CN108959948B - 应用于数据安全管理的三权分立分级授权管理方法 - Google Patents

应用于数据安全管理的三权分立分级授权管理方法 Download PDF

Info

Publication number
CN108959948B
CN108959948B CN201810789269.0A CN201810789269A CN108959948B CN 108959948 B CN108959948 B CN 108959948B CN 201810789269 A CN201810789269 A CN 201810789269A CN 108959948 B CN108959948 B CN 108959948B
Authority
CN
China
Prior art keywords
verification
data layer
data
key
concept
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201810789269.0A
Other languages
English (en)
Other versions
CN108959948A (zh
Inventor
朱贵琼
黎明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Normal University
Original Assignee
Sichuan Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Normal University filed Critical Sichuan Normal University
Priority to CN201810789269.0A priority Critical patent/CN108959948B/zh
Publication of CN108959948A publication Critical patent/CN108959948A/zh
Application granted granted Critical
Publication of CN108959948B publication Critical patent/CN108959948B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及应用于数据安全管理的三权分立分级授权管理方法,在数据访问端和概念数据层之间设置第一验证端,概念数据层和物理数据层之间设置第二验证端,概念数据层和用户数据层之间设置第三验证端;其分级授权方法为管理员账登陆成功以后输入第一密钥由第一验证端进行加密验证,然后输入数据寻址指令访问概念数据层,访问过程中输入第二密钥由第二验证端进行加密验证,寻址完成返回映射地址至概念数据层;概念数据层接收返回映射地址后将映射地址发送至用户数据层进行数据调用,映射地址发送过程中输入第三密钥由第三验证端进行加密验证,验证成功用户数据层生成与映射地址所对应的数据。本发明提高了数据库的安全性和可靠性。

Description

应用于数据安全管理的三权分立分级授权管理方法
技术领域
本发明涉及数据库管理领域,具体涉及一种应用于数据安全管理的三权分立分级授权管理方法。
背景技术
数据库(Database)是按照数据结构来组织、存储和管理数据的仓库,它产生于距今六十多年前,随着信息技术和市场的发展,特别是二十世纪九十年代以后,数据管理不再仅仅是存储和管理数据,而转变成用户所需要的各种数据管理的方式。数据库有很多种类型,从最简单的存储有各种数据的表格到能够进行海量数据存储的大型数据库系统都在各个方面得到了广泛的应用。在信息化社会,充分有效地管理和利用各类信息资源,是进行科学研究和决策管理的前提条件。数据库技术是管理信息系统、办公自动化系统、决策支持系统等各类信息系统的核心部分,是进行科学研究和决策管理的重要技术手段。
数据库的基本结构分三个层次,反映了观察数据库的三种不同角度。以内模式为框架所组成的数据库叫做物理数据库;以概念模式为框架所组成的数据叫概念数据库;以外模式为框架所组成的数据库叫用户数据库。
物理数据层。它是数据库的最内层,是物理存贮设备上实际存储的数据的集合。这些数据是原始数据,是用户加工的对象,由内部模式描述的指令操作处理的位串、字符和字组成。
概念数据层。它是数据库的中间一层,是数据库的整体逻辑表示。指出了每个数据的逻辑定义及数据间的逻辑联系,是存贮记录的集合。它所涉及的是数据库所有对象的逻辑关系,而不是它们的物理情况,是数据库管理员概念下的数据库。
用户数据层。它是用户所看到和使用的数据库,表示了一个或一些特定用户使用的数据集合,即逻辑记录的集合。数据库不同层次之间的联系是通过映射进行转换的。
现有技术的缺点在于:在进行数据访问是,数据库不同层次之间的联系是通过映射进行转换的,通过映射转换均可以获得相应的数据信息,在知道某一层数据信息以后即可通过映射关系查看其它数据层的数据,从而使得数据调用的逻辑上存在安全隐患,数据安全指数较低。
发明内容
本发明的目的在于克服现有技术的不足,提供一种应用于数据安全管理的三权分立分级授权管理方法,对数据库的三层进行隔离并设置验证密钥,各数据层之间不能通过映射转换获取数据信息,从而提高数据的安全性。
本发明的目的是通过以下技术方案来实现的:
应用于数据安全管理的三权分立分级授权管理方法,包括数据库结构三权分立,其方法如下:
所述数据库结构包括物理数据层、概念数据层、用户数据层,所述概念数据层接入数据访问端,用户访问数据由数据访问端完成;
在所述数据访问端和概念数据层之间设置第一验证端;
在所述概念数据层和物理数据层之间设置第二验证端;
在所述概念数据层和用户数据层之间设置第三验证端;
还包括分级授权方法,其步骤如下:
S1:由数据访问端登陆管理员账号,账号登陆成功以后由数据访问端输入第一密钥由第一验证端进行加密验证,验证成功则进入概念数据层访问;
S2:由数据访问端输入数据寻址指令访问概念数据层,概念数据层生成映射访问物理数据层,访问过程中由数据访问端输入第二密钥由第二验证端进行加密验证,验证成功则进入物理数据层进行寻址操作,寻址完成返回映射地址至概念数据层;
S3:概念数据层接收返回映射地址后将映射地址发送至用户数据层进行数据调用,映射地址发送过程中由数据访问端输入第三密钥由第三验证端进行加密验证,验证成功用户数据层生成与映射地址所对应的数据,至此完成数据的访问和调用。
作为本发明的进一步改进,所述第一验证端、第二验证端、第三验证端首次验证均失败后,所述管理员账号进入锁定状态,需要高级管理员进行解密。
作为本发明的进一步改进,所述第一密钥、第二密钥、第三密钥各不相同。
作为本发明的进一步改进,所述第一密钥、第二密钥、第三密钥的加密形式采用非对称密钥加密系统。
作为本发明的进一步改进,所述第一验证端的验证次数为3次,验证错误达到3次以后则锁闭概念数据层。
作为本发明的进一步改进,所述第二验证端的验证次数为2次,验证错误达到2次以后则锁闭物理数据层。
作为本发明的进一步改进,所述第三验证端的验证次数为1次,验证错误1次立即锁闭用户数据层。
作为本发明的进一步改进,所述第一验证端、第二验证端、第三验证端三者进行信息交互,当第一验证端首次验证失败时,第二验证端和第三验证端进入预警机制,即当第一验证端首次验证失败再次验证成功后,进入第二验证端进行验证时首次验证失败则第二验证端和第三验证端同时关闭显示验证失败,同时锁闭该管理员账号。
作为本发明的进一步改进,所述管理账号被锁闭以后,必须等48小时以后高级管理员才有权限对其解除锁定。
作为本发明的进一步改进,同一个数据库系统下高级管理员至少为3个,必须满足3个及其以上的高级管理员对被锁闭管理账号解除锁定以后,该管理员账号才能移除锁定状态。
本发明的有益效果是:和传统的数据库结构相比较,本方案在物理数据层、概念数据层、用户数据层之间引入密钥验证机制,从而实现数据层之间的三权分立,使得物理数据层、概念数据层、用户数据层彼此互锁,在数据层面上形成分立区间,当任意一个数据层被锁定以后另外两个数据层则无法正常调用,同时在验证过程中还引入预警机制,防止试密钥的行为,即当第一验证端首次验证的密钥错误时则激活预警机制,使得在接下来的密钥验证过程中一旦出现错位则立即关闭数据库同时锁定该管理员账号,同时只能在3个高级管理员对其进行解锁的状态下才能移除锁定状态且必须是锁定48小时以后,避免了管理员账号被盗出现的问题,即时盗取了管理员账号也无法获取该数据库内的数据信息。
附图说明
图1是本发明的逻辑图;
图2是本发明数据调用的流程图。
具体实施方式
下面结合具体实施例进一步详细描述本发明的技术方案,但本发明的保护范围不局限于以下所述。
应用于数据安全管理的三权分立分级授权管理方法,包括数据库结构三权分立和分级授权方,其具体方案如下:
值得说明的是,本发明及实施例的实施是基于数据库结构是由物理数据层、概念数据层、用户数据层组成的数据库,而非广义的数据库,未采用上述结构的数据库不适用于本发明及实施例。
如图1所示,本实施例中的数据库在结构上包括物理数据层、概念数据层、用户数据层三个数据层,同时还为数据库配置了用于管理员访问的数据访问端,概念数据层接入数据访问端,用户访问数据由数据访问端完成。为了实现数据库结构三权分立,在数据访问端和概念数据层之间设置第一验证端,在概念数据层和物理数据层之间设置第二验证端,在概念数据层和用户数据层之间设置第三验证端,对各数据层进行访问时必须通过该数据层的验证端验证成功以后才能进行访问,这里的三权分立并不是指物理数据层、概念数据层、用户数据彼此之间的完全独立互不关联,而是形成相对独立的锁闭机制,锁闭机制之间又存在相互关联。
作为本实施例的进一步优化,上述物理数据层、概念数据层、用户数据彼此之间的完全独立互不关联,而是形成相对独立的锁闭机制,锁闭机制之间又存在相互关联的具体实现方式是让第一验证端、第二验证端、第三验证端三者进行信息交互,当第一验证端首次验证失败时,第二验证端和第三验证端进入预警机制,即当第一验证端首次验证失败再次验证成功后,进入第二验证端进行验证时首次验证失败则第二验证端和第三验证端同时关闭显示验证失败,同时锁闭该管理员账号;也就是说本发明是设置了一定的锁定门槛,因为在日常操作中难免出现密码输入错误的情况,但是连续两次输入错误则判断为恶意入侵,对此本方案的判断规则如下:
第一验证端的验证次数为3次,验证错误达到3次以后则锁闭概念数据层。
第二验证端的验证次数为2次,验证错误达到2次以后则锁闭物理数据层。
第三验证端的验证次数为1次,验证错误1次立即锁闭用户数据层。
第一验证端、第二验证端、第三验证端首次验证均失败后,管理员账号进入锁定状态,需要高级管理员进行解密。
因此在本发明中第一验证端进行首次验证时及时密钥输入错误,仍然可以进行二次输入,只有当3次输入完全错误时才锁闭概念数据层,然而该情况下第二验证端已经激活预警机制,一旦第二验证端密钥输入错误则关闭整个数据库,同理,当第一验证端首次验证成功,第二验证端首次验证失败则第三验证端同样激活预警机制,然而第三验证端本身只有一次验证次数,但预警状态下和非预警状态下导致的结果不同,如果是第二验证端验证成功,仅有第三验证端验证失败则仅仅是关闭用户数据层,管理员可以重新登入数据访问端进行访问,而不锁闭管理员账号,但是在预警状态下,一旦第三验证端验证失败则退出数据库系统同时锁闭管理员账号。
作为本发明的进一步优化,第一密钥、第二密钥、第三密钥各不相同,避免密钥的相同性降低安全性,第一密钥、第二密钥、第三密钥的加密形式采用非对称密钥加密系统,即管理员在进行访问时需要输入管理员的私有密钥进行解密验证。管理账号被锁闭以后,必须等48小时以后高级管理员才有权限对其解除锁定。同一个数据库系统下高级管理员至少为3个,必须满足3个及其以上的高级管理员对被锁闭管理账号解除锁定以后,该管理员账号才能移除锁定状态。
除上述数据库结构三权分立以外,本发明还包括分级授权方法,其步骤如下:
S1:由数据访问端登陆管理员账号,账号登陆成功以后由数据访问端输入第一密钥由第一验证端进行加密验证,验证成功则进入概念数据层访问;管理员登陆数据访问端以后首先访问概念数据层,这里的访问方式可以是自动访问也可设置快捷键进行访问,访问过程中遇到第一验证端的验证,此时数据访问端弹出密钥输入界面,管理员输入第一密钥进行验证,验证成功以后可以正常访问概念数据层,概念数据层仅用于展示数据库的整体逻辑表示,指出每个数据的逻辑定义及数据间的逻辑联系,并不直接显示数据,因此要进行数据访问和调用必须进入下一步操作。
S2:由数据访问端输入数据寻址指令访问概念数据层,概念数据层生成映射访问物理数据层,访问过程中由数据访问端输入第二密钥由第二验证端进行加密验证,验证成功则进入物理数据层进行寻址操作,寻址完成返回映射地址至概念数据层;在本步骤中,密钥输入的方式与步骤S1中相同,均是在数据访问端所在界面弹出输入窗口进行第二密钥的输入,物理数据层是物理存贮设备上实际存储的数据的集合,这些数据是原始数据,是用户加工的对象,由内部模式描述的指令操作处理的位串、字符和字组成,本发明在该步骤中主要是用户获取数据的地址并将地址返回概念数据层,最后通过地址调用来实现数据的调用,其中这里指的指令操作处理的位串、字符和字组成并非本发明的改进点,这里使用现有技术即可。
S3:概念数据层接收返回映射地址后将映射地址发送至用户数据层进行数据调用,映射地址发送过程中由数据访问端输入第三密钥由第三验证端进行加密验证,验证成功用户数据层生成与映射地址所对应的数据,至此完成数据的访问和调用,用户数据层是用户所看到和使用的数据库,即我们需要的最终的数据。
由以上步骤和三权分立结构可以看出,在数据访问的过程中任何环节出现错位都会直接导致数据访问失败,甚至是锁闭管理员账号,从而提高了数据安全性和可靠性。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。

Claims (10)

1.应用于数据安全管理的三权分立分级授权管理方法,其特征在于,包括数据库结构三权分立,其方法如下:
所述数据库结构包括物理数据层、概念数据层、用户数据层,所述概念数据层接入数据访问端,用户访问数据由数据访问端完成;
在所述数据访问端和概念数据层之间设置第一验证端;
在所述概念数据层和物理数据层之间设置第二验证端;
在所述概念数据层和用户数据层之间设置第三验证端;
还包括分级授权方法,其步骤如下:
S1:由数据访问端登陆管理员账号,账号登陆成功以后由数据访问端输入第一密钥由第一验证端进行加密验证,验证成功则进入概念数据层访问;
S2:由数据访问端输入数据寻址指令访问概念数据层,概念数据层生成映射访问物理数据层,访问过程中由数据访问端输入第二密钥由第二验证端进行加密验证,验证成功则进入物理数据层进行寻址操作,寻址完成返回映射地址至概念数据层;
S3:概念数据层接收返回映射地址后将映射地址发送至用户数据层进行数据调用,映射地址发送过程中由数据访问端输入第三密钥由第三验证端进行加密验证,验证成功用户数据层生成与映射地址所对应的数据,至此完成数据的访问和调用。
2.根据权利要求1所述的应用于数据安全管理的三权分立分级授权管理方法,其特征在于,所述第一验证端、第二验证端、第三验证端首次验证均失败后,所述管理员账号进入锁定状态,需要高级管理员进行解密。
3.根据权利要求2所述的应用于数据安全管理的三权分立分级授权管理方法,其特征在于,所述第一密钥、第二密钥、第三密钥各不相同。
4.根据权利要求3所述的应用于数据安全管理的三权分立分级授权管理方法,其特征在于,所述第一密钥、第二密钥、第三密钥的加密形式采用非对称密钥加密系统。
5.根据权利要求4所述的应用于数据安全管理的三权分立分级授权管理方法,其特征在于,所述第一验证端的验证次数为3次,验证错误达到3次以后则锁闭概念数据层。
6.根据权利要求5所述的应用于数据安全管理的三权分立分级授权管理方法,其特征在于,所述第二验证端的验证次数为2次,验证错误达到2次以后则锁闭物理数据层。
7.根据权利要求6所述的应用于数据安全管理的三权分立分级授权管理方法,其特征在于,所述第三验证端的验证次数为1次,验证错误1次立即锁闭用户数据层。
8.根据权利要求7所述的应用于数据安全管理的三权分立分级授权管理方法,其特征在于,所述第一验证端、第二验证端、第三验证端三者进行信息交互,当第一验证端首次验证失败时,第二验证端和第三验证端进入预警机制,即当第一验证端首次验证失败再次验证成功后,进入第二验证端进行验证时首次验证失败则第二验证端和第三验证端同时关闭显示验证失败,同时锁闭该管理员账号。
9.根据权利要求8所述的应用于数据安全管理的三权分立分级授权管理方法,其特征在于,所述管理账号被锁闭以后,必须等48小时以后高级管理员才有权限对其解除锁定。
10.根据权利要求9所述的应用于数据安全管理的三权分立分级授权管理方法,其特征在于,同一个数据库系统下高级管理员至少为3个,必须满足3个及其以上的高级管理员对被锁闭管理账号解除锁定以后,该管理员账号才能移除锁定状态。
CN201810789269.0A 2018-07-18 2018-07-18 应用于数据安全管理的三权分立分级授权管理方法 Expired - Fee Related CN108959948B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810789269.0A CN108959948B (zh) 2018-07-18 2018-07-18 应用于数据安全管理的三权分立分级授权管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810789269.0A CN108959948B (zh) 2018-07-18 2018-07-18 应用于数据安全管理的三权分立分级授权管理方法

Publications (2)

Publication Number Publication Date
CN108959948A CN108959948A (zh) 2018-12-07
CN108959948B true CN108959948B (zh) 2020-04-28

Family

ID=64481653

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810789269.0A Expired - Fee Related CN108959948B (zh) 2018-07-18 2018-07-18 应用于数据安全管理的三权分立分级授权管理方法

Country Status (1)

Country Link
CN (1) CN108959948B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116561752B (zh) * 2023-07-07 2023-09-15 华测国软技术服务南京有限公司 一种应用软件的安全性测试方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1858740A (zh) * 2006-05-31 2006-11-08 武汉华工达梦数据库有限公司 应用于数据库安全管理的三权分立安全方法
CN100576206C (zh) * 2007-06-19 2009-12-30 深圳市迈科龙电子有限公司 一种数据库保密结构及其使用方法
CN102004742A (zh) * 2009-09-01 2011-04-06 上海杉达学院 多层数据库访问结构
US9258129B2 (en) * 2012-07-18 2016-02-09 Sypris Electronics, Llc Resilient device authentication system

Also Published As

Publication number Publication date
CN108959948A (zh) 2018-12-07

Similar Documents

Publication Publication Date Title
US8463819B2 (en) Centralized enterprise security policy framework
US20100192208A1 (en) Method and system for preventing impersonation of a computer system user
JP2002163152A (ja) 指紋を用いた安全なコンピューターリソースアクセスシステム及び方法
CN109243017A (zh) 一种蓝牙开锁方法、装置及计算机可读存储介质
US11398902B2 (en) Systems and methods for non-deterministic multi-party, multi-user sender-receiver authentication and non-repudiatable resilient authorized access to secret data
US8695085B2 (en) Self-protecting storage
CN113962787A (zh) 一种财务信息的安全防护方法
JP2019514113A (ja) 記憶されているデータのセーフガードのための方法およびシステム
WO2021053131A1 (en) Method, locking system for controlling access to a resource and a locking device
CN116542637B (zh) 一种基于计算机的政务平台安全管控方法
CN110708156B (zh) 一种通信方法、客户端及服务器
CN108959948B (zh) 应用于数据安全管理的三权分立分级授权管理方法
US20120210410A1 (en) Network security management for ambiguous user names
CN112347440A (zh) 一种工控设备的用户访问权限分置系统及其使用方法
Akbarfam et al. Dlacb: Deep learning based access control using blockchain
CN110349301A (zh) 门禁开启方法及装置
Kalio et al. A framework for securing data warehouse using hybrid approach
Gupta et al. Challenges and security issues of distributed databases
Kadebu et al. A security requirements perspective towards a secured nosql database environment
CN110246246A (zh) 门禁管理方法及装置
CN110335373A (zh) 智能门锁及智能门禁系统
Bicer et al. Blockchain-based Zero Trust on the Edge
Vijay Chaurasiya., et al
KR20210096735A (ko) 복수의 그룹으로 형성된 비밀번호 생성방법
CN112597528A (zh) 信息安全保护方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20200428

Termination date: 20210718