CN114218605A - 数据访问控制方法、装置、设备及存储介质 - Google Patents

数据访问控制方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN114218605A
CN114218605A CN202111542460.3A CN202111542460A CN114218605A CN 114218605 A CN114218605 A CN 114218605A CN 202111542460 A CN202111542460 A CN 202111542460A CN 114218605 A CN114218605 A CN 114218605A
Authority
CN
China
Prior art keywords
data
access control
target service
data access
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111542460.3A
Other languages
English (en)
Inventor
苏晨
冯吉禹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Construction Bank Corp
Original Assignee
China Construction Bank Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Construction Bank Corp filed Critical China Construction Bank Corp
Priority to CN202111542460.3A priority Critical patent/CN114218605A/zh
Publication of CN114218605A publication Critical patent/CN114218605A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供一种数据访问控制方法、装置、设备及存储介质。该方法涉及数据安全技术领域,包括:接收数据访问控制请求,根据预设的基于属性的策略配置信息,确定访问用户是否有权限对目标业务数据进行第一数据操作,并返回访问控制响应,访问控制响应用于指示或拒绝访问用户的第一数据操作。本实施例的策略配置信息包括与以下至少一项的属性信息相关的执行策略:用户、业务数据、访问环境、业务上下文,执行策略包括允许和/或拒绝的数据操作。上述方案从多个维度对数据访问请求进行分析判断,提高了数据访问的安全性,降低数据泄露的风险。

Description

数据访问控制方法、装置、设备及存储介质
技术领域
本申请涉及数据安全技术领域,尤其涉及一种数据访问控制方法、装置、设备及存储介质。
背景技术
传统的数据安全手段,包括数据加密及边界访问控制。其中边界访问控制仅强调限制未获授权的用户获取数据,但并不关注有合法授权的用户如何使用数据,有数据泄露的潜在风险。在实际应用中,企业内部需要广泛使用的业务过程数据,例如客户数据、实时的生产经营数据、企业财务数据等,这类数据广泛流转于各类业务场景中,如何应对传统数据加密及边界访问控制手段的缺陷给企业带来的安全威胁,实现数据细粒度的访问控制,是目前亟待解决的问题。
发明内容
本申请实施例提供一种数据访问控制方法、装置、设备及存储介质,提高了数据访问的安全性,降低数据泄露的风险。
本申请实施例的第一方面提供一种数据访问控制方法,包括:
接收数据访问控制请求,所述数据访问控制请求用于访问用户请求对目标业务数据进行第一数据操作;
根据预设的基于属性的策略配置信息,确定所述访问用户是否有权限对所述目标业务数据进行第一数据操作;所述策略配置信息包括与以下至少一项的属性信息相关的执行策略:用户、业务数据、访问环境、业务上下文;
返回数据访问控制响应,所述数据访问控制响应用于指示允许或拒绝所述第一数据操作。
在本申请第一方面的一个可选实施例中,所述根据预设的基于属性的策略配置信息,确定所述访问用户是否有权限对所述目标业务数据进行第一数据操作,包括:
获取所述数据访问请求中所述访问用户、所述目标业务数据、当前访问环境、当前业务上下文的属性信息的至少一项,以及目标业务的策略配置信息;
根据所述访问用户、所述目标业务数据、所述当前访问环境、所述当前业务上下文的属性信息的至少一项,以及所述目标业务的策略配置信息,确定所述访问用户是否有权限对所述目标业务数据进行所述第一数据操作。
在本申请第一方面的一个可选实施例中,获取所述目标业务的策略配置信息,包括:
通过调用数据访问控制工具包获取所述目标业务的策略配置信息;不同的目标业务的策略配置信息对应不同的数据访问控制工具包。
在本申请第一方面的一个可选实施例中,所述目标业务数据存储于数据表,若确定所述访问用户有权限对所述目标业务数据进行第一数据操作,所述返回数据访问控制响应,包括:
对所述数据表进行数据过滤,生成过滤后的数据表;
返回所述数据访问控制响应,所述数据访问控制响应包括所述过滤后的数据表;所述过滤后的数据表仅展示所述目标业务数据。
在本申请第一方面的一个可选实施例中,所述对所述数据表进行数据过滤,生成过滤后的数据表,包括:
对所述数据表采用逐行数据属性分析方法进行数据过滤,和/或,对所述数据表采用逐列数据属性分析方法进行数据过滤,和/或,对所述数据表采用逐单元格数据属性分析方法进行数据过滤,生成所述过滤后的数据表。
在本申请第一方面的一个可选实施例中,若调用数据访问控制工具包失败,所述方法还包括:
返回未经数据过滤的数据表,并在日志中记录与所述数据访问控制请求相关的所有信息。
在本申请第一方面的一个可选实施例中,所述方法还包括:
接收数据访问控制更新包,更新所述数据访问控制工具包;所述数据访问控制更新包包括对与执行策略相关的以下至少一项属性信息的更新:
对用户的属性信息的新增、修改或删除;
对数据的属性信息的新增、修改或删除;
对访问环境的属性信息的新增、修改或删除;
对业务环节的属性信息的新增、修改或删除。
本申请实施例的第二方面提供一种数据访问控制装置,包括:
接收模块,用于接收数据访问控制请求,所述数据访问控制请求用于访问用户请求对目标业务数据进行第一数据操作;
处理模块,用于根据预设的基于属性的策略配置信息,确定所述访问用户是否有权限对所述目标业务数据进行第一数据操作;所述策略配置信息包括与以下至少一项的属性信息相关的执行策略:用户、业务数据、访问环境、业务上下文;
发送模块,用于返回数据访问控制响应,所述数据访问控制响应用于指示允许或拒绝所述第一数据操作。
本申请实施例的第三方面提供一种电子设备,包括:
存储器;
处理器;以及
计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如第一方面中任一项所述的方法。
本申请实施例的第四方面提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行以实现如第一方面中任一项所述的方法。
本申请实施例的第五方面提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现第一方面中任一项所述的方法。
本申请实施例提供一种数据访问控制方法、装置、设备及存储介质。其中,数据访问控制方法包括:接收数据访问控制请求,根据预设的基于属性的策略配置信息,确定访问用户是否有权限对目标业务数据进行第一数据操作,并返回访问控制响应,访问控制响应用于指示或拒绝访问用户的第一数据操作。本实施例的策略配置信息包括与以下至少一项的属性信息相关的执行策略:用户、业务数据、访问环境、业务上下文,执行策略包括允许和/或拒绝的数据操作。上述方案从多个维度对数据访问请求进行分析判断,提高了数据访问的安全性,降低数据泄露的风险。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的数据访问控制方法的场景示意图一;
图2为本申请实施例提供的数据访问控制方法的场景示意图二;
图3为本申请实施例提供的图1所示数据访问平台的架构示意图;
图4为本申请实施例提供的数据访问控制方法的流程示意图一;
图5为本申请实施例提供的数据访问控制方法的流程示意图二;
图6为本申请实施例提供的数据访问控制方法的流程示意图三;
图7为本申请实施例提供的数据访问控制装置的结构示意图;
图8为本申请实施例提供的电子设备的硬件结构图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例的说明书、权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述之外的顺序实施。
应当理解,本文中使用的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本申请实施例的描述中,术语“对应”可表示两者之间具有直接对应或间接对应的关系,也可以表示两者之间具有关联关系,也可以是指示与被指示、配置与被配置等关系。
数据是任何企业或组织最具价值的资产之一,包括财务往来记录、重要客户与潜在客户信息、产品生产信息等等。有效利用这些数据对企业或组织的发展产生积极作用。随着网络技术的不断发展,数据泄露问题日渐突出,企业或组织应采取必要措施,确保自身数据存储和访问的安全性。
示例性的,以金融行业为例,金融行业的信息安全直接关系地区经济的正常运行,金融机构不仅需要给用户提供可信服务环境,还需要确保用户数据操作信息和用户个人信息的安全性。
传统的数据安全手段包括数据加密以及边界访问控制,下面对这两种手段进行简要说明。
数据加密,是指提供数据在传输过程及静态存储的加密保护,在敏感数据被越权访问时仍然能够得到有效保护。另外,还可以设置一个安全的密钥管理系统,用于存储数据的加密密钥。
边界访问控制,包括基于角色的访问控制(role-based access control,RBAC),是通过对角色的访问所进行的控制,使权限与角色相关联,用户通过成为适当角色的成员而得到其角色的权限,可极大地简化权限管理。为了完成某项工作创建角色,用户可依其责任和资格分派相应的角色,角色可依新需求和系统合并赋予新权限,而权限也可根据需要从某角色中收回。该访问控制减小了授权管理的复杂性,降低管理开销,提高企业安全策略的灵活性。
RBAC模型的授权管理方法,主要有3种:
1)根据任务需要定义具体不同的角色。
2)为不同角色分配资源和操作权限。
3)给一个用户组(权限分配的单位与载体)指定一个角色。
示例性的,以金融行业为例,需要对金融机构内部涉及敏感数据的应用系统进行访问控制,限制机构员工获取非工作必要的敏感信息,确保机构员工对数据访问的权限最小化,同时又不影响其正常的业务操作。
传统的数据安全手段强调限制未获授权的用户获取数据,但并不关注有合法授权的用户如何使用数据,有数据泄露、篡改等潜在风险。例如,合法授权的用户1有权限获取数据a,如果不进行操作限制,用户1可能对数据a进行复制、修改、删除等操作。
随着企业的组织架构的不断优化,数据保护的场景变得更加复杂,现有的数据安全手段将无法满足企业的数据管控要求。例如,用户1为企业的销售人员,销售人员只能查看自己维护的客户的相关信息,在RBAC下,就需要更加细粒度去划分角色,例如客户a的销售人员,客户b的销售人员。又例如,如果考虑企业客户信息的安全性和隐私性,不希望用户1在离开企业后获取其客户的相关信息,在RBAC下,就需要通过虚拟角色来控制,如下班后给与其“不在办公室(out of office)”的角色,然后给这个角色最小的访问权限,这自然需要虚拟的角色与大量的动态控制。因此,如何实现在复杂场景下数据细粒度的访问控制,是目前数据安全领域亟待解决的问题之一。
针对上述问题,本申请实施例提供一种数据访问控制方法,可应用于各类应用系统,该方法主要采用基于属性的访问控制策略,通过对业务上下文、访问环境、访问用户、访问对象(如业务数据)等多种因素进行综合判断,实现动态、细粒度的访问控制。通过在应用系统中预存基于属性的策略配置信息,实现对数据访问控制请求中的用户操作权限的判断,若请求中的各项属性信息均满足预设要求,用户可执行数据访问控制请求中的数据操作,否则拒绝该数据访问控制请求。
上述方案从多个维度对数据访问请求进行分析判断,提高数据访问的安全性,降低数据泄露的风险。另外,由于策略配置信息更易于管理,降低了应用系统策略更新的难度,配置更加灵活。
在介绍本申请实施例的数据访问控制方法之前,首先对数据访问控制方法的应用场景进行简要介绍。
图1为本申请实施例提供的数据访问控制方法的场景示意图一。如图1所示,该场景包括至少两个终端设备,例如终端设备11和终端设备12,以及数据访问平台13。终端设备11和终端设备12分别与数据访问平台13通信连接。终端设备11为访问用户所属的终端设备,终端设备12为维护/管理数据访问平台13的管理员所属的终端设备。
作为一种示例,访问用户通过终端设备11向数据访问平台13发起数据访问控制请求,请求对某目标业务数据进行数据操作,例如对目标业务数据进行读取、修改、删除等操作。
作为一种示例,管理员通过终端设备12向数据访问平台13发送数据访问控制相关的策略配置信息。可选的,策略配置信息是基于属性的策略配置信息,例如包括用户、业务数据、访问环境等多个维度的属性信息。
作为一种示例,数据访问平台13接收来自终端设备12的策略配置信息,将策略配置信息存储于数据访问平台13的存储空间中。
作为一种示例,数据访问平台13包括一个或多个应用系统,数据访问平台13预存有每个应用系统对应的策略配置信息。示例性的,如图1所示,数据访问控制平台包括应用系统1、2、3,不同应用系统分别提供不同类型业务的数据服务。以金融行业为例,金融机构的数据访问平台包括活期存款类应用系统、定期存款类应用系统、贷款类应用系统、面向企业的金融产品应用系统、面向个人的金融产品应用系统等。
应理解,不同应用系统对应的业务数据、业务流程不同,相应的数据访问控制的策略配置信息也不同。
图2为本申请实施例提供的数据访问控制方法的场景示意图二。如图2所示,该场景包括至少两个终端设备,例如终端设备11和终端设备12,数据访问平台13以及策略管理服务器14。终端设备11与数据访问平台13通信连接,终端设备13与策略管理服务器14通信连接。终端设备11为访问用户所属的终端设备,终端设备12为维护/管理数据访问平台13的管理员所属的终端设备。
作为一种示例,管理员通过终端设备12向策略管理服务器14发送数据访问控制相关的策略配置信息。数据访问平台13定期或按需从策略管理服务器14获取策略配置信息的数据同步。
图3为本申请实施例提供的图1所示数据访问平台的架构示意图。如图3所示,数据访问平台包括数据访问控制层、平台配置管理层以及应用数据接口访问控制层。
数据访问控制层为数据访问平台提供执行数据过滤的功能,通过定期或按需的方式从策略管理服务器获取数据访问平台各个应用系统的配置信息、策略信息、策略执行相关的其他数据信息(如图3所示的数据访问控制工具包1、2、3),并执行数据过滤。数据访问控制层提供了健壮的容错机制,在任何执行出现问题的时候,不对数据进行过滤,以确保业务不会因为数据过滤程序的问题而终止。
平台配置管理层为平台运维管理员提供了公共访问控制策略管理、应用管理、属性分级分类管理、属性动态脱敏规则管理、数据同步管理功能,为审计管理员提供了审计日志查询功能。
应用数据接口访问控制层为应用管理员提供了开发接口管理、接口调用管理、应用访问控制策略管理、访问控制执行监控、应用配置管理功能。应用数据访问控制管理以应用系统为单元,应用系统是一个独立的信息系统,由应用运维团队及业务人员负责数据访问控制策略的制定与管理。
下面通过具体实施例对本申请实施例提供的技术方案进行详细说明。需要说明的是,本申请实施例提供的技术方案可以包括以下内容中的部分或全部,下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
图4为本申请实施例提供的数据访问控制方法的流程示意图一。如图4所示,本实施例的数据访问控制方法包括以下步骤:
步骤201、接收数据访问控制请求,数据访问控制请求用于访问用户请求对目标业务数据进行第一数据操作。
其中,目标业务数据是数据访问平台中某一应用系统的某一业务环节中的某项数据,对目标业务数据的第一数据操作包括读操作、写操作、修改操作、删除操作、拷贝操作等。
需要说明的是,本申请实施例对第一数据操作的类型不作具体限定。为了便于理解,下文实施例以读操作为例进行方案说明。
示例性的,以金融行业为例,金融机构的数据访问平台提供贷款业务,柜台人员为客户更新贷款数据,当前业务环节为查询客户贷款额,柜台人员发起数据访问控制请求,用于请求查询贷款余额,相应的第一数据操作为读操作。
步骤202、根据预设的基于属性的策略配置信息,确定访问用户是否有权限对目标业务数据进行第一数据操作。
策略配置信息包括与以下至少一项的属性信息相关的执行策略:用户、业务数据、访问环境、业务上下文。即,策略配置信息包括用户的属性信息、业务数据的属性信息、访问环境的属性信息、业务上下文的属性信息的至少一项,以及与上述至少一项属性信息对应的执行策略。执行策略包括允许,和/或,拒绝的数据操作。
用户的属性信息,包括但不限于用户的岗位、角色、所在部门等。示例性的,以金融机构为例,访问用户可以是金融机构的柜台人员、客户经理、财务人员等,应理解不同职位的员工具有不同的数据访问权限。
业务数据的属性信息,包括但不限于业务数据的分级分类情况,例如个人金融数据C3、C2、C1等级等,其中C3等级的数据包括个人密码、凭证等,C2等级的数据包括如姓名、年龄、身份等用户信息,C1等级的数据包括如用户开户行、开户时间等。业务数据除了包括个人金融数据外,还可以包括统计数据(衍生数据),统计数据可以理解为对一定数量的个人金融数据的统计数据。
访问环境的属性信息,包括但不限于用户发起数据访问的渠道或地理位置。例如用户通过客户端、网页、柜台终端等发起数据访问控制请求,通过限制访问渠道确保数据安全。又例如设定物理范围,在设定的物理范围内可访问部分或全部业务数据,在设定的物理范围外禁止访问所有的业务数据。
业务上下文的属性信息,包括但不限于业务数据在业务流程中的环节位置,例如业务环节分为前期、中期、后期。应理解,同一访问用户在不同业务流程环节中的访问权限可能不同,因此通过设置业务上下文的属性信息,匹配正确的访问控制策略,可确保业务数据在各个业务环节的数据安全。
示例性的,表1通过表格形式示出基于属性的策略配置信息的示例内容。
基于表1的策略配置可知,根据实际应用需求,可动态调整多个维度属性信息的组合以及组合对应的执行策略。
表1
Figure BDA0003410993920000091
Figure BDA0003410993920000101
可选的,策略配置信息包括一个或多个应用系统的策略配置信息,不同应用系统的策略配置信息不同。作为一种示例,不同应用系统的策略配置信息分布式部署在数据访问平台中。
可选的,根据预设的基于属性的策略配置信息,确定访问用户是否有权限对目标业务数据进行第一数据操作,具体包括:根据目标业务对应的应用系统的策略配置信息,确定访问用户是否有权限对目标业务数据进行第一数据操作。
步骤203、返回数据访问控制响应,数据访问控制响应用于指示允许或拒绝第一数据操作。
本申请实施例示出的数据访问控制方法,通过接收数据访问控制请求,根据预设的基于属性的策略配置信息,确定访问用户是否有权限对目标业务数据进行第一数据操作,并返回访问控制响应,访问控制响应用于指示或拒绝访问用户的第一数据操作。本实施例的策略配置信息包括与以下至少一项的属性信息相关的执行策略:用户、业务数据、访问环境、业务上下文,执行策略包括允许和/或拒绝的数据操作。上述方案从多个维度对数据访问请求进行分析判断,提高了数据访问的安全性,降低数据泄露的风险。
图5为本申请实施例提供的数据访问控制方法的流程示意图二。如图5所示,本实施例的数据访问控制方法包括以下步骤:
步骤301、接收数据访问控制请求,数据访问控制请求用于访问用户请求对目标业务数据进行第一数据操作。
本步骤可参照上述实施例的步骤201,此处不再赘述。
步骤302、获取数据访问请求中访问用户、目标业务数据、当前访问环境、当前业务上下文的属性信息的至少一项。
访问用户的属性信息,包括但不限于访问用户的名称、职位、所在部门等。目标业务数据,包括但不限于目标业务数据的数据类型。当前访问环境的属性信息,包括但不限于访问用户当前发起数据访问的渠道或地理位置。当前业务上下文的属性信息,包括但不限于访问用户发起数据访问的业务数据在业务环节中的位置。
步骤303、获取目标业务的策略配置信息。
本实施例的一个可选实施例中,通过调用数据访问控制工具包获取目标业务的策略配置信息。每个目标业务的策略配置信息均可采用如表1所示的示例内容进行相应配置。
需要说明的是,不同的目标业务的策略配置信息对应不同的数据访问控制工具包,数据访问控制工具包分布式部署在数据访问平台中。如图1所示,数据访问平台包括一个或多个应用系统,不同的应用系统对应不同的业务或服务,每个应用系统对应一个数据访问控制工具包,应用系统通过调用其对应的数据访问控制工具包,获取应用系统目标业务的策略配置信息,进行数据访问控制。
步骤304、根据访问用户、目标业务数据、当前访问环境、当前业务上下文的属性信息的至少一项,以及目标业务的策略配置信息,确定访问用户是否有权限对目标业务数据进行第一数据操作。
步骤305、若确定访问用户有权限对目标业务数据进行第一数据操作,对目标业务数据进行数据过滤,返回数据访问控制响应,数据访问控制响应包括过滤后的目标业务数据。
本实施例的一个可选实施例中,若目标业务数据存储于数据表,返回的数据访问控制响应包括过滤后的数据表。
具体的,根据访问用户、目标业务数据、当前访问环境、当前业务上下文的属性信息的至少一项,以及目标业务的策略配置信息,确定访问用户有权限对目标业务数据进行第一数据操作(例如读操作),还需要对目标业务数据的数据表进行数据过滤,生成过滤后的数据表,过滤后的数据表仅展示目标业务数据,数据表的其他数据访问用户没有权限查看。
可选的,通过以下方式对数据表进行数据过滤,生成过滤后的数据表:
对目标业务数据的数据表采用逐行数据属性分析方法进行数据过滤;和/或,对目标业务数据的数据表采用逐列数据属性分析方法进行数据过滤;和/或,对目标业务数据的数据表采用逐单元格数据属性分析方法进行数据过滤。
示例性的,以金融机构为例,财务经理有权限查看所有账户持有人的信息。随着隐私保护机制的强化,需要对财务经理的数据访问权限进行调整,只允许财务经理查看账户持有人的部分信息。在确定财务经理有权限读取某数据表后,需要对数据表做进一步的数据过滤,确保数据访问安全。
图6为本申请实施例提供的数据访问控制方法的流程示意图三。如图6所示,数据访问平台的应用系统接收到数据访问控制请求后,调用数据访问控制工具包,执行数据访问控制。通过构造业务上下文、访问权限检查、行级数据访问控制、列级数据访问控制以及单元级数据访问控制,确定最终可返回的数据,实现更加细粒度的数据访问控制。
可选的,在一些实施例中,若数据访问平台的应用系统调用数据访问控制工具包失败,则返回未经数据过滤的数据表,并在日志中记录与数据访问控制请求相关的所有信息。可见,数据访问控制支持高容错机制,在数据访问控制失效时,将临时取消数据过滤操作,不会影响应用的正常运行,通过在日志中进行记录,为后期追溯审计保留凭据。
可选的,在一些实施例中,数据访问平台接收数据访问控制更新包,更新数据访问控制工具包。其中,数据访问控制更新包包括对与执行策略相关的以下至少一项属性信息的更新:
对用户的属性信息的新增、修改或删除;
对数据的属性信息的新增、修改或删除;
对访问环境的属性信息的新增、修改或删除;
对业务环节的属性信息的新增、修改或删除。
上述对策略配置信息的更新包括以下几种情况:对各个维度的属性信息进行调整,调整各个维度的属性信息的组合方式,增删某个维度的属性信息。由此可见,基于属性的策略配置大大降低了策略配置和更新的难度,且策略配置的更新并不影响平台正常的业务功能。
本申请实施例示出的数据访问控制方法采用基于属性的访问控制策略,根据访问用户、目标业务数据、访问环境、业务上下文等多种因素综合判断,实现动态、细粒度的数据访问控制。基于属性的访问控制具有即时生效的特点,策略改变或属性改变后访问控制的结果即时生效。基于属性的访问控制不受限于应用系统的数据存储技术,可应用到各业务系统中,促使业务部门可以更加便捷、安全的实现对业务数据中敏感信息的保护。
上文描述了本申请实施例提供的数据访问控制方法,下面将描述本申请实施例提供的数据访问控制装置。
本申请实施例可以根据上述方法实施例对数据访问控制装置进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以使用硬件的形式实现,也可以使用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。下面以使用对应各个功能划分各个功能模块为例进行说明。
图7为本申请实施例提供的数据访问控制装置的结构示意图。如图7所示,本实施例提供的数据访问控制装置400,包括:接收模块401,处理模块402以及发送模块403。
接收模块401,用于接收数据访问控制请求,所述数据访问控制请求用于访问用户请求对目标业务数据进行第一数据操作;
处理模块402,用于根据预设的基于属性的策略配置信息,确定所述访问用户是否有权限对所述目标业务数据进行第一数据操作;所述策略配置信息包括与以下至少一项的属性信息相关的执行策略:用户、业务数据、访问环境、业务上下文;
发送模块403,用于返回数据访问控制响应,所述数据访问控制响应用于指示允许或拒绝所述第一数据操作。
在本实施例的一个可选实施例中,数据访问控制装置还包括:获取模块;
获取模块,用于获取所述数据访问请求中所述访问用户、所述目标业务数据、当前访问环境、当前业务上下文的属性信息的至少一项,以及目标业务的策略配置信息;
处理模块402,用于根据所述访问用户、所述目标业务数据、所述当前访问环境、所述当前业务上下文的属性信息的至少一项,以及所述目标业务的策略配置信息,确定所述访问用户是否有权限对所述目标业务数据进行所述第一数据操作。
在本实施例的一个可选实施例中,获取模块,用于:
通过调用数据访问控制工具包获取所述目标业务的策略配置信息;不同的目标业务的策略配置信息对应不同的数据访问控制工具包。
在本实施例的一个可选实施例中,所述目标业务数据存储于数据表,若处理模块402确定所述访问用户有权限对所述目标业务数据进行第一数据操作,所述处理模块402,还用于:
对所述数据表进行数据过滤,生成过滤后的数据表;
所述发送模块403,用于返回所述数据访问控制响应,所述数据访问控制响应包括所述过滤后的数据表;所述过滤后的数据表仅展示所述目标业务数据。
在本实施例的一个可选实施例中,所述处理模块402,用于:
对所述数据表采用逐行数据属性分析方法进行数据过滤,和/或,对所述数据表采用逐列数据属性分析方法进行数据过滤,和/或,对所述数据表采用逐单元格数据属性分析方法进行数据过滤,生成所述过滤后的数据表。
在本实施例的一个可选实施例中,若所述获取模块调用数据访问控制工具包失败,所述发送模块403,用于返回未经数据过滤的数据表,所述处理模块402,用于在日志中记录与所述数据访问控制请求相关的所有信息。
在本实施例的一个可选实施例中,所述接收模块401,用于接收数据访问控制更新包;所述处理模块402,用于更新所述数据访问控制工具包。
其中,所述数据访问控制更新包包括对与执行策略相关的以下至少一项属性信息的更新:
对用户的属性信息的新增、修改或删除;
对数据的属性信息的新增、修改或删除;
对访问环境的属性信息的新增、修改或删除;
对业务环节的属性信息的新增、修改或删除。
本实施例提供的数据访问控制装置,可以执行上述任一方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图8为本申请实施例提供的电子设备的硬件结构图。如图8所示,本实施例提供的电子设备500,包括:
存储器501;
处理器502;以及
计算机程序;
其中,计算机程序存储在存储器501中,并被配置为由处理器502执行以实现上述任一方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
可选的,存储器501既可以是独立的,也可以跟处理器502集成在一起。当存储器501是独立于处理器502之外的器件时,电子设备500还包括:总线503,用于连接存储器501和处理器502。
本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器502执行以实现如前述任一方法实施例的技术方案。
本申请实施例提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如前述任一方法实施例的技术方案。
本申请实施例还提供了一种芯片,包括:处理模块与通信接口,该处理模块能执行前述任一方法实施例的技术方案。
进一步地,该芯片还包括存储模块(如,存储器),存储模块用于存储指令,处理模块用于执行存储模块存储的指令,并且对存储模块中存储的指令的执行使得处理模块执行前述任一方法实施例的技术方案。
应理解,上述处理器可以是中央处理单元(英文:Central Processing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:Application Specific Integrated Circuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器,还可以为U盘、移动硬盘、只读存储器、磁盘或光盘等。
总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(ExtendedIndustry Standard Architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
上述存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。存储介质可以是通用或专用计算机能够存取的任何可用介质。
一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路(Application Specific Integrated Circuits,简称:ASIC)中。当然,处理器和存储介质也可以作为分立组件存在于电子设备中。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例的技术方案的范围。

Claims (11)

1.一种数据访问控制方法,其特征在于,包括:
接收数据访问控制请求,所述数据访问控制请求用于访问用户请求对目标业务数据进行第一数据操作;
根据预设的基于属性的策略配置信息,确定所述访问用户是否有权限对所述目标业务数据进行第一数据操作;所述策略配置信息包括与以下至少一项的属性信息相关的执行策略:用户、业务数据、访问环境、业务上下文;
返回数据访问控制响应,所述数据访问控制响应用于指示允许或拒绝所述第一数据操作。
2.根据权利要求1所述的方法,其特征在于,所述根据预设的基于属性的策略配置信息,确定所述访问用户是否有权限对所述目标业务数据进行第一数据操作,包括:
获取所述数据访问请求中所述访问用户、所述目标业务数据、当前访问环境、当前业务上下文的属性信息的至少一项,以及目标业务的策略配置信息;
根据所述访问用户、所述目标业务数据、所述当前访问环境、所述当前业务上下文的属性信息的至少一项,以及所述目标业务的策略配置信息,确定所述访问用户是否有权限对所述目标业务数据进行所述第一数据操作。
3.根据权利要求2所述的方法,其特征在于,获取所述目标业务的策略配置信息,包括:
通过调用数据访问控制工具包获取所述目标业务的策略配置信息;不同的目标业务的策略配置信息对应不同的数据访问控制工具包。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述目标业务数据存储于数据表,若确定所述访问用户有权限对所述目标业务数据进行第一数据操作,所述返回数据访问控制响应,包括:
对所述数据表进行数据过滤,生成过滤后的数据表;
返回所述数据访问控制响应,所述数据访问控制响应包括所述过滤后的数据表;所述过滤后的数据表仅展示所述目标业务数据。
5.根据权利要求4所述的方法,其特征在于,所述对所述数据表进行数据过滤,生成过滤后的数据表,包括:
对所述数据表采用逐行数据属性分析方法进行数据过滤,和/或,对所述数据表采用逐列数据属性分析方法进行数据过滤,和/或,对所述数据表采用逐单元格数据属性分析方法进行数据过滤,生成所述过滤后的数据表。
6.根据权利要求4所述的方法,其特征在于,若调用数据访问控制工具包失败,所述方法还包括:
返回未经数据过滤的数据表,并在日志中记录与所述数据访问控制请求相关的所有信息。
7.根据权利要求3所述的方法,其特征在于,所述方法还包括:
接收数据访问控制更新包,更新所述数据访问控制工具包;所述数据访问控制更新包包括对与执行策略相关的以下至少一项属性信息的更新:
对用户的属性信息的新增、修改或删除;
对数据的属性信息的新增、修改或删除;
对访问环境的属性信息的新增、修改或删除;
对业务环节的属性信息的新增、修改或删除。
8.一种数据访问控制装置,其特征在于,包括:
接收模块,用于接收数据访问控制请求,所述数据访问控制请求用于访问用户请求对目标业务数据进行第一数据操作;
处理模块,用于根据预设的基于属性的策略配置信息,确定所述访问用户是否有权限对所述目标业务数据进行第一数据操作;所述策略配置信息包括与以下至少一项的属性信息相关的执行策略:用户、业务数据、访问环境、业务上下文;
发送模块,用于返回数据访问控制响应,所述数据访问控制响应用于指示允许或拒绝所述第一数据操作。
9.一种电子设备,其特征在于,包括:
存储器;
处理器;以及
计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器执行以实现如权利要求1-7中任一项所述的方法。
11.一种计算机程序产品,其特征在于,包括计算机程序,所述计算机程序被处理器执行时实现权利要求1-7中任一项所述的方法。
CN202111542460.3A 2021-12-14 2021-12-14 数据访问控制方法、装置、设备及存储介质 Pending CN114218605A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111542460.3A CN114218605A (zh) 2021-12-14 2021-12-14 数据访问控制方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111542460.3A CN114218605A (zh) 2021-12-14 2021-12-14 数据访问控制方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN114218605A true CN114218605A (zh) 2022-03-22

Family

ID=80702860

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111542460.3A Pending CN114218605A (zh) 2021-12-14 2021-12-14 数据访问控制方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN114218605A (zh)

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114661776A (zh) * 2022-03-25 2022-06-24 中国建设银行股份有限公司 数据访问控制策略配置方法、装置、设备、介质及产品
CN114722412A (zh) * 2022-04-15 2022-07-08 北京科杰科技有限公司 一种数据安全存储方法、装置、电子设备及存储介质
CN114741725A (zh) * 2022-04-07 2022-07-12 深圳市玄羽科技有限公司 一种工业互联网数据权限管理系统及方法
CN115238247A (zh) * 2022-08-05 2022-10-25 盈适慧众(上海)信息咨询合伙企业(有限合伙) 基于零信任数据访问控制系统的数据处理方法
CN115442249A (zh) * 2022-08-25 2022-12-06 广州侨远信息科技有限公司 基于大数据和联邦学习技术的网络自动化运维方法及系统
CN115640599A (zh) * 2022-09-28 2023-01-24 中国建设银行股份有限公司 一种访问控制方法、系统、设备、介质和产品
CN115766100A (zh) * 2022-10-25 2023-03-07 名日之梦(北京)科技有限公司 系统资源权限管理方法、电子设备及存储介质
CN116094832A (zh) * 2023-02-08 2023-05-09 中国工商银行股份有限公司 基于业务场景的数据访问方法、装置、设备和介质
CN116112264A (zh) * 2023-01-31 2023-05-12 深圳市艾莉诗科技有限公司 一种基于区块链的策略隐藏大数据访问控制方法和装置
CN116132198A (zh) * 2023-04-07 2023-05-16 杭州海康威视数字技术股份有限公司 基于轻量化上下文语义的物联网隐私行为感知方法及装置
CN116346479A (zh) * 2023-03-31 2023-06-27 抖音视界有限公司 数据访问方法、装置、设备和存储介质
CN116662487A (zh) * 2023-06-12 2023-08-29 杭州知汇云科技有限公司 一种文档数据访问管理方法及系统
CN117216748A (zh) * 2023-11-09 2023-12-12 新华三网络信息安全软件有限公司 数据访问控制方法、装置、设备及存储介质
CN118503938A (zh) * 2024-04-28 2024-08-16 丰贺信息科技(上海)有限公司 基于业务模型和策略的访问控制方法、系统及介质
WO2024179490A1 (zh) * 2023-02-28 2024-09-06 华为云计算技术有限公司 一种基于云计算技术的访问控制方法以及相关装置
CN119357947A (zh) * 2024-09-30 2025-01-24 上海零数众合信息科技有限公司 数据使用控制方法、装置、设备及介质
CN119416190A (zh) * 2024-11-29 2025-02-11 中国工商银行股份有限公司 用户权限确定方法、装置、设备、介质和程序产品
WO2025113173A1 (zh) * 2023-11-27 2025-06-05 华为技术有限公司 一种数据传输方法、装置以及设备
CN120744895A (zh) * 2025-09-05 2025-10-03 中移(苏州)软件技术有限公司 对象权限控制方法、装置、设备、存储介质和程序产品

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109165516A (zh) * 2018-08-14 2019-01-08 中国银联股份有限公司 一种访问控制方法和装置
CN110889135A (zh) * 2019-11-18 2020-03-17 星环信息科技(上海)有限公司 数据库访问权限控制方法、设备及存储介质
CN112632578A (zh) * 2020-12-25 2021-04-09 平安银行股份有限公司 业务系统权限控制方法、装置、电子设备及存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109165516A (zh) * 2018-08-14 2019-01-08 中国银联股份有限公司 一种访问控制方法和装置
CN110889135A (zh) * 2019-11-18 2020-03-17 星环信息科技(上海)有限公司 数据库访问权限控制方法、设备及存储介质
CN112632578A (zh) * 2020-12-25 2021-04-09 平安银行股份有限公司 业务系统权限控制方法、装置、电子设备及存储介质

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114661776A (zh) * 2022-03-25 2022-06-24 中国建设银行股份有限公司 数据访问控制策略配置方法、装置、设备、介质及产品
CN114741725A (zh) * 2022-04-07 2022-07-12 深圳市玄羽科技有限公司 一种工业互联网数据权限管理系统及方法
CN114722412A (zh) * 2022-04-15 2022-07-08 北京科杰科技有限公司 一种数据安全存储方法、装置、电子设备及存储介质
CN115238247A (zh) * 2022-08-05 2022-10-25 盈适慧众(上海)信息咨询合伙企业(有限合伙) 基于零信任数据访问控制系统的数据处理方法
WO2024027328A1 (zh) * 2022-08-05 2024-02-08 盈适慧众(上海)信息咨询合伙企业(有限合伙) 基于零信任数据访问控制系统的数据处理方法
CN115442249B (zh) * 2022-08-25 2023-09-01 广州侨远信息科技有限公司 基于大数据和联邦学习技术的网络自动化运维方法及系统
CN115442249A (zh) * 2022-08-25 2022-12-06 广州侨远信息科技有限公司 基于大数据和联邦学习技术的网络自动化运维方法及系统
CN115640599A (zh) * 2022-09-28 2023-01-24 中国建设银行股份有限公司 一种访问控制方法、系统、设备、介质和产品
CN115766100A (zh) * 2022-10-25 2023-03-07 名日之梦(北京)科技有限公司 系统资源权限管理方法、电子设备及存储介质
CN116112264B (zh) * 2023-01-31 2024-04-02 深圳市艾莉诗科技有限公司 一种基于区块链的策略隐藏大数据访问控制方法和装置
CN116112264A (zh) * 2023-01-31 2023-05-12 深圳市艾莉诗科技有限公司 一种基于区块链的策略隐藏大数据访问控制方法和装置
CN116094832A (zh) * 2023-02-08 2023-05-09 中国工商银行股份有限公司 基于业务场景的数据访问方法、装置、设备和介质
WO2024179490A1 (zh) * 2023-02-28 2024-09-06 华为云计算技术有限公司 一种基于云计算技术的访问控制方法以及相关装置
CN116346479A (zh) * 2023-03-31 2023-06-27 抖音视界有限公司 数据访问方法、装置、设备和存储介质
CN116132198A (zh) * 2023-04-07 2023-05-16 杭州海康威视数字技术股份有限公司 基于轻量化上下文语义的物联网隐私行为感知方法及装置
CN116662487A (zh) * 2023-06-12 2023-08-29 杭州知汇云科技有限公司 一种文档数据访问管理方法及系统
CN116662487B (zh) * 2023-06-12 2024-08-13 武汉维序科技有限公司 一种文档数据访问管理方法及系统
CN117216748A (zh) * 2023-11-09 2023-12-12 新华三网络信息安全软件有限公司 数据访问控制方法、装置、设备及存储介质
WO2025113173A1 (zh) * 2023-11-27 2025-06-05 华为技术有限公司 一种数据传输方法、装置以及设备
CN118503938A (zh) * 2024-04-28 2024-08-16 丰贺信息科技(上海)有限公司 基于业务模型和策略的访问控制方法、系统及介质
CN118503938B (zh) * 2024-04-28 2025-03-18 丰贺信息科技(上海)有限公司 基于业务模型和策略的访问控制方法、系统及介质
CN119357947A (zh) * 2024-09-30 2025-01-24 上海零数众合信息科技有限公司 数据使用控制方法、装置、设备及介质
CN119416190A (zh) * 2024-11-29 2025-02-11 中国工商银行股份有限公司 用户权限确定方法、装置、设备、介质和程序产品
CN120744895A (zh) * 2025-09-05 2025-10-03 中移(苏州)软件技术有限公司 对象权限控制方法、装置、设备、存储介质和程序产品

Similar Documents

Publication Publication Date Title
CN114218605A (zh) 数据访问控制方法、装置、设备及存储介质
US7774827B2 (en) Techniques for providing role-based security with instance-level granularity
US7673323B1 (en) System and method for maintaining security in a distributed computer network
US11270267B2 (en) Sensitive information management
AU704130B2 (en) Security system for computer systems
US7103784B1 (en) Group types for administration of networks
US20120324225A1 (en) Certificate-based mutual authentication for data security
US20030115322A1 (en) System and method for analyzing security policies in a distributed computer network
US20050114672A1 (en) Data rights management of digital information in a portable software permission wrapper
CN100490387C (zh) 用于应用服务器的基于令牌的细粒度访问控制系统及方法
US8805741B2 (en) Classification-based digital rights management
US20020083059A1 (en) Workflow access control
US20220083936A1 (en) Access control method
US8732800B1 (en) Systems and methods for centralized management of policies and access controls
US12511382B2 (en) Performing a security action based on a suspicious cross authorization event
CN114417278A (zh) 一种接口统一管理系统和平台接口管理系统
CN115422526A (zh) 角色权限管理方法、设备及存储介质
CN115879156A (zh) 动态脱敏方法、装置、电子设备及储存介质
CN120105469A (zh) 基于云控平台的数据访问方法、装置及电子设备
CN118035982A (zh) 用户权限管理方法
US20080263630A1 (en) Confidential File Protecting Method and Confidential File Protecting Device for Security Measure Application
US12282546B2 (en) Abnormal classic authorization detection systems
CN113486322A (zh) 一种一体化平台基于单点登录的控制方法、装置、介质
WO2002067173A1 (en) A hierarchy model
JP4723930B2 (ja) 複合的アクセス認可方法及び装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination