CN111783045B - 基于分级分类的数据授权方法和装置 - Google Patents
基于分级分类的数据授权方法和装置 Download PDFInfo
- Publication number
- CN111783045B CN111783045B CN202010575922.0A CN202010575922A CN111783045B CN 111783045 B CN111783045 B CN 111783045B CN 202010575922 A CN202010575922 A CN 202010575922A CN 111783045 B CN111783045 B CN 111783045B
- Authority
- CN
- China
- Prior art keywords
- data
- level
- user
- category
- data item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Abstract
本发明公开基于分级分类的数据授权方法和装置,通过建立级别规则库和类别规则库,根据数据源中数据项的属性特征结合级别规则库分析得到数据项的内容敏感级,根据内容敏感级确定数据源级别、用户对应的字段权限范围集合以及第一权限范围数据集;根据数据源的数据资源标识分析得到类别分析数据集合和分类维度数据集,根据分类维度数据集中的数据项类别和层级确定数据源的权限集合;根据数据项的字段权限范围集合中具有关联的两个字段的层级判断得到数据项的权限集合;根据用户的级别分别与数据源的权限集合和数据项的权限集合比对得到用户的数据范围集合和第二权限范围数据集;将第一权限范围数据集和第二权限范围数据集合并为用户的权限范围集合。
Description
技术领域
本发明涉及数据分析领域,具体涉及一种基于分级分类的数据授权方法和装置。
背景技术
随着大数据时代的到来,各地的大数据系统持续接入不同行业,多种多样的海量数据资源,形成统一的数据资源池,再开放给各级用户使用,传统的基于用户角色的数据授权方法,无法解决数据安全和数据使用需求之间的矛盾,成为制约大数据更好为用户服务的主要因素,所以如何确保每个用户在使用大数据时,管用够用,成为保障数据安全和高效支撑业务办理的关键点。
由于大数据系统接入的数据种类繁多,开放使用的用户层面广泛、业务场景复杂多变等特点,目前市场上现有的数据授权方法,主要通过用户和角色两个维度进行数据授权,已无法满足实战需求,这些技术存在以下不足:
1)授权的范围是单维,通过用户和角色的授权,只是根据用户这个维度进行授权,授权时无法兼顾数据特性等维度,授权的颗粒度较粗,存在数据安全隐患。
2)授权的方式是静态,通过用户和角色的授权,只能实现最初级的数据授权,一旦设定后,不管用户所处的业务场景是否变化,用户拥有的数据权限范围是一成不变,经常会出现数据授权范围与任务需求范围不匹配的问题,存在数据安全隐患。
有鉴于此,提出一种新的数据授权方法和装置是非常重要的。
发明内容
针对上述提到的授权使用广泛,业务场景复杂多变,授权颗粒度较粗,存在数据安全隐患、无法根据业务场景灵活获取授权范围等问题。本申请的实施例的目的在于提出了一种基于分级分类的数据授权方法和装置来解决以上背景技术部分提到的技术问题。
第一方面,本申请的实施例提供了一种基于分级分类的数据授权方法,包括以下步骤:
S1:建立级别规则库,根据数据源中数据项的属性特征结合级别规则库分析得到数据项的内容敏感级,根据内容敏感级确定数据源级别,根据用户的级别和内容敏感级和数据源级别确定用户对应的字段权限范围集合,将用户对应的字段权限范围集合与数据源对应保存为第一权限范围数据集;
S2:建立类别规则库,根据数据源的数据资源标识分析得到类别分析数据集合,将类别分析数据集合按照不同维度定义的层级进行分类得到分类维度数据集,根据分类维度数据集中的数据项类别和层级确定数据源的权限集合;
S3:根据数据项的字段权限范围集合的内容中具有关联的两个字段的层级判断得到数据项的权限集合;
S4:根据用户的级别分别与数据源的权限集合和数据项的权限集合比对得到用户的数据范围集合,将用户的数据范围集合与数据源对应保存为第二权限范围数据集;以及
S5:将第一权限范围数据集和第二权限范围数据集合并为用户的权限范围集合。
通过数据项的内容敏感级分析和数据类别分析分别得到第一权限范围数据集和第二权限范围数据集,从而得到用户的权限范围集合。
在一些实施例中,根据数据源中各个数据项类别下的各种内容设置敏感级别信息建立级别规则库,级别规则库中的敏感级别信息包括数据项类别、内容、级别、数据项类型、长度、验证引擎和第一状态。级别规则库的建立有利于根据不同的类别和内容设置不同的内容敏感级,对海量数据进行筛选,减少计算量,提高分析效率。
在一些实施例中,步骤S1具体包括:
S11:获取数据项中的数据项类型和长度,根据数据项类型和长度结合级别规则库中的属性对应敏感级别信息进行判断得到敏感规则分析数据集;
S12: 根据敏感规则分析数据集中的验证引擎对数据项进行验证得到数据项的内容敏感级,并将内容敏感级保存在数据项中;
S13:将数据源中数据项的内容敏感级的最大值保存为数据源级别;以及
S14:将内容敏感级低于用户的级别且数据源级别低于用户的级别的数据项提取出来作为用户对应的字段权限范围集合。
通过级别规则库确认数据项的内容敏感级和数据源级别,并且提取出用户对应的字段权限范围集合,在减少计算量的基础上,还能够根据用户的级别灵活获取该用户对应的字段权限范围集合。
在一些实施例中,步骤S11具体包括:根据级别规则库提取数据项中数据项类型对应的数据项类别、长度低过长度限制且第一状态为可用的部分,并将数据项中的部分保存为敏感规则分析数据集,敏感规则分析数据集包括内容、数据项类型、长度、验证引擎和数据项类别。通过级别规则库筛选出数据项中的敏感级别信息得到敏感规则分析数据集,通过敏感规则分析数据集对数据项进行分析,可以减少计算量。
在一些实施例中,步骤S12具体包括:
调用敏感规则分析数据集中的验证引擎对数据项进行验证,判断数据项所对应的验证结果是否符合要求,若符合则将敏感规则分析数据集的内容添加到数据项的内容,敏感规则分析数据集的级别设置为数据项的内容敏感级。通过敏感规则分析数据集中的验证引擎对数据项进行验证,可以提高分析效率。
在一些实施例中,根据数据项的不同维度和不同层级的类别信息建立类别规则库,类别规则库中的类别信息包括数据项类别、维度、维度定义、层级、数据资源标识和第二状态。通过类别规则库对数据项进行分维度分层级限定权限范围,因此分析的颗粒度比较精细。
在一些实施例中,步骤S2具体包括:
S21:获取数据源的数据资源标识,根据数据资源标识结合类别规则库的类别信息进行判断得到类别分析数据集合;
S22:比对类别分析数据集合的维度定义与数据资源标识所对应的类别定义是否相同,若相同,则将类别分析数据集合按照数据项类别和层级进行分类分级得到分类维度数据集;以及
S23:根据数据源的分类维度和分类维度数据集的数据项类别和层级确定数据源的权限集合。
通过数据源的数据资源标识获得分类维度数据集,再根据数据源的分类维度确定数据源的权限集合,解决用户在不同业务场景下的精确授权,保障大数据安全问题。
在一些实施例中,步骤S21具体包括:根据类别规则库提取数据源的数据资源标识所对应的数据资源标识且第二状态为可用的部分,并将数据源中的部分保存为类别分析数据集合,类别分析数据集合包括数据项类别、维度定义、层级。根据类别规则库获取不同数据源的数据资源标识所对应的类别分析数据集合。
在一些实施例中,步骤S3具体包括:
S31:获取数据项的字段权限范围集合的内容中具有关联的两个字段的层级;
S32:将两个字段的层级大小进行对比,取其中最大的层级作为数据项的层级;以及
S33:遍历数据项中所有字段权限范围集合的内容重复步骤S31-S32,得到数据项的权限集合。
此部分对数据项内部具有关联的字段的层级进行灵活地调整,对字段权限范围集合进行优化调整,提高授权范围的准确度,保障数据安全性。
在一些实施例中,步骤S4具体包括:
S41:根据用户的级别对数据源的权限集合进行限制获得用户对应的数据权限范围集合;
S42:根据用户的级别对数据项的权限集合进行限制获得用户对应的字段权限范围集合;以及
S43:将用户对应的数据权限范围集合和用户对应的字段权限范围集合合并为用户的数据范围集合。
结合用户对应的数据权限范围集合和用户对应的字段权限范围集合对用户的数据范围集合进行限制,进一步将用户的数据范围集合与数据源进行对应保存为第二权限范围数据。
第二方面,本申请的实施例中还提出了一种基于分级分类的数据授权装置,包括:
第一权限范围数据集确定模块,被配置为建立级别规则库,根据数据源中数据项的属性特征结合级别规则库分析得到数据项的内容敏感级,根据内容敏感级确定数据源级别,根据用户的级别和内容敏感级和数据源级别确定用户对应的字段权限范围集合,将用户对应的字段权限范围集合与所数据源对应保存为第一权限范围数据集;
数据源的权限集合确定模块,被配置为建立类别规则库,根据数据源的数据资源标识分析得到类别分析数据集合,将类别分析数据集合按照不同维度定义的层级进行分类得到分类维度数据集,根据分类维度数据集中的数据项类别和层级确定数据源的权限集合;
数据项的权限集合确定模块,被配置为根据数据项的字段权限范围集合的内容中具有关联的两个字段的层级判断得到数据项的权限集合;
第二权限范围数据集确定模块,被配置为根据用户的级别分别与数据源的权限集合和数据项的权限集合比对得到用户的数据范围集合,将用户的数据范围集合与数据源对应保存为第二权限范围数据集;以及
权限范围集合确定模块,被配置为将第一权限范围数据集和第二权限范围数据集合并为用户的权限范围集合。
第三方面,本申请实施例提供了一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面中任一的方法。
在第四方面,本申请还提出了一种计算机存储介质,其上存储有计算机程序,计算机程序被计算机执行时实现第一方面提到的步骤。
本申请提供了一种基于分级分类的数据授权方法和装置,分别从数据资源访问和业务功能访问两个维度进行精细化授权的使用场景,通过多维度多层级控制数据资源的权限使用范围,自动分析出数据项对应的内容敏感级,根据内容敏感级对数据资源进行定级,最后控制数据资源的权限使用范围,从数据获取方式、数据资源种类、字段等多个维度对数据资源进行分类,按照数据类别控制数据资源的使用范围。通过用户、角色、场景和任务等不同维度进行灵活数据授权,实现静态授权和动态授权相结合,实现用户使用数据时管用够用,全面支撑数据资源的开放和共享策略,确保数据的安全。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请的一个实施例可以应用于其中的示例性装置架构图;
图2为本发明的一个实施例的基于分级分类的数据授权方法的流程示意图;
图3为本发明的一个实施例的基于分级分类的数据授权方法的步骤S1的流程示意图;
图4为本发明的一个实施例的基于分级分类的数据授权方法的步骤S2的流程示意图;
图5为本发明的一个实施例的基于分级分类的数据授权方法的步骤S3的流程示意图;
图6为本发明的一个实施例的基于分级分类的数据授权方法的步骤S4的流程示意图;
图7为本发明的一个实施例的基于分级分类的数据授权装置的示意图;
图8是适于用来实现本申请实施例的电子设备的计算机装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1示出了可以应用本申请实施例的基于分级分类的数据授权方法或基于分级分类的数据授权装置的示例性装置架构100。
如图1所示,装置架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种应用,例如数据处理类应用、文件处理类应用等。
终端设备101、102、103可以是硬件,也可以是软件。当终端设备101、102、103为硬件时,可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。当终端设备101、102、103为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上传的文件或数据进行处理的后台数据处理服务器。后台数据处理服务器可以对获取的文件或数据进行处理,生成处理结果。
需要说明的是,本申请实施例所提供的基于分级分类的数据授权方法可以由服务器105执行,也可以由终端设备101、102、103执行,相应地,基于分级分类的数据授权装置可以设置于服务器105中,也可以设置于终端设备101、102、103中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。在所处理的数据不需要从远程获取的情况下,上述装置架构可以不包括网络,而只需服务器或终端设备。
图2示出了本申请的实施例公开的一种基于分级分类的数据授权方法,包括以下步骤:
S1:建立级别规则库,根据数据源中数据项的属性特征结合级别规则库分析得到数据项的内容敏感级,根据内容敏感级确定数据源级别,根据用户的级别和内容敏感级和数据源级别确定用户对应的字段权限范围集合,将用户对应的字段权限范围集合与数据源对应保存为第一权限范围数据集;
S2:建立类别规则库,根据数据源的数据资源标识分析得到类别分析数据集合,将类别分析数据集合按照不同维度定义的层级进行分类得到分类维度数据集,根据分类维度数据集中的数据项类别和层级确定数据源的权限集合;
S3:根据数据项的字段权限范围集合的内容中具有关联的两个字段的层级判断得到数据项的权限集合;
S4:根据用户的级别分别与数据源的权限集合和数据项的权限集合比对得到用户的数据范围集合,将用户的数据范围集合与数据源对应保存为第二权限范围数据集;以及
S5:将第一权限范围数据集和第二权限范围数据集合并为用户的权限范围集合。
通过数据项的内容敏感级分析和数据类别分析分别得到第一权限范围数据集和第二权限范围数据集,从而得到用户的权限范围集合。
在具体的实施例中,根据数据源中各个数据项类别下的各种内容设置敏感级别信息建立级别规则库,级别规则库中的敏感级别信息包括数据项类别、内容、级别、数据项类型、长度、验证引擎和第一状态。级别规则库的建立有利于根据不同的类别和内容设置不同的内容敏感级,对海量数据进行筛选,减少计算量,提高分析效率。在优选的实施例中,级别规则库中定义如下表:
其中,级别规则库中数据项类别包括敏感身份、敏感关键词、敏感图片等,内容包括身份证号码、手机号码等,级别为根据各个属性所对应的级别数值,级别可以设置为1、2、3、…。数据项类型包括数字、字符串、流等,长度为最大长度限制,验证引擎为根据不同数据项类别对应专用的验证引擎,主要为插件类验证引擎,假如数据项类别为敏感图片,将该数据项输入验证引擎验证该数据项所对应的数据项类别是否真的为敏感图片。
在具体的实施例中,如图3所示,步骤S1具体包括:
S11:获取数据项中的数据项类型和长度,根据数据项类型和长度结合级别规则库中的属性对应敏感级别信息进行判断得到敏感规则分析数据集;
S12: 根据敏感规则分析数据集中的验证引擎对数据项进行验证得到数据项的内容敏感级,并将内容敏感级保存在数据项中;
S13:将数据源中数据项的内容敏感级的最大值保存为数据源级别;以及
S14:将内容敏感级低于用户的级别且数据源级别低于用户的级别的数据项提取出来作为用户对应的字段权限范围集合。
在具体的实施例中,步骤S11具体包括:根据级别规则库提取数据项中数据项类型对应的数据项类别、长度低过长度限制且第一状态为可用的部分,并将数据项中的部分保存为敏感规则分析数据集,敏感规则分析数据集包括内容、数据项类型、长度、验证引擎和数据项类别。通过级别规则库筛选出数据项中的敏感级别信息得到敏感规则分析数据集,通过敏感规则分析数据集对数据项进行分析,可以减少计算量。具体地,获取数据源P中数据项Vn的数据项类型T和长度L,结合级别规则库,根据数据项类型T在级别规则库中获取对应的数据项类别,以及长度L超过最大长度限制,且第一状态为可用的条件下在数据项中提取该数据项类型T对应的敏感规则分析数据集,保存为Sn。例如数据项类型为jpg,根据级别规则库中的定义,数据项类型为jpg对应于数据项类别为敏感图片。例如数据项的长度为10,该数据项类别对应级别规则库中的最大长度限制为12,且数据项状态为可用,因此从该数据项Vn中获得的敏感规则分析数据集Sn,Sn包含n个子集合{S1,S2,… ,Sn} ,并将内容content、数据项类型itemType、长度lenght、验证引擎checkRule、内容content等信息存储在数据块表中。在优选的实施例中,需要将敏感规则分析数据集Sn按照长度倒序排列,因为通过一些概率算法可以找出长度的临界值,之后在进行步骤S12可以更加快速和便捷地进行处理。
在具体的实施例中,步骤S12具体包括:
调用敏感规则分析数据集中的验证引擎对数据项进行验证,判断数据项所对应的验证结果是否符合要求,若符合则将敏感规则分析数据集的内容添加到数据项的内容,敏感规则分析数据集的级别设置为数据项的内容敏感级。通过敏感规则分析数据集中的验证引擎对数据项进行验证,可以提高分析效率。通过敏感规则分析数据集对验证引擎进行限制,例如原来的验证引擎有10个,每个数据项都需要经过这10个验证引擎进行验证,但是在敏感规则分析数据集中有2个验证引擎,因此采用这2个验证引擎对数据项进行验证,由此获取敏感规则分析数据集可以有效提高数据项验证的速度和准确率。通过级别规则库确认数据项的内容敏感级和数据源级别,并且提取出用户对应的字段权限范围集合,在减少计算量的基础上,还能够根据用户的级别灵活获取该用户对应的字段权限范围集合。
在步骤S13中,当各种不同来源的数据源进行汇聚融合时,一条记录与不同级别的规则匹配时,该记录按较高的级别进行标记,因此将数据源中数据项的内容敏感级的最大值保存为数据源级别。
在步骤S14中,根据用户的级别U,提取该用户对应的字段权限范围集合Vm,提取的条件是数据项满足内容敏感级低于用户的级别且数据源级别低于用户的级别,最后得到用户对应的字段权限范围集合。该用户对应的字段权限范围集合是结合内容敏感级和数据源级别进行限定,因此准确度高和灵活性好。
最后将用户对应的字段权限范围集合Vm与数据源P对应保存为第一权限范围数据集G1,将用户对应的字段权限范围集合与数据源通过某种存储方式对应保存起来,使数据源对应于该用户具有一定的数据权限范围。
在具体的实施例中,根据数据项的不同维度和不同层级的类别信息建立类别规则库,类别规则库中的类别信息包括数据项类别、维度、维度定义、层级、数据资源标识和第二状态。通过类别规则库对数据项进行分维度分层级限定权限范围,因此分析的颗粒度比较精细。在优选的实施例中,类别规则库中定义如下表:
其中,类别规则库中包含数据项类别,并且存在多个维度,维度包括获取方式、数据资源种类、字段分类等,其中获取方式对应的值设置为1,依次类推,维度定义包含公开渠道或业务渠道,其中公开渠道或业务渠道都是从获取方式这个维度出发,因此将设置公开渠道对应的值设置为1.1,将业务渠道对应的值设置为1.2。层级包含当前层级和上个层级,上个层级是相对于当前层级而言,例如当前层级为业务渠道-1.2,则上个层级为获取方式。因此各个维度之间依靠各个层级建立树状节点分支,每个层级都存在若干节点分支,当前层级的部分节点为上个层级的某个节点的分支。
由于大数据系统接入不同类别的原始数据,每种类别数据资源由于获取方式不同,数据项关联复杂,只通过用户授权方式,无法有效地对不同来源的数据和相关联数据项的权限进行准确定义,数据授权颗粒度无法细化到字段级,存在数据安全等问题。因此以下部分从数据获取方式、数据资源种类、字段关系等多个维度对数据资源进行分类,按照数据类别控制数据资源的使用范围,实现字段级权限控制。
在具体的实施例中,如图4所示,步骤S2具体包括:
S21:获取数据源的数据资源标识,根据数据资源标识结合类别规则库的类别信息进行判断得到类别分析数据集合;
S22:比对类别分析数据集合的维度定义与数据资源标识所对应的类别定义是否相同,若相同,则将类别分析数据集合按照数据项类别和层级进行分类分级得到分类维度数据集;以及
S23:根据数据源的分类维度和分类维度数据集的数据项类别和层级确定数据源的权限集合。
在具体的实施例中,步骤S21具体包括:根据类别规则库提取数据源的数据资源标识所对应的数据资源标识且第二状态为可用的部分,并将数据源中的部分保存为类别分析数据集合,类别分析数据集合包括数据项类别、维度定义、当前层级、上个层级。根据类别规则库获取不同数据源的数据资源标识所对应的类别分析数据集合。通过数据源的数据资源标识获得分类维度数据集,再根据数据源的分类维度确定数据源的权限集合,解决用户在不同业务场景下的精确授权,保障大数据安全问题。
在优选的实施例中,在步骤S21和S22之间还包括:将类别分析数据集合按照上个层级正序排列以及当前层级倒序排列。
在步骤S22中,遍历类别分析数据集合,比对比对类别分析数据集合的维度定义与数据资源标识所对应的类别定义是否相同,若相同,则将类别分析数据集合按照数据项类别和层级进行分类分级得到分类维度数据集,继续遍历直至遍历结束。例如,数据源定义数据获取方式作为分类维度,分类维度数据集为:第一层级为管理(1类)、公开(2类),第二层级为酒店系统(1类)、停车系统(2类),则从管理渠道得到的停车数据,最后得到对应的数据源的权限集合Vt=[类别1,层级1],[类别2,层级2]。
为了解决单一字段分类无法控制多字段组合出现可能带来的安全风险问题,需要在字段与字段之间建立安全控制的访问推导关系,如密码信息类的访问,与网络身份信息类的访问权限一致。因此需要执行步骤S3的过程,步骤S3主要依托于步骤S1中的部分结果。
在具体的实施例中,如图5所示,步骤S3具体包括:
S31:获取数据项的字段权限范围集合的内容中具有关联的两个字段的层级;
S32:将两个字段的层级大小进行对比,取其中最大的层级作为数据项的层级;以及
S33:遍历数据项中所有字段权限范围集合的内容重复步骤S31-S32,得到数据项的权限集合。
例如,某个数据项中包含两个字段,分别为QQ号和密码,QQ号和密码这两个字段之间具有关联关系,若QQ号的层级为3级,密码的层级为1级,因此这两个字段的层级取最大的层级为1级,依次类推,最后获得数据项的权限集合。此部分对数据项内部具有关联的字段的层级进行灵活地调整,对字段权限范围集合进行优化调整,提高授权范围的准确度,保障数据安全性。
在具体的实施例中,如图6所示,步骤S4具体包括:
S41:根据用户的级别对数据源的权限集合进行限制获得用户对应的数据权限范围集合;
S42:根据用户的级别对数据项的权限集合进行限制获得用户对应的字段权限范围集合;以及
S43:将用户对应的数据权限范围集合和用户对应的字段权限范围集合合并为用户的数据范围集合。
其中,用户对应的数据权限范围集合提取的条件是数据源的权限集合低于用户的级别且上个层级低于用户的级别;用户对应的字段权限范围集合提取的条件是数据项的权限集合低于用户的级别。最后将用户对应的数据权限范围集合和用户对应的字段权限范围集合进行合并后得到用户的数据范围集合。结合用户对应的数据权限范围集合和用户对应的字段权限范围集合对用户的数据范围集合进行限制,进一步将用户的数据范围集合与数据源进行对应保存为第二权限范围数据。
然后将用户的数据范围集合与数据源P对应保存为第一权限范围数据集G2,将用户的数据范围集合与数据源通过某种存储方式对应保存起来,使数据源对应于该用户具有一定的数据权限范围。
最后将第一权限范围数据集G1和第二权限范围数据集合G2并为用户的权限范围集合G。
进一步参考图7,作为对上述各图所示方法的实现,本申请提供了一种基于分级分类的数据授权装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图7所示,本实施例的基于分级分类的数据授权装置,包括:
第一权限范围数据集确定模块1,被配置为建立级别规则库,根据数据源中数据项的属性特征结合级别规则库分析得到数据项的内容敏感级,根据内容敏感级确定数据源级别,根据用户的级别和内容敏感级和数据源级别确定用户对应的字段权限范围集合,将用户对应的字段权限范围集合与所数据源对应保存为第一权限范围数据集;
数据源的权限集合确定模块2,被配置为建立类别规则库,根据数据源的数据资源标识分析得到类别分析数据集合,将类别分析数据集合按照不同维度定义的层级进行分类得到分类维度数据集,根据分类维度数据集中的数据项类别和层级确定数据源的权限集合;
数据项的权限集合确定模块3,被配置为根据数据项的字段权限范围集合的内容中具有关联的两个字段的层级判断得到数据项的权限集合;
第二权限范围数据集确定模块4,被配置为根据用户的级别分别与数据源的权限集合和数据项的权限集合比对得到用户的数据范围集合,将用户的数据范围集合与数据源对应保存为第二权限范围数据集;以及
权限范围集合确定模块5,被配置为将第一权限范围数据集和第二权限范围数据集合并为用户的权限范围集合。
本申请提供了一种基于分级分类的数据授权方法和装置,分别从数据资源访问和业务功能访问两个维度进行精细化授权的使用场景,通过多维度多层级控制数据资源的权限使用范围,自动分析出数据项对应的内容敏感级,根据内容敏感级对数据资源进行定级,最后控制数据资源的权限使用范围,从数据获取方式、数据资源种类、字段等多个维度对数据资源进行分类,按照数据类别控制数据资源的使用范围。通过用户、角色、场景和任务等不同维度进行灵活数据授权,实现静态授权和动态授权相结合,实现用户使用数据时管用够用,全面支撑数据资源的开放和共享策略,确保数据的使用安全,更好地支撑业务开展。
下面参考图8,其示出了适于用来实现本申请实施例的电子设备(例如图1所示的服务器或终端设备)的计算机装置800的结构示意图。图8示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图8所示,计算机装置800包括中央处理单元(CPU)801和图形处理器(GPU)802,其可以根据存储在只读存储器(ROM)803中的程序或者从存储部分809加载到随机访问存储器(RAM)804中的程序而执行各种适当的动作和处理。在RAM 804中,还存储有装置800操作所需的各种程序和数据。CPU 801、GPU802、ROM 803以及RAM 804通过总线805彼此相连。输入/输出(I/O)接口806也连接至总线805。
以下部件连接至I/O接口806:包括键盘、鼠标等的输入部分807;包括诸如、液晶显示器(LCD)等以及扬声器等的输出部分808;包括硬盘等的存储部分809;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分810。通信部分810经由诸如因特网的网络执行通信处理。驱动器811也可以根据需要连接至I/O接口806。可拆卸介质812,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器811上,以便于从其上读出的计算机程序根据需要被安装入存储部分809。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分810从网络上被下载和安装,和/或从可拆卸介质812被安装。在该计算机程序被中央处理单元(CPU)801和图形处理器(GPU)802执行时,执行本申请的方法中限定的上述功能。
需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读介质或者是上述两者的任意组合。计算机可读介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的装置、装置或器件,或者任意以上的组合。计算机可读介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行装置、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行装置、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的装置来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:建立级别规则库,根据数据源中数据项的属性特征结合级别规则库分析得到数据项的内容敏感级,根据内容敏感级确定数据源级别,根据用户的级别和内容敏感级和数据源级别确定用户对应的字段权限范围集合,将用户对应的字段权限范围集合与数据源对应保存为第一权限范围数据集;建立类别规则库,根据数据源的数据资源标识分析得到类别分析数据集合,将类别分析数据集合按照不同维度定义的层级进行分类得到分类维度数据集,根据分类维度数据集中的数据项类别和层级确定数据源的权限集合;根据数据项的字段权限范围集合的内容中具有关联的两个字段的层级判断得到数据项的权限集合;根据用户的级别分别与数据源的权限集合和数据项的权限集合比对得到用户的数据范围集合,将用户的数据范围集合与数据源对应保存为第二权限范围数据集;以及将第一权限范围数据集和第二权限范围数据集合并为用户的权限范围集合。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (12)
1.一种基于分级分类的数据授权方法,其特征在于,包括以下步骤:
S1:建立级别规则库,根据数据源中数据项的属性特征结合级别规则库分析得到所述数据项的内容敏感级,根据所述内容敏感级确定数据源级别,根据用户的级别和所述内容敏感级和所述数据源级别确定所述用户对应的字段权限范围集合,将所述用户对应的字段权限范围集合与所述数据源对应保存为第一权限范围数据集;
S2:建立类别规则库,获取所述数据源的数据资源标识,根据所述数据资源标识结合所述类别规则库的类别信息进行判断得到类别分析数据集合,比对所述类别分析数据集合的维度定义与所述数据资源标识所对应的类别定义是否相同,若相同,则将所述类别分析数据集合按照数据项类别和层级进行分类分级得到分类维度数据集,根据所述数据源的分类维度和所述分类维度数据集的所述数据项类别和所述层级确定所述数据源的权限集合;
S3:根据所述数据项的所述字段权限范围集合的内容中具有关联的两个字段的层级判断得到所述数据项的权限集合;
S4:根据所述用户的级别分别与所述数据源的权限集合和所述数据项的权限集合比对得到所述用户的数据范围集合,将所述用户的数据范围集合与所述数据源对应保存为第二权限范围数据集;以及
S5:将所述第一权限范围数据集和所述第二权限范围数据集合并为所述用户的权限范围集合。
2.根据权利要求1所述的基于分级分类的数据授权方法,其特征在于,根据所述数据源中各个数据项类别下的各种内容设置敏感级别信息建立所述级别规则库,所述级别规则库中的所述敏感级别信息包括数据项类别、内容、级别、数据项类型、长度、验证引擎和第一状态。
3.根据权利要求2所述的基于分级分类的数据授权方法,其特征在于,所述步骤S1具体包括:
S11:获取所述数据项中的所述数据项类型和所述长度,根据所述数据项类型和所述长度结合所述级别规则库中的属性对应所述敏感级别信息进行判断得到敏感规则分析数据集;
S12: 根据所述敏感规则分析数据集中的所述验证引擎对所述数据项进行验证得到所述数据项的内容敏感级,并将所述内容敏感级保存在所述数据项中;
S13:将所述数据源中所述数据项的所述内容敏感级的最大值保存为所述数据源级别;以及
S14:将所述内容敏感级低于所述用户的级别且所述数据源级别低于所述用户的级别的所述数据项提取出来作为所述用户对应的字段权限范围集合。
4.根据权利要求3所述的基于分级分类的数据授权方法,其特征在于,所述步骤S11具体包括:根据所述级别规则库提取所述数据项中所述数据项类型对应的所述数据项类别、所述长度低过长度限制且所述第一状态为可用的部分,并将所述数据项中的所述部分保存为所述敏感规则分析数据集,所述敏感规则分析数据集包括所述内容、所述数据项类型、所述长度、所述验证引擎和所述数据项类别。
5.根据权利要求4所述的基于分级分类的数据授权方法,其特征在于,所述步骤S12具体包括:
调用所述敏感规则分析数据集中的所述验证引擎对所述数据项进行验证,判断所述数据项所对应的验证结果是否符合要求,若符合则将所述敏感规则分析数据集的所述内容添加到所述数据项的内容,所述敏感规则分析数据集的级别设置为所述数据项的所述内容敏感级。
6.根据权利要求1所述的基于分级分类的数据授权方法,其特征在于,根据所述数据项的不同维度和不同层级的类别信息建立所述类别规则库,所述类别规则库中的所述类别信息包括数据项类别、维度、维度定义、层级、数据资源标识和第二状态。
7.根据权利要求6所述的基于分级分类的数据授权方法,其特征在于,所述步骤S2具体包括:根据所述类别规则库提取所述数据源的所述数据资源标识所对应的所述数据资源标识且所述第二状态为可用的部分,并将所述数据源中的所述部分保存为所述类别分析数据集合,所述类别分析数据集合包括所述数据项类别、所述维度定义、所述层级。
8.根据权利要求1所述的基于分级分类的数据授权方法,其特征在于,所述步骤S3具体包括:
S31:获取所述数据项的所述字段权限范围集合的内容中具有关联的两个字段的层级;
S32:将所述两个字段的层级大小进行对比,取其中最大的层级作为所述数据项的层级;以及
S33:遍历所述数据项中所有所述字段权限范围集合的内容重复步骤S31-S32,得到所述数据项的权限集合。
9.根据权利要求1所述的基于分级分类的数据授权方法,其特征在于,所述步骤S4具体包括:
S41:根据所述用户的级别对所述数据源的权限集合进行比限制获得所述用户对应的数据权限范围集合;
S42:根据所述用户的级别对所述数据项的权限集合进行限制获得所述用户对应的字段权限范围集合;以及
S43:将所述用户对应的数据权限范围集合和所述用户对应的字段权限范围集合合并为所述用户的数据范围集合。
10.一种基于分级分类的数据授权装置,其特征在于,包括:
第一权限范围数据集确定模块,被配置为建立级别规则库,根据数据源中数据项的属性特征结合级别规则库分析得到所述数据项的内容敏感级,根据所述内容敏感级确定数据源级别,根据用户的级别和所述内容敏感级和所述数据源级别确定所述用户对应的字段权限范围集合,将所述用户对应的字段权限范围集合与所数据源对应保存为第一权限范围数据集;
数据源的权限集合确定模块,被配置为建立类别规则库,获取所述数据源的数据资源标识,根据所述数据资源标识结合所述类别规则库的类别信息进行判断得到类别分析数据集合,比对所述类别分析数据集合的维度定义与所述数据资源标识所对应的类别定义是否相同,若相同,则将所述类别分析数据集合按照数据项类别和层级进行分类分级得到分类维度数据集,根据所述数据源的分类维度和所述分类维度数据集的所述数据项类别和所述层级确定所述数据源的权限集合;
数据项的权限集合确定模块,被配置为根据所述数据项的所述字段权限范围集合的内容中具有关联的两个字段的层级判断得到所述数据项的权限集合;
第二权限范围数据集确定模块,被配置为根据所述用户的级别分别与所述数据源的权限集合和所述数据项的权限集合比对得到所述用户的数据范围集合,将所述用户的数据范围集合与所述数据源对应保存为第二权限范围数据集;以及
权限范围集合确定模块,被配置为将所述第一权限范围数据集和所述第二权限范围数据集合并为所述用户的权限范围集合。
11.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-9中任一所述的方法。
12.一种计算机存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被计算机执行时实现权利要求1至9中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010575922.0A CN111783045B (zh) | 2020-06-22 | 2020-06-22 | 基于分级分类的数据授权方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010575922.0A CN111783045B (zh) | 2020-06-22 | 2020-06-22 | 基于分级分类的数据授权方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111783045A CN111783045A (zh) | 2020-10-16 |
CN111783045B true CN111783045B (zh) | 2022-08-12 |
Family
ID=72756095
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010575922.0A Active CN111783045B (zh) | 2020-06-22 | 2020-06-22 | 基于分级分类的数据授权方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111783045B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112488857B (zh) * | 2020-11-24 | 2023-08-22 | 泰康保险集团股份有限公司 | 事件识别的方法、装置、电子设备和存储介质 |
CN113268548A (zh) * | 2021-04-02 | 2021-08-17 | 国网福建省电力有限公司信息通信分公司 | 一种基于数据中台数据分级分类方法 |
CN113742369B (zh) * | 2021-11-02 | 2022-02-22 | 云账户技术(天津)有限公司 | 数据权限管理方法、系统和存储介质 |
CN115168345B (zh) * | 2022-06-27 | 2023-04-18 | 天翼爱音乐文化科技有限公司 | 数据库分级分类方法、系统、装置及存储介质 |
CN115250200B (zh) * | 2022-07-14 | 2023-08-22 | 平安科技(深圳)有限公司 | 服务授权认证方法及其相关设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104780175A (zh) * | 2015-04-24 | 2015-07-15 | 广东电网有限责任公司信息中心 | 基于角色的分级分类访问的授权管理方法 |
CN104809405A (zh) * | 2015-04-24 | 2015-07-29 | 广东电网有限责任公司信息中心 | 基于分级分类的结构化数据资产防泄露方法 |
CN108062484A (zh) * | 2017-12-11 | 2018-05-22 | 北京安华金和科技有限公司 | 一种基于数据敏感特征和数据库元数据的分类分级方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090055477A1 (en) * | 2001-11-13 | 2009-02-26 | Flesher Kevin E | System for enabling collaboration and protecting sensitive data |
-
2020
- 2020-06-22 CN CN202010575922.0A patent/CN111783045B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104780175A (zh) * | 2015-04-24 | 2015-07-15 | 广东电网有限责任公司信息中心 | 基于角色的分级分类访问的授权管理方法 |
CN104809405A (zh) * | 2015-04-24 | 2015-07-29 | 广东电网有限责任公司信息中心 | 基于分级分类的结构化数据资产防泄露方法 |
CN108062484A (zh) * | 2017-12-11 | 2018-05-22 | 北京安华金和科技有限公司 | 一种基于数据敏感特征和数据库元数据的分类分级方法 |
Non-Patent Citations (2)
Title |
---|
顾荣杰等.基于TFR模型的公安云平台数据分级分类安全访问控制模型研究.《计算机科学》.2020, * |
高潮.大数据时代用户消费型数据的分级分类隐私保护策略研究.《广东通信技术》.2016,(第09期), * |
Also Published As
Publication number | Publication date |
---|---|
CN111783045A (zh) | 2020-10-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111783045B (zh) | 基于分级分类的数据授权方法和装置 | |
US20180054438A1 (en) | Proxy service for uploading data from a source to a destination | |
CN111311188A (zh) | 一种任务处理方法、装置、介质和电子设备 | |
US10757186B2 (en) | Uploading user and system data from a source location to a destination location | |
US20240004917A1 (en) | Data processing method and device, terminal, and storage medium | |
CN110188113B (zh) | 一种利用复杂表达式进行数据比对的方法、装置及存储介质 | |
CN110008740B (zh) | 一种文档访问权限的处理方法、装置、介质和电子设备 | |
US20220121665A1 (en) | Computerized Methods and Systems for Selecting a View of Query Results | |
CN112612919A (zh) | 一种视频资源的关联方法、装置、设备及介质 | |
CN115344688B (zh) | 业务数据展示方法、装置、电子设备和计算机可读介质 | |
CN111581431B (zh) | 基于动态评估的数据探查方法和装置 | |
CN115017110A (zh) | 信息处理方法、装置、终端和存储介质 | |
CN115079873A (zh) | 信息显示方法、装置、电子设备和存储介质 | |
CN113783920A (zh) | 用于识别web访问入口的方法和装置 | |
CN112669000A (zh) | 政务事项处理方法、装置、电子设备及存储介质 | |
CN112463319A (zh) | 内容检测模型的生成方法和装置、电子设备及存储介质 | |
CN112527289A (zh) | 一种基于Golang以及Mongodb的动态表单系统 | |
CN115422131B (zh) | 业务审核知识库检索方法、装置、设备和计算机可读介质 | |
CN117473511B (zh) | 边缘节点漏洞数据处理方法、装置、设备及存储介质 | |
CN113128200B (zh) | 用于处理信息的方法和装置 | |
CN113239687B (zh) | 一种数据处理方法和装置 | |
CN111178375B (zh) | 用于生成信息的方法和装置 | |
CN111507734A (zh) | 作弊请求识别方法、装置、电子设备及计算机存储介质 | |
CN117725441A (zh) | 权限管理方法、装置、可读存储介质及电子设备 | |
CN112711718A (zh) | 一种评论信息的审核方法、装置、介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
EE01 | Entry into force of recordation of patent licensing contract | ||
EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20201016 Assignee: CHINA ELECTRONICS ENGINEERING DESIGN INSTITUTE Co.,Ltd. Assignor: XIAMEN MEIYA PICO INFORMATION Co.,Ltd. Contract record no.: X2023350000321 Denomination of invention: Data Authorization Method and Device Based on Hierarchical Classification Granted publication date: 20220812 License type: Common license,Cross license Record date: 20230809 |