(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210750566.0 (22)申请日 2022.06.29 (71)申请人 奇安信科技 集团股份有限公司 地址 100032 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 奇安信网神信息技 术 （北京） 股份有 限公司 (72)发明人 孙博　张雪娟　秦飞虎　 (74)专利代理 机构 北京鼎佳达知识产权代理事 务所(普通 合伙) 11348 专利代理师 刘铁鸣　刘铁生 (51)Int.Cl. G06F 21/31(2013.01) G06F 21/62(2013.01) (54)发明名称 数据访问的控制方法及装置 (57)摘要 本申请公开一种数据访问的控制方法及装 置， 涉及访问控制技术领域。 本申请的方法包括： 根据访问请求确定访问者的行列权限， 其中， 所 述行列权限是所述访问者的任务工单所配置的 数据请求权限， 所述行列权限用于表征被允许访 问的数据以及所述数据中被允许访问的项目； 判 断所述访问请求中的访问目标是否对应所述行 列权限； 若对应， 则基于所述访问者所在的任务 节点的权限， 判断是否允许访问所述访问目标， 其中， 所述任务节点为处理所述任务工单的流程 中的节点， 每个所述任务节点配置有对应的权 限； 若是， 则根据所述访问请求执 行响应操作。 权利要求书2页 说明书16页 附图3页 CN 115048631 A 2022.09.13 CN 115048631 A 1.一种数据访问的控制方法， 其特 征在于， 所述方法包括： 根据访问请求确定访 问者的行列权限， 其中， 所述行列权限是所述访 问者的任务工单 所配置的数据请求权限， 所述行列权限用于表征被允许访问的数据以及所述数据中被允许 访问的项目； 判断所述访问请求中的访问目标 是否对应所述行列权限； 若对应， 则 基于所述访问者所在的任务节点的权限， 判断是否允许访问所述访问目标， 其中， 所述任务节点为处理所述任务工单 的流程中的节点， 每个所述任务节点配置有对应 的权限； 若是， 则根据所述访问请求执 行响应操作。 2.根据权利要求1所述的方法， 其特征在于， 在所述根据访问请求确定访问者的行列权 限之前， 所述方法还 包括： 获取所述访问者的登录信 息， 所述登录信 息中包含用于表征所述访问者登录位置的地 址信息； 根据所述地址信 息判断所述访问者是否符合登录条件， 所述登录条件用于界定所述访 问者登录的地址信息是否符合允许登录的地址范围； 所述根据访问请求确定访问者的行列权限， 包括： 若确定所述访问者符合所述登录条件， 则根据所述访问请求确定所述访问者的行列权 限。 3.根据权利要求1所述的方法， 其特征在于， 在所述根据访问请求确定访问者的行列权 限之前， 所述方法还 包括： 判断所述访问者是否配置有所述任务工单； 若否， 则向所述访 问者输出交互界面， 以便所述访 问者基于所述交互界面输入工单申 请， 所述工单申请用于 向审批者申请工作任务以及对应所述工作任务的所述行列权限， 以 便所述审批者接 收到所述工单申请时， 在确定所述访问者具备申请所述工作任务的权限， 且所述行列权限符合完成所述工作任务的需要时， 为所述访问者分配对应所述工单申请的 所述任务工单； 所述根据访问请求确定访问者的行列权限， 包括： 若确定所述访问者配置有所述任务工单， 则根据 所述访问请求确定所述访问者的所述 行列权限。 4.根据权利要求1所述的方法， 其特征在于， 所述根据访问请求确定访问者的行列权限 包括： 确定所述访问请求对应的所述访问者， 并获取 所述访问者的所述任务工单； 根据所述任务工单， 获取所述任务工单配置的所述行列权限， 其中， 每个所述任务工单 都预先配置有对应的行列权限。 5.根据权利要求1所述的方法， 其特 征在于， 每 个所述数据包括至少一个所述项目； 所述行列权限包括行权限以及列权限， 其中， 所述行权限用于表征被允许访 问的所述 数据， 所述列权限用于表征在所述数据中的被允许访问的所述项目； 所述判断所述访问请求中的访问目标 是否对应所述行列权限， 包括： 从多个所述数据中确定对应所述行权限的目标 数据；权　利　要　求　书 1/2 页 2 CN 115048631 A 2在所述目标 数据中的所述项目中确定对应所述列权限的目标项目； 判断所述目标项目与所述访问目标 是否一致； 所述若判断所述访问请求中的访问目标对应所述行列权限， 则基于所述访问者所在的 任务节点的权限， 判断是否允许访问所述访问目标， 包括： 若判断所述目标项目与所述访问目标一致， 则基于所述访问者所在的任务节点的权 限， 判断是否允许访问所述访问目标。 6.根据权利要求1所述的方法， 其特征在于， 所述基于所述访问者所在的任务节点的权 限， 判断是否允许访问所述访问目标， 包括： 在所述任务流程中获取所述访 问者当前所处的目标任务节点； 其中， 所述任务流程为 处理所述任务工单 过程中设置的多个所述任务节点形成的处 理流程； 根据预设任务节点权限分配关系， 确定对应所述目标任务节点对应的节点权限； 判断所述访问目标 是否对应所述节点权限； 所述基于所述访 问者所在的任务节点的权限， 判断允许访 问所述访 问目标， 则根据所 述访问请求执 行响应操作， 包括： 若判断所述节点权限与所述行列权限一 致， 则根据所述访问请求执 行响应操作。 7.根据权利要求1 ‑6中任一项所述的方法， 其特征在于， 所述任务流程包括任务完成节 点， 所述任务完成节点用于表征 所述访问者完成对应所述访问目标的所述任务工单； 在所述根据所述访问请求执 行响应操作之后， 所述方法还 包括： 获取所述访问者的当前任务节点， 并判断所述当前任务节点是否为所述任务完成节 点； 若是， 则删除所述任务工单的所述行列权限， 以便禁止所述访 问者基于所述任务工单 再次对所述访问目标进行访问。 8.一种数据访问的控制装置， 其特 征在于， 所述装置包括： 确定单元， 用于根据访问请求确定访问者的行列权限， 其中， 所述行列权限是所述访问 者的任务工单所配置的数据请求权限， 所述行列权限用于表征被允许访问的数据以及所述 数据中被允许访问的项目； 第一判断单 元， 用于判断所述访问请求中的访问目标 是否对应所述行列权限； 第二判断单元， 用于若判断所述访 问请求中的访 问目标对应所述行列权限， 则基于所 述访问者所在的任务节点的权限， 判断是否允许访问所述访问目标， 其中， 所述任务节点为 处理所述任务工单的流 程中的节点， 每 个所述任务节点配置有对应的权限； 执行单元， 用于若基于所述访 问者所在的任务节点的权限， 判断允许访 问所述访 问目 标， 则根据所述访问请求执 行响应操作。 9.一种存储介质， 其特征在于， 所述存储介质包括存储的程序， 其中， 在所述程序运行 时控制所述存 储介质所在设备 执行权利要求1至7中任一项所述的数据访问的控制方法。 10.一种数据访问的控制装置， 其特征在于， 所述装置包括存储介质； 及一个或者多个 处理器， 所述存储介质与所述处理器耦合， 所述处理器被配置为执行所述存储介质中存储 的程序指令； 所述程序指令运行时执行权利要求1至7中任一项所述的数据访问的控制方 法。权　利　要　求　书 2/2 页 3 CN 115048631 A 3