一种数据授权方法及数据授权系统

本发明涉及数据权限控制的，具体地，是一种数据授权方法以及实现这种方法的数据授权系统。

背景技术：

1、随着大数据、云计算、物联网等技术的发展与广泛应用，云数据系统广泛的应用于各种服务系统中。由于云数据系统存储有大量的数据，数据的安全和管理问题也引发了广泛的关注。如何有效地管理和控制数据的访问权限，确保数据的安全性，是信息安全管理面临的一大挑战。

2、现有的数据访问授权管理主要是依赖于用户的账户、密码对用户进行身份验证，并对不同用户设置不同的角色，通过设定不同角色的访问权限来对数据进行管理，避免用户访问不恰当的数据而引起的数据安全问题。然而，现有的这种方法存在以下问题：第一，用户的权利划分粗糙，角色权限划分不够细化，很难满足复杂业务环境下的权限管理需求；第二，对应用系统的权限管理不够灵活，无法区分和管理应用系统对数据的访问权限；第三，数据的访问流程不够清晰，无法有效防止数据泄露。

3、公开号为cn107679422a的发明专利申请公开了基于多维度的角色权限管理方法，该方法给每个角色分配相应的权限，并将对应关系分别存储于操作功能权限表、管理范围权限表、数据范围权限表和数据密级权限表中，再赋予每个用户对应的角色，并将对应关系存储于角色表中，并且，各用户的数据访问权限还与用户的岗位相关。

4、然而，现有的方案仅仅着重于对于用户自身权限的管理，并没有从应用系统的维度对数据进行安全管理，导致数据完全管理不够完善。因此，现有的数据安全管理的方法存在精细化不足、缺少从应用角度对数据进行安全管理的问题。

技术实现思路

1、本发明的第一目的是提供一种因此，提出一种精细化、双向授权的数据授权方法。

2、本发明的第二目的是提供一种提高数据安全管理精细度的数据授权系统。

3、为实现本发明的第一目的，本发明提供的数据授权方法包括获取目标用户的用户信息，对目标用户进行身份验证，同时获取目标用户所需要访问的目标应用程序；确定目标用户对应的目标岗位，并判断目标岗位是否具有访问目标应用程序的权限，如目标岗位具有访问目标应用程序的权限，则根据目标应用程序的控制范围，从预设数据中滤除不在目标应用程序的控制范围内的数据；如目标应用程序受特征控制，进一步滤除不满足特征控制要求的数据；根据目标用户的目标角色和/或目标岗位，滤除目标用户无权限访问的数据，向目标用户返回剩余的数据。

4、由上述方案可见，本发明不单从用户的维度对数据进行管控，还根据用户所需要访问的应用程序的维度对数据进行管控，也就是根据目标用户需要访问的目标应用程序滤除没有权限的数据，这样，目标用户访问目标应用程序期间将不能够访问目标应用程序未被授权的数据，从而确保数据安全。

5、一个优选的方案是，根据目标用户的目标角色和/或目标岗位，滤除目标用户无权限访问的数据包括：获取目标用户的目标角色，根据目标角色确定目标用户无访问权限的数据，并滤除无访问权限的数据。

6、由此可见，本发明还设定不同用户的角色，根据目标用户当前的目标角色确定哪些数据是具有访问权限，哪些数据是不具备访问权限，从而实现根据用户的不同角色进行差异化的管理，数据的安全管控更加精细化。

7、进一步的方案是，根据目标角色确定目标用户无访问权限的数据后，还执行：获取目标用户的目标岗位，根据目标岗位确定目标用户无访问权限的数据，并滤除无访问权限的数据。

8、可见，目标用户除了被设定目标角色外，还会被设定目标岗位，针对不同的岗位，数据访问权限也不尽相同，进而提升数据访问权限管理的精细度。

9、进一步的方案是，目标用户的目标角色对应于二个以上的目标岗位，如预设数据中的某一部分数据对目标角色授权，则用户的其他岗位继承目标角色对应的授权数据。

10、可见，通过一个目标角色对应于多目标岗位的情况，通过上述操作能够避免同一角色的不同岗位下数据重复授权处理的操作，提升数据安全管理的效率。

11、更进一步的方案是，预设数据包括中央数据与应用数据；目标应用程序被赋予预设的优先级别，各目标应用程序调用中央数据时，按照优先级别的高低先后调用中央数据。

12、由此可见，当多个目标应用程序需要调用中央数据时，通过上述操作能够避免多个目标应用程序调用中央数据时冲突的问题，提升关键应用程序调用数据的效率。

13、为实现上述的第二目的，本发明提供的数据授权系统包括用户授权模块以及应用程序授权模块；其中，用户授权模块设置有用户信息模块、应用系统模块以及特征数据控制模块；用户信息模块用于记录目标用户的用户信息，应用系统模块用于向目标用户提供数据服务，特征数据控制模块用于控制目标用户针对特征数据的访问权限；应用程序授权模块设置有应用范围控制模块，记录有各个目标应用程序在预设数据中的访问范围，应用程序授权模块用于根据目标应用程序的在预设数据中的访问范围获取应用数据并将应用数据反馈至应用系统模块。

14、由上述方案可见，通过从用户和应用程序两个维度对数据的访问权限进行管控，可以提升数据安全管控的精细度，避免目标用户在访问目标应用程序时查看到不应该访问的数据，从而提升数据的安全性。

15、一个优选的方案是，用户授权模块还设置有角色控制模块，用于记录各目标用户的目标角色，并根据目标角色滤除目标用户无权访问的数据。

16、进一步的方案是，用户授权模块还设置有岗位控制模块，用于记录各目标用户的目标岗位，并根据目标岗位滤除目标用户无权访问的数据。

17、由此可见，本发明设定各个用户的角色和岗位，通过对角色和岗位的数据访问权限的控制来实现数据访问权限的差异化管理，提升数据访问权限管理的精细度。

18、进一步的方案是，该数据授权系统还设置有设备授权模块，设备授权模块用于获取目标设备的设备信息，并确定目标设备的数据访问权限。

19、这样，除了从用户和应用程序维度对数据访问权限进行管理，本发明还基于设备维度对数据访问安全性进行管理，例如，用户只能够通过特定的设备才能够访问特定的数据，这样，可以避免用户通过任意设备访问数据而引起的数据安全性风险。

20、更进一步的方案是，该数据授权系统还设置有访问行为记录模块，访问行为记录模块用于记录目标用户访问数据的行为。

21、由此可见，通过记录目标用户访问数据的行为，可以清晰了解各个用户访问数据的需求，从而更好的优化不同用户、不同角色、不同岗位以及不同应用程序对于数据的授权范围，从而更加方便用户访问数据。

技术特征：

1.一种数据授权方法，包括：

2.根据权利要求1所述的数据授权方法，其特征在于：

3.根据权利要求2所述的数据授权方法，其特征在于：

4.根据权利要求1至3任一项所述的数据授权方法，其特征在于：

5.根据权利要求1至3任一项所述的数据授权方法，其特征在于：

6.一种数据授权系统，其特征在于，包括：

7.根据权利要求6所述的数据授权系统，其特征在于：

8.根据权利要求6所述的数据授权系统，其特征在于：

9.根据权利要求6至8任一项所述的数据授权系统，其特征在于：

10.根据权利要求6至8任一项所述的数据授权系统，其特征在于：

技术总结本发明提供一种数据授权方法及数据授权系统，该方法包括获取目标用户的用户信息，对目标用户进行身份验证，同时获取目标用户所需要访问的目标应用程序；确定目标用户对应的目标岗位，并判断目标岗位是否具有访问目标应用程序的权限，如目标岗位具有访问目标应用程序的权限，则根据目标应用程序的控制范围，从预设数据中滤除不在目标应用程序的控制范围内的数据；如目标应用程序受特征控制，进一步滤除不满足特征控制要求的数据；根据目标用户的目标角色和/或目标岗位，滤除目标用户无权限访问的数据，向目标用户返回剩余的数据。该系统用于实现上述的方法。本发明实现对数据访问权限的精细化管理，并从用户和应用两个维度进行管理，提高数据访问的安全性。技术研发人员：袁虎声,唐嘉乐,黄海彬,洪忠玮,吴佳佳受保护的技术使用者：澳门科技大学技术研发日：技术公布日：2024/9/2