技術領域

本發明屬于數據庫安全防護技術領域，特別是一種基于身份和規則的數據庫訪問控制方法。

背景技術

隨著信息技術的發展，數據庫在各行各業得到了更加廣泛的應用。數據庫在承載信息系統核心數據的同時，也日益成為數據竊取者的重點攻擊目標。為了提高數據庫的安全防護能力，可在現行數據庫已有的安全機制基礎上通過增加身份認證和細粒度的訪問控制規則來阻止數據庫非法訪問請求保護數據。

基于身份和規則的數據庫訪問控制技術通過對數據庫訪問請求者身份信息進行預先設置來阻止非法用戶請求，同時結合行列級的數據訪問權限控制規則來實現細粒度的訪問請求控制。通過綜合訪問請求身份信息驗證、數據訪問權限驗證等識別非法請求從而增強數據庫防護能力，維護信息系統安全。

目前開展數據庫訪問控制研究主要有兩條思路：一是采用中間件的方式，在用戶和數據庫之間加入訪問控制中間件，通過加解密數據、表級訪問權限控制等實現數據庫訪問控制；二是直接在數據庫上進行數據加解密控制，可分為對整個數據庫、數據庫中的表以及表中的數據等進行加解密，保證數據安全。但目前的研究還存在以下不足：

對數據庫訪問請求僅采用簡單的用戶合法性驗證；數據庫加解密過程往往比較耗費計算資源，而且加密后的數據列往往無法正常索引，影響數據庫檢索結果；需要進行SQL語句解析，而目前SQL語句解析無法做到完全正確導致數據庫訪問控制失敗；未能實現行列級數據的訪問控制。

發明內容

本發明公開了一種基于身份和規則的數據庫訪問控制方法，用于解決上述現有技術的問題。

本發明的一種基于身份和規則的數據庫訪問控制方法，其中，包括：步驟1：配置數據庫合法訪問者；步驟2：創建數據庫訪問控制規則；步驟3：截獲數據庫訪問請求并對訪問請求發起者身份信息進行驗證，根據身份驗證結果確定是否允許繼續訪問；如果身份驗證通過，則放行該訪問請求，否則終止該訪問請求；步驟4：如果數據庫訪問身份請求獲得通過，則驗證訪問身份的訪問控制規則，如通過驗證，則執行數據請求。

根據本發明的基于身份和規則的數據庫訪問控制方法，其中，數據庫訪問控制規則主要由訪問控制視圖來完成對數據庫表的行列級數據進行增、刪、改和查訪問權限控制.

根據本發明的基于身份和規則的數據庫訪問控制方法，其中，如果數據庫訪問身份請求獲得通過，則驗證訪問身份的訪問控制規則，如通過驗證，則執行數據請求，否則屏蔽被保護的數據

根據本發明的基于身份和規則的數據庫訪問控制方法，其中，步驟1還包括：將用戶與身份認證特征標識和角色進行綁定。

根據本發明的基于身份和規則的數據庫訪問控制方法，其中，步驟2包括：創建角色，以及角色對應的操作權限。

根據本發明的基于身份和規則的數據庫訪問控制方法，其中，步驟2還包括：創建數據庫訪問控制表，該數據庫訪問控制表的表項包括：角色、操作權限、可訪問的被保護行以及可訪問的被保護列。

本發明通過對數據庫訪問請求者身份信息進行預先設置來阻止非法訪問用戶，同時結合行列級數據的訪問權限控制規則來實現細粒度的訪問請求控制。通過綜合訪問請求身份信息驗證、行列級的數據訪問權限驗證等識別非法請求從而增強數據庫防護能力，維護信息系統安全。

附圖說明

圖1所示為本發明基于身份和規則的數據庫訪問控制方法的流程圖；

圖2所示為配置數據庫訪問請求用戶并賦予角色的示意圖；

圖3所示為數據庫訪問控制規則創建過程的示意圖；

圖4所示為數據庫訪問請求身份驗證流程圖。

具體實施方式

為使本發明的目的、內容、和優點更加清楚，下面結合附圖和實施例，對本發明的具體實施方式作進一步詳細描述。

圖1所示為本發明基于身份和規則的數據庫訪問控制方法的流程圖，如圖1所示，本發明基于身份和規則的數據庫訪問控制方法包括：

步驟1：配置數據庫合法訪問者；

步驟2：創建數據庫訪問控制規則；

步驟3：截獲數據庫訪問請求并對訪問請求發起者身份信息進行驗證，根據身份驗證結果確定是否允許繼續訪問。如果身份驗證通過，則放行該訪問請求，否則終止該訪問請求。通過對數據庫訪問請求者身份進行驗證可以有效阻止非法用戶訪問數據庫；

步驟4：如果數據庫訪問身份請求獲得通過，則還需要驗證步驟2創建的訪問控制規則。數據庫訪問控制規則主要由訪問控制視圖來完成對數據庫表的行列級數據進行增、刪、改、查等訪問權限控制；