用于企业供应链的数据库管理方法
【专利摘要】本发明提供了一种用于企业供应链的数据库管理方法,该方法包括:在访问云存储平台的数据之前,对用户进行身份验证,以使用户基于被授予的权限来访问数据。本发明提出了一种用于企业供应链的数据库管理方法,通过云存储系统的数据同步安全机制,企业用户可以方便而安全地同步和共享文件,企业管理员也可以直观了解系统的运行状态。
【专利说明】
用于企业供应链的数据库管理方法
技术领域
[0001]本发明涉及数据存储,特别涉及一种用于企业供应链的数据库管理方法。
【背景技术】
[0002]云计算在架构实现方面可采用服务计算的技术,将业务功能分解为松耦合、统一标准和接口的服务,满足企业快速构建和响应业务变化、重用原有IT资源、数据共享和供应链业务协同的需求。利用云计算技术和SOA模式构建的企业资源管理系统可以实现企业获取共享资源,降低企业信息化成本,提高其在市场竞争中的核心竞争力。随着互联网的快速发展以及企业信息化程度地不断提高,企业内部在业务快速增长和多样化的同时,数据也在持续不断地在增长。与此同时,针对企业客户的云存储也在蓬勃的发展,选择适合企业内部的数据存储方案,保证数据的安全稳定存储是企业发展的重要保障。然而现有的云存储技术为不同企业所构建的存储系统的可用性,稳定性和可靠性也是参差不齐,并且无法兼顾安全和低成本。例如私有云中,用户可以定义数据的安全等级;但需要企业投入相当的成本才能建立起来并保持稳定运行,存储成本高。
【发明内容】
[0003]为解决上述现有技术所存在的问题,本发明提出了一种用于企业供应链的数据库管理方法,包括:
[0004]在访问云存储平台的数据之前,对用户进行身份验证,以使用户基于被授予的权限来访问数据。
[0005]优选地,所述企业资源云存储平台的服务器端包括数据同步模块,Web服务器,数据存储模块,数据调度引擎,身份与权限认证中心和系统监控模块;其中所述Web服务器为用户通过浏览器访问文件提供支持;数据同步模块负责文件的同步,包括处理上传的新文件,下载更新后的文件,将客户端的更新同步到服务器;将同步请求发送到请求队列中;数据存储模块存储系统中要处理的结构化信息,包括用户的信息,共享文件的共享信息,数据目录的存储位置信息,访问认证信息;负载平衡模块提供于多同步服务请求的应用场景,在用户并发数大于同步目录中的修改和上传操作可接受请求数的情况下,把请求分发到不同的处理器进行处理;数据调度引擎用于根据企业需求将数据文件在公共云和企业云存储中进行存储位置的调度;身份与权限认证中心将用户对公共云和企业云文件的访问进行权限认证;系统监控模块针对系统服务中涉及的网络端口服务数据,数据流量,服务器系统运行状态,应用系统日志进行实时的监控和索引;
[0006]所述身份与权限认证中心对终端用户的认证过程进一步包括:客户端生成一个随机数,然后对其进行签名,在进行哈希摘要后,用认证中心的公钥对摘要进行签名,发送给认证中心;当认证中心收到客户端发来的加密信息后,首先进行解密,然后再用客户端的公钥对签名进行验证;如果解密出来的随机数哈希值和接收到的哈希值相同,则客户端认证通过;认证中心解密出随机数并用客户端公钥加密后,将加密后的信息发送给客户端;客户端用自己的私钥进行解密后,与自己生成的随机数进行比较,如果相等就认为认证中心合法;
[0007]所述身份与权限认证中心包括密钥管理单元、许可证管理单元、许可证验证单元;密钥管理单元为许可证管理单元提供密钥托管和加密密钥提供服务,在服务器上部署密钥数据库,作为集中的数据库系统,为密钥管理单元、许可证管理单元、许可证验证单元提供统一的数据库模块,定期进行数据备份;许可证管理单元负责分发管理许可证;许可证验证单元负责实现许可证申请、审核业务;所述许可证验证单元还基于目录服务,对业务应用系统的用户提供统一身份鉴别和统一用户授权;目录服务中的目录包括ID目录、认证目录和资源目录,ID目录存储身份与管理策略信息,存储有来自企业数据源的全部用户数据和各应用系统ID数据;认证目录提供用户身份认证,存储用户认证所需的信息,是ID目录的子集;资源目录用于存储全面的用户组织架构、授权与角色等信息;资源目录中信息根据类型分类存放,存储企业用户,部门,用户组数据。
[0008]本发明相比现有技术,具有以下优点:
[0009]本发明提出了一种用于企业供应链的数据库管理方法,通过云存储系统的数据同步安全机制,企业用户可以方便而安全地同步和共享文件,企业管理员也可以直观了解系统的运行状态。
【附图说明】
[0010]图1是根据本发明实施例的用于企业供应链的数据库管理方法的流程图。
【具体实施方式】
[0011]下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
[0012]本发明的一方面提供了一种用于企业供应链的数据库管理方法。图1是根据本发明实施例的用于企业供应链的数据库管理方法流程图。
[0013]本发明依据企业资源云存储平台允许企业自定义数据存储的位置,将关键数据存储在企业云存储中,根据业务需求的变化将数据在公共云存储和企业云存储之间调度。企业内部的用户方便地同步和共享文件,企业管理员也可以直观了解系统的运行状态。
[0014]对于云平台服务器端,包括数据同步模块,Web服务器,数据存储模块,数据调度引擎,身份与权限认证中心和系统监控模块;对于用户客户端,包括PC客户端应用和Web应用。PC客户端应用为用户创建虚拟磁盘,挂载在用户选定的位置。该虚拟磁盘用于同步用户的文件,所有用户放在该目录下的文件都同步到服务器上的云端存储,并和服务器的存储内容保持同步更新。Web应用通过网页来访问服务器上的文件。
[0015]服务器端的Web服务器是为用户通过浏览器访问文件提供支持。数据同步模块负责文件的同步,包括处理上传的新文件,下载更新后的文件,将客户端的更新同步到服务器。将同步请求发送到请求队列中,在分布式的环境中,空闲的处理服务器从请求队列中取回请求消息处理结果并将结果返回。数据存储模块存储系统中要处理的结构化信息,包括用户的信息,共享文件的共享信息,数据目录的存储位置信息,访问认证信息。负载平衡模块提供于多同步服务请求的应用场景。在用户并发数大于同步目录中的修改和上传操作可接受请求数的情况下,把请求分发到不同的处理器进行处理。采用请求队列的机制集中处理事务分发的需求。数据调度引擎用于根据企业需求将数据文件在公共云和企业云存储中进行存储位置的调度。身份与权限认证中心将用户对公共云和企业云文件的访问进行权限认证。系统监控模块针对系统服务中涉及的网络端口服务数据,数据流量,服务器系统运行状态,应用系统日志进行实时的监控和索引。
[0016]在数据同步过程中,客户端运行同步进程,该同步进程通过监控线程检测客户端同步目录下的变化,一旦用户存储企业资源文件,则触发同步进程和服务器进行文件的同步。同步进程将用户对文件的更改提交到本地缓存中;同步进程从服务器中下载此数据目录的云端缓存到本地,如果有其它用户或者同一用户使用其它客户端更新了服务器的内容,此云端缓存包含了这一部分的更新;同步进程将下载的云端缓存合并到本地的本地缓存中,这样本地分支也包含服务器上更新的内容;同步进程将本地缓存上传并合并到服务器的云端缓存,这样服务器上云端缓存上就有该用户的更新内容。采用索引文件来缓存在工作流中的每个文件最后一次提交的时间戳,通过时间戳的比较来判断哪些更新是在最近的一次提交之上进行的。然后采用互斥锁机制确保只有一个客户端更新请求能被成功执行,对其它客户端则提示更新失败,未成功更新的客户端重新进行上述更新操作流程。在重新进行的过程中,未成功更新的客户端将最新的更新合并都自己的分支中然后在更新到服务器中。
[0017]对于云平台服务器,其运行同步管理进程来接受数据同步相关的请求,然后将请求发送到请求队列中,空闲的同步处理进程从请求队列中取出请求并处理请求,更新事务的状态,并最后将处理的结果返回给请求用户。客户端发送的请求中包含了用户的认证相关信息,请求的资源存储位置,请求的操作。首先通过身份与权限认证中心来监测请求的合法性,如果是一个新的请求并且请求信息合法,服务器将用户的信息记录在会话中;验证请求的合法性之后,更新请求的状态,如果不合法,将认证失败的信息返回给请求客户端。如果认证通过,则新建一个处理事务,在事务中加入请求的资源信息,资源的存储位置,请求ID的名称,请求数据目录的相关信息。包括名称,上级对象,请求的操作信息。事务的初始化工作完成之后,事务管理器就将事务加入到请求请求队列中,等待事务处理器处理。
[0018]数据存储模块维护数据目录信息表,其存储了数据目录的基本信息,包括存储在云存储的哪个位置,对应的ID名称和容器名称,是否为共享数据目录,上级数据目录的ID。根据组织数据目录的层次嵌套关系,在对数据目录进行转移操作时只更新该层次关系。数据存储模块还维护共享信息表,记录了数据目录的拥有者和共享者信息。当用户共享一个数据目录给其它用户的时候,同时创建一个令牌来授权其共享的用户通过此令牌来访问和修改共享目录中的文件内容。
[0019]数据调度包括公共云和企业云存储之间,以及云端与用户端的数据转移。在初始化事务的时候将事务格式化后放入调度队列中,调度队列是序列化数据调度事务的队列。事务触发器预定义顺序初始化事务,事务按照容器的粒度来进行。从数据库中取出令牌的访问权限信息,然后将JSON格式的事务信息放入调度队列中。从调度队列中取出数据调度的事务,根据事务详细信息,从对应的容器中下载要调度的数据,并将该临时数据存放在一个同名的临时目录下,在对应的企业云存储中或者公共云存储中创建同名容器,然后将下载的文件数据全部上传到该容器中,并在数据库中记录调度数据的状态。如果所有数据的都上传成功则新增一条记录并将成功标记设置为true,如果有失败的上传则终止上传事务并且将该容器的数据调度事务记录的成功标记设置为false。在调度数据队列为空并且事务处理器都空闲的情况下,扫描临时数据库的事务记录表,将失败的调度记录取出并按照和事务触发器同样的逻辑初始化事务,初始化成功之后将事务格式化成JSON格式放入调度数据队列中,重新执行这些失败的调度事务,直到数据的调度成功完成,将数据库中对应的记录更新为成功。调度数据信息记录的记录粒度是取决于容器,如果容器的数据调度事务失败,则重新执行该容器所有的数据调度。
[0020]身份与权限认证中心在入口设置代理,根据请求的目标判断是使用公共云存储还是企业云存储进行认证。对于公共云存储,对于一个容器的数据的访问包含两部分,一个是容器拥有者对该容器数据的访问,一个是非容器拥有者对容器的访问。容器拥有者对容器数据的访问只需要提供该ID的名称和存取密钥。对于非容器拥有者对容器数据的访问,则采用唯一URI,其包含要访问的存储资源信息,开始时间,过期时间,权限控制信息以及签名。预先存储容器的读取策略,该容器下的所有的数据都继承了该读取策略。对于私有云存储,采用租户,用户,角色三个层次对资源的访问权限进行鉴权。
[0021]为了云环境下的客户端的安全性,身份与权限认证中心通过行为及加密机制来提供多层认证、行为分析以及形成数据密文。首先通过认证模块提供用户验证,然后统计模块统计用户行为,确认用户历史安全性。最后基于加密封装过程,将客户数据转换为加密数据,并发送到云端存储。
[0022]对终端用户的认证过程如下:客户端生成一个随机数,然后对其进行签名,在进行哈希摘要后,用认证中心的公钥对摘要进行签名,发送给认证中心。当认证中心收到客户端发来的加密信息后,首先进行解密,然后再用客户端的公钥对签名进行验证。如果解密出来的随机数哈希值和接收到的哈希值相同,则客户端认证通过。认证中心解密出随机数并用客户端公钥加密后,将加密后的信息发送给客户端。客户端用自己的私钥进行解密后,与自己生成的随机数进行比较,如果相等就认为认证中心合法。
[0023]具体地,身份与权限认证中心包括密钥管理单元、许可证管理单元、许可证验证单元。密钥管理单元为许可证管理单元提供密钥托管和加密密钥提供服务,在服务器上部署密钥数据库,作为集中的数据库系统,为密钥管理单元、许可证管理单元、许可证验证单元提供统一的数据库模块,定期进行数据备份。许可证管理单元负责分发管理许可证。许可证验证单元负责实现许可证申请、审核业务。所述许可证验证单元还基于目录服务,对业务应用系统的用户提供统一身份鉴别和统一用户授权。目录服务包括ID目录、认证目录和资源目录,ID目录存储身份与管理策略信息,存储有来自企业数据源的全部用户数据和各应用系统ID数据。认证目录提供用户身份认证,存储用户认证所需的信息,是ID目录的子集。资源目录用于存储全面的用户组织架构、授权与角色等信息。资源目录中信息根据类型分类存放,存储企业用户,部门,用户组数据。
[0024]其中,统计用户行为,确认用户历史安全性,具体为:(I)用户发出资源访问申请,认证中心首先对其进行身份验证,若验证失败则直接拒绝其访问请求,身份验证成功的用户交由统计模块进行用户行为认证;(2)统计模块查询安全性数据库所存储的用户当前信任值,判定其行为安全等级,并依据安全等级授予其相应的服务等级和访问权限,如果用户低于最低服务等级则拒绝其访问请求;(3)在用户的访问过程中,认证中心的行为获取模块实时监控用户的操作行为,获取用户行为;(4)行为处理模块将获取的用户行为进行标准量化处理;(5)将标准化后的行为向量,保存在行为数据库中;(6)利用行为数据库中的行为向量综合评估用户行为安全性;(7)将用户不同时间段的行为可信度量存入安全性数据库;
(8)统计模块读取信任数据库中的用户行为可信度量,实时确定用户当前的安全等级,并为其动态分配相应的服务等级和操作权限;(9)将用户的信任状态实时反馈给用户,提示其被授权的访问行为。
[0025]所述基于加密封装过程,将客户数据转换为加密数据,进一步包括,将用户私钥对应于属性集合,解密后,仅当用户拥有的属性集合满足此密文对应的访问结构时才可获得明文:
[0026]数据拥有者产生主密钥及公钥,之后用户对公钥进行签名,然后将公钥与签名发送给服务器,自己存储主密钥。当新用户加入系统时,系统为每个用户的属性设置一个属性集,并且为其生成私钥。然后客户端在上传文件时制定文件存取策略,系统根据当前的存取策略对文件进行加密,加密之后得到密文数据。当用户加密的属性满足了存取策略,系统就可以根据解密算法对加密之后的文件进行解密成明文数据。
[0027]综上所述,本发明提出了一种用于企业供应链的数据库管理方法,通过云存储系统的数据同步安全机制,企业用户可以方便而安全地同步和共享文件,企业管理员也可以直观了解系统的运行状态。
[0028]显然,本领域的技术人员应该理解,上述的本发明的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或者分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可执行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来执行。这样,本发明不限制于任何特定的硬件和软件结合。
[0029]应当理解的是,本发明的上述【具体实施方式】仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
【主权项】
1.一种用于企业供应链的数据库管理方法,应用于企业资源云存储平台,其特征在于,包括: 在访问云存储平台的数据之前,对用户进行身份验证,以使用户基于被授予的权限来访问数据。2.根据权利要求1所述的方法,其特征在于,所述企业资源云存储平台的服务器端包括数据同步模块,Web服务器,数据存储模块,数据调度引擎,身份与权限认证中心和系统监控模块;其中所述Web服务器为用户通过浏览器访问文件提供支持;数据同步模块负责文件的同步,包括处理上传的新文件,下载更新后的文件,将客户端的更新同步到服务器;将同步请求发送到请求队列中;数据存储模块存储系统中要处理的结构化信息,包括用户的信息,共享文件的共享信息,数据目录的存储位置信息,访问认证信息;负载平衡模块提供于多同步服务请求的应用场景,在用户并发数大于同步目录中的修改和上传操作可接受请求数的情况下,把请求分发到不同的处理器进行处理;数据调度引擎用于根据企业需求将数据文件在公共云和企业云存储中进行存储位置的调度;身份与权限认证中心将用户对公共云和企业云文件的访问进行权限认证;系统监控模块针对系统服务中涉及的网络端口服务数据,数据流量,服务器系统运行状态,应用系统日志进行实时的监控和索引; 所述身份与权限认证中心对终端用户的认证过程进一步包括:客户端生成一个随机数,然后对其进行签名,在进行哈希摘要后,用认证中心的公钥对摘要进行签名,发送给认证中心;当认证中心收到客户端发来的加密信息后,首先进行解密,然后再用客户端的公钥对签名进行验证;如果解密出来的随机数哈希值和接收到的哈希值相同,则客户端认证通过;认证中心解密出随机数并用客户端公钥加密后,将加密后的信息发送给客户端;客户端用自己的私钥进行解密后,与自己生成的随机数进行比较,如果相等就认为认证中心合法; 所述身份与权限认证中心包括密钥管理单元、许可证管理单元、许可证验证单元;密钥管理单元为许可证管理单元提供密钥托管和加密密钥提供服务,在服务器上部署密钥数据库,作为集中的数据库系统,为密钥管理单元、许可证管理单元、许可证验证单元提供统一的数据库模块,定期进行数据备份;许可证管理单元负责分发管理许可证;许可证验证单元负责实现许可证申请、审核业务;所述许可证验证单元还基于目录服务,对业务应用系统的用户提供统一身份鉴别和统一用户授权;目录服务中的目录包括ID目录、认证目录和资源目录,ID目录存储身份与管理策略信息,存储有来自企业数据源的全部用户数据和各应用系统ID数据;认证目录提供用户身份认证,存储用户认证所需的信息,是ID目录的子集;资源目录用于存储全面的用户组织架构、授权与角色等信息;资源目录中信息根据类型分类存放,存储企业用户,部门,用户组数据。
【文档编号】G06F17/30GK106095954SQ201610424231
【公开日】2016年11月9日
【申请日】2016年6月14日 公开号201610424231.4, CN 106095954 A, CN 106095954A, CN 201610424231, CN-A-106095954, CN106095954 A, CN106095954A, CN201610424231, CN201610424231.4
【发明人】郭建锋
【申请人】成都镜杰科技有限责任公司