[发明专利]租户对自定义数据库访问的控制方法、装置和系统

说明书

技术领域

本发明属于云计算机技术领域，尤其是一种多租户结构中对自定义数据库访问的控制方法和装置。

背景技术

多租户架构可以将数据采用共享数据库共享表的方式高度共享的存储，其架构在数据存储中对资源进行共享。多租户架构应用不仅仅能以共享的方式提供服务，还可以为租户的个性化需求服务。其中，租户个性化需求对应的数据库称为自定义数据库。为了满足拥有数据存储的高度共享性，又能极大程度的满足租户灵活的个性化需求，常常采用扩展表数据模型、键值对数据模型等类似数据模型。这类存储模型是将租户自定义数据的元数据，如表名、字段名、字段长度等，与租户自定义数据的值数据分离存储。元数据和值数据均以数据记录的形式存放在多租户数据库中。

然而，现有的数据库管理系统的访问控制体系不能对以数据记录形式存储在租户自定义数据库中的数据的操作请求不能进行安全判断，这是租户自定义数据库面临的安全问题。

发明内容

本发明的目的在于提供一种租户对自定义数据访问的控制方法、装置和系统，以解决现有的多租户结构中对自定义数据库的操作缺乏安全控制的技术缺陷。

为此，本发明一方面提供了一种租户对自定义数据库访问的控制方法，包括：

根据租户上传的包含元数据的数据存储需求，配置租户自定义数据库中对元数据的访问控制策略；

接收租户发送的包含元数据的操作请求，根据所述访问控制策略判断操作请求是否合法：如果合法，则将该操作请求提交至租户数据库中执行并将结果返回给租户；否则，不允许提交操作请求。

在一个实施方式中，所述租户通过租户数据库服务提交所述数据存储需求。

在一个实施方式中，所述数据存储需求还包含租户信息，以及对所述租户信息标记是否需要进行访问控制的标记信息；

在所述根据所述访问控制策略判断操作请求是否合法的步骤之前，还包括根据所述标记信息判断是否需要进行访问控制，如果是，则根据所述访问控制策略判断操作请求是否合法。

在一个实施方式中，所述元数据包含自定义数据的表名、表属性、字段名、字段属性、取值范围、有效期和访问权限中的一种或多种。

在一个实施方式中，所述根据所述访问控制策略判断操作请求是否合法的步骤包括：

从所述操作请求中获取对应的元数据和操作要求；

查询该元数据对应的操作权限；

判断所述操作要求是否位于所述操作权限内，如果是，则判断该操作请求合法，否则，判断该操作请求不合法。

一种租户对自定义数据库访问的控制装置，包括：

元数据库权限池，用于根据租户上传的包含自定义表信息、字段信息、有效期中一种或多种的数据存储需求，配置自定义数据库中对元数据的访问控制策略；

判断模块，用于接收租户的操作请求，根据所述访问控制策略判断操作请求是否合法；如果合法，则将该操作请求提交至租户数据库中执行并将结果返回给租户；否则，不允许提交操作请求。

在一个实施方式中，所述租户通过租户数据库服务提交所述数据存储需求。

在一个实施方式中，还包括：

租户管理模块用于存储租户信息，以及对所述租户信息标记是否需要进行访问控制进行标记；

访问控制模块：用于在所述根据所述访问控制策略判断操作请求是否合法的步骤之前，根据所述标记信息判断是否需要进行访问控制，如果是，则根据所述访问控制策略判断操作请求是否合法。

在一个实施方式中，所述元数据包含自定义数据的表名、表属性、字段名、字段属性、取值范围、有效期和访问权限中的一种或多种。

一种租户对自定义数据库访问的控制系统，包括租户、租户数据库，以及访问控制模块，所述租户和租户数据库分别与所述访问控制模块连接，其中，所述访问控制模块包括：

通讯模块，分别与所述租户和租户数据库连接交互；

元数据库权限池，用于存储需要进行自定义数据库访问控制的租户的元数据；

访问控制模块，用于根据所述元数据库权限池判断从所述通讯模块接收的操作请求是否合法。

与现有技术相比，本发明所述的方法、装置和系统通过数据存储需求配置对应的访问控制策略，根据操作请求中的元数据来判断该操作请求是否合法并作出对应的处理，从而使得自定义数据能够得到完善的访问控制，有效保障数据访问控制安全。

附图说明

图1是本发明所述租户对自定义数据库访问的控制系统的一实施方式的结构示意图；