CN112580105A - 基于交互类与非交互类的数据权限防护方法及系统 - Google Patents
基于交互类与非交互类的数据权限防护方法及系统 Download PDFInfo
- Publication number
- CN112580105A CN112580105A CN202110048055.XA CN202110048055A CN112580105A CN 112580105 A CN112580105 A CN 112580105A CN 202110048055 A CN202110048055 A CN 202110048055A CN 112580105 A CN112580105 A CN 112580105A
- Authority
- CN
- China
- Prior art keywords
- data
- service
- interactive
- authority
- permission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002452 interceptive effect Effects 0.000 title claims abstract description 419
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000013475 authorization Methods 0.000 claims description 189
- 238000004458 analytical method Methods 0.000 claims description 32
- 230000008859 change Effects 0.000 claims description 18
- 230000008569 process Effects 0.000 claims description 17
- 238000001914 filtration Methods 0.000 claims description 11
- 238000007637 random forest analysis Methods 0.000 description 12
- 230000003993 interaction Effects 0.000 description 11
- 238000012545 processing Methods 0.000 description 11
- 238000003066 decision tree Methods 0.000 description 7
- 238000012706 support-vector machine Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000003062 neural network model Methods 0.000 description 3
- 230000032683 aging Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 108010032595 Antibody Binding Sites Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001595 flow curve Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本说明书实施例提供一种基于交互类与非交互类的数据权限防护方法及系统,接收请求方发送的资源访问请求,资源访问请求包含请求的待访问资源与业务程序;通过业务程序产生的预设指令确定出请求方对应的角色标识;根据角色标识,确定出对应的角色类型,并从预置的业务数据库中进行匹配;当请求方对应的角色标识具有待访问资源对应的数据权限业务集时,在业务数据库中查询对应的关系表,确定出对应的数据权限业务集;获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据,基于待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的,权限业务流数据的权限业务联动信息,完成数据权限业务集的防护。
Description
技术领域
本发明涉及权限防护技术领域,具体而言,涉及一种基于交互类与非交互类的数据权限防护方法及系统。
背景技术
数据安全是企业CIO、CTO、IT 管理员以及管理者在选择使用任何IT产品时最需要考虑的问题之一,在当下云时代,公有云,私有云或者IDC哪个选择更加安全,一直是企业管理者必要考量的因素之一。
相关技术中,发明人研究发现在对交互类对象进行防护时存在诸多非交互类对象的数据涌入情况,基于此,如何避免在对交互类对象进行防护时非交互类对象的数据涌入情况,避免引起扩大化的权限业务授权联动影响,是本领域亟待解决的技术问题。
发明内容
为了至少克服现有技术中的上述不足,本发明的目的在于提供一种基于交互类与非交互类的数据权限防护方法及系统,通过对待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据进行联动授权状态分析,并考虑其之间的权限业务联动信息,能够得到权限联动授权状态信息,实现对待防护非交互类权限业务数据相对应的业务引用防护策略的确定,进一步实现联动授权状态分析以确定针对业务引用防护策略的目标联动授权状态信息。能够确定出待防护数据权限业务集中的交互类对象防护策略和交互类对象防护策略对应的防护执行指示信息,在基于防护执行指示信息指示交互类对象进行权限防护时,能够将非交互类对象的权限业务流数据考虑在内,避免在对交互类对象进行防护时非交互类对象的数据涌入情况,避免引起扩大化的权限业务授权联动影响。
第一方面,本发明提供一种基于交互类与非交互类的数据权限防护方法,应用于与权限管理设备通信的数据权限管理服务器,所述方法包括:
接收请求方发送的资源访问请求,所述资源访问请求包含请求的待访问资源与业务程序;
通过所述业务程序产生的预设指令确定出请求方对应的角色标识,其中,角色标识用于表示用户所代表的角色类型,每个角色可以对应一个或多个角色类型;
根据所述角色标识,确定出对应的角色类型,并从预置的业务数据库中进行匹配,判断所述角色标识是否具有所述待访问资源对应的数据权限业务集;
当所述请求方对应的角色标识具有所述待访问资源对应的数据权限业务集时,在所述业务数据库中查询对应的关系表,确定出对应的数据权限业务集;
在一个或多个数据权限业务集进行防护时,获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据,基于所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的,权限业务流数据的权限业务联动信息,完成数据权限业务集的防护。
第二方面,本发明实施例还提供一种基于交互类与非交互类的数据权限防护系统,所述数据权限防护系统包括权限管理设备以及与所述权限管理设备通信的数据权限管理服务器,所述系统包括:
所述数据权限管理服务器用于:
接收请求方发送的资源访问请求,所述资源访问请求包含请求的待访问资源与业务程序;
通过所述业务程序产生的预设指令确定出请求方对应的角色标识,其中,角色标识用于表示用户所代表的角色类型,每个角色可以对应一个或多个角色类型;
根据所述角色标识,确定出对应的角色类型,并从预置的业务数据库中进行匹配,判断所述角色标识是否具有所述待访问资源对应的数据权限业务集;
当所述请求方对应的角色标识具有所述待访问资源对应的数据权限业务集时,在所述业务数据库中查询对应的关系表,确定出对应的数据权限业务集;
在一个或多个数据权限业务集进行防护时,获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据,基于所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的,权限业务流数据的权限业务联动信息,完成数据权限业务集的防护。
第三方面,本发明实施例还提供一种数据权限管理服务器,所述数据权限管理服务器包括处理器、机器可读存储介质和网络接口,所述机器可读存储介质、所述网络接口以及所述处理器之间通过总线系统相连,所述网络接口用于与至少一个权限管理设备通信连接,所述机器可读存储介质用于存储程序、指令或代码,所述处理器用于执行所述机器可读存储介质中的程序、指令或代码,以执行第一方面或者第一方面中任意一个可能的实现方式中的基于交互类与非交互类的数据权限防护方法。
第四方面,本发明实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其被执行时,使得计算机执行上述第一方面或者第一方面中任意一个可能的实现方式中的基于交互类与非交互类的数据权限防护方法。
基于上述任意一个方面,本发明的实施方式中,通过对待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据进行联动授权状态分析,并考虑其之间的权限业务联动信息,能够得到权限联动授权状态信息,实现对待防护非交互类权限业务数据相对应的业务引用防护策略的确定,实现联动授权状态分析以确定针对业务引用防护策略的目标联动授权状态信息,能够确定出待防护数据权限业务集中的交互类对象防护策略和交互类对象防护策略对应的防护执行指示信息,在基于防护执行指示信息指示交互类对象进行权限防护时,将非交互类对象的权限业务流数据考虑,避免在对交互类对象进行防护时非交互类对象的数据涌入情况,避免引起扩大化的权限业务授权联动影响。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它相关的附图。
图1为本说明书实施例提供的基于交互类与非交互类的数据权限防护方法的流程示意图
图2为本发明实施例提供的基于交互类与非交互类的数据权限防护系统的应用场景示意图;
图3为本发明实施例提供的基于交互类与非交互类的数据权限防护方法的流程示意图;
图4为本发明实施例提供的基于交互类与非交互类的数据权限防护装置的功能模块示意图;
图5为本发明实施例提供的用于实现上述的基于交互类与非交互类的数据权限防护方法的数据权限管理服务器的结构示意框图。
具体实施方式
为了更清楚地说明本说明书实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本说明书的一些示例或实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图将本说明书应用于其它类似情景。除非从语言环境中显而易见或另做说明,图中相同标号代表相同结构或操作。
本说明书中使用了流程图用来说明根据本说明书的实施例的系统所执行的操作。应当理解的是,前面或后面操作不一定按照顺序来精确地执行。相反,可以按照倒序或同时处理各个步骤。同时,也可以将其他操作添加到这些过程中,或从这些过程移除某一步或数步操作。
图1为本说明书实施例提供的基于交互类与非交互类的数据权限防护方法的流程示意图,可以由数据权限防护系统的执行单元执行下述步骤,应用于与权限管理设备通信的数据权限管理服务器,具体可以包括:
步骤S101,接收请求方发送的资源访问请求,所述资源访问请求包含请求的待访问资源与业务程序。
本本说明书一个或多个实施例中,请求方可以是用户应用客户端进行操作。资源访问请求可以是通过业务程序访问服务器端中的资源信息。
步骤S102,通过所述业务程序产生的预设指令确定出请求方对应的角色标识,其中,角色标识用于表示用户所代表的角色类型,每个角色可以对应一个或多个角色类型。
例如,在角色类型可基于用户职位划分,例如角色类型可划分为:部门经理、董事长、副董事长、特级技术员、中级技术员及普通技术员等,一个用户可能存在多个职位,比如,该用户既是部门经理也是特级技术员。
步骤S103,根据所述角色标识,确定出对应的角色类型,并从预置的业务数据库中进行匹配,判断所述角色标识是否具有所述待访问资源对应的数据权限业务集。
步骤S104,当所述请求方对应的角色标识具有所述待访问资源对应的数据权限业务集时,在所述业务数据库中查询对应的关系表,确定出对应的数据权限业务集。
关系表中存储有角色类型对应的数据权限业务集,数据权限业务集可以表示该角色类型具有哪些数据权限。
步骤S105,在一个或多个数据权限业务集进行防护时,获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据,基于所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的,权限业务流数据的权限业务联动信息,完成数据权限业务集的防护。
在本说明书一个或多个实施例中,执行步骤确定出对应的数据权限业务集之前,还可以包括:
根据所述的角色标识具有所述待访问资源对应的数据权限业务集,通过不同的权限过滤器对不同操作类型的所述预设指令进行权限过滤,以形成权限过滤后的预设指令,其中,所述权限过滤后的预设指令通过权限过滤器实现限制所述请求方访问数据库中数据的权限。
进一步的,通过不同的权限过滤器对不同操作类型的所述预设指令进行权限过滤,以形成权限过滤后的预设指令之后,所述方法还包括:
将过滤后的预设指令返回至所述业务程序,以使所述业务程序基于过滤后的预设指令,确定出对应的数据权限业务集。
需要说明的是,预设指令的操作类型包括:插入、选取、删除、更新中一项或多项。
权限过滤后的预设指令句可实现限制用户访问数据库中的数据的权限。比如,针对目标数据库中某一特定数据字段进行(选取的操作。
进一步的,步骤S105具体可以包括:
获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据,基于所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的,权限业务流数据的权限业务联动信息,对所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据进行联动授权状态分析,得到权限联动授权状态信息;
将联动授权状态分析过程中存在联动授权标签的非交互类权限业务数据确定为待防护非交互类权限业务数据,根据所述权限联动授权状态信息中的非交互类权限业务数据与所述待防护非交互类权限业务数据之间的业务工作流的相关性信息,确定与所述待防护非交互类权限业务数据相对应的业务引用防护策略;
对与所述待防护非交互类权限业务数据相对应的业务引用防护策略和所述待防护非交互类权限业务数据进行联动授权状态分析,得到针对所述业务引用防护策略的目标联动授权状态信息;
根据所述针对所述业务引用防护策略的目标联动授权状态信息和所述权限联动授权状态信息,确定所述待防护数据权限业务集中的交互类对象防护策略和所述交互类对象防护策略对应的防护执行指示信息。
针对步骤S105,图2示出了基于交互类与非交互类的数据权限防护系统10的交互示意图。数据权限防护系统10可以包括数据权限管理服务器100以及与所述数据权限管理服务器100通信连接的权限管理设备200。图2所示的数据权限防护系统10仅为一种可行的示例,在其它可行的实施例中,该数据权限防护系统10也可以仅包括图2所示组成部分的其中一部分或者还可以包括其它的组成部分。
本实施例中,数据权限防护系统10中的数据权限管理服务器100和权限管理设备200可以通过配合执行以下方法实施例所描述的基于交互类与非交互类的数据权限防护方法,具体数据权限管理服务器100和权限管理设备200的执行步骤部分可以参照以下方法实施例的详细描述。
针对步骤S105,图3示出了基于交互类与非交互类的数据权限防护方法的流程示意图,该方法可以由图2中所示的数据权限管理服务器100执行,下面对该基于交互类与非交互类的数据权限防护方法进行详细介绍。
步骤S110,获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据。
例如,待防护数据权限业务集可以是防护应用进程中的某个防护软件业务对应的数据权限业务集。交互类权限业务数据可以理解为具有交互功能对应的权限业务流数据,非交互类权限业务数据可以理解为不具有交互功能对应的权限业务流数据。进一步地,权限业务流数据可以包括业务服务数据、业务位置数据、时间数据,此外,权限业务流数据还可以理解为时空数据。
步骤S120,基于所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的权限业务流数据的权限业务联动信息,对所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据进行联动授权状态分析,得到权限联动授权状态信息。
例如,权限业务联动信息可以理解为不同权限业务数据在业务授权访问过程中互相之间的业务授权联动,这种业务授权联动可以是数据区域或者时间序列上业务授权联动,例如互相之间产生联动。权限业务联动信息与业务功能的联动授权状态息息相关,因此,在进行联动授权状态分析时,将权限业务联动信息考虑在内,能够区分交互类对象和非交互类对象在工作使用过程中的状态区别,从而实现全局性的联动授权状态分析。
步骤S130,将联动授权状态分析过程中存在联动授权标签的非交互类权限业务数据确定为待防护非交互类权限业务数据,根据所述权限联动授权状态信息中的非交互类权限业务数据与所述待防护非交互类权限业务数据之间的业务工作流的相关性信息,确定与所述待防护非交互类权限业务数据相对应的业务引用防护策略。
例如,联动授权标签可以是预先根据历史业务授权联动记录进行分析和处理之后得到的,联动授权标签用于表征非交互类权限业务数据可能会对待防护数据权限业务集产生业务授权联动影响,间接或者直接地导致待防护数据权限业务集的业务授权联动。业务工作流则可以理解为不同权限业务数据在工作使用时,对应于业务模板的数据流。相关性信息可以用于表征不同业务工作流之间的相似度。待防护非交互类权限业务数据相对应的业务引用防护策略可以用于指示对应的非交互类对象进行工作使用线路的调整。业务引用防护策略可以包括针对非交互类对象的业务引用更新指示。
步骤S140,对与所述待防护非交互类权限业务数据相对应的业务引用防护策略和所述待防护非交互类权限业务数据进行联动授权状态分析,得到针对所述业务引用防护策略的目标联动授权状态信息。
例如,目标联动授权状态信息能够将非交互对象工作使用过程中的随意性考虑在内,比如非交互类对象不按照对应的业务引用防护策略进行工作使用线路的调整并进行随意的扰动等,如果对非交互类对象进行实时防护监控,会及大地增加防护成本,因此,通过对确定目标联动授权状态信息,能够反过来指示交互类对象的权限防护,从而尽可能提高权限防护的效率。
步骤S150,根据所述针对所述业务引用防护策略的目标联动授权状态信息和所述权限联动授权状态信息,确定所述待防护数据权限业务集中的交互类对象防护策略和所述交互类对象防护策略对应的防护执行指示信息。
例如,交互类对象防护策略对应的防护执行指示信息可以包括针对交互类对象的多项工作使用过程的防护调整指示。可以理解,通过对交互类对象进行权限防护的难度是低于对非交互类对象进行权限防护的难度的,因此,通过对交互类对象进行权限防护,不仅能够减少防护难度和不确定性,还能够将非交互类对象的权限业务流数据考虑在内,避免在对交互类对象进行防护时非交互类对象的数据涌入情况,进而避免引起扩大化的权限业务授权联动影响。
综上所述,基于步骤S110-步骤S150,通过对待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据进行联动授权状态分析,并考虑它们之间的权限业务联动信息,能够得到权限联动授权状态信息,这样可以实现对待防护非交互类权限业务数据相对应的业务引用防护策略的确定,进而进一步实现联动授权状态分析以确定针对业务引用防护策略的目标联动授权状态信息。如此,能够确定出待防护数据权限业务集中的交互类对象防护策略和交互类对象防护策略对应的防护执行指示信息。由此,在基于防护执行指示信息指示交互类对象进行权限防护时,能够将非交互类对象的权限业务流数据考虑在内,避免在对交互类对象进行防护时非交互类对象的数据涌入情况,进而避免引起扩大化的权限业务授权联动影响。
接下来将对一些可选实施例进行说明,这些实施例应当理解为示例,不应理解为实现本方案所必不可少的技术特征。
对于一些可能的实施例而言,步骤S110所描述的所述获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据,可以包括以下步骤S111-步骤S114所描述的内容。
步骤S111,获取所述待防护数据权限业务集中的至少两组交互类对象业务流数据和至少两组非交互类对象业务流数据。
步骤S112,获取所述至少两组交互类对象业务流数据之间的交互类对象业务流数据的业务流变化信息和交互类对象业务流数据的交互重叠数据,获取所述至少两组非交互类对象业务流数据之间的非交互类对象业务流数据的业务流变化信息和非交互类对象业务流数据的交互重叠数据。例如,业务流变化信息可以根据不同时段下对应的权限业务数据在电子地图上的业务轨迹曲线计算得到。交互重叠数据可以理解为相向工作使用的交互类对象在进行交互时所对应的重叠状态数据,例如基于交互时可能会进行的授权提示而产生的联动授权状态数据等。
步骤S113,根据所述交互类对象业务流数据的业务流变化信息和所述交互类对象业务流数据的交互重叠数据,对所述至少两组交互类对象业务流数据进行融合,得到所述待防护数据权限业务集中的交互类权限业务数据;一组交互类权限业务数据包括至少一组交互类对象业务流数据。例如,业务流数据融合可以将业务流曲线进行拼接或者融合,从而得到对应的权限业务流数据。
步骤S114,根据所述非交互类对象业务流数据的业务流变化信息和所述非交互类对象业务流数据的交互重叠数据,对所述至少两组非交互类对象业务流数据进行融合,得到所述待防护数据权限业务集中的非交互类权限业务数据;一组非交互类权限业务数据包括至少一组非交互类对象业务流数据。
这样一来,通过实施上述步骤S111-步骤S114所描述的内容时,能够将业务流变化信息和交互重叠数据考虑在内,从而确保交互类权限业务数据和非交互类权限业务数据能够完整地反映待防护数据权限业务集的实际防护状况。
在一些实施例中,步骤S120所描述的基于所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的权限业务流数据的权限业务联动信息,对所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据进行联动授权状态分析,得到权限联动授权状态信息,可以包括以下步骤S1201-步骤S1203所描述的内容。
步骤S1201,将所述待防护数据权限业务集中的非交互类权限业务数据确定为针对联动授权状态分析的非交互类权限业务数据,将所述待防护数据权限业务集中的交互类权限业务数据确定为针对联动授权状态分析的交互类权限业务数据;所述针对联动授权状态分析的非交互类权限业务数据中的非交互类对象业务流数据是从针对所述待防护数据权限业务集的采集数据流对应的业务流数据中所确定的。例如,采集数据流可以是对应的采集脚本采集到的数据流,业务流数据可以基于采集数据流进行AI分析得到,由于AI分析的相关技术为常规技术手段,在此不作赘述。
步骤S1202,获取所述采集数据流对应的业务流数据中的交互类对象业务流数据;将所述采集数据流对应的业务流数据中的交互类对象业务流数据与所述针对联动授权状态分析的交互类权限业务数据中的交互类对象业务流数据之间的业务流数据的业务流变化信息,确定为所述针对联动授权状态分析的非交互类权限业务数据与所述针对联动授权状态分析的交互类权限业务数据之间的所述权限业务流数据的权限业务联动信息。
步骤S1203,当所述权限业务流数据的权限业务联动信息的权限业务联动指数大于或等于权限业务联动指数阈值时,对所述针对联动授权状态分析的非交互类权限业务数据和所述针对联动授权状态分析的交互类权限业务数据进行联动授权状态分析,得到所述权限联动授权状态信息。例如,权限业务联动指数用于表征交互类对象和非交互类对象互相之间的业务授权联动程度,权限业务联动指数越大,交互类对象和非交互类对象之间的业务授权联动程度越大。权限业务联动指数阈值可以根据实际情况进行调整,在此不作限定。
如此,在应用上述步骤S1201-步骤S1203所描述的内容时,可以基于采集数据流实现对针对联动授权状态分析的权限业务流数据的确定,从而通过业务流变化信息准确确定不同权限业务数据的权限业务流数据之间的权限业务联动信息,并结合权限业务联动指数精准实时地实现联动授权状态分析,从而确保权限联动授权状态信息将交互类对象和非交互类对象在道路上的互相业务授权联动考虑在内,为后续的防护策略生成提供可靠的决策依据。
在一些实施例中,所述待防护非交互类权限业务数据包括所述待防护数据权限业务集中的错误访问的非交互类对象业务流数据;所述权限联动授权状态信息的数量为至少两个;每个权限联动授权状态信息中的非交互类权限业务数据分别包括所述待防护数据权限业务集中的未错误访问的非交互类对象业务流数据,在上述内容的基础上,步骤S130所描述的所述根据所述权限联动授权状态信息中的非交互类权限业务数据与所述待防护非交互类权限业务数据之间的业务工作流的相关性信息,确定与所述待防护非交互类权限业务数据相对应的业务引用防护策略,可以包括以下步骤S1301-步骤S1305。
步骤S1301,根据所述错误访问的非交互类对象业务流数据,获取所述待防护非交互类权限业务数据的第一权限业务错误访问标签。
步骤S1302,根据所述每个权限联动授权状态信息包括的未错误访问的非交互类对象业务流数据,分别获取所述每个权限联动授权状态信息中的非交互类权限业务数据的第二权限业务错误访问标签。
步骤S1303,获取所述第一权限业务错误访问标签分别与所述每个权限联动授权状态信息对应的第二权限业务错误访问标签之间的标签相似度。例如,标签相似度可以根据不同的权限业务错误访问标签之间的标签属性值进行计算得到,标签属性值可以用于区分不同的权限业务错误访问标签,标签相似度的取值可以为0~1,也即,标签相似度取值越高,不同的权限业务错误访问标签之间的相关性越高,或者说不同的权限业务错误访问标签之间的影响程度越高,比如错误访问的业务流可能影响未错误访问的业务流。
步骤S1304,根据所述每个权限联动授权状态信息对应的标签相似度,确定所述每个权限联动授权状态信息中的非交互类权限业务数据分别与所述待防护非交互类权限业务数据之间的业务工作流的相关性信息。
步骤S1305,当目标权限联动授权状态信息的数量大于第一预设数量阈值且小于或等于第二预设数量阈值时,将所述目标权限联动授权状态信息中的交互类权限业务数据所对应的业务引用防护策略,确定为与所述待防护非交互类权限业务数据相对应的业务引用防护策略;所述目标权限联动授权状态信息,是指对应的业务工作流的相关性信息的相关性系数大于或等于业务工作流的相关性系数阈值的权限联动授权状态信息。例如,相关性系数的取值同样可以是0~1。
这样,通过实施上述步骤S1301-步骤S1305,在确定待防护非交互类权限业务数据相对应的业务引用防护策略时,能够考虑非交互类对象的错误访问行为对交互类对象的工作使用状态的影响,从而确保待防护非交互类权限业务数据相对应的业务引用防护策略能够综合考虑交互类对象的工作使用状态和非交互类对象的工作使用状态。
对于一些可能的实施例而言,所述错误访问的非交互类对象业务流数据的业务流变化类型的数量为至少两个,基于此,步骤S1301所描述的所述根据所述错误访问的非交互类对象业务流数据,获取所述待防护非交互类权限业务数据的第一权限业务错误访问标签,包括:获取至少两个错误访问的非交互类对象业务流数据中的每个错误访问的非交互类对象业务流数据分别对应的业务流数据联动授权标签;根据所述每个错误访问的非交互类对象业务流数据分别对应的业务流数据联动授权标签,获取所述至少两个错误访问的非交互类对象业务流数据对应的第一关联联动授权标签;将所述第一关联联动授权标签,确定为所述第一权限业务错误访问标签。
在一些可能的实施例中,所述至少两个权限联动授权状态信息包括第i个权限联动授权状态信息,i为小于或等于所述至少两个权限联动授权状态信息的总数量的正整数;所述第i个权限联动授权状态信息包括的未错误访问的非交互类对象业务流数据的业务流变化类型的数量为至少两个,基于此,步骤S1302所描述的根据所述每个权限联动授权状态信息包括的未错误访问的非交互类对象业务流数据,分别获取所述每个权限联动授权状态信息中的非交互类权限业务数据的第二权限业务错误访问标签,可以包括:获取所述第i个权限联动授权状态信息包括的至少两个未错误访问的非交互类对象业务流数据中的每个未错误访问的非交互类对象业务流数据分别对应的业务流数据联动授权标签;根据所述每个未错误访问的非交互类对象业务流数据分别对应的业务流数据联动授权标签,获取所述至少两个未错误访问的非交互类对象业务流数据对应的第二关联联动授权标签;将所述第二关联联动授权标签,确定为所述第i个权限联动授权状态信息中的非交互类权限业务数据的第二权限业务错误访问标签。
对于一些可能的实施例而言,所述待防护非交互类权限业务数据的数量为至少两个,进一步地,所述方法还可以包括以下步骤S21-步骤S24所描述的内容。
步骤S21,当所述目标权限联动授权状态信息的数量小于或等于所述第一预设数量阈值时,将与每个待防护非交互类权限业务数据之间的业务工作流的相关性信息对应的相关性系数最大的非交互类权限业务数据所在的权限联动授权状态信息,分别确定为所述每个待防护非交互类权限业务数据对应的候选联动授权状态信息组合。
步骤S22,将所述每个待防护非交互类权限业务数据对应的候选联动授权状态信息组合中的交互类权限业务数据所对应的业务引用防护策略,分别确定为所述每个待防护非交互类权限业务数据对应的候选业务引用防护策略。
步骤S23,根据所述每个待防护非交互类权限业务数据对应的候选业务引用防护策略,确定待确定防护策略对应的至少两个防护策略的总计调用次数;获取所述至少两个防护策略的总计调用次数在至少两个权限联动授权状态信息的交互类权限业务数据所对应的业务引用防护策略中的第一记录信息;根据所述第一记录信息,确定所述每个待防护非交互类权限业务数据针对所述待确定防护策略的第一目标防护策略的总计调用次数。
步骤S24,将分别具有所述每个待防护非交互类权限业务数据对应的第一目标防护策略的总计调用次数的所述待确定防护策略,确定为与所述每个待防护非交互类权限业务数据相对应的业务引用防护策略;所述至少两个防护策略的总计调用次数在与所述每个待防护非交互类权限业务数据相对应的业务引用防护策略中的第二记录信息,与所述第一记录信息相匹配。
这样一来,通过实施上述步骤S21-步骤S24,能够从防护策略的总计调用次数层面进行业务引用防护策略的确定,从而确保每个待防护非交互类权限业务数据相对应的业务引用防护策略是与实际道路防护情况相匹配的。
在上述内容的基础上,还可以包括以下步骤S25-步骤S27所描述的内容。
步骤S25,当所述目标权限联动授权状态信息的数量大于所述第二预设数量阈值时,统计待确定防护策略的至少两个防护策略的总计调用次数在所述目标权限联动授权状态信息的交互类对象业务流数据所对应的业务引用防护策略中的防护策略匹配信息;所述至少两个防护策略的总计调用次数,是根据所述目标权限联动授权状态信息中的交互类权限业务数据所对应的业务引用防护策略所确定的。
步骤S26,根据所述待防护非交互类权限业务数据与所述目标权限联动授权状态信息之间的业务工作流的相关性信息、以及所述防护策略匹配信息,从所述至少两个防护策略的总计调用次数中,确定所述待防护非交互类权限业务数据针对所述待确定防护策略的第二目标防护策略的总计调用次数。
步骤S27,将具有所述第二目标防护策略的总计调用次数的所述待确定防护策略,确定为与所述待防护非交互类权限业务数据相对应的业务引用防护策略。
在实际实施过程中,防护状况是实时变化的,为了尽可能实现对后续的防护状况的精准预测以确定对应的防护策略,需要对防护策略进行迭代更新,为实现这一目的,本方案还可以包括以下内容:将所述权限联动授权状态信息中的交互类权限业务数据所对应的业务引用防护策略,确定为所述权限联动授权状态信息所对应的业务引用防护策略;将所述权限联动授权状态信息和所述针对所述业务引用防护策略的目标联动授权状态信息,确定为所述待防护数据权限业务集中的联动授权状态信息组合;将所述联动授权状态信息组合所对应的业务引用防护策略,确定为目标业务引用防护策略;为所述目标业务引用防护策略与所在的所述联动授权状态信息组合中的非交互类权限业务数据添加相同的非交互类对象业务分布标签;将具有所述非交互类对象业务分布标签的所述目标业务引用防护策略,分别映射至基于决策树网络模型、随机森林树网络模型以及支持向量机模型。
在实际实施过程中,通过所述基于决策树网络模型对所述目标业务引用防护策略进行策略迭代更新的更新次数,大于通过所述随机森林树网络模型对所述目标业务引用防护策略进行策略迭代更新的更新次数;通过所述随机森林树网络模型对所述目标业务引用防护策略进行策略迭代更新的更新次数,大于通过所述支持向量机模型对所述目标业务引用防护策略进行策略迭代更新的更新次数。
进一步地,所述基于决策树网络模型针对所述目标业务引用防护策略的损失参数,小于所述随机森林树网络模型针对所述目标业务引用防护策略的损失参数;所述随机森林树网络模型针对所述目标业务引用防护策略的损失参数,小于所述支持向量机模型针对所述目标业务引用防护策略的损失参数。
可以理解,上述不同类型的神经网络模型的训练过程和调参过程为现有技术,在此不作更多说明。
在上述内容的基础上,步骤S150所描述的根据所述针对所述业务引用防护策略的目标联动授权状态信息和所述权限联动授权状态信息,确定所述待防护数据权限业务集中的交互类对象防护策略和所述交互类对象防护策略对应的防护执行指示信息,可以包括以下步骤S1501和步骤S1502。
步骤S1501,根据所述联动授权状态信息组合中的非交互类权限业务数据,确定所述待防护数据权限业务集中的所述交互类对象防护策略。
步骤S1502,根据所述联动授权状态信息组合中的非交互类权限业务数据所具有的所述非交互类对象业务分布标签,从所述基于决策树网络模型、所述随机森林树网络模型或所述支持向量机模型中,获取具有所述非交互类对象业务分布标签的所述目标业务引用防护策略,将获取到的所述目标业务引用防护策略确定为所述交互类对象防护策略对应的防护执行指示信息。
这样一来,可以基于不同类型的神经网络确定具有非交互类对象业务分布标签的所述目标业务引用防护策略,从而实现对业务引用防护策略的迭代更新,以便尽可能地实现对后续的防护状况的精准预测以确定对应的防护策略。
在一种可替换的实施例中,步骤S1502所描述的所述根据所述联动授权状态信息组合中的非交互类权限业务数据所具有的所述非交互类对象业务分布标签,从所述基于决策树网络模型、所述随机森林树网络模型或所述支持向量机模型中,获取具有所述非交互类对象业务分布标签的所述目标业务引用防护策略,可以包括以下步骤S15021-步骤S15023所描述的内容。
步骤S15021,根据所述联动授权状态信息组合中的非交互类权限业务数据所具有的所述非交互类对象业务分布标签,生成用于在所述基于决策树网络模型中对所述目标业务引用防护策略进行策略迭代更新的第一策略迭代指示信息,当根据所述第一策略迭代指示信息未从所述基于决策树网络模型中实现所述目标业务引用防护策略的迭代收敛时,根据所述第一策略迭代指示信息,生成用于在所述随机森林树网络模型中对所述目标业务引用防护策略进行策略迭代更新的第二策略迭代指示信息。
步骤S15022,当根据所述第二策略迭代指示信息未从所述随机森林树网络模型中实现所述目标业务引用防护策略的迭代收敛时,根据所述第二策略迭代指示信息,生成用于在所述支持向量机模型中对所述目标业务引用防护策略进行策略迭代更新的第三策略迭代指示信息。
步骤S15023,根据所述第三策略迭代指示信息,从所述支持向量机模型中对所述目标业务引用防护策略进行策略迭代更新,并得到所述前向反馈的神经网络模型输出的满足设定收敛条件的所述目标业务引用防护策略。例如,满足设定收敛条件可以是目标业务引用防护策略对应的防护耗时小于设定耗时,或者是目标业务引用防护策略对应的权限业务流量变化率小于设定变化率。
这样一来,可以通过不同的神经网络模型进行防护策略的迭代,从而确保得到的目标业务引用防护策略是满足设定收敛条件的,这样可以确保目标业务引用防护策略能够尽可能地与待防护数据权限业务集相适配。
在一种设计方案中,在上述步骤S15021-步骤S15023的基础上,所述随机森林树网络模型所映射的所述目标业务引用防护策略包括局部引导防护策略和全局引导防护策略,基于此,所述方法还包括:为所述局部引导防护策略配置局部防护时效指标,为所述全局引导防护策略配置全局防护时效指标;所述局部防护时效指标与所述全局防护时效指标不相同;当所述局部引导防护策略对应的局部权限防护时刻不满足所述局部防护时效指标时,在所述局部引导防护策略对应的局部权限防护时刻从所述随机森林树网络模型中清除所述局部引导防护策略,当所述全局引导防护策略对应的全局权限防护时刻不满足所述全局防护时效指标时,在所述全局引导防护策略对应的全局权限防护时刻从所述随机森林树网络模型中清除所述全局引导防护策略。
图4为本发明实施例提供的基于交互类与非交互类的数据权限防护装置300的功能模块示意图,本实施例可以根据上述数据权限管理服务器100执行的方法实施例对该数据权限防护装置300进行功能模块的划分,也即该数据权限防护装置300所对应的以下各个功能模块可以用于执行上述数据权限管理服务器100执行的各个方法实施例。下面分别对该数据权限防护装置300的各个功能模块的功能进行详细阐述。
获取模块310,用于获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据。
第一分析模块320,用于基于待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的权限业务流数据的权限业务联动信息,对待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据进行联动授权状态分析,得到权限联动授权状态信息。
第一确定模块330,用于将联动授权状态分析过程中存在联动授权标签的非交互类权限业务数据确定为待防护非交互类权限业务数据,根据权限联动授权状态信息中的非交互类权限业务数据与待防护非交互类权限业务数据之间的业务工作流的相关性信息,确定与待防护非交互类权限业务数据相对应的业务引用防护策略。
第二分析模块340,用于对与待防护非交互类权限业务数据相对应的业务引用防护策略和待防护非交互类权限业务数据进行联动授权状态分析,得到针对业务引用防护策略的目标联动授权状态信息。
第二确定模块350,用于根据针对业务引用防护策略的目标联动授权状态信息和权限联动授权状态信息,确定待防护数据权限业务集中的交互类对象防护策略和交互类对象防护策略对应的防护执行指示信息。
需要说明的是,应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。例如,获取模块310可以为单独设立的处理元件,也可以集成在上述装置的某一个芯片中实现,此外,也可以以程序代码的形式存储于上述装置的存储器中,由上述装置的某一个处理元件调用并执行以上获取模块310的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起,也可以独立实现。这里所描述的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
例如,以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(application specific integrated circuit,ASIC),或,一个或多个微处理器(digital signal processor,DSP),或,一个或者多个现场可编程门阵列(field programmable gate array,FPGA)等。再如,当以上某个模块通过处理元件防护程序代码的形式实现时,-该处理元件可以是通用处理器,例如中央处理器(centralprocessing unit,CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上系统(system-on-a-chip,SOC)的形式实现。
本发明实施例还提供一种基于交互类与非交互类的数据权限防护系统,所述数据权限防护系统包括权限管理设备以及与所述权限管理设备通信的数据权限管理服务器,所述系统包括:
所述数据权限管理服务器用于:
接收请求方发送的资源访问请求,所述资源访问请求包含请求的待访问资源与业务程序;
通过所述业务程序产生的预设指令确定出请求方对应的角色标识,其中,角色标识用于表示用户所代表的角色类型,每个角色可以对应一个或多个角色类型;
根据所述角色标识,确定出对应的角色类型,并从预置的业务数据库中进行匹配,判断所述角色标识是否具有所述待访问资源对应的数据权限业务集;
当所述请求方对应的角色标识具有所述待访问资源对应的数据权限业务集时,在所述业务数据库中查询对应的关系表,确定出对应的数据权限业务集;
在一个或多个数据权限业务集进行防护时,获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据,基于所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的,权限业务流数据的权限业务联动信息,完成数据权限业务集的防护。
图5示出了本发明实施例提供的用于实现上述的基于交互类与非交互类的数据权限防护方法的数据权限管理服务器100的硬件结构示意图,如图5所示,数据权限管理服务器100可包括处理器110、机器可读存储介质120、总线130以及收发器140。
在具体实现过程中,至少一个处理器110执行所述机器可读存储介质120存储的计算机执行指令(例如图4中所示的基于交互类与非交互类的数据权限防护装置300包括的获取模块310、聚类模块320、配置模块330以及推送模块340),使得处理器110可以执行如上方法实施例的基于交互类与非交互类的数据权限防护方法,其中,处理器110、机器可读存储介质120以及收发器140通过总线130连接,处理器110可以用于控制收发器140的收发动作,从而可以与前述的权限管理设备200进行数据收发。
处理器110的具体实现过程可参见上述数据权限管理服务器100执行的各个方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
在上述的图5所示的实施例中,应理解,处理器可以是中央处理单元(英文:Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,DSP)、专用集成电路(英文:ApplicationSpecificIntegrated Circuit,ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
机器可读存储介质120可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器。
总线130可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component Interconnect,PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。总线130可以分为地址总线、数据总线、控制总线等。为便于表示,本发明附图中的总线并不限定仅有一根总线或一种类型的总线。
此外,本发明实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上基于交互类与非交互类的数据权限防护方法。
最后,应当理解的是,本说明书中所述实施例仅用以说明本说明书实施例的原则。其他的变形也可能属于本说明书的范围。因此,作为示例而非限制,本说明书实施例的替代配置可视为与本说明书的教导一致。相应地,本说明书的实施例不仅限于本说明书明确介绍和描述的实施例。
Claims (10)
1.一种基于交互类与非交互类的数据权限防护方法,其特征在于,应用于与权限管理设备通信的数据权限管理服务器,所述方法包括:
接收请求方发送的资源访问请求,所述资源访问请求包含请求的待访问资源与业务程序;
通过所述业务程序产生的预设指令确定出请求方对应的角色标识,其中,角色标识用于表示用户所代表的角色类型,每个角色可以对应一个或多个角色类型;
根据所述角色标识,确定出对应的角色类型,并从预置的业务数据库中进行匹配,判断所述角色标识是否具有所述待访问资源对应的数据权限业务集;
当所述请求方对应的角色标识具有所述待访问资源对应的数据权限业务集时,在所述业务数据库中查询对应的关系表,确定出对应的数据权限业务集;
在一个或多个数据权限业务集进行防护时,获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据,基于所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的,权限业务流数据的权限业务联动信息,完成数据权限业务集的防护。
2.根据权利要求1所述的基于交互类与非交互类的数据权限防护方法,其特征在于,所述确定出对应的数据权限业务集之前,所述方法还包括:
根据所述的角色标识具有所述待访问资源对应的数据权限业务集,通过不同的权限过滤器对不同操作类型的所述预设指令进行权限过滤,以形成权限过滤后的预设指令,其中,所述权限过滤后的预设指令通过权限过滤器实现限制所述请求方访问数据库中数据的权限。
3.根据权利要求2所述的基于交互类与非交互类的数据权限防护方法,其特征在于,通过不同的权限过滤器对不同操作类型的所述预设指令进行权限过滤,以形成权限过滤后的预设指令之后,所述方法还包括:
将过滤后的预设指令返回至所述业务程序,以使所述业务程序基于过滤后的预设指令,确定出对应的数据权限业务集。
4.根据权利要求2所述的基于交互类与非交互类的数据权限防护方法,其特征在于,所述预设指令的操作类型包括:插入、选取、删除、更新中一项或多项。
5.根据权利要求1所述的基于交互类与非交互类的数据权限防护方法,其特征在于,所述获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据,基于所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的权限业务流数据的权限业务联动信息,完成数据权限业务集的防护,具体包括:
获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据,基于所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的,权限业务流数据的权限业务联动信息,对所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据进行联动授权状态分析,得到权限联动授权状态信息;
将联动授权状态分析过程中存在联动授权标签的非交互类权限业务数据确定为待防护非交互类权限业务数据,根据所述权限联动授权状态信息中的非交互类权限业务数据与所述待防护非交互类权限业务数据之间的业务工作流的相关性信息,确定与所述待防护非交互类权限业务数据相对应的业务引用防护策略;
对与所述待防护非交互类权限业务数据相对应的业务引用防护策略和所述待防护非交互类权限业务数据进行联动授权状态分析,得到针对所述业务引用防护策略的目标联动授权状态信息;
根据所述针对所述业务引用防护策略的目标联动授权状态信息和所述权限联动授权状态信息,确定所述待防护数据权限业务集中的交互类对象防护策略和所述交互类对象防护策略对应的防护执行指示信息。
6.根据权利要求5所述的基于交互类与非交互类的数据权限防护方法,其特征在于,所述获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据,包括:
获取所述待防护数据权限业务集中的至少两组交互类对象业务流数据和至少两组非交互类对象业务流数据;
获取所述至少两组交互类对象业务流数据之间的交互类对象业务流数据的业务流变化信息和交互类对象业务流数据的交互重叠数据,获取所述至少两组非交互类对象业务流数据之间的非交互类对象业务流数据的业务流变化信息和非交互类对象业务流数据的交互重叠数据;
根据所述交互类对象业务流数据的业务流变化信息和所述交互类对象业务流数据的交互重叠数据,对所述至少两组交互类对象业务流数据进行融合,得到所述待防护数据权限业务集中的交互类权限业务数据;一组交互类权限业务数据包括至少一组交互类对象业务流数据;
根据所述非交互类对象业务流数据的业务流变化信息和所述非交互类对象业务流数据的交互重叠数据,对所述至少两组非交互类对象业务流数据进行融合,得到所述待防护数据权限业务集中的非交互类权限业务数据;一组非交互类权限业务数据包括至少一组非交互类对象业务流数据。
7.根据权利要求6所述的基于交互类与非交互类的数据权限防护方法,其特征在于,所述基于所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的权限业务流数据的权限业务联动信息,对所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据进行联动授权状态分析,得到权限联动授权状态信息,包括:
将所述待防护数据权限业务集中的非交互类权限业务数据确定为针对联动授权状态分析的非交互类权限业务数据,将所述待防护数据权限业务集中的交互类权限业务数据确定为针对联动授权状态分析的交互类权限业务数据;所述针对联动授权状态分析的非交互类权限业务数据中的非交互类对象业务流数据是从针对所述待防护数据权限业务集的采集数据流对应的业务流数据中所确定的;
获取所述采集数据流对应的业务流数据中的交互类对象业务流数据;将所述采集数据流对应的业务流数据中的交互类对象业务流数据与所述针对联动授权状态分析的交互类权限业务数据中的交互类对象业务流数据之间的业务流数据的业务流变化信息,确定为所述针对联动授权状态分析的非交互类权限业务数据与所述针对联动授权状态分析的交互类权限业务数据之间的所述权限业务流数据的权限业务联动信息;
当所述权限业务流数据的权限业务联动信息的权限业务联动指数大于或等于权限业务联动指数阈值时,对所述针对联动授权状态分析的非交互类权限业务数据和所述针对联动授权状态分析的交互类权限业务数据进行联动授权状态分析,得到所述权限联动授权状态信息。
8.根据权利要求5所述的基于交互类与非交互类的数据权限防护方法,其特征在于,所述待防护非交互类权限业务数据包括所述待防护数据权限业务集中的错误访问的非交互类对象业务流数据;所述权限联动授权状态信息的数量为至少两个;每个权限联动授权状态信息中的非交互类权限业务数据分别包括所述待防护数据权限业务集中的未错误访问的非交互类对象业务流数据;所述根据所述权限联动授权状态信息中的非交互类权限业务数据与所述待防护非交互类权限业务数据之间的业务工作流的相关性信息,确定与所述待防护非交互类权限业务数据相对应的业务引用防护策略,包括:
根据所述错误访问的非交互类对象业务流数据,获取所述待防护非交互类权限业务数据的第一权限业务错误访问标签;
根据所述每个权限联动授权状态信息包括的未错误访问的非交互类对象业务流数据,分别获取所述每个权限联动授权状态信息中的非交互类权限业务数据的第二权限业务错误访问标签;
获取所述第一权限业务错误访问标签分别与所述每个权限联动授权状态信息对应的第二权限业务错误访问标签之间的标签相似度;
根据所述每个权限联动授权状态信息对应的标签相似度,确定所述每个权限联动授权状态信息中的非交互类权限业务数据分别与所述待防护非交互类权限业务数据之间的业务工作流的相关性信息;
当目标权限联动授权状态信息的数量大于第一预设数量阈值且小于或等于第二预设数量阈值时,将所述目标权限联动授权状态信息中的交互类权限业务数据所对应的业务引用防护策略,确定为与所述待防护非交互类权限业务数据相对应的业务引用防护策略;所述目标权限联动授权状态信息,是指对应的业务工作流的相关性信息的相关性系数大于或等于业务工作流的相关性系数阈值的权限联动授权状态信息;
其中,所述错误访问的非交互类对象业务流数据的业务流变化类型的数量为至少两个;所述根据所述错误访问的非交互类对象业务流数据获取所述待防护非交互类权限业务数据的第一权限业务错误访问标签,包括:
获取至少两个错误访问的非交互类对象业务流数据中的每个错误访问的非交互类对象业务流数据分别对应的业务流数据联动授权标签;
根据所述每个错误访问的非交互类对象业务流数据分别对应的业务流数据联动授权标签,获取所述至少两个错误访问的非交互类对象业务流数据对应的第一关联联动授权标签;将所述第一关联联动授权标签,确定为所述第一权限业务错误访问标签;
其中,所述至少两个权限联动授权状态信息包括第i个权限联动授权状态信息,i为小于或等于所述至少两个权限联动授权状态信息的总数量的正整数;所述第i个权限联动授权状态信息包括的未错误访问的非交互类对象业务流数据的业务流变化类型的数量为至少两个;所述根据所述每个权限联动授权状态信息包括的未错误访问的非交互类对象业务流数据,分别获取所述每个权限联动授权状态信息中的非交互类权限业务数据的第二权限业务错误访问标签,包括:
获取所述第i个权限联动授权状态信息包括的至少两个未错误访问的非交互类对象业务流数据中的每个未错误访问的非交互类对象业务流数据分别对应的业务流数据联动授权标签;
根据所述每个未错误访问的非交互类对象业务流数据分别对应的业务流数据联动授权标签,获取所述至少两个未错误访问的非交互类对象业务流数据对应的第二关联联动授权标签;
将所述第二关联联动授权标签,确定为所述第i个权限联动授权状态信息中的非交互类权限业务数据的第二权限业务错误访问标签。
9.根据权利要求8所述的基于交互类与非交互类的数据权限防护方法,其特征在于,所述待防护非交互类权限业务数据的数量为至少两个;所述方法还包括:
当所述目标权限联动授权状态信息的数量小于或等于所述第一预设数量阈值时,将与每个待防护非交互类权限业务数据之间的业务工作流的相关性信息对应的相关性系数最大的非交互类权限业务数据所在的权限联动授权状态信息,分别确定为所述每个待防护非交互类权限业务数据对应的候选联动授权状态信息组合;
将所述每个待防护非交互类权限业务数据对应的候选联动授权状态信息组合中的交互类权限业务数据所对应的业务引用防护策略,分别确定为所述每个待防护非交互类权限业务数据对应的候选业务引用防护策略;
根据所述每个待防护非交互类权限业务数据对应的候选业务引用防护策略,确定待确定防护策略对应的至少两个防护策略的总计调用次数;
获取所述至少两个防护策略的总计调用次数在至少两个权限联动授权状态信息的交互类权限业务数据所对应的业务引用防护策略中的第一记录信息;
根据所述第一记录信息,确定所述每个待防护非交互类权限业务数据针对所述待确定防护策略的第一目标防护策略的总计调用次数;
将分别具有所述每个待防护非交互类权限业务数据对应的第一目标防护策略的总计调用次数的所述待确定防护策略,确定为与所述每个待防护非交互类权限业务数据相对应的业务引用防护策略;所述至少两个防护策略的总计调用次数在与所述每个待防护非交互类权限业务数据相对应的业务引用防护策略中的第二记录信息,与所述第一记录信息相匹配。
10.一种基于交互类与非交互类的数据权限防护系统,其特征在于,所述数据权限的防护系统包括权限管理设备以及与所述权限管理设备通信的数据权限管理服务器,所述系统包括:
所述数据权限管理服务器用于:
接收请求方发送的资源访问请求,所述资源访问请求包含请求的待访问资源与业务程序;
通过所述业务程序产生的预设指令确定出请求方对应的角色标识,其中,角色标识用于表示用户所代表的角色类型,每个角色可以对应一个或多个角色类型;
根据所述角色标识,确定出对应的角色类型,并从预置的业务数据库中进行匹配,判断所述角色标识是否具有所述待访问资源对应的数据权限业务集;
当所述请求方对应的角色标识具有所述待访问资源对应的数据权限业务集时,在所述业务数据库中查询对应的关系表,确定出对应的数据权限业务集;
在一个或多个数据权限业务集进行防护时,获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据,基于所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的,权限业务流数据的权限业务联动信息,完成数据权限业务集的防护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110048055.XA CN112580105B (zh) | 2021-01-14 | 2021-01-14 | 基于交互类与非交互类的数据权限防护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110048055.XA CN112580105B (zh) | 2021-01-14 | 2021-01-14 | 基于交互类与非交互类的数据权限防护方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112580105A true CN112580105A (zh) | 2021-03-30 |
| CN112580105B CN112580105B (zh) | 2021-08-17 |
Family
ID=75145254
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110048055.XA Active CN112580105B (zh) | 2021-01-14 | 2021-01-14 | 基于交互类与非交互类的数据权限防护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112580105B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113282890A (zh) * | 2021-05-25 | 2021-08-20 | 挂号网(杭州)科技有限公司 | 资源授权方法、装置、电子设备及存储介质 |
| CN115118697A (zh) * | 2022-06-27 | 2022-09-27 | 北京爱奇艺科技有限公司 | 一种资源访问权限激活方法和装置 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1429373A (zh) * | 2000-03-08 | 2003-07-09 | 高利科技有限公司 | 利用个人数字身份证明减少在线欺诈的方法和设备 |
| US20090076865A1 (en) * | 2007-09-17 | 2009-03-19 | Rousselle Philip J | Methods to provision, audit and remediate business and it roles of a user |
| CN101599977A (zh) * | 2009-07-17 | 2009-12-09 | 杭州华三通信技术有限公司 | 网络业务的管理方法和系统 |
| CN103049684A (zh) * | 2012-12-21 | 2013-04-17 | 大唐软件技术股份有限公司 | 一种基于rbac模型扩展的数据权限控制方法和系统 |
| CN106576046A (zh) * | 2014-06-25 | 2017-04-19 | 美国亚德诺半导体公司 | 将元数据与硬件固有属性绑定的系统和设备 |
| CN107346383A (zh) * | 2016-09-09 | 2017-11-14 | 天地融科技股份有限公司 | 一种授权方法及系统 |
| US20180060593A1 (en) * | 2016-09-01 | 2018-03-01 | Onapsis, lnc. | System and method for fast probabilistic querying role-based access control systems |
| CN109670768A (zh) * | 2018-09-27 | 2019-04-23 | 深圳壹账通智能科技有限公司 | 多业务域的权限管理方法、装置、平台及可读存储介质 |
| US20190349354A1 (en) * | 2018-05-09 | 2019-11-14 | Schlage Lock Company Llc | Utilizing caveats for wireless credential access |
| CN112115162A (zh) * | 2020-10-16 | 2020-12-22 | 詹启新 | 基于电子商务云计算的大数据处理方法及人工智能服务器 |
| CN112199581A (zh) * | 2020-09-11 | 2021-01-08 | 卞美玲 | 面向云计算和信息安全的云服务管理方法及人工智能平台 |
-
2021
- 2021-01-14 CN CN202110048055.XA patent/CN112580105B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1429373A (zh) * | 2000-03-08 | 2003-07-09 | 高利科技有限公司 | 利用个人数字身份证明减少在线欺诈的方法和设备 |
| US20090076865A1 (en) * | 2007-09-17 | 2009-03-19 | Rousselle Philip J | Methods to provision, audit and remediate business and it roles of a user |
| CN101599977A (zh) * | 2009-07-17 | 2009-12-09 | 杭州华三通信技术有限公司 | 网络业务的管理方法和系统 |
| CN103049684A (zh) * | 2012-12-21 | 2013-04-17 | 大唐软件技术股份有限公司 | 一种基于rbac模型扩展的数据权限控制方法和系统 |
| CN106576046A (zh) * | 2014-06-25 | 2017-04-19 | 美国亚德诺半导体公司 | 将元数据与硬件固有属性绑定的系统和设备 |
| US20180060593A1 (en) * | 2016-09-01 | 2018-03-01 | Onapsis, lnc. | System and method for fast probabilistic querying role-based access control systems |
| CN107346383A (zh) * | 2016-09-09 | 2017-11-14 | 天地融科技股份有限公司 | 一种授权方法及系统 |
| US20190349354A1 (en) * | 2018-05-09 | 2019-11-14 | Schlage Lock Company Llc | Utilizing caveats for wireless credential access |
| CN109670768A (zh) * | 2018-09-27 | 2019-04-23 | 深圳壹账通智能科技有限公司 | 多业务域的权限管理方法、装置、平台及可读存储介质 |
| CN112199581A (zh) * | 2020-09-11 | 2021-01-08 | 卞美玲 | 面向云计算和信息安全的云服务管理方法及人工智能平台 |
| CN112115162A (zh) * | 2020-10-16 | 2020-12-22 | 詹启新 | 基于电子商务云计算的大数据处理方法及人工智能服务器 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113282890A (zh) * | 2021-05-25 | 2021-08-20 | 挂号网(杭州)科技有限公司 | 资源授权方法、装置、电子设备及存储介质 |
| CN115118697A (zh) * | 2022-06-27 | 2022-09-27 | 北京爱奇艺科技有限公司 | 一种资源访问权限激活方法和装置 |
| CN115118697B (zh) * | 2022-06-27 | 2024-04-26 | 北京爱奇艺科技有限公司 | 一种资源访问权限激活方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112580105B (zh) | 2021-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109558748B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN107230008B (zh) | 一种风险信息输出、风险信息构建方法及装置 | |
| US10536456B2 (en) | Method and system for identifying user information in social network | |
| CN112580105B (zh) | 基于交互类与非交互类的数据权限防护方法及系统 | |
| US10609087B2 (en) | Systems and methods for generation and selection of access rules | |
| CN109800560B (zh) | 一种设备识别方法和装置 | |
| US11916964B2 (en) | Dynamic, runtime application programming interface parameter labeling, flow parameter tracking and security policy enforcement using API call graph | |
| CN110381166A (zh) | 一种消息通知管理方法、装置及计算机可读存储介质 | |
| CN112491900B (zh) | 异常节点识别方法、装置、设备及介质 | |
| CN113392426A (zh) | 用于增强工业系统或电功率系统的数据隐私的方法及系统 | |
| AU2021104080A4 (en) | Protection method and system for data permission | |
| CN115238247A (zh) | 基于零信任数据访问控制系统的数据处理方法 | |
| CN111797942A (zh) | 用户信息的分类方法及装置、计算机设备、存储介质 | |
| CN112613072B (zh) | 基于档案大数据的信息管理方法、管理系统及管理云平台 | |
| US9917858B2 (en) | Honey user | |
| CN112364022B (zh) | 信息推导管理方法、装置、计算机设备及可读存储介质 | |
| CN112070508B (zh) | 基于区块链金融的区块链支付处理方法及区块链支付平台 | |
| CN112653697A (zh) | 基于云计算和区块链的访问请求处理方法及云端服务中心 | |
| CN112837060B (zh) | 用于区块链安全防护的支付业务处理方法及数字金融平台 | |
| CN112733134A (zh) | 基于大数据和区块链的信息安全防护方法及数字金融平台 | |
| US20170149831A1 (en) | Apparatus and method for verifying detection rule | |
| CN113094696A (zh) | 口令破解的效果评估方法、装置、电子设备及存储介质 | |
| CN113722745B (zh) | eCTD通用技术文档递交管理方法及系统 | |
| CN113098884A (zh) | 基于大数据的网络安全监控方法、云平台系统及介质 | |
| CN112671774A (zh) | 基于云计算和区块链的大数据分析方法及数字金融系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Yang Ming Inventor after: Chen Jinghong Inventor after: Tao Jiaju Inventor after: Other inventor requests not to publish the name Inventor before: Request for anonymity |
|
| CB03 | Change of inventor or designer information | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210728 Address after: 310006 Room 101, 1 / F, room 801, 802, 803, 804, 8 / F, room 1101, 1102, 11 / F, 38 Qingchun Road, Xiacheng District, Hangzhou City, Zhejiang Province Applicant after: Hangyin Consumer Finance Co.,Ltd. Address before: No.4-125 Furong Village, Taozhu Town, Linhai City, Taizhou City, Zhejiang Province Applicant before: Huang Jie |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |