[发明专利]数据仓库的访问控制方法、系统和电子设备

说明书

本发明提供了一种数据仓库的访问控制方法、系统和计算机设备，该方法包括：存储授权账户关联信息，并通过周期性获取元数据以更新该授权账户关联信息，授权账户关联信息包括授权账号信息及其对应的数据库信息；在数据仓库内建立独立于所述数据库访问服务及元数据访问服务的账户认证服务，以调用所存储的授权账户关联信息；响应于客户端的访问请求；调用账户认证服务，以根据所存储的授权账户关联信息对访问请求中的账户信息进行识别处理，以进行身份认证；将通过所述身份认证的用户请求返回数据库访问服务及元数据访问服务中进行权限验证。本发明可靠保证了Hive数据仓库中数据的安全性，实现了更有效的身份认证和权限验证过程，有效预防了用户的误操作和恶意操作。

技术领域

本发明涉及测试技术领域，具体而言，涉及一种数据仓库的访问控制方法、系统和电子设备。

背景技术

在基于互联网的应用技术中，常常需要在不同的参与方之间进行资源的交换。这里所称的资源是指任何可被利用的物质、信息、金钱、时间等。信息资源包括计算资源和各种类型的数据资源。数据资源包括各个领域中的各种专用数据。

数据对于企业来说是重要资产，数据安全和访问可控对于企业而言，是非常重要的。Hive作为大数据存储和访问的入口，也是业界关注的焦点之一。行业中涌现了Ranger，Sentry等权限管理框架。但是都是针对HiveServer2服务端进行统一管控，不能对元数据服务端进行账号认证和权限验证。

目前HiveServer2支持多种用户安全认证方式：NONE，NOSASL，KERBEROS，LDAP，PAM，CUSTOM等等，其中属于安全管控级别的认证为Kerberos，LDAP，PAM，CUSTOM。但是上述几种安全认证在实际应用上都存在不同的缺陷。Kerberos，LDAP都是登陆开发机用户名，认证会导致大量公共账号环境无法被个人账号使用，面临大量历史包袱，迁移难度大。当使用PAM时，如果用户的密码已过期，用于提供PAM身份验证模式的JPAM库可能会导致HiveServer2关闭。在其他情况下，某些用户在登录过程中会出现崩溃的情况。而在实际生产环境中，每次添加账号需重启Hive系统加载配置文件，不适合公司级别大量用户实时增添账号的场景，对于用户账号管理存在不合理或不当的情况。此外，Hive系统无法支持数据库(例如MYSQL)存储的账号密码校验的方式，并且Hive系统对于直连元数据库的访问请求无法进行权限管控。此外，还存在无法有效预防用户的误操作和恶意操作，数据安全性低等的技术问题。

因此，有必要提供一种更有效的数据仓库的访问控制方法。

发明内容

由于现有方案中，存在如下问题：Hive系统无法支持MYSQL存储的账号密码校验的方式，Hive对于直连元数据库的访问请求无法进行权限管控，数据安全性低等的技术问题。

鉴于上述问题，本发明第一方面提供了一种数据仓库的访问控制方法，包括：存储授权账户关联信息，并通过周期性获取元数据以更新该授权账户关联信息，所述授权账户关联信息包括授权账号信息及其对应的数据库信息；在所述数据仓库内建立独立于数据库访问服务及元数据访问服务的账户认证服务，以调用所存储的授权账户关联信息；响应于客户端的访问请求；调用所述账户认证服务，以根据所存储的授权账户关联信息对所述访问请求中的账户信息进行识别处理，以进行身份认证；将通过所述身份认证的用户请求返回数据库访问服务及元数据访问服务中进行权限验证。

根据本发明的可选实施方式，当所述访问请求是元数据访问请求时，将该访问请求中的账户信息，通过用户组信息传递到元数据访问服务中，并调用所述账户认证服务进行身份认证。

根据本发明的可选实施方式，所述将该访问请求中的账户信息通过用户组信息传递到元数据访问服务中包括：在所述用户组信息的前缀添加特定标识。

根据本发明的可选实施方式，所述权限验证包括：当所述访问请求是元数据访问请求时，通过钩子函数对该元数据访问请求的执行事件进行监听，并在该执行事件进行时进行权限验证。