【技术实现步骤摘要】
本申请涉及图数据库,尤其是一种图数据库与客户端之间的安全校验方法及系统。
技术介绍
1、对于数据库而言存储着企业内部的业务信息,甚至存储着广大用户的个人信息,因此对数据安全性要求极高。为了确保数据的安全性,在业界一般采用身份认证、角色权限和加密传输的策略。身份认证是数据库系统的一种安全机制,用于验证和授权用户访问数据库的权限,这个系统可以确保只有经过合适认证的用户才能访问数据库中的信息。身份认证系统通常会要求用户提供用户名和密码,在用户输入这些信息后系统会将这些信息与存储在数据库中的信息进行比较,如果匹配上则授予用户一定的访问权限。数据库的身份认证系统在保护敏感信息、防止未经授权的访问和数据泄露方面起着重要的作用。
2、图数据库系统nebulagraph包括图查询服务、元数据服务和图存储服务,提供出来的能力包括查询和数据扫描,所有的查询请求是发送给图查询服务的,而数据扫描请求是发送给图存储服务的。但目前对于图数据库系统nebulagraph而言,用户身份认证的鉴权系统只在图查询服务中,图存储服务是不具备身份认证的功能的。那对于数据扫描的功能而言,没有身份鉴权,任何用户都可以通过客户端利用扫描功能将图数据库中的数据读取并进行处理,具有极大的安全危害。
技术实现思路
1、本申请的目的在于克服现有技术的图数据库系统中存在的直接与存储服务对接的扫描数据的安全性问题,提供一种图数据库与客户端之间的安全校验方法及系统。
2、第一方面,提供了一种图数据库与客户端之间的安全
3、与服务端建立连接并进行握手密钥校验,其中,所述服务端配置有存储服务和查询服务;
4、请求查询服务进行用户身份认证;
5、响应于用户身份认证通过,则从查询服务获取权限信息并将所述权限信息保存至白名单;
6、根据访问需求和白名单请求存储服务进行数据扫描。
7、进一步的,进行握手密钥校验,包括:
8、配置客户端的握手密钥;
9、判断所述握手密钥是否在服务端的握手密钥列表中;
10、响应于判断结果为是,则握手密钥校验通过;
11、响应于判断结果为否,则握手密钥校验失败。
12、进一步的,请求查询服务进行用户身份认证,包括:
13、将用户名和密码发送至查询服务,以使得查询服务对所述用户名和密码进行一致性验证;
14、响应于用户名与密码一致,则用户身份认证通过,并接收与查询服务连接会话的id,其中,所述id用于与查询服务进行数据请求;
15、响应于用户名与密码不一致,则用户身份认证失败。
16、进一步的,所述权限信息包括角色以及所述角色对图数据中图空间、图空间中点边类型的访问权限。
17、进一步的,所述白名单中采用map数据结构来保存权限信息,其中,所述白名单的键表示图空间,所述白名单中键的对应值表示用户对该图空间中有访问权限的点类型和边类型集合。
18、进一步的,从查询服务获取权限信息并将所述权限信息保存至白名单,包括:
19、通过查询语句从查询服务中获取角色;
20、判断用户的角色是否为god用户;
21、响应于用户是god用户,则该用户对所有图空间具有可读权限,将白名单设置为空;
22、响应于用户不是god用户,则判断用户的角色是否为指定图空间的admin用户或dba用户;
23、响应于用户是admin用户或dba用户,则该用户具有对应的图空间下的所有点和边的可读权限,在白名单中保存对应的图空间,并将对应的图空间下的点边列表设置为空;
24、响应于用户不是admin用户或dba用户,则判断用户的角色是否为指定图空间的basic用户;
25、响应于用户是指定图空间的basic用户,则通过查询命令获取在对应的图空间中具有可读权限的点和边的集合,在白名单中保存对应的图空间,并将所述点和边的集合保存在对应的图空间下的点边列表中。
26、进一步的,根据访问需求和白名单请求存储服务进行数据扫描,包括:
27、判断白名单是否为空;
28、响应于白名单为空,则权限校验通过,可进行数据扫描;
29、响应于白名单为非空,则判断访问需求中所要访问的图空间是否在白名单中;
30、响应于所要访问的图空间不在白名单中,则权限校验未通过,无法进行数据扫描;
31、响应于所要访问的图空间在白名单中,则判断白名单中所要访问的图空间的点边列表是否为空;
32、响应于点边列表为空,则权限校验通过,可进行数据扫描;
33、响应于点边列表为非空,则判断访问需求中所要访问的点和边是否在白名单的点边列表中;
34、响应于所要访问的点和边在白名单的点边列表中,则权限校验通过,可进行数据扫描;
35、响应于所要访问的点和边不在白名单的点边列表中,则权限校验未通过,无法进行数据扫描。
36、第二方面,提供了一种图数据库与客户端之间的安全校验系统,包括:
37、客户端,用于执行如第一方面中任一实现方式中所述方法的步骤;
38、服务端,所述服务端配置有存储服务和查询服务;
39、存储服务,用于对客户端进行握手密钥校验,以及根据客户端的数据扫描请求进行数据扫描;
40、查询服务,用于对客户端进行用户身份认证,并根据用户身份认证结果返回用户的权限信息。
41、第三方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面所述的方法。
42、第四方面,提供了一种计算机可读存储介质,所述计算机可读介质存储用于设备执行的程序代码,该程序代码包括用于执行如第一方面中的任意一种实现方式中方法的步骤。
43、本申请具有如下有益效果:本申请通过在客户端增加握手密钥的接口来进行握手校验和在客户端访问查询服务进行身份权限校验保证了通过图数据库存储服务进行数据访问的安全性和可靠性,并且,利用查询服务已有的基于图数据库自身的用户身份权限校验系统,在保持图数据库查询服务和存储服务现有能力的基础上,减少图数据库的服务端的功能冗余,采用同一套用户身份鉴权减少功能一致性的维护成本,另外,采用在客户端增加可选的用户身份鉴权功能,可以方便用户自由设定是否需要进行身份权限鉴定,使系统的鉴权功能具有足够的灵活性。
本文档来自技高网...【技术保护点】
1.一种图数据库与客户端之间的安全校验方法,其特征在于,包括:
2.根据权利要求1所述的图数据库与客户端之间的安全校验方法,其特征在于,进行握手密钥校验,包括:
3.根据权利要求1所述的图数据库与客户端之间的安全校验方法,其特征在于,请求查询服务进行用户身份认证,包括:
4.根据权利要求1所述的图数据库与客户端之间的安全校验方法,其特征在于,所述权限信息包括角色以及所述角色对图数据中图空间、图空间中点边类型的访问权限。
5.根据权利要求4所述的图数据库与客户端之间的安全校验方法,其特征在于,所述白名单中采用Map数据结构来保存权限信息,其中,所述白名单的键表示图空间,所述白名单中键的对应值表示用户对该图空间中有访问权限的点类型和边类型集合。
6.根据权利要求1或5所述的图数据库与客户端之间的安全校验方法,其特征在于,从查询服务获取权限信息并将所述权限信息保存至白名单,包括:
7.根据权利要求6所述的图数据库与客户端之间的安全校验方法,其特征在于,根据访问需求和白名单请求存储服务进行数据扫描,包括:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。