CN107025411B - 一种细粒度的数据权限动态控制的系统及方法 - Google Patents

一种细粒度的数据权限动态控制的系统及方法 Download PDF

Info

Publication number
CN107025411B
CN107025411B CN201710174759.5A CN201710174759A CN107025411B CN 107025411 B CN107025411 B CN 107025411B CN 201710174759 A CN201710174759 A CN 201710174759A CN 107025411 B CN107025411 B CN 107025411B
Authority
CN
China
Prior art keywords
data
business datum
business
permission
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710174759.5A
Other languages
English (en)
Other versions
CN107025411A (zh
Inventor
唐虎强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Red Software Ltd By Share Ltd
Original Assignee
Red Software Ltd By Share Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Red Software Ltd By Share Ltd filed Critical Red Software Ltd By Share Ltd
Priority to CN201710174759.5A priority Critical patent/CN107025411B/zh
Publication of CN107025411A publication Critical patent/CN107025411A/zh
Application granted granted Critical
Publication of CN107025411B publication Critical patent/CN107025411B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种细粒度的数据权限动态控制的系统及方法,涉及计算机数据安全领域。所述方法:分析并获取业务数据应用信息,在业务数据应用信息的基础上,建立数据安全对象模型;根据业务数据应用信息,对登录用户分配资源的访问权限;在加载登录用户请求的目标业务数据应用信息前,获取目标业务数据应用信息在数据安全对象模型中权限信息;根据所述权限信息,实时加载目标业务数据应用信息。所述系统包括:数据库单元、模型建立单元、用户管理单元和权限控制模块。本发明基于业务数据应用信息,建立数据安全对象模型,通过对模型中元素或属性的授权,实现对业务数据精细化、动态变化的权限控制。

Description

一种细粒度的数据权限动态控制的系统及方法
技术领域
本发明涉及计算机数据安全领域,尤其涉及一种细粒度的数据权限动态控制的系统及方法。
背景技术
业务数据作为重要资产贯穿于企业的生产经营,故业务数据的安全控制尤为重要,既要保证许可范围内的正常访问业务数据,也要防止未经授权的数据操作。
信息系统中对数据权限的控制,通常采用两种方式,一种是在提取数据的时候通过后台算法过滤用户无权访问的数据,另一种通过控制用户对信息系统中应用功能的访问,限制用户对应用功能中数据的访问。但是以上方法,只能将用户的访问控制到一个完整的业务数据的级别,粒度较粗,对于数据中的某个字段、某条记录无法实现。另外,用户对数据的访问权限是确定的,无法根据业务的变化、时间的变化实时变化,是静态的,无法满足企业对数据安全精细、灵活的管理需求。
因此,在数据安全领域内,需要解决一个技术问题:找到一种数据权限的控制方法,解决企业对业务数据安全精细、灵活的管理需求。
发明内容
本发明的目的在于提供一种细粒度的数据权限动态控制的系统及方法,从而目前数据安全中,对于数据权限控制粒度较粗,无法动态变化的问题。
为了实现上述目的,本发明所述细粒度的数据权限动态控制的方法,所述方法包括:
S1,分析并获取业务数据应用信息,在所述业务数据应用信息的基础上,建立数据安全对象模型;
S2,根据所述业务数据应用信息,对登录用户分配资源的访问权限;
所述访问权限包括:查看业务数据应用信息、新增业务数据应用信息、修改业务数据应用信息、删除业务数据应用信息;
S3,在加载登录用户请求的目标业务数据应用信息前,获取目标业务数据应用信息在所述数据安全对象模型中权限信息;
S4,根据所述权限信息,实时加载目标业务数据应用信息。
优选地,步骤S1,具体按照下述步骤实现:
S11,获取业务数据应用信息,然后分析获得每个业务数据应用信息的数据源及数据元素;
S12,赋予每种数据源唯一的数据源标志,将所有的数据源标志存储在数据源标志模块中;
S13,赋予每个数据元素唯一的数据元素标志,将所有的数据元素标志存储在资源标志模块中;
S14,获取每个业务数据应用信息的动态计算业务规则,然后去重、整理并存储到业务规则模块中;
S15,将每个业务数据应用信息作为一个数据体元素,存储到元素集合模块中,且对每个数据体元素进行信息描述,所述描述包括数据体元素的数据项名、资源标志、数据规范及约束、业务规则,至此,完成数据安全对象模型的建立。
更优选地,所述动态计算业务规则包括:正则表达式、条件表达式、业务逻辑算法。
更优选地,步骤S3中,所述权限信息包括数据源权限信息和数据元素权限信息;
所述数据源权限信息,用于控制登录用户对目标业务数据应用信息中行记录的操作权限;
所述数据元素权限信息,用于控制登录用户对目标业务数据应用信息中列的操作权限。
本发明实现所述细粒度的数据权限动态控制的方法的系统,所述系统包括:
数据库单元:用于分析并获取业务数据应用信息,还用于设置并存储用户明细表;
模型建立单元:在所述业务数据应用信息的基础上,建立数据安全对象模型;
用户管理单元,与所述数据库单元和模型建立单元连接,在数据安全对象模型的基础上,通过所述用户明细表,获取登录用户访问权限信息;
权限控制模块,根据所述登录用户的访问权限信息,实时加载目标业务数据应用信息。
优选地,所述模型建立单元包括:
数据源标志模块,判断所有业务数据应用信息中各个数据源是否存在相同,如果否,则将每个数据源赋予唯一的数据源标志并存储;如果是,则将相同的数据源作为同一种数据源,然后赋予每种数据源唯一的数据源标志并存储;
资源标志模块,赋予所有业务数据应用信息中的每个数据元素唯一的数据元素标志,并将所有的数据元素标志存储在资源标志模块中。
业务规则模块,获取每个业务数据应用信息的动态计算业务规则,然后去重、整理并存储到业务规则模块中;
元素集合模块,将每个业务数据应用信息作为一个数据体元素,存储到元素集合模块中,且对每个数据体元素进行信息描述,所述描述包括数据体元素的数据项名、资源标志、数据规范及约束、业务规则。
优选地,所述业务规则包括数据表中数据体元素的正则表达式、条件表达式、业务逻辑算法。
优选地,所述访问权限信息包括查看权限、新增数据体权限、修改当前数据体权限、删除数据体权限。
本发明的有益效果是:
