CN105187365B - 基于角色和数据项的访问控制方法及装置 - Google Patents
基于角色和数据项的访问控制方法及装置 Download PDFInfo
- Publication number
- CN105187365B CN105187365B CN201510303058.8A CN201510303058A CN105187365B CN 105187365 B CN105187365 B CN 105187365B CN 201510303058 A CN201510303058 A CN 201510303058A CN 105187365 B CN105187365 B CN 105187365B
- Authority
- CN
- China
- Prior art keywords
- data item
- role
- permission
- access request
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于角色和数据项的访问控制方法及装置,其中该方法包括:接收用户基于角色权限发送的访问请求,其中,基于角色权限发送的访问请求中包括用户的角色标识信息;根据基于角色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求,其中,基于数据项的访问请求中包括角色标识信息和数据项信息;根据基于数据项的访问请求获得对应的数据项,并返回数据项。该方法实现了对业务逻辑层面和功能性的访问控制,有效的避免用户隐私信息的泄露,同时增强访问策略的灵活性,降低业务系统的管理复杂性。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种基于角色和数据项的访问控制方法及装置。
背景技术
当今社会,网络技术的日益成熟和通信技术的飞速发展,越来越多的信息被数字化并在网络间进行广泛传播,随着信息数据量的不断增加,基于大数据的分析利用和数据挖掘技术也正在进行越来越广泛的研究和发展,并已经取得了大量的阶段性研究成果,也正是由于这些基于海量数据的分析整合利用,人们对于数据传播和挖掘过程中的数据隐私问题引起了广泛的重视,也日益成为大数据治理中的重点问题,人们对于如何保证数据利用的数据隐私安全和安全访问控制问题提出了新的要求,传统的数据访问控制方式也面临着新的问题。
目前传统的访问控制方式主要有三种:自主访问控制(Discretionary AccessControl,DAC)、强制访问控制(Mandatory Access Control,MAC)以及基于角色的访问控制(Role-Based Access Control,RBAC)。自主访问控制的基本思想是资源的所有者(或者创建者)可以任意规定哪些用户享有对资源的访问权限。强制访问控制是通过对系统主体和客体设置不同的安全级别,通过比较主体和客体的安全级别来决定主体对客体操作的可行性。基于角色的访问控制方式是目前信息系统主流的访问控制方式,RBAC可以实现权限的灵活管理,增强了系统的扩展性和适用性。
然而,传统的访问控制方式存在如下问题:(1)自主访问控制方式可以对用户提供灵活易行的数据访问方式,但同时也带来了信息容易扩散,不易管理的问题;(2)强制访问控制方式提供了一个不可被绕过的安全保护层,有效地防止了用户滥用访问权限,强制访问控制的应用范围有限,一般只适用于等级观念比较明显的行业或领域;(3)基于角色访问控制方式的策略缺乏一定的灵活性可能会导致由于数据的过度保护,使得数据并不能得到充分的利用,从而失去其本身的价值,或者会导致用户隐私数据的泄漏,对个人乃至国家安全产生威胁。
发明内容
本发明的目的旨在至少在一定程度上解决上述的技术问题之一。
为此,本发明的第一个目的在于提出一种基于角色和数据项的访问控制方法。该方法实现了对业务逻辑层面和功能性的访问控制,有效的避免用户隐私信息的泄露,同时增强访问策略的灵活性,降低业务系统的管理复杂性。
本发明的第二个目的在于提出一种基于角色和数据项的访问控制装置。
为了实现上述目的,本发明第一方面实施例的基于角色和数据项的访问控制方法,包括:接收用户基于角色权限发送的访问请求,其中,所述基于角色权限发送的访问请求中包括所述用户的角色标识信息;根据所述基于角色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求,其中,所述基于数据项的访问请求中包括角色标识信息和数据项信息;根据所述基于数据项的访问请求获得对应的数据项,并返回所述数据项。
根据本发明实施例的基于角色和数据项的访问控制方法,接收用户基于角色权限发送的访问请求,基于角色权限发送的访问请求中包括用户的角色标识信息;根据基于角色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求,其中,基于数据项的访问请求中包括角色标识信息和数据项信息;根据基于数据项的访问请求获得对应的数据项,并返回数据项,由此,实现了对业务逻辑层面和功能性的访问控制,有效的避免用户隐私信息的泄露,同时增强访问策略的灵活性,降低业务系统的管理复杂性。
根据本发明的一个实施例,所述根据所述基于数据项的访问请求获得对应的数据项,并返回对应的数据项具体包括:根据所述角色标识信息从角色权限表中查找数据项的权限,并根据所获得权限结果对所述数据项进行处理;如果当前角色有权查看所述数据项,则返回所述数据项;
根据本发明的一个实施例,所述控制方法还包括:如果当前角色无权查看所述数据项,则返回访问受限提示。
根据本发明的一个实施例,在所述接收用户基于角色权限发送的访问请求之前,所述控制方法还包括:建立并保存角色权限表,其中,所述角色权限表中包括角色、数据表和操作权限的对应关系。
根据本发明的一个实施例,在所述根据所述角色标识信息从角色权限表中查找数据项的权限之前,所述控制方法还包括:建立并保存所述角色数据项权限表,其中,所述角色数据项权限表包含数据表、数据项、角色和权限的对应关系。
根据本发明的一个实施例,所述控制方法还包括:按照预设属性信息对数据项进行分类,并根据分类结果设置对应数据项的权限,以及在所述角色数据项权限表中保存对应数据项的权限。
其中,在本发明的一个实施例中,所述预设属性信息包括标识属性、准标识属性、敏感信息和非敏感信息。
为了实现上述目的,本发明第二方面实施例的电基于角色和数据项的访问控制装置,包括:接收模块,用于接收用户基于角色权限发送的访问请求,其中,所述基于角色权限发送的访问请求中包括所述用户的角色标识信息;构建模块,用于根据所述基于角色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求,其中,所述基于数据项的访问请求中包括角色标识信息和数据项信息;处理模块,用于根据所述基于数据项的访问请求获得对应的数据项,并返回所述数据项。
根据本发明实施例的基于角色和数据项的访问控制方法,接收用户基于角色权限发送的访问请求,基于角色权限发送的访问请求中包括用户的角色标识信息;根据基于角色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求,其中,基于数据项的访问请求中包括角色标识信息和数据项信息;根据基于数据项的访问请求获得对应的数据项,并返回数据项,由此,实现了对业务逻辑层面和功能性的访问控制,有效的避免用户隐私信息的泄露,同时增强访问策略的灵活性,降低业务系统的管理复杂性。
根据本发明的一个实施例,所述处理模块,具体用于:根据所述角色标识信息从角色权限表中查找数据项的权限,并根据所获得权限结果对所述数据项进行处理;如果当前角色有权查看所述数据项,则返回所述数据项;
根据本发明的一个实施例,所述控制装置还包括:提示模块,用于如果当前角色无权查看所述数据项,则返回访问受限提示。
根据本发明的一个实施例,所述控制装置还包括:第一保存模块,用于在所述接收模块接收用户基于角色权限发送的访问请求之前,建立并保存角色权限表,其中,所述角色权限表中包括角色、数据表和操作权限的对应关系。
根据本发明的一个实施例,所述控制装置还包括:第二保存模块,用于在所述处理模块根据所述角色标识信息从角色权限表中查找数据项的权限之前,建立并保存所述角色数据项权限表,其中,所述角色数据项权限表包含数据表、数据项、角色和权限的对应关系。
根据本发明的一个实施例,所述控制装置还包括:预处理模块,用于按照预设属性信息对数据项进行分类,并根据分类结果设置对应数据项的权限,以及在所述角色数据项权限表中保存对应数据项的权限。
其中,在本发明的一个实施例中,所述预设属性信息包括标识属性、准标识属性、敏感信息和非敏感信息。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中,
图1是根据本发明一个实施例的基于角色和数据项的访问控制方法的流程图。
图2a是根据本发明一个具体实施例的基于角色和数据项的访问控制方法的流程图。
图2b是根据本发明一个实施例的基于角色和数据项的访问控制框架示意图。
图3是根据本发明一个实施例的基于角色和数据项的访问控制装置的结构示意图。
图4是根据本发明另一个实施例的基于角色和数据项的访问控制装置的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参考附图描述本发明实施例的基于角色和数据项的访问控制方法及装置。
图1是根据本发明一个实施例的基于角色和数据项的访问控制方法的流程图。
如图1所示,该基于角色和数据项的访问控制方法可以包括:
S101,接收用户基于角色权限发送的访问请求。
其中,基于角色权限发送的访问请求中包括用户的角色标识信息。
在本发明的一个实施例中,在接收用户基于角色权限发送的访问请求之前,建立并保存角色权限表,其中,角色权限表中包括角色、数据表和操作权限的对应关系。
具体地,根据系统的业务要求设置各种称之为“角色”的实体,同时对这些角色授予相应的访问控制权限,从而将功能权限和用户角色联系到一起,然后在系统中建立并保存角色权限表,以使用户通过该角色权限表可以获得角色对应的权限,角色可以看作用户和权限的承接点,实现用户和权限的映射。其中,系统中保存的用户-角色表的形式如表1所示,角色权限表的形式如表2所示。
表1 用户-角色表
| User_name(用于名) | Role_name(角色名) |
| 用户名1 | 角色名1 |
| 用户名2 | 角色名2 |
| 用户名3 | 角色名3 |
表2 角色-权限表
需要说明的是,该实施例的基于角色和数据项的访问控制方法,充分利用了基于角色的访问控制的优点,借助于“角色”这个实体将用户和相应的访问控制权限结合起来,它的最大的优势就在于简化了各种环境下的授权管理。在DAC和MAC系统中,由于授权管理的对象是用户,一旦用户发生变动都需要很大的工作量进行修改。而在基于角色的访问控制中,将权限赋予角色而不是用户,这样对于用户的权限的授予和更改都可以改成对其角色的更改,角色访问是一种由有效且灵活的访问策略,系统管理模式清晰明确,简化了授权管理的复杂性。
S102,根据基于角色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求。
其中,上述基于数据项的访问请求中可以包括但不限于角色标识信息和数据项信息。例如,基于数据项的访问请求中还可以包括资源和方法等信息。
上述数据项信息是指系统中预先保存的角色数据项权限表和与数据项有关其他信息。
在本发明的一个实施例中,在根据角色标识信息从角色权限表中查找数据项的权限之前,在系统中预先建立并保存角色数据项权限表,其中,角色数据项权限表包含数据表、数据项、角色和权限的对应关系,角色数据项权限表的形式,如表3所示。
表3.角色数据项权限表
需要说明的是,表3仅是角色数据项权限表的一种示例,通过表3可以看出,不同角色对同一个数据项的访问权限是不同的。
例如,当前系统为就业信息服务系统,数据项名为身份证号信息,角色1为劳动者,角色2为用人单位,此时,可在角色数据项权限表设置劳动者的权限为是,用人单位的权限为否,即用户单位不能查看劳动者的身份证号信息,劳动者自己可以查看自己的身份证号信息,实现了对用户隐私信息的保护。
具体地,在建立角色数据项权限表的过程中,可按照预设属性信息对数据项进行分类,并根据分类结果设置对应数据项的权限,以及在角色数据项权限表中保存对应数据项的权限,其中,上述预设属性信息可以包括标识属性、准标识属性、敏感信息和非敏感信息。
其中,标识属性(Identify Attribute,IA)是指唯一能够标识一个个体的属性,如身份证号,各资历证书编号、企业的注册编号等等。
准标识属性(Accurate Identify Attribute,AIA)是指联合起来能够表示一个个体的多个属性,能够在其他外部信息下,可用来识别个体。例如,准标识属性可以是出生日期、性别、出生地、邮政编码等等信息。
敏感属性(Sensitive Attribute,SA)是指描述个体隐私的属性,如工资收入,个人存款账号及密码,私人财务清单、电话费清单、个人债务、购物习惯及偏好等等。
非敏感信息(Not Sensitive Attribute,NSA)是指不在上述三类中的属性。
具体而言,获取待发布的原始数据(其中,原始数据包括用户数据、企业数据、统计数据等等),按照标识属性、准标识属性、敏感信息和非敏感信息对原始数据进行分类,然后按照分类结果设置角色与数据项的权限对应关系,以保证敏感信息不泄露的同时,又能最大程度的提高发布数据的效用。
另外,本发明的实施例中,为了减少保证不会造成数据泄露又能减轻后端服务器的压力,在创建基于数据项的访问请求之前,可根据从预先保存的角色数据项权限表中获取当前角色的数据项权限信息,若根据数据项信息确定当前角色对对应的数据项没有访问权限,则不为该基于角色权限的访问请求创建基于数据项的访问请求,若确定当前角色对对应的数据项有访问权限,则动态生成一个包含角色标识信息、数据项信息以及操作的基于数据项的访问请求。
S103,根据基于数据项的访问请求获得对应的数据项,并返回数据项。
在本发明的一个实施例中,在获得基于数据项的访问请求后,可先根据角色标识信息从角色数据项权限表中查找数据项的权限,然后根据所获得权限结果对数据项进行处理,如果当前角色有权查看数据项,则返回数据项;如果当前角色无权查看数据项,则返回访问受限提示。
具体地,在获得基于数据项的访问请求后,可根据访问请求中的角色标识信息判断当前角色是否能够访问对应的数据项,如果从角色数据项权限表中查到当前角色不能访问对应的数据项,则返回给用户访问受限提示;如果当前角色可以访问对应的数据项,则返回对应的数据项,将对应的结果展示给用户。
根据本发明实施例的基于角色和数据项的访问控制方法,接收用户基于角色权限发送的访问请求,基于角色权限发送的访问请求中包括用户的角色标识信息;根据基于角色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求,其中,基于数据项的访问请求中包括角色标识信息和数据项信息;根据基于数据项的访问请求获得对应的数据项,并返回数据项,由此,实现了对业务逻辑层面和功能性的访问控制,有效的避免用户隐私信息的泄露,同时增强访问策略的灵活性,降低业务系统的管理复杂性。
需要说明的是,业务系统需要预先根据业务系统的业务需求对用户群进行分类,以及按照预设属性信息对数据项的公开程度进行分类。
例如,以基于劳动者全生命周期的就业信息服务系统及应用示范中的劳动者信息为例进行分析。首先,业务系统的管理员根据业务系统实际参与的用户,我们将用户群分为如下五种类型:
角色一:劳动者,指的是具备就业需求的劳动者个人,定位第一方。
角色二:用人单位,指的是具备用人需求的组织和单位,定位为第二方。
角色三:就业服务提供方,指的是通过各种手段促进就业的组织,包括规模化的商业招聘服务机构、小微规模的招聘服务机构、教育部门掌握的信息、商业化培训机构、人才外包服务机构等,定位为第三方。
角色四:就业服务平台,指的是运营就业服务平台,促进就业信息资源的应用,整合运营就业服务产业链的组织,定位为第四方。
角色五:以政府为主导的公共就业服务管理机构,指的是具有就业管理职能的政府部门,包括政府公共就业部门、政府所属的人力资源服务机构,主要为中华人民共和国人力资源和社会保障部及其下属部门,定位为第五方。其次,在劳动者全生命周期的就业信息服务系统及应用示范中,可将劳动者信息按属性分类如下:
标识属性:身份证号。
准标识属性:姓名、性别、出生日期、民族、政治面貌、户口所在地、户口性质、学历。
敏感属性:工资、手机号、Email、常住地址、失业原因、失业保险补助金额、工作评价信息。
非敏感信息:就业状态、就业登记信息、就业扶持政策信息、职业资格信息。
在将业务系统的角色和数据项进行分类后,可为不同的角色设置对应的数据项,并设置角色对数据项的权限。
管理员在设置好角色数据项权限后,管理员可根据需求对角色的权限进行修改,业务系统接收管理员对角色的权限的修改,并将修改保存在角色数据项权限表中。需要说明的是,管理员在修改角色的权限的过程中,不能修改角色名称和角色说明。
另外,业务系统的管理员还可以查看所有角色的基于信息和数据项权限信息。
图2a是根据本发明一个具体实施例的基于角色和数据项的访问控制方法的流程图。该实施例以就业信息服务平台的业务系统为例说明业务系统的访问控制过程。
如图2a所示,该基于角色和数据项的访问控制方法包括:
S201a,接收用户的登录请求。
S202a,读取用户角色权限。
具体地,在就业信息服务平台的业务系统接收到用户的登录请求后,该业务系统可根据系统中预先保存的角色表中用户名与角色名的对应关系可以确定该用户的角色,以及根据预先保存的角色权限表可以对应的确定该角色的角色权限。
S203a,接收用户发送的基于角色权限的访问请求。
其中,上述基于角色权限发送的访问请求中包括用户的角色标识信息。
S204a,获得基于角色权限的访问请求所对应的数据资源。
具体地,就业信息服务平台的业务系统接收用户发送的基于角色权限的访问请求,并从如表2所示的角色权限表中对该基于角色权限的访问请求进行判断,如果从角色权限表中获得当前角色不具有该操作权限,则拒绝用户的访问请求,反之则获得基于角色权限的访问请求所对应的数据资源。
例如,当前业务系统为就业信息服务平台的业务系统,假定就业信息服务平台的业务系统中保存作为第三方就业指导和培训机构具有查询未就业劳动的信息功能,而普通用户不用有此功能,如果普通用户向就业信息服务平台的业务系统发送查询未就业劳动的信息功能,则就业信息服务平台的业务系统根据预先保存的角色和权限表可以确定普通用户不具有该操作权限,此时,就业信息服务平台的业务系统拒绝普通用户的查询请求,并在就业信息服务平台的业务系统的界面中显示拒绝查询的提醒信息。
S205a,根据角色标识信息确定当前角色的数据项权限。
具体地,业务系统调用用户的数据项权限对当前角色的访问进行控制,即在确定用户有访问该功能或者数据时,根据数据项权限来确定用户是否可以对数据项进行访问,从访问粒度上对用户的访问进行控制。
S206a,根据数据项权限对数据资源进行过滤处理,并显示过滤处理后的数据资源。
具体地,在获得数据资源后,滤波器(Filter)在将返回结果返回之前,对返回结果进行滤波,具体地,可根据角色标识信息和角色数据项权限表确定返回的数据项,将返回结果展示给用户。
例如,基于角色权限的访问请求获得的数据资源中包括四个数据项,分别为数据项1、数据项2、数据项3和数据项4,且角色数据项权限表中保存当前角色对数据项1的权限为是,对数据项2的权限为否,对数据项3的权限为是,对数据项4的权限为是,在对数据资源进行滤波后,数据资源中的数据项2和数据项3将被隐藏,返回结果中仅包含当前角色可以查看的数据项1和数据4,由此,向用户展示了清晰明白的数据项,提高了用户体验。
根据本发明实施例的基于角色和数据项的访问控制方法,从业务逻辑层面和功能性层面对用户的访问进行控制,一方面通过用户角色来决定某一功能或数据能否访问,另一方面,在该用户有权访问该功能或者数据时再根据数据项访问权限来确定用户可以访问的数据项,由此,有效的避免用户隐私信息的泄露,同时增强访问策略的灵活性,降低业务系统的管理复杂性。
图2b是根据本发明一个实施例的基于角色和数据项的访问控制框架示意图。该实施例以就业信息服务平台的业务系统为例说明业务系统的访问控制过程。
具体地,在就业信息服务平台的业务系统接收到用户的登录请求后,如果登录用户发送基于角色权限的访问请求,则该业务系统中的角色请求执行点获得基于角色权限的访问请求,然后该业务系统中的角色请求判定点从角色管理点中获得当前角色的角色权限,并根据角色权限对该基于角色权限的访问请求进行判断,如果从角色权限表中获得当前角色不具有该操作权限,则拒绝用户的访问请求,反之则获得基于角色权限的访问请求所对应的数据资源。其中,需要说明的是,角色管理点中预先保存了角色权限表。
在确定访问该功能或者数据时再根据数据项访问权限来确定用户可以访问的数据项,具体地,该业务系统从数据库中获得该数据项访问请求的资源,然后该业务系统的数据项管理点获得当前角色的数据项权限信息,并根据数据项权限信息对获得的资源进行过滤,以及将过滤后的资源作为访问请求的响应返回,以使用户可在业务系统的界面中获得对应的访问结果。其中,需要说明的是,数据项管理点中预先保存了角色数据项表,角色数据项表中包含了不同角色对数据项的权限信息。
为了实现上述实施例,本发明还提出了一种基于角色和数据项的访问控制装置。
图3是根据本发明一个实施例的基于角色和数据项的访问控制装置的结构示意图。
如图3所示,该基于角色和数据项的访问控制装置包括接收模块100、构建模块200和处理模块300,其中:
接收模块100用于接收用户基于角色权限发送的访问请求,基于角色权限发送的访问请求中包括用户的角色标识信息;构建模块200用于根据基于角色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求,其中,基于数据项的访问请求中包括角色标识信息和数据项信息;处理模块300用于根据基于数据项的访问请求获得对应的数据项,并返回数据项。
其中,上述数据项信息是指系统中预先保存的角色数据项权限表和与数据项有关其他信息。
上述处理模块300具体用于:根据角色标识信息从角色权限表中查找数据项的权限,并根据所获得权限结果对数据项进行处理;如果当前角色有权查看数据项,则返回数据项。
另外,如图4所示,上述装置还可以包括第一保存模块400,该第一保存模块400用于在接收模块100接收用户基于角色权限发送的访问请求之前,建立并保存角色权限表。
其中,上述角色权限表中包括角色、数据表和操作权限的对应关系,角色权限表的形式如表2所示。
具体地,将业务系统存在的角色分类导入到角色权限表中后,并对每一种角色确定访问权限,第一保存模块400将对应的保存角色和访问权限的对应关系。
另外,上述装置还可以包括第二保存模块500,该第二保存模块500用于在处理模块300根据角色标识信息从角色数据项权限表中查找数据项的权限之前,建立并保存角色数据项权限表。
其中,上述角色数据项权限表包含数据表、数据项、角色和权限的对应关系,角色数据项权限表的形式如表3所示。
上述装置还可以包括提示模块600,该提示模块600用于如果当前角色无权查看数据项,则返回访问受限提示。
为了建立角色和数据项之间的权限对应关系,上述装置还可以包括预处理模块700,该预处理模块700用于按照预设属性信息对数据项进行分类,并根据分类结果设置对应数据项的权限,以及在角色数据项权限表中保存对应数据项的权限。
其中,上述预设属性信息可以包括标识属性、准标识属性、敏感信息和非敏感信息。
标识属性(Identify Attribute,IA)是唯一能够标识一个个体的属性,如身份证号,各资历证书编号、企业的注册编号等等。
准标识属性(Accurate Identify Attribute,AIA),是联合起来能够表示一个个体的多个属性,能够在背景知识(其他外部信息)的帮助下用来设别个体,例如出生日期、性别、出生地、邮政编码等等。
敏感属性(Sensitive Attribute,SA),描述个体隐私的属性,如工资收入,个人存款账号及密码,私人财务清单、电话费清单、个人债务、购物习惯及偏好等等。
另外,为了减少保证不会造成数据泄露又能减轻后端服务器的压力,创建模块200具体用于:可根据从预先保存的角色数据项权限表中获取当前角色的数据项权限信息,若根据数据项信息确定当前角色对对应的数据项没有访问权限,则不为该基于角色权限的访问请求创建基于数据项的访问请求,若确定当前角色对对应的数据项有访问权限,则动态生成一个包含角色标识信息、数据项信息以及操作的基于数据项的访问请求。具体地,在获得基于数据项的访问请求后,处理模块300可根据访问请求中的角色标识信息判断当前角色是否能够访问对应的数据项,如果从角色数据项权限表中查到当前角色不能访问对应的数据项,则返回给用户访问受限提示;如果当前角色可以访问对应的数据项,则提示模块600返回对应的数据项,将对应的结果展示给用户。
需要说明的是,前述对基于角色和数据项的访问控制方法实施例的解释说明也适用于该实施例的基于角色和数据项的访问控制装置,此处不再赘述。
根据本发明实施例的基于角色和数据项的访问控制装置,通过接收模块接收用户基于角色权限发送的访问请求,其中,基于角色权限发送的访问请求中包括用户的角色标识信息,然后构建模块根据基于角色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求,其中,基于数据项的访问请求中包括角色标识信息和数据项信息,处理模块根据基于数据项的访问请求获得对应的数据项,并返回数据项,由此,实现了对业务逻辑层面和功能性的访问控制,有效的避免用户隐私信息的泄露,同时增强访问策略的灵活性,降低业务系统的管理复杂性。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (12)
1.一种基于角色和数据项的访问控制方法,其特征在于,包括以下步骤:
接收用户基于角色权限发送的访问请求,其中,所述基于角色权限发送的访问请求中包括所述用户的角色标识信息;
根据所述基于角色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求,其中,所述基于数据项的访问请求中包括角色标识信息和数据项信息;
根据所述基于数据项的访问请求获得对应的数据项,并返回所述数据项;
其中,所述根据所述基于数据项的访问请求获得对应的数据项,并返回对应的数据项具体包括:
根据所述角色标识信息从角色数据项权限表中查找数据项的权限,并根据所获得权限结果对所述数据项进行处理;
如果当前角色有权查看所述数据项,则返回所述数据项;
其中,所述角色数据项权限表包含数据表、数据项、角色和权限的对应关系;
在所述接收用户基于角色权限发送的访问请求之后,且在所述根据所述基于角色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求之前,所述方法还包括:
根据所述角色标识信息从预先保存的角色数据项权限表中查找当前角色的数据项权限信息,若根据数据项信息确定当前角色对对应的数据项没有访问权限,则不为该基于角色权限的访问请求创建基于数据项的访问请求,若确定当前角色对对应的数据项有访问权限,则执行根据所述基于角色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求的步骤。
2.如权利要求1所述的基于角色和数据项的访问控制方法,其特征在于,还包括:如果当前角色无权查看所述数据项,则返回访问受限提示。
3.如权利要求1所述的基于角色和数据项的访问控制方法,其特征在于,在所述接收用户基于角色权限发送的访问请求之前,还包括:
建立并保存角色权限表,其中,所述角色权限表中包括角色、数据表和操作权限的对应关系。
