危化品公共信息服务平台细粒度操作控制方法和系统技术方案

本发明专利技术提供一种危化品公共信息服务平台细粒度操作控制方法和系统，属于危化品公共信息服务平台的权限控制领域。所述方法包括：接收用户发起的操作请求；根据细粒度操作控制策略生成方法对操作请求进行解析，生成第一操作控制策略；根据第一操作控制策略则判断操作请求是否满足操作控制规则，若是，则允许该用户操作对应的数据，否则不允许该用户操作对应的数据。所述系统包括：操作请求解析单元，用于对用户的操作请求进行解析，生成第一操作控制策略；以及操作决策单元，用于根据第一操作控制策略判断操作请求是否满足操作控制规则中的角色属性，若是，则允许该用户操作对应的数据，否则不允许该用户操作对应的数据。否则不允许该用户操作对应的数据。否则不允许该用户操作对应的数据。

【技术实现步骤摘要】
危化品公共信息服务平台细粒度操作控制方法和系统


[0001]本专利技术涉及危化品公共信息服务平台的权限控制领域，具体地涉及一种危化品公共信息服务平台细粒度操作控制策略生成方法、一种危化品公共信息服务平台细粒度操作控制策略生成系统、一种危化品公共信息服务平台细粒度操作控制方法以及一种危化品公共信息服务平台细粒度操作控制系统。

技术介绍

[0002]近年来，化工行业危险化学品重特大事故频发。化工事故给企业和个人带来了巨大的经济损失，对环境造成无法挽回的破坏，甚至造成重大人员伤亡。因此充分发挥危险化学品公共信息服务平台的价值，精准服务于不同用户，满足用户的各种需求，提高企业以及公众的安全意识与能力，是亟需解决的问题。
[0003]危险化学品公共信息服务平台集成了危险化学品生产、运输、储存等全生命周期的信息，随着大数据技术的广泛应用，多域环境集成的数据对数据的访问控制提出更高的要求，目前有三种被广泛采用的访问控制方法：自主访问控制，强制访问控制和基于角色的访问控制。
[0004]现有技术多采用基于角色的访问控制方法。引入角色概念，为角色授予权限，用户通过激活被设定的角色来获得权限。一定程度上提高管理效率，减少授权管理的复杂性，降低管理开销，而且灵活性高。但是危险化学品公共信息服务平台涉及多个数据域，现有的基于角色的访问控制模型不能满足多域环境下的细粒度访问控制。
[0005]数据访问在数据安全上存在很大的隐患和挑战。安全问题主要体现在三个方面：第一个是信息泄密。开放的互联网使海量的大数据处于裸奔状态，国内网络设备主要依赖国外技术，很容易因为“漏洞”、“后门”造成信息泄露。第二是数据非授权访问，复杂关系的多用户存储在云盘、大数据平台等共享平台的数据所有权归属及访问问题。第三个是网络攻击,大数据服务时代的大规模数据存储，只提供单一的访问服务接口，易遭受黑客的大规模网络攻击，进而影响大规模用户的正常数据使用。
[0006]综上所述，为了适应危险化学品公共信息服务平台的多域环境，充分利用危险化学品公共信息服务平台的数据服务于企业和公众，需要开发一种危险化学品公共信息服务平台细粒度访问控制方法。

技术实现思路

[0007]本专利技术实施方式的目的是提供一种危化品公共信息服务平台细粒度操作控制方法和系统，通过对操作请求进行解析生成基于角色的细粒度操作控制策略，将操作控制策略作为访问的依据，实现动态、细粒度的授权机制，保证操作控制的灵活性与可扩展性，满足不同用户对危险化学品公共服务信息的不同需求，实现数据的非公开和授权访问，保障数据安全，通过多域访问提供多个访问服务接口，即使有服务接口遭受网络攻击也能够保障大规模用户的正常数据使用。
[0008]为了实现上述目的，本专利技术第一方面提供一种危化品公共信息服务平台细粒度操作控制策略生成方法，所述方法包括：
[0009]将操作请求分为多个数据单元，每一个数据单元代表一类数据元；
[0010]对数据单元中的数据元进行角色属性定义；
[0011]对定义的角色属性进行角色属性赋值；
[0012]提取每个数据单元中的一个或以上数据元的角色属性赋值数据组成集合生成操作控制策略；
[0013]所述操作控制策略用于限定操作请求的角色属性。通过这样的操作控制策略生成方法将操作请求表述为不同的属性信息，例如将操作请求分为包括：主体、资源、环境和操作的四个数据单元，所述主体为操作请求的发起者，所述资源为操作请求所请求的数据，包括企业信息、物质信息、事故案例、应急响应、安全服务和教育培训等等；所述环境为操作请求中包含的环境信息，所述操作为操作请求所请求的动作，例如查询、下载、编辑等等。这些属性信息同时作为访问依据，能够保证实现动态、细粒度的授权机制，保证访问控制的灵活性与可扩展性。
[0014]可选的，所述方法还包括：设定数据单元中的数据元的角色属性阈值数据。角色属性阈值数据限定了角色属性赋值数据的取值范围。
[0015]本专利技术第二方面提供一种危化品公共信息服务平台细粒度操作控制策略生成系统，所述系统包括：数据整理模块，用于将操作请求分为多个数据单元，每一个数据单元代表一类数据元；
[0016]角色属性定义模块，用于对数据单元中的数据元进行角色属性定义；
[0017]数据赋值模块，用于对定义的角色属性进行角色属性赋值；以及
[0018]操作控制策略生成模块，用于提取每个数据单元中的一个或以上数据元的角色属性赋值数据组成集合构建所述操作控制策略，所述操作控制策略用于限定操作请求的角色属性。
[0019]系统用于将操作请求表述为不同的属性信息，这些属性信息同时作为访问依据，能够保证实现动态、细粒度的授权机制，保证访问控制的灵活性与可扩展性。
[0020]可选的，所述系统还包括：角色阈值数据设定模块，用于设定数据单元中的数据元的角色属性阈值数据。
[0021]数据整理模块将操作请求分为包括：主体、资源、环境和操作的四个数据单元，所述主体为操作请求的发起者，所述资源为操作请求所请求的数据，所述环境为操作请求中包含的环境信息，所述操作为操作请求所请求的动作，角色属性定义模块对主体、资源、环境和动作进行角色属性定义，数据赋值模块对主体、资源、环境和动作各自对应的角色属性进行角色属性赋值，操作控制策略生成模块从主体、资源、环境和动作四个数据单元中各提取一个或以上数据元的角色属性赋值组成集合生成操作控制策略。操作控制策略体现了主体、资源、环境和动作之间的多元约束关系，形成了基于多元属性的细粒度访问控制。
[0022]本专利技术第三方面提供一种危化品公共信息服务平台细粒度操作控制方法，所述的方法包括：
[0023]接收用户发起的操作请求；
[0024]根据所述细粒度操作控制策略生成方法对所述操作请求进行解析，生成第一操作
控制策略；
[0025]根据第一操作控制策略判断操作请求是否满足操作控制规则中的角色属性，若是，则允许该用户操作对应的数据，否则不允许该用户操作对应的数据，所述的操作控制规则包括角色属性、所述角色属性对应的权限以及所述权限对应的允许使用的数据域。
[0026]根据第一操作控制策略判断操作请求是否满足操作控制规则中的角色属性，包括以下步骤：
[0027]1)判断所述第一操作控制策略中的角色属性赋值数据中是否包含请求属性，若是，则转至步骤2)；若否，则转至步骤4)；
[0028]2)判断所述第一操作控制策略是否满足操作控制规则中的角色属性；若是，则转至步骤3)；若否，则转至步骤4)；
[0029]3)合并所述第一操作控制策略所满足的所有操作控制规则的判定结果，允许该用户操作判定结果集合中的数据；
[0030]4)不允许该用户操作对应的数据。
[0031]步骤3)中，所述合并所述第一操作控制策略所满足的所有操作控制规则的判定结果，包括：
[0032]根据所述第一操作控制策略获取用户对应的角色属性；
[0033本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种危化品公共信息服务平台细粒度操作控制策略生成方法，其特征在于，所述方法包括：将操作请求分为多个数据单元，每一个数据单元代表一类数据元；对数据单元中的数据元进行角色属性定义；对定义的角色属性进行角色属性赋值；提取每个数据单元中的一个或以上数据元的角色属性赋值数据组成集合生成操作控制策略，所述操作控制策略用于限定操作请求的角色属性。2.根据权利要求1所述的危化品公共信息服务平台细粒度操作控制策略生成方法，其特征在于，所述方法还包括：设定数据单元中的数据元的角色属性阈值数据。3.根据权利要求1所述的危化品公共信息服务平台细粒度操作控制策略生成方法，其特征在于，所述数据单元包括：主体、资源、环境和操作；所述主体为操作请求的发起者，所述资源为操作请求所请求的数据，所述环境为操作请求中包含的环境信息，所述操作为操作请求所请求的动作。4.一种危化品公共信息服务平台细粒度操作控制策略生成系统，其特征在于，所述系统包括：数据整理模块，用于将操作请求分为多个数据单元，每一个数据单元代表一类数据元；角色属性定义模块，用于对数据单元中的数据元进行角色属性定义；数据赋值模块，用于对定义的角色属性进行角色属性赋值；以及操作控制策略生成模块，用于提取每个数据单元中的一个或以上数据元的角色属性赋值数据组成集合生成所述操作控制策略，所述操作控制策略用于限定操作请求的角色属性。5.根据权利要求4所述的危化品公共信息服务平台细粒度操作控制策略生成系统，其特征在于，所述系统还包括：角色阈值数据设定模块，用于设定数据单元中的数据元的角色属性阈值数据。6.根据权利要求4所述的危化品公共信息服务平台细粒度操作控制策略生成系统，其特征在于，所述数据单元包括：主体、资源、环境和操作；所述主体为操作请求的发起者，所述资源为操作请求所请求的数据，所述环境为操作请求中包含的环境信息，所述操作为操作请求所请求的动作。7.一种危化品公共信息服务平台细粒度操作控制方法，其特征在于，所述方法包括：接收用户发起的操作请求；根据权利要求1-6中任一项所述的细粒度操作控制策略生成方法对所述操作请求进行解析，生成第一操作控制策略；根据所述第一操作控制策略判断所述操作请求是否满足操作控制规则中的角色属性，若是，则允许该用户操作对应的数据，否则不允许该用户操作对应的数据，所述操作控制规则包括角色属性、所述角色属性对应的权限以及所述权限对应的允许使用的数据域。8.根据权利要求7所述的危化品公共信息服务平台细粒度操作控制方法，其特征在于，所述根据所述第一操作控制策略判断所述操作请求是否满足操作控制规则中的角色属性，包括以下步骤：1)判断所述第一操作控制策略中的角色属性赋值数据中是否包含请求属性，若是，则
转至步骤2)；若否，则转至步骤4)；2)判断所述第一操作控制策略是否满足操作控制规则中的角色属性；若是，则转至步骤3)；若否，则转至步骤4)；3)合并所述第一操作控制策略所满足的所有操作控制规则的判定结果，允许该用户操作判定结果集合中的数据；4)不允许该用户操作对应的数据。9.根据权利要求8所述的危化品公共信息服务平台细粒度操作控制方法，其特征在于，步骤3)中，所述合并所述第一操作控制策略所满足的所有操作控制规则的判定结果，包括：根据所述第一操作控制策略获取用户对应的角色...

【专利技术属性】
技术研发人员：侯孝波，张广文，张婷，王正，唐军志，纪建锋，
申请(专利权)人：中国石油化工股份有限公司中国石油化工股份有限公司青岛安全工程研究院，
类型：发明
国别省市：