一种基于Hive Matedata的多用户数据资产权限安全访问控制方法,包括:步骤1、用户基于Hive数据库建立数据访问权限模型;步骤2、用户基于Hive数据库新建数据表,当前用户根据所述数据访问权限模型分配不同读权限;步骤3、数据表创建成功后,根据所述数据访问权限模型和用户信息构建访问权限关系;步骤4、构建可查看数据列表;步骤5、当前用户申请可读授权;步骤6、当前用户要对数据表进行访问操作时,判断用户对表是写入操作,还是读取操作;步骤7、数据表的创建者可以删除其创建的数据表。将原来Hive的访问权限屏蔽,只给用户分配最低限度的数据访问权限,可以保证数据访问的权限控制机制最精简,控制效率最高,给用户的数据资产提供最高的安全控制。
【技术实现步骤摘要】
一种基于HiveMatedata的多用户数据资产权限安全访问控制方法
本专利技术涉及一种大数据的数据资产的访问控制方法,具体地说涉及一种基于HiveMatedata的多用户数据资产权限安全访问控制方法。
技术介绍
随着现代信息技术的发展,各个方面产生地海量数据所蕴含的价值已经得到人们的充分认识,传统的数据处理工具也被hive、impala等大规模数据的处理工具所取代。hive数据库具备基础的权限控制,但很薄弱,无法对数据资产起到有效的保护作用。
技术实现思路
针对上述大数据方面元数据资产管理的缺陷,本专利技术提供了一种基于HiveMatedata的多用户数据资产权限安全访问控制方法。因此,本专利技术采用以下技术方案。一种基于HiveMatedata的多用户数据资产权限安全访问控制方法,所述方法包括以下步骤:步骤1、用户基于Hive数据库建立数据访问权限模型;步骤2、用户基于Hive数据库新建数据表,当前用户根据所述数据访问权限模型给所述数据表分配三级不同读权限;步骤3、数据表创建成功后,根据所述数据访问权限模型和用户信息构建访问权限关系;步骤4、构建当前用户的可查看数据列表;步骤5、当前用户向其他可见不可读的数据表的创建者,申请可读授权;数据表创建者确认授权后,当前用户才有权限读取表中的数据;否则,当前用户无权限读取表中的数据;步骤6、当前用户要对数据表进行访问操作时,判断用户对表是写入操作,还是读取操作;如果用户要对数据写入操作,判断当前用户是否是该数据表的创建者;如果是创建者,则权限通过;否则,拒绝操作;如果用户要对数据读取操作,判断当前用户是否对该数据表具有读权限;如果有,则权限通过;否则,拒绝操作;步骤7、数据表的创建者可以删除其创建的数据表。优选的,所述数据访问权限模型包括:一级写权限w1:只有数据表的创建者有写权限,保证了数据的安全性和一致性;一级读权限r1:只有数据表的创建者对该数据表可见和可读,其他用户对该数据表不可见和不可读;二级读权限r2:数据表的创建者对该数据表可见和可读,其他用户对该数据表可见,但不可读,由该数据表的创建者授权后可读;三级读权限r3:所有用户对数据表可见和可读。优选的,所述步骤4中的可查看数据列表中展示的内容是满足以下条件的数据表的并集:1)当前用户创建的数据表;2)访问等级为三级读权限r3的数据表;3)访问等级为二级读权限r2的数据表。优选的,所述步骤6中进一步包括,如果用户要对数据读取操作,判断当前用户是否满足以下条件之一:1)当前用户是数据表的创建者;2)表访问等级为三级读权限r3;3)表访问等级为二级读权限r2,且表创建者已经给当前用户授权当前表的可读权限;如果满足条件,则权限通过;否则,拒绝操作。优选的,二级读权限r2的数据表删除后,和该数据表关联的用户授权关系也同步删除。本专利技术的有益效果是:将原来Hive的访问权限屏蔽,只给用户分配最低限度的数据访问权限,可以保证数据访问的权限控制机制最精简,控制效率最高,给用户的数据资产提供最高的安全控制。附图说明图1是本专利技术中用户登录流程图。图2是本专利技术中操作提交流程图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。一种基于HiveMatedata的多用户数据资产权限安全访问控制方法,包括以下步骤:1、用户基于Hive数据库建立数据访问权限模型,权限控制模型共划分为四级,如表1所示,分别为:一级写权限w1:只有数据表的创建者有写权限,保证了数据的安全性和一致性;一级读权限r1:只有数据表的创建者对表可见和可读,其他用户对表不可见和不可读;二级读权限r2:数据表的创建者对表可见和可读,其他用户对表可见,但不可读,由表的创建者授权后可读;三级读权限r3:所有用户对表可见和可读。权限等级的实施方式为独立的、仅可由数据库管理员查看\修改的所有数据库,用户默认具有创建数据库的权限,数据库的字段为数据库名D、数据表名T、用户名U、权限等级L。数据库内数据条数N为数据表数量TN*用户数量UN,冗余的数据内容可以有效的提高数据安全性。表1权限等级说明表2、用户可以基于Hive数据库新建数据表;当前用户可以给表分配三级不同读权限(r1/r2/r3)。3、数据表创建成功时,依据数据访问权限模型和用户信息构建访问权限关系;只有表的创建者有一级写权限w1,其他用户根据表的三级读权限对应相应的访问权限。用户信息包括用户身份信息。4、用户可以查看数据列表,列表中的展示的内容是满足以下条件的表的并集:1)当前用户创建的表;2)访问等级为三级读权限r3的表;3)访问等级为二级读权限r2的表。5、用户可以向二级读权限r2表的创建者,申请可读授权;表创建者确认授权后,用户才有权限读取表中的数据;否则,用户无权限读取表中的数据6、用户要对表进行访问操作时,判断用户对表是写入操作,还是读取操作;6.1如果用户要对数据写入操作,判断当前用户是否是表的创建者;如果是创建者,则权限通过;否则,拒绝操作;6.2如果用户要对数据读取操作,判断当前用户是否满足以下条件之一:1)当前用户是表的创建者;2)表访问等级为三级读权限r3;3)表访问等级为二级读权限r2,且表创建者已经给当前用户授权当前表的可读权限;如果满足条件,则权限通过;否则,拒绝操作。7、只有表创建者可以删除表;二级读权限r2的表删除后,和表关联的用户授权关系也同步删除。数据库、数据表权限信息需要建立存储单元,存储该数据单元的权限等级。用户输入登录信息后,查询权限数据单元,根据用户的权限有选择性的对数据库、数据表对用户展示。用户可以通过HiveMetadata提供的API创表接口,创建自己数据表,在进行创建数据表操作时,首先生成创建元数据库的事务;其次要求对已存在用户分配管理权限,生成更新权限数据单元的事务;经过确认后提交事务。在进行数据写入操作时,生成数据写入事务;查询权限数据单元,确认操作者对该数据表或该数据库是否具备写入权限;若操作者具备权限,则提交事务;若操作者不具备权限,则回退事务。获得操作者对数据的权限后,展示操作者可见数据时,能否对数据库进行删除,对数据表进行删除、写入、新建等操作都进行标示。下面对用户的登陆流程和操作提交流程进行描述。用户的登录流程如图1所示,包含以下步骤:步骤1、由用户输入登录用信息,为用户名、用户密码,本实施例并不限定用户信息的具体内容;步骤2、遍历权限数据表,查询该用户的权限信息;步骤3、返回对应权限、对应数据表的基础信息,如数据表名、创建时间、数据量等,本实施例并不限定基础信息的具体内容;步骤4、对返回信息可视化,具体表现为数据表名以四种不同颜色对四种不同的权限进行标注,为:可读标记为绿色、可写标记为绿色加额外的w标记、可见不可读标记为黄色。用户的操作提交流程如图2所示,包含以下步骤:步骤1、用户提交操作,即HiveQL语句,操作种类包括检索、读取、修改(hive不支持update,由本实施例解析、实现)、删除,本实施例并不限定用户操作信息的本文档来自技高网...
【技术保护点】
1.一种基于Hive Matedata的多用户数据资产权限安全访问控制方法,其特征在于,所述方法包括以下步骤:步骤1、用户基于Hive数据库建立数据访问权限模型;步骤2、用户基于Hive数据库新建数据表,当前用户根据所述数据访问权限模型给所述数据表分配三级不同读权限;步骤3、数据表创建成功后,根据所述数据访问权限模型和用户信息构建访问权限关系;步骤4、构建当前用户的可查看数据列表;步骤5、当前用户向其他可见不可读的数据表的创建者,申请可读授权;数据表创建者确认授权后,当前用户才有权限读取表中的数据;否则,当前用户无权限读取表中的数据;步骤6、当前用户要对数据表进行访问操作时,判断用户对表是写入操作,还是读取操作;如果用户要对数据写入操作,判断当前用户是否是该数据表的创建者;如果是创建者,则权限通过;否则,拒绝操作;如果用户要对数据读取操作,判断当前用户是否对该数据表具有读权限;如果有,则权限通过;否则,拒绝操作;步骤7、数据表的创建者可以删除其创建的数据表。
【技术特征摘要】
1.一种基于HiveMatedata的多用户数据资产权限安全访问控制方法,其特征在于,所述方法包括以下步骤:步骤1、用户基于Hive数据库建立数据访问权限模型;步骤2、用户基于Hive数据库新建数据表,当前用户根据所述数据访问权限模型给所述数据表分配三级不同读权限;步骤3、数据表创建成功后,根据所述数据访问权限模型和用户信息构建访问权限关系;步骤4、构建当前用户的可查看数据列表;步骤5、当前用户向其他可见不可读的数据表的创建者,申请可读授权;数据表创建者确认授权后,当前用户才有权限读取表中的数据;否则,当前用户无权限读取表中的数据;步骤6、当前用户要对数据表进行访问操作时,判断用户对表是写入操作,还是读取操作;如果用户要对数据写入操作,判断当前用户是否是该数据表的创建者;如果是创建者,则权限通过;否则,拒绝操作;如果用户要对数据读取操作,判断当前用户是否对该数据表具有读权限;如果有,则权限通过;否则,拒绝操作;步骤7、数据表的创建者可以删除其创建的数据表。2.根据权利要求1所述的一种基于HiveMatedata的多用户数据资产权限安全访问控制方法,其特征在于,所述数据访问权限模型包括:一级写权限w1:只有数据表的创建者有写权限,保证了数据的安全性和一致性;一...
【专利技术属性】
技术研发人员:刘勇,杨建党,马新强,
申请(专利权)人:浙江大学,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。