本发明专利技术公开了数据安全技术领域的一种多租户环境下非结构化数据的访问控制系统及方法,包括:接收用户数据处理请求;基于用户数据处理请求进行用户身份认证;响应于通过用户身份认证时,进行用户数据处理,包括用户数据存储和用户数据提取,所述用户数据处理请求包括用户数据存储请求和用户数据提取请求,其中:所述用户数据存储包括:基于用户数据存储请求提取参数信息,生成数据摘要信息存入摘要库;基于数据摘要信息生成动态密码;基于动态密码对用户数据存储请求中的用户数据对象进行加密后,存入数据库。本发明专利技术能够提升用户数据查询搜索的效率,通过摘要库的管理实现用户数据的隔离。的隔离。的隔离。
【技术实现步骤摘要】
一种多租户环境下非结构化数据的访问控制系统及方法
[0001]本专利技术涉及一种多租户环境下非结构化数据的访问控制系统及方法,属于数据安全
技术介绍
[0002]Saas软件必然面临多租户环境,随着用户需求的扩展,Saas软件需要处理更多非结构化数据(文本、图像、视频等),而当下Saas软件大多采用关系型数据结合数据隔离方式,在多租户环境下的实现数据安全访问。常用的三种数据隔离方法:一、每个租户独立数据库系统,但实现成本过高,无法适用大量租户的业务场景;二、多租户共享数据库,各自独立的表空间,但受制于数据库自身的并发访问能力,难以实现在多租户并发访问时,实现身份认证与数据脱敏;三、按租户进行字段区分,但几乎无法做到数据隔离,很难进行不同租户的数据访问控制。
[0003]对于非结构化数据,在需要进行数据内容进行加密的情况下,关系型数据既无法体现其SQL语言的便捷,又无力提升大数据容量的存取性能。导致这样的传统数据存储方式,在应对多租户、高数据安全的应用场景下,无法提供用户满意的解决方案。
技术实现思路
[0004]本专利技术的目的在于克服现有技术中的不足,提供一种多租户环境下非结构化数据的访问控制系统及方法,提升用户数据查询搜索的效率,通过摘要库的管理实现用户数据的隔离。
[0005]为达到上述目的,本专利技术是采用下述技术方案实现的:
[0006]第一方面,本专利技术提供了一种多租户环境下非结构化数据的访问控制方法,包括:
[0007]接收用户数据处理请求;<br/>[0008]基于用户数据处理请求进行用户身份认证;
[0009]响应于通过用户身份认证时,进行用户数据处理,包括用户数据存储和用户数据提取,所述用户数据处理请求包括用户数据存储请求和用户数据提取请求,其中:
[0010]所述用户数据存储包括:
[0011]基于用户数据存储请求提取参数信息,生成数据摘要信息存入摘要库;
[0012]基于数据摘要信息生成动态密码;
[0013]基于动态密码对用户数据存储请求中的用户数据对象进行加密后,存入数据库;
[0014]所述用户数据提取包括:
[0015]基于用户数据提取请求,获取数据摘要信息和用户加密数据;
[0016]基于数据摘要信息生成动态密码;
[0017]基于动态密码对用户加密数据进行解密后,提取用户数据。
[0018]进一步的,基于用户数据处理请求进行用户身份认证,包括:
[0019]通过用户注册的账户名检索服务器端用户公钥;
[0020]基于用户公钥对用户账户口令的加密值字段进行解密,得到用户账户口令的加密值原文;
[0021]对用户账户口令的加密值原文使用服务器私钥进行加密,得到加密密文;
[0022]获取该用户于用户账户数据库保存的密码密文,与加密密文进行比对;
[0023]若对比一致则为通过用户身份认证,否则不通过。
[0024]进一步的,所述用户数据存储请求包括用户注册的账户名、用户账户口令的加密值、用户提交数据的时间戳、用户数据的标题、用户唯一标识和用户数据对象;所述用户数据提取请求包括用户注册的账户名、用户账户口令的加密值、用户提交数据的时间戳、用户数据的标题和用户唯一标识。
[0025]进一步的,所述用户唯一标识值为用户CA证书或用户私钥的哈希值。
[0026]进一步的,所述数据摘要信息包括用户提交数据的时间戳、用户注册的账户名、用户数据对象的哈希值和用户数据的标题。
[0027]进一步的,所述动态密码共128位,前32位为用户提交数据的时间戳,第二个32位为用户唯一标识,第三个32位为用户数据对象的哈希值,最后32位为用户注册的账户名的哈希值。
[0028]进一步的,基于动态密码对用户数据存储请求中的用户数据对象进行加密,包括:以用户数据对象的哈希值为密钥,使用动态密码对用户数据对象进行加密。
[0029]进一步的,基于用户数据提取请求,获取数据摘要信息,包括:根据用户注册的账户名和用户提交数据的时间戳值,从摘要库中获取完整摘要信息。
[0030]进一步的,基于动态密码对用户加密数据进行解密,包括:通过动态密码中用户数据对象的哈希值提取用户数据进行解密。
[0031]第二方面,一种多租户环境下非结构化数据的访问控制系统,包括:
[0032]用户请求获取模块,用于接收用户数据处理请求;
[0033]身份认证模块,用于基于用户数据处理请求进行用户身份认证;
[0034]用户数据处理模块,用于响应于通过用户身份认证时,进行用户数据处理;
[0035]所述数据处理模块包括用户数据存储模块和用户数据提取模块,所述用户数据处理请求包括用户数据存储请求和用户数据提取请求;
[0036]所述用户数据存储请求包括,
[0037]数据摘要生成模块,用于基于用户数据存储请求提取参数信息,生成数据摘要信息存入摘要库;
[0038]动态密码生成模块,用于基于数据摘要信息生成动态密码;
[0039]数据加密模块,用于基于动态密码对用户数据存储请求中的用户数据对象进行加密后,存入数据库;
[0040]所述用户数据提取请求包括:
[0041]数据获取模块,用于基于用户数据提取请求,获取数据摘要信息和用户加密数据;
[0042]动态密码生成模块,用于基于数据摘要信息生成动态密码;
[0043]数据解密模块,用于基于动态密码对用户加密数据进行解密后,提取用户数据。
[0044]与现有技术相比,本专利技术所达到的有益效果:
[0045]本专利技术引入摘要库对用户非结构化数据进行摘要,很大程度提升用户数据的查询
搜索的效率,同时通过摘要库的管理实现用户数据的隔离;另外,通过动态密码技术,实现用户数据的不落地加密,保证用户数据掌握在用户自己手中;以及,采用K
‑
V型数据库替代关系型数据库,保证用户存取数据的高速度与高并发场景的性能表现。
附图说明
[0046]图1是本专利技术实施例一提供的用户存储数据流程图;
[0047]图2是本专利技术实施例一提供的用户读取数据流程图。
具体实施方式
[0048]下面结合附图对本专利技术作进一步描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案,而不能以此来限制本专利技术的保护范围。
[0049]实施例一:
[0050]一种多租户环境下非结构化数据的访问控制方法,在假设用户已经拥有CA证书或已与服务器交换公钥并已经完成用户注册的前提下,用户存储数据按照如下步骤进行:
[0051]1、当用户发起非结构化数据存储请求时,用户需按照本专利技术设定的API接口函数setdata(username,password,timestamp,title,data,sign)进行数据提交,其中username为用户注册的账户名,password为用户本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种多租户环境下非结构化数据的访问控制方法,其特征是,包括:接收用户数据处理请求;基于用户数据处理请求进行用户身份认证;响应于通过用户身份认证时,进行用户数据处理,包括用户数据存储和用户数据提取,所述用户数据处理请求包括用户数据存储请求和用户数据提取请求,其中:所述用户数据存储包括:基于用户数据存储请求提取参数信息,生成数据摘要信息存入摘要库;基于数据摘要信息生成动态密码;基于动态密码对用户数据存储请求中的用户数据对象进行加密后,存入数据库;所述用户数据提取包括:基于用户数据提取请求,获取数据摘要信息和用户加密数据;基于数据摘要信息生成动态密码;基于动态密码对用户加密数据进行解密后,提取用户数据。2.根据权利要求1所述的多租户环境下非结构化数据的访问控制方法,其特征是,基于用户数据处理请求进行用户身份认证,包括:通过用户注册的账户名检索服务器端用户公钥;基于用户公钥对用户账户口令的加密值字段进行解密,得到用户账户口令的加密值原文;对用户账户口令的加密值原文使用服务器私钥进行加密,得到加密密文;获取该用户于用户账户数据库保存的密码密文,与加密密文进行比对;若对比一致则为通过用户身份认证,否则不通过。3.根据权利要求1所述的多租户环境下非结构化数据的访问控制方法,其特征是,所述用户数据存储请求包括用户注册的账户名、用户账户口令的加密值、用户提交数据的时间戳、用户数据的标题、用户唯一标识和用户数据对象;所述用户数据提取请求包括用户注册的账户名、用户账户口令的加密值、用户提交数据的时间戳、用户数据的标题和用户唯一标识。4.根据权利要求3所述的多租户环境下非结构化数据的访问控制方法,其特征是,所述用户唯一标识值为用户CA证书或用户私钥的哈希值。5.根据权利要求3所述的多租户环境下非结构化数据的访问控制方法,其特征是,所述数据摘要信息包括用户提交数据的时间戳、用户注册的账户名、用户数据对象的哈希值和用户数据的标题。6.根...
【专利技术属性】
技术研发人员:章宁,严康康,
申请(专利权)人:航天信息江苏有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。