一種資料庫權限實現方法和系統與流程

2024-01-24 04:53:15 1

本發明涉及資料庫訪問
技術領域：
：，尤其涉及一種資料庫權限實現方法和系統。
背景技術：
：：現有資料庫的訪問授權要麼是在資料庫的實現層面上來做，提供相關的結構化查詢語言sql語句或者管理套件來進行授權操作。要麼是通過添加贅餘的數據列來標示數據的權限，然後在應用層通過判斷這些權限數據來實現對數據的授權訪問。上述方法最大的問題在於無法實現在所有不同類型的資料庫上統一授權，並且需要存儲大量的贅餘權限數據來描述數據權限。技術實現要素：為了解決上述問題，本發明提出了一種資料庫權限實現方法和系統，能夠在sql以及元數據層面上實現跨資料庫的統一授權。為了達到上述目的，本發明提出了一種資料庫權限實現方法，該方法包括：對輸入的結構化查詢語言sql查詢語句進行解析，生成語法樹。通過語法樹的元數據獲得具有預設的描述形式的查詢信息。對查詢信息的可操作權限進行驗證，根據驗證結果對通過查詢信息查詢到的數據信息執行相關操作。優選地，預設的描述形式包括：五元組形式；五元組包括資料庫連結信息server、資料庫名稱database、表名稱table、列名稱column和權限類型privilege。其中，privilege包括：讀取select、插入insert、修改alter、刪除drop和全部all。all包括：select、insert、alter和drop。優選地，通過語法樹的元數據獲得具有預設的描述形式的查詢信息包括：根據語法樹的元數據獲取與sql查詢語句的關鍵字相關的一個或多個第一server。從一個或多個第一server中獲取與sql查詢語句的關鍵字相關的一個或多個第一資料庫。從一個或多個第一資料庫中獲取與sql查詢語句的關鍵字相關的一個或多個第一數據表。從一個或多個第一數據表中獲取與sql查詢語句的關鍵字相關的一個或多個第一數據列。將第一server、第一資料庫、第一數據表、第一數據列和想要執行的privilege以五元組的形式形成查詢信息。優選地，對查詢信息的可操作權限進行驗證包括：將五元組形式的查詢信息中所包含的第一privilege項與預存的五元組形勢的權限信息中所包含的第二privilege項相比較；並且，對於第一privilege項所包含的一個或多個操作分別判斷是否與第二privilege項中包含的一個或多個可執行操作中的至少一個可執行操作相同；其中，第一privilege項和第二privilege項分別至少包括以下一種：select、insert、alter、drop和all。根據驗證結果對通過查詢信息查詢到的數據信息執行相關操作包括：當第二privilege項為all時，執行第一privilege項所包含的一個或多個操作。當第二privilege項不為all，並且所述第一privilege項所包含的一個操作與第二privilege項中的一個可執行操作相同時，執行該可執行操作。當第二privilege項不為all，並且當第一privilege項所包含的多個操作與第二privilege項中的多個可執行操作分別對應相同時，分別執行該多個可執行操作。優選地，該方法還包括：對數據信息執行可執行操作以後，如果數據信息有變更，保存變更後的數據信息並更新相應的元數據；並對更新後的元數據的可操作權限進行更新。其中，對更新後的元數據的可操作權限進行更新包括：對經過insert和/或alter操作的元數據進行數據權限的變更或刪除，以及對經過drop操作的元數據進行數據權限的刪除。為了達到上述目的，本發明還提出了一種資料庫權限實現系統，該系統包括：結構化查詢語言sql解析器、元數據過濾模塊和權限監測模塊。sql解析器，用於對輸入的sql查詢語句進行解析，生成語法樹。元數據過濾模塊，用於通過語法樹的元數據獲得具有預設的描述形式的查詢信息。權限監測模塊，用於對查詢信息的可操作權限進行驗證，根據驗證結果對通過查詢信息查詢到的數據信息執行相關操作。優選地，預設的描述形式包括：五元組形式；五元組包括資料庫連結信息server、資料庫名稱database、表名稱table、列名稱column和權限類型privilege。其中，privilege包括：讀取select、插入insert、修改alter、刪除drop和全部all。all包括：select、insert、alter和drop。優選地，元數據過濾模塊通過語法樹的元數據獲得具有預設的描述形式的查詢信息包括：根據語法樹的元數據獲取與sql查詢語句的關鍵字相關的一個或多個第一server。從一個或多個第一server中獲取與sql查詢語句的關鍵字相關的一個或多個第一資料庫。從一個或多個第一資料庫中獲取與sql查詢語句的關鍵字相關的一個或多個第一數據表。從一個或多個第一數據表中獲取與sql查詢語句的關鍵字相關的一個或多個第一數據列。將第一server、第一資料庫、第一數據表、第一數據列和想要執行的privilege以五元組的形式形成查詢信息。優選地，權限監測模塊對查詢信息的可操作權限進行驗證包括：將五元組形式的查詢信息中所包含的第一privilege項與預存的五元組形勢的權限信息中所包含的第二privilege項相比較；並且，對於第一privilege項所包含的一個或多個操作分別判斷是否與第二privilege項中包含的一個或多個可執行操作中的至少一個可執行操作相同；其中，第一privilege項和第二privilege項分別至少包括以下一種：select、insert、alter、drop和all。權限監測模塊根據驗證結果對通過查詢信息查詢到的數據信息執行相關操作包括：當第二privilege項為all時，執行第一privilege項所包含的一個或多個操作。當第二privilege項不為all，並且當第一privilege項所包含的一個操作與第二privilege項中的一個可執行操作相同時，執行可執行操作。當第二privilege項不為all，並且當第一privilege項所包含的多個操作與第二privilege項中的多個可執行操作分別對應相同時，分別執行多個可執行操作。優選地，該系統還包括元數據變更反饋模塊。元數據變更反饋模塊，用於對數據信息執行可執行操作以後，如果數據 信息有變更，保存變更後的數據信息並更新相應的元數據；並對更新後的元數據的可操作權限進行更新。其中，元數據變更反饋模塊對更新後的元數據的可操作權限進行更新包括：對經過insert和/或alter操作的元數據進行數據權限的變更或刪除，以及對經過drop操作的元數據進行數據權限的刪除。與現有技術相比，本發明包括：對輸入的結構化查詢語言sql查詢語句進行解析，生成語法樹。語法樹的元數據獲得具有預設的描述形式的查詢信息。對查詢信息的可操作權限進行驗證，根據驗證結果對通過查詢信息查詢到的數據信息執行相關操作。通過本發明的方案，能夠在結構化查詢語言sql以及元數據層面上實現跨資料庫的統一授權。附圖說明下面對本發明實施例中的附圖進行說明，實施例中的附圖是用於對本發明的進一步理解，與說明書一起用於解釋本發明，並不構成對本發明保護範圍的限制。圖1為本發明的資料庫權限實現方法流程圖；圖2為本發明實施例的dml操作處理流程圖；圖3為本發明實施例的ddl操作處理流程圖；圖4為本發明實施例的權限資料庫更新操作處理流程圖；圖5為本發明實施例的授予或撤銷操作處理流程圖；圖6為本發明的資料庫權限實現系統組成框圖；圖7為本發明的資料庫權限實現系統組成結構示意圖。具體實施方式為了便於本領域技術人員的理解，下面結合附圖對本發明作進一步的描述，並不能用來限制本發明的保護範圍。資料庫訪問的認證與授權在不同類型的資料庫上，實現方法以及支持粒度有所不同，有些不支持，有些僅支持到表粒度，很少支持到列粒度。並且很多類型的資料庫訪問控制或授權要麼作為資料庫實現的一部分而存在的，要麼作為該類型資料庫專有的工具套件而存在。而通用的bi(businessintelligence)軟體，越來越多地被要求提供安全的訪問控制，並且需要在接入的各類型資料庫上都能夠支持統一的細粒度授權，例如：統一支持到列權限。bi軟體一般主要針對標準結構化查詢語言sql，如sql92等支持較好，對於特定資料庫的特定操作並不是bi軟體關注的。因此本方法提出一種在sql以及元數據層面上實現的跨資料庫實現的統一授權的資料庫權限體系結構。為了達到上述目的，本發明具體提出了一種資料庫權限實現方法，如圖1所示，該方法包括：s101、對輸入的sql查詢語句進行解析，生成語法樹。s102、通過語法樹的元數據獲得具有預設的描述形式的查詢信息。該步驟具有重要的作用，其用來消除不同資料庫實現中對資料庫、表、列的實現差異。使得不同資料庫的元數據最終都能被歸結為：資料庫、表、列這三級數據組織模型。優選地，預設的描述形式包括：五元組形式；該五元組包括資料庫連結信息server、資料庫名稱database、表名稱table、列名稱column和權限類型privilege。其中，privilege包括：讀取select、插入insert、修改alter、刪除drop和全部all。all包括：select、insert、alter和drop。另外，需要說明的是，上述的查詢信息也可以是二元組、三元組和四元 組的形式。查詢二元組包括資料庫連結信息server和權限類型privilege，即(server，privilege)。查詢三元組包括資料庫連結信息server、資料庫名稱database和權限類型privilege，即(server，database，privilege)。查詢四元組包括資料庫連結信息server、資料庫名稱database、表名稱table和權限類型privilege，即(server，database，table，privilege)。下面仍然以五元組形式為例來進行說明。優選地，通過語法樹的元數據獲得具有預設的描述形式的查詢信息包括：s1021、根據語法樹的元數據獲取與sql查詢語句的關鍵字相關的一個或多個第一server。s1022、從一個或多個第一server中獲取與sql查詢語句的關鍵字相關的一個或多個第一資料庫。s1023、從一個或多個第一資料庫中獲取與sql查詢語句的關鍵字相關的一個或多個第一數據表。s1024、從一個或多個第一數據表中獲取與sql查詢語句的關鍵字相關的一個或多個第一數據列。s1025、將第一server、第一資料庫、第一數據表、第一數據列和想要執行的privilege以五元組的形式形成查詢信息。在本發明實施例中，這裡仍以上述的舉例為例來進行說明。例如，使用jdbc連結伺服器example.com的3306埠上mysql伺服器，並且具有對mysql中default資料庫下的名叫test表的id列具有select權限。那麼可以將以上查詢信息被描述為：serverdatabasetablecolumnprivilegeexample.com∶3306defaulttestidselect則根據該查詢信息的描述，我們會根據sql查詢語句的關鍵字獲取一個語法樹，從該語法樹上首先獲得一個或多個example.com∶3306連結分支，在該一個或多個連結分支的基礎上再分別獲得符合default資料庫名稱的一個或多個資料庫分支，在該一個或多個default資料庫分支的基礎上，獲得符合test表名稱的一個或多個數據表分支，在該一個或多個數據表分支的基礎上，獲得符合id列名稱的一個或多個數據列，最後需要對獲得的一個或多個數據列進一步驗證，看哪個或哪些數據列具有select權限，這將在接下來的步驟s103中進行驗證。s103、對查詢信息的可操作權限進行驗證，根據驗證結果對通過查詢信息查詢到的數據信息執行相關操作。在本發明實施例中，本發明中的權限體系也可以被定義成上述的五元組形式，即，被定義為四個級別(level)，分別為：資料庫連結(server)，資料庫(database)，表(table)，列(column)。每一種資料庫權限級別，又具有三種權限類型：讀取(select)，插入(insert)和全部(all)。三者之間具有如下關係：1)「select」和「insert」之間具有相互獨立的關係；2)「all」權限包含「select」以及「insert」權限，以及該兩項權限之外的權限，例如，對元數據的修改(alter)、刪除(drop)的權限。如果是對表有all權限，那麼我們同時具有對表的刪除，以及表結構修改權限。綜上所述，一條權限可以用如下的欄位來描述：serverdatabasetablecolumnprivilege各欄位的具體含義如下表所示：例如，使用jdbc連結伺服器example.com的3306埠上mysql伺服器，並且具有對mysql中default資料庫下的名叫test表的id列具有select權限。那麼以上權限信息被描述為：serverdatabasetablecolumnprivilegeexample.com∶3306defaulttestidselect如上述定義，任意一條權限信息都可以被定義為一個五元組(server，database，table，column，privilege)，五元組中的每一個欄位分別代表著：資料庫連結的名稱，資料庫名稱，表名稱，列名稱以及權限的取值(「select」，「insert」，或「all」)。其中server，privilege欄位不能為空，其餘欄位可以為空。優選地，對查詢信息的可操作權限進行驗證包括：將五元組形式的查詢信息中所包含的第一privilege項與預存的五元組形勢的權限信息中所包含的第二privilege項相比較；並且，對於第一privilege項所包含的一個或多個操作分別判斷是否與第二privilege項中包含的一個或多個可執行操作中的至少一個可執行操作相同；其中，第一privilege項和第二privilege項分別至少包括以下一種：select、insert、alter、drop和all。根據驗證結果對數據信息執行相關操作包括：當第二privilege項為all時，執行第一privilege項所包含的一個或多個操作。當第二privilege項不為all，並且所述第一privilege項所包含的一個操作與第二privilege項中的一個可執行操作相同時，執行該可執行操作。當第二privilege項不為all，並且當第一privilege項所包含的多個操作 與第二privilege項中的多個可執行操作分別對應相同時，分別執行該多個可執行操作。以上內容都是當查詢信息和預存的權限信息都是五元組形式時的方案。需要說明的是，與上述的查詢信息相同，這裡的權限信息也不限於五元組形式，同樣可以是二元組、三元組和四元組的形式。權限二元組包括：(server，privilege)、(database，privilege)、(table，privilege)和(column，privilege)。權限三元組包括：(server，database，privilege)、(database，table，privilege)和(table，column，privilege)。權限四元組包括：(server，database，table，privilege)、(database，table，column，privilege)基於上述各種權限信息的形式和查詢信息的形式，對查詢信息的可操作權限進行驗證還包括：將獲得的查詢信息與預存的權限信息相比較，當元組形式的查詢信息中除privilege項以外的項等於或包含於元組形式的權限信息中除privilege項以外的項時，權限信息中的privilege對該查詢信息仍然具有限制作用，同樣需要根據以五元組為例時所說的查詢信息的可操作權限驗證方法進行驗證。例如，一個查詢信息是四元組(server，database，table，第一privilege)，而預存的權限信息為三元組(server，database，第二privilege)，則這裡第二privilege對於第一privilege的限制有效，需要進一步將第一privilege和第二privilege比較，確定該第一privilege是否包含於第二privilege，或者該第一privilege是否與第二privilege相同；如果該第一privilege包含於第二privilege，或者該第一privilege與第二privilege相同，則可以執行該第一privilege，否則不可以執行。相反地，當元組形式的查詢信息中除privilege項以外的項包含元組形式的權限信息中除privilege項以外的項時，確定該查詢信息中的privilege不可執行。例如，一個查詢信息是三元組(server，database，第一privilege)，而預存的權限信息為四元組(server，database，table，第二privilege)，這時，無論第二privilege是什麼，第一privilege都不可執行。這裡需要說明的是，上述的元組形式包括：二元組、三元組、四元組和五元組。下面以不等式形式表達上述方案。假設有兩條權限pi、pj，它們的五元組表示如下：pi＝(li1，li2，li3，li4，pi)pj＝(lj1，lj2，lj3，lj4，pj)並且定義pi與pj取值相同或者pi的取值為「all」時pi≥pj。那麼pi≥pj在以下條件下成立：li1…m＝lj1…m≠null其中m∈{1,2,3,4}，並且pi≥pj；如果一條sql查詢語句q所要求的權限為pi，那麼該用戶至少需要擁有一條pi，使得pi≥pj；否則q將不被允許執行。在本發明實施例中，下面將分別具體敘述四種sql操作在本發明中的處理流程：1)dml(datamanipulationlanguage數據操控語言)操作：包括select、insert等以資料庫內數據對象為目標的操作，如圖2所述，具體處理流程如下：s201、輸入sql查詢語句。s202、根據該sql查詢語句的關鍵字生成語法樹。s203、判斷是不是dml查詢。s204、如果不是dml查詢，則進入相關查詢的操作流程。s205、如果是dml查詢，則遍歷語法樹，獲取要訪問的資料庫、數據表和數據列。s206、採用jdbc(javadatabaseconnectivityjava資料庫連結)驗證元數據的真實性。s207、驗證結果為虛假，判定sql語法檢查錯誤，退出流程。s208、驗證結果為真實，從權限資料庫中讀取預存的操作權限信息。s209、將申請的操作與預存的操作權限信息相比較進行權限驗證。s210、如果權限驗證失敗，判定權限不夠，退出流程。s211、如果權限驗證成功，判定權限通過，執行所申請的操作。2)ddl(datadefinitionlanguage數據定義語言)讀操作：包括展示資料庫showdatabases、描述數據表describetable等展示資料庫元數據結構的操作；針對ddl操作，除了正常執行具有dml操作的權限檢查流程之外，如圖3所示，還需要經過如下流程：s301、採用jdbc獲取元數據。s302、針對每一條元數據，根據預存的操作權限信息檢查該元數據是否允許被查看。s303、該元數據不允許被查看，則該元數據不加入輸出列表。s304，該元數據允許被查看，則將該元數據加入輸出列表。s305、循環上述步驟s301至s304，直至每一條元數據檢查完畢，並輸出ddl查看結果。3)ddl寫操作，在經過與dml操作相同的權限檢查後，如果符合權限，被允許執行，則執行相應的寫操作。這裡需要說明的是，假如執行寫操作成功了，則相應的數據信息或元數據就已經改變了，則還需要對權限資料庫privilegestorage進行更新，這種更新主要針對altertable(修改表的定義)以及droptable(從資料庫中刪除表)的操作。這兩類操作都會使原先存儲在privilegestorage中原表的權限描述失效，如果不進行更新，會導致嚴重安全漏洞，例如，原先具有對表t的讀權限，當表t被刪除後，這條對表t的讀權限也需要刪除；否則新建的同名表t就在無顯示配置訪問權限的情況下被賦予了上一個同名表t的權限。因此，必須對權限資料庫進行及時更新。具體地，本發明方法還包括；對數據信息執行可執行操作以後，如果數 據信息有變更，保存變更後的數據信息並更新相應的元數據；並對更新後的元數據的可操作權限進行更新。其中，對更新後的元數據的可操作權限進行更新包括：對經過insert和/或alter操作的元數據進行數據權限的變更或刪除，以及對經過drop操作的元數據進行數據權限的刪除。如圖4所示，需要經過如下流程完成更新：s401、從權限資料庫中讀取進行更改以前的數據信息或元數據的相關權限信息。s402、針對每一條權限信息針對預定的權限規則判斷該權限信息是否需要刪除或修改。這裡提到的「針對每一條權限規則判斷是否需要刪除」指的是如果規則中涉及到的table的元數據被修改了，那麼這條權限信息就需要被刪除。s403、需要刪除該權限信息，則從權限資料庫中刪除該條權限信息。s404、需要修改該權限信息，則根據更改後的數據信息對其權限信息進行修改。4)權限授予或撤銷操作，其流程較為簡單：第一步通過語法解析判斷是否為權限授予或刪除操作，並翻譯為對權限數據的讀寫操作；第二步，通過權限讀取或寫入服務來完成權限的授予或刪除。如圖5所示，總的流程如下所示：s501、輸入sql查詢語句。s502、根據該sql查詢語句的關鍵字生成語法樹。s503、判斷是不是授予或刪除權限的查詢。s504、如果不是授予或刪除權限的查詢，則進入相關查詢的操作流程。s505、如果是授予或刪除權限的查詢，則判斷是查看權限還是修改權限。這裡，該修改權限包括授予或刪除權限s506、如果是修改權限，則在權限資料庫中進行相應的權限修改並保 存。s507、如果是查看權限，則在權限資料庫中讀取相應的權限。至此，便完整地介紹了本發明的資料庫權限實現方法。本方法提出了一種在sql以及元數據層面上實現的跨資料庫實現的統一授權的資料庫權限體系結構。為了達到上述目的，本發明還提出了一種資料庫權限實現系統01，如圖6、圖7所示，該系統包括：結構化查詢語言sql解析器02、元數據過濾模塊03和權限監測模塊04。sql解析器02，用於對輸入的sql查詢語句進行解析，生成語法樹。元數據過濾模塊03，用於通過語法樹的元數據獲得具有預設的描述形式的查詢信息。權限監測模塊04，用於對查詢信息的可操作權限進行驗證，根據驗證結果對通過查詢信息查詢到的數據信息執行相關操作。優選地，預設的描述形式包括：五元組形式；該五元組包括資料庫連結信息server、資料庫名稱database、表名稱table、列名稱column和權限類型privilege；其中，privilege包括：讀取select、插入insert、修改alter、刪除drop和全部all。all包括：select、insert、alter和drop。優選地，元數據過濾模塊03通過語法樹的元數據獲得具有預設的描述形式的查詢信息包括：根據語法樹的元數據獲取與sql查詢語句的關鍵字相關的一個或多個第一server。從一個或多個第一server中獲取與sql查詢語句的關鍵字相關的一個或多個第一資料庫。從一個或多個第一資料庫中獲取與sql查詢語句的關鍵字相關的一個 或多個第一數據表。從一個或多個第一數據表中獲取與sql查詢語句的關鍵字相關的一個或多個第一數據列。將第一server、第一資料庫、第一數據表、第一數據列和想要執行的privilege以五元組的形式形成查詢信息。優選地，權限監測模塊04對查詢信息的可操作權限進行驗證包括：將五元組形式的查詢信息中所包含的第一privilege項與預存的五元組形勢的權限信息中所包含的第二privilege項相比較；並且，對於第一privilege項所包含的一個或多個操作分別判斷是否與第二privilege項中包含的一個或多個可執行操作中的至少一個可執行操作相同；其中，第一privilege項和第二privilege項分別至少包括以下一種：select、insert、alter、drop和all。權限監測模塊04根據驗證結果對通過查詢信息查詢到的數據信息執行相關操作包括：當第二privilege項為all時，執行第一privilege項所包含的一個或多個操作。當第二privilege項不為all，並且當第一privilege項所包含的一個操作與第二privilege項中的一個可執行操作相同時，執行可執行操作。當第二privilege項不為all，並且當第一privilege項所包含的多個操作與第二privilege項中的多個可執行操作分別對應相同時，分別執行多個可執行操作。優選地，該系統還包括元數據變更反饋模塊05。元數據變更反饋模塊05，用於對數據信息執行可執行操作以後，如果數據信息有變更，保存變更後的數據信息並更新相應的元數據；並對更新後的元數據的可操作權限進行更新。其中，元數據變更反饋模塊05對更新後的元數據的可操作權限進行更新 包括：對經過insert和/或alter操作的元數據進行數據權限的變更或刪除，以及對經過drop操作的元數據進行數據權限的刪除。與現有技術相比，本發明包括：對輸入的結構化查詢語言sql查詢語句進行解析，生成語法樹。語法樹的元數據獲得具有預設的描述形式的查詢信息。對查詢信息的可操作權限進行驗證，根據驗證結果對通過查詢信息查詢到的數據信息執行相關操作。通過本發明的方案，能夠在結構化查詢語言sql以及元數據層面上實現跨資料庫的統一授權。需要說明的是，以上所述的實施例僅是為了便於本領域的技術人員理解而已，並不用於限制本發明的保護範圍，在不脫離本發明的發明構思的前提下，本領域技術人員對本發明所做出的任何顯而易見的替換和改進等均在本發明的保護範圍之內。當前第1頁12當前第1頁12