CN113452683A - 一种数据库行列级权限控制的方法和系统 - Google Patents
一种数据库行列级权限控制的方法和系统 Download PDFInfo
- Publication number
- CN113452683A CN113452683A CN202110663193.9A CN202110663193A CN113452683A CN 113452683 A CN113452683 A CN 113452683A CN 202110663193 A CN202110663193 A CN 202110663193A CN 113452683 A CN113452683 A CN 113452683A
- Authority
- CN
- China
- Prior art keywords
- database
- data
- column
- authority
- row
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/242—Query formulation
- G06F16/2433—Query languages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/75—Indicating network or usage conditions on the user display
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种数据库行列级权限控制的方法和系统,包括以下步骤:S100:应用系统调用SDK安全驱动向代理网关引擎发送数据访问请求;S200:代理网关引擎解析步骤S100发送的数据访问请求,并将元数据进行处理,生成可做权限控制的虚拟视图;S300:代理网关引擎再访问数据库,实现数据库数据读取并对数据进行行列权限控制,对外进行权限展出。该数据库行列级权限控制的方法和系统,通过在原数据表基础上生成虚拟视图,根据行列权限控制实现对元数据查询反馈的权限控制,用户连接虚拟试图,实现被控制查询的行列数据对外展示为空;在数据列控制中,再提取查询字段信息与白名单碰撞匹配,同时根据匹配结果,对查询数据结果集进行修改。
Description
技术领域
本发明涉及网络安全技术领域,具体为数据安全方向的数据库访问控制系统,即一种数据库行列级权限控制的方法和系统。
背景技术
随着互联网、物联网、大数据、云计算等技术的快速发展,以及智能终端、网络社会、数字地球等信息体的普及和建设,原先孤立的信息系统也大量集中,数据量出现爆炸式增长,形成了大数据环境。数据作为新型资源,在流动共享中利用大数据技术挖掘其数据价值的同时,既要满足合规性的要求,也要抵御来自外部黑客、内部人员泄露的风险。
目前市面上主流数据库主要有以下几种:sql server、oracle、sybase、db2、Informix、mySQL等,所有权限认证的根本目的,都是为了保证用户只能做允许它做的事情,数据库的登陆权限控制验证大多为两种:不能连接、不能执行操作,此为连接权限,数据库的应用权限细分为:表权限、列权限、行权限。
传统的数据安全是通过数据库防火墙、数据库审计产品来保障的,但由于技术框架实现原理导致还存在一些无法解决的问题,现有传统数据库防火墙存在以下问题:
数据库网络协议不公开,传统逆向解析不准确,业务保障为真空状态,只能对简单的语句做拦截或过滤,面对数据共享场景,对数据库的权限控制只能到数据库表一级,不能对数据结果集做行列控制。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供了一种数据库行列级权限控制的方法和系统,解决了数据库网络协议不公开,传统逆向解析不准确,以及数据库安全设备不能部署大流量测诟病的问题。
(二)技术方案
为实现上述完善数据库行列访问控制权限和解决数据库安全设备不能部署大流量测诟病的目的,本发明提供如下技术方案:一种数据库行列级权限控制的方法,其特征在于,包括以下步骤:
S100:应用系统调用SDK安全驱动向代理网关引擎发送数据访问请求;
S200:代理网关引擎解析步骤S100发送的数据访问请求,并将元数据进行处理,生成可做权限控制的虚拟视图;
S300:代理网关引擎再访问数据库,实现数据库数据读取并对数据进行行列权限控制,对外进行权限展出,开拓虚拟试图实现最小粒度的授权:DDL,DML,数据行列控制;
S400:通过管理平台实现产品的网络设置,集群设置,用户设置,数据库源配置,数据服务的安全策略配置,实现行列控制选择及虚拟用户发布。
优选的,所述步骤S200中的虚拟视图是对原始表进行行列控制等数据控制规则的基础上提供给用户看到的一张虚拟表或视图,这个虚拟表可以像真正的表一些进行增删改查操作,这些操作也将同步到原始表中,虚拟视图可帮助实现对用户最小权限的控制,由此可做到数据库行列级的权限控制。
一种数据库行列级权限控制的系统,包括SDK安全驱动、分布式代理网关引擎和管理平台,所述SDK安全驱动的输出端与分布式代理网关引擎的输入端连接,所述分布式代理网关引擎与管理平台之间设置有数据库,所述分布式代理网关引擎与数据库双向连接,所述数据库与管理平台双向连接。
优选的,所述SDK安全驱动部署在应用侧。
优选的,所述分布式代理网关引擎串联部署在应用系统和数据库之间,响应SDK安全驱动交互请求。
优选的,所述数据库包括云平台、关系型数据库和大数据平台三个部分。
(三)有益效果
与现有技术相比,本发明提供了一种数据库行列级权限控制的方法和系统,具备以下有益效果:
该数据库行列级权限控制的方法和系统,通过在原数据表基础上生成虚拟视图,根据行列权限控制实现对元数据查询反馈的权限控制,用户连接虚拟试图,实现被控制查询的行列数据对外展示为空;实现数据列控制,在资源访问控制基础上,针对表字段再进行白名单(字段允许查询)管理;在资源访问控制中提到通过解析SQL语句语法,并提取了行为关键字,以及库表信息;在数据列控制中,再提取查询字段信息与白名单碰撞匹配,同时根据匹配结果,对查询数据结果集进行修改;实现数据行控制,在资源访问控制基础上,针对数据指定字段内容进行过滤,匹配(数据行允许查询)规则管理;指定字段为单一区间或包含关键字,以及为枚举值;实现方法一和数据列控制类似,对查询数据结果集进行碰撞处理,对触碰规则的数据进行移除;展示控制后的数据效果。
附图说明
图1为本发明提出的一种数据库行列级权限控制的系统结构示意图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,一种数据库行列级权限控制的方法,包括以下步骤:
S100:应用系统调用SDK安全驱动向代理网关引擎发送数据访问请求;
S200:代理网关引擎解析步骤S100发送的数据访问请求,并将元数据进行处理,生成可做权限控制的虚拟视图;
S300:代理网关引擎再访问数据库,实现数据库数据读取并对数据进行行列权限控制,对外进行权限展出,开拓虚拟试图实现最小粒度的授权:DDL,DML,数据行列控制;
S400:通过管理平台实现产品的网络设置,集群设置,用户设置,数据库源配置,数据服务的安全策略配置,实现行列控制选择及虚拟用户发布。
所述步骤S200中的虚拟视图是对原始表进行行列控制等数据控制规则的基础上提供给用户看到的一张虚拟表或视图,这个虚拟表可以像真正的表一些进行增删改查操作,这些操作也将同步到原始表中,虚拟视图可帮助实现对用户最小权限的控制,由此可做到数据库行列级的权限控制。
一种数据库行列级权限控制的系统,包括SDK安全驱动、分布式代理网关引擎和管理平台,所述SDK安全驱动的输出端与分布式代理网关引擎的输入端连接,所述分布式代理网关引擎与管理平台之间设置有数据库,所述分布式代理网关引擎与数据库双向连接,所述数据库与管理平台双向连接。
所述SDK安全驱动部署在应用侧(包括数据库访问工具),不需要修改应用代码;应用系统调用SDK安全驱动访问代理网关引擎,代理网关引擎再访问数据库。
所述分布式代理网关引擎串联是安全策略的执行者,部署在应用系统和数据库之间,响应SDK安全驱动交互请求,实现数据库数据读取并对数据进行行列权限控制,对外进行权限展出,开拓虚拟试图实现最小粒度的授权:DDL,DML,数据行列控制。
管理平台:实现产品的网络设置,集群设置,用户设置,数据库源配置,数据服务的安全策略配置,实现行列控制选择及虚拟用户发布。
所述数据库包括云平台、关系型数据库和大数据平台三个部分。
该文中主控器可为计算机等起到控制的常规已知设备。
在使用时,在原数据表基础上生成虚拟视图,根据行列权限控制实现对元数据查询反馈的权限控制,用户连接虚拟试图,实现被控制查询的行列数据对外展示为空。
实现数据列控制,在资源访问控制基础上,针对表字段再进行白名单(字段允许查询)管理;在资源访问控制中提到通过解析SQL语句语法,并提取了行为关键字,以及库表信息;在数据列控制中,再提取查询字段信息与白名单碰撞匹配,同时根据匹配结果,对查询数据结果集进行修改;如部门主管查询部门员工信息,但无权限查询员工工资,根据数据列控制规则,虚拟实例返回元数据中不存在工资列A,若强行查询列A,在查询SQL语句中有查询字段列A,代理网关会对查询结果集中列A内容置空,保持数据不可见但返回列数量不变,同时记录越权访问的审计信息,事后追溯。
实现数据行控制,在资源访问控制基础上,针对数据指定字段内容进行过滤,匹配(数据行允许查询)规则管理;指定字段为单一区间或包含关键字,以及为枚举值;实现方法一和数据列控制类似,对查询数据结果集进行碰撞处理,对触碰规则的数据进行移除;展示控制后的数据效果。
综上所述,该数据库行列级权限控制的方法和系统,该数据库行列级权限控制的方法和系统,通过在原数据表基础上生成虚拟视图,根据行列权限控制实现对元数据查询反馈的权限控制,用户连接虚拟试图,实现被控制查询的行列数据对外展示为空;实现数据列控制,在资源访问控制基础上,针对表字段再进行白名单(字段允许查询)管理;在资源访问控制中提到通过解析SQL语句语法,并提取了行为关键字,以及库表信息;在数据列控制中,再提取查询字段信息与白名单碰撞匹配,同时根据匹配结果,对查询数据结果集进行修改;实现数据行控制,在资源访问控制基础上,针对数据指定字段内容进行过滤,匹配(数据行允许查询)规则管理;指定字段为单一区间或包含关键字,以及为枚举值;实现方法一和数据列控制类似,对查询数据结果集进行碰撞处理,对触碰规则的数据进行移除;展示控制后的数据效果。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (6)
1.一种数据库行列级权限控制的方法,其特征在于,包括以下步骤:
S100:应用系统调用SDK安全驱动向代理网关引擎发送数据访问请求;
S200:代理网关引擎解析步骤S100发送的数据访问请求,并将元数据进行处理,生成可做权限控制的虚拟视图;
S300:代理网关引擎再访问数据库,实现数据库数据读取并对数据进行行列权限控制,对外进行权限展出,开拓虚拟试图实现最小粒度的授权:DDL,DML,数据行列控制;
S400:通过管理平台实现产品的网络设置,集群设置,用户设置,数据库源配置,数据服务的安全策略配置,实现行列控制选择及虚拟用户发布。
2.根据权利要求1所述的一种数据库行列级权限控制的方法,其特征在于:所述步骤S200中的虚拟视图是对原始表进行行列控制等数据控制规则的基础上提供给用户看到的一张虚拟表或视图,这个虚拟表可以像真正的表一些进行增删改查操作,这些操作也将同步到原始表中,虚拟视图可帮助实现对用户最小权限的控制,由此可做到数据库行列级的权限控制。
3.一种数据库行列级权限控制的系统,其特征在于:包括SDK安全驱动、分布式代理网关引擎和管理平台,所述SDK安全驱动的输出端与分布式代理网关引擎的输入端连接,所述分布式代理网关引擎与管理平台之间设置有数据库,所述分布式代理网关引擎与数据库双向连接,所述数据库与管理平台双向连接。
4.根据权利要求3所述的一种数据库行列级权限控制的系统,其特征在于:所述SDK安全驱动部署在应用侧。
5.根据权利要求3所述的一种数据库行列级权限控制的系统,其特征在于:所述分布式代理网关引擎串联部署在应用系统和数据库之间,响应SDK安全驱动交互请求。
6.根据权利要求3所述的一种数据库行列级权限控制的系统,其特征在于:所述数据库包括云平台、关系型数据库和大数据平台三个部分。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110663193.9A CN113452683A (zh) | 2021-06-15 | 2021-06-15 | 一种数据库行列级权限控制的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110663193.9A CN113452683A (zh) | 2021-06-15 | 2021-06-15 | 一种数据库行列级权限控制的方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113452683A true CN113452683A (zh) | 2021-09-28 |
Family
ID=77811471
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110663193.9A Pending CN113452683A (zh) | 2021-06-15 | 2021-06-15 | 一种数据库行列级权限控制的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113452683A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200380008A1 (en) * | 2019-05-31 | 2020-12-03 | Snowflake Inc. | Sharing data in a data exchange using listings |
CN114880702A (zh) * | 2022-04-25 | 2022-08-09 | 北京科杰科技有限公司 | 基于行列级权限的请求处理方法、装置、电子设备及介质 |
CN117708879A (zh) * | 2023-12-13 | 2024-03-15 | 北京镜舟科技有限公司 | 一种信息权限控制方法、系统、终端及存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030023601A1 (en) * | 2001-05-08 | 2003-01-30 | Fortier Joseph W. | System and method for intercommunication among disparate communication networks |
KR20080041155A (ko) * | 2008-03-21 | 2008-05-09 | 주식회사 나우콤 | 가상 디스크드라이브 파일 전송 시스템 및 그 방법 |
CN101639882A (zh) * | 2009-08-28 | 2010-02-03 | 华中科技大学 | 基于存储加密的数据库安全保密系统 |
CN102946648A (zh) * | 2012-10-24 | 2013-02-27 | 西安大唐电信有限公司 | 一种无线网关智能终端系统及其自动化控制方法 |
CN107403106A (zh) * | 2017-07-18 | 2017-11-28 | 北京计算机技术及应用研究所 | 基于终端用户的数据库细粒度访问控制方法 |
CN107679125A (zh) * | 2017-09-21 | 2018-02-09 | 杭州云霁科技有限公司 | 一种用于云计算的配置管理数据库系统 |
CN107871084A (zh) * | 2016-09-27 | 2018-04-03 | 北京计算机技术及应用研究所 | 基于身份和规则的数据库访问控制方法 |
CN108874863A (zh) * | 2018-04-19 | 2018-11-23 | 华为技术有限公司 | 一种数据访问的控制方法及数据库访问装置 |
-
2021
- 2021-06-15 CN CN202110663193.9A patent/CN113452683A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030023601A1 (en) * | 2001-05-08 | 2003-01-30 | Fortier Joseph W. | System and method for intercommunication among disparate communication networks |
KR20080041155A (ko) * | 2008-03-21 | 2008-05-09 | 주식회사 나우콤 | 가상 디스크드라이브 파일 전송 시스템 및 그 방법 |
CN101639882A (zh) * | 2009-08-28 | 2010-02-03 | 华中科技大学 | 基于存储加密的数据库安全保密系统 |
CN102946648A (zh) * | 2012-10-24 | 2013-02-27 | 西安大唐电信有限公司 | 一种无线网关智能终端系统及其自动化控制方法 |
CN107871084A (zh) * | 2016-09-27 | 2018-04-03 | 北京计算机技术及应用研究所 | 基于身份和规则的数据库访问控制方法 |
CN107403106A (zh) * | 2017-07-18 | 2017-11-28 | 北京计算机技术及应用研究所 | 基于终端用户的数据库细粒度访问控制方法 |
CN107679125A (zh) * | 2017-09-21 | 2018-02-09 | 杭州云霁科技有限公司 | 一种用于云计算的配置管理数据库系统 |
CN108874863A (zh) * | 2018-04-19 | 2018-11-23 | 华为技术有限公司 | 一种数据访问的控制方法及数据库访问装置 |
Non-Patent Citations (2)
Title |
---|
RAAFAT ABURUKBA等: "Internet of Things Cloud Framework for Smart Homes", 《JOURNAL OF ELECTRONIC SCIENCE AND TECHNOLOGY》 * |
杨海鹏等: "石油化工厂实时数据采集系统的设计", 《江南大学学报(自然科学版)》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200380008A1 (en) * | 2019-05-31 | 2020-12-03 | Snowflake Inc. | Sharing data in a data exchange using listings |
CN114880702A (zh) * | 2022-04-25 | 2022-08-09 | 北京科杰科技有限公司 | 基于行列级权限的请求处理方法、装置、电子设备及介质 |
CN117708879A (zh) * | 2023-12-13 | 2024-03-15 | 北京镜舟科技有限公司 | 一种信息权限控制方法、系统、终端及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6940662B2 (ja) | ブロックチェーンを介したアイデンティティと証明書の保護及び検証とのための方法及びシステム | |
US10545992B2 (en) | Accelerator based data integration | |
CN113452683A (zh) | 一种数据库行列级权限控制的方法和系统 | |
CN112424766B (zh) | 数据交换 | |
US9501529B2 (en) | Searching content managed by a search engine using relational database type queries | |
EP2689353B1 (en) | System and method for data masking | |
CN102844756B (zh) | 具有基于角色的访问控制的计算机关系数据库方法和系统 | |
WO2023024789A1 (zh) | 一种数据联合查询方法、装置、电子设备、计算机可读存储介质及计算机程序产品 | |
US20140012833A1 (en) | Protection of data privacy in an enterprise system | |
US20050060342A1 (en) | Holistic dynamic information management platform for end-users to interact with and share all information categories, including data, functions, and results, in collaborative secure venue | |
CN113678117A (zh) | 提供协作智能和约束计算的数据隐私管道 | |
US20220300487A1 (en) | Blockchain database management system | |
CN113711219A (zh) | 用于协作智能和约束计算的约束管理器 | |
WO2021239005A1 (zh) | 基于多方隐私保护的数据处理方法及数据处理系统 | |
CN113711218A (zh) | 协同智能的约束查询以及约束计算 | |
CN111177480B (zh) | 一种区块链目录档案系统 | |
Colombo et al. | Access control in the era of big data: State of the art and research directions | |
CN108829879A (zh) | 一种充电桩数据监控方法 | |
CN102132267B (zh) | 动态元数据 | |
US7555786B2 (en) | Method for providing security mechanisms for data warehousing and analysis | |
CN107220363B (zh) | 一种支持全局复杂检索的跨地域查询方法及系统 | |
CN115292353B (zh) | 数据查询方法、装置、计算机设备和存储介质 | |
US20180260820A1 (en) | System device and process for an educational regulatory electronic tool kit | |
CN115238311A (zh) | 一种档案管理系统 | |
Upadhyaya et al. | Stop That Query! The Need for Managing Data Use. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210928 |