CN112163234B - 一种基于业务系统数据库的sql权限控制方法 - Google Patents

一种基于业务系统数据库的sql权限控制方法 Download PDF

Info

Publication number
CN112163234B
CN112163234B CN202010995010.9A CN202010995010A CN112163234B CN 112163234 B CN112163234 B CN 112163234B CN 202010995010 A CN202010995010 A CN 202010995010A CN 112163234 B CN112163234 B CN 112163234B
Authority
CN
China
Prior art keywords
database
sql
service
management center
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010995010.9A
Other languages
English (en)
Other versions
CN112163234A (zh
Inventor
王晓娜
张松鸽
郝明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING CS&S HUA-TECH INFORMATION TECHNOLOGY CO LTD
Original Assignee
BEIJING CS&S HUA-TECH INFORMATION TECHNOLOGY CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING CS&S HUA-TECH INFORMATION TECHNOLOGY CO LTD filed Critical BEIJING CS&S HUA-TECH INFORMATION TECHNOLOGY CO LTD
Priority to CN202010995010.9A priority Critical patent/CN112163234B/zh
Publication of CN112163234A publication Critical patent/CN112163234A/zh
Application granted granted Critical
Publication of CN112163234B publication Critical patent/CN112163234B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Databases & Information Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种基于业务系统数据库的SQL权限控制方法,包括以下步骤:S1:通过系统业务人员进行用户身份认证登录,进入业务管理中心和业务系统数据库;S2:利用业务管理中心客户端自动连接业务系统数据库,完成用户身份认证登录;S3:通过身份认证登录后的用户执行SQL操作;S4:利用数据库权限控制器返回SQL操作的执行结果,并生成审计信息上传至业务管理中心,完成SQL权限控制。本发明能够有效地对各类角色用户进行身份认证、授权以及SQL命令权限校验,维护数据库的安全。支持当前主流的各种类型数据库,兼容性和适用性较强。

Description

一种基于业务系统数据库的SQL权限控制方法
技术领域
本发明属于计算机信息处理技术领域,具体涉及一种基于业务系统数据库的SQL权限控制方法。
背景技术
随着计算机技术与网络通信技术的发展以及大数据时代的到来,数据库技术已成为信息社会中对大量数据进行组织与管理的重要技术手段及软件技术,是现代网络信息化管理系统的基础。目前,在各类内容管理系统和数据库应用系统中,针对不同的业务应用场景,设定具有不同角色的用户对相应的业务数据进行创建、查询、修改和删除等数据操作,以满足企业实际生产的需要。
另一方面,随着企业业务的不断扩大,对于业务系统中的重要数据信息保护需求也越发强烈,数据库的安全变得尤为重要。SQL是具有数据操纵和数据定义等多种功能的数据库语言,以其丰富的功能受到业内人士的广泛欢迎,成为提升数据库操作效率的保障。因此,本发明提出了一种基于业务系统数据库的SQL权限控制方法。
发明内容
本发明的目的是为了解决各种类型数据库的SQL权限安全控制问题,提出了一种。
本发明的技术方案是:一种基于业务系统数据库的SQL权限控制方法包括以下步骤:
S1:通过系统业务人员进行用户身份认证登录,进入业务管理中心和业务系统数据库;
S2:通过系统业务人员和用户,利用业务管理中心客户端自动连接业务系统数据库,完成用户身份认证登录;
S3:利用数据库权限控制器,通过身份认证登录后的用户执行SQL操作;
S4:利用数据库权限控制器返回SQL操作的执行结果,并生成审计信息上传至业务管理中心,完成SQL权限控制。
本发明的有益效果是:
(1)能够有效地对各类角色用户进行身份认证、授权以及SQL命令权限校验,维护数据库的安全。
(2)支持当前主流的各种类型数据库,包括的数据库类型有Oraches、SQLSever、MySql、PostgreSQL和DB2等,兼容性和适用性较强。
(3)采用了数据库权限控制应用代理技术,对数据库访问者进行身份认证,动态授权,对用户的身份以及权限进行多重校验。
(4)用户可通过数据库权限控制器中的学习模式,自主根据角色设置构建权限列表,方便灵活。
(5)采用了客户端-管理中心模式,设置数据库权限控制器的监听模式以及学习模式,对越权违规的SQL进行拦截,使用灵活方便。
进一步地,步骤S1包括以下子步骤:
S11:通过系统业务人员,利用管理中心客户端向业务管理中心进行用户身份注册认证;
S12:利用业务管理中心通过用户身份注册认证,并下发业务系统授权和数据库操作授权;
S13:通过用户进行身份认证登录,利用业务系统授权进入业务管理中心;并通过单点登录,利用数据库操作授权进入业务系统数据库。
上述进一步方案的有益效果是:在本发明中,对用户的身份进行校验,防止其对业务系统数据库进行违规越权操作。
进一步地,步骤S2包括以下子步骤:
S21:通过系统业务人员和用户,利用业务管理中心客户端自动连接业务管理中心的数据库权限控制器;
S22:通过数据库权限控制器连接业务系统数据库,完成用户身份认证登录。
进一步地,步骤S3包括以下子步骤:
S31:利用数据库权限控制器校验用户权限;
S32:判断数据库权限控制器的SQL操作模式;
S33:通过权限通过的用户执行SQL操作。
上述进一步方案的有益效果是:在本发明中,允许用户自主设置SQL执行的权限标准,且适用于当前主流的各种类型的数据库,兼容性较强,适用灵活方便。
进一步地,步骤S32包括以下子步骤:
S321:利用Vertx技术自动连接业务管理中心的地址数据和端口数据;
S322:利用Vertx技术捕获地址数据和端口数据,并得到数据流;
S323:通过业务系统数据库的对应协议,利用SQL解析器解析数据流,得到SQL命令;
S324:根据SQL命令判断SQL操作模式。
上述进一步方案的有益效果是:在本发明中,数据库权限控制器应用了代理技术,通过解析数据库客户端与数据库服务端的连接协议,实现SQL语句权限控制,用以保障业务数据的安全性。
进一步地,步骤S324中,若SQL操作为学习模式,则执行选择动作,并将其传递给业务管理中心。
上述进一步方案的有益效果是:在本发明中,学习模式中,用户的操作行为将被记录,不被拦截;权限列表的自动生成依赖学习模式的创建;同时为指定运维用户开启学习模式,数据库权限控制器将会自动学习该运维用户精确到数据表操作级别的日常运维动作,依此完成权限建模,并自动创建符合该运维用户操作习惯的权限列表。
进一步地,步骤S324中,若SQL操作为控制模式,则判断业务管理中心客户端是否含有选择动作;
若有则将其直接传递给业务系统数据库的服务器字节流,否则自定义提示信息,再将其传递给业务系统数据库的服务器字节流。
上述进一步方案的有益效果是:在本发明中,控制模式中,不符合权限列表规定的操作,将被拦截,并返回权限被拒绝,避免违规操作。
附图说明
图1为SQL权限控制方法的流程图。
具体实施方式
下面结合附图对本发明的实施例作进一步的说明。
在描述本发明的具体实施例之前,为使本发明的方案更加清楚完整,首先对本发明中出现的缩略语和关键术语定义进行说明:
SQL:SQL数据库是具有数据操纵和数据定义等多种功能的数据库语言,这种语言具有交互性特点,能为用户提供极大的便利,数据库管理系统可以充分利用SQL语言提高计算机应用系统的工作质量与效率。
身份认证:也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限。
如图1所示,本发明提供了一种基于业务系统数据库的SQL权限控制方法,包括以下步骤:
S1:通过系统业务人员进行用户身份认证登录,进入业务管理中心和业务系统数据库;
S2:通过系统业务人员和用户,利用业务管理中心客户端自动连接业务系统数据库,完成用户身份认证登录;
S3:利用数据库权限控制器,通过身份认证登录后的用户执行SQL操作;
S4:利用数据库权限控制器返回SQL操作的执行结果,并生成审计信息上传至业务管理中心,完成SQL权限控制。
在本发明实施例中,如图1所示,步骤S1包括以下子步骤:
S11:通过系统业务人员,利用管理中心客户端向业务管理中心进行用户身份注册认证;
S12:利用业务管理中心通过用户身份注册认证,并下发业务系统授权和数据库操作授权;
S13:通过用户进行身份认证登录,利用业务系统授权进入业务管理中心;并通过单点登录,利用数据库操作授权进入业务系统数据库。
在本发明中,对用户的身份进行校验,防止其对业务系统数据库进行违规越权操作。
在本发明实施例中,如图1所示,步骤S2包括以下子步骤:
S21:通过系统业务人员和用户,利用业务管理中心客户端自动连接业务管理中心的数据库权限控制器;
S22:通过数据库权限控制器连接业务系统数据库,完成用户身份认证登录。
进一步地,步骤S3包括以下子步骤:
S31:利用数据库权限控制器校验用户权限;
S32:判断数据库权限控制器的SQL操作模式;
S33:通过权限通过的用户执行SQL操作。
在本发明中,允许用户自主设置SQL执行的权限标准,且适用于当前主流的各种类型的数据库,兼容性较强,适用灵活方便。
在本发明实施例中,如图1所示,步骤S32包括以下子步骤:
S321:利用Vertx技术自动连接业务管理中心的地址数据和端口数据;
S322:利用Vertx技术捕获地址数据和端口数据,并得到数据流;
S323:通过业务系统数据库的对应协议,利用SQL解析器解析数据流,
得到SQL命令;
S324:根据SQL命令判断SQL操作模式。
在本发明中,数据库权限控制器应用了代理技术,通过解析数据库客户端与数据库服务端的连接协议,实现SQL语句权限控制,用以保障业务数据的安全性。
在本发明实施例中,如图1所示,步骤S324中,若SQL操作为学习模式,则执行选择动作,并将其传递给业务管理中心。
在本发明中,学习模式中,用户的操作行为将被记录,不被拦截;权限列表的自动生成依赖学习模式的创建;同时为指定运维用户开启学习模式,数据库权限控制器将会自动学习该运维用户精确到数据表操作级别的日常运维动作,依此完成权限建模,并自动创建符合该运维用户操作习惯的权限列表。
在本发明实施例中,如图1所示,步骤S324中,若SQL操作为控制模式,则判断业务管理中心客户端是否含有选择动作;
若有则将其直接传递给业务系统数据库的服务器字节流,否则自定义提示信息,再将其传递给业务系统数据库的服务器字节流。
在本发明中,控制模式中,不符合权限列表规定的操作,将被拦截,并返回权限被拒绝,避免违规操作。
在本发明实施例中,数据库权限控制器应用了代理技术,通过解析数据库客户端与数据库服务端的连接协议,实现SQL语句权限控制,用以保障业务数据的安全性。
其代理技术功能原理是:通过Vertx技术,实现端口转发功能。例如mysql数据库服务,数据库IP(192.168.11.2)地址及其端口3306;管理中心实现代理,业务管理中心192.168.11.88及其端口4567。
当数据库客户端连接工具访问管理中心IP(192.168.11.88)地址和端口4567的时候,利用Vertx技术自动将去连接数据库IP(192.168.11.2)数据库和端口3306的数据,同时转发网络数据,利用Vertx技术能捕获客户端请求的数据和服务器返回的数据流;根据数据库的对应协议,去解析数据流,比如oracle的TNS协议,sqlserver的TDS协议,mysql数据库协议等。
当数据库代理捕获客户端请求的数据流,经过协议分析,得到select*fromuser,再通过数据库SQL解析器,分析数据库语句的对象和动作。
代理服务器根据请求的业务管理中心的4567端口,判断是学习模式还是控制模式。若是学习模式,则上传审计,进行select动作,传递给管理中心;若是控制模式,则去判断客户端执行的用户和请求的这个端口,是否含有user表的select动作,若含有则通过,直接传递给数据库服务器字节流,否则自己给予提示(自定义提示信息),然后再传递给服务器字节流。
本申请提出的SQL权限控制方法,主要目的是对业务系统数据库访问者的SQL权限进行执行鉴别,同时对访问者的身份进行校验,防止其对业务数据库进行违规越权操作。此外,该技术方案允许用户自主设置SQL执行的权限标准,且适用于当前主流的各种类型的数据库,兼容性较强,适用灵活方便。除非能够完全实现上述技术目标,否则无法完全替代本方案。
本发明的工作原理及过程为:该技术方案采用了B/S架构,建立了一整套完善的数据库访问控制与权限控制机制,该机制主要包含:业务管理中心、管理中心客户端、数据库权限控制器和业务系统数据库。通过解析数据库客户端与数据库服务端的连接协议,实现了对不同角色用户执行数据库SQL命令的权限控制,进一步加强业务系统数据库的安全。
本发明的有益效果为:
(1)能够有效地对各类角色用户进行身份认证、授权以及SQL命令权限校验,维护数据库的安全。
(2)支持当前主流的各种类型数据库,包括的数据库类型有Oraches、SQLSever、MySql、PostgreSQL和DB2等,兼容性和适用性较强。
(3)采用了数据库权限控制应用代理技术,对数据库访问者进行身份认证,动态授权,对用户的身份以及权限进行多重校验。
(4)用户可通过数据库权限控制器中的学习模式,自主根据角色设置构建权限列表,方便灵活。
(5)采用了客户端-管理中心模式,设置数据库权限控制器的监听模式以及学习模式,对越权违规的SQL进行拦截,使用灵活方便。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的原理,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。

Claims (3)

1.一种基于业务系统数据库的SQL权限控制方法,其特征在于,包括以下步骤:
S1:通过系统业务人员进行用户身份认证登录,进入业务管理中心和业务系统数据库;
S2:通过系统业务人员和用户,利用业务管理中心客户端自动连接业务系统数据库,完成用户身份认证登录;
S3:利用数据库权限控制器,通过身份认证登录后的用户执行SQL操作;
S4:利用数据库权限控制器返回SQL操作的执行结果,并生成审计信息上传至业务管理中心,完成SQL权限控制;
所述步骤S3包括以下子步骤:
S31:利用数据库权限控制器校验用户权限;
S32:判断数据库权限控制器的SQL操作模式;
S33:通过权限通过的用户执行SQL操作;
所述步骤S32包括以下子步骤:
S321:利用Vertx技术自动连接业务管理中心的地址数据和端口数据;
S322:利用Vertx技术捕获地址数据和端口数据,并得到数据流;
S323:通过业务系统数据库的对应协议,利用SQL解析器解析数据流,得到SQL命令;
S324:根据SQL命令判断SQL操作模式;
所述步骤S324中,若SQL操作为学习模式,则执行选择动作,并将其传递给业务管理中心;
所述步骤S324中,若SQL操作为控制模式,则判断业务管理中心客户端是否含有选择动作;
若有则将其直接传递给业务系统数据库的服务器字节流,否则自定义提示信息,再将其传递给业务系统数据库的服务器字节流。
2.根据权利要求1所述的基于业务系统数据库的SQL权限控制方法,其特征在于,所述步骤S1包括以下子步骤:
S11:通过系统业务人员,利用管理中心客户端向业务管理中心进行用户身份注册认证;
S12:利用业务管理中心通过用户身份注册认证,并下发业务系统授权和数据库操作授权;
S13:通过用户进行身份认证登录,利用业务系统授权进入业务管理中心;并通过单点登录,利用数据库操作授权进入业务系统数据库。
3.根据权利要求1所述的基于业务系统数据库的SQL权限控制方法,其特征在于,所述步骤S2包括以下子步骤:
S21:通过系统业务人员和用户,利用业务管理中心客户端自动连接业务管理中心的数据库权限控制器;
S22:通过数据库权限控制器连接业务系统数据库,完成用户身份认证登录。
CN202010995010.9A 2020-09-21 2020-09-21 一种基于业务系统数据库的sql权限控制方法 Active CN112163234B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010995010.9A CN112163234B (zh) 2020-09-21 2020-09-21 一种基于业务系统数据库的sql权限控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010995010.9A CN112163234B (zh) 2020-09-21 2020-09-21 一种基于业务系统数据库的sql权限控制方法

Publications (2)

Publication Number Publication Date
CN112163234A CN112163234A (zh) 2021-01-01
CN112163234B true CN112163234B (zh) 2024-02-20

Family

ID=73863149

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010995010.9A Active CN112163234B (zh) 2020-09-21 2020-09-21 一种基于业务系统数据库的sql权限控制方法

Country Status (1)

Country Link
CN (1) CN112163234B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105528556A (zh) * 2015-12-03 2016-04-27 中国人民解放军信息工程大学 一种混合的SQLite3安全访问方法
CN108520019A (zh) * 2018-03-22 2018-09-11 平安好房(上海)电子商务有限公司 数据管理方法、装置、设备及计算机可读存储介质
CN110582768A (zh) * 2017-05-10 2019-12-17 西门子股份公司 用于提供安全数据库访问的装置和方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8554175B2 (en) * 2011-09-23 2013-10-08 Blackberry Limited Managing mobile device applications on a mobile device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105528556A (zh) * 2015-12-03 2016-04-27 中国人民解放军信息工程大学 一种混合的SQLite3安全访问方法
CN110582768A (zh) * 2017-05-10 2019-12-17 西门子股份公司 用于提供安全数据库访问的装置和方法
CN108520019A (zh) * 2018-03-22 2018-09-11 平安好房(上海)电子商务有限公司 数据管理方法、装置、设备及计算机可读存储介质

Also Published As

Publication number Publication date
CN112163234A (zh) 2021-01-01

Similar Documents

Publication Publication Date Title
CN107948203B (zh) 一种容器登录方法、应用服务器、系统及存储介质
CN101166173B (zh) 一种单点登录系统、装置及方法
CN102984159B (zh) 基于终端访问行为的安全接入逻辑控制方法及平台服务器
JP3415456B2 (ja) ネットワークシステム及びコマンド使用権限制御方法ならびに制御プログラムを格納した記憶媒体
CN109257209A (zh) 一种数据中心服务器集中管理系统及方法
CN111447180B (zh) 一种电力物联网边缘接入管理系统安全访问控制策略
CN106411857A (zh) 一种基于虚拟隔离机制的私有云gis服务访问控制方法
CN112491902B (zh) 一种基于URL的web应用权限访问控制系统及方法
US8745701B2 (en) Method and system for modeling options for opaque management data for a user and/or an owner
CN109213790A (zh) 一种基于区块链的数据流通分析方法和系统
CN111586021B (zh) 一种远程办公业务授权方法、终端及系统
CN113360882A (zh) 集群访问方法、装置、电子设备和介质
CN108111334B (zh) 一种网络应用节点的集成系统和方法
CN107257337A (zh) 一种多端共享的权限控制方法及其系统
CN113111339A (zh) 一种应用服务的接入控制方法、装置、设备及介质
CN112163234B (zh) 一种基于业务系统数据库的sql权限控制方法
CN101739422B (zh) 基于数据库协议代理的前置式数据库访问控制方法和系统
CN115222375A (zh) 一种基于大数据的政务数据监控分析处理方法及系统
CN113938307A (zh) 信息收集方法与系统
CN113497806A (zh) 一种远程登录方法、装置及存储介质
Wang et al. Research on access control technology of big data cloud computing
CN105827564A (zh) 一种信息管理方法及系统
CN117375901B (zh) 一种跨租户多终端鉴权方法及系统
CN111064695A (zh) 一种认证方法及认证系统
CN116055106A (zh) 一种统一管理登录权限的方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant