[发明专利]一种列级的hive访问控制系统及方法

权利要求书

1.一种列级的hive访问控制系统，其特征在于，所述系统包括操作模块、hive语句解析模块、基于角色的粗粒度访问控制模块、基于属性的细粒度访问控制模块；

操作模块用于向数据访问请求者暴露接口，接受数据访问请求者登录、业务处理、数据处理的请求，其中所述接口包括：命令行、网页端用户接口及客户端；操作模块面向管理员和数据访问请求者，其中，操作模块赋予管理员操作角色、配置安全策略与操作权限的途径；操作模块为数据访问请求者提供数据读写的途径；

hive语句解析模块用于对数据访问请求者的访问请求进行解析获取数据访问请求者的用户名，同时还通过对hive数据库语句的词法和语法解析获得数据访问请求者请求访问的目标数据类型，其中，所述目标数据类型包括数据库、数据表、数据表列；

基于角色的粗粒度访问控制模块用于存储数据访问请求者和管理员的注册信息，同时还用于根据数据访问请求者的注册信息和操作判断数据访问请求是否合法，以及对于访问请求合法的数据访问请求者数据访问请求者注册时绑定角色并提交访问请求后，判断数据访问请求者的身份及操作请求是否合法，若所述数据访问请求者的身份和操作请求有一项不合法，则拒绝数据访问请求者的操作请求；若所述数据访问请求者的身份和操作请求皆合法，则判断数据访问请求者请求访问的目标数据是否为数据表列，若所述目标数据为数据表列则进入基于属性的细粒度访问控制模块，若所述目标数据为数据库和数据表，则直接执行数据访问请求者的操作请求；其中，所述判断数据访问请求者的身份和操作请求是否合法的方法具体包括：管理员设定角色组并分别为每组角色授权，数据访问请求者在注册时绑定角色，若数据访问请求者已注册、在有效期内、没有被拉黑，则数据访问请求者身份合法，反之据访问请求者身份不合法；通过数据访问者的的用户名获取数据访问请求者所属的角色类别，根据所述角色类别获取数据访问请求者的权限集合，若数据访问请求者的操作请求在所述权限集合范围内则数据访问请求者的操作请求合法，反之数据访问请求者的操作请求不合法；

基于属性的细粒度访问控制模块用于完成经基于角色的粗粒度访问控制后的基于属性的细粒度访问控制；基于属性的细粒度访问控制模块接收到来自基于角色的粗粒度访问控制模块传送的数据访问请求者的身份及访问的目标数据后，结合所述数据访问请求者的访问请求做出决策，并将访问结果返回给数据访问请求者。

2.如权利要求1所述的一种列级的hive访问控制系统，其特征在于，hive的客户端是JDBC/ODBC，通过ThriftServer组件由编程方式访问hive。

3.如权利要求1所述的一种列级的hive访问控制系统，其特征在于，所述语句为，hive语句解析模块使用Antlr工具解析数据访问请求者的用户名及请求操作的目标数据，其中Antlr为语言识别工具。

4.如权利要求1所述的一种列级的hive访问控制系统，其特征在于，所述基于属性的细粒度访问控制模块包括PEP、PDP、PIP、PAP，其中，PEP为策略实施点，PDP为策略决策点，PIP为策略信息点，PAP策略管理点。

5.如权利要求4所述的一种列级的hive访问控制系统，其特征在于，PEP接收数据访问请求者的操作请求后PEP将所述请求根据安全策略格式进行重构，并将重构后的请求发送至PDP，PDP根据所述请求从PAP处查找并获取权限策略文件、从PIP处查找策略文件中定义的用户属性、资源属性、环境属性后，结合所述请求做出决策，并将决策结果返回至PEP，在PEP出根据决策结果向数据访问请求者返回访问结果，所述用户为发起数据访问请求的主体；所述资源是按照三种授权粒度划分出的数据表列范围；环境为用户操作的上下文内容。

6.如权利要求5所述的一种列级的hive访问控制系统，其特征在于，所述用户属性包括身份、角色、职位、年龄；所述资源属性包括资源所属、资源类型；所述环境属性包括系统时间、系统状态、地理位置。

7.如权利要求5所述的一种列级的hive访问控制系统，其特征在于，所述授权粒度为线性表、集合和树。