一种基于属性的细粒度数据库访问控制装置制造方法及图纸

本发明专利技术涉及一种基于属性的细粒度数据库访问控制装置，属于数据安全技术领域

【技术实现步骤摘要】
一种基于属性的细粒度数据库访问控制装置


[0001]本专利技术属于数据安全
，具体涉及一种基于属性的细粒度数据库访问控制装置
。

技术介绍

[0002]中国专利“CN 112733185 A
一种基于属性访问控制资源的方法和系统”。
通过获取用户的主题属性
、
资源属性和环境属性，判断该用户属性是否满足访问条件
。
当满足条件时，允许用户访问相应的资源
。
其中访问条件被抽象为基于
PERM
的文件，通过
ModuleFi le
语法编写权限策略，进而判断访问请求是否满足权限策略
。
[0003]中国专利“CN 112580091 A
一种细粒度数据访问控制方法及装置”。
通过授权步骤为访问端授予相关权限，鉴权步骤判断请求频率
、
请求时间是否符合权限，最终通过值域权限
、
条数权限
、
字段权限对输出数据进行筛选，剪裁输出数据并返回
。
[0004]中国专利“CN 112733185 A
一种基于属性访问控制资源的方法和系统”。
该专利的访问策略仅基于用户主题属性
、
资源属性和环境属性，未针对用户的添加
、
查询
、
修改和删除等操作属性进行处理，对数据库的访问控制粒度存在不足
。
且该专利侧重于基于文件权限策略的扩展，与本文安全关键领域数据资源权限人工审批的应用场景存在较大差异
。
[0005]中国专利“CN 112580091 A
一种细粒度数据访问控制方法及装置”。
该专利的访问控制方法体现在对数据值域
、
条数权限和字段权限等权限的细粒度管理，没有对访问对象的身份和访问对象的操作进行约束
。
且数据访问约束的时机是在获取全部数据后进行裁剪，此时访问对象已进入数据中心，在遭受恶意用户攻击时极易造成数据的泄露
。

技术实现思路

[0006](
一
)
要解决的技术问题
[0007]本专利技术要解决的技术问题是如何提供一种基于属性的细粒度数据库访问控制装置，以解决现有技术中存在的上述问题
。
[0008](
二
)
技术方案
[0009]为了解决上述技术问题，本专利技术提出一种基于属性的细粒度数据库访问控制装置，该装置包括两个功能模块，模块一为“数据访问认证”模块，该模块对外与访问对象进行交互，用于完成访问请求的接收和访问属性的认证，包含格式化访问请求
、
验证访问请求和申请访问权限子功能；模块二为“数据授权管理”模块，用于完成对访问属性的管理和访问授权的管理，包括属性集管理
、
访问权限关联
、
访问权限审批和访问权限响应子功能；
[0010]模块一为“数据访问认证”模块，该模块用于完成访问对象访问请求的接收和访问属性的认证；当接收到访问对象的访问请求时，首先将访问身份
、
访问内容
、
访问操作和访问环境属性进行格式化，转化为系统预置的属性四元组；然后对当前访问请求的属性进行验证，若符合访问权限则认证通过，获取数据资源库数据；若不符合访问权限，则将格式化后的访问信息提交给模块二进行访问权限的申请；
[0011]模块二为“数据授权管理”模块，该模块用于完成对访问属性的管理和访问授权的管理；当接收到模块一新的访问请求申请后，首先将访问身份
、
访问内容
、
访问操作和访问环境构成的四元组进行解析，并存入属性集表中；然后通过构建访问对象
、
属性
、
权限和数据目录间的关系，进行属性集与访问权限的关联；关联完成后，由更高级别的管理员进行人工审批，若审批通过则该权限生效，若不通过则该权限不生效，审批完成后将访问请求申请的结果反馈给模块一
。
[0012]进一步地，“数据访问认证”模块包括：格式化访问请求模块
、
验证访问请求模块和申请访问请求模块；
[0013]格式化访问请求模块用于接收访问对象的访问请求，并将访问请求格式化为由属性集构成四元组；
[0014]验证访问请求模块用于验证访问对象的访问属性，通过将访问对象的身份属性
、
内容属性
、
操作属性和环境属性进行一一比对，验证访问请求是否得到授权；
[0015]申请访问请求模块用于申请访问对象的访问权限，当身份属性
、
内容属性
、
操作属性和环境属性比对不一致时，进入申请访问请求模块，将访问对象的属性以四元组形式传入数据授权管理模块传入数据授权管理模块；同时进入等待申请响应状态，若模块二完成访问请求的权限审批，且审批置位为
‘1’
时，用户再次通过验证访问请求模块验证访问信息；当置位为
‘‑1’
时，拒绝用户访问并反馈申请结果
。
[0016]进一步地，所述格式化访问请求模块的具体流程包括：
[0017]S41、
接收访问请求服务
[0018]未接收到访问请求时，模块一处于监听状态；当接收到访问请求时，获取访问对象的访问身份
、
访问内容
、
访问操作
、
访问环境访问请求属性信息；
[0019]S42、
检查访问请求属性服务
[0020]获取访问对象的访问身份
、
访问内容
、
访问操作和访问环境访问请求属性信息后，对接收到的属性信息进行检查，若接收的属性信息不全，则告知访问对象提供的信息不全，并拒绝继续访问；
[0021]S43、
初始化访问请求属性服务
[0022]按照系统预置的规则初始化访问请求属性构成
{I、C、O、E}
组成的四元组；其中
I
表示访问身份，
C
表示访问内容，
O
表示访问操作，
E
表示访问环境；
[0023]S44、
格式化访问请求属性服务
[0024]初始化访问请求属性四元组后，用接收到的访问对象的属性信息对四元组
{I、C、O、E}
进行赋值，得到新四元组
{I
’
、C
’
、O
’
、E
’
}。
[0025]进一步地，访问身份包括用户类型
、
用户名称；访问内容包括数据目录
、
数据库表
、
数据字段或数据项；访问操作包括查看
、
添加
、
修改或删除；访问环境包括访本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于属性的细粒度数据库访问控制装置，其特征在于，该装置包括两个功能模块，模块一为“数据访问认证”模块，该模块对外与访问对象进行交互，用于完成访问请求的接收和访问属性的认证，包含格式化访问请求
、
验证访问请求和申请访问权限子功能；模块二为“数据授权管理”模块，用于完成对访问属性的管理和访问授权的管理，包括属性集管理
、
访问权限关联
、
访问权限审批和访问权限响应子功能；模块一为“数据访问认证”模块，该模块用于完成访问对象访问请求的接收和访问属性的认证；当接收到访问对象的访问请求时，首先将访问身份
、
访问内容
、
访问操作和访问环境属性进行格式化，转化为系统预置的属性四元组；然后对当前访问请求的属性进行验证，若符合访问权限则认证通过，获取数据资源库数据；若不符合访问权限，则将格式化后的访问信息提交给模块二进行访问权限的申请；模块二为“数据授权管理”模块，该模块用于完成对访问属性的管理和访问授权的管理；当接收到模块一新的访问请求申请后，首先将访问身份
、
访问内容
、
访问操作和访问环境构成的四元组进行解析，并存入属性集表中；然后通过构建访问对象
、
属性
、
权限和数据目录间的关系，进行属性集与访问权限的关联；关联完成后，由更高级别的管理员进行人工审批，若审批通过则该权限生效，若不通过则该权限不生效，审批完成后将访问请求申请的结果反馈给模块一
。2.
如权利要求1所述的基于属性的细粒度数据库访问控制装置，其特征在于，“数据访问认证”模块包括：格式化访问请求模块
、
验证访问请求模块和申请访问请求模块；格式化访问请求模块用于接收访问对象的访问请求，并将访问请求格式化为由属性集构成四元组；验证访问请求模块用于验证访问对象的访问属性，通过将访问对象的身份属性
、
内容属性
、
操作属性和环境属性进行一一比对，验证访问请求是否得到授权；申请访问请求模块用于申请访问对象的访问权限，当身份属性
、
内容属性
、
操作属性和环境属性比对不一致时，进入申请访问请求模块，将访问对象的属性以四元组形式传入数据授权管理模块；同时进入等待申请响应状态，若模块二完成访问请求的权限审批，且审批置位为
‘1’
时，用户再次通过验证访问请求模块验证访问信息；当置位为
‘‑1’
时，拒绝用户访问并反馈申请结果
。3.
如权利要求2所述的基于属性的细粒度数据库访问控制装置，其特征在于，所述格式化访问请求模块的具体流程包括：
S41、
接收访问请求服务未接收到访问请求时，模块一处于监听状态；当接收到访问请求时，获取访问对象的访问身份
、
访问内容
、
访问操作
、
访问环境访问请求属性信息；
S42、
检查访问请求属性服务获取访问对象的访问身份
、
访问内容
、
访问操作和访问环境访问请求属性信息后，对接收到的属性信息进行检查，若接收的属性信息不全，则告知访问对象提供的信息不全，并拒绝继续访问；
S43、
初始化访问请求属性服务按照系统预置的规则初始化访问请求属性构成
{I、C、O、E}
组成的四元组；其中
I
表示访问身份，
C
表示访问内容，
O
表示访问操作，
E
表示访问环境；
S44、
格式化访问请求属性服务初始化访问请求属性四元组后，用接收到的访问对象的属性信息对四元组
{I、C、O、E}
进行赋值，得到新四元组
{I
’
、C
’
、O
’
、E
’
}。4.
如权利要求3所述的基于属性的细粒度数据库访问控制装置，其特征在于，访问身份包括用户类型
、
用户名称；访问内容包括数据目录
、...

【专利技术属性】
技术研发人员：韩伟伦，王仁，李新乐，孟才钰，郭浩辉，施志强，李明磊，张杨，韩世杰，
申请(专利权)人：北京计算机技术及应用研究所，
类型：发明
国别省市：