【技术实现步骤摘要】
数据访问处理方法及系统
本公开通常涉及计算机
,更具体地,涉及用于数据访问处理的方法及系统。
技术介绍
在大数据时代,对数据访问设备而言,对使用服务的用户的数据进行隐私保护越来越重要。为了实现对用户数据进行隐私保护,数据访问设备通常提供身份识别与管理(IdentityandAccessMangement,IAM)系统来对用户数据访问进行管理。IAM系统通常具有单点登录、认证管理、基于策略的集中式授权和审计、动态审计等功能。现有的IAM访问控制技术,可以针对已知数据源访问进行针对性的控制,比如,能够通过授权控制用户对数据源访问操作的控制权限来进行数据源访问保护。然而,现有IAM访问控制技术不能在用户数据访问时实现数据使用监控。
技术实现思路
鉴于上述,本公开提供了一种数据访问处理方法及系统。利用该数据访问处理方法及系统,通过为数据访问实体分配统一可信身份标识,并且将所分配的统一可信身份标识与数据访问的每个环节相关联,从而可以基于该统一可信身份标识来实现数据使用监控。根据本公开的一个方面,提供了一种用于数据访问处理的方法,所述方法由访问控制装置执行,所述方法包括:在从数据访问设备接收到实体访问控制请求后,基于数据访问实体的可信身份标识进行实体访问认证,并向所述数据访问设备返回实体访问认证结果,所述实体访问控制请求至少包括所述数据访问实体的可信身份标识;在从所述数据访问设备所访问的至少一个数据存储设备接收到至少一个数据访问控制请求后,基于所述数据访问实体的可信身份标识以及至少一个待访问数据的访问策略,确定所述数据访问实体针对所述至少一个待访问数据是否具有访问权...
【技术保护点】
1.一种用于数据访问处理的方法,所述方法由访问控制装置执行,所述方法包括:在从数据访问设备接收到实体访问控制请求后,基于数据访问实体的可信身份标识进行实体访问认证,并向所述数据访问设备返回实体访问认证结果,所述实体访问控制请求至少包括所述数据访问实体的可信身份标识;在从所述数据访问设备所访问的至少一个数据存储设备接收到至少一个数据访问控制请求后,基于所述数据访问实体的可信身份标识以及至少一个待访问数据的访问策略,确定所述数据访问实体针对所述至少一个待访问数据是否具有访问权限,所述至少一个数据访问控制请求中的各个数据访问控制请求至少包括所述数据访问实体的可信身份标识和待访问数据的数据标识,待访问数据的访问策略用于指示具有哪些可信身份标识的数据访问实体能够访问该待访问数据;以及在确定所述数据访问实体针对所述至少一个待访问数据具有访问权限时,生成针对所述至少一个待访问数据的数据访问处理请求,以发送给对应的数据存储设备来执行相应的数据访问处理,其中,所述实体访问控制请求是在所述数据访问设备从所述数据访问实体接收到第一数据访问请求后,基于所述第一数据访问请求而生成的,所述第一数据访问请求至少包括...
【技术特征摘要】
1.一种用于数据访问处理的方法,所述方法由访问控制装置执行,所述方法包括:在从数据访问设备接收到实体访问控制请求后,基于数据访问实体的可信身份标识进行实体访问认证,并向所述数据访问设备返回实体访问认证结果,所述实体访问控制请求至少包括所述数据访问实体的可信身份标识;在从所述数据访问设备所访问的至少一个数据存储设备接收到至少一个数据访问控制请求后,基于所述数据访问实体的可信身份标识以及至少一个待访问数据的访问策略,确定所述数据访问实体针对所述至少一个待访问数据是否具有访问权限,所述至少一个数据访问控制请求中的各个数据访问控制请求至少包括所述数据访问实体的可信身份标识和待访问数据的数据标识,待访问数据的访问策略用于指示具有哪些可信身份标识的数据访问实体能够访问该待访问数据;以及在确定所述数据访问实体针对所述至少一个待访问数据具有访问权限时,生成针对所述至少一个待访问数据的数据访问处理请求,以发送给对应的数据存储设备来执行相应的数据访问处理,其中,所述实体访问控制请求是在所述数据访问设备从所述数据访问实体接收到第一数据访问请求后,基于所述第一数据访问请求而生成的,所述第一数据访问请求至少包括所述数据访问实体的可信身份标识和数据访问上下文,所述数据访问控制请求是在所述至少一个数据存储设备从所述数据访问设备接收到第二数据访问请求后,基于所述第二数据访问请求而生成的,所述第二数据访问请求是在实体访问认证通过后,在所述数据访问设备处基于所述第一数据访问请求生成的,所述第二数据访问请求至少包括所述数据访问实体的可信身份标识和针对对应数据存储设备的数据访问请求命令。2.如权利要求1所述的方法,还包括:从所述至少一个数据存储设备接收经过数据访问处理后的数据。3.如权利要求2所述的方法,其中,所述数据访问处理包括数据查询处理,以及所述方法还包括:将所查询到的数据发送给所述数据访问设备,以供发送给所述数据访问实体。4.如权利要求2所述的方法,还包括:记录针对所述被访问数据的数据访问记录,所述数据访问记录至少包括被访问数据的数据标识以及访问该数据的数据访问实体的可信身份标识。5.如权利要求4所述的方法,还包括:基于所记录的数据访问记录来进行数据访问行为分析,以生成数据访问行为分析结果。6.如权利要求5所述的方法,其中,所述数据访问行为分析包括下述分析中的至少一种:数据访问量统计分析;数据访问实体权限调整;以及风险预警分析。7.如权利要求1所述的方法,其中,所述数据访问实体的可信身份标识是在所述数据访问实体向统一身份设备注册并通过身份认证后,由所述统一身份设备生成并颁发给所述数据访问实体的。8.一种用于数据访问处理的方法,所述方法由数据访问设备执行,所述方法包括:在从数据访问实体接收到第一数据访问请求后,基于所述第一数据访问请求生成实体访问控制请求,所述第一数据访问请求至少包括所述数据访问实体的可信身份标识和数据访问上下文,所述实体访问控制请求至少包括所述数据访问实体的可信身份标识;将所生成的实体访问控制请求发送给访问控制设备,以在所述访问控制设备处基于所述数据访问实体的可信身份标识进行实体访问认证;以及在所述访问控制设备所返回的实体访问认证通过时,基于所述第一数据访问请求生成第二数据访问请求,所述第二数据访问请求至少包括所述数据访问实体的可信身份标识和针对对应数据存储设备的数据访问请求命令。9.如权利要求8所述的方法,其中,基于所述第一数据访问请求生成第二数据访问请求包括:对所述第一数据访问请求中的数据访问上下文进行解析,以确定要访问的至少一个数据存储设备以及针对所述至少一个数据存储设备中的各个数据存储设备的数据访问请求命令;以及基于所述数据访问实体的可信身份标识和针对所述各个数据存储设备的数据访问请求命令,生成针对所述各个数据存储设备的数据访问请求。10.一种用于数据访问处理的方法,所述方法由数据存储设备执行,所述方法包括:在从数据访问设备接收到第二数据访问请求后,生成至少一个数据访问控制请求,所述数据访问控制请求至少包括数据访问实体的可信身份标识和待访问数据的数据标识,所述第二数据访问请求至少包括所述数据访问实体的可信身份标识和针对所述数据存储设备的数据访问请求命令;将所生成的至少一个数据访问控制请求发送给访问控制设备,以在所述访问控制设备处,基于所述数据访问实体的可信身份标识以及至少一个待访问数据的访问策略,确定所述数据访问实体针对所述至少一个待访问数据是否具有访问权限,待访问数据的访问策略用于指示具有哪些可信身份标识的数据访问实体能够访问该待访问数据;以及响应于从所述访问控制设备接收到数据访问处理请求后,对所述至少一个待访问数据进行相应的数据访问处理,所述数据访问处理请求是在所述访问控制设备处确定所述数据访问实体针对所述至少一个待访问数据具有访问权限时,基于所述第二数据访问请求生成的。11.一种用于数据访问处理的装置,包括:请求接收单元,被配置为从数据访问设备接收实体访问控制请求,以及从所述数据访问设备所访问的至少一个数据存储设备接收至少一个数据访问控制请求,所述实体访问控制请求至少包括所述数据访问实体的可信身份标识,所述至少一个数据访问控制请求中的各个数据访问控制请求至少包括所述数据访问实体的可信身份标识和待访问数据的数据标识;实体访问认证单元,被配置为在接收到所述实体访问控制请求后,基于数据访问实体的可信身份标识进行实体访问认证,并向所述数据访问设备返回实体访问认证结果;访问权限认证单元,被配置为在接收到所述至少一个数据访问控制请求后,基于所述数据访问实体的可信身份标识以及至少一个待访问数据的访问策略,确定所述数据访问实体针对所述至少一个待访问数据是否具有访问权限,待访问数据的访问策略用于指示具有哪些可信身份标识的数据访问实体能够访问该待访问数据;数据访问处理请求生成单元,被配置为在确定所述数据...
【专利技术属性】
技术研发人员:曾子豪,温悦,孙超,郑鸿咚,肖含笑,张彪,金璐,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。