一种数据文件包括源文件和元数据,其中:在所述源文件中包括有一个或者多个敏感数据;所述元数据包括用于记录所述源文件中的敏感数据的存储位置的元数据表,以及根据所述元数据表与敏感数据的存储位置的对应关系,结合用户对所述敏感数据的访问权限生成的访问策略。当不同的用户访问所述数据文件中的敏感数据时,只需要根据数据文件中的访问策略即可控制用户对敏感数据的访问,不需要对所述数据文件进行删除等修改,保证了分享过程中的可控制性和数据的一致性,可以根据所述访问策略有效的对数据文件进行控制。
【技术实现步骤摘要】
一种数据文件及其访问方法、装置及设备
本专利技术属于数据安全领域,尤其涉及一种数据文件及其访问方法、装置及设备。
技术介绍
随着移动互联网、智能硬件、传感器的发展,数据量越来越多,各个公司搜集的个人数据安全无法得到保障,数据泄露、买卖的事件层出不穷,已经对普通人的正常生活造成了巨大的影响。在个人逐渐被数据化的时代,国家开始立法管制,16年底颁布的《中华人民共和国网络安全法》对数据采集、使用都有明确的规定。立法一定程度上对个人数据的使用进行了限制,但是在数据平台上对敏感数据的保护的技术还有待提高,因为在进行数据共享时,也极有可能因为技术本身的缺陷造成敏感数据的泄露或者数据共享不便。在现在的云服务环境,尤其是PaaS(英文全称为Platform-as-a-Service,中文全称为平台即服务)或SaaS(英文全称为Software-as-a-service,中文全称为软件即服务)中,敏感数据是非常常见的。例如消费者的姓名、账户信息以及各种各样的数据形式例如文档、服务工单描述、报告等等。在服务提供的过程中,即使可能并不是故意为之,也很容易造成敏感数据的泄露。在隐私数据保护领域,最新的方案仅仅将数据保护推进到了文件级别(对于非结构化数据)或数据表级别(对于结构化数据库)。在这样的粗粒度下,数据的一致性将很难维护,因为数据源平台为了保护敏感数据,可能直接将其删除后再把数据分享给其他平台,这就造成了数据不一致。而为了达到更细的粒度,现有的方法是强行在数据库中将数据拆分到多个不同访问权限的数据表中,但是这将丢失数据操作的弹性。除此之外,在数据传输到其他平台(例如通过邮箱发送)的过程中,对数据的控制将会失效。
技术实现思路
有鉴于此,本专利技术实施例提供了敏感数据访问方法、装置及设备,以解决现有技术中敏感数据分享时,容易造成数据不一致,或者丢失数据操作弹性,或者对数据失去控制权,无法管理数据获取的权限的问题。本专利技术实施例的第一方面提供了一种数据文件,所述数据文件包括源文件和元数据,其中:在所述源文件中包括有一个或者多个敏感数据;所述元数据包括用于记录所述源文件中的敏感数据的存储位置的元数据表,以及根据所述元数据表与敏感数据的存储位置的对应关系,结合用户对所述敏感数据的访问权限生成的访问策略。结合第一方面,在第一方面的第一种可能实现方式中,所述元数据表中包括一个或者多个元组,所述元组记录有敏感数据的偏移量、敏感数据的长度,所述访问策略根据用户的权限选择所述元数据中的一个或者多个元组。结合第一方面,在第一方面的第二种可能实现方式中,所述数据文件通过加密的方式存储在文件服务器,通过文件服务器中的访问表记录用户访问数据文件的访问记录。本专利技术实施例的第二方面提供了一种数据文件的访问方法,所述数据文件的访问方法包括:接收文件数据的读取指令,获取所述文件数据对应的元数据,所述元数据用于标记所述数据文件中的敏感数据的存储位置以及访问策略;根据所获取的元数据,查找用户所对应的访问策略,所述访问策略根据用户对所述敏感数据的访问权限生成;根据所述访问策略,控制所述用户对所述数据文件的访问。结合第二方面,在第二方面的第一种可能实现方式中,所述根据所述访问策略,控制所述用户对所述数据文件的访问的步骤包括:当所述访问策略允许用户访问所述数据文件中的敏感数据时,则开始读取所述数据文件中的敏感数据;当所述访问策略不允许用户所述数据文件中的敏感数据时,则跳过该敏感数据的访问。结合第二方面,在第二方面的第二种可能实现方式中,所述方法还包括:当在所述数据文件中写入数据时,将写入数据后的数据文件与写入数据前的数据文件比较,获取新写入的数据信息;将新写入的数据信息记录在所述数据文件对应的元数据中。结合第二方面,在第二方面的第三种可能实现方式中,所述数据文件存储在中心文件服务器,所述数据文件的访问方法还包括:接收到终端的发送的加密的访问请求,记录所述访问请求的用户,以及所访问的文件信息;根据所述访问请求查找对应的数据文件,将所述数据文件发送给终端。本专利技术实施例的第三方面提供了一种数据文件的访问装置,所述数据文件的访问装置包括:元数据获取单元,用于接收文件数据的读取指令,获取所述文件数据对应的元数据,所述元数据用于标记所述数据文件中的敏感数据的存储位置以及访问策略;访问策略查找单元,用于根据所获取的元数据,查找用户所对应的访问策略,所述访问策略根据用户对所述敏感数据的访问权限生成;访问控制单元,用于根据所述访问策略,控制所述用户对所述数据文件的访问。本专利技术实施例的第四方面提供了一种数据文件的访问设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如第二方面任一项所述数据文件的访问方法的步骤。本专利技术实施例的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如第二方面任一项所述数据文件的访问方法的步骤。本专利技术实施例与现有技术相比存在的有益效果是:当所述数据文件中包括敏感数据时,将所述敏感数据的存储位置记录在所述数据文件中的元数据中,并且所述元数据中还包括根据用户对所述敏感数据的访问权限生成的访问策略,当不同的用户访问所述数据文件中的敏感数据时,只需要根据数据文件中的访问策略即可控制用户对敏感数据的访问,不需要对所述数据文件进行删除等修改,保证了分享过程中的可控制性和数据的一致性,可以根据所述访问策略有效的对数据文件进行控制。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的数据文件的结构示意图;图2是本专利技术实施例提供的数据文件的表现形式的示意图;图3是本专利技术实施例提供的数据文件的访问方法的实现流程示意图;图4是本专利技术实施例提供的数据文件的访问装置的示意图;图5为本专利技术实施例提供的数据加密机制结构示意图;图6是本专利技术实施例提供的数据文件的访问设备的示意图。具体实施方式以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本专利技术实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本专利技术。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本专利技术的描述。为了说明本专利技术所述的技术方案,下面通过具体实施例来进行说明。如图1所示为本申请实施例所述数据文件的结构示意图,所述数据文件包括源文件,所述源文件可以为不同格式的文件。比如,所述源文件可以WORD文件、POWERPOINT文件、TXT文件等等。在所述源文件中可以包括一个或者多个敏感数据。所述敏感数据可以为所述数据文件中的用户隐私数据,所述敏感数据可以根据敏感数据的特征关键词,或者数据的类型,由系统自动的查找确定,也可以由用户指定。在数据文件中,还包括与源文件绑定的元数据,所述元数据用于记录所述源文件中的敏感数据的存储位置,如图1所示,所述元数据中包括元数据表,所述本文档来自技高网...
【技术保护点】
一种数据文件,其特征在于,所述数据文件包括源文件和元数据,其中:在所述源文件中包括有一个或者多个敏感数据;所述元数据包括用于记录所述源文件中的敏感数据的存储位置的元数据表,以及根据所述元数据表与敏感数据的存储位置的对应关系,结合用户对所述敏感数据的访问权限生成的访问策略。
【技术特征摘要】
1.一种数据文件,其特征在于,所述数据文件包括源文件和元数据,其中:在所述源文件中包括有一个或者多个敏感数据;所述元数据包括用于记录所述源文件中的敏感数据的存储位置的元数据表,以及根据所述元数据表与敏感数据的存储位置的对应关系,结合用户对所述敏感数据的访问权限生成的访问策略。2.根据权利要求1所述的数据文件,其特征在于,所述元数据表中包括一个或者多个元组,所述元组记录有敏感数据的偏移量、敏感数据的长度,所述访问策略根据用户的权限选择所述元数据中的一个或者多个元组。3.根据权利要求1所述的数据文件,其特征在于,所述数据文件通过加密的方式存储在文件服务器,通过文件服务器中的访问表记录用户访问数据文件的访问记录。4.一种数据文件的访问方法,其特征在于,所述数据文件的访问方法包括:接收文件数据的读取指令,获取所述文件数据对应的元数据,所述元数据用于标记所述数据文件中的敏感数据的存储位置以及访问策略;根据所获取的元数据,查找用户所对应的访问策略,所述访问策略根据用户对所述敏感数据的访问权限生成;根据所述访问策略,控制所述用户对所述数据文件的访问。5.根据权利要求4所述的数据文件的访问方法,其特征在于,所述根据所述访问策略,控制所述用户对所述数据文件的访问的步骤包括:当所述访问策略允许用户访问所述数据文件中的敏感数据时,则开始读取所述数据文件中的敏感数据;当所述访问策略不允许用户所述数据文件中的敏感数据时,则跳过该敏感数据的访问。6.根...
【专利技术属性】
技术研发人员:胡希平,韩问寒,张佳,王飞,程俊,
申请(专利权)人:中国科学院深圳先进技术研究院,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。