[发明专利]一种基于数据隔离模型的数据访问方法有效
| 申请号: | 201810246186.7 | 申请日: | 2018-03-23 |
| 公开(公告)号: | CN108416230B | 公开(公告)日: | 2019-12-20 |
| 发明(设计)人: | 韩鹏;李国勇;王燕霞;熊黎丽;任杰;李洪伟 | 申请(专利权)人: | 重庆市科学技术研究院 |
| 主分类号: | G06F21/62 | 分类号: | G06F21/62;H04L29/06 |
| 代理公司: | 50212 重庆博凯知识产权代理有限公司 | 代理人: | 黄河 |
| 地址: | 401123 重庆*** | 国省代码: | 重庆;50 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 层级组织 数据隔离 数据访问权限 业务数据库 角色 访问权限 数据访问 访问权限控制 数据业务管理 数据业务建立 安全性要求 安全保障 层级结构 归属关系 任务建立 任务执行 数据业务 多层级 构建 访问 隔离 授权 | ||
1.一种基于数据隔离模型的数据访问方法,其特征在于,包括:
根据数据业务管理的组织层级结构中各不同层级组织的业务数据库范围的限制,构建用于区分隔离不同业务数据库范围的数据隔离模型,从而利用所述数据隔离模型区分隔离各不同层级组织的业务数据库范围;
根据数据业务管理中不同数据业务对业务数据库中数据访问权限的限制要求,分别针对每个数据业务构建具备相应数据访问权限的访问角色;还根据不同数据业务中的不同操作任务对业务数据库中数据访问权限的限制要求,分别针对每个数据业务中具备执行相应操作任务权限的每个访问角色,构建归属于该访问角色的具备执行相应操作任务的数据访问权限的子角色;并且,构建各访问角色及其子角色的角色权限标签;每个所述子角色均具备其所归属的访问角色的全部数据访问权限,且还具备至少一个其所归属的访问角色所不具有的数据访问权限;
在数据访问时,根据访问用户所属的层级组织利用所述数据隔离模型区分隔离限制所访问的业务数据库范围,并根据所访问的数据业务或/和操作任务,为所述访问用户配置相对应的角色权限标签,进而根据所配置的角色权限标签相应的访问角色或/和子角色实现对访问用户的数据访问权限控制。
2.根据权利要求1所述基于数据隔离模型的数据访问方法,其特征在于,所述数据业务管理的组织层级结构为树状结构;
在组织层级结构的根节点层级组织对应全部数据业务的数据访问范围以及全部操作任务的数据访问范围;其余各层级组织,则从相应层级组织的父节点层级组织对应的数据业务中筛选相应层级组织能够访问的数据业务的数据访问范围,并确定每个数据业务中的不同操作任务对应的数据访问范围,进而确定相应层级组织对应的各不同数据业务对数据访问范围以及每个数据业务中的各不同操作任务对数据访问范围的限制要求。
3.根据权利要求1所述基于数据隔离模型的数据访问方法,其特征在于,每个所述访问角色所具备的数据访问权限,是该访问角色访问其对应的数据业务所必须的最小数据访问范围的数据访问权限。
4.根据权利要求1所述基于数据隔离模型的数据访问方法,其特征在于,在数据访问时,在区分隔离限制所访问的业务数据库范围后,首先根据访问的数据业务所对应访问角色的角色权限标签,为访问用户赋予相对应访问角色的数据访问权限,进行数据访问的权限控制;当且仅当在执行数据业务中的操作任务、且相应操作任务被激活执行时,才根据相应的操作任务配置所对应子角色的角色权限标签,为访问用户赋予相对应子角色的数据访问权限,进行数据访问的权限控制;在数据业务中的操作任务执行完毕时,则立即收回相应的操作任务所对应子角色的角色权限标签,撤销访问用户对相应子角色的数据访问权限,并以该子角色所归属的访问角色的数据访问权限对访问用户进行数据访问的权限控制。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于重庆市科学技术研究院,未经重庆市科学技术研究院许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810246186.7/1.html,转载请声明来源钻瓜专利网。