4.如权利要求1所述的基于角色和数据项的访问控制方法,其特征在于,在所述根据所述角色标识信息从角色权限表中查找数据项的权限之前,还包括:
建立并保存所述角色数据项权限表,其中,所述角色数据项权限表包含数据表、数据项、角色和权限的对应关系。
5.如权利要求4所述的基于角色和数据项的访问控制方法,其特征在于,还包括:
按照预设属性信息对数据项进行分类,并根据分类结果设置对应数据项的权限,以及在所述角色数据项权限表中保存对应数据项的权限。
6.如权利要求5所述的基于角色和数据项的访问控制方法,其特征在于,所述预设属性信息包括标识属性、准标识属性、敏感信息和非敏感信息。
7.一种基于角色和数据项的访问控制装置,其特征在于,包括:
接收模块,用于接收用户基于角色权限发送的访问请求,其中,所述基于角色权限发送的访问请求中包括所述用户的角色标识信息;
构建模块,用于根据所述基于角色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求,其中,所述基于数据项的访问请求中包括角色标识信息和数据项信息;
处理模块,用于根据所述基于数据项的访问请求获得对应的数据项,并返回所述数据项;
其中,所述处理模块,具体用于:
根据所述角色标识信息从角色权限表中查找数据项的权限,并根据所获得权限结果对所述数据项进行处理;
如果当前角色有权查看所述数据项,则返回所述数据项;
其中,所述角色数据项权限表包含数据表、数据项、角色和权限的对应关系;
所述构建模块,具体用于:
根据所述角色标识信息从预先保存的角色数据项权限表中查找当前角色的数据项权限信息,若根据数据项信息确定当前角色对对应的数据项没有访问权限,则不为该基于角色权限的访问请求创建基于数据项的访问请求,若确定当前角色对对应的数据项有访问权限,则根据所述基于角色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求。
8.如权利要求7所述的基于角色和数据项的访问控制装置,其特征在于,还包括:
提示模块,用于如果当前角色无权查看所述数据项,则返回访问受限提示。
9.如权利要求7所述的基于角色和数据项的访问控制装置,其特征在于,还包括:
第一保存模块,用于在所述接收模块接收用户基于角色权限发送的访问请求之前,建立并保存角色权限表,其中,所述角色权限表中包括角色、数据表和操作权限的对应关系。
10.如权利要求7所述的基于角色和数据项的访问控制装置,其特征在于,还包括:
第二保存模块,用于在所述处理模块根据所述角色标识信息从角色数据项权限表中查找数据项的权限之前,建立并保存所述角色数据项权限表,其中,所述角色数据项权限表包含数据表、数据项、角色和权限的对应关系。
11.如权利要求10所述的基于角色和数据项的访问控制装置,其特征在于,还包括:
预处理模块,用于按照预设属性信息对数据项进行分类,并根据分类结果设置对应数据项的权限,以及在所述角色数据项权限表中保存对应数据项的权限。
12.如权利要求11所述的基于角色和数据项的访问控制装置,其特征在于,所述预设属性信息包括标识属性、准标识属性、敏感信息和非敏感信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510303058.8A CN105187365B (zh) | 2015-06-04 | 2015-06-04 | 基于角色和数据项的访问控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510303058.8A CN105187365B (zh) | 2015-06-04 | 2015-06-04 | 基于角色和数据项的访问控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105187365A CN105187365A (zh) | 2015-12-23 |
| CN105187365B true CN105187365B (zh) | 2018-09-14 |
Family
ID=54909210
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510303058.8A Active CN105187365B (zh) | 2015-06-04 | 2015-06-04 | 基于角色和数据项的访问控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105187365B (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106446716A (zh) * | 2016-10-14 | 2017-02-22 | 郑州云海信息技术有限公司 | 一种云存储安全管理装置 |
| CN107958009A (zh) * | 2016-10-18 | 2018-04-24 | 百度在线网络技术(北京)有限公司 | 企业信息获取方法、装置以及设备 |
| CN106572116A (zh) * | 2016-11-10 | 2017-04-19 | 长春理工大学 | 基于角色和属性的一体化网络跨域安全切换访问控制方法 |
| CN108225350B (zh) * | 2016-12-14 | 2021-02-05 | 杭州海康威视系统技术有限公司 | 一种gps设备信息的显示方法及装置 |
| CN107545047B (zh) * | 2017-08-17 | 2019-07-19 | 平安科技(深圳)有限公司 | 用户权限数据的查询方法及终端设备 |
| CN107656972A (zh) * | 2017-09-02 | 2018-02-02 | 复旦大学 | 一种保持数据稀缺性的开放数据细粒度访问控制方法 |
| CN107566375B (zh) * | 2017-09-08 | 2020-09-22 | 苏州浪潮智能科技有限公司 | 访问控制方法和装置 |
| CN109104414A (zh) * | 2018-07-18 | 2018-12-28 | 安徽云图信息技术有限公司 | 一种数据安全监测系统 |
| CN109165518A (zh) * | 2018-09-12 | 2019-01-08 | 浪潮软件集团有限公司 | 一种数据分权管理的方法和装置 |
| CN110968890A (zh) * | 2018-09-30 | 2020-04-07 | 北京国双科技有限公司 | 基于权限的操作控制方法和装置 |
| CN109460645A (zh) * | 2018-11-19 | 2019-03-12 | 湖南御家科技有限公司 | 一种基于分布式架构的权限服务方法、装置及系统 |
| CN109634868B (zh) * | 2018-12-19 | 2024-05-03 | 平安科技(深圳)有限公司 | 金融数据分析系统自动化测试结果的处理方法及装置 |
| CN109981619A (zh) * | 2019-03-13 | 2019-07-05 | 泰康保险集团股份有限公司 | 数据获取方法、装置、介质及电子设备 |
| CN110046205B (zh) * | 2019-04-22 | 2021-04-09 | 瀚高基础软件股份有限公司 | 一种关系型数据库行安全访问控制方法及系统 |
| CN110808964A (zh) * | 2019-10-22 | 2020-02-18 | 贵阳朗玛信息技术股份有限公司 | 一种权限管理的方法及装置 |
| CN111310003A (zh) * | 2020-02-04 | 2020-06-19 | 北京空中信使信息技术有限公司 | 基于小程序的活动参与数据生成方法及装置 |
| CN111444483A (zh) * | 2020-03-26 | 2020-07-24 | 杭州指令集智能科技有限公司 | 一种鉴权方法、装置及设备 |
| CN112685511B (zh) * | 2020-12-31 | 2024-08-06 | 中国农业银行股份有限公司 | 一种商业智能数仓高性能路由的方法和装置 |
| CN113761552A (zh) * | 2021-01-05 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 一种访问控制方法、装置、系统、服务器和存储介质 |
| CN114172722B (zh) * | 2021-12-06 | 2023-10-31 | 国网新疆电力有限公司信息通信公司 | 一种基于区块链智能合约的电力用户访问控制方法和系统 |
| CN116842220B (zh) * | 2023-07-06 | 2024-01-02 | 中国科学院青藏高原研究所 | 一种基于逻辑分类和数据角色控制的数据访问方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101631021A (zh) * | 2008-07-18 | 2010-01-20 | 日电(中国)有限公司 | 位置敏感且基于角色的访问控制方法、装置和系统 |
| CN102724221A (zh) * | 2011-03-30 | 2012-10-10 | 上海微河信息科技有限公司 | 云计算企业信息系统及该系统的用户权限设定方法 |
-
2015
- 2015-06-04 CN CN201510303058.8A patent/CN105187365B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101631021A (zh) * | 2008-07-18 | 2010-01-20 | 日电(中国)有限公司 | 位置敏感且基于角色的访问控制方法、装置和系统 |
| CN102724221A (zh) * | 2011-03-30 | 2012-10-10 | 上海微河信息科技有限公司 | 云计算企业信息系统及该系统的用户权限设定方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105187365A (zh) | 2015-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105187365B (zh) | 基于角色和数据项的访问控制方法及装置 | |
| Cabana et al. | Team ethical cultures within an organization: A differentiation perspective on their existence and relevance | |
| Fairfield et al. | Privacy as a public good | |
| Abril et al. | Blurred boundaries: Social media privacy and the twenty-first-century employee | |
| Westin | Social and political dimensions of privacy | |
| Winter | Surveillance in ubiquitous network societies: normative conflicts related to the consumer in-store supermarket experience in the context of the Internet of Things | |
| Hwang et al. | A comparative study of the propensity of whistle-blowing: empirical evidence from China, Taiwan, and the United States | |
| Hossain et al. | What improves citizens’ privacy perceptions toward RFID technology? A cross-country investigation using mixed method approach | |
| McCoy et al. | " You are the key to security" establishing a successful security awareness program | |
| AU2013295701A1 (en) | Method and system for secure authentication and information sharing and analysis | |
| Mello | Social media, employee privacy and concerted activity: Brave new world or big brother | |
| Zalnieriute | Developing a European Standard for International Data Transfers after Snowden: Opinion 1/15 on the EU‐Canada PNR Agreement | |
| Venkatanathan et al. | Online disclosure of personally identifiable information with strangers: Effects of public and private sharing | |
| van Rensburg | End-user perceptions on information security: Pragmatic lessons on social engineering attacks in the workplace in Gauteng, South Africa | |
| DoCarmo et al. | The law in computation: What machine learning, artificial intelligence, and big data mean for law and society scholarship | |
| Van Deursen et al. | The New Silk Road: a bumpy ride for Sino-European collaborative research under the GDPR? | |
| Weckert | Electronic monitoring in the workplace: controversies and solutions | |
| Gurzick et al. | Online personal networks of knowledge workers in computer-supported collaborative learning | |
| CN110276593A (zh) | 对象推荐方法、装置、服务器及存储介质 | |
| Cohen-Almagor et al. | Internet crime enabling: stalking and cyberstalking | |
| Jøsang | Prospectives for online trust management | |
| Alberini et al. | Blockchain and data protection | |
| De et al. | Privacy risk analysis of online social networks | |
| Christie et al. | A Survey Study of Social Media User Awareness Towards Personal Identifiable Information's Data Security in Indonesian Millennial Generation | |
| Kotzker | The Great Cookie Caper: Internet Privacy and Target Marketing at Home and Abroad |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |