[发明专利]一种基于PBAC模型的云数据库访问控制模型

权利要求书

1.一种基于PBAC模型的云数据库访问控制模型，其特征在于包括如下步骤：

(1)首先根据用户的历史访问记录，使用关联规则挖掘的方法，构造出用户访问的目的 规则集。在构造阶段，使用规则完整性和互斥性检测算法来检查每条插入的规则，以保证规 则集的逻辑安全性；

(2)当用户发起新的访问请求时，根据用户的请求内容以及用户所处的上下文环境变量 来触发目的规则集中相应的规则，将规则头部的访问目的分配给用户，作为本次请求的访问 目的；

(3)访问控制模型根据用户提出的访问请求，向云数据库下发检查访问目的的任务。如 果请求中的目标是数据表或者数据列，则在主节点中执行任务，如果目标是数据项，则在数 据节点中执行。在执行过程中，如果用户的访问目的等于或者小于数据的允许访问目的，则 允许用户的本次访问请求，否则拒绝该次请求。

2.如权利要求1的一种基于PBAC模型的云数据库访问控制模型，其特征要根据用户的 历史访问记录构造用户的访问目的规则集，包括以下步骤：

步骤一、从用户的访问记录中提取出访问目的，作为规则的头部。将访问记录中的其他 条件作为规则的规则体部分。步骤二、在模型将每条访问记录构造成一条规则后，使用关联 规则挖掘算法，从而得到频繁规则集。步骤三、对频繁规则集中的每条规则进行完整性和互 斥性检查，如果不满足上述检查，则通过规则剪裁和拆分手段来保证新插入的规则不会破坏 规则集的完整性和互斥性。

3.如权利要求1所述的一种基于PBAC模型的云数据库访问控制模型，其特征在于，在 用户向数据库发起一个新的请求时，还需要：

将用户当前的上下文信息存入上下文数据字典，并根据上下文信息以及用户发起的请求 信息作为触发规则的条件。将被触发规则的规则头作为用户本次请求的访问目的。在规则触 发阶段，根据每条规则的规则体包含的不同条件，构造了一张快速索引表，该表标记了每条 规则由哪几种条件构成。在规则匹配时，不需要逐条匹配，而是首先根据索引表筛选出与当 前用户的上下文数据字典一致的规则，再进行逐条匹配。

4.如权利要求1所述的一种基于PBAC模型的云数据库访问控制模型，其特征在于，模 型执行访问控制阶段包括以下步骤：

步骤一、根据用户的请求数据，将查询计划下发到云数据库的各节点中。其中，对数据 表和数据列的请求，将任务下发到主节点(NameNode)，对数据项的请求，将任务下发到数据 节点(DataNode)。步骤二、将用户被分配的访问目的和数据允许的访问目的相比较，如果两 者相等，或者两者在系统的目的树下满足从属关系，允许本次操作，否则，拒绝该次操作。 步骤三、将访问控制结果反馈到数据库管理系统中。