CN104994086B - 一种数据库集群权限的控制方法及装置 - Google Patents

一种数据库集群权限的控制方法及装置 Download PDF

Info

Publication number
CN104994086B
CN104994086B CN201510363349.6A CN201510363349A CN104994086B CN 104994086 B CN104994086 B CN 104994086B CN 201510363349 A CN201510363349 A CN 201510363349A CN 104994086 B CN104994086 B CN 104994086B
Authority
CN
China
Prior art keywords
functional
data
user information
access
cluster
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510363349.6A
Other languages
English (en)
Other versions
CN104994086A (zh
Inventor
彭兴勃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jingdong Century Trading Co Ltd
Beijing Jingdong Shangke Information Technology Co Ltd
Original Assignee
Beijing Jingdong Century Trading Co Ltd
Beijing Jingdong Shangke Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jingdong Century Trading Co Ltd, Beijing Jingdong Shangke Information Technology Co Ltd filed Critical Beijing Jingdong Century Trading Co Ltd
Priority to CN201510363349.6A priority Critical patent/CN104994086B/zh
Publication of CN104994086A publication Critical patent/CN104994086A/zh
Application granted granted Critical
Publication of CN104994086B publication Critical patent/CN104994086B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/176Support for shared access to files; File sharing support
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Abstract

本发明实施例提供了一种数据库集群权限的控制方法及装置。该方法包括:当接收到针对集群中的职能数据的访问请求时,获取访问请求发送方的职能用户信息;对职能用户信息进行验证,根据验证结果确定是否允许访问。本发明实施例通过采用上述技术方案,可防止职能数据被不具备该职能的用户进行删改等操作,进而保证数据库的安全性和稳定性。并且,采用该技术方案,不需要在客户端进行任何业务代码的修改,侵入性小。

Description

一种数据库集群权限的控制方法及装置
技术领域
本发明实施例涉及数据库领域,尤其涉及一种数据库集群权限的控制方法及装置。
背景技术
HBase(Hadoop Database)是一个高可靠性、高性能、面向列及可伸缩的分布式存储数据库,利用HBase技术可在多个服务器中搭建起大规模结构化存储集群。Hbase定位于数据库系统,数据库系统的安全性是数据库管理的重要指标之一。在多用户角色共用同一个Hbase集群的情况下,如果缺少权限控制,可能会发生未授权的对存储其中的数据进行随意删改等情况,从而影响数据库的安全性和稳定性。
开源社区官方提供的Hbase集群用户权限控制方案基于宿主操作系统,由数据库管理员(Database Administrator,DBA)对访问控制列表(Access Control List,ACL)进行管理,根据不同操作系统用户对应的数据进行权限的授予及回收后同步到ACL表,在接收到客户端发起的访问请求时,由ACL模块获取当前登录的操作系统用户信息,并参照ACL表进行合理权限范围内的操作控制。由于在实际应用过程中,具有不同职能的研发人员对应Hbase集群中的数据不同,而上述权限控制方案无法判断当前登录已授权操作系统用户的研发人员的职能范围,所以很可能会出现研发人员对其他职能范围内的数据进行随意删改等情况,仍然会影响数据库的安全性和稳定性。
发明内容
本发明实施例的目的是提出一种数据库集群权限的控制方法及装置,以解决现有HBase集群用户权限控制方案不能够保证数据库安全性和稳定性的问题。
一方面,本发明实施例提供了一种数据库集群权限的控制方法,包括:
当接收到针对集群中的职能数据的访问请求时,获取所述访问请求发送方的职能用户信息;
对所述职能用户信息进行验证,根据验证结果确定是否允许访问。
另一方面,本发明实施例提供了一种数据库集群权限的控制装置,包括:
职能用户信息获取模块,用于在接收到针对集群中的职能数据的访问请求时,获取所述访问请求发送方的职能用户信息;
验证模块,用于对所述职能用户信息进行验证,根据验证结果确定是否允许访问。
本发明实施例中提供的数据库集群权限的控制方案,可使具有特定职能的研发人员使用专属于该特定职能的职能用户账号访问Hbase集群中对应的职能数据。当有人在客户端上使用某一个职能用户账号想要访问Hbase集群中的某职能数据时,即接收到针对该职能数据的访问请求时,获取当前职能用户信息,对获取的职能用户信息进行验证,并根据验证结果确定是否允许访问。通过采用上述技术方案,可防止职能数据被不具备该职能的用户进行删改等操作,进而保证数据库的安全性和稳定性。并且,采用该技术方案,不需要在客户端进行任何业务代码的修改,侵入性小。
附图说明
图1为本发明实施例一提供的一种数据库集群权限的控制方法的流程图;
图2为本发明实施例二提供的一种优选的Hbase集群权限控制方法的流程图;
图3本发明实施例二提供的一种数据库集群权限的控制装置的结构框图。
具体实施方式
下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种数据库集群权限的控制方法的流程图,该方法可适用于Hbase集群权限的控制,具体可以由数据库集群权限的控制装置执行,其中该装置可由软件和/或硬件实现,一般可集成在服务器中。如图1所示,该方法包括:
步骤101、当接收到针对集群中的职能数据的访问请求时,获取访问请求发送方的职能用户信息。
示例性的,用于执行本发明实施例方法的装置可集成于服务器的协处理器(coprocessor)中,所述服务器具体可为集群服务器,也可为用于管理集群的服务器。不同研发人员由于所属技术部门不同或所参与的工作项目不同,一般具备不同的职能,可根据职能为不同的研发人员分配不同的职能用户。Hbase集群中包含了所有研发人员所需要的数据,可将Hbase集群中的数据按照职能进行分类,分类后的数据专用于其对应的职能,可称为职能数据。职能用户具体可指用于访问相应职能数据的账户。例如:某部门的研发人员具备职能A,可为该部门的研发人员分配职能用户a,则该部门研发人员可通过在客户端上登陆职能用户a来访问相应的职能数据。
示例性的,研发人员可通过在与集群通信连接的客户端上登陆职能用户,当需要对Hbase集群中的某职能数据进行访问时,客户端会发送针对该职能数据的访问请求。当服务器接收到访问请求时,便获取该客户端上登陆的职能用户信息。
示例性的,职能用户信息可包括职能用户账号名。
优选的,职能用户信息还可包括网络协议(Internet Protocol,IP)地址,即登陆当前职能用户的客户端的IP地址。
示例性的,在执行本步骤之前,还可先执行创建权限验证表(ACL表)的操作,该ACL表中包含各职能用户信息与各职能数据之间的对应关系。
步骤102、对职能用户信息进行验证,根据验证结果确定是否允许访问。
具体的,可判断职能用户信息与所要访问的职能数据是否符合ACL表中的对应关系,若符合,则确定允许访问。
示例性的,允许访问后,可对访问的职能数据进行相关操作,如对表、列族进行如下操作:数据库模式定义语言(Data Definition Language,DDL)操作、数据操纵语言(DataManipulation Language,DML)操作和数据读写操作(如get、put和scan)等。
例如,具备职能B的甲通过客户端M(其IP地址对应职能B)登陆职能用户b,想要访问Hbase集群中对应职能B的职能数据,步骤101中,服务器会获取职能用户b的账户名和客户端M的IP地址,本步骤中将根据所获取到的账户名和IP地址查询ACL表,判断职能用户b与所要访问的职能数据是相对应的,所以具备访问权限,则确定允许访问,进而允许对该职能数据进行相关表的操作。对账号名和IP地址均进行验证的好处是,账号名可能容易泄露,对IP地址进行验证能够进一步增强数据存储的安全性。若甲继续想要访问Hbase集群中对应职能C的职能数据时,由于职能用户b与所要访问的职能数据不是对应的,那么会拒绝访问,进而也阻止了甲对职能C相关的职能数据进行修改,确保了Hbase集群的安全性和稳定性。
本发明实施例一提供的数据库集群权限的控制方法,可使具有特定职能的研发人员使用专属于该特定职能的职能用户账号访问Hbase集群中对应的职能数据。可防止职能数据被不具备该职能的用户进行删改等操作,进而保证数据库的安全性和稳定性。并且,采用该方法,不需要在客户端进行任何业务代码的修改,侵入性小。
实施例二
图2为本发明实施例二提供的一种优选的Hbase集群权限控制方法的流程图。如图2所示,该方法具体包括如下步骤:
步骤201、协处理器接收访问请求。
步骤202、判断请求是否来自集群内部,若是,则执行步骤205;否则,执行步骤203。
步骤203、协处理器获取职能用户信息。
步骤204、判断职能用户信息是否符合ACL表中对应关系,若是,则执行步骤205;否则,执行步骤206。
步骤205、允许访问。
步骤206、拒绝访问。
示例性的,可抛出拒绝访问异常处理(AccessDeniedException)。
本发明实施例二提供的Hbase集群权限控制方法,由协处理器接收针对某职能数据的访问请求,先判断该访问请求是否来自于集群内部,若来自于集群内部,即可直接允许访问,否则需要进行权限验证。在进行权限验证时,协处理器获取职能用户信息并判断该信息是否符合ACL表中对应关系,若符合则允许访问,否则拒绝访问。通过采用本实施例二提供的方法,可预先对访问请求来源做判断,再进行基于ACL表的权限验证,可提升访问速度,同时可防止职能数据被不具备该职能的用户进行删改等操作,进而保证数据库的安全性和稳定性。
实施例三
图3本发明实施例三提供的一种数据库集群权限的控制装置的结构框图,该装置可由软件和/或硬件实现,一般可集成在服务器中,可通过执行数据库集群权限的控制方法来实现权限控制。如图3所示,该装置包括:职能用户信息获取模块301和验证模块302.
其中,职能用户信息获取模块301,用于在接收到针对集群中的职能数据的访问请求时,获取访问请求发送方的职能用户信息;验证模块302,用于对职能用户信息进行验证,根据验证结果确定是否允许访问。
本发明实施例三提供的数据库集群权限的控制装置,可使具有特定职能的研发人员使用专属于该特定职能的职能用户账号访问Hbase集群中对应的职能数据。当有人在客户端上使用某一个职能用户账号想要访问Hbase集群中的某职能数据时,即接收到针对该职能数据的访问请求时,由职能用户信息获取模块获取当前职能用户信息,再由验证模块对获取的职能用户信息进行验证,并根据验证结果确定是否允许访问。通过采用上述技术方案,可防止职能数据被不具备该职能的用户进行删改等操作,进而保证数据库的安全性和稳定性。并且,采用该技术方案,不需要在客户端进行任何业务代码的修改,侵入性小。
在上述实施例的基础上,验证模块具体可用于:判断职能用户信息与所要访问的职能数据是否符合权限验证表中的对应关系,若符合,则确定允许访问。
在上述实施例的基础上,职能用户信息可包括职能用户账号名。
在上述实施例的基础上,职能用户信息还可包括IP地址。
在上述实施例的基础上,该装置还可包括权限验证表创建模块,用于在接收针对集群中的职能数据的访问请求之前,创建权限验证表;其中,权限验证表中包含各职能用户信息与各职能数据之间的对应关系。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。

Claims (4)

1.一种数据库集群权限的控制方法,其特征在于,包括:
当接收到针对集群中的职能数据的访问请求时,获取所述访问请求发送方的职能用户信息;其中,所述职能用户信息包括:职能用户账号名和网络协议地址;
判断所述访问请求是否来自所述集群内部,若是,则允许访问;否则,对所述职能用户信息进行验证,根据验证结果确定是否允许访问;
其中,所述对所述职能用户信息进行验证,根据验证结果确定是否允许访问,包括:判断所述职能用户信息与所要访问的职能数据是否符合权限验证表中的对应关系,若符合,则确定允许访问,允许对所述职能数据进行的相关操作包括但不局限于:数据库定义语言操作、数据操作语言操作和数据读写操作。
2.根据权利要求1所述的方法,其特征在于,在接收针对集群中的职能数据的访问请求之前,还包括:
创建权限验证表;其中,所述权限验证表中包含各职能用户信息与各职能数据之间的对应关系。
3.一种数据库集群权限的控制装置,其特征在于,包括:
职能用户信息获取模块,用于在接收到针对集群中的职能数据的访问请求时,获取所述访问请求发送方的职能用户信息;其中,所述职能用户信息包括:职能用户账号名和网络协议地址;
验证模块,用于判断所述访问请求是否来自所述集群内部,若是,则允许访问;否则,对所述职能用户信息进行验证,根据验证结果确定是否允许访问;
其中,所述验证模块具体用于:判断所述职能用户信息与所要访问的职能数据是否符合权限验证表中的对应关系,若符合,则确定允许访问,允许对所述职能数据进行的相关操作包括但不局限于:数据库定义语言操作、数据操作语言操作和数据读写操作。
4.根据权利要求3所述的装置,其特征在于,还包括:
权限验证表创建模块,用于在接收针对集群中的职能数据的访问请求之前,创建权限验证表;其中,所述权限验证表中包含各职能用户信息与各职能数据之间的对应关系。
CN201510363349.6A 2015-06-26 2015-06-26 一种数据库集群权限的控制方法及装置 Active CN104994086B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510363349.6A CN104994086B (zh) 2015-06-26 2015-06-26 一种数据库集群权限的控制方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510363349.6A CN104994086B (zh) 2015-06-26 2015-06-26 一种数据库集群权限的控制方法及装置

Publications (2)

Publication Number Publication Date
CN104994086A CN104994086A (zh) 2015-10-21
CN104994086B true CN104994086B (zh) 2018-09-04

Family

ID=54305838

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510363349.6A Active CN104994086B (zh) 2015-06-26 2015-06-26 一种数据库集群权限的控制方法及装置

Country Status (1)

Country Link
CN (1) CN104994086B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107451159A (zh) * 2016-05-31 2017-12-08 中国移动通信集团广东有限公司 一种数据库访问方法和装置
CN106326766B (zh) * 2016-08-16 2019-04-09 陈亮 一种HBase数据读取控制方法
CN108270718A (zh) * 2016-12-30 2018-07-10 北京观数科技有限公司 一种基于Hadoop集群的控制方法和系统
CN113495921B (zh) * 2020-04-02 2023-09-26 北京京东振世信息技术有限公司 一种数据库集群的路由方法和装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101034990A (zh) * 2007-02-14 2007-09-12 华为技术有限公司 权限管理方法及装置
CN102034036A (zh) * 2010-09-07 2011-04-27 北京握奇数据系统有限公司 权限管理的方法及设备
CN102231693A (zh) * 2010-04-22 2011-11-02 北京握奇数据系统有限公司 访问权限的管理方法及装置
CN102611699A (zh) * 2012-02-22 2012-07-25 浪潮(北京)电子信息产业有限公司 一种云操作系统中访问控制的方法和系统
CN103078859A (zh) * 2012-12-31 2013-05-01 普天新能源有限责任公司 业务系统权限管理方法、设备及系统
CN103179126A (zh) * 2013-03-26 2013-06-26 山东中创软件商用中间件股份有限公司 一种访问控制方法及装置
CN103490886A (zh) * 2012-06-12 2014-01-01 阿里巴巴集团控股有限公司 权限数据的验证方法、装置及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101034990A (zh) * 2007-02-14 2007-09-12 华为技术有限公司 权限管理方法及装置
CN102231693A (zh) * 2010-04-22 2011-11-02 北京握奇数据系统有限公司 访问权限的管理方法及装置
CN102034036A (zh) * 2010-09-07 2011-04-27 北京握奇数据系统有限公司 权限管理的方法及设备
CN102611699A (zh) * 2012-02-22 2012-07-25 浪潮(北京)电子信息产业有限公司 一种云操作系统中访问控制的方法和系统
CN103490886A (zh) * 2012-06-12 2014-01-01 阿里巴巴集团控股有限公司 权限数据的验证方法、装置及系统
CN103078859A (zh) * 2012-12-31 2013-05-01 普天新能源有限责任公司 业务系统权限管理方法、设备及系统
CN103179126A (zh) * 2013-03-26 2013-06-26 山东中创软件商用中间件股份有限公司 一种访问控制方法及装置

Also Published As

Publication number Publication date
CN104994086A (zh) 2015-10-21

Similar Documents

Publication Publication Date Title
CN102984159B (zh) 基于终端访问行为的安全接入逻辑控制方法及平台服务器
CN101729541B (zh) 多业务平台的资源访问方法及系统
CN103475666B (zh) 一种物联网资源的数字签名认证方法
CN106411857A (zh) 一种基于虚拟隔离机制的私有云gis服务访问控制方法
CN104994086B (zh) 一种数据库集群权限的控制方法及装置
CN103095720B (zh) 一种基于会话管理服务器的云存储系统的安全管理方法
CN105991734A (zh) 一种云平台管理方法及系统
CN108111473A (zh) 混合云统一管理方法、装置和系统
CN102571873B (zh) 一种分布式系统中的双向安全审计方法及装置
US9081982B2 (en) Authorized data access based on the rights of a user and a location
JP5342020B2 (ja) グループ定義管理システム
CN113360862A (zh) 统一身份认证系统、方法、电子设备及存储介质
CN108092945A (zh) 访问权限的确定方法和装置、终端
CN103188249A (zh) 集中权限管理系统及其授权方法和鉴权方法
CN102006286A (zh) 信息系统的访问管理方法、装置、系统和接入设备
CN102571874B (zh) 一种分布式系统中的在线审计方法及装置
CN106161361A (zh) 一种跨域资源的访问方法及装置
CN106997440A (zh) 一种角色访问控制方法
CN109495514A (zh) 基于边缘终端的角色访问控制系统及方法
CN106933605A (zh) 一种智能的进程识别控制方法和系统
CN115222375B (zh) 一种基于大数据的政务数据监控分析处理方法及系统
KR20070076342A (ko) 그리드 환경에서 사용자 그룹 역할/권한 관리 시스템 및접근 제어 방법
CN105763532A (zh) 一种登录虚拟桌面的方法及装置
CN113112662B (zh) 一种在手机聊天软件群组里使用门禁电子钥匙和管理门禁权限的实现方法
CN106067881B (zh) 基于os/400的数据安全访问控制方法、装置及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant