[发明专利]基于角色和数据项的访问控制方法及装置

说明书

本发明公开了一种基于角色和数据项的访问控制方法及装置，其中该方法包括：接收用户基于角色权限发送的访问请求，其中，基于角色权限发送的访问请求中包括用户的角色标识信息；根据基于角色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求，其中，基于数据项的访问请求中包括角色标识信息和数据项信息；根据基于数据项的访问请求获得对应的数据项，并返回数据项。该方法实现了对业务逻辑层面和功能性的访问控制，有效的避免用户隐私信息的泄露，同时增强访问策略的灵活性，降低业务系统的管理复杂性。

技术领域

本发明涉及计算机技术领域，尤其涉及一种基于角色和数据项的访问控制方法及装置。

背景技术

当今社会，网络技术的日益成熟和通信技术的飞速发展，越来越多的信息被数字化并在网络间进行广泛传播，随着信息数据量的不断增加，基于大数据的分析利用和数据挖掘技术也正在进行越来越广泛的研究和发展，并已经取得了大量的阶段性研究成果，也正是由于这些基于海量数据的分析整合利用，人们对于数据传播和挖掘过程中的数据隐私问题引起了广泛的重视，也日益成为大数据治理中的重点问题，人们对于如何保证数据利用的数据隐私安全和安全访问控制问题提出了新的要求，传统的数据访问控制方式也面临着新的问题。

目前传统的访问控制方式主要有三种：自主访问控制(Discretionary AccessControl,DAC)、强制访问控制(Mandatory Access Control,MAC)以及基于角色的访问控制(Role-Based Access Control,RBAC)。自主访问控制的基本思想是资源的所有者(或者创建者)可以任意规定哪些用户享有对资源的访问权限。强制访问控制是通过对系统主体和客体设置不同的安全级别，通过比较主体和客体的安全级别来决定主体对客体操作的可行性。基于角色的访问控制方式是目前信息系统主流的访问控制方式，RBAC可以实现权限的灵活管理，增强了系统的扩展性和适用性。

然而，传统的访问控制方式存在如下问题：(1)自主访问控制方式可以对用户提供灵活易行的数据访问方式，但同时也带来了信息容易扩散，不易管理的问题；(2)强制访问控制方式提供了一个不可被绕过的安全保护层，有效地防止了用户滥用访问权限，强制访问控制的应用范围有限，一般只适用于等级观念比较明显的行业或领域；(3)基于角色访问控制方式的策略缺乏一定的灵活性可能会导致由于数据的过度保护，使得数据并不能得到充分的利用，从而失去其本身的价值，或者会导致用户隐私数据的泄漏，对个人乃至国家安全产生威胁。

发明内容

本发明的目的旨在至少在一定程度上解决上述的技术问题之一。

为此，本发明的第一个目的在于提出一种基于角色和数据项的访问控制方法。该方法实现了对业务逻辑层面和功能性的访问控制，有效的避免用户隐私信息的泄露，同时增强访问策略的灵活性，降低业务系统的管理复杂性。

本发明的第二个目的在于提出一种基于角色和数据项的访问控制装置。

为了实现上述目的，本发明第一方面实施例的基于角色和数据项的访问控制方法，包括：接收用户基于角色权限发送的访问请求，其中，所述基于角色权限发送的访问请求中包括所述用户的角色标识信息；根据所述基于角色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求，其中，所述基于数据项的访问请求中包括角色标识信息和数据项信息；根据所述基于数据项的访问请求获得对应的数据项，并返回所述数据项。

根据本发明实施例的基于角色和数据项的访问控制方法，接收用户基于角色权限发送的访问请求，基于角色权限发送的访问请求中包括用户的角色标识信息；根据基于角色权限发送的访问请求和预先保存的数据项信息构建基于数据项的访问请求，其中，基于数据项的访问请求中包括角色标识信息和数据项信息；根据基于数据项的访问请求获得对应的数据项，并返回数据项，由此，实现了对业务逻辑层面和功能性的访问控制，有效的避免用户隐私信息的泄露，同时增强访问策略的灵活性，降低业务系统的管理复杂性。