[发明专利]一种数据库权限管理方法

说明书

本发明提出了一种数据库权限管理方法及系统，通过创建三个管理用户，分别为系统管理员、安全管理员和审计员，三个管理用户分别具有不同的管理权限，相互制约，系统安全员给每个业务用户分配安全角色，每个安全角色有不同的权限，用户只有通过应用系统提供的安全凭证(例如口令或者数字证书)激活安全角色，才能访问数据库。本发明为数据库的权限管理提供了一种更加安全便捷的管理思路，具有良好的安全性能和应用前景。

技术领域

本发明涉及数据库安全管理技术领域，尤其涉及一种数据库权限管理方法。

背景技术

传统的数据库系统中，都存在root管理员，root管理员拥有数据库的所有权限，也就是说，一旦root管理员的账号被盗取，数据库内的任何数据都将被泄露。为避免root管理员的权限过大，进一步提高数据库的安全性能以及日常安全管理，我们需要对数据库权限实施分散化管理。

传统数据库中，用户输入用户名和密码后就能访问数据库，对于多层结构的应用系统来说，这些系统都是用单个共享用户连接数据库，一方面，该用户的口令以不安全的方式存储在服务器上，易于泄漏，另一方面，该用户权限过大，不利于不同应用系统之间权限的分离。

发明内容

有鉴于此，本发明提出了一种能够有效削弱、分散root管理员权限，同时将用户访问权限和应用系统安全凭证(例如口令或者数字证书)相关联的数据库权限管理方法及系统。

本发明的技术方案是这样实现的：本发明提供了一种数据库权限管理方法，包括如下步骤：

步骤一、在系统初始化时预创建三个用户，分别为系统管理员、安全管理员和审计员；

步骤二、在系统初始化时预创建三个安全属性，将三个安全属性分别授予系统管理员、安全管理员和审计员，三个安全属性分别对应三个子系统的管理权限；

步骤三、在系统初始化时将数据表的所有权限分配给安全管理员，安全管理员用于转授权限；

步骤四、在系统初始化时禁用系统原有超级用户root；

步骤五、系统管理员创建用户和数据库表以及系统资源，安全管理员为用户分配数据库权限，并将安全角色指派给用户；

步骤六、安全管理员配置数据库访问控制策略，安全管理员为安全角色配置角色激活凭证要求；

步骤七、用户连接数据库，并利用安全管理员配置的角色激活凭证要求激活安全角色，并进行数据访问；

步骤八、审计员对用户、系统管理员和安全管理员的操作记录进行查看。

在以上技术方案的基础上，优选的，步骤二中，所述三个安全属性分别为系统管理员安全属性、安全管理员安全属性和审计员安全属性。

在以上技术方案的基础上，优选的，步骤二中，所述系统管理员用于管理数据库系统内所有资源的创建、自主访问控制权限的授予和角色分配，系统管理员具有系统管理员安全属性，只能执行系统管理操作，不能访问数据库数据。

在以上技术方案的基础上，优选的，步骤二中，所述安全管理员用于管理属性访问控制，指定用户、数据库和表的属性，制定安全访问控制策略，安全管理员具有安全管理员安全属性，只能执行安全管理操作，不能访问数据库数据。

更进一步优选的，步骤二中，审计员负责审计数据库内所有用户的操作，所有用户包括系统管理员和安全管理员，审计员具有审计员安全属性，只能执行审计操作，不能访问数据库数据。

在以上技术方案的基础上，优选的，三个安全属性互不兼容，系统管理员、安全管理员和审计员的权限是相互独立的，具有安全属性的用户只能进行管理操作，不能访问数据库表数据。