[发明专利]针对运维业务数据表的列级权限知识图谱构建方法

说明书

本发明提供了一种针对运维业务数据表的列级权限知识图谱构建方法，首先对问题领域进行需求分析，形成该领域Schema，然后抽取了原有权限系统的数据模型，补充和完善Schema；人工梳理出结构化的列级权限数据文档，并进行知识抽取。接着分析原有运维业务系统的基于表级的权限数据，构造受表级不受列级控制的数据权限知识，并与之前抽取的知识进行合并，最后进行知识存储，得到最终的数据库表列级权限数据知识图谱。无需改动原有的运维业务数据本身的数据模式，不会影响原有运维业务系统的正常运转，同时大大减少了工作量的同时，当增加新类型的数据和关系时，无需修改设计，适用于运维业务数据实时变化和数据权限实时变动的场景。

技术领域

本发明属于大数据权限控制技术领域，具体涉及针对运维业务数据表的列级权限知识图谱构建方法。

背景技术

互联网时代的到来伴随着高速大量网络数据的产生，在享受信息化浪潮下的方便与效率的同时，数据安全问题受到社会各界的关注。数据入库是信息持久化的一个手段，基于数据库之上的数据共享和数据泄露带来的数据库安全问题的研究，具有重大的现实意义。数据库安全技术包括数据加密技术、存取管理技术、安全审计技术和备份与恢复技术。其中，存取管理技术包括用户认证技术和访问控制技术，并且访问控制技术是实现数据库中敏感信息的完整性和保密性的主要手段。访问控制技术根据控制的对象可分为粗粒度表级数据访问控制和细粒度列级数据访问控制，为了与业务需求灵活多变，数据权限实时变动的特性适配，后者的研究变得更有意义。

访问控制技术发展的过程中，出现了三种关键性技术，自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)。其中，自主访问控制是指客体资源的拥有者自主将该客体资源的访问控制权授予其他主体用户；强制访问控制则是，根据客体资源的敏感度等级与主体的可访问敏感度等级相比较，由系统策略决定一个用户能否访问某个特定的资源；基于角色的访问控制是在自主访问控制的基础上实现的，使用更粗的角色粒度来分配客体资源的访问权限。

上述三种访问控制技术都是侧重访问主体方的权限分配的方式，而本文所针对的问题是被访问客体方的细化，即从访问表级数据进行限制转为对列级数据访问的限制。同时，现有的解决列级权限控制的方法都是基于关系型数据库开发的解决方案，这类解决方案可以实现基本的权限数据的存储，但是随着数据规模的增长，权限查询会成为访问控制系统的瓶颈。并且，这些解决方案将权限数据作为需要受到访问控制的业务数据的属性进行存储，需要改动原有的业务数据本身的数据模式，可能会影响原有业务系统的正常运转，同时大大增加了工作量。最后，当增加新类型的数据和关系时，需要修改设计甚至推翻之前的设计，导致关系型列级权限解决方案不适用于业务数据实时变化和数据权限实时变动的场景。

发明内容

本发明的目的是提供一种针对运维业务数据表的列级权限知识图谱构建方法，将列级权限数据固化为有时间限制的知识，构建出独立于运维业务数据表，针对其列级数据的权限知识图谱，解决了现有技术中存在的将权限数据作为需要受到访问控制的业务数据的属性进行存储，需要改动原有的业务数据本身的数据模式，影响原有业务系统的正常运转的问题。

本发明所采用的技术方案是，针对运维业务数据表的列级权限知识图谱构建方法，首先对问题领域进行需求分析，形成该领域Schema，然后抽取了原有权限系统的数据模型，用以补充和完善Schema；之后根据Schema，人工梳理出结构化的列级权限数据文档，并进行知识抽取；接着分析原有运维业务系统的基于表级的权限数据，构造受表级不受列级控制的数据权限知识，并与之前抽取的知识进行合并，最后进行知识存储，得到最终的数据库表列级权限数据知识图谱。

具体包括以下步骤：

步骤1：知识建模，

利用敏捷开发中用户故事的思想进行领域需求分析，得到领域Schema；

步骤2：抽取原有权限模型，