[发明专利]一种基于字符串位运算的数据内容访问权限控制方法

说明书

本发明涉及一种基于字符串位运算的数据内容访问权限控制方法，其中，包括：根据数据访问授权位ID和数据访问授权ID的定义，提出对受控数据表的通用数据访问权限数据模型，通过为受控数据表构建数据访问授权ID信息表和数据访问授权信息表来完成对受控数据表的数据内容访问权限控制；数据访问授权ID信息表负责存储为每个数据访问者分配的唯一数据访问授权标识；数据访问授权信息表负责存储对受控数据表数据内容访问的授权信息，数据访问者对受控数据表的数据内容进行访问时需要首先用自己数据访问授权位ID与数据访问授权信息表中的授权组和授权位信息进行比对，根据比对结果对已授权信息进行访问。

技术领域

本发明涉及数据安全技术领域，特别涉及一种基于字符串位运算的数据内容访问权限控制方法。

背景技术

如何让数据在安全、合规、可控的前提下被正确的访问和使用是数据安全领域一直在关注的重点问题，随着数据时代的到来、数据处理技术的不断更新和数据应用领域的不断扩展，在海量数据访问过程中如何对数据内容权限进行控制，尤其是在不影响正常业务的前提下如何对关系数据库中结构化的数据内容访问权限进行高效的控制越来越成为关注的焦点。

为了将数据访问者对存储在数据库中的结构化数据表的数据内容访问权限控制粒度细化到受控数据表的每一条记录，已知的通用基础方法包括如下两种：

基于数值位运算方式的数据内容访问权限控制；

数值位运算方式是为受控数据表添加一个数值类型(number、int、byte类型)字段来进行数据访问权限控制，并按该数值类型取值的二进制表示为每一个数据访问者分配一个二进制位作为该数据访问者的授权位，授权时按业务要求对具体数据访问者的授权位赋值：授权位置“1”代表允许访问，授权位置“0”代表禁止访问，数据访问者进行实际数据访问时按受控数据表每行的数据访问者授权位取值进行数据内容访问权限控制。

基于关联表方式的数据内容访问权限控制。

关联表方式是为受控数据表构建一张或多张关联表(通常用受控数据表的主键作为关联项)，为每个数据访问者在关联表上创建一个布尔类型的授权字段来进行数据访问权限控制，授权时按业务要求对具体数据访问者的授权字段进行赋值，字段取值为“True”代表允许访问，取值为“False”代表禁止访问，数据访问者进行实际数据访问时按受控表与关联表的关联结果视图每行的数据访问者授权字段取值进行数据内容访问权限控制。

数值位运算方式的数据内容访问权限控制方法虽然实现复杂度低，计算和存储代价较小，但授权字段取值受数据类型的限制较大，单个授权字段提供的授权位数量在很多情况下无法满足具体数据权限控制场景的需要。例如：Oracle数据库中int类型的授权字段取值长度只有四个字节，换算成二进制共有32位，也就是用该数据类型只能提供32个授权位，即使用22个节长的number类型也只能提供176个授权位。

关联表方式的数据内容访问权限控制方法虽然在实现逻辑上避免了采用数值位运算方式授权位不足的弊端，减少了对受控表的DML操作，并且理论上可以通过多个关联表支持无限个授权字段的添加，但随着授权字段的增长实现复杂度明显增高，计算和存储代价也越来越大，增加了对授控表所处生产环境的计算效率和稳定性造成不良影响的风险。

发明内容

本发明的目的在于提供一种基于字符串位运算的数据内容访问权限控制方法，用于解决上述现有技术的问题。