資料庫使用權限查詢系統及方法

2023-10-05 10:02:09 1

專利名稱：資料庫使用權限查詢系統及方法
技術領域：
本發明涉及一種資料庫使用權限查詢系統及方法，特別是涉及一種利用訪問控制表，可進行權限查詢的方法。
背景技術：
基於安全理由，對於資料庫的使用，系統管理者必須依各使用者的權限定義使用者可以訪問的資料庫及使用者對每一資料庫的資料操作。關於資料操作的方法有很多，包括存取、加密、通訊、文件歸檔、連結、編輯等。習知技術中對於如何去查詢資料庫訪問權限有多種方法，網絡管理者或系統操作者可通過訪問控制表去辨別使用者可訪問的資料庫及其可進行的操作。
美國專利商標局於1997年12月23日公告的第5,701,458號專利，專利名稱為「一種在計算機網絡上訪問控制表中多變的用戶分配管理的系統及方法(System and Method for Managing Arbitrary Subsets ofAccess Control Lists in a Computer Network)」其提供一種對於訪問控制表中用戶群或單一訪問者的資料庫訪問權管理，利用資源名稱及錯誤訊息即可分辨特定的訪問控制表是否做到資料更新的工作，而且，不必經由重新激活全部應用功能即可做到查詢單一資料庫對應使用者權限的工作，但此法只可逐次查詢單筆資料庫記錄，對處理單一使用者對多個資料庫使用權限查詢的工作則無法實現。

發明內容因此，針對先前技術所述訪問控制表中多變的用戶分配管理的系統及方法存在的不足，本發明的目的提供一種使用者對多個資料庫使用權限查詢系統及方法。
本發明提供一種資料庫使用權限查詢系統，其包括有多個客戶端計算機、多個管理者端計算機、一應用程式伺服器、一資料庫伺服器、一系統資料庫及多個資料庫。任一管理者端計算機可經由網絡連接至應用程式伺服器。資料庫伺服器包括有一系統資料庫及多個資料庫，其中，資料庫伺服器可進行數據傳輸，系統資料庫存儲有多個訪問控制表、操作定義資料、類型定義資料及權限定義資料。應用程式伺服器包括有一權限設置模塊，該模塊可定義操作內容、定義類型名稱及定義權限範圍；一驗證模塊，利用該模塊可驗證用戶登入及其所提出的操作指令是否合法；一數據管理模塊，利用該模塊可管理資料庫文件的傳遞及授權；一權限查詢模塊，利用該模塊可提供一權限訪問控制表查詢操作接口，權限訪問控制表查詢操作接口包含一使用者名稱輸入欄位、一查詢按鈕、一輸出按鈕、一資料庫使用權限表。
權限設置模塊含有一操作定義模塊，定義有多個系統操作；一類型定義模塊，定義有至少三種類型，其三種類型可代表無人員(無使用者)、人員(單一使用者)、群組(一個或一個以上使用者集合)；一權限定義模塊，定義有至少一種權限，每一種權限是一組操作的集合。
驗證模塊含有一用戶驗證模塊，該模塊可驗證登入的用戶是否合法；一操作驗證模塊，該模塊可驗證用戶所提出的操作請求是否合法。
數據管理模塊包括一文件傳遞模塊，其負責資料庫內文件的傳遞；一資料庫授權管理模塊，其可接收驗證模塊驗證後傳回的訊息並依驗證模塊傳回的訊息將使用者及其對應資料庫做授權分配。資料庫授權管理模塊還可將管理者查詢後的資料庫使用權限表輸出成組織型文件(pdf文件、tif文件)或非組織型文件(xls文件)，並由文件傳遞模塊將此輸出文件存儲至管理者指定的位置。
本發明提供一種資料庫使用權限查詢方法，其包括有任一管理者端計算機可經由網絡連接至應用程式伺服器，顯示權限訪問控制表查詢操作接口，輸入欲查詢的使用者名稱，顯示此使用者對應的資料庫使用權限表。
本發明提供一種資料庫使用權限查詢方法，其包括有定義多個資料庫權限分配，每一使用者對應一個或多個資料庫，並依此使用者所對應多個資料庫執行權限查詢。其步驟可以為(a)提出查詢使用者對應的資料庫使用權限表命令並顯示權限訪問控制表查詢操作接口；(b)輸入使用者名稱；(c)執行此使用者對應的權限訪問控制表的查詢，若確定查詢，則進行步驟d，若取消查詢，則結束此方法；(d)列出該使用者對應多個資料庫使用權限；(e)輸出檔案至文件，若確定執行，則執行步驟f，若取消執行，則結束此方法；(f)將檔案輸出至指定文件；(g)結束。

圖1是本發明資料庫使用權限查詢系統的硬體架構圖。
圖2是本發明資料庫使用權限查詢系統的系統資料庫存儲資料示意圖。
圖3是本發明資料庫使用權限查詢系統的應用程式伺服器功能模塊示意圖。
圖4是本發明資料庫使用權限查詢系統的數據管理模塊功能模塊示意圖。
圖5是本發明資料庫使用權限查詢方法的權限訪問控制表查詢操作接口示意圖。
圖6是本發明資料庫使用權限查詢方法的資料庫使用權限訪問控制表的使用者對多個資料庫使用權限查詢方法示意圖。
具體實施方式如圖1所示，是本發明資料庫使用權限查詢系統的硬體架構圖。在本實施例中，多個客戶端計算機11通過網絡2與一應用程式伺服器3相連。該應用程式伺服器3通過連接7與資料庫伺服器5相連。多個管理者計算機4通過網絡2與一應用程式伺服器3相連。其中，網絡2是一種電子網絡，其可以是Internet、Intranet或無線通訊等其它類型網絡。資料庫伺服器5包括有一系統資料庫6及多個非系統資料庫8(以下簡稱為資料庫8)，其中每一資料庫8存儲有各類資料，系統資料庫6存儲與權限控制相關的資料。連接7是一種資料庫連接，如開放資料庫連接(Open Database Connectivity，ODBC)，或者是Java資料庫連接(Java Database Connectivity，JDBC)等。客戶端計算機11通過網絡2傳送使用者ID、密碼、操作請求向應用程式伺服器3提出訪問需求，應用程式伺服器3在接受訪問需求後即開始用戶驗證檢查，若使用者ID、密碼及操作請求通過驗證，則由應用程式伺服器3經由連接7發送合法訊息給資料庫伺服器5以響應對位於資料庫8中資料的操作請求，所述操作請求包括有讀、寫、增加、刪除、修改、編輯等。管理者端計算機4通過網絡2傳送使用者ID、密碼、用戶資料庫訪問權限設置及操作請求向應用程式伺服器3提出訪問需求。應用程式伺服器3在接受訪問需求後即開始用戶驗證檢查，若使用者ID、密碼通過驗證，則經由連接7發送合法訊息給資料庫伺服器5以響應對位於系統資料庫6中訪問控制表10(如圖2所示)的操作請求。本系統的用戶通常為企業內可對資料庫中資料進行閱讀、查詢、新增、刪除、編輯等操作的使用者；管理者通常為信息部門人員，其可對各系統用戶(包含管理者本身)給予適當的操作權限，管理者具有對於訪問控制表10內容的查詢權。
如圖2所示，是本發明資料庫使用權限查詢系統的系統資料庫存儲資料示意圖。系統資料庫6其存儲有多個訪問控制表10、操作定義資料12、類型定義資料14及權限定義資料16。其中每一訪問控制表10對應一資料庫8(如圖1所述)，其記錄有對應資料庫8的訪問控制權限，所述訪問控制表10包括有資料庫名稱、使用者名稱、使用者類型及使用者權限等欄位。所述資料庫名稱表示對應資料庫8的名稱，使用者名稱表示可對相應資料庫8進行操作的使用者的名稱。所述使用者類型表示使用者所屬的類型，在本發明中使用者類型可為人員或群組，其中人員為單一使用者，群組是多個使用者所成的集合，例如信息部的所有人員可整合成一群組。操作定義資料12用於存儲所定義的系統操作，所有相關的系統操作已由系統設計人員預先定義，該等系統操作包括有編輯用戶、編輯資料庫、分配用戶權限、分配用戶對應資料庫等。類型定義資料14存儲有所定義的使用者類型，其中人員可為單一使用者、群組可為一個或一個以上多個使用者、無人員可為非使用者等。權限定義資料16存儲有所定義的多個權限名稱及每一權限所對應的系統操作。在本發明中，權限名稱可以為讀者、編輯者、作者或管理員。讀者的操作權限僅為讀取資料庫的資料；編輯者的操作權限為增加、刪除、修改儲存於資料庫內的資料等編輯類操作權限；作者的操作權限為新建資料庫；管理者的操作權限為增加、刪除、修改訪問控制列表10。
如圖3所示，是本發明資料庫使用權限查詢系統的應用程式伺服器功能模塊示意圖。在本實施例中，應用程式伺服器3包括一權限設置模塊31、一驗證模塊32、一數據管理模塊33及一權限查詢模塊34。權限設置模塊31包括一操作定義模塊311、一類型定義模塊312、一權限定義模塊313。操作定義模塊311用於定義多個系統操作，所有相關的系統操作已由系統設計人員預先定義，並存儲在系統資料庫6中，該等系統操作包括有編輯用戶、編輯資料庫、分配用戶權限、分配用戶對應資料庫等；類型定義模塊312用於定義使用者類型，主要分為人員、群組及非使用者，其中人員可為單一使用者、群組可為一個或一個以上多個使用者、無人員可為非使用者；權限定義模塊313用於定義權限，每一個權限都是一組系統操作的集合，該等權限包括有讀者，其僅可讀取資料庫資料；編輯者，除了讀取資料庫資料，其可增加或刪除或修改資料庫資料；管理者，其可修改每位使用者對所有資料庫的使用權限，即其可編輯訪問控制表10。驗證模塊32包含一用戶驗證模塊321、一操作驗證模塊322，用戶驗證模塊321對系統訪問者身份的合法性進行驗證。當用戶通過客戶端計算機11或管理者通過管理者端計算機4登入該系統時，輸入使用者ID及密碼，用戶驗證模塊321根據該使用者ID查詢系統資料庫6中對應於該使用者ID的密碼，若該用戶身份合法，則發出一合法訊息給數據管理模塊33，允許該用戶登入系統；若該用戶身份不合法，則發出拒絕登入訊息至相應的客戶端計算機11或管理者端計算機4。操作驗證模塊322根據該用使用者ID查詢系統資料庫6，獲取該用戶對應的權限，判斷該用戶的操作請求是否在該權限所定義的操作範圍內，如果是，則許可用戶操作請求；如果不是，則拒絕該用戶操作請求。權限查詢模塊34可提供資料庫使用權限表查詢接口100(如圖5所示)。
如圖4所示，是本發明資料庫使用權限查詢系統的數據管理模塊功能模塊示意圖。數據管理模塊33含有一文件傳遞模塊331及一資料庫授權管理模塊332。若驗證模塊32發送合法訊息給文件傳遞模塊331，則文件傳遞模塊331依其請求傳送至資料庫伺服器5並做出響應。
如圖5所示，是本發明資料庫使用權限查詢方法的權限訪問控制表查詢操作接口示意圖。權限訪問控制表查詢操作接口100包含一使用者名稱輸入欄位101、一查詢按鈕102、一輸出按鈕103、一資料庫使用權限表107。管理者可將欲查詢的使用者名稱輸入使用者名稱輸入欄位101，若確定執行可將此使用者對應的資料庫使用權限表107顯示出來。資料庫使用權限表107中的序號列表104為由1開始，公差為1的遞增數列，可表示此欲查詢的使用者對應的多個資料庫個數；資料庫使用權限表107中的資料庫名稱列表105表示此欲查詢的使用者對應的多個資料庫名稱；資料庫使用權限表107中的權限列表106表示此欲查詢的使用者對應的多個資料庫權限。資料庫使用權限表107可被文件傳遞模塊331輸出成文件，文件形式可以為組織型文件(pdf文件、tif文件)或非組織型文件(xls文件)，並將此文件傳輸至管理者指定的位置。與權限訪問控制表查詢操作接口相關的使用者對多個資料庫使用權限查詢方法請參照圖6。
如圖6所示，是本發明資料庫使用權限查詢方法的資料庫使用權限訪問控制表的使用者對多個資料庫使用權限查詢方法示意圖。管理者提出查詢使用者對應的資料庫使用權限表命令(步驟S51)後，便會顯示權限訪問控制表查詢操作接口100；之後管理者可輸入欲查詢的使用者名稱至使用者名稱輸入欄位101(步驟S52)；確認是否查詢按鈕102有被點選(click)以執行查詢該使用者的資料庫使用權限(步驟S53)，若是，則顯示出資料庫使用權限表107(步驟S54)，若否，則結束此方法。確認是否輸出按鈕103有被點選以輸出資料庫使用權限表107至文件(步驟S55)，若是，則將資料庫使用權限表107輸出至指定文件(步驟56)，若否，則結束此方法(步驟S57)。
權利要求
1.一種資料庫使用權限查詢系統，其特徵在於，其中一資料庫伺服器，其包括有一系統資料庫及多個資料庫，其中系統資料庫存儲有多個訪問控制表、操作定義資料、類型定義資料及權限定義資料，其中每一訪問控制表對應一資料庫，其記錄有對應資料庫的訪問控制權限，所述訪問控制表包括的欄位有資料庫名稱、使用者名稱、類型及權限；一權限設置模塊，可提供定義系統操作、使用者類型及各類型對應的權限的功能；一權限查詢模塊，可提供一用於進行權限訪問控制表查詢操作接口，該接口包括有一使用者名稱輸入欄位，供管理者將欲查詢的使用者名稱輸入此欄位；一查詢按鈕，其可確定此查詢的操作與否；一輸出按鈕，其可確定此操作的結果將輸出至使用者指定文件與否；一資料庫使用權限表，其包括有一序號列表，其顯示資料庫編號排序及個數；一資料庫名稱列表，其顯示所述使用者擁有權限的資料庫的資料庫名稱；一權限列表，其顯示該使用者對前述每一資料庫的權限。
2.如權利要求1所述的資料庫使用權限查詢系統，其特徵在於，其中權限設置模塊包括一操作定義模塊，定義有多個系統操作；一類型定義模塊，定義有三種類型，其三種類型分別代表無人員表示非使用者，人員表示單一使用者，群組一個或一個以上使用者集合；一權限定義模塊，定義多種權限，每一種權限是一組操作的集合。
3.如權利要求1所述的資料庫使用權限查詢系統，其特徵在於，其中驗證模塊包括一用戶驗證模塊，利用該模塊可驗證登入的用戶是否合法；一操作驗證模塊，利用該模塊可驗證用戶所提出的操作請求是否合法。
4.如權利要求1所述的資料庫使用權限查詢系統，其特徵在於，其中資料庫伺服器包含的系統資料庫存儲有資料庫定義資料，其為本系統中客戶端計算機及管理者端計算機可訪問及不可訪問的資料庫名稱資料；使用者名稱定義資料，其為本系統中使用者名稱資料；使用者類型定義資料，其為本系統中使用者類型資料；使用者權限定義資料，其為本系統中使用者權限資料。
5.如權利要求4所述的資料庫使用權限查詢系統，其特徵在於，其中使用者類型定義資料為將使用者依單一使用者或多個使用者整合為人員或群組。
6.如權利要求1所述的資料庫使用權限查詢系統，其特徵在於，其中包含一數據管理模塊，該數據管理模塊包含一文件傳遞模塊，其負責資料庫內文件的傳遞；一資料庫授權管理模塊，其將使用者及其對應資料庫做授權分配。
7.如權利要求6所述的資料庫使用權限查詢系統，其特徵在於，其中資料庫授權管理模塊可將管理者選擇的資料庫使用權限表輸出成組織型文件或非組織型文件，並由文件傳遞模塊將此輸出文件存儲至管理者指定的位置。
8.一種資料庫使用權限查詢方法，其特徵在於，其中提供一資料庫伺服器，其包括有一系統資料庫及多個資料庫，其中系統資料庫存儲有多個訪問控制表、操作定義資料、類型定義資料及權限定義資料，其中每一訪問控制表對應一資料庫，其記錄有對應資料庫的訪問控制權限，所述訪問控制表包括的欄位有資料庫名稱、使用者名稱、類型及權限；提供一權限訪問控制表查詢操作接口，可用於進行多個資料庫的使用權限的查詢作業，並將查詢結果顯示於權限訪問控制表查詢操作接口的資料庫使用權限表中，其包括有下列步驟接收需查詢的使用者名稱；查詢系統資料庫的多個訪問控制表；在資料庫使用權限表的資料庫名稱列表中顯示所述使用者擁有權限的資料庫的資料庫名稱；在資料庫使用權限表的權限列表中顯示該使用者對前述每一資料庫的權限。
9.如權利要求8所述的資料庫使用權限查詢方法，其特徵在於，包括有設置不同使用者對每一資料庫的權限的步驟。
10.如權利要求8所述的資料庫使用權限查詢方法，其特徵在於，包括有將資料庫使用權限表輸出成文件的步驟。
11.如權利要求8所述的資料庫使用權限查詢方法，其特徵在於，其中輸出成文件的文件形式可以為組織型文件或非組織型文件。
全文摘要
一種資料庫使用權限查詢系統及方法，可根據資料庫、資料庫相對應使用者、使用者類型、使用者權限的資料進行訪問控制表(Access Control List)式權限查詢。其中權限查詢方法包括的步驟有(a)輸入使用者名稱；(b)進行查詢；(c)列出該使用者對應的資料庫使用權限控制表。所述資料庫使用權限查詢系統用於實施上述方法。
文檔編號G06F17/30GK1567300SQ0312695
公開日2005年1月19日 申請日期2003年6月19日 優先權日2003年6月19日
發明者李忠一, 李大鵬 申請人:鴻富錦精密工業(深圳)有限公司, 鴻海精密工業股份有限公司