(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 20221094383 5.5 (22)申请日 2022.08.08 (65)同一申请的已公布的文献号 申请公布号 CN 115017485 A (43)申请公布日 2022.09.06 (73)专利权人 北京永洪商智科技有限公司 地址 100190 北京市海淀区中关村南大街5 号二区683号楼1545室 (72)发明人 何春涛　席小丁　姜宏涛　 (74)专利代理 机构 深圳汉林汇融知识产权代理 事务所(普通 合伙) 44850 专利代理师 刘临利 (51)Int.Cl. G06F 21/31(2013.01) G06F 21/60(2013.01)H04L 9/40(2022.01) (56)对比文件 CN 1087125 61 A,2018.10.26 US 2016182527 A1,2016.0 6.23 CN 111814179 A,2020.10.23 审查员 庄湧 (54)发明名称 一种数据权限管控方法及系统 (57)摘要 本发明适用于计算机领域， 提供了一种数据 权限管控方法及系统， 所述方法包括： 获取至少 一个数据权限升级请求， 所述数据权限升级请求 包括升级前后的权限等级； 确定所述数据权限升 级请求对应的至少一个用户的操作水平等级； 若 检测到所述操作水平等级与所述数据权限升级 请求中升级后的权限等级相匹配时， 判断与所述 权限等级相匹配的用户数量； 当与所述权限等级 相匹配的用户数量为多个时， 判断与所述权限等 级相匹配的至少两个用户所在终端之间的距离， 本发明的有益效果在于： 不仅提升了在数据权限 下数据操作的安全性， 而且提高了对 数据权限下 的操作进行安全检测的效率。 权利要求书3页 说明书9页 附图4页 CN 115017485 B 2022.10.25 CN 115017485 B 1.一种数据权限管控方法， 其特 征在于， 所述方法包括： 获取至少一个数据权限升级请求， 所述数据权限升级请求包括升级前后的权限等级； 确定所述数据权限升级请求对应的至少一个用户的操作水平等级； 若检测到所述操作 水平等级与所述数据权限升级请求中升级后的权限等级相匹配时， 判断与所述权限等级相匹配的用户数量； 当与所述权限等级相匹配的用户数量为多个时， 判断与 所述权限等级相匹配的至少两 个用户所在终端之间的距离； 若所述至少两个用户所在终端之间的距离处于预设范围内时， 允许处于预设范围的至 少两个对应用户通过升级后的权限等级对相应关键环节进 行一致性操作， 生成一级操作信 息， 所述一致性操作用于指示对相应关键环 节的操作初始时间差在设定 差值内； 若继续检测到对相应关键环节进行操作的用户与用户所在终端相匹配时， 根据一级操 作信息生成二级操作信息 。 2.根据权利要求1所述的数据权限管控方法， 其特征在于， 所述获取至少一个数据权限 升级请求， 所述数据权限升级请求包括升级前后的权限等级具体包括： 接收至少一个用户输入的数据权限升级请求； 识别所述数据权限升级请求中的请求账户和升级后的权限等级； 判断所述请求账户是否位于权限等级调整的账户白名单中， 若是， 则获取权限等级调 整的账户白名单对应的升级权限等级； 继续判断升级后的权限等级与所述账户白名单对应的升级权限等级是否匹配， 若是， 则标记满足匹配条件的请求账户为第一账户。 3.根据权利要求2所述的数据权限管控方法， 其特征在于， 所述确定所述数据权限升级 请求对应的至少一个用户的操作水平等级具体包括： 获取输入的检测时间段； 获取检测时间段内第 一账户的数据权限操作记录， 所述数据权限操作记录包括关联权 限操作记录和非关联权限操作记录， 所述关联权限操作 记录用于表征第一账户升级前后的 权限等级之间相互关联的权限操作； 提取所述数据权限操作记录中所有的数据权限操作以及对应的数据权限操作评价得 分， 计算所有的数据权限操作的总得分； 判断所述总得分以及关联权限操作记录对应的得分是否分别达到第一得分阈值和第 二得分阈值。 4.根据权利要求3所述的数据权限管控方法， 其特征在于， 所述若检测到所述操作 水平 等级与所述数据权限升级请求中升级后的权限等级相匹配时， 判断与所述权限等级相匹配 的用户数量具体包括： 当所述总得分以及关联权限操作记录对应的得分分别达到第一得分阈值和第二得分 阈值时， 判断所述操作水平等级与所述数据权限升级请求中升级后的权限等级相匹配； 检测所述总得分以及关联权限操作记录对应的得分分别达到第一得分阈值和第二得 分阈值对应的第一账户的数量。 5.根据权利要求1所述的数据权限管控方法， 其特 征在于， 所述方法还 包括： 若至少两个对应用户所在终端所连接局域网的安全等级不低于预设安全等级时， 允许权　利　要　求　书 1/3 页 2 CN 115017485 B 2对应用户基于 升级后的权限等级对相应的非关键环 节进行操作。 6.根据权利要求 4所述的数据权限管控方法， 其特 征在于， 所述方法还 包括： 若至少两个对应用户所在终端之间的距离处于预设阈值距离 内时， 标记 处于预设阈值 距离内的至少两个对应用户为配对用户； 向配对用户所在终端同步发送准备输入的指示并且要求反馈准备完毕的反馈指令； 当在第一设定时长 内接收到至少两个所述反馈指令， 标记至少两个所述反馈指令对应 的终端为第一终端， 第一终端显示开始进行预设时长倒计时的提示， 允许第一终端接 收对 相应关键环 节进行一 致性操作的输入。 7.根据权利要求6所述的数据权限管控方法， 其特征在于， 若继续检测到对相应关键环 节进行操作的用户与用户所在终端相匹配时， 根据一级操作信息生成二级操作信息具体包 括： 建立第一终端之间的信 息管控通道， 所述信 息管控通道用于上报所有第 一终端的工作 信息， 当某个第一终端的工作信息缺失时， 判定该第一终端偏离出电子地图上 的预设目标 区域； 当第一终端未偏离出电子地图上的预设目标区域 时， 允许第 一终端继续接收对相应关 键环节进行一 致性操作的输入； 在第一终端显示开始进行预设时长倒计时的提示 时， 标记第 一终端在电子地图上的具 体位置， 获取 预设目标区域内配对用户在第一终端 进行操作的影 像； 识别所述影像， 若判断配对用户为第一账户的注册使用者， 且配对用户对应的第一终 端为所述注册使用者的限定使用终端时， 根据一级操作信息生成二级操作信息， 所述二级 操作信息为执 行信息或者 准执行信息。 8.一种数据权限管控系统， 其特 征在于， 所述系统包括： 获取模块， 用于获取至少一个数据权限升级请求， 所述数据权限升级请求包括升级前 后的权限等级； 确定模块， 用于确定所述数据权限升级请求对应的至少一个用户的操作水平等级； 匹配和判断模块， 用于若检测到所述操作 水平等级与 所述数据权限升级请求中升级后 的权限等级相匹配时， 判断与所述权限等级相匹配的用户数量； 距离识别模块， 用于当与所述权限等级相匹配的用户数量为多个时， 判断与所述权限 等级相匹配的至少两个用户所在终端之间的距离； 一级操作信息生成模块， 所述一级操作信息生成模块用于： 若所述至少两个用户所在 终端之间的距离处于预设范围内时， 允许 处于预设范围的至少两个对应用户通过升级后的 权限等级对相应关键环节进行一致性操作， 生成一级操作信息， 所述一致性操作用于指示 对相应关键环 节的操作初始时间差在设定 差值内； 二级操作信 息生成模块， 用于若继续检测到对相应关键环节进行操作的用户与用户所 在终端相匹配时， 根据一级操作信息生成二级操作信息 。 9.根据权利要求8所述的数据权限管控系统， 其特 征在于， 所述获取模块包括： 接收单元， 用于接收至少一个用户输入的数据权限升级请求； 识别单元， 用于识别所述数据权限升级请求中的请求账户和升级后的权限等级； 判断和获取单元， 用于判断所述请求账户是否位于权限等级调整的账户白名单中， 若权　利　要　求　书 2/3 页 3 CN 115017485 B 3