[发明专利]基于终端用户的数据库细粒度访问控制方法

权利要求书

1.一种基于终端用户的数据库细粒度访问控制方法，其特征在于，包括以下步骤：

步骤1：配置合法的终端用户，创建数据库访问控制规则

数据库访问控制规则用于实现行列级数据的权限控制，根据数据保护方式的不同包括列控制规则、行控制规则和字段数据控制规则，每类规则又包括四部分，即表名、操作权限、保护数据以及防护要求；

步骤2：创建角色，完成基于角色的数据库访问控制规则授权

创建不同的角色，并将终端用户与角色、角色与数据库访问控制规则相关联，完成基于角色的数据库访问控制规则授权；

步骤3：拦截数据库访问请求，获得终端用户身份信息

在应用系统响应终端用户操作并发起数据库访问请求时，拦截应用系统发出的数据库访问请求，并获得该终端用户身份信息；

步骤4：将获得的终端用户身份信息加载到拦截的数据库访问请求语句中；

步骤5：解析数据库访问请求语句，实现对终端用户身份信息的提取和数据库访问请求语句解析，以便后续基于终端用户进行数据库访问控制规则加载；

步骤6：对提取到的终端用户身份信息进行合法身份认证，根据身份认证结果确定是否允许继续访问，如果身份验证通过，则放行该数据库访问请求，继续执行步骤7，否则阻止继续访问，返回结果；

步骤7：利用步骤2完成的访问控制规则授权结果根据终端用户身份信息进行角色查询，并基于查询到的角色搜索分配给该角色的数据库访问控制规则；

步骤8：根据步骤7查询到的数据库访问控制规则对步骤5成功解析完成的数据库访问请求语句进行改写，加载数据库访问控制规则生成新的数据库访问请求语句；

步骤9：执行所述新的数据库访问请求语句，返回执行结果；

所述数据库访问控制规则包括表1的内容：

表1

其中,“TABLE1”表示要保护的数据表；

“SELECT”表示对被保护数据仅有查询操作权限；

“attr1,attr2”是针对表TABLE1需要进行整列保护的列属性名，以“，”相隔；

“返回***”表示当未授权终端用户访问被保护的数据时，按照防护要求指定的返回形式返回数据，这里返回“***”代替被防护数据；

“key_a,key_b”是针对表TABLE1需要进行整行保护的行数据关键字，以“，”相隔；

“attr3:key_c,attr4:key_d”是针对表TABLE1需要进行字段数据保护的配置数据，其中，attr3表示表TABLE1中的列属性名，key_c表示需要被保护字段数据的行数据关键字，attr3:key_c两者结合起来可确定需要被保护的字段数据，attr4:key_d可确定另一个需要被保护的字段数据，不同字段数据同样以“，”相隔；

针对可能出现规则冲突的情况，即已配置对表TABLE1的列attr1仅具有SELECT权限，又同时配置对表TABLE1的行key_a仅具有DELETE权限，此时字段数据attr1:key_a既仅有SELECT权限又仅有DELETE权限，出现矛盾，此时通过设置规则优先级来解决，即规定针对列的保护优先于行保护。

2.如权利要求1所述的方法，其特征在于，步骤3中，通过改造应用系统登陆页面获得终端用户对应应用系统的真实的终端用户信息。

3.如权利要求1所述的方法，其特征在于，步骤4中，终端用户身份信息采用注释形式注入到数据库访问请求语句中。

4.如权利要求1所述的方法，其特征在于，步骤5中，所述数据库访问请求语句解析包括词法、语法和语义分析。

5.如权利要求1所述的方法，其特征在于，步骤6中，通过与步骤1中配置的合法终端用户解析比对分析，验证从步骤5中提取的终端用户身份信息是否合法。

6.如权利要求1至5中任一项所述的方法，其特征在于，步骤9中，将加载了数据库访问控制规则的新的数据库访问请求语句发送给数据库，执行新的数据库访问请求语句，并将执行结果返回。