一种数据安全访问方法、装置及电子设备与流程

1.本发明属于计算机技术领域，具体涉及一种数据安全访问方法、装置及电子设备。


背景技术：

2.用户在访问应用服务器获取数据的过程中，通常会对用户进行综合评估，从而对用户进行动态的权限开发或者降级，为应用场景提供更加精细、迅速的自动化风险响应能力。
3.目前数据访问的安全防护主要是通过应用服务器或者api(application programming interface,应用程序编程接口)网关统一对api的访问权限进行控制，通过不同的api返回不同的数据内容，再通过给不同的用户授权不同的api完成，但该方案由于api返回的数据结构是固定的，内容是硬编码在业务服务器中，因此，当数据结构的分类分级属性发生变化时，需要业务服务器进行重新编码调整或者设计非常复杂的内部属性控制系统才能完成，造成业务服务器的非核心业务内容开发成本增加，且api返回的数据结构是否符合分类分级规范，是完全依赖人工审核和程序开发人员的遵守情况，监管难度较大。
4.因此，如何降低数据访问的安全防护成本、提升安全防护的灵活性和准确性，是本领域技术人员有待解决的技术问题。


技术实现要素：

5.本发明的目的是为了解决现有技术中数据访问时的安全防护成本较高，且安全防护的灵活性和准确性较低的技术问题。
6.为实现上述技术目的，一方面，本发明提供了一种数据安全访问方法，该方法包括：
7.响应于用户访问请求，对用户使用的api进行数据采集；
8.将采集到的数据进行格式转换得到第一数据；
9.根据预设标注模型和用户权限对所述第一数据进行权限分类分级标注；
10.基于所述用户访问请求和所述权限分类分级标注向用户返回请求数据。
11.优选地，所述响应于用户访问请求，具体包括：
12.判断所述用户访问请求是否异常；
13.若是，则拒绝该用户访问请求；
14.若否，则确定出所述用户权限，并在确定出所述用户权限后对该访问请求进行授权放行，且对用户使用的api进行数据采集。
15.优选地，所述预设标注模型具体为通过训练数据集训练后的神经网络模型，所述神经网络模型是基于分类分级标准库和近似属性名称建立。
16.优选地，所述根据预设标注模型和用户权限对所述第一数据进行权限分类分级标注，具体包括：
17.根据所述用户权限确定出权限分类分级策略；
18.通过所述预设标注模型根据所述权限分类分级策略对所述第一数据进行权限分类分级标注。
19.优选地，所述方法还包括将所述权限分类分级标注发送至管理员处，以使管理员对所述权限分类分级标注进行检查。
20.优选地，所述基于所述用户访问请求和所述权限分类分级标注向用户返回请求数据，具体为：
21.根据所述用户访问请求获取请求数据；
22.将所述请求数据进行所述格式转换得到第二数据；
23.根据所述权限分类分级标注将所述第二数据中超出权限级别的数据进行脱敏处理；
24.将经过脱敏处理后的第二数据发送至用户。
25.优选地，所述格式转换具体为结构化解析为预设格式。
26.另一方面，本发明还提供了一种数据安全访问装置，所述装置包括：
27.响应模块，用于响应于用户访问请求，对用户使用的api进行数据采集；
28.转换模块，用于将采集到的数据进行格式转换得到第一数据；
29.标注模块，用于根据预设标注模型和用户权限对所述第一数据进行权限分类分级标注；
30.返回模块，用于基于所述用户访问请求和所述权限分类分级标注向用户返回请求数据。
31.又一方面，本发明还提供了电子设备，包括：
32.处理器；
33.用于存储所述处理器可执行指令的存储器；
34.所述处理器被配置为用于执行如上所述的方法。
35.本发明提供的一种数据安全访问方法、系统及电子设备，与现有技术相比，本方法先响应于用户访问请求，对用户使用的api进行数据采集；然后将采集到的数据进行格式转换得到第一数据；接着根据预设标注模型和用户权限对所述第一数据进行权限分类分级标注；最后基于所述用户访问请求和所述权限分类分级标注向用户返回请求数据，能够极大地降低数据安全防护的成本，并有效地提高了安全防护的灵活性和准确性。
附图说明
36.为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
37.图1所示为本说明书实施例提供的数据安全访问方法的流程示意图；
38.图2所示为本说明书实施例提供的数据安全访问装置的结构示意图；
39.图3所示为本说明书实施例提供的数据安全访问服务器的硬件结构框图。
具体实施方式
40.为了使本领域普通技术人员更好地理解本说明书中的技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
41.如图1所示为本说明实施例提供的数据安全访问方法的流程示意图，虽然本说明提供了如下实施例或附图中所示的方法操作步骤或装置结构，但基于常规或无需创造性劳动在所述方法或装置中可以包括更多或者部分合并后更少的操作步骤或模块单元，在逻辑性上不存在必要因果关系的步骤或结构中，这些步骤的执行顺序或装置的模块结构不限于本说明书实施例或附图所示的执行顺序或模块结构。所述的方法或模块结构在实际中的装置、服务器或终端产品应用时，可以按照实施例或者附图所示的方法或模块结构进行顺序执行或者并行执行(例如并行处理器或者多线程处理的环境、甚至包括分布式处理、服务器集群的实施环境)。
42.本说明实施例中提供的数据安全访问方法可以应用在客户端和服务器等终端设备中，如图1所示，所述方法具体包括如下步骤：
43.步骤s101、响应于用户访问请求，对用户使用的api进行数据采集。
44.具体的，用户在向服务器获取数据时，会通过api网关发送用户访问请求，然后对用户使用的api进行数据采集，采集到的数据具体包括目标服务器的地址、目标服务器的服务端口、请求的路径、数据类型和api返回的有效数据载荷。在具体应用场景中的具体示例如下所示：
[0045][0046][0047]
当用户使用的api为http(hyper text transfer protocol，超文本传输协议)/https(hyper text transfer protocol over securesocket layer，超文本传输安全协议)时，在api网关中可通过ssl(secure socket layer，安全套接层)卸载等方式获取到未加密的内容，对于自定义一类的微服务交互协议，可通过固定加解密等方式获取真实请求内容，本技术并不对此做任何限制。
[0048]
为了提升数据访问的安全性，在本技术实施例中，所述响应于用户访问请求，具体包括：
[0049]
判断所述用户访问请求是否异常；
[0050]
若是，则拒绝该用户访问
[0051]
若否，则确定出所述用户权限，并在确定出所述用户权限后对该访问请求进行授
权放行，且对用户使用的api进行数据采集。
[0052]
具体的，本方案会先判断该用户访问请求是否存在异常，对该用户进行身份认证、可信评估和风险评估，对于身份认证、可信评估和风险评估任一项及以上未通过的用户访问请求视为异常，对于非异常用户，则根据用户身份信息确定出对应的用户权限，并对该访问请求进行授权放行，该授权包括业务访问授权和api访问授权，在具体的应用场景中，假设用户有admin1和admin2两个账户，对这两个账户的权限分配示例如下：
[0053]
admin1(g1_5)，即账户admin1具有分类g1的5级及以下等级数据的访问权限；
[0054]
admin2(g1_10,g2_10)，即账户admin2具有分类g1的10级和分类g2的10及以下等级数据的访问权限。
[0055]
其中，两个账户的授权内容示例分别如下所示：
[0056]
admin1授权内容为：
[0057][0058][0059]
在具体应用场景中，用户所有访问服务器的http请求，可以是通过api网关完成，api网关根据http的头部信息，解析出用户当前要访问的业务和api路径，先检查用户的业务访问授权和api访问授权，通过后放行该请求，但需注意的是，上述api网关仅是本技术中一种具体实现方式，本领域技术人员可以灵活选择设置不同的硬件来执行上述方案，这并不影响本技术保护范围。
[0060]
步骤s102、将采集到的数据进行格式转换得到第一数据。
[0061]
具体的，为了方便进行权限分类分级标注，需要对采集到的数据进行格式转换，该格式转换实质上是结构化解析为预设格式，预设格式由本领域技术人员根据实际情况灵活设置，其是为了方便进行标注，例如，当返回数据类型为"application/json"，可以还原为
json的数据结构，示例如下：
[0062]
转换前：
[0063][0064][0065]
转换后：
[0066][0067]
需要说明的是，上述格式仅为本说明书中示例，预设格式是为方便标注而设定的格式，本领域技术人员可根据实际应用场景灵活设置，这并不影响本技术的保护范围。
[0068]
步骤s103、根据预设标注模型和用户权限对所述第一数据进行权限分类分级标
注。
[0069]
在本技术实施例中，所述预设标注模型具体为通过训练数据集训练后的神经网络模型，所述神经网络模型是基于分类分级标准库和近似属性名称建立。
[0070]
所述根据预设标注模型和用户权限对所述第一数据进行权限分类分级标注，具体包括：
[0071]
根据所述用户权限确定出权限分类分级策略；
[0072]
通过所述预设标注模型根据所述权限分类分级策略对所述第一数据进行权限分类分级标注。
[0073]
具体的，可预先基于分类分级标准库和近似属性名称建立一个神经网络模型，然后通过预先收集好的训练数据集对神经网络模型进行训练，以使该神经网络模型的输出结果更为准确，根据上述确定出的用户权限确定出对应的分级分类策略，预设标注模型在获取到分类分级策略后，根据该策略对第一数据进行权限分类分级标注。
[0074]
为了使权限分类分级标注更加精准，在本技术实施例中，所述方法还包括将所述权限分类分级标注发送至管理员处，以使管理员对所述权限分类分级标注进行检查。
[0075]
具体的，管理员可通过登录账号来对已完成的权限分类分级标注进行检查和调整，同时，预设标注模型还可根据管理员调整后的权限分类分级标注来进行学习，以使自身标注结果更加精准。
[0076]
步骤s104、基于所述用户访问请求和所述权限分类分级标注向用户返回请求数据。
[0077]
具体的，根据该用户访问请求在对应服务器中获取对应的请求数据，同时，根据权限分类分级标注来对请求数据进行选择性的返回至用户处，对请求数据的处理可通过api网关来实现，但本技术并不限制于具体的执行硬件或软件，本领域技术人员可通过实际情况灵活设置，这并不影响本技术的保护范围。
[0078]
为了更加准确快速地向用户返回请求数据，在本技术实施例中，所述基于所述用户访问请求和所述权限分类分级标注向用户返回请求数据，具体为：
[0079]
根据所述用户访问请求获取请求数据；
[0080]
将所述请求数据进行所述格式转换得到第二数据；
[0081]
根据所述权限分类分级标注将所述第二数据中超出权限级别的数据进行脱敏处理；
[0082]
将经过脱敏处理后的第二数据发送至用户。
[0083]
具体的，根据用户访问请求在服务器中获取到请求数据后，会先将该请求数据转换为上述预设格式的第二数据，然后根据权限分类分级标注将该第二数据中超出权限级别的进行脱敏处理，在具体的应用场景中，假设请求到的请求数据具体示例如下：
[0084][0085][0086]
那么经过脱敏处理后的第二数据示例如下：
[0087][0088]
经过上述处理后，能够实现降低数据访问时的安全防护成本，且极大地提高了安全防护的灵活性和准确性.
[0089]
基于上述的数据安全访问方法，本说明一个或多个实施例还提供一种数据安全访问的平台、终端，该平台或终端可以包括使用本说明书实施例所述方法的装置、软件、模块、插件、服务器、客户端等并结合必要的实施硬件的装置，基于同一创新构思，本说明书实施例提供的一个或多个实施例中的系统如下面的实施例所述，由于系统解决问题的实施方案与方法类似，因此本说明书实施例具体的系统的实施可以参考前述方法的实施，重复之处不再赘述，以下所使用的术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的系统较佳地以软件来实现，但是硬件，软硬件结合的实现也是可能并被构想的。
[0090]
具体地，图2是本说明书提供的数据安全访问装置一个实施例的模块结构示意图，如图2所示，本说明书中提供的数据安全访问装置包括：
[0091]
响应模块201，用于响应于用户访问请求，对用户使用的api进行数据采集；
[0092]
转换模块202，用于将采集到的数据进行格式转换得到第一数据；
[0093]
标注模块203，用于根据预设标注模型和用户权限对所述第一数据进行权限分类分级标注；
[0094]
返回模块204，用于基于所述用户访问请求和所述权限分类分级标注向用户返回请求数据。
[0095]
需要说明的是，上述的系统根据对应方法实施例的描述还可以包括其他的实施方式，具体的实现方式可以参照上述对应的方法实施例的描述，在此不作一一赘述。
[0096]
本技术实施例还提供了一种电子设备，包括：
[0097]
处理器；
[0098]
用于存储所述处理器可执行指令的存储器；
[0099]
所述处理器被配置为用于执行如上述实施例提供的方法。
[0100]
本技术实施例提供的电子设备，通过存储器存储处理器的可执行指令，当处理器执行该可执行指令时，能够对用户使用的api进行数据采集；然后将采集到的数据进行格式转换得到第一数据；接着根据预设标注模型和用户权限对所述第一数据进行权限分类分级标注；最后基于所述用户访问请求和所述权限分类分级标注向用户返回请求数据，能够极大地降低数据安全防护的成本，并有效地提高了安全防护的灵活性和准确性。
[0101]
本说明书实施例所提供的方法实施例可以在移动终端、计算机终端、服务器或者类似的运算装置中执行。以运行在服务器上为例，图3是本说明书一个实施例中数据安全访问服务器的硬件结构框图，该计算机终端可以是上述实施例中的数据安全访问服务器或数据安全访问装置。可以包括一个或多个(图中仅示出一个)处理器100(处理器100可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的非易失性存储器200、以及用于通信功能的传输模块300。
[0102]
非易失性存储器200可用于存储应用软件的软件程序以及模块，如本说明书实施例中的数据安全访问方法对应的程序指令/模块，处理器100通过运行存储在非易失性存储器200内的软件程序以及模块，从而执行各种功能应用以及资源数据更新。非易失性存储器200可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，非易失性存储器200可进一步包括相对于处理器100远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
[0103]
传输模块300用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端的通信供应商提供的无线网络。在一个实例中，传输模块300包括一个网络适配器(network interface controller，nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输模块300可以为射频(radio frequency，rf)模块，其用于通过无线方式与互联网进行通讯。
[0104]
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
[0105]
本说明书提供的上述实施例所述的方法或装置可以通过计算机程序实现业务逻辑并记录在存储介质上，所述的存储介质可以计算机读取并执行，实现本说明书实施例所描述方案的效果，如：
[0106]
响应于用户访问请求，对用户使用的api进行数据采集；
[0107]
将采集到的数据进行格式转换得到第一数据；
[0108]
根据预设标注模型和用户权限对所述第一数据进行权限分类分级标注；
[0109]
基于所述用户访问请求和所述权限分类分级标注向用户返回请求数据。
[0110]
所述存储介质可以包括用于存储信息的物理装置，通常是将信息数字化后再以利用电、磁或者光学等方式的媒体加以存储。所述存储介质有可以包括：利用电能方式存储信息的装置如，各式存储器，如ram、rom等；利用磁能方式存储信息的装置如，硬盘、软盘、磁带、磁芯存储器、磁泡存储器、u盘；利用光学方式存储信息的装置如，cd或dvd。当然，还有其他方式的可读存储介质，例如量子存储器、石墨烯存储器等等。
[0111]
本说明书实施例并不局限于必须是符合行业通信标准、标准计算机资源数据更新和数据存储规则或本说明书一个或多个实施例所描述的情况。某些行业标准或者使用自定义方式或实施例描述的实施基础上略加修改后的实施方案也可以实现上述实施例相同、等同或相近、或变形后可预料的实施效果。应用这些修改或变形后的数据获取、存储、判断、处理方式等获取的实施例，仍然可以属于本说明书实施例的可选实施方案范围之内。
[0112]
控制器可以按任何适当的方式实现，例如，控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(application specific integrated circuit，asic)、可编程逻辑控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制器：arc 625d、atmel at91sam、microchip pic18f26k20以及silicone labs c8051f320，存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
[0113]
以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或插件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0114]
这些计算机程序指令也可装载到计算机或其他可编程资源数据更新设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0115]
本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参考即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参考方法实施例的部分说明即可。在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特
征进行结合和组合
[0116]
本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的原理，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。