(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114218605A(43)申请公布日2022.03.22(21)申请号202111542460.3(22)申请日2021.12.14(71)申请人中国建设银行股份有限公司地址100033北京市西城区金融大街25号(72)发明人苏晨冯吉禹(74)专利代理机构北京同立钧成知识产权代理有限公司11205代理人宋兴刘芳(51)Int.Cl.G06F21/62(2013.01)G06F21/60(2013.01)G06F21/44(2013.01)权利要求书2页说明书12页附图5页(54)发明名称数据访问控制方法、装置、设备及存储介质(57)摘要本申请提供一种数据访问控制方法、装置、设备及存储介质。该方法涉及数据安全技术领域，包括：接收数据访问控制请求，根据预设的基于属性的策略配置信息，确定访问用户是否有权限对目标业务数据进行第一数据操作，并返回访问控制响应，访问控制响应用于指示或拒绝访问用户的第一数据操作。本实施例的策略配置信息包括与以下至少一项的属性信息相关的执行策略：用户、业务数据、访问环境、业务上下文，执行策略包括允许和/或拒绝的数据操作。上述方案从多个维度对数据访问请求进行分析判断，提高了数据访问的安全性，降低数据泄露的风险。CN114218605ACN114218605A权利要求书1/2页1.一种数据访问控制方法，其特征在于，包括：接收数据访问控制请求，所述数据访问控制请求用于访问用户请求对目标业务数据进行第一数据操作；根据预设的基于属性的策略配置信息，确定所述访问用户是否有权限对所述目标业务数据进行第一数据操作；所述策略配置信息包括与以下至少一项的属性信息相关的执行策略：用户、业务数据、访问环境、业务上下文；返回数据访问控制响应，所述数据访问控制响应用于指示允许或拒绝所述第一数据操作。2.根据权利要求1所述的方法，其特征在于，所述根据预设的基于属性的策略配置信息，确定所述访问用户是否有权限对所述目标业务数据进行第一数据操作，包括：获取所述数据访问请求中所述访问用户、所述目标业务数据、当前访问环境、当前业务上下文的属性信息的至少一项，以及目标业务的策略配置信息；根据所述访问用户、所述目标业务数据、所述当前访问环境、所述当前业务上下文的属性信息的至少一项，以及所述目标业务的策略配置信息，确定所述访问用户是否有权限对所述目标业务数据进行所述第一数据操作。3.根据权利要求2所述的方法，其特征在于，获取所述目标业务的策略配置信息，包括：通过调用数据访问控制工具包获取所述目标业务的策略配置信息；不同的目标业务的策略配置信息对应不同的数据访问控制工具包。4.根据权利要求1‑3任一项所述的方法，其特征在于，所述目标业务数据存储于数据表，若确定所述访问用户有权限对所述目标业务数据进行第一数据操作，所述返回数据访问控制响应，包括：对所述数据表进行数据过滤，生成过滤后的数据表；返回所述数据访问控制响应，所述数据访问控制响应包括所述过滤后的数据表；所述过滤后的数据表仅展示所述目标业务数据。5.根据权利要求4所述的方法，其特征在于，所述对所述数据表进行数据过滤，生成过滤后的数据表，包括：对所述数据表采用逐行数据属性分析方法进行数据过滤，和/或，对所述数据表采用逐列数据属性分析方法进行数据过滤，和/或，对所述数据表采用逐单元格数据属性分析方法进行数据过滤，生成所述过滤后的数据表。6.根据权利要求4所述的方法，其特征在于，若调用数据访问控制工具包失败，所述方法还包括：返回未经数据过滤的数据表，并在日志中记录与所述数据访问控制请求相关的所有信息。7.根据权利要求3所述的方法，其特征在于，所述方法还包括：接收数据访问控制更新包，更新所述数据访问控制工具包；所述数据访问控制更新包包括对与执行策略相关的以下至少一项属性信息的更新：对用户的属性信息的新增、修改或删除；对数据的属性信息的新增、修改或删除；对访问环境的属性信息的新增、修改或删除；2CN114218605A权利要求书2/2页对业务环节的属性信息的新增、修改或删除。8.一种数据访问控制装置，其特征在于，包括：接收模块，用于接收数据访问控制请求，所述数据访问控制请求用于访问用户请求对目标业务数据进行第一数据操作；处理模块，用于根据预设的基于属性的策略配置信息，确定所述访问用户是否有权限对所述目标业务数据进行第一数据操作；所述策略配置信息包括与以下至少一项的属性信息相关的执行策略：用户、业务数据、访问环境、业务上下文；发送模块，用于返回数据访问控制响应，所述数据访问控制响应用于指示允许或拒绝所述第一数据操作。9.一种电子设备，其特征在于，包括：存储器；处理器；以及计算机程序；其中，所述计算机程序存储在所述存储器中，并被配置为由所