CN117494163B - 一种基于安全规则的数据服务的方法和装置 - Google Patents
一种基于安全规则的数据服务的方法和装置 Download PDFInfo
- Publication number
- CN117494163B CN117494163B CN202311462586.9A CN202311462586A CN117494163B CN 117494163 B CN117494163 B CN 117494163B CN 202311462586 A CN202311462586 A CN 202311462586A CN 117494163 B CN117494163 B CN 117494163B
- Authority
- CN
- China
- Prior art keywords
- data
- security
- user
- rule
- execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 91
- 238000012795 verification Methods 0.000 claims abstract description 115
- 238000012986 modification Methods 0.000 claims abstract description 85
- 230000004048 modification Effects 0.000 claims abstract description 85
- 238000012550 audit Methods 0.000 claims abstract description 65
- 230000008569 process Effects 0.000 claims abstract description 44
- 238000004458 analytical method Methods 0.000 claims description 39
- 238000012216 screening Methods 0.000 claims description 19
- 238000000605 extraction Methods 0.000 claims description 15
- 238000007726 management method Methods 0.000 claims description 13
- 238000005457 optimization Methods 0.000 claims description 12
- 230000004044 response Effects 0.000 claims description 7
- 238000001914 filtration Methods 0.000 claims description 2
- 230000009286 beneficial effect Effects 0.000 description 10
- 239000000344 soap Substances 0.000 description 6
- 230000008520 organization Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000035945 sensitivity Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于安全规则的数据服务的方法和装置,包括:定义一系列安全规则,安全规则包括访问控制规则和数据加密规则;接收用户的数据服务请求,其中,数据服务请求包括数据查询和数据修改的操作;根据安全规则,对数据服务请求进行验证,验证包括用户身份验证、访问权限验证和数据加密解密,获取验证结果;根据验证结果,执行对应的数据服务请求,获取执行结果,执行过程中,根据安全规则进行数据访问控制和数据加密解密的操作;将执行结果返回给用户,并记录相关的安全日志和审计信息。实现了对用户数据的安全保护和控制。
Description
技术领域
本发明涉及计算机网络领域,尤其涉及一种基于安全规则的数据服务的方法和装置。
背景技术
随着互联网和大数据技术的发展,数据服务在各个领域得到广泛应用。然而,由于数据的敏感性和重要性,数据服务面临着安全风险和隐私泄露的威胁。为了保护用户数据的安全,人们通常会定义一系列安全规则,如访问控制规则、数据加密规则等。然而,现有的数据服务方法往往无法有效地应用和执行这些安全规则。
申请号为CN201110362878的专利申请文件,公开了数据服务请求应答方法和数据服务协议栈的设计方法,该方法包括:服务请求方将服务指标参数封装到SOAP数据包;服务请求方将封装后的SOAP数据包发送给服务提供方,以使服务提供方将SOAP数据包或HTTP数据包进行解析处理后获得服务查询指令,自数据库中获取服务数据。该方案存在的缺陷包括:SOAP是一个相对复杂的协议,需要对XML结构进行解析和生成,这会导致开发和维护的复杂性增加;由于SOAP消息通常基于XML,它们比其他轻量级的格式(如JSON)更大,从而导致更大的网络传输开销和解析时间;由于SOAP消息的复杂性,调试会更加困难,尤其是当涉及到复杂的数据结构和命名空间时。
因此,有必要提供一种基于安全规则的数据服务的方法和装置。
发明内容
本发明提供了一种基于安全规则的数据服务的方法和装置,以解决现有技术中存在的随着互联网和大数据技术的发展,数据服务在各个领域得到广泛应用。然而,由于数据的敏感性和重要性,数据服务面临着安全风险和隐私泄露的威胁。为了保护用户数据的安全,人们通常会定义一系列安全规则,如访问控制规则、数据加密规则等。然而,现有的数据服务方法往往无法有效地应用和执行这些安全规则的上述问题。
为了达到上述目的,本发明提供如下技术方案:
一种基于安全规则的数据服务的方法,包括:
S101:定义一系列安全规则,安全规则包括访问控制规则和数据加密规则;
S102:接收用户的数据服务请求,其中,数据服务请求包括数据查询和数据修改的操作;
S103:根据安全规则,对数据服务请求进行验证,验证包括用户身份验证、访问权限验证和数据加密解密,获取验证结果;
S104:根据验证结果,执行对应的数据服务请求,获取执行结果,执行过程中,根据安全规则进行数据访问控制和数据加密解密的操作;
S105:将执行结果返回给用户,并记录相关的安全日志和审计信息。
其中,S101步骤包括:
S1011:从安全需求中提取第一安全特征,对第一安全特征进行分类,获得多个安全类别;
S1012:构建类别-规则模板库,根据安全类别确定对应的规则模板,并与第一安全特征进行关联;
S1013:根据关联的规则模板,为第一安全特征定制第一安全规则,其中,第一安全规则包括:访问控制规则和数据加密规则;
S1014:对访问控制规则进行配置,确定设定范围内特定用户或用户组的访问权限,对数据加密规则进行配置,确定数据的加密方法和密钥管理策略;
S1015:整合所定制和配置的第一安全规则,形成完整的安全规则集,当***进行安全验证时,根据安全规则集,执行对应的访问控制和数据加密操作。
其中,接收用户的数据服务请求,包括:
接收用户的数据服务请求,当数据服务请求为数据查询请求时,解析用户提交的查询参数,获得多个第一查询特征;
查询预设的数据-特征库,确定第一查询特征对应的第一数据项,并与数据查询请求进行关联;
根据关联的第一数据项,为用户返回查询结果;
当数据服务请求为数据修改请求时,解析用户提交的修改参数,获得多个第一修改特征和所述第一修改特征对应的修改值;
查询预设的数据-特征库,确定第一修改特征对应的第二数据项,并与数据修改请求进行关联;
根据关联的第二数据项和修改值,对第二数据项进行更新操作;
在数据更新过程中,基于预设的数据完整性检验模型,对更新操作进行完整性检验,确保数据的一致性和准确性;
将更新后的第二数据项作为修改结果,为用户返回修改反馈;
对于每一次数据服务请求,记录用户的请求日志,包括请求类型、请求时间和请求结果,以便进行后续的数据服务分析和优化。
其中,根据安全规则,对数据服务请求进行验证,包括:
获取用户的用户身份信息,用户身份信息包括:用户ID和用户密码;
查询预设的用户-身份库,确定用户ID对应的预设密码;
比较用户密码和预设密码,若一致,则用户的身份验证通过,否则,拒绝数据服务请求;
当用户的身份验证通过时,获取数据服务请求对应的请求类型,请求类型包括:数据查询请求和数据修改请求;
查询预设的用户-权限库,确定用户对应的权限类型,权限类型包括:查询权限和修改权限;
比较请求类型和权限类型,若一致,则用户的访问权限验证通过,否则,拒绝数据服务请求;
当用户的访问权限验证通过时,获取数据服务请求中的数据内容;
根据预设的数据加密解密规则,对数据内容进行解密操作,获取解密后的数据;
在数据解密过程中,基于预设的数据完整性检验模型,对解密操作进行完整性检验,确保数据的一致性和准确性;
将解密后的数据作为验证结果,为用户返回验证反馈;
对于每一次数据服务请求,记录用户的请求日志,包括请求类型、请求时间和验证结果,以便进行后续的数据服务分析和优化。
其中,根据验证结果,执行对应的数据服务请求,包括:
接收用户的验证结果,验证结果包括:身份验证状态和访问权限验证状态;
当身份验证状态为通过且访问权限验证状态为通过时,获取用户的数据服务请求,数据服务请求包括:数据查询请求和数据修改请求;
获取预设的执行规则集,执行规则集包括:多个第一执行规则;
根据数据服务请求,确定对应的第一执行规则;
获取第一执行规则对应的至少一个执行场景和多个第一历史执行记录;
基于预设的执行场景-安全值库,确定执行场景对应的第一安全值,并与第一执行规则进行关联;
累加计算第一执行规则关联的第一安全值,获得第一安全值和;
对数据服务请求中的数据内容进行预筛选,获得第二数据内容;
提取第二数据内容的多个第一特征;
获取预设的数据安全特征库,将第一特征与数据安全特征库中的第二特征进行匹配,若匹配符合,将匹配符合的第二特征作为第三特征;
基于预设的特征-安全值库,确定第三特征对应的第二安全值,并与第一执行规则进行关联;
累加计算第一执行规则关联的第二安全值,获得第二安全值和;
若第一安全值和大于等于预设的第一安全值和阈值且第二安全值和大于等于预设的第二安全值和阈值,则允许执行数据服务请求;
在执行数据服务请求过程中,根据预设的数据访问控制规则,进行数据访问控制操作;
同时,根据预设的数据加密解密规则,对数据内容进行加密或解密操作;
完成数据服务请求的执行,获取执行结果。
其中,将执行结果返回给用户,包括:
基于预设的结果解析模型,对执行结果进行解析,获取关键执行信息;
将执行结果返回给用户;
对关键执行信息进行筛选,获取安全关键信息;
基于预设的安全日志模型,将安全关键信息转化为安全日志条目,并存储于预设的安全日志数据库中;
同时,基于预设的审计信息模型,将关键执行信息转化为审计信息条目;
获取当前执行的时间、用户的身份信息和执行环境信息,与审计信息条目进行关联,形成完整的审计记录;
将完整的审计记录存储于预设的审计数据库中;
在存储过程中,根据预设的数据保护策略,对安全日志条目和审计记录进行加密保护;
完成安全日志和审计信息的记录,确保执行过程的透明性和可追溯性。
其中,获得多个第一查询特征,包括:
接收用户的数据服务请求,确定请求为数据查询请求;
基于预设的请求解析模型,对数据查询请求进行深度解析,获取关键查询信息;
将关键查询信息拆分为多个查询参数项;
对查询参数项进行属性识别,确定每一查询参数项的数据类型、数据范围和数据来源;
基于预设的特征提取模型,对查询参数项进行特征提取,获得多个第一查询特征;
同时,获取预设的特征关联库,将第一查询特征与特征关联库中的第二查询特征进行匹配;
若匹配成功,将对应的第一查询特征与第二查询特征进行关联,形成关联特征组;
对关联特征组进行优化处理,去除冗余特征,确保查询效率;
将优化后的关联特征组作为最终的查询特征,完成特征获取过程。
其中,对关键执行信息进行筛选,获取安全关键信息,包括:
基于预设的第二特征提取模板,对关键执行信息进行筛选,获取安全关键信息,当筛选出的安全关键信息满足预定的安全标准时,将该信息存储于安全数据库中,以备后续查询和分析。
其中,一种基于安全规则的数据服务的装置,包括:
安全规则定义模块,用于定义一系列安全规则,安全规则包括访问控制规则和数据加密规则;
数据服务请求接收模块,用于接收用户的数据服务请求,其中,数据服务请求包括数据查询和数据修改的操作;
安全规则验证模块,用于根据安全规则,对数据服务请求进行验证,验证包括用户身份验证、访问权限验证和数据加密解密,获取验证结果;
数据服务执行模块,用于根据验证结果,执行对应的数据服务请求,获取执行结果,执行过程中,根据安全规则进行数据访问控制和数据加密解密的操作;
响应模块,用于将执行结果返回给用户,并记录相关的安全日志和审计信息。
其中,安全规则定义模块包括:
安全规则定义第一子模块,用于从安全需求中提取第一安全特征,对第一安全特征进行分类,获得多个安全类别;
安全规则定义第二子模块,用于构建类别-规则模板库,根据安全类别确定对应的规则模板,并与第一安全特征进行关联;
安全规则定义第三子模块,用于根据关联的规则模板,为第一安全特征定制第一安全规则,其中,第一安全规则包括:访问控制规则和数据加密规则;
安全规则定义第四子模块,用于对访问控制规则进行配置,确定设定范围内特定用户或用户组的访问权限,对数据加密规则进行配置,确定数据的加密方法和密钥管理策略;
安全规则定义第五子模块,用于整合所定制和配置的第一安全规则,形成完整的安全规则集,当***进行安全验证时,根据安全规则集,执行对应的访问控制和数据加密操作。
与现有技术相比,本发明具有以下优点:
一种基于安全规则的数据服务的方法,包括:定义一系列安全规则,安全规则包括访问控制规则和数据加密规则;接收用户的数据服务请求,其中,数据服务请求包括数据查询和数据修改的操作;根据安全规则,对数据服务请求进行验证,验证包括用户身份验证、访问权限验证和数据加密解密,获取验证结果;根据验证结果,执行对应的数据服务请求,获取执行结果,执行过程中,根据安全规则进行数据访问控制和数据加密解密的操作;将执行结果返回给用户,并记录相关的安全日志和审计信息。实现了对用户数据的安全保护和控制,管理员和用户可以根据具体需求定义和配置安全规则,确保数据服务的安全可靠,同时,该方法和装置具有灵活性和可扩展性,适用于各种数据服务场景和需求。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例中一种基于安全规则的数据服务的方法的流程图;
图2为本发明实施例中定义一系列安全规则的流程图;
图3为本发明实施例中一种基于安全规则的数据服务的装置的结构图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
本发明实施例提供了一种基于安全规则的数据服务的方法,包括:
S101:定义一系列安全规则,安全规则包括访问控制规则和数据加密规则;
S102:接收用户的数据服务请求,其中,数据服务请求包括数据查询和数据修改的操作;
S103:根据安全规则,对数据服务请求进行验证,验证包括用户身份验证、访问权限验证和数据加密解密,获取验证结果;
S104:根据验证结果,执行对应的数据服务请求,获取执行结果,执行过程中,根据安全规则进行数据访问控制和数据加密解密的操作;
S105:将执行结果返回给用户,并记录相关的安全日志和审计信息。
上述技术方案的工作原理为:定义一系列安全规则,包括访问控制规则和数据加密规则,安全规则根据具体需求进行定制和配置,例如限制特定用户只能访问特定数据、要求敏感数据进行加密等;接收用户的数据服务请求,包括数据查询和数据修改的操作,用户通过***提供的接口向***发送数据服务请求;根据安全规则,对数据服务请求进行验证,验证包括用户身份验证、访问权限验证和数据加密解密,例如,对用户进行身份验证,确保其合法性;对用户的访问权限进行验证,确保其有权进行相应操作;对涉及的数据进行加密解密操作,确保数据的安全性;
获取验证结果,根据验证结果执行对应的数据服务请求,验证结果包括验证通过或验证失败,如果验证通过,则执行用户请求的数据服务操作;如果验证失败,则拒绝执行用户请求的数据服务操作,并返回相应的错误信息;
执行数据服务请求,根据安全规则进行数据访问控制和数据加密解密的操作,例如,根据访问控制规则限制用户对数据的访问权限,确保只有授权用户可以访问特定数据;根据数据加密规则对敏感数据进行加密解密操作,确保数据的机密性;将执行结果返回给用户,并记录相关的安全日志和审计信息。将执行结果返回给用户,让其了解操作的结果。同时,记录安全日志和审计信息,包括用户的操作行为、访问时间、访问结果等,以便后续的安全监控和审计分析。
假设安全规则要求对某个特定的数据表进行访问控制,只有管理员用户才能进行数据修改操作,其他用户只能进行数据查询操作,同时,要求对该数据表中的敏感字段进行加密存储;用户A发送一个数据查询请求,请求查询该数据表中的数据,***首先对用户进行身份验证,确认用户A是合法用户,然后对用户的访问权限进行验证,根据安全规则判断用户A只有数据查询权限,验证通过,***执行数据查询操作,获取查询结果,并将结果返回给用户A;用户B发送一个数据修改请求,请求修改该数据表中的数据,***对用户进行身份验证,确认用户B是合法用户,然后对用户的访问权限进行验证,根据安全规则判断用户B没有数据修改权限,验证失败,***拒绝执行用户B的数据修改请求,并返回相应的错误信息;在执行数据服务请求的过程中,***根据安全规则进行数据访问控制和数据加密解密的操作,例如,***根据访问控制规则限制用户的访问权限,确保只有管理员用户可以进行数据修改操作;***根据数据加密规则对敏感字段进行加密存储,确保数据的机密性;通过记录安全日志和审计信息,***可以监控用户的操作行为,及时发现异常行为或安全事件,例如,***记录用户A的数据查询操作,包括访问时间、查询的数据范围等信息,以便后续的安全审计和分析。
上述技术方案的有益效果为:通过定义安全规则和进行相应的验证、控制和加密操作,保护用户的数据和***的安全;通过用户身份验证和访问权限验证,确保只有合法用户且具有相应权限的人员可以进行数据服务操作,防止未授权访问和数据泄露;通过数据加密规则对敏感数据进行加密存储,确保数据的机密性,防止敏感数据被非法获取;记录安全日志和审计信息,可以对***的安全性进行监控和追踪,及时发现和应对安全事件,提高***的安全性。
在另一实施例中,S101步骤包括:
S1011:从安全需求中提取第一安全特征,对第一安全特征进行分类,获得多个安全类别;
S1012:构建类别-规则模板库,根据安全类别确定对应的规则模板,并与第一安全特征进行关联;
S1013:根据关联的规则模板,为第一安全特征定制第一安全规则,其中,第一安全规则包括:访问控制规则和数据加密规则;
S1014:对访问控制规则进行配置,确定设定范围内特定用户或用户组的访问权限,对数据加密规则进行配置,确定数据的加密方法和密钥管理策略;
S1015:整合所定制和配置的第一安全规则,形成完整的安全规则集,当***进行安全验证时,根据安全规则集,执行对应的访问控制和数据加密操作。
上述技术方案的工作原理为:从安全需求中提取第一安全特征,并对其进行分类,获得多个安全类别,安全特征是***中需要保护的数据、功能或者其他安全需求;构建类别-规则模板库,根据安全类别确定对应的规则模板,并与第一安全特征进行关联;规则模板是预先定义好的一组安全规则,用于满足特定的安全需求;根据关联的规则模板,为第一安全特征定制第一安全规则,包括访问控制规则和数据加密规则,访问控制规则用于限制特定用户或用户组的访问权限,数据加密规则用于确定数据的加密方法和密钥管理策略;对访问控制规则进行配置,确定设定范围内特定用户或用户组的访问权限,例如,将某个数据表的修改权限只分配给管理员用户组;对数据加密规则进行配置,确定数据的加密方法和密钥管理策略,例如,使用AES加密算法对敏感数据进行加密,并采用密钥轮换策略定期更换密钥;整合所定制和配置的第一安全规则,形成完整的安全规则集,当***进行安全验证时,根据安全规则集,执行对应的访问控制和数据加密操作。
假设从安全需求中提取的第一安全特征是对某个数据表的访问控制和数据加密,根据安全类别的分类,可以将其分为访问控制类别和数据加密类别;在构建类别-规则模板库时,可以定义访问控制类别的规则模板为"只允许管理员用户组进行数据修改操作",数据加密类别的规则模板为"对敏感字段进行AES加密存储";根据关联的规则模板,为第一安全特征定制第一安全规则。例如,根据访问控制类别的规则模板,将数据表的修改权限只分配给管理员用户组;根据数据加密类别的规则模板,对敏感字段进行AES加密存储;对访问控制规则进行配置时,可以设定范围内特定用户或用户组的访问权限,例如,将数据表的修改权限只分配给名为"admin"的用户组;对数据加密规则进行配置时,可以确定数据的加密方法和密钥管理策略,例如,使用AES加密算法对敏感字段进行加密,并采用每个月更换一次密钥的策略;通过整合所定制和配置的第一安全规则,形成完整的安全规则集,当***进行安全验证时,根据安全规则集,执行对应的访问控制和数据加密操作。
上述技术方案的有益效果为:通过将安全特征进行分类和关联,可以根据具体的安全需求定制和配置相应的安全规则,满足不同安全需求的要求;通过构建类别-规则模板库,可以根据安全类别确定对应的规则模板,提高安全规则的可重用性和可扩展性;通过对访问控制规则和数据加密规则进行配置,可以确定特定用户或用户组的访问权限,以及数据的加密方法和密钥管理策略,简化安全规则的配置过程;通过执行安全规则集中的访问控制和数据加密操作,可以保护***中的数据和功能,提高***的安全性。
在另一实施例中,接收用户的数据服务请求,包括:
接收用户的数据服务请求,当数据服务请求为数据查询请求时,解析用户提交的查询参数,获得多个第一查询特征;
查询预设的数据-特征库,确定第一查询特征对应的第一数据项,并与数据查询请求进行关联;
根据关联的第一数据项,为用户返回查询结果;
当数据服务请求为数据修改请求时,解析用户提交的修改参数,获得多个第一修改特征和所述第一修改特征对应的修改值;
查询预设的数据-特征库,确定第一修改特征对应的第二数据项,并与数据修改请求进行关联;
根据关联的第二数据项和修改值,对第二数据项进行更新操作;
在数据更新过程中,基于预设的数据完整性检验模型,对更新操作进行完整性检验,确保数据的一致性和准确性;
将更新后的第二数据项作为修改结果,为用户返回修改反馈;
对于每一次数据服务请求,记录用户的请求日志,包括请求类型、请求时间和请求结果,以便进行后续的数据服务分析和优化。
上述技术方案的工作原理为:接收用户的数据服务请求,并判断请求类型,如果是数据查询请求,则解析用户提交的查询参数,获得多个第一查询特征;查询预设的数据-特征库,确定第一查询特征对应的第一数据项,并与数据查询请求进行关联,数据-特征库是一个预先定义好的数据和特征的映射关系库;根据关联的第一数据项,为用户返回查询结果,查询结果可以是满足查询条件的数据项或者相关的数据信息;如果是数据修改请求,则解析用户提交的修改参数,获得多个第一修改特征和对应的修改值;查询预设的数据-特征库,确定第一修改特征对应的第二数据项,并与数据修改请求进行关联;根据关联的第二数据项和修改值,对第二数据项进行更新操作,更新操作可以是修改数据项的某个属性或者整体替换数据项的内容;在数据更新过程中,基于预设的数据完整性检验模型,对更新操作进行完整性检验,数据完整性检验模型是一个定义了数据更新规则和约束的模型,用于确保数据的一致性和准确性;将更新后的第二数据项作为修改结果,为用户返回修改反馈,修改反馈可以是更新成功的提示信息或者错误提示信息;对于每一次数据服务请求,记录用户的请求日志,包括请求类型、请求时间和请求结果,请求日志可以用于后续的数据服务分析和优化,以提升***的性能和用户体验。
假设用户发起一个数据查询请求,查询参数为"姓名=张三",根据查询参数解析,获得第一查询特征为"姓名",在数据-特征库中查询到"姓名"对应的第一数据项为"用户表",根据关联的第一数据项,查询到满足查询条件的数据项,返回查询结果为"姓名为张三的用户信息";再假设用户发起一个数据修改请求,修改参数为"姓名=张三,年龄=25",根据修改参数解析,获得第一修改特征为"姓名"和"年龄",对应的修改值为"张三"和"25",在数据-特征库中查询到"姓名"对应的第二数据项为"用户表",根据关联的第二数据项和修改值,对"用户表"中的"姓名"和"年龄"进行更新操作,将"姓名"修改为"张三",“年龄"修改为"25”;在数据更新过程中,基于预设的数据完整性检验模型,对更新操作进行检验,例如,检验规则可以是"年龄必须大于等于18岁",如果修改值不满足规则,则返回错误提示信息;最后,将更新后的"用户表"作为修改结果,为用户返回修改反馈,例如"用户信息修改成功"。
上述技术方案的有益效果为:通过解析用户的数据服务请求,将其与具体的数据项进行关联,可以快速准确地响应用户的查询和修改操作;通过预设的数据-特征库和数据完整性检验模型,可以确保数据的更新操作符合规则和约束,保证数据的一致性和准确性;通过记录用户的请求日志,可以进行数据服务分析和优化,提升***的性能和用户体验,例如,根据请求日志可以发现热门查询和修改操作,优化相关的数据访问和处理流程。
在另一实施例中,根据安全规则,对数据服务请求进行验证,包括:
获取用户的用户身份信息,用户身份信息包括:用户ID和用户密码;
查询预设的用户-身份库,确定用户ID对应的预设密码;
比较用户密码和预设密码,若一致,则用户的身份验证通过,否则,拒绝数据服务请求;
当用户的身份验证通过时,获取数据服务请求对应的请求类型,请求类型包括:数据查询请求和数据修改请求;
查询预设的用户-权限库,确定用户对应的权限类型,权限类型包括:查询权限和修改权限;
比较请求类型和权限类型,若一致,则用户的访问权限验证通过,否则,拒绝数据服务请求;
当用户的访问权限验证通过时,获取数据服务请求中的数据内容;
根据预设的数据加密解密规则,对数据内容进行解密操作,获取解密后的数据;
在数据解密过程中,基于预设的数据完整性检验模型,对解密操作进行完整性检验,确保数据的一致性和准确性;
将解密后的数据作为验证结果,为用户返回验证反馈;
对于每一次数据服务请求,记录用户的请求日志,包括请求类型、请求时间和验证结果,以便进行后续的数据服务分析和优化。
上述技术方案的工作原理为:获取用户的用户身份信息,包括用户ID和用户密码;查询预设的用户-身份库,确定用户ID对应的预设密码,用户-身份库是一个存储了用户ID和对应密码的数据库或数据结构;比较用户密码和预设密码,若一致,则用户的身份验证通过,否则,拒绝数据服务请求;当用户的身份验证通过时,获取数据服务请求对应的请求类型,请求类型包括数据查询请求和数据修改请求;查询预设的用户-权限库,确定用户对应的权限类型,权限类型包括查询权限和修改权限,用户-权限库是一个存储了用户ID和对应权限的数据库或数据结构;比较请求类型和权限类型,若一致,则用户的访问权限验证通过,否则,拒绝数据服务请求;当用户的访问权限验证通过时,获取数据服务请求中的数据内容;根据预设的数据加密解密规则,对数据内容进行解密操作,获取解密后的数据,数据加密解密规则是一套定义了数据加密和解密算法的规则集合;在数据解密过程中,基于预设的数据完整性检验模型,对解密操作进行完整性检验,确保数据的一致性和准确性,数据完整性检验模型是一套定义了数据完整性检验规则的模型;将解密后的数据作为验证结果,为用户返回验证反馈,验证反馈可以是解密后的数据内容或者验证失败的提示信息;对于每一次数据服务请求,记录用户的请求日志,包括请求类型、请求时间和验证结果,请求日志可以用于后续的数据服务分析和优化,以提升***的性能和用户体验。
假设用户的用户身份信息为用户ID为"12345",用户密码为"password123",查询预设的用户-身份库,确定用户ID"12345"对应的预设密码为"password123",比较用户密码和预设密码,若一致,则用户的身份验证通过;假设数据服务请求为数据查询请求,并且用户对应的权限类型为查询权限,比较请求类型和权限类型,若一致,则用户的访问权限验证通过;假设数据服务请求中的数据内容经过加密,根据预设的数据加密解密规则,对数据内容进行解密操作,获取解密后的数据;在数据解密过程中,基于预设的数据完整性检验模型,对解密操作进行完整性检验,例如,检验规则可以是校验数据的哈希值是否与预设的哈希值一致,以确保数据的完整性和准确性;最后,将解密后的数据作为验证结果,为用户返回验证反馈,例如返回解密后的数据内容。
上述技术方案的有益效果为:通过对用户身份和权限的验证,确保只有合法用户才能进行数据服务操作,提高数据的安全性和可信度;通过数据加密解密规则和数据完整性检验模型,对数据进行安全的传输和处理,保证数据的一致性和准确性;通过记录用户的请求日志,可以进行数据服务分析和优化,提升***的性能和用户体验,例如,根据请求日志可以发现异常访问行为或者权限滥用情况,及时采取相应的安全措施。
在另一实施例中,根据验证结果,执行对应的数据服务请求,包括:
接收用户的验证结果,验证结果包括:身份验证状态和访问权限验证状态;
当身份验证状态为通过且访问权限验证状态为通过时,获取用户的数据服务请求,数据服务请求包括:数据查询请求和数据修改请求;
获取预设的执行规则集,执行规则集包括:多个第一执行规则;
根据数据服务请求,确定对应的第一执行规则;
获取第一执行规则对应的至少一个执行场景和多个第一历史执行记录;
基于预设的执行场景-安全值库,确定执行场景对应的第一安全值,并与第一执行规则进行关联;
累加计算第一执行规则关联的第一安全值,获得第一安全值和;
对数据服务请求中的数据内容进行预筛选,获得第二数据内容;
提取第二数据内容的多个第一特征;
获取预设的数据安全特征库,将第一特征与数据安全特征库中的第二特征进行匹配,若匹配符合,将匹配符合的第二特征作为第三特征;
基于预设的特征-安全值库,确定第三特征对应的第二安全值,并与第一执行规则进行关联;
累加计算第一执行规则关联的第二安全值,获得第二安全值和;
若第一安全值和大于等于预设的第一安全值和阈值且第二安全值和大于等于预设的第二安全值和阈值,则允许执行数据服务请求;
在执行数据服务请求过程中,根据预设的数据访问控制规则,进行数据访问控制操作;
同时,根据预设的数据加密解密规则,对数据内容进行加密或解密操作;
完成数据服务请求的执行,获取执行结果。
上述技术方案的工作原理为:首先,接收用户的验证结果,包括身份验证状态和访问权限验证状态,例如,用户通过用户名和密码进行身份验证,并通过访问令牌验证访问权限;当身份验证状态为通过且访问权限验证状态为通过时,获取用户的数据服务请求,包括数据查询请求和数据修改请求,例如,用户请求查询某个特定的数据记录或者修改数据内容;获取预设的执行规则集,执行规则集包括多个第一执行规则,执行规则集是一组定义了数据服务请求的安全执行规则的集合,例如,执行规则可以限制只允许特定用户查询特定类型的数据;根据数据服务请求,确定对应的第一执行规则,第一执行规则是根据数据服务请求类型和其他条件定义的执行规则,例如,对于数据查询请求,可以使用特定的执行规则来限制查询的范围和条件;获取第一执行规则对应的至少一个执行场景和多个第一历史执行记录,执行场景是一组定义了数据服务请求的执行环境和条件的规则集合,第一历史执行记录是对该执行规则的历史执行情况进行记录,例如,执行场景可以定义在特定时间段内允许执行数据查询操作;基于预设的执行场景-安全值库,确定执行场景对应的第一安全值,并与第一执行规则进行关联,执行场景-安全值库是一个存储了执行场景和对应安全值的数据库或数据结构,例如,执行场景可以定义为白天工作时间段,对应的第一安全值可以是较低的安全级别;累加计算第一执行规则关联的第一安全值,获得第一安全值和,累加计算是根据第一执行规则关联的第一安全值和历史执行记录的安全值进行计算,以得到第一安全值和,例如,如果历史执行记录中存在安全事件,则第一安全值和会相应增加;对数据服务请求中的数据内容进行预筛选,获得第二数据内容,预筛选是根据第一执行规则定义的条件对数据内容进行筛选,以得到符合条件的第二数据内容,例如,根据执行规则,只允许查询特定类型的数据记录;提取第二数据内容的多个第一特征,第一特征是从第二数据内容中提取的具有代表性的特征,用于后续的特征匹配,例如,从数据内容中提取关键词、日期等特征;获取预设的数据安全特征库,将第一特征与数据安全特征库中的第二特征进行匹配,若匹配符合,将匹配符合的第二特征作为第三特征,数据安全特征库是一个存储了安全特征和对应特征值的数据库或数据结构,例如,数据安全特征库中定义了敏感词汇和对应的特征值;基于预设的特征-安全值库,确定第三特征对应的第二安全值,并与第一执行规则进行关联,特征-安全值库是一个存储了特征和对应安全值的数据库或数据结构,例如,特征-安全值库中定义了敏感词汇对应的高安全级别;累加计算第一执行规则关联的第二安全值,获得第二安全值和,累加计算是根据第一执行规则关联的第二安全值和历史执行记录的安全值进行计算,以得到第二安全值和,例如,如果历史执行记录中存在安全事件,则第二安全值和会相应增加;若第一安全值和大于等于预设的第一安全值和阈值且第二安全值和大于等于预设的第二安全值和阈值,则允许执行数据服务请求,例如,如果第一安全值和和第二安全值和都达到了预设的安全阈值,则允许执行数据服务请求;在执行数据服务请求过程中,根据预设的数据访问控制规则,进行数据访问控制操作。数据访问控制规则定义了对数据的访问权限和操作限制,例如,只允许特定用户对特定数据进行读取或修改;
同时,根据预设的数据加密解密规则,对数据内容进行加密或解密操作,数据加密解密规则定义了对数据进行加密和解密的方式和算法,例如,对于敏感数据,可以使用对称加密算法进行加密;完成数据服务请求的执行,获取执行结果,执行结果可以是查询到的数据记录或者修改操作的执行状态,例如,返回查询到的数据记录或者返回修改操作的成功或失败信息。
上述技术方案的有益效果为:采用该方法可以提高数据服务的安全性和合法性,通过验证用户身份和访问权限,以及执行规则和安全值的关联,确保只有合法用户可以访问和操作数据;通过预筛选和特征匹配,可以对数据内容进行安全检查,防止非法数据的访问和篡改,保护数据的完整性和可信度;数据访问控制和数据加密解密规则的应用,可以进一步保护数据的隐私和机密性,防止数据泄露和未授权访问;通过累加计算安全值和,可以根据历史执行记录和安全事件的情况,动态调整安全阈值,提高***的自适应性和安全性;该方法可以根据预设的执行规则和安全值,对不同类型的数据服务请求进行个性化的安全控制,提高***的灵活性和可扩展性。
在另一实施例中,将执行结果返回给用户,包括:
基于预设的结果解析模型,对执行结果进行解析,获取关键执行信息;
将执行结果返回给用户;
对关键执行信息进行筛选,获取安全关键信息;
基于预设的安全日志模型,将安全关键信息转化为安全日志条目,并存储于预设的安全日志数据库中;
同时,基于预设的审计信息模型,将关键执行信息转化为审计信息条目;
获取当前执行的时间、用户的身份信息和执行环境信息,与审计信息条目进行关联,形成完整的审计记录;
将完整的审计记录存储于预设的审计数据库中;
在存储过程中,根据预设的数据保护策略,对安全日志条目和审计记录进行加密保护;
完成安全日志和审计信息的记录,确保执行过程的透明性和可追溯性。
上述技术方案的工作原理为:基于预设的结果解析模型,对执行结果进行解析,获取关键执行信息,结果解析模型是一个定义了解析规则和关键信息的模型,例如,从执行结果中提取出执行状态、执行时间、执行者等关键信息;将执行结果返回给用户,将解析后的执行结果返回给用户,以便用户了解执行操作的结果;对关键执行信息进行筛选,获取安全关键信息,根据预设的筛选规则,从关键执行信息中筛选出与安全相关的信息,例如,筛选出涉及敏感数据访问或权限变更的信息;基于预设的安全日志模型,将安全关键信息转化为安全日志条目,并存储于预设的安全日志数据库中,安全日志模型定义了安全日志的结构和格式,例如,将安全关键信息转化为包含时间戳、执行者、操作类型等字段的安全日志条目;同时,基于预设的审计信息模型,将关键执行信息转化为审计信息条目,审计信息模型定义了审计信息的结构和格式,例如,将关键执行信息转化为包含时间戳、执行者、操作类型、执行环境等字段的审计信息条目;获取当前执行的时间、用户的身份信息和执行环境信息,与审计信息条目进行关联,形成完整的审计记录,将当前执行的时间、用户身份信息和执行环境信息与审计信息条目进行关联,以便后续的审计分析和溯源,例如,将执行时间和执行者与审计信息条目进行关联;将完整的审计记录存储于预设的审计数据库中,将形成的完整审计记录存储在预设的审计数据库中,以便后续的审计查询和分析;在存储过程中,根据预设的数据保护策略,对安全日志条目和审计记录进行加密保护,根据预设的数据保护策略,对安全日志条目和审计记录进行加密,以保护其机密性,例如,使用对称加密算法对安全日志和审计记录进行加密;完成安全日志和审计信息的记录,确保执行过程的透明性和可追溯性,通过记录安全日志和审计信息,可以确保执行过程的透明性和可追溯性,便于后续的安全分析和审计。
上述技术方案的有益效果为:采用该方法可以记录执行结果和关键信息,保留执行过程的透明性和可追溯性,便于发现安全事件和进行安全分析;通过安全日志和审计记录的存储和加密保护,可以保护安全信息的机密性,防止未经授权的访问和篡改;安全日志和审计记录的记录和存储,可以满足合规性要求,便于进行安全审计和合规性检查;通过审计记录的关联和查询,可以进行安全事件的溯源和分析,提高***的安全性和响应能力;该方法可以帮助组织及时发现和应对安全威胁,提高***的安全性和可信度。
在另一实施例中,获得多个第一查询特征,包括:
接收用户的数据服务请求,确定请求为数据查询请求;
基于预设的请求解析模型,对数据查询请求进行深度解析,获取关键查询信息;
将关键查询信息拆分为多个查询参数项;
对查询参数项进行属性识别,确定每一查询参数项的数据类型、数据范围和数据来源;
基于预设的特征提取模型,对查询参数项进行特征提取,获得多个第一查询特征;
同时,获取预设的特征关联库,将第一查询特征与特征关联库中的第二查询特征进行匹配;
若匹配成功,将对应的第一查询特征与第二查询特征进行关联,形成关联特征组;
对关联特征组进行优化处理,去除冗余特征,确保查询效率;
将优化后的关联特征组作为最终的查询特征,完成特征获取过程。
上述技术方案的工作原理为:接收用户的数据服务请求,确定请求为数据查询请求,根据请求的类型和格式,判断用户的请求是否为数据查询请求;基于预设的请求解析模型,对数据查询请求进行深度解析,获取关键查询信息。请求解析模型定义了解析规则和关键信息的模型,例如,从查询请求中提取出查询条件、查询目标等关键信息;将关键查询信息拆分为多个查询参数项,根据查询信息的结构和语义,将关键查询信息拆分为多个查询参数项,例如,将查询条件拆分为多个独立的查询参数项;对查询参数项进行属性识别,确定每一查询参数项的数据类型、数据范围和数据来源,根据预设的属性识别规则,对每个查询参数项进行属性识别,确定其数据类型(如字符串、数字、日期等)、数据范围(如最小值、最大值)和数据来源(如用户输入、***配置);
基于预设的特征提取模型,对查询参数项进行特征提取,获得多个第一查询特征,特征提取模型定义了特征提取规则和方法,例如,对于查询参数项"年龄",可以提取出第一查询特征"age";同时,获取预设的特征关联库,将第一查询特征与特征关联库中的第二查询特征进行匹配,特征关联库是一个预先定义的特征关联映射表,例如,将第一查询特征"age"与特征关联库中的第二查询特征"年龄"进行匹配;若匹配成功,将对应的第一查询特征与第二查询特征进行关联,形成关联特征组,例如,将第一查询特征"age"与第二查询特征"年龄"进行关联,形成关联特征组"age:年龄";对关联特征组进行优化处理,去除冗余特征,确保查询效率,根据预设的优化规则,对关联特征组进行优化处理,去除冗余特征,以提高查询效率;将优化后的关联特征组作为最终的查询特征,完成特征获取过程,将经过优化处理的关联特征组作为最终的查询特征,用于后续的数据查询操作。
上述技术方案的有益效果为:采用该方法可以深度解析用户的数据查询请求,准确理解用户的查询意图;通过特征提取和关联,可以优化查询特征组,去除冗余特征,提高查询效率;特征获取过程可以帮助***更好地理解用户的查询需求,提供更准确和高效的数据查询服务;通过优化处理,可以减少查询特征的数量,降低查询的复杂度,提高***的性能和响应速度;该方法可以提高数据查询的准确性和效率,提升用户体验,增强***的可用性和竞争力。
在另一实施例中,对关键执行信息进行筛选,获取安全关键信息,包括:
基于预设的第二特征提取模板,对关键执行信息进行筛选,获取安全关键信息,当筛选出的安全关键信息满足预定的安全标准时,将该信息存储于安全数据库中,以备后续查询和分析。
上述技术方案的工作原理为:首先,***使用一个预设的特征提取模板,这个模板包含了关于安全信息的特定规则和条件,用于从原始数据中提取关键信息;***根据模板对原始数据进行筛选,仅保留符合特定特征或条件的数据,这些特征可能包括关键字、模式匹配、或其他信息的结构化特性;在筛选过程中,***会将满足特定条件的信息标识为安全关键信息,这些信息可能涉及到网络攻击、异常活动、潜在威胁等安全相关事件;筛选出的安全关键信息需要满足预定的安全标准或规则,以确保其真实性和重要性,这可能包括验证信息的来源、关联性、风险等级等;一旦信息通过了安全标准的检查,它将被存储在安全数据库中,以备后续的查询、分析和监控,这个数据库通常受到严格的安全控制和访问权限管理。
上述技术方案的有益效果为:可以帮助组织及时识别和响应潜在的安全威胁,减少数据泄露、网络攻击和其他安全风险;通过使用预设的模板和自动化流程,可以减少人工操作,提高工作效率,使安全分析更加高效;存储在安全数据库中的信息可以被追溯和审计,有助于了解安全事件的历史和演变;这种方法有助于组织满足安全合规性要求,如GDPR、HIPAA等,通过记录和监测安全事件以及采取适当的措施来保护敏感信息。
在另一实施例中,一种基于安全规则的数据服务的装置,包括:
安全规则定义模块,用于定义一系列安全规则,安全规则包括访问控制规则和数据加密规则;
数据服务请求接收模块,用于接收用户的数据服务请求,其中,数据服务请求包括数据查询和数据修改的操作;
安全规则验证模块,用于根据安全规则,对数据服务请求进行验证,验证包括用户身份验证、访问权限验证和数据加密解密,获取验证结果;
数据服务执行模块,用于根据验证结果,执行对应的数据服务请求,获取执行结果,执行过程中,根据安全规则进行数据访问控制和数据加密解密的操作;
响应模块,用于将执行结果返回给用户,并记录相关的安全日志和审计信息。
上述技术方案的工作原理为:***中的安全规则定义模块用于定义一系列安全规则,包括访问控制规则和数据加密规则,这些规则可以根据组织的安全需求和政策进行定制;数据服务请求接收模块:***接收用户的数据服务请求,包括数据查询和数据修改的操作,这些请求可能包含用户身份信息、操作类型、目标数据等;安全规则验证模块:根据安全规则,***对数据服务请求进行验证,这个验证过程包括用户身份验证、访问权限验证和数据加密解密等,验证结果可以确定用户是否有权执行请求操作;数据服务执行模块:根据验证结果,***执行对应的数据服务请求,在执行过程中,***根据安全规则进行数据访问控制和数据加密解密的操作,以确保数据的安全性和完整性;响应模块:***将执行结果返回给用户,并记录相关的安全日志和审计信息,这些日志和信息可以用于后续的安全分析、追溯和合规性审计。
上述技术方案的有益效果为:通过定义和验证安全规则,***可以确保只有经过授权的用户可以访问和修改数据,从而保护数据的安全性和隐私性;***可以根据安全规则对用户的访问权限进行验证,防止未经授权的访问和操作,减少数据泄露和滥用的风险;通过安全规则定义和验证模块,***可以对敏感数据进行加密和解密操作,保护数据的机密性,防止数据在传输和存储过程中被窃取或篡改;***记录安全日志和审计信息,可以帮助组织进行安全事件的追溯和分析,及时发现和应对安全威胁,同时满足合规性要求。
在另一实施例中,安全规则定义模块包括:
安全规则定义第一子模块,用于从安全需求中提取第一安全特征,对第一安全特征进行分类,获得多个安全类别;
安全规则定义第二子模块,用于构建类别-规则模板库,根据安全类别确定对应的规则模板,并与第一安全特征进行关联;
安全规则定义第三子模块,用于根据关联的规则模板,为第一安全特征定制第一安全规则,其中,第一安全规则包括:访问控制规则和数据加密规则;
安全规则定义第四子模块,用于对访问控制规则进行配置,确定设定范围内特定用户或用户组的访问权限,对数据加密规则进行配置,确定数据的加密方法和密钥管理策略;
安全规则定义第五子模块,用于整合所定制和配置的第一安全规则,形成完整的安全规则集,当***进行安全验证时,根据安全规则集,执行对应的访问控制和数据加密操作。
上述技术方案的工作原理为:安全规则定义第一子模块,从安全需求中提取第一安全特征并对其进行分类,以获得多个安全类别,这可能涉及分析***或应用程序的安全需求,识别与访问控制和数据加密相关的安全特征;安全规则定义第二子模块:构建类别-规则模板库,根据安全类别确定对应的规则模板,并与第一安全特征进行关联;这一步帮助***建立了安全规则的基础框架;安全规则定义第三子模块:根据关联的规则模板,为第一安全特征定制第一安全规则,包括访问控制规则和数据加密规则,这些规则将定义如何保护和管理特定安全特征的访问和数据;安全规则定义第四子模块:对访问控制规则进行配置,确定设定范围内特定用户或用户组的访问权限,同时,对数据加密规则进行配置,确定数据的加密方法和密钥管理策略,这些配置将根据具体需求来定义安全策略;安全规则定义第五子模块:整合所定制和配置的第一安全规则,形成完整的安全规则集,当***进行安全验证时,根据安全规则集,执行对应的访问控制和数据加密操作,这确保了***在运行时按照预定的规则来处理安全特征。
上述技术方案的有益效果为:这个***允许组织根据其具体的安全需求和特征来定制安全规则,以满足不同的安全类别的要求;通过建立规则模板库,***可以实现统一管理和关联安全规则,确保一致性和可维护性;***的配置和定制模块允许精确控制访问权限和数据加密,提高数据的保密性和完整性;通过执行安全规则,***可以在运行时实时监测和强化安全,有助于防止未经授权的访问和数据泄露;这种***有助于组织满足安全合规性要求,如GDPR、HIPAA等,通过定义和执行符合标准的安全规则。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (9)
1.一种基于安全规则的数据服务的方法,其特征在于,包括:
S101:定义一系列安全规则,安全规则包括访问控制规则和数据加密规则;
S102:接收用户的数据服务请求,其中,数据服务请求包括数据查询和数据修改的操作;
S103:根据安全规则,对数据服务请求进行验证,验证包括用户身份验证、访问权限验证和数据加密解密,获取验证结果;
S104:根据验证结果,执行对应的数据服务请求,获取执行结果,执行过程中,根据安全规则进行数据访问控制和数据加密解密的操作;
S105:将执行结果返回给用户,并记录相关的安全日志和审计信息;
根据验证结果,执行对应的数据服务请求,包括:
接收用户的验证结果,验证结果包括:身份验证状态和访问权限验证状态;
当身份验证状态为通过且访问权限验证状态为通过时,获取用户的数据服务请求,数据服务请求包括:数据查询请求和数据修改请求;
获取预设的执行规则集,执行规则集包括:多个第一执行规则;
根据数据服务请求,确定对应的第一执行规则;
获取第一执行规则对应的至少一个执行场景和多个第一历史执行记录;
基于预设的执行场景-安全值库,确定执行场景对应的第一安全值,并与第一执行规则进行关联;
累加计算第一执行规则关联的第一安全值,获得第一安全值和;
对数据服务请求中的数据内容进行预筛选,获得第二数据内容;
提取第二数据内容的多个第一特征;
获取预设的数据安全特征库,将第一特征与数据安全特征库中的第二特征进行匹配,若匹配符合,将匹配符合的第二特征作为第三特征;
基于预设的特征-安全值库,确定第三特征对应的第二安全值,并与第一执行规则进行关联;
累加计算第一执行规则关联的第二安全值,获得第二安全值和;
若第一安全值和大于等于预设的第一安全值和阈值且第二安全值和大于等于预设的第二安全值和阈值,则允许执行数据服务请求;
在执行数据服务请求过程中,根据预设的数据访问控制规则,进行数据访问控制操作;
同时,根据预设的数据加密解密规则,对数据内容进行加密或解密操作;
完成数据服务请求的执行,获取执行结果。
2.根据权利要求1所述的一种基于安全规则的数据服务的方法,其特征在于,S101步骤包括:
S1011:从安全需求中提取第一安全特征,对第一安全特征进行分类,获得多个安全类别;
S1012:构建类别-规则模板库,根据安全类别确定对应的规则模板,并与第一安全特征进行关联;
S1013:根据关联的规则模板,为第一安全特征定制第一安全规则,其中,第一安全规则包括:访问控制规则和数据加密规则;
S1014:对访问控制规则进行配置,确定设定范围内特定用户或用户组的访问权限,对数据加密规则进行配置,确定数据的加密方法和密钥管理策略;
S1015:整合所定制和配置的第一安全规则,形成完整的安全规则集,当***进行安全验证时,根据安全规则集,执行对应的访问控制和数据加密操作。
3.根据权利要求1所述的一种基于安全规则的数据服务的方法,其特征在于,接收用户的数据服务请求,包括:
接收用户的数据服务请求,当数据服务请求为数据查询请求时,解析用户提交的查询参数,获得多个第一查询特征;
查询预设的数据-特征库,确定第一查询特征对应的第一数据项,并与数据查询请求进行关联;
根据关联的第一数据项,为用户返回查询结果;
当数据服务请求为数据修改请求时,解析用户提交的修改参数,获得多个第一修改特征和所述第一修改特征对应的修改值;
查询预设的数据-特征库,确定第一修改特征对应的第二数据项,并与数据修改请求进行关联;
根据关联的第二数据项和修改值,对第二数据项进行更新操作;
在数据更新过程中,基于预设的数据完整性检验模型,对更新操作进行完整性检验,确保数据的一致性和准确性;
将更新后的第二数据项作为修改结果,为用户返回修改反馈;
对于每一次数据服务请求,记录用户的请求日志,包括请求类型、请求时间和请求结果,以便进行后续的数据服务分析和优化。
4.根据权利要求1所述的一种基于安全规则的数据服务的方法,其特征在于,根据安全规则,对数据服务请求进行验证,包括:
获取用户的用户身份信息,用户身份信息包括:用户ID和用户密码;
查询预设的用户-身份库,确定用户ID对应的预设密码;
比较用户密码和预设密码,若一致,则用户的身份验证通过,否则,拒绝数据服务请求;
当用户的身份验证通过时,获取数据服务请求对应的请求类型,请求类型包括:数据查询请求和数据修改请求;
查询预设的用户-权限库,确定用户对应的权限类型,权限类型包括:查询权限和修改权限;
比较请求类型和权限类型,若一致,则用户的访问权限验证通过,否则,拒绝数据服务请求;
当用户的访问权限验证通过时,获取数据服务请求中的数据内容;
根据预设的数据加密解密规则,对数据内容进行解密操作,获取解密后的数据;
在数据解密过程中,基于预设的数据完整性检验模型,对解密操作进行完整性检验,确保数据的一致性和准确性;
将解密后的数据作为验证结果,为用户返回验证反馈;
对于每一次数据服务请求,记录用户的请求日志,包括请求类型、请求时间和验证结果,以便进行后续的数据服务分析和优化。
5.根据权利要求1所述的一种基于安全规则的数据服务的方法,其特征在于,将执行结果返回给用户,包括:
基于预设的结果解析模型,对执行结果进行解析,获取关键执行信息;
将执行结果返回给用户;
对关键执行信息进行筛选,获取安全关键信息;
基于预设的安全日志模型,将安全关键信息转化为安全日志条目,并存储于预设的安全日志数据库中;
同时,基于预设的审计信息模型,将关键执行信息转化为审计信息条目;
获取当前执行的时间、用户的身份信息和执行环境信息,与审计信息条目进行关联,形成完整的审计记录;
将完整的审计记录存储于预设的审计数据库中;
在存储过程中,根据预设的数据保护策略,对安全日志条目和审计记录进行加密保护;
完成安全日志和审计信息的记录,确保执行过程的透明性和可追溯性。
6.根据权利要求3所述的一种基于安全规则的数据服务的方法,其特征在于,获得多个第一查询特征,包括:
接收用户的数据服务请求,确定请求为数据查询请求;
基于预设的请求解析模型,对数据查询请求进行深度解析,获取关键查询信息;
将关键查询信息拆分为多个查询参数项;
对查询参数项进行属性识别,确定每一查询参数项的数据类型、数据范围和数据来源;
基于预设的特征提取模型,对查询参数项进行特征提取,获得多个第一查询特征;
同时,获取预设的特征关联库,将第一查询特征与特征关联库中的第二查询特征进行匹配;
若匹配成功,将对应的第一查询特征与第二查询特征进行关联,形成关联特征组;
对关联特征组进行优化处理,去除冗余特征,确保查询效率;
将优化后的关联特征组作为最终的查询特征,完成特征获取过程。
7.根据权利要求5所述的一种基于安全规则的数据服务的方法,其特征在于,对关键执行信息进行筛选,获取安全关键信息,包括:
基于预设的第二特征提取模板,对关键执行信息进行筛选,获取安全关键信息,当筛选出的安全关键信息满足预定的安全标准时,将该信息存储于安全数据库中,以备后续查询和分析。
8.一种基于安全规则的数据服务的装置,其特征在于,包括:
安全规则定义模块,用于定义一系列安全规则,安全规则包括访问控制规则和数据加密规则;
数据服务请求接收模块,用于接收用户的数据服务请求,其中,数据服务请求包括数据查询和数据修改的操作;
安全规则验证模块,用于根据安全规则,对数据服务请求进行验证,验证包括用户身份验证、访问权限验证和数据加密解密,获取验证结果;
数据服务执行模块,用于根据验证结果,执行对应的数据服务请求,获取执行结果,执行过程中,根据安全规则进行数据访问控制和数据加密解密的操作;
响应模块,用于将执行结果返回给用户,并记录相关的安全日志和审计信息;
根据验证结果,执行对应的数据服务请求,包括:
接收用户的验证结果,验证结果包括:身份验证状态和访问权限验证状态;
当身份验证状态为通过且访问权限验证状态为通过时,获取用户的数据服务请求,数据服务请求包括:数据查询请求和数据修改请求;
获取预设的执行规则集,执行规则集包括:多个第一执行规则;
根据数据服务请求,确定对应的第一执行规则;
获取第一执行规则对应的至少一个执行场景和多个第一历史执行记录;
基于预设的执行场景-安全值库,确定执行场景对应的第一安全值,并与第一执行规则进行关联;
累加计算第一执行规则关联的第一安全值,获得第一安全值和;
对数据服务请求中的数据内容进行预筛选,获得第二数据内容;
提取第二数据内容的多个第一特征;
获取预设的数据安全特征库,将第一特征与数据安全特征库中的第二特征进行匹配,若匹配符合,将匹配符合的第二特征作为第三特征;
基于预设的特征-安全值库,确定第三特征对应的第二安全值,并与第一执行规则进行关联;
累加计算第一执行规则关联的第二安全值,获得第二安全值和;
若第一安全值和大于等于预设的第一安全值和阈值且第二安全值和大于等于预设的第二安全值和阈值,则允许执行数据服务请求;
在执行数据服务请求过程中,根据预设的数据访问控制规则,进行数据访问控制操作;
同时,根据预设的数据加密解密规则,对数据内容进行加密或解密操作;
完成数据服务请求的执行,获取执行结果。
9.根据权利要求8所述的一种基于安全规则的数据服务的装置,其特征在于,安全规则定义模块包括:
安全规则定义第一子模块,用于从安全需求中提取第一安全特征,对第一安全特征进行分类,获得多个安全类别;
安全规则定义第二子模块,用于构建类别-规则模板库,根据安全类别确定对应的规则模板,并与第一安全特征进行关联;
安全规则定义第三子模块,用于根据关联的规则模板,为第一安全特征定制第一安全规则,其中,第一安全规则包括:访问控制规则和数据加密规则;
安全规则定义第四子模块,用于对访问控制规则进行配置,确定设定范围内特定用户或用户组的访问权限,对数据加密规则进行配置,确定数据的加密方法和密钥管理策略;
安全规则定义第五子模块,用于整合所定制和配置的第一安全规则,形成完整的安全规则集,当***进行安全验证时,根据安全规则集,执行对应的访问控制和数据加密操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311462586.9A CN117494163B (zh) | 2023-11-06 | 2023-11-06 | 一种基于安全规则的数据服务的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311462586.9A CN117494163B (zh) | 2023-11-06 | 2023-11-06 | 一种基于安全规则的数据服务的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117494163A CN117494163A (zh) | 2024-02-02 |
CN117494163B true CN117494163B (zh) | 2024-05-31 |
Family
ID=89684310
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311462586.9A Active CN117494163B (zh) | 2023-11-06 | 2023-11-06 | 一种基于安全规则的数据服务的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117494163B (zh) |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103117983A (zh) * | 2011-11-16 | 2013-05-22 | ***通信集团公司 | 数据服务请求应答方法和数据服务协议栈 |
CN105656903A (zh) * | 2016-01-15 | 2016-06-08 | 国家计算机网络与信息安全管理中心 | 一种Hive平台的用户安全管理***及应用 |
CN108924120A (zh) * | 2018-06-28 | 2018-11-30 | 电子科技大学 | 一种多维状态感知的动态访问控制方法 |
CN114021161A (zh) * | 2021-10-21 | 2022-02-08 | 山东浪潮工业互联网产业股份有限公司 | 一种基于工业大数据共享服务的安全管理方法 |
CN114465815A (zh) * | 2022-03-15 | 2022-05-10 | 浙江大学 | 一种基于区块链和sgx的访问权限控制***及方法 |
CN115630404A (zh) * | 2022-10-26 | 2023-01-20 | 中国电子科技集团公司第三十研究所 | 一种数据安全治理服务方法 |
CN115659359A (zh) * | 2022-08-25 | 2023-01-31 | 公安部第三研究所 | 一种业务***访问主动审计方法及*** |
CN116545731A (zh) * | 2023-05-29 | 2023-08-04 | 中科天御(苏州)科技有限公司 | 一种基于时间窗动态切换的零信任网络访问控制方法及*** |
CN116633594A (zh) * | 2023-04-18 | 2023-08-22 | 上海亿阁科技有限公司 | Flamingo网关安全*** |
CN116708037A (zh) * | 2023-08-07 | 2023-09-05 | 勤源(江苏)科技有限公司 | 云平台访问权限控制方法及*** |
CN116719512A (zh) * | 2023-08-10 | 2023-09-08 | 深圳海云安网络安全技术有限公司 | 一种基于评分和无监督自学习的安全设计规则标记方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2615756B (en) * | 2022-02-15 | 2024-03-20 | Paycasso Verify Ltd | An authentication system |
-
2023
- 2023-11-06 CN CN202311462586.9A patent/CN117494163B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103117983A (zh) * | 2011-11-16 | 2013-05-22 | ***通信集团公司 | 数据服务请求应答方法和数据服务协议栈 |
CN105656903A (zh) * | 2016-01-15 | 2016-06-08 | 国家计算机网络与信息安全管理中心 | 一种Hive平台的用户安全管理***及应用 |
CN108924120A (zh) * | 2018-06-28 | 2018-11-30 | 电子科技大学 | 一种多维状态感知的动态访问控制方法 |
CN114021161A (zh) * | 2021-10-21 | 2022-02-08 | 山东浪潮工业互联网产业股份有限公司 | 一种基于工业大数据共享服务的安全管理方法 |
CN114465815A (zh) * | 2022-03-15 | 2022-05-10 | 浙江大学 | 一种基于区块链和sgx的访问权限控制***及方法 |
CN115659359A (zh) * | 2022-08-25 | 2023-01-31 | 公安部第三研究所 | 一种业务***访问主动审计方法及*** |
CN115630404A (zh) * | 2022-10-26 | 2023-01-20 | 中国电子科技集团公司第三十研究所 | 一种数据安全治理服务方法 |
CN116633594A (zh) * | 2023-04-18 | 2023-08-22 | 上海亿阁科技有限公司 | Flamingo网关安全*** |
CN116545731A (zh) * | 2023-05-29 | 2023-08-04 | 中科天御(苏州)科技有限公司 | 一种基于时间窗动态切换的零信任网络访问控制方法及*** |
CN116708037A (zh) * | 2023-08-07 | 2023-09-05 | 勤源(江苏)科技有限公司 | 云平台访问权限控制方法及*** |
CN116719512A (zh) * | 2023-08-10 | 2023-09-08 | 深圳海云安网络安全技术有限公司 | 一种基于评分和无监督自学习的安全设计规则标记方法 |
Non-Patent Citations (1)
Title |
---|
面向云计算的访问控制技术研究;苏铓;《中国博士学位论文全文数据库 信息科技辑》;20160315(第03期);I139-24 * |
Also Published As
Publication number | Publication date |
---|---|
CN117494163A (zh) | 2024-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105653981B (zh) | 大数据平台的数据流通与交易的敏感数据保护***及方法 | |
JP4443224B2 (ja) | データ管理システムおよび方法 | |
JP4167300B2 (ja) | データ処理方法および装置 | |
US8701182B2 (en) | Method and apparatus for process enforced configuration management | |
US11138475B2 (en) | Systems and methods for data protection | |
KR20200093007A (ko) | 모델 훈련 시스템 및 방법과, 저장 매체 | |
CN112217835B (zh) | 报文数据的处理方法、装置、服务器和终端设备 | |
Hu et al. | Guidelines for access control system evaluation metrics | |
CN115733681A (zh) | 一种防止数据丢失的数据安全管理平台 | |
CN113468576B (zh) | 一种基于角色的数据安全访问方法及装置 | |
CN111666591A (zh) | 线上核保数据安全处理方法、***、设备及存储介质 | |
US20180218364A1 (en) | Managing distributed content using layered permissions | |
CN114925141B (zh) | 一种基于区块链的云原生自动化部署管理***及方法 | |
Accorsi | Automated privacy audits to complement the notion of control for identity management | |
CN117251850A (zh) | 智能数据共享与监控方法及*** | |
CN117459327B (zh) | 一种云数据透明加密保护方法、***及装置 | |
CN117272349A (zh) | 一种关系型数据库安全保护方法、***及存储介质 | |
CN117494163B (zh) | 一种基于安全规则的数据服务的方法和装置 | |
CN102770869B (zh) | 计算资源的安全执行 | |
CN116595502A (zh) | 基于智能合约的用户管理方法及相关装置 | |
Lu et al. | DIFCS: a secure cloud data sharing approach based on decentralized information flow control | |
US20080155690A1 (en) | System and Method for Authenticating and Validating the Linkage Between Input Files and Output Files in a Computational Process | |
US20220343351A1 (en) | Distributed scoring system | |
Birnstill et al. | Building blocks for identity management and protection for smart environments and interactive assistance systems | |
CN112612461A (zh) | 一种erp***中统一管理和发布安全api接口的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |