【技术实现步骤摘要】
本专利技术涉及数据访问、数据权限控制及数据处理,尤其涉及一种基于对象属性匹配的数据访问控制方法及系统。
技术介绍
1、数据权限控制是一种对资源的保护,一般包括对系统用户进行数据资源可见性的控制,它根据用户角色、权限等条件,决定用户可以访问的目标数据。在实现数据权限控制时,需要结合具体业务需求,进行精细化的授权管理和策略制定。在一些特定的应用场景下,例如政务数据应用领域,对数据权限控制的要求会有更高的要求,特别是对于数据共享、数据交易过程,数据提供者往往不会直接提供全量数据,而是需要根据数据使用方的实际需求与权限,精准地提供最小范围的数据满足使用方需求,以尽可能保护数据安全性。
2、现有的数据权限与访问控制通常基于数据服务代理技术,大多采用平台转发的模式,即根据请求参数,将上游数据转发给数据消费者,而平台没有进行更细致的权限控制。现有技术主要是对数据集合的权限分配及访问控制,有些技术是将数据集合绑定角色,再将角色分配给用户,从而令用户拥有数据操作权限,强调鉴权的时机、整个数据的权限维护,还有些技术是使用权限树对数据集合进行分级约束,最终目的也是保证数据可以被用户合法操作。
3、但是,对于更高要求的数据权限控制需求,例如限定至提供某一时间段内的数据、某几个字段的数据或某几行的数据,以及对不同数据需求方的授权范围存在差异定义的情形,要求数据权限控制必须支持细粒度授权,甚至是数据记录级的授权。而现有技术通过判断访问端的权限,并根据权限查询对应数据反馈请求的处理过程中,其权限一般对应功能权限授权,即用户与数据功能的
技术实现思路
1、为解决现有技术的不足,本专利技术提出一种基于对象属性匹配的数据访问控制方法及系统,通过数据访问主体的具体个体信息、所属的业务角色身份、所属组织机构、能访问数据的等级等来定义数据访问控制模型,数据控制可支持层级控制及内容控制,数据访问可以实现支持友好型及严格型等不同模式,从策略上及多种授权组合上来实现细粒度数据访问控制。
2、为实现以上目的,本专利技术所采用的技术方案包括:
3、一种基于对象属性匹配的数据访问控制方法,其特征在于,包括:
4、s1、设定访问控制模式和层级控制模式;
5、s2、生成访问对象数据;
6、s3、配置访问主体,所述访问主体至少包括用户属性和安全属性;
7、s4、配置访问关系,所述访问关系包括访问许可限制和操作权限限制,将所述访问关系与对象属性标签进行关联,以及将所述访问关系与用户属性和安全属性中的任意一种或两种进行关联;
8、s5、获取访问请求,依据访问请求提取请求主体和目标数据;
9、s6、使用访问主体匹配请求主体,获得请求用户属性和请求安全属性;使用访问对象数据匹配目标数据;
10、s7、依据请求用户属性、请求安全属性和目标数据匹配对应的请求访问关系;
11、s8、依据请求访问关系执行访问操作并反馈访问请求。
12、进一步地,所述访问控制模式包括禁止访问设定控制模式和允许访问设定控制模式;
13、所述层级控制模式包括高层级优先控制模式和低层级优先控制模式。
14、进一步地,所述生成访问对象数据包括:
15、接入数据源,获取元数据;
16、对元数据执行解析操作生成第一结构数据;
17、依据预设访问关系配置并存储第一结构数据,生成访问对象数据。
18、进一步地,所述步骤s7包括:
19、依据请求用户属性和/或请求安全属性匹配访问关系,判断访问许可限制是否为允许;
20、当判断访问许可限制为允许时,进一步判断操作权限限制是否匹配访问请求;
21、当判断操作权限限制匹配访问请求时,生成对应的请求访问关系。
22、进一步地,所述步骤s7还包括:
23、当判断访问许可限制不为允许时,中止访问操作并反馈第一错误信息,所述第一错误信息包括访问主体错误信息;
24、当判断操作权限限制不匹配访问请求时,中止访问操作并反馈第二错误信息,所述第二错误信息包括操作权限错误信息。
25、进一步地,所述方法还包括:
26、使用请求访问关系生成快捷配置项;
27、获取访问请求,判断访问请求是否匹配快捷配置项;
28、当判断访问请求匹配快捷配置项时,使用快捷配置项执行访问操作并反馈访问请求。
29、本专利技术还涉及一种基于对象属性匹配的数据访问控制系统,其特征在于,包括:
30、第一模式设定模块,用于设定访问控制模式和层级控制模式;
31、访问对象管理模块,用于生成访问对象数据;
32、访问主体管理模块,用于配置访问主体,所述访问主体至少包括用户属性和安全属性;
33、访问关系管理模块,用于配置访问关系,将所述访问关系与访问对象数据进行关联,以及将所述访问关系与用户属性和安全属性中的任意一种或两种进行关联;
34、请求预处理模块,用于依据访问请求提取请求主体和目标数据,使用访问主体匹配请求主体,获得请求用户属性和请求安全属性;使用访问对象数据匹配目标数据;
35、访问关系匹配模块,用于依据请求用户属性、请求安全属性和目标数据匹配对应的请求访问关系;
36、请求执行模块,用于依据请求访问关系执行访问操作并反馈访问请求。
37、本专利技术还涉及一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法。
38、本专利技术还涉及一种电子设备,其特征在于,包括处理器和存储器;
39、所述存储器,用于存储访问对象数据、访问主体和访问关系;
40、所述处理器,用于通过调用访问对象数据、访问主体和访问关系,执行上述的方法。
41、本专利技术还涉及一种计算机程序产品,包括计算机程序和/或指令,其特征在于,该计算机程序和/或指令被处理器执行时实现上述方法的步骤。
42、本专利技术的有益效果为:
43、采用本专利技术所述基于对象属性匹配的数据访问控制方法及系统,通过数据访问主体的具体个体信息、所属的业务角色身份、所属组织机构、能访问数据的等级等来定义数据访问控制模型,数据控制可支持层级控制及内容控制,数据访问可以实现支持友好型及严格型等不同模式,从策略上及多本文档来自技高网...
【技术保护点】
1.一种基于对象属性匹配的数据访问控制方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,所述访问控制模式包括禁止访问设定控制模式和允许访问设定控制模式;
3.如权利要求1所述的方法,其特征在于,所述生成访问对象数据包括:
4.如权利要求1所述的方法,其特征在于,所述步骤S7包括:
5.如权利要求4所述的方法,其特征在于,所述步骤S7还包括:
6.如权利要求1所述的方法,其特征在于,所述方法还包括:
7.一种基于对象属性匹配的数据访问控制系统,其特征在于,包括:
8.一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法。
9.一种电子设备,其特征在于,包括处理器和存储器;
10.一种计算机程序产品,包括计算机程序和/或指令,其特征在于,该计算机程序和/或指令被处理器执行时实现权利要求1至6中任一项所述方法的步骤。
【技术特征摘要】
1.一种基于对象属性匹配的数据访问控制方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,所述访问控制模式包括禁止访问设定控制模式和允许访问设定控制模式;
3.如权利要求1所述的方法,其特征在于,所述生成访问对象数据包括:
4.如权利要求1所述的方法,其特征在于,所述步骤s7包括:
5.如权利要求4所述的方法,其特征在于,所述步骤s7还包括:
6.如权利要求1所述的方法,其特征在于,所...
【专利技术属性】
技术研发人员:刘利民,王成亮,
申请(专利权)人:航天网安技术深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。