租戶對(duì)自定義數(shù)據(jù)庫(kù)訪問的控制方法、裝置和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于云計(jì)算機(jī)技術(shù)領(lǐng)域����,尤其是一種多租戶結(jié)構(gòu)中對(duì)自定義數(shù)據(jù)庫(kù)訪問的控制方法和裝置。
【背景技術(shù)】
[0002]多租戶架構(gòu)可以將數(shù)據(jù)采用共享數(shù)據(jù)庫(kù)共享表的方式高度共享的存儲(chǔ)�,其架構(gòu)在數(shù)據(jù)存儲(chǔ)中對(duì)資源進(jìn)行共享。多租戶架構(gòu)應(yīng)用不僅僅能以共享的方式提供服務(wù)����,還可以為租戶的個(gè)性化需求服務(wù)。其中�,租戶個(gè)性化需求對(duì)應(yīng)的數(shù)據(jù)庫(kù)稱為自定義數(shù)據(jù)庫(kù)。為了滿足擁有數(shù)據(jù)存儲(chǔ)的高度共享性�,又能極大程度的滿足租戶靈活的個(gè)性化需求,常常采用擴(kuò)展表數(shù)據(jù)模型��、鍵值對(duì)數(shù)據(jù)模型等類似數(shù)據(jù)模型���。這類存儲(chǔ)模型是將租戶自定義數(shù)據(jù)的元數(shù)據(jù)���,如表名���、字段名�����、字段長(zhǎng)度等����,與租戶自定義數(shù)據(jù)的值數(shù)據(jù)分離存儲(chǔ)。元數(shù)據(jù)和值數(shù)據(jù)均以數(shù)據(jù)記錄的形式存放在多租戶數(shù)據(jù)庫(kù)中�。
[0003]然而,現(xiàn)有的數(shù)據(jù)庫(kù)管理系統(tǒng)的訪問控制體系不能對(duì)以數(shù)據(jù)記錄形式存儲(chǔ)在租戶自定義數(shù)據(jù)庫(kù)中的數(shù)據(jù)的操作請(qǐng)求不能進(jìn)行安全判斷�,這是租戶自定義數(shù)據(jù)庫(kù)面臨的安全冋題。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于提供一種租戶對(duì)自定義數(shù)據(jù)訪問的控制方法����、裝置和系統(tǒng),以解決現(xiàn)有的多租戶結(jié)構(gòu)中對(duì)自定義數(shù)據(jù)庫(kù)的操作缺乏安全控制的技術(shù)缺陷��。
[0005]為此�����,本發(fā)明一方面提供了一種租戶對(duì)自定義數(shù)據(jù)庫(kù)訪問的控制方法�����,包括:
[0006]根據(jù)租戶上傳的包含元數(shù)據(jù)的數(shù)據(jù)存儲(chǔ)需求,配置租戶自定義數(shù)據(jù)庫(kù)中對(duì)元數(shù)據(jù)的訪問控制策略�����;
[0007]接收租戶發(fā)送的包含元數(shù)據(jù)的操作請(qǐng)求�,根據(jù)所述訪問控制策略判斷操作請(qǐng)求是否合法:如果合法,則將該操作請(qǐng)求提交至租戶數(shù)據(jù)庫(kù)中執(zhí)行并將結(jié)果返回給租戶��;否則�����,不允許提交操作請(qǐng)求�����。
[0008]在一個(gè)實(shí)施方式中�����,所述租戶通過租戶數(shù)據(jù)庫(kù)服務(wù)提交所述數(shù)據(jù)存儲(chǔ)需求���。
[0009]在一個(gè)實(shí)施方式中����,所述數(shù)據(jù)存儲(chǔ)需求還包含租戶信息,以及對(duì)所述租戶信息標(biāo)記是否需要進(jìn)行訪問控制的標(biāo)記信息����;
[0010]在所述根據(jù)所述訪問控制策略判斷操作請(qǐng)求是否合法的步驟之前���,還包括根據(jù)所述標(biāo)記信息判斷是否需要進(jìn)行訪問控制��,如果是�,則根據(jù)所述訪問控制策略判斷操作請(qǐng)求是否合法����。
[0011]在一個(gè)實(shí)施方式中,所述元數(shù)據(jù)包含自定義數(shù)據(jù)的表名���、表屬性��、字段名�����、字段屬性�、取值范圍、有效期和訪問權(quán)限中的一種或多種����。
[0012]在一個(gè)實(shí)施方式中,所述根據(jù)所述訪問控制策略判斷操作請(qǐng)求是否合法的步驟包括:
[0013]從所述操作請(qǐng)求中獲取對(duì)應(yīng)的元數(shù)據(jù)和操作要求�����;
[0014]查詢?cè)撛獢?shù)據(jù)對(duì)應(yīng)的操作權(quán)限���;
[0015]判斷所述操作要求是否位于所述操作權(quán)限內(nèi)��,如果是����,則判斷該操作請(qǐng)求合法����,否貝1J,判斷該操作請(qǐng)求不合法���。
[0016]一種租戶對(duì)自定義數(shù)據(jù)庫(kù)訪問的控制裝置���,包括:
[0017]元數(shù)據(jù)庫(kù)權(quán)限池��,用于根據(jù)租戶上傳的包含自定義表信息�、字段信息���、有效期中一種或多種的數(shù)據(jù)存儲(chǔ)需求���,配置自定義數(shù)據(jù)庫(kù)中對(duì)元數(shù)據(jù)的訪問控制策略;
[0018]判斷模塊��,用于接收租戶的操作請(qǐng)求����,根據(jù)所述訪問控制策略判斷操作請(qǐng)求是否合法�;如果合法,則將該操作請(qǐng)求提交至租戶數(shù)據(jù)庫(kù)中執(zhí)行并將結(jié)果返回給租戶��;否則�����,不允許提交操作請(qǐng)求�����。
[0019]在一個(gè)實(shí)施方式中,所述租戶通過租戶數(shù)據(jù)庫(kù)服務(wù)提交所述數(shù)據(jù)存儲(chǔ)需求�。
[0020]在一個(gè)實(shí)施方式中,還包括:
[0021]租戶管理模塊用于存儲(chǔ)租戶信息����,以及對(duì)所述租戶信息標(biāo)記是否需要進(jìn)行訪問控制進(jìn)行標(biāo)記;
[0022]訪問控制模塊:用于在所述根據(jù)所述訪問控制策略判斷操作請(qǐng)求是否合法的步驟之前�,根據(jù)所述標(biāo)記信息判斷是否需要進(jìn)行訪問控制,如果是�,則根據(jù)所述訪問控制策略判斷操作請(qǐng)求是否合法。
[0023]在一個(gè)實(shí)施方式中�,所述元數(shù)據(jù)包含自定義數(shù)據(jù)的表名、表屬性����、字段名、字段屬性��、取值范圍���、有效期和訪問權(quán)限中的一種或多種�。
[0024]一種租戶對(duì)自定義數(shù)據(jù)庫(kù)訪問的控制系統(tǒng)�����,包括租戶、租戶數(shù)據(jù)庫(kù)�,以及訪問控制模塊,所述租戶和租戶數(shù)據(jù)庫(kù)分別與所述訪問控制模塊連接�����,其中�,所述訪問控制模塊包括:
[0025]通訊模塊,分別與所述租戶和租戶數(shù)據(jù)庫(kù)連接交互�;
[0026]元數(shù)據(jù)庫(kù)權(quán)限池,用于存儲(chǔ)需要進(jìn)行自定義數(shù)據(jù)庫(kù)訪問控制的租戶的元數(shù)據(jù)����;
[0027]訪問控制模塊���,用于根據(jù)所述元數(shù)據(jù)庫(kù)權(quán)限池判斷從所述通訊模塊接收的操作請(qǐng)求是否合法�����。
[0028]與現(xiàn)有技術(shù)相比��,本發(fā)明所述的方法�、裝置和系統(tǒng)通過數(shù)據(jù)存儲(chǔ)需求配置對(duì)應(yīng)的訪問控制策略,根據(jù)操作請(qǐng)求中的元數(shù)據(jù)來判斷該操作請(qǐng)求是否合法并作出對(duì)應(yīng)的處理����,從而使得自定義數(shù)據(jù)能夠得到完善的訪問控制,有效保障數(shù)據(jù)訪問控制安全�����。
【附圖說明】
[0029]圖1是本發(fā)明所述租戶對(duì)自定義數(shù)據(jù)庫(kù)訪問的控制系統(tǒng)的一實(shí)施方式的結(jié)構(gòu)示意圖����;
[0030]圖2是本發(fā)明所述租戶對(duì)自定義數(shù)據(jù)庫(kù)訪問的控制系統(tǒng)一實(shí)施方式的租戶數(shù)據(jù)庫(kù)中的數(shù)據(jù)模型的結(jié)構(gòu)示意圖;
[0031]圖3是本發(fā)明所述租戶對(duì)自定義數(shù)據(jù)庫(kù)訪問的控制系統(tǒng)一實(shí)施方式的元數(shù)據(jù)的數(shù)據(jù)模型的結(jié)構(gòu)示意圖�;
[0032]圖4是本發(fā)明所述租戶對(duì)自定義數(shù)據(jù)庫(kù)訪問的控制方法的一實(shí)施方式的流程圖;
[0033]圖5是本發(fā)明所述租戶對(duì)自定義數(shù)據(jù)庫(kù)訪問的控制方法的一實(shí)施方式中租戶上傳數(shù)據(jù)存儲(chǔ)需求的流程圖�����;
[0034]圖6是本發(fā)明所述租戶對(duì)自定義數(shù)據(jù)庫(kù)訪問的控制方法的一實(shí)施方式中租戶對(duì)自定義數(shù)據(jù)庫(kù)查詢操作的流程圖��;
[0035]圖7是本發(fā)明所述租戶對(duì)自定義數(shù)據(jù)庫(kù)訪問的控制裝置的一實(shí)施方式的結(jié)構(gòu)示意圖��;
[0036]圖中:
[0037]110:租戶�;120:訪問控制模塊;121:通信模塊���;122:存儲(chǔ)需求判斷模塊�����;123:租戶管理模塊����;124:元數(shù)據(jù)權(quán)限池;125:訪問控制判斷模塊�����;126:訪問控制執(zhí)行模塊���;130:
自定義數(shù)據(jù)庫(kù)�����。
[0038]201:租戶信息表;202:元數(shù)據(jù)表��;203:值數(shù)據(jù)表���;204:元數(shù)據(jù)列�;701:元數(shù)據(jù)庫(kù)權(quán)限池;702:判斷模塊�。
【具體實(shí)施方式】
[0039]下面結(jié)合附圖,對(duì)本發(fā)明做進(jìn)一步說明���。
[0040]參見圖1�,圖1是本發(fā)明所述租戶對(duì)自定義數(shù)據(jù)庫(kù)訪問的控制系統(tǒng)的一實(shí)施方式的結(jié)構(gòu)示意圖��。該實(shí)施方式的系統(tǒng)中包括租戶110��,訪問控制模塊120和自定義數(shù)據(jù)庫(kù)130���。租戶110與訪問控制模塊120之間通過通信網(wǎng)絡(luò)(例如���,因特網(wǎng))進(jìn)行通信,連接方式可以是有線的或者無線的方式����。自定義數(shù)據(jù)庫(kù)130和訪問控制模塊120之間通過有線和/或無線鏈路通信相連。
[0041]租戶110可以是具有網(wǎng)絡(luò)訪問功能的用戶終端���,包括臺(tái)式電腦����、筆記本、平板電腦��、上網(wǎng)本等��。租戶110可以通過輸入各種請(qǐng)求信息���,包括但不限于數(shù)據(jù)庫(kù)存儲(chǔ)需求請(qǐng)求和數(shù)據(jù)庫(kù)查詢操作請(qǐng)求���。
[0042]訪問控制模塊120可以是具有緩存功能的集成電路、包含軟件代碼的硬件和/或裝置�。訪問控制模塊120可以集成在自定義數(shù)據(jù)庫(kù)130中,也可以放置在自定義數(shù)據(jù)庫(kù)130夕卜�。此外,一個(gè)訪問控制模塊120可以為一個(gè)租戶110對(duì)應(yīng)提供服務(wù)��,也可以為多個(gè)租戶110對(duì)應(yīng)提供服務(wù)���。一個(gè)訪問控制模塊120可以和一個(gè)自定義數(shù)據(jù)庫(kù)130對(duì)應(yīng)提供服務(wù)����,也可以為多個(gè)自定義數(shù)據(jù)庫(kù)130對(duì)應(yīng)服務(wù)���。
[0043]訪問控制模塊120包括通信模塊121��、存儲(chǔ)需求分析模塊��、租戶管理模塊123�����、元數(shù)據(jù)權(quán)限池124��、訪問控制判斷模塊125和訪問控制執(zhí)行模塊126��。
[0044]在一個(gè)實(shí)施方式中�,通信模塊121用于從租戶110接收存儲(chǔ)需求請(qǐng)求和查詢操作請(qǐng)求并分別按照通信協(xié)議解析請(qǐng)求內(nèi)容���,然后將解析結(jié)果分別發(fā)送給存儲(chǔ)需求判斷模塊122和訪問控制判斷模塊125�����。另外���,通信模塊121還用于將訪問控制結(jié)果轉(zhuǎn)發(fā)給自定義數(shù)據(jù)庫(kù)130。
[0045]在一實(shí)施方式中���,存儲(chǔ)需求判斷模塊122用于分析從通信模塊121接收的數(shù)據(jù)存儲(chǔ)需求的請(qǐng)求進(jìn)行解析����,提取出其中的元數(shù)據(jù)。此外����,還將租戶的自定義數(shù)據(jù)庫(kù)130的元數(shù)據(jù)配置到元數(shù)據(jù)權(quán)限池124。