CN116579007A - 细粒度数据访问权限控制方法、装置、设备及存储介质 - Google Patents
细粒度数据访问权限控制方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116579007A CN116579007A CN202310858282.8A CN202310858282A CN116579007A CN 116579007 A CN116579007 A CN 116579007A CN 202310858282 A CN202310858282 A CN 202310858282A CN 116579007 A CN116579007 A CN 116579007A
- Authority
- CN
- China
- Prior art keywords
- resource
- data
- granularity
- granularity data
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000012216 screening Methods 0.000 claims abstract description 32
- 230000000670 limiting effect Effects 0.000 claims abstract description 26
- 238000013475 authorization Methods 0.000 claims description 60
- 238000004590 computer program Methods 0.000 claims description 14
- 230000007774 longterm Effects 0.000 claims description 7
- 230000002441 reversible effect Effects 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 5
- 239000000523 sample Substances 0.000 claims 1
- 230000014509 gene expression Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 13
- 238000001914 filtration Methods 0.000 description 4
- 230000000873 masking effect Effects 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请涉及一种细粒度数据访问权限控制方法、装置、设备及存储介质。所述方法包括:获取预先定义的权限资源。权限资源包括资源与资源属性。通过用户对权限资源的访问选定数据范围,根据数据范围添加资源,在资源内配置筛选条件,并确定资源的第一粒度数据。根据第一粒度数据添加资源属性,根据资源属性配置限制条件,并确定第一粒度数据的第二粒度数据。根据第二粒度数据选定可执行操作,根据可执行操作获取细粒度数据的访问权限。采用本方法能够对细粒度数据的访问权限控制更精细和更灵活。
Description
技术领域
本申请涉及细粒度数据权限技术领域,特别是涉及一种细粒度数据访问权限控制方法、装置、设备及存储介质。
背景技术
随着互联网的迅速发展和信息化的进程,大量的数据被存储和处理在计算机系统中,数据安全问题变得日益重要。为了保护数据的安全性和隐私性,访问控制技术被广泛应用,它可以控制数据的访问和使用权限。然而,随着访问控制技术的发展,传统的粒度数据权限控制方法已经不能满足对数据访问控制的更高要求,因此,细粒度数据权限技术应运而生,旨在提供更精细和灵活的数据访问控制。
然而,目前市面上常用的细粒度数据访问权限控制方法仍存在一些问题。首先,控制粒度可能不够细致。某些情况下,需要对数据进行更精确和个性化的控制,而现有的技术往往只提供了有限的细粒度控制选项。其次,控制范围可能不够灵活。有些场景下,需要根据特定的上下文信息和操作要求,动态调整数据访问权限,但现有的技术往往无法满足这种灵活性需求。
因此,为了进一步提升数据访问控制的效果,需要不断研究和发展更先进和灵活的细粒度数据权限技术。这将有助于解决控制粒度不够细或控制范围不够灵活等问题,提升数据安全性和隐私性的保护水平,降低数据泄露和数据安全事故的风险。
发明内容
基于此,有必要针对上述技术问题,提供一种细粒度数据访问权限控制方法、装置、设备及存储介质。
一种细粒度数据访问权限控制方法,所述方法包括:
获取预先定义的权限资源。权限资源包括资源与资源属性。
通过用户对权限资源的访问选定数据范围,根据数据范围添加资源,在资源内配置筛选条件,并确定资源的第一粒度数据。
根据第一粒度数据添加资源属性,根据资源属性配置限制条件,并确定第一粒度数据的第二粒度数据。
根据第二粒度数据选定可执行操作,根据可执行操作获取细粒度数据的访问权限。
在其中一个实施例中,还包括:获取已注册的资源元数据,将资源元数据、资源属性以及资源以表结构形式进行定义,得到预先定义的权限资源。
在其中一个实施例中,还包括:通过用户对数据库中权限的访问选定数据范围,根据数据范围添加资源,在资源内配置资源元数据的筛选条件。根据筛选条件调取资源的第一资源元数据,根据第一资源元数据确定第一粒度数据。
在其中一个实施例中,筛选条件包括资源元数据的字段名、运算符、资源元数据的值以及条件关系。
在其中一个实施例中,还包括:根据第一粒度数据添加资源属性,根据资源属性配置第一粒度数据中资源元数据的限制条件。根据限制条件调取第一粒度数据的第二资源元数据,根据第二资源元数据确定第二粒度数据。
在其中一个实施例中,访问权限包括:授权类型与授权时长。授权类型包括:正向授权与反向授权。授权时长包括:长期授权、短期授权以及一次性授权。
在其中一个实施例中,还包括:用户登录数据库系统后,识别访问权限,得到授权资源属性与授权筛选条件。根据授权资源属性确定第一粒度数据。根据第一粒度数据与授权筛选条件确定第二粒度数据,将第二粒度数据进行遮罩处理,得到细粒度数据。
一种细粒度数据访问权限控制装置,所述装置包括:
资源定义模块,用于获取预先定义的权限资源。权限资源包括资源与资源属性。
第一粒度数据获取模块,用于通过用户对权限资源的访问选定数据范围,根据数据范围添加资源,在资源内配置筛选条件,并确定资源的第一粒度数据。
第二粒度数据获取模块,用于根据第一粒度数据添加资源属性,根据资源属性配置限制条件,并确定第一粒度数据的第二粒度数据;
访问权限控制模块,用于根据第二粒度数据选定可执行操作,根据 可执行操作获取细粒度数据的访问权限。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取预先定义的权限资源。权限资源包括资源与资源属性。
通过用户对权限资源的访问选定数据范围,根据数据范围添加资源,在资源内配置筛选条件,并确定资源的第一粒度数据。
根据第一粒度数据添加资源属性,根据资源属性配置限制条件,并确定第一粒度数据的第二粒度数据。
根据第二粒度数据选定可执行操作,根据可执行操作获取细粒度数据的访问权限。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取预先定义的权限资源。权限资源包括资源与资源属性。
通过用户对权限资源的访问选定数据范围,根据数据范围添加资源,在资源内配置筛选条件,并确定资源的第一粒度数据。
根据第一粒度数据添加资源属性,根据资源属性配置限制条件,并确定第一粒度数据的第二粒度数据。
根据第二粒度数据选定可执行操作,根据可执行操作获取细粒度数据的访问权限。
上述细粒度数据访问权限控制方法、装置、设备和存储介质,通过对数据访问进行更细致的定义和控制,实现了对每个用户或用户组的数据访问进行个性化和差异化管理。它通过获取预先定义的权限资源和配置资源属性,允许用户根据其需求选择数据范围,并添加资源。通过配置筛选条件和限制条件,可以逐步确定数据的粒度。进一步地,通过添加资源属性和配置限制条件,确定数据的第二粒度,从而实现对数据的更精细控制,并且对粒度数据的访问权限的控制更加灵活。
附图说明
图1为一个实施例中细粒度数据访问权限控制方法的流程示意图;
图2为一个实施例中仅控制行粒度的访问权限控制示意图;
图3为一个实施例中仅控制列粒度的访问权限控制示意图;
图4为一个实施例中常规行列组合控制的访问权限控制示意图;
图5为一个实施例中细粒度数据访问权限控制示意图;
图6为一个实施例中细粒度数据权限控制流程的示意图;
图7为一个实施例中权限资源与数据库的对应关系示意图;
图8为一个实施例中资源属性定义示意图;
图9为一个实施例中权限定义过程的示意图;
图10为一个实施例中遮罩后获取到的细粒度数据示意图;
图11为一个细粒度数据访问权限控制装置的结构框图;
图12为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的细粒度数据访问权限控制方法,如图1所示,具体包括以下步骤:
步骤102,获取预先定义的权限资源。
权限资源包括资源与资源属性。对于常规细粒度权限,常见的有“仅控制行粒度”、“仅控制列粒度”、“常规行列组合控制”三种控制方式,如图2-4所示。
具体的,权限资源即为权限控制的对象,首先进行资源元数据元数据的注册,可通过直接采集物理数据库内的表结构或者手动按照上述内容进行定义,然后分别进行资源和资源属性的定义,定义完成后资源属性选择资源元数据进行关联。其中,资源元数据为需要权限控制的表内具体的字段信息,包含库名、schema名、表名、字段名、字段key字段类型、是否作为筛选条件、支持的条件运算符(包括“=”“>”“<”“≤”“≥”“包含”“不包含”“不等于”等)、运算值为录入或指定字典值等信息。
另外,资源属性为若干个资源元数据的集合,可以按一个物理表或者满足某个业务的逻辑表定义;包含名称、属性类型(主子类型,主仅可一个,用作从数据库筛选数据)、生效状态、可执行操作列表(增、删、改、查及自定义操作)等信息。如图7、图8所示,将列1~列4注册为资源属性1,主子类型为主;列5~列8注册为资源属性2;列9~列12注册为资源属性3;(资源属性的定义一般将基本信息且需经常进行范围搜索,如数据库索引的属性定义为主资源属性,其他属性按信息列表可按照不同分类定义不同资源属性),三个资源属性分别成为P1,P2,P3。
进一步的,权限资源为资源属性的上级,一般可以以资源属性作为子表,资源作为主表来定义,同一个资源可包含多个资源属性,包含名称、生效状态、可执行操作列表(增、删、改、查及自定义操作)根据等信息。如图7所示,将资源属性1~资源属性3注册为一个资源R。
进一步的,完成权限资源的注册之后,即完成了控权对象的定义,(后续对定义为资源元数据的数据合并为一个宽表同步至ES数据库可加速权限查询速度,非必须)。
步骤104,通过用户对权限资源的访问选定数据范围,根据数据范围添加资源,在资源内配置筛选条件,并确定资源的第一粒度数据。
对于多数系统数据,组织机构无疑是最常见,使用频率最高的一个的控制维度。具体的,可通过用户登录数据库系统,对权限资源的访问,选择数据的单位范围对数据进行一次粗略的范围限制,根据数据范围添加资源R。
进一步的,选择资源下可作为筛选条件的元数据配置条件表达式,key为元数据定义的字段名,运算符为该元数据定义时指定的范围,资源元数据的值根据元数据定义的录入数据或根据字典值选择,另外可配置多个条件表达式,多个条件表达式之间的条件关系支持“与”和“或”,以筛选条件中的条件表达式与条件关系确定资源的第一粒度数据。
步骤106,根据第一粒度数据添加资源属性,根据资源属性配置限制条件,并确定第一粒度数据的第二粒度数据。
具体的,根据第一粒度数据的数据范围选定要控制的资源属性范围,即表的列范围。进一步的,添加资源属性限制条件,在第一粒度数据的属性选择下可作为限制条件的元数据配置条件表达式,key为元数据定义的字段名,运算符为该元数据定义时指定的范围,资源元数据的值根据元数据定义的录入数据或根据字典值选择;可配置多个条件表达式,多个条件表达式之间的关系支持“与”和“或”,以限制条件中的条件表达式与条件关系确定资源的第一粒度数据。
步骤108,根据第二粒度数据选定可执行操作,根据可执行操作获取细粒度数据的访问权限。
可执行操作包括:粒度数据访问权限对范围内的数据具备增、删、改、查或自定义操作中的一种或多种类型。访问权限包括权限类型和权限时长,其中权限类型包括正向授权与反向授权,正向授权为白名单授权,选定的范围内拥有权限,反向授权为黑名单授权,选定的范围内无权限。授权时长包括长期授权、短期授权和一次性授权,其中长期授权为权限永久生效,除非手动解除授权,短期授权可指定权限截止时间,到时间自动回收权限,一次性授权后用户仅登录一次拥有该权限,退出登录后权限回收。
进一步的,当用户每次进行认证登录成功的时候,系统此时根据用户配置的细粒度权限进行生效控制,权限公式如下:
;
其中,DP为数据权限范围,DPr为行权限,DPc为列权限,DP1为主资源属性权限范围,DP2为子资源属性2权限范围,DPn为子资源属性n权限范围,DPr1为子资源属性1行权限范围,DPr2为子资源属性2行权限范围,DPrn为子资源属性n行权限范围,DPc1为子资源属性1列权限范围,DPc2为子资源属性2列权限范围,DPcn为子资源属性n列权限范围。
进一步的,首先根据访问权限的授权资源属性包含的元数据及黑白名单确定权限数据范围包含的列范围,即第一粒度数据,然后根据访问权限的授权添加资源限制条件,从ES数据库宽表中(或源表级联查询)根据该限制条件和第一粒度数据范围查询数据,可在内存中获取到权限数据范围内完整的行列数据,即第二粒度数据/>,对第二粒度数据进行遮罩处理,即去除((DPr1∩~DPr2)×DPc2) ~ ((DPr1∩~DPrn)×DPcn),根据权限指定的资源属性,在内存中对每个资源属性对应的数据逐行与添加的资源属性限制条件(DPr1∩~DPrn)进行匹配,满足的数据替换为/>。
上述细粒度数据访问权限控制方法、装置、设备和存储介质,通过对数据访问进行更细致的定义和控制,实现了对每个用户或用户组的数据访问进行个性化和差异化管理。它通过获取预先定义的权限资源和配置资源属性,允许用户根据其需求选择数据范围,并添加资源。通过配置筛选条件和限制条件,可以逐步确定数据的粒度。进一步地,通过添加资源属性和配置限制条件,确定数据的第二粒度,从而实现对数据的更精细控制,并且对粒度数据的访问权限的控制更加灵活。
在其中一个实施例中,获取已注册的资源元数据,将资源元数据、资源属性以及资源以表结构形式进行定义,得到预先定义的权限资源。
在其中一个实施例中,通过用户对数据库中权限的访问选定数据范围,根据数据范围添加资源,在资源内配置资源元数据的筛选条件。根据筛选条件调取资源的第一资源元数据,根据第一资源元数据确定第一粒度数据。
值得说明的是,通过第一步定义的权限资源,对用户可以访问的数据范围及操作进行指定,可采用用ACL模型直接将权限指定给用户,也可采用RBAC模型将权限定义至角色中然后通过角色和用户关联,疑惑使用组织或者岗位等方式进行授权。
在其中一个实施例中,筛选条件包括资源元数据的字段名、运算符、资源元数据的值以及条件关系。
由此可见,控制粒度精确到的表内的具体字段级,相比大多数仅支持到表、仅支持行或仅支持列的方法,控制的精确度更为精细。
在其中一个实施例中,根据第一粒度数据添加资源属性,根据资源属性配置第一粒度数据中资源元数据的限制条件。根据限制条件调取第一粒度数据的第二资源元数据,根据第二资源元数据确定第二粒度数据。
由此可见,相较于常规对行和列的控制方法,本方法可针对每行指定若干个不同的列进行更灵活的权限控制。
在其中一个实施例中,访问权限包括:授权类型与授权时长。授权类型包括:正向授权与反向授权。授权时长包括:长期授权、短期授权以及一次性授权。
在其中一个实施例中,用户登录数据库系统后,识别访问权限,得到授权资源属性与授权筛选条件。根据授权资源属性确定第一粒度数据。根据第一粒度数据与授权筛选条件确定第二粒度数据,将第二粒度数据进行遮罩处理,得到细粒度数据。
值得说明的是,数据均做了分页处理且在内存中判断,处理性能比较高。可将对数据库进行筛选的部分定义为主资源属性,减少据库IO开销,引入中间搜索数据库ES,亦可提高数据查询性能。另外,对于其他列更精细的控制通过分页后数据内存中进行操作,进一步对性能有一定程度上的提升。
在其中一个实施例中,如图9所示,提供一种用户可访问数据范围及操作的权限授权流程,具体包括以下步骤:
S1.选定数据范围:对于多数系统数据,组织机构无疑是最常见,使用频率最高的一个的控制维度。该步骤可通过选择数据的单位范围对数据进行一次粗略的范围限制。如管控数据无此信息该步骤可忽略。如图8所示的资源数据,可不选择该范围。
S2.添加资源:该步骤选定要控制的资源范围,即选择如图8所示的资源R。
S3.添加资源限制条件:选择该资源下可作为筛选条件的元数据配置条件表达式,key为元数据定义的字段名,运算符为该元数据定义时指定的范围,值根据元数据定义的录入数据或根据字典值选择;可配置多个条件表达式,多个条件表达式之间的关系支持“与”和“或”。如图8所示的资源数据,可选择元数据M1至M12中的单个或多个,配置筛选条件,筛选出行1~行7。
S4.添加资源属性:该步骤选定要控制的资源属性范围,即表的列范围。如图8所示的资源数据,选择P1、P2、P3三个资源属性。
S5.添加资源属性限制条件:选择该资源下可作为筛选条件的元数据配置条件表达式,key为元数据定义的字段名,运算符为该元数据定义时指定的范围,值根据元数据定义的录入数据或根据字典值选择;可配置多个条件表达式,多个条件表达式之间的关系支持“与”和“或”。如图8所示的资源数据P2中通过M5~M8中的单个或多个配置筛选条件,配置出行3、行5、行6的范围;P3中通过M9~M12中的单个或多个配置筛选条件,配置出行1、行2、行4、行6的范围。
S6.选定可执行操作:指定该权限对范围内的数据具备增、删、改、查或自定义操作中的一种或多种类型。
S7.授权类型:选定“正向授权”或“反向授权”其一,“正向授权”即白名单授权,选定的范围内拥有权限,“反向授权”即黑名单授权,选定的范围内无权限。如图8所示的资源数据配置为白名单。
S8.授权时长:可指定“长期授权”、“短期授权”或“一次性授权”中其一,其中“长期授权”为权限永久生效,除非手动解除授权,“短期授权”可指定权限截止时间,到时间自动回收权限,“一次性授权”授权后用户仅登录一次拥有该权限,退出登录后权限回收。
完成上述步骤即完成用户的授权,可采用ACL模型直接将权限指定给用户,也可采用RBAC模型将权限定义至角色中,然后通过角色和用户关联,或者使用组织或者岗位等方式进行授权。
在其中一个实施例中,当用户每次进行认证登录成功的时候,系统此时根据用户配置的细粒度权限进行生效控制,具体包括以下步骤:
S1.获取数据列范围,即获取(DPc1∪DPc2∪DPcn)。首先根据授权资源属性包含的元数据及黑白名单确定权限包含的列范围。如图8所示的资源数据中配置了资源属性P1、P2、P3包含的元数据M1~M12,故此处列权限范围为列1~列12。
S2.获取数据行范围,即获取DPr1。然后根据授权添加资源限制条件,从ES数据库宽表中(或源表级联查询)根据该筛选条件和上步的列范围查询数据。如图8所示的资源数据中,根据添加资源限制条件配置筛选出行1~行7。
执行完本步骤即可在内存中获取到权限内完整的行列数据,即公式中(DPr1×(DPc1∪DPc2∪DPcn) )的范围。然后通过S3去除公式中((DPr1∩~DPrn)×DPcn)部分,对该部分数据进行遮罩处理。
S3.无权限数据遮罩处理,即去除((DPr1∩~DPr2)×DPc2) ~ ((DPr1∩~DPrn)×DPcn)。最后根据权限指定的资源属性,在内存中对每个资源属性对应的数据逐行与添加的资源属性限制条件(DPr1∩~DPrn)进行匹配,满足的数据替换为*;另外数据均做了分页处理且在内存中判断,性能比较高。如图8所示的资源数据,分别对P2和P3对应的列逐行与其资源属性限制条件进行匹配,得到遮罩后获取到的数据效果如图10所示。
应该理解的是,虽然图1、图5、图6的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1、图5、图6中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图11所示,提供了一种细粒度数据访问权限控制装置,包括:资源定义模块1102、第一粒度数据获取模块1104、第二粒度数据获取模块1106和访问权限控制模块1108,其中:
资源定义模块1102,用于获取预先定义的权限资源。权限资源包括资源与资源属性。
第一粒度数据获取模块1104,用于通过用户对权限资源的访问选定数据范围,根据数据范围添加资源,在资源内配置筛选条件,并确定资源的第一粒度数据。
第二粒度数据获取模块1106,用于根据第一粒度数据添加资源属性,根据资源属性配置限制条件,并确定第一粒度数据的第二粒度数据;
访问权限控制模块1108,用于根据第二粒度数据选定可执行操作,根据 可执行操作获取细粒度数据的访问权限。
关于细粒度数据访问权限控制装置的具体限定可以参见上文中对于细粒度数据访问权限控制方法的限定,在此不再赘述。上述细粒度数据访问权限控制装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图12所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种细粒度数据访问权限控制方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图11-图12中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,该存储器存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
获取预先定义的权限资源。权限资源包括资源与资源属性。
通过用户对权限资源的访问选定数据范围,根据数据范围添加资源,在资源内配置筛选条件,并确定资源的第一粒度数据。
根据第一粒度数据添加资源属性,根据资源属性配置限制条件,并确定第一粒度数据的第二粒度数据。
根据第二粒度数据选定可执行操作,根据可执行操作获取细粒度数据的访问权限。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
获取预先定义的权限资源。权限资源包括资源与资源属性。
通过用户对权限资源的访问选定数据范围,根据数据范围添加资源,在资源内配置筛选条件,并确定资源的第一粒度数据。
根据第一粒度数据添加资源属性,根据资源属性配置限制条件,并确定第一粒度数据的第二粒度数据。
根据第二粒度数据选定可执行操作,根据可执行操作获取细粒度数据的访问权限。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种细粒度数据访问权限控制方法,其特征在于,所述方法包括:
获取预先定义的权限资源;所述权限资源包括资源与资源属性;
通过用户对所述权限资源的访问选定数据范围,根据所述数据范围添加所述资源,在所述资源内配置筛选条件,并确定所述资源的第一粒度数据;
根据所述第一粒度数据添加所述资源属性,根据所述资源属性配置限制条件,并确定所述第一粒度数据的第二粒度数据;
根据所述第二粒度数据选定可执行操作,根据所述可执行操作获取细粒度数据的访问权限。
2.根据权利要求1所述的方法,其特征在于,获取预先定义的权限资源,包括:
获取已注册的资源元数据,将所述资源元数据、所述资源属性以及所述资源以表结构形式进行定义,得到预先定义的权限资源。
3.根据权利要求2所述的方法,其特征在于,通过用户对所述权限资源的访问选定数据范围,根据所述数据范围添加所述资源,在所述资源内配置筛选条件,并确定所述资源的第一粒度数据,包括:
通过用户对数据库中所述权限的访问选定数据范围,根据所述数据范围添加所述资源,在所述资源内配置所述资源元数据的筛选条件;
根据所述筛选条件调取所述资源的第一资源元数据,根据所述第一资源元数据确定第一粒度数据。
4.根据权利要求3所述的方法,其特征在于,所述筛选条件包括所述资源元数据的字段名、运算符、所述资源元数据的值以及条件关系。
5.根据权利要求4所述的方法,其特征在于,根据所述第一粒度数据添加所述资源属性,根据所述资源属性配置限制条件,并确定所述第一粒度数据的第二粒度数据,包括:
根据所述第一粒度数据添加所述资源属性,根据所述资源属性配置所述第一粒度数据中资源元数据的限制条件;
根据所述限制条件调取所述第一粒度数据的第二资源元数据,根据所述第二资源元数据确定第二粒度数据。
6.根据权利要求5所述的方法,其特征在于,
所述访问权限包括:授权类型与授权时长;
所述授权类型包括:正向授权与反向授权;
所述授权时长包括:长期授权、短期授权以及一次性授权。
7.根据权利要求6所述的方法,其特征在于,在根据所述第二粒度数据选定可执行操作,根据所述可执行操作获取细粒度数据的访问权限的步骤之后,还包括:
用户登录数据库系统后,识别所述访问权限,得到授权资源属性与授权筛选条件;
根据所述授权资源属性确定所述第一粒度数据;根据所述第一粒度数据与所述授权筛选条件确定所述第二粒度数据,将所述第二粒度数据进行遮罩处理,得到细粒度数据。
8.一种细粒度数据访问权限控制装置,其特征在于,所述装置包括:
资源定义模块,用于获取预先定义的权限资源;所述权限资源包括资源与资源属性;
第一粒度数据获取模块,用于通过用户对所述权限资源的访问选定数据范围,根据所述数据范围添加所述资源,在所述资源内配置筛选条件,并确定所述资源的第一粒度数据;
第二粒度数据获取模块,用于根据所述第一粒度数据添加所述资源属性,根据所述资源属性配置限制条件,并确定所述第一粒度数据的第二粒度数据;
访问权限控制模块,用于根据所述第二粒度数据选定可执行操作,根据所述可执行操作获取细粒度数据的访问权限。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310858282.8A CN116579007B (zh) | 2023-07-13 | 2023-07-13 | 细粒度数据访问权限控制方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310858282.8A CN116579007B (zh) | 2023-07-13 | 2023-07-13 | 细粒度数据访问权限控制方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116579007A true CN116579007A (zh) | 2023-08-11 |
CN116579007B CN116579007B (zh) | 2023-09-19 |
Family
ID=87534625
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310858282.8A Active CN116579007B (zh) | 2023-07-13 | 2023-07-13 | 细粒度数据访问权限控制方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116579007B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116805070A (zh) * | 2023-08-24 | 2023-09-26 | 中国人民解放军国防科技大学 | 基于多组织架构的用户权限融合方法、系统及装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010133074A1 (zh) * | 2009-05-22 | 2010-11-25 | 中兴通讯股份有限公司 | 一种基于对象的权限管理系统与方法 |
US20140033280A1 (en) * | 2012-07-25 | 2014-01-30 | Oracle International Corporation | System and method of mapping and protecting communication services with oauth |
CN104217146A (zh) * | 2014-09-04 | 2014-12-17 | 浪潮通用软件有限公司 | 一种基于abac和rbac的权限控制方法 |
CN109918924A (zh) * | 2019-02-02 | 2019-06-21 | 北京奇安信科技有限公司 | 动态访问权限的控制方法及系统 |
CN115618378A (zh) * | 2022-09-28 | 2023-01-17 | 方盈金泰科技(北京)有限公司 | 一种列级的hive访问控制系统及方法 |
CN115796812A (zh) * | 2022-11-14 | 2023-03-14 | 中国人民解放军国防科技大学 | 一种面向多层级组织的人力资源规划方法及系统 |
CN116390092A (zh) * | 2023-02-01 | 2023-07-04 | 南通大学 | 一种基于多策略访问树的车联网细粒度访问控制方法 |
-
2023
- 2023-07-13 CN CN202310858282.8A patent/CN116579007B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010133074A1 (zh) * | 2009-05-22 | 2010-11-25 | 中兴通讯股份有限公司 | 一种基于对象的权限管理系统与方法 |
US20140033280A1 (en) * | 2012-07-25 | 2014-01-30 | Oracle International Corporation | System and method of mapping and protecting communication services with oauth |
CN104217146A (zh) * | 2014-09-04 | 2014-12-17 | 浪潮通用软件有限公司 | 一种基于abac和rbac的权限控制方法 |
CN109918924A (zh) * | 2019-02-02 | 2019-06-21 | 北京奇安信科技有限公司 | 动态访问权限的控制方法及系统 |
CN115618378A (zh) * | 2022-09-28 | 2023-01-17 | 方盈金泰科技(北京)有限公司 | 一种列级的hive访问控制系统及方法 |
CN115796812A (zh) * | 2022-11-14 | 2023-03-14 | 中国人民解放军国防科技大学 | 一种面向多层级组织的人力资源规划方法及系统 |
CN116390092A (zh) * | 2023-02-01 | 2023-07-04 | 南通大学 | 一种基于多策略访问树的车联网细粒度访问控制方法 |
Non-Patent Citations (4)
Title |
---|
唐国纯;: "RBAC细粒度组的权限管理模型的分析与设计", 硅谷, no. 05 * |
王毅彦: "基于授权管理基础设施的授权及访问控制机制", 计算机系统应用, no. 09 * |
赵卫东;毕晓清;卢新明: "基于角色的细粒度访问控制模型的设计与实现", 《计算机工程与设计》, no. 02 * |
邬小鲁;沈琳;: "基于粒度的访问控制冲突分析及解决办法", 舰船电子工程, no. 02 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116805070A (zh) * | 2023-08-24 | 2023-09-26 | 中国人民解放军国防科技大学 | 基于多组织架构的用户权限融合方法、系统及装置 |
CN116805070B (zh) * | 2023-08-24 | 2023-11-07 | 中国人民解放军国防科技大学 | 基于多组织架构的用户权限融合方法、系统及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN116579007B (zh) | 2023-09-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107403106B (zh) | 基于终端用户的数据库细粒度访问控制方法 | |
EP3387575B1 (en) | Policy enforcement for compute nodes | |
US7974942B2 (en) | Data masking system and method | |
US9288211B2 (en) | Providing access control for public and private document fields | |
US11989314B2 (en) | Document-level attribute-based access control | |
WO2021051612A1 (zh) | 数据授权脱敏自动化方法、系统、装置及存储介质 | |
EP3779721A1 (en) | Data access control method and database access device | |
US11556666B2 (en) | Data access policy management | |
CN116579007B (zh) | 细粒度数据访问权限控制方法、装置、设备及存储介质 | |
US10642989B2 (en) | Method for masking content displayed on electronic device | |
CN111061475B (zh) | 软件代码生成方法、装置、计算机设备和存储介质 | |
US20070022091A1 (en) | Access based file system directory enumeration | |
AU2014208184A1 (en) | Systems and methodologies for managing document access permissions | |
US11580206B2 (en) | Project-based permission system | |
CN112632578A (zh) | 业务系统权限控制方法、装置、电子设备及存储介质 | |
CN111931140A (zh) | 权限管理方法、资源访问控制方法、装置和电子设备 | |
CN110968894A (zh) | 一种针对游戏业务数据的细粒度访问控制方案 | |
CN111177700A (zh) | 行级权限的控制方法及装置 | |
CN112926089A (zh) | 一种基于隐私保护的数据风险防控方法、装置及设备 | |
US20160217295A1 (en) | Trusted function based data access security control | |
CN114254371A (zh) | 数据权限处理方法、装置及服务器 | |
CN115563346A (zh) | 基于权限控制的图功能实现方法、系统、电子设备及存储介质 | |
CN109299613B (zh) | 数据库分区权限的设置方法和终端设备 | |
CN114357032A (zh) | 一种数据质量监控方法、装置、电子设备及存储介质 | |
CN111737293A (zh) | 一种数据仓库权限管理方法、装置、设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |