[发明专利]一种信息分享方法及装置

说明书

本申请公开了一种信息分享方法及装置，本申请加入待分享包中的资源是按照粒度分成若干个独立的小资源包，而且，各个小资源包都会按照权限策略设置各自的权限，保证了信息的受限使用，增强了分享信息的安全性，而且资源的使用遵循资源的权限；而且，避免了不必要的管理开销。

技术领域

本申请涉及但不限于大数据技术，尤指一种信息分享方法及装置。

背景技术

大数据计算服务的多租户系统中，在租户之间分享数据大致可以采用以下方式：一种是，将用户加入到需要分享数据的项目(Project)中，这样做显然会导致组织架构混乱；另一种是，将两个需要分享数据的项目设置为互信的项目，但是这样会混淆租户的概念；再一种是，使用包(Package)在不同项目间进行数据分享，一个包里的内容包含其全部权限，只要被授权给另外一个项目中的用户拥有权限，就意味着，一个包的内容会全部一同被授权给分享到该包的项目中的所有用户，这样会违背最小授权原则，从而导致过度授权而产生数据泄露；当只想分享一个包里的部分内容时，需要重新创建包，这样会导致鉴权效率的降低，同时增加了管理包的复杂性和成本。其中，Project是指资源组织，隔离，计量计费的基本单位。Package是指在项目间进行资源分享的方式，资源被放在包中，分享给另外多个项目。资源包括数据表，用户自定义函数等被使用的资源。

以大数据计算服务服务于多个部门，在部门之间以项目的方式进行资源隔离，并基于package进行跨项目资源分享为例，由于员工数量庞大，项目之间的分享关系比较复杂，同时由于员工的不确定性，比如说有些员工是外包的，有些员工是实习生，有些员工会离职等等一系列原因，如果只是按照相关技术简单地将一个项目空间的资源整体打包分享给另外一个项目，再以包为单位授权给具体的员工的话，那么，虽然对于一些员工来说是合适且方便的，但是，对于另外一些员工来说，就会存在着过度授权的可能性。

比如：如果某员工为实习生，只需要Package中的一个表或一个函数的使用权限，但是，按照相关技术中的项目间信息分享方式，该实习生会拥有整个Package的权限，这样，会使得该实习生具备了对其不应该具有权限的内容进行下载或者查看的权限，大大增加了数据风险。

再如：在跨部门进行数据分享时，往往表中包含不同级别的敏感信息，例如一张表可能包含员工ID、手机号码、指纹信息等列，属于不同的敏感级别。在进行数据共享时，可能只希望共享员工ID列。但是由于表的整体性，再加上相关技术中的项目间信息分享方式，如果要对这些信息进行屏蔽，需要源表端进行schema的调整或者通过创建视图的方式进行数据分享，这样势必会对源表端带来大量的不必要的管理开销。

发明内容

本申请提供一种信息分享方法及装置，能够增强分享信息的安全性，并避免不必要的管理开销。

本发明实施例提供了第一种信息分享方法，包括：

按照粒度将资源加入待分享包，并按照权限策略设置所述资源的权限；

将得到的待分享包许可给至少一个项目。

在一种示例性实例中，所述方法还包括：

按照所述粒度将指定资源从所述待分享包中移出，或者删除所述待分享包。

在一种示例性实例中，所述粒度包括：数据库表、表中指定的列、自定义函数、对象存储中的一个对象。

在一种示例性实例中，所述权限包括表示允许对所述待分享的各粒度对应的资源的操作方式。

在一种示例性实例中，所述操作方式包括以下至少之一：读、写、获取、更新、删除、插入、修改/变更、卸载。

在一种示例性实例中，所述方法应用于多租户系统。

本申请还提供了第二种信息分享方法，包括：

对接收到的待分享包中按照粒度加入的资源进行用户授权；