CN111931234A - 一种数据访问控制方法及系统 - Google Patents

Abstract

本发明实施例提供的数据访问控制方法及系统，接收用户的数据访问请求；调用预先存储的数据安全策略和数据安全标签映射规则表；基于数据访问请求中携带的用于指示防护场景类型的参数信息，确定防护场景类型；在确定的防护场景类型下，根据数据安全策略、数据安全标签映射规则表和数据访问请求，输出数据访问结果或防护操作信号。在本方案中，在进行数据访问控制过程中，利用预先设置的数据安全标签映射规则表进行数据识别，以提高数据识别的准确性，进一步通过预先设置的数据安全策略进行访问控制，从而实现数据访问过程中，无误差、精确的数据安全防护的目的。

Description

一种数据访问控制方法及系统

技术领域

本发明涉及数据处理技术领域，更具体地说，涉及一种数据访问控制方法及系统。

背景技术

随着互联网技术的迅猛发展，信息化应用已逐渐深入到人们生产、生活中的各个领域。例如，通过学籍管理系统管理学校或者班级的学生学籍数据，通过航空公司订单管理系统管理旅客的航旅订单数据等等，这些数据通常涉及个人隐私，因而如何保障这些数据的安全性也就显得尤为重要。

目前，通常采用对数据访问进行控制的手段来防止数据泄露以保证数据的安全性，即在进行数据访问时，先对要访问的数据进行识别，再根据识别的结果决定是否允许访问数据。现有技术中，主要通过正则表达式和关键字匹配等方式对要访问的数据进行识别，然而，这些方式存在识别错误率较高，不能准确识别数据的缺陷，例如，若将重要数据识别成普通数据等，会致使重要数据泄露从而引发数据安全性的问题。

发明内容

有鉴于此，本发明实施例提供一种数据访问控制方法及系统，以解决现有技术中不能准确识别数据，致使数据泄露从而引发数据安全性的问题。

为实现上述目的，本发明实施例提供如下技术方案：

一方面，本发明实施例提供一种数据访问控制方法，包括：

接收用户的数据访问请求，所述数据访问请求中携带有用于指示防护场景类型的参数信息；

调用预先存储的数据安全策略和数据安全标签映射规则表；

基于所述参数信息，确定防护场景类型，所述防护场景类型至少包括数据库防护和出口防护；

在确定的防护场景类型下，根据所述数据安全策略、所述数据安全标签映射规则表和所述数据访问请求，输出数据访问结果或者防护操作信号。

可选的，所述基于所述参数信息，确定防护场景类型，包括：

分析所述参数信息，获取所述参数信息所指示的数据访问路径；

若所述数据访问路径为访问数据库的路径，确定当前的防护场景类型为数据库防护；

若所述数据访问路径为返回数据给用户的路径，确定当前的防护场景类型为出口防护。

可选的，若所述防护场景类型为数据库防护，在确定的防护场景类型下，根据所述数据安全策略、所述数据安全标签映射规则表和所述数据访问请求，输出数据访问结果，包括：

基于所述数据访问请求获取所述用户的用户属性；

基于所述数据安全标签映射规则表对所述数据访问请求中的访问语句进行映射，得到数据安全标签；

将所述数据安全策略逐个与所述用户属性、所述数据安全标签进行匹配；

获取同时与所述用户属性和所述数据安全标签匹配的数据安全策略，基于匹配的数据安全策略对所述访问语句进行防护操作；

根据执行防护操作后的访问语句访问数据库，将得到的访问数据反馈给用户。

可选的，所述基于所述数据安全标签映射规则表对所述数据访问请求中的访问语句进行映射，得到数据安全标签，包括：

解析所述数据访问请求，得到所述数据访问请求中包含的以表及字段格式表示访问语句的集合；

基于所述数据安全标签映射规则表，将所述集合中的每个以表及字段格式表示的访问语句映射至数据安全标签，得到所述数据安全标签。

可选的，所述将所述数据安全策略逐个与所述用户属性、所述数据安全标签进行匹配，包括：

将所述用户属性与各个数据安全策略中的用户属性条件进行匹配；

将所述数据安全标签与各个数据安全策略中的数据安全标签条件进行匹配。

可选的，若所述防护场景类型为数据库防护，所述防护操作包括：行防护操作和列防护操作；

所述行防护操作包括：

在所述访问语句中增加条件指令，所述条件指令用于指示对基于所述访问语句获取到的数据以行为单位进行过滤处理，或者，对基于所述访问语句获取到的数据以行为单位进行禁止处理，使部分行数据禁止输出；

所述列防护操作包括：

在所述访问语句中增加处理方式指令，所述处理方式指令用于指示对基于所述访问语句获取到的数据以字段为单位，按照所述处理方式指令中携带的处理方式对各字段数据进行处理。

可选的，若所述防护场景类型为出口防护，在确定的防护场景类型下，根据所述数据安全策略、所述数据安全标签映射规则表和所述数据访问请求，输出防护操作信号，包括：

基于所述数据访问请求获取所述用户的用户属性；

基于所述数据访问请求获取数据安全标签，所述数据安全标签由应用系统输入；

将所述数据安全策略逐个与所述用户属性、所述数据安全标签进行匹配；

获取同时与所述用户属性和所述数据安全标签匹配的数据安全策略，将匹配的数据安全策略对应的防护操作添加至待执行防护操作集合，所述防护操作包括拒绝操作和允许操作；

确定所述防护操作集合中所对应的最终防护操作信号，并输出；

其中，当所述防护操作集合中存在拒绝操作时，所述最终防护操作信号是拒绝信号；

当所述防护操作集合中仅存在允许操作时，所述最终防护操作信号是允许信号；

当所述防护操作集合中不存在任何防护操作时，所述最终防护操作信号是警示信号。

另一方面，本发明实施例提供一种数据访问控制系统，包括：

接收模块，用于接收用户的数据访问请求，所述数据访问请求中携带有用于指示防护场景类型的参数信息；

防护场景类型确定模块，用于基于所述参数信息，确定防护场景类型，所述防护场景类型至少包括数据库防护和出口防护；

数据访问执行模块，用于调用预先存储的数据安全策略和数据安全标签映射规则表；在确定的防护场景类型下，根据所述数据安全策略、所述数据安全标签映射规则表和所述数据访问请求，输出数据访问结果或者防护操作信号。

可选的，所述数据访问执行模块，包括：

第一获取单元，用于若所述防护场景类型确定模块确定所述防护场景类型为数据库防护，基于所述数据访问请求获取所述用户的用户属性；

映射单元，用于基于所述数据安全标签映射规则表对所述数据访问请求中的访问语句进行映射，得到数据安全标签；

第一匹配单元，用于将所述数据安全策略逐个与所述用户属性、所述数据安全标签进行匹配；

数据访问执行单元，用于获取同时与所述用户属性和所述数据安全标签匹配的数据安全策略，基于匹配的数据安全策略对所述访问语句进行防护操作；根据执行防护操作后的访问语句访问数据库，将得到的访问数据反馈给用户。

可选的，所述数据访问执行模块，包括：

第二获取单元，用于若所述防护场景类型确定模块确定所述防护场景类型为出口防护，基于所述数据访问请求获取所述用户的用户属性；基于所述数据访问请求获取数据安全标签，所述数据安全标签由应用系统输入；

第二匹配单元，用于将所述数据安全策略逐个与所述用户属性、所述数据安全标签进行匹配；

防护操作添加单元，用于获取同时与所述用户属性和所述数据安全标签匹配的数据安全策略，将匹配的数据安全策略对应的防护操作添加至待执行防护操作集合，所述防护操作包括拒绝操作和允许操作；

防护操作集合处理单元，用于确定所述防护操作集合中所对应的最终防护操作信号，并输出；其中，当所述防护操作集合中存在拒绝操作时，所述最终防护操作信号是拒绝信号；当所述防护操作集合中仅存在允许操作时，所述最终防护操作信号是允许信号；当所述防护操作集合中不存在任何防护操作时，所述最终防护操作信号是警示信号。

基于上述本发明实施例提供的数据访问控制方法及系统，接收用户的数据访问请求；调用预先存储的数据安全策略和数据安全标签映射规则表；基于数据访问请求中携带的用于指示防护场景类型的参数信息，确定防护场景类型；在确定的防护场景类型下，根据数据安全策略、数据安全标签映射规则表和数据访问请求，输出数据访问结果或者防护操作信号。可以看到，在本发明实施例提供的方案中，在进行数据访问控制过程中，利用预先设置的数据安全标签映射规则表进行数据识别，以提高数据识别的准确性，进一步通过预先设置的数据安全策略进行访问控制，从而实现数据访问过程中，无误差、精确的数据安全防护的目的。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的一种数据安全防护的系统架构图；

图2为本发明实施例提供的一种数据访问控制方法的流程示意图；

图3为本发明一实施例提供的防护场景为数据库防护时的数据安全防护系统的应用场景图；

图4为本发明一实施例提供的防护场景为出口防护时的数据安全防护系统的应用场景图；

图5为本发明实施例提供的另一种数据访问控制方法的流程示意图图；

图6为本发明实施例提供的一种数据访问控制系统的结构框图。

具体实施方式

下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例，然而应当理解的是，本公开可以通过各种形式来实现，而且不应该被解释为限于这里阐述的实施例，相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是，本公开的附图及实施例仅用于示例性作用，并非用于限制本公开的保护范围。

本文使用的术语“包括”及其变形是开放性包括，即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”；术语“另一实施例”表示“至少一个另外的实施例”；术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。

需要注意，本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分，并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。

需要注意，本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的，本领域技术人员应当理解，除非在上下文另有明确指出，否则应该理解为“一个或多个”。

由背景技术可知，现有主要通过正则表达式和关键字匹配等方式对要访问的数据进行识别，然而，这些方式存在识别错误率较高，不能准确识别数据的缺陷，从而导致数据泄露进而引发数据安全性的问题。

如图1所示，为本发明实施例提供的一种数据安全防护的系统架构图。该系统包括：防护模块1、管理模块2和防护接口3。

该防护模块1包括：防护场景识别组件11、数据库防护组件12和出口防护组件13。

该管理模块2包括：管理组件21和存储组件22。其中，存储组件22可以存储有数据安全策略和数据安全标签映射规则表。

该防护接口3，用于接收用户的数据访问请求。

基于该系统架构实现数据安全防护的过程包括：

数据安全管理员通过管理模块2管理数据安全策略和数据安全标签映射规则表，具体的，数据安全管理员可以利用管理组件21增添新的数据安全策略和数据安全标签映射规则表，并由存储组件22进行存储；或者数据安全管理员可以利用管理组件21对存储组件22中存储的数据安全策略和数据安全标签映射规则表进行更新设置。

管理模块2将存储组件22中存储的数据安全策略和数据安全标签映射规则表发送给防护模块1。

防护模块1接收管理模块2发送的数据安全策略和数据安全标签映射规则表。

防护模块1通过防护接口3接收用户的数据访问请求，由防护场景识别组件11识别该数据访问请求属于何种防护场景。

若防护场景识别组件11识别出该数据访问请求属于数据库防护场景，防护场景识别组件11将该数据访问请求转发至数据库防护组件12，由数据库防护组件12根据管理模块2发送的数据安全策略和数据安全标签映射规则表，对基于数据访问请求访问数据的过程执行访问控制(也可以理解为数据库防护操作)。

若防护场景识别组件11识别出该数据访问请求属于出口防护场景，防护场景识别组件11将该数据访问请求转发至出口防护组件13，由出口防护组件13根据管理模块2发送的数据安全策略和数据安全标签映射规则表，对基于数据访问请求访问数据的过程执行访问控制(也可以理解为出口防护操作)。

本发明上述实施例示出的系统架构，通过防护场景识别组件识别数据访问请求属于何种防护场景，再根据识别出的所属防护场景，结合管理模块中预先设置的数据安全策略和数据安全标签映射规则表，由数据库防护组件对基于数据访问请求访问数据的过程执行数据库防护操作或者由出口防护组件对基于数据访问请求访问数据的过程执行出口防护操作，为访问数据的过程“保驾护航”，能够提高访问数据过程的安全性，实现数据安全防护。下面通过具体实施例进一步详细说明。

基于上述本发明实施例提供的数据安全防护的系统架构，请参见图2，示出了本发明实施例提供的一种数据访问控制方法的流程示意图。该方法包括以下步骤：

S201：接收用户的数据访问请求。

在S201中，数据访问请求是用户基于自身获知数据需求或其他外在原因(如工作需要等)获知数据需求等等所发起的数据访问请求。

该数据访问请求中携带有用于指示防护场景类型的参数信息。

S202：调用预先存储的数据安全策略和数据安全标签映射规则表。

在S202中，数据安全策略指的是：数据安全管理员按照数据安全管控要求设置的数据安全策略。

需要说明的是，数据安全策略可以为多个。每一个数据安全策略至少包括：用户属性条件、数据安全标签条件和防护操作。

其中，用户属性条件可以包括单个用户属性，也可以包括多个用户属性。多个用户属性之间可以为“与”、“或”、或者“非”的逻辑关系，也可以为前述三种逻辑关系的任意组合。

数据安全标签条件可以包括单个数据安全标签，也可以包括多个数据安全标签。多个数据安全标签之间可以为“与”、“或”、或者“非”的逻辑关系，也可以为前述三种逻辑关系的任意组合。

需要说明的是，在不同的防护场景类型中，防护操作也是不同的。换言之，数据库防护所对应的防护操作和出口防护所对应的防护操作是不一样的。

在防护场景类型为数据库防护时，所述防护操作包括：行防护操作和列防护操作。

其中，行防护操作指以行为单位对要访问的数据进行处理。

列防护操作指以列为单位对要访问的数据进行处理。

在防护场景类型为出口防护时，所述防护操作包括：拒绝操作和允许操作。

其中，拒绝操作指对要访问的数据进行拒绝访问处理。

允许操作指对要访问的数据进行允许访问处理。

为便于理解上述有关数据安全策略的内容，如表一和表二所示为数据安全管理员按照数据安全管控要求设置的数据安全策略。

表一：

表二：

上述表一和表二中，userlevel表示的是用户等级，PAX_TELNO表示的是电话号码，PAX_NAME表示的是姓名，PAX_ADDR表示的是地址，PNR表示的是旅客订座记录，mask(4,7)表示的是进行打码第4至第7位的操作，replace(匿名)表示的是执行匿名的操作，cut(1,6)表示的是截除第1位至第6位数据信息的操作，vip＝false表示的是返回普通旅客订座记录的操作，office表示的是用户办公地点。

参照表一，在数据安全策略编号为1的数据安全策略中，当用户属性条件为userlevel<20、数据安全标签条件为PAX_TELNO时，对应的防护操作类型为列防护操作，执行mask(4,7)防护操作。对表一中的其他数据安全策略编号中的数据安全策略的理解同理参考此处数据安全策略编号为1的数据安全策略的描述，不一一进行介绍。

参照表二，在数据安全策略编号1的数据安全策略中，当用户属性条件为userlevel<20、数据安全标签条件为PAX_TELNO时，对应的防护操作为允许防护操作。对表二中的其他数据安全策略编号中的数据安全策略的理解同理参考此处数据安全策略编号为1的数据安全策略的描述，不一一进行介绍。

在S202中，数据安全标签映射规则表指的是：数据安全管理员按照数据安全管控要求设置的数据安全标签映射规则表。

需要说明的是，数据安全标签映射规则表中包括多个数据安全标签映射规则。每一个数据安全标签映射规则至少包括：表、字段和数据安全标签。

为便于理解上述有关数据安全标签映射规则表的内容，如表三所示为数据安全管理员按照数据安全管控要求设置的数据安全标签映射规则表。

表三：

表三中，在数据安全标签映射规则编号为1的数据安全标签映射规则中，当表为pnr、字段为*时，对应的数据安全标签为PNR。对表三中的其他数据安全标签映射规则编号中的数据安全标签映射规则的理解同理参考此处数据安全标签映射规则编号为1的数据安全标签映射规则的描述，不一一进行介绍。

S203：基于参数信息，确定防护场景类型。

在S203中，防护场景类型指的是基于数据访问请求进行数据访问时的场景所应采取的防护模式。所述防护场景类型至少包括数据库防护和出口防护。

其中，数据库防护指的是：在访问数据库的路径上进行防护。参考图3，示出了本发明一实施例公开的防护场景为数据库防护时的数据安全防护系统的应用场景图，当然这里仅用于举例说明。

出口防护指的是：在返回数据给用户的路径上进行防护，也可以理解为访问数据库结束之后，返回数据给用户的路径上进行防护。参考图4，示出了本发明一实施例公开的防护场景为出口防护时的数据安全防护系统的应用场景图，当然这里仅用于举例说明。

在具体实现S203的过程中，基于执行S201接收用户的数据访问请求中携带的用于指示防护场景类型的参数信息，分析该参数信息，获取该参数信息所指示的数据访问路径。

如果该参数信息所指示的数据访问路径为访问数据库的路径，确定当前的防护场景类型为数据库防护。如果该参数信息所指示的数据访问路径为返回数据给用户的路径，确定当前的防护场景类型为出口防护。

S204：在确定的防护场景类型下，根据数据安全策略、数据安全标签映射规则表和数据访问请求，输出数据访问结果或者防护操作信号。

在具体实现S204的过程中，根据执行S203得到的防护场景类型为数据库防护的结果，结合数据安全策略和数据安全标签映射规则表，基于数据访问请求执行数据库防护场景下的数据访问，输出数据访问结果；或者，根据执行S203得到的防护场景类型为出口防护的结果，结合数据安全策略和数据安全标签映射规则表，基于数据访问请求执行出口防护场景下的数据访问，输出防护操作信号。

基于上述本发明实施例提供的数据访问控制方法，接收用户的数据访问请求；调用预先存储的数据安全策略和数据安全标签映射规则表；基于数据访问请求中携带的用于指示防护场景类型的参数信息，确定防护场景类型；在确定的防护场景类型下，根据数据安全策略、数据安全标签映射规则表和数据访问请求，输出数据访问结果或者防护操作信号。可以看到，在本发明实施例提供的方案中，在进行数据访问控制过程中，利用预先设置的数据安全标签映射规则表进行数据识别，以提高数据识别的准确性，进一步通过预先设置的数据安全策略进行访问控制，从而实现数据访问过程中，无误差、精确的数据安全防护的目的。

基于上述本发明实施例提供的一种数据访问控制方法，请参见图5，为本发明实施例提供的另一种数据访问控制方法的流程示意图。该方法包括以下步骤：

S501：接收用户的数据访问请求。

具体执行S501的实现原理可以参见S201中相关内容，这里不再赘述。

S502：调用预先存储的数据安全策略和数据安全标签映射规则表。

具体执行S502的实现原理可以参见S202中相关内容，这里不再赘述。

S503：分析参数信息，获取所述参数信息所指示的数据访问路径。

在具体实现S502的过程中，基于执行S501接收用户的数据访问请求中携带的用于指示防护场景类型的参数信息，分析该参数信息，获取该参数信息所指示的数据访问路径。

如果该参数信息所指示的数据访问路径为访问数据库的路径，确定当前的防护场景类型为数据库防护，继续执行步骤S504至S508。

如果该参数信息所指示的数据访问路径为返回数据给用户的路径，确定当前的防护场景类型为出口防护，继续执行步骤S509至S513。

S504：基于数据访问请求获取用户的用户属性。

在S504中，用户属性可以为包括用户等级、用户办公地点等等的信息。

S505：基于数据安全标签映射规则表对数据访问请求中的访问语句进行映射，得到数据安全标签。

在具体实现S505的过程中，首先，解析数据访问请求，得到数据访问请求中包含的以表及字段格式表示访问语句的集合。

用户的数据访问请求是通过访问语句实现对数据库进行数据访问的，例如通过sql语句对数据库进行数据访问。因此，根据对执行S501得到的数据访问请求进行解析，可以得到以表及字段格式表示访问语句的集合。

为便于对上述示出内容的理解，下面通过示例一进行举例说明。

示例一，访问语句为Select*from pnr，通过对该访问语句进行解析，得到以表及字段格式表示访问语句的集合为：<pnr，*>。

其次，基于数据安全标签映射规则表，将集合中的每个以表及字段格式表示的访问语句映射至数据安全标签，得到所述数据安全标签。

由前述可知，数据安全标签映射规则表中包括多个数据安全标签映射规则。每一个数据安全标签映射规则至少包括：表、字段和数据安全标签。因此，根据得到以表及字段格式表示访问语句的集合，结合数据安全标签映射规则表中表、字段和数据安全标签之间的映射规则关系，可以得到用户的数据访问请求所对应的数据安全标签。

为便于对上述示出内容的理解，下面通过示例二进行举例说明。

需要说明的是，为了便于连贯理解，此处的示例二结合前文中表三和示例一一同举例说明。

示例二，根据示例一中解析访问语句：Select*from pnr，得到的以表及字段格式表示访问语句的集合为：<pnr，*>，将该集合中的表及字段映射至表三中的数据安全标签映射规则表，可得到用户的数据访问请求中所对应的数据安全标签为PNR。

S506：将数据安全策略逐个与用户属性、数据安全标签进行匹配。

在具体实现S506的过程中，将用户属性与各个数据安全策略中的用户属性条件进行匹配，以及将数据安全标签与各个数据安全策略中的数据安全标签条件进行匹配。

为便于理解，参照前述表二，也就是将用户属性与每个数据安全策略编号中的用户属性条件进行匹配，同时将数据安全标签与每个数据安全策略编号中的数据安全标签条件进行匹配。

可选的，也可以将用户属性与每个数据安全策略编号中的用户属性条件进行匹配，当匹配成功时，将数据安全标签与每个数据安全策略编号中的数据安全标签条件进行匹配。

可选的，也可以将数据安全标签与每个数据安全策略编号中的数据安全标签条件进行匹配，当匹配成功时，将用户属性与每个数据安全策略编号中的用户属性条件进行匹配。

S507：获取同时与用户属性和数据安全标签匹配的数据安全策略，基于匹配的数据安全策略对访问语句进行防护操作。

在S507中，防护操作包括行防护操作和列防护操作。

其中，行防护操作包括：在访问语句中增加条件指令，所述条件指令用于指示对基于访问语句获取到的数据以行为单位进行过滤处理，或者，对基于访问语句获取到的数据以行为单位进行禁止处理，使部分行数据禁止输出。

为更好理解上述示出的内容，下面通过示例三和示例四进行举例说明。

示例三，某用户的用户等级是9，通过访问语句Select*from pnr发起访问pnr中所有数据的数据访问请求。

因此，基于用户的数据访问请求，执行S504得到的用户属性为userlevel＝9，基于执行S505得到的数据安全标签为PNR，执行S506将用户属性为userlevel＝9与数据安全标签为PNR，同前述表一中的数据安全策略进行逐一匹配，得到与数据安全策略编号为4的数据安全策略匹配成功的结果，因此，执行S507进行行防护操作，即将访问语句Select*frompnr改写为：Select*from pnr wherevip＝false。也就是说，此时用户只能访问到pnr中vip＝false的数据，无法访问pnr中vip＝true的数据。

示例四，某用户的用户等级是88，通过访问语句Select*from pnr发起访问pnr中所有数据的数据访问请求。

因此，基于用户的数据访问请求，执行S504得到的用户属性为userlevel＝88，基于执行S505得到的数据安全标签为PNR，执行S506将用户属性为userlevel＝88与数据安全标签为PNR，同前述表一中的数据安全策略进行逐一匹配，由于用户属性为userlevel＝88未与前述表一中的任意一个数据安全策略内的用户属性条件匹配成功，所以，不改写访问语句Select*from pnr。也就是说，此时用户能访问到pnr中所有数据。

列防护操作包括：在访问语句中增加处理方式指令，所述处理方式指令用于指示对基于访问语句获取到的数据以字段为单位，按照所述处理方式指令中携带的处理方式对各字段数据进行处理。

所述处理方式可以为替换、打码和截短等。

为更好理解上述示出的内容，下面通过示例五和示例六进行举例说明。

示例五，某用户的用户等级是12，通过访问语句Select tel from pnr where plc＝’N3WPS6’，发起的数据访问请求为：访问记录表中编号为’N3WPS6’的订座记录包含的电话号码信息。

因此，基于用户的数据访问请求，执行S504得到的用户属性为userlevel＝12，基于执行S505得到的数据安全标签为PAX_TELNO，执行S506将用户属性为userlevel＝12与数据安全标签为PAX_TELNO，同前述表一中的数据安全策略进行逐一匹配，得到与数据安全策略编号为1的数据安全策略匹配成功的结果，因此，执行S507进行列防护操作，即将访问语句Select tel from pnr where plc＝’N3WPS6’改写为：Select substr(tel,1,3)+”****”+substr(tel,8,-1)as tel from pnr where plc＝’N3WPS6’。也就是说，此时用户访问到记录表中编号为’N3WPS6’的订座记录包含的电话号码做了打码处理。

示例六，某用户的用户等级是12，通过访问语句Select ct from tkt wheretktno＝’843-1234567890’，发起的数据访问请求为：访问票号为’843-1234567890’的客票中包含的电话号码信息。

因此，基于用户的数据访问请求，执行S504得到的用户属性为userlevel＝12，基于执行S505得到的数据安全标签为PAX_TELNO，执行S506将用户属性为userlevel＝12与数据安全标签为PAX_TELNO，同前述表一中的数据安全策略进行逐一匹配，得到与数据安全策略编号为1的数据安全策略匹配成功的结果，因此，执行S507进行列防护操作，即将访问语句Select ct from tkt where tktno＝’843-1234567890’改写为：Select substr(ct,1,3)+”****”+substr(ct,8,-1)as tel from tkt where tktno＝’843-1234567890’。也就是说，此时用户访问到票号为’843-1234567890’的客票中包含的电话号码做了打码处理。

S508：根据执行防护操作后的访问语句访问数据库，将得到的访问数据反馈给用户。

在具体实现S408的过程中，根据执行S507中的防护操作为行防护操作，执行S508，基于执行行防护操作后的访问语句访问数据库，将得到的访问数据反馈给用户。

例如，参照前述示例三，根据执行S507进行行防护操作之后改写的访问语句Select*from pnr where vip＝false，以该访问语句访问数据库，向用户反馈vip＝false的数据。

例如，参照前述示例四，根据执行S507未进行行防护操作，基于原始访问语句Select*from pnr访问数据库，向用户反馈pnr中所有数据。

或者，根据执行S507中的防护操作为列防护操作，执行S508，基于执行列防护操作后的访问语句访问数据库，将得到的访问数据反馈给用户。

例如，参照前述示例五，根据执行S507进行列防护操作之后改写的访问语句Select substr(tel,1,3)+”****”+substr(tel,8,-1)as tel from pnr where plc＝’N3WPS6’访问数据库，对编号为’N3WPS6’的订座记录中包含的电话号码进行打码第4至第7位之后，向用户反馈打码之后的电话号码。

例如，参照前述示例六，根据执行S507进行列防护操作之后改写的访问语句Select substr(ct,1,3)+”****”+substr(ct,8,-1)as tel from tkt where tktno＝’843-1234567890’访问数据库，对票号为843-1234567890的电话号码进行打码第4至第7位之后，向用户反馈打码之后的电话号码。

S509：基于数据访问请求获取用户的用户属性。

具体执行S509的实现原理可以参见S504中相关内容，这里不再赘述。

S510：基于数据访问请求获取数据安全标签。

在S510中，数据安全标签由应用系统输入。该应用系统指的是由用户发起数据访问请求所使用的应用系统。因此，可以基于用户的数据访问请求直接获取数据安全标签。

需要说明的是，S509和S510的执行顺序不分先后。

S511：将数据安全策略逐个与用户属性、数据安全标签进行匹配。

具体执行S511的实现原理可以参见S506，这里不再赘述。

S512：获取同时与用户属性和数据安全标签匹配的数据安全策略，将匹配的数据安全策略对应的防护操作添加至待执行防护操作集合。

所述防护操作包括拒绝操作和允许操作。

其中，拒绝操作指对要访问的数据进行拒绝访问处理。

允许操作指对要访问的数据进行允许访问处理。

为便于直观理解，下面通过示例七、示例八和示例九进行举例说明。

示例七，基于用户的数据访问请求，执行S509得到的用户属性为userlevel＝8和office＝北京，基于执行S510得到的数据安全标签为PAX_TELNO和PAX_NAME，执行S511将用户属性为userlevel＝8与数据安全标签为PAX_TELNO和PAX_NAME，同前述表二中的数据安全策略进行逐一匹配，得到与数据安全策略编号为1的数据安全策略，以及与数据安全策略编号为2的数据安全策略匹配成功的结果，因此，执行S512将允许操作添加至待执行防护操作集合。

示例八，基于用户的数据访问请求，执行S509得到的用户属性为userlevel＝16和office＝上海，基于执行S510得到的数据安全标签为PAX_TELNO，执行S511将用户属性为userlevel＝16与数据安全标签为PAX_TELNO，同前述表二中的数据安全策略进行逐一匹配，得到与数据安全策略编号为1的数据安全策略，以及与数据安全策略编号为3的数据安全策略匹配成功的结果，因此，执行S512将允许操作和拒绝操作添加至待执行防护操作集合。

示例九，基于用户的数据访问请求，执行S509得到的用户属性为userlevel＝30和office＝广州，基于执行S510得到的数据安全标签为PAX_TELNO和PAX_NAME，执行S511将用户属性为userlevel＝30与数据安全标签为PAX_TELNO和PAX_NAME，同前述表二中的数据安全策略进行逐一匹配，未得到匹配成功的结果，因此，执行S512未将任何防护操作添加至待执行防护操作集合。

S513：确定防护操作集合中所对应的最终防护操作信号，并输出。

其中，当防护操作集合中存在拒绝操作时，所述最终防护操作信号是拒绝信号。

当防护操作集合中仅存在允许操作时，所述最终防护操作信号是允许信号。

当防护操作集合中不存在任何防护操作时，所述最终防护操作信号是警示信号。

需要说明的是，拒绝信号指示拒绝向用户反馈基于数据访问请求得到的访问数据。允许信号指示可以向用户反馈基于数据访问请求得到的访问数据。警示信号指示可以向用户反馈基于数据访问请求得到的访问数据，也可以拒绝向用户反馈基于数据访问请求得到的访问数据。

在本发明实施例中，基于用户的数据访问请求确定防护场景类型，若防护场景类型为数据库防护，利用预先设置的数据安全标签映射规则表进行数据识别，以提高数据识别的准确性，进一步通过预先设置的数据安全策略进行访问控制，即对基于数据访问请求访问数据的过程执行行防护操作或列防护操作；若防护场景类型为出口防护，利用预先设置的数据安全标签映射规则表进行数据识别，以提高数据识别的准确性，进一步通过预先设置的数据安全策略进行访问控制，即对基于数据访问请求访问数据的过程执行允许操作或拒绝操作或既不执行允许操作也不执行拒绝操作。从而实现数据访问过程中，无误差、精确的数据安全防护的目的。

上述本发明实施例公开了数据访问控制方法，相应的，本发明实施例还公开一种数据访问控制系统。请参考图6，示出了本发明实施例提供的一种数据访问控制系统的结构框图。

该数据访问控制系统包括：接收模块601、防护场景类型确定模块602和数据访问执行模块603。

接收模块601，用于接收用户的数据访问请求。

该数据访问请求中携带有用于指示防护场景类型的参数信息。

防护场景类型确定模块602，用于基于接收模块601接收的数据访问请求中携带的用于指示防护场景类型的参数信息，确定防护场景类型。

该防护场景类型至少包括数据库防护和出口防护。

数据访问执行模块603，用于调用预先存储的数据安全策略和数据安全标签映射规则表，在防护场景类型确定模块602确定的防护场景类型下，根据数据安全策略、数据安全标签映射规则表和数据访问请求，输出数据访问结果或者防护操作信号。

可选的，防护场景类型确定模块602，具体用于分析接收模块601接收的数据访问请求中携带的用于指示防护场景类型的参数信息，获取参数信息所指示的数据访问路径；若数据访问路径为访问数据库的路径，确定当前的防护场景类型为数据库防护；若数据访问路径为返回数据给用户的路径，确定当前的防护场景类型为出口防护。

可选的，数据访问执行模块603包括：数据库防护组件和出口防护组件。

该数据库防护组件可以为图1中示出的数据库防护组件12。该出口防护组件可以为图1中示出的出口防护组件13。

可选的，该数据库防护组件包括：

第一获取单元，用于若防护场景类型确定模块602确定防护场景类型为数据库防护，基于数据访问请求获取用户的用户属性。

映射单元，用于基于数据安全标签映射规则表对数据访问请求中的访问语句进行映射，得到数据安全标签。

第一匹配单元，用于将数据安全策略逐个与用户属性、数据安全标签进行匹配。

数据访问执行单元，用于获取同时与用户属性和数据安全标签匹配的数据安全策略，基于匹配的数据安全策略对访问语句进行防护操作；根据执行防护操作后的访问语句访问数据库，将得到的访问数据反馈给用户。

可选的，映射单元，具体用于解析数据访问请求，得到数据访问请求中包含的以表及字段格式表示访问语句的集合；基于数据安全标签映射规则表，将集合中的每个以表及字段格式表示的访问语句映射至数据安全标签，得到数据安全标签。

可选的，第一匹配单元，具体用于将用户属性与各个数据安全策略中的用户属性条件进行匹配；将数据安全标签与各个数据安全策略中的数据安全标签条件进行匹配。

可选的，所述防护操作包括：行防护操作和列防护操作。

所述行防护操作包括：在访问语句中增加条件指令，所述条件指令用于指示对基于访问语句获取到的数据以行为单位进行过滤处理，或者，对基于访问语句获取到的数据以行为单位进行禁止处理，使部分行数据禁止输出。

所述列防护操作包括：在访问语句中增加处理方式指令，所述处理方式指令用于指示对基于访问语句获取到的数据以字段为单位，按照所述处理方式指令中携带的处理方式对各字段数据进行处理。

可选的，该出口防护组件包括：

第二获取单元，用于若防护场景类型确定模块确定防护场景类型为出口防护，基于数据访问请求获取用户的用户属性；基于数据访问请求获取数据安全标签，所述数据安全标签由应用系统输入。

第二匹配单元，用于将数据安全策略逐个与用户属性、数据安全标签进行匹配。

防护操作添加单元，用于获取同时与用户属性和数据安全标签匹配的数据安全策略，将匹配的数据安全策略对应的防护操作添加至待执行防护操作集合，所述防护操作包括拒绝操作和允许操作。

处理单元，用于确定防护操作集合中所对应的最终防护操作信号，并输出；其中，当防护操作集合中存在拒绝操作时，所述最终防护操作信号是拒绝信号；当防护操作集合中仅存在允许操作时，所述最终防护操作信号是允许信号；当防护操作集合中不存在任何防护操作时，所述最终防护操作信号是警示信号。

上述本发明实施例公开的数据访问控制系统中的各个模块、各个组件以及各个单元的具体实现原理可参见上述本发明实施例公开的数据访问控制方法中相应的内容，这里不再赘述。

基于上述本发明实施例提供的数据访问控制系统，接收模块接收用户的数据访问请求；数据访问执行模块调用预先存储的数据安全策略和数据安全标签映射规则表；基于数据访问请求中携带的用于指示防护场景类型的参数信息，确定防护场景类型；在确定的防护场景类型下，根据数据安全策略、数据安全标签映射规则表和数据访问请求，输出数据访问结果或者防护操作信号。可以看到，在本发明实施例提供的方案中，在进行数据访问控制过程中，利用预先设置的数据安全标签映射规则表进行数据识别，以提高数据识别的准确性，进一步通过预先设置的数据安全策略进行访问控制，从而实现数据访问过程中，无误差、精确的数据安全防护的目的。

尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题，但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反，上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。

虽然在上面论述中包含了若干具体实现细节，但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地，在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。

以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开中所涉及的公开范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述公开构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (10)

1.一种数据访问控制方法，其特征在于，包括：

接收用户的数据访问请求，所述数据访问请求中携带有用于指示防护场景类型的参数信息；

调用预先存储的数据安全策略和数据安全标签映射规则表；

基于所述参数信息，确定防护场景类型，所述防护场景类型至少包括数据库防护和出口防护；

在确定的防护场景类型下，根据所述数据安全策略、所述数据安全标签映射规则表和所述数据访问请求，输出数据访问结果或者防护操作信号。

2.根据权利要求1所述的方法，其特征在于，所述基于所述参数信息，确定防护场景类型，包括：

分析所述参数信息，获取所述参数信息所指示的数据访问路径；

若所述数据访问路径为访问数据库的路径，确定当前的防护场景类型为数据库防护；

若所述数据访问路径为返回数据给用户的路径，确定当前的防护场景类型为出口防护。

3.根据权利要求1所述的方法，其特征在于，若所述防护场景类型为数据库防护，在确定的防护场景类型下，根据所述数据安全策略、所述数据安全标签映射规则表和所述数据访问请求，输出数据访问结果，包括：

基于所述数据访问请求获取所述用户的用户属性；

基于所述数据安全标签映射规则表对所述数据访问请求中的访问语句进行映射，得到数据安全标签；

将所述数据安全策略逐个与所述用户属性、所述数据安全标签进行匹配；

获取同时与所述用户属性和所述数据安全标签匹配的数据安全策略，基于匹配的数据安全策略对所述访问语句进行防护操作；

根据执行防护操作后的访问语句访问数据库，将得到的访问数据反馈给用户。

4.根据权利要求3所述的方法，其特征在于，所述基于所述数据安全标签映射规则表对所述数据访问请求中的访问语句进行映射，得到数据安全标签，包括：

解析所述数据访问请求，得到所述数据访问请求中包含的以表及字段格式表示访问语句的集合；

基于所述数据安全标签映射规则表，将所述集合中的每个以表及字段格式表示的访问语句映射至数据安全标签，得到所述数据安全标签。

5.根据权利要求3所述的方法，其特征在于，所述将所述数据安全策略逐个与所述用户属性、所述数据安全标签进行匹配，包括：

将所述用户属性与各个数据安全策略中的用户属性条件进行匹配；

将所述数据安全标签与各个数据安全策略中的数据安全标签条件进行匹配。

6.根据权利要求1至5中任一项所述的方法，其特征在于，若所述防护场景类型为数据库防护，所述防护操作包括：行防护操作和列防护操作；

所述行防护操作包括：

在所述访问语句中增加条件指令，所述条件指令用于指示对基于所述访问语句获取到的数据以行为单位进行过滤处理，或者，对基于所述访问语句获取到的数据以行为单位进行禁止处理，使部分行数据禁止输出；

所述列防护操作包括：

在所述访问语句中增加处理方式指令，所述处理方式指令用于指示对基于所述访问语句获取到的数据以字段为单位，按照所述处理方式指令中携带的处理方式对各字段数据进行处理。

7.根据权利要求1所述的方法，其特征在于，若所述防护场景类型为出口防护，在确定的防护场景类型下，根据所述数据安全策略、所述数据安全标签映射规则表和所述数据访问请求，输出防护操作信号，包括：

基于所述数据访问请求获取所述用户的用户属性；

基于所述数据访问请求获取数据安全标签，所述数据安全标签由应用系统输入；

将所述数据安全策略逐个与所述用户属性、所述数据安全标签进行匹配；

获取同时与所述用户属性和所述数据安全标签匹配的数据安全策略，将匹配的数据安全策略对应的防护操作添加至待执行防护操作集合，所述防护操作包括拒绝操作和允许操作；

确定所述防护操作集合中所对应的最终防护操作信号，并输出；

其中，当所述防护操作集合中存在拒绝操作时，所述最终防护操作信号是拒绝信号；

当所述防护操作集合中仅存在允许操作时，所述最终防护操作信号是允许信号；

当所述防护操作集合中不存在任何防护操作时，所述最终防护操作信号是警示信号。

8.一种数据访问控制系统，其特征在于，包括：

接收模块，用于接收用户的数据访问请求，所述数据访问请求中携带有用于指示防护场景类型的参数信息；

防护场景类型确定模块，用于基于所述参数信息，确定防护场景类型，所述防护场景类型至少包括数据库防护和出口防护；

数据访问执行模块，用于调用预先存储的数据安全策略和数据安全标签映射规则表；在确定的防护场景类型下，根据所述数据安全策略、所述数据安全标签映射规则表和所述数据访问请求，输出数据访问结果或者防护操作信号。

9.根据权利要求8所述的系统，其特征在于，所述数据访问执行模块，包括：

第一获取单元，用于若所述防护场景类型确定模块确定所述防护场景类型为数据库防护，基于所述数据访问请求获取所述用户的用户属性；

映射单元，用于基于所述数据安全标签映射规则表对所述数据访问请求中的访问语句进行映射，得到数据安全标签；

第一匹配单元，用于将所述数据安全策略逐个与所述用户属性、所述数据安全标签进行匹配；

数据访问执行单元，用于获取同时与所述用户属性和所述数据安全标签匹配的数据安全策略，基于匹配的数据安全策略对所述访问语句进行防护操作；根据执行防护操作后的访问语句访问数据库，将得到的访问数据反馈给用户。

10.根据权利要求9所述的系统，其特征在于，所述数据访问执行模块，包括：

第二获取单元，用于若所述防护场景类型确定模块确定所述防护场景类型为出口防护，基于所述数据访问请求获取所述用户的用户属性；基于所述数据访问请求获取数据安全标签，所述数据安全标签由应用系统输入；

第二匹配单元，用于将所述数据安全策略逐个与所述用户属性、所述数据安全标签进行匹配；

防护操作添加单元，用于获取同时与所述用户属性和所述数据安全标签匹配的数据安全策略，将匹配的数据安全策略对应的防护操作添加至待执行防护操作集合，所述防护操作包括拒绝操作和允许操作；

防护操作集合处理单元，用于确定所述防护操作集合中所对应的最终防护操作信号，并输出；其中，当所述防护操作集合中存在拒绝操作时，所述最终防护操作信号是拒绝信号；当所述防护操作集合中仅存在允许操作时，所述最终防护操作信号是允许信号；当所述防护操作集合中不存在任何防护操作时，所述最终防护操作信号是警示信号。

Images