本发明专利技术公开了一种基于角色的数据安全访问方法及装置,该方法包括:S1、对数据源中的数据进行权限分级;S2、对用户进行数据资源权限分配的设置;S3、当收到用户端的数据访问请求时,基于服务器中存储的数据资源权限,对其进行用户认证并为其分配对应的安全认证令牌;S4、基于安全认证令牌进行数据访问验证,并判断验证是否通过;若是,进入S6;若否,则进入S5;S5、向用户返回验证失败信息,结束数据访问。本发明专利技术中对用户信息进行集中做管理,集中存储和控制密码,防止了密码泄露;根据不同的应用场景灵活定义数据安全策略;采用了多种数据加密方法,防止信息泄露;本发明专利技术具有数据访问权限审批流程和告警机制,保障了信息安全。保障了信息安全。保障了信息安全。
【技术实现步骤摘要】
一种基于角色的数据安全访问方法及装置
[0001]本专利技术属于计算机
,具体涉及一种基于角色的数据安全访问方法及组件。
技术介绍
[0002]在大数据环境下,各行业和领域的安全需求在发生改变,从数据采集、数据治理、数据提炼和数据挖掘到数据发布,这一流程已经形成新的完整链条、随着数据的进一步集中和数据量的增大,对产业链中数据进行安全防卫变得越加困难。
[0003]早期的数据安全管控处于“粗方式管理”阶段,即在本身对于事务信息化建设可以快速上限、厂商可以快速验收的立场上,忽略了数据对接和供给过程中对于数据安全的保证。普遍的情况是部分厂商和少数管理人员在项目建设周期内验收后仍然具有完整的数据访问权限,再加上传统数据平台并未将安全或隐私保障体系作为核心功能点之一,很容易造成未经授权的数据访问、使用、披露、破坏、修改和销毁等安全问题的出现。
[0004]在自主访问控制中,该控制策略是一种比较常见的系统访问控制策略。但是不可否认,在使用过程中,自身存在一定的缺陷:数据资源不能实现有效管理,数据信息比较分散,不能将用户的关系很好体现出来,管理工作相对困难,最为突出的一个缺陷就是无法对系统中的数据信息实行很好的保护,导致数据信息暴露出来,面临来自内部人员泄密的威胁,变得束手无策。针对以上出现的问题,强制访问控制系统,能够很好的解决这些突出的问题,但是同样也存在一定缺陷,有狭窄的应用领域,具体的控制过程中,无法保障完整性。当前有一直控制方式是比较先进的
‑
基于角色的控制访问,该访问技术和策略没有必然,具备自我管理能力。
[0005]因此,现有的数据访问技术存储以下问题:(1)密码存储不安全,引发安全威胁;(2)不受控制的超级用户特权;(3)没有基于角色的访问控制;内部控制脆弱;(4)缺乏问责制;(5)没有集中控制。
技术实现思路
[0006]针对现有技术中的上述不足,本专利技术提供的基于角色的数据安全访问方法及装置解决了上述
技术介绍
中的问题。
[0007]为了达到上述专利技术目的,本专利技术采用的技术方案为:一种基于角色的数据安全访问方法,包括以下步骤:
[0008]S1、对数据源中的数据进行权限分级;
[0009]S2、在服务器中,对用户进行数据资源权限分配的设置;
[0010]S3、当收到用户端的数据访问请求时,基于服务器中存储的数据资源权限,对其进行用户身份认证并为其分配对应的安全认证令牌;
[0011]S4、基于当前用户的安全认证令牌进行数据访问验证,并判断验证是否通过;
[0012]若是,则进入步骤S6;
[0013]若否,则进入步骤S5;
[0014]S5、向用户返回验证失败信息,结束数据访问;
[0015]S6、将数据访问请求对应权限下的数据资源反馈至用户。
[0016]进一步地,所述步骤S1中,所述数据源中的数据的权限分级包括公开数据、内部数据、秘密数据和机密数据;
[0017]其中,采用基于字段策略的方法对数据源中的数据进行权限分级,每个所述字段策略由权限分级下的数据字段构成,且机密数据仅对应一个字段策略;
[0018]所述字段策略为用户自行设定或服务器默认设置。
[0019]进一步地,所述步骤S2中的数据资源权限分配包括资源权限分配和资源权限申请;
[0020]所述资源权限分配为由服务器管理者将权限内的数据权限分配给所需用户;
[0021]所述资源权限申请为基于用户提出的数据访问请求所需的资源权限,由服务器管理者对其进行审核并分配对应资源权限。
[0022]进一步地,所述步骤S3中的安全认证令牌具有时效性,且存储有用户的角色以及对应的数据访问权限。
[0023]进一步地,所述步骤S4中,进行数据访问验证的方法具体为:
[0024]A1、对安全认证令牌进行验证,并判断是否验证通过;
[0025]若是,则进入步骤A2;
[0026]若否,则验证失败,进入步骤S5;
[0027]A2、根据安全认证令牌,对数据访问请求进行SQL解析及SQL鉴权,并判断是否鉴权成功;
[0028]若是,则验证成功,进入步骤S6;
[0029]若否,则鉴权失败,进入步骤S5。
[0030]进一步地,所述步骤S6具体为:
[0031]通过服务器将所述数据访问请求中的所需数据进行加密,并发送至对应的应用程序,通过应用程序采用对应的解密方法将解密后的数据资源显示反馈给用户。
[0032]一种数据安全访问装置,包括:
[0033]用户管理模块,用于对服务器中的用户进行用户信息管理及为其分配数据资源权限;
[0034]权限管理模块,用于根据用户的数据资源权限,对用户的数据访问请求进行权限申请及权限认证,同时存储有RBCA权限模型;
[0035]元数据管理模块,用于根据RBCA权限模型对用户的权限认证进行验证,并在验证通过后对数据访问请求进行SQL解析及SQL鉴权,并在鉴权成功后向用户反馈所需的数据资源。
[0036]进一步地,在所述权限管理模块中,所述RBCA权限模型中存储有用户、角色及权限,以及用户与角色之间的关联表和角色与权限之间的关联表;
[0037]所述用户用于表征发起数据访问请求的实体;
[0038]所述角色用于表征发起数据访问请求的实体在服务器中的身份;
[0039]所述权限用于表征当前发起数据访问请求的实体在服务器中的数据访问权限。
[0040]进一步地,所述元数据管理模块包括数据权限分级单元;
[0041]在所述数据权限分级单元中,采用基于字段策略的方法对数据源中的数据进行权限分级,使其与RBCA权限模型中的权限对应;
[0042]其中,所述数据源中的数据的权限分级包括公开数据、内部数据、秘密数据和机密数据;
[0043]每个所述字段策略由权限分级下的数据字段构成,且机密数据仅对应一个字段策略。
[0044]进一步地,所述元数据管理模块还包括数据加密单元,所述数据加密单元用于在SQL鉴权成功后,对数据访问请求所需的数据进行加密并发送至对应的应用程序。
[0045]本专利技术的有益效果为:
[0046](1)本专利技术中对用户信息进行集中做管理,集中存储和控制密码,防止了密码泄露;
[0047](2)本专利技术根据不同的应用场景灵活定义数据安全策略,可适用于不同的使用场景;
[0048](3)本专利技术中采用了多种数据加密方法,防止信息泄露;
[0049](4)本专利技术具有数据访问权限审批流程和告警机制,保障了信息安全。
附图说明
[0050]图1为本专利技术提供的基于角色的数据安全访问方法流程图。
[0051]图2为本专利技术提供的基于角色的数据安全访问装置连接示意图。
[0052]图3为本专利技术提供的RBCA权限实体示意图。
[0053]图4为本专利技术提供的权限申请流程本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于角色的数据安全访问方法,其特征在于,包括以下步骤:S1、对数据源中的数据进行权限分级;S2、在服务器中,对用户进行数据资源权限分配的设置;S3、当收到用户端的数据访问请求时,基于服务器中存储的数据资源权限,对其进行用户身份认证并为其分配对应的安全认证令牌;S4、基于当前用户的安全认证令牌进行数据访问验证,并判断验证是否通过;若是,则进入步骤S6;若否,则进入步骤S5;S5、向用户返回验证失败信息,结束数据访问;S6、将数据访问请求对应权限下的数据资源反馈至用户。2.根据权利要求1所述的基于角色的数据安全访问方法,其特征在于,所述步骤S1中,所述数据源中的数据的权限分级包括公开数据、内部数据、秘密数据和机密数据;其中,采用基于字段策略的方法对数据源中的数据进行权限分级,每个所述字段策略由权限分级下的数据字段构成,且机密数据仅对应一个字段策略;所述字段策略为用户自行设定或服务器默认设置。3.根据权利要求1所述的基于角色的数据安全访问方法,其特征在于,所述步骤S2中的数据资源权限分配包括资源权限分配和资源权限申请;所述资源权限分配为由服务器管理者将权限内的数据权限分配给所需用户;所述资源权限申请为基于用户提出的数据访问请求所需的资源权限,由服务器管理者对其进行审核并分配对应资源权限。4.根据权利要求2所述的基于角色的数据安全访问方法,其特征在于,所述步骤S3中的安全认证令牌具有时效性,且存储有用户的角色以及对应的数据访问权限。5.根据权利要求4所述的基于角色的数据安全访问方法,其特征在于,所述步骤S4中,进行数据访问验证的方法具体为:A1、对安全认证令牌进行验证,并判断是否验证通过;若是,则进入步骤A2;若否,则验证失败,进入步骤S5;A2、根据安全认证令牌,对数据访问请求进行SQL解析及SQL鉴权,并判断是否鉴权成功;若是,则验证成功,进入步骤S6;若否,则鉴权失败,进入步骤S5。...
【专利技术属性】
技术研发人员:邹昆,李丽娟,霍曦,段军,原小卫,郭春江,李亮,李晨华洋,汪俊贵,古训,刘越,杨海琴,张驰,
申请(专利权)人:成都九洲电子信息系统股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。