CN113468576A - 一种基于角色的数据安全访问方法及装置 - Google Patents

一种基于角色的数据安全访问方法及装置 Download PDF

Info

Publication number
CN113468576A
CN113468576A CN202110831596.XA CN202110831596A CN113468576A CN 113468576 A CN113468576 A CN 113468576A CN 202110831596 A CN202110831596 A CN 202110831596A CN 113468576 A CN113468576 A CN 113468576A
Authority
CN
China
Prior art keywords
data
authority
user
role
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110831596.XA
Other languages
English (en)
Other versions
CN113468576B (zh
Inventor
邹昆
李丽娟
霍曦
段军
原小卫
郭春江
李亮
李晨华洋
汪俊贵
古训
刘越
杨海琴
张驰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Jiuzhou Electronic Information System Co Ltd
Original Assignee
Chengdu Jiuzhou Electronic Information System Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Jiuzhou Electronic Information System Co Ltd filed Critical Chengdu Jiuzhou Electronic Information System Co Ltd
Priority to CN202110831596.XA priority Critical patent/CN113468576B/zh
Publication of CN113468576A publication Critical patent/CN113468576A/zh
Application granted granted Critical
Publication of CN113468576B publication Critical patent/CN113468576B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/101Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
    • G06F21/1014Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to tokens
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于角色的数据安全访问方法及装置,该方法包括:S1、对数据源中的数据进行权限分级;S2、对用户进行数据资源权限分配的设置;S3、当收到用户端的数据访问请求时,基于服务器中存储的数据资源权限,对其进行用户认证并为其分配对应的安全认证令牌;S4、基于安全认证令牌进行数据访问验证,并判断验证是否通过;若是,进入S6;若否,则进入S5;S5、向用户返回验证失败信息,结束数据访问。本发明中对用户信息进行集中做管理,集中存储和控制密码,防止了密码泄露;根据不同的应用场景灵活定义数据安全策略;采用了多种数据加密方法,防止信息泄露;本发明具有数据访问权限审批流程和告警机制,保障了信息安全。

Description

一种基于角色的数据安全访问方法及装置
技术领域
本发明属于计算机技术领域,具体涉及一种基于角色的数据安全访问方法及组件。
背景技术
在大数据环境下,各行业和领域的安全需求在发生改变,从数据采集、数据治理、数据提炼和数据挖掘到数据发布,这一流程已经形成新的完整链条、随着数据的进一步集中和数据量的增大,对产业链中数据进行安全防卫变得越加困难。
早期的数据安全管控处于“粗方式管理”阶段,即在本身对于事务信息化建设可以快速上限、厂商可以快速验收的立场上,忽略了数据对接和供给过程中对于数据安全的保证。普遍的情况是部分厂商和少数管理人员在项目建设周期内验收后仍然具有完整的数据访问权限,再加上传统数据平台并未将安全或隐私保障体系作为核心功能点之一,很容易造成未经授权的数据访问、使用、披露、破坏、修改和销毁等安全问题的出现。
在自主访问控制中,该控制策略是一种比较常见的系统访问控制策略。但是不可否认,在使用过程中,自身存在一定的缺陷:数据资源不能实现有效管理,数据信息比较分散,不能将用户的关系很好体现出来,管理工作相对困难,最为突出的一个缺陷就是无法对系统中的数据信息实行很好的保护,导致数据信息暴露出来,面临来自内部人员泄密的威胁,变得束手无策。针对以上出现的问题,强制访问控制系统,能够很好的解决这些突出的问题,但是同样也存在一定缺陷,有狭窄的应用领域,具体的控制过程中,无法保障完整性。当前有一直控制方式是比较先进的-基于角色的控制访问,该访问技术和策略没有必然,具备自我管理能力。
因此,现有的数据访问技术存储以下问题:(1)密码存储不安全,引发安全威胁;(2)不受控制的超级用户特权;(3)没有基于角色的访问控制;内部控制脆弱;(4)缺乏问责制;(5)没有集中控制。
发明内容
针对现有技术中的上述不足,本发明提供的基于角色的数据安全访问方法及装置解决了上述背景技术中的问题。
为了达到上述发明目的,本发明采用的技术方案为:一种基于角色的数据安全访问方法,包括以下步骤:
S1、对数据源中的数据进行权限分级;
S2、在服务器中,对用户进行数据资源权限分配的设置;
S3、当收到用户端的数据访问请求时,基于服务器中存储的数据资源权限,对其进行用户身份认证并为其分配对应的安全认证令牌;
S4、基于当前用户的安全认证令牌进行数据访问验证,并判断验证是否通过;
若是,则进入步骤S6;
若否,则进入步骤S5;
S5、向用户返回验证失败信息,结束数据访问;
S6、将数据访问请求对应权限下的数据资源反馈至用户。
进一步地,所述步骤S1中,所述数据源中的数据的权限分级包括公开数据、内部数据、秘密数据和机密数据;
其中,采用基于字段策略的方法对数据源中的数据进行权限分级,每个所述字段策略由权限分级下的数据字段构成,且机密数据仅对应一个字段策略;
所述字段策略为用户自行设定或服务器默认设置。
进一步地,所述步骤S2中的数据资源权限分配包括资源权限分配和资源权限申请;
所述资源权限分配为由服务器管理者将权限内的数据权限分配给所需用户;
所述资源权限申请为基于用户提出的数据访问请求所需的资源权限,由服务器管理者对其进行审核并分配对应资源权限。
进一步地,所述步骤S3中的安全认证令牌具有时效性,且存储有用户的角色以及对应的数据访问权限。
进一步地,所述步骤S4中,进行数据访问验证的方法具体为:
A1、对安全认证令牌进行验证,并判断是否验证通过;
若是,则进入步骤A2;
若否,则验证失败,进入步骤S5;
A2、根据安全认证令牌,对数据访问请求进行SQL解析及SQL鉴权,并判断是否鉴权成功;
若是,则验证成功,进入步骤S6;
若否,则鉴权失败,进入步骤S5。
进一步地,所述步骤S6具体为:
通过服务器将所述数据访问请求中的所需数据进行加密,并发送至对应的应用程序,通过应用程序采用对应的解密方法将解密后的数据资源显示反馈给用户。
一种数据安全访问装置,包括:
用户管理模块,用于对服务器中的用户进行用户信息管理及为其分配数据资源权限;
权限管理模块,用于根据用户的数据资源权限,对用户的数据访问请求进行权限申请及权限认证,同时存储有RBCA权限模型;
元数据管理模块,用于根据RBCA权限模型对用户的权限认证进行验证,并在验证通过后对数据访问请求进行SQL解析及SQL鉴权,并在鉴权成功后向用户反馈所需的数据资源。
进一步地,在所述权限管理模块中,所述RBCA权限模型中存储有用户、角色及权限,以及用户与角色之间的关联表和角色与权限之间的关联表;
所述用户用于表征发起数据访问请求的实体;
所述角色用于表征发起数据访问请求的实体在服务器中的身份;
所述权限用于表征当前发起数据访问请求的实体在服务器中的数据访问权限。
进一步地,所述元数据管理模块包括数据权限分级单元;
在所述数据权限分级单元中,采用基于字段策略的方法对数据源中的数据进行权限分级,使其与RBCA权限模型中的权限对应;
其中,所述数据源中的数据的权限分级包括公开数据、内部数据、秘密数据和机密数据;
每个所述字段策略由权限分级下的数据字段构成,且机密数据仅对应一个字段策略。
进一步地,所述元数据管理模块还包括数据加密单元,所述数据加密单元用于在SQL鉴权成功后,对数据访问请求所需的数据进行加密并发送至对应的应用程序。
本发明的有益效果为:
(1)本发明中对用户信息进行集中做管理,集中存储和控制密码,防止了密码泄露;
(2)本发明根据不同的应用场景灵活定义数据安全策略,可适用于不同的使用场景;
(3)本发明中采用了多种数据加密方法,防止信息泄露;
(4)本发明具有数据访问权限审批流程和告警机制,保障了信息安全。
附图说明
图1为本发明提供的基于角色的数据安全访问方法流程图。
图2为本发明提供的基于角色的数据安全访问装置连接示意图。
图3为本发明提供的RBCA权限实体示意图。
图4为本发明提供的权限申请流程调度流程图。
具体实施方式
下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
实施例1:
如图1所示,一种基于角色的数据安全访问方法,包括以下步骤:
S1、对数据源中的数据进行权限分级;
S2、在服务器中,对用户进行数据资源权限分配的设置;
S3、当收到用户端的数据访问请求时,基于服务器中存储的数据资源权限,对其进行用户身份认证并为其分配对应的安全认证令牌;
S4、基于当前用户的安全认证令牌进行数据访问验证,并判断验证是否通过;
若是,则进入步骤S6;
若否,则进入步骤S5;
S5、向用户返回验证失败信息,结束数据访问;
S6、将数据访问请求对应权限下的数据资源反馈至用户。
在本实施例的步骤S1中,为了保证数据安全,将数据进行严格的安全级别划分,依据数据的价值和敏感程度,其权限分级从低到高划分为4个等级,依次为公开数据、内部数据、秘密数据和机密数据;基于不同的权限分级,也指定了不同数据的访问权限审批模型,比如秘密数据及以下级别数据由数据管理者审批,机密数据需要经过严格审批流程通过才能使用。
在本实施例中,采用基于字段策略的方法对数据源中的数据进行权限分级,每个所述字段策略由权限分级下的数据字段构成,且机密数据仅对应一个字段策略;所述字段策略为用户自行设定或服务器默认设置。
具体地,基于字段策略主要用于定义数据的安全级别,因为在很多情况下一张表中往往包含了很多字段数据,字段的实际安全等级也不一样,如果不支持字段级别鉴权,直接按字段最高或最低等级来定义权限级别会导致大量表成为机密数据或公开数据,这样一来会导致数据破坏、更改和泄露几率城北增长,同时也提高了用户使用数据的门槛,因为数据往往需要访问的是该表的非机密数据字段。因此,本发明为了提高易用性,降低用户使用数据的门槛,通过不同的安全等级分成不同的角色包,比如对于公开数据、内部数据的字段可高效低门槛访问,提高用户的易用性。
用户可使用系统配置默认策略,也可根据用户应用场景自定义适用的策略,例如策略A可以由字段A(公开数据)、字段B(内部数据)组成,其中机密数据只能对应一个策略,成一对一管理,利用数据管理者与服务器管理者维护降低数据破坏、更改和泄露几率。
本实施例的步骤S2中的数据资源权限分配包括资源权限分配和资源权限申请;
所述资源权限分配为由服务器管理者将权限内的数据权限分配给所需用户;所述资源权限申请为基于用户提出的数据访问请求所需的资源权限,由服务器管理者对其进行审核并分配对应资源权限。
本实施例的步骤S3中进行用户身份验证时,验证用户是否具有数据访问权限,通过身份验证的用户,会根据其拥有的权限信息生成用户访问令牌,并读取该用户的个人基本信息录入认证日志信息中,以便数据招丢失、破坏等情况溯源。
本实施例的步骤S3中的安全认证令牌具有时效性,且存储有用户的角色以及对应的数据访问权限,后续基于该安全认证令牌中的信息进行鉴权,本实施例中的安全认证令牌的生成方式为:将权限信息、用户信息组合成字符串并转换为字节流,通过字节高4位和低4位加密生成令牌(反之,反解获得用户信息、权限信息),用户信息和权限信息越长令牌越长,且令牌的长度没有限制。
本实施例的步骤S4中进行数据访问验证的方法具体为:
A1、对安全认证令牌进行验证,并判断是否验证通过;
若是,则进入步骤A2;
若否,则验证失败,进入步骤S5;
具体地,在对安全认证令牌进行验证时,用户访问数据时,需要使用用户身份认证成功后生成的令牌进行访问,通过反解析令牌得到用户权限信息,然后对其访问内容进行鉴定;A2、根据安全认证令牌,对数据访问请求进行SQL解析及SQL鉴权,并判断是否鉴权成功;
若是,则验证成功,进入步骤S6;
若否,则鉴权失败,进入步骤S5;
具体地,对于SQL鉴权,用户访问数据时是通过SQL语句进行请求,通过解析用户访问数据时请求的SQL语句,同时根据用户令牌中权限信息鉴定该数据请求是否有效。
本实施例的步骤S6具体为:
通过服务器将所述数据访问请求中的所需数据进行加密,并发送至对应的应用程序,通过应用程序采用对应的解密方法将解密后的数据资源显示反馈给用户。
具体地,数据加密的基本过程,就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,通过这样的途径,来达到保护数据不被非法人窃取、阅读的目的,数据解密就是加密的逆过程,即将该信息转化为其原来数据的过程。
实施例2:
如图2所示,本发明实施例采用实施例1中的方法,设计对应的数据安全访问装置在用户通过应用程序访问数据源中的数据时,进行安全控制,以提高数据的安全性。图2中的数据安全访问装置,包括:
用户管理模块,用于对服务器中的用户进行用户信息管理及为其分配数据资源权限;
权限管理模块,用于根据用户的数据资源权限,对用户的数据访问请求进行权限申请及权限认证,同时存储有RBCA权限模型;
元数据管理模块,用于根据RBCA权限模型对用户的权限认证进行验证,并在验证通过后对数据访问请求进行SQL解析及SQL鉴权,并在鉴权成功后向用户反馈所需的数据资源。
本实施例中的用户管理模块主要实现对服务器中用户的增加、注销和修改进行管理,维护用户的数据资产信息,包括密码信息管理、数据资源权限分配,其中密码信息管理包括密码生成和密码维护,资源权限分配是指,有服务器管理者将权限内的访问数据权限分配给所需用户,资源权限申请是指,由用户提出申请所需资源权限再有服务器管理者进行审核配合。
在本实施例中的权限管理模块中,RBAC(Role-Based Access Control,基于角色的访问控制)权限模型,就是将用户通过角色与权限进行关联,简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。本实施例中的RBCA权限模型设计的权限体系,因此主要涉及到用户、角色、权限三个实体,具体实体如下图3所示。因此,RBCA权限模型中存储有用户、角色及权限,以及用户与角色之间的关联表和角色与权限之间的关联表;
所述用户用于表征发起数据访问请求的实体;所述角色用于表征发起数据访问请求的实体在服务器中的身份;所述权限用于表征当前发起数据访问请求的实体在服务器中的数据访问权限。
在本实施例中的元数据管理模块中,发送数据访问请求的用户通过认证获取安全认证令牌(Token)后,调用权限认证服务,权限认证服务通过解析SQL鉴权(采用Druid SQL解析器进行SQL拆分)判断用户是否拥有该类数据的,具体如图4所示。本实施例中的元数据管理模块包括数据权限分级单元和数据加密单元;
在所述数据权限分级单元中,采用基于字段策略的方法对数据源中的数据进行权限分级,使其与RBCA权限模型中的权限对应;
其中,所述数据源中的数据的权限分级包括公开数据、内部数据、秘密数据和机密数据;
每个所述字段策略由权限分级下的数据字段构成,且机密数据仅对应一个字段策略。
所述数据加密单元用于在SQL鉴权成功后,对数据访问请求所需的数据进行加密并发送至对应的应用程序,当应用程序收到所需数据时,对其进行解密并显示数据资源给用户。
具体地,元数据管理模块提供数据访问、权限信息展示、数据预览、使用记录、使用说明等功能,同时还有人工标记功能,可以由用户进行表数据分级设定或修正,经过审核更改用户角色权限。具体功能包括:
(1)权限申请管理:由用户自定义权限策略;
(2)SQL鉴权服务:用于服务接收到获取数据请求后验证,通过SQL解析器分解SQL语句获取请求数据字段信息,验证用户是否拥有读写该字段权限;
(3)权限策略管理:面向对象提供统一的权限策略管理服务,提供策略信息展示、策略管理;策略信息展示为面向对象提供已制定权限策略信息,权限策略分配信息;策略管理为面向对象提供策略的定制、变更、删除功能。
(4)元数据管理服务:面向对象提供统一的元数据查询管理服务,提供权限信息展示、数据预览、使用记录、使用说明。权限信息展示为面向对象提供字段权限信息,包括字段名、描述、类型、安全等级;分区信息、变更历史。数据预览为面向对象提供数据边缘化预览功能。使用记录为面向对象展示各字段权限使用情况,方便系统维护人员追溯操作人员。使用说明为面向对象展示各字段权限授予说明情况。数据访问为控制数据访问权限,对数据进行加密处理。
实施例3:
本实施例中基于上述数据访问方法及装置设计了嵌套于应用程序中的组件,以便实现数据安全访问,数据安全访问过程所涉及的界面包括:
用户管理界面:对用户、角色、数据权限信息以及用户角色对应和角色数据权限对应信息进行管理,为用户安全访问提供约束;
元数据管理界面:元数据信息进行管理,各应用程序不能直接访问数据库,需通过元数据管理服务访问数据库,对数据库信息进行隔离
权限申请管理界面:对需要的数据权限进行申请,根据数据等级通过对应的审批流程对数据权限进行限制;
人工标记界面:对表数据进行分级设定或修正;
权限认证服务:获取权限认证结果,并得到有实效性的Token;
在得到有时效性的Token,权限认证接口和返回值定义提供统一请求接口,通过标准的请求函数作为唯一透明接口,权限认证接口和返回值定义提供统一请求接口,通过标准的请求函数作为唯一透明接口,其原型为:
Public InvokeResult ValidateUser(@ApiParamAnno(name=“userInfo”,datatype=“UserInfo”,description=“执行的命令”)),
其中UserInfo作为请求参数,其参数类型为实体类,包括用户ID、用户名、单位ID、单位名、电话号码、IP地址和超时时间;
返回值(响应)数据模型包值为UserInfo的所有数据信息。
各应用程序提交元数据操作请求到元数据管理服务,元数据服务对请求信息中的Token进行校验,并根据Token信息获取用户的角色以及数据权限信息,通过SQL鉴权服务对用户数据表、数据字段的权限进行分析后,有权限时返回执行结果,无权限时返回提示信息。
数据操作接口和返回值定义提供RESTFUL统一请求接口,通过标准的POST请求函数作为唯一透明接口,其原型为:
@RequestMapping(path="/getResult",method=RequestMethod.POST)
Public String getResultData(@RequestBody Argument invokeArgs,
HttpServletRequest request)
其中invokeArgs作为请求参数,其数据类型为JSON,包括了请求的IP地址、函数名称、函数版本号以及函数接收的参数或其他参数信息。
返回值(响应)数据模型包含:请求的函数名称、函数的版本号、函数访问返回代码以及函数响应返回值,其中为了更好地适应各类参数传递,返回值类型以Object包裹,其数据类型依赖datatype进行定义,包括:String、int、double、bool、JsonArray、JsonObject等。

Claims (10)

1.一种基于角色的数据安全访问方法,其特征在于,包括以下步骤:
S1、对数据源中的数据进行权限分级;
S2、在服务器中,对用户进行数据资源权限分配的设置;
S3、当收到用户端的数据访问请求时,基于服务器中存储的数据资源权限,对其进行用户身份认证并为其分配对应的安全认证令牌;
S4、基于当前用户的安全认证令牌进行数据访问验证,并判断验证是否通过;
若是,则进入步骤S6;
若否,则进入步骤S5;
S5、向用户返回验证失败信息,结束数据访问;
S6、将数据访问请求对应权限下的数据资源反馈至用户。
2.根据权利要求1所述的基于角色的数据安全访问方法,其特征在于,所述步骤S1中,所述数据源中的数据的权限分级包括公开数据、内部数据、秘密数据和机密数据;
其中,采用基于字段策略的方法对数据源中的数据进行权限分级,每个所述字段策略由权限分级下的数据字段构成,且机密数据仅对应一个字段策略;
所述字段策略为用户自行设定或服务器默认设置。
3.根据权利要求1所述的基于角色的数据安全访问方法,其特征在于,所述步骤S2中的数据资源权限分配包括资源权限分配和资源权限申请;
所述资源权限分配为由服务器管理者将权限内的数据权限分配给所需用户;
所述资源权限申请为基于用户提出的数据访问请求所需的资源权限,由服务器管理者对其进行审核并分配对应资源权限。
4.根据权利要求2所述的基于角色的数据安全访问方法,其特征在于,所述步骤S3中的安全认证令牌具有时效性,且存储有用户的角色以及对应的数据访问权限。
5.根据权利要求4所述的基于角色的数据安全访问方法,其特征在于,所述步骤S4中,进行数据访问验证的方法具体为:
A1、对安全认证令牌进行验证,并判断是否验证通过;
若是,则进入步骤A2;
若否,则验证失败,进入步骤S5;
A2、根据安全认证令牌,对数据访问请求进行SQL解析及SQL鉴权,并判断是否鉴权成功;
若是,则验证成功,进入步骤S6;
若否,则鉴权失败,进入步骤S5。
6.根据权利要求5所述的基于角色的数据安全访问方法,其特征在于,所述步骤S6具体为:
通过服务器将所述数据访问请求中的所需数据进行加密,并发送至对应的应用程序,通过应用程序采用对应的解密方法将解密后的数据资源显示反馈给用户。
7.一种基于权利要求1~6任一所述的基于角色的数据安全访问方法的数据安全访问装置,其特征在于,包括:
用户管理模块,用于对服务器中的用户进行用户信息管理及为其分配数据资源权限;
权限管理模块,用于根据用户的数据资源权限,对用户的数据访问请求进行权限申请及权限认证,同时存储有RBCA权限模型;
元数据管理模块,用于根据RBCA权限模型对用户的权限认证进行验证,并在验证通过后对数据访问请求进行SQL解析及SQL鉴权,并在鉴权成功后向用户反馈所需的数据资源。
8.根据权利要求7所述的基于角色的数据安全访问方法,其特征在于,在所述权限管理模块中,所述RBCA权限模型中存储有用户、角色及权限,以及用户与角色之间的关联表和角色与权限之间的关联表;
所述用户用于表征发起数据访问请求的实体;
所述角色用于表征发起数据访问请求的实体在服务器中的身份;
所述权限用于表征当前发起数据访问请求的实体在服务器中的数据访问权限。
9.根据权利要求8所述的基于角色的数据安全访问方法,其特征在于,所述元数据管理模块包括数据权限分级单元;
在所述数据权限分级单元中,采用基于字段策略的方法对数据源中的数据进行权限分级,使其与RBCA权限模型中的权限对应;
其中,所述数据源中的数据的权限分级包括公开数据、内部数据、秘密数据和机密数据;
每个所述字段策略由权限分级下的数据字段构成,且机密数据仅对应一个字段策略。
10.根据权利要求7所述的基于角色的数据安全访问方法,其特征在于,所述元数据管理模块还包括数据加密单元,所述数据加密单元用于在SQL鉴权成功后,对数据访问请求所需的数据进行加密并发送至对应的应用程序。
CN202110831596.XA 2021-07-22 2021-07-22 一种基于角色的数据安全访问方法及装置 Active CN113468576B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110831596.XA CN113468576B (zh) 2021-07-22 2021-07-22 一种基于角色的数据安全访问方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110831596.XA CN113468576B (zh) 2021-07-22 2021-07-22 一种基于角色的数据安全访问方法及装置

Publications (2)

Publication Number Publication Date
CN113468576A true CN113468576A (zh) 2021-10-01
CN113468576B CN113468576B (zh) 2022-09-20

Family

ID=77881858

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110831596.XA Active CN113468576B (zh) 2021-07-22 2021-07-22 一种基于角色的数据安全访问方法及装置

Country Status (1)

Country Link
CN (1) CN113468576B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114372286A (zh) * 2021-12-17 2022-04-19 刘维炜 数据安全管理方法、装置、计算机设备及存储介质
CN115834209A (zh) * 2022-11-24 2023-03-21 广州鲁邦通智能科技有限公司 一种基于vpn连接的远程服务器及其登录方法
CN116307766A (zh) * 2023-03-21 2023-06-23 北京科码先锋互联网技术股份有限公司 一种基于零售行业管理组织结构与上下游的权限管理方法
CN117592113A (zh) * 2024-01-18 2024-02-23 石家庄学院 一种具备可视化权限的数据共享方法
CN118101261A (zh) * 2024-02-18 2024-05-28 北京鸿鹄元数科技有限公司 一种基于湖台一体的数据安全共享方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8224873B1 (en) * 2008-05-22 2012-07-17 Informatica Corporation System and method for flexible security access management in an enterprise
US20150046971A1 (en) * 2011-10-27 2015-02-12 Intellectual Discovery Co., Ltd. Method and system for access control in cloud computing service
CN104780175A (zh) * 2015-04-24 2015-07-15 广东电网有限责任公司信息中心 基于角色的分级分类访问的授权管理方法
CN110995672A (zh) * 2019-11-20 2020-04-10 天津大学 一种用于软件开发的网络安全认证方法
CN112380517A (zh) * 2020-11-17 2021-02-19 上海君牧生物信息技术有限公司 基于生物信息统一认证的云平台管理方法及系统
CN113098695A (zh) * 2021-04-21 2021-07-09 金陵科技学院 一种基于用户属性的微服务统一权限控制方法与系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8224873B1 (en) * 2008-05-22 2012-07-17 Informatica Corporation System and method for flexible security access management in an enterprise
US20150046971A1 (en) * 2011-10-27 2015-02-12 Intellectual Discovery Co., Ltd. Method and system for access control in cloud computing service
CN104780175A (zh) * 2015-04-24 2015-07-15 广东电网有限责任公司信息中心 基于角色的分级分类访问的授权管理方法
CN110995672A (zh) * 2019-11-20 2020-04-10 天津大学 一种用于软件开发的网络安全认证方法
CN112380517A (zh) * 2020-11-17 2021-02-19 上海君牧生物信息技术有限公司 基于生物信息统一认证的云平台管理方法及系统
CN113098695A (zh) * 2021-04-21 2021-07-09 金陵科技学院 一种基于用户属性的微服务统一权限控制方法与系统

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114372286A (zh) * 2021-12-17 2022-04-19 刘维炜 数据安全管理方法、装置、计算机设备及存储介质
CN115834209A (zh) * 2022-11-24 2023-03-21 广州鲁邦通智能科技有限公司 一种基于vpn连接的远程服务器及其登录方法
CN115834209B (zh) * 2022-11-24 2023-08-01 广州鲁邦通智能科技有限公司 一种基于vpn连接的远程服务器及其登录方法
CN116307766A (zh) * 2023-03-21 2023-06-23 北京科码先锋互联网技术股份有限公司 一种基于零售行业管理组织结构与上下游的权限管理方法
CN117592113A (zh) * 2024-01-18 2024-02-23 石家庄学院 一种具备可视化权限的数据共享方法
CN117592113B (zh) * 2024-01-18 2024-03-29 石家庄学院 一种具备可视化权限的数据共享方法
CN118101261A (zh) * 2024-02-18 2024-05-28 北京鸿鹄元数科技有限公司 一种基于湖台一体的数据安全共享方法及系统
CN118101261B (zh) * 2024-02-18 2024-08-02 北京鸿鹄元数科技有限公司 一种基于湖台一体的数据安全共享方法及系统

Also Published As

Publication number Publication date
CN113468576B (zh) 2022-09-20

Similar Documents

Publication Publication Date Title
CN113468576B (zh) 一种基于角色的数据安全访问方法及装置
US8769605B2 (en) System and method for dynamically enforcing security policies on electronic files
US11290446B2 (en) Access to data stored in a cloud
US7509497B2 (en) System and method for providing security to an application
US7330981B2 (en) File locker and mechanisms for providing and using same
CN109923548A (zh) 通过监管进程访问加密数据实现数据保护的方法、系统及计算机程序产品
Viega Building security requirements with CLASP
CN110889130B (zh) 基于数据库的细粒度数据加密方法、系统及装置
CN109684854B (zh) 一种适用于企业管理信息系统的底层数据加密方法
WO2021046637A1 (en) Methods and systems for data self-protection
CN115329351A (zh) 一种面向Windows系统的文件保护系统及方法
CN111046405B (zh) 一种数据处理方法、装置、设备及存储介质
US8321915B1 (en) Control of access to mass storage system
Holford et al. Using self-defending objects to develop security aware applications in java
Kadebu et al. A security requirements perspective towards a secured nosql database environment
Amer Security of DBMSs
CN117610079B (zh) 数据安全处理方法、设备和存储介质
US11032320B1 (en) Systems and methods for dynamic application level encryption
US10924286B2 (en) Signing key log management
Gangwar et al. Database Security Measurements Issues in Adhoc Network
CN114139127A (zh) 一种计算机系统的权限管理方法
Ji et al. Research and Practice on the Localisation Adaptation of the Power Enterprise Information System Development Platform Xinchuang (localization)
Poleg Automatic Trust Based Segregation for Mobile Devices
TR2023006911T2 (tr) Şi̇freli̇ dosya kontrolü
Kadu et al. A General Purpose Integrated Framework For Secure Web Based Application

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant