一种跨单位的数据服务权限控制的协同系统的制作方法

本申请涉及大数据的，尤其是涉及一种跨单位的数据服务权限控制的协同系统。

背景技术：

1、数据服务的权限控制在各行各业都是刚性需求，也有很好的工程实践，不过目前大部分关注点都在本单位内部的控制，即同一个体系下的权限控制，涉及跨单位的控制方案极少，有具体工程实践的更少。

2、已知的涉及跨单位的权限控制方案中，大都需要定义双边角色，即参与协同的各单位都认可和识别的双边角色，然后通过对这个双边角色的授权实现跨单位的权限控制。这就要求参与协同的各单位的系统建设步骤要一致，需要同时支持双边角色的定义、授权和鉴权，而在实际项目实施过程中，各单位的建设步骤很难保持一致，直接导致基于双边角色的方案很难实施。

技术实现思路

1、针对上述背景技术中的问题,本申请提出了一种跨单位的数据服务权限控制的协同系统。

2、本申请提出的一种跨单位的数据服务权限控制的协同系统，包括：

3、数据分级分类模块，所述数据分级分类模块用于对数据集、数据字段进行级别和类别的划分；

4、授权鉴权模块，所述授权鉴权模块包括数据层和服务层，所述授权鉴权模块用于对本单位的数据以及对本单位或者外单位的服务两个层面进行授权和鉴权；

5、服务网关，所述服务网关汇集注册了包括本单位和外单位的所有服务，在服务的鉴权环节通过调用授权鉴权模块的鉴权子模块，以判定当前服务调用者对被调用的服务是否有权限以及有哪些权限；

6、前端应用，所述前端应用通过调用服务网关上的服务实现用户与后台系统的交互操作。

7、通过采用上述技术方案，本申请可以为各单位处于不同建设阶段的系统提供一种简单、可靠的协同，从而实施数据服务的权限控制，做到严格的数据分级分类控制。不同建设阶段是指，一部分单位的系统已经具备完整的授权鉴权模块，另一部分还不具备，当这些单位的系统需要互联互通的时候，能够解决这种差异带来的问题。

8、优选的，所述数据层把数据分级分类模块定义好的数据分级分类授予角色或用户，以使分级分类模块的鉴权子模块在运行时根据前端应用即前端应用中当前登录用户、角色、以及被授予的数据分级分类，判断其是否具备某个数据集的某个字段的访问权限。

9、优选的，所述服务层把本单位或者外单位的服务授予角色或用户，以使其鉴权子模块在运行时根据根据前端应用即前端应用中当前登录用户、角色、以及被授予的服务权限，判断其是否具备某个服务的访问权限。

10、优选的，所述服务由服务标识、服务参数、服务名称以及服务地址构成。

11、优选的，所述服务标识和服务参数共同确定一个服务实例。

12、优选的，所述外单位包括具备授权鉴权和数据分级分类定义的外单位以及不具备授权鉴权和数据分级分类定义的外单位。

13、优选的，所述不具备授权鉴权和数据分级分类定义的外单位通过在本单位的授权鉴权模块完成授权鉴权，从而在整体上支持跨单位的数据权限控制的协同。

14、优选的，所述跨单位的数据服务权限控制的协同系统采用两次授权鉴权的方式进行服务授权鉴权，两次授权鉴权包括服务提供方自主可控的首次授权鉴权以及服务调用方控制的二次授权鉴权。

15、综上所述，本申请至少包括以下有益技术效果：

16、1.本申请实现在各单位系统的建设步骤不一致的场景下，实现跨单位的数据服务权限控制的协同。同时，为了不增加权限控制中授权环节的管理成本，保持本单位、外单位权限在统一个模块中管理，不增加额外的管理成本；

17、2.本申请对外提供的服务支持两次授权鉴权，包括服务提供方自主可控的首次授权鉴权，以及服务调用方控制的二次授权鉴权。既满足服务提供方的自主可控需求，也满足服务调用方的二次控制需求；

18、3.本申请可以为各单位处于不同建设阶段的系统提供一种简单、可靠的协同，从而实施数据服务的权限控制，做到严格的数据分级分类控制。不同建设阶段是指，一部分单位的系统已经具备完整的授权鉴权模块，另一部分还不具备，当这些单位的系统需要互联互通的时候，本申请能够解决这种差异带来的问题。

技术特征：

1.一种跨单位的数据服务权限控制的协同系统，其特征在于：所述系统包括：

2.根据权利要求1所述的一种跨单位的数据服务权限控制的协同系统，其特征在于：所述数据层把数据分级分类模块定义好的数据分级分类授予角色或用户，以使分级分类模块的鉴权子模块在运行时根据前端应用即前端应用中当前登录用户、角色、以及被授予的数据分级分类，判断其是否具备某个数据集的某个字段的访问权限。

3.根据权利要求2所述的一种跨单位的数据服务权限控制的协同系统，其特征在于：所述服务层把本单位或者外单位的服务授予角色或用户，以使其鉴权子模块在运行时根据根据前端应用即前端应用中当前登录用户、角色、以及被授予的服务权限，判断其是否具备某个服务的访问权限。

4.根据权利要求3所述的一种跨单位的数据服务权限控制的协同系统，其特征在于：所述服务由服务标识、服务参数、服务名称以及服务地址构成。

5.根据权利要求4所述的一种跨单位的数据服务权限控制的协同系统，其特征在于：所述服务标识和服务参数共同确定一个服务实例。

6.根据权利要求5所述的一种跨单位的数据服务权限控制的协同系统，其特征在于：所述外单位包括具备授权鉴权和数据分级分类定义的外单位以及不具备授权鉴权和数据分级分类定义的外单位。

7.根据权利要求6所述的一种跨单位的数据服务权限控制的协同系统，其特征在于：所述不具备授权鉴权和数据分级分类定义的外单位通过在本单位的授权鉴权模块完成授权鉴权，从而在整体上支持跨单位的数据权限控制的协同。

8.根据权利要求7所述的一种跨单位的数据服务权限控制的协同系统，其特征在于：所述跨单位的数据服务权限控制的协同系统采用两次授权鉴权的方式进行服务授权鉴权，两次授权鉴权包括服务提供方自主可控的首次授权鉴权以及服务调用方控制的二次授权鉴权。

技术总结
本申请涉及一种跨单位的数据服务权限控制的协同系统，其包括数据分级分类模块，所述数据分级分类模块用于对数据集、数据字段进行级别和类别的划分；授权鉴权模块，所述授权鉴权模块包括数据层和服务层，授权鉴权模块用于对本单位的数据以及对本单位或者外单位的服务两个层面进行授权和鉴权；服务网关，服务网关汇集注册了包括本单位和外单位的所有服务，在服务的鉴权环节通过调用授权鉴权模块的鉴权子模块，以判定当前服务调用者对被调用的服务是否有权限以及有哪些权限；前端应用，所述前端应用通过调用服务网关上的服务实现用户与后台系统的交互操作。本申请在各单位系统的建设步骤不一致的场景下，实现跨单位的数据服务权限控制的协同。

技术研发人员：连志阳,鄢小征,魏超,张春晖
受保护的技术使用者：厦门市美亚柏科信息股份有限公司
技术研发日：
技术公布日：2024/1/13