技術領域

本發明涉及計算機信息安全技術領域，尤其涉及一種數據訪問控制方法和裝置。

背景技術

訪問控制是系統保密性、完整性、可用性和合法使用性的重要基礎之一，也是網絡安全防范和資源保護的關鍵策略之一。訪問控制為系統信息和數據資源安全提供了基本保障。所謂訪問控制指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的手段。其基本思想是主體依據某些控制策略或權限對客體本身或其資源進行的不同授權訪問。一般來說，訪問控制實現是通過數據庫系統和應用系統來完成的。應用系統為用戶提供操作方便的用戶權限管理功能，使被授予特權的用戶可在應用系統中交叉維護用戶的各種權限。

基于角色的訪問控制(RBAC)是20世紀90年代初美國國家標準及技術研究所(National?Institute?of?Standards?and?Technology，簡稱NIST)提出的一種訪問控制技術，其基本思想是在用戶集合與權限集合之間建立一個角色集合，每一種角色對應一組相應的權限，一旦用戶被分配了適當的角色后，該用戶就擁有此角色的所有操作權限。在應用系統中，用戶通過會話激活角色集，并映射在角色集上的訪問權限，間接地訪問應用系統的資源和信息。

基于角色的訪問控制從應用系統機制方面能夠規范合法用戶的使用權限。但從數據訪問安全控制的完整性角度來看，忽略了數據的區域范圍的訪問控制。而在實際工作和管理過程中，各種基于國家(部委)、省(直轄市)、市、區縣、鄉鎮(社區)、村(街道)等多級網絡分布式應用系統非常常見。要做好這些應用系統的數據訪問安全控制，不僅要實現數據的操作權限的控制，考慮到數據來源、數據共享等方面的利益與安全，更要從數據本身的區域位置屬性的角度加以控制。現有技術中的訪問控制方法無法實現這樣的訪問控制。

發明內容

本發明的一個目的在于解決上述技術問題。

第一方面，本發明提供了一種數據訪問控制方法，包括：獲取需要訪問控制的數據中的每一條數據的位置信息；數據的位置信息用于指示該數據所針對的行政區劃；

在接收到用戶發送的訪問控制請求時，確定該用戶所請求訪問控制的目標數據以及該用戶被授權控制的行政區劃；判斷該用戶所對應的行政區劃與所述目標數據的位置信息所指示的行政區劃是否匹配，并僅在匹配時允許該用戶對該目標數據訪問控制。

進一步的，所述訪問控制請求中攜帶有用于表示該用戶被授權控制的行政區劃的位置信息；

所述確定該用戶所請求訪問控制的目標數據以及該用戶被授權控制的行政區劃，包括：根據所述訪問控制請求中攜帶的位置信息確定所述該用戶被授權控制的行政區劃。

進一步的，所述判斷該用戶所對應的行政區劃與所述目標數據的位置信息所指示的行政區劃是否匹配包括：

判斷該用戶被授權控制的行政區劃是否與所述目標數據的位置信息所指示的行政區劃相同，并在判斷為是時判定該用戶被授權控制的行政區劃與所述目標數據的位置信息所指示的行政區劃匹配。

進一步的，

所述判斷該用戶所對應的行政區劃與所述目標數據的位置信息所指示的行政區劃是否匹配還包括：

在判斷該用戶被授權控制的行政區劃是否與所述目標數據的位置信息所指示的行政區劃不相同時，進一步判斷該用戶被授權控制的行政區域是否為所述目標數據的位置信息所指示的行政區劃的上級行政區劃，并在判斷為是時判定該用戶所對應的行政區劃與所述目標數據的位置信息所指示的行政區劃匹配，否則判定為不匹配。

第二方面，本發明提供了一種數據訪問控制裝置，包括：

獲取模塊，用于獲取需要訪問控制的數據中的每一條數據的位置信息；數據的位置信息用于指示該數據所針對的行政區劃；

控制模塊，用于在接收到用戶發送的訪問控制請求時，確定該用戶所請求訪問控制的目標數據以及該用戶被授權控制的行政區劃；判斷該用戶所對應的行政區劃與所述目標數據的位置信息所指示的行政區劃是否匹配，并僅在匹配時允許該用戶對該目標數據訪問控制。

進一步的，所述訪問控制請求中攜帶有用于表示該用戶被授權控制的行政區劃的位置信息；

所述控制模塊具體用于根據所述訪問控制請求中攜帶的位置信息確定所述該用戶被授權控制的行政區劃。

進一步的，所述訪問控制請求中攜帶有用于表示該用戶對應的行政區劃的位置信息；

所述控制模塊具體用于根據所述訪問控制請求中攜帶的位置信息確定所述該用戶被授權控制的行政區劃。

進一步的，

所述控制模塊還用于