访问控制方法、装置、介质及电子设备与流程

本发明涉及信息技术领域，具体而言，涉及一种访问控制方法、装置、介质及电子设备。

背景技术：

目前健康档案系统提供健康数据的集成portal(门户)显示，其中portal技术强调以用户为中心，重视流程及整体工作效能，提供统一登陆界面，实现信息的集中访问。

portal创建一个提供支持信息访问、传递，以及跨组织工作的集成化商务环境。portal显示包含的信息量广，敏感信息多，但是由于集中访问的访问机制对于访问安全以及信息安全存在不足之处，而安全访问健康档案系统是信息安全建设的风险合规要求。

因此，现有技术中的技术方案中还存在有待改进之处。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本发明的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现要素：

本发明实施例的目的在于提供一种访问控制方法、装置、介质及电子设备，进而至少在一定程度上克服现有的访问机制安全性差的缺点。

本发明的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本发明的实践而习得。

根据本发明实施例的第一方面，提供了一种访问控制方法，包括：

接收来自访问者的访问请求，获取所述访问请求发出的物理入口、所述访问者的角色类型以及所述访问者访问的功能模块中的至少一种；

根据所述访问请求发出的物理入口、所述访问者的角色类型以及所述访问者访问的功能模块中的至少一种进行相应的权限控制，完成初级访问控制；

如果所述初级访问控制的结果为通过，则根据所述访问请求进行字段访问等级控制，完成二级访问控制；

其中所述功能模块为按照预设规则对被请求访问的数据库进行分类得到。

在本公开的一种示例性实施例中，根据所述访问请求发出的物理入口、所述访问者的角色类型以及所述访问者访问的功能模块中的至少一种进行相应的权限控制包括：

根据所述访问请求发出的物理入口进行相应的权限控制，包括：

获取安全访问权限的网络列表：

根据所述网络列表判断所述访问请求发出的物理入口是否具有访问权限，如果所述访问者具有访问权限，则所述初级访问控制的结果为通过；

其中所述网络列表为预先通过固定ip绑定的方式设定或更改而得到。

在本公开的一种示例性实施例中，根据所述访问请求发出的物理入口、所述访问者的角色类型以及所述访问者访问的功能模块中的至少一种进行相应的权限控制包括：

根据所述访问者的角色类型进行相应的权限控制，包括：

获取访问者角色与访问对象映射关系；

根据所述访问者角色与访问对象映射关系结合所述访问者的角色类型确定访问对象，所述访问者对所述访问对象的初级访问控制的结果为通过，所述访问者对所述访问对象之外的被访问者的初级访问控制的结果为不通过；

其中所述访问者角色与访问对象映射关系为预先设定或更改而得到，所述访问对象为多个被访问者中符合指定条件的被访问者。

在本公开的一种示例性实施例中，根据所述访问请求发出的物理入口、所述访问者的角色类型以及所述访问者访问的功能模块中的至少一种进行相应的权限控制包括：

根据所述访问者访问的功能模块进行相应的权限控制，包括：

获取访问者角色与功能模块映射关系；

根据所述访问者角色与功能模块映射关系结合所述访问者的角色类型确定多个功能模块中所述访问者具有访问权限的功能模块，所述访问者对所述具有访问权限的功能模块的初级访问控制的结果为通过，所述访问者对所述多个功能模块中所述具有访问权限的功能模块之外的功能模块的初级访问控制的结果为不通过；

其中所述访问者角色与功能模块映射关系为预先设定或更改而得到。

在本公开的一种示例性实施例中，根据所述访问请求发出的物理入口、所述访问者的角色类型以及所述访问者访问的功能模块中的至少一种进行相应的权限控制包括：

根据所述访问请求发出的物理入口进行相应的权限控制，如果所述访问者具有访问权限，则根据所述访问者的角色类型进行相应的权限控制；

如果所述访问者对访问对象的访问控制的结果为通过，则根据所述访问者访问的功能模块进行相应的权限控制；

如果访问者对所述具有访问权限的功能模块的访问控制的结果为通过，得到所述初级访问控制的结果为通过。

在本公开的一种示例性实施例中，根据所述访问请求进行字段访问等级控制包括：

对所述数据库中的字段进行等级的划分，针对所述数据库中的全部字段划分为多个数据等级；

根据所述访问者的角色类型设定相应的访问等级；

当所述访问者的访问等级不低于所述字段的数据等级时，所述访问者有权限查看所述字段；当所述访问者的访问等级低于所述字段的数据等级时，所述字段对于所述访问者的显示方式为脱敏显示。

在本公开的一种示例性实施例中，还包括：

发生以下至少一种情况，发送预警通知：

对同一访问者发出访问请求的物理入口的变更频率进行监控，如果变更频率超过第一预设值，则发送预警通知；

对访问者访问所述数据库中被访问者的人次频率进行监控，如果人次频率超过第二预设值，则发送预警通知；

对访问者停留的功能模块中包含字段的数据等级进行监控，如果单个功能模块字段的数据等级平均值大于第三阈值，则发送预警通知。

在本公开的一种示例性实施例中，对访问者访问所述数据库中被访问者的人次频率进行监控包括：

记录对访问者访问单个访问对象的开始时间和结束时间；

根据所述开始时间和所述结束时间计算得到访问时长；

根据所述访问时长和访问人次计算所述人次频率，计算公式为

其中fopt为人次频率，n为访问人次，ti为访问者针对某一访问对象的访问时长，1≤i≤n。

在本公开的一种示例性实施例中，对访问者停留的功能模块中包含字段的数据等级进行监控：

根据所述功能模块得到所述功能模块中的字段数目；

获取所述功能模块字段对应的数据等级；

根据所述字段数目和字段对应的数据等级计算得到单个功能模块字段的数据等级平均值，计算公式为

其中l为单个功能模块字段的数据等级平均值，m为功能模块中的字段数目，vj为功能模块中某一字段的数据等级，1≤j≤m。

在本公开的一种示例性实施例中，所述单个功能模块字段的数据等级平均值大于第三阈值，则发送预警通知包括：

根据所述单个功能模块字段的数据等级平均值求取中位数；

如果所述中位数大于所述第三阈值，则发送预警通知；

其中所述第三阈值为5。

根据本发明实施例的第二方面，提供一种访问控制装置，包括：

访问请求模块，用于接收来自访问者的访问请求，获取所述访问请求发出的物理入口、所述访问者的角色类型以及所述访问者访问的功能模块中的至少一种；

初级控制模块，用于根据所述访问请求发出的物理入口、所述访问者的角色类型以及所述访问者访问的功能模块中的至少一种进行相应的权限控制，完成初级访问控制；

二级控制模块，用于当所述初级控制模块的初级访问控制的结果为通过时，根据所述访问请求进行字段访问等级控制，完成二级访问控制；

其中所述功能模块为按照预设规则对被请求访问的数据库进行分类得到。

根据本发明实施例的第三方面，提供一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现以上所述的访问控制方法的步骤。

根据本发明实施例的第四方面，提供一种电子设备，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现以上所述的访问控制方法。

本发明实施例提供的技术方案可以包括以下有益效果：

在本发明的一些实施例所提供的技术方案中，一方面，通过对访问权限进行多层级的逐层控制，实现对数据库的安全访问，提高安全性。另一方面，整个访问过程中记录并跟踪访问者的访问痕迹，对异常访问实时发出预警通知，以便对异常情况做出快速处理。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1示出了根据本发明的实施例的一种访问控制方法的流程示意图；

图2示出了根据本发明的实施例图1中步骤s103的流程示意图；

图3示出了根据本发明一实施例中提供的访问控制方法的流程示意图；

图4示出了根据本发明一实施例中提供的访问控制方法的原理图；

图5示出了根据本发明的实施例的访问控制装置的结构示意图；

图6示出了适于用来实现本发明实施例的电子设备的计算机系统的结构示意图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本发明将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。

此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本发明的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本发明的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本发明的各方面。

附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

在本公开相关实施例中，可以通过角色+功能模块权限配置实现健康档案权限管理，例如对访问者的角色进行设定，而且某一角色的访问者只能访问与其对应的功能模块，但是不能访问其他功能模块。这种方式虽然可以从一定程度上解决集中访问的一些弊端，但是没有考虑被访问字段数据等级管理，更没有把整个访问过程中产生的数据通过规则管理起来，以便于用于实时预警访问过程中的异常现象。

为此，本公开提供一种访问控制方法、装置、介质及电子设备，以解决上述问题，下面对本公开的技术方案做具体介绍。

图1示出了根据本发明的实施例的访问控制方法的流程示意图，参考图1，该访问控制方法包括：

步骤s101，接收来自访问者的访问请求，获取所述访问请求发出的物理入口、所述访问者的角色类型以及所述访问者访问的功能模块中的至少一种。其中所述功能模块为按照预设规则对被请求访问的数据库进行分类得到。

步骤s102，根据所述访问请求发出的物理入口、所述访问者的角色类型以及所述访问者访问的功能模块中的至少一种进行相应的权限控制，完成初级访问控制。

步骤s103，如果所述初级访问控制的结果为通过，则根据所述访问请求进行字段访问等级控制，完成二级访问控制。

在图1所示实施例所提供的技术方案中，一方面，通过对访问权限进行多层级的逐层控制，实现对数据库的安全访问，提高安全性。另一方面，整个访问过程中记录并跟踪访问者的访问痕迹，对异常访问实时发出预警通知，以便对异常情况做出快速处理。

以下对图1所示实施例的各个步骤的具体实现进行详细阐述：

在步骤s101中，接收来自访问者的访问请求，获取所述访问请求发出的物理入口、所述访问者的角色类型以及所述访问者访问的功能模块中的至少一种。

在本公开的一种示例性实施例中，针对每一访问请求，其中包含的信息有以下几个方面，如：硬件上方面包括该访问请求发出的物理入口(也就是设备的ip地址，用ip-address表示)；访问者的身份信息，包括访问者编码，用access-id表示，为了便于区分，访问者的角色类型具有对应的编码，用访问者角色编码access-role-id表示；访问对象的相关信息，如访问的功能模块、访问对象、被访问者，其中本文中的功能模块为按照预设规则对被请求访问的数据库进行分类得到，访问对象为被访问者群体分类，是一个群体，被访问者为具体被访问到的个体。

在本公开的一种示例性实施例中，数据库中的多个功能模块以功能模块列表的形式存在，对于列表中每一个功能模块也有相应的编码，用ehr-module-id表示，每个被访问者也有相应的编码，用customer-id表示。

本实施例中以某医院或健康中心为背景，以健康档案系统作为被访问的数据库为例进行介绍，其中的功能模块包括体检模块、手术模块和评估模块，访问者的角色类型包括：院长、体检科医生、手术科医生等，被访问者则是在该医院或健康中心已经建立档案的患者或客户。

在步骤s102中，根据所述访问请求发出的物理入口、所述访问者的角色类型以及所述访问者访问的功能模块中的至少一种进行相应的权限控制，完成初级访问控制。

在本公开的一种示例性实施例中，该步骤中可以根据所述访问请求发出的物理入口进行相应的权限控制，包括：

首先，获取安全访问权限的网络列表，其中所述网络列表为预先通过固定ip绑定的方式设定或更改而得到。具体设定哪些ip的设备可以供访问者访问数据库可以根据需要进行设定，例如设定ip地址在一定范围内，或者ip地址属于某个企业等，还可以根据需要对绑定的ip进行更改，以满足变化的需求。

然后，根据所述网络列表判断所述访问请求发出的物理入口是否具有访问权限，如果访问请求发出的物理入口在所述网络列表中，说明访问者具有访问权限，则所述初级访问控制的结果为通过；而如果访问请求发出的物理入口不再网络列表中，说明该设备因受网络限制不能访问健康档案系统，则利用该设备进行登录的访问者也就没有访问权限。

这样，可以通过网络限制对发起访问请求的硬件设备进行限制，进而对使用设备的访问者的权项进行限制，因此访问者只有使用在网络列表中通过固定ip的设备才能访问健康档案系统。

实现根据访问请求发出的物理入口进行相应的权限控制的过程如下：

入参可以是ip地址，即ip-address，出参是ip-address和访问成功与否的标识，即access-true(表示允许访问)或access-false(表示禁止访问)。

在本公开的一种示例性实施例中，该步骤中还可以根据所述访问者的角色类型进行相应的权限控制，包括：

首先，获取访问者角色与访问对象映射关系，其中所述访问者角色与访问对象映射关系为预先设定或更改而得到，所述访问对象为多个被访问者中符合指定条件的被访问者。例如，对于健康档案系统中的被访问者可以按照需求划分为高级客户(简称高客)、普通客户(简称普客)、员工等，其中高客和普客的划分条件可以是建档时账户预充金额等，或者按照患者的疾病类型划分为慢性病、肿瘤、血液病等，或者按照患者年龄段划分为婴幼儿、少年、青年、中年、老年等。总之，访问对象是一个群体，属于具有一些相同特点的人群的统称。

另外，因访问者角色的不同，一般设定的每个访问者角色具有访问权限的访问对象也不相同，例如把访问者的角色分成a、b、c、d，把健康档案系统中的人群分成高客、员工、普客、其他，假设映射关系设定为：角色a可以访问的人群包括员工和普客，角色b可以访问的人群包括高客、员工和普客，那么具有角色a的访问者就无法访问高客身份的客户的健康档案，而具有角色b的访问者就可以访问高客身份的客户的健康档案。访问者角色与访问对象之间的映射关系可以根据需要进行配置，也可以根据需要进行更改。

然后，根据所述访问者角色与访问对象映射关系结合所述访问者的角色类型确定访问对象，所述访问者对所述访问对象的初级访问控制的结果为通过，所述访问者对所述访问对象之外的被访问者的初级访问控制的结果为不通过。

这样，通过对数据库中被访问者做人群分类，对访问者橘色做区分，通过配置访问者角色与访问对象映射关系，控制访问者角色的查看范围，即便是通过相同的物理入口(或同一设备)，不同角色的访问者能查看的健康档案的人群也是不同的。仍以上述为例，角色a的访问者在绑定固定ip的设备上可以登录，但是登录后只能看到员工和普客的信息，而角色b的访问者在绑定固定ip的设备上可以登录，登录后既能查看员工和普客的健康档案信息，也能查看高客的健康档案信息。

实现根据访问者的角色类型进行相应的权限控制的过程如下：

入参：token信息(访问者角色编码access-role-id、访问者编码access-id、客户编码customer-id)

出参：访问客户名单列表(被访问者编码customer-id、进入单个被访问者档案时间access-begin-time、退出单个被访问者档案时间access-end-time)。

其中被访问者编码customer-id是一个uuid的唯一编码，就是能被访问的客户的id，访问对象(即人群)id是被访问者id的集合，人群id是所有被访问者的id编码集合，但是每一次访问健康档案系统，由于都是已经指定对方的访问，只能返回一个被访问者id，如果有权限访问，则返回结果是被访问者id，即返回结果是有值的，如果没有权限访问，则返回结果就是空，也就是null。

需要说明的是，由于本实施例中健康档案系统的访问集成于其他业务系统中，业务系统中从所有的被访问者(业务系统的人群id中选择一个被访问者id)根据场景需要逐次访问，一个一个的访问，这个时候返回的就是被访问者id，同时可以得到访问该被访问者的开始时间和结束时间，入参应该有一个被访问者编码customer-id。

在本公开的一种示例性实施例中，该步骤中可以根据所述访问者访问的功能模块进行相应的权限控制，包括：

首先，获取访问者角色与功能模块映射关系，其中所述访问者角色与功能模块映射关系为预先设定或更改而得到。通常，设定的映射关系中某一角色的访问者能够访问的功能模块与其身份有关，角色的身份决定了他实际工作的范围，工作的范围就决定了他可以操作的功能模块。

仍以健康档案系统为例，例如可以设定访问者的角色a可以是院长，其对应的映射关系是体检模块、手术模块、评估模块，设定访问者的角色b可以是体检科医生，其对应的映射关系是体检模块、手术模块、评估模块

然后，根据所述访问者角色与功能模块映射关系结合所述访问者的角色类型确定多个功能模块中所述访问者具有访问权限的功能模块，所述访问者对所述具有访问权限的功能模块的初级访问控制的结果为通过，所述访问者对所述多个功能模块中所述具有访问权限的功能模块之外的功能模块的初级访问控制的结果为不通过。

其中的某一客户c1的健康档案所对应的功能模块包括：体检模块、手术模块、评估模块，访问者a是院长，那么a可以查看c1的体检模块、手术模块、评估模块的相关信息；访问者b是体检科医生，那么b只能访问客户c1的体检模块的相关信息，即便客户c1的健康档案也包含手术模块，由于访问者b是体检科医生，因此他没有手术模块的访问权限。

这样，通过对数据库做功能模块划分，根据对功能模块权限进行配置，控制访问者的查看区域，也就是即便访问者的角色一样，但是如果功能模块权限配置不一样，那么访问者在健康档案中可以查看的区域也是不一样的。

实现根据访问者访问的功能模块进行相应的权限控制的过程如下：

入参：访问者编码access-id、客户编码customer-id；

出参：健康档案功能模块列表(功能模块编码ehr-module-id)。

在步骤s103中，如果所述初级访问控制的结果为通过，则根据所述访问请求进行字段访问等级控制，完成二级访问控制。

在本公开的一种示例性实施例中，图2示出步骤s103的流程图，步骤s103根据所述访问请求进行字段访问等级控制具体包括以下步骤：

如图2所示，在步骤s201中，对所述数据库中的字段进行等级的划分，针对所述数据库中的全部字段划分为多个数据等级。

例如，对健康档案系统的后台数据库中的所有字段找出来，然后标注每个字段的数据等级，即可访问字段标识数据等级field-grade-value。

如图2所示，在步骤s202中，根据所述访问者的角色类型设定相应的访问等级。

例如，对每一种访问者的角色类型设定其访问等级，即access-grade-value。为了便于比较和区分，可以对字段的数据等级以及访问者的访问等级采用相同的数字进行标记，即字段的数据等级分别用1、2、3……来标记，访问等级也分别用1、2、3……来标记，但是并不以此为限，还可以根据预设规则用具有一定对应关系的数字或字母来标记，例如字段的数据等级分别用1、2、3……来标记，访问等级也分别用a、b、c……来标记。

如图2所示，在步骤s203中，当所述访问者的访问等级不低于所述字段的数据等级时，所述访问者有权限查看所述字段；当所述访问者的访问等级低于所述字段的数据等级时，所述字段对于所述访问者的显示方式为脱敏显示。

其中脱敏显示可以结合“分权、分域、分级”的查询操作权限管理要求，对客户信息(被访问者的信息)进行部分屏蔽处理，限制对敏感信息的全部或部分显示(信息脱敏处理指对某些敏感信息通过脱敏规则进行数据的变形、加密或屏蔽，实现敏感隐私数据的可靠保护)。信息脱敏处理的形式举例如下：

将客户身份信息中的出生年月日隐藏，以*代替；

对客户地址中的小区或街道名称及其后信息进行隐藏，以*代替；

对客户通话清单中被叫号码进行部分隐藏，如将被叫号码的倒数第3、第4位以*代替等。

基于上述，进行访问等级和字段的数据等级比较的过程中，需要采用与设定标记时相同的原则来进行比较，从而得到等级比较结果，例如全部用数字标记访问等级以及数据的字段等级时，则直接根据两个数的比较就能得到比较结果。而采用不同的标记方式对数字标记访问等级以及数据的字段等级进行标记时，则需要进行相应的编码等过程，将其归一化到同种标记方式后再进行比较，以此得到比较结果。

实现根据访问请求进行字段访问等级控制的过程如下：

入参：访问者编码access-id、访问者的访问等级access-grade-value、健康档案功能模块编码ehr-module-id；

出参：健康档案各个功能模块可访问字段列表(档案模块编码ehr-module-id、可访问字段标识数据等级field-grade-value)。

这种方式可以对某些敏感信息对应的字段的访问权限做管理，仅有部分访问等级高于字段的数据等级的访问者才能查看这些敏感信息的内容，而其他访问者对于敏感信息并不能查看其内容。

基于上述，本公开的实施例步骤s102中根据所述访问请求发出的物理入口、所述访问者的角色类型以及所述访问者访问的功能模块中的至少一种进行相应的权限控制，也就是可以任选一种、两种或三种的权项控制作为初级访问控制。

无论采用上述何种初级访问控制方式，初级访问控制通过后再继续进行二级访问控制，即根据所述访问请求进行字段访问等级控制。本实施例中以上述三种访问权限控制同时存在为例，可以通过多层级的访问控制，实现安全访问。

图3示出本发明一实施例中提供的访问控制方法的流程示意图，包括以下步骤：

如图3所示，在步骤s301中，根据所述访问请求发出的物理入口进行相应的权限控制，如果所述访问者具有访问权限，则转至步骤s302。

如图3所示，在步骤s302中，根据所述访问者的角色类型进行相应的权限控制，如果所述访问者对访问对象的访问控制的结果为通过，则转至步骤s303。

如图3所示，在步骤s303中，根据所述访问者访问的功能模块进行相应的权限控制，如果访问者对所述具有访问权限的功能模块的访问控制的结果为通过，至此得到所述初级访问控制的结果为通过，转至步骤s304。

如图3所示，在步骤s304中，根据所述访问请求进行字段访问等级控制，如果所述访问者的访问等级不低于所述字段的数据等级，则所述访问者有权限查看所述字段，二级访问控制的结果为通过。

基于步骤s301至步骤s304，通过多层级的逐层访问控制，从多个维度增加访问的安全性，其中二级访问控制中考虑字段数据等级，如果访问者的访问等级不够高，则对包含敏感信息的字段进行脱敏显示，保证信息安全。

另外，在上述多层级访问控制的过程中，还可对每一层级产生的数据进行记录，跟踪记录访问者的访问痕迹，通过预警规则对可疑的访问者发送预警通知的信息给管理员示警。

在本公开的一种示例性实施例中，其中的预警规则具体是发生以下至少一种情况，发送预警通知：

1)对同一访问者发出访问请求的物理入口的变更频率进行监控，如果变更频率超过第一预设值，则发送预警通知。

该情况下监控访问者物理入口变更频率是否异常：通过识别同一个访问者连续登录ip规则是否一致，规则例如可以为old-ip-address≠new-ip-address，如果同一个访问者本次登录ip不同于上一次登录ip，则发送预警通知给系统管理员，预警通知的方式可以为短信等其他即时消息。

例如，可以向系统管理员自动发一条短信，内容是“管理员你好，健康档案的访问者fw1本次访问物理入口和上一次不一样，请关注”。

2)对访问者访问所述数据库中被访问者的人次频率进行监控，如果人次频率超过第二预设值，则发送预警通知。

该情况下对访问者访问所述数据库中被访问者的人次频率进行监控包括：

21)记录对访问者访问单个访问对象的开始时间和结束时间；

22)根据所述开始时间和所述结束时间计算得到访问时长；

23)根据所述访问时长和访问人次计算所述人次频率，计算公式为

其中fopt为人次频率，n为访问人次，ti为访问者针对某一访问对象的访问时长，1≤i≤n，ti＝(access-end-time)-(access-begin-time)，访问时长的单文是分钟。

通过监控访问者连续查看频率是否异常，如果计算得到的人次频率超过第二阈值(例如设定第二阈值fopt-value为0.2)，即如果fopt>fopt-value，则发送预警通知给系统管理员，预警通知的方式可以为短信等其他即时消息。

3)对访问者停留的功能模块中包含字段的数据等级进行监控，如果单个功能模块字段的数据等级平均值大于第三阈值，则发送预警通知。

该情况下对访问者停留的功能模块中包含字段的数据等级进行监控：

31)根据所述功能模块得到所述功能模块中的字段数目；

32)获取所述功能模块字段对应的数据等级；

33)根据所述字段数目和字段对应的数据等级计算得到单个功能模块字段的数据等级平均值，计算公式为

其中l为单个功能模块字段的数据等级平均值，m为功能模块中的字段数目，vj为功能模块中某一字段的数据等级，1≤j≤m。

单个功能模块字段的数据等级平均值大于第三阈值，则发送预警通知，在得到单个功能模块字段的数据等级平均值之后，还包括：

34)根据所述单个功能模块字段的数据等级平均值求取中位数，即median(lj)；

35)如果所述中位数大于所述第三阈值(即median(lj)>security-value)，发送预警通知给系统管理员，预警通知的方式可以为短信等其他即时消息。其中所述第三阈值可以为5，还可以根据实际需求进行调整。

对于单个功能模块字段的数据等级平均值进行监控，如果访问者在访问过程中，长时间停留在包含数据等级较高的字段所在的功能模块中，比如含有身份证信息、手机号信息、家族史信息时，也需要迅速做出预警，将预警通知发送给管理员，提醒其密切关注该访问者的后续动作，并做备案，做到防患于未然。而且由于每一层级的监控都有记录信息，可以实现溯源。

图4示出本发明的实施例提供的访问控制方法的原理图，具体包括以下步骤：

第一部分，多层级访问权限的监控，包括：

步骤s401，对物理入口进行监控；

步骤s402，对访问者角色进行监控；

步骤s403，对访问的功能模块进行监控；

步骤s404，对访问字段的数据等级进行监控。

第二部分，在实现上述多层级监控过程中，根据访问痕迹进行规则预警，包括：

步骤s405，访问的物理入口的变更频率是否异常，如果出现异常就发出预警通知；

步骤s406，访问者查看的人次频率是否异常，如果出现异常就发出预警通知；

步骤s407，访问者停留功能模块的字段的数据等级是否异常，如果出现异常就发出预警通知。

需要说明的是，本实施例中的预警通知自动是发给系统管理员的，系统不会直接对访问者做直接动作，系统管理员收到预警通知后，会做一个线下的核实工作。例如，监控到某一老年键康中心的一位医生在不到10分钟内连续访问了10多名养老社区的长者的健康档案，管理员收到预警调整后，通过后台对医生的个人情况进行调查，需考虑到是否存在职业跳槽获取数据职业扒手的可能，后续管理手段例如可以直接在后台强制让这个访问者退出，以防数据信息的进一步泄露。

对于对访问的物理入口进行监控和预警，目标并不是直接改ip不可访问，一般可以登录健康档案系统的访问者是医院里的医生、养老社区的管家等，他们的办公环境相关固定(通常就在办公室)，每个医生或管家的个人电脑的ip常规是绑定的，如果出现物理入口不一样，就可能存在登录名被他人盗用的风险，通过监控可以电话回访访问者(或者其他方式与访问者进行核实)，如果核实发现异常，可以立即后台关闭异常ip的访问。

综上所述，采用本发明实施例提供的访问控制方法，一方面，通过对访问权限进行多层级的逐层控制，实现对数据库的安全访问，提高安全性。另一方面，整个访问过程中记录并跟踪访问者的访问痕迹，对异常访问实时发出预警通知，以便对异常情况做出快速处理。

以下介绍本发明的装置实施例，可以用于执行本发明上述的访问控制方法。

图5示出了根据本发明的实施例的访问控制装置的结构示意图，参考图5，访问控制装置500，包括：访问请求模块501、初级控制模块502和二级控制模块503。

访问请求模块501用于接收来自访问者的访问请求，获取所述访问请求发出的物理入口、所述访问者的角色类型以及所述访问者访问的功能模块中的至少一种，其中所述功能模块为按照预设规则对被请求访问的数据库进行分类得到；初级控制模块502用于根据所述访问请求发出的物理入口、所述访问者的角色类型以及所述访问者访问的功能模块中的至少一种进行相应的权限控制，完成初级访问控制；二级控制模块503用于当所述初级控制模块的初级访问控制的结果为通过时，根据所述访问请求进行字段访问等级控制，完成二级访问控制。

由于本发明的示例实施例的访问控制装置的各个功能模块与上述访问控制方法的示例实施例的步骤对应，因此对于本发明装置实施例中未披露的细节，请参照本发明上述的访问控制方法的实施例。

下面参考图6，其示出了适于用来实现本发明实施例的电子设备的计算机系统600的结构示意图。图6示出的电子设备的计算机系统600仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图6所示，计算机系统600包括中央处理单元(cpu)601，其可以根据存储在只读存储器(rom)602中的程序或者从存储部分608加载到随机访问存储器(ram)603中的程序而执行各种适当的动作和处理。在ram603中，还存储有系统操作所需的各种程序和数据。cpu601、rom602以及ram603通过总线604彼此相连。输入/输出(i/o)接口605也连接至总线604。

以下部件连接至i/o接口605：包括键盘、鼠标等的输入部分606；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分607；包括硬盘等的存储部分608；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至i/o接口605。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装入存储部分608。

特别地，根据本发明的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(cpu)601执行时，执行本申请的系统中限定的上述功能。

需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。

作为另一方面，本申请还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现如上述实施例中所述的访问控制方法。

例如，所述的电子设备可以实现如图1中所示的：步骤s101：接收来自访问者的访问请求，获取所述访问请求发出的物理入口、所述访问者的角色类型以及所述访问者访问的功能模块中的至少一种，其中所述功能模块为按照预设规则对被请求访问的数据库进行分类得到；步骤s102：根据所述访问请求发出的物理入口、所述访问者的角色类型以及所述访问者访问的功能模块中的至少一种进行相应的权限控制，完成初级访问控制；步骤s103：当所述初级控制模块的初级访问控制的结果为通过时，根据所述访问请求进行字段访问等级控制，完成二级访问控制。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本发明实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本发明实施方式的方法。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。