CN116204895A

CN116204895A - 一种访问特定数据的方法及终端

Info

Publication number: CN116204895A
Application number: CN202211573475.0A
Authority: CN
Inventors: 汤青格
Original assignee: China Telecom Corp Ltd
Current assignee: China Telecom Corp Ltd
Priority date: 2022-12-08
Filing date: 2022-12-08
Publication date: 2023-06-02

Abstract

本发明实施例提供了一种访问特定数据的方法及终端，通过对特定用户角色发送的对第一数据库的操作请求加密后传输至服务端由服务端解密后，对特定用户角色是否具有执行该操作请求的权限进行判断，以确定该操作请求是否可以执行在第一数据库，使用仿射变换加密，提高了数据加密的安全性，避免了若使用人员在不安全网络或电脑环境时，发送的操作指令被破解，造成数据库被恶意破坏，保障了对数据库的数据访问或修改的安全性，降低了数据库被窃取或数据库泄露的风险的发生。

Description

一种访问特定数据的方法及终端

技术领域

本发明涉及数据加密领域，特别是涉及一种访问特定数据的方法、终端、电子设备及计算机可读存储介质。

背景技术

近年来，随着互联网技术的发展，各行各业均以计算机系统作为单位运行的基础，计算机系统的数据安全是关乎企事业单位生产、运行的重要前提。

常用的数据库安全模型多为基于角色的访问控制模型(RBAC)，是一种无关策略的访问控制技术，它不局限于特定的安全策略，而且基于角色的访问控制方法更接近真实项目管理的方式，一个用户可以拥有多个角色，每个角色拥有不同的数据访问范围和数据修改权限，以限制每个人的操作范围。

然而，采用上述方法，在用户角色的账号密码被破解后，只能记录其相关信息，无法避免数据库中的数据被篡改、泄露的风险。

发明内容

鉴于上述问题，提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种访问特定数据的方法、终端、电子设备及计算机可读存储介质。

第一方面，本申请实施例公开了一种访问特定数据的方法，应用于服务端，所述方法包括：

获取客户端的登录信息，并验证所述登录信息；

在所述登录信息验证成功的情况下，接收所述客户端发送的针对第一数据库的操作请求，若所述登录信息对应的用户角色为特定用户角色，则所述操作请求为经过仿射变换加密的加密请求；

若所述操作请求为加密请求，则通过预设的解密函数，对所述操作请求解密，并确定所述操作请求对应的用户角色的权限信息；

判断所述用户角色的权限信息中是否包括执行所述操作请求的权限；

在所述用户角色具有执行所述操作请求的权限的情况下，对所述第一数据库执行所述操作请求。

第二方面，本申请实施例公开了一种访问特定数据的方法，应用于客户端，所述方法包括：

向所述服务端发送登录信息进行验证；

在所述登录信息验证成功的情况下，向所述服务端发送针对第一数据库的操作请求，在所述登录信息对应的用户角色为特定用户角色的情况下，对所述操作请求经过仿射变换加密后发送。

第三方面，本申请实施例公开了一种服务端，包括：

登录验证模块，用于获取客户端的登录信息，并验证所述登录信息；

接收模块，用于在所述登录信息验证成功的情况下，接收所述客户端发送的针对第一数据库的操作请求，若所述登录信息对应的用户角色为特定用户角色，则所述操作请求为经过仿射变换加密的加密请求；

解密模块，用于若所述操作请求为加密请求，则通过预设的解密函数，对所述操作请求解密，并确定所述操作请求对应的用户角色的权限信息；

权限确定模块，用于判断所述用户角色的权限信息中是否包括执行所述操作请求的权限；

执行模块，用于在所述用户角色具有执行所述操作请求的权限的情况下，对所述第一数据库执行所述操作请求。

第四方面，本申请实施例公开了一种客户端，包括：

登录信息发送模块，用于向所述服务端发送登录信息进行验证；

操作请求发送模块，用于在所述登录信息验证成功的情况下，向所述服务端发送针对第一数据库的操作请求，在所述登录信息对应的用户角色为特定用户角色的情况下，对所述操作请求经过仿射变换加密后发送。

第五方面，本申请实施例还公开了一种电子设备，包括：处理器；

用于存储所述处理器可执行指令的存储器；

其中，所述处理器被配置为执行所述指令，以实现如第一方面、第二方面所述的方法。

第六方面，本申请实施例还公开了一种计算机可读存储介质，当所述计算机可读存储介质中的指令由电子设备的处理器执行时，使得所述电子设备能够执行如第一方面、第二方面所述的方法。

在本发明实施例中，服务端获取客户端的登录信息，对登录登录信息进行验证，判断登录信息对应的用户是否合法，在登录信息验证成功后，接收客户端发送的针对第一数据库的操作请求，若登录信息对应的用户角色为特定用户角色，则操作请求为经过仿射变换加密的加密请求，若服务端接收到的操作请求为加密请求，则通过预设的解密函数，对操作请求进行解密，确定操作请求对应的用户角色的权限信息，进一步判断用户角色的权限信息中是否包括执行操作请求的权限，在用户角色具有执行操作请求的权限的情况下，对第一数据库执行所述操作请求。通过对特定用户角色发送的对第一数据库的操作请求加密后传输至服务端由服务端解密后，对特定用户角色是否具有执行该操作请求的权限进行判断，以确定该操作请求是否可以执行在第一数据库，使用仿射变换加密，提高了数据加密的安全性，避免了若使用人员在不安全网络或电脑环境时，发送的操作指令被破解，造成数据库被恶意破坏，保障了对数据库的数据访问或修改的安全性，降低了数据库被窃取或数据库泄露的风险的发生。

附图说明

图1是本发明实施例提供的一种访问特定数据的方法应用在服务端的步骤流程图；

图2是本发明实施例提供的一种角色访问控制模型图；

图3是本发明实施例提供的一种访问特定数据的方法应用在客户端的步骤流程图；

图4是本发明实施例提供的一种访问特定数据的方法交互的步骤流程图；

图5是本发明实施例提供的一种加解密模型图；

图6是本发明实施例提供的一种第二数据库架构图；

图7是本发明实施例提供的一种不同用户角色操作流程图；

图8是本发明实施例提供的一种服务端框图；

图9是本发明实施例提供的一种客户端框图；

图10是本发明实施例提供的一种电子设备的框图；

图11是本发明另一个实施例的另一种电子设备的框图。

具体实施方式

下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。、

图1是本发明实施例提供的一种访问特定数据的方法，应用于服务端，所述方法包括：

步骤101，获取客户端的登录信息，并验证所述登录信息。

在本发明实施例中，参考图2，对于客户端对数据库的访问或修改操作基于角色的访问控制(Role-Based Access Control，RBAC)模型进行设置。RBAC通过定义角色的权限，并且对用户授予某个角色来控制用户的权限，从而实现了用户和权限的逻辑分离，方便了权限的管理，权限是基于特定用户类别执行其职责所需的访问级别，用户通过建立会话激活角色。例如，公司中的不同人员可以完全基于其工作职能和职责等因素拥有完全不同的访问权限级别和类型，人力资源部员工可以查看员工记录，但不能查看客户数据。人力资源经理可以删除或更改人力资源记录，而较低级别的人力资源专家只能查看这些记录。即权限可以为对应用中包括数据、模块、菜单、页面、字段、操作功能(增删改查)等的访问限制进行定义。角色可以为用户拥有的权限集合。

服务端可以获取客户端的登录信息，并根据存储在在服务端的用户的账号和密码的对应关系，对登录信息进行验证，若验证成功，客户端成功登录，若验证失败，客户端的登录被拒绝。若客户端登录成功，则可基于该用户对应的角色，访问与角色对应的资源。

步骤102，在所述登录信息验证成功的情况下，接收所述客户端发送的针对第一数据库的操作请求，若所述登录信息对应的用户角色为特定用户角色，则所述操作请求为经过仿射变换加密的加密请求。

在本发明实施例中，在登录信息验证成功的情况下，表明客户端的身份信息合法，客户端的用户可以进入系统，并向服务端发送针对第一数据库的操作请求，服务端可以接收该操作请求，并判断客户端的用户是否有对数据库执行该操作请求的权限，操作请求可以为可在第一数据库执行的SQL(Structured Query Language，结构化查询语言)语句。

具体地，操作请求可以为加密请求或不加密的普通请求，用户发送操作请求的用户角色为特定用户角色时，操作请求为加密请求，用户发送操作请求的用户角色为普通用户角色时，操作请求为不加密请求。特定用户角色可定义为：拥有对个人数据的数据读写权限、数据下载权限、数据阅读权限、库表删改权限、以及对非个人数据的数据阅读权限等的角色。普通用户角色可定义为：只可查询本人权限内的数据信息，不可修改、删除、不可清空的角色。

由于特定用户角色拥有访问或对一些特定数据进行访问或操作的权限，因此，特定用户角色发送的第一操作请求为经过仿射变换加密的加密请求，以避免第一操作请求被截获，破解后对数据库造成损害。

步骤103，若所述操作请求为加密请求，则通过预设的解密函数，对所述操作请求解密，并确定所述操作请求对应的用户角色的权限信息。

在本发明实施例中，若操作请求为加密请求，服务端可以基于预设的解密函数对加密请求进行解密，获得解密后的操作请求，并确定该操作请求对应的用户的用户角色的权限信息。

具体地，服务端可以基于存储在服务端的用户角色与权限的对应关系确定用户角色对应的权限信息。

步骤104，判断所述用户角色的权限信息中是否包括执行所述操作请求的权限。

在本发明实施例中，在确定了用户角色对应的权限信息后，服务端可以根据权限信息判断用户是否具有对数据库执行该操作请求的权限。例如：用户发送的操作请求为：对第一数据库中的A数据进行修改，服务端确定的用户角色对应的权限信息为用户角色仅有对第一数据库中的A数据进行查看的权限，而不具有对A数据进行修改的权限，表明，该用户发送操作请求的用户角色不具有对数据库执行操作请求的权限，该操作请求将被服务端拒绝执行。

步骤105，在所述用户角色具有执行所述操作请求的权限的情况下，对所述第一数据库执行所述操作请求。

在本发明实施例中，若用户发送的操作请求为：对第一数据库中的A数据进行修改，服务端确定的用户角色对应的权限信息为用户角色有对第一数据库中的A数据进行修改的权限，那么该操作请求即可执行在第一数据库，实现对A数据的修改。

综上，在本发明实施例中，服务端获取客户端的登录信息，对登录登录信息进行验证，判断登录信息对应的用户是否合法，在登录信息验证成功后，接收客户端发送的针对第一数据库的操作请求，若登录信息对应的用户角色为特定用户角色，则操作请求为经过仿射变换加密的加密请求，若服务端接收到的操作请求为加密请求，则通过预设的解密函数，对操作请求进行解密，确定操作请求对应的用户角色的权限信息，进一步判断用户角色的权限信息中是否包括执行操作请求的权限，在用户角色具有执行操作请求的权限的情况下，对第一数据库执行所述操作请求。通过对特定用户角色发送的对第一数据库的操作请求加密后传输至服务端由服务端解密后，对特定用户角色是否具有执行该操作请求的权限进行判断，以确定该操作请求是否可以执行在第一数据库，使用仿射变换加密，提高了数据加密的安全性，避免了若使用人员在不安全网络或电脑环境时，发送的操作指令被破解，造成数据库被恶意破坏，保障了对数据库的数据访问或修改的安全性，降低了数据库被窃取或数据库泄露的风险的发生。

图3是本发明实施例提供的一种访问特定数据的方法，应用于客户端，所述方法包括：

步骤201，向所述服务端发送登录信息进行验证。

在本发明实施例中，客户端可以在应用系统的登录界面输入登录信息进行验证，由服务端对登录信息是否合法进行验证。

步骤202，在所述登录信息验证成功的情况下，向所述服务端发送针对第一数据库的操作请求，在所述登录信息对应的用户角色为特定用户角色的情况下，对所述操作请求经过仿射变换加密后发送。

在本发明实施例中，在登录信息验证成功的情况下，客户端可以向服务端发送针对第一数据库的操作请求，在登录信息对应的用户角色为特定用户角色的情况下，为了保障第一数据库的数据安全，对操作请求可以为经过仿射变换加密后发送。以避免操作请求被破解后，影响数据库的数据安全。

图4是本发明实施例提供的一种访问特定数据的方法交互步骤流程图，如图3所示，该方法可以包括：

步骤301，客户端向所述服务端发送登录信息进行验证。

此步骤可参考步骤201，此处不再赘述。

步骤302，服务端获取客户端的登录信息，并验证所述登录信息。

此步骤可参考步骤101，此处不再赘述。

步骤303，客户端在所述登录信息验证成功的情况下，向所述服务端发送针对第一数据库的操作请求，在所述登录信息对应的用户角色为特定用户角色的情况下，对所述操作请求经过仿射变换加密后发送。

此步骤可参考步骤202，此处不再赘述。

可选地，步骤303具体包括：

子步骤3031，根据以下第二预设公式，对所述操作请求中的每一个字符进行加密：

c＝a×p+b(mod m)

其中，c为操作请求中加密后的字符，p为操作请求中的未加密的字符，m为取模数量，a为预设的与所述m互为素数的参数，b为预设小于m的参数。

在本发明实施例中，仿射变换为对操作请求中的字符进行移位置换。SQL语句包括字母和特殊字符，m为取模数量可以取值为26或52。对于英文字母类的明文，若m取26，与m互为素数的a可以有12种不同的取法，b可以有26种不同的取法，因此，对应的仿射变换可以有12×26＝321种。

具体地，参考，用户在编写完成所需要改变数据的操作指令即SQL语句后，会将明文(p)在仿射变换加密函数E作用于P得到密文c，用数学公式表示为：E(p)＝c。解密函数D作用于c产生p，用数学公式表示为：D(c)＝p，先加密后再解密消息，原始的明文将恢复出来，即D(E(p))＝p。

简单的置换密码加密方式，是通过将明文的26个英文字母中的a，b，c后移几位后成为密文形式，这时，明文中相邻的字母对应的密文字母也是相邻的，如A和B对应的密文字母可以分别为D和E。若这种操作请求被截获，攻击者很容易对密文进行破解，对数据库进行恶意修改。

但是在仿射变换下，例如加密函数为c＝3p+5(mod 26)；

那么A对应的密文字母为(3×0+5)mod 26＝5＝F，B对应的密文字母为(3×1+5)mod 26＝8＝I，它们有3个字母的间隔(a＝3)，使得加密后的字符，不容易被攻击者破解。

步骤304，服务端在所述登录信息验证成功的情况下，接收所述客户端发送的针对第一数据库的操作请求，若所述登录信息对应的用户角色为特定用户角色，则所述操作请求为经过仿射变换加密的加密请求。

此步骤可参考步骤102，此处不再赘述。

步骤305，若所述操作请求为加密请求，则通过预设的解密函数，对所述操作请求解密，并确定所述操作请求对应的用户角色的权限信息。

此步骤可参考步骤103，此处不再赘述。

可选地，步骤305具体包括：

子步骤3051，根据以下第一预设公式，确定所述操作请求中的每一个字符：

p＝a^-1(c-b)(mod m)

其中，p为所述操作请求对应的解密后的字符，c为所述操作请求对应的加密后的字符，m为取模数量，a为预设的与所述m互为素数的参数，b为预设小于m的参数。

在本发明实施例中，经过仿射变换加密的字符可以通过对应的解密函数进行解密，将密文字符转换为明文字符。

对第二预设公式求解同余方程得到：a×p＝(c-b)(mod m)；

记整数a关于m的同余逆为a^-1，即aa^-1＝1(mod m)，对上式两边同乘a^-1，得第一预设公式：p＝a^-1(c-b)(mod m)。只有a与m互素，才存在a关于m的同余逆为a^-1。

例如，若加密的密文为：FSFPR EDLFS HRLER KFXRS KTDMM PRRKF SFUXA FSDHKFSPVM RDSKA RLVUU RRIFE FKKAN EHOFZ FUKRE SVVS，假设此问题由26个英文字母组成，取m＝26，由于与26互素，a有12种不同的取法，b有26种不同的取法，所以仿射变换有12×26＝321种，攻击者若获取到这段密文，在不知道加密函数与解密函数的情况下，可能采用穷举法对密文进行破译，如下：

在密文中：F出现12次、R出现12次，S出现9次，K出现8次，在日常的英文中出现频率最高的字母为：E、T、Z。

因此，(1)可以令F(5)对应E(5)，R(17)对应T(19)，得同余式：

5＝4a+b(mod 26)

17＝19a+b(mod 26)

得到：12＝15a(mod 26)

所以：a＝15-1x12(mod 26)＝7x12(mod 26)＝6(mod 26)＝6

由于a＝6与26不互素，所以无法对密文解密。

(2)可以令R(17)对应E(5)，S(18)对应T(19)，得同余式：

17＝4a+b(mod 26)

18＝19a+b(mod 26)

得到：1＝15a(mod 26)

所以：a＝15-1x1(mod 26)＝7x1(mod 26)＝7(mod 26)＝7

b＝17-4x7(mod 26)＝-11(mod 26)＝15(mod 26)＝15

进一步得到加密公式：c＝7p+15(mod 26)

解密公式：p＝15c+9(mod 26)

若利用上述解密公式对密文进行解密得到：

GTGAE RCSGT KESRE......RKLGU GXDER TMMT，可见这是一串没有意义的字符串，解密失败。

因此，由于仿射变换的变换形式较多，得到加密函数和解密函数中各个参数的计算量巨大，因此，若攻击者获得了经过仿射变换的加密请求，受限于计算量的规模，也很难对加密请求进行破解，得到明文，有效保护了特定用户角色发送操作请求的安全性，保障了数据库中的数据不被篡改。

步骤306，服务端判断所述用户角色的权限信息中是否包括执行所述操作请求的权限。

此步骤可参考步骤104，此处不再赘述。

可选地，步骤306具体包括：

子步骤3061，根据所述操作请求，确定所述操作请求包括的目标执行动作和针对的目标数据范围。

在本发明实施例中，对操作进行解密后，可以获得明文的SQL语句，例如，若得到的解密的操作指令为“Drop table user；”，可以得到操作请求包括的目标执行动作为删除，目标数据范围为表user(表名)。

子步骤3062，根据预设关联关系，确定所述用户角色的权限信息对应的执行动作和数据范围，所述预设关联关系为用户角色和权限之间的关系。

在本发明实施例中，根据存储在服务端的用户、角色以及权限之间的关联关系，可以获得发送操作指令的用户角色的权限信息，根据权限信息可以确定与该用户角色对应的执行动作和数据范围。

子步骤3063，判断所述用户角色的权限信息对应的执行动作是否包括所述目标执行动作，以及判断所述用户角色的权限信息对应的数据范围是否包括所述目标数据范围。

在本发明实施例中，若根据权限信息，判断用户角色拥有对user表的删除权限，那么操作指令为“Drop table user；”可以执行在第一数据库。

步骤307，服务端在所述用户角色具有执行所述操作请求的权限的情况下，对所述第一数据库执行所述操作请求。

此步骤可参考步骤105，此处不再赘述。

可选地，所述方法还包括：

步骤308，服务端建立第二数据库，其中，所述第二数据库包括：用户信息、角色信息、权限信息，每个所述用户信息包括一至多个所述角色信息，每个所述角色信息包括一至多个所述权限信息。

在本发明实施例中，服务端可以根据用户角色的访问控制的要求建立相关库表，其中，库表可以包括：用户信息、角色信息、权限信息，每个用户信息包括一至多个所述角色信息，每个角色信息包括一至多个所述权限信息，使得一个用户可以拥有多个角色，一个角色可以对应多条权限，同样，一个角色可以被赋予给不同的用户，一条权限也可以被赋予给多个角色，形成，用户、角色、权限之间多对多的关系，方便对用户的访问控制进行管理。

步骤309，服务端分别建立所述用户信息和角色信息的第一关联关系，以及所述角色信息与所述权限信息的第二关联关系。

在本发明实施例中，服务端分别建立所述用户信息和角色信息的第一关联关系，以及所述角色信息与所述权限信息的第二关联关系。根据第一关联关系，服务端可以确定当前登录用户对应了哪些角色，根据第二关联关系，服务端可以确定用户拥有的角色各自对应哪些权限，以实现对用户以不同角色登录访问时的访问控制。

可选地，子步骤3062包括：

子步骤30621，服务端根据所述第二关联关系，确定所述用户角色对应的权限信息。

在本发明实施例中，确定操作信息对应的用户角色后，可以根据第二关系关系确定用户角色对应的权限信息，以对用户角色是否拥有对第一数据库执行操作的权限进行判断。

可选地，所述方法还包括：

步骤310，服务端在所述用户角色不具有执行所述操作请求的权限的情况下，根据所述第一关联关系判断所述登录信息对应的用户是否还具有其他角色信息。

在本发明实施例中，若用户角色发送的操作请求为对A数据修改，那么服务端在用户角色不具有执行修改A数据的操作请求的权限的情况下，可以根据第一关联关系判断登录信息对应的用户是否还具有其他角色信息，以确定是否提醒用户切换用户角色重新发送操作请求。

步骤311，服务端在所述用户还具有其他角色信息的情况下，向所述客户端发送提示切换用户角色的信息，并接收所述客户端切换用户角色后发送的操作请求。

在本发明实施例中，服务端在用户还具有其他角色信息的情况下，向客户端发送提示切换用户角色的信息，客户端接收到信息后，可以切换用户角色重新发送操作请求，服务端可以再次接收该操作请求，并继续对切换后的用户角色是否拥有对第一数据库执行该操作请求的权限进行判断。

步骤312，服务端在所述用户不具有其他角色信息的情况下，拒绝针对所述第一数据库的操作请求。

在本发明实施例中，服务端在用户不具有其他角色信息的情况下，判断用户所拥有的角色均不具有对A数据修改的权限，因此服务端可以拒绝针对第一数据库的操作请求，防止第一数据库被没有权限的用户修改，保障了第一数据库的安全性。

可选地，所述第二数据库包括：

第一数据表，所述第一数据表用于存储用户信息；

第二数据表，所述第二数据表用于存储角色信息；

第三数据表，所述第三数据表用于存储权限信息；

第四数据表，所述第四数据表用于存储所述用户信息和所述角色信息之间的关联关系；

第五数据表，所述第五数据表用于存储所述角色信息和所述权限信息之间的关联关系；

所述用户根据对应的角色拥有所述角色对应的权限。

在本发明实施例中，参考图6，对用户角色的访问控制通过建立相关库表实现，具体地，第一数据表用于存储用户信息，第一数据表的表名可以为user，表中的字段可以包括：姓名、手机号、身份证号、登陆id、登陆成功时间、是否登陆成功、登陆mac地址信息；第二数据表用于存储角色信息，表名可以为role，表中的字段可以包括：角色等级、角色类型、角色有效、角色认证；第三数据表用于存储权限信息，表名可以为：permission，表中的字段可以包括：菜单权限、执行权限、读取权限、修改权限、删除权限、清空权限、查询权限、及复制权限；第四数据表用于存储所述用户信息和所述角色信息之间的关联关系，表名可以为user_role，表中的字段可以包括：用户id、角色id、关联id等；第五数据表用于存储所述角色信息和所述权限信息之间的关联关系，表名可以为role_per，表中的字段可以包括：角色id、权限id、关联id、有效认证、权限开关。

通过建立相关库表，以及表与表之间的联系，使得可以根据表实现对用户拥有的角色，以及角色对应的权限进行查询。

可选地，所述第二数据库还包括：

第六数据表，所述第六数据表用于存储所述客户端操作页面的菜单信息；第七数据表，所述第七数据表用于存储所述菜单信息与所述权限信息之间的关联关系；

可选地，步骤302之后，所述方法还包括：

步骤313，根据所述第七数据表在所述客户端显示所述登陆信息对应的用户的操作页面。

在本发明实施例中，参考图6，第六数据表用于存储所述客户端操作页面的菜单信息，表名可以为：menu，表中包括的字段可以为：三级菜单、二级菜单、一级菜单、执行权限、修改权限、有效认证、多合一菜单；第七数据表用于存储所述菜单信息与所述权限信息之间的关联关系，表名可以为perm_menu，表中包括的字段可以为菜单id、权限id、关联id、有效认证、权限开关。

根据第七数据表服务端可以在客户端显示登陆信息对应的用户的操作页面，即在客户端显示与用户的用户角色对应的菜单。另外，服务端还可以限制用户进行登录的次数，例如：用户输错三次密码后，锁定账户，或者用户对不属于权限内的数据多次试图修改后，锁定账户的方式，对数据库系统进行保护。

另外，第二数据库还包括：第八数据表，用于存储用户的操作，表名可以为operation表，表中包括的字段可以为：用户id、操作记录加密信息、操作记录解密信息、执行时间、改变数据条数，修改语句、执行是否成功标志；第九数据表，用于存储操作信息与权限信息的关联关系，表名可以为oper_peris，表中包括的字段可以为：执行权限标志、操作人员id、权限库id、操作次数、关联id。

通过第七数据表、第八数据表、第九数据表。服务端可以对用户对数据库的整个操作过程进行记录，以供后续复盘、查看。

可选地，所述方法还包括：

步骤314，若所述登录信息对应的用户角色为普通用户角色，则所述操作请求为不加密的请求。

在本发明实施例中，若登录信息对应的用户角色为普通用户角色，那么其权限内的数据可能为一些不重要的数据，那么操作请求可以为不加密的请求。服务端可以直接对普通用户展示权限内的数据。

参考图7，本发明根据角色的访问控制的要求建立相关库表，依据角色不同，权限不同来区分特定用户和普通用户，从而解决了角色的访问控制模型带来的修改数据、删除数据的风险。对未加密的普通用户直接进行访问，并对查询语句进行日志记录。对特定用户访问修改特定数据或数据库时，触发角色的访问控制机制，使用仿射变换方式对所执行的sql语句进行加密后，通过密文发送至接收的服务端解密后，再对所要执行的sql语句生效，对所改变的数据进行日志记录，更进一步保障了特定数据的安全。

综上，在本发明实施例中，服务端获取客户端的登录信息，对登录信息进行验证，判断登录信息对应的用户是否合法，在登录信息验证成功后，接收客户端发送的针对第一数据库的操作请求，若登录信息对应的用户角色为特定用户角色，则操作请求为经过仿射变换加密的加密请求，若服务端接收到的操作请求为加密请求，则通过预设的解密函数，对操作请求进行解密，确定操作请求对应的用户角色的权限信息，进一步判断用户角色的权限信息中是否包括执行操作请求的权限，在用户角色具有执行操作请求的权限的情况下，对第一数据库执行所述操作请求。通过对特定用户角色发送的对第一数据库的操作请求加密后传输至服务端由服务端解密后，对特定用户角色是否具有执行该操作请求的权限进行判断，以确定该操作请求是否可以执行在第一数据库，使用仿射变换加密，提高了数据加密的安全性，避免了若使用人员在不安全网络或电脑环境时，发送的操作指令被破解，造成数据库被恶意破坏，保障了对数据库的数据访问或修改的安全性，降低了数据库被窃取或数据库泄露的风险的发生。

图8是本发明实施例提供的一种服务端的框图，如图8所示，该服务端端40包括：

登录验证模块401，用于获取客户端的登录信息，并验证所述登录信息；

接收模块402，用于在所述登录信息验证成功的情况下，接收所述客户端发送的针对第一数据库的操作请求，若所述登录信息对应的用户角色为特定用户角色，则所述操作请求为经过仿射变换加密的加密请求；

解密模块403，用于若所述操作请求为加密请求，则通过预设的解密函数，对所述操作请求解密，并确定所述操作请求对应的用户角色的权限信息；

权限确定模块404，用于判断所述用户角色的权限信息中是否包括执行所述操作请求的权限；

执行模块405，用于在所述用户角色具有执行所述操作请求的权限的情况下，对所述第一数据库执行所述操作请求。

可选地，权限确定模块404包括：

第一确定子模块。用于根据所述操作请求，确定所述操作请求包括的目标执行动作和针对的目标数据范围；

第二确定子模块，用于根据预设关联关系，确定所述用户角色的权限信息对应的执行动作和数据范围，所述预设关联关系为用户角色和权限之间的关系；

判断子模块，用于判断所述用户角色的权限信息对应的执行动作是否包括所述目标执行动作，以及判断所述用户角色的权限信息对应的数据范围是否包括所述目标数据范围。

可选地，所述服务端40还包括：

数据库建立模块，用于建立第二数据库，其中，所述第二数据库包括：用户信息、角色信息、权限信息，每个所述用户信息包括一至多个所述角色信息，每个所述角色信息包括一至多个所述权限信息；

关联关系建立模块，用于分别建立所述用户信息和角色信息的第一关联关系，以及所述角色信息与所述权限信息的第二关联关系。

第二确定子模块，包括：

权限信息确定子模块，用于根据所述第二关联关系，确定所述用户角色对应的权限信息。

可选地，所述服务端40还包括：

判断模块，用于在所述用户角色不具有执行所述操作请求的权限的情况下，根据所述第一关联关系判断所述登录信息对应的用户是否还具有其他角色信息；

提示切换模块，用于在所述用户还具有其他角色信息的情况下，向所述客户端发送提示切换用户角色的信息，并接收所述客户端切换用户角色后发送的操作请求；

拒绝模块，用于在所述用户不具有其他角色信息的情况下，拒绝针对所述第一数据库的操作请求。

可选地，所述第二数据库包括：

第一数据表，所述第一数据表用于存储用户信息；

第二数据表，所述第二数据表用于存储角色信息；

第三数据表，所述第三数据表用于存储权限信息；

所述用户根据对应的角色拥有所述角色对应的权限。

可选地，所述第二数据库还包括：

第六数据表，所述第六数据表用于存储所述客户端操作页面的菜单信息；

第七数据表，所述第七数据表用于存储所述菜单信息与所述权限信息之间的关联关系；

所述服务端还包括：

展示模块，用于根据所述第七数据表在所述客户端显示所述登陆信息对应的用户的操作页面。

可选地，所述解密模块403，包括：

解密子模块，用于根据以下第一预设公式，确定所述操作请求中的每一个字符：

p＝a^-1(c-b)(mod m)

可选地，若所述登录信息对应的用户角色为普通用户角色，则所述操作请求为不加密的请求。

图9是本发明实施例提供的一种客户端的框图，如图9所示，该客户端端端40包括：

登录信息发送模块501，用于向所述服务端发送登录信息进行验证；

操作请求发送模块502，用于在所述登录信息验证成功的情况下，向所述服务端发送针对第一数据库的操作请求，在所述登录信息对应的用户角色为特定用户角色的情况下，对所述操作请求经过仿射变换加密后发送。

可选地，操作请求发送模块502，包括：

加密子模块，用于根据以下第二预设公式，对所述操作请求中的每一个字符进行加密：

c＝a×p+b(mod m)

其中，c为操作请求中加密后的字符，p为操作请求中的未加密的字符，m为取模数量，a为预设的与所述m互为素数的参数，b为预设的小于m的参数。

图10据一示例性实施例示出的一种电子设备600的框图。例如，电子设备600可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图10，电子设备600可以包括以下一个或多个组件：处理组件602，存储器604，电源组件606，多媒体组件608，音频组件610，输入/输出(I/O)的接口612，传感器组件614，以及通信组件616。

处理组件602通常控制电子设备600的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件602可以包括一个或多个处理器620来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件602可以包括一个或多个模块，便于处理组件602和其他组件之间的交互。例如，处理组件602可以包括多媒体模块，以方便多媒体组件608和处理组件602之间的交互。

存储器604用于存储各种类型的数据以支持在电子设备600的操作。这些数据的示例包括用于在电子设备600上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，多媒体等。存储器604可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件606为电子设备600的各种组件提供电力。电源组件606可以包括电源管理系统，一个或多个电源，及其他与为电子设备600生成、管理和分配电力相关联的组件。

多媒体组件608包括在所述电子设备600和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的分界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件608包括一个前置摄像头和/或后置摄像头。当电子设备600处于操作模式，如拍摄模式或多媒体模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件610用于输出和/或输入音频信号。例如，音频组件610包括一个麦克风(MIC)，当电子设备600处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器604或经由通信组件616发送。在一些实施例中，音频组件610还包括一个扬声器，用于输出音频信号。

I/O接口612为处理组件602和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件614包括一个或多个传感器，用于为电子设备600提供各个方面的状态评估。例如，传感器组件614可以检测到电子设备600的打开/关闭状态，组件的相对定位，例如所述组件为电子设备600的显示器和小键盘，传感器组件614还可以检测电子设备600或电子设备600一个组件的位置改变，用户与电子设备600接触的存在或不存在，电子设备600方位或加速/减速和电子设备600的温度变化。传感器组件614可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件614还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件614还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件616用于便于电子设备600和其他设备之间有线或无线方式的通信。电子设备600可以接入基于通信标准的无线网络，如WiFi，运营商网络(如2G、3G、4G或5G)，或它们的组合。在一个示例性实施例中，通信组件616经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件616还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，电子设备600可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于实现本申请实施例提供的一种访问特定数据的方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器604，上述指令可由电子设备600的处理器620执行以完成上述方法。例如，所述非临时性存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

图11据一示例性实施例示出的一种电子设备700的框图。例如，电子设备700可以被提供为一服务器。参照图11，电子设备700包括处理组件722，其进一步包括一个或多个处理器，以及由存储器732所代表的存储器资源，用于存储可由处理组件722的执行的指令，例如应用程序。存储器732中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件722被配置为执行指令，以执行本申请实施例提供的一种访问特定数据的方法。

电子设备700还可以包括一个电源组件726被配置为执行电子设备700的电源管理，一个有线或无线网络接口750被配置为将电子设备700连接到网络，和一个输入输出(I/O)接口758。电子设备700可以操作基于存储在存储器732的操作系统，例如WindowsServerTM，Mac OS XTM，UnixTM，LinuxTM，FreeBSDTM或类似。

本领域技术人员在考虑说明书及实践这里公开的申请后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

Claims

1.一种访问特定数据的方法，应用于服务端，其特征在于，所述方法包括：

获取客户端的登录信息，并验证所述登录信息；

2.根据权利要求1所述的方法，其特征在于，所述判断所述用户角色的权限信息中是否包括执行所述操作请求的权限，包括：

根据所述操作请求，确定所述操作请求包括的目标执行动作和针对的目标数据范围；

根据预设关联关系，确定所述用户角色的权限信息对应的执行动作和数据范围，所述预设关联关系为用户角色和权限之间的关系；

判断所述用户角色的权限信息对应的执行动作是否包括所述目标执行动作，以及判断所述用户角色的权限信息对应的数据范围是否包括所述目标数据范围。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

建立第二数据库，其中，所述第二数据库包括：用户信息、角色信息、权限信息，每个所述用户信息包括一至多个所述角色信息，每个所述角色信息包括一至多个所述权限信息；

分别建立所述用户信息和角色信息的第一关联关系，以及所述角色信息与所述权限信息的第二关联关系；

所述根据预设关系，确定所述用户角色的权限信息对应的执行动作和数据范围，包括：

根据所述第二关联关系，确定所述用户角色对应的权限信息。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

在所述用户角色不具有执行所述操作请求的权限的情况下，根据所述第一关联关系判断所述登录信息对应的用户是否还具有其他角色信息；

在所述用户还具有其他角色信息的情况下，向所述客户端发送提示切换用户角色的信息，并接收所述客户端切换用户角色后发送的操作请求；

在所述用户不具有其他角色信息的情况下，拒绝针对所述第一数据库的操作请求。

5.根据权利要求3所述的方法，其特征在于，所述第二数据库包括：

第一数据表，所述第一数据表用于存储用户信息；

第二数据表，所述第二数据表用于存储角色信息；

第三数据表，所述第三数据表用于存储权限信息；

所述用户根据对应的角色拥有所述角色对应的权限。

6.根据权利要求5所述的方法，其特征在于，所述第二数据库还包括：

所述在所述登录信息验证成功之后，所述方法还包括：

根据所述第七数据表在所述客户端显示所述登陆信息对应的用户的操作页面。

7.根据权利要求1所述的方法，其特征在于，若所述操作请求为加密请求，则通过预设的解密函数，对所述操作请求解密，包括：

根据以下第一预设公式，确定所述操作请求中的每一个字符：

p＝a^-1(c-b)(mod m)

8.根据权利要求1所述的方法，其特征在于，若所述登录信息对应的用户角色为普通用户角色，则所述操作请求为不加密的请求。

9.一种访问特定数据的方法，应用于客户端，其特征在于，所述方法包括：

向所述服务端发送登录信息进行验证；

10.根据权利要求9所述的方法，其特征在于，所述在所述登录信息对应的用户角色为特定用户角色的情况下，对所述操作请求经过仿射变换加密后发送，包括：

根据以下第二预设公式，对所述操作请求中的每一个字符进行加密：

c＝a×p+b(mod m)

11.一种服务端，其特征在于，包括：

12.一种客户端，其特征在于，包括：

13.一种电子设备，其特征在于，包括：处理器；

用于存储所述处理器可执行指令的存储器；

其中，所述处理器被配置为执行所述指令，以实现如权利要求1至10中任一项所述的方法。

14.一种计算机可读存储介质，其特征在于，当所述计算机可读存储介质中的指令由电子设备的处理器执行时，使得所述电子设备能够执行如权利要求1至10中任一项所述的方法。