基于角色和數(shù)據(jù)項的訪問控制方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計算機技術(shù)領(lǐng)域�,尤其涉及一種基于角色和數(shù)據(jù)項的訪問控制方法及 裝置。
【背景技術(shù)】
[0002] 當今社會��,網(wǎng)絡(luò)技術(shù)的日益成熟和通信技術(shù)的飛速發(fā)展����,越來越多的信息被數(shù)字 化并在網(wǎng)絡(luò)間進行廣泛傳播,隨著信息數(shù)據(jù)量的不斷增加�����,基于大數(shù)據(jù)的分析利用和數(shù)據(jù) 挖掘技術(shù)也正在進行越來越廣泛的研究和發(fā)展�����,并已經(jīng)取得了大量的階段性研究成果�����,也 正是由于這些基于海量數(shù)據(jù)的分析整合利用�,人們對于數(shù)據(jù)傳播和挖掘過程中的數(shù)據(jù)隱私 問題引起了廣泛的重視���,也日益成為大數(shù)據(jù)治理中的重點問題�,人們對于如何保證數(shù)據(jù)利 用的數(shù)據(jù)隱私安全和安全訪問控制問題提出了新的要求,傳統(tǒng)的數(shù)據(jù)訪問控制方式也面臨 著新的問題��。
[0003] 目前傳統(tǒng)的訪問控制方式主要有三種:自主訪問控制(DiscretionaryAccess Control,DAC)��、強制訪問控制(MandatoryAccessControl,MAC)以及基于角色的訪問控制 (Role-BasedAccessControl,RBAC)��。自主訪問控制的基本思想是資源的所有者(或者創(chuàng) 建者)可以任意規(guī)定哪些用戶享有對資源的訪問權(quán)限����。強制訪問控制是通過對系統(tǒng)主體和 客體設(shè)置不同的安全級別,通過比較主體和客體的安全級別來決定主體對客體操作的可行 性����。基于角色的訪問控制方式是目前信息系統(tǒng)主流的訪問控制方式�,RBAC可以實現(xiàn)權(quán)限的 靈活管理,增強了系統(tǒng)的擴展性和適用性����。
[0004] 然而,傳統(tǒng)的訪問控制方式存在如下問題:⑴自主訪問控制方式可以對用戶提 供靈活易行的數(shù)據(jù)訪問方式��,但同時也帶來了信息容易擴散�,不易管理的問題;(2)強制訪 問控制方式提供了一個不可被繞過的安全保護層��,有效地防止了用戶濫用訪問權(quán)限,強制 訪問控制的應(yīng)用范圍有限���,一般只適用于等級觀念比較明顯的行業(yè)或領(lǐng)域����;(3)基于角色 訪問控制方式的策略缺乏一定的靈活性可能會導(dǎo)致由于數(shù)據(jù)的過度保護�,使得數(shù)據(jù)并不能 得到充分的利用,從而失去其本身的價值����,或者會導(dǎo)致用戶隱私數(shù)據(jù)的泄漏,對個人乃至國 家安全產(chǎn)生威脅���。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的目的旨在至少在一定程度上解決上述的技術(shù)問題之一���。
[0006] 為此,本發(fā)明的第一個目的在于提出一種基于角色和數(shù)據(jù)項的訪問控制方法����。該 方法實現(xiàn)了對業(yè)務(wù)邏輯層面和功能性的訪問控制,有效的避免用戶隱私信息的泄露���,同時 增強訪問策略的靈活性���,降低業(yè)務(wù)系統(tǒng)的管理復(fù)雜性。
[0007] 本發(fā)明的第二個目的在于提出一種基于角色和數(shù)據(jù)項的訪問控制裝置��。
[0008] 為了實現(xiàn)上述目的�����,本發(fā)明第一方面實施例的基于角色和數(shù)據(jù)項的訪問控制方 法����,包括:接收用戶基于角色權(quán)限發(fā)送的訪問請求,其中���,所述基于角色權(quán)限發(fā)送的訪問請 求中包括所述用戶的角色標識信息����;根據(jù)所述基于角色權(quán)限發(fā)送的訪問請求和預(yù)先保存的 數(shù)據(jù)項信息構(gòu)建基于數(shù)據(jù)項的訪問請求��,其中��,所述基于數(shù)據(jù)項的訪問請求中包括角色標 識信息和數(shù)據(jù)項信息��;根據(jù)所述基于數(shù)據(jù)項的訪問請求獲得對應(yīng)的數(shù)據(jù)項��,并返回所述數(shù) 據(jù)項。
[0009] 根據(jù)本發(fā)明實施例的基于角色和數(shù)據(jù)項的訪問控制方法��,接收用戶基于角色權(quán)限 發(fā)送的訪問請求�����,基于角色權(quán)限發(fā)送的訪問請求中包括用戶的角色標識信息�;根據(jù)基于角 色權(quán)限發(fā)送的訪問請求和預(yù)先保存的數(shù)據(jù)項信息構(gòu)建基于數(shù)據(jù)項的訪問請求,其中�,基于 數(shù)據(jù)項的訪問請求中包括角色標識信息和數(shù)據(jù)項信息;根據(jù)基于數(shù)據(jù)項的訪問請求獲得對 應(yīng)的數(shù)據(jù)項��,并返回數(shù)據(jù)項����,由此,實現(xiàn)了對業(yè)務(wù)邏輯層面和功能性的訪問控制��,有效的避 免用戶隱私信息的泄露��,同時增強訪問策略的靈活性���,降低業(yè)務(wù)系統(tǒng)的管理復(fù)雜性����。
[0010] 根據(jù)本發(fā)明的一個實施例,所述根據(jù)所述基于數(shù)據(jù)項的訪問請求獲得對應(yīng)的數(shù)據(jù) 項�����,并返回對應(yīng)的數(shù)據(jù)項具體包括:根據(jù)所述角色標識信息從角色權(quán)限表中查找數(shù)據(jù)項的 權(quán)限�,并根據(jù)所獲得權(quán)限結(jié)果對所述數(shù)據(jù)項進行處理�����;如果當前角色有權(quán)查看所述數(shù)據(jù)項����, 則返回所述數(shù)據(jù)項;
[0011] 根據(jù)本發(fā)明的一個實施例�,所述控制方法還包括:如果當前角色無權(quán)查看所述數(shù) 據(jù)項,則返回訪問受限提示��。
[0012] 根據(jù)本發(fā)明的一個實施例�����,在所述接收用戶基于角色權(quán)限發(fā)送的訪問請求之前���, 所述控制方法還包括:建立并保存角色權(quán)限表�,其中,所述角色權(quán)限表中包括角色��、數(shù)據(jù)表 和操作權(quán)限的對應(yīng)關(guān)系����。
[0013] 根據(jù)本發(fā)明的一個實施例,在所述根據(jù)所述角色標識信息從角色權(quán)限表中查找數(shù) 據(jù)項的權(quán)限之前�,所述控制方法還包括:建立并保存所述角色數(shù)據(jù)項權(quán)限表,其中���,所述角 色數(shù)據(jù)項權(quán)限表包含數(shù)據(jù)表�����、數(shù)據(jù)項���、角色和權(quán)限的對應(yīng)關(guān)系。
[0014] 根據(jù)本發(fā)明的一個實施例���,所述控制方法還包括:按照預(yù)設(shè)屬性信息對數(shù)據(jù)項進 行分類���,并根據(jù)分類結(jié)果設(shè)置對應(yīng)數(shù)據(jù)項的權(quán)限,以及在所述角色數(shù)據(jù)項權(quán)限表中保存對 應(yīng)數(shù)據(jù)項的權(quán)限。
[0015] 其中��,在本發(fā)明的一個實施例中���,所述預(yù)設(shè)屬性信息包括標識屬性����、準標識屬性���、 敏感信息和非敏感信息。
[0016] 為了實現(xiàn)上述目的��,本發(fā)明第二方面實施例的電基于角色和數(shù)據(jù)項的訪問控制裝 置���,包括:接收模塊�,用于接收用戶基于角色權(quán)限發(fā)送的訪問請求����,其中,所述基于角色權(quán)限 發(fā)送的訪問請求中包括所述用戶的角色標識信息����;構(gòu)建模塊,用于根據(jù)所述基于角色權(quán)限 發(fā)送的訪問請求和預(yù)先保存的數(shù)據(jù)項信息構(gòu)建基于數(shù)據(jù)項的訪問請求,其中�,所述基于數(shù) 據(jù)項的訪問請求中包括角色標識信息和數(shù)據(jù)項信息;處理模塊�,用于根據(jù)所述基于數(shù)據(jù)項 的訪問請求獲得對應(yīng)的數(shù)據(jù)項,并返回所述數(shù)據(jù)項���。
[0017] 根據(jù)本發(fā)明實施例的基于角色和數(shù)據(jù)項的訪問控制方法�,接收用戶基于角色權(quán)限 發(fā)送的訪問請求���,基于角色權(quán)限發(fā)送的訪問請求中包括用戶的角色標識信息�����;根據(jù)基于角 色權(quán)限發(fā)送的訪問請求和預(yù)先保存的數(shù)據(jù)項信息構(gòu)建基于數(shù)據(jù)項的訪問請求�����,其中�����,基于 數(shù)據(jù)項的訪問請求中包括角色標識信息和數(shù)據(jù)項信息�����;根據(jù)基于數(shù)據(jù)項的訪問請求獲得對 應(yīng)的數(shù)據(jù)項����,并返回數(shù)據(jù)項,由此���,實現(xiàn)了對業(yè)務(wù)邏輯層面和功能性的訪問控制���,有效的避 免用戶隱私信息的泄露,同時增強訪問策略的靈活性���,降低業(yè)務(wù)系統(tǒng)的管理復(fù)雜性。
[0018] 根據(jù)本發(fā)明的一個實施例����,所述處理模塊,具體用于:根據(jù)所述角色標識信息從角 色權(quán)限表中查找數(shù)據(jù)項的權(quán)限����,并根據(jù)所獲得權(quán)限結(jié)果對所述數(shù)據(jù)項進行處理;如果當前 角色有權(quán)查看所述數(shù)據(jù)項���,則返回所述數(shù)據(jù)項�����;
[0019] 根據(jù)本發(fā)明的一個實施例���,所述控制裝置還包括:提示模塊��,用于如果當前角色無 權(quán)查看所述數(shù)據(jù)項����,則返回訪問受限提示��。
[0020] 根據(jù)本發(fā)明的一個實施例�,所述控制裝置還包括:第一保存模塊,用于在所述接收 模塊接收用戶基于角色權(quán)限發(fā)送的訪問請求之前�,建立并保存角色權(quán)限表,其中�����,所述角色 權(quán)限表中包括角色�����、數(shù)據(jù)表和操作權(quán)限的對應(yīng)關(guān)系�。
[0021] 根據(jù)本發(fā)明的一個實施例�����,所述控制裝置還包括:第二保存模塊�����,用于在所述處理 模塊根據(jù)所述角色標識信息從角色權(quán)限表中查找數(shù)據(jù)項的權(quán)限之前�,建立并保存所述角色 數(shù)據(jù)項權(quán)限表�,其中��,所述角色數(shù)據(jù)項權(quán)限表包含數(shù)據(jù)表�����、數(shù)據(jù)項�、角色和權(quán)限的對應(yīng)關(guān)系����。
[0022] 根據(jù)本發(fā)明的一個實施例�,所述控制裝置還包括:預(yù)處理模塊,用于按照預(yù)設(shè)屬性 信息對數(shù)據(jù)項進行分類�,并根據(jù)分類結(jié)果設(shè)置對應(yīng)數(shù)據(jù)項的權(quán)限,以及在所述角色數(shù)據(jù)項 權(quán)限表中保存對應(yīng)數(shù)據(jù)項的權(quán)限�。
[0023] 其中����,在本發(fā)明的一個實施例中�,所述預(yù)設(shè)屬性信息包括標識屬性、準標識屬性�����、 敏感信息和非敏感信息。
[0024] 本發(fā)明附加的方面和優(yōu)點將在下面的描述中部分給出�����,部分將從下面的描述中變 得明顯���,或通過本發(fā)明的實踐了解到����。
【附圖說明】
[0025] 本發(fā)明上述的和/或附加的方面和優(yōu)點從下面結(jié)合附圖對實施例的描述中將變 得明顯和容易理解����,其中��,
[0026]圖1是根據(jù)本發(fā)明一個實施例的基于角色和數(shù)據(jù)項的訪問控制方法的流程圖����。
[0027]圖2a是根據(jù)本發(fā)明一個具體實施例的基于角色和數(shù)據(jù)項的訪問控制方法的流程 圖���。
[0028] 圖2b是根據(jù)本發(fā)明一個實施例的基于角色和數(shù)據(jù)項的訪問控制框架示意圖。
[0029]圖3是根據(jù)本發(fā)明一個實施例的基于角色和數(shù)據(jù)項的訪問控制裝置的結(jié)構(gòu)示意 圖�。
[0030]圖4是根據(jù)本發(fā)明另一個實施例的基于角色和數(shù)據(jù)項的訪問控制裝置的結(jié)構(gòu)示 意圖。
【具體實施方式】
[0031] 下面詳細描述本發(fā)明的實施例�����,所述實施例的示例在附圖中示出,其中自始至終 相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件�。下面通過參考附 圖描述的實施例是示例性的,旨在用于解釋本發(fā)明���,而不能理解為對本發(fā)明的限制。
[0032] 下面參考附圖描述本發(fā)明實施例的基于角色和數(shù)據(jù)項的訪問控制方法及裝置����。
[0033]圖1是根據(jù)本發(fā)明一個實施例的基于角色和數(shù)據(jù)項的訪問控制方法的流程圖�����。 [0034]如圖1所示�����,該基于角色和數(shù)據(jù)項的訪問控制方法可以包括:
[