[发明专利]基于终端用户的数据库细粒度访问控制方法

说明书

本发明涉及一种基于终端用户的数据库细粒度访问控制方法，属于数据库安全防护技术领域。本发明通过识别合法终端用户阻止非法访问用户，同时通过对终端用户发起的数据库访问请求语句加载细粒度访问控制规则来达到对终端用户的细粒度访问请求控制能力。该方法实现的访问权限控制可以实现对终端用户进行身份认证，能够在不对数据进行加解密的条件下对终端用户进行行列级的数据库细粒度访问控制，有效增强了数据库防护能力，维护了信息系统安全。

技术领域

本发明涉及数据库安全防护技术领域，具体涉及一种基于终端用户的数据库细粒度访问控制方法。

背景技术

随着信息技术的发展，数据库在各行各业得到了越来越广泛的应用。数据库在承载重要数据的同时，也日益成为不法分子的重要攻击目标。为了提高数据库的安全防护能力，可在现有的数据库安全机制基础上根据不同的终端用户所拥有的不同数据访问权限进行数据细粒度访问控制来增强数据库抵御风险的能力。

基于终端用户的数据库细粒度访问控制技术通过识别发起数据库访问请求的终端用户，并以此根据不同终端用户的数据访问权限加载数据库行列级数据访问控制规则来实现数据库访问控制能力。通过此项技术，可以精确控制终端用户访问核心数据的范围，为保护核心数据安全提供有效防护手段。

目前开展数据库安全防护研究主要有以下几种思路：一是直接在数据库上进行数据加解密控制，可分为对整个数据库、数据库中的表以及表中的数据等进行加解密，保证数据安全；二是采用中间件的方式，在用户和数据库之间加入访问控制中间件，通过加解密数据、表级访问权限控制等实现数据库访问控制；三是采用类似网络防火墙原理方式在应用服务器和数据库之间串联数据库防火墙，实现对数据库用户访问数据库的阻断、返回数据限制等访问控制；但目前的研究还存在以下不足：数据库加解密过程往往比较耗费计算资源，而且加密后的数据列往往无法正常索引，影响数据库检索结果；未能实现行列级数据的访问控制；无法实现对终端用户的数据库访问控制。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何设计一种基于终端用户的数据库细粒度访问控制方法，有效增强数据库防护能力，维护信息系统安全。

(二)技术方案

为了解决上述技术问题，本发明提供了一种基于终端用户的数据库细粒度访问控制方法，其包括以下步骤：

步骤1：配置合法的终端用户，创建数据库访问控制规则

数据库访问控制规则用于实现行列级数据的权限控制，根据数据保护方式的不同包括列控制规则、行控制规则和字段数据控制规则，每类规则又包括四部分，即表名、操作权限、保护数据以及防护要求；

步骤2：创建角色，完成基于角色的数据库访问控制规则授权

创建不同的角色，并将终端用户与角色、角色与数据库访问控制规则相关联，完成基于角色的数据库访问控制规则授权；

步骤3：拦截数据库访问请求，获得终端用户身份信息

在应用系统响应终端用户操作并发起数据库访问请求时，拦截应用系统发出的数据库访问请求，并获得该终端用户身份信息；

步骤4：将获得的终端用户身份信息加载到拦截的数据库访问请求语句中；

步骤5：解析数据库访问请求语句，实现对终端用户身份信息的提取和数据库访问请求语句解析，以便后续基于终端用户进行数据库访问控制规则加载；

步骤6：对提取到的终端用户身份信息进行合法身份认证，根据身份认证结果确定是否允许继续访问，如果身份验证通过，则放行该数据库访问请求，继续执行步骤7，否则阻止继续访问，返回结果；