本發明實施例提供一種大數據訪問控制方法、裝置、電子設備及存儲介質，通過數據處理優化器，可以自動確定出數據處理邏輯中的數據處理目的，并據此做出訪問決策，不僅可以支持安全的大數據共享分析，還可以具備隱私意識，為數據提供者提供數據保護功能。

技術領域

本發明涉及大數據處理技術領域，尤其涉及一種大數據訪問控制方法、裝置、電子設備及存儲介質。

背景技術

在大數據時代，海量的數據被收集、存儲，并用于各種平臺和應用。為此，需要人們設計出能夠駕馭海量數據、便于數據分析并發掘數據價值的大數據處理平臺。通常大數據處理平臺可以訪問到各種數據源，支持混合數據分析引擎，如高級結構化查詢語言(Structured?Query?Language，SQL)、機器學習和圖等，并有效地處理大量數據。然而，在設計這樣的大數據平臺時，數據的安全性和私密性并沒有得到充分考慮。因此，平臺本身所能提供的數據保護功能非常有限。例如，由于平臺不具備細粒度訪問控制的能力以及不能滿足復雜的訪問控制需求，當用戶的需求僅僅是執行聚合或統計查詢時，通常為了滿足他們的數據分析需求，現有的平臺只能允許用戶可以完全訪問敏感的原始數據。此外，在大規模的跨組織數據共享環境中，數據更容易受到攻擊。在這種環境下，用戶可以對多個數據源或平臺進行數據關聯性分析，以進一步提取敏感信息。

在數據管理和共享應用場景中，訪問控制作為一種十分重要的數據保護機制，可以阻止數據使用者訪問未授權的敏感數據。簡單的訪問控制方案是大數據平臺直接利用底層訪問機制：底層數據源或操作系統提供的訪問控制功能。然而，這種解決方案通常不能滿足用戶的訪問控制需求：1)底層機制通常不支持細粒度(屬性級、記錄級或單元級)訪問控制，而高級的數據管理應用需要這些粒度標準。例如，Hadoop分布式文件系統(HadoopDistributed?File?System，HDFS)提供的文件級訪問控制往往不足以滿足用戶的細粒度安全需求。2)各種數據源的安全模型和機制存在異構性，而異構性意味著會存在訪問控制特性不兼容、訪問控制功能不一致的問題。例如，用戶聚合多個數據源的數據，并且這些數據源都含有敏感屬性，那么數據安全性由數據保護功能最差的訪問控制機制決定(每個數據源的數據訪問策略由數據提供者制定)。

基于目的的訪問控制(Purpose-Based?Access?Control，PBAC)模型用于隱私保護訪問控制。PBAC源于傳統的關系性數據庫管理系統(Relational?Database?ManagementSystem，RDBMS)。PBAC定義了特定的數據使用目的，并且這些數據使用目的可用SQL查詢表達，從而授權特定的SQL查詢就相當于授權特定的數據使用目的。例如，“運送”目的意味著可以授權查詢“活動訂單的運貨地址”。然而，在大數據分析應用中，很難將像“運送”這樣的抽象數據使用目的直接與系統級數據處理邏輯和數據庫操作聯系起來。例如，為了基于大量數據分析出銷售趨勢，可以在數據上使用很多種算法，包括回歸分析、時間序列分析和隨機模型等；然而對于“分析銷售趨勢”這樣的抽象級目的，幾乎不可能與之關聯一組靜態數據庫操作。另外，在實際操作中，同一數據操作可以出現在多種數據使用目的中。數據庫引擎很難自動地識別數據操作的正確目的，也就很難根據目的允許或拒絕數據操作。

發明內容

本發明實施例提供一種大數據訪問控制方法、裝置、電子設備及存儲介質，用以解決現有技術中存在的缺陷。

本發明實施例提供一種大數據訪問控制方法，包括：

在接收數據使用者的數據訪問請求之后，基于數據處理優化器，確定數據處理邏輯中的數據處理目的；

基于所述數據處理目的，做出與所述數據訪問請求對應的訪問決策。

根據本發明一個實施例的大數據訪問控制方法，所述基于數據處理優化器，確定數據處理邏輯中的數據處理目的，具體包括：

在所述數據處理優化器中，基于目的分析算法，確定所述數據處理邏輯中的數據處理目的。