CN115017485A - 一种数据权限管控方法及系统 - Google Patents
一种数据权限管控方法及系统 Download PDFInfo
- Publication number
- CN115017485A CN115017485A CN202210943835.5A CN202210943835A CN115017485A CN 115017485 A CN115017485 A CN 115017485A CN 202210943835 A CN202210943835 A CN 202210943835A CN 115017485 A CN115017485 A CN 115017485A
- Authority
- CN
- China
- Prior art keywords
- authority
- data
- level
- terminal
- permission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明适用于计算机领域,提供了一种数据权限管控方法及系统,所述方法包括:获取至少一个数据权限升级请求,所述数据权限升级请求包括升级前后的权限等级;确定所述数据权限升级请求对应的至少一个用户的操作水平等级;若检测到所述操作水平等级与所述数据权限升级请求中升级后的权限等级相匹配时,判断与所述权限等级相匹配的用户数量;当与所述权限等级相匹配的用户数量为多个时,判断与所述权限等级相匹配的至少两个用户所在终端之间的距离,本发明的有益效果在于:不仅提升了在数据权限下数据操作的安全性,而且提高了对数据权限下的操作进行安全检测的效率。
Description
技术领域
本发明属于计算机领域,尤其涉及一种数据权限管控方法及系统。
背景技术
在互联网高度发达的时代,每天都会产生大量数据,并且现在的工作需要依靠数据作为支撑,数据的准确度越高,它带来的价值自然也更大;数据,简而言之,是对事实、概念或指令的一种表达形式,可由人工或自动化装置进行处理,从数据库的角度来说,数据是数据库中存储的基本对象,简称为数据库对象,常见的数据库对象有:表、索引、视图、图表、默认值、规则、触发器、存储过程、用户和序列等。
可以理解的是,涉及到对一定数量级数据的处理均需要数据库进行支撑,以保证数据的完整性以及可操作性,与数据相关的权限一般分为功能权限和数据权限,功能权限包括界面权限、菜单权限和操作权限等;数据权限,表示用户的数据读写权限;有些还包括接口权限,即通过配置不同角色调用接口的权限,有些敏感接口,只能由固定的一些角色才能调用,普通角色是不能调用的;现有技术中,对数据权限的管控一般不直接将权限赋予在用户身上,而是通过角色的媒介过渡,先将权限赋予在角色上,再关联相应的用户,对应的用户就继承了角色的权限,也有一些是直接根据用户的分工来授予用户相应的数据权限。
通过实施上述相关现有技术可以发现,其至少存在以下不足:一些数据权限通过角色或者直接被赋予到用户后,用户只需要登录相关账号即可完成对数据权限下的操作,显然,涉及到对一些安全需求级别比较高的数据,其操作的安全性较低,即使涉及到对操作的安全性进行检测,其检测的效率也比较低。
发明内容
本发明实施例的目的在于提供一种数据权限管控方法及系统,旨在解决上述背景技术中提出的问题。
本发明实施例是这样实现的,一方面,一种数据权限管控方法,所述方法包括以下步骤:
获取至少一个数据权限升级请求,所述数据权限升级请求包括升级前后的权限等级;
确定所述数据权限升级请求对应的至少一个用户的操作水平等级;
若检测到所述操作水平等级与所述数据权限升级请求中升级后的权限等级相匹配时,判断与所述权限等级相匹配的用户数量;
当与所述权限等级相匹配的用户数量为多个时,判断与所述权限等级相匹配的至少两个用户所在终端之间的距离;
若所述至少两个用户所在终端之间的距离处于预设范围内时,允许处于预设范围的至少两个对应用户通过升级后的权限等级对相应关键环节进行一致性操作,生成一级操作信息,所述一致性操作用于指示对相应关键环节的操作初始时间差在设定差值内;
若继续检测到对相应关键环节进行操作的用户与用户所在终端相匹配时,根据一级操作信息生成二级操作信息。
作为本发明的进一步方案,所述获取至少一个数据权限升级请求,所述数据权限升级请求包括升级前后的权限等级具体包括:
接收至少一个用户输入的数据权限升级请求;
识别所述数据权限升级请求中的请求账户和升级后的权限等级;
判断所述请求账户是否位于权限等级调整的账户白名单中,若是,则获取权限等级调整的账户白名单对应的升级权限等级;
继续判断升级后的权限等级与所述账户白名单对应的升级权限等级是否匹配,若是,则标记满足匹配条件的请求账户为第一账户。
作为本发明的再进一步方案,所述确定所述数据权限升级请求对应的至少一个用户的操作水平等级具体包括:
获取输入的检测时间段;
获取检测时间段内第一账户的数据权限操作记录,所述数据权限操作记录包括关联权限操作记录和非关联权限操作记录,所述关联权限操作记录用于表征第一账户升级前后的权限等级之间相互关联的权限操作;
提取所述数据权限操作记录中所有的数据权限操作以及对应的数据权限操作评价得分,计算所有的数据权限操作的总得分;
判断所述总得分以及关联权限操作记录对应的得分是否分别达到第一得分阈值和第二得分阈值。
作为本发明的又进一步方案,所述若检测到所述操作水平等级与所述数据权限升级请求中升级后的权限等级相匹配时,判断与所述权限等级相匹配的用户数量具体包括:
当所述总得分以及关联权限操作记录对应的得分分别达到第一得分阈值和第二得分阈值时,判断所述操作水平等级与所述数据权限升级请求中升级后的权限等级相匹配;
检测所述总得分以及关联权限操作记录对应的得分分别达到第一得分阈值和第二得分阈值对应的第一账户的数量。
作为本发明的进一步方案,所述方法还包括:
若至少两个对应用户所在终端所连接局域网的安全等级不低于预设安全等级时,允许对应用户基于升级后的权限等级对相应的非关键环节进行操作。
作为本发明的进一步方案,所述方法还包括:
若至少两个对应用户所在终端之间的距离处于预设阈值距离内时,标记处于预设阈值距离内的至少两个对应用户为配对用户;
向配对用户所在终端同步发送准备输入的指示并且要求反馈准备完毕的反馈指令;
当在第一设定时长内接收到至少两个所述反馈指令,标记至少两个所述反馈指令对应的终端为第一终端,第一终端显示开始进行预设时长倒计时的提示,允许第一终端接收对相应关键环节进行一致性操作的输入。
作为本发明的进一步方案,所述若继续检测到对相应关键环节进行操作的用户与用户所在终端相匹配时,根据一级操作信息生成二级操作信息具体包括:
建立第一终端之间的信息管控通道,所述信息管控通道用于上报所有第一终端的工作信息,当某个第一终端的工作信息缺失时,判定该第一终端偏离出电子地图上的预设目标区域;
当第一终端未偏离出电子地图上的预设目标区域时,允许第一终端继续接收对相应关键环节进行一致性操作的输入;
在第一终端显示开始进行预设时长倒计时的提示时,标记第一终端在电子地图上的具体位置,获取预设目标区域内配对用户在第一终端进行操作的影像;
识别所述影像,若判断配对用户为第一账户的注册使用者,且配对用户对应的第一终端为所述注册使用者的限定使用终端时,根据一级操作信息生成二级操作信息,所述二级操作信息为执行信息或者准执行信息。
作为本发明的进一步方案,另一方面,一种数据权限管控系统,所述系统包括:获取模块,用于获取至少一个数据权限升级请求,所述数据权限升级请求包括升级前后的权限等级;
确定模块,用于确定所述数据权限升级请求对应的至少一个用户的操作水平等级;
匹配和判断模块,用于若检测到所述操作水平等级与所述数据权限升级请求中升级后的权限等级相匹配时,判断与所述权限等级相匹配的用户数量;
距离识别模块,用于当与所述权限等级相匹配的用户数量为多个时,判断与所述权限等级相匹配的至少两个用户所在终端之间的距离;
一级操作信息生成模块,所述一级操作信息生成模块用于:若所述至少两个用户所在终端之间的距离处于预设范围内时,允许处于预设范围的至少两个对应用户通过升级后的权限等级对相应关键环节进行一致性操作,生成一级操作信息,所述一致性操作用于指示对相应关键环节的操作初始时间差在设定差值内;
二级操作信息生成模块,用于若继续检测到对相应关键环节进行操作的用户与用户所在终端相匹配时,根据一级操作信息生成二级操作信息。
作为本发明的进一步方案,所述获取模块包括:
接收单元,用于接收至少一个用户输入的数据权限升级请求;
识别单元,用于识别所述数据权限升级请求中的请求账户和升级后的权限等级;
判断和获取单元,用于判断所述请求账户是否位于权限等级调整的账户白名单中,若是,则获取权限等级调整的账户白名单对应的升级权限等级;
判断和标记单元,用于继续判断升级后的权限等级与所述账户白名单对应的升级权限等级是否匹配,若是,则标记满足匹配条件的请求账户为第一账户。
本发明实施例提供的一种数据权限管控方法及系统,相比较于现有技术,具有以下有益效果:
1)、通过确定所述数据权限升级请求对应的至少一个用户的操作水平等级,若检测到所述操作水平等级与所述数据权限升级请求中升级后的权限等级相匹配时,判断与所述权限等级相匹配的用户数量,保证操作水平等级与升级后的权限等级相匹配,通过检测到所述至少两个对应用户所在终端之间的距离处于预设范围内时,允许处于预设范围的至少两个对应用户通过升级后的权限等级对相应关键环节进行一致性操作,生成一级操作信息,可以限定第一终端的位置,方便快速检测对相应关键环节进行操作的用户与用户所在终端是否匹配或者使得检测变得简单;
2)、通过若继续检测到对相应关键环节进行操作的用户与用户所在终端相匹配时,根据一级操作信息生成二级操作信息,拥有数据操作权限的账户对应的用户才可以通过数据操作权限的账户绑定的终端进行操作,这样一来,在有限的空间内,可以实现多个第一终端上对关键环节中的数据操作的匹配认证,不仅提升了在数据权限下数据操作的安全性,而且提高了对数据权限下的操作进行安全检测的效率。
附图说明
图1是一种数据权限管控方法的主流程图。
图2是一种数据权限管控方法中获取至少一个数据权限升级请求的流程图。
图3是一种数据权限管控方法中与确定所述数据权限升级请求对应的至少一个用户的操作水平等级相关的流程图。
图4是一种数据权限管控方法中与标记处于预设阈值距离内的至少两个对应用户为配对用户相关的流程图。
图5是一种数据权限管控方法中若继续检测到对相应关键环节进行操作的用户与用户所在终端相匹配时,根据一级操作信息生成二级操作信息。
图6是一种数据权限管控系统的主结构图。
图7是一种数据权限管控系统中获取模块的结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
以下结合具体实施例对本发明的具体实现进行详细描述。
本发明提供的一种数据权限管控方法及系统,解决了背景技术中的技术问题。
如图1所示,为本发明的一个实施例提供的一种数据权限管控方法的主流程图,所述一种数据权限管控方法包括:
步骤S10:获取至少一个数据权限升级请求,所述数据权限升级请求包括升级前后的权限等级;数据权限升级请求一般情况下都是要求对权限等级进行合理的升级,以实现更好地对相关数据进行操作处理;一般的,一个用户使用一个账户,通过(终端)上报一个数据权限升级请求;
步骤S11:确定所述数据权限升级请求对应的至少一个用户的操作水平等级;
步骤S12:若检测到所述操作水平等级与所述数据权限升级请求中升级后的权限等级相匹配时,判断与所述权限等级相匹配的用户数量;
步骤S13:当与所述权限等级相匹配的用户数量为多个时,判断与所述权限等级相匹配的至少两个用户所在终端之间的距离;
步骤S14:若所述至少两个用户所在终端之间的距离处于预设范围内时,允许处于预设范围的至少两个对应用户通过升级后的权限等级对相应关键环节进行一致性操作,生成一级操作信息,所述一致性操作用于指示对相应关键环节的操作初始时间差在设定差值内;
步骤S15:若继续检测到对相应关键环节进行操作的用户与用户所在终端相匹配时,根据一级操作信息生成二级操作信息。
本实施例在应用时,通过确定所述数据权限升级请求对应的至少一个用户的操作水平等级,若检测到所述操作水平等级与所述数据权限升级请求中升级后的权限等级相匹配时,判断与所述权限等级相匹配的用户数量,保证操作水平等级与升级后的权限等级相匹配;若所述至少两个用户所在终端之间的距离处于预设范围内时,允许处于预设范围的至少两个对应用户通过升级后的权限等级对相应关键环节进行一致性操作,生成一级操作信息,可以限定第一终端的位置,方便快速检测对相应关键环节进行操作的用户与用户所在终端是否匹配或者使得检测变得简单,这种检测实际上是对安全性进行检测的一种体现;若继续检测到对相应关键环节进行操作的用户与用户所在终端相匹配时,根据一级操作信息生成二级操作信息,拥有数据操作权限的账户对应的用户才可以通过数据操作权限的账户绑定的终端进行操作,这样一来,在有限的空间内,可以实现多个第一终端上对关键环节中的数据操作的匹配认证,不仅提升了在数据权限下数据操作的安全性,而且提高了对数据权限下的操作进行安全检测的效率。
如图2所示,作为本发明的一种优选实施例,所述获取至少一个数据权限升级请求,所述数据权限升级请求包括升级前后的权限等级具体包括:
步骤S101:接收至少一个用户输入的数据权限升级请求;
步骤S102:识别所述数据权限升级请求中的请求账户和升级后的权限等级;
步骤S103:判断所述请求账户是否位于权限等级调整的账户白名单中,若是,则获取权限等级调整的账户白名单对应的升级权限等级;
步骤S104:继续判断升级后的权限等级与所述账户白名单对应的升级权限等级是否匹配,若是,则标记满足匹配条件的请求账户为第一账户。
可以理解的是,这里的账户白名单以及账户白名单对应的升级权限等级都是预先根据实际情况进行合理设定的,也就是说,只有请求账户位于权限等级调整的账户白名单中,其才有可能获得权限等级的升级,从而在一定程度上,可以避免确定所述数据权限升级请求对应的至少一个用户的操作水平等级的盲目性。
如图3所示,作为本发明的一种优选实施例,所述确定所述数据权限升级请求对应的至少一个用户的操作水平等级具体包括:
步骤S111:获取输入的检测时间段;检测时间段是根据经验以及当前实际来确定的;
步骤S112:获取检测时间段内第一账户的数据权限操作记录,所述数据权限操作记录包括关联权限操作记录和非关联权限操作记录,所述关联权限操作记录用于表征第一账户升级前后的权限等级之间相互关联的权限操作;
步骤S113:提取所述数据权限操作记录中所有的数据权限操作以及对应的数据权限操作评价得分,计算所有的数据权限操作的总得分;
步骤S114:判断所述总得分以及关联权限操作记录对应的得分是否分别达到第一得分阈值和第二得分阈值。
举例来说,对于每一项数据权限操作,系统会给出对应的数据权限操作评价得分,其涉及的评分机制在此不做限定,所有的数据权限操作的总得分为对应的数据权限操作评价得分的累加,例如,对于某采购部门数据报表中各项金额的查看和统计,得分为60(百分制),对于某采购部门中某一重点项目的广告费投入的查看和统计,得分为80(百分制),而某一重点项目的广告费投入的查看和统计为关联权限操作记录,因为升级后的权限等级涉及的是对(另一)相关重点项目的广告费的预算统计。
作为本发明的一种优选实施例,所述若检测到所述操作水平等级与所述数据权限升级请求中升级后的权限等级相匹配时,判断与所述权限等级相匹配的用户数量具体包括:
步骤S121:当所述总得分以及关联权限操作记录对应的得分分别达到第一得分阈值和第二得分阈值时,判断所述操作水平等级与所述数据权限升级请求中升级后的权限等级相匹配;
步骤S122:检测所述总得分以及关联权限操作记录对应的得分分别达到第一得分阈值和第二得分阈值对应的第一账户的数量,所述第一账户的数量大于等于2个时,可以进行统一的操作安全检测。
具体的,举例来说,第一得分阈值和第二得分阈值分别为120和70,而只要总得分以及关联权限操作记录对应的得分分别达到120和70,即记录对应的第一账户的数量,也就是说,这些账户对应的(合法)用户既达到对升级前的权限等级的操作水平等级,也达到升级后的权限等级的操作水平等级。
作为本发明的一种优选实施例,所述方法还包括:
步骤S20:若至少两个对应用户所在终端所连接局域网的安全等级不低于预设安全等级时,允许对应用户基于升级后的权限等级对相应的非关键环节进行操作。
可以理解的是,本实施给出一种面对非关键环节进行操作的方法,即通过一般的任何认证后即可进行。另外,在进行非关键环节操作时,关键环节对应的数据是加密的。
如图4所示,作为本发明的一种优选实施例,所述方法还包括:
步骤S30:若至少两个对应用户所在终端之间的距离处于预设阈值距离内时,标记处于预设阈值距离内的至少两个对应用户为配对用户;
步骤S31:向配对用户所在终端同步发送准备输入的指示并且要求反馈准备完毕的反馈指令;也就是说,用户可以根据准备输入的指示而做好操作准备,并且用户所在终端需要发送准备完毕的反馈指令(给中控端);
具体的,终端和中控端,可以是智能手机(如Android手机、iOS手机等)、平板电脑、车载终端或者可穿戴终端等中的任意一种;
步骤S32:当在第一设定时长内接收到至少两个所述反馈指令,标记至少两个所述反馈指令对应的终端为第一终端,第一终端显示开始进行预设时长倒计时的提示,允许第一终端接收对相应关键环节进行一致性操作的输入。也就是说,预设时长倒计时表示本次操作是有时限的,并且该时限通过倒计时的方式显示,如5min,倒计时开始时,指示第一终端接收(相关用户)对相应关键环节进行一致性操作的输入;由于倒计时的设置,相关用户之间输入开始的时间差以及持续时间不会相差太大,方便后续判断对相应关键环节进行操作的用户与用户所在终端是否匹配,利于减少判断的时间。
本实施例在应用时,通过在第一设定时长内接收到至少两个所述反馈指令,标记至少两个所述反馈指令对应的终端为第一终端,第一终端显示开始进行预设时长倒计时的提示,允许第一终端接收对相应关键环节进行一致性操作的输入,后续判断对相应关键环节进行操作的用户与用户所在终端是否匹配时,判断时间也可以尽可能缩短。
如图5所示,作为本发明的一种优选实施例,所述若继续检测到对相应关键环节进行操作的用户与用户所在终端相匹配时,根据一级操作信息生成二级操作信息具体包括:
步骤S151:建立第一终端之间的信息管控通道,所述信息管控通道用于上报所有第一终端的工作信息,当某个第一终端的工作信息缺失时,判定该第一终端偏离出电子地图上的预设目标区域;也就是说当某个第一终端偏离出电子地图上的预设目标区域,该第一终端所在的信息管控(分支)通道被破坏,无法检测到偏离的某个第一终端的工作信息;在一种实例中,预设目标区域内覆盖局域网,当某个第一终端偏离出电子地图上的预设目标区域时,第一终端无法连接到局域网,其工作信息将会缺失;这里将第一终端故障导致的信息缺失归类到偏离出电子地图上的预设目标区域,这种归类不影响对偏离的第一终端总数的判断;
步骤S152:当第一终端未偏离出电子地图上的预设目标区域时,允许第一终端继续接收对相应关键环节进行一致性操作的输入;
步骤S153:在第一终端显示开始进行预设时长倒计时的提示时,标记第一终端在电子地图上的具体位置,获取预设目标区域内配对用户在第一终端进行操作的影像;每个第一终端在电子地图上的具体位置应当相互区别;
步骤S154:识别所述影像,若判断配对用户为第一账户的注册使用者,且配对用户对应的第一终端为所述注册使用者的限定使用终端时,根据一级操作信息生成二级操作信息,所述二级操作信息为执行信息或者准执行信息。执行信息表示二级操作信息可以直接生效,准执行信息表示二级操作信息可以再进一步经过拥有更高级数据权限的用户认证后生效。用户的识别可以通过生物信息来识别,如人脸特征,终端的识别可以通过设备之间的不同定位或者设备的唯一标识号来实现;由于用户与终端均处于预设目标区域内,因此可以通过有限次识别即可完成判断,提高判断的效率。
可以理解的是,本实施例主要是针对一些关键数据或者安全级别程度比较高的数据权限的管控而设置的(前述实施例中已经介绍了对于一些非关键环节的数据权限的管控)。通过电子地图上预设目标区域的设定,主要是为了进一步限定多个第一终端的位置,方便快速检测对相应关键环节进行操作的用户与用户所在终端是否匹配或者使得检测变得简单,当然也可以保证在第一终端操作的安全性,减少危险网络下的恶意操作攻击;综上,通俗来说,就是:拥有数据操作权限的账户对应的(真实)用户才可以通过数据操作权限的账户绑定的终端进行操作,这样一来,在有限的空间内,可以实现多个第一终端上对关键环节中的数据操作的匹配认证,不仅提升了在数据权限下数据操作的安全性,而且提高了对数据权限下的操作进行安全检测的效率。
如图6所示,作为本发明的另一种优选实施例,另一方面,一种数据权限管控系统,所述系统包括:
获取模块100,用于获取至少一个数据权限升级请求,所述数据权限升级请求包括升级前后的权限等级;
确定模块200,用于确定所述数据权限升级请求对应的至少一个用户的操作水平等级;
匹配和判断模块300,用于若检测到所述操作水平等级与所述数据权限升级请求中升级后的权限等级相匹配时,判断与所述权限等级相匹配的用户数量;
距离识别模块400,用于当与所述权限等级相匹配的用户数量为多个时,判断与所述权限等级相匹配的至少两个用户所在终端之间的距离;
一级操作信息生成模块500,所述一级操作信息生成模块用于:若所述至少两个用户所在终端之间的距离处于预设范围内时,允许处于预设范围的至少两个对应用户通过升级后的权限等级对相应关键环节进行一致性操作,生成一级操作信息,所述一致性操作用于指示对相应关键环节的操作初始时间差在设定差值内;
二级操作信息生成模块600,用于若继续检测到对相应关键环节进行操作的用户与用户所在终端相匹配时,根据一级操作信息生成二级操作信息。
如图7所示,作为本发明的另一种优选实施例,所述获取模块100包括:
接收单元1001,用于接收至少一个用户输入的数据权限升级请求;
识别单元1002,用于识别所述数据权限升级请求中的请求账户和升级后的权限等级;
判断和获取单元1003,用于判断所述请求账户是否位于权限等级调整的账户白名单中,若是,则获取权限等级调整的账户白名单对应的升级权限等级;
判断和标记单元1004,用于继续判断升级后的权限等级与所述账户白名单对应的升级权限等级是否匹配,若是,则标记满足匹配条件的请求账户为第一账户。
本发明上述实施例中提供了一种数据权限管控方法,并基于该数据权限管控方法提供了一种数据权限管控系统,通过确定所述数据权限升级请求对应的至少一个用户的操作水平等级,若检测到所述操作水平等级与所述数据权限升级请求中升级后的权限等级相匹配时,判断与所述权限等级相匹配的用户数量,保证操作水平等级与升级后的权限等级相匹配;若所述至少两个用户所在终端之间的距离处于预设范围内时,允许处于预设范围的至少两个对应用户通过升级后的权限等级对相应关键环节进行一致性操作,生成一级操作信息,可以限定第一终端的位置,方便快速检测对相应关键环节进行操作的用户与用户所在终端是否匹配或者使得检测变得简单;若继续检测到对相应关键环节进行操作的用户与用户所在终端相匹配时,根据一级操作信息生成二级操作信息,拥有数据操作权限的账户对应的用户才可以通过数据操作权限的账户绑定的终端进行操作,这样一来,在有限的空间内,可以实现多个第一终端上对关键环节中的数据操作的匹配认证,不仅提升了在数据权限下数据操作的安全性,而且提高了对数据权限下的操作进行安全检测的效率。
为了能够加载上述方法和系统能够顺利运行,该系统除了包括上述各种模块之外,还可以包括比上述描述更多或更少的部件,或者组合某些部件,或者不同的部件,例如可以包括输入输出设备、网络接入设备、总线、处理器和存储器等。
所称处理器可以是中央处理单元(CentralProcessingUnit,CPU),还可以是其他通用处理器、数字信号处理器(DigitalSignalProcessor,DSP)、专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、现成可编程门阵列(Field-ProgrammableGateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,上述处理器是上述系统的控制中心,利用各种接口和线路连接各个部分。
上述存储器可用于存储计算机以及系统程序和/或模块,上述处理器通过运行或执行存储在存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现上述各种功能。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如信息采集模板展示功能、产品信息发布功能等)等。存储数据区可存储根据泊位状态显示系统的使用所创建的数据(比如不同产品种类对应的产品信息采集模板、不同产品提供方需要发布的产品信息等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(SmartMediaCard,SMC),安全数字(SecureDigital,SD)卡,闪存卡(FlashCard)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本应该理解的是,虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种数据权限管控方法,其特征在于,所述方法包括:
获取至少一个数据权限升级请求,所述数据权限升级请求包括升级前后的权限等级;
确定所述数据权限升级请求对应的至少一个用户的操作水平等级;
若检测到所述操作水平等级与所述数据权限升级请求中升级后的权限等级相匹配时,判断与所述权限等级相匹配的用户数量;
当与所述权限等级相匹配的用户数量为多个时,判断与所述权限等级相匹配的至少两个用户所在终端之间的距离;
若所述至少两个用户所在终端之间的距离处于预设范围内时,允许处于预设范围的至少两个对应用户通过升级后的权限等级对相应关键环节进行一致性操作,生成一级操作信息,所述一致性操作用于指示对相应关键环节的操作初始时间差在设定差值内;
若继续检测到对相应关键环节进行操作的用户与用户所在终端相匹配时,根据一级操作信息生成二级操作信息。
2.根据权利要求1所述的数据权限管控方法,其特征在于,所述获取至少一个数据权限升级请求,所述数据权限升级请求包括升级前后的权限等级具体包括:
接收至少一个用户输入的数据权限升级请求;
识别所述数据权限升级请求中的请求账户和升级后的权限等级;
判断所述请求账户是否位于权限等级调整的账户白名单中,若是,则获取权限等级调整的账户白名单对应的升级权限等级;
继续判断升级后的权限等级与所述账户白名单对应的升级权限等级是否匹配,若是,则标记满足匹配条件的请求账户为第一账户。
3.根据权利要求2所述的数据权限管控方法,其特征在于,所述确定所述数据权限升级请求对应的至少一个用户的操作水平等级具体包括:
获取输入的检测时间段;
获取检测时间段内第一账户的数据权限操作记录,所述数据权限操作记录包括关联权限操作记录和非关联权限操作记录,所述关联权限操作记录用于表征第一账户升级前后的权限等级之间相互关联的权限操作;
提取所述数据权限操作记录中所有的数据权限操作以及对应的数据权限操作评价得分,计算所有的数据权限操作的总得分;
判断所述总得分以及关联权限操作记录对应的得分是否分别达到第一得分阈值和第二得分阈值。
4.根据权利要求3所述的数据权限管控方法,其特征在于,所述若检测到所述操作水平等级与所述数据权限升级请求中升级后的权限等级相匹配时,判断与所述权限等级相匹配的用户数量具体包括:
当所述总得分以及关联权限操作记录对应的得分分别达到第一得分阈值和第二得分阈值时,判断所述操作水平等级与所述数据权限升级请求中升级后的权限等级相匹配;
检测所述总得分以及关联权限操作记录对应的得分分别达到第一得分阈值和第二得分阈值对应的第一账户的数量。
5.根据权利要求1所述的数据权限管控方法,其特征在于,所述方法还包括:
若至少两个对应用户所在终端所连接局域网的安全等级不低于预设安全等级时,允许对应用户基于升级后的权限等级对相应的非关键环节进行操作。
6.根据权利要求4所述的数据权限管控方法,其特征在于,所述方法还包括:
若至少两个对应用户所在终端之间的距离处于预设阈值距离内时,标记处于预设阈值距离内的至少两个对应用户为配对用户;
向配对用户所在终端同步发送准备输入的指示并且要求反馈准备完毕的反馈指令;
当在第一设定时长内接收到至少两个所述反馈指令,标记至少两个所述反馈指令对应的终端为第一终端,第一终端显示开始进行预设时长倒计时的提示,允许第一终端接收对相应关键环节进行一致性操作的输入。
7.根据权利要求6所述的数据权限管控方法,其特征在于,若继续检测到对相应关键环节进行操作的用户与用户所在终端相匹配时,根据一级操作信息生成二级操作信息具体包括:
建立第一终端之间的信息管控通道,所述信息管控通道用于上报所有第一终端的工作信息,当某个第一终端的工作信息缺失时,判定该第一终端偏离出电子地图上的预设目标区域;
当第一终端未偏离出电子地图上的预设目标区域时,允许第一终端继续接收对相应关键环节进行一致性操作的输入;
在第一终端显示开始进行预设时长倒计时的提示时,标记第一终端在电子地图上的具体位置,获取预设目标区域内配对用户在第一终端进行操作的影像;
识别所述影像,若判断配对用户为第一账户的注册使用者,且配对用户对应的第一终端为所述注册使用者的限定使用终端时,根据一级操作信息生成二级操作信息,所述二级操作信息为执行信息或者准执行信息。
8.一种数据权限管控系统,其特征在于,所述系统包括:
获取模块,用于获取至少一个数据权限升级请求,所述数据权限升级请求包括升级前后的权限等级;
确定模块,用于确定所述数据权限升级请求对应的至少一个用户的操作水平等级;
匹配和判断模块,用于若检测到所述操作水平等级与所述数据权限升级请求中升级后的权限等级相匹配时,判断与所述权限等级相匹配的用户数量;
距离识别模块,用于当与所述权限等级相匹配的用户数量为多个时,判断与所述权限等级相匹配的至少两个用户所在终端之间的距离;
一级操作信息生成模块,所述一级操作信息生成模块用于:若所述至少两个用户所在终端之间的距离处于预设范围内时,允许处于预设范围的至少两个对应用户通过升级后的权限等级对相应关键环节进行一致性操作,生成一级操作信息,所述一致性操作用于指示对相应关键环节的操作初始时间差在设定差值内;
二级操作信息生成模块,用于若继续检测到对相应关键环节进行操作的用户与用户所在终端相匹配时,根据一级操作信息生成二级操作信息。
9.根据权利要求8所述的数据权限管控系统,其特征在于,所述获取模块包括:
接收单元,用于接收至少一个用户输入的数据权限升级请求;
识别单元,用于识别所述数据权限升级请求中的请求账户和升级后的权限等级;
判断和获取单元,用于判断所述请求账户是否位于权限等级调整的账户白名单中,若是,则获取权限等级调整的账户白名单对应的升级权限等级;
判断和标记单元,用于继续判断升级后的权限等级与所述账户白名单对应的升级权限等级是否匹配,若是,则标记满足匹配条件的请求账户为第一账户。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210943835.5A CN115017485B (zh) | 2022-08-08 | 2022-08-08 | 一种数据权限管控方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210943835.5A CN115017485B (zh) | 2022-08-08 | 2022-08-08 | 一种数据权限管控方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115017485A true CN115017485A (zh) | 2022-09-06 |
CN115017485B CN115017485B (zh) | 2022-10-25 |
Family
ID=83065491
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210943835.5A Active CN115017485B (zh) | 2022-08-08 | 2022-08-08 | 一种数据权限管控方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115017485B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116108024A (zh) * | 2023-04-14 | 2023-05-12 | 深圳市安信达存储技术有限公司 | 一种数据存储方法及数据存储系统 |
CN116127401A (zh) * | 2023-04-20 | 2023-05-16 | 西南石油大学 | 一种数据权限管控方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160182527A1 (en) * | 2014-04-30 | 2016-06-23 | Intuit Inc. | Method and system for providing permissions management |
CN108712561A (zh) * | 2018-04-18 | 2018-10-26 | Oppo广东移动通信有限公司 | 权限管理方法、装置、移动终端以及存储介质 |
CN111814179A (zh) * | 2020-06-29 | 2020-10-23 | 中国平安人寿保险股份有限公司 | 用户权限管理和数据控制方法及其相关设备 |
-
2022
- 2022-08-08 CN CN202210943835.5A patent/CN115017485B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160182527A1 (en) * | 2014-04-30 | 2016-06-23 | Intuit Inc. | Method and system for providing permissions management |
CN108712561A (zh) * | 2018-04-18 | 2018-10-26 | Oppo广东移动通信有限公司 | 权限管理方法、装置、移动终端以及存储介质 |
CN111814179A (zh) * | 2020-06-29 | 2020-10-23 | 中国平安人寿保险股份有限公司 | 用户权限管理和数据控制方法及其相关设备 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116108024A (zh) * | 2023-04-14 | 2023-05-12 | 深圳市安信达存储技术有限公司 | 一种数据存储方法及数据存储系统 |
CN116127401A (zh) * | 2023-04-20 | 2023-05-16 | 西南石油大学 | 一种数据权限管控方法及系统 |
CN116127401B (zh) * | 2023-04-20 | 2023-06-16 | 西南石油大学 | 一种数据权限管控方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN115017485B (zh) | 2022-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115017485B (zh) | 一种数据权限管控方法及系统 | |
CN107077557B (zh) | 软件应用程序发布和验证的方法及装置 | |
US20190244227A1 (en) | Bulletin board information management system | |
CN103581187B (zh) | 访问权限的控制方法及控制系统 | |
WO2017076210A1 (zh) | 一种用于应用信息的风险管理的方法与设备 | |
CN111160700A (zh) | 基于泛在电力物联网的配网施工安全质量管控方法及平台 | |
TW201945969A (zh) | 檔案處理方法和系統、資料處理方法 | |
CN111460404A (zh) | 双录数据处理方法、装置、计算机设备及存储介质 | |
CN114896634B (zh) | 一种企业报表平台的数据权限控制方法和系统 | |
CN109902493B (zh) | 脚本的下发方法及服务器 | |
CN113448862A (zh) | 软件版本测试方法、装置及计算机设备 | |
CN113781048B (zh) | 一种基于区块链的交易信息校验及结算方法 | |
CN111489100A (zh) | 基于大数据的订单创建方法、装置、设备和介质 | |
CN112651716A (zh) | 数据处理方法、设备及存储介质 | |
CN112597023A (zh) | 基于导图的案例管理方法、装置、计算机设备及存储介质 | |
CN112633271A (zh) | 一种基于ocr识别的金融交易系统认证方法 | |
CN105653989B (zh) | 一种信息防泄漏方法及装置 | |
CN111651500A (zh) | 用户身份识别方法、电子设备及存储介质 | |
CN115310126B (zh) | 地籍测绘管理方法、系统及存储介质 | |
JP5851311B2 (ja) | アプリケーション検査装置 | |
CN115757107A (zh) | 埋点检测方法、装置、服务器及存储介质 | |
CN114637675A (zh) | 软件评估方法及装置、计算机可读存储介质 | |
CN114237798A (zh) | 数据处理方法、装置、服务器及存储介质 | |
CN112671738A (zh) | 一种企业内部系统的登录方法、装置、终端及存储介质 | |
CN112632391A (zh) | 数据处理方法、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |