CN115270178A - 一种基于标签的授权管理方法 - Google Patents
一种基于标签的授权管理方法 Download PDFInfo
- Publication number
- CN115270178A CN115270178A CN202210890127.XA CN202210890127A CN115270178A CN 115270178 A CN115270178 A CN 115270178A CN 202210890127 A CN202210890127 A CN 202210890127A CN 115270178 A CN115270178 A CN 115270178A
- Authority
- CN
- China
- Prior art keywords
- data
- tag
- user
- label
- access rights
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
根据本申请的标签式授权方法,基于标签来管理用户对数据的访问权限,且支持一个标签能同时管理多种大数据组件的数据权限。本申请方法不仅能极大降低授权操作次数,还具有超强适应性,并使得在数仓加工链路中,数据上的标签能跟随数据血缘关系传递到下游的数据上。
Description
技术领域
本申请涉及计算机技术,特别地涉及使用标签来管理数据访问权限的方法和装置。
背景技术
为保障数据安全,经常需要使用访问权限管理或授权管理。现有技术中已有一种基于数据策略的授权模型“用户-<策略>-单种大数据组件的数据”。基于此模型,授权时需要新建一条策略来定义用户对某种数据具有什么样的访问权限。此模型存在如下缺陷。
其一,管理复杂度高,适应性差。例如当用户A对数据表a的姓名字段、数据表b的年龄字段、数据表c身份证字段的授予相同权限时,采用基于数据策略的方式要定义3条类似策略。
其二,每条策略中只能支持一种大数据组件的数据,例如策略中要定义Hive组件的库、表、字段数据,或者定义HDFS的文件数据数据,需要新建多条策略来满足。
其三,在数仓加工链路中,上游数据的授权策略无法传递给下游数据。
发明内容
本申请的一方面提供了一种在计算机系统中建立用户对数据的访问权限的方法,包括:建立或选用标签;建立所述用户在所述标签下的策略,所述策略定义了所述用户在所述标签下对至少一个数据源中的各数据源的访问权限;以及将所述至少一个数据源中的各数据源中的数据绑定到该标签。
根据本发明的优选实施例,被绑定到所述标签的数据是字段、表或目录。
根据本发明的优选实施例的方法还包括:对所述至少一个数据源中的输入数据进行加工,生成输出数据;构造所述输入数据和输出数据之间的血缘关系,从而形成所述用户在标签下对所述输出数据的访问权限。
根据本申请的优选实施例的方法还包括:当发生涉及用户的组织架构变更时,修改与用户关联的标签。
根据本申请的优选实施例的方法还包括:将第一数据源中被绑定到用户的标签的数据同步到第二数据源;以及将被同步到所述第二数据源中的数据绑定到所述标签。
根据本申请实施例的标签式授权方法,基于标签来管理用户对数据的访问权限,且支持一个标签能同时管理多种大数据组件的数据权限。根据本申请实施例的方法不仅能极大降低授权操作次数,还具有超强适应性,例如当组织架构变更时,仅需要修改用户的标签信息,数据权限便可实现平滑迁移。另外,根据本申请实施例的方法使得在数仓加工链路中,数据上的标签能跟随数据血缘关系传递到下游的数据上。
附图说明
图1示出了根据本发明实施例的授权模型的示意图。
图2示出了根据本发明的实施例,在大数据平台上实施基于标签的权限管理的方法的示意性的流程图。
图3示出了根据本发明实施例的血缘关系的传递的例子。
具体实施方式
现在将参照若干示例性实施例来说明本发明的内容。应当理解,说明这些实施例仅是为了使得本领域普通技术人员能够更好地理解并且因此实现本发明的内容,而不是暗示对本发明的范围进行任何限制。
如本文中所使用的,术语“包括”及其变体应当解读为意味着“包括但不限于”的开放式术语。术语“基于”应当解读为“至少部分地基于”。术语“一个实施例”和“一种实施例”应当解读为“至少一个实施例”。术语“另一个实施例”应当解读为“至少一个其他实施例”。
图1示出了根据本发明实施例的授权模型的示意图。该模型的范式可以理解为“用户-<策略>-标签-<绑定>-多种大数据组件的数据”。通过引进标签,把现有技术中用户和数据间的直接授权关系进行解耦。本申请的发明人发现,对标签的这一创造性使用能够在不同方面产生多项益处。例如,本发明的一些实施例维护用户和标签的关系,在策略中定义用户在某个标签作用下,对不同的大数据组件的权限。又例如,本发明的一些实施例维护数据和标签的关系,把多个大数据组件下的数据绑定到标签上。采用标签式的授权方法,可以把原用于管理一组权限的策略汇总到同一个标签上,权限管控人员只需要把要管控的数据绑定到此标签上即可,能极大降低权限管控的操作复杂度。
另外,如图1所示,一个标签能同时授权多种大数据组件上的数据。一个标签可以绑定到Hive、HDFS、Hbase等多种大数据组件上的数据,做到使用一个标签管理同时管理多个大数据组件上的数据。这样当大数据同步中的数据在不同组件进行流转时,本发明的实施例仍能有效管控对数据的访问权限。例如,当已被绑定到用户的标签从一个数据组件被同步到另一数据组件时,在新数据组件中仍被绑定到用户的标签。
在一些实施例中,在数仓加工链路中,通过自动化解析数据加工作业的输入输出表关系,构造出数据血缘关系。根据本发明的实施例,在数仓加工链路中,把上游表的标签通过数据血缘关系自动传递到下游表中,因此,拥有此标签的权限的用户,也自动继承拥有下游表的数据权限。
图2示出了根据本发明的一些实施例,在大数据平台上实施基于标签的权限管理的方法的示意性的流程图。在该流程中,首先建立标签。例如权限管控人员可针对不同的业务数据定义“财务”、“项目管理”、“研发指标”等标签。在一些实施例中,也可以选用已经存在的标签。然后,建立策略,来维护用户对标签拥有的多种不同大数据组件的权限。例如一个策略可以是,用户A和用户B在某标签a作用下,对Hive组件具有select、drop、update的权限;对hdfs组件具有write的权限;对hbase具有read的权限。在一些实施例中,一个标签可以关联到两个甚至更多的用户,以能够更有效地对多个用户进行相同或相似的权限控制。然后,可以把大数据组件上的数据绑定到标签上。在本发明的实施例中,绑定操作可具有不同的细致度和深度(即可以灵活地控制“权限点”)。例如可以把Hive组件表A、表B的年龄字段绑定到前述标签a上,可以把其他大数据组件HDFS的目录A、Hbase的表C绑定到标签a上。通过以上步骤操作,拥有此标签的用户便对已绑定大数据组件下数据具有相应的权限。上述关系如下表所示。
在本发明的实施例中,上表所示的“权限列表”可以包括更复杂的权限控制,例如设置相对比较复杂的数学、逻辑或文字处理运算(例如对字段设置“20<年龄<30”或“地址字段不包含‘上海市’”),还可以设置数据脱敏操作(例如“覆盖身份证号码”)。
在本发明的实施例中,可以使用图数据库(例如JanusGraph)来存储用户、标签、策略以及数据之间的关系。本申请的发明人发现,在此情形下使用图数据库相对更有效率。
在数仓加工链路中,通过解析(可以是自动化地)数据加工作业的输入输出表关系,构造出数据血缘关系。然后可以把上游表的标签通过数据血缘关系自动传递到下游表中,这就使得拥有此标签权限的用户也自动继承拥有下游表的数据权限。本申请的发明人发现,标签的使用在此情形下获得的效果是特别有益的。图3示出了根据本发明实施例的血缘关系的传递的例子。在此例子中,共有三张表:表A、表B、表C。经过三个作业A、作业B、作业C进行数据加工,形成表A-->表B、表B-->表C、表B-->表D的数据血缘关系。当在表A增加标签L后,通过血缘关系传递,下游的表B、表C、表D也会自动继承拥有标签L。
如上所述,本发明的一些实施例能够支持标签式的授权来灵活、高效的管理用户和数据的权限。本发明的一些实施例还能够支持一个标签同时管理多个大数据组件上的数据权限。本发明的一些实施例还能够使得标签授权随数据血缘传递到下游数据上。根据本发明的实施例,当组织架构调整时,只需要修改用户的标签信息,数据权限就可以平滑的自动迁移。
本发明各实施例的方法和装置可以实现为纯粹的软件模块(例如用Java语言来编写的软件程序),也可以根据需要实现为纯粹的硬件模块(例如专用ASIC芯片或FPGA芯片),还可以实现为结合了软件和硬件的模块(例如存储有固定代码的固件系统)。
本发明的另一个方面是一种计算机可读介质,其上存储有计算机可读指令,所述指令被执行时可实施本发明各实施例的方法。
本领域普通技术人员可以意识到,以上所述仅为本发明的示例性实施例,并不用于限制本发明。本发明还可以包含各种修改和变化。任何在本发明的精神和范围内作的修改和变化均应包含在本发明的保护范围内。
Claims (9)
1.一种在计算机系统中建立用户对数据的访问权限的方法,包括:
建立或选用标签;
建立所述用户在所述标签下的策略,所述策略定义了所述用户在所述标签下对至少一个数据组件中的各数据源的访问权限;以及
将所述至少一个数据组件中的各数据组件中的数据绑定到该标签。
2.根据权利要求1所述的方法,其中被绑定到所述标签的数据是字段、表或目录。
3.根据权利要求1所述的方法,还包括:
对所述至少一个数据组件中的输入数据进行加工,生成输出数据;
构造所述输入数据和输出数据之间的血缘关系,从而形成所述用户在所述标签下对所述输出数据的访问权限。
4.根据权利要求1所述的方法,还包括:
当发生涉及所述用户的组织架构变更时,修改所述标签。
5.根据权利要求1所述的方法,还包括:
将所述至少一个数据组件中的第一数据组件中被绑定到所述标签的数据同步到所述至少一个数据组件中的第二数据组件;以及
将被同步到所述第二数据组件中的所述数据绑定到所述标签。
6.根据权利要求1所述的方法,还包括:
建立第二用户在所述标签下的策略,所述策略定义了所述第二用户在所述标签下对至少一个数据组件中的各数据源的访问权限。
7.根据权利要求1所述的方法,其中所述访问权限包括数据脱敏操作。
8.根据权利要求1所述的方法,其中所述访问权限包括数学、逻辑或文字处理运算。
9.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现根据权利要求1-8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210890127.XA CN115270178A (zh) | 2022-07-27 | 2022-07-27 | 一种基于标签的授权管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210890127.XA CN115270178A (zh) | 2022-07-27 | 2022-07-27 | 一种基于标签的授权管理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115270178A true CN115270178A (zh) | 2022-11-01 |
Family
ID=83768861
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210890127.XA Pending CN115270178A (zh) | 2022-07-27 | 2022-07-27 | 一种基于标签的授权管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115270178A (zh) |
-
2022
- 2022-07-27 CN CN202210890127.XA patent/CN115270178A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11775666B2 (en) | Federated redaction of select content in documents stored across multiple repositories | |
| US11816615B2 (en) | Managing project tasks using content items | |
| US7594082B1 (en) | Resolving retention policy conflicts | |
| US20170200122A1 (en) | Information organization, management, and processing system and methods | |
| US9881174B2 (en) | Multi-layered metadata management system | |
| US8712980B2 (en) | Consistent retention and disposition of managed content and associated metadata | |
| US7809699B2 (en) | Systems and methods for automatically categorizing digital assets | |
| US7849328B2 (en) | Systems and methods for secure sharing of information | |
| US8037036B2 (en) | Systems and methods for defining digital asset tag attributes | |
| US8019780B1 (en) | Handling document revision history information in the presence of a multi-user permissions model | |
| US20130185252A1 (en) | Document Revision Manager | |
| US20150200945A1 (en) | Information organization, management, and processing system and methods | |
| US7970743B1 (en) | Retention and disposition of stored content associated with multiple stored objects | |
| US20140012805A1 (en) | System and method for access controls | |
| US20080183802A1 (en) | Network recycle bin | |
| US10417179B2 (en) | Method for managing files and apparatus using the same | |
| Siewe et al. | A compositional framework for access control policies enforcement | |
| US20210350303A1 (en) | Task list for tasks created at a third-party source | |
| US10609041B1 (en) | Enforcing granular access control policy | |
| US20210073175A1 (en) | Systems and Methods for Implementing Content Aware File Management Labeling | |
| US20230403283A1 (en) | Enforcing granular access control policy | |
| US20170206371A1 (en) | Apparatus and method for managing document based on kernel | |
| CN115270178A (zh) | 一种基于标签的授权管理方法 | |
| Dang et al. | XACs-DyPol: Towards an XACML-based Access Control Model for Dynamic Security Policy | |
| EP4254245A1 (en) | Access control to electronic datasets |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |