CN113836500A - 数据权限控制方法、***、终端以及储存介质 - Google Patents
数据权限控制方法、***、终端以及储存介质 Download PDFInfo
- Publication number
- CN113836500A CN113836500A CN202010582484.0A CN202010582484A CN113836500A CN 113836500 A CN113836500 A CN 113836500A CN 202010582484 A CN202010582484 A CN 202010582484A CN 113836500 A CN113836500 A CN 113836500A
- Authority
- CN
- China
- Prior art keywords
- role
- template
- resource
- data
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000011217 control strategy Methods 0.000 claims abstract description 39
- 238000009877 rendering Methods 0.000 claims description 26
- 230000015654 memory Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 8
- 230000007246 mechanism Effects 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/10—Text processing
- G06F40/166—Editing, e.g. inserting or deleting
- G06F40/186—Templates
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明的数据权限控制方法、***、终端以及储存介质,基于一或多个用户或角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略。用于解决现有技术中的数据权限管理机制会导致访问控制列表变得非常庞大难以进行维护,或者对多级数据权限的控制时会导致策略变得极其复杂,难以编写和维护,进而导致数据权限控制工作效率大幅度降低的问题。本发明利用用户或角色的元数据,对一或多个权限控制模板策略进行渲染以在私有云环境对复杂数据权限进行中央控制,进而提高了数据权限控制工作效率。
Description
技术领域
本发明涉及数据信息处理技术领域,特别是涉及一种数据权限控制方法、***、终端以及储存介质。
背景技术
在云计算和云服务时代,为了保障数据安全,统一集中的数据权限管理机制必不可少。当前,已经有访问控制列表、基于角色的访问控制以及亚马逊权限策略等中心权限控制机制。其中,访问控制列表可以精确的定义具体的数据项,但是随着数据量的增加以及不同用户拥有相同权限的情况,会导致访问控制列表变得非常庞大且难以进行维护。
而基于角色的访问控制难以进行精确到人的数据权限控制。亚马逊的权限策略功能强大,但在对多级数据权限的控制时会导致策略变得极其复杂,难以编写和维护。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种数据权限控制方法、***、终端以及储存介质,用于解决现有技术中的数据权限管理机制会导致访问控制列表变得非常庞大难以进行维护,或者对多级数据权限的控制时会导致策略变得极其复杂,难以编写和维护,进而导致数据权限控制工作效率大幅度降低的问题。
为实现上述目的及其他相关目的,本发明提供一种数据权限控制方法,包括:基于一或多个用户或角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略。
于本发明的一实施例中,所述权限控制模板策略包括:操作资源模板部分、操作定义部分以及操作决策部分;其中,所述操作资源模板部分,包括:具有固定格式的占位符模板,用于确定操作资源信息,其中,所述操作资源信息包括:操作资源路径、操作对象以及操作资源本体;所述操作定义部分,用于基于所述操作资源信息,定义操作内容;所述操作决策部分,用于确定所属操作内容是否被允许。
于本发明的一实施例中,所述权限控制策略模板包括:操作资源部分、操作部分以及决策部分;其中,所述操作资源部分,用于基于所述操作资源模板部分来定义所述各用户或角色的操作资源信息;所述操作部分,用于基于所述操作定义部分,来定义所述各用户或角色在其对应的所操作资源信息基础上的息的操作内容;所述决策部分,用于基于所述操作决策部分,来确定定义的各用户或角色的操作内容是否被允许。
于本发明的一实施例中,所述元数据包括:各用户或角色的名称、操作资源路径以及在所述操作资源路径上的操作资源本体。
于本发明的一实施例中,所述方法还包括:基于各角色中具有继承关系的各层级的各子类角色的元数据,分别对所述各子类角色的上层的角色或子类角色的权限控制策略进行渲染,以获得用于控制各子类角色的数据操作权限的权限控制策略。
于本发明的一实施例中,所述占位符模板包括:操作资源路径、操作对象以及操作资源本体占位符。
为实现上述目的及其他相关目的,本发明提供一种数据权限控制***,所述***包括:处理模块,用于基于一或多个用户或角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略。
于本发明的一实施例中,所述权限控制模板策略包括:操作资源模板部分、操作定义部分以及操作决策部分;其中,所述操作资源模板部分,包括:具有固定格式的占位符模板,用于确定操作资源信息,其中,所述操作资源信息包括:操作资源路径、操作对象以及操作资源本体;所述操作定义部分,用于基于所述操作资源信息,定义操作内容;所述操作决策部分,用于确定所属操作内容是否被允许。
为实现上述目的及其他相关目的,本发明提供一种数据权限控制终端,包括:存储器,用于存储计算机程序;处理器,用于执行所述的数据权限控制方法。
为实现上述目的及其他相关目的,本发明提供一种计算机存储介质,存储有计算机程序,所述计算机程序运行时实现所述的数据权限控制方法。
如上所述,本发明的一种数据权限控制方法、***、终端以及储存介质,具有以下有益效果:本发明利用用户或角色的元数据,对一或多个权限控制模板策略进行渲染以在私有云环境对复杂数据权限进行中央控制,进而提高了数据权限控制工作效率。
附图说明
图1显示为本发明一实施例中的数据权限控制方法的流程示意图。
图2显示为本发明一实施例中的数据权限控制***的结构示意图。
图3显示为本发明一实施例中的数据权限控制终端的结构示意图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,在下述描述中,参考附图,附图描述了本发明的若干实施例。应当理解,还可使用其他实施例,并且可以在不背离本发明的精神和范围的情况下进行机械组成、结构、电气以及操作上的改变。下面的详细描述不应该被认为是限制性的,并且本发明的实施例的范围仅由公布的专利的权利要求书所限定。这里使用的术语仅是为了描述特定实施例,而并非旨在限制本发明。空间相关的术语,例如“上”、“下”、“左”、“右”、“下面”、“下方”、““下部”、“上方”、“上部”等,可在文中使用以便于说明图中所示的一个元件或特征与另一元件或特征的关系。
在通篇说明书中,当说某部分与另一部分“连接”时,这不仅包括“直接连接”的情形,也包括在其中间把其它元件置于其间而“间接连接”的情形。另外,当说某种部分“包括”某种构成要素时,只要没有特别相反的记载,则并非将其它构成要素,排除在外,而是意味着可以还包括其它构成要素。
其中提到的第一、第二及第三等术语是为了说明多样的部分、成份、区域、层及/或段而使用的,但并非限定于此。这些术语只用于把某部分、成份、区域、层或段区别于其它部分、成份、区域、层或段。因此,以下叙述的第一部分、成份、区域、层或段在不超出本发明范围的范围内,可以言及到第二部分、成份、区域、层或段。
再者,如同在本文中所使用的,单数形式“一”、“一个”和“该”旨在也包括复数形式,除非上下文中有相反的指示。应当进一步理解,术语“包含”、“包括”表明存在所述的特征、操作、元件、组件、项目、种类、和/或组,但不排除一个或多个其他特征、操作、元件、组件、项目、种类、和/或组的存在、出现或添加。此处使用的术语“或”和“和/或”被解释为包括性的,或意味着任一个或任何组合。因此,“A、B或C”或者“A、B和/或C”意味着“以下任一个:A;B;C;A和B;A和C;B和C;A、B和C”。仅当元件、功能或操作的组合在某些方式下内在地互相排斥时,才会出现该定义的例外。
因此,本发明实施例中提供一种数据权限控制方法,用于解决现有技术中的数据权限管理机制会导致访问控制列表变得非常庞大难以进行维护,或者对多级数据权限的控制时会导致策略变得极其复杂,难以编写和维护,进而导致数据权限控制工作效率大幅度降低的问题。本发明利用用户或角色的元数据,对一或多个权限控制模板策略进行渲染以在私有云环境对复杂数据权限进行中央控制,进而提高了数据权限控制工作效率。
下面以附图为参考,针对本发明的实施例进行详细说明,以便本发明所述技术领域的技术人员能够容易地实施。本发明可以以多种不同形态体现,并不限于此处说明的实施例。
如图1所示,展示本发明实施例中的数据权限控制方法的流程示意图。
所述方法包括:
步骤S11:基于一或多个用户或角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略。
可选的,基于一或多个用户的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户的数据操作权限的权限控制策略。
或者,
基于一或多个角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各角色的数据操作权限的权限控制策略。
可选的,每个用户或角色对应一或多个权限控制模板策略,其中,每个所述权限控制模板策略包括:操作资源模板部分、操作定义部分以及操作决策部分。
所述操作资源模板部分,包括:具有固定格式的占位符模板,用于确定操作资源信息,其中,所述操作资源信息包括:操作资源路径、操作对象以及操作资源本体;
所述操作定义部分,用于基于所述操作资源信息,定义操作内容;
所述操作决策部分,用于确定所属操作内容是否被允许。
举例来说,“博客应用由用户攥写的具有固定编号的文章可以编辑”的权限控制模板策略策略包括:
(操作资源模板部分)资源:blog:Article/{用户ID}/{blog:文章ID}
(操作定义部分)操作:编辑
(操作决策部分)是否允许:是。
可选的,所述权限控制策略模板包括:操作资源部分、操作部分以及决策部分;其中,所述操作资源部分,用于基于所述操作资源模板部分来定义所述各用户或角色的操作资源信息;所述操作部分,用于基于所述操作定义部分,来定义所述各用户或角色在其对应的所操作资源信息基础上的息的操作内容;所述决策部分,用于基于所述操作决策部分,来确定定义的各用户或角色的操作内容是否被允许。
举例来说,对于用户张三的元信息包括:[用户ID:张三],[blog:文章ID:11],[blog:文章ID:15],对权限控制模板策略进行渲染:
资源:blog:Article/{用户ID}/{blog:文章ID}
操作:编辑
是否允许:是。
获得对应于张三的两个权限控制策略,包括:
资源:blog:Article/张三/11
操作:编辑
是否允许:是以及,
资源:blog:Article/张三/15
操作:编辑
是否允许:是。
可选的,所述操作资源模板部分与所述各用户或角色的元数据相结合,以获得该角色或用户的权限控制策略中的操作资源部分,用于确定所述各用户或角色的操作资源。具体的,利用所述元数据填充所述占位符模板,获得该角色或用户的权限控制策略中的操作资源部分。
可选的,所述操作部分,基于所述操作定义部分,来定义所述各用户或角色在所述操作资源路径上的操作内容。需要注意的是,在所述操作资源模板确定的操作资源信息的情况下,所述操作定义部分定义所述各用户或角色在所述操作资源路径上的操作内容。举例来说,所述操作内容包括:编辑或读取等操作,在本申请中不作限定。
可选的,所述决策部分,基于所述操作决策部分,用于确定定义的各用户或角色的操作内容是否被允许。优选的,所述操作决策部分在所述操作资源模板确定操作路径以及操作定义部分确定在该操作路径下的操作内容的情况下,确定该操作内容是否被允许。若操作决策部分为允许,所述决策部分也顺延为允许。
可选的,所述占位符模板包括:所述占位符模板包括:操作资源路径、操作对象以及操作资源本体占位符。其中,占位符模板遵循【资源路径:资源实体名/限定筛选条件】的规则。
举例来说,基于以上占位符模板获得的“用户可以编辑博客中的文章”的操作资源模板部分为:
blog:Article/{用户ID}/{blog:文章ID}。
可选的,基于占位符模板的操作资源模板与各用户或角色的元数据相结合,以获得权限控制策略中的操作资源部分,用于确定所述各用户或角色的操作资源。
可选的,所述元数据包括与用户、角色、以及子角色有关的任意信息,根据所述元数据可以对权限控制模板策略进行渲染。所述元数据的内容在本申请中不作限定。
可选的,所述元数据包括:各用户或角色的名称、操作资源路径以及在所述操作资源路径上的操作资源本体。
可选的,若元数据中对应一个权限控制模板策略具有多个符合条件数据,即进行一次渲染即可,不仅节省了时间还大大提高了效率。
可选的,所述元数据对权限控制模板策略中的基于占位符模板的操作资源模板进行渲染,获得权限控制策略中的操作资源部分。所述各用户或角色的名称填充操作资源模板中的占位符模板的用户或角色的名称占位符;同样的,各用户或角色被允许在各操作资源路径上的操作对象填充操作资源模板中的占位符模板的资源路径、以及操作对象占位符。通过以上填充获得对应于各用户或角色权限控制策略中的操作资源部分。
举例来说,对于用户张三,其元数据包括:[用户ID:张三],[blog:文章ID:11];权限控制模板策略中的基于占位符模板的操作资源模板部分为:blog:Article/{用户ID}/{blog:文章 ID}。则获得用于控制各用户或角色的数据操作权限的权限控制策略的操作资源部分包括: blog:Article/张三/11。
可选的,若元数据中各用户或角色被允许在各操作资源路径上的操作对象为多个,若操作对象为一个操作路径,对权限控制模板策略中对应该操作路径的基于占位符模板的操作资源模板进行渲染;若操作对象为不同的操作路径,则分别权限控制模板策略中对应操作路径的基于占位符模板的操作资源模板分别进行渲染。
举例来说,对于用户张三,其元数据包括:[用户ID:张三],[blog:文章ID:11],[blog: 文章ID:15],对操作资源模板部分为:blog:Article/{用户ID}/{blog:文章ID}进行渲染,获得权限控制策略的操作资源部分包括blog:Article/张三/11和blog:Article/张三/15。
可选的,若各角色分别包括:具有继承关系各子类角色,其中各子类角色构成具有层级关系的树形结构。所述数据权限控制方法还包括:基于各角色中具有继承关系的各层级的各子类角色的元数据,分别对一或多个权限控制策略进行渲染,以获得用于控制各子类角色的数据操作权限的权限控制策略。
具体的,基于一或多个角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各角色的数据操作权限的权限控制策略;
基于各角色中具有继承关系的各层级的各子类角色的元数据,分别对所述各子类角色的上层的角色或子类角色的权限控制策略进行渲染,以获得用于控制各子类角色的数据操作权限的权限控制策略。
由此可知,支持多继承的角色树和基于元数据的模板策略的渲染。
举例来说,角色为人事部,子角色包括:人事部实习生。想要获得人事部实习生的权限控制策略,需先基于一或多个权限控制模板策略进行渲染,获得人事部的权限控制策略;再基于人事部实习生的元数据,对获得的人事部的权限控制策略进行渲染,获得用于控制人事部实习生的数据权限控制的权限控制策略。通过该子角色继承角色的权限控制策略进行渲染,来得到在角色的控制权限的基础上再次限制,获得权限更少的子角色的权限控制策略。
需要注意的是,所述子类角色的层级为一或多个,具体的,第一级子角色继承作为其父角色的角色的权限控制策略来获得第一级子角色的权限控制策略;第二级子角色继承作为其的父角色的第一级角色的权限控制策略来获得第二级子角色的权限控制策略,以此规则来实现更上层级的子角色对该父角色的权限控制策略继承,获得该子角色的权限控制策略。
可选的,若基于一或多个用户或角色的元数据,分别对权限控制模板策略进行渲染失败,具体的,各用户或角色的元数据中没有对应于权限控制模板策略的操作资源模板部分的填充数据,则将该权限控制模板策略丢弃。
与上述实施例原理相似的是,本发明提供一种数据权限控制***。
以下结合附图提供具体实施例:
如图2所示展示本发明实施例中的一种数据权限控制***的结构示意图。
所述***包括:
处理模块21,用于基于一或多个用户或角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略。
可选的,基于一或多个用户的元数据,所述处理模块21分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户的数据操作权限的权限控制策略。
或者,
基于一或多个角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各角色的数据操作权限的权限控制策略。
可选的,每个用户或角色对应一或多个权限控制模板策略,其中,每个所述权限控制模板策略包括:操作资源模板部分、操作定义部分以及操作决策部分。
所述操作资源模板部分,包括:具有固定格式的占位符模板,用于确定操作资源信息,其中,所述操作资源信息包括:操作资源路径、操作对象以及操作资源本体;
所述操作定义部分,用于基于所述操作资源信息,定义操作内容;
所述操作决策部分,用于确定所属操作内容是否被允许。
可选的,所述权限控制策略模板包括:操作资源部分、操作部分以及决策部分;其中,所述操作资源部分,用于基于所述操作资源模板部分来定义所述各用户或角色的操作资源信息;所述操作部分,用于基于所述操作定义部分,来定义所述各用户或角色在其对应的所操作资源信息基础上的息的操作内容;所述决策部分,用于基于所述操作决策部分,来确定定义的各用户或角色的操作内容是否被允许。
可选的,所述处理模块21将所述操作资源模板部分与所述各用户或角色的元数据相结合,以获得该角色或用户的权限控制策略中的操作资源部分,用于确定所述各用户或角色的操作资源。具体的,利用所述元数据填充所述占位符模板,获得该角色或用户的权限控制策略中的操作资源部分。
可选的,所述操作部分,基于所述操作定义部分,所述处理模块21来定义所述各用户或角色在所述操作资源路径上的操作内容。需要注意的是,在所述操作资源模板确定的操作资源信息的情况下,所述操作定义部分定义所述各用户或角色在所述操作资源路径上的操作内容。举例来说,所述操作内容包括:编辑或读取等操作,在本申请中不作限定。
可选的,所述决策部分,基于所述操作决策部分,所述处理模块21确定定义的各用户或角色的操作内容是否被允许。优选的,所述操作决策部分在所述操作资源模板确定操作路径以及操作定义部分确定在该操作路径下的操作内容的情况下,确定该操作内容是否被允许。若操作决策部分为允许,所述决策部分也顺延为允许。
可选的,所述占位符模板包括:所述占位符模板包括:操作资源路径、操作对象以及操作资源本体占位符。其中,占位符模板遵循【资源路径:资源实体名/限定筛选条件】的规则。
可选的,所述处理模块21令基于占位符模板的操作资源模板与各用户或角色的元数据相结合,以获得权限控制策略中的操作资源部分,用于确定所述各用户或角色的操作资源。
可选的,所述元数据包括与用户、角色、以及子角色有关的任意信息,根据所述元数据可以对权限控制模板策略进行渲染。所述元数据的内容在本申请中不作限定。
可选的,所述元数据包括:各用户或角色的名称、操作资源路径以及在所述操作资源路径上的操作资源本体。
可选的,若元数据中对应一个权限控制模板策略具有多个符合条件数据,即进行一次渲染即可,不仅节省了时间还大大提高了效率。
可选的,所述元数据对权限控制模板策略中的基于占位符模板的操作资源模板进行渲染,获得权限控制策略中的操作资源部分。所述各用户或角色的名称填充操作资源模板中的占位符模板的用户或角色的名称占位符;同样的,各用户或角色被允许在各操作资源路径上的操作对象填充操作资源模板中的占位符模板的资源路径、以及操作对象占位符。通过以上填充获得对应于各用户或角色权限控制策略中的操作资源部分。
可选的,若元数据中各用户或角色被允许在各操作资源路径上的操作对象为多个,若操作对象为一个操作路径,对权限控制模板策略中对应该操作路径的基于占位符模板的操作资源模板进行渲染;若操作对象为不同的操作路径,则分别权限控制模板策略中对应操作路径的基于占位符模板的操作资源模板分别进行渲染。
可选的,若各角色分别包括:具有继承关系各子类角色,其中各子类角色构成具有层级关系的树形结构。所述数据权限控制方法还包括:基于各角色中具有继承关系的各层级的各子类角色的元数据,分别对一或多个权限控制策略进行渲染,以获得用于控制各子类角色的数据操作权限的权限控制策略。
具体的,基于一或多个角色的元数据,所述处理模块21分别对一或多个权限控制模板策略进行渲染,以获得用于控制各角色的数据操作权限的权限控制策略;
基于各角色中具有继承关系的各层级的各子类角色的元数据,所述处理模块21分别对所述各子类角色的上层的角色或子类角色的权限控制策略进行渲染,以获得用于控制各子类角色的数据操作权限的权限控制策略。
由此可知,所述处理模块21支持多继承的角色树和基于元数据的模板策略的渲染。
需要注意的是,所述子类角色的层级为一或多个,具体的,第一级子角色继承作为其父角色的角色的权限控制策略来获得第一级子角色的权限控制策略;第二级子角色继承作为其的父角色的第一级角色的权限控制策略来获得第二级子角色的权限控制策略,以此规则来实现更上层级的子角色对该父角色的权限控制策略继承,获得该子角色的权限控制策略。
可选的,若基于一或多个用户或角色的元数据,所述处理模块21分别对权限控制模板策略进行渲染失败,具体的,各用户或角色的元数据中没有对应于权限控制模板策略的操作资源模板部分的填充数据,则将该权限控制模板策略丢弃。
如图3所示,展示本发明实施例中的数据权限控制终端30的结构示意图。
所述数据权限控制终端30包括:存储器31及处理器32所述存储器31用于存储计算机程序;所述处理器32运行计算机程序实现如图1所述的数据权限控制方法。
可选的,所述存储器31的数量均可以是一或多个,所述处理器32的数量均可以是一或多个,而图3中均以一个为例。
可选的,所述数据权限控制终端30中的处理器32会按照如图1所述的步骤,将一个或多个以应用程序的进程对应的指令加载到存储器31中,并由处理器32来运行存储在第一存储器31中的应用程序,从而实现如图1所述数据权限控制方法中的各种功能。
可选的,所述存储器31,可能包括但不限于高速随机存取存储器、非易失性存储器。例如一个或多个磁盘存储设备、闪存设备或其他非易失性固态存储设备;所述处理器32,可能包括但不限于中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路 (Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可选的,所述处理器32可以是通用处理器,包括中央处理器(Central ProcessingUnit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明还提供计算机可读存储介质,存储有计算机程序,所述计算机程序运行时实现如图1所示的数据权限控制方法。所述计算机可读存储介质可包括,但不限于,软盘、光盘、 CD-ROM(只读光盘存储器)、磁光盘、ROM(只读存储器)、RAM(随机存取存储器)、EPROM(可擦除可编程只读存储器)、EEPROM(电可擦除可编程只读存储器)、磁卡或光卡、闪存、或适于存储机器可执行指令的其他类型的介质/机器可读介质。所述计算机可读存储介质可以是未接入计算机设备的产品,也可以是已接入计算机设备使用的部件。
综上所述,本发明数据权限控制方法、***、终端及介质,解决了解决现有技术中的数据权限管理机制会导致访问控制列表变得非常庞大难以进行维护,或者对多级数据权限的控制时会导致策略变得极其复杂,难以编写和维护,进而导致数据权限控制工作效率大幅度降低的问题。本发明利用用户或角色的元数据,对一或多个权限控制模板策略进行渲染以在私有云环境对复杂数据权限进行中央控制,进而提高了数据权限控制工作效率。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅示例性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,但凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (10)
1.一种数据权限控制方法,其特征在于,包括:
基于一或多个用户或角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略。
2.根据权利要求1所述的数据权限控制方法,其特征在于,所述权限控制模板策略包括:操作资源模板部分、操作定义部分以及操作决策部分;
其中,所述操作资源模板部分,包括:具有固定格式的占位符模板,用于确定操作资源信息,其中,所述操作资源信息包括:操作资源路径、操作对象以及操作资源本体;
所述操作定义部分,用于基于所述操作资源信息,定义操作内容;
所述操作决策部分,用于确定所属操作内容是否被允许。
3.根据权利要求2所述的数据权限控制方法,其特征在于,所述权限控制策略模板包括:操作资源部分、操作部分以及决策部分;
其中,所述操作资源部分,用于基于所述操作资源模板部分来定义所述各用户或角色的操作资源信息;
所述操作部分,用于基于所述操作定义部分,来定义所述各用户或角色在其对应的所操作资源信息基础上的息的操作内容;
所述决策部分,用于基于所述操作决策部分,来确定定义的各用户或角色的操作内容是否被允许。
4.根据权利要求1所述的数据权限控制方法,其特征在于,所述元数据包括:各用户或角色的名称、操作资源路径以及在所述操作资源路径上的操作资源本体。
5.根据权利要求1所述的数据权限控制方法,其特征在于,所述方法还包括:
基于各角色中具有继承关系的各层级的各子类角色的元数据,分别对所述各子类角色的上层的角色或子类角色的权限控制策略进行渲染,以获得用于控制各子类角色的数据操作权限的权限控制策略。
6.根据权利要求1所述的数据权限控制方法,其特征在于,所述占位符模板包括:操作资源路径、操作对象以及操作资源本体占位符。
7.一种数据权限控制***,其特征在于,所述***包括:
处理模块,用于基于一或多个用户或角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略。
8.根据权利要求7所述的数据权限控制***,其特征在于,所述权限控制模板策略包括:操作资源模板部分、操作定义部分以及操作决策部分;
其中,所述操作资源模板部分,包括:具有固定格式的占位符模板,用于确定操作资源信息,其中,所述操作资源信息包括:操作资源路径、操作对象以及操作资源本体;
所述操作定义部分,用于基于所述操作资源信息,定义操作内容;
所述操作决策部分,用于确定所属操作内容是否被允许。
9.一种数据权限控制终端,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行如权利要求1至7中任一项所述的数据权限控制方法。
10.一种计算机存储介质,其特征在于,存储有计算机程序,所述计算机程序运行时实现如权利要求1至7中任一项所述的数据权限控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010582484.0A CN113836500B (zh) | 2020-06-23 | 2020-06-23 | 数据权限控制方法、***、终端以及储存介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010582484.0A CN113836500B (zh) | 2020-06-23 | 2020-06-23 | 数据权限控制方法、***、终端以及储存介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113836500A true CN113836500A (zh) | 2021-12-24 |
CN113836500B CN113836500B (zh) | 2023-11-07 |
Family
ID=78964209
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010582484.0A Active CN113836500B (zh) | 2020-06-23 | 2020-06-23 | 数据权限控制方法、***、终端以及储存介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113836500B (zh) |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070162400A1 (en) * | 2006-01-12 | 2007-07-12 | International Business Machines Corporation | Method and apparatus for managing digital content in a content management system |
US20070214497A1 (en) * | 2006-03-10 | 2007-09-13 | Axalto Inc. | System and method for providing a hierarchical role-based access control |
CN101515308A (zh) * | 2009-03-31 | 2009-08-26 | 上海同济同捷科技股份有限公司 | 汽车产品数据管理***及其协同设计方法 |
CN101561826A (zh) * | 2009-05-18 | 2009-10-21 | 汤胤 | 基于节点粒度语义的在线非结构化文档共享协同方法及其应用 |
US20100235907A1 (en) * | 2009-03-11 | 2010-09-16 | Brian Payton Bowman | Authorization Caching In A Multithreaded Object Server |
CN102262667A (zh) * | 2011-07-27 | 2011-11-30 | 北京航空航天大学 | 一种本源xml数据库中xml文档的访问控制方法 |
CN102387145A (zh) * | 2011-10-21 | 2012-03-21 | 北京航空航天大学 | 协同环境中访问控制策略冲突检测***及方法 |
CN102880715A (zh) * | 2012-10-09 | 2013-01-16 | 南京市测绘勘察研究院有限公司 | 基于云存储的数据池管理方法及*** |
CN103703443A (zh) * | 2011-03-22 | 2014-04-02 | 亚马逊技术股份有限公司 | 针对计算应用程序功能的强大权限管理 |
CN104967620A (zh) * | 2015-06-17 | 2015-10-07 | 中国科学院信息工程研究所 | 一种基于属性访问控制策略的访问控制方法 |
CN107465653A (zh) * | 2016-06-02 | 2017-12-12 | 北京京东尚科信息技术有限公司 | 权限管理***及方法 |
CN110516176A (zh) * | 2019-08-30 | 2019-11-29 | 北京东软望海科技有限公司 | 用户请求的处理方法、装置、电子设备及可读存储介质 |
CN110956431A (zh) * | 2018-09-26 | 2020-04-03 | 富泰华工业(深圳)有限公司 | 数据权限管控方法及***、计算机装置及可读存储介质 |
-
2020
- 2020-06-23 CN CN202010582484.0A patent/CN113836500B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070162400A1 (en) * | 2006-01-12 | 2007-07-12 | International Business Machines Corporation | Method and apparatus for managing digital content in a content management system |
US20070214497A1 (en) * | 2006-03-10 | 2007-09-13 | Axalto Inc. | System and method for providing a hierarchical role-based access control |
US20100235907A1 (en) * | 2009-03-11 | 2010-09-16 | Brian Payton Bowman | Authorization Caching In A Multithreaded Object Server |
CN101515308A (zh) * | 2009-03-31 | 2009-08-26 | 上海同济同捷科技股份有限公司 | 汽车产品数据管理***及其协同设计方法 |
CN101561826A (zh) * | 2009-05-18 | 2009-10-21 | 汤胤 | 基于节点粒度语义的在线非结构化文档共享协同方法及其应用 |
CN103703443A (zh) * | 2011-03-22 | 2014-04-02 | 亚马逊技术股份有限公司 | 针对计算应用程序功能的强大权限管理 |
CN102262667A (zh) * | 2011-07-27 | 2011-11-30 | 北京航空航天大学 | 一种本源xml数据库中xml文档的访问控制方法 |
CN102387145A (zh) * | 2011-10-21 | 2012-03-21 | 北京航空航天大学 | 协同环境中访问控制策略冲突检测***及方法 |
CN102880715A (zh) * | 2012-10-09 | 2013-01-16 | 南京市测绘勘察研究院有限公司 | 基于云存储的数据池管理方法及*** |
CN104967620A (zh) * | 2015-06-17 | 2015-10-07 | 中国科学院信息工程研究所 | 一种基于属性访问控制策略的访问控制方法 |
CN107465653A (zh) * | 2016-06-02 | 2017-12-12 | 北京京东尚科信息技术有限公司 | 权限管理***及方法 |
CN110956431A (zh) * | 2018-09-26 | 2020-04-03 | 富泰华工业(深圳)有限公司 | 数据权限管控方法及***、计算机装置及可读存储介质 |
CN110516176A (zh) * | 2019-08-30 | 2019-11-29 | 北京东软望海科技有限公司 | 用户请求的处理方法、装置、电子设备及可读存储介质 |
Non-Patent Citations (2)
Title |
---|
蔡延华;任钢;: "基于元数据对象动态运行记录***的设计和实现", 计算机***应用, no. 02 * |
陈庆荣;: "基于RBAC模型的多维权限管理方法", 工业仪表与自动化装置, no. 04 * |
Also Published As
Publication number | Publication date |
---|---|
CN113836500B (zh) | 2023-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Lins et al. | Artificial intelligence as a service: classification and research directions | |
KR102158435B1 (ko) | 단말기 룰 엔진 디바이스 및 단말기 룰 연산 방법 | |
JP4838137B2 (ja) | 拡張型セキュリティ・モデルを提供するシステムおよび方法 | |
US20180089249A1 (en) | Remote policy validation for managing distributed system resources | |
US8782635B2 (en) | Reconfiguration of computer system to allow application installation | |
US11755780B2 (en) | Restricting access and edit permissions of metadata | |
US20120246317A1 (en) | Cloud-Based Resource Identification and Allocation | |
WO2015163983A1 (en) | Version control of applications | |
JP2009507275A (ja) | 二重レイヤーアクセス制御リスト | |
Dias et al. | A blockchain-based scheme for access control in e-health scenarios | |
CN107203715A (zh) | 执行***调用的方法及装置 | |
US8165982B2 (en) | Method and apparatus for limiting how rule components can be modified using tag definitions and verbs | |
Schmieders et al. | Runtime model-based privacy checks of big data cloud services | |
US8689324B2 (en) | Techniques to explain authorization origins for protected resource objects in a resource object domain | |
WO2014107390A2 (en) | Managing authorization of actions associated with data objects | |
Solanki et al. | Resource and role hierarchy based access control for resourceful systems | |
CN107566405B (zh) | 一种快速访问和拷贝的存储资源池化方法 | |
CN106257482B (zh) | 数据分析结果的管控放置 | |
CN113836500A (zh) | 数据权限控制方法、***、终端以及储存介质 | |
CN116956366A (zh) | 基于图模型的数据权限管理方法及***、电子设备 | |
Nguyen et al. | Towards a flexible framework to support a generalized extension of xacml for spatio-temporal rbac model with reasoning ability | |
US20120324034A1 (en) | Providing access to shared state data | |
US9009731B2 (en) | Conversion of lightweight object to a heavyweight object | |
US20230004663A1 (en) | Classifying data and enforcing data access control using a context-based hierarchical policy | |
Ali et al. | A provenance-aware policy language (cprovl) and a data traceability model (cprov) for the cloud |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |