CN117749505B - 权限控制方法、权限控制系统、电子设备及存储介质 - Google Patents
权限控制方法、权限控制系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN117749505B CN117749505B CN202311805437.8A CN202311805437A CN117749505B CN 117749505 B CN117749505 B CN 117749505B CN 202311805437 A CN202311805437 A CN 202311805437A CN 117749505 B CN117749505 B CN 117749505B
- Authority
- CN
- China
- Prior art keywords
- resource
- access
- access instruction
- identity information
- classification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000013475 authorization Methods 0.000 title description 3
- 238000013507 mapping Methods 0.000 claims abstract description 27
- 238000004590 computer program Methods 0.000 claims description 12
- 238000013136 deep learning model Methods 0.000 claims description 3
- 238000007619 statistical method Methods 0.000 claims description 3
- 230000003993 interaction Effects 0.000 claims 1
- 238000004891 communication Methods 0.000 description 12
- 230000008901 benefit Effects 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 8
- 238000007726 management method Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000013527 convolutional neural network Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000013439 planning Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 239000013598 vector Substances 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种权限控制方法、权限控制系统、电子设备及存储介质,包括以下步骤:根据资源数据库中的每一个资源的分类特征,建立该资源与允许访问该资源的身份信息之间的映射关系;根据接收到的访问指令,获取所述访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征;判断所述访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征是否符合所述映射关系;若是,则允许访问所述访问指令对应的资源;若否,则禁止访问所述访问指令对应的资源。本发明摒弃了传统的权限控制方式,从数据本身出发,为数据规划访问策略,访问策略因子可调可控,非常灵活,大幅降低实施成本,满足多变的业务场景。
Description
技术领域
本发明涉及信息技术领域,具体涉及一种权限控制方法、权限控制系统、电子设备及存储介质。
背景技术
目前,业界的数据权限控制机制很多,常见的有ACL(Access Control:osts)访问控制列表,RBAC(Role-BasedAccess Control)基于角色的访问控制,GBAC(Group-BasedAccess Control)基于群组层级关系的访问控制,DAC(DiscretionaryAccess Control)自主访问控制,MAC(MandatoryAccess Control)强制访问控制,Claims as Permissions基于声明的访问控制,ABAC(Attribute-BasedAccess Control)基于属性的访问控制等。这些数据访问控制机制或多或少存在着一些局限性和缺陷。常用基于角色或者基于组织的权限控制,会有大量繁琐的手工操作,做不到细粒度的访问控制,安全管理成本高,资源与角色紧藕合,改一个角色会影响多个资源,不能满足多变的业务场景,这就大大增加了实施难度和不及预期的结果。对此业内缺乏一种简便有效的解决方案。
发明内容
本发明的目的在于提供一种权限控制方法、权限控制系统、电子设备及存储介质,从数据本身出发,为数据规划访问策略,以大幅降低实施成本,满足多变的业务场景。。
为实现上述目的,本发明提供一种权限控制方法,包括以下步骤:根据资源数据库中的每一个资源的分类特征,建立该资源与允许访问该资源的身份信息之间的映射关系;根据接收到的访问指令,获取所述访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征;判断所述访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征是否符合所述映射关系;若是,则允许访问所述访问指令对应的资源;若否,则禁止访问所述访问指令对应的资源。
可选的,调用主题模型,获取所述资源的分类特征。
可选的,调用深度学习模型,获取所述资源的分类特征。
可选的,基于TF-IDF统计方法,获取所述资源的分类特征。
可选的,还包括:根据接收到的编辑指令,修改任意一个所述资源对应的允许访问该资源的身份信息,以新建所述映射关系。
可选的,所述根据接收到的访问指令,获取所述访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征,具体包括:根据所述访问指令对应的关键词,计算所述资源数据库中各所述资源的所述分类特征与所述关键词的相似度;以所述相似度最大的所述分类特征对应的资源作为所述访问指令对应的资源。
可选的,每个所述资源的分类特征有多个,每个所述资源对应的允许访问该资源的身份信息有多个,根据布尔运算规则,建立该资源与允许访问该资源的身份信息之间的映射关系。
本发明还提供一种检索系统,应用于上述中任一所述的权限控制方法,包括:建立模块,用于根据资源数据库中的每一个资源的分类特征,建立该资源与允许访问该资源的身份信息之间的映射关系;获取模块,用于根据接收到的访问指令,获取访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征;判断模块,用于判断所述访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征是否符合所述映射关系。
本发明还提供一种电子设备,所述电子设备包括:存储器,存储有计算机程序;处理器,与所述存储器通信相连,调用所述计算机程序时执行上述任一项所述的权限控制方法;显示器,与所述处理器和所述存储器通信相连,用于显示与所述权限控制方法相关GUI交互界面。
本发明还提供一种存储介质,存储有计算机程序,该计算机程序被处理器执行时实现上述任一项所述的权限控制方法。
本发明提供的权限控制方法、权限控制系统、电子设备及存储介质具有如下有益效果:
本发明提供一种权限控制方法,包括以下步骤:根据资源数据库中的每一个资源的分类特征,建立该资源与允许访问该资源的身份信息之间的映射关系;根据接收到的访问指令,获取所述访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征;判断所述访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征是否符合所述映射关系;若是,则允许访问所述访问指令对应的资源;若否,则禁止访问所述访问指令对应的资源。如此设置,本发明摒弃了传统的权限控制方式。从数据本身出发,为数据规划访问策略,访问策略因子可调可控,非常灵活,大幅降低实施成本,满足多变的业务场景。本发明可适用于任何行业的项目和产品,可实现权限管理系统无须针对具体行业项目再进行大量的二次开发和定制化设计,并且使得系统在后续使用中的权限变更十分简便,实现降本增效。
本发明还提供一种权限控制系统,由于所述权限控制系统与所述权限控制方法属于同一个发明构思,因此所述检索系统既能够从数据本身出发,为数据规划访问策略,访问策略因子可调可控,非常灵活,大幅降低实施成本,满足多变的业务场景。
本发明还提供一种电子设备,由于所述电子设备与所述权限控制方法属于同一个发明构思,因此所述电子设备既能够从数据本身出发,为数据规划访问策略,访问策略因子可调可控,非常灵活,大幅降低实施成本,满足多变的业务场景。
本发明还提供一种存储介质,由于所述存储介质与所述权限控制方法属于同一个发明构思,因此所述存储介质既能够从数据本身出发,为数据规划访问策略,访问策略因子可调可控,非常灵活,大幅降低实施成本,满足多变的业务场景。
附图说明
图1为本发明一实施例提供的权限控制方法的流程示意图;
图2为本发明一实施例提供的电子设备的方框结构示意图;
其中附图标记为:
101-处理器;102-通信接口;103-存储器;104-通信总线;105-显示器。
具体实施方式
为使本发明的目的、优点和特征更加清楚,以下结合附图和具体实施例对本发明作进一步详细说明。需说明的是,附图均采用非常简化的形式且未按比例绘制,仅用以方便、明晰地辅助说明本发明实施例的目的。此外,附图所展示的结构往往是实际结构的一部分。特别的,各附图需要展示的侧重点不同,有时会采用不同的比例。
应当明白,当元件或层被称为"在…上"、"连接到"其它元件或层时,其可以直接地在其它元件或层上、连接其它元件或层,或者可以包括居间的元件或层。相反,当元件被称为"直接在…上"、"直接连接到"其它元件或层时,则不包括居间的元件或层。尽管可使用术语第一、第二、第三等描述各种元件、部件、区、层和/或部分,这些元件、部件、区、层和/或部分不应当被这些术语限制。这些术语仅仅用来区分一个元件、部件、区、层或部分与另一个元件、部件、区、层或部分。因此,在不脱离本发明教导之下,下面讨论的第一元件、部件、区、层或部分可表示为第二元件、部件、区、层或部分。空间关系术语例如“在……之下”、“在下面”、“下面的”、“在……之上”、“在上面”、“上面的”等,在这里可为了方便描述而被使用从而描述图中所示的一个元件或特征与其它元件或特征的关系。应当明白,除了图中所示的取向以外,空间关系术语意图还包括使用和操作中的器件的不同取向。例如,如果附图中的器件翻转,然后,描述为“在……之下”、“在下面”、“下面的”元件或特征将取向为在其它元件或特征“上”。器件可以另外地取向(旋转90度或其它取向)并且在此使用的空间描述语相应地被解释。在此使用的术语的目的仅在于描述具体实施例并且不作为本发明的限制。在此使用时,单数形式的"一"、"一个"和"所述/该"也意图包括复数形式,除非上下文清楚地指出另外的方式。还应明白术语“包括”用于确定可以特征、步骤、操作、元件和/或部件的包括,但不排除一个或更多其它的特征、步骤、操作、元件、部件和/或组的包括或添加。在此使用时,术语"和/或"包括相关所列项目的任何及所有组合。
本发明的目的在于提供一种权限控制方法、权限控制系统、电子设备及存储介质,从数据本身出发,为数据规划访问策略,以大幅降低实施成本,满足多变的业务场景。
首先展开说明现有技术。
本发明之前,业界的数据权限控制机制很多,常见的有ACL(Access Control:osts)访问控制列表,RBAC(Role-BasedAccess Control)基于角色的访问控制,GBAC(Group-BasedAccess Control)基于群组层级关系的访问控制,DAC(DiscretionaryAccess Control)自主访问控制,MAC(Mandatory Access Control)强制访问控制,Claimsas Permissions基于声明的访问控制,ABAC(Attribute-BasedAccess Control)基于属性的访问控制等。它们各自都存在鲜明的优缺点:
ACL的核心思路是将某个资源的某种权限授予某个用户或者某个角色,它们之间的关系是多对多。优点是实施简单。缺点是一旦修改了安全策略或者需要审计,就意味着需要遍历大量的资源。
RBAC基于角色的访问控制,应用特别广泛。它是防止权限泛滥,实现最小特权原则的经典解决方案。优点是比ACL更具扩展性,在粗粒度的访问控制中工作得特别好。缺点是随着组织的演进,往往出现角色爆炸现象;当更新用户权限时,需要大量手工操作;做不到细粒度的访问控制;安全管理成本高;合规和审计变得困难;资源与角色紧藕合,改一个角色会影响多个资源。
GBAC看上去和RBAC很像,但是GBAC可以用来对一个或多个具有层级关系的群组来定义访问资源的权限。它允许将某个群组的访问权限继承到其下级群组中。优点是适合用于公司的组织架构权限。缺点同RBAC,另外,如果公司的组织结构关系维护在别的系统中,那么容易造成群组关系维护困难。
DAC是让资源的所有者来定义访问控制规则,像百度网盘的资源上传者一样,需要将资源分享给他人时,就可以定义是对所有人公开,还是只对知道密码的人公开。优点是灵活,维护成本低。缺点是增加了整体访问控制监管的难度;安全性没有保证,完全取决于资源所有者的个人安全意识。
MAC是通过定义安全级别标签来进行访问控制,它可以限制主体对资源执行某种操作,它的安全策略由管理员集中控制,用户无权覆盖策略。优点是非常的安全。缺点是实施要求很高,需要对所有数据进行标记。
Claims as Permissions是基于声明式的权限管理,常和RBAC结合使用,以弥补RBAC在细粒度的访问控制中的不足。优点是非常灵活。缺点是难以审计;对于采用OAuth或者OpenID单点登录的方案,在用户的令牌中携带全是用户权限,容易出现体积庞大的访问令牌;在用户身份声明中携带权限信息,导致谁和授权混搅在一起。
ABAC是基于属性的访问控制,它不给用户直接赋予访问权限,而是通过执行一系列布尔规则来为资源授权。ABAC中一般包含用户属性、环境属性、操作属性以及资源属性。ABAC和所有之前介绍过的机制都不同,当安全需求变化时,不需要手动调整具体权限。它只需要设定好策略逻辑,就能使所有资源的访问控制立即生效。因此他是一种抽象程度更高的机制。优点显而易见,拥有解决以上介绍过的所有机制的缺点。缺点是比较复杂,实施难度较大。
综上所述,现有的数据访问控制机制或多或少存在着一些局限性和缺陷,这些缺陷通常会导致实施结果与实际业务场景不匹配。为了解决这些问题,我们需要找到以上各种机制的一个平衡点,以实现更先进的数据权限控制,从而更好实现数据安全,更好的赋能业务。
为实现上述目的,本发明提供一种权限控制方法,包括以下步骤:
根据资源数据库中的每一个资源的分类特征,建立该资源与允许访问该资源的身份信息之间的映射关系;
根据接收到的访问指令,获取所述访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征;
判断所述访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征是否符合所述映射关系;
若是,则允许访问所述访问指令对应的资源;
若否,则禁止访问所述访问指令对应的资源。
如此设置,本发明摒弃了传统的权限控制方式。从数据本身出发,为数据规划访问策略,访问策略因子可调可控,非常灵活,大幅降低实施成本,满足多变的业务场景。本发明可适用于任何行业的项目和产品,可实现权限管理系统无须针对具体行业项目再进行大量的二次开发和定制化设计,并且使得系统在后续使用中的权限变更十分简便,实现降本增效。
需要说明的是,所述资源的分类特征的提取方式有多种。具体的,可以调用主题模型,如潜在狄利克雷分布(LDA)或基于矩阵分解的模型,获取所述资源的分类特征。也可以调用深度学习模型,如卷积神经网络(CNN)、循环神经网络(RNN)等获取所述资源的分类特征。也可以基于TF-IDF统计方法,获取所述资源的分类特征,使用词频统计表与IDF的结合,构建新表(TF-IDF),主要思想是如果某个词或短语在一段文本中出现的频率(TF)高,并且在其他文本中很少出现(IDF高),则认为此词或短语具有很好的类别区分特征。
所述映射关系可根据需求进行编辑与预设,基于此,本发明还包括:根据接收到的编辑指令,修改任意一个所述资源对应的允许访问该资源的身份信息,以新建所述映射关系。例如,可按下表制定所述映射关系。
进一步的,所述根据接收到的访问指令,获取所述访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征,具体包括:
根据所述访问指令对应的关键词,计算所述资源数据库中各所述资源的所述分类特征与所述关键词的相似度;
以所述相似度最大的所述分类特征对应的资源作为所述访问指令对应的资源。
此部分技术方案主要针对检索访问的场景,例如访问指令里的关键词是“财政”,那么与其相似度最近的分类特征会是“财务”,这样就会以“财务”分类特征对应的资源作为所述访问指令对应的资源,具体实现方式包括但不限于将访问指令里的关键词和所述分类特征均转化为词向量,再进行向量距离计算。在此基础上,再进一步根据所述映射关系,将所述访问指令能够访问的资源显示出来。
可选的,每个所述资源的分类特征有多个,每个所述资源对应的允许访问该资源的身份信息有多个,根据布尔运算规则,建立该资源与允许访问该资源的身份信息之间的映射关系。例如所述身份信息包括用户的年龄、部门、职位、入职时间、获取的荣誉等,也可包括访问时间、访问地、客户端设备、客户端网络信息等,通过多个所述分类特征和多个所述身份信息,进行布尔运算的组合,从而实现所述映射关系的建立与改变更加灵活。
本发明还提供一种检索系统,应用于上述中任一所述的权限控制方法,包括:
建立模块,用于根据资源数据库中的每一个资源的分类特征,建立该资源与允许访问该资源的身份信息之间的映射关系;
获取模块,用于根据接收到的访问指令,获取访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征;
判断模块,用于判断所述访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征是否符合所述映射关系。
由于所述权限控制系统与所述权限控制方法属于同一个发明构思,因此所述检索系统既能够从数据本身出发,为数据规划访问策略,访问策略因子可调可控,非常灵活,大幅降低实施成本,满足多变的业务场景。
请参考图2,图2为本发明一实施例提供的电子设备的方框结构示意图。如图2所示,本发明还提供一种电子设备,所述电子设备包括:
存储器103,存储有计算机程序;
处理器101,与所述存储器通信相连,调用所述计算机程序时执行上述任一项所述的权限控制方法;
显示器105,与所述处理器和所述存储器通信相连,用于显示与所述权限控制方法相关GUI交互界面。
由于所述电子设备与所述权限控制方法属于同一个发明构思,因此所述电子设备既能够从数据本身出发,为数据规划访问策略,访问策略因子可调可控,非常灵活,大幅降低实施成本,满足多变的业务场景。
如图2所示,所述电子设备还包括通信接口102和通信总线104,其中所述处理器101、所述通信接口102、所述存储器103通过通信总线104完成相互间的通信。所述通信总线104可以是外设部件互连标准(Peripheral Component Interconnect,PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture,EISA)总线等。该通信总线104可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。所述通信接口102用于上述电子设备与其他设备之间的通信。
本发明中所称处理器101可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器101是所述电子设备的控制中心,利用各种接口和线路连接整个电子设备的各个部分。
所述存储器103可用于存储所述计算机程序,所述处理器101通过运行或执行存储在所述存储器103内的计算机程序,以及调用存储在存储器103内的数据,实现所述电子设备的各种功能。
所述存储器103可以包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
本发明还提供一种存储介质,存储有计算机程序,该计算机程序被处理器执行时实现上述任一项所述的权限控制方法。
由于所述存储介质与所述权限控制方法属于同一个发明构思,因此所述存储介质既能够从数据本身出发,为数据规划访问策略,访问策略因子可调可控,非常灵活,大幅降低实施成本,满足多变的业务场景。
由于本发明提供的存储介质与上文所述的权限控制方法属于同一发明构思,因此本发明提供的存储介质具有上文所述的权限控制方法的所有优点,故在此不再对本发明提供的存储介质所具有的有益效果进行一一赘述。
本发明实施方式的存储介质,可以采用一个或多个计算机可读的介质的任意组合。可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机硬盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其组合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
还需要说明的是,虽然本发明已以较佳实施例披露如上,然而上述实施例并非用以限定本发明。对于任何熟悉本领域的技术人员而言,在不脱离本发明技术方案范围情况下,都可利用上述揭示的技术内容对本发明技术方案作出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均仍属于本发明技术方案保护的范围。
还应当理解的是,除非特别说明或者指出,否则说明书中的术语“第一”、“第二”、“第三”等描述仅仅用于区分说明书中的各个组件、元素、步骤等,而不是用于表示各个组件、元素、步骤之间的逻辑关系或者顺序关系等。
此外还应该认识到,此处描述的术语仅仅用来描述特定实施例,而不是用来限制本发明的范围。必须注意的是,此处的以及所附权利要求中使用的单数形式“一个”和“一种”包括复数基准,除非上下文明确表示相反意思。例如,对“一个步骤”或“一个装置”的引述意味着对一个或多个步骤或装置的引述,并且可能包括次级步骤以及次级装置。应该以最广义的含义来理解使用的所有连词。以及,词语“或”应该被理解为具有逻辑“或”的定义,而不是逻辑“异或”的定义,除非上下文明确表示相反意思。此外,本发明实施例的实现可包括手动、自动或组合地执行所选任务。
Claims (6)
1.一种权限控制方法,其特征在于,包括以下步骤:
根据资源数据库中的每一个资源的分类特征,建立该资源与允许访问该资源的身份信息之间的映射关系;
根据接收到的访问指令,获取所述访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征;
判断所述访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征是否符合所述映射关系;
若是,则允许访问所述访问指令对应的资源;
若否,则禁止访问所述访问指令对应的资源;
所述分类特征基于所述资源的数据本身提取;
所述分类特征的获取方式包括以下方式中的至少一者:
调用主题模型,获取所述资源的分类特征;
调用深度学习模型,获取所述资源的分类特征;
基于TF-IDF统计方法,获取所述资源的分类特征;
所述根据接收到的访问指令,获取所述访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征,具体包括:
根据所述访问指令对应的关键词,计算所述资源数据库中各所述资源的所述分类特征与所述关键词的相似度;
以所述相似度最大的所述分类特征对应的资源作为所述访问指令对应的资源。
2.如权利要求1所述的权限控制方法,其特征在于,还包括:
根据接收到的编辑指令,修改任意一个所述资源对应的允许访问该资源的身份信息,以新建所述映射关系。
3.如权利要求1所述的权限控制方法,其特征在于,每个所述资源的分类特征有多个,每个所述资源对应的允许访问该资源的身份信息有多个,根据布尔运算规则,建立该资源与允许访问该资源的身份信息之间的映射关系。
4.一种权限控制系统,应用于如权利要求1至3中任一所述的权限控制方法,其特征在于,包括:
建立模块,用于根据资源数据库中的每一个资源的分类特征,建立该资源与允许访问该资源的身份信息之间的映射关系;
获取模块,用于根据接收到的访问指令,获取访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征;
判断模块,用于判断所述访问指令对应的身份信息和所述访问指令对应的资源的所述分类特征是否符合所述映射关系。
5.一种电子设备,其特征在于,包括:
存储器,存储有计算机程序;
处理器,与所述存储器通信相连,调用所述计算机程序时执行如权利要求1-3中任一项所述的权限控制方法;
显示器,与所述处理器和所述存储器通信相连,用于显示与所述权限控制方法相关GUI交互界面。
6.一种存储介质,存储有计算机程序,其特征在于:该计算机程序被处理器执行时实现如权利要求1-3中任一项所述的权限控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311805437.8A CN117749505B (zh) | 2023-12-26 | 2023-12-26 | 权限控制方法、权限控制系统、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311805437.8A CN117749505B (zh) | 2023-12-26 | 2023-12-26 | 权限控制方法、权限控制系统、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117749505A CN117749505A (zh) | 2024-03-22 |
| CN117749505B true CN117749505B (zh) | 2024-11-08 |
Family
ID=90256619
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311805437.8A Active CN117749505B (zh) | 2023-12-26 | 2023-12-26 | 权限控制方法、权限控制系统、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117749505B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06214863A (ja) * | 1993-01-13 | 1994-08-05 | Fuji Xerox Co Ltd | 情報資源管理装置 |
| CN114254350A (zh) * | 2021-12-21 | 2022-03-29 | 迪爱斯信息技术股份有限公司 | 多维度细粒度分级分类管理系统及方法、数据访问方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10320819B2 (en) * | 2017-02-27 | 2019-06-11 | Amazon Technologies, Inc. | Intelligent security management |
| CN109889517B (zh) * | 2019-02-14 | 2021-10-12 | 广州小鹏汽车科技有限公司 | 数据处理方法、权限数据集创建方法、装置及电子设备 |
| CN110489675A (zh) * | 2019-08-19 | 2019-11-22 | 下一代互联网重大应用技术(北京)工程研究中心有限公司 | 学术资源访问方法、系统、电子设备及介质 |
| CN114462069B (zh) * | 2022-04-12 | 2022-07-22 | 北京天维信通科技有限公司 | 多级租户资源访问管理方法、系统、智能终端及存储介质 |
| CN116738391A (zh) * | 2023-06-05 | 2023-09-12 | 中国电信股份有限公司 | 一种动态权限控制方法、系统、装置及存储介质 |
| CN116760640B (zh) * | 2023-08-18 | 2023-11-03 | 建信金融科技有限责任公司 | 访问控制方法、装置、设备及存储介质 |
-
2023
- 2023-12-26 CN CN202311805437.8A patent/CN117749505B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06214863A (ja) * | 1993-01-13 | 1994-08-05 | Fuji Xerox Co Ltd | 情報資源管理装置 |
| CN114254350A (zh) * | 2021-12-21 | 2022-03-29 | 迪爱斯信息技术股份有限公司 | 多维度细粒度分级分类管理系统及方法、数据访问方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117749505A (zh) | 2024-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8555403B1 (en) | Privileged access to managed content | |
| Colombo et al. | Privacy aware access control for big data: A research roadmap | |
| CN107403106B (zh) | 基于终端用户的数据库细粒度访问控制方法 | |
| KR101120814B1 (ko) | 로우 레벨 데이터베이스 보안을 최적화하는 시스템 및 방법 | |
| US8458337B2 (en) | Methods and apparatus for scoped role-based access control | |
| US7711750B1 (en) | Systems and methods that specify row level database security | |
| US20160036860A1 (en) | Policy based data processing | |
| US20090319529A1 (en) | Information Rights Management | |
| US8719903B1 (en) | Dynamic access control list for managed content | |
| DE102011077218B4 (de) | Zugriff auf in einer Cloud gespeicherte Daten | |
| US11321479B2 (en) | Dynamic enforcement of data protection policies for arbitrary tabular data access to a corpus of rectangular data sets | |
| US20240195609A1 (en) | Contextual key management for data encryption | |
| US20200387821A1 (en) | Authentication based on a change in a state of a qubit | |
| CN111931140A (zh) | 权限管理方法、资源访问控制方法、装置和电子设备 | |
| CN107277023A (zh) | 一种基于Web的移动瘦终端访问控制方法、系统及瘦终端 | |
| DE102016103212A1 (de) | Kontextbasiertes Umsetzen von Dateisicherheitseinstellungen | |
| CN113239386A (zh) | Api权限控制方法及装置 | |
| US8214382B1 (en) | Database predicate constraints on structured query language statements | |
| JP2003108440A (ja) | データ公開方法、データ公開プログラム、データ公開装置 | |
| CN117749505B (zh) | 权限控制方法、权限控制系统、电子设备及存储介质 | |
| US11616782B2 (en) | Context-aware content object security | |
| Gkioulos et al. | Enhancing usage control for performance: An architecture for systems of systems | |
| CN114282591B (zh) | 一种动态安全级别实时划分方法、终端设备及存储介质 | |
| CN112668055B (zh) | 一种基于本体推理的隐私信息访问控制方法及系统 | |
| Koot | Introduction to Access Control (v4) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |