[发明专利]基于身份和规则的数据库访问控制方法

说明书

技术领域

本发明属于数据库安全防护技术领域，特别是一种基于身份和规则的数据库访问控制方法。

背景技术

随着信息技术的发展，数据库在各行各业得到了更加广泛的应用。数据库在承载信息系统核心数据的同时，也日益成为数据窃取者的重点攻击目标。为了提高数据库的安全防护能力，可在现行数据库已有的安全机制基础上通过增加身份认证和细粒度的访问控制规则来阻止数据库非法访问请求保护数据。

基于身份和规则的数据库访问控制技术通过对数据库访问请求者身份信息进行预先设置来阻止非法用户请求，同时结合行列级的数据访问权限控制规则来实现细粒度的访问请求控制。通过综合访问请求身份信息验证、数据访问权限验证等识别非法请求从而增强数据库防护能力，维护信息系统安全。

目前开展数据库访问控制研究主要有两条思路：一是采用中间件的方式，在用户和数据库之间加入访问控制中间件，通过加解密数据、表级访问权限控制等实现数据库访问控制；二是直接在数据库上进行数据加解密控制，可分为对整个数据库、数据库中的表以及表中的数据等进行加解密，保证数据安全。但目前的研究还存在以下不足：

对数据库访问请求仅采用简单的用户合法性验证；数据库加解密过程往往比较耗费计算资源，而且加密后的数据列往往无法正常索引，影响数据库检索结果；需要进行SQL语句解析，而目前SQL语句解析无法做到完全正确导致数据库访问控制失败；未能实现行列级数据的访问控制。

发明内容

本发明公开了一种基于身份和规则的数据库访问控制方法，用于解决上述现有技术的问题。

本发明的一种基于身份和规则的数据库访问控制方法，其中，包括：步骤1：配置数据库合法访问者；步骤2：创建数据库访问控制规则；步骤3：截获数据库访问请求并对访问请求发起者身份信息进行验证，根据身份验证结果确定是否允许继续访问；如果身份验证通过，则放行该访问请求，否则终止该访问请求；步骤4：如果数据库访问身份请求获得通过，则验证访问身份的访问控制规则，如通过验证，则执行数据请求。

根据本发明的基于身份和规则的数据库访问控制方法，其中，数据库访问控制规则主要由访问控制视图来完成对数据库表的行列级数据进行增、删、改和查访问权限控制.

根据本发明的基于身份和规则的数据库访问控制方法，其中，如果数据库访问身份请求获得通过，则验证访问身份的访问控制规则，如通过验证，则执行数据请求，否则屏蔽被保护的数据

根据本发明的基于身份和规则的数据库访问控制方法，其中，步骤1还包括：将用户与身份认证特征标识和角色进行绑定。

根据本发明的基于身份和规则的数据库访问控制方法，其中，步骤2包括：创建角色，以及角色对应的操作权限。

根据本发明的基于身份和规则的数据库访问控制方法，其中，步骤2还包括：创建数据库访问控制表，该数据库访问控制表的表项包括：角色、操作权限、可访问的被保护行以及可访问的被保护列。

本发明通过对数据库访问请求者身份信息进行预先设置来阻止非法访问用户，同时结合行列级数据的访问权限控制规则来实现细粒度的访问请求控制。通过综合访问请求身份信息验证、行列级的数据访问权限验证等识别非法请求从而增强数据库防护能力，维护信息系统安全。

附图说明

图1所示为本发明基于身份和规则的数据库访问控制方法的流程图；

图2所示为配置数据库访问请求用户并赋予角色的示意图；

图3所示为数据库访问控制规则创建过程的示意图；

图4所示为数据库访问请求身份验证流程图。

具体实施方式

为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

图1所示为本发明基于身份和规则的数据库访问控制方法的流程图，如图1所示，本发明基于身份和规则的数据库访问控制方法包括：

步骤1：配置数据库合法访问者；

步骤2：创建数据库访问控制规则；

步骤3：截获数据库访问请求并对访问请求发起者身份信息进行验证，根据身份验证结果确定是否允许继续访问。如果身份验证通过，则放行该访问请求，否则终止该访问请求。通过对数据库访问请求者身份进行验证可以有效阻止非法用户访问数据库；

步骤4：如果数据库访问身份请求获得通过，则还需要验证步骤2创建的访问控制规则。数据库访问控制规则主要由访问控制视图来完成对数据库表的行列级数据进行增、删、改、查等访问权限控制；