CN108040046A - 数据访问控制方法和装置 - Google Patents
数据访问控制方法和装置 Download PDFInfo
- Publication number
- CN108040046A CN108040046A CN201711285016.1A CN201711285016A CN108040046A CN 108040046 A CN108040046 A CN 108040046A CN 201711285016 A CN201711285016 A CN 201711285016A CN 108040046 A CN108040046 A CN 108040046A
- Authority
- CN
- China
- Prior art keywords
- user
- data
- access
- application
- access rights
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2457—Query processing with adaptation to user needs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/26—Visual data mining; Browsing structured data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
- G06F16/9535—Search customisation based on user profiles and personalisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Computational Linguistics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了一种数据访问控制方法和装置,该方法包括:当接收到用户的登录请求时,获取身份权限信息;依据用户的身份权限信息,确定该用户具有访问权限的至少一个应用;当检测到对目标应用的访问请求时,依据该用户的身份权限信息,从该目标应用对应的应用数据集合中,确定出该用户具备访问权限的数据子集合;依据该用户的身份权限信息,从该数据子集合中确定出该用户具备访问权限的至少一条目标记录,以及每条该目标记录中该用户具备访问权限的至少一个目标字段;从该数据子集合中,依次筛选出每条该目标记录中的该至少一个目标字段的数据,并将筛选出的目标数据集合展现给该用户。该方案可以降低数据泄露的风险,提高数据的安全性。
Description
技术领域
本申请涉及数据处理技术领域,尤其涉及一种数据访问控制方法和装置。
背景技术
随着大数据时代的到来,银行、互联网金融企业内部所需管理的数据量也日益增多。
随着企业内部所需管理和维护的数据量的增加,人们对于数据安全性的要求也越来越高。然而,在银行、互联网金融企业中却经常存在数据泄露的情况。因此,如何降低数据被泄露的风险,提高数据的安全性是本领域技术人员迫切需要解决的技术问题。
发明内容
有鉴于此,本申请提供了一种数据访问控制方法和装置,以降低数据泄露的风险,提高数据的安全性。
为实现上述目的,一方面,一种数据访问控制方法,包括:
当接收到用户的登录请求时,获取用于表征所述用户具有的数据访问权限的身份权限信息;
依据所述用户的身份权限信息,确定所述用户具有访问权限的至少一个应用,其中,不同的应用映射有不同的应用数据集合;
当检测到对目标应用的访问请求时,依据所述用户的身份权限信息,从所述目标应用对应的应用数据集合中,确定出所述用户具备访问权限的数据子集合,其中,所述目标应用属于所述至少一个应用;
依据所述用户的身份权限信息,从所述数据子集合中确定出所述用户具备访问权限的至少一条目标记录,以及每条所述目标记录中所述用户具备访问权限的至少一个目标字段;
从所述数据子集合中,依次筛选出每条所述目标记录中的所述至少一个目标字段的数据,并将筛选出的目标数据集合展现给所述用户。
优选的,在所述获取用于表征所述用户具有的数据访问权限的身份权限信息之前,还包括:
依据所述登录请求中携带的登录信息,对所述用户进行身份验证;
当验证所述用户身份合法时,执行所述获取用于表征用户具有的数据访问权限的身份权限信息。
优选的,所述获取用于表征所述用户具有的数据访问权限的身份权限信息,包括:
获取预先存储的所述用户所属的单位、部门、职务、工作权限以及预授权信息中的一种或者多种。
优选的,所述依据所述用户的身份权限信息,确定所述用户具有访问权限的至少一个应用,包括:
依据所述用户的身份权限信息,确定所述用户具有访问权限的至少一个应用访问入口,其中,不同的应用访问入口链接不同的应用;
向所述用户展现所述至少一个应用访问入口;
所述检测到对目标应用的访问请求,包括:
检测到所述用户对所述至少一个应用访问入口中的目标应用访问入口的访问请求,所述目标应用访问入口用于链接所述目标应用。
优选的,所述依据所述用户的身份权限信息,从所述目标应用对应的应用数据集合中,确定出所述用户具备访问权限的数据子集合,包括:
依据所述用户的身份权限信息,从所述目标应用对应的应用数据集合中,确定出所述用户具备访问权限的数据权限范围,其中,所述数据权限范围用于从所述目标应用对应的应用数据集合中,定位出所述用户具有访问权限的数据子集合;
所述从所述数据子集合中,依次筛选出每条所述目标记录中的所述至少一个目标字段的数据,并将筛选出的目标数据集合展现给所述用户,包括:
依据所述用户对应的数据权限范围,所述用户具备访问权限的至少一条目标记录的信息,以及每条所述记录中用户具备访问权限的至少一个目标字段的信息,从所述目标应用对应的应用数据集合中筛选出所述用户具备访问权限的数据所组成的目标数据集合;
将所述目标数据集合展现给所述用户。
另一方面,本申请还提供了一种数据访问控制装置,包括:
权限获取单元,用于当接收到用户的登录请求时,获取用于表征所述用户具有的数据访问权限的身份权限信息;
应用筛选单元,用于依据所述用户的身份权限信息,确定所述用户具有访问权限的至少一个应用,其中,不同的应用映射有不同的应用数据集合;
第一匹配单元,用于当检测到对目标应用的访问请求时,依据所述用户的身份权限信息,从所述目标应用对应的应用数据集合中,确定出所述用户具备访问权限的数据子集合,其中,所述目标应用属于所述至少一个应用;
第二匹配单元,用于依据所述用户的身份权限信息,从所述数据子集合中确定出所述用户具备访问权限的至少一条目标记录,以及每条所述目标记录中所述用户具备访问权限的至少一个目标字段;
数据筛选单元,用于从所述数据子集合中,依次筛选出每条所述目标记录中的所述至少一个目标字段的数据,并将筛选出的目标数据集合展现给所述用户。
优选的,还包括:
身份验证单元,用于在所述权限获取单元获取用于表征所述用户具有的数据访问权限的身份权限信息之前,依据所述登录请求中携带的登录信息,对所述用户进行身份验证,并当验证所述用户身份合法时,触发执行所述权限获取单元的操作。
优选的,所述权限获取单元,包括:
权限获取子单元,用于获取预先存储的所述用户所属的单位、部门、职务、工作权限、预授权信息中的一种或者多种。
优选的,所述应用筛选单元,包括:
入口确定单元,用于依据所述用户的身份权限信息,确定所述用户具有访问权限的至少一个应用访问入口,其中,不同的应用访问入口链接不同的应用;
入口展现单元,用于向所述用户展现所述至少一个应用访问入口;
所述第一匹配单元在检测到对目标应用的访问请求时,具体用于,检测到所述用户对所述至少一个应用访问入口中的目标应用访问入口的访问请求,所述目标应用访问入口用于链接所述目标应用。
优选的,所述第一匹配单元,包括:
第一权限匹配子单元,用于依据所述用户的身份权限信息,从所述目标应用对应的应用数据集合中,确定出所述用户具备访问权限的数据权限范围,其中,所述数据权限范围用于从所述目标应用对应的应用数据集合中,定位出所述用户具有访问权限的数据子集合;
所述数据筛选单元,用于
数据筛选子单元,用于依据所述用户对应的数据权限范围,所述用户具备访问权限的至少一条目标记录的信息,以及每条所述记录中用户具备访问权限的至少一个目标字段的信息,从所述目标应用对应的应用数据集合中筛选出所述用户具备访问权限的数据所组成的目标数据集合;
数据展现子单元,用于将所述目标数据集合展现给所述用户。
由以上可知,将存储的数据的访问权限进行了较细粒度的权限划分,在接收到用户的登录请求之后,不仅需要根据用户的身份权限信息,确定出用户所能访问的至少一个应用,还需要在用户请求访问某个应用之后,依据用户的身份权限信息,从该应用的应用数据集合中确定出用户具备访问权限的数据子集合,并从数据子集合中确定出用户具备访问权限的至少一条记录以及至少一个字段,才可以最终筛选出用户具备访问权限的目标数据集合并展现给用户,这样,有利于更为合理,精细的控制用户对数据的访问,有利于减少用户越权访问,从而可以提高数据的安全性,降低数据被泄露的风险。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1示出了本申请的一种数据访问控制方法一个实施例的流程示意图;
图2示出了本申请的一种数据访问控制方法在一个应用实例中的实现示意图;
图3示出了本申请一种数据访问控制装置一个实施例的组成结构示意图。
具体实施方式
下面结合附图对本申请实施例的方案进行介绍。
如,参见图1,其示出了本申请一种数据访问控制方法一个实施例的流程示意图,本实施例的方法可以应用于任意数据管理系统,如,用于数据管理的独立服务器、分布式服务器集群中的服务器等等。
本实施例的方法可以包括:
S101,当接收到用户的登录请求时,获取用于表征该用户具有的数据访问权限的身份权限信息。
其中,身份权限信息用于表征用户所可能访问的数据的权限范围。
该身份权限信息可以为用户所具有的多个维度的身份信息,如,该身份权限信息可以包括:用户所属的单位、部门、职务、工作权限、预授权信息中的一种或者多种。
其中,用户所属的单位可以是用户所属的公司或者子公司等信息,部门可以表征用户在单位所从事的业务的范围,如,用户所属的部门可以为财务部门、行政部门等;职务可以反映用户在所在部门或单位的职权以及级别等等;而工作权限可以表征在该用户在所在部分所负责的业务的具体范围,通过工作范围可以反映出用户所可能涉及到的业务的具体分支;预授权信息可以为预先为该用户授权的访问权限等信息,该预授权信息所包含的访问权限可以不受该用户所在的单位、部门、职务所对应的访问权限的限制。
可以理解的是,用户的身份权限信息可以预先配置并存储在数据维护系统(如数据库管理系统或者其他数据存储以及维护的系统)的服务器中,以便在用户请求登录数据维护系统时,获取预先存储的该用户的身份权限信息。
可选的,为了进一步保证数据的安全性,在接收到用户的登录请求时,还可以根据该登录请求中携带的登录信息,对用户进行身份验证,只有验证用户身份合法时,才执行获取用户的身份权限信息,以便确定所能访问的数据范围。其中,对用户进行身份验证的方式可以有多种,如,登录信息包括用户名和密码时,可以将该密码与服务器中预先存储的该用户名所对应的密码进行匹配,如果一致,则确定用户身份合法,身份验证通过。当然,在实际应用中还可以有其他验证用户身份合法性的方式,在此不加以限制。
S102,依据该用户的身份权限信息,确定该用户具有访问权限的至少一个应用。
其中,不同的应用映射有不同的应用数据集合。一个应用也可以认为是一个数据访问入口,不同应用所涉及的可访问数据存在差异。每个应用可以对应着一套数据管理体系,且不同应用所涉及到的数据管理功能不同。如,在数据维护系统中可以设置有多个不同的应用,而不同应用涉及不同范围的数据的查询功能。
例如,结合图2所示,以银行系统为例,银行系统内所涉及到的应用可以有公司金融、个人金融、授信管理、以及风险管理等多个应用。其中,公司金融这一应用所涉及到的数据包括公司贷款、公司存款等,而个人金融涉及到的数据包括:个人贷款、个人存款;而风险管理所涉及到的数据包括:风险计量、信用风险等等。
举例说明,假设预先针对每种业务设置具备操作权限的应用的种类,假设用户的身份权限信息中包括用户所属的部门,以及该部门所从事的业务,那么根据该用户所属部门所从事的业务,可以查询出用户具备操作权限的至少一个应用。
当然,可以理解的是,除了基于用户所从事的业务设置用户所具备访问权限的应用之外,还可以是结合用户所在的部门、职务、所从事的业务等身份权限信息中的一种或多种,来匹配用户所具备访问权限的应用,在此不加以限制。
作为一种可选方式,考虑到每个应用可以对应一个应用访问入口,因此,可以先依据用户的身份权限信息,确定用户具有访问权限的至少一个应用访问入口,其中,不同的应用访问入口链接不同的应用。然后,可以向用户展现该用户具备访问权限的该至少一个应用访问入口,以便用户根据需要选择所需访问的目标应用所对应的目标应用访问入口。其中,向用户展现该至少一个应用访问入口可以是将包含至少一个应用访问入口的界面返回给所述用户所在的终端,以在该终端展现出包含该至少一个应用访问入口的界面。这样,用户可以通过点击等操作,从该至少一个应用访问入口中,选择所需访问的目标应用所对应的目标应用访问入口。
相应的,服务器检测到用户对目标应用访问入口的访问请求时,则确定该目标应用访问入口所链接的目标应用。
S103,当检测到对目标应用的访问请求时,依据该用户的身份权限信息,从该目标应用对应的应用数据集合中,确定出该用户具备访问权限的数据子集合。
其中,目标应用属于该用户具备访问权限的该至少一个应用。
其中,用户可以根据需要选择所需访问的应用,在本申请实施例中,将用户选择访问的应用称为目标应用。用户选择目标应用的方式可以是输入目标应用的名称,也可以如步骤S102中所介绍的通过点击目标应用的目标应用访问入口的方式实现,当然,还可以有其他方式触发生成对目标应用的访问请求,在此不加以限制。
可以理解的是,一个应用对应着一个应用数据集合,该应用数据集合可以为一个或者多个文件;也可以是一个或者多个数据表等。
该应用数据集合可以分为多个部分,而用户的身份权限信息不同时,用户所能访问的该应用数据集合中的部分也会有所差异。在本申请实施例中,将应用数据集合中,该用户具备访问权限的数据所组成的集合称为数据子集合,该数据子集合为该应用数据集合的一部分或者全部。
如,可以分为多个数据项,例如,当应用数据集合包括多个文件时,每个文件可以认为是一个数据项;而当该应用数据集合包括一个文件时,则将文件分成多个部分,每部分为一个数据项。又如,应用数据集合包括多个数据表时,每个数据表可以认为是一个数据项。
如,仍结合图2说明,以“风险管理”为例,风险管理所涉及到的应用数据集合可以包括“风险计量”、“信用风险”等多个数据项,可以用户的身份权限信息不同,用户所能访问的数据项也会有所不同,例如,用户A属于部门1中从事业务1的职员,则该用户可以访问风险计量相关的数据,而无法访问信用风险的数据。当然,在实际应用中,用户也有可能是可以访问风险计量中的部分数据,以及信用风险中的部分数据,具体可以根据需要设定,在此不加以限制。
可以理解的是,作为一种可选方式,该步骤S103,也可以是从该目标应用的应用数据集合中,确定出该用户具备访问权限的数据权限范围,其中,该数据权限范围用于从该目标应用对应的应用数据集合中,定位出用户具有访问权限的数据子集合。也就是说,依据该用户的身份权限信息,可以先确定出该应用数据集合中,用户所具备访问权限的数据权限范围,而无需直接筛选出该数据子集合,这样,后续可以根据该数据权限范围以及后面步骤所确定出的相关访问权限,再统一从该应用数据集合中定位出该数据子集合,以及从数据子集合中最终确定出用户具备访问权限的数据。
S104,依据该用户的身份权限信息,从该数据子集合中确定出该用户具备访问权限的至少一条目标记录,以及每条目标记录中该用户具备访问权限的至少一个目标字段。
在本申请实施例中,对数据的访问进行细粒度的控制,当用户的身份权限信息不同时,用户对于目标应用的应用数据集合中所能访问的数据子集合中记录的访问权限不同,即使同一条记录,不同用户所能访问的字段也可能会存在差异。
如,用户可以访问目标应用的应用数据集合中一个数据表的数据,但是并不代表该用户可以访问整个数据表,而是预先设定了该用户可以访问数据表中哪些记录,以及每个记录中的哪些字段。
可以理解的是,依据用户的身份权限信息,确定用户所能访问的记录以及字段的方式可以有多种可能。
如,在一种实现方式中,可以预先根据构建用户的身份权限信息所对应的记录以及字段的对应关系,这样,根据该对应关系,可以从该数据子集合中,确定出用户具备访问权限的记录以及字段的信息。
又如,在又一种实现方式中,用户的身份权限信息中可以包括记录的权限等级,以及字段的权限等级,相应的,可以设定每条记录的等级,以及字段的等级,其中,如果用户对应的记录的权限等级大于或等于记录的等级,则用户具备访问该条记录的权限;相应的,如果用户对应的字段的权限等级大于某个字段的等级,则该用户具备访问该字段的权限。
举例说明,假设用户A具备访问数据表1的权限,而数据表1中有2条记录分别为记录1和记录2,其中记录1的等级为8,而记录2的等级为0;这两条记录中都包括3个字段,分别为字段1、字段2和字段3,其中,字段1的等级为0,字段2的等级为5,字段3的等级为8,假设用户M对应的记录的权限等级为9,字段等级为6,则该用户M具备访问记录1和记录2中字段1和字段2的权限;而用户N对应的记录的权限等级为6,字段的权限等级为8,那么该用户N只具备对记录2的访问权限,但是能访问记录2中的字段1、字段2和字段3。
S105,从该数据子集合中,依次筛选出每条目标记录中的该至少一个目标字段的数据,并将筛选出的目标数据集合展现给该用户。
在确定出目标应用对应的应用集合中,用户具备数据访问权限的数据子集合,以及数据子集合中该用户可访问的记录以及每条记录中可访问的字段之后,可以从该数据子集合中最终筛选出可供用户访问的数据。在本申请实施例中,筛选出的可供用户访问的数据称为目标数据集合。
可以理解的是,筛选出目标数据集合之后,可以将目标数据集合发送给用户所在的终端,以在终端中呈现出用户所可访问的该目标数据集合。
可选的,在步骤S103确定出用户具备访问权限的数据权限范围的情况下,该步骤S105可以为:依据用户对应的数据权限范围,该用户具备访问权限的至少一条目标记录的信息,以及每条所述记录中用户具备访问权限的至少一个目标字段的信息,从所述目标应用对应的应用数据集合中筛选出所述用户具备访问权限的数据所组成的目标数据集合;
由以上可知,在本申请实施例中,将存储的数据的访问权限进行了较细粒度的权限划分,在接收到用户的登录请求之后,不仅需要根据用户的身份权限信息,确定出用户所能访问的至少一个应用,还需要在用户请求访问某个应用之后,依据用户的身份权限信息,从该应用的应用数据集合中确定出用户具备访问权限的数据子集合,并从数据子集合中确定出用户具备访问权限的至少一条记录以及至少一个字段,才可以最终筛选出用户具备访问权限的目标数据集合并展现给用户,这样,有利于更为合理,精细的控制用户对数据的访问,有利于减少用户越权访问,从而可以提高数据的安全性,降低数据被泄露的风险。
为了便于理解本申请实施例的方案,下面结合一个实例,对本申请实施例的方案进行介绍。如,参见图2,其示出了本申请实施例的访问控制方法所应用的一个实例的实现过程示意图。
在图2所示的实例中,以请求登录服务器的用户所管理的业务条线为风险管理,该用户所在的机构(或者说部门)为:分行风险管理部,职务为副总经理;该用户对应的记录的等级权限为7,而字段的等级权限为6为例进行说明。同时,假设该用户需要进行的访问操作为:查询某支行向个人贷款的客户基本信息。
在用户请求登录服务器,且服务器对用户进行身份验证通过之后,服务器根据该用户所从事的业务,从预置的多个应用访问入口(图2中的应用入口)中,确定出用户具备访问权限的应用访问入口至少包括“风险管理”,则可以将包含“风险管理”的应用访问入口展现到用户所在的客户端,而用户查询个人贷款的客户基本信息时,可以访问该“风险管理”对应的应用的数据,在该种情况下,用户可以点击该“风险管理”的应用访问入口,以使得服务器确定出用户需要访问“风险管理”对应的应用数据集合。
在确定出“风险管理”对应的应用数据集合之后,服务器可以根据用户所在的机构以及职务,确定用户对于该应用数据集合的数据权限范围;同时,依据用户的记录的权限等级以及字段的权限等级,确定在该数据权限范围内,用户所能访问的记录以及字段。
如,在图2中,“风险管理“所涉及到的数据可以包括风险计量以及信用风险等多个方面的数据,假设依据用户的数据权限范围,确定出用户所能访问的数据子集合为图2中最后一个方框内所示出的数据,即图2中”数据存储“部分所包含的数据,如图2中以包含两条记录为例。在此基础上,根据用户对应的记录的权限等级以及字段的权限等级,可以从”数据存储“中显示出的两个记录中,确定出用户具备访问权限的目标数据集合。
在图2中,“数据存储”202部分中显示的记录中,记录密集代表记录的等级,如“客户号”为“1”的记录所对应的记录密集为0,而“客户号”为“1”的记录的记录密集为9。同时,每个字段上方都显示有该字段对应的信息密集,信息密集就代表该字段的等级,如,“客户号”这一字段的等级为0,而“姓名“以及”身份证“这两个字段的等级均为6,而”授权额度“这一字段的等级为3等等。这样,根据用户对应的记录的权限等级可知,该用户具备访问“客户号”为“1”的记录;同时,根据用户对应的字段的权限等级,可知,该用户可以访问“客户号”为“1”的记录中“客户号“、”姓名“、”身份证“、”授信额度“以及”年收入“这几个等级低于6的字段,这样,最终可以筛选出用户具备访问权限的目标数据集合可以如图2中的目标数据集合201所示。在该目标数据集合中,该“客户号”为“1”的记录中“家庭住址“和”联系方式“这两个字段的具体信息不可见。
对应本申请的一种数据访问控制方法,本申请还提供了一种数据访问控制装置,如,参见图3,其示出了本申请一种数据访问控制装置一个实施例的组成结构示意图,本实施例的装置可以包括:
权限获取单元301,用于当接收到用户的登录请求时,获取用于表征所述用户具有的数据访问权限的身份权限信息;
应用筛选单元302,用于依据所述用户的身份权限信息,确定所述用户具有访问权限的至少一个应用,其中,不同的应用映射有不同的应用数据集合;
第一匹配单元303,用于当检测到对目标应用的访问请求时,依据所述用户的身份权限信息,从所述目标应用对应的应用数据集合中,确定出所述用户具备访问权限的数据子集合,其中,所述目标应用属于所述至少一个应用;
第二匹配单元304,用于依据所述用户的身份权限信息,从所述数据子集合中确定出所述用户具备访问权限的至少一条目标记录,以及每条所述目标记录中所述用户具备访问权限的至少一个目标字段;
数据筛选单元305,用于从所述数据子集合中,依次筛选出每条所述目标记录中的所述至少一个目标字段的数据,并将筛选出的目标数据集合展现给所述用户。
在一种实现方式中,所述装置还可以包括:
身份验证单元,用于在所述权限获取单元获取用于表征所述用户具有的数据访问权限的身份权限信息之前,依据所述登录请求中携带的登录信息,对所述用户进行身份验证,并当验证所述用户身份合法时,触发执行所述权限获取单元的操作。
在一种实现方式中,所述权限获取单元,包括:
权限获取子单元,用于获取预先存储的所述用户所属的单位、部门、职务、工作权限、预授权信息中的一种或者多种。
在一种实现方式中,所述应用筛选单元,包括:
入口确定单元,用于依据所述用户的身份权限信息,确定所述用户具有访问权限的至少一个应用访问入口,其中,不同的应用访问入口链接不同的应用;
入口展现单元,用于向所述用户展现所述至少一个应用访问入口;
所述第一匹配单元在检测到对目标应用的访问请求时,具体用于,检测到所述用户对所述至少一个应用访问入口中的目标应用访问入口的访问请求,所述目标应用访问入口用于链接所述目标应用。
在一种实现方式中,所述第一匹配单元,包括:
第一权限匹配子单元,用于依据所述用户的身份权限信息,从所述目标应用对应的应用数据集合中,确定出所述用户具备访问权限的数据权限范围,其中,所述数据权限范围用于从所述目标应用对应的应用数据集合中,定位出所述用户具有访问权限的数据子集合;
所述数据筛选单元,用于
数据筛选子单元,用于依据所述用户对应的数据权限范围,所述用户具备访问权限的至少一条目标记录的信息,以及每条所述记录中用户具备访问权限的至少一个目标字段的信息,从所述目标应用对应的应用数据集合中筛选出所述用户具备访问权限的数据所组成的目标数据集合;
数据展现子单元,用于将所述目标数据集合展现给所述用户。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
以上仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种数据访问控制方法,其特征在于,包括:
当接收到用户的登录请求时,获取用于表征所述用户具有的数据访问权限的身份权限信息;
依据所述用户的身份权限信息,确定所述用户具有访问权限的至少一个应用,其中,不同的应用映射有不同的应用数据集合;
当检测到对目标应用的访问请求时,依据所述用户的身份权限信息,从所述目标应用对应的应用数据集合中,确定出所述用户具备访问权限的数据子集合,其中,所述目标应用属于所述至少一个应用;
依据所述用户的身份权限信息,从所述数据子集合中确定出所述用户具备访问权限的至少一条目标记录,以及每条所述目标记录中所述用户具备访问权限的至少一个目标字段;
从所述数据子集合中,依次筛选出每条所述目标记录中的所述至少一个目标字段的数据,并将筛选出的目标数据集合展现给所述用户。
2.根据权利要求1所述的数据访问控制方法,其特征在于,在所述获取用于表征所述用户具有的数据访问权限的身份权限信息之前,还包括:
依据所述登录请求中携带的登录信息,对所述用户进行身份验证;
当验证所述用户身份合法时,执行所述获取用于表征用户具有的数据访问权限的身份权限信息。
3.根据权利要求1或2所述的数据访问控制方法,其特征在于,所述获取用于表征所述用户具有的数据访问权限的身份权限信息,包括:
获取预先存储的所述用户所属的单位、部门、职务、工作权限以及预授权信息中的一种或者多种。
4.根据权利要求1所述的数据访问控制方法,其特征在于,所述依据所述用户的身份权限信息,确定所述用户具有访问权限的至少一个应用,包括:
依据所述用户的身份权限信息,确定所述用户具有访问权限的至少一个应用访问入口,其中,不同的应用访问入口链接不同的应用;
向所述用户展现所述至少一个应用访问入口;
所述检测到对目标应用的访问请求,包括:
检测到所述用户对所述至少一个应用访问入口中的目标应用访问入口的访问请求,所述目标应用访问入口用于链接所述目标应用。
5.根据权利要求1所述的数据访问控制方法,其特征在于,所述依据所述用户的身份权限信息,从所述目标应用对应的应用数据集合中,确定出所述用户具备访问权限的数据子集合,包括:
依据所述用户的身份权限信息,从所述目标应用对应的应用数据集合中,确定出所述用户具备访问权限的数据权限范围,其中,所述数据权限范围用于从所述目标应用对应的应用数据集合中,定位出所述用户具有访问权限的数据子集合;
所述从所述数据子集合中,依次筛选出每条所述目标记录中的所述至少一个目标字段的数据,并将筛选出的目标数据集合展现给所述用户,包括:
依据所述用户对应的数据权限范围,所述用户具备访问权限的至少一条目标记录的信息,以及每条所述记录中用户具备访问权限的至少一个目标字段的信息,从所述目标应用对应的应用数据集合中筛选出所述用户具备访问权限的数据所组成的目标数据集合;
将所述目标数据集合展现给所述用户。
6.一种数据访问控制装置,其特征在于,包括:
权限获取单元,用于当接收到用户的登录请求时,获取用于表征所述用户具有的数据访问权限的身份权限信息;
应用筛选单元,用于依据所述用户的身份权限信息,确定所述用户具有访问权限的至少一个应用,其中,不同的应用映射有不同的应用数据集合;
第一匹配单元,用于当检测到对目标应用的访问请求时,依据所述用户的身份权限信息,从所述目标应用对应的应用数据集合中,确定出所述用户具备访问权限的数据子集合,其中,所述目标应用属于所述至少一个应用;
第二匹配单元,用于依据所述用户的身份权限信息,从所述数据子集合中确定出所述用户具备访问权限的至少一条目标记录,以及每条所述目标记录中所述用户具备访问权限的至少一个目标字段;
数据筛选单元,用于从所述数据子集合中,依次筛选出每条所述目标记录中的所述至少一个目标字段的数据,并将筛选出的目标数据集合展现给所述用户。
7.根据权利要求6所述的数据访问控制装置,其特征在于,还包括:
身份验证单元,用于在所述权限获取单元获取用于表征所述用户具有的数据访问权限的身份权限信息之前,依据所述登录请求中携带的登录信息,对所述用户进行身份验证,并当验证所述用户身份合法时,触发执行所述权限获取单元的操作。
8.根据权利要求6或7所述的数据访问控制装置,其特征在于,所述权限获取单元,包括:
权限获取子单元,用于获取预先存储的所述用户所属的单位、部门、职务、工作权限、预授权信息中的一种或者多种。
9.根据权利要求6所述的数据访问控制装置,其特征在于,所述应用筛选单元,包括:
入口确定单元,用于依据所述用户的身份权限信息,确定所述用户具有访问权限的至少一个应用访问入口,其中,不同的应用访问入口链接不同的应用;
入口展现单元,用于向所述用户展现所述至少一个应用访问入口;
所述第一匹配单元在检测到对目标应用的访问请求时,具体用于,检测到所述用户对所述至少一个应用访问入口中的目标应用访问入口的访问请求,所述目标应用访问入口用于链接所述目标应用。
10.根据权利要求6所述的数据访问控制装置,其特征在于,所述第一匹配单元,包括:
第一权限匹配子单元,用于依据所述用户的身份权限信息,从所述目标应用对应的应用数据集合中,确定出所述用户具备访问权限的数据权限范围,其中,所述数据权限范围用于从所述目标应用对应的应用数据集合中,定位出所述用户具有访问权限的数据子集合;
所述数据筛选单元,用于
数据筛选子单元,用于依据所述用户对应的数据权限范围,所述用户具备访问权限的至少一条目标记录的信息,以及每条所述记录中用户具备访问权限的至少一个目标字段的信息,从所述目标应用对应的应用数据集合中筛选出所述用户具备访问权限的数据所组成的目标数据集合;
数据展现子单元,用于将所述目标数据集合展现给所述用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711285016.1A CN108040046A (zh) | 2017-12-07 | 2017-12-07 | 数据访问控制方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711285016.1A CN108040046A (zh) | 2017-12-07 | 2017-12-07 | 数据访问控制方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108040046A true CN108040046A (zh) | 2018-05-15 |
Family
ID=62096238
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711285016.1A Pending CN108040046A (zh) | 2017-12-07 | 2017-12-07 | 数据访问控制方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108040046A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109472159A (zh) * | 2018-11-15 | 2019-03-15 | 泰康保险集团股份有限公司 | 访问控制方法、装置、介质及电子设备 |
| CN109495480A (zh) * | 2018-11-22 | 2019-03-19 | 北京车和家信息技术有限公司 | 权限管理方法、装置及服务器 |
| CN110930234A (zh) * | 2019-11-18 | 2020-03-27 | 河南城建学院 | 一种具有远程访问功能的财务管理方法 |
| CN111563064A (zh) * | 2020-04-28 | 2020-08-21 | 上海鸿翼软件技术股份有限公司 | 一种文件操作的方法、系统、设备及可读存储介质 |
| CN111783054A (zh) * | 2020-05-20 | 2020-10-16 | 厦门快商通科技股份有限公司 | 基于声纹识别的数据访问方法、系统及移动终端 |
| CN112699407A (zh) * | 2020-12-31 | 2021-04-23 | 北京字跳网络技术有限公司 | 业务数据的访问方法、装置、设备和存储介质 |
| CN113297302A (zh) * | 2021-05-27 | 2021-08-24 | 上海商汤智能科技有限公司 | 财务数据显示方法及装置、电子设备、存储介质 |
| CN113934995A (zh) * | 2021-09-15 | 2022-01-14 | 南方电网深圳数字电网研究院有限公司 | 应用于数据访问的行列权限设置方法及装置 |
| CN114115853A (zh) * | 2021-11-25 | 2022-03-01 | 上海数之客科技有限公司 | 一种动态控制api接口访问的方法及系统 |
| CN114115853B (zh) * | 2021-11-25 | 2024-06-21 | 上海数之客科技有限公司 | 一种动态控制api接口访问的方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
| US7752316B1 (en) * | 1998-06-30 | 2010-07-06 | Emc Corporation | Method and system for securing network access to data stored in a data storage system |
| CN105430013A (zh) * | 2015-12-28 | 2016-03-23 | 中国农业银行股份有限公司 | 一种信息访问控制方法及系统 |
-
2017
- 2017-12-07 CN CN201711285016.1A patent/CN108040046A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7752316B1 (en) * | 1998-06-30 | 2010-07-06 | Emc Corporation | Method and system for securing network access to data stored in a data storage system |
| CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
| CN105430013A (zh) * | 2015-12-28 | 2016-03-23 | 中国农业银行股份有限公司 | 一种信息访问控制方法及系统 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109472159A (zh) * | 2018-11-15 | 2019-03-15 | 泰康保险集团股份有限公司 | 访问控制方法、装置、介质及电子设备 |
| CN109495480A (zh) * | 2018-11-22 | 2019-03-19 | 北京车和家信息技术有限公司 | 权限管理方法、装置及服务器 |
| CN110930234A (zh) * | 2019-11-18 | 2020-03-27 | 河南城建学院 | 一种具有远程访问功能的财务管理方法 |
| CN110930234B (zh) * | 2019-11-18 | 2024-03-12 | 河南城建学院 | 一种具有远程访问功能的财务管理方法 |
| CN111563064A (zh) * | 2020-04-28 | 2020-08-21 | 上海鸿翼软件技术股份有限公司 | 一种文件操作的方法、系统、设备及可读存储介质 |
| CN111783054A (zh) * | 2020-05-20 | 2020-10-16 | 厦门快商通科技股份有限公司 | 基于声纹识别的数据访问方法、系统及移动终端 |
| CN112699407A (zh) * | 2020-12-31 | 2021-04-23 | 北京字跳网络技术有限公司 | 业务数据的访问方法、装置、设备和存储介质 |
| CN113297302A (zh) * | 2021-05-27 | 2021-08-24 | 上海商汤智能科技有限公司 | 财务数据显示方法及装置、电子设备、存储介质 |
| CN113934995A (zh) * | 2021-09-15 | 2022-01-14 | 南方电网深圳数字电网研究院有限公司 | 应用于数据访问的行列权限设置方法及装置 |
| CN114115853A (zh) * | 2021-11-25 | 2022-03-01 | 上海数之客科技有限公司 | 一种动态控制api接口访问的方法及系统 |
| CN114115853B (zh) * | 2021-11-25 | 2024-06-21 | 上海数之客科技有限公司 | 一种动态控制api接口访问的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108040046A (zh) | 数据访问控制方法和装置 | |
| US6256737B1 (en) | System, method and computer program product for allowing access to enterprise resources using biometric devices | |
| US7779457B2 (en) | Identity verification system | |
| US8327421B2 (en) | System and method for identity consolidation | |
| CN110334489A (zh) | 一种统一身份认证系统和方法 | |
| US8161525B2 (en) | Method and system for architecting a secure solution | |
| Millett et al. | Who goes there?: Authentication through the lens of privacy | |
| US7992002B2 (en) | Data depository and associated methodology providing secure access pursuant to compliance standard conformity | |
| CN102761551B (zh) | 多级跨域访问控制系统及控制方法 | |
| CN106534199B (zh) | 大数据环境下基于xacml和saml的分布式系统认证与权限管理平台 | |
| Wang et al. | A contextual framework for combating identity theft | |
| EA002175B1 (ru) | Система опознавательных карточек | |
| US20120131657A1 (en) | Apparatus and Method for Authenticated Multi-User Personal Information Database | |
| CN105141614B (zh) | 一种移动存储设备的访问权限控制方法及装置 | |
| WO2007130855A2 (en) | Secure sharing of personal information | |
| US20070294403A1 (en) | Third party database security | |
| CN110417820A (zh) | 单点登录系统的处理方法、装置及可读存储介质 | |
| CN110138726A (zh) | 一种智能优化管理云端信息的方法及系统 | |
| CN103023921A (zh) | 一种认证接入方法和认证系统 | |
| CN109034987A (zh) | 一种基于区块链的税务管理方法及系统 | |
| KR100745446B1 (ko) | 인증 방법, 인증 시스템, 인증 장치 및 기록 매체 | |
| CN105827597A (zh) | 一种管理互联网账号与密码的方法 | |
| Pato et al. | Identity management: Setting context | |
| WO2001065375A1 (en) | System, method and computer program product for an authentication management infrastructure | |
| Nanda et al. | Oracle Privacy Security Auditing: Includes Federal Law Compliance with HIPAA, Sarbanes Oxley and the Gramm Leach Bliley Act GLB |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180515 |