一种基于资源分级分类和用户特征的权限控制的方法及系统技术方案

本发明专利技术提出了一种基于资源分级分类和用户特征的权限控制的方法及系统，包括：响应于对实体扫描进行数据采集，建立数据使用情况表；将采集的数据根据预设规则进行分级分类；策略中心提前整理好权限的缓存信息；每个业务应用需要对于下发的策略信息进行解读，最终到数据权限控制；各个服务根据上下文的权限控制信息以及埋点信息，确定当前用户身份，获取对应策略信息；权限控制中心监听用户特征变化情况，给其重新的更新权限，并且在特征进行不符合常规的变化中，给予预警

【技术实现步骤摘要】
一种基于资源分级分类和用户特征的权限控制的方法及系统


[0001]本专利技术属于计算机数据安全
，具体涉及一种基于资源分级分类和用户特征的权限控制的方法及系统
。

技术介绍

[0002]目前被大家广泛采用的两种权限模型为：基于角色的访问控制
(RBAC)
和基于策略的访问控制
(PBAC)
，二者各有优劣：
RBAC
模型构建起来更加简单，缺点在于无法做到对资源细粒度地授权；
PBAC
模型构建相对复杂，学习成本比较高，系统根据用户的特征来赋予策略进行权限控制，随着用户的特征变化
(
如职级改变
、
调岗等
)
对应的策略变化最终权限自动变化
。
[0003](
一
)、
基于角色的访问控制
(Role
‑
based access control
，简称
RBAC)
，指的是通过用户的角色
(Role)
授权其相关权限，这实现了灵活的访问控制，相比直接授予用户权限，更加简单
、
高效
、
可扩展
。
我们只需要为该角色制定好权限后，给不同的用户分配不同的角色，后续只需要修改角色的权限，就能自动修改角色内所有用户的权限
。
[0004]RBAC
同时存在问题：
[0005]1、
粗粒度和静态
:RBAC
仅根据用户的角色限制授权，忽略其他属性
。
它有固定的访问权限，不会自动更新
(
例如
:
人员调岗，职级变动等，需要人工调整角色来改变权限
)
；
[0006]2、
角色爆发
:
随着企业的成长和业务日益复杂，定义了许多相识但略有不同的角色，随着时间累积的角色数量越来越多，运维难度加大，往往只有角色的增加和变更，没有及时删除，从而产生安全风险以及审计问题
。
[0007](
二
)、
基于策略的访问控制
(Policy Based Access Control
，简称
PBAC)
，是一种将角色和属性与逻辑结合以创建灵活的动态控制策略的方法
。PBAC
具有细粒度和粗粒度的灵活性，是给某一类特征用户赋予权限
。
支持环境和上下文控制，因此可以设置策略在特定时间和特定条件授予对资源的访问权，甚至评估身份和资源之间的关系
。PBAC
弥补了
RBAC
的安全漏洞，增强数据安全，能快速根据用户的特征属性变化自动变更
。
[0008]PBAC
存在问题：
[0009]1、
上手复杂，如果业务情景复杂，需要配置的策略非常多，初始化难度会加大；
[0010]2、
权限配置不直观，运维者的要求相对较高，需要有一定的培训和学习成本；
[0011]3、
需要用
DSL
语言
(
技术框架
antlr4)
，开发周期相对较长；
[0012]在大数据环境下，企业数字化转型，各种数据中台应运而生，但是权限控制还未能达到高效
、
简便且降低学习和运维成本
。
针对信息资源的分级，需要根据信息内容确定，目前尚无科学的方法和范式支撑构建信息内容的数学模型，因此很难制定出通用产品，需要针对各个企业做定制化设计开发
。
[0013]有鉴于此，提出一种基于资源分级分类和用户特征的权限控制的方法及系统是非常具有意义的
。

技术实现思路

[0014]为了解决现有在大数据环境下，企业数字化转型，各种数据中台应运而生，但是权限控制还未能达到高效
、
简便且降低学习和运维成本等问题，本专利技术提供一种基于资源分级分类和用户特征的权限控制的方法及系统，以解决上述存在的技术缺陷问题
。
[0015]第一方面，本专利技术提出了一种基于资源分级分类和用户特征的权限控制的方法，该方法包括如下步骤：
[0016]数据采集：响应于对实体扫描进行数据采集，建立数据使用情况表，所述数据使用情况表含有表名以及表结构信息；
[0017]数据分级分类：将采集的数据根据预设规则进行分级分类；
[0018]系统配置：根据需求创建角色，选择对应菜单下的模块并配置模块的资源信息，配置模块包括四块分类内容：常用规则；表分类
、
表分级
、
字段分类
、
字段分级；数据范围；资源目录；
[0019]权限策略缓存：策略中心提前整理好权限的缓存信息；
[0020]策略解析器：权限控制中心将配置的信息转换为通用的策略语言后，每个业务应用需要对于下发的策略信息进行解读，最终到数据权限控制；
[0021]接口请求带有埋点信息：每个页面请求的信息都必须带有埋点，带有菜单路径，各个服务根据上下文的权限控制信息以及埋点信息，确定当前用户身份，获取对应策略信息；
[0022]权限监听：权限控制中心监听用户特征变化情况，给其重新的更新权限，并且在特征进行不符合常规的变化中，给予预警
。
[0023]优选的，还包括：
[0024]不认为埋点是可信的，则会比对用户是否有点位的权限进行校验，如果没有权限则直接返回
。
[0025]进一步优选的，权限监听还包括：
[0026]若某用户拥有模块资源的权限，原本几乎没有使用但是突然频繁调用，也会进行预警，或者直接关闭权限
。
[0027]进一步优选的，权限策略缓存还包括：
[0028]某些规则无法直接叠加的，同时在最终查询的时候容易影响性能，策略中心采用通过将不同的规则转换为人和组织信息，变成最简单的规则直接叠加的水平权限策略；
[0029]针对字段在业务的显示，使用投票器机制找到数据对应归属的数据范围来控制字段的显示，后续通过添加越来越多的投票器打造出更多和合并可能性的垂直权限策略
。
[0030]进一步优选的，策略解析器还包括：
[0031]策略解析器提供水平解析和垂直解析两类解读的方式，各个应用如果不使用默认解析器，则可结合业务自行实现对应解析器来对策略进行解读
。
[0032]进一步优选的，数据的分级分类包括
:
[0033]采用线分类法为主，面分类法为辅的混合分类法方式，按照数据资源的业务属性和安全隐私保护属性对数据资源进行分类，将数据资源表从低到高分为公开一级
、
一般二级
、
敏感三级
、
重要四级以及核心五级五个级别；
[0034]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于资源分级分类和用户特征的权限控制的方法，其特征在于，该方法包括如下步骤：数据采集：响应于对实体扫描进行数据采集，建立数据使用情况表，所述数据使用情况表含有表名以及表结构信息；数据分级分类：将采集的数据根据预设规则进行分级分类；系统配置：根据需求创建角色，选择对应菜单下的模块并配置模块的资源信息，配置模块包括四块分类内容：常用规则；表分类
、
表分级
、
字段分类
、
字段分级；数据范围；资源目录；权限策略缓存：策略中心提前整理好权限的缓存信息；策略解析器：权限控制中心将配置的信息转换为通用的策略语言后，每个业务应用需要对于下发的策略信息进行解读，最终到数据权限控制；接口请求带有埋点信息：每个页面请求的信息都必须带有埋点，带有菜单路径，各个服务根据上下文的权限控制信息以及埋点信息，确定当前用户身份，获取对应策略信息；权限监听：权限控制中心监听用户特征变化情况，给其重新的更新权限，并且在特征进行不符合常规的变化中，给予预警
。2.
根据权利要求1所述的基于资源分级分类和用户特征的权限控制的方法，其特征在于，还包括：不认为埋点是可信的，则会比对用户是否有点位的权限进行校验，如果没有权限则直接返回
。3.
根据权利要求2所述的基于资源分级分类和用户特征的权限控制的方法，其特征在于，权限监听还包括：若某用户拥有模块资源的权限，原本几乎没有使用但是突然频繁调用，也会进行预警，或者直接关闭权限
。4.
根据权利要求3所述的基于资源分级分类和用户特征的权限控制的方法，其特征在于，权限策略缓存还包括：某些规则无法直接叠加的，同时在最终查询的时候容易影响性能，策略中心采用通过将不同的规则转换为人和组织信息，变成最简单的规则直接叠加的水平权限策略；针对字段在业务的显示，使用投票器机制找到数据对应归属的数据范围来控制字段的显示，后续通过添加越来越多的投票器打造出更多和合并可能性的垂直权限策略
。5.
根据权利要求4所述的基于资源分级分类和用户特征的权限控制的方法，其特征在于，策略解析器还包括：策略解析器提供水平解析和垂直解析两类解读的方式，各个应用如果不使用默认解析器，则可结合业务自行实现对应解析器来对策略进行解读
。6.
根据权利要求5所述的基于资源分级分类和用户特征的权限控制的方法，其特征在于，数据的分级分类包括
:
采用线分类法为主，面分类法为辅的混合分类法方式，按照数据资源的业务属性和安全隐私保护属性对数据资源进行分类，将数据资源表从低到高分为公开一级
、
一般二级
、
敏感三级
、
重要四级以及核心五级五个级别；字段在资源表的基础上根据数据受到滥用

【专利技术属性】
技术研发人员：邓祖良，林彩样，罗雅英，栾江霞，侯龙滨，余凌杰，石春云，康锦锋，高强，王宇翔，
申请(专利权)人：厦门市美亚柏科信息股份有限公司，
类型：发明
国别省市：