一種數(shù)據(jù)訪問權(quán)限控制方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其是涉及一種數(shù)據(jù)訪問權(quán)限控制方法及裝置���。
【背景技術(shù)】
[0002]在普通的業(yè)務(wù)應(yīng)用系統(tǒng)中���,可能會根據(jù)用戶的不同的維度的信息,來獲取用戶的數(shù)據(jù)訪問權(quán)限�����,不同維度的數(shù)據(jù)權(quán)限的定義可能不同,如何解決這些權(quán)限的合并�,往往是一個比較復(fù)雜的問題。
[0003]通常�����,不同的維度的信息可以認為是不同的用戶屬性�����,例如��,用戶的部門信息����,級別信息等等。目前����,一種針對數(shù)據(jù)表的多維度權(quán)限控制方案:定義數(shù)據(jù)表的每一個字段(或稱屬性)在每種維度下的權(quán)限訪問策略,如數(shù)據(jù)表的列代表維度�,數(shù)據(jù)表的行代表字段,每一個字段在每種維度下都對應(yīng)設(shè)置有訪問權(quán)限策略��;可是對于某一個字段而言�����,只有在各個維度下都擁有訪問權(quán)限的用戶才可以對該字段進行訪問,因此這種多個維度之間的權(quán)限配合關(guān)系過于單一�����;并且�����,需要針對每一個字段進行單獨的配置�����,在列數(shù)目(即維度)過多的情形下���,操作過于繁瑣。
【發(fā)明內(nèi)容】
[0004]本發(fā)明實施例提供了一種數(shù)據(jù)訪問權(quán)限控制方法及裝置���,用于解決多維度的用戶的權(quán)限控制問題���。
[0005]本發(fā)明第一方面提供一種數(shù)據(jù)訪問權(quán)限控制方法,其中�����,可包括:
[0006]接收用戶的訪問請求;
[0007]根據(jù)所述用戶的維度信息��,確定所述用戶對應(yīng)的權(quán)限組�;
[0008]根據(jù)所述用戶的維度值,確定所述用戶在每個權(quán)限組中的權(quán)限集�;
[0009]將所述用戶在所述每個權(quán)限組中的權(quán)限集進行合并,獲得所述用戶的權(quán)限�����。
[0010]結(jié)合第一方面�,在第一種可能的實施方式中,所述方法還包括:
[0011]為每個維度配置一個對應(yīng)的權(quán)限組����,所述權(quán)限組包含不同的維度值對應(yīng)的不同的權(quán)限集。
[0012]結(jié)合第一方面或第一方面的第一種可能的實施方式����,在第二種可能的實施方式中,所述方法還包括:
[0013]為每個用戶類別配置一個對應(yīng)的權(quán)限域�,所述權(quán)限域包含所述每個維度對應(yīng)的每個權(quán)限組;
[0014]則��,根據(jù)所述用戶的維度信息,確定所述用戶對應(yīng)的權(quán)限組�,包括:
[0015]根據(jù)所述用戶的類別,確定所述用戶對應(yīng)的權(quán)限域���;
[0016]根據(jù)所述用戶的維度信息����,從所述用戶對應(yīng)的權(quán)限域中確定所述用戶對應(yīng)的權(quán)限組�����。
[0017]結(jié)合第一方面的第二種可能的實施方式���,在第三種可能的實施方式中,所述根據(jù)所述用戶的維度值����,確定所述用戶在每個權(quán)限組中的權(quán)限集,包括:
[0018]確定所述用戶對應(yīng)的權(quán)限組的類別�����,所述權(quán)限組的類別包括互斥權(quán)限組或非互斥權(quán)限組���,其中��,所述互斥權(quán)限組中一個用戶配置一種權(quán)限集���,所述非互斥權(quán)限組中一個用戶配置多種權(quán)限集��;
[0019]根據(jù)所述用戶的維度值�,確定所述用戶在每個權(quán)限組中的權(quán)限集��,其中��,對所述用戶在非互斥權(quán)限組中的所有權(quán)限集進行取并集�,獲得所述用戶在非互斥權(quán)限組中的權(quán)限集,或者��,獲得所述用戶在互斥權(quán)限組中的唯一權(quán)限集�。
[0020]結(jié)合第一方面或第一方面的第一種可能的實施方式,在第四種可能的實施方式中����,所述將所述用戶在所述每個權(quán)限組中的權(quán)限集進行合并,包括:
[0021]根據(jù)預(yù)置的第一合并策略或者第二合并策略�,將所述用戶在所述每個權(quán)限組中的權(quán)限集進行合并,其中,所述第一合并策略為根據(jù)用戶的業(yè)務(wù)邏輯配置的權(quán)限組之間的合并策略��,所述第二合并策略為每個用戶配置的合并策略���。
[0022]結(jié)合第一方面的第四種可能的實施方式��,在第五種可能的實施方式中�,所述合并包括求并集或求交集���。
[0023]本發(fā)明第二方面還提供一種數(shù)據(jù)訪問權(quán)限控制裝置���,其中,可包括:
[0024]接收模塊��,用于接收用戶的訪問請求�;
[0025]第一確定模塊�,用于根據(jù)所述用戶的維度信息,確定所述用戶對應(yīng)的權(quán)限組����;
[0026]第二確定模塊,用于根據(jù)所述用戶的維度值��,確定所述用戶在每個權(quán)限組中的權(quán)限集���;
[0027]合并模塊���,用于將所述用戶在所述每個權(quán)限組中的權(quán)限集進行合并��,獲得所述用戶的權(quán)限�����。
[0028]結(jié)合第二方面�,在第一種可能的實施方式中�����,所述裝置還包括:
[0029]配置模塊����,用于為每個維度配置一個對應(yīng)的權(quán)限組,所述權(quán)限組包含不同的維度值對應(yīng)的不同的權(quán)限集���。
[0030]結(jié)合第二方面或第二方面的第一種可能的實施方式���,在第二種可能的實施方式中,所述配置模塊,還用于:為每個用戶類別配置一個對應(yīng)的權(quán)限域�����,所述權(quán)限域包含所述每個維度對應(yīng)的每個權(quán)限組��;
[0031]則���,所述第一確定模塊用于:根據(jù)所述用戶的類別���,確定所述用戶對應(yīng)的權(quán)限域;根據(jù)所述用戶的維度信息��,從所述用戶對應(yīng)的權(quán)限域中確定所述用戶對應(yīng)的權(quán)限組����。
[0032]結(jié)合第二方面的第二種可能的實施方式,在第三種可能的實施方式中�,所述第二確定模塊用于:
[0033]確定所述用戶對應(yīng)的權(quán)限組的類別��,所述權(quán)限組的類別包括互斥權(quán)限組或非互斥權(quán)限組�,其中,所述互斥權(quán)限組中一個用戶配置一種權(quán)限集�����,所述非互斥權(quán)限組中一個用戶配置多種權(quán)限集;
[0034]根據(jù)所述用戶的維度值��,確定所述用戶在每個權(quán)限組中的權(quán)限集���,其中����,對所述用戶在非互斥權(quán)限組中的所有權(quán)限集進行取并集�����,獲得所述用戶在非互斥權(quán)限組中的權(quán)限集�����,或者�����,獲得所述用戶在互斥權(quán)限組中的唯一權(quán)限集���。
[0035]結(jié)合第二方面或第二方面的第一種可能的實施方式���,在第四種可能的實施方式中����,所述合并模塊���,具體用于:
[0036]根據(jù)預(yù)置的第一合并策略或者第二合并策略��,將所述用戶在所述每個權(quán)限組中的權(quán)限集進行求并集或求交集��,獲得所述用戶的權(quán)限�,其中���,所述第一合并策略為根據(jù)用戶的業(yè)務(wù)邏輯配置的權(quán)限組之間的合并策略�����,所述第二合并策略為每個用戶配置的合并策略��。
[0037]從以上技術(shù)方案可以看出����,本發(fā)明實施例提供的一種數(shù)據(jù)訪問權(quán)限控制方法及裝置��,具有以下優(yōu)點:通過用戶的維度信息和維度值���,確定出用戶對應(yīng)的權(quán)限組和在權(quán)限組中的權(quán)限集�����,并且對權(quán)限集進行合并�����,從而實現(xiàn)權(quán)限的歸類���;進一步地,根據(jù)維度值定義權(quán)限組的類別�,并根據(jù)合并策略對權(quán)限集進行合并,以使得權(quán)限分類更有針對性,更好地解決多維度的用戶的權(quán)限控制問題�����。
【附圖說明】
[0038]為了更清楚地說明本發(fā)明實施例的技術(shù)方案�,下面將對實施例描述所需要使用的附圖作簡單地介紹,顯而易見地��,下面描述中的附圖僅僅是本發(fā)明的一些實施例����,對于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動的前提下��,還可以根據(jù)這些附圖獲得其他的附圖�。
[0039]圖1為本發(fā)明實施例一提供的數(shù)據(jù)訪問權(quán)限控制方法的流程示意圖���;
[0040]圖2a為本發(fā)明實施例二提供的數(shù)據(jù)訪問權(quán)限控制方法的流程示意圖����;
[0041]圖2b為本發(fā)明實施例二提供的一種用戶權(quán)限分析示意圖�;
[0042]圖2c為本發(fā)明實施例二提供的另一種用戶權(quán)限分析示意圖;
[0043]圖3為本發(fā)明實施例提供的一種數(shù)據(jù)訪問權(quán)限控制裝置的結(jié)構(gòu)示意圖�;
[0044]圖4為本發(fā)明實施例提供的數(shù)據(jù)訪問權(quán)限控制裝置的另一結(jié)構(gòu)示意圖。
【具體實施方式】
[0045]本發(fā)明實施例提供了一種數(shù)據(jù)訪問權(quán)限控制方法及裝置�,用于解決多維度的用戶的權(quán)限控制問題。
[0046]為使得本發(fā)明的發(fā)明目的����、特征、優(yōu)點能夠更加的明顯和易懂��,下面將結(jié)合本發(fā)明實施例中的附圖��,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述����,顯然�,下面所描述的實施例僅僅是本發(fā)明一部分實施例,而非全部的實施例����。基于本發(fā)明中的實施例����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實施例,都屬于本發(fā)明保護的范圍���。
[0047]本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”����、“第二”�����、“第三” “第四”等(如果存在)是用于區(qū)別類似的對象��,而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當情況下可以互換����,以便這里描述的本發(fā)明的實施例例如能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤4送?�,術(shù)語“包括”和“具有”以及他們的任何變形�����,意圖在于覆蓋不排他的包含���,例如�,包含了一系列步驟或單元的過程�、方法、系統(tǒng)��、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元����,而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法����、產(chǎn)品或設(shè)備固有的其它步驟或單元�����。
[0048]為了更加了解本發(fā)明技術(shù)方案��,以下簡單介紹一下與用戶權(quán)限控制相關(guān)的概念�����,首先用戶就是一個可以獨立訪問計算機系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其它資源的主體;權(quán)限是對計算機系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其它資源進行訪問的許可����。可分為對象訪問控制和數(shù)據(jù)訪問控制兩種���;其中�,對象訪問控制用二元組(控制對象�����,訪問類型)來表示�,控制對象表示系統(tǒng)中一切需要進行訪問控制的資源,訪問類型是指對于相應(yīng)的控制對象的訪問控制,如:讀取�、修改、刪除等等�;數(shù)據(jù)訪問控制用于保障系統(tǒng)的安全性,如果不對數(shù)據(jù)訪問加以控制�,則系統(tǒng)的安全性得不到保證,容易發(fā)生數(shù)據(jù)泄密事件�,因此在權(quán)限中必須對對象可訪問的數(shù)據(jù)給予保護。
[0049]下面通過具體實施例����,分別進行詳細說明。
[0050]實施例一
[0051]請參考圖1�,圖1為本發(fā)明實施例提供的一種數(shù)據(jù)訪問權(quán)限控制方法的流程示意圖,其中��,所述權(quán)限控制方法包括:
[0052]步驟101�、接收用戶的訪問請求;
[0053]即接收用戶對數(shù)據(jù)訪問的請求��,檢測所述用戶的權(quán)限�,不同類型的用戶可訪問的數(shù)據(jù)權(quán)限不一樣。例如:一個用戶登錄系統(tǒng)之后�����,需要判斷該用戶身份(或稱用戶類別)是內(nèi)部用戶還是外部用戶,內(nèi)部用戶與外部用戶采用兩套完全不同的權(quán)限定義信息��;以銀行業(yè)務(wù)為例�,內(nèi)部用戶就是指銀行內(nèi)部人員,外部用戶則是指銀行外部的人員��。
[0054]步驟102���、根據(jù)所述用戶的