本发明专利技术公开了一种基于索引树的海量数据库访问控制方法,属于数据处理技术领域。本发明专利技术旨在将传统的访问控制方法中对数据对象实施访问控制进行的两次检索合并为一次检索,以提高访问控制实施效率。本发明专利技术方法包括a)为数据库建立索引树,b)在索引树的每个节点上建立一授权信息集合,该集合包括用户对所述节点及其子节点中的全部数据对象的操作权限,c)用户提出访问请求后,自索引树的根节点逐层向下至数据对象所在的节点,依次检索各个节点的授权信息集合,直至根据某一节点的授权信息集合可获得确定的访问控制结果,所述确定的访问控制结果包括接受或拒绝所述访问请求。本发明专利技术可用于各种海量数据库,尤其适用于空间数据库。
【技术实现步骤摘要】
本专利技术涉及海量数据库,尤其涉及一种,属于数据处理
技术介绍
随着空间技术的日益普及,用户通过Google Earth, MS TerraServer可以任意访 问地球上任意范围的物体,甚至观测到其运动变化;全球定位系统(GPS)和惯性导航系统 (INS)等高技术系统相结合的智能型实时地理信息系统使得地理空间数据成为一种实用的 工具,即使用户处于陌生的城市,可以通过GPS等设备快速定位自己的位置,查询道路信息 等。由此可见,空间技术的需求在不断的增长。方便、快捷的空间地理数据的操作方式,一 方面满足了用户对空间信息的快速访问,但另一方面也泄露了用户的隐私信息,给国家、企 业和个人造成极大的威胁。 访问控制是对数据库资源进行保护的重要措施,它主要规定了主体对客体的访问权限,并在身份识别的基础上,根据主体身份对资源的访问加以控制。传统的访问控制在数据库内部的实现方法主要包括访问控制列表、访问控制矩阵、查询改写等方式。但是,由于空间数据量大,空间目标不规则,目标的结构及其关系复杂(相交、相邻、包含、覆盖关系等),空间操作与计算比传统的关系运算代价高的特点,并不能直接将传统数据库的访问控制方法直接应用,需要依据不同空间数据特征构建空间数据访问控制机制。目前空间数据库访问控制方法主要通过查询改写的方式进行。当空间关系表达过于复杂时,会造成访问控制效率较低的问题。为了提高访问控制效率,现有工作主要针对空间栅格数据特征进行区域划分,选择特定的索引树结构,并在相应区域上添加授权信息,使得在对空间数据查找过程中能快速判断其操作的有效性,此类方法在一定程度上提高了访问控制判定效率。但是,这些授权模型都不能同时支持对矢量和栅格数据的应用,不能很好解决肯定授权和否定授权的冲突问题。因此,如何针对矢量数据和栅格数据提出通用的授权机制,并有效提高访问控制判定效率成为空间数据库访问控制的热点。
技术实现思路
针对上述问题,本专利技术的目的在于提供一种通用的海量数据库(比如空间数据 库)访问控制方法,将传统的访问控制方法中对数据对象实施访问控制进行的两次检索 ( 一次检索产生于对数据对象授权策略的查找与判定,另一次检索产生于数据对象的获取 过程)合并为一次检索。通过将授权信息和数据库索引结构相结合,使数据对象和授权信 息的获取在一次检索中完成,提高了访问控制实施效率。此外,在索引树中对授权信息通过 授权信息集合进行记录,当进行请求判定时,直接对授权信息进行比较即可,进一步提高访 问控制判定效率。 为了实现上述目的,本专利技术采用如下技术方案 ,包括 a)为数据库建立索引树, b)在所述索引树的每个节点上建立一授权信息集合,所述授权信息集合包括用户 对所述节点及其子节点中的全部数据对象的操作权限, c)用户提出针对数据对象的访问请求后,自所述索引树的根节点逐层向下至所 述数据对象所在的节点,依次检索各个节点的授权信息集合,直至根据某一节点的授权信 息集合可获得确定的访问控制结果,所述确定的访问控制结果包括接受或拒绝所述访问请 求。 举例来说,如图1所示,数据库索引树的每个节点上均包括一授权信息集合,当用 户请求访问节点4中的数据时,自根节点1逐层向下检索,在从节点1经节点2,节点3直 至节点4的路径中,当根据路径中的某一节点(比如节点3)可以确定用户能否访问所述数 据时,即就此实现访问控制,如能访问,则直接提取数据,如不能访问,则拒绝请求。当根据 路径中的节点无法得到确定的访问控制结果,则检索到所述路径的末尾,即节点4,无论如 何,根据路径的末尾节点均可以得到确定的访问控制结果,只是在此情况下无法省略判断 次数。 进一步,在上述方法中,通过下列方法为所述索引树中的每个节点建立一个授权 信息集合 a)根据设定的授权信息为所述授权信息涉及的节点建立初步的授权信息集合; b)从所述索引树的叶节点开始至根节点,对授权信息集合进行递归操作,所述递 归操作之后,所述索引树中的父节点的授权信息集合包含其所有子节点的授权信息。 其中,可通过下列方法根据设定的授权信息为所述授权信息涉及的节点建立初步 的授权信息集合将所述授权信息分解为多个不相交的子集,每个所述子集均映射到所述 索引树的某个节点上并建立所述初步的授权信息集合,同时所述多个节点之间不存在父子 关系。 优选地,在上述方法中,在所述索引树的全部或部分节点上,按照用户的不同操作 之间的偏序关系,根据用户的一个操作权限将另一操作权限补入授权信息集合中。也可以 在所述索引树的全部或部分节点上,按照多个用户的角色之间的偏序关系,根据一个用户 的操作权限将另一用户的操作权限补入其授权信息集合中。 从另一个方面来说,本专利技术基于索引树的海量数据库授权方法主要分为两个过 程首先,通过授权信息构建索引树中每个节点的授权信息集合;其次,实现对用户的访问 请求的判定,主要是在索引树中查找请求的数据对象的同时,进行权限判定,实现将两次索 引合并为一次索引的过程,提高访问请求判定效率。 具体来说,前一过程包括下列内容,如图2所示 1)通过授权信息构建索引树相应节点上的授权信息集合。索引树中每个节点均具 有一个授权信息集合,用来记录数据库用户(可以是单个用户,多个用户或用户组等等)所 有的授权信息。授权信息映射到树中节点时,不一定能直接映射到一个节点上,因此需要分 解授权信息,使其能通过多个节点完全表示。 授权信息集合可以采用表格的形式(授权信息表)储存各项信息,既可以采用多 个表格,每个表格对应一个用户或一类用户;也可以采用一个表格,在该表格中包括多个用 户或多类用户,没有特定的限制。关于授权信息表内的表项,比如,每个授权信息表可包括四个部分授权信息对应的范围,即索引树中相应的节点的范围;数据对象类型,可以包括 多种分类方式,例如按照点、线、面的方式,或图层的方式;数据对象统计信息,即各种类型 的数据对象的总个数;操作权限信息,即相应操作类型下肯定(有操作权限)或否定(没有 操作权限)的对象的个数,当该操作下允许的对象个数与对象总个数一致且否定授权个数 为零时,表面该区域中所有对象均有访问权限。 授权信息进行分解的过程需要满足以下条件将授权信息划分为一系列不相交的 子集,这些子集均与索引树中的某节点范围一致,即映射到某个节点上;子节点之和即为数 据对象的范围总和;并且这些节点之间不存在父子关系,然后将分解后的授权信息添加到 相应的各个节点上,避免对授权信息进行多次存储,造成空间的浪费和效率的降低。 2)依据用户的不同操作之间的偏序关系将相应信息添加至授权信息表。当用户具 有操作1的权限则必然也具有操作2的权限时(例如允许用户对空间对象进行放大操作, 则允许用户进行查看操作,否则放大操作没有意义),在每个节点的授权信息集合中添加相 应的操作关系,即将操作1的权限信息添加到操作2的权限信息中。 此外,在否定授权时,操作之间的偏序关系具有逆向性,即不允许操作2时也不允 许进行操作1。因此,可根据肯定和否定授权均按照其偏序关系,将相应的授权信息及其推 导结果填入授权信息集合中。 与操作之间类似,授权用户的角色之间也存在一定的偏序关系,比如管理员具有 普通用户的所有权限。因此,依据用户角色之间的偏序关本文档来自技高网...
【技术保护点】
基于索引树的海量数据库访问控制方法,包括 a)为数据库建立索引树, b)在所述索引树的每个节点上建立一授权信息集合,所述授权信息集合包括用户对所述节点及其子节点中的全部数据对象的操作权限, c)用户提出针对数据对象的访问请求后,自所述索引树的根节点逐层向下至所述数据对象所在的节点,依次检索各个节点的授权信息集合,直至根据某一节点的授权信息集合可获得确定的访问控制结果,所述确定的访问控制结果包括接受或拒绝所述访问请求。
【技术特征摘要】
基于索引树的海量数据库访问控制方法,包括a)为数据库建立索引树,b)在所述索引树的每个节点上建立一授权信息集合,所述授权信息集合包括用户对所述节点及其子节点中的全部数据对象的操作权限,c)用户提出针对数据对象的访问请求后,自所述索引树的根节点逐层向下至所述数据对象所在的节点,依次检索各个节点的授权信息集合,直至根据某一节点的授权信息集合可获得确定的访问控制结果,所述确定的访问控制结果包括接受或拒绝所述访问请求。2. 如权利要求1所述的基于索引树的海量数据库访问控制方法,其特征在于,通过下 列方法为所述索引树中的每个节点建立一个授权信息集合a) 根据设定的授权信息为所述授权信息涉及的节点建立初步的授权信息集合;b) 从所述索引树的叶节点开始至根节点,对授权信息集合进行递归操作,所述递归操 作之后,所述索引树中的父节点的授权信息集合包含其所有子节点的授权信息。3. 如权利要求2所述的基于索引树的海量数据库访问控制方法,其特征在于,通过下 列方法根据设定的授权信息为所述授权信息涉及的节点建立初步的授权信息集合将所述授权信...
【专利技术属性】
技术研发人员:张颖君,张德胜,陈驰,张敏,张妍,洪澄,王伏根,
申请(专利权)人:中国科学院软件研究所,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。