基于角色和數(shù)據(jù)項(xiàng)的訪問(wèn)控制方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域,尤其涉及一種基于角色和數(shù)據(jù)項(xiàng)的訪問(wèn)控制方法及 裝置�����。
【背景技術(shù)】
[0002] 當(dāng)今社會(huì)��,網(wǎng)絡(luò)技術(shù)的日益成熟和通信技術(shù)的飛速發(fā)展��,越來(lái)越多的信息被數(shù)字 化并在網(wǎng)絡(luò)間進(jìn)行廣泛傳播�,隨著信息數(shù)據(jù)量的不斷增加,基于大數(shù)據(jù)的分析利用和數(shù)據(jù) 挖掘技術(shù)也正在進(jìn)行越來(lái)越廣泛的研究和發(fā)展�,并已經(jīng)取得了大量的階段性研究成果,也 正是由于這些基于海量數(shù)據(jù)的分析整合利用�����,人們對(duì)于數(shù)據(jù)傳播和挖掘過(guò)程中的數(shù)據(jù)隱私 問(wèn)題引起了廣泛的重視,也日益成為大數(shù)據(jù)治理中的重點(diǎn)問(wèn)題���,人們對(duì)于如何保證數(shù)據(jù)利 用的數(shù)據(jù)隱私安全和安全訪問(wèn)控制問(wèn)題提出了新的要求�,傳統(tǒng)的數(shù)據(jù)訪問(wèn)控制方式也面臨 著新的問(wèn)題����。
[0003] 目前傳統(tǒng)的訪問(wèn)控制方式主要有三種:自主訪問(wèn)控制(DiscretionaryAccess Control,DAC)、強(qiáng)制訪問(wèn)控制(MandatoryAccessControl,MAC)以及基于角色的訪問(wèn)控制 (Role-BasedAccessControl,RBAC)����。自主訪問(wèn)控制的基本思想是資源的所有者(或者創(chuàng) 建者)可以任意規(guī)定哪些用戶享有對(duì)資源的訪問(wèn)權(quán)限。強(qiáng)制訪問(wèn)控制是通過(guò)對(duì)系統(tǒng)主體和 客體設(shè)置不同的安全級(jí)別���,通過(guò)比較主體和客體的安全級(jí)別來(lái)決定主體對(duì)客體操作的可行 性�����?���;诮巧脑L問(wèn)控制方式是目前信息系統(tǒng)主流的訪問(wèn)控制方式�����,RBAC可以實(shí)現(xiàn)權(quán)限的 靈活管理����,增強(qiáng)了系統(tǒng)的擴(kuò)展性和適用性。
[0004] 然而�����,傳統(tǒng)的訪問(wèn)控制方式存在如下問(wèn)題:⑴自主訪問(wèn)控制方式可以對(duì)用戶提 供靈活易行的數(shù)據(jù)訪問(wèn)方式�,但同時(shí)也帶來(lái)了信息容易擴(kuò)散,不易管理的問(wèn)題���;(2)強(qiáng)制訪 問(wèn)控制方式提供了一個(gè)不可被繞過(guò)的安全保護(hù)層���,有效地防止了用戶濫用訪問(wèn)權(quán)限,強(qiáng)制 訪問(wèn)控制的應(yīng)用范圍有限���,一般只適用于等級(jí)觀念比較明顯的行業(yè)或領(lǐng)域�����;(3)基于角色 訪問(wèn)控制方式的策略缺乏一定的靈活性可能會(huì)導(dǎo)致由于數(shù)據(jù)的過(guò)度保護(hù)���,使得數(shù)據(jù)并不能 得到充分的利用�,從而失去其本身的價(jià)值�����,或者會(huì)導(dǎo)致用戶隱私數(shù)據(jù)的泄漏�����,對(duì)個(gè)人乃至國(guó) 家安全產(chǎn)生威脅��。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的目的旨在至少在一定程度上解決上述的技術(shù)問(wèn)題之一�����。
[0006] 為此�����,本發(fā)明的第一個(gè)目的在于提出一種基于角色和數(shù)據(jù)項(xiàng)的訪問(wèn)控制方法�。該 方法實(shí)現(xiàn)了對(duì)業(yè)務(wù)邏輯層面和功能性的訪問(wèn)控制,有效的避免用戶隱私信息的泄露��,同時(shí) 增強(qiáng)訪問(wèn)策略的靈活性,降低業(yè)務(wù)系統(tǒng)的管理復(fù)雜性��。
[0007] 本發(fā)明的第二個(gè)目的在于提出一種基于角色和數(shù)據(jù)項(xiàng)的訪問(wèn)控制裝置���。
[0008] 為了實(shí)現(xiàn)上述目的,本發(fā)明第一方面實(shí)施例的基于角色和數(shù)據(jù)項(xiàng)的訪問(wèn)控制方 法�����,包括:接收用戶基于角色權(quán)限發(fā)送的訪問(wèn)請(qǐng)求����,其中,所述基于角色權(quán)限發(fā)送的訪問(wèn)請(qǐng) 求中包括所述用戶的角色標(biāo)識(shí)信息����;根據(jù)所述基于角色權(quán)限發(fā)送的訪問(wèn)請(qǐng)求和預(yù)先保存的 數(shù)據(jù)項(xiàng)信息構(gòu)建基于數(shù)據(jù)項(xiàng)的訪問(wèn)請(qǐng)求,其中����,所述基于數(shù)據(jù)項(xiàng)的訪問(wèn)請(qǐng)求中包括角色標(biāo) 識(shí)信息和數(shù)據(jù)項(xiàng)信息;根據(jù)所述基于數(shù)據(jù)項(xiàng)的訪問(wèn)請(qǐng)求獲得對(duì)應(yīng)的數(shù)據(jù)項(xiàng)�,并返回所述數(shù) 據(jù)項(xiàng)。
[0009] 根據(jù)本發(fā)明實(shí)施例的基于角色和數(shù)據(jù)項(xiàng)的訪問(wèn)控制方法��,接收用戶基于角色權(quán)限 發(fā)送的訪問(wèn)請(qǐng)求,基于角色權(quán)限發(fā)送的訪問(wèn)請(qǐng)求中包括用戶的角色標(biāo)識(shí)信息�����;根據(jù)基于角 色權(quán)限發(fā)送的訪問(wèn)請(qǐng)求和預(yù)先保存的數(shù)據(jù)項(xiàng)信息構(gòu)建基于數(shù)據(jù)項(xiàng)的訪問(wèn)請(qǐng)求����,其中,基于 數(shù)據(jù)項(xiàng)的訪問(wèn)請(qǐng)求中包括角色標(biāo)識(shí)信息和數(shù)據(jù)項(xiàng)信息����;根據(jù)基于數(shù)據(jù)項(xiàng)的訪問(wèn)請(qǐng)求獲得對(duì) 應(yīng)的數(shù)據(jù)項(xiàng),并返回?cái)?shù)據(jù)項(xiàng)����,由此,實(shí)現(xiàn)了對(duì)業(yè)務(wù)邏輯層面和功能性的訪問(wèn)控制��,有效的避 免用戶隱私信息的泄露�����,同時(shí)增強(qiáng)訪問(wèn)策略的靈活性���,降低業(yè)務(wù)系統(tǒng)的管理復(fù)雜性��。
[0010] 根據(jù)本發(fā)明的一個(gè)實(shí)施例�����,所述根據(jù)所述基于數(shù)據(jù)項(xiàng)的訪問(wèn)請(qǐng)求獲得對(duì)應(yīng)的數(shù)據(jù) 項(xiàng)��,并返回對(duì)應(yīng)的數(shù)據(jù)項(xiàng)具體包括:根據(jù)所述角色標(biāo)識(shí)信息從角色權(quán)限表中查找數(shù)據(jù)項(xiàng)的 權(quán)限��,并根據(jù)所獲得權(quán)限結(jié)果對(duì)所述數(shù)據(jù)項(xiàng)進(jìn)行處理�����;如果當(dāng)前角色有權(quán)查看所述數(shù)據(jù)項(xiàng)����, 則返回所述數(shù)據(jù)項(xiàng)�����;
[0011] 根據(jù)本發(fā)明的一個(gè)實(shí)施例���,所述控制方法還包括:如果當(dāng)前角色無(wú)權(quán)查看所述數(shù) 據(jù)項(xiàng)�����,則返回訪問(wèn)受限提示��。
[0012] 根據(jù)本發(fā)明的一個(gè)實(shí)施例��,在所述接收用戶基于角色權(quán)限發(fā)送的訪問(wèn)請(qǐng)求之前��, 所述控制方法還包括:建立并保存角色權(quán)限表�����,其中����,所述角色權(quán)限表中包括角色、數(shù)據(jù)表 和操作權(quán)限的對(duì)應(yīng)關(guān)系���。
[0013] 根據(jù)本發(fā)明的一個(gè)實(shí)施例�����,在所述根據(jù)所述角色標(biāo)識(shí)信息從角色權(quán)限表中查找數(shù) 據(jù)項(xiàng)的權(quán)限之前��,所述控制方法還包括:建立并保存所述角色數(shù)據(jù)項(xiàng)權(quán)限表�����,其中�����,所述角 色數(shù)據(jù)項(xiàng)權(quán)限表包含數(shù)據(jù)表����、數(shù)據(jù)項(xiàng)、角色和權(quán)限的對(duì)應(yīng)關(guān)系�����。
[0014] 根據(jù)本發(fā)明的一個(gè)實(shí)施例�����,所述控制方法還包括:按照預(yù)設(shè)屬性信息對(duì)數(shù)據(jù)項(xiàng)進(jìn) 行分類����,并根據(jù)分類結(jié)果設(shè)置對(duì)應(yīng)數(shù)據(jù)項(xiàng)的權(quán)限���,以及在所述角色數(shù)據(jù)項(xiàng)權(quán)限表中保存對(duì) 應(yīng)數(shù)據(jù)項(xiàng)的權(quán)限�����。
[0015] 其中��,在本發(fā)明的一個(gè)實(shí)施例中����,所述預(yù)設(shè)屬性信息包括標(biāo)識(shí)屬性、準(zhǔn)標(biāo)識(shí)屬性�、 敏感信息和非敏感信息。
[0016] 為了實(shí)現(xiàn)上述目的���,本發(fā)明第二方面實(shí)施例的電基于角色和數(shù)據(jù)項(xiàng)的訪問(wèn)控制裝 置�,包括:接收模塊�,用于接收用戶基于角色權(quán)限發(fā)送的訪問(wèn)請(qǐng)求,其中�����,所述基于角色權(quán)限 發(fā)送的訪問(wèn)請(qǐng)求中包括所述用戶的角色標(biāo)識(shí)信息�;構(gòu)建模塊,用于根據(jù)所述基于角色權(quán)限 發(fā)送的訪問(wèn)請(qǐng)求和預(yù)先保存的數(shù)據(jù)項(xiàng)信息構(gòu)建基于數(shù)據(jù)項(xiàng)的訪問(wèn)請(qǐng)求��,其中��,所述基于數(shù) 據(jù)項(xiàng)的訪問(wèn)請(qǐng)求中包括角色標(biāo)識(shí)信息和數(shù)據(jù)項(xiàng)信息���;處理模塊��,用于根據(jù)所述基于數(shù)據(jù)項(xiàng) 的訪問(wèn)請(qǐng)求獲得對(duì)應(yīng)的數(shù)據(jù)項(xiàng)���,并返回所述數(shù)據(jù)項(xiàng)�。
[0017] 根據(jù)本發(fā)明實(shí)施例的基于角色和數(shù)據(jù)項(xiàng)的訪問(wèn)控制方法��,接收用戶基于角色權(quán)限 發(fā)送的訪問(wèn)請(qǐng)求���,基于角色權(quán)限發(fā)送的訪問(wèn)請(qǐng)求中包括用戶的角色標(biāo)識(shí)信息�����;根據(jù)基于角 色權(quán)限發(fā)送的訪問(wèn)請(qǐng)求和預(yù)先保存的數(shù)據(jù)項(xiàng)信息構(gòu)建基于數(shù)據(jù)項(xiàng)的訪問(wèn)請(qǐng)求����,其中�,基于 數(shù)據(jù)項(xiàng)的訪問(wèn)請(qǐng)求中包括角色標(biāo)識(shí)信息和數(shù)據(jù)項(xiàng)信息�����;根據(jù)基于數(shù)據(jù)項(xiàng)的訪問(wèn)請(qǐng)求獲得對(duì) 應(yīng)的數(shù)據(jù)項(xiàng)�����,并返回?cái)?shù)據(jù)項(xiàng),由此�����,實(shí)現(xiàn)了對(duì)業(yè)務(wù)邏輯層面和功能性的訪問(wèn)控制�����,有效的避 免用戶隱私信息的泄露�,同時(shí)增強(qiáng)訪問(wèn)策略的靈活性,降低業(yè)務(wù)系統(tǒng)的管理復(fù)雜性�����。
[0018] 根據(jù)本發(fā)明的一個(gè)實(shí)施例����,所述處理模塊,具體用于:根據(jù)所述角色標(biāo)識(shí)信息從角 色權(quán)限表中查找數(shù)據(jù)項(xiàng)的權(quán)限���,并根據(jù)所獲得權(quán)限結(jié)果對(duì)所述數(shù)據(jù)項(xiàng)進(jìn)行處理�;如果當(dāng)前 角色有權(quán)查看所述數(shù)據(jù)項(xiàng),則返回所述數(shù)據(jù)項(xiàng)���;
[0019] 根據(jù)本發(fā)明的一個(gè)實(shí)施例���,所述控制裝置還包括:提示模塊,用于如果當(dāng)前角色無(wú) 權(quán)查看所述數(shù)據(jù)項(xiàng)��,則返回訪問(wèn)受限提示����。
[0020] 根據(jù)本發(fā)明的一個(gè)實(shí)施例,所述控制裝置還包括:第一保存模塊��,用于在所述接收 模塊接收用戶基于角色權(quán)限發(fā)送的訪問(wèn)請(qǐng)求之前����,建立并保存角色權(quán)限表,其中���,所述角色 權(quán)限表中包括角色����、數(shù)據(jù)表和操作權(quán)限的對(duì)應(yīng)關(guān)系��。
[0021] 根據(jù)本發(fā)明的一個(gè)實(shí)施例���,所述控制裝置還包括:第二保存模塊���,用于在所述處理 模塊根據(jù)所述角色標(biāo)識(shí)信息從角色權(quán)限表中查找數(shù)據(jù)項(xiàng)的權(quán)限之前,建立并保存所述角色 數(shù)據(jù)項(xiàng)權(quán)限表��,其中�,所述角色數(shù)據(jù)項(xiàng)權(quán)限表包含數(shù)據(jù)表、數(shù)據(jù)項(xiàng)���、角色和權(quán)限的對(duì)應(yīng)關(guān)系�����。
[0022] 根據(jù)本發(fā)明的一個(gè)實(shí)施例����,所述控制裝置還包括:預(yù)處理模塊�,用于按照預(yù)設(shè)屬性 信息對(duì)數(shù)據(jù)項(xiàng)進(jìn)行分類,并根據(jù)分類結(jié)果設(shè)置對(duì)應(yīng)數(shù)據(jù)項(xiàng)的權(quán)限�����,以及在所述角色數(shù)據(jù)項(xiàng) 權(quán)限表中保存對(duì)應(yīng)數(shù)據(jù)項(xiàng)的權(quán)限。
[0023] 其中��,在本發(fā)明的一個(gè)實(shí)施例中�����,所述預(yù)設(shè)屬性信息包括標(biāo)識(shí)屬性�、準(zhǔn)標(biāo)識(shí)屬性、 敏感信息和非敏感信息�����。
[0024] 本發(fā)明附加的方面和優(yōu)點(diǎn)將在下面的描述中部分給出�����,部分將從下面的描述中變 得明顯���,或通過(guò)本發(fā)明的實(shí)踐了解到�����。
【附圖說(shuō)明】
[0025] 本發(fā)明上述的和/或附加的方面和優(yōu)點(diǎn)從下面結(jié)合附圖對(duì)實(shí)施例的描述中將變 得明顯和容易理解��,其中���,
[0026]圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的基于角色和數(shù)據(jù)項(xiàng)的訪問(wèn)控制方法的流程圖。
[0027]圖2a是根據(jù)本發(fā)明一個(gè)具體實(shí)施例的基于角色和數(shù)據(jù)項(xiàng)的訪問(wèn)控制方法的流程 圖����。
[0028] 圖2b是根據(jù)本發(fā)明一個(gè)實(shí)施例的基于角色和數(shù)據(jù)項(xiàng)的訪問(wèn)控制框架示意圖。
[0029]圖3是根據(jù)本發(fā)明一個(gè)實(shí)施例的基于角色和數(shù)據(jù)項(xiàng)的訪問(wèn)控制裝置的結(jié)構(gòu)示意 圖�。
[0030]圖4是根據(jù)本發(fā)明另一個(gè)實(shí)施例的基于角色和數(shù)據(jù)項(xiàng)的訪問(wèn)控制裝置的結(jié)構(gòu)示 意圖。
【具體實(shí)施方式】
[0031] 下面詳細(xì)描述本發(fā)明的實(shí)施例����,所述實(shí)施例的示例在附圖中示出,其中自始至終 相同或類似的標(biāo)號(hào)表示相同或類似的元件或具有相同或類似功能的元件����。下面通過(guò)參考附 圖描述的實(shí)施例是示例性的,旨在用于解釋本發(fā)明�,而不能理解為對(duì)本發(fā)明的限制。
[0032] 下面參考附圖描述本發(fā)明實(shí)施例的基于角色和數(shù)據(jù)項(xiàng)的訪問(wèn)控制方法及裝置�。
[0033]圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的基于角色和數(shù)據(jù)項(xiàng)的訪問(wèn)控制方法的流程圖。 [0034]如圖1所示����,該基于角色和數(shù)據(jù)項(xiàng)的訪問(wèn)控制方法可以包括:
[