CN110188573A - 分区授权方法、装置、设备及计算机可读存储介质 - Google Patents

分区授权方法、装置、设备及计算机可读存储介质 Download PDF

Info

Publication number
CN110188573A
CN110188573A CN201910459668.5A CN201910459668A CN110188573A CN 110188573 A CN110188573 A CN 110188573A CN 201910459668 A CN201910459668 A CN 201910459668A CN 110188573 A CN110188573 A CN 110188573A
Authority
CN
China
Prior art keywords
target partition
subregion
active user
path
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910459668.5A
Other languages
English (en)
Other versions
CN110188573B (zh
Inventor
唐豪鸿
谢健
周可
林子康
邸帅
卢道和
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
WeBank Co Ltd
Original Assignee
WeBank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by WeBank Co Ltd filed Critical WeBank Co Ltd
Priority to CN201910459668.5A priority Critical patent/CN110188573B/zh
Publication of CN110188573A publication Critical patent/CN110188573A/zh
Priority to PCT/CN2020/080558 priority patent/WO2020238359A1/zh
Application granted granted Critical
Publication of CN110188573B publication Critical patent/CN110188573B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • G06F16/254Extract, transform and load [ETL] procedures, e.g. ETL data flows in data warehouses
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • G06F16/90335Query processing
    • G06F16/90344Query processing by using string matching techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • G06F40/205Parsing
    • G06F40/211Syntactic parsing, e.g. based on context-free grammar [CFG] or unification grammars
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • G06F40/253Grammatical analysis; Style critique
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Bioethics (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Medical Informatics (AREA)
  • Accounting & Taxation (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Finance (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • Technology Law (AREA)
  • General Business, Economics & Management (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及金融科技的大数据领域,并公开了一种分区授权方法、装置、设备及计算机可读存储介质,该方法包括以下步骤:接收由Hive端发送的当前用户请求访问的目标分区的目标分区路径和当前用户标识;根据目标分区路径、当前用户标识和预设鉴权策略验证当前用户是否具有目标分区的数据访问权限;若当前用户具有目标分区的数据访问权限,则允许Hive端向当前用户提供目标分区的数据访问服务。本发明通过Ranger端的分区鉴权策略对Hive端的数据访问服务进行分区授权,实现了不同业务用户只能操作与自己业务相关的分区数据,进而实现了金融基础设施(分布式、云计算、区块链等)的更细粒度的安全权限管理。

Description

分区授权方法、装置、设备及计算机可读存储介质
技术领域
本发明涉及金融科技(Fintech)的大数据技术领域,尤其涉及一种分区授权方法、装置、设备及计算机可读存储介质。
背景技术
随着计算机技术的发展,越来越多的技术(大数据、分布式、区块链Blockchain、人工智能等)应用在金融领域,传统金融业正在逐步向金融科技(Fintech)转变,但由于金融行业的安全性、实时性要求,也对技术提出了更高的要求。
对于大数据平台安全管理而言,随着数据量的增长,用户的增加,业务越来越复杂,一种集中式和细粒度权限控制方法也是日益重要。Apache Ranger就是一个很好的解决方案,它能很好地支持Hadoop生态圈各组件的集中式管理,还能提供非常细粒度的权限管理,能满足日常大部分的安全权限管理需求。但其对Hive的支持还是存在缺陷,例如不支持对分区表的分区权限控制。
发明内容
本发明的主要目的在于提供一种分区授权方法、装置、设备及计算机可读存储介质,旨在解决现有技术Ranger不支持按分区进行权限控制的技术问题。
为实现上述目的,本发明提供一种分区授权方法,所述分区授权方法应用于Ranger端,所述分区授权方法包括以下步骤:
接收由Hive端发送的当前用户请求访问的目标分区的目标分区路径和当前用户标识;
根据所述目标分区路径、当前用户标识和预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限;
若所述当前用户具有所述目标分区的数据访问权限,则允许Hive端向所述当前用户提供所述目标分区的数据访问服务。
可选地,所述目标分区路径和当前用户标识由Hive端接收当前用户输入的请求访问目标分区的访问语句,对所述访问语句进行词法解析和语法解析得到语法树,再从所述语法树中提取得到目标分区路径和当前用户标识。
可选地,所述接收由Hive端发送的当前用户请求访问的目标分区的目标分区路径和当前用户标识的步骤之前,还包括:
在接收到策略修改指令时,根据所述策略修改指令携带的分区路径和与所述分区路径相映射的用户标识修改预设鉴权策略,并将修改后的预设鉴权策略保存;
所述根据所述目标分区路径、当前用户标识和预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限的步骤包括:
根据所述目标分区路径、当前用户标识和修改后的预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限。
可选地,所述策略修改指令携带的分区路径为含有通配符的字符串,所述在接收到策略修改指令时,根据所述策略修改指令携带的分区路径和与所述分区路径相映射的用户标识修改预设鉴权策略,并将修改后的预设鉴权策略保存的步骤包括:
在接收到策略修改指令时,检索与所述含有通配符的字符串相对应的所有分区路径;
根据所述与所述含有通配符的字符串相对应的所有分区路径,和所述策略修改指令携带的用户标识修改预设鉴权策略,并将修改后的预设鉴权策略保存。
可选地,所述根据所述目标分区路径、当前用户标识和预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限的步骤包括:
根据所述目标分区路径和预设鉴权策略获取与所述目标分区路径相映射的用户标识;
判断与所述目标分区路径相映射的用户标识与所述当前用户标识是否一致;
若与所述目标分区路径相映射的用户标识与所述当前用户标识一致,则所述当前用户具有所述目标分区的数据访问权限;
若与所述目标分区路径相映射的用户标识与所述当前用户标识不一致,则所述当前用户不具有所述目标分区的数据访问权限。
可选地,所述接收由Hive端发送的当前用户请求访问的目标分区的目标分区路径和当前用户标识的步骤之前,还包括:
在接收到权限对象添加指令时,在Ranger的元数据中的权限管理表中添加数据仓库工具分区类型,以使用户能够通过Hive端输入目标分区路径,所述权限管理表定义了Ranger中待进行权限管理的对象。
可选地,所述若所述当前用户具有所述目标分区的数据访问权限,则允许Hive端向所述当前用户提供所述目标分区的数据访问服务的步骤包括:
若所述当前用户具有所述目标分区的数据访问权限,获取所述用户标识的注册时间;
通过所述Hive端向所述当前用户提供所述目标分区在所述注册时间以后更新的数据的数据访问服务。
进一步地,为实现上述目的,本发明还提供一种分区授权装置,所述分区授权装置应用于Ranger端,所述分区授权装置包括:
接收模块,用于接收由Hive端发送的当前用户请求访问的目标分区的目标分区路径和当前用户标识;
验证模块,用于根据所述目标分区路径、当前用户标识和预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限;
访问模块,用于若所述当前用户具有所述目标分区的数据访问权限,则允许Hive端向所述当前用户提供所述目标分区的数据访问服务。
进一步地,为实现上述目的,本发明还提供一种分区授权设备,所述分区授权设备包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的分区授权程序,所述分区授权程序被所述处理器执行时实现如上述所述的分区授权方法的步骤。
进一步地,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有分区授权程序,所述分区授权程序被处理器执行时实现如上所述的分区授权方法的步骤。
本发明通过接收由Hive端发送的当前用户请求访问的目标分区的目标分区路径和当前用户标识;根据目标分区路径、当前用户标识和预设鉴权策略验证当前用户是否具有目标分区的数据访问权限;若当前用户具有目标分区的数据访问权限,则允许Hive端向当前用户提供目标分区的数据访问服务。本发明通过在Ranger端增加分区鉴权策略,根据分区鉴权策略对Hive端的数据访问服务进行分区授权,实现了不同业务用户只能操作与自己业务相关的分区数据,达到了数据隔离的目的,进而实现了金融基础设施(分布式、云计算、区块链等)的更细粒度的安全权限管理。
附图说明
图1为本发明分区授权设备实施例方案涉及的设备硬件运行环境的结构示意图;
图2为本发明分区授权方法第一实施例的流程示意图;
图3为本发明分区授权装置的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
需要说明的是,现有的Apache Ranger能很好地支持Hadoop生态圈各组件的集中式管理,还能提供非常细粒度的权限管理,能满足日常大部分的安全权限管理需求。但其对Hive的支持还是存在缺陷,例如不支持对分区表的分区权限控制。
基于上述缺陷,本发明提供一种分区授权设备,参照图1,图1为本发明分区授权设备实施例方案涉及的设备硬件运行环境的结构示意图。
如图1所示,该分区授权设备可以包括:处理器1001,例如CPU,通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储设备。
本领域技术人员可以理解,图1中示出的分区授权设备的硬件结构并不构成对分区授权设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机可读存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及分区授权程序。其中,操作系统是管理和控制分区授权设备与软件资源的程序,支持网络通信模块、用户接口模块、分区授权程序以及其他程序或软件的运行;网络通信模块用于管理和控制网络接口1004;用户接口模块用于管理和控制用户接口1003。
在图1所示的分区授权设备硬件结构中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;处理器1001可以调用存储器1005中存储的分区授权程序,并执行以下操作:
接收由Hive端发送的当前用户请求访问的目标分区的目标分区路径和当前用户标识;
根据所述目标分区路径、当前用户标识和预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限;
若所述当前用户具有所述目标分区的数据访问权限,则允许Hive端向所述当前用户提供所述目标分区的数据访问服务。
进一步地,所述目标分区路径和当前用户标识由Hive端接收当前用户输入的请求访问目标分区的访问语句,对所述访问语句进行词法解析和语法解析得到语法树,再从所述语法树中提取得到目标分区路径和当前用户标识。
进一步地,所述接收由Hive端发送的当前用户请求访问的目标分区的目标分区路径和当前用户标识的步骤之前,处理器1001还用于调用存储器1005中存储的分区授权程序,并执行以下操作:
在接收到策略修改指令时,根据所述策略修改指令携带的分区路径和与所述分区路径相映射的用户标识修改预设鉴权策略,并将修改后的预设鉴权策略保存;
所述根据所述目标分区路径、当前用户标识和预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限的步骤包括:
根据所述目标分区路径、当前用户标识和修改后的预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限。
进一步地,所述策略修改指令携带的分区路径为含有通配符的字符串,所述在接收到策略修改指令时,根据所述策略修改指令携带的分区路径和与所述分区路径相映射的用户标识修改预设鉴权策略,并将修改后的预设鉴权策略保存的步骤包括:
在接收到策略修改指令时,检索与所述含有通配符的字符串相对应的所有分区路径;
根据所述与所述含有通配符的字符串相对应的所有分区路径,和所述策略修改指令携带的用户标识修改预设鉴权策略,并将修改后的预设鉴权策略保存。
进一步地,所述根据所述目标分区路径、当前用户标识和预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限的步骤包括:
根据所述目标分区路径和预设鉴权策略获取与所述目标分区路径相映射的用户标识;
判断与所述目标分区路径相映射的用户标识与所述当前用户标识是否一致;
若与所述目标分区路径相映射的用户标识与所述当前用户标识一致,则所述当前用户具有所述目标分区的数据访问权限;
若与所述目标分区路径相映射的用户标识与所述当前用户标识不一致,则所述当前用户不具有所述目标分区的数据访问权限。
进一步地,所述接收由Hive端发送的当前用户请求访问的目标分区的目标分区路径和当前用户标识的步骤之前,处理器1001还用于调用存储器1005中存储的分区授权程序,并执行以下操作:
在接收到权限对象添加指令时,在Ranger的元数据中的权限管理表中添加数据仓库工具分区类型,以使用户能够通过Hive端输入目标分区路径,所述权限管理表定义了Ranger中待进行权限管理的对象。
进一步地,所述若所述当前用户具有所述目标分区的数据访问权限,则允许Hive端向所述当前用户提供所述目标分区的数据访问服务的步骤包括:
若所述当前用户具有所述目标分区的数据访问权限,获取所述用户标识的注册时间;
通过所述Hive端向所述当前用户提供所述目标分区在所述注册时间以后更新的数据的数据访问服务。
本发明分区授权设备的具体实施方式与下述分区授权方法各实施例基本相同,在此不再赘述。
本发明还提供一种分区授权方法。
Hadoop:是一个能够对大量数据进行分布式处理的开源软件框架。。
Apache Ranger:提供一个集中式安全管理框架,并解决授权和审计,它可以对Hadoop生态的组件如HDFS、Yarn(资源管理系统)、Hive、Hbase(分布式列存数据库)等进行细粒度的数据访问控制。通过控制Ranger控制台,管理员可以轻松的通过配置策略来控制用户访问权限。
Hive:一种基于Hadoop的数据仓库工具,可以将结构化的数据文件映射为一张数据库表,并提供完整的SQL(Structured Query Language,结构化查询语言)查询功能,可以将sql语句转换为MapReduce任务进行运行,Hive基于数据仓库,提供静态数据的动态查询,其使用类SQL语言,底层经过编译转为MapReduce程序,在Hadoop上运行,数据存储在HDFS(分布式文件系统)上。
由于现有大数据的安全权限管理方式,可对各个组件进行权限访问控制的管理,也可以对访问场景的权限控制管理,但是这些权限管理控制的方式,在细化粒度中还比较片面,远不符合银行机构等金融机构的实际需求。银行机构等金融机构对权限控制管理更加严格。
基于此,本发明实施例提供了分区授权方法的实施例,需要说明的是,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在分区授权方法的各个实施例中,为了便于描述,省略执行主体进行阐述各个实施例。参照图2,图2为本发明分区授权方法第一实施例的流程示意图,所述分区授权方法应用于Ranger端,所述分区授权方法包括:
步骤S10,接收由Hive端发送的当前用户请求访问的目标分区的目标分区路径和当前用户标识;
Apache Ranger能很好地支持Hadoop生态圈各组件的集中式管理,还能提供非常细粒度的权限管理,能满足日常大部分的安全权限管理需求。但其对Hive不支持分区权限控制,不能满足多级分区权限管理的需求。
为解决现有技术Ranger不支持按分区进行权限控制的技术问题,本实施例在步骤S10之前还包括:对Ranger的元数据表进行修改以在权限管理类型中新增分区类型项,具体地,管理员可以通过操作Ranger端,在Ranger的元数据中的权限管理表x_resource_def表中添加数据仓库工具分区Hive Partition类型,x_resource_def表定义了Ranger中需要进行权限管理的对象Resource,例如某一个数据库、某一张表、某一列。
然后,对Ranger端鉴权策略进行修改。在接收到策略修改指令时,Ranger端根据所述策略修改指令携带的分区路径和与所述分区路径相映射的用户标识修改预设鉴权策略,并将修改后的预设鉴权策略保存。具体地,在接收到策略修改指令时,Ranger端根据所述策略修改指令携带的分区路径和与所述分区路径相映射的用户标识修改x_policy_resource_map表,x_policy_resource_map表中存储有预设鉴权策略,所述预设鉴权策略包括分区路径和与其相映射的具有访问该分区权限的用户标识。此外,该表中还可存储有其他类型权限管理对象(库、表、列)的鉴权策略,具体情况本实施例不做限制,可参见关于Ranger授权策略的现有技术,本实施例不再赘述。
在本实施例中,在对Ranger端的鉴权策略修改完成后,用户可通过Hive端发起对目标分区的访问请求,访问请求以访问语句的形式发出,Hive端接收到用户输入的请求访问目标分区的访问语句时,对该访问语句进行语法分析得到包含目标分区路径和当前用户标识的语法树,并将所述目标分区路径和当前用户标识发送给Ranger端,以供Ranger端获取所述访问语句携带的目标分区路径和当前用户标识。
其中,在运维人员根据产品标识、业务标识或其他分区规则为Hive端的数据划分分区后,每个分区都对应有唯一的访问路径,即分区路径。
步骤S20,根据所述目标分区路径、当前用户标识和预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限;
在本实施例中,在获取到目标分区路径和当前用户标识后,需对当前用户的数据访问权限进行验证。具体地,根据所目标分区路径和预设鉴权策略获取与所述目标分区路径相映射的用户标识;判断与所述目标分区路径相映射的用户标识与所述当前用户标识是否一致;若与所述目标分区路径相映射的用户标识与所述当前用户标识一致,则所述当前用户具有所述目标分区的数据访问权限;若与所述目标分区路径相映射的用户标识与所述当前用户标识不一致,则所述当前用户不具有所述目标分区的数据访问权限。
步骤S30,若所述当前用户具有所述目标分区的数据访问权限,则允许Hive端向所述当前用户提供所述目标分区的数据访问服务。
在本实施例中,若Ranger端判定当前用户具有目标分区的数据访问权限,则允许Hive端向当前用户提供目标分区的数据访问服务。
例如,在银行等金融机构中,若业务员通过Hive端请求访问A产品的分区数据,Ranger端根据预设鉴权策略判定业务员具有A产品的分区数据的数据访问权限,则Ranger端通过Hive端向该业务员提供A产品的分区数据的数据访问服务。
本实施例通过接收由Hive端发送的当前用户请求访问的目标分区的目标分区路径和当前用户标识;根据所述目标分区路径、当前用户标识和预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限;若所述当前用户具有所述目标分区的数据访问权限,则允许Hive端向所述当前用户提供所述目标分区的数据访问服务。通过在Ranger端增加分区鉴权策略,根据分区鉴权策略对Hive端的数据访问服务进行分区授权,实现了不同业务用户只能操作与自己业务相关的分区数据,达到了数据隔离的目的,进而实现了更细粒度的安全权限管理,更加符合银行等金融机构的实际需求。
进一步地,提出本发明分区授权方法第二实施例,上述步骤S10之前还包括:
步骤S101,在接收到权限对象添加指令时,在Ranger的元数据中的权限管理表中添加数据仓库工具分区类型,以使用户能够通过Hive端输入目标分区路径,所述权限管理表定义了Ranger中待进行权限管理的对象。
在本实施例中,在接收到管理员发起的权限对象添加指令时,对Ranger的元数据表进行修改以在权限管理类型中新增分区类型项,具体地,管理员可以通过操作Ranger端,在Ranger的元数据中的权限管理表x_resource_def表中添加数据仓库工具分区类型,即Hive Partition类型。其中,x_resource_def表定义了Ranger中需要进行权限管理的对象Resource,例如某一个数据库、某一张表、某一列。
进一步地,上述步骤S10之前还包括:
步骤S11,在接收到策略修改指令时,根据所述策略修改指令携带的分区路径和与所述分区路径相映射的用户标识修改预设鉴权策略,并将修改后的预设鉴权策略保存;
所述步骤S20包括:
根据所述目标分区路径、当前用户标识和修改后的预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限。
具体地,根据所述目标分区路径和修改后的预设鉴权策略获取与所述目标分区路径相映射的用户标识;判断与所述目标分区路径相映射的用户标识与所述当前用户标识是否一致;若与所述目标分区路径相映射的用户标识与所述当前用户标识一致,则所述当前用户具有所述目标分区的数据访问权限;若与所述目标分区路径相映射的用户标识与所述当前用户标识不一致,则所述当前用户不具有所述目标分区的数据访问权限。
在本实施例中,在步骤S10之前还包括对Ranger的元数据表进行修改以在权限管理类型中新增分区类型项,具体地,管理员可以通过操作Ranger控制台,在Ranger的元数据中的x_resource_def表中添加Hive Partition类型,x_resource_def表定义了Ranger中需要进行权限管理的对象Resource,例如某一个数据库、某一张表、某一列。
然后,对Ranger端鉴权策略进行修改。在接收到策略修改指令时,Ranger端根据所述策略修改指令携带的分区路径和与所述分区路径相映射的用户标识修改预设鉴权策略,并将修改后的预设鉴权策略保存。具体地,在接收到策略修改指令时,Ranger端根据所述策略修改指令携带的分区路径和与所述分区路径相映射的用户标识修改x_policy_resource_map表,x_policy_resource_map表中存储有预设鉴权策略,所述预设鉴权策略包括分区路径和与其相映射的具有访问该分区权限的用户标识。此外,该表中还可存储有其他类型权限管理对象(库、表、列)的鉴权策略,具体情况本实施例不做限制,可参见关于Ranger授权策略的现有技术,本实施例不再赘述。
进一步地,所述策略修改指令携带的分区路径为含有通配符的字符串,上述步骤S11包括:
在接收到策略修改指令时,检索与所述含有通配符的字符串相对应的所有分区路径;
根据所述与所述含有通配符的字符串相对应的所有分区路径,和所述策略修改指令携带的用户标识修改预设鉴权策略,并将修改后的预设鉴权策略保存。
在本实施例中,管理员在设置鉴权策略时,需输入分区路径和对应的用户标识,但有时管理员可能需要设置一系列包含相同字符串的分区路径的权限,若是逐个输入分区路径效率较低。而通过输入含有通配符的字符串,在接收到策略修改指令时,Ranger端根据上述含有通配符的字符串检索以获取相对应的所有分区路径,并将根据这些分区路径和用户标识修改预设鉴权策略,并将修改后的预设鉴权策略保存。例如,管理员想要查找以fintech开头的分区路径,可以输入fintech*查找以fintech开头的所有分区路径。
进一步地,Ranger端根据上述含有通配符的字符串检索获取到相对应的所有分区路径后,可将这些分区路径反馈给管理员,以供选择,再根据管理员选择的分区路径与用户标识修改预设鉴权策略,并将修改后的预设鉴权策略保存。
进一步地,若用户不知道目标分区路径的真正字符或者不想键入完整路径时,用户也可采用通配符的方式输入分区路径。
进一步地,再根据目标分区路径、当前用户标识、和修改后的预设鉴权策略验证当前用户是否具有目标分区的数据访问权限。
进一步地,所述目标分区路径和当前用户标识由Hive端接收当前用户输入的请求访问目标分区的访问语句,对所述访问语句进行词法解析和语法解析得到语法树,再从所述语法树中提取得到目标分区路径和当前用户标识。
在本实施例中,在对Ranger端的鉴权策略修改完成后,用户可通过Hive端发起对目标分区的访问请求,访问请求以访问语句的形式发出,Hive端在接收到用户输入的请求访问目标分区的访问语句时,对该访问语句进行词法解析和语法解析得到语法树,语法树是所述访问语句的源代码的语法结构的树状表现形式,所述语法树上的每个节点表示所述访问语句中包含的一种语法结构,再从所述语法树中的节点上提取得到目标分区路径和当前用户标识,并将所述目标分区路径和当前用户标识发送给Ranger端,以供Ranger端获取所述访问语句携带的目标分区路径和当前用户标识。
进一步地,用户可通过下面两种方法向Hive端发送对相关分区的访问语句,一种是beeline命令行工具,另一种是通过应用程序建立JDBC(Java DataBase Connectivity,java数据库连接)链接,以上两种方法择其一实施。
进一步地,上述步骤S20之后还包括:
若所述当前用户不具有所述目标分区的数据访问权限,则拒绝所述访问请求,并向所述Hive端发送告警提示。
本实施例通过对Ranger的元数据表进行修改,为不同分区配置鉴权策略,实现了更细粒度的安全权限管理。
进一步地,提出本发明分区授权方法第三实施例,上述步骤S20包括:
步骤S21,根据所述目标分区路径和预设鉴权策略获取与所述目标分区路径相映射的用户标识;
在本实施例中,在获取到目标分区路径和当前用户标识后,需根据目标分区路径、当前用户标识和预设鉴权策略对当前用户的数据访问权限进行验证。具体地,由于预设鉴权策略包括分区路径和与其相映射的具有访问该分区权限的用户标识,因此在获取到目标分区路径后,即可根据该目标分区路径从预设鉴权策略中获取与之相映射的具有访问该分区权限的用户标识。
进一步地,在步骤S21之前还可以包括:判断所述目标分区路径是否具有与之相映射的预设鉴权策略;若所述目标分区路径不具有与之相映射的预设鉴权策略,说明该目标分区对所有用户提供数据访问服务,即所有用户具有该目标分区的数据访问权限;若所述目标分区路径具有与之相映射的预设鉴权策略,则执行步骤S22。
步骤S22,判断与所述目标分区路径相映射的用户标识与所述当前用户标识是否一致;
步骤S23,若与所述目标分区路径相映射的用户标识与所述当前用户标识一致,则所述当前用户具有所述目标分区的数据访问权限;
步骤S24,若与所述目标分区路径相映射的用户标识与所述当前用户标识不一致,则所述当前用户不具有所述目标分区的数据访问权限。
在本实施例中,在根据目标分区路径和预设鉴权策略获取与目标分区路径相映射的用户标识后,根据与目标分区路径相映射的用户标识与当前用户标识是否一致判断当前用户是否具有目标分区的数据访问权限。具体地,若与目标分区路径相映射的用户标识与当前用户标识一致,则判定当前用户具有目标分区的数据访问权限;若与目标分区路径相映射的用户标识与当前用户标识不一致,则当前用户不具有目标分区的数据访问权限。
进一步地,为提高分区授权访问的细粒度性,上述步骤S30包括:
步骤S31,若所述当前用户具有所述目标分区的数据访问权限,获取所述用户标识的注册时间;
在本实施例中,为提高分区授权访问的细粒度性,使用户不能访问该用户注册时间以前的历史数据,进而降低了数据泄露风险。具体地,若判定当前用户具有目标分区的数据访问权限,则获取该用户标识的注册时间。
步骤S32,通过所述Hive端向所述当前用户提供所述目标分区在所述注册时间以后更新的数据的数据访问服务。
在获取到该用户标识的注册时间后,通过Hive端向当前用户提供目标分区在注册时间以后更新的数据的数据访问服务。例如,若当前用户请求访问A产品的分区数据,若当前用户具有A产品的分区数据的数据访问权限,且获取到当前用户的注册时间为2019年5月1日15:00,则Ranger端通过Hive端向当前用户提供A产品分区在2019年5月1日15:00以后更新的数据的数据访问服务,对于A产品分区在2019年5月1日15:00以前的数据不对当前用户提供数据访问服务,实现了新增用户只能看到最新的数据,不能访问历史数据,从而降低了数据泄露风险,实现更细粒度的安全权限管理。
进一步地,上述步骤S30之后还包括:
步骤S33,记录所述当前用户在所述Hive端的操作日志,以供运维人员进行安全审计。
在本实施例中,Ranger端会记录当前用户在Hive端的操作日志,以供运维人员进行安全审计。审计是记录数据库中用户活动行为的一种机制,是对选定用户动作的监控和记录,它不但能记录谁访问了数据库,还能记录访问者对数据库进行了何种操作。在运维人员发现数据有可能被非法操作后,就可以通过操作日志对数据库的所有连接和操作进行审计,这样就可以发现非法用户的来源、使用的终端和会话时间等。
在本实施例中,通过在Ranger端增加分区鉴权策略,根据分区鉴权策略对Hive端的数据访问服务进行分区授权,实现了不同业务用户只能操作与自己业务相关的分区数据,达到了数据隔离的目的;还通过向用户提供目标分区在注册时间以后更新的数据的数据访问服务,实现了不同业务用户只能操作与自己业务相关的分区数据,且新增用户只能看到最新的数据,不能访问历史数据,从而降低了数据泄露风险,实现更细粒度的安全权限管理,更加符合银行等金融机构的实际需求。
本发明还提供一种分区授权装置。
参照图3,图3为本发明分区授权装置第一实施例的功能模块示意图,所述分区授权装置应用于Ranger端,所述分区授权装置包括:
接收模块10,用于接收由Hive端发送的当前用户请求访问的目标分区的目标分区路径和当前用户标识;
验证模块20,用于根据所述目标分区路径、当前用户标识和预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限;
访问模块30,用于若所述当前用户具有所述目标分区的数据访问权限,则允许Hive端向所述当前用户提供所述目标分区的数据访问服务。
进一步地,所述接收模块还用于:
接收由Hive端发送的当前用户请求访问的目标分区的目标分区路径和当前用户标识,所述目标分区路径和当前用户标识由Hive端接收当前用户输入的请求访问目标分区的访问语句,对所述访问语句进行词法解析和语法解析得到语法树,再从所述语法树中提取得到目标分区路径和当前用户标识。
进一步地,所述分区授权装置还包括:
保存模块,用于在接收到策略修改指令时,根据所述策略修改指令携带的分区路径和与所述分区路径相映射的用户标识修改预设鉴权策略,并将修改后的预设鉴权策略保存;
所述验证模块还用于根据所述目标分区路径、当前用户识和修改后的预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限。
进一步地,所述保存模块还用于:
在接收到策略修改指令时,检索与所述含有通配符的字符串相对应的所有分区路径;
根据所述与所述含有通配符的字符串相对应的所有分区路径,和所述策略修改指令携带的用户标识修改预设鉴权策略,并将修改后的预设鉴权策略保存。
进一步地,所述验证模块还用于:
根据所述目标分区路径和预设鉴权策略获取与所述目标分区路径相映射的用户标识;
判断与所述目标分区路径相映射的用户标识与所述当前用户标识是否一致;
若与所述目标分区路径相映射的用户标识与所述当前用户标识一致,则所述当前用户具有所述目标分区的数据访问权限;
若与所述目标分区路径相映射的用户标识与所述当前用户标识不一致,则所述当前用户不具有所述目标分区的数据访问权限。
进一步地,所述分区授权装置还包括:
添加模块,用于在接收到权限对象添加指令时,在Ranger的元数据中的权限管理表中添加数据仓库工具分区类型,以使用户能够通过Hive端输入目标分区路径,所述权限管理表定义了Ranger中待进行权限管理的对象。
进一步地,所述访问模块还用于:
若所述当前用户具有所述目标分区的数据访问权限,获取所述用户标识的注册时间;
通过所述Hive端向所述当前用户提供所述目标分区在所述注册时间以后更新的数据的数据访问服务。
本发明分区授权装置具体实施方式与上述分区授权方法各实施例基本相同,在此不再赘述。
此外,本发明实施例还提出一种计算机可读存储介质。
计算机可读存储介质上存储有分区授权程序,分区授权程序被处理器执行时实现如上所述的分区授权方法的步骤。
本发明计算机可读存储介质具体实施方式与上述分区授权方法各实施例基本相同,在此不再赘述。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,这些均属于本发明的保护之内。

Claims (10)

1.一种分区授权方法,其特征在于,所述分区授权方法应用于Ranger端,所述分区授权方法包括以下步骤:
接收由Hive端发送的当前用户请求访问的目标分区的目标分区路径和当前用户标识;
根据所述目标分区路径、当前用户标识和预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限;
若所述当前用户具有所述目标分区的数据访问权限,则允许Hive端向所述当前用户提供所述目标分区的数据访问服务。
2.如权利要求1所述的分区授权方法,其特征在于,所述目标分区路径和当前用户标识由Hive端接收当前用户输入的请求访问目标分区的访问语句,对所述访问语句进行词法解析和语法解析得到语法树,再从所述语法树中提取得到目标分区路径和当前用户标识。
3.如权利要求1所述的分区授权方法,其特征在于,所述接收由Hive端发送的当前用户请求访问的目标分区的目标分区路径和当前用户标识的步骤之前,还包括:
在接收到策略修改指令时,根据所述策略修改指令携带的分区路径和与所述分区路径相映射的用户标识修改预设鉴权策略,并将修改后的预设鉴权策略保存;
所述根据所述目标分区路径、当前用户标识和预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限的步骤包括:
根据所述目标分区路径、当前用户标识和修改后的预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限。
4.如权利要求3所述的分区授权方法,其特征在于,所述策略修改指令携带的分区路径为含有通配符的字符串,所述在接收到策略修改指令时,根据所述策略修改指令携带的分区路径和与所述分区路径相映射的用户标识修改预设鉴权策略,并将修改后的预设鉴权策略保存的步骤包括:
在接收到策略修改指令时,检索与所述含有通配符的字符串相对应的所有分区路径;
根据所述与所述含有通配符的字符串相对应的所有分区路径,和所述策略修改指令携带的用户标识修改预设鉴权策略,并将修改后的预设鉴权策略保存。
5.如权利要求1所述的分区授权方法,其特征在于,所述根据所述目标分区路径、当前用户标识和预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限的步骤包括:
根据所述目标分区路径和预设鉴权策略获取与所述目标分区路径相映射的用户标识;
判断与所述目标分区路径相映射的用户标识与所述当前用户标识是否一致;
若与所述目标分区路径相映射的用户标识与所述当前用户标识一致,则所述当前用户具有所述目标分区的数据访问权限;
若与所述目标分区路径相映射的用户标识与所述当前用户标识不一致,则所述当前用户不具有所述目标分区的数据访问权限。
6.如权利要求1所述的分区授权方法,其特征在于,所述接收由Hive端发送的当前用户请求访问的目标分区的目标分区路径和当前用户标识的步骤之前,还包括:
在接收到权限对象添加指令时,在Ranger的元数据中的权限管理表中添加数据仓库工具分区类型,以使用户能够通过Hive端输入目标分区路径,所述权限管理表定义了Ranger中待进行权限管理的对象。
7.如权利要求1-6任一项所述的分区授权方法,其特征在于,所述若所述当前用户具有所述目标分区的数据访问权限,则允许Hive端向所述当前用户提供所述目标分区的数据访问服务的步骤包括:
若所述当前用户具有所述目标分区的数据访问权限,获取所述用户标识的注册时间;
通过所述Hive端向所述当前用户提供所述目标分区在所述注册时间以后更新的数据的数据访问服务。
8.一种分区授权装置,其特征在于,所述分区授权装置应用于Ranger端,所述分区授权装置包括:
接收模块,用于接收由Hive端发送的当前用户请求访问的目标分区的目标分区路径和当前用户标识;
验证模块,用于根据所述目标分区路径、当前用户标识和预设鉴权策略验证所述当前用户是否具有所述目标分区的数据访问权限;
访问模块,用于若所述当前用户具有所述目标分区的数据访问权限,则允许Hive端向所述当前用户提供所述目标分区的数据访问服务。
9.一种分区授权设备,其特征在于,所述分区授权设备包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的分区授权程序,所述分区授权程序被所述处理器执行时实现如权利要求1-7中任一项所述的分区授权方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有分区授权程序,所述分区授权程序被处理器执行时实现如权利要求1-7中任一项所述的分区授权方法的步骤。
CN201910459668.5A 2019-05-27 2019-05-27 分区授权方法、装置、设备及计算机可读存储介质 Active CN110188573B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201910459668.5A CN110188573B (zh) 2019-05-27 2019-05-27 分区授权方法、装置、设备及计算机可读存储介质
PCT/CN2020/080558 WO2020238359A1 (zh) 2019-05-27 2020-03-23 分区授权方法、装置、设备及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910459668.5A CN110188573B (zh) 2019-05-27 2019-05-27 分区授权方法、装置、设备及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN110188573A true CN110188573A (zh) 2019-08-30
CN110188573B CN110188573B (zh) 2024-06-04

Family

ID=67718643

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910459668.5A Active CN110188573B (zh) 2019-05-27 2019-05-27 分区授权方法、装置、设备及计算机可读存储介质

Country Status (2)

Country Link
CN (1) CN110188573B (zh)
WO (1) WO2020238359A1 (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110619226A (zh) * 2019-09-12 2019-12-27 秒针信息技术有限公司 一种基于平台的数据处理方法、系统、设备及存储介质
CN111125767A (zh) * 2019-12-26 2020-05-08 秒针信息技术有限公司 动态脱敏方法、装置、电子设备和计算机可读存储介质
CN111177743A (zh) * 2019-12-06 2020-05-19 西安交通大学 一种面向信用大数据的风险控制方法及其系统
CN111274167A (zh) * 2020-01-21 2020-06-12 李岗 介质数据的保护方法及系统
CN111651122A (zh) * 2020-05-20 2020-09-11 远景智能国际私人投资有限公司 数据删除方法、装置、服务器及存储介质
CN111797424A (zh) * 2019-11-26 2020-10-20 北京京东尚科信息技术有限公司 处理请求的方法和装置
WO2020238359A1 (zh) * 2019-05-27 2020-12-03 深圳前海微众银行股份有限公司 分区授权方法、装置、设备及计算机可读存储介质
CN112257097A (zh) * 2020-11-23 2021-01-22 浪潮云信息技术股份公司 一种基于分布式数据库的分区权限管理方法
WO2023173908A1 (zh) * 2022-03-17 2023-09-21 华为云计算技术有限公司 访问文件的方法、装置、系统及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106462717A (zh) * 2014-06-23 2017-02-22 甲骨文国际公司 用于在多租户应用服务器环境中支持安全性的系统和方法
WO2017129138A1 (zh) * 2016-01-26 2017-08-03 中兴通讯股份有限公司 数据仓库中的数据保护方法及装置
US9948655B1 (en) * 2016-04-15 2018-04-17 AtScale, Inc. Data access authorization for dynamically generated database structures
CN108280367A (zh) * 2018-01-22 2018-07-13 腾讯科技(深圳)有限公司 数据操作权限的管理方法、装置、计算设备及存储介质
CN109299613A (zh) * 2018-09-03 2019-02-01 中国平安人寿保险股份有限公司 数据库分区权限的设置方法和终端设备
CN109309686A (zh) * 2018-11-01 2019-02-05 浪潮软件集团有限公司 一种多租户管理方法及装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3465431A4 (en) * 2016-05-23 2020-03-25 JPMorgan Chase Bank, N.A. SECURITY DESIGN AND ARCHITECTURE FOR A MULTI-TENANT HADOOP CLUSTER
CN107066867A (zh) * 2017-03-11 2017-08-18 郑州云海信息技术有限公司 一种大数据集群资源分配方法及装置
CN107196951B (zh) * 2017-06-12 2019-02-26 北京明朝万达科技股份有限公司 一种hdfs系统防火墙的实现方法和防火墙系统
CN107622211A (zh) * 2017-09-27 2018-01-23 浪潮软件股份有限公司 一种大数据集群权限访问控制方法及装置
CN110188573B (zh) * 2019-05-27 2024-06-04 深圳前海微众银行股份有限公司 分区授权方法、装置、设备及计算机可读存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106462717A (zh) * 2014-06-23 2017-02-22 甲骨文国际公司 用于在多租户应用服务器环境中支持安全性的系统和方法
WO2017129138A1 (zh) * 2016-01-26 2017-08-03 中兴通讯股份有限公司 数据仓库中的数据保护方法及装置
US9948655B1 (en) * 2016-04-15 2018-04-17 AtScale, Inc. Data access authorization for dynamically generated database structures
CN108280367A (zh) * 2018-01-22 2018-07-13 腾讯科技(深圳)有限公司 数据操作权限的管理方法、装置、计算设备及存储介质
CN109299613A (zh) * 2018-09-03 2019-02-01 中国平安人寿保险股份有限公司 数据库分区权限的设置方法和终端设备
CN109309686A (zh) * 2018-11-01 2019-02-05 浪潮软件集团有限公司 一种多租户管理方法及装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
MAANAK GUPTA等: "POSTER: Access Control Model for the Hadoop Ecosystem", 《PROCEEDINGS OF THE 22ND ACM SYMPOSIUM ON ACCESS CONTROL MODELS AND TECHNOLOGIES 》, 7 June 2017 (2017-06-07) *
周霆;张勇;: "基于权限控制的分区操作系统安全数据通信方法", 信息通信, no. 04, 15 April 2017 (2017-04-15) *
靳永超;吴怀谷;: "基于Neo4j处理大数据中元数据溯源的研究", 现代计算机(专业版), no. 08, 15 March 2015 (2015-03-15) *

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020238359A1 (zh) * 2019-05-27 2020-12-03 深圳前海微众银行股份有限公司 分区授权方法、装置、设备及计算机可读存储介质
CN110619226A (zh) * 2019-09-12 2019-12-27 秒针信息技术有限公司 一种基于平台的数据处理方法、系统、设备及存储介质
CN111797424A (zh) * 2019-11-26 2020-10-20 北京京东尚科信息技术有限公司 处理请求的方法和装置
CN111177743A (zh) * 2019-12-06 2020-05-19 西安交通大学 一种面向信用大数据的风险控制方法及其系统
CN111177743B (zh) * 2019-12-06 2022-02-22 西安交通大学 一种面向信用大数据的风险控制方法及其系统
CN111125767A (zh) * 2019-12-26 2020-05-08 秒针信息技术有限公司 动态脱敏方法、装置、电子设备和计算机可读存储介质
CN111274167A (zh) * 2020-01-21 2020-06-12 李岗 介质数据的保护方法及系统
CN111651122A (zh) * 2020-05-20 2020-09-11 远景智能国际私人投资有限公司 数据删除方法、装置、服务器及存储介质
CN111651122B (zh) * 2020-05-20 2023-07-28 远景智能国际私人投资有限公司 数据删除方法、装置、服务器及存储介质
CN112257097A (zh) * 2020-11-23 2021-01-22 浪潮云信息技术股份公司 一种基于分布式数据库的分区权限管理方法
WO2023173908A1 (zh) * 2022-03-17 2023-09-21 华为云计算技术有限公司 访问文件的方法、装置、系统及存储介质

Also Published As

Publication number Publication date
WO2020238359A1 (zh) 2020-12-03
CN110188573B (zh) 2024-06-04

Similar Documents

Publication Publication Date Title
CN110188573A (zh) 分区授权方法、装置、设备及计算机可读存储介质
WO2022126968A1 (zh) 微服务访问方法、装置、设备及存储介质
CN111488595B (zh) 用于实现权限控制的方法及相关设备
CN109688120B (zh) 基于改进RBAC模型及Spring Security框架的动态权限管理系统
US10055561B2 (en) Identity risk score generation and implementation
US9852206B2 (en) Computer relational database method and system having role based access control
CN110443059A (zh) 数据保护方法及装置
CN102222005B (zh) 面向业务模型的软件运行平台、运行方式及一种开发方法
US20200067923A1 (en) Governed access to rpa bots
US6745332B1 (en) Method and apparatus for enabling database privileges
CN108701182A (zh) 多租户身份云服务的数据管理
CN110543464A (zh) 一种应用于智慧园区的大数据平台及操作方法
CN103473636B (zh) 一种收集、分析和分发网络商业信息的系统数据组件
CN110493308B (zh) 分布式一致性系统会话方法、装置及存储介质、服务器
CN111709046A (zh) 用户权限数据配置方法、装置、设备及存储介质
CN102222191A (zh) 一种松散耦合角色授权的类型实施访问控制方法及其系统
CN101594386B (zh) 基于分布式策略验证的可信虚拟组织构建方法及装置
Varga et al. Introducing Microsoft SQL Server 2016: Mission-Critical Applications, Deeper Insights, Hyperscale Cloud
CN111274569A (zh) 统一登录认证的研发运维集成系统及其登录认证方法
CN111444523A (zh) 人工智能建模与服务管理平台
Cai et al. Distributed management of permission for access control model
US20230412647A1 (en) First class database object server application
CN108268769A (zh) 对用户执行数据访问授权的方法及系统
KR100542383B1 (ko) 3-Tier 구조 기반의 데이터베이스 접근 통제 시스템및 방법
CN110826993A (zh) 项目管理处理方法、装置、存储介质和处理器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant