发明内容
鉴于上述,本公开提供了一种数据访问处理方法及系统。利用该数据访问处理方法及系统,通过为数据访问实体分配统一可信身份标识,并且将所分配的统一可信身份标识与数据访问的每个环节相关联,从而可以基于该统一可信身份标识来实现数据使用监控。
根据本公开的一个方面,提供了一种用于数据访问处理的方法,所述方法由访问控制装置执行,所述方法包括:在从数据访问设备接收到实体访问控制请求后,基于数据访问实体的可信身份标识进行实体访问认证,并向所述数据访问设备返回实体访问认证结果,所述实体访问控制请求至少包括所述数据访问实体的可信身份标识;在从所述数据访问设备所访问的至少一个数据存储设备接收到至少一个数据访问控制请求后,基于所述数据访问实体的可信身份标识以及至少一个待访问数据的访问策略,确定所述数据访问实体针对所述至少一个待访问数据是否具有访问权限,所述至少一个数据访问控制请求中的各个数据访问控制请求至少包括所述数据访问实体的可信身份标识和待访问数据的数据标识,待访问数据的访问策略用于指示具有哪些可信身份标识的数据访问实体能够访问该待访问数据;以及在确定所述数据访问实体针对所述至少一个待访问数据具有访问权限时,生成针对所述至少一个待访问数据的数据访问处理请求,以发送给对应的数据存储设备来执行相应的数据访问处理,其中,所述实体访问控制请求是在所述数据访问设备从所述数据访问实体接收到第一数据访问请求后,基于所述第一数据访问请求而生成的,所述第一数据访问请求至少包括所述数据访问实体的可信身份标识和数据访问上下文,所述数据访问控制请求是在所述至少一个数据存储设备从所述数据访问设备接收到第二数据访问请求后,基于所述第二数据访问请求而生成的,所述第二数据访问请求是在实体访问认证通过后,在所述数据访问设备处基于所述第一数据访问请求生成的,所述第二数据访问请求至少包括所述数据访问实体的可信身份标识和针对对应数据存储设备的数据访问请求命令。
可选地,在上述方面的一个示例中,所述方法还可以包括:从所述至少一个数据存储设备接收经过数据访问处理后的数据。
可选地,在上述方面的一个示例中,所述数据访问处理包括数据查询处理,以及所述方法还包括:将所查询到的数据发送给所述数据访问设备,以供发送给所述数据访问实体。
可选地,在上述方面的一个示例中,所述方法还可以包括:记录针对所述被访问数据的数据访问记录,所述数据访问记录至少包括被访问数据的数据标识以及访问该数据的数据访问实体的可信身份标识。
可选地,在上述方面的一个示例中,所述方法还可以包括:基于所记录的数据访问记录来进行数据访问行为分析,以生成数据访问行为分析结果。
可选地,在上述方面的一个示例中,所述数据访问行为分析包括下述分析中的至少一种:数据访问量统计分析;数据访问实体权限调整;以及风险预警分析。
可选地,在上述方面的一个示例中,所述数据访问实体的可信身份标识是在所述数据访问实体向统一身份设备注册并通过身份认证后,由所述统一身份设备生成并颁发给所述数据访问实体的。
根据本公开的另一方面,提供一种用于数据访问处理的方法,所述方法由数据访问设备执行,所述方法包括:在从数据访问实体接收到第一数据访问请求后,基于所述第一数据访问请求生成实体访问控制请求,所述第一数据访问请求至少包括所述数据访问实体的可信身份标识和数据访问上下文,所述实体访问控制请求至少包括所述数据访问实体的可信身份标识;将所生成的实体访问控制请求发送给访问控制设备,以在所述访问控制设备处基于所述数据访问实体的可信身份标识进行实体访问认证;以及在所述访问控制设备所返回的实体访问认证通过时,基于所述第一数据访问请求生成第二数据访问请求,所述第二数据访问请求至少包括所述数据访问实体的可信身份标识和针对对应数据存储设备的数据访问请求命令。
可选地,在上述方面的一个示例中,基于所述第一数据访问请求生成第二数据访问请求可以包括:对所述第一数据访问请求中的数据访问上下文进行解析,以确定要访问的至少一个数据存储设备以及针对所述至少一个数据存储设备中的各个数据存储设备的数据访问请求命令;以及基于所述数据访问实体的可信身份标识和针对所述各个数据存储设备的数据访问请求命令,生成针对所述各个数据存储设备的数据访问请求。
