CN112287365A - 基于二进制的数据库权限控制方法、设备、介质及系统 - Google Patents

Abstract

本发明公开了一种基于二进制的数据库权限控制方法、设备、介质及系统，涉及大数据技术领域，本发明为每个数据领域指定唯一的二进制数，作为数据领域标签，每个数据领域对应一个用户组，根据用户申请的权限，将用户加入对应的用户组；用户查询数据时，对用户权限值与该数据的数据领域标签计算二进制“与”值，根据计算结果判断是否有权限查看该数据。解决了敏感数据对不同权限用户的响应，与普遍的判断字符串是否相等where语句来判断是否有权限的方法相比，该方法效率更高，响应更快，适用性广，不受数据库产品的限制，具有很强的通用性。

Description

基于二进制的数据库权限控制方法、设备、介质及系统

技术领域

本发明涉及大数据技术领域，具体涉及一种基于二进制的数据库权限控制方法、设备、介质及系统。

背景技术

随着网络规模越来越大，网络产生的数据也向海量巨量发展。其中一些有关联的结构化数据需要数据库来存储，从而进行关联分析。数据库的一大特点就是数据可以共享，而数据共享就会带来数据安全性问题。若不加以限制，就会造成数据泄露、更改和破坏。

为实现权限控制，现有技术通常针对不同权限的用户群体创建相应的表，但是拥有多个权限的用户查数据时就需要关联多个表，效率低。比如集团有A、B、C……等N个部门，每个部门统计自己员工个人隐私信息时，创建个部门自己的表，其他部门无权访问。部门员工可以访问部门表，但是不能查看其他员工薪资等信息，所以薪资等敏感信息还要另外收集。同时集团收集N个部门的表后，需要整合所有的表才可以查看所有人的信息。

现有技术为每个用户设立权限，根据用户权限提前设定能查哪些表的哪些字段。当用户查数据时先加载此信息，转成where语句查询。其缺陷是，Where语句中需要先加载信息，再转成where语句查询，还需要通过判断字符串是否相等，来决定是否有权限查询数据，效率低，响应慢。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种基于二进制的数据库权限控制方法、设备、介质及系统，权限控制效率更高，响应更快。

为达到以上目的，本发明采取的技术方案是：一种基于二进制的数据库权限控制方法，包括以下步骤：

创建控制表，将敏感数据分为若干数据领域，为每个数据领域指定唯一的二进制数，作为数据领域标签；

不同数据领域的数据入库时，给数据打上对应的数据领域标签；

创建数据库用户组，每个数据领域对应一个用户组；用户申请数据库权限时，根据用户申请的权限，将用户加入对应的用户组；

用户与数据库建立连接时，获取用户对应的用户组，计算所有用户组对应的数据领域标签求和取反的值，作为用户权限值；

用户查询数据时，对用户权限值与该数据的数据领域标签计算二进制“与”值，根据计算结果判断是否有权限查看该数据。

在上述技术方案的基础上，将敏感数据分为若干数据领域，为每个数据领域指定唯一的二进制数，作为数据领域标签时，所述二进制值按位从小到大自增。

在上述技术方案的基础上，将敏感数据分为若干数据领域，为每个数据领域指定唯一的二进制数，作为数据领域标签时，将二进制数换算成十进制数进行存储。

在上述技术方案的基础上，用户查询数据时，对用户权限值与该数据的数据领域标签计算二进制“与”值，根据计算结果判断是否有权限查看该数据，具体包括以下步骤：

若用户查询某列敏感数据，采用用该列数据的数据领域标签与用户权限值计算“逻辑与”；若计算结果为0则返回正常数据，否则返回“被保护”；

若用户查询某行敏感数据，采用用该行数据的数据领域标签与用户权限值计算“逻辑与”；若计算结果为0则返回正常数据，否则不显示此行数据。

本发明还提供一种电子设备，包括存储器和处理器，存储器上储存有在处理器上运行的计算机程序，其特征在于：处理器执行计算机程序时实现所述的方法。

本发明还提供一种存储介质，该存储介质上存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现所述的方法。

本发明还提供一种基于二进制的数据库权限控制系统，包括：

控制表管理模块，其用于：创建控制表，将敏感数据分为若干数据领域，为每个数据领域指定唯一的二进制数，作为数据领域标签；

标签添加模块，其用于：不同数据领域的数据入库时，给数据打上对应的数据领域标签；

用户组管理模块，其用于：创建数据库用户组，每个数据领域对应一个用户组；用户申请数据库权限时，根据用户申请的权限，将用户加入对应的用户组；

用户权限管理模块，其用于：用户与数据库建立连接时，获取用户对应的用户组，计算所有用户组对应的数据领域标签求和取反的值，作为用户权限值；用户查询数据时，对用户权限值与该数据的数据领域标签计算二进制“与”值，根据计算结果判断是否有权限查看该数据。

在上述技术方案的基础上，所述控制表管理模块将敏感数据分为若干数据领域，为每个数据领域指定唯一的二进制数，作为数据领域标签时，所述二进制值按位从小到大自增。

在上述技术方案的基础上，所述控制表管理模块将敏感数据分为若干数据领域，为每个数据领域指定唯一的二进制数，作为数据领域标签时，将二进制数换算成十进制数进行存储。

在上述技术方案的基础上，所述用户权限管理模块具体用于：

若用户查询某列敏感数据，采用用该列数据的数据领域标签与用户权限值计算“逻辑与”；若计算结果为0则返回正常数据，否则返回“被保护”；

若用户查询某行敏感数据，采用用该行数据的数据领域标签与用户权限值计算“逻辑与”；若计算结果为0则返回正常数据，否则不显示此行数据。

与现有技术相比，本发明的优点在于：

本发明为每个数据领域指定唯一的二进制数，作为数据领域标签，每个数据领域对应一个用户组，根据用户申请的权限，将用户加入对应的用户组；用户查询数据时，对用户权限值与该数据的数据领域标签计算二进制“与”值，根据计算结果判断是否有权限查看该数据。解决了敏感数据对不同权限用户的响应，与普遍的判断字符串是否相等where语句来判断是否有权限的方法相比，该方法效率更高，响应更快，适用性广，不受数据库产品的限制，具有很强的通用性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面对实施例对应的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例的基于二进制的数据库权限控制方法的流程示意图；

图2为本发明实施例的基于二进制的数据库权限控制方法的步骤S3的流程示意图；

图3为本发明实施例的基于二进制的数据库权限控制系统的结构示意图。

具体实施方式

以下结合附图对本发明的实施例作进一步详细说明。

参见图1所示，本发明实施例提供一种基于二进制的数据库权限控制方法，包括以下步骤：

S1、创建控制表，将敏感数据分为若干数据领域，为每个数据领域指定唯一的二进制数，作为数据领域标签；

S2、不同数据领域的数据入库时，给数据打上对应的数据领域标签；

S3、创建数据库用户组，每个数据领域对应一个用户组；用户申请数据库权限时，根据用户申请的权限，将用户加入对应的用户组；

S4、用户与数据库建立连接时，获取用户对应的用户组，计算所有用户组对应的数据领域标签求和取反的值，作为用户权限值，记为V；

S5、用户查询数据时，对用户权限值与该数据的数据领域标签计算二进制“与”值，根据计算结果判断是否有权限查看该数据。

进一步的，将敏感数据分为若干数据领域，为每个数据领域指定唯一的二进制数，作为数据领域标签时，所述二进制值按位从小到大自增，并将二进制数换算成十进制数进行存储。例如，二进制值为000001、000010、000100、001000、010000和100000，对应的十进制值为1、2、4、8、16和32。

作为优选的实施方式，用户查询数据时，对用户权限值与该数据的数据领域标签计算二进制“与”值，根据计算结果判断是否有权限查看该数据，具体包括以下步骤：

若用户查询某列敏感数据，采用用该列数据的数据领域标签与用户权限值计算“逻辑与”；若计算结果为0则返回正常数据，否则返回“被保护”；

若用户查询某行敏感数据，采用用该行数据的数据领域标签与用户权限值计算“逻辑与”；若计算结果为0则返回正常数据，否则不显示此行数据。

本发明实施例为每个数据领域指定唯一的二进制数，作为数据领域标签，每个数据领域对应一个用户组，根据用户申请的权限，将用户加入对应的用户组；用户查询数据时，对用户权限值与该数据的数据领域标签计算二进制“与”值，根据计算结果判断是否有权限查看该数据。解决了敏感数据对不同权限用户的响应，与普遍的判断字符串是否相等where语句来判断是否有权限的方法相比，该方法效率更高，响应更快，适用性广，不受数据库产品的限制，具有很强的通用性。

如表1所示，先梳理数据，将敏感数据分为若干领域，将数据领域记为标签A，B，C......N，并为每个标签划分唯一的二进制数，且为从小到大自增。将二进制数换算成十进制数，由于二进制形式在数据库中为字符串类型，而十进制数为整型，整型的存储优势和计算效率要比字符串高，所以当领域数量巨大时，整型的优势更大。

表1数据领域划分表

二进制ID	十进制ID	数据领域
			000001	1	A
000010	2	B
			000100	4	C
001000	8	D
			010000	16	E
100000	32	F

如表2所示，为每个领域数据创建用户组，当用户需要申请领域数据的查询权限时，申请对应的用户组即可。

表2用户组划分表

数据领域	用户管理组	用户
			A	G1	user1，user2...
B	G2	user3...
			C	G3	user1，user4...
D	G4	user5，user6...
			E	G5	user1，user2...
F	G6	user3，user4...

如图2所示，需要创建一个装置，来判断用户所在的用户组，并计算这些用户组的十进制ID的和值的“逻辑非”。比如用户U申请了G2和G3两个组的权限，那么就有查看领域B和C数据的权限，而B和C对应的十进制标签为2和4，和值为6，而正数的逻辑非等于该值加一的负数，为-7。而7对应的二进制为00000111，负数在计算机中用补码表示，所以7的补码为(7的反码+1)11111001。至此当用户与数据库建立连接时，自动启动该装置，返回结果记为V＝-7，其二进制为11111001。

如表3所示，当每个领域数据保存到数据库中时，为这些数据打上对应领域的十进制标签，比如该数据领域为C，则数据领域标签为4。

表3数据领域标签表

表字段1	表字段2(敏感)	领域标签
			Data_A1	Data_A2	1
Data_B1	Data_B2	2
			Data_C1	Data_C2	4
Data_D1	Data_D2	8
			Data_E1	Data_E2	16
Data_F1	Data_F2	32

如表4所示，当用户查询相关领域数据时，若想查看某列敏感数据，用该列数据的领域标签与V值计算“逻辑与”，若返回为0，则有权限查看该数据，返回数据真实值；若不返回0，则没有权限查看该数据，统一返回“PROTECTED”。

表4列掩码及领域标签表

表字段1	表字段2(敏感)	领域标签
			Data_A1	PROTECTED	1
Data_B1	Data_B2	2
			Data_C1	Data_C2	4
Data_D1	PROTECTED	8
			Data_E1	PROTECTED	16
Data_F1	PROTECTED	32

以下结合表3和4中的数据说明具体实施步骤。

(1)假设用户有领域B和C权限，

则2+4＝6

计算“逻辑非”，用户权限值记为V＝6

6的二进制＝＞0 0 0 0 0 1 1 0

计算6的反码为-7＝＞0 0 0 0 0 1 1 1

补码(反码+1)＝＞1 1 1 1 1 0 0 1

(2)假设用户想查询领域C的数据：

即-7与4求逻辑与：

结果为0，说明数据可查。

(2)假设用户想查询领域D的数据：

即-7与8求逻辑与：

结果非0，说明数据不可查。

同理，如表5所示，若想控制返回的行数据，使用户只能查询有权限的行数据，用该行数据的领域标签与V值计算“逻辑与”，若返回为0，则有权限查看该数据，显示该行数据；若返回不为0，则没有权限查询该行数据，过滤掉此行数据，不予显示。

表5行掩码及领域标签表

表字段1	表字段2(敏感)	领域标签
			Data_B1	Data_B2	2
Data_C1	Data_C2	4

基于同一发明构思，参见图3所示，本发明实施例还提供一种基于二进制的数据库权限控制系统，包括：

控制表管理模块，其用于：创建控制表，将敏感数据分为若干数据领域，为每个数据领域指定唯一的二进制数，作为数据领域标签；

标签添加模块，其用于：不同数据领域的数据入库时，给数据打上对应的数据领域标签；

用户组管理模块，其用于：创建数据库用户组，每个数据领域对应一个用户组；用户申请数据库权限时，根据用户申请的权限，将用户加入对应的用户组；

用户权限管理模块，其用于：用户与数据库建立连接时，获取用户对应的用户组，计算所有用户组对应的数据领域标签求和取反的值，作为用户权限值；用户查询数据时，对用户权限值与该数据的数据领域标签计算二进制“与”值，根据计算结果判断是否有权限查看该数据。

优选的，所述控制表管理模块将敏感数据分为若干数据领域，为每个数据领域指定唯一的二进制数，作为数据领域标签时，所述二进制值从小到大自增，并将二进制数换算成十进制数进行存储。

作为优选的实施方式，所述用户权限管理模块具体用于：

若用户查询某列敏感数据，采用用该列数据的数据领域标签与用户权限值计算“逻辑与”；若计算结果为0则返回正常数据，否则返回“被保护”；

若用户查询某行敏感数据，采用用该行数据的数据领域标签与用户权限值计算“逻辑与”；若计算结果为0则返回正常数据，否则不显示此行数据。

基于同一发明构思，本发明实施例还公开了一种存储介质，该存储介质上存储有计算机程序，计算机程序被处理器执行时实现基于二进制的数据库权限控制方法。

基于同一发明构思，本发明实施例还公开了一种电子设备，包括存储器和处理器，存储器上储存有在处理器上运行的计算机程序，处理器执行计算机程序时实现基于二进制的数据库权限控制方法。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种基于二进制的数据库权限控制方法，其特征在于，包括以下步骤：

创建控制表，将敏感数据分为若干数据领域，为每个数据领域指定唯一的二进制数，作为数据领域标签；

不同数据领域的数据入库时，给数据打上对应的数据领域标签；

创建数据库用户组，每个数据领域对应一个用户组；用户申请数据库权限时，根据用户申请的权限，将用户加入对应的用户组；

用户与数据库建立连接时，获取用户对应的用户组，计算所有用户组对应的数据领域标签求和取反的值，作为用户权限值；

用户查询数据时，对用户权限值与该数据的数据领域标签计算二进制“与”值，根据计算结果判断是否有权限查看该数据。

2.如权利要求1所述的方法，其特征在于，将敏感数据分为若干数据领域，为每个数据领域指定唯一的二进制数，作为数据领域标签时，所述二进制值按位从小到大自增。

3.如权利要求1所述的方法，其特征在于，将敏感数据分为若干数据领域，为每个数据领域指定唯一的二进制数，作为数据领域标签时，将二进制数换算成十进制数进行存储。

4.如权利要求1所述的方法，其特征在于，用户查询数据时，对用户权限值与该数据的数据领域标签计算二进制“与”值，根据计算结果判断是否有权限查看该数据，具体包括以下步骤：

若用户查询某列敏感数据，采用用该列数据的数据领域标签与用户权限值计算“逻辑与”；若计算结果为0则返回正常数据，否则返回“被保护”；

若用户查询某行敏感数据，采用用该行数据的数据领域标签与用户权限值计算“逻辑与”；若计算结果为0则返回正常数据，否则不显示此行数据。

5.一种电子设备，包括存储器和处理器，存储器上储存有在处理器上运行的计算机程序，其特征在于：处理器执行计算机程序时实现权利要求1至4任一项所述的方法。

6.一种存储介质，该存储介质上存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现权利要求1至4任一项所述的方法。

7.一种基于二进制的数据库权限控制系统，其特征在于，包括：

控制表管理模块，其用于：创建控制表，将敏感数据分为若干数据领域，为每个数据领域指定唯一的二进制数，作为数据领域标签；

标签添加模块，其用于：不同数据领域的数据入库时，给数据打上对应的数据领域标签；

用户组管理模块，其用于：创建数据库用户组，每个数据领域对应一个用户组；用户申请数据库权限时，根据用户申请的权限，将用户加入对应的用户组；

用户权限管理模块，其用于：用户与数据库建立连接时，获取用户对应的用户组，计算所有用户组对应的数据领域标签求和取反的值，作为用户权限值；用户查询数据时，对用户权限值与该数据的数据领域标签计算二进制“与”值，根据计算结果判断是否有权限查看该数据。

8.如权利要求7所述的系统，其特征在于，所述控制表管理模块将敏感数据分为若干数据领域，为每个数据领域指定唯一的二进制数，作为数据领域标签时，所述二进制值按位从小到大自增。

9.如权利要求7所述的系统，其特征在于，所述控制表管理模块将敏感数据分为若干数据领域，为每个数据领域指定唯一的二进制数，作为数据领域标签时，将二进制数换算成十进制数进行存储。

10.如权利要求7所述的系统，其特征在于，所述用户权限管理模块具体用于：

若用户查询某列敏感数据，采用用该列数据的数据领域标签与用户权限值计算“逻辑与”；若计算结果为0则返回正常数据，否则返回“被保护”；

若用户查询某行敏感数据，采用用该行数据的数据领域标签与用户权限值计算“逻辑与”；若计算结果为0则返回正常数据，否则不显示此行数据。

Images