本发明专利技术提供一种分布式数据库系统权限管理方法及装置,其中所述方法包括:在用户修改分布式数据库时,对用户的访问控制权限进行检查;在用户具有访问控制权限时,获取用户的读写权限;在所述读写权限通过验证时,接收用户写入的数据。通过属性加密技术将访问控制和存储加密完美结合,实由数据拥有者定义访问权限,只有具备访问权限的用户才能获取密钥,解密密文数据进行访问,从而避免管理员权限过大、恶意攻击等带来的危害。属性加密机制可被看作广播加密的一种变形,能够使一个密文被满足条件的多个不同用户密钥所解密,也能够使一个用户密钥解密多个不同的密文。满足大数据环境在细粒度访问控制和加密安全通讯方面的安全需求。
【技术实现步骤摘要】
一种分布式数据库系统权限管理方法及装置
本专利技术属于分布式数据库安全
,尤其是涉及一种分布式数据库系统权限管理方法及装置。
技术介绍
分布式数据库是指利用高速计算机网络将物理上分散的多个数据存储单元连接起来组成一个逻辑上统一的数据库。分布式数据库的基本思想是将原来集中式数据库中的数据分散存储到多个通过网络连接的数据存储节点上,以获取更大的存储容量和更高的并发访问量。近年来,随着数据量的高速增长,分布式数据库技术也得到了快速的发展,传统的关系型数据库开始从集中式模型向分布式架构发展,基于关系型的分布式数据库在保留了传统数据库的数据模型和基本特征下,从集中式存储走向分布式存储,从集中式计算走向分布式计算。目前,数据库在实现访问控制时,都是在数据库内核由特定的访问控制模块对访问者的权限进行审查或者对比。该种访问控制模型称为自主访问控制,这种访问控制模型存在两方面的不足。一是数据库管理员有很大特权,能够对权限进行更改,从而使得非法用户能够获取机密信息的访问权限。二是非法用户能够通过SQL注入等方式篡改权限列表,从而获得机密信息的访问权限,因而分布式数据库的自主访问控制模型无法满足大数据环境在细粒度访问控制和加密安全通讯方面的安全需求。
技术实现思路
本专利技术提供了一种分布式数据库系统权限管理方法及装置,以解决现有技术中无法满足大数据环境在细粒度访问控制和加密安全通讯方面的安全需求的技术问题。一方面,本专利技术实施例提供了一种分布式数据库系统权限管理方法,包括:在用户修改分布式数据库时,对用户的访问控制权限进行检查;在用户具有访问控制权限时,获取用户的读写权限;在所述读写权限通过验证时,接收用户写入的数据。进一步的,所述接收用户写入的数据包括:采用对称算法将数据进行加密。进一步的,所述采用对称算法将数据进行加密,包括:通过公开途径获得需要配置有权限用户的属性加密算法和公开参数,并依此构建访问权限结构;通过非对称加密算法加密对称算法密钥;根据所述对称算法加密所述数据。更进一步的,所述方法还包括:用户具有访问权限时,根据用户输入的用户私钥和可信第三方发布的公钥、对称密钥密文以及访问结构树计算得到对称密钥;利用对称密钥解密所述加密数据。另一方面,本专利技术实施例还提供了一种分布式数据库系统权限管理装置,包括:检查单元,用于在用户修改分布式数据库时,对用户的访问控制权限进行检查;获取单元,用于在用户具有访问控制权限时,获取用户的读写权限;接收单元,用于在所述读写权限通过验证时,接收用户写入的数据。进一步的,所述接收单元包括:加密单元,用于采用对称算法将数据进行加密。进一步的,所述加密单元用于:通过公开途径获得需要配置有权限用户的属性加密算法和公开参数,并依此构建访问权限结构;通过非对称加密算法加密对称算法密钥;根据所述对称算法加密所述数据。更进一步的,所述装置还包括:计算单元,用于在用户具有访问权限时,根据用户输入的用户私钥和可信第三方发布的公钥、对称密钥密文以及访问结构树计算得到对称密钥;解密单元,用于利用对称密钥解密所述加密数据。本专利技术实施例通过属性加密技术将访问控制和存储加密完美结合,实现由数据拥有者定义访问权限,只有具备访问权限的用户才能获取密钥,解密密文数据进行访问,从而避免管理员权限过大、恶意攻击等带来的危害。属性加密机制可被看作广播加密的一种变形,能够使一个密文被满足条件的多个不同用户密钥所解密,也能够使一个用户密钥解密多个不同的密文。满足大数据环境在细粒度访问控制和加密安全通讯方面的安全需求。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例一提供的分布式数据库系统权限管理方法的流程示意图;图2是本专利技术实施例二提供的分布式数据库系统权限管理方法的流程示意图;图3是本专利技术实施例三提供的分布式数据库系统权限管理装置的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。实施例一图1为本专利技术实施例一提供的分布式数据库系统权限管理方法的流程图,本实施例可适用于分布式数据库系统中大数据环境系统权限管理的情况,该方法可以由分布式数据库系统权限管理装置来执行,该装置可由软件/硬件方式实现,并可集成于分布式数据库系统中。示例性的,本专利技术实施例中的分布式数据库由三部分组成:第一部分为一个可信第三方服务器,用于用户的统一身份属性管理和密钥相关的管理,包括属性加密算法的生成、用户私钥的生成,基于密文的属性加密算法,使用对称算法加密机密数据,非对称加密算法对加密机密数据的对称密钥进行加密,另外通过可信第三方配置工具来完成用户属性及权限的配置;第二部分为数据库服务器,用于向用户提供框架中的分布式数据库服务,包括存储和访问服务。包含的核心功能为:数据库的DDL指定表或字段加密功能,数据库支持属性加密的访问控制功能(提供了加密数据的存储和访问服务),数据库支持保存加密数据和对称密钥的密文功能;第三部分为数据库用户,包括数据拥有者及访问者应用程序,数据拥有者使用数据库的存储服务,以及数据访问者使用数据库的访问服务,数据的加解密在用户端完成。参见图1,所述分布式数据库系统权限管理方法,包括:S110,在用户修改分布式数据库时,对用户的访问控制权限进行检查。进行数据库自主访问控制的检查,如果没有权限直接返回。S120,在用户具有访问控制权限时,获取用户的读写权限。示例性的,可以从可信第三方服务器获得属性集合和数据库对象的读写权限,然后进行读写权限的认证,没权限直接返回,有权限继续S130,在所述读写权限通过验证时通过公开途径获得需要配置有权限用户的属性加密算法和公开参数,并依此构建访问权限结构。首先采用对称算法将数据进行加密(数据拥有者拥有对称加密算法的密钥),形成机密数据密文,然后通过公开途径获得需要配置有权限用户的属性加密算法和公开参数,并依此构建访问权限结构,通过非对称加密算法加密对称算法密钥。访问权限是一个树状访问结构,访问结构树的内部节点代表关系,叶子节点代表身份属性要求。例如可配置科技局级别在6(假设代表副处)以上的人员或者所有级别在9(假设代表为局级)以上的人员具有访问权限。S140,通过非对称加密算法加密对称算法密钥。将对称密钥密文和机密数据密文一同发送到数据库进行存储。S150,根据所述对称算法加密所述数据。使用对称算法加密机密数据,属性加密算法加密对称密钥的原因在于,对称加密算法的运算速度要远远超过属性加密算法的数据加密的速度,因此,当机密数据的规模远大于对称算法密钥时,能够同时保证安全性和运行效率。本实施例通过属性加密技术将访问控制和存储加密完美结合,实现由数据拥有者定义访问权限,只有具备访问权限的用户才能获取密钥,解密密文数据进行访问,从而避免管理员权限过大、恶意攻击等带本文档来自技高网...
【技术保护点】
一种分布式数据库系统权限管理方法,其特征在于,包括:在用户修改分布式数据库时,对用户的访问控制权限进行检查;在用户具有访问控制权限时,获取用户的读写权限;在所述读写权限通过验证时,接收用户写入的数据。
【技术特征摘要】
1.一种分布式数据库系统权限管理方法,其特征在于,包括:在用户修改分布式数据库时,对用户的访问控制权限进行检查;在用户具有访问控制权限时,获取用户的读写权限;在所述读写权限通过验证时,接收用户写入的数据。2.根据权利要求1所述的方法,其特征在于,所述接收用户写入的数据包括:采用对称算法将数据进行加密。3.根据权利要求2所述的方法,其特征在于,所述采用对称算法将数据进行加密,包括:通过公开途径获得需要配置有权限用户的属性加密算法和公开参数,并依此构建访问权限结构;通过非对称加密算法加密对称算法密钥;根据所述对称算法加密所述数据。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:用户具有访问权限时,根据用户输入的用户私钥和可信第三方发布的公钥、对称密钥密文以及访问结构树计算得到对称密钥;利用对称密钥解密所述加密数据。5.一种分布式数据库系统权限...
【专利技术属性】
技术研发人员:崔维力,武新,张绍勇,
申请(专利权)人:天津南大通用数据技术股份有限公司,
类型:发明
国别省市:天津,12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。