本发明专利技术公开了一种数据库访问控制方法及系统,该系统包括:用户身份验证模块,对用户身份进行验证;解析模块,调用用户数据访问控制配置,解析用户访问控制规则及数据处理规则;初始化模块,接收数据处理规则,初始化数据处理引擎;数据响应模块,响应用户数据访问请求;范围判断模块,判断用户数据访问请求是否超出控制范围,若超出用户控制范围,拒绝提供用户的数据访问请求服务;数据处理判断模块,判断是否需要对数据进行处理,如果是,调用数据处理引擎清洗获取的数据。通过该发明专利技术的方案,能有效控制用户可访问的数据范围,可对数据内容的某些敏感信息进行变异替换处理,防止敏感信息外泄。
【技术实现步骤摘要】
一种数据库访问控制方法及系统
本专利技术涉及数据安全领域,尤其涉及一种数据库访问控制方法方法及系统。
技术介绍
目前,现有技术中已经出现了一些终端防护类软件,如下所述:A、用户权限管理系统,主要控制服务器数据的访问权限,根据用户权限不同,控制数据是否可用,从而达到用户级别的访问控制,根据权限确定数据可用范围,避免用户越权访问数据。如图1,现有技术中用户权限管理系统的流程图,具体包括:1)用户登录;2)进行用户身份认证;3)如果通过,则跳转到步骤4),否则跳转到步骤8);4)请求数据;5)判断是否允许请求数据,如果是,则跳转到步骤6),否则,跳转到步骤7);6)返回请求的数据;7)判断是否退出登录?是则跳转到步骤9),否则跳转到步骤4);8)判断是否取消登录?是则跳转到步骤9),否则跳转到步骤1);9)结束。从现实情况来看,用户权限管理系统不能模糊处理敏感数据,存在安全隐患。用户权限管理系统,只能控制用户可访问数据的范围,不能对数据中的某些敏感信息进行变异处理。从实际需求和应用的角度出发,基于用户细粒度访问控制的透明数据库访问方法,能有效控制用户可访问的数据范围,同时根据更细力度的配置,可对数据内容的某些敏感信息进行变异替换处理,防止敏感信息外泄保信息安全;经过系统处理的数据不影响用户使用。
技术实现思路
为解决上述技术问题,本专利技术提供了一种数据库访问控制方法,该方法包括以下步骤:1)用户身份验证通过,跳转到步骤2),否则继续步骤1);2)调用用户数据访问控制配置,解析用户访问控制规则及数据处理规则;3)接收数据处理规则,初始化数据处理引擎;4)响应对数据库的用户数据访问请求;5)根据用户访问控制规则,判断所述用户数据访问请求是否超出控制范围,若超出用户控制范围,拒绝提供用户的数据访问请求服务,跳转至步骤9);否则跳转至步骤6);6)通过数据服务模块获取用户请求的数据;7)判断是否需要对数据进行处理,如果是,则跳转至步骤8),如果否,将数据返回给用户,跳转至步骤9);8)调用数据处理引擎清洗获取的数据,跳转至步骤9);9)判断是否退出本系统,若不退出,则跳转至步骤4)处执行;否则跳转至步骤10);10)结束。优选的,所述对数据进行处理包括:检查数据处理规则,将请求的数据进行变异处理。优选的,对用户身份验证包括:用户名和密码验证。优选的,所述判断用户数据访问请求是否超出控制范围是指:根据用户访问控制规则,判断数据请求的数据地址范围是否超出用户配置的有效数据库表访问范围为解决上述技术问题,本专利技术提供了一种数据库访问控制系统,该系统包括:用户身份验证模块,对用户身份进行验证;解析模块,调用用户数据访问控制配置,解析得到用户访问控制规则及数据处理规则;初始化模块,接收数据处理规则,初始化数据处理引擎;数据响应模块,响应用户对数据库的数据访问请求;范围判断模块,判断用户数据访问请求是否超出控制范围,若超出用户控制范围,拒绝提供用户的数据访问请求服务;否则,通过数据服务模块获取用户请求的数据;数据处理判断模块,判断是否需要对数据进行处理,如果是,调用数据处理引擎清洗获取的数据,如果否,将数据返回给用户。优选的,所述对数据进行处理包括:检查数据处理规则,将请求的数据进行变异处理。优选的,对用户身份验证包括:用户名和密码验证。优选的,所述判断用户数据访问请求是否超出控制范围是指:根据用户访问控制规则,判断数据请求的数据地址范围是否超出用户配置的有效数据库表访问范围。为解决上述技术问题,本专利技术提供了一种数据库访问控制系统,该系统包括:控制规则解析模块,响应用户登录及数据访问请求,当用户登录通过后,调取用户访问控制配置数据,并解析得到用户访问控制规则及数据处理规则,通知数据处理模块,下发对数据库的用户数据访问请求;当用户结束访问退出时,清除用户相关的访问控制规则;数据处理模块,接收用户访问控制配置数据,提供数据增加、删除、修改、查找服务,并进行数据变异引擎初始化,下发对数据库的用户数据访问请求给数据获模块,根据用户配置,调度数据变异引擎清洗获取的数据内容,并将处理后的数据返回给用户;数据获取模块,接收数据源配置信息,提供数据增加、删除、修改、查找服务,接收对数据库的用户数据访问请求,获取用户请求的数据,并把获取到的数据返回给数据处理模块。为解决上述技术问题,本专利技术提供了一种计算机存储介质,该计算机存储介质存储有计算机指令,当执行所述计算机指令时,执行所述方法之一。本专利技术的技术方案,架构先进,技术稳定,兼容性高;适用于大多数数据库系统;用户权限及数据处理规则配置灵活,清洗后数据不影响使用。附图说明图1为现有技术的方法流程图。图2为本专利技术的系统组成架构。图3为本专利技术的数据库访问控制方法流程图。图4为本专利技术的具体实施方式流程图。具体实施方式下面结合附图以及具体实施例对本专利技术作进一步的说明,但本专利技术的保护范围并不限于此。<数据库访问控制架构>如图2是本专利技术的总体架构基于用户细粒度访问控制的透明数据库访问方法,总体上划分为三个层次:控制规则解析层、数据处理层、数据获取层。控制规则解析层,负责验证用户身份,根据用户配置规则进行用户访问权限解析,并通知数据处理引擎;数据处理层,接收用户访问粒度配置,初始化数据变异引擎,发送访问数据库的数据获取请求,清洗获取上来的数据;数据获取层,接收数据源配置数据(即:系统管理员配置的数据库连接数据),调度数据抽取插件获取用户请求的数据。控制规则解析层,位于总体架构的最上层,响应用户登录及数据访问请求,当用户登录通过后,调取用户访问控制配置数据(包括:用户可访问的数据库表、表中数据记录所包含的敏感信息处理规则,如擦除、模糊),并解析得到用户访问控制规则,通知数据处理层,下发用户数据请求;当用户结束访问退出时,清除用户相关的访问控制规则。数据处理层,接收用户访问控制配置数据,提供数据增加、删除、修改、查找服务,并进行数据变异引擎初始化,下发用户数据请求给数据获取层,根据用户配置,调度数据变异引擎清洗获取的数据内容,比如将敏感信息擦除、敏感信息替换或模糊化处理,并将处理后的数据返回给用户。数据获取层,位于整体架构的最下层,接收数据源配置信息,提供数据增加、删除、修改、查找服务,接收上层的数据获取请求,调用数据获取插件,获取用户请求的数据,并把获取到的数据返回给数据处理层。<数据库访问控制方法>如图3是本专利技术的数据库访问控制方法流程图在此,描述下本架构的系统流程:1、用户进入本系统后,需进行用户身份验证。2、身份验证通过,转至3处继续执行;否则转至1处,进行身份验证。3、调用用户访问控制配置数据,解析用户访问控制规则及数据处理规则,转至4处,继续执行。4、接收数据处理规则,初始化数据处理引擎,转至5处,继续执行。5、响应用户数据访问请求,转至6处,继续执行。6、根据用户访问控制规则,判断数据请求是否超出用户配置的数据库表访问范围,若超出数据库表访问范围,转至7处执行;否则转至8处执行。7、拒绝提供用户的数据请求服务,转至5处继续执行8、通过数据服务模块获取用户请求的数据,转至9处执行。9、数据处理模块,检查数据处理规则,根据用户访问控制规则来确定,判断是否需要进行变异处理,如果需本文档来自技高网...
【技术保护点】
一种数据库访问控制方法,该方法包括以下步骤:1)用户身份验证通过,跳转到步骤2),否则继续步骤1);2)调用用户数据访问控制配置,解析用户访问控制规则及数据处理规则;3)接收数据处理规则,初始化数据处理引擎;4)响应对数据库的用户数据访问请求;5)根据用户访问控制规则,判断所述用户数据访问请求是否超出控制范围,若超出用户控制范围,拒绝提供用户的数据访问请求服务,跳转至步骤9);否则跳转至步骤6);6)通过数据服务模块获取用户请求的数据;7)判断是否需要对数据进行处理,如果是,则跳转至步骤8),如果否,将数据返回给用户,跳转至步骤9);8)调用数据处理引擎清洗获取的数据,跳转至步骤9);9)判断是否退出本系统,若不退出,则跳转至步骤4)处执行;否则跳转至步骤10);10)结束。
【技术特征摘要】
1.一种数据库访问控制方法,该方法包括以下步骤:1)用户身份验证通过,跳转到步骤2),否则继续步骤1);2)调用用户数据访问控制配置,解析用户访问控制规则及数据处理规则;3)接收数据处理规则,初始化数据处理引擎;4)响应对数据库的用户数据访问请求;5)根据用户访问控制规则,判断所述用户数据访问请求是否超出控制范围,若超出用户控制范围,拒绝提供用户的数据访问请求服务,跳转至步骤9);否则跳转至步骤6);6)通过数据服务模块获取用户请求的数据;7)判断是否需要对数据进行处理,如果是,则跳转至步骤8),如果否,将数据返回给用户,跳转至步骤9);8)调用数据处理引擎清洗获取的数据,跳转至步骤9);9)判断是否退出本系统,若不退出,则跳转至步骤4)处执行;否则跳转至步骤10);10)结束。2.根据权利要求1所述的方法,所述对数据进行处理包括:检查数据处理规则,将请求的数据进行变异处理。3.根据权利要求1所述的方法,对用户身份验证包括:用户名和密码验证。4.根据权利要求1所述的方法,所述判断用户数据访问请求是否超出控制范围是指:根据用户访问控制规则,判断数据请求的数据地址范围是否超出用户配置的有效数据库表访问范围。5.一种数据库访问控制系统,该系统包括:用户身份验证模块,对用户身份进行验证;解析模块,调用用户数据访问控制配置,解析得到用户访问控制规则及数据处理规则;初始化模块,接收数据处理规则,初始化数据处理引擎;数据响应模块,响应用户对数据库的数据访问请求;范围判断模块,判断用户数据访问请求是否超出控制...
【专利技术属性】
技术研发人员:王志刚,喻波,王志海,彭洪涛,曲恩纯,
申请(专利权)人:北京明朝万达科技股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。