一种数据权限策略生成方法,其特征在于,包括如下步骤:步骤1,采集针对受检资源对象的第一数据权限策略配置表达式;步骤2,根据所述第一数据权限策略位置表达式,结构化描述和表示所述受检资源对象,所述受检资源对象的行权限规则和所述受检资源对象的列脱敏规则;步骤3,检查所述第一数据权限策略配置表达式的合法性和所述受检资源对象,所述受检资源对象的行权限规则和所述受检资源对象的列脱敏规则的合理性;步骤4,比较所述第一数据权限策略配置表达式与之前存储的第二数据权限策略表达式以进行冲突检测;步骤5,将确定的第三数据权限策略配置表达式存储以备调用。还涉及数据权限判定方法和获取数据的方法。限判定方法和获取数据的方法。限判定方法和获取数据的方法。
【技术实现步骤摘要】
一种数据权限策略生成方法和数据权限判定方法及获取数据的方法
[0001]本专利技术涉及数据库领域,特别涉及一种数据权限策略生成方法,还涉及一种数据权限判定方法,还涉及一种获取数据的方法。
技术介绍
[0002]数据权限是指对系统用户进行数据资源可访问性的控制。随着企业业务复杂度日益增长、组织架构层次日益复杂和变更日益频繁、数据驱动业务增长和精细化运营的要求提升,在数据访问管理方面也对数据权限管控的精细化、多样化和全面性提出了更高要求。数据可访问性涉及的要素一般可包括:数据访问者、被访问数据对象、访问者所处时空环境、访问方式。从可访问性的控制粒度角度来说,权限访问控制粒度从以前面向数据表/视图或数据集级的控制粒度,到行级列级的控制粒度。从可访问性的类型来说,包括对数据进行增删改查多种访问方式,其中具体到读类型访问,还可细化为:直接不可见,无权限提示可见,脱敏可见。从访问者所处时空环境也决定着数据的可访问性。例如空间环境可区分为生产环境、测试环境,或者公司员工环境、访客环境;时间环境可区分为办公时段或非办公时段等。对于如上所述的可访问性的多个视角的区分和管控,现有的数据权限访问控制方法或装置往往只能满足其中单个或部分场景,无法满足企业精细化和多样性的全方位数据权限管控需求。
技术实现思路
[0003]为了实现精细化、多样性和全面的数据权限管控,本专利技术提出了如下解决方案:一种数据权限策略生成方法,包括如下步骤:步骤1,采集针对受检资源对象的第一数据权限策略配置表达式;步骤2,根据所述第一数据权限策略位置表达式,结构化描述和表示所述受检资源对象,所述受检资源对象的行权限规则和所述受检资源对象的列脱敏规则;步骤3,检查所述第一数据权限策略配置表达式的合法性和所述受检资源对象,所述受检资源对象的行权限规则和所述受检资源对象的列脱敏规则的合理性;步骤4,比较所述第一数据权限策略配置表达式与之前存储的第二数据权限策略表达式以进行冲突检测;步骤5,将确定的第三数据权限策略配置表达式存储以备调用。根据本专利技术的一个优选实施例,还包括步骤6,记录策略生成过程中形成的过程日志。根据本专利技术的一个优选实施例,所述权限包括数据访问者,被访问数据对象,访问者所处的时空环境和访问方式中的至少一个。根据本专利技术的一个优选实施例,被访问数据对象包括数据表、视图或者数据集、行
级数据和列级数据中的至少一个。根据本专利技术的一个优选实施例,所述访问方式包括增删改查和读取中的至少一个,所述读取包括直接不可见,无权限提示可见和脱敏可见中的至少一个。本专利技术还涉及一种基于上述的数据权限策略生成方法所获得的数据权限策略的数据权限判定方法,包括如下步骤:步骤i,采集数据权限判定表达式,所述数据权限判定表达式包括访问者,访问对象和访问时空参数;步骤ii,与所述数据权限策略进行比较,对数据权限判定表达式进行合法性验证;步骤iii,对所述参数进行合法性和合理性验证;步骤iv,生成权限判定结果。根据本专利技术的一个优选实施例,在所述步骤iv中,还返回目前有效的访问策略和权限判定过程中的日志。根据本专利技术的一个优选实施例,还包括步骤v,根据要求发送给目标装置。本专利技术还涉及一种获取数据的方法,包括上述的数据权限策略生成方法和上述的数据权限判定方法。根据本专利技术的一个优选实施例,包括步骤a,根据使用者身份、使用环境、获取数据类型、所要进行的动作和使用时间,并且结合之前确定的数据权限策略,给出对应的数据。根据本专利技术的另一个方面,同时提供了一种数据权限精细控制的装置,包括权限策略配置部分和权限判定两个独立部分。所述权限策略配置部分,包括数据权限策略配置控制器模块、权限策略配置请求验证器模块、权限策略配置转换模块;进一步地,所述数据权限策略配置控制器模块主要用于接收数据权限配置请求并进行响应;所述权限策略配置请求验证器模块主要功能是实现请求验证算法,对请求合理性进行验证;所述权限策略配置转换模块主要功能是将数据权限策略配置表达式来表达要配置的权限策略,转化为数据权限存储表达式表示的权限策略存储模型;其包含多个处理单元,其中策略冲突检测处理单元主要功能是对既有已配置的相关权限策略和当前权限策略配置请求的权限策略进行冲突检测;策略转换处理单元主要功能是进行权限策略配置模型到权限存储模型的转换;权限配置存储接口处理单元主要功能是和外部权限配置存储数据装置交互,处理权限配置存储数据读取和写入请求;权限配置日志接口处理单元主要功能是处理权限配置日志的写入请求并将日志写入外部日志存储;所述权限判定部分,包括数据权限判定控制器模块、权限判定请求验证器模块、权限判定结果生成模块组成。进一步地,所述数据权限判定控制器模块主要用于接收数据权限判定请求并进行响应;所述权限判定请求验证器模块主要功能是实现请求验证算法,对请求合理性进行验证;所述权限判定结果生成模块主要功能是根据权限判定请求和数数据权限策略配置生成判定结果,其包含多个处理单元,其中访问策略和访问级别判定处理单元主要功能是对受检资源对象的访问策略和访问级别进行判定;行权限处理单元主要功能是实现行权限判定算法,判定并生成对受检资源对象的行权限表达式;列脱敏处理单元主要功能是实现列脱敏判定算法,判定并生成对受检资源对象的列脱敏表达式;权限策略配置存储接口处理单
元主要功能是和外部权限配置存储数据装置交互,处理权限配置存储数据读取请求;权限判定日志接口处理单元主要功能是处理权限判定日志的写入请求并将日志写入外部日志存储综上所述,本专利技术通过以上方法和装置,可实现数据访问权限的精细和灵活控制。
附图说明
[0004]此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1为本专利技术实施例的数据权限配置方法
‑
总流程图;图2为本专利技术实施例的数据权限策略配置方法
‑
权限策略配置转换子流程图;图3为本专利技术实施例的数据权限判定方法
‑
总流程图;图4为本专利技术实施例的数据权限判定方法
‑
生成权限判定结果子流程图;图5为本专利技术实施例的装置和其他装置协作实现数据访问权限精细控制的示意图;图6为本专利技术实施例的数据访问权限精细控制的装置结构图。
具体实施方式
[0005]下面将参考附图并结合具体实施例进一步阐述本专利技术。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互结合。实施例一:数据权限策略配置流程图1是根据本专利技术实施例的数据权限策略配置的流程图,如图1所示,该方法主要包括以下步骤S101
‑
S104:步骤S101,数据权限策略配置管理员发起数据权限策略配置请求,其中请求信息通过数据权限策略配置表达式来表示要配置的权限策略,表达式的具体结构和要素信息如下表所示:表1 数据权限策略配置表达式的结构和要素信息要素类型取值备注访问者类型字符串"用户/角色"访问者(可选)字符串列表["张三","李四"]访问者角色(可选)字符串列表["市场部","财务部"]访问环境类型字本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据权限策略生成方法,其特征在于,包括如下步骤:步骤1,采集针对受检资源对象的第一数据权限策略配置表达式;步骤2,根据所述第一数据权限策略位置表达式,结构化描述和表示所述受检资源对象,所述受检资源对象的行权限规则和所述受检资源对象的列脱敏规则;步骤3,检查所述第一数据权限策略配置表达式的合法性和所述受检资源对象,所述受检资源对象的行权限规则和所述受检资源对象的列脱敏规则的合理性;步骤4,比较所述第一数据权限策略配置表达式与之前存储的第二数据权限策略表达式以进行冲突检测;步骤5,将确定的第三数据权限策略配置表达式存储以备调用。2.根据权利要求1所述的数据权限策略生成方法,其特征在于,还包括步骤6,记录策略生成过程中形成的过程日志。3.根据权利要求2所述的数据权限策略生成方法,其特征在于,所述权限包括数据访问者,被访问数据对象,访问者所处的时空环境和访问方式中的至少一个。4.根据权利要求3所述的数据权限策略生成方法,其特征在于,被访问数据对象包括数据表、视图或者数据集、行级数据和列级数据中的至少一个。5.根据权利要求3所述的数据权限策略生成方法,其特征在于,其特征在于,所述访问方式包括增删改查和读取中的至少一个,所述读取包括直接...
【专利技术属性】
技术研发人员:陈雨,齐明,王馨,汪松良,杨竞霜,
申请(专利权)人:嘉实远见科技北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。