WO2023078074A1

WO2023078074A1 - 数据访问控制的方法和装置

Info

Publication number: WO2023078074A1
Application number: PCT/CN2022/125696
Authority: WO
Inventors: 张剑青; 罗正钦; 陈兴修; 田志鹏; 戴亨名
Original assignee: 北京字节跳动网络技术有限公司
Priority date: 2021-11-05
Filing date: 2022-10-17
Publication date: 2023-05-11
Also published as: EP4283507A1; US20230145130A1; CN116089661A; US11669632B2

Abstract

一种用于数据访问控制的方法、装置、设备和存储介质，其中该方法包括：接收用于表征第一用户请求目标数据的数据查询请求（202）；获取第一用户对应的业务数据访问能力属性以及获取目标数据对应的业务安全属性（204）；根据第一用户的业务数据访问能力属性和目标数据的业务安全属性，调用数据访问安全模型确定数据查询请求对应的数据查询处理策略（206）；以及调用数据查询处理策略对目标数据进行处理并生成响应消息进行反馈（208）。根据该方法，通过基于用户的业务数据访问能力属性和目标数据的业务安全属性来提供对请求的响应，可以有效地控制用户对数据的访问。

Description

数据访问控制的方法和装置

本申请要求于2021年11月05日提交中国专利局，申请号为202111306878.4，发明名称为“数据访问控制的方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本公开的各实现方式涉及计算机领域，更具体地，涉及用于数据访问控制的方法、装置、设备和计算机存储介质。

背景技术

对于企业而言，需要维护的业务数据非常庞杂。由于企业内部的工作流程的复杂性，不同业务的负责人所需要处理的业务数据可能相同，也可能不相同。同一业务的负责人在不同时间段所需要处理的数据也不相同。目前对于业务的负责人对数据的访问大多采用静态一刀切的方式处理，无法适配实际业务需求。因此，需要更灵活、更安全、更可控的数据访问控制。

发明内容

在本公开的第一方面，提供了一种用于数据访问控制的方法。该方法包括：接收数据查询请求，数据查询请求用于表征第一用户请求目标数据；获取第一用户对应的业务数据访问能力属性以及获取目标数据对应的业务安全属性；其中，业务数据访问能力属性用于表征基于用户的业务属性在所负责的业务环境下对数据的访问能力；业务安全属性用于表征基于业务安全需求对数据进行分类的标识属性；根据第一用户的业务数据访问能力属性和目标数据的业务安全属性，调用数据访问安全模型确定数据查询请求对应的数据查询处理策略；以及调用数据查询处理策略对目标数据进行处理并生成响应消息进行反馈。

在本公开的第二方面中，提供了一种用于数据访问控制的装置。该装置包括：接收单元，被配置为接收数据查询请求，数据查询请求用于表征第一用户请求目标数据；获取单元，被配置为获取第一用户对应的业务数据访问能力属性以及获取目标数据对应的业务安全属性；其中，业务数据访问能力属性用于表征基于用户的业务属性在所负责的业务环境下对数据的访问能力；业务安全属性用于表征基于业务安全需求对数据进行分类的标识属性；确定单元，被配置为根据第一用户的业务数据访问能力属性和目标数据的业务安全属性，调用数据访问安全模型确定数据查询请求对应的数据查询处理策略；以及响应单元，被配置为调用数据查询处理策略对目标数据进行处理并生成响应消息进行反馈。

在本公开的第三方面，提供了一种电子设备，包括：存储器和处理器；其中存储器用于存储一条或多条计算机指令，其中一条或多条计算机指令被处理器执行以实现根据本公开的第一方面的方法。

在本公开的第四方面，提供了一种计算机可读存储介质，其上存储有一条或多条计算机指令，其中一条或多条计算机指令被处理器执行实现根据本公开的第一方面的方法。

在本公开的第五方面，提供了一种计算机程序产品，其包括一条或多条计算机指令，其中一条或多条计算机指令被处理器执行实现根据本公开的第一方面的方法。

附图说明

结合附图并参考以下详细说明，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中，相同或相似的附图标注表示相同或相似的元素，其中：

图1示出了实现本公开的一些实施例的示例环境的示意图；

图2示出了根据本公开的一些实施例的用于数据访问控制的方法的流程图；

图3示出了根据本公开的一些实施例的用于数据访问控制的装置的示例框图；以及

图4示出了可以用来实施本公开的实施例的示例设备的框图。

具体实施方式

下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例，然而应当理解的是，本公开可以通过各种形式来实现，而且不应该被解释为限于这里阐述的实施例，相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是，本公开的附图及实施例仅用于示例性作用，并非用于限制本公开的保护范围。

在本公开的实施例的描述中，术语“包括”及其类似用语应当理解为开放性包含，即“包括但不限于”。术语“基于”应当理解为“至少部分地基于”。术语“一个实施例”或“该实施例”应当理解为“至少一个实施例”。术语“第一”、“第二”等等可以指代不同的或相同的对象。下文还可能包括其他明确的和隐含的定义。

如上所述，业务的负责人需要根据业务需求来访问业务数据。例如，运维或开发人员可以访问业务数据来开发维护应用。客服可以访问业务数据来解决用户的问题。然而，取决于具体业务，业务的负责人对业务数据的访问需要被更灵活、安全地控制。例如，需要防止业务的负责人访问与其业务无关的用户数据，从而更好地保护用户数据。

本公开的示例实施例提出了一种用于数据访问控制的方法。该方法包括：接收用于表征第一用户请求目标数据的数据查询请求；获取第一用户对应的业务数据访问能力属性以及获取目标数据对应的业务安全属性；根据第一用户的业务数据访问能力属性和目标数据的业务安全属性，调用数据访问安全模型确定数据查询请求对应的数据查询处理策略；以及调用数据查询处理策略对目标数据进行处理并生成响应消息进行反馈。

以此方式，通过基于用户的业务数据访问能力属性和目标数据的业务安全属性来提供对请求的响应，可以有效地控制用户对数据的访问。例如，可以有效地控制业务的负责人对业务数据的访问。

以下将参照附图来具体描述本公开的实施例。

图1示出了实现本公开的一些实施例的示例环境100的示意图。如图1所示，在环境100中，请求的发起方110(下文也简称为发起方)可以向网关120发送向数据中心130查询业务数据的请求。请求的发起方110可以是企业的内部员工，例如业务的负责人。取决于具体业务，请求的发起方110可以是运营人员，例如与客户对接的客服。请求的发起方110也可以是产品开发或运维人员，例如软件开发人员。

数据中心130用于存储业务数据。业务数据可以包括企业的产品的用户数据。用户数据可以包括自然人用户的数据。用户数据还可以包括除自然人以外的实体的用户数据。例如，用户数据可以包括企业用户数据、机构用户数据等。备选地或附加地，业务数据还可以包括与业务有关的其他数据，例如软件产品的源代码等。

数据中心130可以与请求的发起方110在地理上处于同一国家。数据中心130也可以与请求的发起方110在地理上处于不同国家。例如，请求的发起方110可以是跨国企业总部的运维人员。数据中心130可以是位于其他国家的跨国企业的子公司的数据中心，并且该数据中心存储有该国的用户数据。

请求的发起方110和数据中心130之间的通信可以借助于网关120实现。网关120可以接收发起方110的请求并且将请求转发给数据中心130。网关120可以接收从数据中心130返回的查询结果并且将查询结果转发给请求的发起方110以作为对请求的响应。

网关120还可以对所接收的请求和查询结果进行处理。例如，网关120可以验证请求的发起方110的安全凭证并且获得发起方110的一些信息，例如员工的办公地点。网关120还可以基于所接收的请求来标识请求的发起方110。网关120还可以基于对请求的发起方110的标识来确定是否向数据中心130转发请求。网关120还可以对从数据中心130接收的查询结果进行修改并且将经修改的查询结果提供给请求的发起方110。

应理解，网关120仅是示意性的。例如，本公开的一些实施例可以被实现在对数据库的直接查询的场景中。在这种场景中，网关120的部分功能可以由数据中心130的管理或控制模块来实现。

下文将参考图2至图4来详细描述数据访问控制的原理和细节。

图2示出了根据本公开的一些实施例的用于数据访问控制的示例方法200的流程图。该方法200例如可以在图1的网关120处实施。

在框202，接收数据查询请求，该数据查询请求用于表征第一用户请求目标数据。第一用户可以是业务的负责人，例如运维人员、客服人员等。在下文中，第一用户与请求的发起方110可以互换使用。目标数据可以是业务相关的数据，例如业务相关的用户数据。

从业务的数据安全等级角度划分，业务数据可以被分类为公开数据、非公开数据、可标识数据、不可标识数据、临时数据、永久数据等。

公开数据一般是指业务上指定的允许对外公开的数据，或用户指定的允许对外公开的数据。例如，对于普通社交软件而言，用户的用户名、昵称、个性签名等信息通常是被设置为对外公开的公开数据。备选地或附加地，公开数据可以包括能够从数据中心130之外的渠道获取的数据。任何人可以获取这些公开数据而无需向数据中心130查询。

相反，非公开数据一般是指业务上指定的不允许对外公开的数据，或用户指定的不允许对外公开的数据。例如，对于电商平台而言，用户地址信息一般就是用户不对外公开的。这类数据仅仅是为了满足下单等业务的需要，这类数据一般可以定义为非公开数据。

出于业务需要，数据中心130可以存储非公开数据。数据中心 130可以向员工提供非公开数据以用于实现产品的功能。例如，数据中心130可以存储用户的真实姓名和电话号码，以用于在用户登录时进行认证。

可标识数据可以是指能够标识或定位自然人、实体或账户的数据。可标识数据可以包括个人可标识信息(PII)。可标识数据的示例可以包括个人的姓名或用户名、用户标识符、企业名称、股票代码等。可标识数据还可以包括能够有效缩小标识范围的数据，例如生日。尽管生日不能唯一地标识自然人，但是可以极大地缩小标识范围。

可标识数据可以包括标识符。标识符可以唯一地标识自然人、实体或账号。标识符可以是字母、数字和符号的组合。标识符的示例可以包括用户标识符(uid)、个人的身份证号码。在互联网产品中，用户数据可以与uid唯一地关联。

不可标识数据可以是指不能标识或定位到自然人、实体或账户的数据。例如，用户的视频的浏览量、点赞量、评论量等。

临时数据可以是指仅在有限时间段或特定条件下有效的数据。例如，临时的链接、登录密码等。临时数据可以包括与用户之间的关联在阈值时间段之外会失效的用户数据，例如临时uid。在一些实现中，可以向用户分配临时uid以供运营人员使用临时uid来查询用户数据。这样，运营人员只能在预定的时间段内查询该用户的用户数据。当临时uid失效之后，运营人员将无法再查询该用户的用户数据。

相反，永久数据可以是指在预定时间段之外仍然有效的数据。永久数据可以包括与用户之间的关联在阈值时间段之外不会失效的用户数据。永久数据的示例可以包括用户的永久uid。例如，自账户创建以来的所有用户数据可以与uid唯一关联，并且该uid在账户注销之前一直保持有效。

应理解，业务数据的分类和定义可以取决于实际应用而变化。例如，在一些实现中，用户的uid可以与用户名一起在其个人页面被显示为公开数据。在另一些实现中，用户的uid作为非公开数据被存储在数据中心130中而不能被公开访问。

在框204，获取第一用户对应的业务数据访问能力属性以及获取目标数据对应的业务安全属性。业务数据访问能力属性用于表征基于用户的业务属性在所负责的业务环境下对数据的访问能力。业务数据访问能力属性可以指示发起方110对数据的访问是否受限或指示访问受限的水平。

可以基于请求的相关信息来确定请求的发起方110的对应的业务数据访问能力属性。如果请求的发起方110被确定为对数据中心130的访问受限的员工，则网关120可以不直接向数据中心130转发请求而是先对请求进行分析。

对于请求的发起方110的业务数据访问能力属性的确定取决于具体的业务场景。在一些实现中，网关120可以基于业务类型来确定请求的发起方110的业务数据访问能力属性。例如，由于客服的业务需要与用户直接沟通，网关120可以将与客户直接对接的客服人员标识为访问不受限的发起方110。又例如，由于产品的开发人员的业务不需要知晓真实的用户信息，网关120可以将产品的开发人员标识为访问受限的发起方110。

备选地或附加地，网关120可以基于地理因素来确定请求的发起方110的业务数据访问能力属性。例如，网关120可以基于发起人110的国籍、地理位置、数据中心130的地理位置来确定请求的发起方110对数据中心130的访问是否受限。例如，由于数据主权保护的要求，网关120可以将地理上与数据中心130不在同一国家的员工标识为受限的发起方110。

备选地或附加地，网关120可以基于数据中心130的管理方来确定请求的发起方110的业务数据访问能力属性。例如，网关120可以将与数据中心130的管理方不属于同一国家的员工标识为访问受限的发起方110。数据中心130的管理方可以按照数据中心130所在国家或地区的数据安全隐私合规的要求来确定。

业务安全属性用于表征基于业务安全需求对数据进行分类的标识属性。业务安全属性可以包括或指示数据的公开级别、可标识级别、时间级别中的一项或多项。在一些实现中，如果请求的发起方110被确定为对数据中心130的访问受限的员工，网关120可以确定所请求的目标数据的业务安全属性。

在一些实现中，网关120可以基于目标数据的公开级别来确定目标数据的业务安全属性。如上所述，公开级别可以指示从数据中心130之外的渠道获得该目标数据的难易程度。例如，公开数据的公开级别可以高于非公开数据的公开级别。

备选地或附加地，网关120可以基于目标数据的可标识级别来确定目标数据的业务安全属性。可标识级别可以指示目标数据是否能够标识用户、自然人或实体。例如，可标识数据的可标识级别可以高于不可标识数据的可标识级别。

备选地或附加地，网关120可以基于目标数据的时间级别来确定目标数据的业务安全属性。时间级别可以指示用户数据与用户之间的关联在阈值时间段内是否会失效。例如，永久数据的时间级别可以高于临时数据的时间级别。

在一些实现中，可以基于公开级别、可标识级别和时间级别来对目标数据进行分类。可以基于分类来确定目标数据的业务安全属性。业务安全属性可以包括分类的结果。例如，可以将公开级别超过阈值并且可标识级别超过阈值的目标数据的业务安全属性确定为公开且可标识。类似地，可以将公开级别超过阈值并且可标识级别低于阈值的目标数据的业务安全属性确定为公开且不可标识。

可以将公开级别低于阈值并且可标识级别超过阈值的目标数据的业务安全属性确定为非公开且可标识。可以将公开级别低于阈值并且可标识级别低于阈值的目标数据的业务安全属性确定为非公开且不可标识。还可以将公开级别超过阈值、可标识级别超过阈值、并且时间级别超过阈值的目标数据的业务安全属性确定为公开、可标识以及永久。

在框206，根据第一用户的业务数据访问能力属性和目标数据的业务安全属性，调用数据访问安全模型确定数据查询请求对应的数据查询处理策略。网关120可以利用数据访问安全模型来确定不同的数据查询处理策略。

在一些实现中，数据查询请求中包括第一用户的用户标识以及用于查询目标数据的关键字(下文中也称为查询关键字)。数据访问安全模型可以基于第一用户的业务数据访问能力属性和目标数据的业务安全属性来确定相应的数据查询处理策略。数据查询处理策略可以包括匿名化策略、数据透传策略、数据隔离策略等。匿名化策略用于对目标数据中的部分或所有进行匿名化处理。数据透传策略用于目标数据的直接交换。数据隔离策略用于目标数据的隔离，也即禁止对目标数据的访问。

在一些实现中，当第一用户的业务数据访问能力属性标识第一用户为数据访问权利受限制类型且查询关键字为第二用户(下文中也称为目标用户)的授权公开信息且目标数据的业务安全属性标识目标数据为非公开时，数据访问安全模型可以确定数据查询处理策略为数据隔离策略，也即，禁止第一用户查询目标数据。例如，可以防止发起方110利用目标用户的用户名来查询目标用户的非公开的浏览历史。这样，可以更好地保护用户数据。

在一些实现中，数据访问安全模型可以基于查询关键字与目标数据之间的查询规则来确定数据查询处理策略。查询规则可以指定特定类型或特定的查询关键字可以查询的目标数据。查询规则可以根据业务需求而设置。

在一些实现中，查询关键字和目标数据可以关联于同一用户。换言之，发起方110利用用户A的第一用户数据作为查询关键字来查询用户A的第二用户数据。例如，发起方110利用用户A的用户名来查询用户A的浏览历史。

在这种实现中，数据访问安全模型可以基于查询关键字的业务安全属性和目标数据的业务安全属性来确定数据查询处理策略。例如，当查询关键字的业务安全属性和目标数据的业务安全属性均为公开时，可以确定数据查询处理策略为数据透传策略。以此方式，可以实现公开数据之间的互查。

在框208，调用数据查询处理策略对目标数据进行处理并生成响应消息进行反馈。下文将详细描述不同策略的数据访问控制的细节。

在一些实现中，可以调用数据查询策略对目标数据进行处理并生成响应消息，并且针对响应消息中包含的目标数据中的指定数据配置有效时间并反馈响应消息，该有效时间用于指示指定数据在业务中的使用有效期。例如，可以为查询得到的密码配置使用有效期，这样，发起方110仅能在使用有效期内利用查询得到的密码，从而可以实现对目标数据的保护。

在一些实现中，响应于数据查询处理策略为数据透传策略，可以根据目标数据生成响应消息并进行反馈，响应消息中包含目标数据。例如，网关120可以向数据中心130转发请求；从数据中心130接收查询到的目标数据；以及向发起方110发送包括目标数据的响应。

在一些实现中，当目标数据的业务安全属性为公开并且请求中用于查询目标数据的查询关键字的业务安全属性为公开时，数据访问安全模型可以确定数据查询处理策略为数据透传策略。在这种情况下，网关120可以向发起方110发送包括目标数据的响应。

备选地或附加地，当目标数据的业务安全属性为非公开并且临时，查询关键字的业务安全属性为非公开且不可识别时，数据访问安全模型可以确定数据查询处理策略为数据透传策略。在这种情况下，网关120可以向发起方110发送包括目标数据的响应。例如，发起方110可以利用用户的搜索历史作为查询关键字向数据中心130查询用户的临时uid。这样，发起方110可以快速定位到与临时uid唯一关联的用户，以解决与该用户有关的问题。同时，由于所使用的是临时uid而不是永久uid，发起方110在阈值时间段之后将不能利用该临时uid定位到任何用户。以此方式，可以在允许内部员工快速处理问题的同时保护用户数据。

备选地或附加地，在目标数据的业务安全属性为非公开并且临时，查询关键字的业务安全属性为非公开并且临时的情况下，数据访问安全模型可以确定数据查询处理策略为数据透传策略。在这种情况下，网关120可以向发起方110发送包括目标数据的响应。例如，发起方110可以利用第一临时uid作为查询关键字向数据中心130查询用户的第二临时uid。

第一临时uid和第二临时uid可以是根据不同的业务需要而分配给用户的临时标识符。第一临时uid可以是与运营业务关联的唯一标识符，第二临时uid可以是与产品开发维护业务关联的唯一标识符。第一临时uid和第二临时uid以及永久uid之间存在对应的映射关系。例如，当客服人员将与用户有关的问题反映给工程团队时，工程团队所接收的不是用户的永久uid而是第一临时uid。工程团队可以利用第一临时uid向数据中心130查询与产品开发维护业务关联的第二临时uid。工程团队可以使用第二临时uid来定位与用户有关的问题，从而解决问题。

备选地或附加地，在查询关键字的业务安全属性为非公开并且临时、目标数据的业务安全属性为非公开并且不可识别的情况下，数据访问安全模型可以确定数据查询处理策略为数据透传策略。在这种情况下，网关120可以向发起方110发送包括目标数据的响应。例如，发起方110可以利用上述第一临时uid作为查询关键字向数据中心130查询与用户的问题有关的非公开并且不可识别的用户数据，例如用户的充值记录。

以此方式，通过使客服人员和产品开发维护人员利用临时uid来处理对应的业务，可以防止内部员工将用户的问题定位到真实的用户或自然人。此外，客服人员和产品开发维护人员也不能利用临时uid来追踪用户的行为数据，这样可以更好地保护用户数据。

在一些实现中，响应于数据查询处理策略为匿名化策略，可以对目标数据中的待保护数据进行匿名化处理，并基于匿名化处理后的目标数据生成响应消息进行反馈。目标数据中的待保护数据可以是目标数据的一部分或全部。

例如，网关120可以向数据中心130转发请求；从数据中心130接收查询到的目标数据；匿名化目标数据以生成匿名数据，匿名数据的可标识级别低于目标数据的可标识级别；以及向发起方110发送包括匿名数据的响应。

可以使用任何合适的方法来对目标数据进行匿名化处理。例如，可以使用统计技术、密码技术、抑制技术、假名化技术、泛化技术、置换技术和随机化技术等来生成匿名数据。应理解，取决于具体的定义方式，匿名化处理也可以称为去标识化处理、假名化处理等。经匿名化生成的匿名数据可以被还原。备选地，匿名数据也可以不能被还原。

当目标数据的业务安全属性为非公开且可识别时，网关120可以对目标数据进行匿名化处理，以降低目标数据的可标识级别。以此方式，发起方110不能获得非公开的可识别数据，从而实现对目标数据的保护。

例如，当发起方110利用非公开且不可识别的数据，例如搜索历史，来查询对应的用户真实姓名时，网关120可以对真实姓名进行匿名化处理。否则，发起方110可以将用户的行为关联到用户对应的自然人。

备选地或附加地，当目标数据的业务安全属性为非公开而查询关键字的业务安全属性为公开时，网关120可以对目标数据进行匿名化处理，以降低目标数据的可标识级别。以此方式，受限的发起方110不能使用公开数据作为查询关键字来获得非公开数据，从而实现对目标数据的访问控制。

例如，当发起方110利用公开数据，例如用户名，来查询对应的用户真实姓名时，网关120可以对用户真实姓名进行匿名化处理。否则，发起方110可以将用户关联到自然人。

备选地或附加地，当目标数据的业务安全属性为公开而查询关键字的业务安全属性为非公开且不可识别时，网关120可以对目标数据进行匿名化处理，以降低目标数据的可标识级别。以此方式，可以防止发起方110通过将用户的行为数据与账户关联来实现对账户的追踪。

例如，当发起方110利用非公开且不可识别的数据，例如搜索历史，来查询对应的用户名时，网关120可以对用户名进行匿名化处理。否则，发起方110可以将用户的行为关联到用户。

备选地或附加地，当目标数据的业务安全属性为公开而查询关键字的业务安全属性为非公开、临时以及可识别时，网关120可以对目标数据进行匿名化处理，以降低目标数据的可标识级别。以此方式，可以防止发起方110将临时可识别数据与公开数据组合以实现对用户、账号或实体的定位。

例如，当发起方110利用临时uid来查询对应的用户名时，网关120可以对用户名进行匿名化处理。否则，发起方110可以将临时uid关联到用户，从而可以将与临时uid关联的数据定位到用户。

在一些实现中，响应于数据查询处理策略为数据隔离策略，可以生成响应消息并进行反馈，该响应消息用于表征数据查询请求不被允许。例如，网关120可以向请求的发起方110发送指示请求未被批准的响应。

在一些实现中，由于匿名数据有可能带来程序语义上的歧义，网关120可以向请求的发起方110发送指示请求未被批准的响应，而不是向发起方110发送匿名数据。

例如，当查询关键字的业务安全属性为公开且可识别而目标数据的业务安全属性为非公开时，网关120可以向请求的发起方110发送指示请求未被批准的响应，而不是向发起方110发送匿名数据。

备选地或附加地，当查询关键字的业务安全属性为公开且不可识别而目标数据的业务安全属性为非公开且不可识别时，网关120可以向请求的发起方110发送指示请求未被批准的响应，而不是向发起方110发送匿名数据。

备选地或附加地，当查询关键字的业务安全属性为公开且不可识别而目标数据的业务安全属性为非公开、临时且可识别时，网关120可以向请求的发起方110发送指示请求未被批准的响应，而不是向发起方110发送匿名数据。

备选地或附加地，当查询关键字的业务安全属性为非公开且不可识别而目标数据的业务安全属性为公开且不可识别时，网关120可以向请求的发起方110发送指示请求未被批准的响应，而不是向发起方110发送匿名数据。

备选地或附加地，当查询关键字的业务安全属性为非公开且不可识别而目标数据的业务安全属性为公开并且目标数据是永久标识符时，网关120可以向请求的发起方110发送指示请求未被批准的响应，而不是向发起方110发送匿名数据。

备选地或附加地，当查询关键字的业务安全属性为非公开并且查询关键字是临时标识符、目标数据的业务安全属性为公开且不可标识时，网关120可以向请求的发起方110发送指示请求未被批准的响应，而不是向发起方110发送匿名数据。

备选地或附加地，当查询关键字的业务安全属性为非公开并且查询关键字是临时标识符、目标数据的业务安全属性为公开并且目标数据是永久标识符时，网关120可以向请求的发起方110发送指示请求未被批准的响应，而不是向发起方110发送匿名数据。

附加地，当查询关键字的业务安全属性为非公开且可识别时，网关120可以直接向请求的发起方110发送指示请求未被批准的响应，而无需向数据中心130转发请求。以此方式，可以防止发起方110利用从其他渠道获得的非公开且可识别的用户数据进行查询。

上文参考图2详细描述了数据访问控制的原理和细节。应理解，上述查询关键字与目标数据之间的查询规则仅是示例性的，查询规则还可以取决于具体业务而变化。

本公开的实施例还提供了用于实现上述方法或过程的相应装置。图3示出了根据本公开的一些实施例的用于数据访问控制的装置300的示意性结构框图。

如图3所示，装置300包括：接收单元310，被配置为接收数据查询请求，数据查询请求用于表征第一用户请求目标数据；获取单元320，被配置为获取第一用户对应的业务数据访问能力属性以及获取目标数据对应的业务安全属性；其中，业务数据访问能力属性用于表征基于用户的业务属性在所负责的业务环境下对数据的访问能力；业务安全属性用于表征基于业务安全需求对数据进行分类的标识属性；确定单元330，被配置为根据第一用户的业务数据访问能力属性和目标数据的业务安全属性，调用数据访问安全模型确定数据查询请求对应的数据查询处理策略；以及响应单元340，被配置为调用数据查询处理策略对目标数据进行处理并生成响应消息进行反馈。

在一些实现中，响应单元340被配置为：当数据查询请求对应的数据查询处理策略为匿名化策略，则对目标数据中的待保护数据进行匿名化处理，并基于匿名化处理后的目标数据生成响应消息进行反馈。

在一些实现中，响应单元340被配置为：当数据查询请求对应的数据查询处理策略为数据透传策略，则根据目标数据生成响应消息并进行反馈，响应消息中包含目标数据。

在一些实现中，响应单元340被配置为：当数据查询请求对应的数据查询处理策略为数据隔离策略，则生成响应消息并进行反馈，响应消息用于表征数据查询请求不被允许。

在一些实现中，数据查询请求中包括第一用户的用户标识以及用于查询目标数据的关键字，并且确定单元330被配置为：当第一用户的业务数据访问能力属性标识第一用户为数据访问权利受限制类型且用于查询目标数据的关键字为第二用户的授权公开信息且目标数据的业务安全属性标识目标数据为非公开时，调用数据访问安全模型确定数据查询请求对应的数据查询处理策略为数据隔离策略，数据隔离策略用于禁止第一用户查询目标数据。

在一些实现中，响应单元340被配置为：调用数据查询策略对目标数据进行处理并生成响应消息，且针对响应消息中包含的目标数据中的指定数据配置有效时间并反馈响应消息，有效时间用于指示指定数据在业务中的使用有效期。

图4示出了可以用来实施本公开内容的实施例的示例设备400的示意性框图。例如，根据本公开实施例的网关120可以由设备400来实施。如图所示，设备400包括中央处理单元(CPU)401，其可以根据存储在只读存储器(ROM)402中的计算机程序指令或者从存储单元408加载到随机访问存储器(RAM)403中的计算机程序指令，来执行各种适当的动作和处理。在RAM 403中，还可存储设备400操作所需的各种程序和数据。CPU 401、ROM 402以及RAM403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。

设备400中的多个部件连接至I/O接口405，包括：输入单元406，例如键盘、鼠标等；输出单元407，例如各种类型的显示器、扬声器等；存储单元408，例如磁盘、光盘等；以及通信单元409，例如网卡、调制解调器、无线通信收发机等。通信单元409允许设备400通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

上文所描述的各个过程和处理，例如方法200，可由处理单元401执行。例如，在一些实施例中，方法200可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元408。在一些实施例中，计算机程序的部分或者全部可以经由ROM 402和/或通信单元409而被载入和/或安装到设备400上。当计算机程序被加载到RAM 403并由CPU 401执行时，可以执行上文描述的方法200的一个或多个动作。

本公开可以是方法、装置、系统和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于执行本公开的各个方面的计算机可读程序指令。

计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是但不限于电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。

这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等，以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)，该电子电路可以执行计算机可读程序指令，从而实现本公开的各个方面。

这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理单元，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理单元执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

以上已经描述了本公开的各实施方式，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施方式。在不偏离所说明的各实施方式的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施方式的原理、实际应用或对市场中的技术的改进，或者使本技术领域的其他普通技术人员能理解本文披露的各实施方式。

Claims

一种用于数据访问控制的方法，其特征在于，包括：

接收数据查询请求，所述数据查询请求用于表征第一用户请求目标数据；

获取所述第一用户对应的业务数据访问能力属性以及获取所述目标数据对应的业务安全属性；其中，所述业务数据访问能力属性用于表征基于用户的业务属性在所负责的业务环境下对数据的访问能力；所述业务安全属性用于表征基于业务安全需求对数据进行分类的标识属性；

根据所述第一用户的业务数据访问能力属性和所述目标数据的业务安全属性，调用数据访问安全模型确定所述数据查询请求对应的数据查询处理策略；以及

调用所述数据查询处理策略对所述目标数据进行处理并生成响应消息进行反馈。
根据权利要求1所述的方法，其特征在于，所述调用所述数据查询处理策略对所述目标数据进行处理并生成响应消息进行反馈，包括：

当所述数据查询请求对应的数据查询处理策略为匿名化策略，则对所述目标数据中的待保护数据进行匿名化处理，并基于所述匿名化处理后的目标数据生成响应消息进行反馈。
根据权利要求1所述的方法，其特征在于，所述调用所述数据查询处理策略对所述目标数据进行处理并生成响应消息进行反馈，包括：

当所述数据查询请求对应的数据查询处理策略为数据透传策略，则根据所述目标数据生成响应消息并进行反馈，所述响应消息中包含所述目标数据。
根据权利要求1所述的方法，其特征在于，所述调用所述数据查询处理策略对所述目标数据进行处理并生成响应消息进行反馈，包括：

当所述数据查询请求对应的数据查询处理策略为数据隔离策略，则生成响应消息并进行反馈，所述响应消息用于表征所述数据查询请求不被允许。
根据权利要求1所述的方法，其特征在于，所述数据查询请求中包括所述第一用户的用户标识以及用于查询所述目标数据的关键字；

则根据所述第一用户的业务数据访问能力属性和所述目标数据的业务安全属性，调用数据访问安全模型确定所述数据查询请求对应的数据查询处理策略，包括：

当所述第一用户的业务数据访问能力属性标识所述第一用户为数据访问权利受限制类型且所述用于查询所述目标数据的关键字为第二用户的授权公开信息且所述目标数据的业务安全属性标识所述目标数据为非公开时，调用数据访问安全模型确定所述数据查询请求对应的数据查询处理策略为数据隔离策略，所述数据隔离策略用于禁止所述第一用户查询所述目标数据。
根据权利要求1所述的方法，其特征在于，所述调用所述数据查询处理策略对所述目标数据进行处理并生成响应消息进行反馈，包括：

调用所述数据查询策略对所述目标数据进行处理并生成响应消息，且针对所述响应消息中包含的所述目标数据中的指定数据配置有效时间并反馈所述响应消息，所述有效时间用于指示所述指定数据在业务中的使用有效期。
一种用于数据访问控制的装置，其特征在于，包括：

接收单元，被配置为接收数据查询请求，所述数据查询请求用于表征第一用户请求目标数据；

获取单元，被配置为获取所述第一用户对应的业务数据访问能力属性以及获取所述目标数据对应的业务安全属性；其中，所述业务数据访问能力属性用于表征基于用户的业务属性在所负责的业务环境下对数据的访问能力；所述业务安全属性用于表征基于业务安全需求对数据进行分类的标识属性；

确定单元，被配置为根据所述第一用户的业务数据访问能力属性和所述目标数据的业务安全属性，调用数据访问安全模型确定所述数据查询请求对应的数据查询处理策略；以及

响应单元，被配置为调用所述数据查询处理策略对所述目标数据进行处理并生成响应消息进行反馈。
根据权利要求7所述的装置，其特征在于，所述响应单元被配置为：

当所述数据查询请求对应的数据查询处理策略为匿名化策略，则对所述目标数据中的待保护数据进行匿名化处理，并基于所述匿名化处理后的目标数据生成响应消息进行反馈。
根据权利要求7所述的装置，其特征在于，所述响应单元被配置为：

当所述数据查询请求对应的数据查询处理策略为数据透传策略，则根据所述目标数据生成响应消息并进行反馈，所述响应消息中包含所述目标数据。
根据权利要求7所述的装置，其特征在于，所述响应单元被配置为：

当所述数据查询请求对应的数据查询处理策略为数据隔离策略，则生成响应消息并进行反馈，所述响应消息用于表征所述数据查询请求不被允许。
根据权利要求7所述的装置，其特征在于，所述数据查询请求中包括所述第一用户的用户标识以及用于查询所述目标数据的关键字，所述确定单元被配置为：

当所述第一用户的业务数据访问能力属性标识所述第一用户为数据访问权利受限制类型且所述用于查询所述目标数据的关键字为第二用户的授权公开信息且所述目标数据的业务安全属性标识所述目标数据为非公开时，调用数据访问安全模型确定所述数据查询请求对应的数据查询处理策略为数据隔离策略，所述数据隔离策略用于禁止所述第一用户查询所述目标数据。
根据权利要求7所述的装置，其特征在于，所述响应单元被配置为：

调用所述数据查询策略对所述目标数据进行处理并生成响应消息，且针对所述响应消息中包含的所述目标数据中的指定数据配置有效时间并反馈所述响应消息，所述有效时间用于指示所述指定数据在业务中的使用有效期。
一种电子设备，包括：

存储器和处理器；

其中所述存储器用于存储一条或多条计算机指令，其中所述一条或多条计算机指令被所述处理器执行以实现根据权利要求1至6中任一项所述的方法。
一种计算机可读存储介质，其上存储有一条或多条计算机指令，其中所述一条或多条计算机指令被处理器执行以实现根据权利要求1至6中任一项所述的方法。