基于访问特征标示的自主可控数据库审计方法和系统技术方案

技术编号:17097607 阅读:56 留言:0更新日期:2018-01-21 09:31
本发明专利技术公开了一种基于访问特征标示的自主可控数据库审计方法和系统,方法包括:操作权限树OAT建立步骤,可操作数据域树DAT建立步骤,权限分配步骤,用户请求解析步骤,数据库审计步骤。上述技术方案能够根据操作集合OP、可操作数据域集合DF、操作权限树OAT进行实时数据库权限审计。

Audit method and system of autonomous controlled database based on access feature marking

The invention discloses a method including access features marked the independent controllable database audit method and system based on OAT operation permission tree establishment step operation data domain tree DAT build steps, permission assignment procedure, user request parsing, database audit procedures. The above technical scheme can be based on the operation set OP, the operable data domain collection DF, the operation privilege tree OAT for real-time database authority audit.

【技术实现步骤摘要】
基于访问特征标示的自主可控数据库审计方法和系统
本专利技术涉及电子
,特别是一种基于访问特征标示的自主可控数据库审计方法和系统。
技术介绍
随着信息技术的发展,越来越多的数据通过电子形式存储和发送,因此对数据的加密也直接关系到数据的安全性。为了确保存储数据的安全性,现有技术中需要用户采用数据库审计的机制来达到一定的事前防范、事后数据恢复以及责任认定的目的。在最新的数据库安全风险问题研究中,用户拥有过多不必要的权限被认为是数据库最大的安全风险,而传统流行的数据库审计方案都难以解决权限细粒度与过大的系统开销之间的矛盾。同时,目前流行的数据库审计方案为了降低系统开销,事前防范的安全级别往往不能满足系统安全的要求。目前主要流行的两种数据库审计方案分别为:基于日志的数据库审计和基于网络监听的数据库审计。在基于数据库系统自带的日志审计方案中,由于开启日志审计功能,不仅在数据库性能上面造成较大影响,同时日志记录的权限细粒度较差,缺少关键信息。而在基于网络监听的审计方案中,由于审计系统部署在专用的硬件设备上,并对交换机端口进行监听,因此只能实现会话级别的审计,而无法对操作内容进行审计。专利技术本文档来自技高网...
基于访问特征标示的自主可控数据库审计方法和系统

【技术保护点】
一种基于访问特征标示的自主可控数据库审计方法,其特征在于,包括:操作权限树OAT建立步骤,用于根据不同的应用逻辑对操作关键词进行划分以建立操作权限树OAT;根据数据库操作‑权限等级二元组<opj,rankj>构成节点nodej,其中opj为操作集合OP的第j个数据库操作,rankj为对应操作opj的权限等级,共同构建权限偏序关系规则集合Ruleauth={nodes≥noder|nodej=<opj,rankj>,s≠r,s=1,2,3,…,n,r=1,2,3,…,n},其中nodes与noder分别为集合中任意的第s个与第r个二元组;然后根据权限偏序关系规则集合构建m...

【技术特征摘要】
1.一种基于访问特征标示的自主可控数据库审计方法,其特征在于,包括:操作权限树OAT建立步骤,用于根据不同的应用逻辑对操作关键词进行划分以建立操作权限树OAT;根据数据库操作-权限等级二元组&lt;opj,rankj&gt;构成节点nodej,其中opj为操作集合OP的第j个数据库操作,rankj为对应操作opj的权限等级,共同构建权限偏序关系规则集合Ruleauth={nodes≥noder|nodej=&lt;opj,rankj&gt;,s≠r,s=1,2,3,…,n,r=1,2,3,…,n},其中nodes与noder分别为集合中任意的第s个与第r个二元组;然后根据权限偏序关系规则集合构建m个规则子树T1,T2,T3…Tm;其中每一规则子树对应一个操作关键词,且该规则子树的每一层对应不同的权限级别;其中权限偏序关系规则集中相同权限级别的操作关键词构成兄弟节点,而相邻权限级别的操作关键字构成父子节点,从根节点到叶子结点权限级别依次降低,构建出该操作关键词的规则子树;根据用户设定的操作关键字和权限级别构成子树集合T={&lt;opi,rankj&gt;|i=1,2,3,…,m,m&gt;0,j=1,2,3,…,n,n&gt;0};可操作数据域树DAT建立步骤,用于为每一数据库构建可操作数据域子树DB1,DB2,DB3…DBn;其中每一可操作数据域子树包括数据库表的权限级别DB={&lt;table1,rank1&gt;,&lt;table2,rank2&gt;,&lt;table3,rank3&gt;…&lt;tablem,rankn&gt;},m为数据库表的数目,n为权限级别的数目,tablei为具体的数据库表,rankj为对应数据库表的权限级别,且再在表的子树中设定不同字段的权限级别Table={&lt;field1,rank1&gt;,&lt;field2,rank2&gt;,&lt;field3,rank3&gt;…&lt;fieldm,rankn&gt;},m为对应数据库表中字段的数目,n为对应权限级别的数目,fieldi为数据库表的字段,rankj为对应字段的权限级别,互不相交的子树DB1,DB2,DB3…DBn构成以管理员Administrator为根的数据域树DAT;权限分配步骤,用于在建立好操作权限树OAT和可操作数据域树DAT后,根据数据库系统中用户申请的权限以及对系统安全的要求,为每一个申请用户进行授权;根据每一用户获得的授权范围,将该用于分配到操作权限树OAT和可操作数据域树DAT的对应节点中,并使用户获得以该对应节点以下分支的所有权限;用户请求解析步骤,用于对每一用户的数据操作请求进行解释,以获取对应操作的SQL语句user_sql,以获取对应的操作集合OP=sql_analyse(user_sql)和可操作数据域集合DF=sql_analyse(user_sql);数据库审计步骤,用于根据操作集合OP、可操作数据域集合DF、操作权限树OAT进行实时数据库审计。2.根据权利要求1所述的基于访问特征标示的自主可控数据库审计方法,其特征在于,所述方法还包括:为每个树的节点创建用户信息列表LIST={node_id,{user_id1,user_id2,user_id3,…,user_idn}},其中{user_idi|i=1,2,…,n,n≥1}为用户的标记数组,node_id为节点的节点标记。3.根据权利要求1所述的基于访问特征标示的自主可控数据库审计方法,其特征在于,所述操作权限树OAT和可操作数据域树DAT为双向指针的树形结构,并以顺序存储的方式存储上述节点的用户信息列表LIST,并根据哈希函数的运算法则确定节点的存储位置。4.根据权利要求1所述的基于访问特征标示的自主可控数据库审计方法,其特征在于,所述数据库审计步骤包括:操作权限审计子步骤,用于对操作集合OP中的操作关键词映射到操作权限树OAT的对应节...

【专利技术属性】
技术研发人员:缪燕刘红超杨利兵王继业曾楠王晋雄
申请(专利权)人:北京许继电气有限公司国家电网公司
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1