一种数据库中行级标记方法与装置_CN116186767B_北京万里开源软件有限公司.pdf

蒙奇D路飞

30页

0次

2024-04-25

免费下载

(19)国家知识产权局

(12)发明专利

(10)授权公告号

(45)授权公告日

(21)申请号 202310038959.3

(22)申请日 2023 .01 .12

(65)同一申请的已公布的文献号

申请公布号 CN 116186767 A

(43)申请公布日 2023 .05 .30

(73)专利权人北京万里开源软件有限公司

地址 100000 北京市丰台区海鹰路6号院9

号楼3层3107

(72)发明人娄帅　龙禹　

(74)专利代理机构北京冠和权律师事务所

11399

专利代理师郑延斌

(51)Int.Cl.

G06F

21/62

(2013 .01)

G06F

21/60

(2013 .01)

G06F

16/22

(2019 .01)

(56)对比文件

CN 115048435 A ,2022.09.13

CN 110427770 A ,2019.11 .08

WO 9522792 A1 ,1995.08 .24

CN 1729469 A,2006.02 .01

CN 109299147 A ,2019.02.01

CN 113656827 A ,2021 .11 .16

CN 110046205 A ,2019.07 .23

杨波 .基于广播电视信息安全等级保护要求

的Oracle数据库用户及权限加固方法探索.数字

传媒研究 .2016 ,第33卷(第07期) ,第67-73页.

审查员简文雨

(54)发明名称

一种数据库中行级标记方法与装置

(57)摘要

本发明提供一种数据库中行级标记方法与

装置，其方法包括定义安全标记、安全标记构成

组件和安全标记的安全策略；安全标记构成组件

包括安全等级、安全范围和安全组；创建并管理

安全策略和安全标记，并存储安全策略和安全标

记相对应的元数据，同时将安全策略应用于用户

和数据库行对象；根据用户和数据库行对象的安

全标记规则，判断用户对数据库行对象发出的读

写访问请求是否通过。本发明通过创建安全标

记，并为数据库中行数据和用户分别应用安全标

记，可在用户发起访问请求时，对用户和行数据

的安全标记分别进行判定，根据判定结果判断访

问请求是否通过，以实现数据库的强制访问功

能。

权利要求书5页说明书19页附图5页

CN 116186767 B

2023.10.03

CN 116186767 B

1 .一种数据库中行级标记方法，其特征在于，包括：

S1：定义安全标记、安全标记构成组件和安全标记的安全策略；安全标记构成组件包括

安全等级、安全范围和安全组；

S2：创建并管理安全策略和安全标记，并存储安全策略和安全标记相对应的元数据，同

时将安全策略应用于用户和数据库行对象；

S3：根据用户和数据库行对象的安全标记规则，判断用户对数据库行对象发出的读写

访问请求是否通过；

还包括访问请求测试评估，用于在接收用户读写请求前，测试评估数据库中行标记，并

调整数据库行标记的参数；

获取测试用户的对数据库行对象完成读写请求后的反馈信息；

获取数据库行对象在应对测试用户的读写请求过程中的执行错误信息；

根据反馈信息和执行错误信息，调整安全等级、安全范围的区间大小和安全组的结构

层次；

在用户完成读写访问请求过程中，需要查找数据库的数据行对象所对应的索引文件，

索引查找的过程中会产生磁盘I/O消耗，相对于内存存取，I/O存取的消耗要高几个数量级；

在有限内存中，为了减少磁盘I/O消耗，通过设计合理的索引树结构，降低树的深度来减少

磁盘I/O的操作次数，从而提高读写访问请求的效率；其中通过分析时间开销，选取最优的

枝叶比，可使索引结构达到最优配置；树结构的时间开销计算公式为：

代表是每次随机检索操作的时间开销，表示数据库在稳定状态时的数据规模，是

常数，表示磁盘中磁头定位时间，表示传送数据所需要的时间，表示失效率，为比较

一个长度为的索引项所需的时间，表示树的阶数，表示树的枝叶比。

2.根据权利要求1所述的一种数据库中行级标记方法，其特征在于，S1包括：

S101：定义安全等级，安全等级为由小到大线性排列有序的名称序列；

S102：定义安全范围，安全范围为独立的集合类型；

S103：定义安全组，安全组为包含父节点和子节点的树形结构；

S104：定义安全标记，安全标记包括安全等级、安全范围和安全组；安全等级为必须包

含值，安全范围和安全组可为缺省值；

S105：定义安全标记的安全策略，安全策略包括安全等级分策略、安全范围分策略和安

全组分策略。

3 .根据权利要求1所述的一种数据库中行级标记方法，其特征在于，S2包括：

S201：采取第一方式创建和管理安全策略，第一方式包括编辑策略名、开启策略和关闭

策略；

S202：采取第二方式管理安全等级分策略、安全范围分策略和安全组分策略，第二方式

包括添加、修改和删除；

S203：采取第三方式创建和管理安全标记，第三方式包括创建标记值、修改标记值和删

权　利　要　求　书

1/5 页

CN 116186767 B

除标记值；删除标记值仅限于删除未被应用的标记值；

S204：存储安全策略和安全标记相对应的元数据；

S205：将安全策略和安全标记应用于用户和数据库行对象。

4 .根据权利要求3所述的一种数据库中行级标记方法，其特征在于，S205包括：

S2051：将安全策略应用于用户，包括设置读标记、写标记、默认标记、默认写标记和行

标记；用户登录后查看当前会话涉及到的安全标记；新插入的数据根据当前会话行标记默

认应用安全标记；

读标记用于设置用户读的最大安全等级、读的安全范围和读的安全组；写标记用于设

置用户写的最小安全等级、写的安全范围和写的安全组；默认标记为用户登录后默认用于

读的安全等级，默认写标记为用户登录后默认用于读的安全等级，用户登录后默认用于写

的安全等级；行标记为用户登录后的会话行标记初始值，或用户没有指定标记值时的标记

默认值；

S2052：将安全策略应用于数据库行对象，包括创建行安全标记、删除行安全标记、开启

行安全策略和关闭行安全策略；多个安全策略可应用于同一个行对象，同一个策略只能应

用一次。

5 .根据权利要求1所述的一种数据库中行级标记方法，其特征在于，S3包括：

S301：当用户对数据库行对象发出读访问请求时，利用读规则判断用户对数据库行对

象是否具有读访问权限，具体步骤为：

S3011：判定用户默认安全等级是否大于等于数据库行对象的安全等级，若不大于等于

数据库行对象的安全等级，则不允许访问；若大于等于数据库行对象的安全等级，则跳转至

步骤S3012；

S3012 ：判定请求的数据库行对象是否存在安全组，若存在安全组，则跳转至步骤

S3013；若不存在安全组，则跳转至步骤S3014；

S3013：判定用户是否至少包含数据库行对象的一个安全组或者父安全组，若不包含，

则不允许访问；若包含，则跳转至步骤S3014；

S3014：判定数据库行对象是否存在安全范围，若不存在，则允许访问；若存在，则跳转

至步骤S3015；

S3015：判定用户是否包含数据库行对象全部的安全范围，若包含，则允许访问；若不包

含，则不允许访问；

S302：当用户对数据库行对象发出写访问请求时，利用写规则判断用户对数据库行对

象是否具有写访问权限，具体步骤为：

S3021：判定用户默认安全等级是否大于等于数据库行对象安全等级，若不大于等于数

据库行对象安全等级，则不允许访问；若大于等于数据库行对象安全等级，则跳转至步骤

S3022；

S3022：判定用户最小安全等级是否小于等于数据库行对象安全等级，若不小于等于数

据库行对象安全等级，则不允许访问；若小于等于数据库行对象安全等级，则跳转至步骤

S3023；

S3023：判定数据库行对象是否存在安全组，若存在安全组，则跳转至步骤S3024；若不

存在安全组，则跳转至步骤S3025；

权　利　要　求　书

2/5 页

CN 116186767 B

of 30

免费下载

相关文档

评论