数据访问方法、数据访问装置及电子设备与流程

1.本发明涉及数据安全技术领域，尤其涉及一种数据访问方法、数据访问装置及电子设备。


背景技术：

2.电子档案指的是对实体档案进行数字化后的档案，也称为电子档案副本。为了保证电子档案的安全性，在用户需要访问电子档案时会对用户进行鉴权。当用户具有相应的访问权限时才能访问电子档案。
3.传统的鉴权过程中，当用户需要对某一份电子档案进行访问时，根据该用户的权限在权限映射表中查看用户是否具有该电子档案的访问权限，若用户具有访问权限，则允许该用户访问电子档案。该方法每次在鉴权时均要查询权限映射表，需要多次读取数据库，效率低下。尤其在用户要访问的档案件数较多时，鉴权的效率会大幅下降，减慢访问速度。


技术实现要素：

4.本发明提供一种数据访问方法、数据访问装置及电子设备，能够提高数据访问的效率。
5.第一方面，本发明提供一种数据访问方法，包括：
6.确定电子档案的第一访问等级，并根据所述第一访问等级生成所述电子档案的访问证书；
7.获取登录账户的第二访问等级；
8.查询出所述第一访问等级不超出所述第二访问等级的目标访问证书；
9.接收到所述登录账户的访问请求时，通过所述目标访问证书对加密档案进行解密，获得解密后的电子档案。
10.根据本发明提供的一种示例性实施方式，所述第一访问等级与所述第二访问等级为二进制数，所述二进制数其中一位为1，为1的位越高，则访问等级越高。
11.根据本发明提供的一种示例性实施方式，所述查询出所述第一访问等级不超出所述第二访问等级的目标访问证书，包括：
12.将所述第一访问等级对应的十进制数，与所述第二访问等级对应的十进制数进行比较，获得所述第一访问等级小于或等于所述第二访问等级的访问证书，作为所述目标访问证书。
13.根据本发明提供的一种示例性实施方式，所述访问证书中包括公钥和私钥，所述根据所述第一访问等级生成所述电子档案的访问证书之后，还包括：
14.利用所述访问证书中的公钥对所述电子档案进行加密，并存储加密后的加密档案。
15.根据本发明提供的一种示例性实施方式，所述通过所述目标访问证书对加密档案进行解密，获得解密后的电子档案，包括：
16.通过所述目标访问证书中的私钥对加密档案进行解密，获得解密后的电子档案。
17.根据本发明提供的一种示例性实施方式，所述目标访问证书中还包括哈希值；所述通过所述目标访问证书中的私钥对加密档案进行解密，获得解密后的电子档案，包括：
18.通过所述目标访问证书中的哈希值获取对应的加密文档，所述哈希值与所述加密档案一一对应；
19.通过所述目标访问证书中的私钥对所述加密档案进行解密，获得解密后的电子档案。
20.第二方面，本发明还提供一种数据访问装置，包括：
21.档案等级获取模块，用于确定电子档案的第一访问等级，并根据所述第一访问等级生成所述电子档案的访问证书；
22.用户等级获取模块，用于获取登录账户的第二访问等级；
23.权限查询模块，用于查询出所述第一访问等级不超出所述第二访问等级的目标访问证书；
24.档案获取模块，用于接收到所述登录账户的访问请求时，通过所述目标访问证书对加密档案进行解密，获得解密后的电子档案。
25.第三方面，本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述第一方面及其任一种实施方式所述的方法。
26.第四方面，本发明还提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述第一方面及其任一种实施方式所述的方法。
27.第五方面，本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述数据访问方法。
28.本发明提供的数据访问方法、数据访问装置及电子设备，通过用户的登录账户的访问等级可以直接与访问证书的访问等级进行比较，可以获得在用户权限范围内的所有的访问证书。当用户需要读取的电子档案为多件，只需要进行一次鉴权操作，鉴权的效率更高，进而能够提高用户访问数据的速度。此外，本发明的技术方案中，在鉴权之后并不会直接给用户提供原始的电子档案，而是提供电子档案对应的访问证书。用户可以通过访问证书对对应的电子档案进行解密后查看，能够提高电子档案的安全性。
附图说明
29.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
30.图1是本发明提供的数据访问方法的流程示意图之一；
31.图2是本发明提供的数据访问方法的流程示意图之二；
32.图3是本发明提供的数据访问装置的结构示意图；
33.图4是本发明提供的电子设备的结构示意图。
具体实施方式
34.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
35.本发明首先提供一种数据访问方法。该方法可以由手机、个人计算机、平板电脑、或者服务器等电子设备执行，本发明对该电子设备的表现形式不作特殊限定。
36.下面结合图1-图2描述本发明的数据访问方法的技术方案。
37.电子档案指的是具有凭证、查考和保存价值并且归档保存的电子文件。电子档案的管理系统在将实体档案转换为电子档案进行存储后，如果用户需要查阅可以从该管理系统取得查阅权限，进而对需要的电子档案进行查阅。没有权限的用户无法查阅该管理系统保存的电子档案。电子档案的管理系统可以采用本发明提供的技术方案来对访问的用户进行鉴权，在鉴权通过后将相关的电子档案提供给用户。图1示出了本发明技术方案的一种流程图。具体的，如图1所示，该数据访问方法可以包括如下步骤：
38.步骤10：确定电子档案的第一访问等级，并根据所述第一访问等级生成所述电子档案的访问证书。
39.电子档案是实体档案数字化后的副本。实体档案可以包括书籍、文物、声像、3d等多种类型的实体档案。通过数字化技术可以将实体的档案转化成数字化的副本，然后存储在对应的案卷中，形成电子档案。电子档案可以借助于电子设备(例如计算机、个人电脑)与网络来进行更快更安全的查阅。
40.访问等级是用于指示访问权限高低的数据，可以由电子档案的管理系统进行定义。示例性的，访问等级可以分为：秘密、内容公开、敏感、公开四种等级；也可以分为：秘密、公开两种等级；或者，访问等级也可以分为其他等级，例如，第一等级、第二等级、第三等级、第四等级、第五等级等等，本实施方式对此不作特殊限定。
41.本实施方式中，该访问等级为二进制数。也就是说，不同的二进制数表示不同的访问等级。示例性的，该二级制数可以为n位，其中只有一位为1，其他位为0。可见，1在高位时，二进制数越大，即访问等级越高；1在低位时，二进制数越小，则访问等级越低。举例来说，如访问等级共包含四类，分别为：公开级、敏感级、内部公开级、秘密级。这四类从左到右等级越来越高。基于访问等级为4类，则可以采用4位二进制数来表示访问等级。图2示出了访问等级的存储结构。如图2所示，采用4位二进制来表示访问等级。当访问等级中第1位为1，则该访问等级的二进制数为0001；当访问等级中第2位为1，则该访问等级的二进制表示为0010；当访问等级中第3位为1，则二进制数为0100；当访问等级中第4位为1，则二进制数为1000。该二进制数的上述四种取值可以从低到高表示对应的访问等级，例如，0001表示公开级、0010表示敏感级、0100表示内容公开级、1000表示秘密级。
42.在其他实施方式中，访问等级也可以为5位、6位、7位等等的二进制数。例如，当访问等级为5位的二进制数时，其可以表示5种不同的访问等级，分别为“10000、01000、00100、00010、00001”，从左到右访问等级越来越低。
43.采用二进制数表示访问等级，二进制数中1所在的位越高，则二进制数越大，访问等级越高、对应的访问权限也越高。可见，本技术方案无需构建电子档案与用户的权限之间
复杂的映射关系，通过二级制数的不同取值来表达访问等级的不同类型，更加简单高效，同时能够节省数据占用的存储资源。
44.电子档案的管理系统可以为每一份电子档案确定一个访问等级。同理的，管理系统也可以为每个用户(登录账户)确定一个访问等级。为了方便描述，电子档案的访问等级记为第一访问等级，用户的访问等级记为第二访问等级。
45.在对电子档案进行存储时，管理系统的管理人员可以指定二进制数中取1的位，例如第一位取1。根据该指定的信息，管理系统可以采用取或的方式确定其他位，从而得到二进制数，将该二进制数确定为电子档案的第一访问等级。
46.根据电子档案的第一访问等级，可以对每个电子档案颁发一个访问证书。电子档案与访问证书一一对应。并且，在访问证书中可以指定电子档案的保密期限。不同访问等级的电子档案保密期限不同，例如秘密级的保密期限可以为30年，内部公开级的保密期限可以为10年、敏感级的保密期限可以为1年、公开级的保密期限可以为0。可选的，在生成访问证书时，可以根据电子档案的第一访问等级确定是否需要确定保密期限。举例来说，如果电子档案的第一访问等级对应“秘密级”，则需要确定保密期限；如果电子档案的第一访问等级对应“公开级”，则不需要保密期限。
47.可选的，电子档案的访问证书中还可以包括密钥，该密钥可以由私钥和公钥组成。利用电子档案的访问证书中的公钥对所述电子档案进行加密，然后存储加密后的加密档案。也就是说，管理系统中实际存储的是电子档案加密后的加密档案，可以保证电子档案的安全性。
48.访问证书的颁发机构可以为管理系统，也可以为其他单位，例如内部公开级的电子档案可以由立档单位颁发访问证书，本实施方式对此不作特殊限定。
49.可选的，通过电子档案的元数据也可以获取电子档案的信息。电子档案的元数据可以包括实体档案的创建时间、电子档案的创建时间、作者、主题、文号、归档号、立档单位等等；也可以包括其他信息，例如电子档案的摘要、关键词等等，本实施方式对此不作特殊限定。
50.在存储电子档案时可以获取电子档案的元数据，然后利用访问证书中的公钥对电子档案的元数据也进行加密，获得加密后的元数据，然后将该加密后的元数据与加密档案共同作为电子档案进行存储。用户在解密后可以获取电子档案以及电子档案的元数据。
51.接下来，步骤20：获取登录账户的第二访问等级。
52.需要对电子档案进行查阅、修改等处理的用户，可以预先在电子档案的管理系统中申请一个登录账户。管理系统可以根据用户的身份验证信息，例如姓名、身份证号、电话号码等信息，为每个用户(登录账户)分配一个访问等级。用户可以根据该访问等级对具有权限的电子档案进行操作，例如第一等级的用户可以对第一等级的电子档案进行查阅。将登录账户与访问等级进行关联保存。当登录账户在登录管理系统时，管理系统可以获取该登录账户对应的访问等级，作为第二访问等级。例如，第二访问等级可以为00100。
53.步骤30：查询出所述第一访问等级不超出所述第二访问等级的目标访问证书。
54.访问等级的二进制数越大，则访问等级越大。用户的较小的访问等级(即第二访问等级)不能访问等级较大的电子档案。在所有的电子档案的访问证书中可以筛选出第一访问等级不超出第二访问等级的访问证书，作为目标访问证书。在查询目标访问证书时，第一
访问等级与第二访问等级均为二进制数，计算简单，对数据库的性能要求较低，且计算速度较快，可以提高访问速度。
55.可选的，将电子档案的第一访问等级与登录账户的第二访问等级可以转化为对应的十进制，利用转化后的十进制数进行比较，来确定目标访问证书。举例来说，访问等级为0001，转化为十进制后为1；访问等级为0010，对应的十进制数为2；访问等级为0100，对应的十进制数据为4；访问等级为1000，则对应的十进制数为8。如果登录用户的第二访问等级对应的十进制数为4，则可以从所有访问证书中查询出访问等级不大于4的访问证书，作为目标访问证书。
56.举例来说，用结构化查询语言(sql)来筛选出目标访问证书时，查询代码可以表示如下“select访问证书form证书列表where第二访问等级《＝第一访问等级”来进行筛选。筛选出的访问证书即为目标访问证书。其中，证书列表为数据库中存储证书列表的表。对于内部公开级的目标访问证书进行查询时，查询代码可以表示如下“select访问证书form证书列表where第二访问等级《＝第一访问等级and登录账户的立档单位＝证书的颁发机构”。可见，对于不同立档单位存储的电子档案可以分别进行权限控制，避免立档单位的数据泄露。
57.由上可知，本发明的技术方案在对用户的访问的进行鉴权时，根据用户的第二访问等级，可以对在该第二访问等级范围内的所有电子档案完成鉴权。与现有技术中每个电子档案均进行一次权限映射相比，减少了数据库的读取次数，能够提高访问效率，提高系统的吞吐量。并且，本技术方案采用二进制数来进行鉴权，简化了鉴权和授权的过程，有利于提升系统的性能。
58.目标访问证书可以在登录账户的显示界面进行显示，供用户查看。也就是说，用户在登录管理系统后，可以查看到自己所具有的访问证书。这些访问证书可以作为访问电子文档的凭证，进一步访问电子文档的内容。
59.可选的，目标访问证书可以为多个。例如登录账户的第二访问等级对应的十进制数为8，则小于或等于8的所有访问证书可以作为目标访问证书。多个目标访问证书可以以证书列表的方式进行保存或显示。例如，登录账户的显示界面可以显示该登录账户的证书列表，用户可以查看该证书列表中的任意一个目标访问证书。
60.步骤40：接收到所述登录账户的访问请求时，通过所述目标访问证书对加密档案进行解密，获得解密后的电子档案。
61.用户可以在显示界面中浏览目标访问证书。本实施方式中，目标访问证书中还可以包括一哈希值。当用户需要进一步访问目标访问证书对应的电子档案时，用户可以点击目标访问证书，当该目标访问证书被点击时可以发送访问请求。管理系统接收到该访问请求时，获取目标访问证书中的哈希值。根据该哈希值查询获得对应的加密文档。加密文档与哈希值一一对应。
62.示例性的，管理系统预先可以根据每个电子档案的元数据来确定电子档案的唯一哈希值。通过哈希算法对电子档案的元数据进行运算，可以得到一个哈希值。不同的元数据对应的哈希值不同。因此每个电子档案可以生成一个唯一的哈希值。通过该哈希值可以对该电子档案加密后的加密档案进行索引。当用户需要访问某个电子档案时，可以利用目标访问证书中的哈希值，索引到对应的加密档案。进而，利用目标访问证书中的私钥对该加密档案进解密，获得电子档案。
63.可选的，通过电子档案的元数据中的关键词也可以为电子档案生成一个哈希值，或者通过其他数据，例如电子档案的摘要、归档号等等。
64.综上所述，目标访问证书中可以包括公钥、私钥、以及哈希值，还可以包括保密期限。通过公钥对电子档案进行加密，通过私钥可以对加密后的加密档案进行解密，获得电子档案。通过哈希值可以查找到目标访问证书对应的加密档案。通过保密期限来设置电子档案的加密时限，在保密期限外，电子档案无需进行加密。
65.本实施方式中，管理系统中只保存加密后的加密档案，即使恶意用户攻击系统，也不会造成电子档案的泄露，并且电子档案的案卷、目录等信息也不会被恶意获取，能够增强档案的安全性。
66.可选的，当接收到登录账户的访问请求时，管理系统可以先对目标访问证书的保密期限进行验证，如果目标访问证书在保密期限内，则利用目标访问证书对加密文档进行解密，将加密后的电子档案提供给登录账户。如果目标访问证书不在保密期限内或者无保密期限，则对应的电子档案为公开的档案，无需进行解密，可以直接将目标访问证书对应的电子档案提供给登录账户。
67.进一步的，本发明还提供一种数据访问装置，可用于执行上述数据访问方法。下面对本发明提供的数据访问装置进行描述。
68.图3示出了本发明的数据访问装置的结构图。如图3所示，数据访问装置30可以包括档案等级获取模块31、用户等级获取模块32、权限查询模块33以及档案获取模块34。具体的，档案等级获取模块31，用于确定电子档案的第一访问等级，并根据所述第一访问等级生成所述电子档案的访问证书；用户等级获取模块32，用于获取登录账户的第二访问等级；权限查询模块33，用于查询出所述第一访问等级不超出所述第二访问等级的目标访问证书；档案获取模块34，用于接收到所述登录账户的访问请求时，通过所述目标访问证书对加密档案进行解密，获得解密后的电子档案。
69.在本发明的一种示例性实施方式中，所述第一访问等级与所述第二访问等级为二进制数，所述二进制数其中一位为1，为1的位越高，则访问等级越高。
70.在本发明的一种示例性实施方式中，所述权限查询模块33具体包括证书查询单元，用于将所述第一访问等级对应的十进制数，与所述第二访问等级对应的十进制数进行比较，获得所述第一访问等级小于或等于所述第二访问等级的访问证书，作为所述目标访问证书。
71.在本发明的一种示例性实施方式中，所述访问证书中包括公钥和私钥，该数据访问装置30还可以包括加密模块，用于利用所述访问证书中的公钥对所述电子档案进行加密，并存储加密后的加密档案。
72.在本发明的一种示例性实施方式中，所述档案获取模块34具体用于：通过所述目标访问证书中的私钥对加密档案进行解密，获得解密后的电子档案。
73.在本发明的一种示例性实施方式中，所述目标访问证书中还包括哈希值，所述档案获取模块34具体包括档案获取单元，用于通过所述目标访问证书中的哈希值获取对应的加密文档，所述哈希值与所述加密档案一一对应；以及解密单元，用于通过所述目标访问证书中的私钥对所述加密档案进行解密，获得解密后的电子档案。
74.由于本发明示例实施方式中的数据访问装置的各个功能模块与上述数据访问方
法的示例实施方式的步骤对应，因此对于本发明装置实施例中未披露的细节，请参照上述的数据访问方法的实施方式。
75.图4示例了一种电子设备的实体结构示意图，如图4所示，该电子设备可以包括：处理器(processor)410、通信接口(communications interface)420、存储器(memory)430和通信总线440，其中，处理器410，通信接口420，存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令，以执行上述数据访问方法，该方法包括：步骤10：确定电子档案的第一访问等级，并根据所述第一访问等级生成所述电子档案的访问证书；步骤20：获取登录账户的第二访问等级；步骤30：查询出所述第一访问等级不超出所述第二访问等级的目标访问证书；步骤40：接收到所述登录账户的访问请求时，通过所述目标访问证书对加密档案进行解密，获得解密后的电子档案。
76.此外，上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
77.另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，计算机程序可存储在非暂态计算机可读存储介质上，所述计算机程序被处理器执行时，计算机能够执行上述各方法所提供的数据访问方法，该方法包括：步骤10：确定电子档案的第一访问等级，并根据所述第一访问等级生成所述电子档案的访问证书；步骤20：获取登录账户的第二访问等级；步骤30：查询出所述第一访问等级不超出所述第二访问等级的目标访问证书；步骤40：接收到所述登录账户的访问请求时，通过所述目标访问证书对加密档案进行解密，获得解密后的电子档案。
78.又一方面，本发明还提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法提供的数据访问方法，该方法包括：步骤10：确定电子档案的第一访问等级，并根据所述第一访问等级生成所述电子档案的访问证书；步骤20：获取登录账户的第二访问等级；步骤30：查询出所述第一访问等级不超出所述第二访问等级的目标访问证书；步骤40：接收到所述登录账户的访问请求时，通过所述目标访问证书对加密档案进行解密，获得解密后的电子档案。
79.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
80.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该
计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
81.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。