一种基于属性的细粒度数据库访问控制装置的制作方法

本发明属于数据安全，具体涉及一种基于属性的细粒度数据库访问控制装置。

背景技术：

1、中国专利“cn 112733185 a一种基于属性访问控制资源的方法和系统”。通过获取用户的主题属性、资源属性和环境属性，判断该用户属性是否满足访问条件。当满足条件时，允许用户访问相应的资源。其中访问条件被抽象为基于perm的文件，通过modulefi le语法编写权限策略，进而判断访问请求是否满足权限策略。

2、中国专利“cn 112580091 a一种细粒度数据访问控制方法及装置”。通过授权步骤为访问端授予相关权限，鉴权步骤判断请求频率、请求时间是否符合权限，最终通过值域权限、条数权限、字段权限对输出数据进行筛选，剪裁输出数据并返回。

3、中国专利“cn 112733185 a一种基于属性访问控制资源的方法和系统”。该专利的访问策略仅基于用户主题属性、资源属性和环境属性，未针对用户的添加、查询、修改和删除等操作属性进行处理，对数据库的访问控制粒度存在不足。且该专利侧重于基于文件权限策略的扩展，与本文安全关键领域数据资源权限人工审批的应用场景存在较大差异。

4、中国专利“cn 112580091 a一种细粒度数据访问控制方法及装置”。该专利的访问控制方法体现在对数据值域、条数权限和字段权限等权限的细粒度管理，没有对访问对象的身份和访问对象的操作进行约束。且数据访问约束的时机是在获取全部数据后进行裁剪，此时访问对象已进入数据中心，在遭受恶意用户攻击时极易造成数据的泄露。

技术实现思路

1、(一)要解决的技术问题

2、本发明要解决的技术问题是如何提供一种基于属性的细粒度数据库访问控制装置，以解决现有技术中存在的上述问题。

3、(二)技术方案

4、为了解决上述技术问题，本发明提出一种基于属性的细粒度数据库访问控制装置，该装置包括两个功能模块，模块一为“数据访问认证”模块，该模块对外与访问对象进行交互，用于完成访问请求的接收和访问属性的认证，包含格式化访问请求、验证访问请求和申请访问权限子功能；模块二为“数据授权管理”模块，用于完成对访问属性的管理和访问授权的管理，包括属性集管理、访问权限关联、访问权限审批和访问权限响应子功能；

5、模块一为“数据访问认证”模块，该模块用于完成访问对象访问请求的接收和访问属性的认证；当接收到访问对象的访问请求时，首先将访问身份、访问内容、访问操作和访问环境属性进行格式化，转化为系统预置的属性四元组；然后对当前访问请求的属性进行验证，若符合访问权限则认证通过，获取数据资源库数据；若不符合访问权限，则将格式化后的访问信息提交给模块二进行访问权限的申请；

6、模块二为“数据授权管理”模块，该模块用于完成对访问属性的管理和访问授权的管理；当接收到模块一新的访问请求申请后，首先将访问身份、访问内容、访问操作和访问环境构成的四元组进行解析，并存入属性集表中；然后通过构建访问对象、属性、权限和数据目录间的关系，进行属性集与访问权限的关联；关联完成后，由更高级别的管理员进行人工审批，若审批通过则该权限生效，若不通过则该权限不生效，审批完成后将访问请求申请的结果反馈给模块一。

7、进一步地，“数据访问认证”模块包括：格式化访问请求模块、验证访问请求模块和申请访问请求模块；

8、格式化访问请求模块用于接收访问对象的访问请求，并将访问请求格式化为由属性集构成四元组；

9、验证访问请求模块用于验证访问对象的访问属性，通过将访问对象的身份属性、内容属性、操作属性和环境属性进行一一比对，验证访问请求是否得到授权；

10、申请访问请求模块用于申请访问对象的访问权限，当身份属性、内容属性、操作属性和环境属性比对不一致时，进入申请访问请求模块，将访问对象的属性以四元组形式传入数据授权管理模块传入数据授权管理模块；同时进入等待申请响应状态，若模块二完成访问请求的权限审批，且审批置位为‘1’时，用户再次通过验证访问请求模块验证访问信息；当置位为‘-1’时，拒绝用户访问并反馈申请结果。

11、进一步地，所述格式化访问请求模块的具体流程包括：

12、s41、接收访问请求服务

13、未接收到访问请求时，模块一处于监听状态；当接收到访问请求时，获取访问对象的访问身份、访问内容、访问操作、访问环境访问请求属性信息；

14、s42、检查访问请求属性服务

15、获取访问对象的访问身份、访问内容、访问操作和访问环境访问请求属性信息后，对接收到的属性信息进行检查，若接收的属性信息不全，则告知访问对象提供的信息不全，并拒绝继续访问；

16、s43、初始化访问请求属性服务

17、按照系统预置的规则初始化访问请求属性构成{i、c、o、e}组成的四元组；其中i表示访问身份，c表示访问内容，o表示访问操作，e表示访问环境；

18、s44、格式化访问请求属性服务

19、初始化访问请求属性四元组后，用接收到的访问对象的属性信息对四元组{i、c、o、e}进行赋值，得到新四元组{i’、c’、o’、e’}。

20、进一步地，访问身份包括用户类型、用户名称；访问内容包括数据目录、数据库表、数据字段或数据项；访问操作包括查看、添加、修改或删除；访问环境包括访问对象的地址、日期、访问频率。

21、进一步地，验证访问请求模块的具体流程包括：

22、s51、将获取的访问请求属性进行解析；

23、s52、比对访问对象的身份属性，若身份属性存在，则继续步骤执行下面流程，若身份属性不存在，则跳转执行申请访问权限模块；

24、s53、比对访问对象的内容属性，若内容属性存在，则继续步骤执行下面流程，若内容属性不存在，则跳转执行申请访问权限模块；

25、s54、比对访问对象的操作属性，若操作属性存在，则继续步骤执行下面流程，若操作属性不存在，则跳转执行申请访问权限模块；

26、s55、比对访问对象的环境属性，若环境属性存在，则继续步骤执行下面流程，若环境属性不存在，则跳转执行申请访问权限模块；

27、s56、若四项属性均匹配成功，则访问数据资源库并获取数据，结束本模块。

28、进一步地，“数据授权管理”模块包括：属性集管理模块、访问权限关联模块、访问权限审批模块和访问权限响应模块；

29、属性集管理模块用于管理访问请求的属性信息，当接收到模块一发送的四元组{i’、c’、o’、e’}后，首先将i’、c’、o’、e’对应的属性信息进行解析，然后将解析后的访问请求属性信息添加到属性集表中；

30、访问权限关联模块用于处理访问对象、属性集和访问权限的关联关系，其中属性集作为访问对象与访问权限间的桥梁；

31、访问权限审批模块用于人工审批新设置的访问权限，当完成访问对象、属性集与访问权限关联后，访问权限不立刻进行授权，而是进入待审批状态；当由更高级别的管理员审批后，该访问权限才会生效；

32、访问权限响应模块用于反馈审批后的访问权限，当收到访问权限审批模块的审批结果后，将访问对象申请访问权限的结果反馈给“数据访问认证”模块。

33、进一步地，访问对象与属性集为1：n关系。

34、进一步地，属性集与访问权限为n：n关系，同一属性集具备多个数据资源库下不同数据表的访问权限；同一访问权限分配给不同的属性集。

35、进一步地，访问权限关联模块中访问对象、属性集和访问权限的关系需要创建数据库表进行管理，包含访问对象表、对象-属性关联表、属性集表、属性访问权限表和访问权限表。

36、进一步地，访问权限审批模块的具体流程包括：

37、s91、获取新关联的访问权限；

38、s92、将该访问权限置位为‘0’，表示审批状态为‘待审批状态’；

39、s93、当有系统管理员进入后，判断该人员是否符合审批权限，若符合则将待审批任务推送给该管理员，若不符合则继续等待审批人员；

40、s94、管理员审批后，修改访问权限的审批状态，当置位为‘1’时，表示权限通过审批，当置位为‘-1’时，表示权限未通过审批；

41、s95、审批完成后，将审批后的访问权限信息推送给访问权限响应模块，并结束本模块。

42、(三)有益效果

43、本发明提出一种基于属性的细粒度数据库访问控制装置，本发明设计了一种基于属性的细粒度数据库访问控制装置，该方法通过用户属性、数据属性、操作属性和环境属性对访问对象进行约束。当访问对象符合基于属性的访问权限时，则可获取数据资源库的数据并返回给访问对象，实现了细粒度的数据库访问控制。

44、本发明提供一种基于属性的细粒度数据库访问控制装置，与现有技术相比，本发明的优势在于：

45、(1)数据高安全性

46、数字化时代，数据因流动产生价值。为了使数据资源库可以将数据安全地交付于访问对象，除了传统的基于角色的访问控制方法外，还需要基于访问身份、访问内容、访问操作和访问环境进行细粒度的访问控制，以提高数据安全性。

47、(2)访问控制强动态性

48、新型计算环境下，访问对象由用户、系统、程序、设备等动态组成，传统的访问控制方式无法提前预知所有访问对象信息，也无法准确了解访问对象和权限结构。本发明通过数据授权管理实现访问策略的动态更新。