CN109784073A - 数据访问方法及装置、存储介质、计算机设备 - Google Patents
数据访问方法及装置、存储介质、计算机设备 Download PDFInfo
- Publication number
- CN109784073A CN109784073A CN201811640161.1A CN201811640161A CN109784073A CN 109784073 A CN109784073 A CN 109784073A CN 201811640161 A CN201811640161 A CN 201811640161A CN 109784073 A CN109784073 A CN 109784073A
- Authority
- CN
- China
- Prior art keywords
- data
- visited
- main body
- legal
- executing subject
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本申请公开了数据访问方法及装置、存储介质、计算机设备,该方法包括:当接收到待访问数据的读取请求时,根据所述读取请求确定需要读取所述待访问数据的执行主体和所述待访问数据的归属主体;根据需要读取所述待访问数据的执行主体,判断所述待访问数据的归属主体是否为合法归属主体;根据所述判断结果,确定是否允许所述执行主体读取所述待访问数据。本申请能够通过对待访问数据的归属主体进行合法性判别,有效避免执行主体根据与其不相匹配的归属主体恶意读取敏感数据,从而增强对敏感数据的保护程度,保障了敏感数据的安全性。
Description
技术领域
本申请涉及计算机技术领域,尤其是涉及到数据访问方法及装置、存储介质、计算机设备。
背景技术
随着互联网技术的发展,网络安全显得尤为重要,但在现有的数据保护方案中,数据并没有对可信应用程序设置访问权限,可信应用程序可以对所有数据进行读取操作,或者当合法进程需要读取的数据与该合法进程不存在相应的访问权限时,该合法进程仍然可以对该数据进行读取。
可见,通过控制可信应用程序或者合法进程是能够恶意读取与其不相关的敏感数据的,并不需要对读取操作的合理性进行识别,从而导致敏感数据的泄露,敏感数据的安全性较低。
发明内容
有鉴于此,本申请提供了数据访问方法及装置、存储介质、计算机设备,有效防止通过控制可信程序或者合法进程恶意访问与其不相关的敏感数据,从而提高敏感数据的安全性。
根据本申请的一个方面,提供了一种数据访问方法,包括:
当接收到待访问数据的读取请求时,根据所述读取请求确定需要读取所述待访问数据的执行主体和所述待访问数据的归属主体;
根据需要读取所述待访问数据的执行主体,判断所述待访问数据的归属主体是否为合法归属主体;
根据所述判断结果,确定是否允许所述执行主体读取所述待访问数据。
根据本申请的另一方面,提供了一种数据访问装置,包括:
接收单元,用于当接收到待访问数据的读取请求时,根据所述读取请求确定需要读取所述待访问数据的执行主体和所述待访问数据的归属主体;
判断单元,用于根据需要读取所述待访问数据的执行主体,判断所述待访问数据的归属主体是否为合法归属主体;
读取单元,用于根据所述判断结果,确定是否允许所述执行主体读取所述待访问数据。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述数据访问方法。
依据本申请再一个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述数据访问方法。
借由上述技术方案,本申请提供的数据访问方法及装置、存储介质、计算机设备,当接收到待访问数据的读取请求时,根据读取请求确定待访问数据的归属主体和需要读取待访问数据的执行主体,并根据需要读取待访问数据的执行主体,判断待访问数据的归属主体是否为合法归属主体,最后根据判断结果,确定是否允许执行主体读取待访问数据,即在进行数据访问时,通过对待访问数据的归属主体进行合法性判别,有效避免执行主体根据与其不相匹配的归属主体恶意读取敏感数据,从而增强对敏感数据的保护程度,保障了敏感数据的安全性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的数据访问方法的流程示意图;
图2示出了本申请实施例提供的另一种数据访问方法的流程示意图;
图3示出了本申请实施例提供的一种数据访问装置的结构示意图;
图4示出了本申请实施例提供的另一种数据访问装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种数据访问方法,如图1所示,该方法包括:
步骤101,当接收到待访问数据的读取请求时,根据所述读取请求确定需要读取所述待访问数据的执行主体和所述待访问数据的归属主体。
待访问数据的读取请求中至少包括需要读取所述待访问数据的执行主体信息和待访问数据的归属主体信息。
待访问数据的归属主体信息包括读取请求的关联权限信息,读取请求将要访问的目录文件的权限信息中的一个或多个,读取请求的关联权限信息是指读取请求授权的客户端或者服务器的标识信息。待访问数据的归属主体包括读取请求授权的客户端或者服务器、读取请求将要访问的目录文件中的一个或多个。
其中,待访问数据可以为数据库数据、可信应用程序产生的数据、浏览器合法进程的目录文件对应的数据、文档数据(如txt、doc等格式的文档数据),可信应用程序可以为可用即时通信软件、下载工具软件、办公软件等应用程序。
步骤102,根据需要读取所述待访问数据的执行主体,判断所述待访问数据的归属主体是否为合法归属主体。
需要读取待访问数据的执行主体可以是可信应用程序或者是合法进程,以合法进程为例,合法进程可以为浏览器合法进程,此处不对可信应用程序、合法进程进行具体限定。合法归属主体包括执行主体授权的客户端或者服务器、执行主体能够访问的目录文件中的一个或多个。
在上述实施例中,在待访问数据生成时预置合法归属主体,并建立执行主体和合法归属主体的对应关系,当接收到待访问数据的读取请求时,利用预置的执行主体和合法归属主体的对应关系,判断待访问数据的归属主体是否为合法归属主体。
在上述实施例中,执行主体为可信应用程序,当待访问数据生成时,预置合法归属主体为可信应用程序授权的客户端或者服务器,并建立可信应用程序与其授权的客户端或者服务器的对应关系,具体地,客户端A利用客户端B访问某一可信应用程序产生的数据时,当接收到待访问数据的读取请求时,利用预置的可信应用程序与其授权的客户端或者服务器的对应关系,判断读取请求授权的客户端A和客户端B是否为上述可信应用程序授权的客户端或者服务器。
在上述实施例中,执行主体为浏览器合法进程,当待访问数据生成时,预置合法归属主体为浏览器合法进程能够访问的工作目录和数据目录,并建立浏览器合法进程与其能够访问的工作目录和数据目录的对应关系,当接收到待访问数据的读取请求时,利用预置的浏览器合法进程与其能够访问的工作目录和数据目录的对应关系,判断读取请求将要访问的目录文件是否为浏览器合法进程能够访问的工作目录和数据目录,其中,浏览器可以是IE浏览器等现有浏览器,此处不对浏览器进行具体限定。
步骤103,根据所述判断结果,确定是否允许所述执行主体读取所述待访问数据。
利用预置的执行主体和合法归属主体的对应关系,判断待访问数据的归属主体是否为合法归属主体,若待访问数据的归属主体是待访问数据生成时预置的合法归属主体,则允许执行主体直接读取待访问数据,若待访问数据的归属主体不是待访问数据生成时预置的合法归属主体,则拒绝执行主体读取待访问数据。
需要说明的是,当确定待访问数据的归属主体是合法归属主体时,允许需要读取所述待访问数据的执行主体直接读取待访问数据,反之,当确定待访问数据的归属主体不是合法归属主体时,拒绝需要读取所述待访问数据的执行主体读取待访问数据,从而有效防止执行主体根据非法归属主体读取敏感数据,提高敏感数据的安全性。
此外,通过应用本实施例的技术方案,还能够实现写行为等其它操作事件场景,例如除了能够用于数据读取之外,还适用于写入、修改、删除、重命名等场景。通过应用本实施例的技术方案,当接收到待访问数据的读取请求时,利用预置的执行主体和合法归属主体的对应关系,判断待访问数据的归属主体是否为合法归属主体,并根据判断结果,确定是否允许执行主体读取待访问数据,从而控制执行主体仅能基于合法归属主体读取待访问数据,当归属主体为非法归属主体时,拒绝执行主体读取待访问数据,进而避免执行主体读取敏感数据,造成敏感数据的泄露。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种数据访问方法,如图2所示,该方法包括:
步骤201,当接收到待访问数据的读取请求时,根据所述读取请求确定需要读取所述待访问数据的执行主体和所述待访问数据的归属主体。
例如,在Windows系统下,攻击者向用户发送的一份恶意文档,用户在不知情的情况下打开该恶意文档即完成了生成并发送待访问数据的读取请求的操作,待访问数据的读取请求包括需要读取待访问数据的执行主体信息和待访问数据的归属主体信息,根据该执行主体信息,确定需要读取待访问数据的执行主体后,将待访问数据的读取请求发送给执行主体,执行主体再根据读取请求获取执行主体信息和待访问数据的归属主体信息,并根据执行主体信息和待访问数据的归属主体信息,确定执行主体和待访问数据的归属主体。
步骤202,确定需要读取所述待访问数据的执行主体为可信应用程序或者合法进程。
对所确定的执行主体进行判断,若执行主体是可信应用程序或者合法进程,则继续根据执行主体判断待访问数据的归属主体是否为合法归属主体;若执行主体不是可信应用程序或者合法进程,则拒绝执行根据执行主体判断待访问数据的归属主体是否为合法归属主体的操作,并生成相应的提示信息发送给读取请求的发送方。
步骤203,根据需要读取所述待访问数据的执行主体,查询预置的所述执行主体和合法归属主体的对应关系。
在上述实施例中,当待访问数据生成时,执行主体根据待访问数据确定与其相匹配的访问权限,并根据与待访问数据相匹配的访问权限确定与访问权限相匹配的合法归属主体,从而预置待访问数据的合法归属主体,并建立执行主体和合法归属主体的对应关系,以便在接收到待访问数据的读取请求时,根据需要读取待访问数据的执行主体,查询预置的执行主体和合法归属主体的对应关系。
步骤204,根据预置的所述执行主体和合法归属主体的对应关系,判断所述待访问数据的归属主体是否为合法归属主体。
在上述实施例中,根据查询到的预置的执行主体和合法归属主体的对应关系,确定执行主体预置的合法归属主体,根据所确定的合法归属主体,判断待访问数据的归属主体是否为合法归属主体。
例如,客户端A利用客户端B访问某一可信应用程序产生的数据时,当上述可信应用程序接收到待访问数据的读取请求时,根据可信应用程序查询预置的可信应用程序与其授权的客户端或者服务器的对应关系,并确定可信应用程序预置的授权的客户端或者服务器,根据所确定的授权的客户端或者服务器,判断待访问数据的客户端A和客户端B是否为授权的客户端或者服务器。
例如,浏览器合法进程访问系统启动的目录文件时,当浏览器合法进程接收到待访问数据的读取请求时,根据浏览器合法进程查询预置的浏览器合法进程与其能够访问的目录文件的对应关系,并确定浏览器合法进程预置的能够访问的目录文件,根据所确定的浏览器合法进程能够访问的目录文件,判断待访问的系统启动的目录文件是否为浏览器合法进程能够访问的目录文件。
步骤2051,若所述待访问数据的归属主体与合法归属主体一致,则允许执行主体读取所述待访问数据。
在上述实施例中,根据所确定的合法归属主体,判断待访问数据的归属主体与合法归属主体是否一致,若待访问数据的归属主体与合法归属主体一致,则待访问数据的归属主体为合法归属主体,允许执行主体完成读取待访问数据的操作,并反馈相应的响应信息。
例如,客户端A访问某一可信应用程序产生的数据时,读取请求授权的客户端为客户端A,可信应用程序通过查询预置的可信应用程序与其授权的客户端或者服务器的对应关系,确定可信应用程序预置的授权的客户端或者服务器包括客户端A,根据所确定的授权的客户端或者服务器,确定客户端A是授权的客户端或者服务器,即客户端A为合法归属主体,允许可信应用程序直接读取待访问数据。
例如,浏览器合法进程访问其自身的工作目录时,浏览器合法进程通过查询预置的浏览器合法进程与其能够访问的目录文件的对应关系,确定浏览器合法进程预置的能够访问的目录文件,其中,浏览器合法进程能够访问的目录文件包括浏览器合法进程的工作目录,根据所确定的浏览器合法进程能够访问的工作目录,确定浏览器合法进程的工作目录是浏览器合法进程能够访问的目录文件,即浏览器合法进程的工作目录为合法归属主体,允许浏览器合法进程直接读取待访问数据。
步骤2052,归属主体和合法归属主体为多个,具体地,若所述待访问数据的归属主体分别与多个合法归属主体中任一合法归属主体一致,则允许执行主体读取所述待访问数据。
在上述实施例中,根据所确定的合法归属主体,分别判断待访问数据的归属主体与多个合法归属主体中任一合法归属主体是否一致,若待访问数据的归属主体与多个合法归属主体均一致,则待访问数据的归属主体为合法归属主体,允许执行主体直接读取待访问数据。
例如,客户端A利用客户端B访问某一可信应用程序产生的数据时,读取请求授权的客户端为客户端A和客户端B,可信应用程序通过查询预置的可信应用程序与其授权的客户端或者服务器的对应关系,确定可信应用程序预置的授权的客户端或者服务器包括客户端A、客户端B和客户端D;根据所确定的可信应用程序授权的客户端或者服务器,确定客户端A和客户端B是可信应用程序授权的客户端或者服务器,即客户端A和客户端B为合法归属主体,允许可信应用程序直接读取待访问数据。
例如,浏览器合法进程访问其自身的工作目录和数据目录时,读取请求将要访问的目录文件为浏览器合法进程访问自身的工作目录和数据目录,浏览器合法进程通过查询预置的浏览器合法进程与其能够访问的目录文件的对应关系,确定浏览器合法进程预置的能够访问的目录文件,其中,浏览器合法进程能够访问的目录文件包括浏览器合法进程的工作目录和数据目录;根据所确定的浏览器合法进程能够访问的工作目录和数据目录,确定待访问数据的浏览器合法进程的工作目录和数据目录是浏览器合法进程能够访问的目录文件,即浏览器合法进程的工作目录和数据目录为合法归属主体,允许浏览器合法进程直接读取待访问数据。
步骤2061,若所述待访问数据的归属主体与合法归属主体不一致,则拒绝所述执行主体读取所述待访问数据,并生成相应的提示信息。
在上述实施例中,若待访问数据的归属主体与合法归属主体不一致,则待访问数据的归属主体为非法归属主体,拒绝执行主体读取待访问数据,并生成相应的提示信息发送给读取请求的发送方。
例如,客户端C访问某一可信应用程序产生的数据时,可信应用程序通过查询预置的可信应用程序与其授权的客户端或者服务器的对应关系,确定可信应用程序预置的授权的客户端或者服务器包括客户端A,根据所确定的授权的客户端或者服务器,确定客户端C不是授权的客户端或者服务器,即客户端C为非法归属主体,拒绝可信应用程序读取待访问数据,并生成相应的提示信息。
例如,浏览器合法进程访问系统启动的目录文件时,浏览器合法进程通过查询预置的浏览器合法进程与其能够访问的目录文件的对应关系,确定浏览器合法进程预置的能够访问的目录文件,其中,浏览器合法进程能够访问的目录文件包括浏览器合法进程自身的目录文件,根据所确定的浏览器合法进程能够访问的目录文件,确定系统启动的目录文件不是浏览器合法进程能够访问的目录文件,即系统启动的目录文件为非合法归属主体,拒绝浏览器合法进程读取所述待访问数据,并生成相应的提示信息。
步骤2062,归属主体和合法归属主体为多个,具体地,若所述待访问数据的归属主体分别与多个合法归属主体中任一合法归属主体比较,至少一个待访问数据的归属主体与多个合法归属主体中任一合法归属主体不一致,则拒绝所述执行主体读取所述待访问数据,并生成相应的提示信息。
在上述实施例中,将待访问数据的归属主体分别与多个合法归属主体中任一合法归属主体比较,若至少一个待访问数据的归属主体与多个合法归属主体中任一合法归属主体不一致,则待访问数据的归属主体为非法归属主体,拒绝执行主体读取待访问数据,并生成相应的提示信息发送给读取请求的发送方。
例如,客户端A利用客户端C访问某一可信应用程序产生的数据时,读取请求授权的客户端为客户端A和客户端C,可信应用程序通过查询预置的可信应用程序与其授权的客户端或者服务器的对应关系,确定可信应用程序预置的授权的客户端或者服务器包括客户端A、客户端B和客户端D;根据所确定的可信应用程序授权的客户端或者服务器,确定客户端A是可信应用程序授权的客户端或者服务器,客户端C不是可信应用程序授权的客户端或者服务器,即客户端A为合法归属主体,客户端C为非法归属主体,客户端C与授权的客户端A、客户端B和客户端D不一致,拒绝可信应用程序读取待访问数据,并生成相应的提示信息。
例如,浏览器合法进程访问系统启动的目录文件时,读取请求将要访问的目录文件为系统启动的目录文件,浏览器合法进程通过查询预置的浏览器合法进程与其能够访问的目录文件的对应关系,确定浏览器合法进程预置的能够访问的目录文件,其中,浏览器合法进程能够访问的目录文件包括浏览器合法进程的工作目录和数据目录;根据所确定的浏览器合法进程能够访问的工作目录和数据目录,确定系统启动的目录文件不是浏览器合法进程能够访问的目录文件,即浏览器合法进程的系统启动的目录文件为非法归属主体,拒绝浏览器合法进程读取待访问数据,并生成相应的提示信息。
需要说明的是,通常情况下浏览器合法进程只会访问自身的工作目录和数据目录,因此,当确定读取请求将要访问的目录文件为非法归属主体时,浏览器合法进程拒绝读取待访问数据,从而控制浏览器合法进程只能访问自身的工作目录和数据目录,提高了敏感数据的安全性。
通过应用本实施例的技术方案,当待访问数据生成时,预置待访问数据的合法归属主体,并建立执行主体和合法归属主体的对应关系。当执行主体对待访问数据进行访问时,查询预置的执行主体和合法归属主体的对应关系,并判断待访问数据的归属主体与合法归属主体是否一致,若待访问数据的归属主体为合法归属主体一致,则允许执行主体读取待访问数据;若待访问数据的归属主体为非法归属主体,则拒绝执行主体读取待访问数据,从而避免攻击者通过控制执行主体恶意访问敏感数据,有效保护了敏感数据的安全性。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种数据访问装置,如图3所示,该装置包括:接收单元31、确定单元32和读取单元34。
接收单元31,用于当接收到待访问数据的读取请求时,根据所述读取请求确定需要读取所述待访问数据的执行主体和所述待访问数据的归属主体;
确定单元32,用于确定需要读取所述待访问数据的执行主体为可信应用程序或者合法进程;
读取单元34,用于根据所述判断结果,确定是否允许所述执行主体读取所述待访问数据。
在具体的应用场景中,如图4所示,判断单元33,具体包括:合法归属主体查询子单元331、归属主体判断子单元332。
合法归属主体查询子单元331,用于根据需要读取所述待访问数据的执行主体,查询预置的所述执行主体和合法归属主体的对应关系;
归属主体判断子单元332,用于根据预置的所述执行主体和合法归属主体的对应关系,判断所述待访问数据的归属主体是否为合法归属主体。
在具体的应用场景中,如图4所示,读取单元34,具体包括:第一读取执行子单元341、第一读取拒绝子单元342、第二读取执行子单元343、第二读取拒绝子单元344。
第一读取执行子单元341,用于若所述待访问数据的归属主体与合法归属主体一致,则允许所述执行主体读取所述待访问数据;
第一读取拒绝子单元342,用于若所述待访问数据的归属主体与合法归属主体不一致,则拒绝所述执行主体读取所述待访问数据,并生成相应的提示信息;
在具体的应用场景中,如图4所示,所述归属主体和所述合法归属主体为多个,具体包括:
第二读取执行子单元343,用于若所述待访问数据的归属主体分别与多个合法归属主体中任一合法归属主体一致,则允许所述执行主体读取所述待访问数据;
第二读取拒绝子单元343,用于若所述待访问数据的归属主体分别与多个合法归属主体中任一合法归属主体比较,至少一个待访问数据的归属主体与多个合法归属主体中任一合法归属主体不一致,则拒绝所述执行主体读取所述待访问数据,并生成相应的提示信息。
在具体的应用场景中,如图4所示,具体还包括:判断单元33。
判断单元33,用于根据需要读取所述待访问数据的执行主体,判断所述待访问数据的归属主体是否为合法归属主体。
需要说明的是,本申请实施例提供的一种数据访问装置所涉及各功能单元的其他相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
基于上述如图1和图2所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图2所示的数据访问方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2所示的方法,以及图3、图4所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该计算机设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的数据访问方法。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现当接收到待访问数据的读取请求时,根据读取请求确定待访问数据的归属主体和需要读取待访问数据的执行主体,并根据需要读取待访问数据的执行主体,判断待访问数据的归属主体是否为合法归属主体,最后根据判断结果,确定是否允许执行主体读取待访问数据,即在进行数据访问时,通过对待访问数据的归属主体进行合法性判别,有效避免执行主体根据与其不相匹配的归属主体恶意读取敏感数据,从而增强对敏感数据的保护程度,保障了敏感数据的安全性。
本发明实施例提供了以下技术方案:
A1、一种数据访问方法,包括:
当接收到待访问数据的读取请求时,根据所述读取请求确定需要读取所述待访问数据的执行主体和所述待访问数据的归属主体;
根据需要读取所述待访问数据的执行主体,判断所述待访问数据的归属主体是否为合法归属主体;
根据所述判断结果,确定是否允许所述执行主体读取所述待访问数据。
A2、根据权利要求A1所述的方法,根据需要读取所述待访问数据的执行主体,判断所述待访问数据的归属主体是否为合法归属主体,具体包括:
根据需要读取所述待访问数据的执行主体,查询预置的所述执行主体和合法归属主体的对应关系;
根据预置的所述执行主体和合法归属主体的对应关系,判断所述待访问数据的归属主体是否为合法归属主体。
A3、根据权利要求A2所述的方法,根据所述判断结果,确定是否允许所述执行主体读取所述待访问数据,具体包括:
若所述待访问数据的归属主体与合法归属主体一致,则允许所述执行主体读取所述待访问数据。
A4、根据权利要求A3所述的方法,根据所述判断结果,确定是否允许所述执行主体读取所述待访问数据,具体还包括:
若所述待访问数据的归属主体与合法归属主体不一致,则拒绝所述执行主体读取所述待访问数据,并生成相应的提示信息。
A5、根据权利要求A2所述的方法,所述归属主体和所述合法归属主体为多个;
根据所述判断结果,确定是否允许所述执行主体读取所述待访问数据,具体包括:
若所述待访问数据的归属主体分别与多个合法归属主体中任一合法归属主体一致,则允许所述执行主体读取所述待访问数据。
A6、根据权利要求A5所述的方法,根据所述判断结果,确定是否允许所述执行主体读取所述待访问数据,具体还包括:
若所述待访问数据的归属主体分别与多个合法归属主体中任一合法归属主体比较,至少一个待访问数据的归属主体与多个合法归属主体中任一合法归属主体不一致,则拒绝所述执行主体读取所述待访问数据,并生成相应的提示信息。
A7、根据权利要求A1至A6中任一项所述的方法,根据需要读取所述待访问数据的执行主体,判断所述待访问数据的归属主体是否为合法归属主体之前,还包括:
确定需要读取所述待访问数据的执行主体为可信应用程序或者合法进程。
B8、一种数据访问装置,包括:
接收单元,用于当接收到待访问数据的读取请求时,根据所述读取请求确定需要读取所述待访问数据的执行主体和所述待访问数据的归属主体;
判断单元,用于根据需要读取所述待访问数据的执行主体,判断所述待访问数据的归属主体是否为合法归属主体;
读取单元,用于根据所述判断结果,确定是否允许所述执行主体读取所述待访问数据。
B9、根据权利要求B8所述的装置,所述判断单元,具体包括:
合法归属主体查询子单元,用于根据需要读取所述待访问数据的执行主体,查询预置的所述执行主体和合法归属主体的对应关系;
归属主体判断子单元,用于根据预置的所述执行主体和合法归属主体的对应关系,判断所述待访问数据的归属主体是否为合法归属主体。
B10、根据权利要求B9所述的装置,所述读取单元,具体包括:
第一读取执行子单元,用于若所述待访问数据的归属主体与合法归属主体一致,则允许所述执行主体读取所述待访问数据。
B11、根据权利要求B10所述的装置,所述读取单元,具体还包括:
第一读取拒绝子单元,用于若所述待访问数据的归属主体与合法归属主体不一致,则拒绝所述执行主体读取所述待访问数据,并生成相应的提示信息。
B12、根据权利要求B9所述的装置,所述归属主体和所述合法归属主体为多个;
所述读取单元,具体包括:
第二读取执行子单元,用于若所述待访问数据的归属主体分别与多个合法归属主体中任一合法归属主体一致,则允许所述执行主体读取所述待访问数据。
B13、根据权利要求B12所述的装置,所述读取单元,具体还包括:
第二读取拒绝子单元,用于若所述待访问数据的归属主体分别与多个合法归属主体中任一合法归属主体比较,至少一个待访问数据的归属主体与多个合法归属主体中任一合法归属主体不一致,则拒绝所述执行主体读取所述待访问数据,并生成相应的提示信息。
B14、根据权利要求B8至B13中任一项所述的装置,还包括:
确定单元,用于确定需要读取所述待访问数据的执行主体为可信应用程序或者合法进程。
C15、一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现权利要求A1至A7中任一项所述的数据访问方法。
D16、一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求A1至A7中任一项所述的数据访问方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (10)
1.一种数据访问方法,其特征在于,包括:
当接收到待访问数据的读取请求时,根据所述读取请求确定需要读取所述待访问数据的执行主体和所述待访问数据的归属主体;
根据需要读取所述待访问数据的执行主体,判断所述待访问数据的归属主体是否为合法归属主体;
根据所述判断结果,确定是否允许所述执行主体读取所述待访问数据。
2.根据权利要求1所述的方法,其特征在于,根据需要读取所述待访问数据的执行主体,判断所述待访问数据的归属主体是否为合法归属主体,具体包括:
根据需要读取所述待访问数据的执行主体,查询预置的所述执行主体和合法归属主体的对应关系;
根据预置的所述执行主体和合法归属主体的对应关系,判断所述待访问数据的归属主体是否为合法归属主体。
3.根据权利要求2所述的方法,其特征在于,根据所述判断结果,确定是否允许所述执行主体读取所述待访问数据,具体包括:
若所述待访问数据的归属主体与合法归属主体一致,则允许所述执行主体读取所述待访问数据。
4.根据权利要求3所述的方法,其特征在于,根据所述判断结果,确定是否允许所述执行主体读取所述待访问数据,具体还包括:
若所述待访问数据的归属主体与合法归属主体不一致,则拒绝所述执行主体读取所述待访问数据,并生成相应的提示信息。
5.根据权利要求2所述的方法,其特征在于,所述归属主体和所述合法归属主体为多个;
根据所述判断结果,确定是否允许所述执行主体读取所述待访问数据,具体包括:
若所述待访问数据的归属主体分别与多个合法归属主体中任一合法归属主体一致,则允许所述执行主体读取所述待访问数据。
6.根据权利要求5所述的方法,其特征在于,根据所述判断结果,确定是否允许所述执行主体读取所述待访问数据,具体还包括:
若所述待访问数据的归属主体分别与多个合法归属主体中任一合法归属主体比较,至少一个待访问数据的归属主体与多个合法归属主体中任一合法归属主体不一致,则拒绝所述执行主体读取所述待访问数据,并生成相应的提示信息。
7.根据权利要求1至6中任一项所述的方法,其特征在于,根据需要读取所述待访问数据的执行主体,判断所述待访问数据的归属主体是否为合法归属主体之前,还包括:
确定需要读取所述待访问数据的执行主体为可信应用程序或者合法进程。
8.一种数据访问装置,其特征在于,包括:
接收单元,用于当接收到待访问数据的读取请求时,根据所述读取请求确定需要读取所述待访问数据的执行主体和所述待访问数据的归属主体;
判断单元,用于根据需要读取所述待访问数据的执行主体,判断所述待访问数据的归属主体是否为合法归属主体;
读取单元,用于根据所述判断结果,确定是否允许所述执行主体读取所述待访问数据。
9.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至7中任一项所述的数据访问方法。
10.一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7中任一项所述的数据访问方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811640161.1A CN109784073A (zh) | 2018-12-29 | 2018-12-29 | 数据访问方法及装置、存储介质、计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811640161.1A CN109784073A (zh) | 2018-12-29 | 2018-12-29 | 数据访问方法及装置、存储介质、计算机设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109784073A true CN109784073A (zh) | 2019-05-21 |
Family
ID=66499086
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811640161.1A Pending CN109784073A (zh) | 2018-12-29 | 2018-12-29 | 数据访问方法及装置、存储介质、计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109784073A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113836097A (zh) * | 2021-09-29 | 2021-12-24 | 上海掌门科技有限公司 | 本地文件的安全保护方法和设备 |
CN115865522A (zh) * | 2023-02-10 | 2023-03-28 | 中航金网(北京)电子商务有限公司 | 信息传输的控制方法及装置、电子设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030120603A1 (en) * | 2001-12-20 | 2003-06-26 | Fujitsu Limited | Access right contradiction detection apparatus and analysis rule creation apparatus |
CN106096433A (zh) * | 2016-05-21 | 2016-11-09 | 新乡学院 | 一种安全计算机的用户数据保护方法 |
CN106339629A (zh) * | 2016-08-22 | 2017-01-18 | 浪潮(苏州)金融技术服务有限公司 | 一种应用程序管理方法及装置 |
CN107122315A (zh) * | 2017-03-06 | 2017-09-01 | 深圳市金立通信设备有限公司 | 一种访问控制方法及终端 |
-
2018
- 2018-12-29 CN CN201811640161.1A patent/CN109784073A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030120603A1 (en) * | 2001-12-20 | 2003-06-26 | Fujitsu Limited | Access right contradiction detection apparatus and analysis rule creation apparatus |
CN106096433A (zh) * | 2016-05-21 | 2016-11-09 | 新乡学院 | 一种安全计算机的用户数据保护方法 |
CN106339629A (zh) * | 2016-08-22 | 2017-01-18 | 浪潮(苏州)金融技术服务有限公司 | 一种应用程序管理方法及装置 |
CN107122315A (zh) * | 2017-03-06 | 2017-09-01 | 深圳市金立通信设备有限公司 | 一种访问控制方法及终端 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113836097A (zh) * | 2021-09-29 | 2021-12-24 | 上海掌门科技有限公司 | 本地文件的安全保护方法和设备 |
CN115865522A (zh) * | 2023-02-10 | 2023-03-28 | 中航金网(北京)电子商务有限公司 | 信息传输的控制方法及装置、电子设备及存储介质 |
CN115865522B (zh) * | 2023-02-10 | 2023-06-02 | 中航金网(北京)电子商务有限公司 | 信息传输的控制方法及装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109510849B (zh) | 云存储的帐号鉴权方法和装置 | |
US11290446B2 (en) | Access to data stored in a cloud | |
US10547601B2 (en) | System and method to allow third-party developer to debug code in customer environment | |
JP6397500B2 (ja) | 仮想マシン・マネージャーによって支援される選択的コード完全性強制 | |
CN112513857A (zh) | 可信执行环境中的个性化密码安全访问控制 | |
CN100511203C (zh) | 数据库访问控制方法、控制装置及代理处理服务器装置 | |
CN105408912A (zh) | 处理认证和资源许可 | |
US20170185790A1 (en) | Dynamic management of protected file access | |
CN104796412B (zh) | 端到端云服务系统及对其敏感数据的访问方法 | |
US11063922B2 (en) | Virtual content repository | |
EP2779017A1 (en) | Method for controlling access to electronic documents by means of a user centric DRM system | |
CN108228353A (zh) | 资源访问控制方法、装置及相应终端 | |
WO2017112640A1 (en) | Obtaining a decryption key from a mobile device | |
CN115277143A (zh) | 一种数据安全传输方法、装置、设备及存储介质 | |
EP3759629B1 (en) | Method, entity and system for managing access to data through a late dynamic binding of its associated metadata | |
CN109784073A (zh) | 数据访问方法及装置、存储介质、计算机设备 | |
US20230076870A1 (en) | Protections for sensitive content items in a content management system | |
CN110352411B (zh) | 用于控制对安全计算资源的访问的方法和装置 | |
US9733852B2 (en) | Encrypted synchronization | |
US11936798B2 (en) | Securing a provable resource possession | |
Catuogno et al. | A Fine-grained General Purpose Secure Storage Facility for Trusted Execution Environment. | |
CN109800580A (zh) | 系统进程的权限控制方法及装置、存储介质、计算机设备 | |
CN114679301B (zh) | 一种利用安全沙箱对数据湖数据进行存取的方法和系统 | |
US12032662B2 (en) | Programmable model-driven license management and enforcement in a multi-tenant system | |
CN109583907A (zh) | 一种电子发票的查验方法、装置、介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190521 |
|
RJ01 | Rejection of invention patent application after publication |