基于目的自适应的访问控制处理方法与流程

本发明涉及数据库访问控制的，具体而言，涉及一种基于目的自适应的访问控制处理方法。

背景技术：

1、随着大数据时代的到来，海量的数据在考验着数据管理系统负载能力的同时，也在考验着其对隐私数据的保护能力。目前的数据库管理系统访问控制实施主要是基于能力的访问控制模型，模型建立均是围绕访问主体和资源客体，依赖访问控制表来判断访问主体的访问控制权限。

2、即使现有技术提出了自由裁量、强制的基于角色的模型，在从表级到单元级的粒度范围内运行，但是仍没有弥补安全和面向隐私的数据保护之间的距离，因为从面向隐私的角度来看，目的代表了隐私策略的本质，而从安全的角度来看，目的代表访问控制的一个新的维度：

3、1，通过访问主体和资源客体的关系来对权限进行约束的模式，限定了数据库管理系统无法在执行过程中模式化访问控制内容，只能在对资源客体进行访问时，通过轮询或查找缓存索引的方式确定二者的访问策略，使得数据安全和执行安全存在着巨大的分离；

4、2，数据库管理系统访问关系型数据库时，权限策略往往只被规定在作为结果集时进行限制，查询引擎并没有对敏感数据进行规避，导致特定的数据种类在查询的过程中被系统访问，此过程中依然存在安全隐患。

5、针对上述的问题，目前尚未提出有效的解决方案。

技术实现思路

1、本发明实施例提供了一种基于目的自适应的访问控制处理方法，以至少解决数据库管理系统在查询过程中无法保护隐私数据安全的技术问题。

2、根据本发明实施例的一个方面，提供了一种基于目的自适应的访问控制处理方法，包括：在接收到对数据库管理系统的查询时，根据表达式的属性将上述查询转换为信息元组，其中，上述信息元组包括指示上述查询的多维度参数；利用预设编码规则对上述信息元组进行信息提取，生成查询签名，其中，上述查询签名包括指示查询目的的数据表的属性和与属性对应的执行动作的动作签名；比对上述查询签名和预设的访问控制策略，其中，上述访问控制策略与上述查询签名的编码方式相同；在上述查询签名命中上述访问控制策略的情况下，利用上述查询签名对上述查询进行重写，并将重写的查询输出给上述数据库管理系统。

3、优选地，上述根据表达式的属性将上述查询转换为信息元组，包括：获取上述查询的子句的表达式的属性；将上述查询转换为上述属性对应的信息元组。

4、优选地，利用预设编码规则对上述信息元组进行信息提取，生成查询签名，包括：获取上述查询对应的数据表；根据每个数据表的各个属性和属性执行的动作类型确定每个数据表的动作签名；汇总各个数据表的动作签名集合，得到上述查询的查询签名。

5、优选地，在接收到对数据库管理系统的查询之前，还包括：将上述访问控制策略的原始数据输入查询模型，并对上述访问控制策略进行编码。

6、优选地，对上述访问控制策略进行编码，包括：确定上述访问控制策略的目的掩码、属性掩码和动作类型掩码；连接上述目的掩码、上述属性掩码和上述动作类型掩码，得到规则掩码；利用每个规则对应的规则掩码确定上述访问控制策略的策略掩码。

7、优选地，比对上述查询签名和预设的访问控制策略，包括：比对上述查询签名的访问权限、数据性质、聚合性质与上述访问控制策略是否一致；确定上述查询签名的联合访问规则是否包含在上述访问控制策略的中；检查上述查询签名的目的集和属性集是否包含在上述访问控制策略中。

8、优选地，在比对上述查询签名和预设的访问控制策略之后，还包括：在上述查询签名的访问权限、数据性质、聚合性质与上述访问控制策略一致、上述查询签名的联合访问规则包含在上述访问控制策略的中且上述查询签名的目的集和属性集包含在上述访问控制策略中的情况下，确定上述查询签名命中上述访问控制策略。

9、根据本发明实施例的另一方面，还提供了一种基于目的自适应的访问控制处理装置，包括：转换单元，用于在接收到对数据库管理系统的查询时，根据表达式的属性将上述查询转换为信息元组，其中，上述信息元组包括指示上述查询的多维度参数；查询签名生成单元，用于利用预设编码规则对上述信息元组进行信息提取，生成查询签名，其中，上述查询签名包括指示查询目的的数据表的属性和与属性对应的执行动作的动作签名；比对单元，用于比对上述查询签名和预设的访问控制策略，其中，上述访问控制策略与上述查询签名的编码方式相同；查询重写单元，用于在上述查询签名命中上述访问控制策略的情况下，利用上述查询签名对上述查询进行重写，并将重写的查询输出给上述数据库管理系统。

10、根据本发明实施例的又一方面，还提供了一种计算机可读的存储介质，该计算机可读的存储介质中存储有计算机程序，其中，该计算机程序被设置为运行时执行上述基于目的自适应的访问控制处理方法。

11、根据本发明实施例的又一方面，还提供了一种电子设备，包括存储器和处理器，上述存储器中存储有计算机程序，上述处理器被设置为通过所述计算机程序执行上述的基于目的自适应的访问控制处理方法。

12、在本发明实施例中，采用在接收到对数据库管理系统的查询时，根据表达式的属性将查询转换为信息元组，利用预设编码规则对信息元组进行信息提取，生成查询签名，比对查询签名和预设的访问控制策略，在查询签名命中访问控制策略的情况下，利用查询签名对查询进行重写，并将重写的查询输出给数据库管理系统的方式，通过结合目的进行访问控制分析，达到了有效弥补了隐私数据在数据库系统中的安全缺陷的目的，从而实现了提高数据库系统在查询过程中数据安全性的技术效果，进而解决了数据库管理系统在查询过程中无法保护隐私数据安全的技术问题。

技术特征：

1.一种基于目的自适应的访问控制处理方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述根据表达式的属性将所述查询转换为信息元组，包括：

3.根据权利要求1所述的方法，其特征在于，利用预设编码规则对所述信息元组进行信息提取，生成查询签名，包括：

4.根据权利要求1所述的方法，其特征在于，在接收到对数据库管理系统的查询之前，还包括：

5.根据权利要求4所述的方法，其特征在于，对所述访问控制策略进行编码，包括：

6.根据权利要求5所述的方法，其特征在于，比对所述查询签名和预设的访问控制策略，包括：

7.根据权利要求6所述的方法，其特征在于，在比对所述查询签名和预设的访问控制策略之后，还包括：

8.一种基于目的自适应的访问控制处理装置，其特征在于，包括：

9.一种计算机可读的存储介质，其特征在于，所述计算机可读的存储介质包括存储的程序，其中，所述程序运行时执行所述权利要求1至7任一项中所述的方法。

10.一种电子设备，包括存储器和处理器，其特征在于，所述存储器中存储有计算机程序，所述处理器被设置为通过所述计算机程序执行所述权利要求1至7任一项中所述的方法。

技术总结
本发明公开了一种基于目的自适应的访问控制处理方法，该基于目的自适应的访问控制处理方法包括：在接收到对数据库管理系统的查询时，根据表达式的属性将查询转换为信息元组，其中，信息元组包括指示查询的多维度参数；利用预设编码规则对信息元组进行信息提取，生成查询签名，其中，查询签名包括指示查询目的的数据表的属性和与属性对应的执行动作的动作签名；比对查询签名和预设的访问控制策略，其中，访问控制策略与查询签名的编码方式相同；在查询签名命中访问控制策略的情况下，利用查询签名对查询进行重写，并将重写的查询输出给数据库管理系统。本发明解决了数据库管理系统在查询过程中无法保护隐私数据安全的技术问题。

技术研发人员：刘雨蒙,严林涛,徐帆江,赵怡婧,王潮,苏毅
受保护的技术使用者：北京遥感设备研究所
技术研发日：
技术公布日：2024/1/15