• / 8
  • 下載費用:30 金幣  

一種數據庫集群權限的控制方法及裝置.pdf

摘要
申請專利號:

CN201510363349.6

申請日:

2015.06.26

公開號:

CN104994086A

公開日:

2015.10.21

當前法律狀態:

授權

有效性:

有權

法律詳情: 授權|||實質審查的生效IPC(主分類):H04L 29/06申請日:20150626|||公開
IPC分類號: H04L29/06; G06F17/30 主分類號: H04L29/06
申請人: 北京京東尚科信息技術有限公司; 北京京東世紀貿易有限公司
發明人: 彭興勃
地址: 100080北京市海淀區杏石口路65號西杉創意園西區11C樓東段1-4層西段1-4層
優先權:
專利代理機構: 北京品源專利代理有限公司11332 代理人: 孟金喆; 胡彬
PDF完整版下載: PDF下載
法律狀態
申請(專利)號:

CN201510363349.6

授權公告號:

||||||

法律狀態公告日:

2018.09.04|||2015.11.18|||2015.10.21

法律狀態類型:

授權|||實質審查的生效|||公開

摘要

本發明實施例提供了一種數據庫集群權限的控制方法及裝置。該方法包括:當接收到針對集群中的職能數據的訪問請求時,獲取訪問請求發送方的職能用戶信息;對職能用戶信息進行驗證,根據驗證結果確定是否允許訪問。本發明實施例通過采用上述技術方案,可防止職能數據被不具備該職能的用戶進行刪改等操作,進而保證數據庫的安全性和穩定性。并且,采用該技術方案,不需要在客戶端進行任何業務代碼的修改,侵入性小。

權利要求書

權利要求書
1.  一種數據庫集群權限的控制方法,其特征在于,包括:
當接收到針對集群中的職能數據的訪問請求時,獲取所述訪問請求發送方的職能用戶信息;
對所述職能用戶信息進行驗證,根據驗證結果確定是否允許訪問。

2.  根據權利要求1所述的方法,其特征在于,對所述用戶信息進行驗證,根據驗證結果確定是否允許訪問,包括:
判斷所述職能用戶信息與所要訪問的職能數據是否符合權限驗證表中的對應關系,若符合,則確定允許訪問。

3.  根據權利要求1所述的方法,其特征在于,所述職能用戶信息包括:職能用戶賬號名。

4.  根據權利要求3所述的方法,其特征在于,所述職能用戶信息還包括:網絡協議地址。

5.  根據權利要求1所述的方法,其特征在于,在接收針對集群中的職能數據的訪問請求之前,還包括:
創建權限驗證表;
其中,所述權限驗證表中包含各職能用戶信息與各職能數據之間的對應關系。

6.  一種數據庫集群權限的控制裝置,其特征在于,包括:
職能用戶信息獲取模塊,用于在接收到針對集群中的職能數據的訪問請求時,獲取所述訪問請求發送方的職能用戶信息;
驗證模塊,用于對所述職能用戶信息進行驗證,根據驗證結果確定是否允許訪問。

7.  根據權利要求6所述的裝置,其特征在于,所述驗證模塊具體用于:
判斷所述職能用戶信息與所要訪問的職能數據是否符合權限驗證表中的對應關系,若符合,則確定允許訪問。

8.  根據權利要求6所述的裝置,其特征在于,所述職能用戶信息包括:職能用戶賬號名。

9.  根據權利要求8所述的裝置,其特征在于,所述職能用戶信息還包括:網絡協議地址。

10.  根據權利要求9所述的裝置,其特征在于,還包括:
權限驗證表創建模塊,用于在接收針對集群中的職能數據的訪問請求之前,創建權限驗證表;
其中,所述權限驗證表中包含各職能用戶信息與各職能數據之間的對應關系。

說明書

說明書一種數據庫集群權限的控制方法及裝置
技術領域
本發明實施例涉及數據庫領域,尤其涉及一種數據庫集群權限的控制方法及裝置。
背景技術
HBase(Hadoop Database)是一個高可靠性、高性能、面向列及可伸縮的分布式存儲數據庫,利用HBase技術可在多個服務器中搭建起大規模結構化存儲集群。Hbase定位于數據庫系統,數據庫系統的安全性是數據庫管理的重要指標之一。在多用戶角色共用同一個Hbase集群的情況下,如果缺少權限控制,可能會發生未授權的對存儲其中的數據進行隨意刪改等情況,從而影響數據庫的安全性和穩定性。
開源社區官方提供的Hbase集群用戶權限控制方案基于宿主操作系統,由數據庫管理員(Database Administrator,DBA)對訪問控制列表(Access Control List,ACL)進行管理,根據不同操作系統用戶對應的數據進行權限的授予及回收后同步到ACL表,在接收到客戶端發起的訪問請求時,由ACL模塊獲取當前登錄的操作系統用戶信息,并參照ACL表進行合理權限范圍內的操作控制。由于在實際應用過程中,具有不同職能的研發人員對應Hbase集群中的數據不同,而上述權限控制方案無法判斷當前登錄已授權操作系統用戶的研發人員的職能范圍,所以很可能會出現研發人員對其他職能范圍內的數據進行隨意刪改等情況,仍然會影響數據庫的安全性和穩定性。
發明內容
本發明實施例的目的是提出一種數據庫集群權限的控制方法及裝置,以解決現有HBase集群用戶權限控制方案不能夠保證數據庫安全性和穩定性的問題。
一方面,本發明實施例提供了一種數據庫集群權限的控制方法,包括:
當接收到針對集群中的職能數據的訪問請求時,獲取所述訪問請求發送方的職能用戶信息;
對所述職能用戶信息進行驗證,根據驗證結果確定是否允許訪問。
另一方面,本發明實施例提供了一種數據庫集群權限的控制裝置,包括:
職能用戶信息獲取模塊,用于在接收到針對集群中的職能數據的訪問請求時,獲取所述訪問請求發送方的職能用戶信息;
驗證模塊,用于對所述職能用戶信息進行驗證,根據驗證結果確定是否允許訪問。
本發明實施例中提供的數據庫集群權限的控制方案,可使具有特定職能的研發人員使用專屬于該特定職能的職能用戶賬號訪問Hbase集群中對應的職能數據。當有人在客戶端上使用某一個職能用戶賬號想要訪問Hbase集群中的某職能數據時,即接收到針對該職能數據的訪問請求時,獲取當前職能用戶信息,對獲取的職能用戶信息進行驗證,并根據驗證結果確定是否允許訪問。通過采用上述技術方案,可防止職能數據被不具備該職能的用戶進行刪改等操作,進而保證數據庫的安全性和穩定性。并且,采用該技術方案,不需要在客戶端進行任何業務代碼的修改,侵入性小。
附圖說明
圖1為本發明實施例一提供的一種數據庫集群權限的控制方法的流程圖;
圖2為本發明實施例二提供的一種優選的Hbase集群權限控制方法的流程圖;
圖3本發明實施例二提供的一種數據庫集群權限的控制裝置的結構框圖。
具體實施方式
下面結合附圖并通過具體實施方式來進一步說明本發明的技術方案。可以理解的是,此處所描述的具體實施例僅僅用于解釋本發明,而非對本發明的限定。另外還需要說明的是,為了便于描述,附圖中僅示出了與本發明相關的部分而非全部結構。
實施例一
圖1為本發明實施例一提供的一種數據庫集群權限的控制方法的流程圖,該方法可適用于Hbase集群權限的控制,具體可以由數據庫集群權限的控制裝置執行,其中該裝置可由軟件和/或硬件實現,一般可集成在服務器中。如圖1所示,該方法包括:
步驟101、當接收到針對集群中的職能數據的訪問請求時,獲取訪問請求發送方的職能用戶信息。
示例性的,用于執行本發明實施例方法的裝置可集成于服務器的協處理器(coprocessor)中,所述服務器具體可為集群服務器,也可為用于管理集群的服務器。不同研發人員由于所屬技術部門不同或所參與的工作項目不同,一般具備不同的職能,可根據職能為不同的研發人員分配不同的職能用戶。Hbase集群中包含了所有研發人員所需要的數據,可將Hbase集群中的數據按照職能進行分類,分類后的數據專用于其對應的職能,可稱為職能數據。職能用戶具體可 指用于訪問相應職能數據的賬戶。例如:某部門的研發人員具備職能A,可為該部門的研發人員分配職能用戶a,則該部門研發人員可通過在客戶端上登陸職能用戶a來訪問相應的職能數據。
示例性的,研發人員可通過在與集群通信連接的客戶端上登陸職能用戶,當需要對Hbase集群中的某職能數據進行訪問時,客戶端會發送針對該職能數據的訪問請求。當服務器接收到訪問請求時,便獲取該客戶端上登陸的職能用戶信息。
示例性的,職能用戶信息可包括職能用戶賬號名。
優選的,職能用戶信息還可包括網絡協議(Internet Protocol,IP)地址,即登陸當前職能用戶的客戶端的IP地址。
示例性的,在執行本步驟之前,還可先執行創建權限驗證表(ACL表)的操作,該ACL表中包含各職能用戶信息與各職能數據之間的對應關系。
步驟102、對職能用戶信息進行驗證,根據驗證結果確定是否允許訪問。
具體的,可判斷職能用戶信息與所要訪問的職能數據是否符合ACL表中的對應關系,若符合,則確定允許訪問。
示例性的,允許訪問后,可對訪問的職能數據進行相關操作,如對表、列族進行如下操作:數據庫模式定義語言(Data Definition Language,DDL)操作、數據操縱語言(Data Manipulation Language,DML)操作和數據讀寫操作(如get、put和scan)等。
例如,具備職能B的甲通過客戶端M(其IP地址對應職能B)登陸職能用戶b,想要訪問Hbase集群中對應職能B的職能數據,步驟101中,服務器會獲取職能用戶b的賬戶名和客戶端M的IP地址,本步驟中將根據所獲取到的賬戶名和IP地址查詢ACL表,判斷職能用戶b與所要訪問的職能數據是相對應的, 所以具備訪問權限,則確定允許訪問,進而允許對該職能數據進行相關表的操作。對賬號名和IP地址均進行驗證的好處是,賬號名可能容易泄露,對IP地址進行驗證能夠進一步增強數據存儲的安全性。若甲繼續想要訪問Hbase集群中對應職能C的職能數據時,由于職能用戶b與所要訪問的職能數據不是對應的,那么會拒絕訪問,進而也阻止了甲對職能C相關的職能數據進行修改,確保了Hbase集群的安全性和穩定性。
本發明實施例一提供的數據庫集群權限的控制方法,可使具有特定職能的研發人員使用專屬于該特定職能的職能用戶賬號訪問Hbase集群中對應的職能數據。可防止職能數據被不具備該職能的用戶進行刪改等操作,進而保證數據庫的安全性和穩定性。并且,采用該方法,不需要在客戶端進行任何業務代碼的修改,侵入性小。
實施例二
圖2為本發明實施例二提供的一種優選的Hbase集群權限控制方法的流程圖。如圖2所示,該方法具體包括如下步驟:
步驟201、協處理器接收訪問請求。
步驟202、判斷請求是否來自集群內部,若是,則執行步驟205;否則,執行步驟203。
步驟203、協處理器獲取職能用戶信息。
步驟204、判斷職能用戶信息是否符合ACL表中對應關系,若是,則執行步驟205;否則,執行步驟206。
步驟205、允許訪問。
步驟206、拒絕訪問。
示例性的,可拋出拒絕訪問異常處理(AccessDeniedException)。
本發明實施例二提供的Hbase集群權限控制方法,由協處理器接收針對某職能數據的訪問請求,先判斷該訪問請求是否來自于集群內部,若來自于集群內部,即可直接允許訪問,否則需要進行權限驗證。在進行權限驗證時,協處理器獲取職能用戶信息并判斷該信息是否符合ACL表中對應關系,若符合則允許訪問,否則拒絕訪問。通過采用本實施例二提供的方法,可預先對訪問請求來源做判斷,再進行基于ACL表的權限驗證,可提升訪問速度,同時可防止職能數據被不具備該職能的用戶進行刪改等操作,進而保證數據庫的安全性和穩定性。
實施例三
圖3本發明實施例三提供的一種數據庫集群權限的控制裝置的結構框圖,該裝置可由軟件和/或硬件實現,一般可集成在服務器中,可通過執行數據庫集群權限的控制方法來實現權限控制。如圖3所示,該裝置包括:職能用戶信息獲取模塊301和驗證模塊302.
其中,職能用戶信息獲取模塊301,用于在接收到針對集群中的職能數據的訪問請求時,獲取訪問請求發送方的職能用戶信息;驗證模塊302,用于對職能用戶信息進行驗證,根據驗證結果確定是否允許訪問。
本發明實施例三提供的數據庫集群權限的控制裝置,可使具有特定職能的研發人員使用專屬于該特定職能的職能用戶賬號訪問Hbase集群中對應的職能數據。當有人在客戶端上使用某一個職能用戶賬號想要訪問Hbase集群中的某職能數據時,即接收到針對該職能數據的訪問請求時,由職能用戶信息獲取模塊獲取當前職能用戶信息,再由驗證模塊對獲取的職能用戶信息進行驗證,并 根據驗證結果確定是否允許訪問。通過采用上述技術方案,可防止職能數據被不具備該職能的用戶進行刪改等操作,進而保證數據庫的安全性和穩定性。并且,采用該技術方案,不需要在客戶端進行任何業務代碼的修改,侵入性小。
在上述實施例的基礎上,驗證模塊具體可用于:判斷職能用戶信息與所要訪問的職能數據是否符合權限驗證表中的對應關系,若符合,則確定允許訪問。
在上述實施例的基礎上,職能用戶信息可包括職能用戶賬號名。
在上述實施例的基礎上,職能用戶信息還可包括IP地址。
在上述實施例的基礎上,該裝置還可包括權限驗證表創建模塊,用于在接收針對集群中的職能數據的訪問請求之前,創建權限驗證表;其中,權限驗證表中包含各職能用戶信息與各職能數據之間的對應關系。
注意,上述僅為本發明的較佳實施例及所運用技術原理。本領域技術人員會理解,本發明不限于這里所述的特定實施例,對本領域技術人員來說能夠進行各種明顯的變化、重新調整和替代而不會脫離本發明的保護范圍。因此,雖然通過以上實施例對本發明進行了較為詳細的說明,但是本發明不僅僅限于以上實施例,在不脫離本發明構思的情況下,還可以包括更多其他等效實施例,而本發明的范圍由所附的權利要求范圍決定。

關 鍵 詞:
一種 數據庫 集群 權限 控制 方法 裝置
  專利查詢網所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
關于本文
本文標題:一種數據庫集群權限的控制方法及裝置.pdf
鏈接地址:http://www.rgyfuv.icu/p-6353482.html
關于我們 - 網站聲明 - 網站地圖 - 資源地圖 - 友情鏈接 - 網站客服客服 - 聯系我們

[email protected] 2017-2018 zhuanlichaxun.net網站版權所有
經營許可證編號:粵ICP備17046363號-1 
 


收起
展開
山东11选5中奖结果走势图