TW202020756A - 數據權限管控方法及系統、計算機裝置及可讀存儲介質 - Google Patents

數據權限管控方法及系統、計算機裝置及可讀存儲介質 Download PDF

Info

Publication number
TW202020756A
TW202020756A TW107136836A TW107136836A TW202020756A TW 202020756 A TW202020756 A TW 202020756A TW 107136836 A TW107136836 A TW 107136836A TW 107136836 A TW107136836 A TW 107136836A TW 202020756 A TW202020756 A TW 202020756A
Authority
TW
Taiwan
Prior art keywords
user
data
module
write
data read
Prior art date
Application number
TW107136836A
Other languages
English (en)
Inventor
蔡福發
陸欣
劉慧丰
張玉勇
Original Assignee
鴻海精密工業股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 鴻海精密工業股份有限公司 filed Critical 鴻海精密工業股份有限公司
Publication of TW202020756A publication Critical patent/TW202020756A/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/103Workflow collaboration or project management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1491Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Strategic Management (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Data Mining & Analysis (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

一種數據權限管控方法,包括:配置用戶元數據,所述用戶元數據包括用戶的多個屬性;依據所述用戶元數據,動態地配置用戶分類;依據所述用戶分類,動態地配置數據讀寫權限;接收用戶的訪問請求;獲取所述用戶的屬性,並依據用戶的屬性判定用戶分類;依據所述用戶分類,判斷所述用戶是否具備數據讀寫權限;在判斷所述用戶具備數據讀寫權限時,對所述用戶的數據讀寫操作進行授權。本發明同時提供一種數據權限管控系統、計算機裝置及可讀存儲介質。本發明可實現對用戶數據存取權限的動態管控,易於維護,安全性高。

Description

數據權限管控方法及系統、計算機裝置及可讀存儲介質
本發明涉及一種數據權限管控技術領域,特別是一種基於動態規則的數據權限管控方法及系統、計算機裝置及可讀存儲介質。
目前,隨著互聯網應用的普及與資訊化產業的發展,各類數據系統在企業與社會中的應用範圍十分廣泛,並且隨著企業資訊化水準的不斷發展,企業數據系統的規模越來越大,數據庫也越來越多,對數據存取控制的靈活性要求也越來越高,而傳統的數據存取控制的方法大多都採取靜態的數據存取控制模式,如用戶在訪問數據時,系統會通過查詢角色表、權限表、角色與權限關係表,獲取該用戶的數據存取權限,然後永久或很長時間內賦予該用戶對應的數據訪問,建立數據操作或傳輸通道。
然而,當用戶屬性發生變化時,如由總公司用戶變為分公司用戶時,需手動調整該用戶的角色,該方法數據維護複雜且存在安全隱患;當業務規則發生變化時,如允許總公司人員當天借款總額不高於2000元,調整為當天借款總額不高於5000元,需要通過代碼以實現借款額度的變更,使得借款額度與代碼相關聯,不便於業務規則與代碼的分離。
有鑑於此,有必要提供一種數據權限管控方法及系統、計算機裝置及可讀存儲介質。
本發明的第一方面提供一種數據權限管控方法,包括以下步驟:配置用戶元數據,所述用戶元數據包括用戶的多個屬性;依據所述用戶元數據,動態地配置用戶分類;依據所述用戶分類,動態地配置數據讀寫權限;接收用戶的訪問請求;獲取所述用戶的屬性,並依據用戶的屬性判定用戶分類;依據所述用戶分類,判斷所述用戶是否具備數據讀寫權限;在判斷所述用戶具備數據讀寫權限時,對所述用戶的數據讀寫操作進行授權。
本申請的第二方面提供一種數據權限管控系統,包括:用戶定義模塊,所述用戶定義模塊包括用戶元數據定義模塊與用戶分類別模塊,所述用戶元數據定義模塊用於定義用戶的元數據,所述用戶的元數據包括用戶的多個屬性,所述用戶分類別模塊用於依據所述用戶元數據,動態地配置用戶分類;數據權限配置模塊,用於依據所述用戶分類,動態地配置數據讀寫權限;接收模塊,用於接收用戶的訪問請求;屬性獲取模塊,用於獲取所述用戶的屬性;解析引擎模塊,用於依據請求解析數據讀寫權限,以判斷所述用戶是否具有數據讀寫權限;以及授權模塊,用於對所述用戶的數據讀寫操作進行授權或拒絕。
本申請的第三方面提供一種計算機裝置,所述計算機裝置包括處理器,所述處理器用於執行存儲器中存儲的計算機程式時實現所述數據權限管控方法。
本申請的第四方面提供一種可讀存儲介質,其上存儲有計算機程式,所述計算機程式被處理器執行時實現所述數據權限管控方法。
上述數據權限管控方法及系統,能夠動態地配置用戶分類,當用戶屬性發生變更時,屬於該用戶的用戶分類也會隨之發生變更,無需手動變更用戶分類;依據用戶分類,動態地配置數據讀寫權限,實現了對用戶數據權限的動態管控。上述數據權限管控方法及系統的權限配置實現了視覺化,易於維護;由於用戶權限會隨著用戶的屬性變更而變更,提升了系統的安全性。另外,通過動態地配置數據讀寫權限,當業務規則發生變更時,只需調整相關規則的配置,而無需修改代碼,權限控制與業務邏輯分離,便於系統擴展。
為了能夠更清楚地理解本發明的上述目的、特徵與優點,下面結合附圖與具體實施方式對本發明進行詳細描述。需要說明的是,在不衝突的情況下,本申請的實施方式及實施方式中的特徵可以相互組合。
在下面的描述中闡述了很多具體細節以便於充分理解本發明,所描述的實施方式僅是本發明一部分實施方式,而不是全部的實施方式。基於本發明中的實施方式,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其它實施方式,都屬於本發明保護的範圍。
除非另有定義,本文所使用的所有的技術與科學術語與屬於本發明的技術領域的技術人員通常理解的含義相同。本文中在本發明的說明書中所使用的術語只是為了描述具體的實施方式的目的,不是旨在限制本發明。
本文所使用的術語“及/或”包括一個或多個相關的所列項目的任意的與所有的組合。
請參考圖1,圖1為本發明一較佳實施方式中的數據權限管控方法的流程圖。根據不同的需求,該流程圖中的步驟順序可以改變,某些步驟可以省略或者合併。
步驟S101:配置用戶元數據,所述用戶元數據包括用戶的多個屬性。
優選地,運用可擴展標記語言(Extensible Markup Language,XML)技術進行多個用戶元數據的配置,配置文件描述了每個用戶具有的多個屬性及每個屬性的類型,所述屬性的類型可為數字或字串。所述屬性包括用戶的身份識別屬性,所述身份識別屬性包括年齡、學歷、職業、性別等。如果用戶為公司員工,則所述身份識別屬性還包括用戶的級別、部門、工種、所屬專案組別等。
配置用戶元數據時,該元數據可連結到至少一外部系統,例如公司人事系統,當人事系統中之員工級別、部門、工種、所屬專案組別等身份標識變化時,則自動更新該用戶的元數據信息,以便動態配置該用戶新的權限。
優選地,所述屬性還包括用戶所處的網路環境、使用的電子設備、用戶所處的地理位置、用戶訪問的時間或其他預設的情境中的一種或多種。在本實施方式中,所述用戶所處的網路環境、使用的電子設備、用戶所處的地理位置、用戶的存取時間或其他預設的情境可由用戶元數據連結到公司監控系統,當公司監控系統中相應的用戶屬性發生變化時動態更新用戶元數據中的數據。在另一實施方式中,用戶的網路環境可使用IP追蹤等技術獲得,以確保是用限定使用的IP位址進行登錄;使用的電子設備可通過計算機名稱或MAC位址來判斷是否為限定使用的電子設備進行登錄;用戶所處位置可使用攝像頭等識別裝置所識別;用戶訪問的時間可通過獲取電子設備中的時鐘資訊來確定;其他預定的情境視具體情況而定。
步驟S102:依據用戶元數據,動態地配置用戶分類。
具體地,依據用戶元數據,運用動態規則配置用戶分類。因此,當某個用戶的屬性發生變更時,屬於該用戶的用戶分類也會隨之變更,無需手動變更用戶分類。
所述動態規則採用表達式進行描述,所述表達式可包括數字、字符串、算數操作符、邏輯操作符,所述表達式還可包括一些上下文敏感的變數與函數。
例如,用戶分類的動態規則包括以下表達式:
userInfo.groupLevel=1
userInfo.groupLevel=2
userInfo.groupLevel=3
用戶元數據的配置文件包括用戶的屬性 “group Level”。依據上述表達式,當“group Level”為1時,將用戶分類到集團用戶;當“group Level”為2時,將用戶分類到次集團用戶;當“group Level”為3時,將用戶分類到事業群用戶。
又如,用戶所處的網路環境分為公司內網或外網,依據用戶元數據中的用戶所述的網路環境,將用戶分類為內網用戶與外網用戶。
步驟S103:依據用戶分類,動態地配置數據讀寫權限。
請參照圖2,步驟S103具體包括以下步驟:
步驟S1031:配置數據源與業務源。
較佳地,通過數據源引擎,通過開放數據庫連接(Open Database Connectivity,ODBC)技術獲取數據庫表資訊,從而配置數據源;通過業務源引擎獲取數據,將數據存放於指定的業務模型中,從而配置業務源。
步驟S1032:依據數據源與業務源,動態地配置數據讀寫的規則。
具體地,依據數據源與業務源,運用動態規則配置數據讀寫的規則。所述動態規則採用表達式進行描述,所述表達式可包括數字、字串、算數操作符、邏輯操作符,以及上下文敏感的變數與函數。
所述數據讀寫的規則包括數據讀取與數據寫入的規則。數據讀取是指允許用戶查詢的數據範圍,包括數據列的範圍與數據行的範圍。數據寫入是指允許用戶對業務內容進行操作,例如,允許用戶寫入、上傳或下載資訊。
步驟S1033:針對不同的用戶分類,將多條數據讀寫的規則組合成對應的數據讀寫策略。
步驟S1034:將多條數據讀寫策略組成數據讀寫權限。
例如,“集團用戶當天單筆借款額不大於5000元”的規則配置包括以下表達式:
curUser.groupLevel = 1 [AND] Loan.Money < 5000 [AND] Loan.Date = Today()
通過以上配置,該類“集團用戶”可發起不大於5000元借款的業務,並將借款記錄寫入系統數據庫表中。
步驟S104:接收用戶的訪問請求。
步驟S105:獲取所述用戶的屬性,並依據所述用戶的屬性判定用戶分類。
在一實施方式中,藉由在配置後的用戶元數據中進行查找,以獲取所述用戶的屬性,所述屬性包括用戶的身份識別屬性,所述身份識別屬性包括年齡、學歷、職業、性別等。如果用戶為公司員工,則所述身份識別屬性還包括用戶的級別、部門、工種、所屬專案組別等。由於用戶元數據已在步驟S101中配置,該實施方式可以實現用戶元數據的快速獲取,節省數據傳輸時間。
在另一實施方式中,藉由查詢至少一個外部系統來獲取用戶的屬性,因此,當外部系統中用戶的屬性變更時,可藉由查詢該外部系統來獲取到用戶最新的屬性。所述外部數據系統例如為人事系統、公司監控系統等。所述屬性可包括用戶的身份識別屬性,所述屬性還可包括用戶所處的網路環境、使用的電子設備、用戶所處的地理位置、用戶訪問的時間或其他預設的情境中的一種或多種。例如,藉由查詢該人事系統,獲取用戶最新的屬性。該實施方式節省了本地用戶元數據的存儲量,從而節省了存儲空間。
在獲取用戶的屬性之後,藉由基於表達式的動態規則判定用戶的分類。當用戶屬性發生變更時,屬於該用戶的用戶分類也會隨之變更。
例如,通過人事系統獲取到用戶的身份識別屬性中的 “group Level”已由“2”變為“1”,則該用戶的用戶分類也隨之變更,由“次集團用戶”變為“集團用戶”。
步驟S106:依據用戶分類,判斷用戶是否具備數據讀寫權限。
具體地,依據所述用戶的用戶分類與配置的數據讀寫權限進行規則解析、策略解析與權限解析,從而判斷用戶是否具備數據讀寫權限。若為是,則進入步驟S107;若為否,則進入步驟S108。
例如,當“查詢當前用戶所屬公司及子公司資訊”的數據讀取權限分配給“集團用戶”、“內網用戶”後,則判斷使用內網的“集團用戶”具備對應的數據查詢讀取權限。
步驟S107:對用戶的數據讀寫操作進行授權。
授權後,該用戶具有相應的數據讀寫權限,能夠進行數據的讀取與寫入。
步驟S108:對用戶的數據讀寫操作進行拒絕。
圖3為本發明數據權限管控系統10較佳實施例的結構圖。本發明的數據權限管控系統10可以包括一個或多個模塊,所述一個或多個模塊可以被存儲在計算機的存儲器中並可以被配置成由一個或多個處理器(本實施方式為一個處理器)執行,以完成本發明。例如,如圖3所示,所述數據權限管控系統10可以包括:用戶定義模塊11、數據權限配置模塊12、解析引擎模塊13、接收模塊14、屬性獲取模塊15及授權模塊16。
所述用戶定義模塊11用於運用用戶分類的動態規則對用戶進行定義與分類,所述用戶定義模塊11包括用戶元數據定義模塊111與用戶分類別模塊112。所述用戶元數據定義模塊111用於定義用戶的元數據,所述用戶分類別模塊112用於依據用戶元數據,動態地配置用戶分類。較佳地,用戶元數據的配置文件描述了用戶具有的多個屬性及每個屬性的類型,所述屬性包括用戶的身份識別屬性,所述屬性還可包括用戶所處的網路環境、使用的電子設備、用戶所處的地理位置、用戶訪問的時間或其他預設的情境中的一種或多種的一種或多種。所述用戶分類別模塊112依據用戶元數據,通過基於表達式的動態規則配置用戶分類。
所述數據權限配置模塊12用於依據用戶分類,動態地配置數據讀寫權限。所述數據權限配置模塊12包括源數據配置模塊121、數據讀寫規則配置模塊122、數據讀寫策略配置模塊123及數據讀寫權限配置模塊124。所述源數據配置模塊121用於依據請求讀取數據庫表資訊與業務源資訊,從而配置數據源與業務源。所述數據讀寫規則配置模塊122用於依據數據源與業務源,動態地配置數據讀寫的規則。所述數據讀寫策略配置模塊123用於針對不同的用戶分類,將多條數據讀寫的規則組合成對應的數據讀寫策略。所述數據讀寫權限配置模塊124用於將多條數據讀寫策略組成數據讀寫權限。
具體地,所述用戶分類別模塊112運用動態規則配置用戶分類;所述數據權限配置模塊12運用動態規則配置數據讀寫權限,所述動態規則分別採用表達式進行描述,所述表達式包括數字、字串、算數操作符與邏輯操作符,所述表達式還可包括一些上下文敏感的變數與函數。
所述解析引擎模塊13用於依據請求解析數據讀寫權限,以判斷用戶是否具有數據讀寫權限。所述解析引擎模塊13包括規則解析引擎模塊131、策略解析引擎模塊132及權限解析引擎模塊133。所述規則解析引擎模塊131用於依據請求解析讀寫規則,所述策略解析引擎模塊132依據請求解析讀寫策略,所述權限解析引擎模塊133依據請求解析讀寫權限,進而判斷用戶是否具有讀寫權限。
所述接收模塊14用於接收用戶的訪問請求。
所述屬性獲取模塊15用於獲取用戶的多個屬性。所述屬性包括用戶的身份識別屬性,所述屬性還可包括用戶所處的網路環境、使用的電子設備、用戶所處的地理位置、用戶訪問的時間或其他預設的情境中的一種或多種。
在一實施方式中,所述屬性獲取模塊15通過查詢存儲於該數據權限管控系統10中的用戶元數據,來獲取用戶的屬性。
在另一實施方式中,所述數據權限管控系統10可與至少一個外部系統建立通信連接,因此,所述屬性獲取模塊15可通過查詢所述至少一個外部系統來獲取用戶的屬性。所述外部系統例如為公司人事系統、公司監控系統等。
所述授權模塊16用於對用戶的數據讀寫操作進行授權或拒絕。
上述數據權限管控方法及系統,能夠動態地配置用戶分類,當用戶屬性發生變更時,屬於該用戶的用戶分類也會隨之發生變更,無需手動變更用戶分類;依據用戶分類,動態地配置數據讀寫權限,實現了對用戶數據權限的動態管控。上述數據權限管控方法及系統的權限配置實現了視覺化,易於維護;由於用戶權限會隨著用戶的屬性變更而變更,提升了系統的安全性。另外,上述方法及系統依據用戶分類動態地配置數據讀寫權限,而不需對每個屬性配置數據讀寫權限,節省了數據權限管控的工作量,提升了數據管控的效率。進一步地,上述數據權限管控方法及系統,通過動態規則配置數據讀寫權限,當業務規則發生變更時,只需調整相關規則的配置,而無需修改代碼,權限控制與業務邏輯分離,便於系統擴展。
圖4為本發明計算機裝置較佳實施例的示意圖。
所述計算機裝置1包括存儲器20、處理器30以及存儲在所述存儲器20中並可在所述處理器30上運行的計算機程式40。所述處理器30執行所述計算機程式40時實現上述數據權限管控方法實施例中的步驟,例如圖1所示的步驟S101~S108、圖2所示的步驟S1031~S1034。或者,所述處理器30執行所述計算機程式40時實現上述裝置實施例中各模塊/單元的功能,例如圖3中的各個模塊。
示例性的,所述計算機程式40可以被分割成一個或多個模塊/單元,所述一個或者多個模塊/單元被存儲在所述存儲器20中,並由所述處理器30執行,以完成本發明。所述一個或多個模塊/單元可以是能夠完成特定功能的一系列計算機程式指令段,該指令段用於描述所述計算機程式40在所述計算機裝置1中的執行過程。例如,所述計算機程式40可以被分割成圖3中的用戶定義模塊11、數據權限配置模塊12、解析引擎模塊13、接收模塊14、屬性獲取模塊15及授權模塊16。
所述計算機裝置1可以是桌上型計算機、筆記本、掌上型計算機及雲端伺服器等計算設備。本領域技術人員可以理解,所述示意圖僅僅是計算機裝置1的示例,並不構成對計算機裝置1的限定,可以包括比圖示更多或更少的部件,或者組合某些部件,或者不同的部件,例如所述計算機裝置1還可以包括輸入輸出設備、網路接入設備、匯流排等。
所稱處理器30可以是中央處理單元(Central Processing Unit,CPU),還可以是其他通用處理器、數字訊號處理器 (Digital Signal Processor,DSP)、專用積體電路 (Application Specific Integrated Circuit,ASIC)、現成可程式設計閘陣列 (Field-Programmable Gate Array,FPGA) 或者其他可程式設計邏輯器件、分立門或者電晶體邏輯器件、分立硬體元件等。通用處理器可以是微處理器或者該處理器30也可以是任何常規的處理器等,所述處理器30是所述計算機裝置1的控制中心,利用各種介面與線路連接整個計算機裝置1的各個部分。
所述存儲器20可用於存儲所述計算機程式40與/或模塊/單元,所述處理器30通過運行或執行存儲在所述存儲器20內的計算機程式與/或模塊/單元,以及調用存儲在存儲器20內的數據,實現所述計算機裝置1的各種功能。所述存儲器20可主要包括存儲程式區與存儲數據區,其中,存儲程式區可存儲作業系統、至少一個功能所需的應用程式(比如聲音播放功能、圖像播放功能等)等;存儲數據區可存儲根據計算機裝置1的使用所創建的數據等。此外,存儲器20可以包括高速隨機存取存儲器,還可以包括非易失性存儲器,例如硬碟、存儲器、插接式硬碟,智慧存儲卡(Smart Media Card, SMC),安全數字(Secure Digital, SD)卡,快閃存儲器卡(Flash Card)、至少一個磁碟存儲器件、快閃存儲器器件、或其他易失性固態存儲器件。
所述計算機裝置1集成的模塊/單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,可以存儲在一個計算機可讀取存儲介質中。基於這樣的理解,本發明實現上述實施例方法中的全部或部分流程,也可以通過計算機程式來指令相關的硬體來完成,所述的計算機程式可存儲於一計算機可讀存儲介質中,該計算機程式在被處理器執行時,可實現上述各個方法實施例的步驟。其中,所述計算機程式包括計算機程式代碼,所述計算機程式代碼可以為原始程式碼形式、物件代碼形式、可執行檔或某些中間形式等。所述計算機可讀介質可以包括:能夠攜帶所述計算機程式代碼的任何實體或裝置、記錄介質、U盤、移動硬碟、磁片、光碟、計算機存儲器、唯讀存儲器(ROM,Read-Only Memory)、隨機存取存儲器(RAM,Random Access Memory)、電載波信號、電信信號以及軟體分發介質等。需要說明的是,所述計算機可讀介質包含的內容可以根據司法管轄區內立法與專利實踐的要求進行適當的增減,例如在某些司法管轄區,根據立法與專利實踐,計算機可讀介質不包括電載波信號與電信信號。
在本發明所提供的幾個實施例中,應該理解到,所揭露的計算機裝置與方法,可以通過其它的方式實現。例如,以上所描述的計算機裝置實施例僅僅是示意性的,例如,所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式。
另外,在本發明各個實施例中的各功能單元可以集成在相同處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在相同單元中。上述集成的單元既可以採用硬體的形式實現,也可以採用硬體加軟體功能模塊的形式實現。
對於本領域技術人員而言,顯然本發明不限於上述示範性實施例的細節,而且在不背離本發明的精神或基本特徵的情況下,能夠以其他的具體形式實現本發明。因此,無論從哪一點來看,均應將實施例看作是示範性的,而且是非限制性的,本發明的範圍由所附權利要求而不是上述說明限定,因此旨在將落在權利要求的等同要件的含義與範圍內的所有變化涵括在本發明內。不應將權利要求中的任何附圖標記視為限制所涉及的權利要求。此外,顯然“包括”一詞不排除其他單元或步驟,單數不排除複數。計算機裝置權利要求中陳述的多個單元或計算機裝置也可以由同一個單元或計算機裝置通過軟體或者硬體來實現。第一,第二等詞語用來表示名稱,而並不表示任何特定的順序。
綜上所述,本發明符合發明專利要件,爰依法提出專利申請。惟,以上所述者僅為本發明之較佳實施例,舉凡熟悉本案技藝之人士,於爰依本發明精神所作之等效修飾或變化,皆應涵蓋於以下之如申請專利範圍內。
1:計算機裝置 10:數據權限管控系統 11:用戶定義模塊 111:用戶元數據定義模塊 112:用戶分類別模塊 12:數據權限配置模塊 121:來源數據配置模塊 122:數據讀寫規則配置模塊 123:數據讀寫策略配置模塊 124:數據讀寫權限配置模塊 13:解析引擎模塊 131:規則解析引擎模塊 132:策略解析引擎模塊 133:權限解析引擎模塊 14:接收模塊 15:屬性獲取模塊 16:授權模塊 20:存儲器 30:處理器 40:計算機程式 S101~S108:數據權限管控方法流程
圖1為本發明提供實施方式之數據權限管控方法的流程圖。
圖2為本發明提供實施方式之數據讀寫權限配置步驟的流程圖。
圖3為本發明提供實施方式之數據權限管控系統的模塊示意圖。
圖4為本發明提供實施方式之計算機裝置的示意圖。
S101~S108:數據權限管控方法流程

Claims (10)

  1. 一種數據權限管控方法,包括以下步驟: 配置用戶元數據,所述用戶元數據包括用戶的多個屬性; 依據所述用戶元數據,動態地配置用戶分類; 依據所述用戶分類,動態地配置數據讀寫權限; 接收用戶的訪問請求; 獲取所述用戶的屬性,並依據所述用戶的屬性判定用戶分類; 依據所述用戶分類,判斷所述用戶是否具備數據讀寫權限; 在判斷所述用戶具備數據讀寫權限時,對所述用戶的數據讀寫操作進行授權。
  2. 如申請專利範圍第1項所述之數據權限管控方法,其中所述屬性包括用戶的身份識別屬性,所述屬性還包括用戶所處的網路環境、使用的電子設備、用戶所處的地理位置、用戶訪問的時間或其他預設的情境中的一種或多種。
  3. 如申請專利範圍第1項所述之數據權限管控方法,其中所述動態地配置數據讀寫權限之步驟具體包括: 配置數據源與業務源; 依據所述數據源與所述業務源,動態地配置數據讀寫的規則; 針對不同的用戶分類,將多條所述數據讀寫的規則組合成對應的數據讀寫策略; 將多條所述數據讀寫策略組成數據讀寫權限。
  4. 如申請專利範圍第3項所述之數據權限管控方法,其中分別通過動態規則配置用戶分類與數據讀寫權限,所述動態規則分別採用表達式進行描述,所述表達式包括數字、字串、算數操作符與邏輯操作符。
  5. 一種數據權限管控系統,包括: 用戶定義模塊,所述用戶定義模塊包括用戶元數據定義模塊與用戶分類別模塊,所述用戶元數據定義模塊用於定義用戶的元數據,所述用戶的元數據包括用戶的多個屬性,所述用戶分類別模塊用於依據所述用戶元數據,動態地配置用戶分類; 數據權限配置模塊,用於依據所述用戶分類,動態地配置數據讀寫權限; 接收模塊,用於接收用戶的訪問請求; 屬性獲取模塊,用於獲取所述用戶的屬性; 解析引擎模塊,用於依據請求解析數據讀寫權限,以判斷所述用戶是否具有數據讀寫權限;以及 授權模塊,用於對所述用戶的數據讀寫操作進行授權或拒絕。
  6. 如申請專利範圍第5項所述之數據權限管控系統,其中所述屬性包括用戶的身份識別屬性,所述屬性還包括用戶所處的網路環境、使用的電子設備、用戶所處的地理位置、用戶訪問的時間或其他預設的情境中的一種或多種;所述數據權限管控系統與至少一外部系統建立通信連接,所述屬性獲取模塊通過查詢所述外部系統以獲取所述用戶的屬性。
  7. 如申請專利範圍第5項所述之數據權限管控系統,其中所述數據權限配置模塊包括: 源數據配置模塊,用於配置數據源與業務源; 數據讀寫規則配置模塊,用於依據數據源與業務源,動態地配置數據讀寫的規則; 數據讀寫策略配置模塊,用於針對不同的用戶分類,將多條數據讀寫的規則組合成對應的數據讀寫策略; 數據讀寫權限配置模塊,用於將多條數據讀寫策略組成數據讀寫權限。
  8. 如申請專利範圍第5項所述之數據權限管控系統,其中所述用戶分類別模塊運用動態規則配置用戶分類;所述數據權限配置模塊運用動態規則配置數據讀寫權限,所述動態規則分別採用表達式進行描述,所述表達式包括數字、字串、算數操作符與邏輯操作符。
  9. 一種計算機裝置,其改良在於:所述計算機裝置包括處理器,所述處理器用於執行存儲器中存儲的計算機程式時實現如申請專利範圍第1~4項中任一項所述之數據權限管控方法。
  10. 一種可讀存儲介質,其上存儲有計算機程式,其改良在於:所述計算機程式被處理器執行時實現如申請專利範圍第1~4項中任一項所述之數據權限管控方法。
TW107136836A 2018-09-26 2018-10-18 數據權限管控方法及系統、計算機裝置及可讀存儲介質 TW202020756A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201811126013.8A CN110956431A (zh) 2018-09-26 2018-09-26 数据权限管控方法及系统、计算机装置及可读存储介质
CN201811126013.8 2018-09-26

Publications (1)

Publication Number Publication Date
TW202020756A true TW202020756A (zh) 2020-06-01

Family

ID=69884890

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107136836A TW202020756A (zh) 2018-09-26 2018-10-18 數據權限管控方法及系統、計算機裝置及可讀存儲介質

Country Status (3)

Country Link
US (1) US20200097673A1 (zh)
CN (1) CN110956431A (zh)
TW (1) TW202020756A (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11580239B2 (en) * 2019-10-22 2023-02-14 Microsoft Technology Licensing, Llc Controlling access to cloud resources in data using cloud-enabled data tagging and a dynamic access control policy engine
CN111624964B (zh) * 2020-05-27 2021-08-06 甬矽电子(宁波)股份有限公司 权限动态管控方法、装置、服务端和可读存储介质
CN113836500B (zh) * 2020-06-23 2023-11-07 上海森亿医疗科技有限公司 数据权限控制方法、系统、终端以及储存介质
CN112632578B (zh) * 2020-12-25 2024-05-17 平安银行股份有限公司 业务系统权限控制方法、装置、电子设备及存储介质
CN112597463A (zh) * 2020-12-31 2021-04-02 中国工商银行股份有限公司 数据库数据处理方法、装置及系统

Also Published As

Publication number Publication date
CN110956431A (zh) 2020-04-03
US20200097673A1 (en) 2020-03-26

Similar Documents

Publication Publication Date Title
TW202020756A (zh) 數據權限管控方法及系統、計算機裝置及可讀存儲介質
US20220222364A1 (en) Non-Fungible Token Content Items, Access Controls, and Discovery
US8108367B2 (en) Constraints with hidden rows in a database
US11086894B1 (en) Dynamically updated data sheets using row links
CN109241358A (zh) 元数据管理方法、装置、计算机设备及存储介质
US10019538B2 (en) Knowledge representation on action graph database
US20200151191A1 (en) Low-Latency Predictive Database Analysis
US11921750B2 (en) Database systems and applications for assigning records to chunks of a partition in a non-relational database system with auto-balancing
US20210110278A1 (en) Enterprise knowledge graph
CN109710413B (zh) 一种半结构化文本数据的规则引擎系统的整体计算方法
MX2013014800A (es) Recomendacion de enriquecimientos de datos.
US11100152B2 (en) Data portal
US20200202302A1 (en) Classifying and routing enterprise incident tickets
US11194840B2 (en) Incremental clustering for enterprise knowledge graph
WO2021047373A1 (zh) 基于大数据的列数据处理方法、设备及介质
US20200192897A1 (en) Grouping datasets
US20140019454A1 (en) Systems and Methods for Caching Data Object Identifiers
Shankar et al. DataSpeak: data extraction, aggregation, and classification using big data novel algorithm
WO2019200700A1 (zh) 一种公文处理的方法、装置、终端设备及存储介质
US11928425B2 (en) Form and template detection
CN116719822B (zh) 一种海量结构化数据的存储方法及系统
CN109299613B (zh) 数据库分区权限的设置方法和终端设备
WO2023175413A1 (en) Mutual exclusion data class analysis in data governance
CN115543428A (zh) 一种基于策略模板的模拟数据生成方法和装置
EP4281860A1 (en) Unified data security labeling framework