根据本公开的另一方面,提供一种用于数据访问处理的方法,所述方法由数据存储设备执行,所述方法包括:在从数据访问设备接收到第二数据访问请求后,生成至少一个数据访问控制请求,所述数据访问控制请求至少包括数据访问实体的可信身份标识和待访问数据的数据标识,所述第二数据访问请求至少包括所述数据访问实体的可信身份标识和针对所述数据存储设备的数据访问请求命令;将所生成的至少一个数据访问控制请求发送给访问控制设备,以在所述访问控制设备处,基于所述数据访问实体的可信身份标识以及至少一个待访问数据的访问策略,确定所述数据访问实体针对所述至少一个待访问数据是否具有访问权限,待访问数据的访问策略用于指示具有哪些可信身份标识的数据访问实体能够访问该待访问数据;以及响应于从所述访问控制设备接收到数据访问处理请求后,对所述至少一个待访问数据进行相应的数据访问处理,所述数据访问处理请求是在所述访问控制设备处确定所述数据访问实体针对所述至少一个待访问数据具有访问权限时,基于所述第二数据访问请求生成的。
根据本公开的另一方面,提供一种用于数据访问处理的装置,包括:请求接收单元,被配置为从数据访问设备接收实体访问控制请求,以及从所述数据访问设备所访问的至少一个数据存储设备接收至少一个数据访问控制请求,所述实体访问控制请求至少包括所述数据访问实体的可信身份标识,所述至少一个数据访问控制请求中的各个数据访问控制请求至少包括所述数据访问实体的可信身份标识和待访问数据的数据标识;实体访问认证单元,被配置为在接收到所述实体访问控制请求后,基于数据访问实体的可信身份标识进行实体访问认证,并向所述数据访问设备返回实体访问认证结果;访问权限认证单元,被配置为在接收到所述至少一个数据访问控制请求后,基于所述数据访问实体的可信身份标识以及至少一个待访问数据的访问策略,确定所述数据访问实体针对所述至少一个待访问数据是否具有访问权限,待访问数据的访问策略用于指示具有哪些可信身份标识的数据访问实体能够访问该待访问数据;数据访问处理请求生成单元,被配置为在确定所述数据访问实体针对所述至少一个待访问数据具有访问权限时,生成针对所述至少一个待访问数据的数据访问处理请求;以及数据访问处理请求发送单元,被配置为将所生成的数据访问处理请求发送给对应的数据存储设备来执行相应的数据访问处理,其中,所述实体访问控制请求是在所述数据访问设备从所述数据访问实体接收到第一数据访问请求后,基于所述第一数据访问请求而生成的,所述第一数据访问请求至少包括所述数据访问实体的可信身份标识和数据访问上下文,所述数据访问控制请求是在所述至少一个数据存储设备从所述数据访问设备接收到第二数据访问请求后,基于所述第二数据访问请求而生成的,所述第二数据访问请求是在实体访问认证通过后,在所述数据访问设备处基于所述第一数据访问请求生成的,所述第二数据访问请求至少包括所述数据访问实体的可信身份标识和针对对应数据存储设备的数据访问请求命令。
可选地,在上述方面的一个示例中,所述装置还可以包括:数据接收单元,被配置为从所述至少一个数据存储设备接收经过数据访问处理后的数据。
可选地,在上述方面的一个示例中,所述数据访问处理包括数据查询处理,以及所述装置还可以包括:数据发送单元,被配置为将所查询到的数据发送给所述数据访问设备,以供发送给所述数据访问实体。
可选地,在上述方面的一个示例中,所述装置还可以包括:记录单元,被配置为记录针对所述被访问数据的数据访问记录,所述数据访问记录至少包括被访问数据的数据标识以及访问该数据的数据访问实体的可信身份标识。
可选地,在上述方面的一个示例中,所述装置还可以包括:数据访问行为分析单元,被配置为基于所记录的数据访问记录来进行数据访问行为分析,以生成数据访问行为分析结果。
可选地,在上述方面的一个示例中,所述装置还可以包括:统一身份生成单元,被配置为在所述数据访问实体完成注册并通过身份认证后,生成可选身份标识并颁发给所述数据访问实体。
根据本公开的另一方面,提供一种用于数据访问处理的装置,包括:实体访问控制请求生成单元,被配置为在从数据访问实体接收到第一数据访问请求后,基于所述第一数据访问请求生成实体访问控制请求,所述第一数据访问请求至少包括所述数据访问实体的可信身份标识和数据访问上下文,所述实体访问控制请求至少包括所述数据访问实体的可信身份标识;实体访问控制请求发送单元,被配置为将所生成的实体访问控制请求发送给访问控制设备,以在所述访问控制设备处基于所述数据访问实体的可信身份标识进行实体访问认证;数据访问请求生成单元,被配置为在所述访问控制设备所返回的实体访问认证通过时,基于所述第一数据访问请求生成第二数据访问请求,所述第二数据访问请求至少包括所述数据访问实体的可信身份标识和针对对应数据存储设备的数据访问请求命令;以及数据访问请求发送单元,被配置为将所生成的第二数据访问请求发送给对应的数据存储设备。
可选地,在上述方面的一个示例中,所述数据访问请求生成单元可以包括:解析模块,被配置为对所述第一数据访问请求中的数据访问上下文进行解析,以确定要访问的至少一个数据存储设备以及针对所述至少一个数据存储设备中的各个数据存储设备的数据访问请求命令;以及数据访问请求生成模块,被配置为基于所述数据访问实体的可信身份标识和针对所述各个数据存储设备的数据访问请求命令,生成针对所述各个数据存储设备的数据访问请求。
根据本公开的另一方面,提供一种用于数据访问处理的装置,包括:数据访问控制请求生成单元,被配置为在从数据访问设备接收到第二数据访问请求后,生成至少一个数据访问控制请求,所述数据访问控制请求至少包括数据访问实体的可信身份标识和待访问数据的数据标识,所述第二数据访问请求至少包括所述数据访问实体的可信身份标识和针对所述数据存储设备的数据访问请求命令;数据访问控制请求发送单元,被配置为将所生成的至少一个数据访问控制请求发送给访问控制设备,以在所述访问控制设备处,基于所述数据访问实体的可信身份标识以及至少一个待访问数据的访问策略,确定所述数据访问实体针对所述至少一个待访问数据是否具有访问权限,待访问数据的访问策略用于指示具有哪些可信身份标识的数据访问实体能够访问该待访问数据;数据访问处理请求接收单元,被配置为从所述访问控制设备接收数据访问请求,所述数据访问处理请求是在所述访问控制设备处确定所述数据访问实体针对所述至少一个待访问数据具有访问权限时,基于所述第二数据访问请求生成的;以及数据访问处理单元,被配置为响应于从所述访问控制设备接收到数据访问处理请求后,对所述至少一个待访问数据进行相应的数据访问处理。
根据本公开的另一方面,提供一种数据访问处理系统,包括:数据访问设备,所述数据访问设备包括如上所述的用于数据访问处理的装置;至少一个数据存储设备,所述至少一个数据存储设备中的各个数据存储设备包括上所述的用于数据访问处理的装置;以及访问控制设备,所述访问控制设备包括如上所述的用于数据访问控制处理的装置。
根据本公开的另一方面,提供一种计算设备,包括:至少一个处理器,以及与所述至少一个处理器耦合的存储器,所述存储器存储指令,当所述指令被所述至少一个处理器执行时,使得所述至少一个处理器执行如上所述的用于数据访问处理的方法。
根据本公开的另一方面,提供一种非暂时性机器可读存储介质,其存储有可执行指令,所述指令当被执行时使得所述机器执行如上所述的用于数据访问处理的方法。
具体实施方式
现在将参考示例实施方式讨论本文描述的主题。应该理解,讨论这些实施方式只是为了使得本领域技术人员能够更好地理解从而实现本文描述的主题,并非是对权利要求书中所阐述的保护范围、适用性或者示例的限制。可以在不脱离本公开内容的保护范围的情况下,对所讨论的元素的功能和排列进行改变。各个示例可以根据需要,省略、替代或者添加各种过程或组件。例如,所描述的方法可以按照与所描述的顺序不同的顺序来执行,以及各个步骤可以被添加、省略或者组合。另外,相对一些示例所描述的特征在其它例子中也可以进行组合。
如本文中使用的,术语“包括”及其变型表示开放的术语,含义是“包括但不限于”。术语“基于”表示“至少部分地基于”。术语“一个实施例”和“一实施例”表示“至少一个实施例”。术语“另一个实施例”表示“至少一个其他实施例”。术语“第一”、“第二”等可以指代不同的或相同的对象。下面可以包括其他的定义,无论是明确的还是隐含的。除非上下文中明确地指明,否则一个术语的定义在整个说明书中是一致的。
下面将结合附图来详细描述根据本公开的数据访问处理方法及系统的实施例。
图1示出了根据本公开的实施例的数据访问处理系统20的方框图。如图1所示,数据访问处理系统20包括数据访问设备210、数据存储设备220、统一身份设备230和访问控制设备240。这里,数据访问设备210和数据存储设备220设置在提供数据访问服务的服务提供方处,比如DMS(数据查询平台)、会员管理平台,会员风险审理平台,营销管理平台等。数据存储设备220例如可以包括mysql数据存储设备、OceanBase数据存储设备,odps数据存储设备,hbase数据存储设备,tair缓存设备等。统一身份设备230和访问控制设备240可以设置在独立的第三方平台系统中,或者也可以设置在所述服务提供方中。
在本公开中,针对所有可能的数据访问实体中的每个数据访问实体,在进行数据访问操作之前,数据访问实体10向统一身份设备230注册。统一身份设备230基于数据访问实体10的注册信息来进行身份认证,并且在通过身份认证后,统一身份设备230为数据访问实体10生成可信身份标识,并将所生成的可信身份标识发送数据访问实体10,以供该数据访问实体在后续数据访问操作时使用。在本公开中,数据访问实体可以包括能够进行数据访问的任何实体,比如用户、终端设备、系统设备、API服务接口等。
在数据访问实体10需要进行数据访问时,数据访问实体10向数据访问设备210发送第一数据访问请求,该第一数据访问请求至少包括数据访问实体10的可信身份标识和数据访问上下文。所述数据访问上下文例如可以包括业务查询条件以及业务系统自行关联的上下文。所述业务查询条件比如是在提供http服务时为http请求参数,该请求参数包括header中的内容。所述业务系统自行关联的上下文比如是存储在一次用户会话中的内容。
在从数据访问实体10接收到第一数据访问请求后,数据访问设备210基于第一数据访问请求生成实体访问控制请求,所述实体访问控制请求至少包括数据访问实体10的可信身份标识。例如,所述实体访问控制请求可以与第一数据访问请求相同。或者,所述实体访问控制请求还可以包括与数据访问相关的其它信息以用于实体访问认证处理,比如,数据访问设备处所具有的工单信息等。这里,工单是指支付宝用户对客服小二发起一次咨询时所产生的咨询工单。只有产生了咨询工单,才能在后续数据访问中具有访问相应用户数据资产的权限。
然后,数据访问设备210将所生成的实体访问控制请求发送给访问控制设备240。访问控制设备240基于该实体访问控制请求中所包含的数据实体访问实体10的可信身份标识进行实体访问认证,并向数据访问设备210返回实体访问认证结果。
在实体访问认证结果为通过实体访问认证时,数据访问设备210基于第一数据访问请求生成至少一个第二数据访问请求,所述至少一个第二数据访问请求中的每个第二数据访问请求对应一个数据存储设备,并且第二数据访问请求至少包括数据访问实体10的可信身份标识和针对对应数据存储设备的数据访问请求命令。然后,将所生成的至少一个第二数据访问请求发送给对应的数据存储设备220。
数据存储设备220接收到第二数据访问请求后,基于第二数据访问请求生成数据访问控制请求,并将所生成的数据访问控制请求发送给访问控制设备240。所述数据访问控制请求至少包括数据访问实体10的可信身份标识和待访问数据的数据标识。
在接收到至少一个数据访问控制请求后,针对每个数据访问控制请求,访问控制设备240基于数据访问实体10的可信身份标识以及至少一个待访问数据的访问策略,确定数据访问实体10针对所述至少一个待访问数据是否具有访问权限。这里,待访问数据的访问策略用于指示具有哪些可信身份标识的数据访问实体能够访问该待访问数据。在确定数据访问实体10针对至少一个待访问数据具有访问权限时,访问控制设备240生成针对所述至少一个待访问数据的数据访问处理请求,并将所生成的数据访问处理请求发送给对应的数据存储设备来执行相应的数据访问处理。
图2示出了根据本公开的实施例的数据访问设备中的用于数据访问处理的装置(下文中称为数据访问装置210)的方框图。如图2所示,数据访问装置210包括实体访问控制请求生成单元211、实体访问控制请求发送单元213、数据访问请求生成单元215和数据访问请求发送单元217。
实体访问控制请求生成单元211被配置为在从数据访问实体10接收到第一数据访问请求后,基于第一数据访问请求生成实体访问控制请求,第一数据访问请求至少包括数据访问实体10的可信身份标识和数据访问上下文,所述实体访问控制请求至少包括数据访问实体10的可信身份标识。
实体访问控制请求发送单元213被配置为将所生成的实体访问控制请求发送给访问控制设备240,以在访问控制设备240处基于数据访问实体10的可信身份标识进行实体访问认证。
数据访问请求生成单元215被配置为在访问控制设备240所返回的实体访问认证通过时,基于第一数据访问请求生成至少一个第二数据访问请求,所述至少一个第二数据访问请求中的每个第二数据访问请求与一个数据存储设备220对应,并且所述第二数据访问请求至少包括数据访问实体10的可信身份标识和针对对应数据存储设备的数据访问请求命令。
例如,在本公开的一个示例中,数据访问请求生成单元215可以包括解析模块(未示出)和数据访问请求生成模块(未示出)。解析模块被配置为对第一数据访问请求中的数据访问上下文进行解析,以确定要访问的至少一个数据存储设备以及针对所述至少一个数据存储设备中的各个数据存储设备的数据访问请求命令。数据访问请求生成模块被配置为基于所述数据访问实体的可信身份标识和针对所述各个数据存储设备的数据访问请求命令,生成针对所述各个数据存储设备的数据访问请求。
数据访问请求发送单元217被配置为将所生成的第二数据访问请求发送给对应的数据存储设备220。
图3示出了根据本公开的实施例的访问控制设备240中的用于数据访问控制的装置(为了简略,下文简称为数据访问控制装置240)的方框图。如图3所示,数据访问控制装置240包括请求接收单元241、实体访问认证单元242、访问权限认证单元243、数据访问处理请求生成单元244和数据访问处理请求发送单元245。
请求接收单元241被配置为从数据访问设备210接收实体访问控制请求,以及从数据访问设备210所访问的至少一个数据存储设备220接收至少一个数据访问控制请求,所述实体访问控制请求至少包括数据访问实体10的可信身份标识,所述至少一个数据访问控制请求中的各个数据访问控制请求至少包括数据访问实体10的可信身份标识和待访问数据的数据标识。
实体访问认证单元242被配置为在接收到所述实体访问控制请求后,基于数据访问实体10的可信身份标识进行实体访问认证,并向数据访问设备210返回实体访问认证结果。
访问权限认证单元243被配置为在接收到所述至少一个数据访问控制请求后,针对每个数据访问控制请求,基于数据访问实体10的可信身份标识以及至少一个待访问数据的访问策略,确定数据访问实体10针对所述至少一个待访问数据是否具有访问权限。这里,待访问数据的访问策略用于指示具有哪些可信身份标识的数据访问实体能够访问该待访问数据;
数据访问处理请求生成单元244被配置为在确定数据访问实体10针对所述至少一个待访问数据具有访问权限时,生成针对所述至少一个待访问数据的数据访问处理请求。
数据访问处理请求发送单元245被配置为将所生成的数据访问处理请求发送给对应的数据存储设备来执行相应的数据访问处理。
此外,在本公开的另一示例中,数据访问控制装置240还可以包括数据接收单元(未示出)。所述数据接收单元被配置为从至少一个数据存储设备220接收经过数据访问处理后的数据。
此外,在本公开的另一示例中,所述数据访问处理可以包括数据查询处理。相应地,数据访问控制装置240还可以包括数据发送单元(未示出)。所述数据发送单元被配置为将所查询到的数据发送给数据访问设备210,以供数据访问设备210发送(或提供)给数据访问实体10。
此外,在本公开的另一示例中,数据访问控制装置240还可以包括记录单元(未示出)。所述记录单元被配置为记录针对所述被访问数据的数据访问记录,所述数据访问记录至少包括被访问数据的数据标识以及访问该数据的数据访问实体的可信身份标识。通过记录单元所记录的数据访问记录,数据访问控制装置240可以获悉每条数据的数据使用状态,即,该数据被哪个数据访问实体访问,或者,该数据被哪个数据访问实体在何种场景下访问。
此外,在本公开的另一示例中,数据访问控制装置240还可以包括数据访问行为分析单元。所述数据访问行为分析单元被配置为基于所记录的数据访问记录来进行数据访问行为分析,以生成数据访问行为分析结果。例如,所述数据访问行为分析可以包括下述分析中的至少一种:数据访问量统计分析;数据访问实体权限调整;以及风险预警分析。
这里,数据访问量统计分析例如可以包括单个用户的数据访问量统计分析,即,该用户在指定时段内访问了哪些数据。此外,数据访问量统计分析还可以包括单个数据的数据访问量统计分析,即,该数据在指定时段内被哪些用户访问。数据访问实体权限调整例如可以包括:根据客服小二每日接待处理数量,调整客服平台每人每天查询量,例如,客服每天查询用户数不超过200个。此外,根据业务平台,社交场景发生的用户信息查询量都会设置查询峰值,例如,社交场景每天查询量不超过100,每年查询量不超过5000,每个设备每年查询量不超过5000。风险预警分析例如可以包括:在每个ip每个mac地址获取数据量超过均值时进行风险预警。
此外,在本公开的另一示例中,统一身份设备230也可以作为组成单元包含在数据访问控制装置240中。
图4示出了根据本公开的实施例的数据存储设备中的用于数据访问处理的装置(下文中简称为数据访问处理装置220)的方框图。如图4所示,数据访问处理装置220包括数据访问控制请求生成单元221、数据访问控制请求发送单元223、数据访问处理请求接收单元225和数据访问处理单元227。
数据访问控制请求生成单元221被配置为在从数据访问设备210接收到第二数据访问请求后,生成数据访问控制请求,所述数据访问控制请求至少包括数据访问实体10的可信身份标识和待访问数据的数据标识,所述第二数据访问请求至少包括数据访问实体10的可信身份标识和针对所述数据存储设备的数据访问请求命令。
数据访问控制请求发送单元223被配置为将所生成的数据访问控制请求发送给访问控制设备240,以供在访问控制设备240处,基于数据访问实体10的可信身份标识以及至少一个待访问数据的访问策略,确定数据访问实体10针对所述至少一个待访问数据是否具有访问权限。这里,待访问数据的访问策略用于指示具有哪些可信身份标识的数据访问实体能够访问该待访问数据。
数据访问处理请求接收单元224被配置为从访问控制设备240接收数据访问处理请求,所述数据访问处理请求是在访问控制设备240处确定数据访问实体10针对所述至少一个待访问数据具有访问权限时,基于第二数据访问请求生成的。
数据访问处理单元227被配置为响应于从访问控制设备240接收到数据访问处理请求后,对所述至少一个待访问数据进行相应的数据访问处理。所述数据访问处理例如可以包括数据查询处理(即,数据读取处理)和数据变更处理(即,数据写入处理)。
在所述数据访问处理是数据查询处理时,数据访问处理装置220还可以包括数据发送单元(未示出)。所述数据发送单元被配置为将所查询到的数据发送给访问控制设备240。
如上参照图1到图4对根据本公开的实施例的数据访问处理系统进行了描述。下面结合图5和图6来参照具体数据访问处理操作描述根据本公开的实施例的数据访问处理过程。
图5示出了根据本公开的实施例的数据访问处理方法的流程图。图5中示出的实施例是数据访问处理是数据查询处理的情形下的数据访问处理过程。
如图5所示,在进行数据访问操作之前,数据访问实体10向统一身份设备230注册(501)。统一身份设备230基于数据访问实体10的注册信息来进行身份认证,并且在通过身份认证后,统一身份设备230为数据访问实体10生成可信身份标识,并将所生成的可信身份标识发送数据访问实体10(502)。
在数据访问实体10需要进行数据查询时,数据访问实体10向数据访问设备210发送(503)第一数据访问请求。在从数据访问实体10接收第一数据访问请求后,数据访问设备210基于该第一数据访问请求生成实体访问控制请求,并将所生成的实体访问控制请求发送(504)给访问控制设备240。访问控制设备240基于该实体访问控制请求中所包含的数据访问实体10的可信身份标识进行实体访问认证,并向数据访问设备210返回(505)实体访问认证结果。
在实体访问认证结果为通过实体访问认证时,数据访问设备210基于第一数据访问请求生成至少一个第二数据访问请求,并将所生成的至少一个第二数据访问请求发送(506)给对应的数据存储设备220。
数据存储设备220接收到第二数据访问请求后,基于所述第二数据访问请求生成数据访问控制请求,并将所生成的数据访问控制请求发送(507)给访问控制设备240。
在接收到至少一个数据访问控制请求后,针对每个数据访问控制请求,访问控制设备240基于数据访问实体的可信身份标识以及至少一个待访问数据的访问策略,确定该数据访问实体针对所述至少一个待访问数据是否具有访问权限。在确定数据访问实体针对所述至少一个待访问数据具有访问权限时,访问控制设备240生成针对所述至少一个待访问数据的数据查询请求,并将所生成的数据查询请求发送(508)给对应的数据存储设备来执行相应的数据查询处理。
在接收到数据查询请求后,数据存储设备220执行相应的数据查询处理,并将所查询到的数据发送(509)给访问控制设备240,以由访问控制设备240来确定是否返回给数据访问实体10。在访问控制设备240确定返回给数据访问实体10时,访问控制设备240将所查询到的数据发送(510)给数据访问设备210,然后,数据访问设备210将该数据发送(511)给数据访问实体10,由此完成数据查询处理。
图6示出了根据本公开的另一实施例的数据访问处理方法的流程图。图6中示出的实施例是数据访问处理是数据变更处理的情形下的数据访问处理过程。
如图6所示,在进行数据访问操作之前,数据访问实体10向统一身份设备230注册(601)。统一身份设备230基于数据访问实体10的注册信息来进行身份认证,并且在通过身份认证后,统一身份设备230为数据访问实体10生成可信身份标识,并将所生成的可信身份标识发送数据访问实体10(602)。
在数据访问实体10需要进行数据变更处理时,数据访问实体10向数据访问设备210发送(603)第一数据访问请求。在从数据访问实体10接收第一数据访问请求后,数据访问设备210基于该第一数据访问请求生成实体访问控制请求,并将所生成的实体访问控制请求发送(604)给访问控制设备240。访问控制设备240基于该实体访问控制请求中所包含的数据访问实体10的可信身份标识进行实体访问认证,并向数据访问设备210返回(605)实体访问认证结果。
在实体访问认证结果为通过实体访问认证时,数据访问设备210基于第一数据访问请求生成至少一个第二数据访问请求,并将所生成的至少一个第二数据访问请求发送(606)给对应的数据存储设备220。
数据存储设备220接收到第二数据访问请求后,基于所述第二数据访问请求生成数据访问控制请求,并将所生成的数据访问控制请求发送(607)给访问控制设备240。
在接收到至少一个数据访问控制请求后,针对每个数据访问控制请求,访问控制设备240基于数据访问实体的可信身份标识以及至少一个待访问数据的访问策略,确定该数据访问实体针对所述至少一个待访问数据是否具有访问权限。在确定数据访问实体针对所述至少一个待访问数据具有访问权限时,访问控制设备240生成针对所述至少一个待访问数据的数据变更请求,并将所生成的数据变更请求发送(608)给对应的数据存储设备来执行相应的数据变更处理。
如上参照图1到图6,对根据本公开的用于数据访问处理的方法及装置的实施例进行了描述。上面的用于数据访问处理的装置可以采用硬件实现,也可以采用软件或者硬件和软件的组合来实现。
图7示出了根据本公开的实施例的用于数据访问处理的计算设备700的硬件结构图。如图7所示,计算设备700可以包括至少一个处理器710、存储器720、内存730和通信接口740,并且至少一个处理器710、存储器720、内存730和通信接口740经由总线760连接在一起。至少一个处理器710执行在存储器中存储或编码的至少一个计算机可读指令(即,上述以软件形式实现的元素)。
在一个实施例中,在存储器中存储计算机可执行指令,其当执行时使得至少一个处理器710:在从数据访问设备接收到实体访问控制请求后,基于数据访问实体的可信身份标识进行实体访问认证,并向数据访问设备返回实体访问认证结果,所述实体访问控制请求至少包括数据访问实体的可信身份标识;在从数据访问设备所访问的至少一个数据存储设备接收到至少一个数据访问控制请求后,基于数据访问实体的可信身份标识以及至少一个待访问数据的访问策略,确定数据访问实体针对所述至少一个待访问数据是否具有访问权限,至少一个数据访问控制请求中的各个数据访问控制请求至少包括数据访问实体的可信身份标识和待访问数据的数据标识,待访问数据的访问策略用于指示具有哪些可信身份标识的数据访问实体能够访问该待访问数据;以及在确定数据访问实体针对所述至少一个待访问数据具有访问权限时,生成针对所述至少一个待访问数据的数据访问处理请求,以发送给对应的数据存储设备来执行相应的数据访问处理,其中,所述实体访问控制请求是在数据访问设备从数据访问实体接收到第一数据访问请求后,基于第一数据访问请求而生成的,第一数据访问请求至少包括数据访问实体的可信身份标识和数据访问上下文,数据访问控制请求是在至少一个数据存储设备从数据访问设备接收到第二数据访问请求后,基于第二数据访问请求而生成的,所述第二数据访问请求是在实体访问认证通过后,在数据访问设备处基于第一数据访问请求生成的,第二数据访问请求至少包括数据访问实体的可信身份标识和针对对应数据存储设备的数据访问请求命令。
应该理解,在存储器中存储的计算机可执行指令当执行时使得至少一个处理器710进行本公开的各个实施例中以上结合图1-6描述的各种操作和功能。
图8示出了根据本公开的实施例的用于数据访问处理的计算设备800的硬件结构图。如图8所示,计算设备800可以包括至少一个处理器810、存储器820、内存830和通信接口840,并且至少一个处理器810、存储器820、内存830和通信接口840经由总线860连接在一起。至少一个处理器810执行在存储器中存储或编码的至少一个计算机可读指令(即,上述以软件形式实现的元素)。
在一个实施例中,在存储器中存储计算机可执行指令,其当执行时使得至少一个处理器810:在从数据访问实体接收到第一数据访问请求后,基于第一数据访问请求生成实体访问控制请求,第一数据访问请求至少包括数据访问实体的可信身份标识和数据访问上下文,所述实体访问控制请求至少包括数据访问实体的可信身份标识;将所生成的实体访问控制请求发送给访问控制设备,以在访问控制设备处基于数据访问实体的可信身份标识进行实体访问认证;以及在访问控制设备所返回的实体访问认证通过时,基于第一数据访问请求生成第二数据访问请求,第二数据访问请求至少包括数据访问实体的可信身份标识和针对对应数据存储设备的数据访问请求命令。
应该理解,在存储器中存储的计算机可执行指令当执行时使得至少一个处理器810进行本公开的各个实施例中以上结合图1-6描述的各种操作和功能。
图9示出了根据本公开的实施例的用于数据访问处理的计算设备900的硬件结构图。如图9所示,计算设备900可以包括至少一个处理器910、存储器920、内存930和通信接口940,并且至少一个处理器910、存储器920、内存930和通信接口940经由总线960连接在一起。至少一个处理器910执行在存储器中存储或编码的至少一个计算机可读指令(即,上述以软件形式实现的元素)。
在一个实施例中,在存储器中存储计算机可执行指令,其当执行时使得至少一个处理器910:在从数据访问设备接收到第二数据访问请求后,生成至少一个数据访问控制请求,所述数据访问控制请求至少包括数据访问实体的可信身份标识和待访问数据的数据标识,第二数据访问请求至少包括数据访问实体的可信身份标识和针对数据存储设备的数据访问请求命令;将所生成的至少一个数据访问控制请求发送给访问控制设备,以在访问控制设备处,基于数据访问实体的可信身份标识以及至少一个待访问数据的访问策略,确定数据访问实体针对所述至少一个待访问数据是否具有访问权限,待访问数据的访问策略用于指示具有哪些可信身份标识的数据访问实体能够访问该待访问数据;以及响应于从访问控制设备接收到数据访问处理请求后,对所述至少一个待访问数据进行相应的数据访问处理,所述数据访问处理请求是在访问控制设备处确定数据访问实体针对所述至少一个待访问数据具有访问权限时,基于第二数据访问请求生成的。
应该理解,在存储器中存储的计算机可执行指令当执行时使得至少一个处理器910进行本公开的各个实施例中以上结合图1-6描述的各种操作和功能。
根据一个实施例,提供了一种比如非暂时性机器可读介质的程序产品。非暂时性机器可读介质可以具有指令(即,上述以软件形式实现的元素),该指令当被机器执行时,使得机器执行本公开的各个实施例中以上结合图1-6描述的各种操作和功能。具体地,可以提供配有可读存储介质的系统或者装置,在该可读存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机或处理器读出并执行存储在该可读存储介质中的指令。
根据一个实施例,提供了一种比如非暂时性机器可读介质的程序产品。非暂时性机器可读介质可以具有指令(即,上述以软件形式实现的元素),该指令当被机器执行时,使得机器执行本公开的各个实施例中以上结合图1-6描述的各种操作和功能。具体地,可以提供配有可读存储介质的系统或者装置,在该可读存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机或处理器读出并执行存储在该可读存储介质中的指令。
在这种情况下,从可读介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此机器可读代码和存储机器可读代码的可读存储介质构成了本发明的一部分。
可读存储介质的实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD-RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上或云上下载程序代码。
本领域技术人员应当理解,上面公开的各个实施例可以在不偏离发明实质的情况下做出各种变形和修改。因此,本发明的保护范围应当由所附的权利要求书来限定。
需要说明的是,上述各流程和各系统结构图中不是所有的步骤和单元都是必须的,可以根据实际的需要忽略某些步骤或单元。各步骤的执行顺序不是固定的,可以根据需要进行确定。上述各实施例中描述的装置结构可以是物理结构,也可以是逻辑结构,即,有些单元可能由同一物理实体实现,或者,有些单元可能分由多个物理实体实现,或者,可以由多个独立设备中的某些部件共同实现。
以上各实施例中,硬件单元或模块可以通过机械方式或电气方式实现。例如,一个硬件单元、模块或处理器可以包括永久性专用的电路或逻辑(如专门的处理器,FPGA或ASIC)来完成相应操作。硬件单元或处理器还可以包括可编程逻辑或电路(如通用处理器或其它可编程处理器),可以由软件进行临时的设置以完成相应操作。具体的实现方式(机械方式、或专用的永久性电路、或者临时设置的电路)可以基于成本和时间上的考虑来确定。
上面结合附图阐述的具体实施方式描述了示例性实施例,但并不表示可以实现的或者落入权利要求书的保护范围的所有实施例。在整个本说明书中使用的术语“示例性”意味着“用作示例、实例或例示”,并不意味着比其它实施例“优选”或“具有优势”。出于提供对所描述技术的理解的目的,具体实施方式包括具体细节。然而,可以在没有这些具体细节的情况下实施这些技术。在一些实例中,为了避免对所描述的实施例的概念造成难以理解,公知的结构和装置以框图形式示出。
本公开内容的上述描述被提供来使得本领域任何普通技术人员能够实现或者使用本公开内容。对于本领域普通技术人员来说,对本公开内容进行的各种修改是显而易见的,并且,也可以在不脱离本公开内容的保护范围的情况下,将本文所定义的一般性原理应用于其它变型。因此,本公开内容并不限于本文所描述的示例和设计,而是与符合本文公开的原理和新颖性特征的最广范围相一致。