基于角色和数据项的访问控制方法及装置的制造方法
【技术领域】
[0001] 本发明涉及计算机技术领域,尤其涉及一种基于角色和数据项的访问控制方法及 装置。
【背景技术】
[0002] 当今社会,网络技术的日益成熟和通信技术的飞速发展,越来越多的信息被数字 化并在网络间进行广泛传播,随着信息数据量的不断增加,基于大数据的分析利用和数据 挖掘技术也正在进行越来越广泛的研究和发展,并已经取得了大量的阶段性研究成果,也 正是由于这些基于海量数据的分析整合利用,人们对于数据传播和挖掘过程中的数据隐私 问题引起了广泛的重视,也日益成为大数据治理中的重点问题,人们对于如何保证数据利 用的数据隐私安全和安全访问控制问题提出了新的要求,传统的数据访问控制方式也面临 着新的问题。
[0003] 目前传统的访问控制方式主要有三种:自主访问控制(DiscretionaryAccess Control,DAC)、强制访问控制(MandatoryAccessControl,MAC)以及基于角色的访问控制 (Role-BasedAccessControl,RBAC)。自主访问控制的基本思想是资源的所有者(或者创 建者)可以任意规定哪些用户享有对资源的访问权限。强制访问控制是通过对系统主体和 客体设置不同的安全级别,通过比较主体和客体的安全级别来决定主体对客体操作的可行 性。基于角色的访问控制方式是目前信息系统主流的访问控制方式,RBAC可以实现权限的 灵活管理,增强了系统的扩展性和适用性。
[0004] 然而,传统的访问控制方式存在如下问题:⑴自主访问控制方式可以对用户提 供灵活易行的数据访问方式,但同时也带来了信息容易扩散,不易管理的问题;(2)强制访 问控制方式提供了一个不可被绕过的安全保护层,有效地防止了用户滥用访问权限,强制 访问控制的应用范围有限,一般只适用于等级观念比较明显的行业或领域;(3)基于角色 访问控制方式的策略缺乏一定的灵活性可能会导致由于数据的过度保护,使得数据并不能 得到充分的利用,从而失去其本身的价值,或者会导致用户隐私数据的泄漏,对个人乃至国 家安全产生威胁。
【发明内容】
[0005] 本发明的目的旨在至少在一定程度上解决上述的技术问题之一。
[0006] 为此,本发明的第一个目的在于提出一种基于角色和数据项的访问控制方法。该 方法实现了对业务逻辑层面和功能性的访问控制,有效的避免用户隐私信息的泄露,同时 增强访问策略的灵活性,降低业务系统的管理复杂性。
[0007] 本发明的第二个目的在于提出一种基于角色和数据项的访问控制装置。
[0008] 为了实现上述目的,本发明第一方面实施例的基于角色和数据项的访问控制方 法,包括:接收用户基于角色权限发送的访问请求,其中,所述基于角色权限发送的访问请 求中包括所述用户的角色标识信息;根据所述基于角色权限发送的访问请求和预先保存的 数据项信息构建基于数据项的访问请求,其中,所述基于数据项的访问请求中包括角色标 识信息和数据项信息;根据所述基于数据项的访问请求获得对应的数据项,并返回所述数 据项。
[0009] 根据本发明实施例的基于角色和数据项的访问控制方法,接收用户基于角色权限 发送的访问请求,基于角色权限发送的访问请求中包括用户的角色标识信息;根据基于角 色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求,其中,基于 数据项的访问请求中包括角色标识信息和数据项信息;根据基于数据项的访问请求获得对 应的数据项,并返回数据项,由此,实现了对业务逻辑层面和功能性的访问控制,有效的避 免用户隐私信息的泄露,同时增强访问策略的灵活性,降低业务系统的管理复杂性。
[0010] 根据本发明的一个实施例,所述根据所述基于数据项的访问请求获得对应的数据 项,并返回对应的数据项具体包括:根据所述角色标识信息从角色权限表中查找数据项的 权限,并根据所获得权限结果对所述数据项进行处理;如果当前角色有权查看所述数据项, 则返回所述数据项;
[0011] 根据本发明的一个实施例,所述控制方法还包括:如果当前角色无权查看所述数 据项,则返回访问受限提示。
[0012] 根据本发明的一个实施例,在所述接收用户基于角色权限发送的访问请求之前, 所述控制方法还包括:建立并保存角色权限表,其中,所述角色权限表中包括角色、数据表 和操作权限的对应关系。
[0013] 根据本发明的一个实施例,在所述根据所述角色标识信息从角色权限表中查找数 据项的权限之前,所述控制方法还包括:建立并保存所述角色数据项权限表,其中,所述角 色数据项权限表包含数据表、数据项、角色和权限的对应关系。
[0014] 根据本发明的一个实施例,所述控制方法还包括:按照预设属性信息对数据项进 行分类,并根据分类结果设置对应数据项的权限,以及在所述角色数据项权限表中保存对 应数据项的权限。
[0015] 其中,在本发明的一个实施例中,所述预设属性信息包括标识属性、准标识属性、 敏感信息和非敏感信息。
[0016] 为了实现上述目的,本发明第二方面实施例的电基于角色和数据项的访问控制装 置,包括:接收模块,用于接收用户基于角色权限发送的访问请求,其中,所述基于角色权限 发送的访问请求中包括所述用户的角色标识信息;构建模块,用于根据所述基于角色权限 发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求,其中,所述基于数 据项的访问请求中包括角色标识信息和数据项信息;处理模块,用于根据所述基于数据项 的访问请求获得对应的数据项,并返回所述数据项。
[0017] 根据本发明实施例的基于角色和数据项的访问控制方法,接收用户基于角色权限 发送的访问请求,基于角色权限发送的访问请求中包括用户的角色标识信息;根据基于角 色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求,其中,基于 数据项的访问请求中包括角色标识信息和数据项信息;根据基于数据项的访问请求获得对 应的数据项,并返回数据项,由此,实现了对业务逻辑层面和功能性的访问控制,有效的避 免用户隐私信息的泄露,同时增强访问策略的灵活性,降低业务系统的管理复杂性。
[0018] 根据本发明的一个实施例,所述处理模块,具体用于:根据所述角色标识信息从角 色权限表中查找数据项的权限,并根据所获得权限结果对所述数据项进行处理;如果当前 角色有权查看所述数据项,则返回所述数据项;
[0019] 根据本发明的一个实施例,所述控制装置还包括:提示模块,用于如果当前角色无 权查看所述数据项,则返回访问受限提示。
[0020] 根据本发明的一个实施例,所述控制装置还包括:第一保存模块,用于在所述接收 模块接收用户基于角色权限发送的访问请求之前,建立并保存角色权限表,其中,所述角色 权限表中包括角色、数据表和操作权限的对应关系。
[0021] 根据本发明的一个实施例,所述控制装置还包括:第二保存模块,用于在所述处理 模块根据所述角色标识信息从角色权限表中查找数据项的权限之前,建立并保存所述角色 数据项权限表,其中,所述角色数据项权限表包含数据表、数据项、角色和权限的对应关系。
[0022] 根据本发明的一个实施例,所述控制装置还包括:预处理模块,用于按照预设属性 信息对数据项进行分类,并根据分类结果设置对应数据项的权限,以及在所述角色数据项 权限表中保存对应数据项的权限。
[0023] 其中,在本发明的一个实施例中,所述预设属性信息包括标识属性、准标识属性、 敏感信息和非敏感信息。
[0024] 本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变 得明显,或通过本发明的实践了解到。
【附图说明】
[0025] 本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变 得明显和容易理解,其中,
[0026]图1是根据本发明一个实施例的基于角色和数据项的访问控制方法的流程图。
[0027]图2a是根据本发明一个具体实施例的基于角色和数据项的访问控制方法的流程 图。
[0028] 图2b是根据本发明一个实施例的基于角色和数据项的访问控制框架示意图。
[0029]图3是根据本发明一个实施例的基于角色和数据项的访问控制装置的结构示意 图。
[0030]图4是根据本发明另一个实施例的基于角色和数据项的访问控制装置的结构示 意图。
【具体实施方式】
[0031] 下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终 相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附 图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
[0032] 下面参考附图描述本发明实施例的基于角色和数据项的访问控制方法及装置。
[0033]图1是根据本发明一个实施例的基于角色和数据项的访问控制方法的流程图。 [0034]如图1所示,该基于角色和数据项的访问控制方法可以包括:
[