数据访问控制方法及服务器与流程

本发明涉及数据存储技术，特别是一种数据访问控制方法及服务器。

背景技术：

目前，随着网络技术的发展，越来越多的用户选择将自己的用户数据存储到网络侧。

存储于网络侧用户数据中包括各种各样的类型，对于某一用户A需要共享的数据(如方便其他人联系自己的手机号码)而言，其他用户B在获取到这些共享数据之后，都是保存到自己的本地或者又作为用户B自己的数据保存到网络侧。

这种方式导致数据的急速膨胀，对有限的存储空间是极大的挑战。

以通信录而言，假定有一个用户A，有10个用户B有用户A的联系方式，以用户A的手机号码为例，总共的10个用户都会在网络侧存储用户A的电话号码，这就造成了存储资源的浪费。

技术实现要素：

本发明实施例的目的在于提供一种数据访问控制方法及服务器，以降低网络侧用户数据存储对存储资源的需求。

为实现上述目的，本发明实施例一方面提供了一种数据访问控制方法，用于一服务器，包括：

接收请求用户发送的携带有请求用户的第一用户信息和第一数据空间识别信息的第一访问请求；

从所有的数据空间中查找所述第一数据空间识别信息指示的第一数据空间；所述第一数据空间包括第一子空间，用于存储所述第一数据空间的归属用户的第一用户数据；

根据所述第一用户信息确定所述请求用户对应于所述第一用户数据的访问权限；

依据所述访问权限控制所述请求用户针对所述第一用户数据的访问。

为实现上述目的，本发明实施例一方面提供了一种数据访问控制服务器，包括：

第一接收模块，用于接收请求用户发送的携带有请求用户的第一用户信息和第一数据空间识别信息的第一访问请求；

查找模块，用于从所有的数据空间中查找所述第一数据空间识别信息指示的第一数据空间；所述第一数据空间包括第一子空间，用于存储所述第一数据空间的归属用户的第一用户数据；

权限确定模块，用于根据所述第一用户信息确定所述请求用户对应于所述第一用户数据的访问权限；

第一控制模块，用于依据所述访问权限控制所述请求用户针对所述第一用户数据的访问。

本发明实施例的数据访问控制方法及服务器中，每一个用户保存自己需要共享的用户数据，在其他用户需要使用该共享的用户数据时，随时可以向该用户提出请求，在授权通过后，即可实现对所述第一用户数据的访问，而无需自己存储该用户共享的用户数据，大大降低了网络侧用户数据存储对存储资源的需求。

附图说明

图1表示本发明实施例的数据访问控制方法的流程示意图；

图2表示本发明实施例的数据访问控制方法中授权信息的更新流程示意图；

图3表示本发明实施例中用于解释请求用户和归属用户的示意图；

图4表示本发明实施例中归属用户授权其他用户的示意图；

图5表示本发明实施例中数据空间的数据存储结构示意图；

图6表示本发明实施例中按需进行数据更新的流程示意图；

图7表示本发明实施例的一种数据访问控制服务器的结构示意图；

图8表示本发明实施例的另一种数据访问控制服务器的结构示意图。

具体实施方式

本发明实施例的数据访问控制方法及服务器中，每一个用户保存自己需要共享的用户数据，在其他用户需要使用该共享的用户数据时，随时可以向该用户提出请求，在授权通过后，即可实现对所述第一用户数据的访问，而无需自己存储该用户共享的用户数据，大大降低了网络侧用户数据存储对存储资源的需求。

本发明具体实施例的一种数据访问控制方法，用于一服务器，如图1所示，包括：

步骤101，接收请求用户发送的携带有请求用户的第一用户信息和第一数据空间识别信息的第一访问请求；

步骤102，从所有的数据空间中查找所述第一数据空间识别信息指示的第一数据空间；所述第一数据空间包括第一子空间，用于存储所述第一数据空间的归属用户的第一用户数据；

步骤103，根据所述第一用户信息确定所述请求用户对应于所述第一用户数据的访问权限；

步骤104，依据所述访问权限控制所述请求用户针对所述第一用户数据的访问。

本发明第一实施例的数据访问控制方法中，每一个归属用户保存自己需要共享的用户数据，在其他用户(请求用户)需要使用该共享的用户数据时，随时可以向该归属用户提出请求，依据访问权限控制请求用户对所述第一用户数据的访问，使得具有权限的用户无需自己存储该归属用户共享的用户数据，在保证数据安全的同时大大降低了网络侧用户数据存储对存储资源的需求。

本发明实施例的方法可以应用于各种类型的数据共享，其中包括但不限于所述用户数据为所述归属用户的用户联系信息。

为保证数据安全，在接收到请求用户(请求访问数据空间的数据的用户)发出的请求时，需要确定该请求用户对数据的访问权限，在本发明的具体实施例中，可以采用多种方式进行访问权限的确定，分别详细说明如下。

<方式一>

在方式一中，第一访问请求携带的第一用户信息包括所述请求用户对应于所述第一用户数据的访问权限，所述根据所述第一用户信息确定所述请求用户对应于所述第一用户数据的访问权限具体为：从所述第一用户信息提取所述访问权限。

这种方式下，请求用户预先获取自身对应于所述第一用户数据的访问权限(如由归属用户生成并通过如二维码等方式发送给请求用户)，在发送请求时携带该访问权限即可。

这种方式无需服务器端针对每一用户保存对应的访问权限，也无需服务器查找对应的访问权限，在节省服务器空间的同时简化了服务器的操作。

<方式二>

在方式一中，由请求用户直接携带访问权限，但这种方式下如果请求用户通过非法途径获取到了访问权限，此时服务器端无法判别权限的有效性和合法性，不利于数据安全。

为提高数据安全的级别，方式二中采用在数据空间预先存储用户的授权信息，并在接收到第一访问请求依据预先存储的授权信息来确定访问权限，说明如下。

方式二中，所述第一数据空间还包括第二子空间，用于存储授权用户对应的授权信息；所述根据所述第一用户信息确定所述请求用户对应于所述第一用户数据的访问权限具体为：

根据所述第一用户信息确定所述请求用户；

根据所述第二子空间存储的授权用户的授权信息确定所述访问权限。

方式二中，服务器预先存储授权用户对应的授权信息，进而通过预先存储的授权信息确定访问权限。从安全角度而言，保存于服务器端的授权信息的数据安全性远大于用户端保存的授权信息，因此能够提高了数据安全的级别。

在本发明的具体实施例中，授权信息可以包括：

基础授权信息，用于指示用户是否能访问所述第一用户数据；

时间授权信息，用于指示所述基础授权信息的有效时间。

对于用户数据而言，用户数据的种类各不相同，其对应的授权也不相同， 举例说明如下。

如用户数据中包括如下的各种数据：

家庭电子锁的开锁密码；

家庭公开相册；

家庭私密相册。

此时，对于这三种不同的数据而言，其共享的人群显然不同，如开锁密码和家庭私密相册只能共享给家庭成员，而家庭公开相册则可以贡献给家庭成员和家庭外成员。

针对上述的情况，本发明具体实施例中，当所述第一用户数据包括不同类别的用户子数据时，所述授权信息也可以包括对应于每一类别的用户子数据的授权子信息。

而所述根据所述第二子空间存储的授权用户的授权信息确定所述访问权限具体为：根据所述用户授权子信息确定所述请求用户对应于每一类用户子数据的访问子权限；

所述依据所述访问权限控制所述请求用户针对所述第一用户数据的访问具体为：依据所有访问子权限控制所述请求用户针对每一类用户子数据的访问。

对此以用户数据为用户联系信息为例详细说明如下。

假定用户A有3个手机号码(号码A1、号码A2和号码A3)，其中号码A1用于工作，号码A2用于家庭通信，而号码A3用于和同学朋友进行通信。此时对于该用户数据需要进行类别属性的设置，其中号码A1的类型属性为01，号码A2的类型属性为02，号码A3的类型属性为03。

此时，针对用户B(假定为用户A的同学)，此时，对应于用户B，号码A1、A2和A3的授权子信息则分别为：拒绝访问、拒绝访问和允许访问。

此时，当用户B请求访问用户A的数据空间时，则可以依据上述的授权子信息确定用户B只能访问号码A3。

当然，以上仅仅是举例，数据类别可以是各种各样，但服务器端的处理方式完全相同，在此不作进一步详细描述。

以上是对基础授权信息进行了说明，在本发明具体实施例中，该授权信息还可以包括时间授权信息，用于指示所述基础授权信息的有效时间。以通信联 系信息为例，时间授权信息表示赋予其他用户获取该通信联系信息的权限的持续时间。

如可以使用00代表该联系人永久能够获取该用户通讯录权限，如使用16进制数表示持续时间时，则可以针对权限的持续时间在0-255天之间进行区分。当然，时间粒度可以根据需求进行设置，如也可以使用4位的二进制数，从而在0-16个月之间进行区分。

当通过时间授权信息发现授权过期时，可以提示请求用户进行授权信息的重新获取，或者提示归属用户进行时间授权信息的归零重设置。

通过上述的方式，本发明实施例实现了针对数据或者说针对用户的区别授权，提高了数据访问控制的灵活性。

在本发明的具体实施例中，可以在数据空间预先保存授权用户对应的授权信息，进而通过预先存储的授权信息确定访问权限。而这种预先存储的授权信息可以通过如下方式实现，说明如下。

如图2所示，本发明具体实施例中，所述数据访问控制方法还包括：

步骤201，接收取得所有者权限的归属用户发送的携带所述请求用户的第一用户信息和所述请求用户的授权信息的用户更新请求；

步骤202，将所述请求用户的第一用户信息和授权信息对应存储到所述第二子空间。

在归属用户向请求用户授权之后，即可将被授权的请求用户的用户信息和授权信息通过用户更新请求发送给服务器，而服务器在接收到上述的更新请求之后即可对应保存请求用户的第一用户信息和授权信息，后续即可利用上述的用户信息和授权信息来确定申请访问用户数据的用户的访问权限。

上述方式中，由归属用户向服务器发送用户的授权信息，而在另外一种方式下，可以由服务器根据用户的某些属性信息来确定用户的授权信息，举例说明如下。

可以为用户设置一个优先级，依据某些规则计算用户的优先级，当优先级超过一定值时，则取得对数据的访问权限。

如服务器自动根据和请求用户之间的通信记录确定请求用户的权限信息，即当一定时间段内的联系次数超过预定门限时则提高请求用户的权限等级，又 如，当请求用户的属性字段被设置为家人时，则具有最高的权限等级，使得服务器在接收到属性为“家人”的用户发送的请求时可以直接返回用户数据。

一般而言，归属用户和请求用户是一个相对的概念，如图3所示，假定数据空间X存储了用户张三的用户数据，而数据空间Y存储了用户李四的用户数据，则当张三访问数据空间X时，张三为数据空间X的归属用户，而当张三访问数据空间Y时，张三为数据空间Y的请求用户。同样，当李四访问数据空间X时，张三为数据空间X的请求用户，而当李四访问数据空间Y时，张三为数据空间Y的归属用户。

通过以上描述可以发现，一般而言，对于数据空间的访问，尤其当数据空间存储的是个人电话号码时，用户之间的授权是相互的。即上述技术方案中的归属用户同样存在着访问请求用户的数据空间的需求，为了简化流程，在本发明具体实施例中还在数据空间中设置一第三子空间，来存储允许归属用户访问的数据空间的数据空间识别信息，使得该归属用户可以在需要访问其他用户的数据空间时，可以利用存储的数据空间识别信息构建对应的访问请求。

即，本发明具体实施例中，所述第一数据空间还包括第三子空间，用于在归属于所述请求用户的用于存储所述请求用户的第二用户数据的第二数据空间允许所述归属用户访问时，对应存储所述请求用户的第一用户信息和所述第二数据空间的第二数据空间识别信息，使得所述归属用户在需要访问所述第二用户数据时，能够读取所述第二数据空间的数据空间识别信息，形成并发送携带所述归属用户的第二用户信息和所述第二数据空间识别信息的第三访问请求。

而上述的请求用户的第一用户信息和所述第二数据空间的第二数据空间识别信息可以是请求用户在确定允许归属用户访问时向服务器发送。

即所述数据访问控制方法还包括：

接收所述请求用户在确定允许所述归属用户访问所述第二数据空间时发送的携带所述第一用户信息和第二数据空间识别信息的数据存储请求；

存储所述第一用户信息和第二数据空间识别信息到所述第三子空间。

对此结合图3和图4具体说明如下。

如图3所示，假定张三和李四相互允许对方访问其数据空间，则以张三为 例，在数据空间X中，会保存两部分的信息：

1、寻址信息，用于记录数据空间Y的数据空间识别信息，同时还可以记录李四对张三的授权信息；

2、逆寻址信息，用于记录数据空间X的数据空间识别信息以及针对李四的授权信息。

这两部分信息的使用如下所述。

当张三可以通过如下方式对李四进行授权时：

服务器会获取数据空间X的数据空间识别信息发送给李四，使得李四能够依据数据空间X的数据空间识别信息发起对数据空间X的访问；或

如图4所示，张三的客户端采集张三的数据空间标识信息和权限信息之后，组合形成的信息一二维码的方式提供给李四扫描，李四扫描之后即可得到其中的数据空间标识信息和权限信息，并保存到自己的数据空间。

当服务器接收到李四发送的请求访问数据空间X的请求时，则可以依据逆寻址信息中针对李四的授权信息对李四进行访问控制；

当张三需要访问李四的数据空间Y时，服务器可以从数据空间X中提取数据空间Y的数据空间识别信息(还可以包括李四对张三的授权信息)构建请求访问数据空间Y的访问请求。

当李四也同意共享自己的数据给张三时，则可以通过以上的方式进行，当由于用户已经知道张三的数据空间识别信息，则可以直接告知服务器，由服务器直接将张三的数据空间识别信息和授权信息存入到李四的数据空间中。

在本发明的具体实施例中，可以发现，对于一个数据空间而言，其有两类型的用户，即：归属用户和请求用户。为了区分以上的两类用户，本发明具体实施例中，每一个数据空间具有根据对应的归属用户的用户信息生成的唯一识别信息，所述数据访问控制方法还包括：

接收所述归属用户发送的携带有指示所述第一数据空间的第三数据空间识别信息的第二访问请求；

当所述第三数据空间识别信息为所述第一数据空间对应的唯一识别信息时，向所述归属用户分配所有者权限；

依据所述所有者权限控制所述归属用户针对所述第一数据空间的访问。

为了保证第一数据空间的唯一性，在本发明的具体实施例中，可以使用任何具备唯一性的数据来生成唯一识别信息，如邮箱账号、手机号码等，但结合用户的特性，在本发明的具体实施例中，每一个数据空间的唯一识别信息可以是根据对应的归属用户的唯一生理特征(如虹膜、指纹、声纹等)数据生成的信息。

也就是说，对于每一个用户的数据空间，其识别信息根据对应的归属用户的唯一生理特征数据生成，确保了数据空间的唯一性，减少了数据存储的压力。

同时，在本发明的具体实施例中，上述识别信息可以是数据空间的地址信息。

请求用户通过归属用户的唯一生理特征(如虹膜、指纹、声纹等)数据计算得到一个网络地址，然后可以通过该地址访问数据空间。

在本发明的具体实施例中，该计算得到的网络地址还可以进行加密，以确保用户生理特征数据的安全。

在本发明的具体实施例中，具有所有者权限的用户可以对上述第一子空间的用户数据以及第二子空间中的授权信息进行维护，包括删除、修改、增加等操作。

而第三子空间中的授权信息则可以由服务器根据其他用户的请求进行维护。

根据以上描述，结合图5所示，可以发现本发明实施例的数据空间的数据存储结构包括如下接个部分：

1、归属用户的唯一识别信息，用于识别用户是否归属用户，以控制用户的访问；

2、归属用户的用户数据，用于存储归属用户的用户数据，如手机号码、家庭住址、视频等各类数据；

3、自身的数据空间识别信息，用于向授权的用户发送，使得用户利用该自身的数据空间识别信息请求时，能够区分用户为请求用户，而不是归属用户；

4、针对请求用户的授权信息，用于控制请求用户针对归属用户的用户数据的访问，如可以读取某一部分数据，又如可以读取所有的数据；

5、授权归属用户访问的数据空间的数据空间识别信息和授权信息，用于 归属用户访问其他用户的数据空间时构建访问请求。

很多时候都具有实时性的特征，一旦发生改变，需要进行及时通知才能保证信息更新后的数据及时发挥作用。如用户的手机号码发生改变，如果用户仅仅存储自己的更改后的手机号码，其他联系人还是无法及时联系到手机号码更改后的用户。又如，对于需要知道用户住址以寄送相应材料的人(如保险公司、银行的工作人员等)，一旦用户的住址发生改变，如果用户仅仅更新自己的更改后的住址，其他联系人还是无法及时寄送相应材料到正确的地址。

也就是说，现有技术的网络侧用户数据存储方案存在着用户数据发生改变时无法及时通知对应用户的问题。

为实现用户数据变更的及时通知，本发明具体实施例中，所述的数据访问控制方法还包括：

在所述第一用户数据发生变化时，向所述请求用户发送指示第一用户数据发生变化的更新消息，使得所述请求用户发送所述第一访问请求。

这种方式属于主动触发的方式，但这种方式对服务器的要求较高，需要随时进行用户数据的更新检测。

另外一种方式则可以基于用户的请求触发，即在接收到所述请求用户发送的更新检测请求时触发用户数据变更的检测，在检测到用户数据发生变化时，向所述请求用户发送指示第一用户数据发生变化的更新消息，使得所述请求用户发送所述第一访问请求。

这种方式下，是属于按需检查的方式，能够大大降低服务器的负载，其具体的实现过程如图6所示，包括：

步骤601，请求用户侧的客户端检测到请求用户请求进行用户数据更新检测；

步骤602，请求用户侧的客户端向服务器发送更新检测请求；

步骤603，服务器检测数据空间中的用户数据变化情况；

步骤604，服务器根据检测结果向请求侧的客户端反馈更新检测请求响应，其中携带数据空间中的用户数据发生变化的用户列表；

步骤605，请求用户侧的客户端向服务器发送第一访问请求；

步骤606，服务器确定请求用户对请求的数据空间的访问权限，当请求用 户具备访问权限时，进入步骤607，否则进入步骤608；

步骤607，返回携带修改后的用户数据的第一访问请求响应；

步骤608，向归属用户侧的客户端发送申请授权请求；

步骤609，归属用户侧的客户端收到申请授权请求后，向归属用户呈现“XXX想要获取您的手机号码”，并根据用户操作结果返回申请授权响应，当取得授权时则可以继续通过步骤605-607取得修改后的用户数据，否则结束。

上述的方式应用于通信录数据时，则步骤601可以在如下情景下判断检测到请求用户请求进行用户数据更新检测：用户请求拨打归属用户的电话。

本发明实施例还提供了一种数据访问控制服务器，如图7所示，包括：

第一接收模块701，用于接收请求用户发送的携带有请求用户的第一用户信息和第一数据空间识别信息的第一访问请求；

查找模块702，用于从所有的数据空间中查找所述第一数据空间识别信息指示的第一数据空间；所述第一数据空间包括第一子空间，用于存储所述第一数据空间的归属用户的第一用户数据；

权限确定模块703，用于根据所述第一用户信息确定所述请求用户对应于所述第一用户数据的访问权限；

第一控制模块704，用于依据所述访问权限控制所述请求用户针对所述第一用户数据的访问。

上述的数据访问控制服务器，其中，所述第一数据空间还包括第二子空间，用于存储授权用户对应的授权信息；所述权限确定模块具体包括：

用户确定单元，用于根据所述第一用户信息确定所述请求用户；

权限查找单元，用于根据所述第二子空间存储的授权用户的授权信息确定所述访问权限。

上述的数据访问控制服务器，其中，所述授权信息包括：

基础授权信息，用于指示用户是否能访问所述第一用户数据；

时间授权信息，用于指示所述基础授权信息的有效时间。

上述的数据访问控制服务器，其中，所述第一用户数据包括不同类别的用户子数据，所述授权信息包括对应于每一类别的用户子数据的授权子信息；

所述权限查找单元具体用于根据所述用户授权子信息确定所述请求用户 对应于每一类用户子数据的访问子权限；

所述权限查找单元具体用于依据所有访问子权限控制所述请求用户针对每一类用户子数据的访问。

上述的数据访问控制服务器，其中，还包括：

第二接收模块，用于接收取得所有者权限的归属用户发送的携带所述请求用户的第一用户信息和所述请求用户的授权信息的用户更新请求；

第一存储模块，用于将所述请求用户的第一用户信息和授权信息对应存储到所述第二子空间。

上述的数据访问控制服务器，其中，所述第一数据空间还包括第三子空间，用于在归属于所述请求用户的用于存储所述请求用户的第二用户数据的第二数据空间允许所述归属用户访问时，对应存储所述请求用户的第一用户信息和所述第二数据空间的第二数据空间识别信息，使得所述归属用户在需要访问所述第二用户数据时，能够读取所述第二数据空间的数据空间识别信息，形成并发送携带所述归属用户的第二用户信息和所述第二数据空间识别信息的第三访问请求。

上述的数据访问控制服务器，其中，还包括：

第三接收模块，用于接收所述请求用户在确定允许所述归属用户访问所述第二数据空间时发送的携带所述第一用户信息和第二数据空间识别信息的数据存储请求；

第二存储模块，用于存储所述第一用户信息和第二数据空间识别信息到所述第三子空间。

上述的数据访问控制服务器，其中，每一个数据空间具有根据对应的归属用户的用户信息生成的唯一识别信息，所述数据访问控制服务器还包括：

第四接收模块，用于接收所述归属用户发送的携带有指示所述第一数据空间的第三数据空间识别信息的第二访问请求；

分配模块，用于当所述第三数据空间识别信息为所述第一数据空间对应的唯一识别信息时，向所述归属用户分配所有者权限；

第二控制模块，用于依据所述所有者权限控制所述归属用户针对所述第一数据空间的访问。

上述的数据访问控制服务器，其中，每一个数据空间的唯一识别信息为根据对应的归属用户的唯一生理特征数据生成的信息。

上述的数据访问控制服务器，其中，还包括：

通知模块，用于在所述第一用户数据发生变化时，向所述请求用户发送指示第一用户数据发生变化的更新消息，使得所述请求用户发送所述第一访问请求。

上述的数据访问控制服务器，其中，还包括：

第五接收模块，用于接收所述请求用户发送的更新检测请求；

检测模块，用于检测所述第一用户数据是否发生变化。

上述的数据访问控制服务器，其中，所述第一用户信息包括所述请求用户对应于所述第一用户数据的访问权限，所述权限确定模块具体用于从所述第一用户信息提取所述访问权限。

上述的数据访问控制服务器，其中，所述归属用户的用户数据为所述归属用户的用户联系信息。

图8是本发明另一个实施例的服务器的框图。图8所示的服务器包括：至少一个处理器801、存储器802、至少一个网络接口804和其他用户接口803。服务器中的各个组件通过总线系统805耦合在一起。可理解，总线系统805用于实现这些组件之间的连接通信。总线系统805除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图8中将各种总线都标为总线系统805。

其中，用户接口803可以包括显示器、键盘或者点击设备(例如，鼠标，轨迹球(trackball)、触感板或者触摸屏等。

可以理解，本发明实施例中的存储器802可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存 储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DRRAM)。本文描述的系统和方法的存储器802旨在包括但不限于这些和任意其它适合类型的存储器。

在一些实施方式中，存储器802存储了如下的元素，可执行模块或者数据结构，或者他们的子集，或者他们的扩展集：操作系统8021和应用程序8022。

其中，操作系统8021，包含各种系统程序，例如框架层、核心库层、驱动层等，用于实现各种基础业务以及处理基于硬件的任务。应用程序8022，包含各种应用程序，例如媒体播放器(Media Player)、浏览器(Browser)等，用于实现各种应用业务。实现本发明实施例方法的程序可以包含在应用程序8022中。

在本发明实施例中，通过调用存储器802存储的程序或指令，具体的，可以是应用程序8022中存储的程序或指令，处理器801用于：

接收请求用户发送的携带有请求用户的第一用户信息和第一数据空间识别信息的第一访问请求；

从所有的数据空间中查找所述第一数据空间识别信息指示的第一数据空间；所述第一数据空间包括第一子空间，用于存储所述第一数据空间的归属用户的第一用户数据；

根据所述第一用户信息确定所述请求用户对应于所述第一用户数据的访问权限；

依据所述访问权限控制所述请求用户针对所述第一用户数据的访问。

上述本发明实施例揭示的方法可以应用于处理器801中，或者由处理器801实现。处理器801可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器801中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器801可以是通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。

通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器802，处理器801读取存储器802中的信息，结合其硬件完成上述方法的步骤。

可以理解的是，本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现，处理单元可以实现在一个或多个专用集成电路(Application Specific Integrated Circuits，ASIC)、数字信号处理器(Digital Signal Processing，DSP)、数字信号处理设备(DSP Device，DSPD)、可编程逻辑设备(Programmable Logic Device，PLD)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本申请所述功能的其它电子单元或其组合中。

对于软件实现，可通过执行本文所述功能的模块(例如过程、函数等)来实现本文所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。