CN104216907B - 一种用于提供数据库访问控制的方法、装置与系统 - Google Patents
一种用于提供数据库访问控制的方法、装置与系统 Download PDFInfo
- Publication number
- CN104216907B CN104216907B CN201310217403.7A CN201310217403A CN104216907B CN 104216907 B CN104216907 B CN 104216907B CN 201310217403 A CN201310217403 A CN 201310217403A CN 104216907 B CN104216907 B CN 104216907B
- Authority
- CN
- China
- Prior art keywords
- authorization
- data
- access
- access control
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
- Data Mining & Analysis (AREA)
Abstract
根据本发明的方法与装置提供了一种针对NoSQL数据库或类似数据库的数据访问请求进行访问控制的方案。具体地,根据本发明,在METADATA节点2对客户端的存储位置及授权请求进行认证并为其生成授权访问令牌标识、授权访问令牌与授权访问令牌的验证码,并将授权访问令牌标识、授权访问令牌,可选地,还有授权访问令牌的验证码作为访问控制信息提供给客户端,从而当客户端向USERDATA节点2请求进行数据访问时,USERDATA节点2可以根据该数据访问请求中的访问控制信息执行数据访问控制。本发明解决了目前NoSQL数据库或类似数据库存在的无法对数据访问请求进行访问控制的问题,提高来数据库的安全性。
Description
技术领域
本发明涉及数据库领域,尤其涉及一种提供数据库访问控制的技术。
背景技术
当前的很多数据库,例如NoSQL数据库,几乎没有内置的安全保护机制。即使可以在数据管理层(如元数据管理)执行如认证和授权的安全机制,在物理数据存储器中仍无法进行访问控制信息的传递和执行。
现有的关系数据库的安全性能不能适用于NoSQL数据库。其原因在于NoSQL缺少数据库表的组织和定义以及数据库表同其它表的关系以及它们所包含的列(schema),访问控制无法在一个表格,一列或一行中单独执行。
图1示出NoSQL数据库的架构图。如图1所示示出客户端与NoSQL数据库系统,其中,客户端可以为用户设备(User_Agent)或第三方应用(3rd Party Application),在NoSQL数据库系统包括USERDATA节点USERDAT_1,USERDATA_2,USERDATA_3,及多级别METADATA节点METADATA_1,METADATA_2,METADATA_3,SUPER_METADATA,本领域技术人应理解图1中所示的各部分的数量、级别数仅为示例。
在NoSQL数据库系统中,单个文件可以被分成若干分布在集群中的块,其中,USERDATA节点存储文件数据块的;METADATA节点包含元数据,和数据块的管理信息,还有集群中其所管理的USERDATA节点的列表。一个METADATA节点管理一个或多个USERDATA节点。实施时,可能有几个级别的METADATA节点,比如SUPER_METADATA节点和METADATA节点。当用户设备或第三方应用通过NoSQL数据库访问某个文件的时候,它们会寻找构成一个METADTA节点中的文件的数据块的位置,然后在USERDATA节点上访问数据块。若用户设备或第三方应用若已经知道数据块的位置,则可以直接访问USERDATA节点上的数据块。
当用户或第三方应用向METADATA节点中请求授权访问文件时,METADATA会在认证用户或第三方应用身份后,根据安全策略,检查对文件的访问控制权限(如读,写和删除等)。
然而,当涉及到USERDATA节点上的后续数据块访问时,USERDATA节点无法进行是否授权的判断,从而无法执行访问控制。USERDATA节点无法检查访问的权限并独立对此做出判断的原因在于,USERDATA节点仅能管理那些没有文件概念的数据块。另外,一些NoSQL数据库,比如Google BigTable,并不对其数据库的访问进行任何访问控制。一个未经授权的用户只要知道数据块的位置或者block ID,就有可能访问该数据块。
发明内容
本发明的目的是为NoSQL数据库或类似数据库提供访问控制的方案。具体地,通过在外部数据管理层或相关应用层执行数据访问的授权验证,可以为NoSQL数据库或类似数据提供数据访问控制的安全机制,从而可以拒绝未经授权用户的访问。
根据本发明的第一实施例,提供了一种用于对数据访问进行管理的方法,其中,包括以下步骤:
-接收来自客户端的存储位置及授权请求,用于请求待访问文件的数据块的存储位置和相应的授权访问控制信息;
-基于所述存储位置及授权请求确定待访问数据块的存储位置;
-基于所述存储位置与授权请求对该存储位置及授权请求进行认证;
-当对该存储位置及授权请求的认证通过,生成基于该存储位置及授权请求的授权访问控制信息;
-将所请求的数据块的存储位置以及所述对应的授权访问控制信息提供给所述客户端。
优选地,该方法还包括:
-接收来自数据存储装置的验证请求,其中,该验证请求用于请求对来自客户端的数据访问请求进行验证;
-根据从所述验证请求中提取出的来自该客户端的授权访问控制信息,对该验证请求进行验证;
-当验证通过,向所述数据存储装置发送验证通过消息。
根据本发明的第二实施例,提供了-接收来自客户端的数据访问请求,该数据访问请求包括待访问的数据块的存储位置以及对应的授权访问控制信息;
-从来自客户端的数据访问请求中获取待访问数据块的存储位置信息、授权访问控制信息及访问控制权限;
-根据从所述数据访问请求中提取出的授权访问控制信息,对该数据访问请求进行验证;
-当验证通过,根据该数据访问请求中的待访问数据块的存储位置与访问控制权限来对所述待访问的数据块执行相应的访问操作。
根据本发明的第三实施例,提供了一种用于对数据访问进行管理的数据库管理装置,其中,包括:
第一接收装置(201),用于接收来自客户端的存储位置及授权请求,用于请求待访问文件的数据块的存储位置和相应的授权访问控制信息;
确定装置,用于基于所述存储位置及授权请求来确定待访问数据块的存储位置;
认证装置(202),用于基于所述存储位置与授权请求对该存储位置及授权请求进行认证;
授权生成装置(203),用于当对该存储位置与授权请求的认证通过,生成基于该存储位置及授权请求的授权访问控制信息;
第一响应装置(204),用于将所请求的数据块的存储位置以及所述对应的授权访问控制信息提供给所述客户端。
优选地,该数据库管理装置还包括:
第二接收装置,用于接收来自数据存储装置的验证请求,其中,该验证请求用于请求对来自客户端的数据访问请求进行验证;
第一验证装置,用于根据从所述验证请求中提取出的来自该客户端的授权访问控制信息,对该验证请求进行验证;
第三响应装置,用于当验证通过,向所述数据存储装置发送验证通过消息。
根据本发明的第四实施例,提供了一种用于提供数据访问的数据存储装置,其中,该方法包括
第二接收装置,用于接收来自客户端的数据访问请求,该数据访问请求包括待访问的数据块的存储位置以及对应的授权访问控制信息;
获取装置,用于从来自客户端的数据访问请求中获取待访问数据块的存储位置信息、授权访问控制信息及访问控制权限;
第二验证装置,用于根据从所述数据访问请求中提取出的授权访问控制信息,对该数据访问请求进行验证;
访问操作装置,用于当验证通过,根据该数据访问请求中的待访问数据块的存储位置与访问控制权限来对所述待访问的数据块执行相应的访问操作。
根据本发明的第五实施例,提供了一种用于提供数据访问的数据库系统,其中,该数据库系统包括一个或多个根据前述第三方面的数据库管理装置以及一个或多个根据前述第四方面的数据存储装置。
现有的NoSQL数据库或类似数据库分为两个实体,METADATA节点与USERDATA节点,其中USERDATA节点无法对来自客户端的数据访问进行访问授权验证,从而无法实现访问控制。具体地,根据本发明,在METADATA节点对客户端的存储位置及授权请求进行认证并为其生成授权访问令牌标识、授权访问令牌与授权访问令牌验证码,并将包含授权访问令牌标识、授权访问令牌与授权访问令牌验证码的授权访问控制信息提供给客户端,从而当客户端向USERDATA节点请求进行数据访问时,USERDATA节点可以根据该数据访问请求中的授权访问控制信息执行授权验证,解决了目前NoSQL数据库或类似数据库存在的无法对数据访问请求进行授权访问控制的问题,提高来数据库的安全性。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1示出NoSQL数据库的架构图;
图2示出根据本发明一个实施例的应用场景图;
图3示出根据本发明一个实施例的用于为数据库提供授权访问控制的方法流程图;
图4示出根据本发明另一个实施例的用于为数据库提供授权访问控制的方法示意图;
图5示出根据本发明一个实施例的用于为数据库提供授权访问控制的装置示意图;
图6示出根据本发明另一个实施例的用于为数据库提供授权访问控制的装置示意图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本发明作进一步详细描述。
图2示出根据本发明一个实施例的应用场景示意图,其中包括客户端UCDClient1,NoSQL数据库系统或类似数据库系统的METADATA节点,其中示出一个数据管理装置METADATA_1,与USERDATA节点,其中包括两个由数据管理装置METADATA_1管理的数据存储装置UCD Storage Node,USERDAT_1,USERDATA_23。
图3示出根据本发明一个实施例的为数据库提供授权访问控制的方法示意图。以下参考图3并结合图2来进行详细描述:
在步骤S301中,客户端1向数据库管理装置2发送存储位置及授权请求,用于请求获取待访问文件的数据块的存储位置和访问权限。以下通过两个示例来说明该存储位置及授权请求:
示例1,客户端1为用户设备。在此实例中,用户设备向数据库管理装置发送的存储位置及授权请求的格式如下所示:
Request_Authorization(user_name/user_id,user_credential,metadata_node_name,file_name/file_id,……)
其中:
Request_Authorization为该存储位置及授权请求;
user_name为用户名;
user_id为用户标识;
user_credential为用户认证凭证,例如可为用户密钥或证书等;
metadata_node_name为要发送该请求的数据库管理装置的名称;
file_name为待访问文件的文件名;
file_id为待访问文件的文件标识;
示例2,客户端1为第三方应用。在此实例中,第三方应用向数据库管理装置发送的存储位置及授权请求的格式如下所示:
Request_Authorization(application_name/application_id,application_credential,metadata_node_name,file_name/file_id,user_authorization_grant,……)
其中:
Request_Authorization为该存储位置及授权请求;
application_name为第三方应用名称;
application_id为第三方应用标识;
application_credential为第三方应用认证凭证,例如可为第三方应用密钥或证书等;
metadata_node_name为要发送该请求的数据库管理装置的名称;
file_name为待访问文件的文件名;
file_id为待访问文件的文件标识;
user_authorization_grant包括但不限于RFC6749协议中定义的AuthrozationGrant(授权许可)。
随后,在步骤S302中,数据库管理装置2基于该存储位置及授权请求对该存储位置及授权请求进行认证,并且当对所述存储位置及授权请求的认证通过后,生成基于该存储位置及授权请求的授权访问控制信息,该授权访问控制信息包括授权访问令牌标识、授权访问令牌以及授权访问令牌验证码。
另外,数据库管理装置2可以,在对该存储位置及授权请求进行认证之前或当对所述存储位置及授权请求的认证通过后,基于所述存储位置及授权请求确定待访问数据块的存储位置。
本领域技术人员应理解现有技术中各种对数据访问请求进行认证的方案均可适用于本发明,并应包含于本申请保护范围中。以下通过一个示例来对生成授权访问控制信息的过程进行说明:
示例3,授权访问控制信息的格式如下所示:
Access_Token={TokenID,Token,Token_UCD}
其中,Access_Token为授权访问控制信息;
Token为授权访问令牌;
TokenID为授权访问令牌标识;
Token_UCD为授权访问令牌验证码;
数据库管理装置2根据文件拥有者标识、数据块标识、认证期限信息及访问方式等信息来生成授权访问令牌,其格式如下所示:
Token={ownerID,[,applicationID,]blockID,expirationIn,access_methods}
其中,owerID为文件拥有者标识;blockID为数据块ID;expirationIn为认证期限信息,access_method为访问方式信息,包括但不限于创建、读取、更新、删除、写入,复制、替换等。其中,applicationID是可选的,即如果是第三方应用去访问用户数据,则需要该applicationID。
其中,数据库管理装置2通过对所生成的授权访问令牌标识、授权访问令牌以及所确定存储有待访问文件数据块的数据存储装置的存储装置密钥进行散列处理,来获得授权访问令牌验证码,其格式如下所示:
Token_UCD=HMAC(TokenID,Token,USERDATA_key)
其中,USERDATA_key为存储装置密钥,数据库管理装置将为存储装置密钥发送给对应的数据存储装置。一般地,同属于一个数据库管理装置2的多个数据存储装置共享一个相同的存储装置密钥,优选地,多个数据存储装置也可有不同的存储装置密钥。该存储装置密钥可以是固定的,优选地,也可根据运营管理策略来周期性更新的。
在步骤S303中,数据库管理装置2将包含待访问数据块的存储位置信息以及所生成的对应的授权访问控制信息的存储位置及授权响应消息发送给客户端1。以下通过两个示例来说明发送授权访问控制信息的过程:
示例4,客户端1为用户设备:
数据库管理装置2将包含待访问数据块的存储位置信息以及对应的授权访问控制信息的存储位置及授权响应消息发送给客户端1,其中存储位置及授权响应消息格式如下:
Response_Authorization(user_name/user_id,list_of_blockIDs/block_locations,Access_Token,……)
其中,Response_Authorization为存储位置及授权响应消息;
list_of_blockIDs为待访问数据块标识列表;
blocks_locations为待访问数据块的存储位置信息;
Access_Token为授权访问控制信息。
示例5,客户端1为第三方应用:
其中,数据库管理装置2将存储位置及授权响应消息中发送给客户端1,其中,该存储位置及授权响应消息包含待访问数据块的存储位置信息以及所生成的对应的授权访问控制信息。该存储位置及授权响应消息的格式如下所示:
Response_Authorization(application_name/application_id,list_of_blockIDs/block_locations,Access_Token[,refresh_token],……)
其中,
Response_Authorization为存储位置及授权响应消息;
list_of_blockIDs为待访问数据块标识列表;
blocks_locations为待访问数据块的存储位置信息;
Access_Token为授权访问控制信息;
其中,refresh_token是可选的,其为RFC6749协议中定义的Refresh Token。
在步骤S304中,当接收到来自数据库管理装置2的存储位置及授权响应消息,客户端1向数据存储装置3发起数据访问请求,用以请求访问数据块,该数据访问请求中包含由数据库管理装置2反馈的响应消息中提取的待访问数据块的存储位置信息以及授权访问控制信息。以下通过一个示例来进行说明:
示例6,客户端1发送的数据访问请求的格式如下:
Request_Resource(ucd_client_name/ucd_client_id,blockID,Access_Token,……)
其中:
Request_Resource为数据访问请求;
Ucd_client_name为客户端名称,该客户端可代表用户也可以代表第三方应用;
Ucd_client_id为客户端标识,该客户端可代表用户也可以代表第三方应用;
BlockID为待访问的数据块的标识;
Access_Token为对应的授权访问控制信息。
在步骤S305中,当接收到来自客户端1的数据访问请求后,数据存储装置3从该数据访问请求中获取待访问数据块的存储位置信息、授权访问控制信息与访问控制权限;
在步骤S306中,数据存储装置3根据该授权访问控制信息,来对来自客户端1的该数据访问请求进行验证。以下通过几个示例来对验证过程进行说明:
示例7,在步骤S302中,数据库管理装置2针对客户端1的存储位置及授权请求生成授权访问控制信息,其中包括授权访问令牌标识、授权访问令牌与根据预定散列算法对该授权访问令牌标识、授权访问令牌与存储待访问数据块的数据存储装置的存储装置密钥USERDATA_key进行散列处理获得的第一授权访问令牌验证码,如下式所示:
Token_UCD=HMAC(TokenID,Token,USERDATA_key)
其中,Token_UCD为第一授权访问令牌验证码;
Token为数据库管理装置2生成的授权访问令牌;
TokenID为该授权访问令牌标识;
USERDATA_key为数据存储装置的存储装置密钥;
而在步骤S306中,数据存储装置3通过同样散列算法来对验证请求中的授权访问令牌标识、授权访问令牌及数据存储装置的存储装置密钥USERDATA_key进行散列处理,获得第二授权访问令牌验证码,如下式所示:
Token_UCD’=HMAC(TokenID,Token,USERDATA_key)
其中,Token_UCD’为第二授权访问令牌验证码;
Token为验证请求中的授权访问令牌;
Token为该授权访问令牌标识
USERDATA_key为数据存储装置的存储装置密钥;
最后,通过比较第一与第二授权访问令牌验证码来对该请求进行验证,两者如果相同,则确定验证通过。
示例8,在步骤S306中,数据存储装置3还可验证发放该授权访问控制信息的数据库管理装置是否可信。因为只有数据存储装置3和发放该授权访问控制信息的数据库管理装置共享密钥USERDATA_key,如果数据存储装置3能根据共享密钥USERDATA_key验证授权访问控制信息,即可认为该数据库管理装置是可信的。再例如,来自客户端的数据访问请求中包含发放该访问控制信息的数据库管理装置的标识,数据存储装置3可提取该数据库管理装置的标识,并将其与预存的受信任列表进行比较来验证。
最后,在步骤S307中,当验证通过,数据存储装置3根据由来自客户端的授权访问控制信息获取的数据块存储位置以及相应的访问控制权限,来对待访问的数据块执行相应的访问操作,该访问操作包括但不限于创建、读取、更新、删除、写入、复制、与替换等。
在一个优选实施例中,来自客户端的数据访问请求的授权访问控制信息中仅包含授权访问令牌标识,在步骤S308(未示出),数据存储装置3向数据库管理装置2发送权限请求消息,其中,该请求消息包括该授权访问令牌标识,用于请求该授权访问令牌标识对应的访问控制权限;
接收到来自数据存储装置3的权限请求消息后,在步骤309(未示出),数据管理装置2根据该授权访问令牌标识来查询与之对应的访问控制权限,然后将查询到的访问控制权限发送给数据存储装置3。
在另一优选实施例中,在步骤S302中,数据库管理装置2生成授权访问控制信息,并利用其自身及其管理的数据存储装置3已知的密钥及加密算法对该授权访问控制信息进行加密,然后将包含加密后的授权访问控制信息的授权响应信息发送给客户端1。
而在步骤S305中,数据存储装置3从来自客户端1的数据访问请求中提取出加密的授权访问控制信息,然后采用所述已知的密钥及对应的解密算法对其进行解密,获得解密后的授权访问控制信息。
在另一优选实施例中,在上述涉及客户端1与数据库管理装置2,及客户端1与数据存储装置3之间的通信均基于传输层安全协议(TLS),以确保信息传输的安全。
图4示出根据本发明的另一个优选实施例的为数据库提供访问控制的方法示意图。以下参照图4并结合图2与3来对该优选实施例进行详细描述:
其中,步骤S401至S405与图3所示步骤S301至S305相同,在此为简明起见,以引用方式包含于此,不做赘述;
在步骤S406中,数据存储装置3向数据库管理装置2发送验证请求,用于请求对来自客户端1的该数据访问请求进行验证,该验证请求中包含所获取的授权访问控制信息;
在步骤S407中,当接收到来自数据存储装置3的验证请求,数据库管理装置2对该验证请求进行验证。下面通过一个示例来对该验证过程进行说明:
示例10,在步骤S402中,针对客户端1的存储位置及授权请求生成授权访问控制信息,其中包括授权访问令牌标识、授权访问令牌与根据预定散列算法对该授权访问令牌标识、授权访问令牌与存储待访问数据块的数据存储装置的存储装置密钥USERDATA_key进行散列处理获得的第一授权访问令牌验证码,其中,Token_UCD为第一授权访问令牌验证码;
Token为数据库管理装置2生成的授权访问令牌;
TokenID为授权访问令牌标识;
USERDATA_key为数据存储装置的存储装置密钥;
在步骤S407中,数据库管理装置2通过同样散列算法来对验证请求中的授权访问令牌标识、授权访问令牌及数据存储装置的存储装置密钥USERDATA_key进行散列处理,获得第二授权访问令牌验证码,,如下式所示:
Token_UCD’=HMAC(TokenID,Token,USERDATA_key)
其中,Token_UCD’为第二授权访问令牌验证码;
Token为数据库管理装置2生成的授权访问令牌;
TokenID为该授权访问令牌标识;
USERDATA_key为数据存储装置的存储装置密钥;
最后,通过比较第一与第二授权访问令牌验证码来对该验证请求进行验证,两者如果相同,则确定验证通过。
在步骤S408中,当对该验证请求的验证通过,数据库管理装置2向数据存储装置发送验证通过消息;
在步骤S409中,当接收到来自数据库管理装置2的验证通过消息,数据存储装置3根据来自客户端1的待访问数据块的存储位置以及对应的访问控制权限,来对待访问的数据块执行相应的访问操作,该访问操作包括但不限于创建、读取、更新、删除、写入、复制、与替换等。
在一个优选实施例中,来自客户端的数据访问请求的授权访问控制信息中仅包含授权访问令牌标识,在步骤S410(未示出),数据存储装置3向数据库管理装置2发送权限请求消息,其中,该请求消息包括该授权访问令牌标识,用于请求该授权访问令牌标识对应的访问控制权限;
接收到来自数据存储装置3的权限请求消息后,在步骤411(未示出),数据管理装置2根据该授权访问令牌标识来查询与之对应的访问控制权限,然后将查询到的访问控制权限发送给数据存储装置3。
需要注意,以上描述中步骤的标号仅为说明使用,并不应理解为对各步骤之间先后顺序的进行任何限制。
图5示出根据本发明一个实施例的为数据库提供授权访问控制的系统示意图,其中包括客户端1、数据库管理装置与数据存储装置的框图。以下参考图5并结合图2来进行详细描述:
客户端1(未示出)向数据库管理装置2发送存储位置及授权请求,用于请求获取待访问文件的数据块的存储位置和访问权限。以下通过两个示例来说明该存储位置及授权请求:
示例11,客户端1为用户设备。在此实例中,用户设备向数据库管理装置2发送的存储位置及授权请求的格式如下所示:
Request_Authorization(user_name/user_id,user_credential,metadata_node_name,file_name/file_id,……)
其中:
Request_Authorization为该存储位置及授权请求;
user_name为用户名;
user_id为用户标识;
user_credential为用户认证凭证,例如可为用户密钥或证书等;
metadata_node_name为要发送该请求的数据库管理装置的名称;
file_name为待访问文件的文件名;
file_id为待访问文件的文件标识;
示例12,客户端1为第三方应用。在此实例中,第三方应用向数据库管理装置2发送的存储位置及授权请求的格式如下所示:
Request_Authorization(application_name/application_id,application_credential,metadata_node_name,file_name/file_id,user_authorization_grant,……)
其中:
Request_Authorization为该存储位置及授权请求;
application_name为第三方应用名称;
application_id为第三方应用标识;
application_credential为第三方应用认证凭证,例如可为第三方应用密钥或证书等;
metadata_node_name为要发送该请求的数据库管理装置的名称;
file_name为待访问文件的文件名;
file_id为待访问文件的文件标识;
user_authorization_grant包括但不限于RFC6749协议中定义的AuthrozationGrant(授权许可)。
数据库管理装置2中,第一接收装置201接收到来自客户端的用于请求待访问文件的数据块的存储位置和相应的授权访问控制信息的存储位置及授权请求后,认证装置202对该存储位置及授权请求进行认证。
在认证通过后,授权生成装置203对该存储位置及授权请求生成对应的授权访问控制信息,该授权访问控制信息包括授权访问令牌标识、授权访问令牌以及授权访问令牌验证码。
另外,数据库管理装置2的确定装置(未示出)可以,在对该存储位置及授权请求进行认证之前或当对所述存储位置及授权请求的认证通过后,基于所述存储位置及授权请求确定待访问数据块的存储位置。
本领域技术人员应理解现有技术中各种认证技术均可适用于本发明,并应包含于本申请保护范围中。
以下通过一个示例来对授权生成装置203生成授权访问控制信息的过程进行说明:
示例13,授权访问控制信息的格式如下所示:
Access_Token={TokenID,Token,Token_UCD}
其中,Access_Token为授权访问控制信息;TokenID为授权访问令牌;TokenID为授权访问令牌标识;Token_UCD为授权访问令牌验证码;
其中,授权生成装置203根据文件拥有者标识、数据块标识、认证期限信息及访问方式等信息来生成授权访问令牌,其格式如下所示:
Token={ownerID,[,applicationID,]blockID,expirationIn,access_methods}
其中,owerID为文件拥有者标识;blockID为数据块ID;expirationIn为认证期限信息,access_method为访问方式信息,包括但不限于创建、读取、更新、删除、写入,复制、替换等。其中,applicationID是可选的,即如果是第三方应用去访问用户数据,则需要该applicationID。
其中,授权生成装置203通过对所生成的授权访问令牌标识、授权访问令牌以及所确定存储有待访问文件数据块的数据存储装置的存储装置密钥进行散列处理,来获得授权访问令牌验证码,其格式如下所示:
Token_UCD=HMAC(TokenID,Token,USERDATA_key)
其中,USERDATA_key为存储装置密钥,数据库管理装置2将为存储装置密钥发送给对应的数据存储装置。一般地,同属于一个数据库管理装置2的多个数据存储装置共享一个相同的存储装置密钥,优选地,多个数据存储装置也可有不同的存储装置密钥。该存储装置密钥可以是固定的,优选地,也可根据运营管理策略来周期性更新的。
数据库管理装置2中的第一响应装置204将客户端1请求访问的数据块的存储位置信息以及生成的对应的授权访问控制信息置于存储位置及授权响应消息中发送给客户端1。以下通过两个示例来说明发送授权访问控制信息的过程:
示例14,客户端1为用户设备:
第一响应装置204将包含待访问数据块的存储位置信息以及对应的授权访问控制信息的存储位置及授权响应消息发送给客户端1,其中存储位置及授权响应消息格式如下:
Response_Authorization(user_name/user_id,list_of_blockIDs/block_locations,Access_Token,……)
其中,Response_Authorization为存储位置及授权响应消息;
list_of_blockIDs为待访问数据块标识列表;
blocks_locations为待访问数据块的存储位置信息;
Access_Token为授权访问控制信息。
示例15,客户端1为第三方应用:
其中,第一响应装置204将存储位置及授权响应消息发送给客户端1,其中,该存储位置及授权响应消息包含待访问的数据块的存储位置信息以及所生成的对应的授权访问控制信息。该存储位置及授权响应消息的格式如下所示:
Response_Authorization(application_name/application_id,list_of_blockIDs/block_locations,Access_Token[,refresh_token],……)
其中,
Response_Authorization为存储位置及授权响应消息;
list_of_blockIDs为待访问数据块标识列表;
blocks_locations为待访问数据块的存储位置信息;
Access_Token为授权访问控制信息;
其中,refresh_token是可选的,其为RFC6749协议中定义的Refresh Token。
当接收到来自数据库管理装置2的响应消息,客户端1向数据存储装置3发起数据访问请求,用以请求访问数据块,该数据访问请求中包含由数据库管理装置2反馈的响应消息中提取的数据块存储位置信息以及授权访问控制信息。以下通过一个示例来进行说明:
示例16,客户端1发送的数据访问请求的格式如下:
Request_Resource(ucd_client_name/ucd_client_id,blockID,Access_Token,……)
其中:
Request_Resource为数据访问请求;
Ucd_client_name为客户端名称,该客户端可代表用户也可以代表第三方应用;
Ucd_client_id为客户端标识,该客户端可代表用户也可以代表第三方应用;
BlockID为待访问的数据块的标识;
Access_Token为对应的授权访问控制信息。
在数据存储装置3中,当其第四接收装置301接收到来自客户端1的数据访问请求后,获取装置302从该数据访问请求中获取授权访问控制信息及访问控制权限;
随后,数据存储装置3的第二验证装置303根据该授权访问控制信息,来对来自客户端1的该数据访问请求进行验证。以下通过几个示例来对该验证过程进行说明:
示例17,如上所述,数据库管理装置2中,授权生成装置203针对客户端1的存储位置及授权请求生成授权访问控制信息,其中包括授权访问令牌标识、授权访问令牌与根据预定散列算法对该授权访问令牌标识、授权访问令牌与存储待访问数据块的数据存储装置的存储装置密钥USERDATA_key进行散列处理获得的第一授权访问令牌验证码,如下式所示:
Token_UCD=HMAC(TokenID,Token,USERDATA_key)
其中,Token_UCD为第一授权访问令牌验证码;
Token为数据库管理装置2生成的授权访问令牌;
TokenID为该授权令牌的令牌标识;
USERDATA_key为对应的数据存储装置的存储装置密钥;
而在数据存储装置3中,第二验证装置303通过同样的散列算法来对验证请求中的授权访问令牌标识、授权访问令牌及数据存储装置的存储装置密钥USERDATA_key进行散列处理,获得第二授权访问令牌验证码,如下式所示:
Token_UCD’=HMAC(TokenID,Token,USERDATA_key)
其中,Token_UCD’为第二授权访问令牌验证码;
Token为验证请求中的授权访问令牌;
TokenID为该授权令牌的令牌标识;
USERDATA_key为数据存储装置的存储装置密钥;
最后,通过比较第一与第二授权访问令牌验证码来对该请求进行验证,两者如果相同,则确定验证通过。
示例18,在数据存储装置3中,第二验证装置303还可验证发放该授权访问控制信息的数据库管理装置是否可信。因为只有数据存储装置3和发放该授权访问控制信息的数据库管理装置共享密钥USERDATA_key,如果数据存储装置3能根据共享密钥USERDATA_key验证授权访问控制信息,即可认为该数据库管理装置是可信的。再例如,来自客户端的数据访问请求中包含发放该访问控制信息的数据库管理装置的标识,第二验证装置303可通过将提取出的该数据库管理装置的标识与预存的受信任列表进行比较来验证。
最后,当验证通过,数据存储装置3的访问操作装置304根据由来自客户端1的授权访问控制信息获取的数据块存储位置以及相应的访问控制权限,来对待访问的数据块执行相应的访问操作,该访问操作包括但不限于创建、读取、更新、删除、写入、复制、与替换等。
在一个优选实施例中,来自客户端的数据访问请求的授权访问控制信息中仅包含授权访问令牌标识,在数据存储装置3中,获取装置302的权限请求模块3021(未示出)向数据库管理装置2发送权限请求消息,其中,该权限请求消息包括该授权访问令牌标识,用于请求该授权访问令牌标识对应的访问控制权限;
在数据库管理装置2中,当第三接收装置208(未示出)接收到来自数据存储装置3的权限请求消息后,权限查询装置209(未示出)根据该授权访问令牌标识来查询与之对应的访问控制信息,然后第三响应装置210(未示出)将查询到的访问控制权限发送给数据存储装置3。
在另一优选实施例中,数据库管理装置2的授权生成装置203包括授权生成模块2031(未示出)与加密模块2032(未示出)。其中,授权生成模块2031生成授权访问控制信息,随后,加密模块2032利用其自身及其管理的数据存储装置3已知的预定密钥及加密算法对该授权访问控制信息进行加密,然后第一响应装置204将包含加密后的授权访问控制信息的存储位置及授权响应消息发送给客户端1。
而在数据存储装置3中,获取装置302从来自客户端1的数据访问请求中提取出加密的授权访问控制信息,然后采用所述已知的密钥及对应的解密算法对其进行解密,获得解密后的授权访问控制信息。
在另一优选实施例中,在上述涉及客户端1与数据库管理装置2,及客户端1与数据存储装置3之间的通信均基于传输层安全协议(TLS),以确保信息传输的安全。
图6示出根据本发明的另一个优选实施例的为数据库提供访问控制的方法示意图。以下参照图6并结合图2与3来对该优选实施例进行详细描述:
其中,图6中所示的数据库管理装置2的确定装置(未示出)、第一接收装置201’、认证装置202’、授权生成装置203’、第一响应装置204’以及数据存储装置3的第四接收装置301’与获取装置302’的操作过程与图5所示数据库管理装置2的确定装置(未示出)、第一接收装置201、认证装置202、授权生成装置203、第一响应装置204以及数据存储装置3的第四接收装置301与获取装置302的操作过程相同,在此为简明起见,以引用方式包含于此,不做赘述;
如图6所示,在数据存储装置3中,第二验证装置303’包括验证请求模块3031’与验证接收模块3032’,验证请求模块3031’向数据库管理装置2发送验证请求,用于请求对来自客户端1的该数据访问请求进行验证,该验证请求中包含所获取的授权访问控制信息;
在数据库管理装置2中,当第二接收装置205’接收到来自数据存储装置3的验证请求,第一验证装置206’对该验证请求进行验证。下面通过一个示例来对该验证过程进行说明:
示例20,在数据库管理装置2中,授权生成装置203’针对客户端1的存储位置及授权请求生成授权访问控制信息,其中包括授权访问令牌标识、授权访问令牌与根据预定散列算法对授权访问令牌标识、该授权访问令牌与存储待访问数据块的数据存储装置的存储装置密钥USERDATA_key进行散列处理获得的第一授权访问令牌验证码,其中,Token_UCD为第一授权访问令牌验证码,如下式所示:
Token_UCD=HMAC(TokenID,Token,USERDATA_key)
其中,Token_UCD为第一授权访问令牌验证码;
Token为生成的授权访问令牌;
TokenID为授权令牌的令牌标识;
USERDATA_key为对应的数据存储装置的存储装置密钥;
在此,第一验证装置206’通过同样散列算法来对验证请求中的授权访问令牌标识、授权访问令牌及数据存储装置的存储装置密钥USERDATA_key进行散列处理,获得第二授权访问令牌验证码,,如下式所示:
Token_UCD’=HMAC(TokenID,Token,USERDATA_key)
其中,Token_UCD’为第二授权访问令牌验证码;
Token为来自数据存储装置3的验证请求中的授权访问令牌;
TokenID为授权访问令牌标识;
USERDATA_key为数据存储装置的存储装置密钥;
最后,第一验证装置206’通过比较第一与第二授权访问令牌验证码来对该验证请求进行验证,两者如果相同,则确定验证通过。
在第一验证装置206’当对该验证请求的验证通过,数据库管理装置2的第二响应装置207’向数据存储装置3发送验证通过消息;
在数据存储装置3中,当验证接收模块3032’接收到来自数据库管理装置2的验证通过消息后,数据存储装置3的访问操作装置304’根据来自客户端1的待访问数据块的存储位置以及对应的访问控制权限,来对待访问的数据块执行相应的访问操作,该访问操作包括但不限于创建、读取、更新、删除、写入、复制、与替换等。
在一个优选实施例中,来自客户端的数据访问请求的授权访问控制信息中仅包含授权访问令牌标识,在数据存储装置3中,获取装置302’的权限请求模块3021’(未示出)向数据库管理装置2发送权限请求消息,其中,该权限请求消息包括该授权访问令牌标识,用于请求该授权访问令牌标识对应的访问控制权限;
在数据库管理装置2中,当第三接收装置208’(未示出)接收到来自数据存储装置3的权限请求消息后,权限查询装置209’(未示出)根据该授权访问令牌标识来查询与之对应的访问控制权限,然后第三响应装置210’(未示出)将查询到的访问控制权限发送给数据存储装置3。
需要注意的是,本发明可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本发明的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本发明的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本发明的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (15)
1.一种用于对数据访问进行管理的方法,其中,包括以下步骤:
-接收来自客户端的存储位置及授权请求,用于请求待访问文件的数据块的存储位置和相应的授权访问控制信息;
-基于所述存储位置及授权请求确定待访问数据块的存储位置;
-基于所述存储位置与授权请求对该存储位置及授权请求进行认证;
-当对该存储位置及授权请求的认证通过,生成基于该存储位置及授权请求的授权访问控制信息,其中,所述授权访问控制信息包括授权访问令牌标识、授权访问令牌以及授权访问令牌验证码,所述授权访问令牌验证码基于所生成的授权访问令牌标识、授权访问令牌以及所确定的存储有所述待访问文件的数据块的数据存储装置的存储装置密钥进行散列处理后生成;
-将所请求的数据块的存储位置以及对应的所述授权访问控制信息提供给所述客户端。
2.根据权利要求1所述的方法,其中,该方法还包括:
-接收来自数据存储装置的验证请求,其中,该验证请求用于请求对来自客户端的数据访问请求进行验证;
-根据从所述验证请求中提取出的来自该客户端的授权访问控制信息,对该验证请求进行验证;
-当验证通过,向所述数据存储装置发送验证通过消息。
3.根据权利要求1或2所述方法,其中,所述生成授权访问控制信息的步骤包括:
-当对该存储位置及授权请求的认证通过,生成基于该存储位置及授权请求的授权访问控制信息;
-对所生成授权访问控制信息进行加密,以获得加密后的授权访问控制信息;
其中,所述将所请求的数据块的存储位置以及对应的所述授权访问控制信息提供给所述客户端的步骤包括:
-将所请求的数据块的存储位置以及对应的所述加密后的授权访问控制信息提供给所述客户端。
4.根据权利要求1或2所述的方法,其中,该方法还包括:
-接收来自数据存储装置的访问控制权限请求,其中包括授权访问令牌标识,用于请求与该令牌标识对应的访问控制权限;
-根据该访问控制权限请求中的令牌标识查询与之对应的访问控制权限;
-将访问控制权限发送给所述数据存储装置。
5.一种用于提供数据访问的方法,其中,该方法包括:
-接收来自客户端的数据访问请求,该数据访问请求包括待访问的数据块的存储位置以及对应的授权访问控制信息;
-从来自客户端的数据访问请求中获取待访问数据块的存储位置信息、授权访问控制信息及访问控制权限;
-根据从所述数据访问请求中提取出的授权访问控制信息,对该数据访问请求进行验证,其中,所述授权访问控制信息包括授权访问令牌标识、授权访问令牌以及授权访问令牌验证码,所述授权访问令牌验证码基于所生成的授权访问令牌标识、授权访问令牌以及所确定的存储有待访问文件的数据块的数据存储装置的存储装置密钥进行散列处理后生成;
-当验证通过,根据该数据访问请求中的待访问数据块的存储位置与访问控制权限来对所述待访问的数据块执行相应的访问操作。
6.根据权利要求5所述的方法,其中,所述对该数据访问请求进行验证的步骤包括:
-发送验证请求给数据库管理装置,其中,该验证请求包含由所述数据访问请求中提取的授权访问控制信息;
-接收来自数据库管理装置的验证通过消息;
其中,所述根据该数据访问请求中的待访问数据块的存储位置与访问控制权限来对所述待访问的数据块执行相应的访问操作的步骤包括:
-当接收到来自数据库管理装置的验证通过消息时,根据该数据访问请求中的待访问数据块的存储位置与对应的访问控制权限来对所述待访问的数据块执行相应的访问操作。
7.根据权利要求5至6中任一项所述的方法,其中,所述从来自客户端的数据访问请求中获取待访问数据块的存储位置信息、授权访问控制信息及访问控制权限的步骤还包括:
-向数据库管理装置发送权限请求消息,其中,该请求消息包括该令牌标识,用于请求该令牌标识对应的访问控制权限;
-接收来自数据库管理装置的请求响应消息,其中包含该令牌标识对应的访问控制权限。
8.一种用于对数据访问进行管理的数据库管理装置,其中,包括:
第一接收装置(201),用于接收来自客户端的存储位置及授权请求,用于请求待访问文件的数据块的存储位置和相应的授权访问控制信息;
确定装置,用于基于所述存储位置及授权请求来确定待访问数据块的存储位置;
认证装置(202),用于基于所述存储位置与授权请求对该存储位置及授权请求进行认证;
授权生成装置(203),用于当对该存储位置与授权请求的认证通过,生成基于该存储位置及授权请求的授权访问控制信息,其中,所述授权访问控制信息包括授权访问令牌标识、授权访问令牌以及授权访问令牌验证码,所述授权访问令牌验证码基于所生成的授权访问令牌标识、授权访问令牌以及所确定的存储有所述待访问文件的数据块的数据存储装置的存储装置密钥进行散列处理后生成;
第一响应装置(204),用于将所请求的数据块的存储位置以及对应的所述授权访问控制信息提供给所述客户端。
9.根据权利要求8所述的数据库管理装置,其中,该数据库管理装置还包括:
第二接收装置(205),用于接收来自数据存储装置的验证请求,其中,该验证请求用于请求对来自客户端的数据访问请求进行验证;
第一验证装置(206),用于根据从所述验证请求中提取出的来自该客户端的授权访问控制信息,对该验证请求进行验证;
第二响应装置(207),用于当验证通过,向所述数据存储装置发送验证通过消息。
10.根据权利要求8或9所述的数据库管理装置,其中,所述授权生成装置(203)包括:
授权生成模块(2031),用于当对该存储位置及授权请求的认证通过,生成基于该存储位置及授权请求的授权访问控制信息;
加密模块(2032),用于利用预定密钥对所生成授权访问控制信息进行加密,以获得加密后的授权访问控制信息;
其中,第一响应装置(204)还用于将所请求的数据块的存储位置以及对应的所述加密后的授权访问控制信息提供给所述客户端。
11.根据权利要求8或9所述的数据库管理装置,其中,所述数据库管理装置还包括:
第三接收装置(208),用于接收来自数据存储装置的访问控制权限请求,其中包括授权访问令牌标识,用于请求与该令牌标识对应的访问控制权限;
权限查询装置(209),用于根据该访问控制权限请求中的令牌标识查询与之对应的访问控制权限;
第三响应装置(210),用于将访问控制权限发送给所述数据存储装置。
12.一种用于提供数据访问的数据存储装置,其中,该方法包括:
第四接收装置(301,301’),用于接收来自客户端的数据访问请求,该数据访问请求包括待访问数据块的存储位置以及对应的授权访问控制信息;
获取装置(302,302’),用于从来自客户端的数据访问请求中获取待访问数据块的存储位置信息、授权访问控制信息及访问控制权限;
第二验证装置(303,303’),用于根据从所述数据访问请求中提取出的授权访问控制信息,对该数据访问请求进行验证,其中,所述授权访问控制信息包括授权访问令牌标识、授权访问令牌以及授权访问令牌验证码,所述授权访问令牌验证码基于所生成的授权访问令牌标识、授权访问令牌以及所确定的存储有待访问文件的数据块的数据存储装置的存储装置密钥进行散列处理后生成;
访问操作装置(304,304’),用于当验证通过,根据该数据访问请求中的待访问数据块的存储位置与访问控制权限来对所述待访问的数据块执行相应的访问操作。
13.根据权利要求12所述的数据存储装置,其中,所述第二验证装置(303)包括:
验证请求模块(3031’),用于发送验证请求给数据库管理装置,其中,该验证请求包含由所述数据访问请求中提取的授权访问控制信息;
验证接收模块(3032’),用于接收来自数据库管理装置的验证通过消息;
其中,所述访问操作装置(304’)用于当接收到来自数据库管理装置的验证通过消息时,根据该数据访问请求中的待访问数据块的存储位置与对应的访问控制权限来对所述待访问的数据块执行相应的访问操作。
14.根据权利要求12至13中任一项所述的数据存储装置,其中,该获取装置(302,302’)还包括:
权限请求模块(3021,3021’),用于向数据库管理装置发送权限请求消息,其中,该权限请求消息包括该令牌标识,用于请求该令牌标识对应的访问控制权限;
权限接收模块(3022,3022’),用于接收来自数据库管理装置的请求响应消息,其中包含该令牌标识对应的访问控制权限。
15.一种用于提供数据访问的数据库系统,其中,该数据库系统包括一个或多个如权利要求8至11中任一项所述的数据库管理装置以及一个或多个如权利要求12至14中任一项所述的数据存储装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310217403.7A CN104216907B (zh) | 2013-06-02 | 2013-06-02 | 一种用于提供数据库访问控制的方法、装置与系统 |
PCT/IB2014/001529 WO2014207554A2 (en) | 2013-06-02 | 2014-05-30 | Method and apparatus for providing database access authorization |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310217403.7A CN104216907B (zh) | 2013-06-02 | 2013-06-02 | 一种用于提供数据库访问控制的方法、装置与系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104216907A CN104216907A (zh) | 2014-12-17 |
CN104216907B true CN104216907B (zh) | 2018-12-18 |
Family
ID=51790788
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310217403.7A Active CN104216907B (zh) | 2013-06-02 | 2013-06-02 | 一种用于提供数据库访问控制的方法、装置与系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN104216907B (zh) |
WO (1) | WO2014207554A2 (zh) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106034104B (zh) | 2015-03-07 | 2021-02-12 | 华为技术有限公司 | 用于网络应用访问的验证方法、装置和系统 |
CN105069370B (zh) * | 2015-07-22 | 2018-01-30 | 北京京东尚科信息技术有限公司 | 数据库自动授权访问方法 |
US9866592B2 (en) | 2015-09-28 | 2018-01-09 | BlueTalon, Inc. | Policy enforcement system |
CN106685901B (zh) * | 2015-11-10 | 2020-06-02 | 华为技术有限公司 | 用于处理跨域数据的方法、第一服务器及第二服务器 |
US9871825B2 (en) | 2015-12-10 | 2018-01-16 | BlueTalon, Inc. | Policy enforcement for compute nodes |
KR20170077328A (ko) * | 2015-12-28 | 2017-07-06 | 현대자동차주식회사 | 자동차 관리 시스템 및 방법 |
CN107317787A (zh) * | 2016-04-26 | 2017-11-03 | 北京京东尚科信息技术有限公司 | 服务授信方法、设备及系统 |
CN106250778B (zh) * | 2016-07-27 | 2019-02-15 | 新乡学院 | 一种企业管理软件的数据安全保护方法 |
WO2018126380A1 (zh) * | 2017-01-05 | 2018-07-12 | 深圳市前海中康汇融信息技术有限公司 | 数据库访问控制系统 |
US10803190B2 (en) | 2017-02-10 | 2020-10-13 | BlueTalon, Inc. | Authentication based on client access limitation |
US10291602B1 (en) | 2017-04-12 | 2019-05-14 | BlueTalon, Inc. | Yarn rest API protection |
US10491635B2 (en) | 2017-06-30 | 2019-11-26 | BlueTalon, Inc. | Access policies based on HDFS extended attributes |
CN107241357A (zh) * | 2017-07-27 | 2017-10-10 | 郑州云海信息技术有限公司 | 云计算系统中用户访问控制方法和装置 |
CN107656722B (zh) * | 2017-07-31 | 2019-03-12 | 平安科技(深圳)有限公司 | 数据操作方法、装置及计算机可读存储介质 |
CN110309213B (zh) * | 2018-03-28 | 2023-10-13 | 腾讯科技(深圳)有限公司 | 一种数据库访问控制方法、装置、系统、介质及设备 |
CN112567708A (zh) * | 2018-07-19 | 2021-03-26 | 马士基集装箱工业公司 | 对冷藏控制系统的安全远程访问 |
CN109831435B (zh) * | 2019-01-31 | 2021-06-01 | 广州银云信息科技有限公司 | 一种数据库操作方法、系统及代理服务器和存储介质 |
CN110324333B (zh) * | 2019-06-29 | 2021-12-28 | 北京启迪区块链科技发展有限公司 | 一种数据处理方法、装置、终端及存储介质 |
CN112311716B (zh) * | 2019-07-24 | 2023-04-21 | 顺丰科技有限公司 | 一种基于openstack的数据访问控制方法、装置及服务器 |
CN110598445B (zh) * | 2019-09-12 | 2022-05-20 | 金蝶蝶金云计算有限公司 | 一种数据库访问控制方法、系统及相关设备 |
CN112527897A (zh) * | 2020-12-01 | 2021-03-19 | 深圳市鹰硕技术有限公司 | 一种数据处理方法及系统 |
CN113919000B (zh) * | 2021-12-16 | 2022-03-29 | 北京交研智慧科技有限公司 | 一种用户数据库管理方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1925485A (zh) * | 2005-09-02 | 2007-03-07 | 富士施乐株式会社 | 数据服务器、数据管理方法和数据管理系统 |
CN102571771A (zh) * | 2011-12-23 | 2012-07-11 | 华中科技大学 | 一种云存储系统的安全认证方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6044373A (en) * | 1997-09-29 | 2000-03-28 | International Business Machines Corporation | Object-oriented access control method and system for military and commercial file systems |
-
2013
- 2013-06-02 CN CN201310217403.7A patent/CN104216907B/zh active Active
-
2014
- 2014-05-30 WO PCT/IB2014/001529 patent/WO2014207554A2/en active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1925485A (zh) * | 2005-09-02 | 2007-03-07 | 富士施乐株式会社 | 数据服务器、数据管理方法和数据管理系统 |
CN102571771A (zh) * | 2011-12-23 | 2012-07-11 | 华中科技大学 | 一种云存储系统的安全认证方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2014207554A3 (en) | 2015-03-26 |
WO2014207554A2 (en) | 2014-12-31 |
CN104216907A (zh) | 2014-12-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104216907B (zh) | 一种用于提供数据库访问控制的方法、装置与系统 | |
US10829088B2 (en) | Identity management for implementing vehicle access and operation management | |
US9141822B2 (en) | Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method | |
US8087075B2 (en) | Disconnected credential validation using pre-fetched service tickets | |
US20180336554A1 (en) | Secure electronic transaction authentication | |
CN105763514B (zh) | 一种处理授权的方法、设备和系统 | |
KR20130085560A (ko) | 클라우드 기반의 디지털 저작권 관리 서비스를 제공하는 방법 및 장치와 그 시스템 | |
CN105450637A (zh) | 多个应用系统的单点登录方法及装置 | |
CN105339949A (zh) | 用于管理对医学数据的访问的系统 | |
KR20140041368A (ko) | 화상형성장치, 화상형성장치의 제어 방법, 및 기억매체 | |
JPWO2005117336A1 (ja) | 親子カード認証システム | |
JP2006523995A (ja) | 認可証明書におけるユーザ・アイデンティティのプライバシ | |
US11343072B2 (en) | Method and apparatus for providing service using kiosk | |
CN108351924A (zh) | 电子安全容器 | |
KR102553145B1 (ko) | 디지털 키를 처리 및 인증하는 보안 요소 및 그 동작 방법 | |
CN106713276A (zh) | 一种基于授权认证的数据获取方法及其系统 | |
CN103532989A (zh) | 文件数据的下载方法 | |
KR101884776B1 (ko) | 환자 정보 전달 시스템 및 방법 | |
WO2022094648A1 (en) | Method for suspending protection of an object achieved by a protection device | |
KR20090000333A (ko) | 정보 처리 시스템, 전자 허가 정보 발행 장치, 전자 정보이용 장치, 권리 발행 장치, 전자 허가 정보 발행프로그램, 전자 정보 이용 프로그램, 권리 발행 프로그램,및 정보 처리 방법 | |
JPWO2016084822A1 (ja) | 複数のサービスシステムを制御するサーバシステム及び方法 | |
KR20150115332A (ko) | 개방형 서비스 컴포넌트 접근 제어 관리 장치 및 그 방법 | |
CN109146505A (zh) | 试剂验证方法、装置、存储介质以及计算机设备 | |
CN108345801B (zh) | 一种面向密文数据库的中间件动态用户认证方法及系统 | |
CN110427770A (zh) | 一种支持业务安全标记的数据库访问控制方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 201206 ningqiao Road, Shanghai free trade test area, No. 388 Applicant after: Shanghai NOKIA Baer Limited by Share Ltd Address before: 201206 Pudong New Area Jinqiao Ning Road, Shanghai, No. 388 Applicant before: Shanghai Alcatel-Lucent Co., Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |