一种针对游戏业务数据的细粒度访问控制方案制造技术

本发明专利技术提供了一种针对游戏业务数据的细粒度访问控制方案，首先建立基于游戏数据特征的访问控制模型，然后通过对不用数据关系的分析，定义这些关系的通用组织结构，根据组织结构设计符合该组织结构的权限判决算法，模型中涉及的数据特征可以通过数据挖掘和分析的相关方法，充实数据特征库，以达到完善权限判决覆盖范围和出发角度的目的，最后根据定义模型以及权限判决规则进行用户访问时的权限判决。本方案保证了方案无感知加入系统，并且完成了权限控制层级的细化，定义规则配置的形式完成动态数据行的控制，在整个访问控制结构中从数据出发，可利用数据分析的方法进行安全特征的提取，更合理的进行数据的细粒度访问控制。

A fine-grained access control scheme for game business data

【技术实现步骤摘要】
一种针对游戏业务数据的细粒度访问控制方案
本专利技术属于大数据安全中的访问控制
，具体涉及一种针对游戏业务数据的细粒度访问控制方案。
技术介绍
随着大数据时代的发展，数据成为决定企业间业务竞争的重要条件。为了更好的保护数据的同时能够尽可能地利用数据，需要对数据进行共享和分析，发掘数据的价值。在此过程中，不可避免地需要向特定的群体开放数据权限，为保证数据权限开放的安全，访问控制作为重要的技术之一发挥着极大的作用。目前发展中的访问控制技术整个外部框架已经比较固定，而且针对属性、地域等具体问题已经有了比较好的解决方案，但是从数据本身的角度考虑，特别是针对游戏业务数据事务性强，业务划分明显，数据项细化等特点，为完成访问控制，仅限制表级别是不够的，因此结合游戏业务数据以上特点及业务宽表的现象，为较为合理的管理数据权限，提出一种细粒度的访问控制方法，保证对原始架构保证最小侵入原则，从认识数据的角度优化权限配置，将权限范围细化到数据表行和列。
技术实现思路
本专利技术的目的是提出一种针对游戏业务数据的细粒度访问控制方案，解决数据平台中由于业务问题形成的宽表数据在进行共享时，传统方法进行细粒度访问控制方面表现出的管理困难、脱离工作重心、无法发挥数据优势的问题。本专利技术所采用的技术方案是，一种针对游戏业务数据的细粒度访问控制方案，首先建立基于游戏数据特征的访问控制模型，然后通过对不同数据关系的分析，定义这些关系的通用组织结构，根据组织结构设计符合该组织结构的权限判决算法，模型中涉及的数据特征可以通过数据挖掘和分析的相关方法，充实游戏数据特征库，以达到完善权限判决覆盖范围的目的，最后根据定义模型以及权限判决规则进行用户访问时的权限判决，包括以下步骤：步骤1，针对游戏业务数据事务性强，业务划分明显，数据项细化等特点，建立用于进行权限判断的访问控制模型；步骤2，定义基于不同数据关系的通用组织结构，确定权限判决算法；步骤3，挖掘游戏数据特征，完善用于鉴权的权限配置；步骤4，根据定义模型及权限判决规则进行授权；步骤5，根据定义模型及权限判决规则进行访问控制。本专利技术的特点还在于：步骤1具体步骤为：步骤1.1：建立概念及关系模型，根据访问控制需求引入概念；从数据角度出发，给游戏业务数据打上标签对其的属性和特征进行标识；结合权限需求，给主体一个代表可访问游戏业务数据范围的属性和特征的集合，引入安全标签概念；安全标签是一个概念性的标识，需要将安全标签对应的具体含义采用统一的形式组织起来。游戏业务数据所对应的属性和特征采用安全特征和条件元素进行表示，与安全标签一起，统一由安全策略进行管理。步骤1.2：确定访问控制模型结构本专利技术的访问控制主要包括DB操作解析和过滤、原始的访问控制、行列权限策略管理模块。1.3确定模型执行结构步骤1.2中各模块进行访问控制时的执行结构包括以下执行过程，主体发起访问请求，经过平台的处理后得到请求数据的SQL语句，对SQL语句进行验证后解析SQL中包含的信息，包括执行的操作、对象表，对象列，对象行，用户信息等等；将解析后的信息传给访问控制器，在标签管理处得到用户、对象表、对象列、对象行的标签信息发送给访问控制决策；决策从策略管理和组件管理处拿到对应的组件数据类型和策略中的组件组合算法，在决策处进行标签的匹配，将结果发送给访问控制执行处，如果匹配成功，则从数据库进行读取操作，如果匹配不成功可直接拒绝访问。步骤2的具体步骤为：步骤2.1：定义列安全特征中元素的关系及权限判断方法定义三种不同的安全特征种类，来说明针对数据列的安全特征中元素的关系。对应数据结构中名词，分别为ARRAY,SET,TREE。对于ARRAY类型的安全特征，默认条件元素是存在一定的线性优先级的关系，对于SET类型的安全特征，条件元素决定了一个范围，一个集合确定了一个元素划分，只要被包含在该集合中，就可以被访问；对于TREE类型的安全特征，条件元素之间有“父子兄弟”的关系，权限集合中可以是树中几个节点的集合，如果节点不是叶子节点，按照关系，也将拥有子节点代表权限的访问权。2.2配置行安全特征中元素的规则针对数据行的安全特征中元素关系统一规定：安全特征种给类为SET，条件元素设定一定的规则，规则配置格式形如：{filed：字段名，operator：操作符，value：数据值}，字段名为数据库表列名，操作符支持包括：＝，>，<等，一个配置中操作符只允许存在一种，数据值以列表形式存储[val1，val2，……]，操作符与值配对，配对后的表达式之间为或关系。2.3定义安全策略中安全特征的关系安全策略中可包含多个安全特征即多个游戏业务数据的属性，安全特征中的元素可以通过安全特征种类进行权限的判断，判断时采取严格模式，即一处权限不允许则拒绝访问。步骤3中挖掘游戏数据特征，完善用于鉴权的权限配置具体采用对游戏业务数据表中的数据通过聚类等方法，找出潜藏的游戏数据记录项之间的分布关系、序列关系，或者对某一项游戏数据的特征进行具象化评估，完成用于鉴权的权限配置，同时对于新加入的受保护数据范围也可采用关系挖掘快速定位到相应的权限配置。步骤4中授权分为为游戏业务数据授权和为用户授权，为数据绑定想定的访问权限等级主要针对数据表列。数据授权时需先将策略与数据表关联，然后数据表中的数据才有可选的数据的访问权限，对于数据表列需要配置权限关系，可表示为Permission＝{(column，label)，column∈Table(columns)，label∈Policy(Feature(elements))}，表示数据表列与关联的策略下的标签绑定，标签由该策略下的条件元素组成。数据表行的权限由条件元素对应的规则进行配置；用户权限配置权限关系，可表示为Permission＝{([user，role]，label)，label∈Policy(Feature(elements))},其中用户的权限可以是单个用户，也可以是代表某一类权限集合的角色。步骤5具体步骤为，步骤5.1：鉴权总流程鉴权流程是主体拥有的标签与数据标签以及SQL查询条件进行比对的过程，为简化流程可根据判断条件提前结束判决流程,鉴权主流程中判决遵循以下规则:a.用户标签为空，且所有数据表不受安全策略保护，则允许访问b.用户标签不为空，数据表受安全策略保护，用户标签解析后不存在对应列的安全特征，说明数据表有访问权限限制而用户没有拥有相应的权限，因此拒绝访问c.用户标签不为空，数据表受安全策略保护，用户标签解析后不存在对应行的安全特征，说明用户对应行的访问权限缺省，即权限范围为全部行数据，因此允许访问d.用户标签不为空，数据表受安全策略保护，查询SQL解析后不存在数据列，说明SQL错误，因此拒绝访问；步骤5.2：列权限校验在步骤5.1的鉴权流程中包括列权限校验，本文档来自技高网...

【技术保护点】
1.一种针对游戏业务数据的细粒度访问控制方案，其特征在于，首先建立基于游戏数据特征的访问控制模型，然后通过对不同数据关系的分析，定义这些关系的通用组织结构，根据组织结构设计符合该组织结构的权限判决算法，模型中涉及的数据特征可以通过数据挖掘和分析的相关方法，充实游戏数据特征库，以达到完善权限判决覆盖范围的目的，最后根据定义模型以及权限判决规则进行用户访问时的权限判决；包括以下步骤：/n步骤1，针对游戏业务数据事务性强，业务划分明显，数据项细化等特点，建立用于进行权限判断的访问控制模型；/n步骤2，定义基于不同数据关系的通用组织结构，确定权限判决算法；/n步骤3，挖掘游戏数据特征，完善用于鉴权的权限配置；/n步骤4，根据定义模型及权限判决规则进行授权；/n步骤5，根据定义模型及权限判决规则进行访问控制。/n

【技术特征摘要】
1.一种针对游戏业务数据的细粒度访问控制方案，其特征在于，首先建立基于游戏数据特征的访问控制模型，然后通过对不同数据关系的分析，定义这些关系的通用组织结构，根据组织结构设计符合该组织结构的权限判决算法，模型中涉及的数据特征可以通过数据挖掘和分析的相关方法，充实游戏数据特征库，以达到完善权限判决覆盖范围的目的，最后根据定义模型以及权限判决规则进行用户访问时的权限判决；包括以下步骤：
步骤1，针对游戏业务数据事务性强，业务划分明显，数据项细化等特点，建立用于进行权限判断的访问控制模型；
步骤2，定义基于不同数据关系的通用组织结构，确定权限判决算法；
步骤3，挖掘游戏数据特征，完善用于鉴权的权限配置；
步骤4，根据定义模型及权限判决规则进行授权；
步骤5，根据定义模型及权限判决规则进行访问控制。


2.根据权利要求1所述的一种针对游戏业务数据的细粒度访问控制方案，其特征在于，所述步骤1具体步骤为：
步骤1.1：建立概念及关系模型，
根据访问控制需求引入概念；从数据角度出发，给游戏业务数据打上标签对其的属性和特征进行标识；结合权限需求，给主体一个代表可访问游戏业务数据范围的属性和特征的集合，引入安全标签概念；安全标签是一个概念性的标识，需要将安全标签对应的具体含义采用统一的形式组织起来；游戏业务数据所对应的属性和特征采用安全特征和条件元素进行表示，与安全标签一起，统一由安全策略进行管理；
步骤1.2：确定访问控制模型结构
本发明的访问控制主要包括DB操作解析和过滤、原始的访问控制、行列权限策略管理模块；
1.3确定模型执行结构
步骤1.2中各模块进行访问控制时的执行结构包括以下执行过程，
主体发起访问请求，经过平台的处理后得到请求数据的SQL语句，对SQL语句进行验证后解析SQL中包含的信息，包括执行的操作、对象表，对象列，对象行，用户信息等等；将解析后的信息传给访问控制器，在标签管理处得到用户、对象表、对象列、对象行的标签信息发送给访问控制决策；决策从策略管理和组件管理处拿到对应的组件数据类型和策略中的组件组合算法，在决策处进行标签的匹配，将结果发送给访问控制执行处，如果匹配成功，则从数据库进行读取操作，如果匹配不成功可直接拒绝访问。


3.根据权利要求1所述的一种针对游戏业务数据的细粒度访问控制方案，其特征在于，步骤2的具体步骤为：
步骤2.1：定义列安全特征中元素的关系及权限判断方法
定义三种不同的安全特征种类，来说明针对数据列的安全特征中元素的关系，对应数据结构中名词，分别为ARRAY,SET,TREE；
对于ARRAY类型的安全特征，默认条件元素是存在一定的线性优先级的关系，对于SET类型的安全特征，条件元素决定了一个范围，一个集合确定了一个元素划分，只要被包含在该集合中，就可以被访问；对于TREE类型的安全特征，条件元素之间有“父子兄弟”的关系，权限集合中可以是树中几个节点的集合，如果节点不是叶子节点，按照关系，也将拥有子节点代表权限的访问权；
2.2配置行安全特征中元素的规则
针对数据行的安全特征中元素关系统一规定：安全特征种给类为SET，条件元素设定一定的规则，规则配置格式形如：{filed：字段名，operator：操作符，value：数据值}，字段名为数据库表列名，操作符支持包括：＝，>，<等，一个配置中操作符只允许存在一种，数据值以列表形式存储[val1，val2，……]，操作符与值配对，配对后的表达式之间为或关系；
2.3定义安全策略中安全特征的关系
安全策略中可包含多个安全特征即多个游戏业务数据的属性，安全特征中的元素可以通过安全特征种类进行权限的判断，判断时采取严格模式，即一处权限不允许则拒绝访问。


4.根据权利要求1所述的一种针对游戏业务数据的细粒度访问控制方案，其特征在于，步骤3中挖掘游戏数据特征，完善用于鉴权的权限配置具体采用对游戏业务数据表中的数据通过聚类等方法，找出潜藏的游戏数据记录项之间的分布关系、...

【专利技术属性】
技术研发人员：黑新宏，何萍，盘隆，吕泽立，朱磊，王一川，姬文江，宋昕，姚燕妮，
申请(专利权)人：西安理工大学，深圳市腾讯计算机系统有限公司，
类型：发明
国别省市：陕西;61