本發(fā)明涉及業(yè)務(wù)權(quán)限管理領(lǐng)域，具體為一種基于大數(shù)據(jù)的業(yè)務(wù)權(quán)限管理系統(tǒng)及方法。

背景技術(shù)：

1、關(guān)系型數(shù)據(jù)庫是指采用關(guān)系模型來存儲和管理數(shù)據(jù)的數(shù)據(jù)庫系統(tǒng)，在關(guān)系型數(shù)據(jù)庫中，數(shù)據(jù)被組織成一張或多張表，每張表由行和列組成，通過關(guān)聯(lián)鍵建立關(guān)聯(lián)，實現(xiàn)數(shù)據(jù)之間的關(guān)聯(lián)。對于關(guān)系型數(shù)據(jù)庫需要進行用戶級或表級的權(quán)限控制，從而保證數(shù)據(jù)信息的安全。

2、隨著數(shù)據(jù)量的不斷增長和企業(yè)對數(shù)據(jù)安全要求的提高，傳統(tǒng)數(shù)據(jù)庫權(quán)限控制方法已難以滿足精細化的權(quán)限管理需求，尤其是難以平衡數(shù)據(jù)的安全性與用戶的操作便捷性。一些權(quán)限管理方式雖然可以實現(xiàn)行列的權(quán)限控制，但仍然存在攻擊者竊取用戶身份信息進行偽裝訪問的風險。

3、此外，企業(yè)中往往存在多個保密等級不同的數(shù)據(jù)庫，由于成本原因，一些安全性較高的保密設(shè)施只有高密級的數(shù)據(jù)庫才能配備，從而無法兼顧數(shù)據(jù)系統(tǒng)的整體安全，可能導致數(shù)據(jù)保護不均衡的問題。

技術(shù)實現(xiàn)思路

1、本發(fā)明的目的在于提供一種基于大數(shù)據(jù)的業(yè)務(wù)權(quán)限管理系統(tǒng)及方法，以解決上述背景技術(shù)中提出的問題。

2、為了解決上述技術(shù)問題，本發(fā)明提供如下技術(shù)方案：一種基于大數(shù)據(jù)的業(yè)務(wù)權(quán)限管理系統(tǒng)，包括：權(quán)限代理模塊、請求驅(qū)動模塊、行列管理模塊、風險調(diào)控模塊和信用保證模塊；

3、所述權(quán)限代理模塊由設(shè)置在數(shù)據(jù)庫內(nèi)的權(quán)限代理程序構(gòu)成，對外代理提供數(shù)據(jù)庫服務(wù)能力，在程序中配置預代理的數(shù)據(jù)庫的入庫信息，同時建立權(quán)限鏈表，在權(quán)限鏈表中存儲用戶身份信息、權(quán)限信息和訪問記錄，通過權(quán)限代理程序間的通信端口，構(gòu)建各數(shù)據(jù)庫間的通信信道；

4、所述請求驅(qū)動模塊用于在用戶對任意數(shù)據(jù)庫發(fā)起業(yè)務(wù)操作動作時，將操作請求添加進sql請求對應(yīng)的jdbc驅(qū)動包，數(shù)據(jù)庫權(quán)限代理程序接收驅(qū)動包，根據(jù)用戶身份令牌確定用戶的行權(quán)限與列權(quán)限，解析sql指令，對指令包含sql語句進行語法解析，從而確定語句類型；

5、所述行列管理模塊用于根據(jù)預定義的權(quán)限規(guī)則驗證用戶的行權(quán)限和列權(quán)限，拒絕針對非授權(quán)范圍內(nèi)的內(nèi)容訪問，由用戶對數(shù)據(jù)庫的歷史操作記錄進行用戶畫像，構(gòu)建操作模擬模型，利用操作模擬模型進行隨機操作模擬，輸出模擬結(jié)果與用戶實際操作結(jié)果的模擬偏差，判斷用戶操作目的；

6、所述風險調(diào)控模塊用于根據(jù)用戶在訪問范圍內(nèi)行列使用權(quán)限的等級初始化用戶權(quán)限值，實時監(jiān)聽sql指令，根據(jù)模擬偏差、行列權(quán)限使用序列和指令風險得到每一次操作的風險值，根據(jù)風險值與權(quán)限值的比例對行列進行部分訪問鎖存和語法操作鎖存；

7、所述信用保證模塊用于在用戶發(fā)出對鎖存內(nèi)容的業(yè)務(wù)操作請求時，在總權(quán)限值中減少一個單位的權(quán)限值，當累積的風險值大于剩余權(quán)限值時拒絕用戶訪問，并要求用戶提供更高密級數(shù)據(jù)庫中任意可訪問位置的行列數(shù)據(jù)，用戶向代理程序輸入數(shù)據(jù)后，通過數(shù)據(jù)庫間通信信道驗證數(shù)據(jù)準確性，驗證一致時，按照驗證數(shù)據(jù)來源數(shù)據(jù)庫的密級和驗證數(shù)據(jù)的要求權(quán)限增加總權(quán)限值。

8、進一步的，所述權(quán)限代理模塊包括：跨庫通信單元和權(quán)限鏈表單元；

9、所述跨庫通信單元用于通過權(quán)限代理程序的通信協(xié)議，實現(xiàn)跨數(shù)據(jù)庫信道的構(gòu)建，并能夠通過信道傳輸邏輯信號；

10、所述權(quán)限鏈表單元用于在鏈表中存儲用戶身份信息、權(quán)限信息和訪問記錄，其中權(quán)限消息包括：行權(quán)限、列權(quán)限和表權(quán)限。

11、進一步的，所述請求驅(qū)動模塊包括：業(yè)務(wù)操作單元、身份提取單元和指令解析單元；

12、所述業(yè)務(wù)操作單元用于代理數(shù)據(jù)庫jdbc驅(qū)動包，在應(yīng)用發(fā)起sql請求的過程中,驅(qū)動包攔截sql語句，對發(fā)起的sql語句進行修正；

13、所述身份提取單元用于從驅(qū)動包中解析用戶身份令牌，查詢身份令牌對應(yīng)的用戶權(quán)限；

14、所述指令解析單元用于對指令中的sql語句進行語法解析，輸出語句類型，語句類型包括：查詢、刪除、添加和修改指令。

15、進一步的，所述行列管理模塊包括：權(quán)限查詢單元和操作建模單元；

16、所述權(quán)限查詢單元用于驗證用戶的行權(quán)限和列權(quán)限，限制超越用戶權(quán)限的指令操作；

17、所述操作建模單元用于對用戶操作進行畫像，輸出用戶當前指令與畫像模型的偏差。

18、進一步的，所述風險調(diào)控模塊包括：風險累積單元和行為限制單元；

19、所述風險累積單元用于監(jiān)聽sql指令，計算用戶每執(zhí)行一次sql操作的風險值；

20、所述行為限制單元用于在風險值超過權(quán)限值一定比例時，限制用戶對數(shù)據(jù)庫的部分操作。

21、進一步的，所述信用保證模塊包括：信用池單元、信息價值單元和輔助權(quán)限單元；

22、所述信用池單元用于根據(jù)用戶權(quán)限，建立用戶初始權(quán)限積分，實時反饋權(quán)限積分的使用狀態(tài)；

23、所述信息價值單元用于在權(quán)限積分不足時，要求用戶提供高密級數(shù)據(jù)庫中的可訪問數(shù)據(jù)，并判斷數(shù)據(jù)價值；

24、所述輔助權(quán)限單元用于根據(jù)用戶提供的數(shù)據(jù)價值增加權(quán)限積分，并隨積分變動解除用戶數(shù)據(jù)庫鎖存限制。

25、一種基于大數(shù)據(jù)的業(yè)務(wù)權(quán)限管理方法，包括以下步驟：

26、步驟s1.在數(shù)據(jù)庫內(nèi)設(shè)置權(quán)限代理程序，對外代理提供數(shù)據(jù)庫服務(wù)能力，通過程序的通信端口構(gòu)建跨庫通信信道，并在權(quán)限代理程序中預置以鏈表形式存儲的入庫信息；

27、步驟s2.用戶對數(shù)據(jù)庫發(fā)起業(yè)務(wù)操作，將操作請求添加進sql請求對應(yīng)的jdbc驅(qū)動包，權(quán)限代理程序接收驅(qū)動包，解析用戶身份令牌和sql語句，對sql語句進行語法解析，輸出語句類型；

28、步驟s3.驗證用戶行列權(quán)限，過濾無權(quán)限語句操作，基于用戶歷史操作記錄生成用戶畫像，將待執(zhí)行命令輸入用戶畫像進行操作模擬，將待執(zhí)行命令的模擬概率與平均概率的差記為模擬偏差；

29、步驟s4.根據(jù)用戶身份令牌，建立用戶初始權(quán)限積分檔案，每執(zhí)行一次業(yè)務(wù)操作，將模擬偏差、語句類型風險和行列權(quán)限參數(shù)加權(quán)累加，得到操作風險，從權(quán)限積分中扣除操作風險，按剩余積分與當次操作風險的比值，對行列數(shù)據(jù)進行訪問鎖存；

30、步驟s5.權(quán)限積分不足時，要求用戶提供高密級數(shù)據(jù)庫中的任意可訪問數(shù)據(jù)，通過跨庫信道驗證數(shù)據(jù)準確性，由提供數(shù)據(jù)的保密等級得到數(shù)據(jù)價值，根據(jù)提供的數(shù)據(jù)價值增加權(quán)限積分，并隨積分變動解除數(shù)據(jù)鎖存限制。

31、進一步的，步驟s1包括：

32、步驟s11.設(shè)置權(quán)限代理程序，所有對于數(shù)據(jù)庫的訪問請求均由權(quán)限代理程序代理接收，允許數(shù)據(jù)庫管理者根據(jù)業(yè)務(wù)需求，在權(quán)限代理程序中自定義數(shù)據(jù)表的行列權(quán)限規(guī)則，權(quán)限規(guī)則支持多種條件組合，包括：用戶身份、數(shù)據(jù)字段值和時間范圍；

33、步驟s12.在權(quán)限代理程序所在硬件設(shè)備中預留通信端口，統(tǒng)一設(shè)置通信協(xié)議，數(shù)據(jù)庫間的信息能夠通過通信端口進行跨庫通信，通信信道設(shè)置為請求應(yīng)答式傳輸，排除跨庫信道造成的數(shù)據(jù)污染；

34、步驟s13.在權(quán)限代理程序中設(shè)置權(quán)限鏈表用以存儲入庫信息，所述權(quán)限鏈表中包含用戶身份信息、權(quán)限信息和訪問記錄。

35、進一步的，步驟s2包括：

36、步驟s21.用戶發(fā)起業(yè)務(wù)操作動作時，向權(quán)限代理程序發(fā)送操作請求，將操作請求轉(zhuǎn)成數(shù)據(jù)庫操作語句添加進sql請求對應(yīng)的jdbc驅(qū)動包；

37、步驟s22.在應(yīng)用發(fā)起sql請求的過程中,攔截jdbc驅(qū)動包，解析的用戶身份令牌和sql語句，對指令中發(fā)起的sql語句進行修正，并進行語法解析，輸出sql語句對應(yīng)的語句類型，所述語句類型包括：查詢、刪除、添加和修改指令。

38、進一步的，步驟s3包括：

39、步驟s31.解析中sql語句中涉及的數(shù)據(jù)表、數(shù)據(jù)行和數(shù)據(jù)列，調(diào)取權(quán)限鏈表中用戶身份對應(yīng)的表權(quán)限和行列權(quán)限，如果存在非授權(quán)范圍內(nèi)的表訪問，拒絕訪問請求，如果所有操作表均有授權(quán)，則判定行列權(quán)限，過濾無權(quán)限的行列操作，并重構(gòu)sql請求；

40、步驟s32.通過步驟s32-1或s32-2中的任一方法構(gòu)建用戶畫像模型；

41、步驟s32-1.將歷史操作記錄輸入機器學習框架，包括tensorflow、pytorch和scikit-learn框架，模擬各先驗操作與后驗操作間的關(guān)聯(lián)模式，以已操作語句為輸入，下一操作語句為輸出構(gòu)建模型，生成用戶畫像模型；

42、步驟s32-2.基于用戶的歷史操作記錄，按以下公式計算用戶在后驗操作中的概率：

43、；

44、其中，pa為用戶畫像模型的中樞函數(shù)，c為前序輸入，i為后序輸入，ra和rc分別代表前序輸入和后序輸入在用戶的歷史操作記錄中的執(zhí)行概率，p(i)代表當前輸入的后序輸入為i的概率，p(c)代表當前輸入的前序輸入為c的概率，n代表歷史操作總次數(shù)，m代表歷史操作次數(shù)的序號；

45、將用戶的前序輸入c代入中樞函數(shù)，分別得到各后序輸入出現(xiàn)的概率；

46、步驟s33.將當前操作中的已執(zhí)行命令作為前序命令，下一待執(zhí)行命令作為后序命令，從用戶畫像模型中獲取后序命令出現(xiàn)的概率p1，計算模擬偏差d，所述d=p1-1/n，記錄得到的模擬偏差。

47、進一步的，步驟s4包括：

48、步驟s41.在權(quán)限代理程序中預置各用戶的初始權(quán)限積分，在用戶操作前建立初始積分檔案，用戶每執(zhí)行一次業(yè)務(wù)操作，按以下公式計算操作風險：

49、；

50、其中，q為用戶的操作風險，k為數(shù)據(jù)表的保密系數(shù)，d為模擬偏差，y為偏差調(diào)整系數(shù)，u為用戶待執(zhí)行語句的數(shù)量，j為待執(zhí)行語句的編號，aj和bj分別代表第j個語句執(zhí)行位置的最高行權(quán)限和最高列權(quán)限，aj和bj分別代表第j個語句執(zhí)行位置中用戶擁有的行權(quán)限和列權(quán)限；

51、步驟s42.在初始權(quán)限積分中扣除用戶的操作風險，計算剩余權(quán)限積分與操作風險的比值，當比值低于第一閾值時，關(guān)閉語句執(zhí)行位置的修改權(quán)限，低于第二閾值時關(guān)閉語句執(zhí)行位置的增加和刪除權(quán)限，低于第三閾值時，關(guān)閉語句執(zhí)行位置的查詢權(quán)限，閾值均由程序預設(shè)。

52、進一步的，步驟s5包括：

53、步驟s51.剩余權(quán)限積分不足時，要求用戶提供高密級數(shù)據(jù)庫中的任意數(shù)據(jù)，且提供的數(shù)據(jù)在用戶的權(quán)限范圍內(nèi)可被訪問；

54、用戶從高密級數(shù)據(jù)庫中得到數(shù)據(jù)后，輸入數(shù)據(jù)所在數(shù)據(jù)庫、表格、行列和數(shù)據(jù)內(nèi)容，通過跨庫信道驗證準確性，驗證通過后轉(zhuǎn)到步驟s52；

55、步驟s52.由所提供數(shù)據(jù)所在數(shù)據(jù)庫的保密等級和預設(shè)的等級對應(yīng)表，得到提供數(shù)據(jù)的價值，增加用戶的權(quán)限積分，增加量與提供數(shù)據(jù)的價值相等，轉(zhuǎn)到步驟s42繼續(xù)執(zhí)行sql語句。

56、與現(xiàn)有技術(shù)相比，本發(fā)明所達到的有益效果是：

57、1.本發(fā)明能夠建立數(shù)據(jù)庫間的通信信道，在數(shù)據(jù)庫的權(quán)限代理程序中建立權(quán)限鏈表，建立以用戶身份為主鍵的映射關(guān)系，統(tǒng)一管理用戶的身份權(quán)限信息，避免在多個數(shù)據(jù)庫中維護不同的用戶權(quán)限信息，更快速地進行權(quán)限授權(quán)和撤銷操作，降低管理復雜性。

58、2.本發(fā)明能夠?qū)⒂脩舨僮髡埱筇砑舆M對應(yīng)的驅(qū)動包，根據(jù)用戶身份令牌確定用戶的行權(quán)限與列權(quán)限，并監(jiān)聽sql指令，確定用戶操作風險，通過精細化的行列權(quán)限控制，有效防止數(shù)據(jù)泄露和誤操作，同時實現(xiàn)對數(shù)據(jù)行和列的細粒度控制，確保權(quán)限的一致性和準確性，降低數(shù)據(jù)泄露和權(quán)限漏洞的風險，提高數(shù)據(jù)庫管理效率。

59、3.本發(fā)明能夠通過從低密級數(shù)據(jù)庫要求用戶提供高密級數(shù)據(jù)庫中任意可訪問位置的數(shù)據(jù)信息，根據(jù)所提供數(shù)據(jù)信息的保密等級和權(quán)限等級，增加用戶的基準權(quán)限，實現(xiàn)權(quán)限最高認證的關(guān)聯(lián)，可以有針對性地制定安全措施，實現(xiàn)對數(shù)據(jù)庫集群的整體保護。