CN112925766B - 一种数据安全管控装置、系统、方法及其可读存储介质 - Google Patents
一种数据安全管控装置、系统、方法及其可读存储介质 Download PDFInfo
- Publication number
- CN112925766B CN112925766B CN202110225799.4A CN202110225799A CN112925766B CN 112925766 B CN112925766 B CN 112925766B CN 202110225799 A CN202110225799 A CN 202110225799A CN 112925766 B CN112925766 B CN 112925766B
- Authority
- CN
- China
- Prior art keywords
- information
- data
- authority
- platform
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000006243 chemical reaction Methods 0.000 claims abstract description 12
- 230000008520 organization Effects 0.000 claims description 12
- 230000001360 synchronised effect Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 2
- 238000007726 management method Methods 0.000 abstract description 47
- 238000013523 data management Methods 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 239000000463 material Substances 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/242—Query formulation
- G06F16/2433—Query languages
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
- G06F16/252—Integrating or interfacing systems involving database management systems between a Database Management System and a front-end application
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Abstract
本发明涉及数据安全管理技术领域,具体涉及一种数据安全管控装置、系统、方法及其可读存储介质,其方法包括:当外部系统向数据平台集群中的一个数据平台发送数据访问请求时,接收到该数据访问请求的数据平台向目录服务发送认证请求,该认证请求包含有用户信息和平台类型信息;目录服务在接收到认证请求中的用户信息后,将该认证请求中的用户信息与写入于目录服务中的用户权限配置信息中的用户信息进行匹配,并在匹配完成后获取其用户权限配置信息中的权限信息;根据平台类型信息将所获取到的权限信息进行协议转换后,向对应的数据平台进行发送;本发明能兼任不同类型的数据平台,实现了跨平台的数据安全统一管控,为数据管理带来了极大的便利。
Description
技术领域
本发明涉及数据安全管理技术领域,具体涉及一种数据安全管控装置、一种数据安全管控系统、一种数据安全管控方法以及一种存储有上述方法的可读存储介质。
背景技术
随着数字技术的飞速发展,市面上对高性能计算的需求越来越多;其中,高性能计算的思想是将计算作业分散到集群机器上,集群计算节点访问存储区域网络(StorageAreaNetwork,SAN)构成的共享文件系统获取数据。当需要访问对像达到拍字节(Petabytes,PB)级别的数据的时候,由于存储设备网络带宽的限制,因此很多集群计算节点只能空闲等待数据。为解决上述问题市面上出现了一个能够对大量数据进行分布式处理的软件框架Hadoop;用户可以轻松地在Hadoop上开发和运行处理海量数据的应用程序。
而在现今市面上存在着多种不同的版本的Hadoop数据平台,如:CDH(Cloudera’sDistribution Including Apache Hadoop)、HDP(Hortonworks Data Platform)等;但由于各数据平台使用的技术方案各不相同,目前无法通过统一数据安全平台来管控这些不同类型的数据平台,为数据管理带来了极大的不便。
发明内容
为克服上述缺陷,本发明的目的即在于提供一种兼容不同数据平台的数据安全管控装置、系统、方法以及存储有其方法的可读存储介质。
本发明的目的是通过以下技术方案来实现的:
本发明是一种数据安全管控装置,其包括:
目录服务,所述目录服务与外部的数据平台集群相连接,且其组织单元中写有用户权限配置信息,其用于当其接收到数据平台集群中的一个数据平台向所述目录服务发送认证请求后,将该认证请求发送至数据权限配置器中;
数据权限配置器,所述数据权限配置器与所述目录服务相连接,用于将该认证请求中的用户信息与写入于该组织单元中的用户权限配置信息中的用户信息进行匹配,并根据匹配结果,获取其用户权限配置信息中的权限信息;
安全配置桥接器,所述安全配置桥接器分别与所述数据权限配置器、外部的数据平台集群相连接,用于根据所述认证请求中的平台类型信息将所获取到的权限信息进行相应的协议转换后,向对应的数据平台进行发送。
在本发明中,所述数据安全管控装置还包括:
应用程序接口,所述应用程序接口用于接收外部所输入的信息;
身份认证管理模块,所述身份认证管理模块与所述应用程序接口相连接,用于从外部所输入的信息中获取到用户权限配置信息;
账户同步控制器,所述账户同步控制器分别与所述身份认证管理模块和目录服务相连接,用于将所获取到的用户权限配置信息写入于目录服务中。
在本发明中,所述数据安全管控装置还包括:
SQL解析器,所述SQL解析器与所述应用程序接口相连接,用于从外部所输入的信息中获取到SQL信息,并从中提取相应的权限信息;
权限认证控制器,所述权限认证控制器分别与所述SQL解析器和所述数据权限配置器相连接,用于将所述SQL信息中的权限信息与所述数据权限配置器中的权限信息进行比对,判断是否执行该SQL信息。
基于同样的构思,本发明还提供一种数据安全管控系统,其包括:第一外部系统、数据平台集群和如上所述的数据安全管控装置;
所述第一外部系统与所述数据平台集群相连接,用于向所述数据平台集群中的一个数据平台发送数据访问请求;
所述数据平台集群包括两个以上的数据平台,每个数据平台均与所述数据安全管控装置连接,用于在接收到第一外部系统所发送数据访问请求后,向所述数据安全管控装置中的目录服务发送认证请求,该认证请求包含有用户信息和平台类型信息,所述平台类型信息与每个数据平台一一相对应;并在经所述数据安全管控装置响应后,接收其所发送的权限信息。
在本发明中,所述数据安全管控系统还包括:第二外部系统;
所述第二外部系统与所述数据安全管控装置中的应用程序接口相连接,用于通过该应用程序接口向所述数据安全管控装置发送用户权限配置信息或SQL信息。
在本发明中,所述数据平台包括:HDP平台、CDH平台。
在本发明中,所述数据平台中设有受限组件,所述受限组件用于根据所接收到的权限信息开放相应的访问权限。
基于同样的构思,本发明还提供一种数据安全管控方法,其包括:
当外部系统向数据平台集群中的一个数据平台发送数据访问请求时,接收到该数据访问请求的数据平台向目录服务发送认证请求,该认证请求包含有用户信息和平台类型信息,所述平台类型信息与每个数据平台一一相对应;
所述目录服务在接收到认证请求中的用户信息后,将该认证请求中的用户信息与写入于所述目录服务中的用户权限配置信息中的用户信息进行匹配,并在匹配完成后获取其用户权限配置信息中的权限信息;
根据所述平台类型信息将所获取到的权限信息进行协议转换后,向对应的数据平台进行发送。
在本发明中,所述外部系统向数据平台集群中的一个数据平台发送数据访问请求之前包括:
通过应用程序接口输入用户权限配置信息,并将该用户权限配置信息写入于至目录服务的组织单元中。
基于同样的构思,本发明还提供一种计算机可读存储介质,其存储有计算机程序指令,当所述计算机程序指令被计算机执行时,使计算机执行如上所述的方法。
本发明的数据安全管控系统,其在目录服务中先对用户权限配置信息进行存储,当接收到一个数据平台发送认证请求后,将目录服务中用户信息与其进行匹配,得到相应的权限信息,再将其进行协议转换后向对应的数据平台进行发送;故其能兼任不同类型的数据平台,实现了跨平台的数据安全统一管控,为数据管理带来了极大的便利。
附图说明
为了易于说明,本发明由下述的较佳实施例及附图作详细描述。
图1为本发明数据安全管控装置一个实施例的逻辑结构示意图;
图2为本发明数据安全管控系统一个实施例的逻辑结构示意图;
图3为本发明数据安全管控方法一个实施例的工作流程示意图;
图4为本发明数据安全管控方法另一个实施例的工作流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”、“顺时针”、“逆时针”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个所述特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接。可以是机械连接,也可以是电连接。可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
下面以一个实施例对本发明的一种数据安全管控装置进行具体描述,请参阅图1,其包括:
应用程序接口101,所述应用程序接口101用于接收外部所输入的信息;其中,该外部所输入的信息包括:用户权限配置信息或SQL(Structured Query Language,结构化查询语言)信息;该SQL信息用于存取数据以及查询、更新和管理关系数据库系统。
身份认证管理模块102,所述身份认证管理模块102与所述应用程序接口101相连接,用于从外部所输入的信息中获取到用户权限配置信息;其中,该用户权限配置信息中包含:账户名称、角色、api权限、菜单权限等参数;
账户同步控制器103,所述账户同步控制器103分别与所述身份认证管理模块102和目录服务相连接,用于将所获取到的用户权限配置信息写入于目录服务的组织单元(Organization Unit,OU)中;实现用户权限配置信息的共享。
目录服务104,所述目录服务104与外部的数据平台集群相连接,且该目录服务104中的组织单元通过所述账户同步控制器103写入有用户权限配置信息,其用于当其接收到数据平台集群中的一个数据平台400向所述目录服务104发送认证请求后,将该认证请求发送至数据权限配置器中;其中,该目录服务104为LDAP(Lightweight DirectoryAccessProtocol,轻型目录访问协议)服务,所有的用户权限配置信息被写入于其组织单元中,然后被同步至数据安全管控装置的各个部件中,保证其他部件正确配置用户信息。
数据权限配置器105,所述数据权限配置器105与所述目录服务104相连接,用于将该认证请求中的用户信息与写入于该组织单元中的用户权限配置信息中的用户信息进行匹配,并根据匹配结果,获取其用户权限配置信息中的权限信息;其主要负责统一处理认证请求中的权限配置请求,其将权限信息存储下来,并且把权限信息下发到安全配置桥接器。
安全配置桥接器106,所述安全配置桥接器106分别与所述数据权限配置器105、外部的数据平台集群相连接,用于根据所述认证请求中的平台类型信息将所获取到的权限信息进行相应的协议转换后,向对应的数据平台集群中的一个数据平台400进行发送。其中,安全配置桥接器106会适配不同类型的平台进行配置转发,其具体为:如果从平台类型信息中获取到其平台类型为HDP平台,则其将权限信息转换为与HDP平台相匹配的协议后,再向HDP平台进行发送,使其与HDP平台相兼容。
在本实施例中,先通过应用程序接口101在目录服务104中写入有用户权限配置信息,当一个数据平台发送认证请求后,通过其认证请求中的用户信息与目录服务104中的权限配置信息进行匹配,得到相应的权限信息,再将该权限信息发送至该数据平台中,使得数据平台获得相应的权限信息。
优选地,所述数据安全管控装置还包括:
SQL解析器107,所述SQL解析器107与所述应用程序接口101相连接,用于从外部所输入的信息中获取到SQL信息,并从中提取相应的权限信息;
权限认证控制器108,所述权限认证控制器108分别与所述SQL解析器107和所述数据权限配置器105相连接,用于将所述SQL信息中的权限信息与所述数据权限配置器105中的权限信息进行比对,判断是否执行该SQL信息。
在本实施例中,外部的系统可直接应用程序接口101向数据安全管控装置发送操作请求,并通过该权限认证控制器108对用户的权限进行确认,并判断是否执行该操作请求。
下面以一个实施例对本发明的一种数据安全管控系统进行具体描述,请参阅图2,其包括:
第一外部系统200、第二外部系统300、数据平台集群和如上所述的数据安全管控装置100;
所述第一外部系统200与所述数据平台集群相连接,用于向所述数据平台集群中的一个数据平台发送数据访问请求。
所述第二外部系统300与所述数据安全管控装置100中的应用程序接口101相连接,用于通过该应用程序接口101向所述数据安全管控装置100发送用户权限配置信息或SQL信息;故该第二外部系统300可在该数据安全管控装置100中写入用户权限配置信息,以便第一外部系统200在访问数据平台时,能通过数据安全管控装置100获取到相应的权限信息;或者,第二外部系统300可直接在数据安全管控装置100中输入访问请求,数据安全管控装置100通过其权限信息判断是否执行其请求。
所述数据平台集群包括两个以上的数据平台400,其包括:HDP平台、CDH平台;每个数据平台400均与所述数据安全管控装置100连接,用于在接收到第一外部系统200所发送数据访问请求后,向所述数据安全管控装置100中的目录服务104发送认证请求,该认证请求包含有用户信息和平台类型信息,所述平台类型信息与每个数据平台400一一相对应;当所述数据安全管控装置100接收到认证请求中的用户信息后,将该认证请求中的用户信息与写入于目录服务104中的用户权限配置信息中的用户信息进行匹配,并在匹配完成后获取其用户权限配置信息中的权限信息,根据所述平台类型信息将所获取到的权限信息进行协议转换后,向数据平台400进行发送后,所述数据平台400接收其所发送的权限信息。
优选地,所述数据平台400中设有受限组件,所述受限组件用于根据所接收到的权限信息开放相应的访问权限;故该第一外部系统200可根据数据平台400所开发的权限,对数据平台400内的数据进行访问。
下面以一个基于数据安全管控装置的实施例对本发明的一种数据安全管控方法进行具体描述,请参阅图3,其包括:
S101.向目录服务发送认证请求
当外部系统向数据平台集群中的一个数据平台发送数据访问请求时,接收到该数据访问请求的数据平台向目录服务发送认证请求,该认证请求包含有用户信息和平台类型信息,所述平台类型信息与每个数据平台一一相对应;其具体为:当外部系统向HDP平台发送数据访问请求时,HDP平台会向目录服务发送包含有用户信息和平台类型信息的认证请求;其中,该用户信息包括账户名称:张三;在本实施例中,该平台类型信息为HDP平台。
S102.对用户信息进行匹配
所述目录服务在接收到认证请求中的用户信息后,将该认证请求中的用户信息与写入于所述目录服务中的用户权限配置信息中的用户信息进行匹配,并在匹配完成后获取其用户权限配置信息中的权限信息;其具体为:该目录服务中写有多个用户权限配置信息,每个用户权限配置信息中均包含有用户信息和其对应的权限信息;即系统在目录服务中找出与张三相匹配的用户权限配置信息,并获取其对应的权限信息为“一般权限”。
S103.发送经协议转换后的权限信息
根据所述平台类型信息将所获取到的权限信息进行协议转换后,向对应的数据平台进行发送。其具体为:从平台类型信息中获取到其平台类型为HDP平台,则其将其权限信息“一般权限”转换为与HDP平台相匹配的协议后,再向HDP平台进行发送;以便于HDP平台根据其权限信息的内容向外部系统开放与其权限相同的内容。
下面以另一个基于数据安全管控系统的实施例对本发明的一种数据安全管控方法进行具体描述,请参阅图4,其包括:
S201.第二外部系统在目录服务中写入用户权限配置信息
第二外部系统通过应用程序接口输入用户权限配置信息,并将该用户权限配置信息写入于至目录服务的组织单元中;其中,该用户权限配置信息中包含:账户名称、角色、api权限、菜单权限等参数。
S202.第一外部系统发送数据访问请求
第一外部系统向数据平台集群中的一个数据平台发送数据访问请求;其中,该数据平台包括:HDP平台、CDH平台;其具体为:第一外部系统向HDP平台请求读取数据。
S203.向目录服务发送认证请求
目录服务接收到该数据访问请求的数据平台向目录服务发送认证请求,该认证请求包含有用户信息和平台类型信息,所述平台类型信息与每个数据平台一一相对应;其中,该用户信息包括账户名称:张三;在本实施例中,该平台类型信息为HDP平台。
S204.对用户信息进行匹配
所述目录服务在接收到认证请求中的用户信息后,将该认证请求中的用户信息与写入于所述目录服务中的用户权限配置信息中的用户信息进行匹配,并在匹配完成后获取其用户权限配置信息中的权限信息;其具体为:该目录服务中写有多个用户权限配置信息,每个用户权限配置信息中均包含有用户信息和其对应的权限信息;即系统在目录服务中找出与张三相匹配的用户权限配置信息,并获取其对应的权限信息为“一般权限”。
S205.发送经协议转换后的权限信息
根据所述平台类型信息将所获取到的权限信息进行协议转换后,向对应的数据平台进行发送。其具体为:从平台类型信息中获取到其平台类型为HDP平台,则其将其权限信息“一般权限”转换为与HDP平台相匹配的协议后,再向HDP平台进行发送,使其权限信息兼容HDP平台。
S206.数据平台根据权限信息开放的内容
数据平台根据所接收到的权限信息,向第一外部系统开放与其权限相同的内容,供该第一外部系统进行读取或操作;具体地,HDP平台根据其权限信息的内容向外部系统开放“一般权限”所对应的内容。
本发明包括一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
以上可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
在本说明书的描述中,参考术语“一个实施方式”、“一些实施方式”、“示意性实施方式”、“示例”、“具体示例”、或“一些示例”等的描述意指结合实施方式或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施方式或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施方式或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施方式或示例中以合适的方式结合。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种数据安全管控装置,其特征在于,包括:
目录服务,所述目录服务与外部的数据平台集群相连接,且其组织单元中写有用户权限配置信息,其用于当其接收到数据平台集群中的一个数据平台向所述目录服务发送认证请求后,将该认证请求发送至数据权限配置器中;
数据权限配置器,所述数据权限配置器与所述目录服务相连接,用于将该认证请求中的用户信息与写入于该组织单元中的用户权限配置信息中的用户信息进行匹配,并根据匹配结果,获取其用户权限配置信息中的权限信息;
安全配置桥接器,所述安全配置桥接器分别与所述数据权限配置器、外部的数据平台集群相连接,用于根据所述认证请求中的平台类型信息将所获取到的权限信息进行相应的协议转换后,向对应的数据平台进行发送;
所述数据安全管控装置还包括:
应用程序接口,所述应用程序接口用于接收外部所输入的信息;
身份认证管理模块,所述身份认证管理模块与所述应用程序接口相连接,用于从外部所输入的信息中获取到用户权限配置信息;
账户同步控制器,所述账户同步控制器分别与所述身份认证管理模块和目录服务相连接,用于将所获取到的用户权限配置信息写入于目录服务中;
所述数据安全管控装置还包括:
SQL解析器,所述SQL解析器与所述应用程序接口相连接,用于从外部所输入的信息中获取到SQL信息,并从中提取相应的权限信息;
权限认证控制器,所述权限认证控制器分别与所述SQL解析器和所述数据权限配置器相连接,用于将所述SQL信息中的权限信息与所述数据权限配置器中的权限信息进行比对,判断是否执行该SQL信息。
2.一种数据安全管控系统,其特征在于,包括:第一外部系统、数据平台集群和权利要求1所述的数据安全管控装置;
所述第一外部系统与所述数据平台集群相连接,用于向所述数据平台集群中的一个数据平台发送数据访问请求;
所述数据平台集群包括两个以上的数据平台,每个数据平台均与所述数据安全管控装置连接,用于在接收到第一外部系统所发送数据访问请求后,向所述数据安全管控装置中的目录服务发送认证请求,该认证请求包含有用户信息和平台类型信息,所述平台类型信息与每个数据平台一一相对应;并在经所述数据安全管控装置响应后,接收其所发送的权限信息;
所述数据安全管控系统还包括:第二外部系统;
所述第二外部系统与所述数据安全管控装置中的应用程序接口相连接,用于通过该应用程序接口向所述数据安全管控装置发送用户权限配置信息或SQL信息;
所述数据平台包括:HDP平台、CDH平台;
所述数据平台中设有受限组件,所述受限组件用于根据所接收到的权限信息开放相应的访问权限。
3.一种数据安全管控方法,其特征在于,包括:
当外部系统向数据平台集群中的一个数据平台发送数据访问请求时,接收到该数据访问请求的数据平台向目录服务发送认证请求,该认证请求包含有用户信息和平台类型信息,所述平台类型信息与每个数据平台一一相对应;
所述目录服务在接收到认证请求中的用户信息后,将该认证请求中的用户信息与写入于所述目录服务中的用户权限配置信息中的用户信息进行匹配,并在匹配完成后获取其用户权限配置信息中的权限信息;
根据所述平台类型信息将所获取到的权限信息进行协议转换后,向对应的数据平台进行发送;
所述外部系统向数据平台集群中的一个数据平台发送数据访问请求之前包括:
通过应用程序接口输入用户权限配置信息,并将该用户权限配置信息写入于至目录服务的组织单元中;
该方法还包括数据安全管控装置进行数据处理,所述数据安全管控装置还包括:
SQL解析器,所述SQL解析器与所述应用程序接口相连接,用于从外部所输入的信息中获取到SQL信息,并从中提取相应的权限信息;
权限认证控制器,所述权限认证控制器分别与所述SQL解析器和所述数据权限配置器相连接,用于将所述SQL信息中的权限信息与数据权限配置器中的权限信息进行比对,判断是否执行该SQL信息。
4.一种计算机可读存储介质,其特征在于,其存储有计算机程序指令,当所述计算机程序指令被计算机执行时,使计算机执行根据权利要求3所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110225799.4A CN112925766B (zh) | 2021-03-01 | 2021-03-01 | 一种数据安全管控装置、系统、方法及其可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110225799.4A CN112925766B (zh) | 2021-03-01 | 2021-03-01 | 一种数据安全管控装置、系统、方法及其可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112925766A CN112925766A (zh) | 2021-06-08 |
| CN112925766B true CN112925766B (zh) | 2024-02-20 |
Family
ID=76172818
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110225799.4A Active CN112925766B (zh) | 2021-03-01 | 2021-03-01 | 一种数据安全管控装置、系统、方法及其可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112925766B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113591126B (zh) * | 2021-08-12 | 2023-02-07 | 北京滴普科技有限公司 | 一种数据权限处理方法及计算机可读存储介质 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1285067A (zh) * | 1997-11-06 | 2001-02-21 | 联信技术公司 | 根据权限管理信息和其它信息进行选配、选择、窄带广播和/或分类的系统和方法 |
| CN1805336A (zh) * | 2005-01-12 | 2006-07-19 | 北京航空航天大学 | 面向asp模式的单一登录方法及系统 |
| CN103957248A (zh) * | 2014-04-21 | 2014-07-30 | 中国科学院软件研究所 | 一种基于物联网的公共实时数据管理云服务平台 |
| CN203813811U (zh) * | 2014-05-16 | 2014-09-03 | 广州电力通信网络有限公司 | 一种高安全性的变电站临时网络结构 |
| CN104239261A (zh) * | 2014-09-17 | 2014-12-24 | 重庆伊士顿电梯有限责任公司 | Ic卡权限数据协议转换系统及方法 |
| CN109274653A (zh) * | 2018-08-31 | 2019-01-25 | 江苏满运软件科技有限公司 | 基于用户权限的数据管控方法、系统、设备及存储介质 |
| WO2019148130A1 (en) * | 2018-01-27 | 2019-08-01 | Redrock Biometrics Inc. | Decentralized biometric authentication platform |
| CN110519285A (zh) * | 2019-08-30 | 2019-11-29 | 浙江大搜车软件技术有限公司 | 用户认证方法、装置、计算机设备和存储介质 |
| CN111125674A (zh) * | 2019-12-20 | 2020-05-08 | 中国银联股份有限公司 | 开放式数据处理系统、开放式数据系统及数据处理方法 |
| CN111783053A (zh) * | 2020-08-13 | 2020-10-16 | 盐城工学院 | 一种交互式统一大数据编程计算平台 |
| CN111797378A (zh) * | 2020-07-06 | 2020-10-20 | 遵义科晟云达科技有限公司 | 一种人社信息多重身份管理认证平台 |
| CN111885154A (zh) * | 2020-07-22 | 2020-11-03 | 北京邮电大学 | 基于证书链的分布式数据安全共享方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7457865B2 (en) * | 2003-01-23 | 2008-11-25 | Redknee Inc. | Method for implementing an internet protocol (IP) charging and rating middleware platform and gateway system |
-
2021
- 2021-03-01 CN CN202110225799.4A patent/CN112925766B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1285067A (zh) * | 1997-11-06 | 2001-02-21 | 联信技术公司 | 根据权限管理信息和其它信息进行选配、选择、窄带广播和/或分类的系统和方法 |
| CN1805336A (zh) * | 2005-01-12 | 2006-07-19 | 北京航空航天大学 | 面向asp模式的单一登录方法及系统 |
| CN103957248A (zh) * | 2014-04-21 | 2014-07-30 | 中国科学院软件研究所 | 一种基于物联网的公共实时数据管理云服务平台 |
| CN203813811U (zh) * | 2014-05-16 | 2014-09-03 | 广州电力通信网络有限公司 | 一种高安全性的变电站临时网络结构 |
| CN104239261A (zh) * | 2014-09-17 | 2014-12-24 | 重庆伊士顿电梯有限责任公司 | Ic卡权限数据协议转换系统及方法 |
| WO2019148130A1 (en) * | 2018-01-27 | 2019-08-01 | Redrock Biometrics Inc. | Decentralized biometric authentication platform |
| CN109274653A (zh) * | 2018-08-31 | 2019-01-25 | 江苏满运软件科技有限公司 | 基于用户权限的数据管控方法、系统、设备及存储介质 |
| CN110519285A (zh) * | 2019-08-30 | 2019-11-29 | 浙江大搜车软件技术有限公司 | 用户认证方法、装置、计算机设备和存储介质 |
| CN111125674A (zh) * | 2019-12-20 | 2020-05-08 | 中国银联股份有限公司 | 开放式数据处理系统、开放式数据系统及数据处理方法 |
| CN111797378A (zh) * | 2020-07-06 | 2020-10-20 | 遵义科晟云达科技有限公司 | 一种人社信息多重身份管理认证平台 |
| CN111885154A (zh) * | 2020-07-22 | 2020-11-03 | 北京邮电大学 | 基于证书链的分布式数据安全共享方法及系统 |
| CN111783053A (zh) * | 2020-08-13 | 2020-10-16 | 盐城工学院 | 一种交互式统一大数据编程计算平台 |
Non-Patent Citations (1)
| Title |
|---|
| 马彬焱.城市轨道交通企业信息系统集成研究.《现代城市轨道交通 》.2018,第83-86页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112925766A (zh) | 2021-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102394872B (zh) | 数据通信协议 | |
| WO2021197432A1 (zh) | 一种数据库集群的路由方法和装置 | |
| US20050278384A1 (en) | External authentication against a third-party directory | |
| CN105681477B (zh) | 一种数据访问方法和一种服务器 | |
| CN111274268B (zh) | 物联网数据传输方法、装置、介质及电子设备 | |
| US20210097476A1 (en) | Container Management Method, Apparatus, and Device | |
| CN108287894B (zh) | 数据处理方法、装置、计算设备及存储介质 | |
| TW201439792A (zh) | 資料庫訪問系統及方法 | |
| KR102561083B1 (ko) | 프로파일 기반 콘텐츠 및 서비스들 | |
| KR20210105316A (ko) | 이더리움 가상머신의 트랜잭션 처리 방법, 장치, 설비, 프로그램 및 매체 | |
| US20070106770A1 (en) | Managing a remote device by a communication element that does not specify an identifier for the management object | |
| WO2023179509A1 (zh) | 数据访问装置、方法、可读介质和电子设备 | |
| CN111177246A (zh) | 一种业务数据的处理方法及装置 | |
| CN113381866A (zh) | 基于网关的服务调用方法、装置、设备及存储介质 | |
| CN112925766B (zh) | 一种数据安全管控装置、系统、方法及其可读存储介质 | |
| CN113381870B (zh) | 报文处理方法和设备 | |
| US10621111B2 (en) | System and method for unified secure remote configuration and management of multiple applications on embedded device platform | |
| CN112688811B (zh) | 无线局域网络管理方法、装置、设备和存储介质 | |
| KR20210122211A (ko) | 이더리움 가상머신의 트랜잭션 처리 방법, 장치, 설비, 프로그램 및 매체 | |
| WO2023236497A1 (zh) | 鉴权方法、装置、存储介质和电子设备 | |
| CN111045928A (zh) | 一种接口数据测试方法、装置、终端及存储介质 | |
| CN107526530B (zh) | 数据处理方法和设备 | |
| WO2020221033A1 (zh) | 管理设备对远端存储设备进行管理的方法 | |
| WO2013118926A1 (ko) | 모바일 의료정보 제공시스템, 모바일 의료정보 제공방법 및 그 방법을 수행하기 위한 프로그램을 기록한 컴퓨터 판독 가능한 기록매체 | |
| CN112130817A (zh) | 一种多版本接口实现方法、系统、装置及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |