J/ 标记数据许可用户。
[0076]在一个实施方式中,接收到该操作请求后,解析该存储需求,获取存储需求详细信息(步骤S502),得出如下信息:
[0077]租户标识:T ;
[0078]表名:user (用户表);
[0079]字段名:id(用户标识)、name (用户姓名)、password(用户密码);
[0080]字段长度:Length(id)= 11、Length (name) = 255、Length (password) = 255 ;
[0081]加密选项:true ;
[0082]有效期:两年;
[0083]许可用户:100001、100002、100003。
[0084]步骤503:检测多租户应用配置的租户标记策略,判断如何对租户进行标记。
[0085]步骤504:在租户管理模块中标记该判断结果,步骤506将步骤502解析出的元数据存储在元数据权限池中;
[0086]步骤505:是标记租户110不进行自定义数据库130访问控制。
[0087]经过以上步骤,多租户应用的每个租户110在访问多自定义数据库130数据时对其自定义数据库130访问控制策略都已明确。
[0088]步骤S402:接收租户110发送的包含元数据的操作请求,根据所述访问控制策略判断操作请求是否合法:如果合法,则将该操作请求提交至自定义数据库130中执行并将结果返回给租户110 ;否则,不允许提交操作请求。
[0089]参见图6,图6是本发明所述租户对自定义数据库访问的控制方法的一实施方式中租户对自定义数据库查询操作的流程图。在图6示出的实施方式中,包括如下步骤:
[0090]步骤601:租户提交查询操作,例如,租户T提交下列查询操作:
[0091]from user ;
[0092]查询操作查询自定义表user中的数据记录。
[0093]步骤602:解析这两个查询操作得出以下信息:
[0094]对于第一个查询操作:
[0095]租户标识:T ;
[0096]表:user;
[0097]步骤603:使用步骤602解析出的租户标识从租户管理模块处获得是否需要对该租户I1进行租户自定义数据库130访问控制;
[0098]步骤603之后转而执行步骤604:根据元数据权限池的权限数据判断这个查询操作是否是合法的。如果合法,执行步骤605,将查询操作提交到自定义数据库130执行之;如不合法,执行步骤608,返回错误信息。
[0099]对应的,本发明还公开了一种租户对自定义数据库访问的控制装置,参见图7,图7是本发明所述租户对自定义数据库130访问的控制装置的一实施方式的结构示意图,该装置对应地包括:
[0100]元数据库权限池701,用于根据租户110上传的包含自定义表信息、字段信息、有效期中一种或多种的数据存储需求,配置自定义数据库130中对元数据的访问控制策略;
[0101]判断模块702,用于接收租户110的操作请求,根据所述访问控制策略判断操作请求是否合法;如果合法,则将该操作请求提交至自定义数据库130中执行并将结果返回给租户;否则,不允许提交操作请求。
[0102]从上述的实施方式可以看出,上述实施方式涉及的方法和装置具有实用性和通用性,能够实现对租户自定义数据库130的有效访问控制,保障多自定义数据库130租户数据安全。
[0103]应该理解,本发明并不局限于上述实施方式,凡是对本发明的各种改动或变型不脱离本发明的精神和范围,倘若这些改动和变型属于本发明的权利要求和等同技术范围之内,则本发明也意味着包含这些改动和变型。
【主权项】
1.一种租户对自定义数据库访问的控制方法,其特征在于包括以下步骤: 根据租户上传的包含元数据的数据存储需求,配置租户对应的自定义数据库的访问控制策略; 接收租户发送的包含元数据的操作请求,根据所述访问控制策略判断操作请求是否合法:如果合法,则将该操作请求提交至租户数据库中执行并将结果返回给租户;否则,不允许提交操作请求。
2.如权利要求1所述的一种租户对自定义数据库访问的控制方法,其特征在于:所述租户通过租户数据库服务提交所述数据存储需求。
3.如权利要求2所述的一种租户对自定义数据库访问的控制方法,其特征在于:所述数据存储需求还包含租户信息,以及对所述租户信息标记是否需要进行访问控制的标记信息; 在所述根据所述访问控制策略判断操作请求是否合法的步骤之前,还包括根据所述标记信息判断是否需要进行访问控制,如果是,则根据所述访问控制策略判断操作请求是否合法。
4.如权利要求1-3任一项所述的一种租户对自定义数据库访问的控制方法,其特征在于:所述元数据包含自定义数据的表名、表属性、字段名、字段属性、取值范围、有效期和访问权限中的一种或多种。
5.如权利要求1所述的一种租户对自定义数据库访问的控制方法,其特征在于:所述根据所述访问控制策略判断操作请求是否合法的步骤包括: 从所述操作请求中获取对应的元数据和操作要求; 查询该元数据对应的操作权限; 判断所述操作要求是否位于所述操作权限内,如果是,则判断该操作请求合法,否则,判断该操作请求不合法。
6.一种租户对自定义数据库访问的控制装置,其特征在于包括: 元数据库权限池,用于根据租户上传的包含自定义表信息、字段信息、有效期中一种或多种的数据存储需求,配置自定义数据库中对元数据的访问控制策略; 判断模块,用于接收租户的操作请求,根据所述访问控制策略判断操作请求是否合法;如果合法,则将该操作请求提交至租户数据库中执行并将结果返回给租户;否则,不允许提交操作请求。
7.如权利要求5所述的一种租户对自定义数据库访问的控制装置,其特征在于:所述租户通过租户数据库服务提交所述数据存储需求。
8.如权利要求6所述的一种租户对自定义数据库访问的控制装置,其特征在于还包括: 租户管理模块用于存储租户信息,以及对所述租户信息标记是否需要进行访问控制进行标记; 访问控制模块:用于在所述根据所述访问控制策略判断操作请求是否合法的步骤之前,根据所述标记信息判断是否需要进行访问控制,如果是,则根据所述访问控制策略判断操作请求是否合法。
9.如权利要求5-7任一项所述的一种租户对自定义数据库访问的控制装置,其特征在于:所述元数据包含自定义数据的表名、表属性、字段名、字段属性、取值范围、有效期和访问权限中的一种或多种。
10.—种租户对自定义数据库访问的控制系统,其特征在于包括:租户、自定义数据库,以及访问控制模块,所述租户和自定义数据库分别与所述访问控制模块连接,其中,所述访问控制模块包括: 通讯模块,分别与所述租户和自定义数据库连接交互; 元数据库权限池,用于存储需要进行自定义数据库访问控制的租户的元数据; 访问控制模块,用于根据所述元数据库权限池判断从所述通讯模块接收的操作请求是否合法。
【专利摘要】本发明涉及一种云计算多租户系统中租户对自定义数据库访问的控制方法、装置和系统,该方法包括根据租户上传的包含元数据的数据存储需求,配置租户自定义数据库中对元数据的访问控制策略;接收租户发送的包含元数据的操作请求,根据所述访问控制策略判断操作请求是否合法:如果合法,则将该操作请求提交至自定义数据库中执行并将结果返回给租户;否则,不允许提交操作请求。本发明的方法、装置和系统通过数据存储需求配置对应的访问控制策略,根据操作请求中的元数据来判断该操作请求是否合法并作出对应的处理,从而使得自定义数据库能够得到完善的访问控制,有效保障数据访问控制安全。
【IPC分类】G06F17-30, G06F21-62
【公开号】CN104537317
【申请号】CN201510017089
【发明人】范冰冰, 胡遵华, 陈振洲, 郑伟平
【申请人】华南师范大学
【公开日】2015年4月22日
【申请日】2015年1月13日