(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210301690.9 (22)申请日 2022.03.24 (71)申请人 北京悟空出 行科技有限公司 地址 100010 北京市东城区东 直门外大街 39院航空服 务楼517室 (72)发明人 孙维新　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 专利代理师 孙宝海 (51)Int.Cl. G06F 21/31(2013.01) G06F 9/445(2018.01) (54)发明名称 数据访问控制方法、 装置、 存储介质及电子 设备 (57)摘要 本公开实施例提供了一种数据访问控制方 法、 装置、 存储介质及电子设备。 涉及数据安全技 术领域， 用以至少解决相关技术中权限验证方式 较为单一， 无法有效保护数据系统安全性的问 题， 涉及的数据访问控制方法包括： 获取用户的 数据访问请求； 确定所述数据访问请求所请求的 目标数据所涉及的数据资源； 确定所述用户是否 具有访问所述数据资源的访问权限； 若所述用户 具有访问所述数据资源的访问权限， 确定所述目 标数据所涉及的数据接口是否配置了访问控制 权限， 若所述数据接口配置了访问控制权限， 根 据所述访问控制权限对所述用户访问目标数据 的权限进行校验， 得到校验结果； 根据所述校验 结果为所述用户提供数据， 本公开实施例可提高 数据系统的安全性。 权利要求书2页 说明书13页 附图13页 CN 114662071 A 2022.06.24 CN 114662071 A 1.一种数据访问控制方法， 其特 征在于， 包括： 获取用户的数据访问请求； 确定所述数据访问请求所请求的目标 数据所涉及的数据资源； 确定所述用户是否具有访问所述数据资源的访问权限； 若所述用户具有访问所述数据资源的访问权限， 确定所述目标数据所涉及的数据接口 是否配置了访问控制 权限， 若所述数据接口配置了访问控制 权限， 根据所述访问控制 权限 对所述用户访问所述目标数据的权限进 行校验， 得到校验结果， 其中， 所述访问控制权限用 于对用户的访问行为和/或用户所访问的内容进行限制； 根据所述校验结果 为所述用户提供 数据。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 在确定所述用户具有访问所述数据资源的访问权限之后， 确定所述目标数据 所涉及的 数据接口是否被 配置为敏感数据接口； 若所述数据接口被配置为敏感数据接口， 根据所述用户的登录信息、 所述用户对所述 数据接口的历史访问信息以及所述用户对所述数据接口的历史访问数据量中的至少一者， 对所述用户进行异常检测， 以确定所述数据访问请求是否属于非法请求。 3.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 若所述目标数据 所涉及的数据接口被配置为敏感数据接口， 在所述用户通过所述异常 检测后， 对所述目标 数据进行脱敏， 得到脱敏后的数据； 根据所述校验结果 为所述用户提供 数据， 包括： 将脱敏后的数据发送至所述用户的用户设备。 4.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 若所述数据接口被配置为敏感数据接口， 将所述数据访 问请求转发至异常检测中心， 以请求所述异常检测中心对所述用户进行异常检测， 其中， 所述异常检测中心用于根据所 述用户的登录信息、 所述用户对所述数据接口的历史访问信息以及所述用户对所述数据接 口的历史访问数据量中的至少一 者， 对所述用户进行异常检测； 接收所述异常检测中心返回的异常检测结果， 根据 所述异常检测结果确定所述数据访 问请求是否属于非法请求。 5.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 若所述目标数据 所涉及的数据接口被配置为敏感数据接口， 记录所述用户访问所述敏 感数据接口 的访问日志。 6.根据权利要求1所述的方法， 其特征在于， 确定所述用户是否具有访问所述数据资源 的访问权限， 包括： 若所述目标数据 所涉及的数据资源中包括视图资源， 将所述数据访问请求转发至视图 权限处理中心， 以请求所述视图权限处理中心对所述用户进 行视图权限校验， 其中， 所述视 图权限处理中心用于根据所述数据访问请求中的用户信息确定用户是否具有所述视图资 源的访问权限； 接收所述视图权限处理中心返回的视图权限校验结果， 根据所述视图权限校验结果确 定所述用户是否具有访问所述视图资源的权限。 7.根据权利要求1所述的方法， 其特征在于， 确定所述目标数据 所涉及的数据接口是否权　利　要　求　书 1/2 页 2 CN 114662071 A 2配置了访问控制 权限， 若所述数据接口配置了访问控制 权限， 根据所述访问控制 权限对所 述用户访问所述目标 数据的权限进行 校验， 得到校验结果， 包括： 将所述数据访问请求发送至行为权限处理中心， 以请求所述行为权限处理中心确定所 述目标数据所涉及的数据接口是否被配置了所述访问控制权限， 若所述数据接口配置了所 述访问控制 权限， 确定所述数据接口所配置的所述访问控制 权限的类型， 以及根据所述数 据接口所配置的所述访问控制权限的类型对所述用户访问所述目标数据的权限进 行校验， 其中， 所述权限处理中心用于确定所述数据接口是否配置了所述访问控制权限以及所述数 据接口所配置的所述访问控制权限的类型， 根据所述数据接口所配置的访问控制权限的类 型对所述用户访问所述目标 数据的权限进行 校验， 得到所述校验结果； 接收所述行为权限处理中心返回的所述校验结果， 根据 所述校验结果确定所述用户是 否具有访问所述目标 数据的权限。 8.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 在确定所述数据访问请求所请求的目标数据 所涉及的数据资源之后， 确定所述目标数 据是否为权限数据； 若所述目标 数据为权限数据， 根据所述数据访问请求对所述用户进行身份认证。 9.根据权利要求1至8中任一项所述的方法， 其特征在于， 根据所述校验结果为所述用 户提供数据， 包括： 将所述目标 数据进行加密， 将加密后的目标 数据发送至所述用户的用户设备。 10.一种数据访问控制装置， 其特 征在于， 包括： 获取模块， 用于获取用户的数据访问请求； 第一确定模块， 用于确定所述数据访问请求所请求的目标 数据所涉及的数据资源； 第二确定模块， 用于确定所述用户是否具有访问所述数据资源的访问权限； 第一校验模块， 用于若所述用户具有访 问所述数据资源的访 问权限， 确定所述目标数 据所涉及的数据接口是否配置了访问控制 权限， 若所述数据接口配置了访问控制 权限， 根 据所述访问控制权限对所述用户进 行校验， 得到校验结果， 其中， 所述访问控制权限用于对 用户的访问行为和/或用户所访问的内容进行限制； 提供模块， 用于根据所述校验结果 为所述用户提供 数据。 11.一种电子设备， 其特 征在于， 包括： 处理器； 以及 存储器， 用于存 储所述处 理器的可 执行指令； 其中， 所述处理器配置为经由执行所述可执行指令来执行权利要求1至9中任一项所述 的数据访问控制方法。 12.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1至9中任一项所述的数据访问控制方法。权　利　要　求　书 2/2 页 3 CN 114662071 A 3