(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210324345.7 (22)申请日 2022.03.30 (71)申请人 辽宁华盾安全技 术有限责任公司 地址 110166 辽宁省沈阳市和平区长白东 路27号(3 -12) (72)发明人 李林　胡泉　 (74)专利代理 机构 北京清控智云知识产权代理 事务所 (特殊普通合伙) 11919 专利代理师 管士涛 (51)Int.Cl. G06F 21/45(2013.01) G06F 21/62(2013.01) (54)发明名称 大数据统一授权访问方法、 装置、 电子设备 及介质 (57)摘要 本发明涉及大数据技术领域， 揭露了一种大 数据统一授权访问方法， 包括： 获取大数据资源 及组件类别， 创建组件的资源权 限范围， 确定用 户组及用户， 在资源权限范围中的访问权限， 根 据访问权限构建访问决策树， 根据访问请求， 利 用访问决策树， 对访问用户的访问权限进行鉴 权， 得到鉴权结果， 判断鉴权结果， 是否为通过， 若鉴权结果为通过， 则允许访问用户进行访问， 若鉴权结果为不通过， 则拒绝访问用户进行访 问。 本发明还提出一种大数据统一授权访问装 置、 电子设备 以及计算机可读存储介质。 本发明 可以解决用户登录大数据集群时， 认证过程繁 琐， 访问控制效果 不佳的问题。 权利要求书3页 说明书14页 附图4页 CN 114692126 A 2022.07.01 CN 114692126 A 1.一种大 数据统一授权访问方法， 其特 征在于， 所述方法包括： 获取大数据资源及组件类别， 创建所述组件类别 中每一种组件， 在所述大数据资源中 的资源权限范围； 获取用户组集， 确定所述用户组集中每一个用户组及用户， 在不同组件对应的所述资 源权限范围中的访问权限， 根据所述访问权限构建访问决策树； 接收访问用户的访问请求， 根据所述访问请求， 利用所述访问决策树， 对所述访问用户 的访问权限进行鉴权， 得到鉴权结果； 判断所述 鉴权结果， 是否为 通过； 若所述鉴权结果 为通过， 则允许 所述访问用户进行访问； 若所述鉴权结果 为不通过， 则拒绝所述访问用户进行访问。 2.如权利要求1所述的大数据统一授权访问方法， 其特征在于， 所述创建所述组件类别 中每一种组件， 在所述大 数据资源中的资源权限范围， 包括： 获取所述组件类别中， 每一种组件的数据处 理结构及数据处 理功能； 根据所述数据处 理结构， 确定所述组件类别中， 每一种组件的业 务资源范围； 根据所述数据处 理功能， 确定所述组件类别中， 每一种组件的数据处 理权限； 根据所述业务资源范围及所述数据处理权限， 构建所述组件类别 中， 每一种组件的资 源权限范围。 3.如权利要求2所述的大数据统一授权访问方法， 其特征在于， 所述确定所述用户组集 中每一个用户组及用户， 在不同组件 对应的所述资源权限范围中的访问权限， 包括： 赋予所述用户组集中， 每一个用户组的用户组权限； 根据所述用户组权限， 确定每一个用户组， 在所述不同组件对应的所述资源权限范围 内的访问权限； 赋予每一个所述用户组中， 每一个用户的用户权限； 根据所述用户权限， 确定每一个用户， 在所述不同组件对应的所述资源权限范围内的 访问权限。 4.如权利要求3所述的大数据统一授权访问方法， 其特征在于， 所述根据 所述访问权限 构建访问决策树， 包括： 在所述资源权限范围内， 根据数据的分类， 将所述资源权限范围内的数据划分为不同 的资源项目数据； 根据所述用户组 的访问权限， 确定所述资源项目数据的允许访问用户组及拒 绝访问用 户组； 根据所述用户的访 问权限， 确定资源项目数据的拒绝访 问用户组中的允许访 问用户， 得到拒绝 排除用户； 根据所述用户的访 问权限， 确定资源项目数据的允许访 问用户组中的拒绝访 问用户， 得到允许排除用户； 依据拒绝排除用户、 拒绝访 问用户组、 允许排除用户及允许访 问用户组的优先级从大 到小的顺序， 构建所述访问决策树。 5.如权利要求1所述的大数据统一授权访问方法， 其特征在于， 所述接收访问用户的访 问请求， 包括：权　利　要　求　书 1/3 页 2 CN 114692126 A 2构建访问所述资源项目数据的应用程序； 根据不同组件的资源权限范围， 构建数据访问权限系统； 利用所述应用程序， 调用所述数据访问权限系统数据访问接口， 得到数据访问通道； 利用所述应用程序及所述数据访问通道， 将所述访问请求输入所述数据访问权限系统 中， 得到所述访问请求。 6.如权利要求5所述的大数据统一授权访问方法， 其特征在于， 所述根据所述访问请 求， 利用所述访问决策树， 对所述访问用户的访问权限进行鉴权， 得到鉴权结果， 包括： 根据所述访问请求， 确定目标资源项目数据； 提取所述目标资源项目数据的拒绝排除用户、 拒绝访 问用户组、 允许排除用户及允许 访问用户组； 判断所述访问用户所属的用户组， 是否属于所述目标资源项目数据的拒绝访问用户 组； 若所述访 问用户所属的用户组， 属于所述目标资源项目数据的拒绝访 问用户组， 则判 断所述访问用户， 是否属于所述目标资源项目数据的拒绝 排除用户； 若所述访 问用户， 不属于所述目标资源项目数据的拒绝排除用户， 则鉴权结果为不通 过； 若所述访 问用户， 属于所述目标资源项目数据的拒绝排除用户， 或所述访 问用户所属 的用户组， 不属于所述 目标资源项目数据的拒绝访问用户组， 则判断所述访问用户是否属 于所述目标资源项目数据的允许访问用户组； 若所述访 问用户， 不属于所述目标资源项目数据的允许访 问用户组， 则鉴权结果为不 通过； 若所述访 问用户， 属于所述目标资源项目数据的允许访 问用户组， 则判断所述访 问用 户是否， 属于所述目标资源项目数据的允许排除用户； 若所述访问用户， 属于所述目标资源项目数据的允许排除用户， 则鉴权结果 为不通过； 若所述访问用户， 不属于所述目标资源项目数据的允许排除用户， 则鉴权结果 为通过。 7.如权利要求6所述的大数据统一授权访问方法， 其特征在于， 所述根据所述访问请 求， 利用所述访问决策树， 对所述访问用户的访问权限进行鉴权， 得到鉴权结果之后， 所述 方法还包括： 根据所述访问请求的接收时间， 创建访问时间戳； 根据所述访 问时间戳、 所述访 问请求的访 问用户及所述目标资源项目数据， 构建访 问 日志。 8.一种大 数据统一授权访问装置， 其特 征在于， 所述装置包括： 组件资源权限范围创建模块， 用于获取大数据资源及组件类别， 创建所述组件类别 中 每一种组件， 在所述大 数据资源中的资源权限范围； 访问决策树构建模块， 用于获取用户组集， 确定所述用户组集中每一个用户组及用户， 在不同组件 对应的所述资源权限范围中的访问权限， 根据所述访问权限构建访问决策树； 访问权限鉴权模块， 用于接收访问用户的访问请求， 根据所述访问请求， 利用所述访问 决策树， 对所述访问用户的访问权限进行鉴权， 得到鉴权结果； 判断所述鉴权结果， 是否为 通过； 若所述鉴权结果为通过， 则允许所述访问用户进行访问； 若所述鉴权结果为不通过，权　利　要　求　书 2/3 页 3 CN 114692126 A 3