一种访问控制方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及访问控制技术领域,尤其涉及一种访问控制方法、装置及系统。
【背景技术】
[0002]在分布式的数据库环境中,经常需要访问远端数据库的数据。现有访问远端数据库的方案主要有两种:
[0003]方案一:每次访问都需要提供远端数据库的用户和密码登陆远端数据库,将读取的数据通过中间表放置到本地数据库。
[0004]方案二:建立到远端数据库的数据链路,数据链路的建立需要远端数据库用户和密码以及到远端数据库的网络配置。使用该数据链路,在本地数据库建立远端表的视图或者同义词,使用该视图或者同义词即可。
[0005]但是,上述方案一需要远端数据库的用户名和密码,从安全性考虑,分布式环境中经常为省级、市级类似的环境,不同的数据库环境的系统管理员有着不同的权限,而采用方案一,无法对不同的数据库分权管理;上述方案二由超级管理员建立数据链路后,由本地管理员像使用本地的表那样查询远端表的数据,但是,对于远端数据库该用户下的其他表的查询无法控制,对一个表中的不同数据也无法限制访问。
[0006]总而言之,现有访问远端数据库的方案均无法控制对远端数据库的查询颗粒度,并且,无法控制对远端数据库的资源使用,如会话的个数,CPU资源占用等,灵活性不高,用户体验效果较差。
【发明内容】
[0007]有鉴于此,为解决现有存在的技术问题,本发明实施例提供:
[0008]一种访问控制方法,包括:
[0009]接收访问请求,所述访问请求至少携带用户信息和/或分站点信息;
[0010]根据所述用户信息和/或分站点信息,以及预设的数据访问控制策略和/或资源访问控制策略,进行访问控制。
[0011]较佳的,所述根据用户信息和/或分站点信息,以及预设的数据访问控制策略进行访问控制,包括:
[0012]根据所述用户信息和/或分站点信息,查询角色、权限及用户和/或分站点的对应关系表,确定与用户和/或分站点对应的角色及权限,并根据所述确定的角色及权限进行相应的访问控制。
[0013]较佳的,所述一个或多个用户对应一个或多个角色,所述一个或多个角色对应一项或多项权限。
[0014]较佳的,所述根据用户信息和/或分站点信息,以及预设的资源访问控制策略进行访问控制,包括:
[0015]根据所述用户信息和/或分站点信息,查询配置、资源及用户和/或分站点的对应关系表,确定与用户和/或分站点对应的配置及资源,并根据所述确定的配置及资源进行相应的访问控制。
[0016]较佳的,所述一个或多个用户对应一项或多项配置,所述一项或多项配置对应一项或多项资源。
[0017]较佳的,所述资源包括以下一项或多项:指定限制用户的并发会话的数目、每个SESS1N占用的CPU的时间、一次调用的CPU时间限制、一个会话允许读的数据块的数目、一次执行SQL调用所允许读的数据块的最大数目、会话允许连续不活动的总的时间、会话的总的连接时间。
[0018]一种访问控制装置,包括:接收模块、存储模块和控制模块;其中,
[0019]所述接收模块,用于接收访问请求,所述访问请求至少携带用户信息和/或分站点信息;
[0020]所述存储模块,用于存储预设的数据访问控制策略和/或资源访问控制策略;
[0021]所述控制模块,用于根据所述接收的访问请求中的用户信息和/或分站点信息,以及存储模块存储的预设的数据访问控制策略和/或资源访问控制策略,进行访问控制。
[0022]较佳的,所述存储模块,具体用于存储角色、权限及用户和/或分站点的对应关系表;
[0023]所述控制模块,具体用于根据所述用户信息和/或分站点信息,查询角色、权限及用户和/或分站点的对应关系表,确定与用户和/或分站点对应的角色及权限,并根据所述确定的角色及权限进行相应的访问控制。
[0024]较佳的,所述存储模块,具体用于存储配置、资源及用户和/或分站点的对应关系表;
[0025]所述控制模块,具体用于根据所述用户信息和/或分站点信息,查询配置、资源及用户和/或分站点的对应关系表,确定与用户和/或分站点对应的配置及资源,并根据所述确定的配置及资源进行相应的访问控制。
[0026]一种访问控制系统,包括:主站点、至少一用户设备和至少一分站点;其中,
[0027]所述分站点,用于将来自用户设备的访问请求发送至主站点;
[0028]所述主站点,包括上述的访问控制装置。
[0029]本发明实施例所述的访问控制方法、装置及系统,接收访问请求,所述访问请求至少携带用户信息和/或分站点信息;根据所述用户信息和/或分站点信息,以及预设的数据访问控制策略和/或资源访问控制策略,进行访问控制。通过本发明实施例所述的访问控制方法、装置及系统,主站点可以对访问请求进行数据访问控制和/或资源访问控制,从而能有效控制访问的查询颗粒度和/或资源使用情况,提高了访问灵活度及用户体验效果。
【附图说明】
[0030]图1为本发明实施例一种访问控制方法流程示意图;
[0031]图2为本发明实施例一种访问控制装置结构示意图;
[0032]图3为本发明实施例1中,为实现远端数据库数据访问控制和/或资源访问控制的配置流程示意图;
[0033]图4为本发明实施例2所述的访问控制系统结构示意图;
[0034]图5为本发明实施例3涉及的访问控制系统结构示意图;
[0035]图6为本发明实施例4涉及的访问控制系统结构示意图。
【具体实施方式】
[0036]在本发明的各种实施例中:接收访问请求,所述访问请求至少携带用户信息和/或分站点信息;根据所述用户信息和/或分站点信息,以及预设的数据访问控制策略和/或资源访问控制策略,进行访问控制。
[0037]本发明实施例提出了一种访问控制方法,如图1所示,该方法包括:
[0038]步骤11:接收访问请求,所述访问请求至少携带用户信息和/或分站点信息;
[0039]步骤12:根据所述用户信息和/或分站点信息,以及预设的数据访问控制策略和/或资源访问控制策略,进行访问控制。
[0040]可选的,步骤12所述根据用户信息和/或分站点信息,以及预设的数据访问控制策略进行访问控制,包括:
[0041]根据所述用户信息和/或分站点信息,查询角色、权限及用户和/或分站点的对应关系表,确定与用户和/或分站点对应的角色及权限,并根据所述确定的角色及权限进行相应的访问控制。
[0042]可选的,所述一个或多个用户对应一个或多个角色,所述一个或多个角色对应一项或多项权限。
[0043]可选的,步骤12所述根据用户信息和/或分站点信息,以及预设的资源访问控制策略进行访问控制,包括:
[0044]根据所述用户信息和/或分站点信息,查询配置、资源及用户和/或分站点的对应关系表,确定与用户和/或分站点对应的配置及资源,并根据所述确定的配置及资源进行相应的访问控制。
[0045]可选的,所述一个或多个用户对应一项或多项配置,所述一项或多项配置对应一项或多项资源。
[0046]可选的,所述资源包括以下一项或多项:指定限制用户的并发会话的数目、每个SESS1N占用的CPU的时间、一次调用的CPU时间限制、一个会话允许读的数据块的数目、一次执行SQL调用所允许读的数