数据处理方法及装置与流程

1.本技术涉及数据处理领域，特别是数据处理方法及装置。


背景技术：

2.随着信息化技术的发展，各企业越来越重视对自身数据的保护。通常的场景下，数据都是存储于数据库中，相应的保护措施也需要基于数据库的权限体系，通过对数据库的用户授予相应库、表、列等相应的权限。
3.相关技术中，如果需要对不同的客户端分别进行权限控制，则需要基于数据库的用户体系创建大量的用户，不利于维护，一旦数据库中表列信息出现变化，相应的用户也需要随之变化，对客户端的权限管理产生较大阻碍。


技术实现要素：

4.有鉴于此，本技术提供数据处理方法及装置，用以处理数据。
5.具体的，本技术通过如下技术方案实现：
6.根据本技术的第一方面，提出了一种数据处理方法，应用于数字对象管理服务，所述数字对象管理服务用于管理数字对象，所述方法包括：
7.获取客户端发送的针对目标数字对象的权限使用请求和以目标数字对象的形式表示的结构化查询请求；
8.审批所述权限使用请求，以及在所述权限使用请求审批通过的情况下，使解析系统对所述结构化查询请求进行解析；
9.将处理结果返回至所述客户端，所述处理结果由数据库执行解析后的结构化查询请求而得到。
10.根据本技术的第二方面，提出了一种数据处理装置，应用于数字对象管理服务，所述数字对象管理服务用于管理数字对象，所述装置包括：
11.获取单元，用于获取客户端发送的针对目标数字对象的权限使用请求和以目标数字对象的形式表示的结构化查询请求；
12.审批解析单元，用于审批所述权限使用请求，以及在所述权限使用请求审批通过的情况下，使解析系统对所述结构化查询请求进行解析；
13.返回单元，用于将处理结果返回至所述客户端，所述处理结果由数据库执行解析后的结构化查询请求而得到。
14.根据本技术的第三方面，提供一种电子设备，包括：
15.处理器；
16.用于存储处理器可执行指令的存储器；
17.其中，所述处理器通过运行所述可执行指令以实现如上述第一方面的实施例中所述的方法。
18.根据本技术实施例的第四方面，提供一种计算机可读存储介质，其上存储有计算
机指令，该指令被处理器执行时实现如上述第一方面的实施例中所述方法的步骤。
19.由以上本技术提供的技术方案可见，本技术以数字对象的形式间接表达数据库表中的数据以及结构化查询请求，即使用数字对象描述数据库表的结构以及数据的格式，使得客户端不需要直接与数据库进行对接，只需要通过数字对象管理服务就可以实现对数据库中数据的操作；同时，客户端可以通过数字对象管理服务获取相应数字对象的权限，获取到权限后，也就获得了该数字对象所描述的数据库中相应的数据库表中的数据列的权限信息，避免了传统授权模式下需要创建大量用户的问题，也解决了部分数据库不支持列权限控制的问题，实现了对客户端权限的灵活控制。
附图说明
20.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。
21.图1是根据本技术一示例性实施例示出的一种数据处理方法的流程图；
22.图2是应用本技术实施例的数据处理方法的网络架构示意图；
23.图3是根据本技术一示例性实施例示出的一种数据处理方法的多方交互流程图；
24.图4是根据本技术一示例性实施例示出的一种电子设备示意图；
25.图5是根据本技术一示例性实施例示出的一种数据处理装置的框图。
具体实施方式
26.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
27.在本技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本技术。在本技术和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
28.应当理解，尽管在本技术可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
29.接下来对本技术实施例进行详细说明。
30.图1为根据本技术一示例性实施例示出的一种数据处理方法的流程图。如图1所示，该方法应用于数字对象管理服务，所述数字对象管理服务用于管理数字对象，可以包括如下步骤：
31.步骤102：获取客户端发送的针对目标数字对象的权限使用请求和以目标数字对象的形式表示的结构化查询请求。
32.在一实施例中，数字对象由数据库中所存储数据的相应持有方通过数字对象管理
服务灵活定义，数据的持有方还可以为自身管控的数字对象建立其与数据库表中的数据列之间的对应关系，例如，每个数字对象可以对应至少一列数据列，当数字对象对应的数据列为某个数据表中的全部数据列，则称此数字对象对应于此张数据表，值得说明的是，当数字对象直接对应一张数据表时，数字对象直接表达这张数据表本身的信息，但不表达这张数据表里所有列的信息。本技术对数字对象与数据列、数据表之间的对应关系不进行限制，例如，数字对象对应的数据列可以为一个或多个，数据列可以来源于一张数据表或者多张数据表等等(关于数字对象的详细描述参见相关技术中的doa架构(digital object architecture，数字对象体系架构)，本技术对此不再赘述)。数字对象管理服务可以用于管理维护数字对象，每个数字对象可以用唯一的标识符进行标识。数字对象管理服务可以和客户端、数据的持有方等对象进行交互，例如处理各个客户端向其发出的请求、管理各个持有方定义的数字对象的权限、帮助上述双方之间通过数据对象实现数据的共享等。数字对象管理服务是一个安全的第三方服务，在一种情况下，数字对象管理服务可以处于安全环境中，在安全环境中，数据以明文的形式存在，当需要和安全环境外部的其他对象进行交互时，则需要对交互的数据进行加密，以保证交互过程的安全性。
33.在一实施例中，客户端如果想要通过结构化查询语言对数据库进行操作，可以首先从数字对象列表中确定需要使用的数字对象。具体而言，数字对象的列表中的每个数字对象的描述信息，描述信息记载了数字对象所对应的数据列记录的数据的类型、格式等属性信息，例如，某个数字对象的描述信息为“身份证”，则说明此数字对象对应数据列用于记录各个人员的身份证信息。如果客户端想要从数据库中查询特定人员的身份证信息，则可以向数字对象管理服务发送针对上述数字对象的权限使用请求，以及用数字对象表示的用于实现“查询特定人员的身份证信息”这一需求的结构化查询请求。
34.考虑到数字对象管理服务管理的数字对象可能来源于多个不同的数据持有方，并且，每个数据持有方也可能定义了多个数字对象。为了保护数字对象的安全性以及便于各个数据持有方对数字对象的管控，数字对象管理服务针对数字对象的权限管理服务包含针对查看权限和使用权限两个方面的管理。数字对象列表中展示的数字对象是被各个数据持有方授予了查看权限的数字对象，对于没有被授予查看权限的数字对象，客户端无法从数字对象列表中查看。对于仅被授予查看权限的数字对象，客户端只能了解到此类数字对象的描述信息、字段格式等属性信息，如果客户端需要通过结构化查询请求对数据对象对应的数据列进行数据提取等操作，则需要通过权限使用请求得到进一步的授权。
35.当然，也并非全部客户端都可以从数字对象管理服务处获取到数字对象列表。首先，客户端首先需要获取到客户端证书，并将客户端证书发送给数字对象管理服务，如果数字对象管理服务对客户端证书认证通过，则会向其返回数字对象列表。具体而言，数字对象管理服务可以将自身持有的服务证书与上述客户端证书进行匹配，如果匹配成功则说明此客户端具有查看数字对象列表的权限。上述服务证书和客户端证书可以均由证书管理服务器派发，本技术对上述两种类型证书的获取方式不进行限制。
36.步骤104：审批所述权限使用请求，以及在所述权限使用请求审批通过的情况下，使解析系统对所述结构化查询请求进行解析。
37.在一实施例中，客户端从数字对象列表中确定需要使用的目标数字对象后，向数字对象管理服务发送针对上述目标数字对象的权限使用请求。此处的权限使用请求涉及目
标数字对象的使用权限，不同于上文中的查看权限。如果授予目标数字对象的权限使用请求，则代表此客户端具有使用此目标数字对象的权限，即可以根据此目标数字对象与数据库表中数据列的对应关系提取数据并处理。
38.在一种情况下，数字对象管理服务可以维护有各个数字对象的权限信息，上述权限信息可能由相应定义相应数字对象的数据持有方预先定义，那么在客户端请求对目标数字对象的权限使用请求进行处理时，数字对象管理服务可以按照预先配置的目标数字对象的的权限信息审批上述权限使用请求。
39.在另一种情况下，为了节省存储空间，数字对象管理服务也可以在接收到针对目标数字对象的权限使用请求后，向目标数字对象所对应数据的持有方，也就是目标数字对象的定义方发送上述权限使用请求，由上述定义方确定是否授予上述客户端针对目标数字对象的使用权限。
40.步骤106：将处理结果返回至所述客户端，所述处理结果由数据库执行解析后的结构化查询请求而得到。
41.在一实施例中，由于目标数字对象与数据库表中的至少一列数据列具有对应关系，那么数字对象管理服务便可以将获取的以目标数字对象的形式表示的结构化查询请求发送给解析系统，由解析系统按照目标数字对象与数据库表中数据列的对应关系解析上述结构化查询请求，进而将结构化查询请求处理成为数据库可以识别的形式。那么数据库便可以根据解析后的结构化查询请求对相应数据列中的数据进行操作，以得到处理结果并返回至数字对象管理服务，由数字对象管理服务将处理结果返回至上述客户端。在一种情况下，解析系统接收到结构化查询请求时，可以再次对上述客户端是否拥有目标数字对象的使用权限进行确认，在确认通过的情况下再对结构化查询请求进行解析，上述客户端对应的使用权限信息可以由数字对象管理服务发送至解析系统，也可以由解析系统自行获得，本技术对此不进行限制。
42.在一实施例中，数字对象管理服务可以同时从客户端处获取针对目标数字对象的权限使用请求和结构化查询请求，在权限使用请求通过的情况下，再响应于结构化查询该请求使解析系统对结构化查询请求进行解析。或者，数字对象管理服务也可以首先从客户端处获取针对目标数字对象的权限使用请求，并对上述权限使用请求进行审批，并将审批结果返回至客户端，使客户端在审批通过的情况下提交结构化查询请求至数字对象管理服务，进而由解析系统对结构化查询请求进行解析。
43.值得说明的是，出于数据安全的需要，上述数字对象管理服务、解析系统以及数据库可以部署于安全环境中，那么上述处理结果便可以由数字对象管理服务进行加密后再返回至客户端。例如，可以使用客户端的身份公钥对处理结果进行加密，客户端获取到加密后的处理结果后使用身份私钥进行解密。
44.由上述实施例可知，本技术以数字对象的形式表达数据库表中的数据以及结构化查询请求，使得客户端不需要直接与数据库进行对接，只需要通过数字对象管理服务就可以实现对数据库中数据的操作；同时，客户端可以通过数字对象管理服务获取相应数字对象的权限，获取到权限后，也就获得了该数字对象所描述的数据库中相应的数据库表中的数据列的权限信息，采用上述方式，避免了传统授权模式下需要创建大量用户的问题，也解决了部分数据库不支持列权限控制的问题，实现了对客户端权限的灵活控制。此外，基于
doa架构中数字对象的特性，由于数字对象和其对应的数据库表中的数据列之间的关联关系并不会随着数据库的迁移而发生变化，即使数据库表中的数据列被迁移，也并不会影响到本技术中对客户端权限的管控，具体而言，即使数据库类型发生了变化，客户端也可以不做任何调整，只需要上述解析系统进行调整即可，相比于传统的授权方式在数据库发生变化时需要重新创建用户、重新授权甚至无法授权的限制，本技术具有更高的灵活性。
45.图2所示，为应用本技术实施例的数据处理方法的网络架构示意图。如图2所示，上述网络架构可以包括客户端21、handle服务22、解析系统23、数据库24以及证书服务器25。值得说明的是，本技术中的数字对象管理服务可以为doa架构中的handle服务，为了便于理解，在图2中以handle服务22举例。其中，handle服务22、解析系统23、数据库24可以部署于安全环境中，当安全环境外的客户端21或证书服务器25需要与安全环境内的任一个对象进行交互时，需要将交互的数据加密，待进入到安全环境后再由相应的对象进行解密。同样的，如果安全环境内中的任一个对象需要和安全环境外的客户端21或证书服务器25进行交互时，传输的数据也需要经由加密处理，再由接收数据的对象进行解密。对于加解密的方式本技术不进行限制。
46.图3根据本技术一示例性实施例示出的一种数据处理方法的多方交互流程图。如图3所示，客户端21、handle服务22、解析系统23、数据库24以及证书服务器25之间的交互过程包括以下步骤：
47.步骤302，客户端21向证书服务器25申请客户端证书，由证书服务器对客户端21进行认证并返回客户端证书。
48.步骤304，handle服务22向证书服务器25申请服务证书，由证书服务器对handle服务22进行认证并返回服务证书。
49.步骤306，客户端21向handle服务22发送自身的客户端证书，使handle服务22对客户端证书进行认证。
50.步骤308，handle服务22对客户端证书进行认证。
51.具体而言，handle服务22可以将自身持有的服务证书与上述客户端证书进行匹配，如果匹配成功则说明此客户端具有查看数字对象列表的权限，如果匹配失败则说明此客户端21尚未经过认证，还不具有获取数字对象列表的权限。上述服务证书和客户端证书可以均由证书管理服务器派发，本技术对上述两种类型证书的获取方式不进行限制。
52.步骤310，handle服务22给客户端21发送数字对象列表。
53.举例而言，此处的数字对象列表是已经开放了查看权限的数字对象的集合。在数字对象列表中的数字对象具有相应的标识符、描述信息、字段格式等信息。使得客户端21在查看数字对象列表时，可以通过描述信息得知数字对象所对应数据列记录的数据是哪些类型的数据。假设数字对象的描述信息记载了“身份证”，则说明此数字对象对应数据列记载的身份证信息，客户端21可以将上述描述信息结合于自身的需求以确认是否需要使用此数据对象。
54.步骤312，客户端21发送针对目标数字对象的权限使用请求至handle服务22。
55.在此步骤中，客户端21得到数字对象列表后，结合自身需求可以确定出需要使用的数字对象，下称目标数字对象。进而客户端21需要向handle服务22申请目标数字对象的使用权限，那么，客户端21可以生成针对目标数字对象的权限使用请求，并将目标数字对象
的标识符携带在权限使用请求中，由于数字对象的标识符是唯一的，handle服务22得到权限使用请求时，便可以从权限使用请求中确定客户端21需要使用的目标数字对象，进而对目标数字对象的权限使用请求进行审批。
56.步骤314，handle服务22审批针对目标数字对象的权限使用请求。
57.在一种情况下，handle服务22可以维护有各个数字对象的权限信息，上述权限信息可能由相应定义相应数字对象的数据持有方预先定义，那么在客户端21请求对目标数字对象的权限使用请求进行处理时，handle服务22可以按照预先配置的目标数字对象的的权限信息审批上述权限使用请求。
58.在另一种情况下，为了节省存储空间，handle服务22也可以在接收到针对目标数字对象的权限使用请求后，向目标数字对象所对应数据的持有方，也就是目标数字对象的定义方发送上述权限使用请求，由上述定义方确定是否授予客户端21针对目标数字对象的使用权限。
59.步骤316，handle服务22向客户端21发送审批结果。
60.如果审批结果是客户端21可以使用上述目标数字对象，那么可以进入步骤318；如果审批结果是客户端21不具有使用上述目标数字对象的权限，那么即使客户端21按照步骤318向handle服务22发送了sql(structured query language，结构化查询请求)，handle服务22可以选择对其提交的sql不进行响应，或者handle服务22也可以选择向客户端21返回其不具有权限的通知。
61.步骤318，客户端21向handle服务22发送sql。
62.本步骤中的sql表达了客户端21对目标数字对象所对应数据列中的数据的处理方式。但是，此处的sql以数字对象的形式表示，数据库24无法识别以数字对象形式表示的sql，因此需要通过解析系统23对上述sql进行解析。
63.步骤320，handle服务22向解析系统23发送sql和客户端21的权限信息。
64.在handle服务22确定客户端21具有目标数字对象的使用权限后，handle服务22可以将上述以数字对象形式表达的sql和上述客户端21的权限信息发送给解析系统23确认。此时，解析系统23需要再次对客户端21是否具有使用目标数字对象的权限进行确认，如果确认无误，则进入步骤322。
65.步骤322，解析系统23进行权限审核以及对sql进行解析。
66.上文中提到，客户端21向handle服务22提交的sql是以数字对象的形式表示的，数据库24无法识别。为了后续流程的顺利进行，解析系统23需要对sql进行解析，换言之，是将以数字对象形式表达的sql解析成数据库24可以识别的sql。具体而言，由于数字对象和其表达的数据库表中的数据列具有关联关系，那么解析系统23便可以依据上述关联关系，确认目标数字对象对应的数据库表中的数据列，进而用确定出的数据列表达sql。本技术中将经过解析系统23处理的sql称为解析后的sql。此外，在对sql解析之前，解析系统23可以再次对上述客户端21是否拥有上述sql中操作的数据列的使用权限进行确认，在确认通过的情况下再对上述sql进行解析。
67.步骤324，解析系统23将解析后的sql提交至数据库24。
68.步骤326，数据库24执行上述解析后的sql。
69.经过解析系统23的解析，数据库24可以执行解析后的sql，数据库24可以按照上述
解析后sql的指示操作相应的数据并生成处理结果。
70.步骤328，数据库24将处理结果返回至handle服务22。
71.由于客户端21只能和handle服务22进行交互，数据库24在处理解析后的sql时也无法得知上述处理结果应当返回至哪个客户端，因此数据库24可以将处理结果统一返回至handle服务22，再由handle服务22代为返回给客户端21。
72.步骤330，handle服务22返回处理结果至客户端21。
73.在本步骤中，由于handle服务22部署于安全环境之内，而客户端21部署于安全环境之外。为了处理结果不被泄露，handle服务22可以使用客户端21的身份公钥对处理结果进行非对称加密，客户端21得到加密后的处理结果后使用身份私钥进行解密。当然，本技术对上述加解密的方式仅作简单举例，其他可以应用的加解密方式均可以适用于本技术中。
74.与上述方法实施例相对应，本说明书还提供了一种装置的实施例。
75.图4是根据本技术一示例性实施例示出的一种数据处理电子设备的结构示意图。参考图4，在硬件层面，该电子设备包括处理器402、内部总线404、网络接口406、内存408以及非易失性存储器410，当然还可能包括其他业务所需要的硬件。处理器402从非易失性存储器410中读取对应的计算机程序到内存408中然后运行，在逻辑层面上形成数据处理装置。当然，除了软件实现方式之外，本技术并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。
76.图5是根据本技术一示例性实施例示出的一种数据处理装置的框图。参照图5，该装置应用于数字对象管理服务，所述数字对象管理服务用于管理数字对象，上述装置包括：获取单元502、审批解析单元504和返回单元506，其中：
77.获取单元502，用于获取客户端发送的针对目标数字对象的权限使用请求和以目标数字对象的形式表示的结构化查询请求；
78.审批解析单元504，用于审批所述权限使用请求，以及在所述权限使用请求审批通过的情况下，使解析系统对所述结构化查询请求进行解析；
79.返回单元506，用于将处理结果返回至所述客户端，所述处理结果由数据库执行解析后的结构化查询请求而得到。
80.可选的，上述审批解析单元504具体用于：按照预先配置的所述目标数字对象的的权限信息审批所述权限使用请求。
81.可选的，上述审批解析单元504具体用于：将所述权限使用请求发送至所述目标数字对象的定义方，以由所述定义方审批是否通过所述权限使用请求。
82.可选的，所述目标数字对象与数据库表中的至少一列数据列具有对应关系；所述解析后的结构化查询请求由所述解析系统按照所述目标数字对象与数据库表中数据列的对应关系进行处理而得到。
83.可选的，所述结构化查询请求在所述权限使用请求审批通过的情况下获取；所述装置还包括：发送单元508，用于将所述结构化查询请求发送至所述解析系统，以由所述解析系统在确认所述客户端具有所述目标数字对象的使用权限的情况下，对所述结构化查询请求进行解析。
84.可选的，上述装置还包括：证书认证单元510，用于获取所述客户端发送的客户端
证书并认证；
85.在所述客户端证书认证通过的情况下，返回管理的数字对象列表，使所述客户端确定目标数字对象。
86.可选的，上述证书认证单元510用于：获取证书服务器派发的服务证书；在所述客户端证书与所述服务证书匹配成功的情况下，确定所述客户端证书认证通过。
87.上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。
88.对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本技术方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
89.在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器，上述指令可由数据处理装置的处理器执行以实现如上述实施例中任一所述的方法，比如该方法可以包括：
90.获取客户端发送的针对目标数字对象的权限使用请求和以目标数字对象的形式表示的结构化查询请求；审批所述权限使用请求，以及在所述权限使用请求审批通过的情况下，使解析系统对所述结构化查询请求进行解析；将处理结果返回至所述客户端，所述处理结果由数据库执行解析后的结构化查询请求而得到。
91.其中，所述非临时性计算机可读存储介质可以是rom、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等，本技术并不对此进行限制。
92.以上所述仅为本技术的较佳实施例而已，并不用以限制本技术，凡在本技术的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本技术保护的范围之内。