[发明专利]大数据访问控制方法、装置、电子设备及存储介质

说明书

本发明实施例提供一种大数据访问控制方法、装置、电子设备及存储介质，通过数据处理优化器，可以自动确定出数据处理逻辑中的数据处理目的，并据此做出访问决策，不仅可以支持安全的大数据共享分析，还可以具备隐私意识，为数据提供者提供数据保护功能。

技术领域

本发明涉及大数据处理技术领域，尤其涉及一种大数据访问控制方法、装置、电子设备及存储介质。

背景技术

在大数据时代，海量的数据被收集、存储，并用于各种平台和应用。为此，需要人们设计出能够驾驭海量数据、便于数据分析并发掘数据价值的大数据处理平台。通常大数据处理平台可以访问到各种数据源，支持混合数据分析引擎，如高级结构化查询语言(Structured Query Language，SQL)、机器学习和图等，并有效地处理大量数据。然而，在设计这样的大数据平台时，数据的安全性和私密性并没有得到充分考虑。因此，平台本身所能提供的数据保护功能非常有限。例如，由于平台不具备细粒度访问控制的能力以及不能满足复杂的访问控制需求，当用户的需求仅仅是执行聚合或统计查询时，通常为了满足他们的数据分析需求，现有的平台只能允许用户可以完全访问敏感的原始数据。此外，在大规模的跨组织数据共享环境中，数据更容易受到攻击。在这种环境下，用户可以对多个数据源或平台进行数据关联性分析，以进一步提取敏感信息。

在数据管理和共享应用场景中，访问控制作为一种十分重要的数据保护机制，可以阻止数据使用者访问未授权的敏感数据。简单的访问控制方案是大数据平台直接利用底层访问机制：底层数据源或操作系统提供的访问控制功能。然而，这种解决方案通常不能满足用户的访问控制需求：1)底层机制通常不支持细粒度(属性级、记录级或单元级)访问控制，而高级的数据管理应用需要这些粒度标准。例如，Hadoop分布式文件系统(HadoopDistributed File System，HDFS)提供的文件级访问控制往往不足以满足用户的细粒度安全需求。2)各种数据源的安全模型和机制存在异构性，而异构性意味着会存在访问控制特性不兼容、访问控制功能不一致的问题。例如，用户聚合多个数据源的数据，并且这些数据源都含有敏感属性，那么数据安全性由数据保护功能最差的访问控制机制决定(每个数据源的数据访问策略由数据提供者制定)。

基于目的的访问控制(Purpose-Based Access Control，PBAC)模型用于隐私保护访问控制。PBAC源于传统的关系性数据库管理系统(Relational Database ManagementSystem，RDBMS)。PBAC定义了特定的数据使用目的，并且这些数据使用目的可用SQL查询表达，从而授权特定的SQL查询就相当于授权特定的数据使用目的。例如，“运送”目的意味着可以授权查询“活动订单的运货地址”。然而，在大数据分析应用中，很难将像“运送”这样的抽象数据使用目的直接与系统级数据处理逻辑和数据库操作联系起来。例如，为了基于大量数据分析出销售趋势，可以在数据上使用很多种算法，包括回归分析、时间序列分析和随机模型等；然而对于“分析销售趋势”这样的抽象级目的，几乎不可能与之关联一组静态数据库操作。另外，在实际操作中，同一数据操作可以出现在多种数据使用目的中。数据库引擎很难自动地识别数据操作的正确目的，也就很难根据目的允许或拒绝数据操作。

发明内容

本发明实施例提供一种大数据访问控制方法、装置、电子设备及存储介质，用以解决现有技术中存在的缺陷。

本发明实施例提供一种大数据访问控制方法，包括：

在接收数据使用者的数据访问请求之后，基于数据处理优化器，确定数据处理逻辑中的数据处理目的；

基于所述数据处理目的，做出与所述数据访问请求对应的访问决策。

根据本发明一个实施例的大数据访问控制方法，所述基于数据处理优化器，确定数据处理逻辑中的数据处理目的，具体包括：

在所述数据处理优化器中，基于目的分析算法，确定所述数据处理逻辑中的数据处理目的。