具体实施方式
为了更清楚地说明本说明书实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本说明书的一些示例或实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图将本说明书应用于其它类似情景。除非从语言环境中显而易见或另做说明,图中相同标号代表相同结构或操作。
本说明书中使用了流程图用来说明根据本说明书的实施例的系统所执行的操作。应当理解的是,前面或后面操作不一定按照顺序来精确地执行。相反,可以按照倒序或同时处理各个步骤。同时,也可以将其他操作添加到这些过程中,或从这些过程移除某一步或数步操作。
图1为本说明书实施例提供的基于交互类与非交互类的数据权限防护方法的流程示意图,可以由数据权限防护系统的执行单元执行下述步骤,应用于与权限管理设备通信的数据权限管理服务器,具体可以包括:
步骤S101,接收请求方发送的资源访问请求,所述资源访问请求包含请求的待访问资源与业务程序。
本本说明书一个或多个实施例中,请求方可以是用户应用客户端进行操作。资源访问请求可以是通过业务程序访问服务器端中的资源信息。
步骤S102,通过所述业务程序产生的预设指令确定出请求方对应的角色标识,其中,角色标识用于表示用户所代表的角色类型,每个角色可以对应一个或多个角色类型。
例如,在角色类型可基于用户职位划分,例如角色类型可划分为:部门经理、董事长、副董事长、特级技术员、中级技术员及普通技术员等,一个用户可能存在多个职位,比如,该用户既是部门经理也是特级技术员。
步骤S103,根据所述角色标识,确定出对应的角色类型,并从预置的业务数据库中进行匹配,判断所述角色标识是否具有所述待访问资源对应的数据权限业务集。
步骤S104,当所述请求方对应的角色标识具有所述待访问资源对应的数据权限业务集时,在所述业务数据库中查询对应的关系表,确定出对应的数据权限业务集。
关系表中存储有角色类型对应的数据权限业务集,数据权限业务集可以表示该角色类型具有哪些数据权限。
步骤S105,在一个或多个数据权限业务集进行防护时,获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据,基于所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的,权限业务流数据的权限业务联动信息,完成数据权限业务集的防护。
在本说明书一个或多个实施例中,执行步骤确定出对应的数据权限业务集之前,还可以包括:
根据所述的角色标识具有所述待访问资源对应的数据权限业务集,通过不同的权限过滤器对不同操作类型的所述预设指令进行权限过滤,以形成权限过滤后的预设指令,其中,所述权限过滤后的预设指令通过权限过滤器实现限制所述请求方访问数据库中数据的权限。
进一步的,通过不同的权限过滤器对不同操作类型的所述预设指令进行权限过滤,以形成权限过滤后的预设指令之后,所述方法还包括:
将过滤后的预设指令返回至所述业务程序,以使所述业务程序基于过滤后的预设指令,确定出对应的数据权限业务集。
需要说明的是,预设指令的操作类型包括:插入、选取、删除、更新中一项或多项。
权限过滤后的预设指令句可实现限制用户访问数据库中的数据的权限。比如,针对目标数据库中某一特定数据字段进行(选取的操作。
进一步的,步骤S105具体可以包括:
获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据,基于所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的,权限业务流数据的权限业务联动信息,对所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据进行联动授权状态分析,得到权限联动授权状态信息;
将联动授权状态分析过程中存在联动授权标签的非交互类权限业务数据确定为待防护非交互类权限业务数据,根据所述权限联动授权状态信息中的非交互类权限业务数据与所述待防护非交互类权限业务数据之间的业务工作流的相关性信息,确定与所述待防护非交互类权限业务数据相对应的业务引用防护策略;
对与所述待防护非交互类权限业务数据相对应的业务引用防护策略和所述待防护非交互类权限业务数据进行联动授权状态分析,得到针对所述业务引用防护策略的目标联动授权状态信息;
根据所述针对所述业务引用防护策略的目标联动授权状态信息和所述权限联动授权状态信息,确定所述待防护数据权限业务集中的交互类对象防护策略和所述交互类对象防护策略对应的防护执行指示信息。
针对步骤S105,图2示出了基于交互类与非交互类的数据权限防护系统10的交互示意图。数据权限防护系统10可以包括数据权限管理服务器100以及与所述数据权限管理服务器100通信连接的权限管理设备200。图2所示的数据权限防护系统10仅为一种可行的示例,在其它可行的实施例中,该数据权限防护系统10也可以仅包括图2所示组成部分的其中一部分或者还可以包括其它的组成部分。
本实施例中,数据权限防护系统10中的数据权限管理服务器100和权限管理设备200可以通过配合执行以下方法实施例所描述的基于交互类与非交互类的数据权限防护方法,具体数据权限管理服务器100和权限管理设备200的执行步骤部分可以参照以下方法实施例的详细描述。
针对步骤S105,图3示出了基于交互类与非交互类的数据权限防护方法的流程示意图,该方法可以由图2中所示的数据权限管理服务器100执行,下面对该基于交互类与非交互类的数据权限防护方法进行详细介绍。
步骤S110,获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据。
例如,待防护数据权限业务集可以是防护应用进程中的某个防护软件业务对应的数据权限业务集。交互类权限业务数据可以理解为具有交互功能对应的权限业务流数据,非交互类权限业务数据可以理解为不具有交互功能对应的权限业务流数据。进一步地,权限业务流数据可以包括业务服务数据、业务位置数据、时间数据,此外,权限业务流数据还可以理解为时空数据。
步骤S120,基于所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的权限业务流数据的权限业务联动信息,对所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据进行联动授权状态分析,得到权限联动授权状态信息。
例如,权限业务联动信息可以理解为不同权限业务数据在业务授权访问过程中互相之间的业务授权联动,这种业务授权联动可以是数据区域或者时间序列上业务授权联动,例如互相之间产生联动。权限业务联动信息与业务功能的联动授权状态息息相关,因此,在进行联动授权状态分析时,将权限业务联动信息考虑在内,能够区分交互类对象和非交互类对象在工作使用过程中的状态区别,从而实现全局性的联动授权状态分析。
步骤S130,将联动授权状态分析过程中存在联动授权标签的非交互类权限业务数据确定为待防护非交互类权限业务数据,根据所述权限联动授权状态信息中的非交互类权限业务数据与所述待防护非交互类权限业务数据之间的业务工作流的相关性信息,确定与所述待防护非交互类权限业务数据相对应的业务引用防护策略。
例如,联动授权标签可以是预先根据历史业务授权联动记录进行分析和处理之后得到的,联动授权标签用于表征非交互类权限业务数据可能会对待防护数据权限业务集产生业务授权联动影响,间接或者直接地导致待防护数据权限业务集的业务授权联动。业务工作流则可以理解为不同权限业务数据在工作使用时,对应于业务模板的数据流。相关性信息可以用于表征不同业务工作流之间的相似度。待防护非交互类权限业务数据相对应的业务引用防护策略可以用于指示对应的非交互类对象进行工作使用线路的调整。业务引用防护策略可以包括针对非交互类对象的业务引用更新指示。
步骤S140,对与所述待防护非交互类权限业务数据相对应的业务引用防护策略和所述待防护非交互类权限业务数据进行联动授权状态分析,得到针对所述业务引用防护策略的目标联动授权状态信息。
例如,目标联动授权状态信息能够将非交互对象工作使用过程中的随意性考虑在内,比如非交互类对象不按照对应的业务引用防护策略进行工作使用线路的调整并进行随意的扰动等,如果对非交互类对象进行实时防护监控,会及大地增加防护成本,因此,通过对确定目标联动授权状态信息,能够反过来指示交互类对象的权限防护,从而尽可能提高权限防护的效率。
步骤S150,根据所述针对所述业务引用防护策略的目标联动授权状态信息和所述权限联动授权状态信息,确定所述待防护数据权限业务集中的交互类对象防护策略和所述交互类对象防护策略对应的防护执行指示信息。
例如,交互类对象防护策略对应的防护执行指示信息可以包括针对交互类对象的多项工作使用过程的防护调整指示。可以理解,通过对交互类对象进行权限防护的难度是低于对非交互类对象进行权限防护的难度的,因此,通过对交互类对象进行权限防护,不仅能够减少防护难度和不确定性,还能够将非交互类对象的权限业务流数据考虑在内,避免在对交互类对象进行防护时非交互类对象的数据涌入情况,进而避免引起扩大化的权限业务授权联动影响。
综上所述,基于步骤S110-步骤S150,通过对待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据进行联动授权状态分析,并考虑它们之间的权限业务联动信息,能够得到权限联动授权状态信息,这样可以实现对待防护非交互类权限业务数据相对应的业务引用防护策略的确定,进而进一步实现联动授权状态分析以确定针对业务引用防护策略的目标联动授权状态信息。如此,能够确定出待防护数据权限业务集中的交互类对象防护策略和交互类对象防护策略对应的防护执行指示信息。由此,在基于防护执行指示信息指示交互类对象进行权限防护时,能够将非交互类对象的权限业务流数据考虑在内,避免在对交互类对象进行防护时非交互类对象的数据涌入情况,进而避免引起扩大化的权限业务授权联动影响。
接下来将对一些可选实施例进行说明,这些实施例应当理解为示例,不应理解为实现本方案所必不可少的技术特征。
对于一些可能的实施例而言,步骤S110所描述的所述获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据,可以包括以下步骤S111-步骤S114所描述的内容。
步骤S111,获取所述待防护数据权限业务集中的至少两组交互类对象业务流数据和至少两组非交互类对象业务流数据。
步骤S112,获取所述至少两组交互类对象业务流数据之间的交互类对象业务流数据的业务流变化信息和交互类对象业务流数据的交互重叠数据,获取所述至少两组非交互类对象业务流数据之间的非交互类对象业务流数据的业务流变化信息和非交互类对象业务流数据的交互重叠数据。例如,业务流变化信息可以根据不同时段下对应的权限业务数据在电子地图上的业务轨迹曲线计算得到。交互重叠数据可以理解为相向工作使用的交互类对象在进行交互时所对应的重叠状态数据,例如基于交互时可能会进行的授权提示而产生的联动授权状态数据等。
步骤S113,根据所述交互类对象业务流数据的业务流变化信息和所述交互类对象业务流数据的交互重叠数据,对所述至少两组交互类对象业务流数据进行融合,得到所述待防护数据权限业务集中的交互类权限业务数据;一组交互类权限业务数据包括至少一组交互类对象业务流数据。例如,业务流数据融合可以将业务流曲线进行拼接或者融合,从而得到对应的权限业务流数据。
步骤S114,根据所述非交互类对象业务流数据的业务流变化信息和所述非交互类对象业务流数据的交互重叠数据,对所述至少两组非交互类对象业务流数据进行融合,得到所述待防护数据权限业务集中的非交互类权限业务数据;一组非交互类权限业务数据包括至少一组非交互类对象业务流数据。
这样一来,通过实施上述步骤S111-步骤S114所描述的内容时,能够将业务流变化信息和交互重叠数据考虑在内,从而确保交互类权限业务数据和非交互类权限业务数据能够完整地反映待防护数据权限业务集的实际防护状况。
在一些实施例中,步骤S120所描述的基于所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的权限业务流数据的权限业务联动信息,对所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据进行联动授权状态分析,得到权限联动授权状态信息,可以包括以下步骤S1201-步骤S1203所描述的内容。
步骤S1201,将所述待防护数据权限业务集中的非交互类权限业务数据确定为针对联动授权状态分析的非交互类权限业务数据,将所述待防护数据权限业务集中的交互类权限业务数据确定为针对联动授权状态分析的交互类权限业务数据;所述针对联动授权状态分析的非交互类权限业务数据中的非交互类对象业务流数据是从针对所述待防护数据权限业务集的采集数据流对应的业务流数据中所确定的。例如,采集数据流可以是对应的采集脚本采集到的数据流,业务流数据可以基于采集数据流进行AI分析得到,由于AI分析的相关技术为常规技术手段,在此不作赘述。
步骤S1202,获取所述采集数据流对应的业务流数据中的交互类对象业务流数据;将所述采集数据流对应的业务流数据中的交互类对象业务流数据与所述针对联动授权状态分析的交互类权限业务数据中的交互类对象业务流数据之间的业务流数据的业务流变化信息,确定为所述针对联动授权状态分析的非交互类权限业务数据与所述针对联动授权状态分析的交互类权限业务数据之间的所述权限业务流数据的权限业务联动信息。
步骤S1203,当所述权限业务流数据的权限业务联动信息的权限业务联动指数大于或等于权限业务联动指数阈值时,对所述针对联动授权状态分析的非交互类权限业务数据和所述针对联动授权状态分析的交互类权限业务数据进行联动授权状态分析,得到所述权限联动授权状态信息。例如,权限业务联动指数用于表征交互类对象和非交互类对象互相之间的业务授权联动程度,权限业务联动指数越大,交互类对象和非交互类对象之间的业务授权联动程度越大。权限业务联动指数阈值可以根据实际情况进行调整,在此不作限定。
如此,在应用上述步骤S1201-步骤S1203所描述的内容时,可以基于采集数据流实现对针对联动授权状态分析的权限业务流数据的确定,从而通过业务流变化信息准确确定不同权限业务数据的权限业务流数据之间的权限业务联动信息,并结合权限业务联动指数精准实时地实现联动授权状态分析,从而确保权限联动授权状态信息将交互类对象和非交互类对象在道路上的互相业务授权联动考虑在内,为后续的防护策略生成提供可靠的决策依据。
在一些实施例中,所述待防护非交互类权限业务数据包括所述待防护数据权限业务集中的错误访问的非交互类对象业务流数据;所述权限联动授权状态信息的数量为至少两个;每个权限联动授权状态信息中的非交互类权限业务数据分别包括所述待防护数据权限业务集中的未错误访问的非交互类对象业务流数据,在上述内容的基础上,步骤S130所描述的所述根据所述权限联动授权状态信息中的非交互类权限业务数据与所述待防护非交互类权限业务数据之间的业务工作流的相关性信息,确定与所述待防护非交互类权限业务数据相对应的业务引用防护策略,可以包括以下步骤S1301-步骤S1305。
步骤S1301,根据所述错误访问的非交互类对象业务流数据,获取所述待防护非交互类权限业务数据的第一权限业务错误访问标签。
步骤S1302,根据所述每个权限联动授权状态信息包括的未错误访问的非交互类对象业务流数据,分别获取所述每个权限联动授权状态信息中的非交互类权限业务数据的第二权限业务错误访问标签。
步骤S1303,获取所述第一权限业务错误访问标签分别与所述每个权限联动授权状态信息对应的第二权限业务错误访问标签之间的标签相似度。例如,标签相似度可以根据不同的权限业务错误访问标签之间的标签属性值进行计算得到,标签属性值可以用于区分不同的权限业务错误访问标签,标签相似度的取值可以为0~1,也即,标签相似度取值越高,不同的权限业务错误访问标签之间的相关性越高,或者说不同的权限业务错误访问标签之间的影响程度越高,比如错误访问的业务流可能影响未错误访问的业务流。
步骤S1304,根据所述每个权限联动授权状态信息对应的标签相似度,确定所述每个权限联动授权状态信息中的非交互类权限业务数据分别与所述待防护非交互类权限业务数据之间的业务工作流的相关性信息。
步骤S1305,当目标权限联动授权状态信息的数量大于第一预设数量阈值且小于或等于第二预设数量阈值时,将所述目标权限联动授权状态信息中的交互类权限业务数据所对应的业务引用防护策略,确定为与所述待防护非交互类权限业务数据相对应的业务引用防护策略;所述目标权限联动授权状态信息,是指对应的业务工作流的相关性信息的相关性系数大于或等于业务工作流的相关性系数阈值的权限联动授权状态信息。例如,相关性系数的取值同样可以是0~1。
这样,通过实施上述步骤S1301-步骤S1305,在确定待防护非交互类权限业务数据相对应的业务引用防护策略时,能够考虑非交互类对象的错误访问行为对交互类对象的工作使用状态的影响,从而确保待防护非交互类权限业务数据相对应的业务引用防护策略能够综合考虑交互类对象的工作使用状态和非交互类对象的工作使用状态。
对于一些可能的实施例而言,所述错误访问的非交互类对象业务流数据的业务流变化类型的数量为至少两个,基于此,步骤S1301所描述的所述根据所述错误访问的非交互类对象业务流数据,获取所述待防护非交互类权限业务数据的第一权限业务错误访问标签,包括:获取至少两个错误访问的非交互类对象业务流数据中的每个错误访问的非交互类对象业务流数据分别对应的业务流数据联动授权标签;根据所述每个错误访问的非交互类对象业务流数据分别对应的业务流数据联动授权标签,获取所述至少两个错误访问的非交互类对象业务流数据对应的第一关联联动授权标签;将所述第一关联联动授权标签,确定为所述第一权限业务错误访问标签。
在一些可能的实施例中,所述至少两个权限联动授权状态信息包括第i个权限联动授权状态信息,i为小于或等于所述至少两个权限联动授权状态信息的总数量的正整数;所述第i个权限联动授权状态信息包括的未错误访问的非交互类对象业务流数据的业务流变化类型的数量为至少两个,基于此,步骤S1302所描述的根据所述每个权限联动授权状态信息包括的未错误访问的非交互类对象业务流数据,分别获取所述每个权限联动授权状态信息中的非交互类权限业务数据的第二权限业务错误访问标签,可以包括:获取所述第i个权限联动授权状态信息包括的至少两个未错误访问的非交互类对象业务流数据中的每个未错误访问的非交互类对象业务流数据分别对应的业务流数据联动授权标签;根据所述每个未错误访问的非交互类对象业务流数据分别对应的业务流数据联动授权标签,获取所述至少两个未错误访问的非交互类对象业务流数据对应的第二关联联动授权标签;将所述第二关联联动授权标签,确定为所述第i个权限联动授权状态信息中的非交互类权限业务数据的第二权限业务错误访问标签。
对于一些可能的实施例而言,所述待防护非交互类权限业务数据的数量为至少两个,进一步地,所述方法还可以包括以下步骤S21-步骤S24所描述的内容。
步骤S21,当所述目标权限联动授权状态信息的数量小于或等于所述第一预设数量阈值时,将与每个待防护非交互类权限业务数据之间的业务工作流的相关性信息对应的相关性系数最大的非交互类权限业务数据所在的权限联动授权状态信息,分别确定为所述每个待防护非交互类权限业务数据对应的候选联动授权状态信息组合。
步骤S22,将所述每个待防护非交互类权限业务数据对应的候选联动授权状态信息组合中的交互类权限业务数据所对应的业务引用防护策略,分别确定为所述每个待防护非交互类权限业务数据对应的候选业务引用防护策略。
步骤S23,根据所述每个待防护非交互类权限业务数据对应的候选业务引用防护策略,确定待确定防护策略对应的至少两个防护策略的总计调用次数;获取所述至少两个防护策略的总计调用次数在至少两个权限联动授权状态信息的交互类权限业务数据所对应的业务引用防护策略中的第一记录信息;根据所述第一记录信息,确定所述每个待防护非交互类权限业务数据针对所述待确定防护策略的第一目标防护策略的总计调用次数。
步骤S24,将分别具有所述每个待防护非交互类权限业务数据对应的第一目标防护策略的总计调用次数的所述待确定防护策略,确定为与所述每个待防护非交互类权限业务数据相对应的业务引用防护策略;所述至少两个防护策略的总计调用次数在与所述每个待防护非交互类权限业务数据相对应的业务引用防护策略中的第二记录信息,与所述第一记录信息相匹配。
这样一来,通过实施上述步骤S21-步骤S24,能够从防护策略的总计调用次数层面进行业务引用防护策略的确定,从而确保每个待防护非交互类权限业务数据相对应的业务引用防护策略是与实际道路防护情况相匹配的。
在上述内容的基础上,还可以包括以下步骤S25-步骤S27所描述的内容。
步骤S25,当所述目标权限联动授权状态信息的数量大于所述第二预设数量阈值时,统计待确定防护策略的至少两个防护策略的总计调用次数在所述目标权限联动授权状态信息的交互类对象业务流数据所对应的业务引用防护策略中的防护策略匹配信息;所述至少两个防护策略的总计调用次数,是根据所述目标权限联动授权状态信息中的交互类权限业务数据所对应的业务引用防护策略所确定的。
步骤S26,根据所述待防护非交互类权限业务数据与所述目标权限联动授权状态信息之间的业务工作流的相关性信息、以及所述防护策略匹配信息,从所述至少两个防护策略的总计调用次数中,确定所述待防护非交互类权限业务数据针对所述待确定防护策略的第二目标防护策略的总计调用次数。
步骤S27,将具有所述第二目标防护策略的总计调用次数的所述待确定防护策略,确定为与所述待防护非交互类权限业务数据相对应的业务引用防护策略。
在实际实施过程中,防护状况是实时变化的,为了尽可能实现对后续的防护状况的精准预测以确定对应的防护策略,需要对防护策略进行迭代更新,为实现这一目的,本方案还可以包括以下内容:将所述权限联动授权状态信息中的交互类权限业务数据所对应的业务引用防护策略,确定为所述权限联动授权状态信息所对应的业务引用防护策略;将所述权限联动授权状态信息和所述针对所述业务引用防护策略的目标联动授权状态信息,确定为所述待防护数据权限业务集中的联动授权状态信息组合;将所述联动授权状态信息组合所对应的业务引用防护策略,确定为目标业务引用防护策略;为所述目标业务引用防护策略与所在的所述联动授权状态信息组合中的非交互类权限业务数据添加相同的非交互类对象业务分布标签;将具有所述非交互类对象业务分布标签的所述目标业务引用防护策略,分别映射至基于决策树网络模型、随机森林树网络模型以及支持向量机模型。
在实际实施过程中,通过所述基于决策树网络模型对所述目标业务引用防护策略进行策略迭代更新的更新次数,大于通过所述随机森林树网络模型对所述目标业务引用防护策略进行策略迭代更新的更新次数;通过所述随机森林树网络模型对所述目标业务引用防护策略进行策略迭代更新的更新次数,大于通过所述支持向量机模型对所述目标业务引用防护策略进行策略迭代更新的更新次数。
进一步地,所述基于决策树网络模型针对所述目标业务引用防护策略的损失参数,小于所述随机森林树网络模型针对所述目标业务引用防护策略的损失参数;所述随机森林树网络模型针对所述目标业务引用防护策略的损失参数,小于所述支持向量机模型针对所述目标业务引用防护策略的损失参数。
可以理解,上述不同类型的神经网络模型的训练过程和调参过程为现有技术,在此不作更多说明。
在上述内容的基础上,步骤S150所描述的根据所述针对所述业务引用防护策略的目标联动授权状态信息和所述权限联动授权状态信息,确定所述待防护数据权限业务集中的交互类对象防护策略和所述交互类对象防护策略对应的防护执行指示信息,可以包括以下步骤S1501和步骤S1502。
步骤S1501,根据所述联动授权状态信息组合中的非交互类权限业务数据,确定所述待防护数据权限业务集中的所述交互类对象防护策略。
步骤S1502,根据所述联动授权状态信息组合中的非交互类权限业务数据所具有的所述非交互类对象业务分布标签,从所述基于决策树网络模型、所述随机森林树网络模型或所述支持向量机模型中,获取具有所述非交互类对象业务分布标签的所述目标业务引用防护策略,将获取到的所述目标业务引用防护策略确定为所述交互类对象防护策略对应的防护执行指示信息。
这样一来,可以基于不同类型的神经网络确定具有非交互类对象业务分布标签的所述目标业务引用防护策略,从而实现对业务引用防护策略的迭代更新,以便尽可能地实现对后续的防护状况的精准预测以确定对应的防护策略。
在一种可替换的实施例中,步骤S1502所描述的所述根据所述联动授权状态信息组合中的非交互类权限业务数据所具有的所述非交互类对象业务分布标签,从所述基于决策树网络模型、所述随机森林树网络模型或所述支持向量机模型中,获取具有所述非交互类对象业务分布标签的所述目标业务引用防护策略,可以包括以下步骤S15021-步骤S15023所描述的内容。
步骤S15021,根据所述联动授权状态信息组合中的非交互类权限业务数据所具有的所述非交互类对象业务分布标签,生成用于在所述基于决策树网络模型中对所述目标业务引用防护策略进行策略迭代更新的第一策略迭代指示信息,当根据所述第一策略迭代指示信息未从所述基于决策树网络模型中实现所述目标业务引用防护策略的迭代收敛时,根据所述第一策略迭代指示信息,生成用于在所述随机森林树网络模型中对所述目标业务引用防护策略进行策略迭代更新的第二策略迭代指示信息。
步骤S15022,当根据所述第二策略迭代指示信息未从所述随机森林树网络模型中实现所述目标业务引用防护策略的迭代收敛时,根据所述第二策略迭代指示信息,生成用于在所述支持向量机模型中对所述目标业务引用防护策略进行策略迭代更新的第三策略迭代指示信息。
步骤S15023,根据所述第三策略迭代指示信息,从所述支持向量机模型中对所述目标业务引用防护策略进行策略迭代更新,并得到所述前向反馈的神经网络模型输出的满足设定收敛条件的所述目标业务引用防护策略。例如,满足设定收敛条件可以是目标业务引用防护策略对应的防护耗时小于设定耗时,或者是目标业务引用防护策略对应的权限业务流量变化率小于设定变化率。
这样一来,可以通过不同的神经网络模型进行防护策略的迭代,从而确保得到的目标业务引用防护策略是满足设定收敛条件的,这样可以确保目标业务引用防护策略能够尽可能地与待防护数据权限业务集相适配。
在一种设计方案中,在上述步骤S15021-步骤S15023的基础上,所述随机森林树网络模型所映射的所述目标业务引用防护策略包括局部引导防护策略和全局引导防护策略,基于此,所述方法还包括:为所述局部引导防护策略配置局部防护时效指标,为所述全局引导防护策略配置全局防护时效指标;所述局部防护时效指标与所述全局防护时效指标不相同;当所述局部引导防护策略对应的局部权限防护时刻不满足所述局部防护时效指标时,在所述局部引导防护策略对应的局部权限防护时刻从所述随机森林树网络模型中清除所述局部引导防护策略,当所述全局引导防护策略对应的全局权限防护时刻不满足所述全局防护时效指标时,在所述全局引导防护策略对应的全局权限防护时刻从所述随机森林树网络模型中清除所述全局引导防护策略。
图4为本发明实施例提供的基于交互类与非交互类的数据权限防护装置300的功能模块示意图,本实施例可以根据上述数据权限管理服务器100执行的方法实施例对该数据权限防护装置300进行功能模块的划分,也即该数据权限防护装置300所对应的以下各个功能模块可以用于执行上述数据权限管理服务器100执行的各个方法实施例。下面分别对该数据权限防护装置300的各个功能模块的功能进行详细阐述。
获取模块310,用于获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据。
第一分析模块320,用于基于待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的权限业务流数据的权限业务联动信息,对待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据进行联动授权状态分析,得到权限联动授权状态信息。
第一确定模块330,用于将联动授权状态分析过程中存在联动授权标签的非交互类权限业务数据确定为待防护非交互类权限业务数据,根据权限联动授权状态信息中的非交互类权限业务数据与待防护非交互类权限业务数据之间的业务工作流的相关性信息,确定与待防护非交互类权限业务数据相对应的业务引用防护策略。
第二分析模块340,用于对与待防护非交互类权限业务数据相对应的业务引用防护策略和待防护非交互类权限业务数据进行联动授权状态分析,得到针对业务引用防护策略的目标联动授权状态信息。
第二确定模块350,用于根据针对业务引用防护策略的目标联动授权状态信息和权限联动授权状态信息,确定待防护数据权限业务集中的交互类对象防护策略和交互类对象防护策略对应的防护执行指示信息。
需要说明的是,应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。例如,获取模块310可以为单独设立的处理元件,也可以集成在上述装置的某一个芯片中实现,此外,也可以以程序代码的形式存储于上述装置的存储器中,由上述装置的某一个处理元件调用并执行以上获取模块310的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起,也可以独立实现。这里所描述的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
例如,以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(application specific integrated circuit,ASIC),或,一个或多个微处理器(digital signal processor,DSP),或,一个或者多个现场可编程门阵列(field programmable gate array,FPGA)等。再如,当以上某个模块通过处理元件防护程序代码的形式实现时,-该处理元件可以是通用处理器,例如中央处理器(centralprocessing unit,CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上系统(system-on-a-chip,SOC)的形式实现。
本发明实施例还提供一种基于交互类与非交互类的数据权限防护系统,所述数据权限防护系统包括权限管理设备以及与所述权限管理设备通信的数据权限管理服务器,所述系统包括:
所述数据权限管理服务器用于:
接收请求方发送的资源访问请求,所述资源访问请求包含请求的待访问资源与业务程序;
通过所述业务程序产生的预设指令确定出请求方对应的角色标识,其中,角色标识用于表示用户所代表的角色类型,每个角色可以对应一个或多个角色类型;
根据所述角色标识,确定出对应的角色类型,并从预置的业务数据库中进行匹配,判断所述角色标识是否具有所述待访问资源对应的数据权限业务集;
当所述请求方对应的角色标识具有所述待访问资源对应的数据权限业务集时,在所述业务数据库中查询对应的关系表,确定出对应的数据权限业务集;
在一个或多个数据权限业务集进行防护时,获取待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据,基于所述待防护数据权限业务集中的交互类权限业务数据和非交互类权限业务数据之间的,权限业务流数据的权限业务联动信息,完成数据权限业务集的防护。
图5示出了本发明实施例提供的用于实现上述的基于交互类与非交互类的数据权限防护方法的数据权限管理服务器100的硬件结构示意图,如图5所示,数据权限管理服务器100可包括处理器110、机器可读存储介质120、总线130以及收发器140。
在具体实现过程中,至少一个处理器110执行所述机器可读存储介质120存储的计算机执行指令(例如图4中所示的基于交互类与非交互类的数据权限防护装置300包括的获取模块310、聚类模块320、配置模块330以及推送模块340),使得处理器110可以执行如上方法实施例的基于交互类与非交互类的数据权限防护方法,其中,处理器110、机器可读存储介质120以及收发器140通过总线130连接,处理器110可以用于控制收发器140的收发动作,从而可以与前述的权限管理设备200进行数据收发。
处理器110的具体实现过程可参见上述数据权限管理服务器100执行的各个方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
在上述的图5所示的实施例中,应理解,处理器可以是中央处理单元(英文:Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,DSP)、专用集成电路(英文:ApplicationSpecificIntegrated Circuit,ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
机器可读存储介质120可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器。
总线130可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component Interconnect,PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。总线130可以分为地址总线、数据总线、控制总线等。为便于表示,本发明附图中的总线并不限定仅有一根总线或一种类型的总线。
此外,本发明实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上基于交互类与非交互类的数据权限防护方法。
最后,应当理解的是,本说明书中所述实施例仅用以说明本说明书实施例的原则。其他的变形也可能属于本说明书的范围。因此,作为示例而非限制,本说明书实施例的替代配置可视为与本说明书的教导一致。相应地,本说明书的实施例不仅限于本说明书明确介绍和描述的实施例。