一种大数据的数据权限控制方法及系统与流程

1.本发明属于信息技术领域，具体地，涉及一种大数据的数据权限控制的方法及系统。


背景技术：

2.目前，网络提供商与各个企业/厂商合作的sase(secure access service edge)安全资源池通过网络提供商自身的sdwan平台导入用户流量。sdwan平台的作用在于对接入合作安全池的用户流量针对用户感兴趣的应用进行分流、引流避免流量过大时出现性能瓶颈。
3.然而，在sase安全资源池服务的同时，sase技术采用的访问控制措施仅仅细化到日志数据整体，粒度较粗，无法实现有效精确分级分类管控，导致安全性降低。


技术实现要素：

4.本发明提供了一种大数据的数据权限控制的方法及系统，解决了现有技术中sase资源池访问控制措施安全性低的问题，有效提升了sase资源池管控的整体安全性。
5.为了实现上述目的，本发明提供了一种大数据的数据权限控制方法，包括：
6.多个ue通过sdp代理向sd-wan平台进行数据访问，所述sd-wan平台记录所述多个ue的用户日志；
7.所述sd-wan平台对所述多个ue的用户日志进行分级处理；
8.多个sase厂商通过sase网关向所述sd-wan平台进行用户日志访问请求；
9.所述sd-wan平台向所述多个sase厂商进行权限设置，并基于不同sase厂商权限与用户日志级别的对应关系，将与所述不同sase厂商匹配的用户日志推送至对应的所述不同sase厂商中。
10.可选地，所述sd-wan平台对所述多个ue的用户日志进行分级处理，包括：
11.对所述用户日志进行特征提取，提取出所述用户日志的关键词、取值范围和参数类型，进行敏感日志分类管理，输出敏感日志类型；
12.基于所述ue的访问权限，设置所述用户日志的加密等级；
13.基于所述敏感日志类型和加密等级，输出所述用户日志级别，所述用户日志级别分别为绝密级s级、重加密级a级、轻加密级b级和非加密级c级。
14.可选地，所述对所述用户日志进行特征提取，提取出所述用户日志的关键词、取值范围和参数类型，包括：
15.通过人工智能算法对所述用户日志进行特征提取，提取出所述用户日志的关键词、取值范围和参数类型，并获取所述关键词的相似程度和相似值出现的频率。
16.可选地，所述sd-wan平台向所述多个sase厂商进行权限设置，包括：
17.所述sd-wan平台获取所述多个sase厂商的用户日志访问请求中的私钥；
18.基于所述私钥进行所述多个sase厂商的初始权限分配，所述权限分为全部管理者
权限s’级、部分管理者权限a’级、全部访问者权限b’级和部分访问者权限c’级。
19.可选地，在所述基于所述私钥进行所述多个sase厂商的初始权限分配之后，所述方法还包括：
20.对所述多个sase厂商的初始权限进行变更，所述变更后的权限为全部管理者权限s1’
级、s2’
级、s3’
级，部分管理者权限a1’
级、a2’
级、a3’
级、全部访问者权限b1’
级、b2’
级、b3’
级和部分访问者权限c1’
级、c2’
级、c3’
级。
21.可选地，所述方法还包括：
22.建立sase厂商权限与用户日志级别的对应关系，包括：
23.设置用户日志级别矩阵p＝[s,a,b,c]；
[0024]
设置多个sase厂商的变更后的权限矩阵
[0025]
基于所述用户日志级别矩阵p和权限矩阵q，确定所述sase厂商权限与用户日志级别的对应关系。
[0026]
可选地，基于所述用户日志级别矩阵p和权限矩阵q，确定所述sase厂商权限与用户日志级别的对应关系，包括：
[0027]
将所述用户日志级别矩阵p和权限矩阵q进行乘积，获取乘积矩阵r，并对r中的每一个元素进行多级权限自适应匹配，或，
[0028]
将所述用户日志级别矩阵p和权限矩阵q进行卷积，获取卷积矩阵r’，并对r’中的每一个元素进行多级权限自适应匹配。
[0029]
可选地，在所述将与所述不同sase厂商匹配的用户日志推送至对应的所述不同sase厂商之后，所述方法还包括：
[0030]
获取所述sase厂商对所述用户日志的修改内容和修改频率；
[0031]
基于所述修改内容和修改频率，获取所述修改内容对应的指针，通过所述指针获取与所述修改内容对应的区块源数据，所述区块源数据包含第一智能合约；
[0032]
对所述修改内容和修改频率进行权限验证，判断所述修改内容和修改频率是否满足所述第一智能合约定义的条款，若满足，则权限验证通过，并记录在所述sd-wan平台的区块链通道中。
[0033]
本发明实施例还提供一种大数据的数据权限控制系统，所述系统包括多个ue、sdp代理、sd-wan平台、多个sase厂商和sase网关，其中，
[0034]
所述多个ue用于通过sdp代理向sd-wan平台进行数据访问，所述sd-wan平台用于记录所述多个ue的用户日志，并对所述多个ue的用户日志进行分级处理；
[0035]
所述多个sase厂商用于通过sase网关向所述sd-wan平台进行用户日志访问请求；
[0036]
所述sd-wan平台还用于向所述多个sase厂商进行权限设置，并基于不同sase厂商权限与用户日志级别的对应关系，将与所述不同sase厂商匹配的用户日志推送至对应的所述不同sase厂商中。
[0037]
本发明实施例提供一种大数据的数据权限控制系统，包括存储器和处理器，所述存储器上存储有计算机可执行指令，所述处理器运行所述存储器上的计算机可执行指令时
实现上述方法。
[0038]
本发明实施例的方法及系统具有下列优点：
[0039]
本发明实施例中，针对sase资源池获取到的各ue的用户日志进行分级处理，同时针对sase资源池中各厂商的权限进行分类，基于用户日志的分级和厂商权限的分类，将二者进行对应性匹配，最终将与某一个sase厂商匹配的用户日志推送至该sase厂商中。极大地提升了整体的安全性。
附图说明
[0040]
图1为一个实施例中大数据的数据权限控制系统架构图；
[0041]
图2为一个实施例中大数据的数据权限控制的方法流程图；
[0042]
图3为一个实施例中区块头的区块链式存储结构图；
[0043]
图4为一个实施例中默克尔根数据结构图；
[0044]
图5为一个实施例中系统的硬件组成示意图。
具体实施方式
[0045]
为了使本发明的目的、技术方案及优点更加清楚，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0046]
图1是本发明实施例的网络架构图，如图1所示，本发明实施例包括软件定义广域网(software defined wide area network,sd-wan)平台10、sdp代理11、用户终端ue12、多个sase厂商13和sase网关14。其中，sd-wan平台10包括数据仓库和中心服务器，用于对sase资源池中的各个厂商进行不同的管控和运营，并持续收集不同ue发送的数据访问请求，完成ue的数据交互，并持续生成不同ue的用户日志，以供后端的各个sase厂商进行调用和查阅。sdp代理11是ue12接入到sd-wan平台的代理，通过sdp代理可安全接入到sd-wan平台中；sase厂商13处于sd-wan后端，通过安全资源池的形式共享sd-wan平台的各类资源，并接受sd-wan平台的控制，sase厂商13本身并不具备接入能力，需要通过sase网关14进行接入，因此，sase厂商的各类交互，实际上是通过sase网关完成与sd-wan平台的交互。
[0047]
在本发明实施例中，ue通过sdp代理接入sd-wan平台时，sd-wan平台需要设置一定的访问控制策略来对ue的各类操作进行权限设置，并基于对应的权限设置用户日志的权限，以匹配对应的sase厂商获取。
[0048]
图2是本发明实施例中的权限控制流程图，如图2所示，本发明实施例包括以下步骤：
[0049]
s101、多个ue通过sdp代理向sd-wan平台进行数据访问，所述sd-wan平台记录所述多个ue的用户日志；
[0050]
多个ue在接入sd-wan平台之前，需要通过sdp代理进行安全验证，并在验证通过后，通过该sdp代理向sd-wan平台进行数据访问，通常而言，可以通过握手协议进行安全验证和鉴权操作，并进行数据的交互，其中，交互内容可以是多种形式，本发明实施例对此并无限制，在各类交互完成后，相应地，sd-wan会对每一个ue进行用户日志的生成和实时更
新，用户日志可记录该用户的各类操作行为和发送指令，在维护过程中或运营过程中，各类sase厂商可根据该用户日志对操作该ue的用户进行用户画像以及兴趣soi分析等。
[0051]
s102、所述sd-wan平台对所述多个ue的用户日志进行分级处理；
[0052]
现有技术中，对于用户日志并没有很好的分级处理机制，导致各类高权限的sase厂商可以无差别的对任何用户日志进行访问，甚至可以篡改部分用户日志，以绕过后续的访问控制机制。
[0053]
用户日志的分级处理，本质上是一个精细化管控的措施，在精细化管控措施的实施过程中，需要对该用户日志进行级别判定，以确定不同级别下的用户日志，允许访问的对象，以及可操作的权限都需要进行严格的逻辑设置，例如，常用的操作权限可以包括可读、可写、既可读又可写等。
[0054]
在本发明实施例中，分级处理具体可以包括如下步骤：
[0055]
s1021、对所述用户日志进行特征提取，提取出所述用户日志的关键词、取值范围和参数类型，进行敏感日志分类管理，输出敏感日志类型；其中，可通过人工智能算法对所述用户日志进行特征提取，提取出所述用户日志的关键词、取值范围和参数类型，并获取所述关键词的相似程度和相似值出现的频率。人工智能算法可采用常用的nlp自然语言处理方法，该方法较为现有，本发明实施例对此不再累述。
[0056]
此外，在本发明实施例中，敏感日志包含一个或多个敏感用语或敏感词，敏感用语和敏感词由sd-wan来指定，若识别出该敏感用语或敏感词，则该用户日志标记为敏感日志。且不同的敏感用语，其对应的敏感类型不同，且对应的加密等级，操作权限不同，可由sd-wan平台进行预设置。
[0057]
s1022、基于所述ue的访问权限，设置所述用户日志的加密等级；在本发明实施例中，访问权限是基于ue的初始设置来确定的，例如，该ue可以区分为高安全级别、中安全级别和低安全级别，访问权限由此可设置为不可读、可读、可写、既可读又可写等安全访问权限，与之对应的加密等级也会基于不同场景下进行自适应的设置，在其中的一个示例中，加密等级可以分为重加密、中加密、轻加密和非加密，其中，重加密、中加密和轻加密可以把明文变成密文，且采用的算法和加密复杂度不同，其解密的难易程度因此而不同。
[0058]
s1023、基于所述敏感日志类型和加密等级，输出所述用户日志级别，所述用户日志级别分别为绝密级s级、重加密级a级、轻加密级b级和非加密级c级。
[0059]
sd-wan平台获取到敏感日志类型和加密等级后，即可将用户日志级别进行设置，本发明实施例中，可设置为多种类型，分别为绝密级s级、重加密级a级、轻加密级b级和非加密级c级。其中，绝密级s级代表只有极少数的sase厂商可获取到其用户，不仅如此，获取到该用户日志后还需要进行进一步的精细化区分，即需要进行该用户日志的不同操作权限判定。重加密级a级、轻加密级b级是两种比较常用的类型，重加密级通常采用非对称机密算法进行加密，其加密的强度高，解密难度大，反之，轻加密则采用较为简单的对称机密算法进行加密，加密强度相对较低，解密的难度相对低。在本发明实施例重，重和轻是相对而言的表述，也可以表述为第一加密等级，第二加密等级。
[0060]
s103、多个sase厂商通过sase网关向所述sd-wan平台进行用户日志访问请求；
[0061]
在s102设置了用户日志的级别后，sase厂商通过sase网关向sd-wan平台进行用户日志的访问请求，以便获取到该用户日志进行后台的用户画像等操作。
[0062]
s104、所述sd-wan平台向所述多个sase厂商进行权限设置，并基于不同sase厂商权限与用户日志级别的对应关系，将与所述不同sase厂商匹配的用户日志推送至对应的所述不同sase厂商中。
[0063]
对于用户日志而言有具体的分级和权限要求，因此，不同的sase厂商也需要有具体的权限设置，在本发明实施例重，sd-wan平台向多个sase厂商进行权限设置，可分为初始设置和变更设置，其中，初始设置具体为：
[0064]
所述sd-wan平台获取所述多个sase厂商的用户日志访问请求中的私钥；sase厂商在生成访问请求消息后，将私钥设置在该消息中，以便sd-wan基于该私钥进行权限分配。
[0065]
基于所述私钥进行所述多个sase厂商的初始权限分配，所述权限分为全部管理者权限s’级、部分管理者权限a’级、全部访问者权限b’级和部分访问者权限c’级。对于sase厂商的权限分配操作，可分为全部管理者权限s’级、部分管理者权限a’级、全部访问者权限b’级和部分访问者权限c’级。其中，全部管理者权限具备所有的访问权限和编辑权限(开发者权限)，可以对用户日志进行任意的修改，相对应的，部分管理者权限只能具备部分的访问权限和编辑权限，在有限的范围内对用户日志进行修改。区别于管理者，访问者权限则不具备编辑权限，只具备访问权限，全部访问权限可以对用户日志所有内容进行访问，但不能修改，而部分访问者权限则只能对用户日志部分内容进行访问且不能修改。
[0066]
变更设置具体为：
[0067]
对所述多个sase厂商的初始权限进行变更，所述变更后的权限为全部管理者权限s1’
级、s2’
级、s3’
级，部分管理者权限a1’
级、a2’
级、a3’
级、全部访问者权限b1’
级、b2’
级、b3’
级和部分访问者权限c1’
级、c2’
级、c3’
级。即，在s,a,b,c级别基础上，更加精细化的把每一个权限级别分为不同等级，s级可分为三个档，分别是s1’
级、s2’
级、s3’
级，同理，剩余的权限也分为三个档。
[0068]
在sase厂商权限进行变更设置之后，sd-wan平台还需要建立sase厂商权限与用户日志级别的对应关系，具体地，
[0069]
sd-wan平台设置用户日志级别矩阵p＝[s,a,b,c]；
[0070]
设置多个sase厂商的变更后的权限矩阵
[0071]
基于所述用户日志级别矩阵p和权限矩阵q，确定所述sase厂商权限与用户日志级别的对应关系。
[0072]
例如，将所述用户日志级别矩阵p和权限矩阵q进行乘积，获取乘积矩阵r，并对r中的每一个元素进行多级权限自适应匹配，或，
[0073]
将所述用户日志级别矩阵p和权限矩阵q进行卷积，获取卷积矩阵r’，并对r’中的每一个元素进行多级权限自适应匹配。其中，r或r’可表示为：
[0074]
[0075]
可以看出，r可分为等级1-12，分别表示为s1’
s到c3’
c，不同的等级综合考虑了用户日志的等级和sase厂商的权限来设置的，对应的操作权限完全不同。
[0076]
在本发明实施例中，为了保证修改的一致性，防止恶意篡改，本发明实施例还调用了区块链的技术，保证修改方式的一致。在所述将与所述不同sase厂商匹配的用户日志推送至对应的所述不同sase厂商之后，还包括如下步骤：
[0077]
获取所述sase厂商对所述用户日志的修改内容和修改频率；
[0078]
基于所述修改内容和修改频率，获取所述修改内容对应的指针，通过所述指针获取与所述修改内容对应的区块源数据，所述区块源数据包含第一智能合约；
[0079]
对所述修改内容和修改频率进行权限验证，判断所述修改内容和修改频率是否满足所述第一智能合约定义的条款，若满足，则权限验证通过，并记录在所述sd-wan平台的区块链通道中。
[0080]
区块链技术提供了链上数据不可篡改、共享可查的链上记录等能力，提供了多方信任和数据共享机制，利用共享记录账本可实现数据生命周期的追溯管理。区块链具有防篡改、可追溯、高度安全等特点，能有效解决当前数据管理中存在的源数据的篡改、删除和安全等问题。
[0081]
本发明实施例中，区块链可以划分为一个或多个通道，每个通道即是一条物理区块链，与其他通道的数据隔离存储和传输，数据只能被此通道的参与方访问。云服务器可根据数据终端采集到的源数据，设置区块链通道，且区块链通道中包含链式存储的区块数据。
[0082]
图3是插入了区块数据的区块源数据的数据结构图。如图3所示，根节点是区块源数据的种类，父节点是每一个区块源数据，子节点包括两种类型，分别为区块数据和原始数据，原始数据包括访问数据内容、访问频率和访问地点；按照区块链式存储机制，每一个区块源数据的区块数据指向下一个区块数据。其中，每个区块数据包括智能合约、区块头与区块体，所述区块头包括区块高度(该区块到区块链上区块头的区块数量)、哈希值、前一个区块的哈希值、默克尔根、交易数量和时间戳信息，区块体包括所述源数据类型、数据大小及所述源数据对应的数据终端。此外，区块头还包含一个指向前一个区块头哈希值的指针，该指针是用于防止区块链被篡改的关键因素，在区块链技术中，每一区块包含了前一区块所有数据记录的哈希值，因此，最新的区块总是间接包含了所有之前的区块的数据信息。如果更改区块链中任何一个数据信息，会让所有之后的区块的哈希值发生变化，这样就验证无法通过。因此，只要验证最后一个区块的哈希值就相当于验证了整个账本，这样的区块链构成了一个易验证、不可篡改的总账本。
[0083]
区块头的区块链式存储结构如图4所示。
[0084]
区块头哈希值是通过对前块哈希、时间戳和默克尔根进行两次sha3-256计算得到的。默克尔merkle根节点就是区块中所有业务数据构成的默克尔树根的哈希值，构造原理图如图5所示。以上的哈希值生成算法主要使用sha3-256散列算法，实现将任意长度的输入转换成固定长度的输出，是一个单向函数，难以或不可能反推，该算法是目前最为安全的散列算法。
[0085]
智能合约在区块头的一个独立空间中，其负责区块链通道的权限控制，对区块链数据的存储，以及对数据的访问，只有满足智能合约的条款才能有权限，从而对区块链数据进行访问和更新。另外，智能合约也是区块链网络与外界交互的接口，提供有区块链内部访
问sdk等，便于用户获取链上数据。通过智能合约和访问控制策略来限制访问数据的角色和用户，通过智能合约的方式提供了更灵活的访问权限控制，可以针对节点、针对组织、针对角色、针对用户制定不同的策略。
[0086]
本发明实施例还提供一种大数据的数据权限控制系统，所述系统包括多个ue、sdp代理、sd-wan平台、多个sase厂商和sase网关，其中，
[0087]
所述多个ue用于通过sdp代理向sd-wan平台进行数据访问，所述sd-wan平台用于记录所述多个ue的用户日志，并对所述多个ue的用户日志进行分级处理；
[0088]
所述多个sase厂商用于通过sase网关向所述sd-wan平台进行用户日志访问请求；
[0089]
所述sd-wan平台还用于向所述多个sase厂商进行权限设置，并基于不同sase厂商权限与用户日志级别的对应关系，将与所述不同sase厂商匹配的用户日志推送至对应的所述不同sase厂商中。
[0090]
本发明实施例提供一种大数据的数据权限控制系统，包括存储器和处理器，所述存储器上存储有计算机可执行指令，所述处理器运行所述存储器上的计算机可执行指令时实现上述方法。
[0091]
本发明实施例的方法及系统具有下列优点：
[0092]
本发明实施例中，针对sase资源池获取到的各ue的用户日志进行分级处理，同时针对sase资源池中各厂商的权限进行分类，基于用户日志的分级和厂商权限的分类，将二者进行对应性匹配，最终将与某一个sase厂商匹配的用户日志推送至该sase厂商中。极大地提升了整体的安全性。
[0093]
本发明实施例还提供一种系统，包括存储器和处理器，所述存储器上存储有计算机可执行指令，所述处理器运行所述存储器上的计算机可执行指令时实现上述的方法。
[0094]
本发明实施例还提供一种计算机可读存储介质，其上存储有计算机可执行指令，该计算机可执行指令用于执行上述实施例中的方法。
[0095]
图5为一个实施例中系统的硬件组成示意图。可以理解的是，图5仅仅示出了系统的简化设计。在实际应用中，系统还可以分别包含必要的其他元件，包含但不限于任意数量的输入/输出系统、处理器、控制器、存储器等，而所有可以实现本技术实施例的大数据管理方法的系统都在本技术的保护范围之内。
[0096]
存储器包括但不限于是随机存储记忆体(random access memory，ram)、只读存储器(read至only memory，rom)、可擦除可编程只读存储器(erasable programmable read only memory，eprom)、或便携式只读存储器(compact disc read至only memory，cd至rom)，该存储器用于相关指令及数据。
[0097]
输入系统用于输入数据和/或信号，以及输出系统用于输出数据和/或信号。输出系统和输入系统可以是独立的器件，也可以是一个整体的器件。
[0098]
处理器可以包括是一个或多个处理器，例如包括一个或多个中央处理器(central processing unit，cpu)，在处理器是一个cpu的情况下，该cpu可以是单核cpu，也可以是多核cpu。处理器还可以包括一个或多个专用处理器，专用处理器可以包括gpu、fpga等，用于进行加速处理。
[0099]
存储器用于存储网络设备的程序代码和数据。
[0100]
处理器用于调用该存储器中的程序代码和数据，执行上述方法实施例中的步骤。
具体可参见方法实施例中的描述，在此不再赘述。
[0101]
在本技术所提供的几个实施例中，应该理解到，所揭露的系统和方法，可以通过其它的方式实现。例如，该单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。所显示或讨论的相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，系统或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0102]
作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0103]
在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机程序指令时，全部或部分地产生按照本技术实施例的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程系统。该计算机指令可以存储在计算机可读存储介质中，或者通过该计算机可读存储介质进行传输。该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是只读存储器(read至only memory，rom)，或随机存储存储器(random access memory，ram)，或磁性介质，例如，软盘、硬盘、磁带、磁碟、或光介质，例如，数字通用光盘(digital versatile disc，dvd)、或者半导体介质，例如，固态硬盘(solid state disk，ssd)等。
[0104]
以上仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以权利要求的保护范围为准。