法的装置。其中名词的含义与上述方法中相同,具体实现细节可以参考方法实施例中的说明。
请参考图3,图3为本发明实施例提供的一种数据访问权限控制装置300的结构示意图,其中,所述权限控制装置300可以包括:
接收模块301,用于接收用户的访问请求;
即所述接收模块301接收用户对数据访问的请求,检测所述用户的权限,不同类型的用户可访问的数据权限不一样。例如:一个用户登录系统之后,需要判断该用户身份(或称用户类别)是内部用户还是外部用户,内部用户与外部用户采用两套完全不同的权限定义信息;以银行业务为例,内部用户就是指银行内部人员,外部用户则是指银行外部的人员。
第一确定模块302,用于根据所述用户的维度信息,确定所述用户对应的权限组;
可以理解的是,不同的维度的信息可以认为是不同的用户属性,例如可以包括用户的部门信息、级别信息、学历信息等等;所述维度与所述权限组相互对应。
第二确定模块303,用于根据所述用户的维度值,确定所述用户在每个权限组中的权限集;
可以理解的是,不同的维度可以包含不同的维度值,例如,部门信息可以包括硬件部门、软件部门、行政部门等,所述硬件部门、软件部门、行政部门为该维度的维度值;所述维度值与每个权限组中的权限集对应。
合并模块304,用于将所述用户在所述每个权限组中的权限集进行合并,获得所述用户的权限。
由上述可知,本发明实施例提供的一种数据访问权限控制方法,通过用户的维度信息和维度值,确定出用户对应的权限组和在权限组中的权限集,并且对权限集进行合并,从而实现权限的归类,解决多维度的用户的权限控制问题,提高用户体验。
进一步地,所述数据访问权限控制装置300还可以包括配置模块,用于为每个维度配置一个对应的权限组,所述权限组包含不同的维度值对应的不同的权限集。并且,所述配置模块还可以用于:为每个用户类别配置一个对应的权限域,所述权限域包含所述每个维度对应的每个权限组;
则,所述第一确定模块302用于:根据所述用户的类别,确定所述用户对应的权限域;根据所述用户的维度信息,从所述用户对应的权限域中确定所述用户对应的权限组。
也就是说,所述用户类别与所述权限域一一对应,本发明实施例中用户类别可以包括内部用户和外部用户,且一个用户只能从属于一个权限域;其中,所述权限域中包含若干权限组,每个维度对应一个权限组;每个所述权限组中包含若干权限集,每个维度值对应一个权限集,例如,如图2b所示,在权限域Domain1内,PermGroup1是一个权限组,PermSet111为PermGroup1中的一个权限集。
更进一步地,所述第二确定模块303可以用于:
确定所述用户对应的权限组的类别,所述权限组的类别包括互斥权限组或非互斥权限组,其中,所述互斥权限组中一个用户配置一种权限集,所述非互斥权限组中一个用户配置多种权限集;
即可以根据所述用户的维度信息,先确定所述用户对应的权限组的类别,本实施例中,所述权限组的类别可以包括互斥权限组或非互斥权限组;其中,所述互斥权限组中一个用户配置一种权限集,例如,每个用户只能属于一个部门,则部门信息对应的权限组为互斥权限组,所述非互斥权限组中一个用户配置多种权限集,例如,一个用户可以存在两种以上角色,因此用户角色对应的权限组为非互斥权限组。
在该实施方式下,根据所述用户的维度值,确定所述用户在每个权限组中的权限集,其中,对所述用户在非互斥权限组中的所有权限集进行取并集,获得所述用户在非互斥权限组中的权限集,或者,获得所述用户在互斥权限组中的唯一权限集。
优选地,所述合并模块303,可以具体用于:
根据预置的第一合并策略或者第二合并策略,将所述用户在所述每个权限组中的权限集进行求并集或求交集,获得所述用户的权限,其中,所述第一合并策略为根据用户的业务逻辑配置的权限组之间的合并策略,所述第二合并策略为每个用户配置的合并策略。
可以理解的是,本发明实施例中,所述合并包括但不限于求并集或求交集。在同一个权限域范围内,可支持配置多种第一合并策略,所述第一合并策略为一种跨组的合并策略;例如,如图2b,若权限组PermGroup1与权限组PermGroup2为非互斥权限组,权限组PermGroup3为互斥权限组,则所述第一合并策略可以是:权限组PermGroup1与权限组PermGroup2做并集,再与权限组PermGroup3做交集。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的数据访问权限控制装置300和其单元模块的具体工作过程,以及结合实际应用需求,采用本发明方案对数据访问进行权限控制的过程,可以参考前述方法实施例中的对应过程进行具体实现,在此不再赘述。
由上述可知,本发明实施例提供的一种数据访问权限控制装置300,通过用户的维度信息和维度值,确定出用户对应的权限组和在权限组中的权限集,并且对权限集进行合并,从而实现权限的归类;进一步地,根据维度值定义权限组的类别,并根据合并策略对权限集进行合并,以使得权限分类更有针对性,更好地解决多维度的用户的权限控制问题。
请参考图4,图4为本发明实施例提供的数据访问权限控制装置另一结构示意图,其中,可包括至少一个处理器401(例如CPU,Central Processing Unit),至少一个网络接口或者其它通信接口,存储器402,和至少一个通信总线,用于实现这些装置之间的连接通信。所述处理器401用于执行存储器中存储的可执行模块,例如计算机程序。所述存储器402可能包含高速随机存取存储器,也可能还包括非不稳定的存储器,例如至少一个磁盘存储器。通过至少一个网络接口(可以是有线或者无线)实现该系统网关与至少一个其它网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
如图4所示,在一些实施方式中,所述存储器402中存储了程序指令,程序指令可以被处理器401执行,所述处理器401具体执行以下步骤:
接收用户的访问请求;根据所述用户的维度信息,确定所述用户对应的权限组;根据所述用户的维度值,确定所述用户在每个权限组中的权限集;将所述用户在所述每个权限组中的权限集进行合并,获得所述用户的权限。
优选地,所述处理器401还执行如下步骤:为每个维度配置一个对应的权限组,所述权限组包含不同的维度值对应的不同的权限集;为每个用户类别配置一个对应的权限域,所述权限域包含所述每个维度对应的每个权限组;根据所述用户的类别,确定所述用户对应的权限域;根据所述用户的维度信息,从所述用户对应的权限域中确定所述用户对应的权限组。
所述处理器401用于根据所述用户的维度值,确定所述用户在每个权限组中的权限集,包括:确定所述用户对应的权限组的类别,所述权限组的类别包括互斥权限组或非互斥权限组,其中,所述互斥权限组中一个用户配置一种权限集,所述非互斥权限组中一个用户配置多种权限集;根据所述用户的维度值,确定所述用户在每个权限组中的权限集,其中,对所述用户在非互斥权限组中的所有权限集进行取并集,获得所述用户在非互斥权限组中的权限集,或者,获得所述用户在互斥权限组中的唯一权限集。
所述处理器401用于将所述用户在所述每个权限组中的权限集进行合并,包括:根据预置的第一合并策略或者第二合并策略,将所述用户在所述每个权限组中的权限集进行求并集或求交集,其中,所述第一合并策略为根据用户的业务逻辑配置的权限组之间的合并策略,所述第二合并策略为每个用户配置的合并策略。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
由上述可知,本发明实施例提供的一种数据访问权限控制装置400,通过用户的维度信息和维度值,确定出用户对应的权限组和在权限组中的权限集,并且对权限集进行合并,从而实现权限的归类;进一步地,根据维度值定义权限组的类别,并根据合并策略对权限集进行合并,以使得权限分类更有针对性,更好地解决多维度的用户的权限控制问题。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上对本发明所提供的一种数据访问权限控制方法及装置进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (9)
1.一种数据访问权限控制方法,其特征在于,包括:
接收用户的访问请求;
根据所述用户的类别,确定所述用户对应的权限域;所述权限域与用户的类别一一对应;所述权限域包含每个维度对应的权限组;每个权限组中包含若干权限集,每个维度值对应一个权限集;
根据所述用户的维度信息,从所述用户对应的权限域中确定所述用户对应的权限组;
根据所述用户的维度值,确定所述用户在每个权限组中的权限集;
将所述用户在所述每个权限组中的权限集进行合并,获得所述用户的权限;
所述将所述用户在所述每个权限组中的权限集进行合并,包括:
根据预置的第一合并策略或者第二合并策略,将所述用户在所述每个权限组中的权限集进行合并,其中,所述第一合并策略为根据用户的业务逻辑配置的权限组之间的合并策略,所述第二合并策略为每个用户配置的合并策略。
2.根据权利要求1所述的方法,其特征在于,还包括:
为每个维度配置一个对应的权限组,所述权限组包含不同的维度值对应的不同的权限集。
3.根据权利要求1或2所述的方法,其特征在于,还包括:
为每个用户类别配置一个对应的权限域,所述权限域包含所述每个维度对应的每个权限组。
4.根据权利要求3所述的方法,其特征在于,所述根据所述用户的维度值,确定所述用户在每个权限组中的权限集,包括:
确定所述用户对应的权限组的类别,所述权限组的类别包括互斥权限组或非互斥权限组,其中,所述互斥权限组中一个用户配置一种权限集,所述非互斥权限组中一个用户配置多种权限集;
根据所述用户的维度值,确定所述用户在每个权限组中的权限集,其中,对所述用户在非互斥权限组中的所有权限集进行取并集,获得所述用户在非互斥权限组中的权限集,或者,获得所述用户在互斥权限组中的唯一权限集。
5.根据权利要求1所述的方法,其特征在于,所述合并包括求并集或求交集。
6.一种数据访问权限控制装置,其特征在于,包括:
接收模块,用于接收用户的访问请求;
第一确定模块,用于:
根据所述用户的类别,确定所述用户对应的权限域;所述权限域与用户的类别一一对应;所述权限域包含每个维度对应的权限组;每个权限组中包含若干权限集,每个维度值对应一个权限集;
根据所述用户的维度信息,从所述用户对应的权限域中确定所述用户对应的权限组;
第二确定模块,用于根据所述用户的维度值,确定所述用户在每个权限组中的权限集;
合并模块,用于将所述用户在所述每个权限组中的权限集进行合并,获得所述用户的权限;
所述合并模块,具体用于:
根据预置的第一合并策略或者第二合并策略,将所述用户在所述每个权限组中的权限集进行求并集或求交集,获得所述用户的权限,其中,所述第一合并策略为根据用户的业务逻辑配置的权限组之间的合并策略,所述第二合并策略为每个用户配置的合并策略。
7.根据权利要求6所述的装置,其特征在于,还包括:
配置模块,用于为每个维度配置一个对应的权限组,所述权限组包含不同的维度值对应的不同的权限集。
8.根据权利要求7所述的装置,其特征在于,所述配置模块,还用于:为每个用户类别配置一个对应的权限域,所述权限域包含所述每个维度对应的每个权限组。
9.根据权利要求8所述的装置,其特征在于,所述第二确定模块用于:
确定所述用户对应的权限组的类别,所述权限组的类别包括互斥权限组或非互斥权限组,其中,所述互斥权限组中一个用户配置一种权限集,所述非互斥权限组中一个用户配置多种权限集;
根据所述用户的维度值,确定所述用户在每个权限组中的权限集,其中,对所述用户在非互斥权限组中的所有权限集进行取并集,获得所述用户在非互斥权限组中的权限集,或者,获得所述用户在互斥权限组中的唯一权限集。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310496792.1A CN104573430B (zh) | 2013-10-21 | 2013-10-21 | 一种数据访问权限控制方法及装置 |
| PCT/CN2014/084493 WO2015058579A1 (zh) | 2013-10-21 | 2014-08-15 | 一种数据访问权限控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310496792.1A CN104573430B (zh) | 2013-10-21 | 2013-10-21 | 一种数据访问权限控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104573430A CN104573430A (zh) | 2015-04-29 |
| CN104573430B true CN104573430B (zh) | 2018-05-18 |
Family
ID=52992220
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310496792.1A Active CN104573430B (zh) | 2013-10-21 | 2013-10-21 | 一种数据访问权限控制方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104573430B (zh) |
| WO (1) | WO2015058579A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106407832B (zh) * | 2015-08-03 | 2021-03-09 | 阿里巴巴集团控股有限公司 | 一种用于数据访问控制的方法及设备 |
| CN106487770B (zh) * | 2015-09-01 | 2019-07-30 | 阿里巴巴集团控股有限公司 | 鉴权方法及鉴权装置 |
| CN105550340A (zh) * | 2015-12-23 | 2016-05-04 | 北京奇虎科技有限公司 | 控制论坛用户权限的方法和装置 |
| CN106301940A (zh) * | 2016-08-25 | 2017-01-04 | 厦门易灵网络科技有限公司 | 一种权限配置方法 |
| CN107545047B (zh) | 2017-08-17 | 2019-07-19 | 平安科技(深圳)有限公司 | 用户权限数据的查询方法及终端设备 |
| CN110955882B (zh) * | 2018-09-26 | 2022-03-18 | 北京国双科技有限公司 | 用户权限的设置方法及装置 |
| CN109522751B (zh) * | 2018-12-17 | 2021-08-03 | 泰康保险集团股份有限公司 | 访问权限控制方法、装置、电子设备及计算机可读介质 |
| CN111861203A (zh) * | 2020-07-20 | 2020-10-30 | 苏州易卖东西信息技术有限公司 | 一种基于电商新零售业务设计的细粒度权限控制管理方法 |
| CN112632492B (zh) * | 2020-12-18 | 2021-08-13 | 杭州新中大科技股份有限公司 | 一种用于矩阵化管理的多维权限模型设计方法 |
| CN112699407A (zh) * | 2020-12-31 | 2021-04-23 | 北京字跳网络技术有限公司 | 业务数据的访问方法、装置、设备和存储介质 |
| CN114595484B (zh) * | 2022-05-10 | 2022-08-16 | 上海柯林布瑞信息技术有限公司 | 页面权限控制方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102236876A (zh) * | 2010-04-27 | 2011-11-09 | 兰州交通大学 | 一种机场货运站仓储监控管理方法 |
| EP2405607A1 (en) * | 2009-05-22 | 2012-01-11 | ZTE Corporation | Privilege management system and method based on object |
| CN102354356A (zh) * | 2011-09-29 | 2012-02-15 | 用友软件股份有限公司 | 数据权限管理装置和方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101299216B (zh) * | 2008-05-28 | 2010-10-06 | 华为技术有限公司 | 权限管理方法、装置及系统 |
-
2013
- 2013-10-21 CN CN201310496792.1A patent/CN104573430B/zh active Active
-
2014
- 2014-08-15 WO PCT/CN2014/084493 patent/WO2015058579A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2405607A1 (en) * | 2009-05-22 | 2012-01-11 | ZTE Corporation | Privilege management system and method based on object |
| CN102236876A (zh) * | 2010-04-27 | 2011-11-09 | 兰州交通大学 | 一种机场货运站仓储监控管理方法 |
| CN102354356A (zh) * | 2011-09-29 | 2012-02-15 | 用友软件股份有限公司 | 数据权限管理装置和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015058579A1 (zh) | 2015-04-30 |
| CN104573430A (zh) | 2015-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104573430B (zh) | 一种数据访问权限控制方法及装置 | |
| Zhou et al. | Hierarchical federated learning with social context clustering-based participant selection for internet of medical things applications | |
| CN102231693A (zh) | 访问权限的管理方法及装置 | |
| CN104750826B (zh) | 一种结构化数据资源元数据自动甄别与动态注册方法 | |
| CN103077070B (zh) | 云计算管理系统以及云计算系统的管理方法 | |
| CN109063138A (zh) | 用于在区块链即服务平台搜索数据的方法、设备及存储介质 | |
| CN107908432A (zh) | 应用程序的配置方法及装置、终端设备及可读存储介质 | |
| González García et al. | A review about smart objects, sensors, and actuators | |
| CN105550175A (zh) | 恶意账户识别方法及装置 | |
| CN109274639A (zh) | 开放平台异常数据访问的识别方法和装置 | |
| CN107241416A (zh) | 共享舱的管理方法及终端设备 | |
| CN109241062A (zh) | 一种政务数据目录的生成方法及装置 | |
| CN106354366A (zh) | 桌面图标排列处理方法及装置 | |
| CN107609797A (zh) | 电力作业稽查方法及终端设备 | |
| CN107070932B (zh) | 社会网络动态发布中防止标签邻居攻击的匿名方法 | |
| CN107896210A (zh) | 安全防护方法、装置、服务器及存储介质 | |
| JP5937038B2 (ja) | トポロジー図の作成方法及び作成プログラム | |
| CN202486780U (zh) | 基于云计算的信息检索系统 | |
| CN105122750A (zh) | 管理对网络的访问 | |
| CN108009422A (zh) | 一种基于多层级用户分组管理的多域划分方法及系统 | |
| CN107766519A (zh) | 一种可视化配置数据结构的方法 | |
| CN107295518A (zh) | 一种无线连接方法及系统、终端设备 | |
| CN108809680A (zh) | 一种设备管理的方法及设备 | |
| CN104573439A (zh) | 基于产品配置的权限分配方法和系统 | |
| CN106961373A (zh) | 移动终端照片分享方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220215 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Patentee after: Huawei Cloud Computing Technology Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |