权限管理方法和装置

技术领域

本发明涉及数据安全技术领域，具体而言，涉及一种权限管理方法和装置。

背景技术

随着数据浪潮的发展，数字化转型、数字驱动等都成为企业发展的重中之重。大数据在各企业的各系统中充当着重要的角色，大数据从数据仓库到数据平台再到数据中台的发展，都标志着大数据带来的价值越来越大。

然而大数据中的数据安全问题一直是一个容易被忽略的问题，各企业在推动大数据的工作中都将数据存储和数据计算放在第一位，甚至于很多计算引擎直接不关注数据安全这块。随着数据中台的发展，开发人员、业务人员、数据分析师、企业决策者等都会使用数据中台的数据，如何管控用户的数据访问权限，成为数据中台的一大痛点。

发明内容

本发明的目的包括，例如，提供了一种权限管理方法和装置，其能够有效解决大数据的数据安全问题。

本发明的实施例可以这样实现：

第一方面，本发明提供一种权限管理方法，应用于数据中台，所述数据中台包括数据存储单元，不同的所述数据存储单元存储有不同的待访数据，所述数据中台用于创建用户和用户组，并将所述用户与所述用户组绑定，所述方法包括：

接收用户发送的数据访问请求；

依据所述数据访问请求获取所述用户所属用户组的证书；

若获取到所述用户所属用户组的证书，则依据所述证书进行权限校验；

若校验通过，则访问待访数据。

在可选的实施方式中，所述证书包括所述用户组的票据信息，若所述待访数据所在的数据存储单元无权限管控功能，所述依据所述证书进行权限校验的步骤包括：

从所述证书中获取所述用户组的票据信息；

验证所述票据信息是否为正确票据信息；

若是，则依据所述票据信息获取所述数据读写权限；

对所述数据读写权限进行校验。

在可选的实施方式中，所述对所述数据读写权限进行校验的步骤包括：

将所述数据读写权限与所述数据存储单元预先存储的第一校验数据读写权限进行校验；

若所述数据读写权限与所述第一校验数据读写权限一致，则校验通过。

在可选的实施方式中，所述对所述数据读写权限进行校验的步骤包括：

通过语法分析器解析查询框架，获取所述待访数据对应的数据库表；其中，所述数据库表与所述待访数据具有映射关系，通过所述查询框架对所述数据存储单元中的数据进行访问；

将所述数据读写权限与所述查询框架预先存储的第二校验数据读写权限进行校验；

若所述数据读写权限与所述第二校验数据读写权限一致，则校验通过。

在可选的实施方式中，所述证书包括所述用户组的访问密码，若所述待访数据所在的数据存储单元有权限管控功能，所述依据所述证书进行权限校验的步骤包括：

依据所述证书获取所述用户组的访问密码；

通过所述访问密码访问所述待访数据所在的数据存储单元，以使所述数据存储单元根据预先存储的校验访问密码对所述访问密码进行校验；

若所述访问密码与所述校验访问密码一致，则校验通过。

在可选的实施方式中，所述数据中台还用于创建角色，并将所述用户组与角色绑定，不同的角色分配有不同的数据读写权限，所述方法还包括：

将与所述角色对应的数据读写权限写入所述用户组的代理用户信息。

第二方面，本发明提供一种权限管理装置，应用于数据中台，所述数据中台包括数据存储单元，不同的所述数据存储单元存储有不同的待访数据，所述数据中台用于创建用户和用户组，并将所述用户与所述用户组绑定，所述装置包括：

接收模块，用于接收用户发送的数据访问请求；

获取模块，用于依据所述数据访问请求获取所述用户所属用户组的证书；

校验模块，用于若获取到所述用户所属用户组的证书，则依据所述证书进行权限校验；

所述校验模块，还用于若校验通过，则访问待访数据。

在可选的实施方式中，所述证书包括所述用户组的票据信息，若所述待访数据所在的数据存储单元无权限管控功能；

所述校验模块，还用于从所述证书中获取所述用户组的票据信息；

所述校验模块，还用于验证所述票据信息是否为正确票据信息；

所述校验模块，还用于若是，则依据所述票据信息获取所述数据读写权限；

所述校验模块，还用于对所述数据读写权限进行校验。

在可选的实施方式中，所述校验模块，还用于将所述数据读写权限与所述数据存储单元预先存储的第一校验数据读写权限进行校验；

所述校验模块，还用于若所述数据读写权限与所述第一校验数据读写权限一致，则校验通过。

在可选的实施方式中，所述校验模块，还用于通过语法分析器解析查询框架，获取所述待访数据对应的数据库表；其中，所述数据库表与所述待访数据具有映射关系，通过所述查询框架对所述数据存储单元中的数据进行访问；

所述校验模块，还用于将所述数据读写权限与所述查询框架预先存储的第二校验数据读写权限进行校验；

所述校验模块，还用于若所述数据读写权限与所述第二校验数据读写权限一致，则校验通过。

本发明实施例的有益效果包括，例如：一种权限管理方法和装置，该权限管理方法应用于数据中台，数据中台包括数据存储单元，不同的数据存储单元存储有不同的待访数据，数据中台用于创建用户和用户组，并将用户与用户组绑定，方法包括：接收用户发送的数据访问请求；依据数据访问请求获取用户所属用户组的证书；若获取到用户所属用户组的证书，则依据证书进行权限校验；若校验通过，则访问待访数据。可见，用户进行访问时，需先经过权限校验，只有校验通过，才能进行数据访问，有效解决了大数据的数据安全问题。且不同的数据存储单元的数据权限访问校验，采用统一的校验管理方式，可以简化权限校验机制。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例提供的一种权限管理方法的流程示意图；

图2为本发明实施例提供的另一种权限管理方法的流程示意图；

图3为本发明实施例提供的又一种权限管理方法的流程示意图；

图4为本发明实施例提供的又一种权限管理方法的流程示意图；

图5为本发明实施例提供的又一种权限管理方法的流程示意图；

图6为本发明实施例提供的又一种权限管理方法的流程示意图；

图7为本发明实施例提供的一种权限管理装置的结构示意图。

图标：110-权限管理装置；111-接收模块；112-获取模块；113-校验模块；114-创建模块。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

在本发明的描述中，需要说明的是，若出现术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，或者是该发明产品使用时惯常摆放的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

此外，若出现术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

需要说明的是，在不冲突的情况下，本发明的实施例中的特征可以相互结合。

当前数据中台的数据权限访问管理存在以下问题：

1、部分计算引擎没有相应的权限管理功能；

2、具备权限管理功能的大数据存储和计算引擎都是相互独立的，各自管控各自的数据权限访问；

3、大数据的计算存在代码执行，允许伪装用户；

4、数据中台使用的大数据存储和计算引擎多样化，对权限的管理方式实现机制不相同，无法使用相同的权限管理方案。

为了解决以上问题，请参考图1，为本实施例提供的一种权限管理方法的流程示意图。需要说明的是，本发明实施例提供的权限管理方法并不以图1以及以下的具体顺序为限制，应当理解，在其他实施例中，本发明实施例提供的权限管理方法其中部分步骤的顺序可以根据实际需要相互交换，或者其中的部分步骤也可以省略或删除。

该权限管理方法应用于数据中台，数据中台包括数据存储单元，不同的数据存储单元存储有不同的待访数据，数据中台用于创建用户和用户组，并将用户与用户组绑定。

其中，数据存储单元可以是软件或者硬件，软件可以是数据库以及云等，硬件可以是包括存储器和处理器的计算引擎，存储器可以实现数据存储单元的功能，该计算引擎可以部署在云服务器上。例如，数据存储单元可以是MPP(Massively Parallel Processor，大规模并行处理)数据库，如MYSQL、TIDB等。数据存储单元还可以是hadoop(海杜普)生态下的数据仓库。

待访数据可以为MPP数据，还可以为hdfs(Hadoop Distributed File System，分布式文件系统)数据等。

在本实施例中，数据中台在创建用户时，同时还创建用户响应的代理用户，同步代理用户到操作系统创建用户的所有节点，以建立用户。其中，代理用户的创建是为了建立操作系统可以识别的用户，该操作系统可以为linux系统。

数据中台在创建用户组时，同时创建用户组的代理用户，同步用户组的代理用户到操作系统创建用户组的所有节点，以建立用户组。

在本实施例中，一个用户只能绑定一个用户组，一个用户组可以绑定多个用户组。同时在linux服务器中，把用户的代理用户也加入到用户组对应的代理用户的组群中。例如，用户可以理解为公司员工，而用户组可以理解为公司部门，一名员工只能在一个部门中，而一个部门可以有多个员工。

下面将对图1所示的具体流程进行详细阐述。

步骤S101，接收用户发送的数据访问请求。

可以理解，数据访问请求可以是用户基于客户端发送的。客户端与数据中台通信连接。

步骤S102，依据数据访问请求获取用户所属用户组的证书。

在本实施例中，用户组的证书通过KDC(Key Distribution Center，密钥分配中心)生成。数据中台在创建用户组时，则会通过KDC生成证书。

在本实施例中，若用户没有绑定用户组，那么该用户是获取不到用户组的证书的，且该用户不具备任何访问权限，可直接拒绝数据访问请求。故依据数据访问请求获取用户所属用户组的证书的前提为，用户与该用户组绑定。

步骤S103，若获取到用户所属用户组的证书，则依据证书进行权限校验。

步骤S104，若校验通过，则访问待访数据。

在本实施例中，数据中台中的部分数据存储单元具有权限管控功能，还有部分数据存储单元无权限管控功能。如图2所示，为访问无权限管控功能的数据存储单元中的待访数据，依据证书进行权限校验的步骤内容，包括以下步骤：

步骤S201，从证书中获取用户组的票据信息。

步骤S202，验证票据信息是否为正确票据信息。

步骤S203，若是，则依据票据信息获取数据读写权限。

步骤S204，对数据读写权限进行校验。

可以理解，证书包括用户组的票据信息，该票据信息带有用户组的代理用户信息，代理用户信息包括数据读写权限。故可将证书通过KDC进行校验，以获取带有用户组的代理用户信息的票据信息。获取到票据信息后，会验证该票据信息是否为正确的票据信息，若是，则从代理用户信息中获得数据读写权限。并对数据读写权限进行校验。

其中，无权限管控功能的数据存储单元可以为hadoop数据仓库，对应的待访数据则可以为hdfs数据。

在本实施例中，对待访数据进行访问可以为：直接通过待访数据所在的物理存储文件进行访问。如图3所示，为直接通过待访数据所在的物理存储文件进行访问，进行数据读写权限校验的内容，包括以下步骤：

步骤S301，将数据读写权限与数据存储单元预先存储的第一校验数据读写权限进行校验。

步骤S302，若数据读写权限与第一校验数据读写权限一致，则校验通过。

在本实施例中，在将数据读写权限绑定给用户组时，也会对数据存储单元中的数据读写权限进行对应更新。

在本实施例中，对待访数据进行访问还可以为：通过数据库表访问待访数据。如图4所示，为通过数据库表访问待访数据，进行数据读写权限校验的内容，包括以下步骤：

步骤S401，通过语法分析器解析查询框架，获取待访数据对应的数据库表；其中，数据库表与待访数据具有映射关系，通过查询框架对数据存储单元中的数据进行访问。

步骤S402，将数据读写权限与查询框架预先存储的第二校验数据读写权限进行校验。

步骤S403，若数据读写权限与第二校验数据读写权限一致，则校验通过。

在本实施例中，查询框架可以为sql(Structured Query Language，结构化查询语言)查询框架，如hive(基于Hadoop的一个数据仓库工具)、presto(数据查询引擎)或spark(计算引擎)等。故使用查询框架可以访问hadoop数据库中相关数据。

语法分析器可以为anltr(开源语法分析器)，使用标准的anltr解析sql，能够获取到sql中需要访问的数据库表。其中，sql只接受带有票据信息的数据访问请求，sql从票据信息中获取到用户组对应的代理用户信息。

在另一种实施例中，数据中台还包括权限管理中心，可将sql置入权限管理中心，通过权限管理中心可以进行数据库表的权限校验。

如图5所示，为访问具有权限管控功能的数据存储单元中的待访数据，依据证书进行权限校验的步骤内容，包括以下步骤：

步骤S501，依据证书获取用户组的访问密码。

步骤S502，通过访问密码访问待访数据所在的数据存储单元，以使数据存储单元根据预先存储的校验访问密码对访问密码进行校验。

步骤S503，若访问密码与校验访问密码一致，则校验通过。

在本实施例中，具有权限管控功能的数据存储单元可以为MPP数据库，对应的待访数据可以为MPP数据。现以MPP数据库为例进行说明：

在创建用户组和用户组对应的代理用户时，对应生成用户组对应的代理用户的MPP访问密码，每个用户组独立的全局MPP数据库统一密码。且在通过KDC生成证书时，会做好证书和MPP数据库统一密码映射。即在生成证书时，会将代理用户的MPP访问密码写入证书中，同时也会将代理用户的MPP访问密码写入MPP数据库中，以使得MPP数据库预先存储有校验访问密码。

故在用户访问MPP数据库时，先获得对应的用户组的代理用户的证书；后台系统或用户代码通过证书，从证书中获得对应的用户组的代理用户的MPP访问密码；通过获取到的MPP访问密码访问对应的MPP数据库表；由MPP数据库进行权限校验，若访问密码与校验访问密码一致，则说明该用户有权限进行数据访问。若访问密码与校验访问密码不一致，则说明该用户无权限进行数据访问。

在本实施例中，数据中台还用于创建角色，并将用户组与角色绑定，不同的角色分配有不同的数据读写权限。如图6所示，权限管理方法还包括以下步骤：

步骤S105，将与角色对应的数据读写权限写入用户组的代理用户信息。

可以理解，在进行数据访问之前，需先创建角色、用户和用户组，并将角色和用户与用户组进行绑定。同时，将角色对应的数据读写权限写入用户组的代理用户信息，那么与该用户组绑定的用户，就有访问每个角色的权限。其中，角色可以理解为待访数据类别。

在本实施例中，还可以修改角色的数据读写权限，在修改了角色的数据读写权限后，需要将修改后的数据读写权限同步更新至用户组的代理用户信息中，以及同步更新对应的数据存储单元中的第一校验数据读写权限。

在本实施例中，在角色与用户组进行绑定后，还可以进行修改。即还可以删除与用户组绑定的角色，也可以增加与用户组绑定的角色。在删除用户组绑定的角色时，也会对用户组的数据读写权限和数据存储单元预先存储的第一校验数据读写权限进行更新，即删除对应的角色的数据读写权限。同理，在增加用户组绑定的角色时，也会增加对应的角色的数据读写权限到用户组中，以及增加对应的第一校验数据读写权限到数据存储单元中。

在本实施例中，在用户与用户组进行绑定后，还可以进行修改。即还可以删除与用户组绑定的用户，也可以增加与用户组绑定的用户。

在本实施例中，数据中台还可以包括权限管理中心，该权限管理中心可以实现权限校验和管理功能。即能执行上述步骤S103、S104、S202-S204、S301-S302、S401-S403以及S502-S503的内容。

其中，数据中台可以根据实际情况配置数据存储单元，即权限管理中心具备可拔插的方式接入不同的数据存储单元。一个权限管理中心可以适配不同的数据存储单元，实现待访数据集中授权管理，统一验证的方式。

且权限管理中心具备可拔插的方式接入不同的数据存储单元，会在创建角色、修改角色以及修改角色与用户组绑定关系时，同步更新第一校验数据读写权限至数据存储单元中。进而实现了，适配拓展各类数据存储单元，可以自定义扩展，自行支持其他的数据存储单元。

为了执行上述实施例及各个可能的方式中的相应步骤，下面给出一种权限管理装置110的实现方式。进一步地，请参阅图7，图7为本发明实施例提供的一种权限管理装置110的功能模块图。需要说明的是，本实施例所提供的权限管理装置110，其基本原理及产生的技术效果和上述实施例相同，为简要描述，本实施例部分未提及之处，可参考上述的实施例中相应内容。该权限管理装置110包括：接收模块111、获取模块112和校验模块113。

接收模块111用于接收用户发送的数据访问请求。

可以理解，接收模块111用于执行上述步骤S101中内容。

获取模块112用于依据数据访问请求获取所用户所属用户组的证书。

可以理解，获取模块112用于执行上述步骤S102中内容。

校验模块113用于若获取到用户所属用户组的证书，则依据证书进行权限校验；若校验通过，则访问待访数据。

可以理解，校验模块113用于执行上述步骤S103、步骤S104、步骤S201-204、步骤S301-302、步骤S401-403以及步骤S501-503中内容。

进一步的，权限管理装置110还包括创建模块114，创建模块114用于将与角色对应的数据读写权限写入用户组的代理用户信息。

可以理解，创建模块114用于执行上述步骤S105中内容。

综上所述，本发明实施例提供了一种权限管理方法和装置，该权限管理方法应用于数据中台，数据中台包括数据存储单元，不同的数据存储单元存储有不同的待访数据，数据中台用于创建用户和用户组，并将用户与用户组绑定，方法包括：接收用户发送的数据访问请求；依据数据访问请求获取用户所属用户组的证书；若获取到用户所属用户组的证书，则依据证书进行权限校验；若校验通过，则访问待访数据。

可见，用户进行访问时，需先经过权限校验，只有校验通过，才能进行数据访问，有效解决了大数据的数据安全问题。且不同的数据存储单元的数据权限访问校验，采用统一的校验管理方式，可以简化权限校验机制，无需各数据存储单元独立管理。且对无权限管控功能的数据存储单元进行权限验证，弥补了大数据系统中各开源计算框架的数据安全弱点。由于大数据本身需要执行代码的形式，并且hadoop生态支持用户伪装，统一使用证书，不使用密码的方式，防止用户伪装，同时所有相关服务只接受安全访问，增加服务的安全性。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。