[发明专利]一种基于属性策略的细粒度数据权限管控配置方法及系统

说明书

本发明公开了一种基于属性策略的细粒度数据权限管控配置方法及系统，该方法包括以下步骤：S1：制定属性策略模板；S2：将访问主体和访问客体分别与属性策略模板进行关联；S3：当访问主体向访问客体发起访问时，通过属性匹配决策中心对访问主体和访问客体的属性进行动态计算来判断访问主体是否有权限进行访问。本发明实现了对数据简洁和高效的细粒度管控，并能够支持权限的动态切换和扩展。

技术领域

本发明属于访问权限管理方法领域，尤其涉及一种基于属性策略的细粒度数据权限管控配置方法及系统。

背景技术

目前数据安全厂家使用更多的是根据用户角色来管理数据安全，这样主要是强调数据库加密、脱敏、访问控制等某一点的安全。但是在以数据为中心的体系化安全防护领域中，需要对数据进行细粒度的安全管控措施，根据数据所属业务领域、数据类型、敏感程度、被泄露后所造成的损害程度等不同属性进行管控，若是只使用角色来管理会非常复杂，需要对使用方配不同权限的角色。而且当某个权限变更了，其所关联的所有权限数据都将重新计算，这样不仅增加了开发难度，也大大增加管理和维护成本，在实际生产环境中，因为成本和管理等因素，难以实施，就会给以数据为中心的体系化安全防护体系的推广增加难度。

发明内容

本发明的目的在于，为克服现有技术缺陷，提供了一种基于属性策略的细粒度数据权限管控配置方法及系统，实现了对数据简洁和高效的细粒度管控，并能够支持权限的动态切换和扩展。

本发明目的通过下述技术方案来实现：

本发明提出的一种基于属性策略的细粒度数据权限管控配置方法，包括以下步骤：

S1：制定属性策略模板；

S2：将访问主体和访问客体分别与属性策略模板进行关联；

S3：当访问主体向访问客体发起访问时，通过属性匹配决策中心对访问主体和访问客体的属性进行动态计算来判断访问主体是否有权限进行访问。

进一步的，制定属性策略模板包括以下步骤：

S11：对属性进行定义；将系统中涉及到权限的因素抽象为属性，以便后续根据属性之间的逻辑关系实现对数据的细粒度管控。

S12：对属性分组，形成属性策略模板。

进一步的，对属性进行定义具体为：将系统中所有能够影响数据权限的因素提取为属性，属性组成包括属性的中文名称、属性英文名称、属性类型、默认值、匹配方法、描述信息和基本操作。

进一步的，属性策略模板组成包括策略名称、策略描述、属性和基本操作。

进一步的，基本操作包括修改、删除、查看和自定义添加。

进一步的，将访问主体与访问客体分别与属性策略模板进行关联包括以下步骤：

S21：为访问主体和/或访问客体选定属性策略模板；将属性和属性模板分开管理，绑定属性的时候只需要绑定模板，这样管理起来简洁、清晰，用起来也非常方便。

S22：在选定的属性策略模板中对每一个属性设定具体的值。将不同的数据、使用方绑定不同的属性，设定不同的值，然后根据属性之间的逻辑关系实现对数据的细粒度管控。

进一步的，当访问主体的每一项属性均满足访问客体的同一属性的匹配方法时，属性匹配决策中心判断为可以访问；

当访问主体存在至少一项属性不满足访问客体的同一属性的匹配方法时，属性匹配决策中心判断为不能访问。

本发明提出的一种基于属性策略的细粒度数据权限管控配置系统，包括属性管理单元，用于制定属性策略模板。

模板关联单元，用于将访问主体和访问客体分别与属性策略模板进行关联。