[发明专利]一种基于多策略融合的数据库访问控制方法

权利要求书

1.一种基于多策略融合的数据库访问控制方法，对多安全级别数据库系统进行访问控制，包括以下步骤：

(1)数据库请求

当有用户访问数据库资源时，访问监控器拦截来自用户的数据库访问请求，将数据库访问请求发送到系统访问控制组件；

(2)消息解析

系统访问控制组件收到数据库访问请求后，将访问请求交与消息解析模块进行解析，得出包含有用户身份信息、资源表示和用户动作的安全信息，并调用决策引擎进行鉴权操作；

(3)访问鉴权

通过RBAC模块查询角色库来判断用户所对应的角色是否对于要访问的数据库表有相应的访问权限；在所述角色库中，赋予了用户相应的一种或多种角色权限；

如果没有访问权限，则拒绝访问；

如果有访问权限，则再由BLP模块查询标签库判断用户对要访问数据库表中字段的操作权限，在所述标签库中，访问的主体、客体均被分配有标识安全级别的标签；如果有操作权限则通过数据库访问组件进行数据库操作，并将结果返回给用户；

(4)审计记录

当系统访问控制组件完成了对数据库访问请求鉴权，并返回结果时，将访问日志写入审计中心；如果鉴权失败，则给出相应预警信息。

2.根据权利要求1所述的基于多策略融合的数据库访问控制方法，其特征在于：在步骤(2)中，系统访问控制组件优先判断当前请求操作用户是否有用户订制策略，如果有用户订制则通过查看用户订制表返回鉴权结果。

3.根据权利要求1所述的基于多策略融合的数据库访问控制方法，其特征在于：在步骤(3)中，对所述访问权限和操作权限进行冲突检测，如果有冲突则告警并计入审计，但多策略的冲突不影响访问控制的判定执行。

4.根据权利要求3所述的基于多策略融合的数据库访问控制方法，其特征在于：

如果为用户配置一条RBAC策略，先检测该RBAC策略涉及的访问权限与用户已有的访问权限是否有冲突；有冲突则告警并记入审计；没有则继续检测该RBAC策略与用户对应BLP策略集是否有冲突，有冲突则告警并计入审计，没有冲突则将策略写入策略数据库；

如果更改BLP配置，则对全局策略进行检测，检测主体BLP策略集和其RBAC策略集是否存在冲突，记录所有的策略冲突，告警并计入审计。