(19)国家知识产权局(12)发明专利申请(10)申请公布号CN116011008A(43)申请公布日2023.04.25(21)申请号202211697340.5(22)申请日2022.12.28(71)申请人浙江齐治科技股份有限公司地址310051浙江省杭州市滨江区滨安路1197号6幢492室(72)发明人柳牧杨传安(74)专利代理机构杭州华进联浙知识产权代理有限公司33250专利代理师金无量(51)Int.Cl.G06F21/62(2013.01)G06F21/60(2013.01)权利要求书2页说明书10页附图5页(54)发明名称基于关系的访问权限控制方法、装置及数据安全访问系统(57)摘要本申请涉及一种基于关系的访问权限控制方法、装置及数据安全访问系统，其中，该方法包括：在权限控制层中，根据主客体关系和三元组配置关系权限；三元组的表达式包括主体描述、关系描述以及客体描述；在访问控制层中的访问控制模块接收到访问请求时，将访问请求传输至权限控制层中，并接收基于关系权限检查访问请求对应的访问者的响应结果，根据响应结果决定是否允许或拒绝转发访问请求至被访问客体。通过本申请，解决了在大型的业务组织中，角色和属性爆炸带来的管理困难和导致权限控制失效的问题，利用数据和数据使用者的关系和组织结构具有有限清晰明确的特点，来确定的关系权限，进而基于关系权限来简化管理难度，从而避免权限控制失效。CN116011008ACN116011008A权利要求书1/2页1.一种基于关系的访问权限控制方法，其特征在于，适用于基于关系的访问权限控制系统，所述系统包括访问控制层和权限控制层；所述方法包括：在所述权限控制层中，根据主客体关系和三元组配置关系权限；所述三元组的表达式包括主体描述、关系描述以及客体描述；在访问控制层中的访问控制模块接收到访问请求时，将所述访问请求传输至所述权限控制层中，并接收基于所述关系权限检查访问请求对应的访问者的响应结果，根据所述响应结果决定是否允许或拒绝转发所述访问请求至被访问客体。2.根据权利要求1所述的基于关系的访问权限控制方法，其特征在于，所述根据主客体关系和三元组配置关系权限，包括：为主体和客体配置权限，得到主客体关系和三元组；对所述主客体关系和所述三元组进行关系配置，得到关系权限。3.根据权利要求2所述的基于关系的访问权限控制方法，其特征在于，所述关系权限为规则、策略以及策略组中的一种；所述策略组包括多个策略；所述策略包括多个规则；所述规则用于控制访问范围。4.根据权利要求1所述的基于关系的访问权限控制方法，其特征在于，所述根据主客体关系和三元组配置关系权限，包括：根据主客体关系、所述三元组的扩展处理，配置关系权限。5.根据权利要求1所述的基于关系的访问权限控制方法，其特征在于，所述方法还包括：在根据所述响应结果决定是否允许或拒绝转发所述访问请求至被访问客体之后，通过所述访问控制模块返回访问结果至访问者。6.根据权利要求1所述的基于关系的访问权限控制方法，其特征在于，所述方法还包括：在所述权限控制层中，基于预设加密传输格式对所述关系权限进行传输，并存储至分布式数据库中。7.一种基于关系的访问权限控制装置，其特征在于，适用于基于关系的访问权限控制系统，所述系统包括访问控制层和权限控制层；所述装置包括：配置单元和检查响应单元；所述配置单元，用于在所述权限控制层中，根据主客体关系和三元组配置关系权限；所述三元组的表达式包括主体描述、关系描述以及客体描述；所述检查响应单元，用于在访问控制层中的访问控制模块接收到访问请求时，将所述访问请求传输至所述权限控制层中，并接收基于所述关系权限检查访问请求对应的访问者的响应结果，根据所述响应结果决定是否允许或拒绝转发所述访问请求至被访问客体。8.一种数据安全访问系统，其特征在于，包括：展示层、应用层以及数据5层；所述展示层架设在应用层上，用于提供交互接口；所述应用层，与所述数据层连接；在所述应用层和所述数据层的配合下，用于执行权利要求1至6中任一项所述的基于关系的访问权限控制方法。9.一种计算机设备，包括存储器和处理器，其特征在于，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行权利要求1至06中任一项所述的基于关系的访问权限控制方法的步骤。2CN116011008A权利要求书2/2页10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的基于关系的访问权限控制方法的步骤。3CN116011008A说明书1/10页基于关系的访问权限控制方法、装置及数据安全访问系统技术领域[0001]本申请涉及数据库安全运维技术领域，特别是涉及基于关系的访问权限控制方法、装置及数据安全访问系统。背景技术[000