CN110956431A - 数据权限管控方法及系统、计算机装置及可读存储介质 - Google Patents
数据权限管控方法及系统、计算机装置及可读存储介质 Download PDFInfo
- Publication number
- CN110956431A CN110956431A CN201811126013.8A CN201811126013A CN110956431A CN 110956431 A CN110956431 A CN 110956431A CN 201811126013 A CN201811126013 A CN 201811126013A CN 110956431 A CN110956431 A CN 110956431A
- Authority
- CN
- China
- Prior art keywords
- user
- data
- data read
- write
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/103—Workflow collaboration or project management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
- G06F12/1491—Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Strategic Management (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Operations Research (AREA)
- Data Mining & Analysis (AREA)
- General Business, Economics & Management (AREA)
- Marketing (AREA)
- Tourism & Hospitality (AREA)
- Quality & Reliability (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种数据权限管控方法,所述方法包括:配置用户元数据,所述用户元数据包括用户的多个属性;依据所述用户元数据,动态地配置用户分类;依据所述用户分类,动态地配置数据读写权限;接收用户的访问请求;获取所述用户的属性,并依据用户的属性判定用户分类;依据所述用户分类,判断所述用户是否具备数据读写权限;在判断所述用户具备数据读写权限时,对所述用户的数据读写操作进行授权。本发明同时提供一种数据权限管控系统、计算机装置及可读存储介质。本发明可实现对用户数据访问权限的动态管控,易于维护,安全性高。
Description
技术领域
本发明涉及一种数据权限管控技术领域,特别是一种基于动态规则的数据权限管控方法及系统、计算机装置及可读存储介质。
背景技术
目前,随着互联网应用的普及和信息化产业的发展,各类数据系统在企业和社会中的应用范围十分广泛,并且随着企业信息化水平的不断发展,企业数据系统的规模越来越大,数据库也越来越多,对数据访问控制的灵活性要求也越来越高,而传统的数据访问控制的方法大多都采取静态的数据访问控制模式,如用户在访问数据时,系统会通过查询角色表、权限表、角色与权限关系表,获取该用户的数据访问权限,然后永久或很长时间内赋予该用户对应的数据访问,建立数据操作或传输信道。
然而,当用户属性发生变化时,如由总公司用户变为分公司用户时,需手动调整该用户的角色,该方法数据维护复杂且存在安全隐患;当业务规则发生变化时,如允许总公司人员当天借款总额不高于2000元,调整为当天借款总额不高于5000元,需要通过代码以实现借款额度的变更,使得借款额度与代码相关联,不便于业务规则与代码的分离。
发明内容
有鉴于此,有必要提供一种数据权限管控方法及系统、计算机装置及可读存储介质。
本发明的第一方面提供一种数据权限管控方法,所述方法包括:
配置用户元数据,所述用户元数据包括用户的多个属性;
依据所述用户元数据,动态地配置用户分类;
依据所述用户分类,动态地配置数据读写权限;
接收用户的访问请求;
获取所述用户的属性,并依据用户的属性判定用户分类;
依据所述用户分类,判断所述用户是否具备数据读写权限;
在判断所述用户具备数据读写权限时,对所述用户的数据读写操作进行授权。
本申请的第二方面提供一种数据权限管控系统,所述数据权限管控系统包括:
用户定义模块,所述用户定义模块包括用户元数据定义模块和用户分类模块,所述用户元数据定义模块用于定义用户的元数据,所述用户的元数据包括用户的多个属性,所述用户分类模块用于依据所述用户元数据,动态地配置用户分类;
数据权限配置模块,用于依据所述用户分类,动态地配置数据读写权限;
接收模块,用于接收用户的访问请求;
属性获取模块,用于获取所述用户的属性;
解析引擎模块,用于依据请求解析数据读写权限,以判断所述用户是否具有数据读写权限;以及
授权模块,用于对所述用户的数据读写操作进行授权或拒绝。
本申请的第三方面提供一种计算机装置,所述计算机装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现所述数据权限管控方法。
本申请的第四方面提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述数据权限管控方法。
上述数据权限管控方法及系统,能够动态地配置用户分类,当用户属性发生变更时,属于该用户的用户分类也会随之发生变更,无需手动变更用户分类;依据用户分类,动态地配置数据读写权限,实现了对用户数据权限的动态管控。上述数据权限管控方法及系统的权限配置实现了可视化,易于维护;由于用户权限会随着用户的属性变更而变更,提升了系统的安全性。另外,通过动态地配置数据读写权限,当业务规则发生变更时,只需调整相关规则的配置,而无需修改代码,权限控制与业务逻辑分离,便于系统扩展。
附图说明
图1为本发明提供实施方式之数据权限管控方法的流程图。
图2为本发明提供实施方式之数据读写权限配置步骤的流程图。
图3为本发明提供实施方式之数据权限管控系统的模块示意图。
图4为本发明提供实施方式之计算机装置的示意图。
主要元件符号说明
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行详细描述。需要说明的是,在不冲突的情况下,本申请的实施方式及实施方式中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,所描述的实施方式仅是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施方式,都属于本发明保护的范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施方式的目的,不是旨在限制本发明。
本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
请参考图1,图1为本发明一较佳实施方式中的数据权限管控方法的流程图。根据不同的需求,该流程图中的步骤顺序可以改变,某些步骤可以省略或者合并。
步骤S101:配置用户元数据,所述用户元数据包括用户的多个属性。
优选地,运用可扩展标记语言(Extensible Markup Language,XML)技术进行多个用户元数据的配置,配置文件描述了每个用户具有的多个属性及每个属性的类型,所述属性的类型可为数字或字符串。所述属性包括用户的身份标识属性,所述身份标识属性包括年龄、学历、职业、性别等。如果用户为公司员工,则所述身份标识属性还包括用户的级别、部门、工种、所属专案组别等。
配置用户元数据时,该元数据可链接到至少一外部系统,例如公司人事系统,当人事系统中发生员工级别、部门、工种、所属专案组别等身份标识变化时,则自动更新该用户的元数据信息,以便动态配置该用户新的权限。
优选地,所述属性还包括用户所处的网络环境、使用的电子设备、用户所处的地理位置、用户访问的时间或其他预设的情境中的一种或多种。在本实施方式中,所述用户所处的网络环境、使用的电子设备、用户所处的地理位置、用户的访问时间或其他预设的情境可由用户元数据链接到公司监控系统,当公司监控系统中相应的用户属性发生变化时动态更新用户元数据中的数据。在另一实施方式中,用户的网络环境可使用IP追踪等技术获得,以确保是用限定使用的IP地址进行登录;使用的电子设备可通过电脑名称或MAC地址来判断是否为限定使用的电子设备进行登录;用户所处位置可使用摄像头等识别装置所识别;用户访问的时间可通过获取电子设备中的时钟信息来确定;其他预定的情境视具体情况而定。
步骤S102:依据用户元数据,动态地配置用户分类。
具体地,依据用户元数据,运用动态规则配置用户分类。因此,当某个用户的属性发生变更时,属于该用户的用户分类也会随之变更,无需手动变更用户分类。
所述动态规则采用表达式进行描述,所述表达式可包括数字、字符串、算数操作符、逻辑操作符,所述表达式还可包括一些上下文敏感的变量和函数。
例如,用户分类的动态规则包括以下表达式:
userInfo.groupLevel=1
userInfo.groupLevel=2
userInfo.groupLevel=3
用户元数据的配置文件包括用户的属性“group Level”。依据上述表达式,当“group Level”为1时,将用户分类到集团用户;当“group Level”为2时,将用户分类到次集团用户;当“group Level”为3时,将用户分类到事业群用户。
又如,用户所处的网络环境分为公司内网或外网,依据用户元数据中的用户所述的网络环境,将用户分类为内网用户和外网用户。
步骤S103:依据用户分类,动态地配置数据读写权限。
请参照图2,步骤S103具体包括以下步骤:
步骤S1031:配置数据源和业务源。
较佳地,通过数据源引擎,通过开放数据库连接(Open Database Connectivity,ODBC)技术获取数据库表信息,从而配置数据源;通过业务源引擎获取数据,将数据存放于指定的业务模型中,从而配置业务源。
步骤S1032:依据数据源和业务源,动态地配置数据读写的规则。
具体地,依据数据源和业务源,运用动态规则配置数据读写的规则。所述动态规则采用表达式进行描述,所述表达式可包括数字、字符串、算数操作符、逻辑操作符,以及上下文敏感的变量和函数。
所述数据读写的规则包括数据读取和数据写入的规则。数据读取是指允许用户查询的数据范围,包括数据列的范围和数据行的范围。数据写入是指允许用户对业务内容进行操作,例如,允许用户写入、上传或下载信息。
步骤S1033:针对不同的用户分类,将多条数据读写的规则组合成对应的数据读写策略。
步骤S1034:将多条数据读写策略组成数据读写权限。
例如,“集团用户当天单笔借款额不大于5000元”的规则配置包括以下表达式:
curUser.groupLevel=1
[AND]
Loan.Money<5000
[AND]
Loan.Date=Today()
通过以上配置,该类“集团用户”可发起不大于5000元借款的业务,并将借款记录写入系统数据库表中。
步骤S104:接收用户的访问请求。
步骤S105:获取所述用户的属性,并依据所述用户的属性判定用户分类。
在一实施方式中,通过在配置后的用户元数据中进行查找,以获取所述用户的属性,所述属性包括用户的身份标识属性,所述身份标识属性包括年龄、学历、职业、性别等。如果用户为公司员工,则所述身份标识属性还包括用户的级别、部门、工种、所属专案组别等。由于用户元数据已在步骤S101中配置,该实施方式可以实现用户元数据的快速获取,节省数据传输时间。
在另一实施方式中,通过查询至少一个外部系统来获取用户的属性,因此,当外部系统中用户的属性变更时,可通过查询该外部系统来获取到用户最新的属性。所述外部数据系统例如为人事系统、公司监控系统等。所述属性可包括用户的身份标识属性,所述属性还可包括用户所处的网络环境、使用的电子设备、用户所处的地理位置、用户访问的时间或其他预设的情境中的一种或多种。例如,通过查询该人事系统,获取用户最新的属性。该实施方式节省了本地用户元数据的存储量,从而节省了存储空间。
在获取用户的属性之后,通过基于表达式的动态规则判定用户的分类。当用户属性发生变更时,属于该用户的用户分类也会随之变更。
例如,通过人事系统获取到用户的身份标识属性中的“group Level”已由“2”变为“1”,则该用户的用户分类也随之变更,由“次集团用户”变为“集团用户”。
步骤S106:依据用户分类,判断用户是否具备数据读写权限。
具体地,依据所述用户的用户分类和配置的数据读写权限进行规则解析、策略解析和权限解析,从而判断用户是否具备数据读写权限。若为是,则进入步骤S107;若为否,则进入步骤S108。
例如,当“查询当前用户所属公司及子公司信息”的数据读取权限分配给“集团用户”、“内网用户”后,则判断使用内网的“集团用户”具备对应的数据查询读取权限。
步骤S107:对用户的数据读写操作进行授权。
授权后,该用户具有相应的数据读写权限,能够进行数据的读取和写入。
步骤S108:对用户的数据读写操作进行拒绝。
图3为本发明数据权限管控系统10较佳实施例的结构图。本发明的数据权限管控系统10可以包括一个或多个模块,所述一个或多个模块可以被存储在计算机的存储器中并可以被配置成由一个或多个处理器(本实施方式为一个处理器)执行,以完成本发明。例如,如图3所示,所述数据权限管控系统10可以包括:用户定义模块11、数据权限配置模块12、解析引擎模块13、接收模块14、属性获取模块15及授权模块16。
所述用户定义模块11用于运用用户分类的动态规则对用户进行定义和分类,所述用户定义模块11包括用户元数据定义模块111和用户分类模块112。所述用户元数据定义模块111用于定义用户的元数据,所述用户分类模块112用于依据用户元数据,动态地配置用户分类。较佳地,用户元数据的配置文件描述了用户具有的多个属性及每个属性的类型,所述属性包括用户的身份标识属性,所述属性还可包括用户所处的网络环境、使用的电子设备、用户所处的地理位置、用户访问的时间或其他预设的情境中的一种或多种的一种或多种。所述用户分类模块112依据用户元数据,通过基于表达式的动态规则配置用户分类。
所述数据权限配置模块12用于依据用户分类,动态地配置数据读写权限。所述数据权限配置模块12包括源数据配置模块121、数据读写规则配置模块122、数据读写策略配置模块123及数据读写权限配置模块124。所述源数据配置模块121用于依据请求读取数据库表信息和业务源信息,从而配置数据源和业务源。所述数据读写规则配置模块122用于依据数据源和业务源,动态地配置数据读写的规则。所述数据读写策略配置模块123用于针对不同的用户分类,将多条数据读写的规则组合成对应的数据读写策略。所述数据读写权限配置模块124用于将多条数据读写策略组成数据读写权限。
具体地,所述用户分类模块112运用动态规则配置用户分类;所述数据权限配置模块12运用动态规则配置数据读写权限,所述动态规则分别采用表达式进行描述,所述表达式包括数字、字符串、算数操作符和逻辑操作符,所述表达式还可包括一些上下文敏感的变量和函数。
所述解析引擎模块13用于依据请求解析数据读写权限,以判断用户是否具有数据读写权限。所述解析引擎模块13包括规则解析引擎模块131、策略解析引擎模块132及权限解析引擎模块133。所述规则解析引擎模块131用于依据请求解析读写规则,所述策略解析引擎模块132依据请求解析读写策略,所述权限解析引擎模块133依据请求解析读写权限,进而判断用户是否具有读写权限。
所述接收模块14用于接收用户的访问请求。
所述属性获取模块15用于获取用户的多个属性。所述属性包括用户的身份标识属性,所述属性还可包括用户所处的网络环境、使用的电子设备、用户所处的地理位置、用户访问的时间或其他预设的情境中的一种或多种。
在一实施方式中,所述属性获取模块15通过查询存储于该数据权限管控系统10中的用户元数据,来获取用户的属性。
在另一实施方式中,所述数据权限管控系统10可与至少一个外部系统建立通信连接,因此,所述属性获取模块15可通过查询所述至少一个外部系统来获取用户的属性。所述外部系统例如为公司人事系统、公司监控系统等。
所述授权模块16用于对用户的数据读写操作进行授权或拒绝。
上述数据权限管控方法及系统,能够动态地配置用户分类,当用户属性发生变更时,属于该用户的用户分类也会随之发生变更,无需手动变更用户分类;依据用户分类,动态地配置数据读写权限,实现了对用户数据权限的动态管控。上述数据权限管控方法及系统的权限配置实现了可视化,易于维护;由于用户权限会随着用户的属性变更而变更,提升了系统的安全性。另外,上述方法及系统依据用户分类动态地配置数据读写权限,而不需对每个属性配置数据读写权限,节省了数据权限管控的工作量,提升了数据管控的效率。进一步地,上述数据权限管控方法及系统,通过动态规则配置数据读写权限,当业务规则发生变更时,只需调整相关规则的配置,而无需修改代码,权限控制与业务逻辑分离,便于系统扩展。
图4为本发明计算机装置较佳实施例的示意图。
所述计算机装置1包括存储器20、处理器30以及存储在所述存储器20中并可在所述处理器30上运行的计算机程序40。所述处理器30执行所述计算机程序40时实现上述数据权限管控方法实施例中的步骤,例如图1所示的步骤S101~S108、图2所示的步骤S1031~S1034。或者,所述处理器30执行所述计算机程序40时实现上述装置实施例中各模块/单元的功能,例如图3中的各个模块。
示例性的,所述计算机程序40可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器20中,并由所述处理器30执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序40在所述计算机装置1中的执行过程。例如,所述计算机程序40可以被分割成图3中的用户定义模块11、数据权限配置模块12、解析引擎模块13、接收模块14、属性获取模块15及授权模块16。
所述计算机装置1可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。本领域技术人员可以理解,所述示意图仅仅是计算机装置1的示例,并不构成对计算机装置1的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述计算机装置1还可以包括输入输出设备、网络接入设备、总线等。
所称处理器30可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器30也可以是任何常规的处理器等,所述处理器30是所述计算机装置1的控制中心,利用各种接口和线路连接整个计算机装置1的各个部分。
所述存储器20可用于存储所述计算机程序40和/或模块/单元,所述处理器30通过运行或执行存储在所述存储器20内的计算机程序和/或模块/单元,以及调用存储在存储器20内的数据,实现所述计算机装置1的各种功能。所述存储器20可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据计算机装置1的使用所创建的数据等。此外,存储器20可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
所述计算机装置1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁盘、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
在本发明所提供的几个实施例中,应该理解到,所揭露的计算机装置和方法,可以通过其它的方式实现。例如,以上所描述的计算机装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
另外,在本发明各个实施例中的各功能单元可以集成在相同处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在相同单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。计算机装置权利要求中陈述的多个单元或计算机装置也可以由同一个单元或计算机装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (10)
1.一种数据权限管控方法,其特征在于,所述方法包括:
配置用户元数据,所述用户元数据包括用户的多个属性;
依据所述用户元数据,动态地配置用户分类;
依据所述用户分类,动态地配置数据读写权限;
接收用户的访问请求;
获取所述用户的属性,并依据所述用户的属性判定用户分类;
依据所述用户分类,判断所述用户是否具备数据读写权限;
在判断所述用户具备数据读写权限时,对所述用户的数据读写操作进行授权。
2.如权利要求1所述的数据权限管控方法,其特征在于:所述属性包括用户的身份标识属性,所述属性还包括用户所处的网络环境、使用的电子设备、用户所处的地理位置、用户访问的时间或其他预设的情境中的一种或多种。
3.如权利要求1所述的数据权限管控方法,其特征在于:所述“动态地配置数据读写权限”的步骤具体包括:
配置数据源和业务源;
依据所述数据源和所述业务源,动态地配置数据读写的规则;
针对不同的用户分类,将多条所述数据读写的规则组合成对应的数据读写策略;
将多条所述数据读写策略组成数据读写权限。
4.如权利要求3所述的数据权限管控方法,其特征在于:分别通过动态规则配置用户分类和数据读写权限,所述动态规则分别采用表达式进行描述,所述表达式包括数字、字符串、算数操作符和逻辑操作符。
5.一种数据权限管控系统,其特征在于,所述数据权限管控系统包括:
用户定义模块,所述用户定义模块包括用户元数据定义模块和用户分类模块,所述用户元数据定义模块用于定义用户的元数据,所述用户的元数据包括用户的多个属性,所述用户分类模块用于依据所述用户元数据,动态地配置用户分类;
数据权限配置模块,用于依据所述用户分类,动态地配置数据读写权限;
接收模块,用于接收用户的访问请求;
属性获取模块,用于获取所述用户的属性;
解析引擎模块,用于依据请求解析数据读写权限,以判断所述用户是否具有数据读写权限;以及
授权模块,用于对所述用户的数据读写操作进行授权或拒绝。
6.如权利要求5所述的数据权限管控系统,其特征在于:所述属性包括用户的身份标识属性,所述属性还包括用户所处的网络环境、使用的电子设备、用户所处的地理位置、用户访问的时间或其他预设的情境中的一种或多种;所述数据权限管控系统与至少一外部系统建立通信连接,所述属性获取模块通过查询所述外部系统以获取所述用户的属性。
7.如权利要求5所述的数据权限管控系统,其特征在于:所述数据权限配置模块包括:
源数据配置模块,用于配置数据源和业务源;
数据读写规则配置模块,用于依据数据源和业务源,动态地配置数据读写的规则;
数据读写策略配置模块,用于针对不同的用户分类,将多条数据读写的规则组合成对应的数据读写策略;
数据读写权限配置模块,用于将多条数据读写策略组成数据读写权限。
8.如权利要求5所述的数据权限管控系统,其特征在于:所述用户分类模块运用动态规则配置用户分类;所述数据权限配置模块运用动态规则配置数据读写权限,所述动态规则分别采用表达式进行描述,所述表达式包括数字、字符串、算数操作符和逻辑操作符。
9.一种计算机装置,其特征在于:所述计算机装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1-4中任一项所述的数据权限管控方法。
10.一种可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1-4中任一项所述的数据权限管控方法。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811126013.8A CN110956431A (zh) | 2018-09-26 | 2018-09-26 | 数据权限管控方法及系统、计算机装置及可读存储介质 |
TW107136836A TW202020756A (zh) | 2018-09-26 | 2018-10-18 | 數據權限管控方法及系統、計算機裝置及可讀存儲介質 |
US16/253,512 US20200097673A1 (en) | 2018-09-26 | 2019-01-22 | Data privilage control method and system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811126013.8A CN110956431A (zh) | 2018-09-26 | 2018-09-26 | 数据权限管控方法及系统、计算机装置及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110956431A true CN110956431A (zh) | 2020-04-03 |
Family
ID=69884890
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811126013.8A Pending CN110956431A (zh) | 2018-09-26 | 2018-09-26 | 数据权限管控方法及系统、计算机装置及可读存储介质 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20200097673A1 (zh) |
CN (1) | CN110956431A (zh) |
TW (1) | TW202020756A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111624964A (zh) * | 2020-05-27 | 2020-09-04 | 甬矽电子(宁波)股份有限公司 | 权限动态管控方法、装置、服务端和可读存储介质 |
CN112597463A (zh) * | 2020-12-31 | 2021-04-02 | 中国工商银行股份有限公司 | 数据库数据处理方法、装置及系统 |
CN113836500A (zh) * | 2020-06-23 | 2021-12-24 | 上海森亿医疗科技有限公司 | 数据权限控制方法、系统、终端以及储存介质 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11580239B2 (en) * | 2019-10-22 | 2023-02-14 | Microsoft Technology Licensing, Llc | Controlling access to cloud resources in data using cloud-enabled data tagging and a dynamic access control policy engine |
CN112632578B (zh) * | 2020-12-25 | 2024-05-17 | 平安银行股份有限公司 | 业务系统权限控制方法、装置、电子设备及存储介质 |
-
2018
- 2018-09-26 CN CN201811126013.8A patent/CN110956431A/zh active Pending
- 2018-10-18 TW TW107136836A patent/TW202020756A/zh unknown
-
2019
- 2019-01-22 US US16/253,512 patent/US20200097673A1/en not_active Abandoned
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111624964A (zh) * | 2020-05-27 | 2020-09-04 | 甬矽电子(宁波)股份有限公司 | 权限动态管控方法、装置、服务端和可读存储介质 |
CN111624964B (zh) * | 2020-05-27 | 2021-08-06 | 甬矽电子(宁波)股份有限公司 | 权限动态管控方法、装置、服务端和可读存储介质 |
CN113836500A (zh) * | 2020-06-23 | 2021-12-24 | 上海森亿医疗科技有限公司 | 数据权限控制方法、系统、终端以及储存介质 |
CN113836500B (zh) * | 2020-06-23 | 2023-11-07 | 上海森亿医疗科技有限公司 | 数据权限控制方法、系统、终端以及储存介质 |
CN112597463A (zh) * | 2020-12-31 | 2021-04-02 | 中国工商银行股份有限公司 | 数据库数据处理方法、装置及系统 |
Also Published As
Publication number | Publication date |
---|---|
US20200097673A1 (en) | 2020-03-26 |
TW202020756A (zh) | 2020-06-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112699175B (zh) | 一种数据治理系统及其方法 | |
CN110956431A (zh) | 数据权限管控方法及系统、计算机装置及可读存储介质 | |
US8108367B2 (en) | Constraints with hidden rows in a database | |
US11620306B2 (en) | Low-latency predictive database analysis | |
CN108509547B (zh) | 一种信息管理方法、信息管理系统及电子设备 | |
Kunc et al. | A computational literature review of the field of System Dynamics from 1974 to 2017 | |
US20160034571A1 (en) | Method and system for implementing alerts in semantic analysis technology | |
US20070226695A1 (en) | Crawler based auditing framework | |
US11100152B2 (en) | Data portal | |
CN109710413B (zh) | 一种半结构化文本数据的规则引擎系统的整体计算方法 | |
WO2022021697A1 (zh) | 一种涉及多领域溯源系统 | |
CN111966866A (zh) | 一种数据资产管理的方法和装置 | |
US20140019454A1 (en) | Systems and Methods for Caching Data Object Identifiers | |
US20110184956A1 (en) | Accessing digitally published content using re-indexing of search results | |
US9043328B2 (en) | Configurable catalog builder system | |
CN115145871A (zh) | 文件查询方法、装置和电子设备 | |
Teslya et al. | Smart city platform architecture for citizens’ mobility support | |
CN116719822B (zh) | 一种海量结构化数据的存储方法及系统 | |
CN109299613B (zh) | 数据库分区权限的设置方法和终端设备 | |
CN111177700A (zh) | 行级权限的控制方法及装置 | |
CN110928963A (zh) | 针对运维业务数据表的列级权限知识图谱构建方法 | |
CN116186116A (zh) | 一种基于等保测评的资产问题分析方法 | |
CN115543428A (zh) | 一种基于策略模板的模拟数据生成方法和装置 | |
CN115168474A (zh) | 一种基于大数据模型的物联中台系统搭建方法 | |
CN111209284B (zh) | 基于元数据的分表方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200403 |
|
WD01 | Invention patent application deemed withdrawn after publication |