[发明专利]一种用于数据分析的访问控制规则描述方法

说明书

本发明提供一种用于数据分析的访问控制规则描述方法，包括：S1，根据应用场景将用户角色分割为一个或多个角色单元，以及将数据资源分割为一个或多个数据元；S2，将用户角色组织成层次结构的形式，其中中间节点包含了其所有后代节点对应的角色单元，其中叶子节点则对应某个应用场景下所述角色单元所对应的具体人员；将数据资源组织成层次结构的形式，其中中间节点包含了其所有后代节点对应的数据元，叶子节点则对应了一组现实数据；S3，为每个数据资源指定一组动作；S4，基于用户角色、数据资源和动作，描述对数据资源的访问进行控制的访问控制规则。本发明支持对数据资源的同时访问进行控制，并可要求对数据资源进行特定的脱敏操作。

技术领域

本发明涉及数据资源权限管理控制技术领域，尤其涉及一种用于数据分析的访问控制规则描述方法。

背景技术

数据分析是指用适当的统计分析方法，从数据中提出有用信息和结论的过程。随着云计算、大数据等相关技术的发展，越来越多的企业和机构开始利用数据分析技术挖掘商业数据中的价值。典型的应用场景包括零售企业、医疗机构和社交网络等。然而，商业数据中通常包含许多敏感信息，例如用户个人信息和商业机密信息。为了保护商业数据的安全，需要对数据访问进行控制。

访问控制技术通过控制访问权限的方式保证资源不被非法使用和访问。为了利用访问控制技术保护商业数据，管理员首先需要利用计算机可以处理的访问控制语言编写访问控制规则。目前，一些常见的访问控制模型或语言包括RBAC(Role Based AccessControl，基于角色的访问控制)和XACML(eXtensible Acess Control Markup Language，可扩展的访问控制标记语言)。在RBAC中，每条访问控制规则禁止或允许具有某种角色的用户访问某种数据资源。XACML则支持更加丰富的语法元素，其中每条访问控制规则允许或禁止某些用户在某种条件下以何种动作访问某种数据资源。

然而，对于数据分析场景，目前的访问控制技术存在如下两点问题。第一，现有的访问控制技术通常假设数据资源是独立的，因而难以对多种数据的同时访问进行控制。但数据分析脚本通常会同时访问多种数据资源以进行统计分析，并且数据资源之间也可能存在关联信息。例如，当同时访问顾客住址和销售记录时，数据分析人员不仅会得到这两种信息，也有可能额外得到每个住址的顾客所购买的商品记录。因此，在数据分析中，不仅需要对单独的数据资源进行控制，也需要考虑对多种数据资源的同时访问进行控制。第二，现有的访问控制技术通常只支持对数据资源访问的直接授权，而不能要求在数据资源上进行特定的操作。但数据分析脚本本质上是计算机程序，并且通常会对数据资源进行某些操作以去除其中的敏感信息，例如求和、平均和截断操作等。因此，为了更精确的对数据资源访问进行授权，也需要将这些脱敏操作考虑在内。

发明内容

本发明的目的是基于现有访问控制技术的上述两个问题，提出一种适用于数据分析的访问控制规则描述方法，其支持对数据资源的同时访问进行控制，并可以要求对数据资源进行特定的脱敏操作，因此通过其能够更精确地对数据资源访问进行控制。

为实现以上目的，本发明的一种用于数据分析的访问控制规则描述方法，具体包括以下步骤：

S1，根据应用场景将用户角色分割为一个或多个角色单元，以及将数据资源分割为一个或多个数据元；

S2，将用户角色组织成层次结构的形式，其中中间节点包含了其所有后代节点对应的角色单元，其中叶子节点则对应某个应用场景下所述角色单元所对应的具体人员；将数据资源组织成层次结构的形式，其中中间节点包含了其所有后代节点对应的数据元，叶子节点则对应了一组现实数据；

S3，为每个数据资源指定对应一组动作；

S4，基于所述用户角色、数据资源和动作，描述对数据资源的访问进行控制的访问控制规则。

优选地，所述具体人员为对应某个应用场景下的数据分析人员。