本发明基于业务数据应用信息,建立数据安全对象模型,通过对模型中元素或属性的授权,实现对业务数据精细化、动态变化的权限控制。
附图说明
图1是本发明细粒度的数据权限动态控制的方法的流程示意图;
图2是本发明所述数据安全对象模型的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不用于限定本发明。
实施例
参照图1,本实施例所述细粒度的数据权限动态控制的方法,所述方法包括:
S1,分析并获取业务数据应用信息,在所述业务数据应用信息的基础上,建立数据安全对象模型;
S2,根据所述业务数据应用信息,对登录用户分配资源的访问权限;
所述访问权限包括:查看业务数据应用信息、新增业务数据应用信息、修改业务数据应用信息、删除业务数据应用信息;
S3,在加载登录用户请求的目标业务数据应用信息前,获取目标业务数据应用信息在所述数据安全对象模型中权限信息;
S4,根据所述权限信息,实时加载目标业务数据应用信息。
更详细的解释说明:
(一)步骤S1,具体按照下述步骤实现:
S11,获取业务数据应用信息,然后分析获得每个业务数据应用信息的数据源及数据元素;
S12,赋予每种数据源唯一的数据源标志,将所有的数据源标志存储在数据源标志模块中;
S13,赋予每个数据元素唯一的数据元素标志,将所有的数据元素标志存储在资源标志模块中;
S14,获取每个业务数据应用信息的动态计算业务规则,然后去重、整理并存储到业务规则模块中;
S15,将每个业务数据应用信息作为一个数据体元素,存储到元素集合模块中,且对每个数据体元素进行信息描述,所述描述包括数据体元素的数据项名、资源标志、数据规范及约束、业务规则,至此,完成数据安全对象模型的建立。
在本实施例中,分析系统业务,将独立的数据应用抽象建立数据安全对象模型(标识为数据源),在数据对象的元素集合中描述业务数据体的数据项结构、数据规范、约束等,通过数据对象元素和业务规则将一个完整业务数据以列、行的方式切割为细粒度数据体。
根据数据安全需求对用户或用户组分配资源的访问权限,定义用于动态计算的业务规则。所述动态计算业务规则包括:正则表达式、条件表达式、业务逻辑算法。
(二)步骤S3中,所述权限信息包括数据源权限信息和数据元素权限信息;
所述数据源权限信息,用于控制登录用户对目标业务数据应用信息中行记录的操作权限;
所述数据元素权限信息,用于控制登录用户对目标业务数据应用信息中列的操作权限。其中,权限信息中描述的业务规则,可以根据用户(用户组)、系统时间、机器IP、业务数据等动态计算用户的访问权限。
一种实现如实施例1所述细粒度的数据权限动态控制的方法的系统,所述系统包括:
数据库单元:用于分析并获取业务数据应用信息,还用于设置并存储用户明细表;
模型建立单元:在所述业务数据应用信息的基础上,建立数据安全对象模型;
用户管理单元,与所述数据库单元和模型建立单元连接,在数据安全对象模型的基础上,通过所述用户明细表,获取登录用户访问权限信息;
权限控制模块,根据所述登录用户的访问权限信息,实时加载目标业务数据应用信息。
更详细的解释说明:
(一)所述模型建立单元包括:
数据源标志模块,判断所有业务数据应用信息中各个数据源是否存在相同,如果否,则将每个数据源赋予唯一的数据源标志并存储;如果是,则将相同的数据源作为同一种数据源,然后赋予每种数据源唯一的数据源标志并存储;
资源标志模块,赋予所有业务数据应用信息中的每个数据元素唯一的数据元素标志,并将所有的数据元素标志存储在资源标志模块中。
业务规则模块,获取每个业务数据应用信息的动态计算业务规则,然后去重、整理并存储到业务规则模块中;
元素集合模块,将每个业务数据应用信息作为一个数据体元素,存储到元素集合模块中,且对每个数据体元素进行信息描述,所述描述包括数据体元素的数据项名、资源标志、数据规范及约束、业务规则。
所述业务规则包括数据表中数据体元素的正则表达式、条件表达式、业务逻辑算法。
(二)所述访问权限信息包括查看权限、新增数据体权限、修改当前数据体权限、删除数据体权限。
通过采用本发明公开的上述技术方案,得到了如下有益的效果:
本发明所述方法基于业务数据应用信息,建立数据安全对象模型,通过对模型中元素或属性的授权,实现对业务数据精细化、动态变化的权限控制。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。

Claims (6)

1.一种细粒度的数据权限动态控制的方法,其特征在于,所述方法包括:
S1,分析并获取业务数据应用信息,在所述业务数据应用信息的基础上,建立数据安全对象模型;
S2,根据所述业务数据应用信息,对登录用户分配资源的访问权限;
所述访问权限包括:查看业务数据应用信息、新增业务数据应用信息、修改业务数据应用信息、删除业务数据应用信息;
S3,在加载登录用户请求的目标业务数据应用信息前,获取目标业务数据应用信息在所述数据安全对象模型中权限信息;
S4,根据所述权限信息,实时加载目标业务数据应用信息;
步骤S1中分析系统业务,将独立的数据应用抽象建立数据安全对象模型,在数据对象的元素集合中描述业务数据体的数据项结构、数据规范、约束,通过数据对象元素和业务规则将一个完整业务数据以列、行的方式切割为细粒度数据体,具体按照下述步骤实现:
S11,获取业务数据应用信息,然后分析获得每个业务数据应用信息的数据源及数据元素;
S12,赋予每种数据源唯一的数据源标志,将所有的数据源标志存储在数据源标志模块中;
S13,赋予每个数据元素唯一的数据元素标志,将所有的数据元素标志存储在资源标志模块中;
S14,获取每个业务数据应用信息的动态计算业务规则,然后去重、整理并存储到业务规则模块中;
S15,将每个业务数据应用信息作为一个数据体元素,存储到元素集合模块中,且对每个数据体元素进行信息描述,所述描述包括数据体元素的数据项名、资源标志、数据规范及约束、业务规则,至此,完成数据安全对象模型的建立。
2.根据权利要求1所述细粒度的数据权限动态控制的方法,其特征在于,所述动态计算业务规则包括:正则表达式、条件表达式、业务逻辑算法。
3.根据权利要求1所述细粒度的数据权限动态控制的方法,其特征在于,步骤S3中,所述权限信息包括数据源权限信息和数据元素权限信息;
所述数据源权限信息,用于控制登录用户对目标业务数据应用信息中行记录的操作权限;
所述数据元素权限信息,用于控制登录用户对目标业务数据应用信息中列的操作权限。
4.一种实现如权利要求1至3任意一项所述细粒度的数据权限动态控制的方法的系统,其特征在于,所述系统包括:
数据库单元:用于分析并获取业务数据应用信息,还用于设置并存储用户明细表;
模型建立单元:在所述业务数据应用信息的基础上,建立数据安全对象模型;
用户管理单元,与所述数据库单元和模型建立单元连接,在数据安全对象模型的基础上,通过所述用户明细表,获取登录用户访问权限信息;
权限控制模块,根据所述登录用户的访问权限信息,实时加载目标业务数据应用信息;
所述模型建立单元包括:
数据源标志模块,判断所有业务数据应用信息中各个数据源是否存在相同,如果否,则将每个数据源赋予唯一的数据源标志并存储;如果是,则将相同的数据源作为同一种数据源,然后赋予每种数据源唯一的数据源标志并存储;
资源标志模块,赋予所有业务数据应用信息中的每个数据元素唯一的数据元素标志,并将所有的数据元素标志存储在资源标志模块中;
业务规则模块,获取每个业务数据应用信息的动态计算业务规则,然后去重、整理并存储到业务规则模块中;
元素集合模块,将每个业务数据应用信息作为一个数据体元素,存储到元素集合模块中,且对每个数据体元素进行信息描述,所述描述包括数据体元素的数据项名、资源标志、数据规范及约束、业务规则。
5.根据权利要求4所述细粒度的数据权限动态控制的系统,其特征在于,所述业务规则包括数据表中数据体元素的正则表达式、条件表达式、业务逻辑算法。
6.根据权利要求4所述细粒度的数据权限动态控制的系统,其特征在于,所述访问权限信息包括查看权限、新增数据体权限、修改当前数据体权限、删除数据体权限。
CN201710174759.5A 2017-03-22 2017-03-22 一种细粒度的数据权限动态控制的系统及方法 Active CN107025411B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710174759.5A CN107025411B (zh) 2017-03-22 2017-03-22 一种细粒度的数据权限动态控制的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710174759.5A CN107025411B (zh) 2017-03-22 2017-03-22 一种细粒度的数据权限动态控制的系统及方法

Publications (2)

Publication Number Publication Date
CN107025411A CN107025411A (zh) 2017-08-08
CN107025411B true CN107025411B (zh) 2019-11-26

Family

ID=59526237

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710174759.5A Active CN107025411B (zh) 2017-03-22 2017-03-22 一种细粒度的数据权限动态控制的系统及方法

Country Status (1)

Country Link
CN (1) CN107025411B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108416199B (zh) * 2018-03-07 2022-07-15 北京恒华伟业科技股份有限公司 一种应用的用户权限控制方法、装置及服务器
CN109726586A (zh) * 2018-12-17 2019-05-07 杭州安恒信息技术股份有限公司 数据细粒度授权共享方法、系统以及电子设备
CN109635583B (zh) * 2018-12-27 2021-07-27 中国电子科技集团公司第三十研究所 一种基于数据安全标签的信息安全共享交换方法及系统
CN111740770B (zh) * 2019-03-25 2022-12-02 北京京东乾石科技有限公司 一种通讯方法及系统
CN112270003B (zh) * 2020-10-27 2023-05-02 上海淇馥信息技术有限公司 一种多业务动态配置数据源方法、平台及电子设备
CN114722250B (zh) * 2022-05-17 2022-08-26 奇秦科技(北京)股份有限公司 一种基于配置实现的数据水平和垂直权限过滤的方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011115839A2 (en) * 2010-03-15 2011-09-22 DynamicOps, Inc. Computer relational database method and system having role based access control
CN105677710A (zh) * 2015-12-28 2016-06-15 曙光信息产业(北京)有限公司 大数据的处理方法和系统
CN105912949A (zh) * 2016-04-13 2016-08-31 北京京东尚科信息技术有限公司 数据权限管理方法、数据权限管理系统以及业务管理系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011115839A2 (en) * 2010-03-15 2011-09-22 DynamicOps, Inc. Computer relational database method and system having role based access control
CN105677710A (zh) * 2015-12-28 2016-06-15 曙光信息产业(北京)有限公司 大数据的处理方法和系统
CN105912949A (zh) * 2016-04-13 2016-08-31 北京京东尚科信息技术有限公司 数据权限管理方法、数据权限管理系统以及业务管理系统

Also Published As

Publication number Publication date
CN107025411A (zh) 2017-08-08

Similar Documents

Publication Publication Date Title
CN107025411B (zh) 一种细粒度的数据权限动态控制的系统及方法
US11734351B2 (en) Predicted data use obligation match using data differentiators
US10789204B2 (en) Enterprise-level data protection with variable data granularity and data disclosure control with hierarchical summarization, topical structuring, and traversal audit
US10262149B2 (en) Role access to information assets based on risk model
US20170024482A1 (en) Systems and methods for integrating personal social networking within an organization
US9928375B2 (en) Mitigation of data leakage in a multi-site computing infrastructure
Sang et al. BPMN security extensions for healthcare process
US10069842B1 (en) Secure resource access based on psychometrics
EP3245569A1 (en) Record level data security
US11182499B2 (en) Method of integrating an organizational security system
CN107111722A (zh) 数据库安全
US20220100891A1 (en) Methods, apparatuses, and systems for data rights tracking
CN109639643A (zh) 基于区块链的客户经理信息共享方法、电子装置及可读存储介质
CN106997440A (zh) 一种角色访问控制方法
Franqueira et al. Role-based access control in retrospect
Godbole et al. The triple challenge for the healthcare industry: sustainability, privacy, and cloud-centric regulatory compliance
US20220027512A1 (en) Data discovery and generation of live data map for information privacy
Yasnoff A secure and efficiently searchable health information architecture
US20080201761A1 (en) Dynamically Associating Attribute Values with Objects
US8832110B2 (en) Management of class of service
US10872314B2 (en) Portable computerized interactive training profile
Meister et al. Information logistics solutions to cope with big data challenges in AAL and Telemedicine
Sauwens et al. ThunQ: A Distributed and Deep Authorization Middleware for Early and Lazy Policy Enforcement in Microservice Applications
Rajasingham et al. Efficient agent based trust threshold model for healthcare cloud applications
Lee et al. A function-based user authority delegation model

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant