CN117792797B - 基于工业互联网标识解析的数据权限管理方法和装置 - Google Patents
基于工业互联网标识解析的数据权限管理方法和装置 Download PDFInfo
- Publication number
- CN117792797B CN117792797B CN202410210708.3A CN202410210708A CN117792797B CN 117792797 B CN117792797 B CN 117792797B CN 202410210708 A CN202410210708 A CN 202410210708A CN 117792797 B CN117792797 B CN 117792797B
- Authority
- CN
- China
- Prior art keywords
- attribute
- identification
- user
- data
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 50
- 238000007726 management method Methods 0.000 title claims abstract description 50
- 238000000034 method Methods 0.000 claims abstract description 83
- 230000008569 process Effects 0.000 claims description 46
- 238000004590 computer program Methods 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 8
- 238000004806 packaging method and process Methods 0.000 claims description 5
- 238000012216 screening Methods 0.000 claims description 3
- 239000004566 building material Substances 0.000 description 17
- 238000010586 diagram Methods 0.000 description 12
- 238000010276 construction Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Storage Device Security (AREA)
Abstract
本公开实施例公开了一种基于工业互联网标识解析的数据权限管理方法和装置,其中,方法包括:响应于客户端发送的对目标标识的标识解析请求,对标识解析请求中携带的协议证书进行解析,协议证书中包含请求用户的用户属性;将用户属性与预设各个标识属性对应的数据访问策略进行匹配,得到匹配结果,标识属性是目标标识对应标识数据所具有的属性,且目标标识对应的标识数据具有不同的标识属性,不同标识属性具有不同的数据访问策略;在匹配结果指示客户端用户对目标标识属性对应的目标标识数据具有访问权限的情况下,向客户端发送目标标识数据。本公开实施例提供的方法,可针对不同属性的用户反馈不同属性的标识数据,实现标识数据的细粒度管理。
Description
技术领域
本公开涉及工业互联网技术,尤其是一种基于工业互联网标识解析的数据权限管理方法和装置。
背景技术
工业互联网标识可以承载数字信息,用来实现产品追溯、身份识别、生命周期管理等。标识的应用场景,大多依托于标识对数据的承载能力,涉及标识数据的流通使用,必然涉及标识数据的权限管理。
当前标识数据的权限大多依赖于标识体系的自身设计,如基于Handle协议的工业互联网标识数据的权限只有:公共可读、公共可写、管理员可读、管理员可写,只面向管理员和公共用户,且管理员与公共用户可访问的数据相同。在一些场景下,针对标识数据可能存在对不同用户隐藏不同数据的需求,相关技术中的数据权限管理方法存在一定局限,无法满足权限管理的需求。
发明内容
本公开实施例提供一种基于工业互联网标识解析的数据权限管理方法和装置,以实现对数据权限的细粒度管理。
本公开实施例的一个方面,提供一种基于工业互联网标识解析的数据权限管理方法,包括:
响应于客户端发送的对目标标识的标识解析请求,对所述标识解析请求中携带的协议证书进行解析,所述协议证书中包含请求用户的用户属性,所述协议证书基于所述请求用户的用户信息以及所述目标标识对应标识数据的权限需求生成;
将所述用户属性与预设各个标识属性对应的数据访问策略进行匹配,得到匹配结果,所述匹配结果中指示有所述请求用户对各个所述标识属性对应的标识数据的访问权限,其中,所述标识属性是所述目标标识对应标识数据所具有的属性,所述目标标识具有不同的标识属性,不同标识属性具有不同的数据访问策略;
在所述匹配结果指示所述请求用户对目标标识属性对应的目标标识数据具有访问权限的情况下,向所述客户端发送所述目标标识数据,所述目标标识数据是所述目标标识对应的标识数据中具有所述目标标识属性的数据。
可选的,所述将所述用户属性与各个标识属性对应的数据访问策略进行匹配,得到匹配结果,包括:
将所述用户属性与各个所述数据访问策略指示的属性条件进行匹配,得到所述匹配结果,其中,所述属性条件中指示有访问对应的标识属性对应数据应具有的用户属性;
所述在所述匹配结果指示所述请求用户对目标标识属性对应的目标标识数据具有访问权限的情况下,向所述客户端发送所述目标标识数据,包括:
在所述匹配结果指示所述标识解析请求中协议证书解析得到的用户属性符合目标属性条件的情况下,确定所述请求用户对所述目标标识数据具有访问权限,向所述客户端发送所述目标标识数据,所述目标属性条件是所述目标标识属性对应的数据访问策略中指示的属性条件。
可选的,所述数据访问策略为策略树结构,所述策略树结构中包含属性节点与逻辑节点,所述逻辑节点包含根节点与中间逻辑节点;
所述将所述用户属性与各个数据访问策略指示的属性条件进行匹配,包括:
在将所述用户属性与所述目标属性条件匹配的过程中,将所述用户属性与所述根节点相连的下属属性节点相匹配,其中,所述下属属性节点包含与所述根节点直接相连的第一属性节点,和/或,与所述根节点间接相连的第二属性节点,且所述第二属性节点通过所述中间逻辑节点与所述根节点连接;
所述方法还包括:
在所述用户属性与所述下属属性节点的匹配结果满足所述根节点指示的逻辑条件的情况下,确定所述用户属性符合所述目标属性条件。
可选的,所述方法还包括:
获取各个所述标识属性对应的属性条件,所述属性条件中指示有访问对应的标识属性对应数据应具有的用户属性;
基于每个所述标识属性对应的所述属性条件,制定每个所述标识属性对应的数据访问策略;
将所述数据访问策略与所述标识属性绑定。
可选的,所述将所述数据访问策略与所述标识属性绑定,包括:
将同组标识对应标识数据中相同的标识属性进行封装得到同组标识属性,以及为所述同组标识属性设置属性索引,所述同组标识属性具有相同的属性条件;
将所述属性索引与所述同组标识属性对应的数据访问策略绑定。
可选的,所述方法还包括:
响应于所述客户端发送的证书申请请求,获取所述证书申请请求中的用户信息,所述证书申请请求用于请求所述协议证书;
基于所述用户信息以及所述目标标识对应的标识数据的权限需求,确定所述请求用户的所述用户属性;
基于所述用户属性,生成所述协议证书以及向所述客户端发送所述协议证书。
可选的,所述基于所述用户信息以及所述目标标识对应的标识数据的权限需求,确定所述请求用户的所述用户属性,包括:
基于所述用户信息确定所述请求用户所具备的候选用户属性;
基于所述权限需求确定需颁发的目标属性类型;
基于所述目标属性类型,从所述候选用户属性中筛选得到所述请求用户的所述用户属性。
可选的,所述基于所述用户信息以及所述目标标识对应的标识数据的权限需求,确定所述请求用户的所述用户属性,包括:
基于所述权限需求,预制不同用户类型的用户属性;
基于所述用户信息确定所述客户端用户的目标用户类型,以及将所述目标用户类型对应的目标用户属性确定为所述请求用户的用户属性。
本公开实施例的另一个方面,提供一种基于工业互联网标识解析的数据权限管理装置,包括:
证书解析模块,用于响应于客户端发送的对目标标识的标识解析请求,对所述标识解析请求中携带的协议证书进行解析,所述协议证书中包含请求用户的用户属性,所述协议证书基于所述请求用户的用户信息以及所述目标标识对应标识数据的权限需求生成;
策略匹配模块,用于将所述用户属性与预设各个标识属性对应的数据访问策略进行匹配,得到匹配结果,所述匹配结果中指示有所述请求用户对各个标识属性对应的标识数据的访问权限,其中,所述目标标识具有至少一个标识属性,不同标识属性具有不同的数据访问策略;
数据发送模块,用于在所述匹配结果指示所述请求用户对目标标识属性对应的目标标识数据具有访问权限的情况下,向所述客户端发送所述目标标识数据,所述目标标识数据是所述目标标识对应的标识数据中具有所述目标标识属性的数据。
本公开实施例的另一个方面,提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述存储器中存储的计算机程序,且所述计算机程序被执行时,实现上述任一公开实施例所述的基于工业互联网标识解析的数据权限管理方法。
本公开实施例的另一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时,实现上述任一公开实施例所述的基于工业互联网标识解析的数据权限管理方法。
本公开实施例中,在用户申请解析目标标识以获取目标标识对应标识数据的过程中,通过客户端向管理标识数据的服务端发送标识解析请求,服务端可根据标识解析请求中的协议证书确定请求用户的用户属性,之后可将用户属性与不同标识属性对应的数据访问策略进行匹配,确定请求用户对不同标识属性的访问权限,从而向请求用户反馈其可访问的标识属性对应的标识数据。在此过程中,服务端将目标标识对应的标识数据进行不同属性的划分,且针对不同标识属性设置有不同的数据访问策略,可实现对标识数据的属性级权限管理,可针对不同属性的用户反馈不同属性的标识数据,可满足对不同用户隐藏不同数据的需求,实现标识数据的细粒度管理。
本公开实施例中,根据不同标识属性的属性条件制定对应的数据访问策略,且采用策略树结构生成数据访问策略,有助于访问策略的灵活定制,通过对策略树结构中节点的修改可实现对权限的自定义设置,便于灵活自定义权限。
下面通过附图和实施例,对本公开的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同描述一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1为本公开一示例性实施例提供的基于工业互联网标识解析的数据权限管理方法的流程图;
图2为本公开一示例性实施例提供的基于证书与访问策略的权限管理过程的流程图;
图3为本公开一示例性实施例提供的设置数据访问策略的流程图;
图4为本公开一示例性实施例提供的策略树结构的结构示意图;
图5为本公开一示例性实施例提供的将不同属性与数据访问策略绑定过程的示意图;
图6为本公开一示例性实施例提供的协议证书的示意图;
图7为本公开另一示例性实施例提供的基于工业互联网标识解析的数据权限管理方法的流程图;
图8为本公开一示例性实施例提供的策略匹配过程的示意图;
图9为本公开另一示例性实施例提供的基于工业互联网标识解析的数据权限管理方法的流程图;
图10为本公开另一示例性实施例提供的将不同属性与数据访问策略绑定过程的示意图;
图11为本公开另一示例性实施例提供的策略匹配过程的示意图;
图12为本公开另一示例性实施例提供的策略匹配过程的示意图;
图13为本公开另一示例性实施例提供的策略匹配过程的示意图;
图14为本公开一示例性实施例提供的基于工业互联网标识解析的数据权限管理装置的结构示意图;
图15为本公开电子设备一个应用实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
本领域技术人员可以理解,本公开实施例中的“第一”、“第二”等术语仅用于区别不同步骤、设备或模块等,既不代表任何特定技术含义,也不表示它们之间的必然逻辑顺序。
还应理解,在本公开实施例中,“多个”可以指两个或两个以上,“至少一个”可以指一个、两个或两个以上。
还应理解,对于本公开实施例中提及的任一部件、数据或结构,在没有明确限定或者在前后文给出相反启示的情况下,一般可以理解为一个或多个。
另外,本公开中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本公开中字符“/”,一般表示前后关联对象是一种“或”的关系。
还应理解,本公开对各个实施例的描述着重强调各个实施例之间的不同之处,其相同或相似之处可以相互参考,为了简洁,不再一一赘述。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
本公开实施例可以应用于终端设备、计算机系统、服务器等电子设备,其可与众多其它通用或专用计算系统环境或配置一起操作。适于与终端设备、计算机系统、服务器等电子设备一起使用的众所周知的终端设备、计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境,等等。
终端设备、计算机系统、服务器等电子设备可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
图1是本公开一示例性实施例提供的基于工业互联网标识解析的数据权限管理方法的流程示意图。本公开实施例提供的方法可用于电子设备,如图1所示,包含如下步骤:
步骤101,响应于客户端发送的对目标标识的标识解析请求,对标识解析请求中携带的协议证书进行解析。
其中,协议证书中包含请求用户的用户属性,所述协议证书基于所述请求用户的用户信息以及所述目标标识对应标识数据的权限需求生成。
本实施例中提供的方法用于管理标识数据的服务端。可选的,服务端可为终端设备、计算机系统或服务器等电子设备。且同样的,客户端也可为终端设备、计算机系统或服务器等电子设备,本公开实施例对此不做限定。
本公开实施例中的标识,具体为工业互联网标识,每个标识用于唯一标记一个对象,其中的对象例如可以包括但不限于物品、实体以及数据对象等,通过标识可提供对象数据信息查询功能,标识数据即标识所标记对象对应的数据信息。标识解析技术即指根据目标对象的目标标识查询其相关信息的过程。示意性的,本实施例中的标识可为产品、零部件、机器设备等对象的标识,标识数据可为产品、零部件、机器设备等对应的数据。
在用户需要获取目标标识对应的相关数据(以下简称为:标识数据)的过程中,可通过客户端向服务端发送标识解析请求,该标识解析请求中携带有目标标识,用于从服务端获取目标标识标记对象的标识数据。本实施例中,标识解析请求中携带有请求用户的协议证书,且协议证书中包含请求用户的用户属性,请求用户可为客户端登录的用户。用户属性是请求用户的身份信息以及请求用户所具有的权限信息的集合。需要说明的是,协议证书由服务端向客户端颁发,用户可通过客户端申请协议证书,服务端接收到协议证书申请后,确定请求用户的用户属性,生成包含用户属性的协议证书发送至客户端。其中,服务端可根据请求用户的用户信息以及目标标识对应标识数据的权限需求确定用户的用户属性,以生成协议证书。
步骤102,将用户属性与预设各个标识属性对应的数据访问策略进行匹配,得到匹配结果。
其中,匹配结果中指示有请求用户对各个标识属性对应的标识数据的访问权限,标识属性是目标标识对应标识数据所具有的属性,且目标标识对应的标识数据具有不同标识属性,不同标识属性具有不同的数据访问策略。
同一标识对应的标识数据中包含多种数据,本公开实施例中,针对同一标识的标识数据进行属性划分,得到若干个标识属性,即预先设置目标标识对应标识数据所具有的标识属性。且不同标识属性对不同用户可见,服务端针对每种标识属性预先设置对应的数据访问策略,以实现对标识数据的属性级权限管理。
其中,属性划分时可根据标识数据包含的种类划分,不同类型的数据对应不同的标识属性;或者,在种类划分的基础上,也可针对同种类型数据进行二次划分,将同种类型数据中的多个数据划分为多个标识属性。本实施例中,目标标识对应的标识数据包含目标标识所标记对象的全部对象数据,且服务端针对目标标识对应标识数据进行属性划分,得到目标标识对应标识数据具有的不同标识属性。
对于目标标识属性对应的目标数据访问策略,其中指示有访问目标标识属性对应数据应具有的属性条件。在客户端申请访问目标对象对应的标识数据时,可将请求用户的用户属性与标识数据包含的多种标识属性对应的数据访问策略进行匹配,确定请求用户可访问的标识属性,实现针对不同用户进行不同数据的隐藏。
示意性的,当标识数据为商品房数据时,对商品房数据进行属性的划分,可划分为建筑材料一(Index1)、建筑材料二(Index2)以及建造成本(Index3)。针对三种标识属性,分别设置有三种对应的数据访问策略。在请求用户发送针对商品房数据的标识解析请求(携带有商品房标识)时,可将请求用户的用户属性与三种数据访问策略进行匹配,确定请求用户分别对三种标识属性的访问权限。
步骤103,在匹配结果指示请求用户对目标标识属性对应的目标标识数据具有访问权限的情况下,向客户端发送目标标识数据。
目标标识数据是目标标识对应的标识数据中具有目标标识属性的数据。
其中,匹配结果中指示有请求用户对所有标识属性对应标识数据是否具有访问权限。当匹配结果指示请求用户对目标标识属性对应的目标标识数据具有访问权限时,可将目标标识数据封装,并将封装后的数据发送至客户端。
本公开实施例中,提供一种基于证书与访问策略的权限管理方法,如图2所示,目标标识的标识数据具有属性1以及属性2,属性1与策略一201绑定,属性2与策略二202绑定。用户A与用户B可从服务端申请协议证书,服务端向用户A对应的客户端反馈用户A证书以及向用户B对应的客户端反馈用户B证书。在用户A与用户B请求标识解析的过程中,服务端将用户A证书以及用户B证书中的用户属性分别与策略一201以及策略二202匹配,确定用户A以及用户B对属性1以及属性2对应数据的访问权限,匹配结果指示用户A对属性1具有访问权限,用户B对属性2具有访问权限的情况下,向用户A对应的客户端反馈属性1对应的标识数据,以及向用户B反馈属性2对应的标识数据。
本公开实施例中,在用户申请解析目标标识以获取目标标识对应标识数据的过程中,通过客户端向管理标识数据的服务端发送标识解析请求,服务端可根据标识解析请求中的协议证书确定请求用户的用户属性,之后可将用户属性与不同标识属性对应的数据访问策略进行匹配,确定请求客户端用户对不同标识属性的访问权限,从而向请求用户反馈其可访问的标识属性对应的标识数据。在此过程中,服务端将目标标识对应的标识数据进行不同属性的划分,且针对不同标识属性设置有不同的数据访问策略,可实现对标识数据的属性级权限管理,且通过用户属性与数据访问策略的匹配,可针对不同属性的用户反馈不同属性的标识数据,可满足对不同用户隐藏不同数据的需求,实现标识数据的细粒度管理。
本公开实施例中,服务端结合标识数据的权限需求,对标识数据的每个标识属性设置数据访问策略,如图3所示,服务端设置数据访问策略的过程包含如下步骤:
步骤301,获取各个标识属性对应的属性条件。
其中,属性条件中指示有访问对应的标识属性对应数据应具有的用户属性。
不同标识属性对应的属性条件可根据目标标识对应标识数据的权限需求确定,其中,标识数据的权限需求可由标识注册客户端提供。标识注册客户端向服务端提供标识数据,且同时提供标识数据中不同数据的权限需求。
在一种可能的实施方式中,服务端可根据标识注册客户端提供的权限需求确定标识数据中不同标识属性对应的属性条件。
示意性的,在标识数据为商品房数据,商品房数据的权限需求为建筑材料一对A地区与B地区的供应商可见,且供应商需具备read或write权限;建筑材料二对A地区与C地区的供应商可见,且供应商需具备read或write权限;建造成本对A地区与C地区的销售可见,且销售需具备read权限。则服务端可确定建筑材料一的属性条件为:A地区或B地区的供应商,以及具备read或write权限;建筑材料二的属性条件为:A地区或C地区的供应商,以及具备read或write权限;建造成本的属性条件为:A地区或C地区的销售,以及具备read权限。
步骤302,基于每个标识属性对应的属性条件,制定标识属性对应的数据访问策略。
在一种可能的实施方式中,采用策略树结构制定数据访问策略。其中,策略树结构包含逻辑节点与属性节点,逻辑节点表示策略条件,可向下扩展,属性节点是用于属性匹配的基础节点。如图4所示,其示出了一种数据访问策略对应的策略树结构,其中,该访问策略具备3个层级,策略根节点2/3表示,如果想满足该访问策略,必须匹配策略根节点下属3个节点中的任意2个才可以,即必须匹配下属节点:逻辑节点1、属性节点3、逻辑节点2中的至少2个。同理针对逻辑节点1(1/2),表示必须匹配下属节点:属性节点1、属性节点2中的任意1个才算满足逻辑节点1的策略。
结合上述示例,商品房数据中不同标识属性对应的数据访问策略如下:
建筑材料一:(3/3)[供应商、(1/2)[read、write](1/2)[A地区、B地区]]
建筑材料二:(3/3)[供应商、(1/2)[read、write]、(1/2)[A地区、C地区]]
建造成本:(3/3)[销售、read、(1/2)[A地区、C地区]]
步骤303,将数据访问策略与标识属性绑定。
服务端针对每个标识属性,设置有对应的属性索引,用于唯一标记标识属性。制定数据访问策略后,可将数据访问策略与标识属性对应的属性索引绑定,以基于属性索引查询对应的数据访问策略。示意性的,结合上述示例,建筑材料一对应的属性索引为Index1,建筑材料二对应的属性索引为Index2,建造成本对应的属性索引为Index3,可分别将其对应的数据访问策略与属性索引绑定。
在一种可能的实施方式中,可针对每个对象的标识属性均建立属性索引并绑定对应的数据访问策略;而通常情况下,同一批次产品等具有相同的权限需求,其所对应的数据访问策略相同,因此,为减少数据量,在另一种可能的实施方式中,可基于同批次数据进行标识属性与数据访问策略的绑定,该方式包含如下步骤:
步骤3031,将同组标识对应标识数据中相同的标识属性进行封装得到同组标识属性,以及为同组标识属性设置属性索引,同组标识属性具有相同的属性条件。
其中,同组标识中每个标识标记的对象为同类对象。服务端可基于标识注册客户端提供的数据,确定同组标识数据(即同组标识对应标识数据),并将同组标识数据相同的标识属性进行封装,之后,可为同组标识属性设置对应的属性索引。示意性的,结合上述示例,可将同批次商品房数据中建筑材料一进行封装,得到同组建筑材料一,为同组建筑材料一设置属性索引Index1。
步骤3032,将属性索引与同组标识属性对应的数据访问策略绑定。
在绑定时,可将属性索引与同组标识属性对应的数据访问策略绑定,简化策略制定流程且减少数据量。
示意性的,如图5所示,服务端根据商品房信息生成对应的商品房标识:88.111.1/house,且进行属性划分,并生成各个标识属性的属性索引,之后,可根据每个标识属性的属性条件制定数据访问策略,根据Index1的属性条件生成策略树一501,根据Index2的属性条件生成策略树二502以及根据Index3的属性条件生成策略树三503,再将策略树一501与Index1绑定,将策略树二502与Index2绑定以及将策略树三503与Index3绑定。
本公开实施例中,根据不同标识属性的属性条件制定对应的数据访问策略,且采用策略树结构生成数据访问策略,有助于访问策略的灵活定制,通过节点的修改可实现对权限的自定义设置,便于灵活修改权限。
本公开实施例中,基于协议证书与数据访问策略实现数据访问的灵活管理。其中,协议证书由服务端颁发给请求用户,使得请求用户使用协议证书申请解析标识。其中,协议证书的生成过程包含如下步骤:
步骤1,响应于客户端发送的证书申请请求,获取证书申请请求中的用户信息,证书申请请求用于请求协议证书。
在客户端申请协议证书过程中,向服务端发送证书申请请求,证书申请请求中包含用户标识、公钥信息以及用户信息。其中,用户标识与公钥信息用于验证用户身份。服务端可根据用户标识与公钥信息核验用户是否为有效用户,在确定用户为有效用户后,可获取用户信息,根据用户信息确定用户属性。
步骤2,基于用户信息以及目标标识对应的标识数据的权限需求,确定请求用户的用户属性。
本公开实施例中,根据用户信息确定用户属性时,会结合标识数据的权限需求确定。在一种可能的实施方式中,用户信息中包含多种用户属性,而实际标识数据的权限需求仅关注部分属性,可根据标识数据的权限需求在用户信息中筛选确定请求用户的用户属性。该过程包含步骤21-23:
步骤21,基于用户信息确定用户所具备的候选用户属性。
可选的,用户信息包含用户的身份信息、地域信息、权限信息等多种信息类型。根据每种信息类型可确定一种候选用户属性,得到候选属性集合。
步骤22,基于权限需求确定需颁发的目标属性类型。
服务端可根据权限需求中对用户属性的限制,确定在匹配过程中需使用的目标属性类型。示意性的,在权限需求中仅存在对身份信息以及地域信息的限制时,确定目标属性类型即为身份类型以及地域类型。
步骤23,基于目标属性类型,从候选用户属性中筛选得到请求用户的用户属性。
服务端可在候选用户属性中筛选属于目标属性类型的属性,筛选得到的类型即为用户属性。
或者,在另一种可能的实施方式中,服务端可根据权限需求中为不同类型的用户预先设置用户属性。在请求用户申请协议证书时,可根据用户的类型直接匹配预设的用户属性,下发至客户端。该过程包含步骤24-25:
步骤24,基于权限需求,预制不同用户类型的用户属性。
服务端可根据权限需求中指示的用户对各种标识属性的可见性,预先设置不同用户类型的用户属性,其中,不同用户类型对应的用户其中存在至少一种用户属性不同。
示意性的,结合上述示例,权限需求中建筑材料一对A、B地区的供应商可见时,则可预先设置A、B地区的供应商的用户属性包含地区、供应商以及readwrite权限。
步骤25,基于用户信息确定请求用户的目标用户类型,以及将目标用户类型对应的目标用户属性确定为请求用户的用户属性。
用户信息中包含若干用户属性信息,可将用户信息与预先设置的多种用户类型的用户属性进行匹配,在匹配结果指示用户信息包含目标用户类型对应的所有用户属性的情况下,确定请求用户对应目标用户类型,且将目标用户类型对应的目标用户属性确定为请求用户的用户属性。
步骤3,基于用户属性,生成协议证书以及向客户端发送协议证书。
服务端基于用户属性生成协议证书,用于后续的属性匹配。需要说明的是,协议证书中还包含主体标识、认证机构签名、公钥信息,用于后续标识解析过程中的用户认证。其中,主体标识即为证书申请请求中的用户标识;认证机构签名是服务端颁发证书时对证书内容的签名,指示证书的完整性与真实性;公钥信息同样为证书申请请求中所携带的信息,与主体标识结合核验用户。
示意性的,对某用户生成的协议证书如图6所示,包含主体标识(ID)、认证机构签名、公钥信息以及用户属性,其中,用户属性包含地区、身份、以及权限属性。
本公开实施例中,数据访问策略实际上是一系列关于属性匹配的逻辑条件,其指示了访问对应标识属性应具有的用户属性条件。如图7所示,其示出了本公开另一示例性实施例提供的基于工业互联网标识解析的数据权限管理方法的流程示意图。该方法包括:
步骤701,响应于客户端发送的对目标标识的标识解析请求,对标识解析请求中携带的协议证书进行解析。
服务端接收到标识解析请求后,可解析得到协议证书中的认证机构签名、主体标识、公钥信息以及用户属性。服务端可根据证书中的认证机构签名,使用服务端私钥进行验证,确定证书是否为有效证书,在私钥匹配成功的情况下确定证书为有效证书,之后,利用证书中的主体标识与公钥信息进行用户确权,验证用户是否为有效用户,确定用户为有效用户的情况下,再利用用户属性确定用户的访问权限。
步骤702,将用户属性与各个数据访问策略指示的属性条件进行匹配,得到匹配结果,其中,属性条件中指示有访问标识属性对应数据应具有的用户属性。
数据访问策略实际上是属性条件的集合。可将用户属性与不同数据访问策略对应的属性条件进行匹配,确定请求用户可匹配的数据访问策略。
在一个示例性的实施例中,数据访问策略为策略树结构。
将用户属性与目标属性条件匹配的过程中,将用户属性与根节点相连的下属属性节点相匹配,其中,下属属性节点包含与根节点直接相连的第一属性节点,和/或,与根节点间接相连的第二属性节点,且第二属性节点通过中间逻辑节点与根节点连接。
策略树结构中的策略根节点可能直接与属性节点相连,也可能连接中间逻辑节点,中间逻辑节点连接有属性节点。用户属性与目标属性条件匹配的过程即为将用户属性与目标属性条件对应目标数据访问策略的策略树结构匹配的过程,在此过程中,首先将用户属性与下属属性节点匹配,下属属性节点中包含不同的属性信息,在用户属性与其中一个属性节点匹配的情况下,再基于其相连的逻辑节点判断是否满足其指示的逻辑条件,最终,根据与属性节点的匹配结果以及策略根节点指示的逻辑条件确定用户属性是否满足目标属性条件。
在下属属性节点包含第一属性节点以及第二属性节点的情况下,将用户属性与第二属性节点匹配,若用户属性包含第二属性节点对应的属性,则确定是否满足第二属性节点连接的中间逻辑节点对应的逻辑条件,在中间逻辑节点对应的逻辑条件均满足的情况下,再结合第一属性节点的匹配结果,确定是否满足策略根节点的逻辑条件。
而在下属属性节点仅包含第一属性节点的情况下,将用户属性与第一属性节点对应的属性相匹配,根据匹配结果确定是否满足策略根节点的逻辑条件。
其中,在用户属性与下属属性节点的匹配结果满足根节点指示的逻辑条件的情况下,确定用户属性符合目标属性条件。
示意性的,结合上述示例,如图8所示,其中,用户A证书中指示用户A具有的用户属性包含A地区、read以及供应商;将其分别与策略树一501,策略树二502以及策略树三503进行匹配,在与策略树一501的匹配过程中,其可匹配第二属性节点中的read节点以及A地区节点,满足逻辑节点一801以及逻辑节点二802的逻辑条件,且其可匹配第一属性节点中的供应商节点,在逻辑节点一801以及逻辑节点二802的逻辑条件满足的情况下,策略根节点指示的逻辑条件也满足,Index1对应的标识数据对用户A可见,基于同样的匹配方式,Index2对应的标识数据对用户A可见,而Index3对应的标识数据对用户A不可见,可向用户A反馈建筑材料一以及建筑材料二对应的标识数据。
用户B证书中指示用户B具有的用户属性包含C地区、read以及销售,与策略树一501,策略树二502以及策略树三503进行匹配后,确定Index1对应的标识数据对用户B不可见,Index2对应的标识数据对用户B不可见,而Index3对应的标识数据对用户B可见,可向用户B反馈建造成本对应的标识数据。
步骤703,在匹配结果指示标识解析请求中协议证书解析得到的用户属性符合目标属性条件的情况下,确定请求用户对目标标识数据具有访问权限,向客户端发送目标标识数据。
其中,目标属性条件是目标标识属性对应的数据访问策略中指示的属性条件。当用户属性符合目标属性条件对应策略树中策略根节点指示的逻辑条件时,确定请求用户对目标标识数据具有访问权限,将目标标识数据进行封装后,反馈至客户端。
本实施例中,基于用户属性与策略树结构中的属性节点相匹配,确定用户属性匹配成功的数据访问策略,从而确定用户可访问的标识属性数据,可针对不同用户反馈不同的标识数据,实现数据权限的细粒度管理。
如图9所示,其示出了本申请一个示例性实施例提供的基于工业互联网标识解析的数据权限管理方法的流程图。
其中,包含策略管理、证书管理以及策略匹配过程。
策略管理过程包含:
步骤1,服务端封装标识数据。
其中,封装过程即对同组标识数据中相同标识属性的封装。
步骤2,服务端配置访问策略。
服务端针对标识数据中不同标识属性配置不同的数据访问策略。
步骤3,服务端绑定属性与策略。
服务端将标识属性与数据访问策略绑定。
证书管理过程包括:
步骤1,客户端向服务端申请协议证书。
步骤2,服务端核验用户有效性。
服务端可根据请求中携带的用户标识以及公钥信息核验用户有效性。
步骤3,服务端分配用户属性。
服务端结合权限需求以及请求中携带的用户信息确定用户属性。
步骤4,服务端生成协议证书并反馈至客户端。
步骤5,客户端获取用户证书。
策略匹配过程包括:
步骤1,客户端携带证书请求。
客户端向服务端发送携带协议证书的标识解析请求。
步骤2,服务端核验证书有效性。
服务端根据协议证书的认证机构签名核验证书的有效性。
步骤3,服务端进行用户确权。
且服务端根据协议证书中主体标识以及公钥信息确定用户有效性。
步骤4,服务端解析证书内容。
服务端解析证书内容得到用户属性。
步骤5,服务端进行策略匹配。
服务端将用户属性与不同标识属性的数据访问策略进行匹配。
步骤6,服务端进行数据封装并反馈至客户端。
服务端根据匹配结果可确定需反馈至客户端的标识数据,将需反馈的数据进行封装并反馈至客户端。
步骤7,客户端获取标识数据。
本实施例中的各步骤的实施方式可参考上述实施例,在此不再赘述。
上述实施例中,均以商品房数据为例进行说明。在另一个示意性的例子中,以标识数据为线缆产品数据为例,如图10所示,在线缆生产厂商注光缆信息时,注册的标识数据包含产品类型、产品说明、成本价、批发价以及建议零售价,其对应的权限需求为:成本价仅可由制造商查看;批发价面对批发商,批发商可见;建议零售价由零售商可见。且成本价限于D地可见,批发价限于E地区与D地可见。针对权限需求,可确定不同标识属性的属性条件,其中,产品类型与产品说明对应的属性条件为制造商、批发商、零售商均可见;成本价的属性条件为D地区的制造商可见、批发价的属性条件为E地区、D地区的制造商与批发商可见、零售价的属性条件为制造商、批发商以及零售商可见。
基于上述属性条件,可制定如下数据访问策略:
产品类型的数据访问策略为第一策略树1001,对应策略为:(1/3)[制造商、批发商、零售商];
产品说明的数据访问策略为第二策略树1002,对应策略为:(1/3)[制造商、批发商、零售商];
成本价的数据访问策略为第三策略树1003,对应策略为:(2/2)[制造商、广州];
批发价的数据访问策略为第四策略树1004,对应策略为:(2/2)[(1/2)[制造商、批发商]、(1/2)[广州、福建]];
零售价的数据访问策略为第五策略树1005,对应策略为:(1/3)[制造商、批发商、零售商]。
制定策略后将其与对应的标识属性的属性索引绑定,其中,产品类型的属性索引为Index1,产品说明的属性索引为Index2,成本价的属性索引为Index3,批发价的属性索引为Index4,零售价的属性索引为Index5。可将Index1与第一策略树绑定;将Index2与第二策略树绑定;Index3与第三策略树绑定;Index4与第四策略树绑定;Index5与第五策略树绑定。
不同用户可向服务端申请线缆数据对应的协议证书,其中,D地区的制造商申请协议证书,其用户属性D地区、制造商;E地区的批发商申请协议证书,其用户属性为E地区、批发商;零售商申请协议证书,其用户属性为零售商。
在D地区的制造商申请解析标识时,服务端可对其协议证书进行解析,得到用户属性,并将用户属性与上述五个策略树进行匹配,如图11所示,在与第一策略树1001以及第二策略树1002匹配的过程中,其可与制造商节点匹配,满足第一策略树1001与第二策略树1002的策略根节点(1/3);在与第三策略树1003匹配的过程中,可与D地区与制造商节点匹配,满足第三策略树1003的策略根节点(2/2);在与第四策略树1004匹配的过程中,可与第二属性节点中的D地区与制造商匹配,符合两个中间逻辑节点(1/2),再根据中间逻辑节点确定符合策略根节点(2/2);在与第五策略树1005匹配的过程中,可与制造商节点匹配,满足第五策略树1005的策略根节点(1/3),即匹配结果指示用户属性满足五个策略树指示的数据访问策略,因此,五个标识属性对应的数据均对其可见,可向该用户反馈产品类型、产品说明、成本价、批发价以及零售价对应的标识数据。
在E地区的制造商申请解析标识时,匹配过程如图12所示,其用户属性可与第一策略树1001、第二策略树1002、第四策略树1004以及第五策略树1005匹配,因此,产品类型、产品说明、批发价以及零售价对应数据对其可见,而其与第三策略树不匹配,成本价对应数据对其不可见,可向该用户反馈产品类型、产品说明、批发价以及零售价对应的标识数据。
在零售商申请解析标识时,匹配过程如图13所示,其用户属性可与第一策略树1001、第二策略树1002以及第五策略树1005匹配,而与第二策略树1002与第三策略树1003不匹配,因此,产品类型、产品说明以及零售价对应的数据对其可见,而成本价以及批发价对应的数据对其不可见,可向该用户反馈产品类型、产品说明以及成本价对应的标识数据。
通过上述方式可实现针对不同类型用户隐藏不同线缆数据,实现线缆数据权限的灵活管理。
图14是本公开一个示例性实施例提供的基于工业互联网标识解析的数据权限管理装置的结构框图,该装置包括:
证书解析模块1401,用于响应于客户端发送的对目标标识的标识解析请求,对所述标识解析请求中携带的协议证书进行解析,所述协议证书中包含请求用户的用户属性,所述协议证书基于所述请求用户的用户信息以及所述目标标识对应标识数据的权限需求生成;
策略匹配模块1402,用于将所述用户属性与预设各个标识属性对应的数据访问策略进行匹配,得到匹配结果,所述匹配结果中指示有所述请求用户对各个标识属性对应的标识数据的访问权限,其中,所述标识属性是所述目标标识对应标识数据所具有的属性,且所述目标标识对应的标识数据具有不同的标识属性,不同标识属性具有不同的数据访问策略;
数据发送模块1403,用于在所述匹配结果指示所述请求用户对目标标识属性对应的目标标识数据具有访问权限的情况下,向所述客户端发送所述目标标识数据,所述目标标识数据是所述目标标识对应的标识数据中具有所述目标标识属性的数据。
可选的,所述策略匹配模块1402还用于:
将所述用户属性与各个数据访问策略指示的属性条件进行匹配,得到所述匹配结果,其中,所述属性条件中指示有访问对应的标识属性对应数据应具有的用户属性;
所述数据发送模块1403,还用于:
在所述匹配结果指示所述标识解析请求中协议证书解析得到的用户属性符合目标属性条件的情况下,确定所述请求用户对所述目标标识数据具有访问权限,向所述客户端发送所述目标标识数据,所述目标属性条件是所述目标标识属性对应的数据访问策略中指示的属性条件。
可选的,所述数据访问策略为策略树结构,所述策略树结构中包含属性节点与逻辑节点,所述逻辑节点包含根节点与中间逻辑节点;
所述策略匹配模块1402还用于:
在将所述用户属性与所述目标属性条件匹配的过程中,将所述用户属性与所述根节点相连的下属属性节点相匹配,其中,所述下属属性节点包含与所述根节点直接相连的第一属性节点,和/或,与所述根节点间接相连的第二属性节点,且所述第二属性节点通过所述中间逻辑节点与所述根节点连接;
在所述用户属性与所述下属属性节点的匹配结果满足所述根节点指示的逻辑条件的情况下,确定所述用户属性符合所述目标属性条件。
可选的,所述装置还包括:
条件获取模块,用于获取各个所述标识属性对应的属性条件,所述属性条件中指示有访问对应的标识属性对应数据应具有的用户属性;
策略制定模块,用于基于每个所述标识属性对应的所述属性条件,制定每个所述标识属性对应的数据访问策略;
属性绑定模块,用于将所述数据访问策略与所述标识属性绑定。
可选的,所述属性绑定模块,还用于:
将同组标识对应标识数据中相同的标识属性进行封装得到同组标识属性,以及为所述同组标识属性设置属性索引,所述同组标识属性具有相同的属性条件;
将所述属性索引与所述同组标识属性对应的数据访问策略绑定。
可选的,所述装置还包括:
请求获取模块,用于响应于所述客户端发送的证书申请请求,获取所述证书申请请求中的用户信息,所述证书申请请求用于请求所述协议证书;
属性确定模块,用于基于所述用户信息以及所述目标标识对应的标识数据的权限需求,确定所述请求用户的所述用户属性;
证书生成模块,用于基于所述用户属性,生成所述协议证书以及向所述客户端发送所述协议证书。
可选的,所述属性确定模块,还用于:
基于所述用户信息确定所述请求用户所具备的候选用户属性;
基于所述权限需求确定需颁发的目标属性类型;
基于所述目标属性类型,从所述候选用户属性中筛选得到所述请求用户的所述用户属性。
可选的,所述属性确定模块,还用于:
基于所述权限需求,预制不同用户类型的用户属性;
基于所述用户信息确定所述请求用户的目标用户类型,以及将所述目标用户类型对应的目标用户属性确定为所述请求用户的用户属性。
本公开实施例中,在用户申请解析目标标识以获取目标标识对应标识数据的过程中,通过客户端向管理标识数据的服务端发送标识解析请求,服务端可根据标识解析请求中的协议证书确定请求用户的用户属性,之后可将用户属性与不同标识属性对应的数据访问策略进行匹配,确定请求用户对不同标识属性的访问权限,从而向请求用户反馈其可访问的标识属性对应的标识数据。在此过程中,服务端将目标标识的标识数据进行不同属性的划分,且针对不同标识属性设置有不同的数据访问策略,可实现对标识数据的属性级权限管理,可针对不同属性的用户反馈不同属性的标识数据,可满足对不同用户隐藏不同数据的需求,实现标识数据的细粒度管理。
本公开实施例基于工业互联网标识解析的数据权限管理装置与本公开上述基于工业互联网标识解析的数据权限管理方法的实施例之间相互对应,相关内容可以相互参考,此处不再赘述。本公开实施例基于工业互联网标识解析的数据权限管理装置对应的有益技术效果可以参见上述对应的示例性方法部分的相应有益技术效果,此处不再赘述。
另外,本公开实施例还提供了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述存储器中存储的计算机程序,且所述计算机程序被执行时,实现本公开上述任一实施例所述的基于工业互联网标识解析的数据权限管理方法。
图15本公开电子设备一个应用实施例的结构示意图。下面,参考图15来描述根据本公开实施例的电子设备。该电子设备可以是第一设备和第二设备中的任一个或两者、或与它们独立的单机设备,该单机设备可以与第一设备和第二设备进行通信,以从它们接收所采集到的输入信号。
如图15所示,电子设备包括一个或多个处理器和存储器。
处理器可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备中的其他组件以执行期望的功能。
存储器可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器可以运行所述程序指令,以实现上文所述的本公开的各个实施例的基于工业互联网标识解析的数据权限管理方法以及/或者其他期望的功能。
在一个示例中,电子设备还可以包括:输入装置和输出装置,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。
此外,该输入设备还可以包括例如键盘、鼠标等等。
该输出装置可以向外部输出各种信息,包括确定出的距离信息、方向信息等。该输出设备可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图15中仅示出了该电子设备中与本公开有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备还可以包括任何其他适当的组件。
除了上述方法和设备以外,本公开的实施例还可以是计算机程序产品,其包括计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述部分中描述的根据本公开各种实施例的基于工业互联网标识解析的数据权限管理方法中的步骤。
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本公开的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述部分中描述的根据本公开各种实施例的基于工业互联网标识解析的数据权限管理方法中的步骤。
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上结合具体实施例描述了本公开的基本原理,但是,需要指出的是,在本公开中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本公开的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本公开为必须采用上述具体的细节来实现。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本公开中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”,且可与其互换使用。
可能以许多方式来实现本公开的方法和装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
还需要指出的是,在本公开的装置、设备和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本公开。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本公开的范围。因此,本公开不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本公开的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。
Claims (9)
1.一种基于工业互联网标识解析的数据权限管理方法,其特征在于,包括:
响应于客户端发送的对目标标识的标识解析请求,对所述标识解析请求中携带的协议证书进行解析,所述协议证书中包含请求用户的用户属性,所述协议证书基于所述请求用户的用户信息以及所述目标标识对应标识数据的权限需求生成;
将所述用户属性与预设各个标识属性对应的数据访问策略所指示的属性条件进行匹配,得到匹配结果,所述匹配结果中指示有所述请求用户对各个所述标识属性对应的标识数据的访问权限,其中,所述标识属性是所述目标标识对应标识数据所具有的属性,且所述目标标识对应的标识数据具有不同的标识属性,不同标识属性具有不同的数据访问策略,所述属性条件中指示有访问对应的标识属性对应数据应具有的用户属性,所述数据访问策略为策略树结构,所述策略树结构中包含属性节点与逻辑节点,所述逻辑节点包含根节点与中间逻辑节点,在将所述用户属性与目标属性条件匹配的过程中,将所述用户属性与所述根节点相连的下属属性节点相匹配,其中,所述下属属性节点包含与所述根节点直接相连的第一属性节点,和/或,与所述根节点间接相连的第二属性节点,且所述第二属性节点通过所述中间逻辑节点与所述根节点连接,所述目标属性条件是目标标识属性对应的数据访问策略中指示的属性条件;在所述用户属性与所述下属属性节点的匹配结果满足所述根节点指示的逻辑条件的情况下,确定所述用户属性符合所述目标属性条件;
在所述匹配结果指示所述用户属性符合所述目标属性条件的情况下,确定所述请求用户对所述目标标识属性对应的目标标识数据具有访问权限,向所述客户端发送所述目标标识数据,所述目标标识数据是所述目标标识对应的标识数据中具有所述目标标识属性的数据。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取各个所述标识属性对应的属性条件,所述属性条件中指示有访问对应的标识属性对应数据应具有的用户属性;
基于每个所述标识属性对应的所述属性条件,制定每个所述标识属性对应的数据访问策略;
将所述数据访问策略与所述标识属性绑定。
3.根据权利要求2所述的方法,其特征在于,所述将所述数据访问策略与所述标识属性绑定,包括:
将同组标识对应标识数据中相同的标识属性进行封装得到同组标识属性,以及为所述同组标识属性设置属性索引,所述同组标识属性具有相同的属性条件;
将所述属性索引与所述同组标识属性对应的数据访问策略绑定。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于所述客户端发送的证书申请请求,获取所述证书申请请求中的用户信息,所述证书申请请求用于请求所述协议证书;
基于所述用户信息以及所述目标标识对应的标识数据的权限需求,确定所述请求用户的所述用户属性;
基于所述用户属性,生成所述协议证书以及向所述客户端发送所述协议证书。
5.根据权利要求4所述的方法,其特征在于,所述基于所述用户信息以及所述目标标识对应的标识数据的权限需求,确定所述请求用户的所述用户属性,包括:
基于所述用户信息确定所述请求用户所具备的候选用户属性;
基于所述权限需求确定需颁发的目标属性类型;
基于所述目标属性类型,从所述候选用户属性中筛选得到所述请求用户的所述用户属性。
6.根据权利要求4所述的方法,其特征在于,所述基于所述用户信息以及所述目标标识对应的标识数据的权限需求,确定所述请求用户的所述用户属性,包括:
基于所述权限需求,预制不同用户类型的用户属性;
基于所述用户信息确定所述请求用户的目标用户类型,以及将所述目标用户类型对应的目标用户属性确定为所述请求用户的用户属性。
7.一种基于工业互联网标识解析的数据权限管理装置,其特征在于,所述装置用于实现上述权利要求1-6任一所述的基于工业互联网标识解析的数据权限管理的方法,所述装置包括:
证书解析模块,用于响应于客户端发送的对目标标识的标识解析请求,对所述标识解析请求中携带的协议证书进行解析,所述协议证书中包含请求用户的用户属性,所述协议证书基于所述请求用户的用户信息以及所述目标标识对应标识数据的权限需求生成;
策略匹配模块,用于将所述用户属性与预设各个标识属性对应的数据访问策略所指示的属性条件进行匹配,得到匹配结果,所述匹配结果中指示有所述请求用户对各个标识属性对应的标识数据的访问权限,其中,所述标识属性是所述目标标识对应标识数据所具有的属性,且所述目标标识对应的标识数据具有不同的标识属性,不同标识属性具有不同的数据访问策略,所述属性条件中指示有访问对应的标识属性对应数据应具有的用户属性,所述数据访问策略为策略树结构,所述策略树结构中包含属性节点与逻辑节点,所述逻辑节点包含根节点与中间逻辑节点,在将所述用户属性与目标属性条件匹配的过程中,将所述用户属性与所述根节点相连的下属属性节点相匹配,其中,所述下属属性节点包含与所述根节点直接相连的第一属性节点,和/或,与所述根节点间接相连的第二属性节点,且所述第二属性节点通过所述中间逻辑节点与所述根节点连接,所述目标属性条件是目标标识属性对应的数据访问策略中指示的属性条件;在所述用户属性与所述下属属性节点的匹配结果满足所述根节点指示的逻辑条件的情况下,确定所述用户属性符合所述目标属性条件;
数据发送模块,用于在所述匹配结果所述用户属性符合所述目标属性条件的情况下,确定指示所述请求用户对所述目标标识属性对应的目标标识数据具有访问权限,向所述客户端发送所述目标标识数据,所述目标标识数据是所述目标标识对应的标识数据中具有所述目标标识属性的数据。
8.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述存储器中存储的计算机程序,且所述计算机程序被执行时,实现上述权利要求1-6任一所述的基于工业互联网标识解析的数据权限管理的方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时,实现上述权利要求1-6任一所述的基于工业互联网标识解析的数据权限管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410210708.3A CN117792797B (zh) | 2024-02-26 | 2024-02-26 | 基于工业互联网标识解析的数据权限管理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410210708.3A CN117792797B (zh) | 2024-02-26 | 2024-02-26 | 基于工业互联网标识解析的数据权限管理方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117792797A CN117792797A (zh) | 2024-03-29 |
CN117792797B true CN117792797B (zh) | 2024-05-14 |
Family
ID=90402152
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410210708.3A Active CN117792797B (zh) | 2024-02-26 | 2024-02-26 | 基于工业互联网标识解析的数据权限管理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117792797B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110691064A (zh) * | 2018-09-27 | 2020-01-14 | 国家电网有限公司 | 一种现场作业终端安全接入防护和检测系统 |
CN115189927A (zh) * | 2022-06-24 | 2022-10-14 | 华北电力大学 | 一种基于零信任的电力网络安全防护方法 |
CN115499210A (zh) * | 2022-09-15 | 2022-12-20 | 中国工业互联网研究院 | 一种基于标识的工业互联网数据动态访问控制方法及平台 |
CN116032533A (zh) * | 2022-11-29 | 2023-04-28 | 兴业银行股份有限公司 | 基于零信任的远程办公访问方法及系统 |
CN116432207A (zh) * | 2023-06-07 | 2023-07-14 | 国网福建省电力有限公司 | 一种基于区块链的电力数据权限分级管理方法 |
CN117235810A (zh) * | 2023-10-07 | 2023-12-15 | 昆明理工大学 | 一种基于区块链的日志安全存储与高效查询方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9641553B2 (en) * | 2015-09-25 | 2017-05-02 | Intel Corporation | Methods and apparatus to facilitate end-user defined policy management |
-
2024
- 2024-02-26 CN CN202410210708.3A patent/CN117792797B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110691064A (zh) * | 2018-09-27 | 2020-01-14 | 国家电网有限公司 | 一种现场作业终端安全接入防护和检测系统 |
CN115189927A (zh) * | 2022-06-24 | 2022-10-14 | 华北电力大学 | 一种基于零信任的电力网络安全防护方法 |
CN115499210A (zh) * | 2022-09-15 | 2022-12-20 | 中国工业互联网研究院 | 一种基于标识的工业互联网数据动态访问控制方法及平台 |
CN116032533A (zh) * | 2022-11-29 | 2023-04-28 | 兴业银行股份有限公司 | 基于零信任的远程办公访问方法及系统 |
CN116432207A (zh) * | 2023-06-07 | 2023-07-14 | 国网福建省电力有限公司 | 一种基于区块链的电力数据权限分级管理方法 |
CN117235810A (zh) * | 2023-10-07 | 2023-12-15 | 昆明理工大学 | 一种基于区块链的日志安全存储与高效查询方法 |
Also Published As
Publication number | Publication date |
---|---|
CN117792797A (zh) | 2024-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10891383B2 (en) | Validating computer resource usage | |
US8898764B2 (en) | Authenticating user through web extension using token based authentication scheme | |
CN111400676A (zh) | 基于共享权限的业务数据处理方法、装置、设备和介质 | |
US20210152563A1 (en) | Function generation in named function networks | |
US9608972B2 (en) | Service providing system and data providing method that convert a process target data into output data with a data format that a service receiving apparatus is able to output | |
US9003490B2 (en) | Using entitlement certificates to manage product assets | |
US9143407B2 (en) | Granular client inventory management with conflict resolution | |
CN109413040B (zh) | 消息鉴权方法、设备、系统及计算机可读存储介质 | |
CN110232068B (zh) | 数据共享方法及装置 | |
CN111062028B (zh) | 权限管理方法及装置、存储介质、电子设备 | |
US8533805B2 (en) | Certificates to create product mappings | |
CN110708335A (zh) | 访问认证方法、装置及终端设备 | |
CN110225039A (zh) | 权限模型获取、鉴权方法、网关、服务器以及存储介质 | |
CN114398396A (zh) | 数据查询方法、存储介质和计算机程序产品 | |
CN112363997B (zh) | 数据版本管理方法、装置及存储介质 | |
CN113536177B (zh) | 一种页面跳转方法、装置、服务器和存储介质 | |
CN117792797B (zh) | 基于工业互联网标识解析的数据权限管理方法和装置 | |
CN101325493B (zh) | 用于认证用户的方法和系统 | |
CN116881275A (zh) | 数据库查询方法、装置及存储介质 | |
CN110866229B (zh) | 一种多平台账户权限统一管理方法及系统 | |
CN115221558A (zh) | 一种面向多主体科技资源的数字对象高效存证方法和系统 | |
CN115525880A (zh) | 面向多租户提供saas服务的方法、装置、设备及介质 | |
CN115017185A (zh) | 一种数据处理方法、装置及存储介质 | |
CN115168916B (zh) | 一种面向移动终端应用的数字对象可信存证方法和系统 | |
CN112422429B (zh) | 数据请求处理方法和装置、存储介质和电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |