一种基于资源分级分类和用户特征的权限控制的方法及系统与流程

本发明属于计算机数据安全，具体涉及一种基于资源分级分类和用户特征的权限控制的方法及系统。

背景技术：

1、目前被大家广泛采用的两种权限模型为：基于角色的访问控制(rbac)和基于策略的访问控制(pbac)，二者各有优劣：rbac模型构建起来更加简单，缺点在于无法做到对资源细粒度地授权；pbac模型构建相对复杂，学习成本比较高，系统根据用户的特征来赋予策略进行权限控制，随着用户的特征变化(如职级改变、调岗等)对应的策略变化最终权限自动变化。

2、(一)、基于角色的访问控制(role-based access control，简称rbac)，指的是通过用户的角色(role)授权其相关权限，这实现了灵活的访问控制，相比直接授予用户权限，更加简单、高效、可扩展。我们只需要为该角色制定好权限后，给不同的用户分配不同的角色，后续只需要修改角色的权限，就能自动修改角色内所有用户的权限。

3、rbac同时存在问题：

4、1、粗粒度和静态:rbac仅根据用户的角色限制授权，忽略其他属性。它有固定的访问权限，不会自动更新(例如:人员调岗，职级变动等，需要人工调整角色来改变权限)；

5、2、角色爆发:随着企业的成长和业务日益复杂，定义了许多相识但略有不同的角色，随着时间累积的角色数量越来越多，运维难度加大，往往只有角色的增加和变更，没有及时删除，从而产生安全风险以及审计问题。

6、(二)、基于策略的访问控制(policy based access control，简称pbac)，是一种将角色和属性与逻辑结合以创建灵活的动态控制策略的方法。pbac具有细粒度和粗粒度的灵活性，是给某一类特征用户赋予权限。支持环境和上下文控制，因此可以设置策略在特定时间和特定条件授予对资源的访问权，甚至评估身份和资源之间的关系。pbac弥补了rbac的安全漏洞，增强数据安全，能快速根据用户的特征属性变化自动变更。

7、pbac存在问题：

8、1、上手复杂，如果业务情景复杂，需要配置的策略非常多，初始化难度会加大；

9、2、权限配置不直观，运维者的要求相对较高，需要有一定的培训和学习成本；

10、3、需要用dsl语言(技术框架antlr4)，开发周期相对较长；

11、在大数据环境下，企业数字化转型，各种数据中台应运而生，但是权限控制还未能达到高效、简便且降低学习和运维成本。针对信息资源的分级，需要根据信息内容确定，目前尚无科学的方法和范式支撑构建信息内容的数学模型，因此很难制定出通用产品，需要针对各个企业做定制化设计开发。

12、有鉴于此，提出一种基于资源分级分类和用户特征的权限控制的方法及系统是非常具有意义的。

技术实现思路

1、为了解决现有在大数据环境下，企业数字化转型，各种数据中台应运而生，但是权限控制还未能达到高效、简便且降低学习和运维成本等问题，本发明提供一种基于资源分级分类和用户特征的权限控制的方法及系统，以解决上述存在的技术缺陷问题。

2、第一方面，本发明提出了一种基于资源分级分类和用户特征的权限控制的方法，该方法包括如下步骤：

3、数据采集：响应于对实体扫描进行数据采集，建立数据使用情况表，所述数据使用情况表含有表名以及表结构信息；

4、数据分级分类：将采集的数据根据预设规则进行分级分类；

5、系统配置：根据需求创建角色，选择对应菜单下的模块并配置模块的资源信息，配置模块包括四块分类内容：常用规则；表分类、表分级、字段分类、字段分级；数据范围；资源目录；

6、权限策略缓存：策略中心提前整理好权限的缓存信息；

7、策略解析器：权限控制中心将配置的信息转换为通用的策略语言后，每个业务应用需要对于下发的策略信息进行解读，最终到数据权限控制；

8、接口请求带有埋点信息：每个页面请求的信息都必须带有埋点，带有菜单路径，各个服务根据上下文的权限控制信息以及埋点信息，确定当前用户身份，获取对应策略信息；

9、权限监听：权限控制中心监听用户特征变化情况，给其重新的更新权限，并且在特征进行不符合常规的变化中，给予预警。

10、优选的，还包括：

11、不认为埋点是可信的，则会比对用户是否有点位的权限进行校验，如果没有权限则直接返回。

12、进一步优选的，权限监听还包括：

13、若某用户拥有模块资源的权限，原本几乎没有使用但是突然频繁调用，也会进行预警，或者直接关闭权限。

14、进一步优选的，权限策略缓存还包括：

15、某些规则无法直接叠加的，同时在最终查询的时候容易影响性能，策略中心采用通过将不同的规则转换为人和组织信息，变成最简单的规则直接叠加的水平权限策略；

16、针对字段在业务的显示，使用投票器机制找到数据对应归属的数据范围来控制字段的显示，后续通过添加越来越多的投票器打造出更多和合并可能性的垂直权限策略。

17、进一步优选的，策略解析器还包括：

18、策略解析器提供水平解析和垂直解析两类解读的方式，各个应用如果不使用默认解析器，则可结合业务自行实现对应解析器来对策略进行解读。

19、进一步优选的，数据的分级分类包括:

20、采用线分类法为主，面分类法为辅的混合分类法方式，按照数据资源的业务属性和安全隐私保护属性对数据资源进行分类，将数据资源表从低到高分为公开一级、一般二级、敏感三级、重要四级以及核心五级五个级别；

21、字段在资源表的基础上根据数据受到滥用、泄露或者丢失后，对公共利益或者个人、公司或子公司合法权益造成影响程度从无影响一级、微小影响二级、较小影响三级、一般影响四级、中度影响五级、较大影响六级、严重影响七级以及构成重要威胁八级细分为八个级别；

22、公开数据对应的字段分级宜为第一级，一般数据对应的字段分级宜为第二级至第三级，敏感数据对应的字段分级宜为第四级至第六级，重要数据对应的字段分级宜为第七级，核心数据对应的字段分级宜为第八级；

23、字段用户只能获取拥有权限的字段类型对应的数据记录，即用已授权字段作为查询条件，查询结果中不返回未授权的字段。

24、进一步优选的，数据采集的流程包括：

25、权限中心发起数据采集请求；

26、接收到信号后，服务自行执行资源扫描，方式包括java实体类扫描以及代码语义扫描；

27、权限控制中心获得返回的结构信息，进行整理持久化；

28、请求日志扫描流程包括：

29、客户端请求带有页面的点位信息、菜单路径以及模块地址；

30、如果客户端没有点位信息，则自动寻点找到系统配置在这个菜单的点位信息；

31、当请求访问资源的时候，统一记录请求带有的点位信息以及资源名称。

32、第二方面，本发明实施例还提供一种基于资源分级分类和用户特征的权限控制的系统，包括：

33、数据采集模块，配置用于响应于对实体扫描进行数据采集，建立数据使用情况表，所述数据使用情况表含有表名以及表结构信息；

34、数据分级分类模块，配置用于将采集的数据根据预设规则进行分级分类；

35、系统配置模块，配置用于根据需求创建角色，选择对应菜单下的模块并配置模块的资源信息；

36、权限策略缓存模块，配置用于策略中心提前整理好权限的缓存信息；

37、策略解析器模块，配置用于权限控制中心将配置的信息转换为通用的策略语言后，每个业务应用需要对于下发的策略信息进行解读，最终到数据权限控制；

38、接口请求模块，配置用于每个页面请求的信息都必须带有埋点，带有菜单路径，各个服务根据上下文的权限控制信息以及埋点信息，确定当前用户身份，获取对应策略信息；

39、权限监听模块，配置用于权限控制中心监听用户特征变化情况，给其重新的更新权限，并且在特征进行不符合常规的变化中，给予预警。

40、第三方面，本发明实施例提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如第一方面中任一实现方式描述的方法。

41、第四方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。

42、与现有技术相比，本发明的有益成果在于：

43、(1)通过根据用户特征，将多个维度的分级分类信息和人员特征进行关联处理，且对字段进行标签处理，可以快速搭建用户和字段的关系，简化配置成本，实现随着人员特征变化，自动匹配不同的权限，使其实现访问和使用经过分级分类的资源信息，具有一定的泛用性，并且设计的思维逻辑具有复用性，可以在企业中使用和推广。

44、(2)数据权限的颗粒度实现控制到每个字段特征，会出现配置繁琐的情况，我们的方案落地模式以pbac为基础，结合数据分级分类，根据多种属性动态配置，更新以及监控和预警；原来角色，也将变成属性的一部分，对于经常使用rbac的权限模型的人员来说，也不会产生大量的学习成本。