CN110096892A - 数据库属性访问控制方法及系统 - Google Patents
数据库属性访问控制方法及系统 Download PDFInfo
- Publication number
- CN110096892A CN110096892A CN201910359631.5A CN201910359631A CN110096892A CN 110096892 A CN110096892 A CN 110096892A CN 201910359631 A CN201910359631 A CN 201910359631A CN 110096892 A CN110096892 A CN 110096892A
- Authority
- CN
- China
- Prior art keywords
- strategy
- policy
- module
- access control
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出了一种数据库属性访问控制方法及系统,通过本发明的访问控制方法和系统,用户的属性、数据库对象的属性和访问控制策略由系统的管理者定制,用户只有同时通过了访问控制策略检查和数据库权限检查才能够访问数据库对象,本发明能够在大幅度降低访问控制配置难度的前提下保持系统访问控制的安全性。
Description
技术领域
本发明涉及数据库安全技术领域,尤其涉及一种数据库属性访问控制方法及系统。
背景技术
近年来,网络安全事件频发,其中一半以上与数据库攻击相关,对数据库进行攻击是获取有用数据的直接途径。因此数据库的安全威胁着我们每个人的隐私、每个公司的商业安全、每个国家的机密信息。
目前对于数据库的访问控制方法主要包括自主式访问控制、强制访问控制和基于角色的访问控制,以上访问控制方法在配置高安全级的访问控制策略方面难度较大,灵活性不够。
发明内容
有鉴于此,本发明提出了一种策略中立、配置方法简单易行的数据库属性访问控制方法及系统。
本发明的技术方案是这样实现的:本发明提供了一种数据库属性访问控制方法,包括如下步骤:
步骤一、安全管理员对主体、表和库的属性值进行设置,设置完毕的属性值被属性集管理器存储;
步骤二、权限检查器获取用户的访问需求,并将访问需求转发至策略执行器;
步骤三、策略执行器反馈访问需求给策略管理器,策略管理器获得相应的策略,并将策略转发至策略解析器;
步骤四、经过策略解析器解析的策略转发至策略执行器,策略执行器根据属性集管理器中的属性值对策略进行执行;
步骤五、策略执行器将执行结果反馈给权限检查器,权限检查器根据执行结果响应用户的访问需求。
在以上技术方案的基础上,优选的,所述步骤二中权限检查器获取用户的访问需求之前还包括:数据库系统检查当前用户的权限是否满足当前访问,若否则终止访问,若是则数据库系统检查当前用户所拥有的角色是否满足当前访问,若是则通过,若否则终止访问。
在以上技术方案的基础上,优选的,步骤四中,所述策略解析器用于解析策略管理器准备发送至策略执行器的策略,策略解析器将用户定义输入的策略语句解析成特定的数据结构,该数据结构成为策略执行器的输入执行。
在以上技术方案的基础上,优选的,所述策略解析的方法包括:
步骤一、从策略语句串中解析出策略语法所定义的关键字,并注明关键字类别;
步骤二、接收语法解析的所有关键字,根据策略的语法定义检查策略的语法结构是否正确,若正确则将策略输入至策略执行器,若错误则返回错误,不执行策略。
更进一步优选的,所述策略执行器用于执行来自策略解析器的策略,执行过程中通过属性集管理器调用需要的属性值。
本发明还提供一种数据库属性访问控制系统,包括:属性库、策略库、属性集管理器、策略管理器、策略解析器、策略执行器和权限检查器,所述属性集管理器用于读取和调用属性库中的属性值,策略管理器用于读取和调用策略库中的策略,策略解析器用于解析来自策略管理器的策略,策略执行器根据用户请求从策略解析器中选择解析完毕的策略进行执行,并返回执行结果给权限检查器,权限检查器用于检查用户的权限是否满足当前查询,若是则允许用户的请求,若否则拒绝用户请求。
在以上技术方案的基础上,优选的,所述策略解析器还包括词法解析模块和语法解析模块,词法解析模块从策略语句串中解析出策略语法所定义的关键字,并将关键字发送至语法解析模块,语法解析模块根据策略的语法定义检查策略的语法结构是否正确。
在以上技术方案的基础上,优选的,所述策略执行器还包括策略执行模块、属性请求模块、属性判断模块和反馈模块,策略执行模块用于执行来自策略解析器的策略语句串,策略执行模块向属性请求模块请求必要的属性值,属性请求模块用于向属性集管理器请求所需属性值,并将属性值发送至属性判断模块,属性判断模块判断属性值是否均满足,并将判断结果发送给反馈模块,反馈模块根据判断结果反馈一个策略执行结果给策略执行模块,策略执行模块根据反馈结果进行选择策略执行与否。
本发明的数据库属性访问控制方法及系统相对于现有技术具有以下有益效果:
本发明提供了一种数据库属性访问控制方法和系统,其将属性访问控制与自主访问控制相互结合,只有执行自主访问控制之后才可以进行属性访问控制,只有同时通过自主访问控制和属性访问控制之后擦可以合法访问指定的数据;
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明数据库属性访问控制方法的流程框图;
图2为本发明数据库属性访问控制方法策略执行模块的流程框图;
图3为本发明数据库属性访问控制系统的结构框图;
图4为本发明数据库属性访问控制系统中策略解析器的结构框图。
具体实施方式
下面将结合本发明实施方式,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式仅仅是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。
如图1所示,本发明的数据库属性访问控制方法,其包括以下步骤:
步骤一、安全管理员对主体、表和库的属性值进行设置,设置完毕的属性值被属性集管理器存储;
步骤二、权限检查器获取用户的访问需求,并将访问需求转发至策略执行器;
步骤三、策略执行器反馈访问需求给策略管理器,策略管理器获得相应的策略,并将策略转发至策略解析器;
步骤四、经过策略解析器解析的策略转发至策略执行器,策略执行器根据属性集管理器中的属性值对策略进行执行;
步骤五、策略执行器将执行结果反馈给权限检查器,权限检查器根据执行结果响应用户的访问需求。
以上实施方式中,采用属性访问控制替代常规的自主访问控制和角色访问控制,相比采用自主访问控制而言,属性访问控制能够在相同用户不同访问需求的情况下执行不同的策略,能够更加细化每个数据的访问权限,对于需要进行特定保护的特定数据而言,采用属性控制方法具有更高的安全性和便捷性,无需设置特定的访问控制即可让访问者具备访问特定数据的权限。
在具体实施方式中,所述步骤二中权限检查器获取用户的访问需求之前还包括:数据库系统检查当前用户的权限是否满足当前访问,若否则终止访问,若是则数据库系统检查当前用户所拥有的角色是否满足当前访问,若是则通过,若否则终止访问。
以上实施方式中,采用自主访问控制的权限控制方法对用户的访问请求进行检查,实现第一步的权限筛选。
在具体实施方式中,步骤三中,所述策略管理器用于调取存储在系统库中的策略集,并从策略集中选取需要执行的策略。
以上实施方式中,策略集是预先准备好的执行程序,并被存储在系统库中,策略管理器用于获取策略的需求并从系统库中调用相应的策略,调用的策略通过策略管理器再发送至策略解析器。
在具体实施方式中,步骤四中,所述策略解析器主要负责解析策略管理器准备发送至策略执行器的策略,策略解析器将用户定义输入的策略语句解析成特定的数据结构,该数据结构成为策略执行器的输入执行。
以上实施方式中,策略解析器用于将策略语句转换成特定的语言结构,从而使策略语句能够被策略执行器进行执行。
如图2所示,在具体实施方式中,所述策略解析的方法包括:
步骤一、从策略语句串中解析出策略语法所定义的关键字,并注明关键字类别;
步骤二、接收语法解析的所有关键字,根据策略的语法定义检查策略的语法结构是否正确,若正确则将策略输入至策略执行器,若错误则返回错误,不执行策略。
以上实施方式中,策略的语法定义是根据策略执行器的执行语句格式进行设置的,根据不同的数据库系统可以设置不同的语法定义。
在具体实施方式中,所述策略执行器用于执行来自策略解析器的策略,执行过程中通过属性集管理器调用需要的属性值。
如图3所示,本发明还提供了一种数据库属性访问控制系统,包括:属性库、策略库、属性集管理器、策略管理器、策略解析器、策略执行器和权限检查器,所述属性集管理器用于读取和调用属性库中的属性值,策略管理器用于读取和调用策略库中的策略,策略解析器用于解析来自策略管理器的策略,策略执行器根据用户请求从策略解析器中选择解析完毕的策略进行执行,并返回执行结果给权限检查器,权限检查器用于检查用户的权限是否满足当前查询,若是则允许用户的请求,若否则拒绝用户请求。
如图4所示,在具体实施方式中,所述策略解析器还包括词法解析模块和语法解析模块,词法解析模块从策略语句串中解析出策略语法所定义的关键字,并将关键字发送至语法解析模块,语法解析模块根据策略的语法定义检查策略的语法结构是否正确。
以上实施方式中,所述策略执行器还包括策略执行模块、属性请求模块、属性判断模块和反馈模块,策略执行模块用于执行来自策略解析器的策略语句串,策略执行模块向属性请求模块请求必要的属性值,属性请求模块用于向属性集管理器请求所需属性值,并将属性值发送至属性判断模块,属性判断模块判断属性值是否均满足,并将判断结果发送给反馈模块,反馈模块根据判断结果反馈一个策略执行结果给策略执行模块,策略执行模块根据反馈结果进行选择策略执行与否。
以上所述仅为本发明的较佳实施方式而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种数据库属性访问控制方法,其特征在于,包括以下步骤:
步骤一、安全管理员对主体、表和库的属性值进行设置,设置完毕的属性值被属性集管理器存储;
步骤二、权限检查器获取用户的访问需求,并将访问需求转发至策略执行器;
步骤三、策略执行器反馈访问需求给策略管理器,策略管理器获得相应的策略,并将策略转发至策略解析器;
步骤四、经过策略解析器解析的策略转发至策略执行器,策略执行器根据属性集管理器中的属性值对策略进行执行;
步骤五、策略执行器将执行结果反馈给权限检查器,权限检查器根据执行结果响应用户的访问需求。
2.如权利要求1所述的数据库属性访问控制方法,其特征在于,所述步骤二中权限检查器获取用户的访问需求之前还包括:数据库系统检查当前用户的权限是否满足当前访问,若否则终止访问,若是则数据库系统检查当前用户所拥有的角色是否满足当前访问,若是则通过,若否则终止访问。
3.如权利要求1所述的数据库属性访问控制方法,其特征在于,步骤三中,所述策略管理器用于调取存储在系统库中的策略集,并从策略集中选取需要执行的策略。
4.如权利要求1所述的数据库属性访问控制方法,其特征在于,步骤四中,所述策略解析器用于解析策略管理器准备发送至策略执行器的策略,策略解析器将用户定义输入的策略语句解析成特定的数据结构,该数据结构成为策略执行器的输入执行。
5.如权利要求4所述的数据库属性访问控制方法,其特征在于,所述策略解析的方法包括:
步骤一、从策略语句串中解析出策略语法所定义的关键字,并注明关键字类别;
步骤二、接收语法解析的所有关键字,根据策略的语法定义检查策略的语法结构是否正确,若正确则将策略输入至策略执行器,若错误则返回错误,不执行策略。
6.如权利要求1所述的数据库属性访问控制方法,其特征在于,所述策略执行器用于执行来自策略解析器的策略,执行过程中通过属性集管理器调用需要的属性值。
7.一种数据库属性访问控制系统,其特征在于,包括:属性库、策略库、属性集管理器、策略管理器、策略解析器、策略执行器和权限检查器,所述属性集管理器用于读取和调用属性库中的属性值,策略管理器用于读取和调用策略库中的策略,策略解析器用于解析来自策略管理器的策略,策略执行器根据用户请求从策略解析器中选择解析完毕的策略进行执行,并返回执行结果给权限检查器,权限检查器用于检查用户的权限是否满足当前查询,若是则允许用户的请求,若否则拒绝用户请求。
8.如权利要求7所述的一种数据库属性访问控制系统,其特征在于,所述策略解析器还包括词法解析模块和语法解析模块,词法解析模块从策略语句串中解析出策略语法所定义的关键字,并将关键字发送至语法解析模块,语法解析模块根据策略的语法定义检查策略的语法结构是否正确。
9.如权利要求7所述的一种数据库属性访问控制系统,其特征在于,所述策略执行器还包括策略执行模块、属性请求模块、属性判断模块和反馈模块,策略执行模块用于执行来自策略解析器的策略语句串,策略执行模块向属性请求模块请求必要的属性值,属性请求模块用于向属性集管理器请求所需属性值,并将属性值发送至属性判断模块,属性判断模块判断属性值是否均满足,并将判断结果发送给反馈模块,反馈模块根据判断结果反馈一个策略执行结果给策略执行模块,策略执行模块根据反馈结果进行选择策略执行与否。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910359631.5A CN110096892B (zh) | 2019-04-29 | 2019-04-29 | 数据库属性访问控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910359631.5A CN110096892B (zh) | 2019-04-29 | 2019-04-29 | 数据库属性访问控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110096892A true CN110096892A (zh) | 2019-08-06 |
| CN110096892B CN110096892B (zh) | 2021-07-02 |
Family
ID=67446436
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910359631.5A Active CN110096892B (zh) | 2019-04-29 | 2019-04-29 | 数据库属性访问控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110096892B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101075254A (zh) * | 2007-06-08 | 2007-11-21 | 北京神舟航天软件技术有限公司 | 数据库表行级数据的自主访问控制方法 |
| CN101729403A (zh) * | 2009-12-10 | 2010-06-09 | 上海电机学院 | 基于属性和规则的访问控制方法 |
| CN102467416A (zh) * | 2010-11-05 | 2012-05-23 | 中科正阳信息安全技术有限公司 | 一种访问控制客体粒度测试框架及方法 |
| CN104243453A (zh) * | 2014-08-26 | 2014-12-24 | 中国科学院信息工程研究所 | 基于属性和角色的访问控制方法及系统 |
| CN105159920A (zh) * | 2015-07-28 | 2015-12-16 | 卡斯柯信号有限公司 | 一种基于属性标签的数据库访问方法 |
| US9430662B2 (en) * | 2012-02-27 | 2016-08-30 | Axiomatics Ab | Provisioning authorization claims using attribute-based access-control policies |
| CN107332847A (zh) * | 2017-07-05 | 2017-11-07 | 武汉凤链科技有限公司 | 一种基于区块链的访问控制方法和系统 |
| CN107403106A (zh) * | 2017-07-18 | 2017-11-28 | 北京计算机技术及应用研究所 | 基于终端用户的数据库细粒度访问控制方法 |
| CN108304732A (zh) * | 2017-12-22 | 2018-07-20 | 石化盈科信息技术有限责任公司 | 一种用于细化数据库权限的方法和系统 |
| CN109472159A (zh) * | 2018-11-15 | 2019-03-15 | 泰康保险集团股份有限公司 | 访问控制方法、装置、介质及电子设备 |
-
2019
- 2019-04-29 CN CN201910359631.5A patent/CN110096892B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101075254A (zh) * | 2007-06-08 | 2007-11-21 | 北京神舟航天软件技术有限公司 | 数据库表行级数据的自主访问控制方法 |
| CN101729403A (zh) * | 2009-12-10 | 2010-06-09 | 上海电机学院 | 基于属性和规则的访问控制方法 |
| CN102467416A (zh) * | 2010-11-05 | 2012-05-23 | 中科正阳信息安全技术有限公司 | 一种访问控制客体粒度测试框架及方法 |
| US9430662B2 (en) * | 2012-02-27 | 2016-08-30 | Axiomatics Ab | Provisioning authorization claims using attribute-based access-control policies |
| CN104243453A (zh) * | 2014-08-26 | 2014-12-24 | 中国科学院信息工程研究所 | 基于属性和角色的访问控制方法及系统 |
| CN105159920A (zh) * | 2015-07-28 | 2015-12-16 | 卡斯柯信号有限公司 | 一种基于属性标签的数据库访问方法 |
| CN107332847A (zh) * | 2017-07-05 | 2017-11-07 | 武汉凤链科技有限公司 | 一种基于区块链的访问控制方法和系统 |
| CN107403106A (zh) * | 2017-07-18 | 2017-11-28 | 北京计算机技术及应用研究所 | 基于终端用户的数据库细粒度访问控制方法 |
| CN108304732A (zh) * | 2017-12-22 | 2018-07-20 | 石化盈科信息技术有限责任公司 | 一种用于细化数据库权限的方法和系统 |
| CN109472159A (zh) * | 2018-11-15 | 2019-03-15 | 泰康保险集团股份有限公司 | 访问控制方法、装置、介质及电子设备 |
Non-Patent Citations (2)
| Title |
|---|
| 崔健: "一种基于属性角色的访问控制模型研究与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 李晓峰 等: "基于属性的访问控制模型", 《通信学报》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110096892B (zh) | 2021-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112615849B (zh) | 微服务访问方法、装置、设备及存储介质 | |
| EP3572963B1 (en) | Database access-control policy enforcement using reverse queries | |
| US6697808B1 (en) | Method and system for performing advanced object searching of a metadata repository used by a decision support system | |
| US6064656A (en) | Distributed system and method for controlling access control to network resources | |
| US6487552B1 (en) | Database fine-grained access control | |
| US6578037B1 (en) | Partitioned access control to a database | |
| EP2548138B1 (en) | Computer relational database method and system having role based access control | |
| CN110069941A (zh) | 一种接口访问鉴权方法、装置及计算机可读介质 | |
| US6587858B1 (en) | Systems and methods for the control of dynamic data and request criteria in a data repository | |
| US20010054151A1 (en) | System and method for determining user identity fraud using similarity searching | |
| JP2000035949A (ja) | セキュア分散型ネットワークにおけるデータベースアクセス制御を供給するシステム及び方法 | |
| US6442569B1 (en) | Apparatus and method for data transfer between databases | |
| CN102722540B (zh) | 实时内存数据库系统中数据处理方法及装置 | |
| CN105468619B (zh) | 用于数据库连接池的资源分配方法和装置 | |
| CN110968894B (zh) | 一种针对游戏业务数据的细粒度访问控制方案 | |
| CN106372266A (zh) | 一种基于切面和配置文件的云操作系统缓存及访问方法 | |
| WO2009011496A2 (en) | Security system using the data masking and data security method thereof | |
| CN108241540A (zh) | 一种跨数据源查询的任务调度方法以及装置 | |
| CN104363112B (zh) | 一种参数管理方法及装置 | |
| CN110334499A (zh) | 接口权限管控方法、装置、计算机设备和存储介质 | |
| CN113342876A (zh) | SaaS环境下多租户CRM系统的数据模糊查询方法及装置 | |
| CN110096892A (zh) | 数据库属性访问控制方法及系统 | |
| CN109063439A (zh) | 一种用于Spark SQL的用户权限控制方法和系统 | |
| CN109033810A (zh) | 一种权限管理系统 | |
| CN107239711A (zh) | 一种数据库行权限控制方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |