本技術(shù)涉及數(shù)據(jù)安全，具體涉及一種數(shù)據(jù)訪問控制方法、裝置及電子設(shè)備。

背景技術(shù)：

1、大數(shù)據(jù)時代數(shù)據(jù)訪問主要面臨以下挑戰(zhàn)：一、外部非授權(quán)人員對數(shù)據(jù)進(jìn)行惡意入侵，非法訪問隱私數(shù)據(jù)；二、使用者信息易泄露，數(shù)據(jù)訪問過程不安全；三、外部人員通過反復(fù)嘗試可以訪問數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行篡改。

2、目前，常見的數(shù)據(jù)訪問安全控制方案，是在用戶注冊時，為用戶分配訪問權(quán)限。在數(shù)據(jù)生成時，為數(shù)據(jù)分配訪問等級。當(dāng)用戶的訪問權(quán)限滿足訪問數(shù)據(jù)的訪問等級要求，則可以對數(shù)據(jù)進(jìn)行訪問，也即在權(quán)限滿足的情況下，用戶可對其權(quán)限范圍內(nèi)的數(shù)據(jù)隨意進(jìn)行訪問，數(shù)據(jù)訪問的管控粒度較粗，導(dǎo)致數(shù)據(jù)泄露或被篡改的風(fēng)險較高，數(shù)據(jù)訪問的安全性較低。

技術(shù)實現(xiàn)思路

1、本技術(shù)實施例提供一種數(shù)據(jù)訪問控制方法、裝置及電子設(shè)備，用以解決現(xiàn)有的訪問權(quán)限的數(shù)據(jù)訪問控制方式對數(shù)據(jù)訪問的管控粒度較粗，導(dǎo)致數(shù)據(jù)訪問的安全性較低的技術(shù)問題。

2、第一方面，本技術(shù)實施例提供一種數(shù)據(jù)訪問控制方法，應(yīng)用于服務(wù)器，包括：

3、接收終端發(fā)送的簽名數(shù)據(jù)；所述簽名數(shù)據(jù)是由所述終端基于用戶標(biāo)識、待訪問數(shù)據(jù)的數(shù)據(jù)標(biāo)識以及所述待訪問數(shù)據(jù)的審批單生成的；

4、確定所述用戶標(biāo)識對應(yīng)的第一密鑰，并基于所述第一密鑰對所述終端的訪問行為進(jìn)行安全驗證；所述第一密鑰是所述用戶標(biāo)識對應(yīng)的用戶注冊時生成并分配的；

5、若驗證通過，獲取所述簽名數(shù)據(jù)中的審批單，并根據(jù)所述審批單生成審批單地圖；

6、根據(jù)所述審批單地圖對所述待訪問數(shù)據(jù)進(jìn)行訪問控制。

7、在一個實施例中，所述根據(jù)所述審批單地圖對所述待訪問數(shù)據(jù)進(jìn)行訪問控制，包括：

8、根據(jù)所述數(shù)據(jù)標(biāo)識獲取所述待訪問數(shù)據(jù)對應(yīng)的驗證地圖；

9、將所述審批單地圖與所述待訪問數(shù)據(jù)對應(yīng)的驗證地圖進(jìn)行比較；

10、若所述審批單地圖與所述待訪問數(shù)據(jù)對應(yīng)的驗證地圖一致，向所述終端發(fā)送所述待訪問數(shù)據(jù)；所述驗證地圖是在對所述待訪問數(shù)據(jù)進(jìn)行存儲時，根據(jù)所述待訪問數(shù)據(jù)的訪問審批信息生成的；

11、若所述審批單地圖與所述待訪問數(shù)據(jù)對應(yīng)的驗證地圖不一致，向所述終端發(fā)送對所述待訪問數(shù)據(jù)的拒絕訪問指令。

12、在一個實施例中，所述獲取所述簽名數(shù)據(jù)中的審批單，包括：

13、獲取所述簽名數(shù)據(jù)的發(fā)送地址，確定所述發(fā)送地址的第一哈希值；

14、獲取所述簽名數(shù)據(jù)中的數(shù)據(jù)標(biāo)識對應(yīng)的安全等級，確定所述安全等級對應(yīng)的第二哈希值；

15、基于所述第一哈希值和所述第二哈希值計算，得到第二密鑰；

16、通過所述第二密鑰對所述簽名數(shù)據(jù)中的審批單加密文件進(jìn)行解密處理，得到所述簽名數(shù)據(jù)中的審批單；所述審批單加密文件是所述終端根據(jù)所述第二密鑰對所述待訪問數(shù)據(jù)的審批單進(jìn)行加密得到的。

17、在一個實施例中，所述基于所述第一密鑰對所述終端的訪問行為進(jìn)行安全驗證，包括：

18、確定所述用戶標(biāo)識的第三哈希值；

19、基于所述第一哈希值、所述第三哈希值以及所述第一密鑰，根據(jù)預(yù)設(shè)校驗規(guī)則對所述終端的訪問行為進(jìn)行安全驗證；

20、所述預(yù)設(shè)校驗規(guī)則為：

21、其中，hu是所述第三哈希值、hip是所述第一哈希值、a是所述審批單加密文件、s是所述第一密鑰；x是由所述終端基于所述審批單加密文件、所述第一密鑰、所述第一哈希值和所述第三哈希值，按照預(yù)設(shè)算法進(jìn)行計算得到的，所述預(yù)設(shè)算法為：

22、在一個實施例中，所述審批單包括多個，各所述審批單中包含審批人、審批時間和所述審批人的電子簽名；所述根據(jù)所述審批單生成審批單地圖，包括：

23、以各所述審批單中的審批人作為審批節(jié)點，以所述審批人的電子簽名作為所述審批節(jié)點的審批屬性，按照各所述審批單的審批時間，采用有向線段對所述審批節(jié)點進(jìn)行連接，得到審批單地圖；

24、所述有向線段的方向從審批時間在前的審批節(jié)點指向?qū)徟鷷r間在后的審批節(jié)點。

25、在一個實施例中，所述方法還包括：

26、接收終端發(fā)送的待存儲數(shù)據(jù)，以及所述待存儲數(shù)據(jù)的訪問審批信息和數(shù)據(jù)價值；

27、根據(jù)所述數(shù)據(jù)價值確定所述待存儲數(shù)據(jù)的安全等級，根據(jù)所述訪問審批信息生成所述待存儲數(shù)據(jù)的驗證地圖。

28、第二方面，本技術(shù)實施例還提供一種數(shù)據(jù)訪問控制方法，應(yīng)用于終端，包括：

29、當(dāng)檢測到數(shù)據(jù)訪問指令時，確定所述數(shù)據(jù)訪問指令對應(yīng)的用戶標(biāo)識、待訪問數(shù)據(jù)的安全等級和所述待訪問數(shù)據(jù)的數(shù)據(jù)標(biāo)識；

30、在確定對所述待訪問數(shù)據(jù)進(jìn)行訪問審批的情況下，發(fā)起對所述待訪問數(shù)據(jù)的訪問審批流程，并獲取所述訪問審批流程對應(yīng)的審批單；

31、基于所述用戶標(biāo)識、所述安全等級、所述數(shù)據(jù)標(biāo)識和所述審批單，生成簽名數(shù)據(jù)，并將所述簽名數(shù)據(jù)發(fā)送給服務(wù)器；

32、所述服務(wù)器接收所述簽名數(shù)據(jù)，并采用如第一方面所述的數(shù)據(jù)訪問控制方法對所述待訪問數(shù)據(jù)進(jìn)行訪問控制。

33、在一個實施例中，所述基于所述用戶標(biāo)識、所述安全等級、所述數(shù)據(jù)標(biāo)識和所述審批單，生成簽名數(shù)據(jù)，包括：

34、生成預(yù)設(shè)數(shù)值范圍內(nèi)的隨機正數(shù)；

35、生成所述安全等級的第一哈希值、所述待訪問數(shù)據(jù)的發(fā)送地址的第二哈希值以及所述用戶標(biāo)識的第三哈希值；

36、基于所述隨機正數(shù)、所述第一哈希值和所述第二哈希值，確定加密密鑰；

37、通過所述加密密鑰對所述審批單進(jìn)行對稱加密處理，得到所述審批單對應(yīng)的審批單加密文件；

38、獲取所述用戶標(biāo)識對應(yīng)的第一密鑰；所述第一密鑰是由所述服務(wù)器在所述用戶標(biāo)識對應(yīng)的用戶注冊時生成并分配的；

39、按照預(yù)設(shè)算法：對所述審批單加密文件、所述第一密鑰、所述第一哈希值和所述第三哈希值進(jìn)行計算，并對x、所述用戶標(biāo)識、所述數(shù)據(jù)標(biāo)識、所述審批單加密文件和所述隨機正數(shù)進(jìn)行打包，生成簽名數(shù)據(jù)。

40、第三方面，本技術(shù)實施例提供一種數(shù)據(jù)訪問控制裝置，包括：

41、接收模塊，用于接收終端發(fā)送的簽名數(shù)據(jù)；所述簽名數(shù)據(jù)是由所述終端基于用戶標(biāo)識、待訪問數(shù)據(jù)的數(shù)據(jù)標(biāo)識以及所述待訪問數(shù)據(jù)的審批單生成的；

42、驗證模塊，用于確定所述用戶標(biāo)識對應(yīng)的第一密鑰，并基于所述第一密鑰對所述終端的訪問行為進(jìn)行安全驗證；所述第一密鑰是所述用戶標(biāo)識對應(yīng)的用戶注冊時生成并分配的；

43、地圖生成模塊，用于若驗證通過，獲取所述簽名數(shù)據(jù)中的審批單，并根據(jù)所述審批單生成審批單地圖；

44、訪問控制模塊，用于根據(jù)所述審批單地圖對所述待訪問數(shù)據(jù)進(jìn)行訪問控制。

45、第四方面，本技術(shù)實施例提供一種電子設(shè)備，包括處理器和存儲有計算機程序的存儲器，所述處理器執(zhí)行所述程序時實現(xiàn)第一方面或第二方面所述的數(shù)據(jù)訪問控制方法的步驟。

46、第五方面，本技術(shù)實施例提供一種非暫態(tài)的計算機可讀存儲介質(zhì)，其上存儲有計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)第一方面或第二方面所述的數(shù)據(jù)訪問控制方法的步驟。

47、第六方面，本技術(shù)實施例提供一種計算機程序產(chǎn)品，包括計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)第一方面或第二方面所述的數(shù)據(jù)訪問控制方法的步驟。

48、本技術(shù)實施例提供的數(shù)據(jù)訪問控制方法、裝置及電子設(shè)備，通過通過接收終端基于用戶標(biāo)識、待訪問數(shù)據(jù)的數(shù)據(jù)標(biāo)識以及所述待訪問數(shù)據(jù)的審批單生成并發(fā)送的簽名數(shù)據(jù)，確定用戶標(biāo)識對應(yīng)的用戶在注冊時被分配的第一密鑰，并基于該第一密鑰對終端的訪問行為進(jìn)行安全驗證；若驗證通過，獲取簽名數(shù)據(jù)中的審批單，并根據(jù)獲取的審批單生成審批單地圖；根據(jù)生成的審批單地圖對待訪問數(shù)據(jù)進(jìn)行訪問控制。通過對用戶的訪問行為進(jìn)行基于密鑰的安全驗證，以及基于審批單地圖的訪問控制，實現(xiàn)對數(shù)據(jù)訪問進(jìn)行多級安全驗證的訪問控制，細(xì)化了對數(shù)據(jù)訪問的管控粒度，提高了數(shù)據(jù)訪問的安全性。