技術領域

本發(fā)明屬于云計算機技術領域，尤其是一種多租戶結構中對自定義數(shù)據(jù)庫訪問的控制方法和裝置。

背景技術

多租戶架構可以將數(shù)據(jù)采用共享數(shù)據(jù)庫共享表的方式高度共享的存儲，其架構在數(shù)據(jù)存儲中對資源進行共享。多租戶架構應用不僅僅能以共享的方式提供服務，還可以為租戶的個性化需求服務。其中，租戶個性化需求對應的數(shù)據(jù)庫稱為自定義數(shù)據(jù)庫。為了滿足擁有數(shù)據(jù)存儲的高度共享性，又能極大程度的滿足租戶靈活的個性化需求，常常采用擴展表數(shù)據(jù)模型、鍵值對數(shù)據(jù)模型等類似數(shù)據(jù)模型。這類存儲模型是將租戶自定義數(shù)據(jù)的元數(shù)據(jù)，如表名、字段名、字段長度等，與租戶自定義數(shù)據(jù)的值數(shù)據(jù)分離存儲。元數(shù)據(jù)和值數(shù)據(jù)均以數(shù)據(jù)記錄的形式存放在多租戶數(shù)據(jù)庫中。

然而，現(xiàn)有的數(shù)據(jù)庫管理系統(tǒng)的訪問控制體系不能對以數(shù)據(jù)記錄形式存儲在租戶自定義數(shù)據(jù)庫中的數(shù)據(jù)的操作請求不能進行安全判斷，這是租戶自定義數(shù)據(jù)庫面臨的安全問題。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種租戶對自定義數(shù)據(jù)訪問的控制方法、裝置和系統(tǒng)，以解決現(xiàn)有的多租戶結構中對自定義數(shù)據(jù)庫的操作缺乏安全控制的技術缺陷。

為此，本發(fā)明一方面提供了一種租戶對自定義數(shù)據(jù)庫訪問的控制方法，包括：

根據(jù)租戶上傳的包含元數(shù)據(jù)的數(shù)據(jù)存儲需求，配置租戶自定義數(shù)據(jù)庫中對元數(shù)據(jù)的訪問控制策略；

接收租戶發(fā)送的包含元數(shù)據(jù)的操作請求，根據(jù)所述訪問控制策略判斷操作請求是否合法：如果合法，則將該操作請求提交至租戶數(shù)據(jù)庫中執(zhí)行并將結果返回給租戶；否則，不允許提交操作請求。

在一個實施方式中，所述租戶通過租戶數(shù)據(jù)庫服務提交所述數(shù)據(jù)存儲需求。

在一個實施方式中，所述數(shù)據(jù)存儲需求還包含租戶信息，以及對所述租戶信息標記是否需要進行訪問控制的標記信息；

在所述根據(jù)所述訪問控制策略判斷操作請求是否合法的步驟之前，還包括根據(jù)所述標記信息判斷是否需要進行訪問控制，如果是，則根據(jù)所述訪問控制策略判斷操作請求是否合法。

在一個實施方式中，所述元數(shù)據(jù)包含自定義數(shù)據(jù)的表名、表屬性、字段名、字段屬性、取值范圍、有效期和訪問權限中的一種或多種。

在一個實施方式中，所述根據(jù)所述訪問控制策略判斷操作請求是否合法的步驟包括：

從所述操作請求中獲取對應的元數(shù)據(jù)和操作要求；

查詢該元數(shù)據(jù)對應的操作權限；

判斷所述操作要求是否位于所述操作權限內(nèi)，如果是，則判斷該操作請求合法，否則，判斷該操作請求不合法。

一種租戶對自定義數(shù)據(jù)庫訪問的控制裝置，包括：

元數(shù)據(jù)庫權限池，用于根據(jù)租戶上傳的包含自定義表信息、字段信息、有效期中一種或多種的數(shù)據(jù)存儲需求，配置自定義數(shù)據(jù)庫中對元數(shù)據(jù)的訪問控制策略；

判斷模塊，用于接收租戶的操作請求，根據(jù)所述訪問控制策略判斷操作請求是否合法；如果合法，則將該操作請求提交至租戶數(shù)據(jù)庫中執(zhí)行并將結果返回給租戶；否則，不允許提交操作請求。

在一個實施方式中，所述租戶通過租戶數(shù)據(jù)庫服務提交所述數(shù)據(jù)存儲需求。

在一個實施方式中，還包括：

租戶管理模塊用于存儲租戶信息，以及對所述租戶信息標記是否需要進行訪問控制進行標記；

訪問控制模塊：用于在所述根據(jù)所述訪問控制策略判斷操作請求是否合法的步驟之前，根據(jù)所述標記信息判斷是否需要進行訪問控制，如果是，則根據(jù)所述訪問控制策略判斷操作請求是否合法。

在一個實施方式中，所述元數(shù)據(jù)包含自定義數(shù)據(jù)的表名、表屬性、字段名、字段屬性、取值范圍、有效期和訪問權限中的一種或多種。

一種租戶對自定義數(shù)據(jù)庫訪問的控制系統(tǒng)，包括租戶、租戶數(shù)據(jù)庫，以及訪問控制模塊，所述租戶和租戶數(shù)據(jù)庫分別與所述訪問控制模塊連接，其中，所述訪問控制模塊包括：

通訊模塊，分別與所述租戶和租戶數(shù)據(jù)庫連接交互；

元數(shù)據(jù)庫權限池，用于存儲需要進行自定義數(shù)據(jù)庫訪問控制的租戶的元數(shù)據(jù)；

訪問控制模塊，用于根據(jù)所述元數(shù)據(jù)庫權限池判斷從所述通訊模塊接收的操作請求是否合法。

與現(xiàn)有技術相比，本發(fā)明所述的方法、裝置和系統(tǒng)通過數(shù)據(jù)存儲需求配置對應的訪問控制策略，根據(jù)操作請求中的元數(shù)據(jù)來判斷該操作請求是否合法并作出對應的處理，從而使得自定義數(shù)據(jù)能夠得到完善的訪問控制，有效保障數(shù)據(jù)訪問控制安全。

附圖說明

圖1是本發(fā)明所述租戶對自定義數(shù)據(jù)庫訪問的控制系統(tǒng)的一實施方式的結構示意圖；