一種分布式順序表權限控制方法及其系統技術方案

本發明專利技術公開了一種分布式順序表權限控制方法及其系統，其中方法包括在服務端存儲用戶和數據表權限元信息；當客戶端向服務端發起RPC請求時，服務端接收所述RPC請求，從所述RPC請求中提取用戶身份信息、請求的操作和請求的數據源；根據所述用戶和數據表權限元信息對所述用戶身份信息、請求的操作以及請求的數據源進行合法性驗證。本發明專利技術的有益技術效果是能在不利用第三方安全系統的情況下基于分布式順序表實現用戶及數據訪問權限的控制，在未大幅增加實施成本的情況下提供了高效的安全控制機制。

【技術實現步驟摘要】

本專利技術涉及分布式信息處理領域，尤其涉及一種分布式順序表權限控制方法及其系統。
技術介紹
隨著網絡應用數據量的不斷增大，對數據存儲系統的存取性能、存儲開銷和可靠性提出了更高的要求。分布式順序表(Distributed Ordered Table簡稱DOT)是一種最適用于海量數據(TB到PB級)下多維區間查詢的數據庫系統。由于DOT系統自身缺乏有效的權限控制方案，因此其權限控制通常需要借助于第三方系統來實現，這使得系統的實施成本增加，運行效率降低。
技術實現思路
本專利技術的主要目的基于分布式順序表構建分布式權限控制系統，在不大幅增加成本的情況下提供高效的安全控制機制。為達此目的，本專利技術采用以下技術方案—種分布式順序表權限控制方法,其特征在于,包括在服務端存儲用戶和數據表權限元信息；當客戶端向服務端發起RPC請求時,服務端接收所述RPC請求,從所述RPC請求中提取用戶身份信息、請求的操作和請求的數據源；根據所述用戶和數據表權限元信息對所述用戶身份信息、請求的操作以及請求的數據源進行合法性驗證。進一步地,所述請求的操作包括請求讀取元信息、請求修改元信息、請求添加元信息、請求刪除元信息、請求讀取數據、請求修改數據、請求添加數據和請求刪除數據。進一步地，當客戶端向服務端發起RPC請求之前，對用戶身份信息進行加密，將加密后的用戶身份信息嵌入所述RPC請求；當服務端收到所述RPC請求時，從所述RPC請求中提取所述加密后的用戶身份信息，對所述加密后的用戶身份信息進行解密提取用戶身份信息。進一步地，所述在服務端存儲用戶和數據表權限元信息具體為將所述用戶和數據表權限元信息存儲在所述分布式順序表的底層文件系統中，在服務端的各個服務器上分別緩存一份所述用戶和數據表權限元信息的副本，當對所述用戶和數據表權限元信息進行修改時，通知服務端的各個服務器對所述用戶和數據表權限元信息的副本進行更新。進一步地，僅允許服務端的主結點對所述用戶和數據表權限元信息進行修改、刪除和添加。基于同一專利技術構思，本專利技術還提出了一種分布式順序表權限控制系統，包括權限元信息存儲模塊，用于在服務端存儲用戶和數據表權限元信息；權限信息提取模塊，用于當客戶端向服務端發起RPC請求時，服務端接收所述RPC請求，從所述RPC請求中提取用戶身份信息、請求的操作和請求的數據源；合法性驗證模塊，用于根據所述用戶和數據表權限元信息對所述用戶身份信息、請求的操作以及請求的數據源進行合法性驗證。進一步地,所述請求的操作包括請求讀取元信息、請求修改元信息、請求添加元信息、請求刪除元信息、請求讀取數據、請求修改數據、請求添加數據和請求刪除數據。進一步地,還包括身份信息加密模塊，用于當客戶端向服務端發起RPC請求之前，對用戶身份信息進行加密，將加密后的用戶身份信息嵌入所述RPC請求； 身份信息解密模塊，用于當服務端收到所述RPC請求時，從所述RPC請求中提取所述加密后的用戶身份信息，對所述加密后的用戶身份信息進行解密提取用戶身份信息。進一步地，所述權限元信息存儲模塊具體用于，將所述用戶和數據表權限元信息存儲在所述分布式順序表的底層文件系統中，在服務端的各個服務器上分別緩存一份所述用戶和數據表權限元信息的副本，當對所述用戶和數據表權限元信息進行修改時，通知服務端的各個服務器對所述用戶和數據表權限元信息的副本進行更新。進一步地，所述權限元信息存儲模塊中所述用戶和數據表權限元信息僅允許服務端的主結點進行修改、刪除和添加。本專利技術通過分布式順序表上建立用戶和數據表權限元信息系統以及分布式請求鑒權的權限控制的方法，能在不利用第三方安全系統的情況下基于分布式順序表實現用戶及數據訪問權限的控制，在未大幅增加實施成本的情況下提供了高效的安全控制機制。附圖說明圖1是本專利技術分布式順序表上支持分布式請求鑒權結構示意圖；圖2是本專利技術實施例一所述分布式順序表權限控制方法流程圖；圖3是本專利技術具體實施例二所述的分布式順序表權限控制系統結構框圖。具體實施例方式下面結合附圖并通過具體實施方式來進一步說明本專利技術的技術方案。圖1是本專利技術分布式順序表上支持分布式請求鑒權結構示意圖，用戶和數據表權限元信息存儲在分布式文件系統中，服務端收到RPC請求后需要對戶身份信息、請求的操作和請求的數據源分別進行鑒權，具體如圖1所示。實施一圖2是本實施例所述的分布式順序表權限控制方法流程圖，如圖2所示，本實施例所述的分布式順序表權限控制方法包括S201、在服務端存儲用戶和數據表權限元信息。其中，所述用戶和數據表權限元信息可以包括但不限于用戶，用戶組，用戶密碼，數據表，數據表所有用戶，數據表所有組，數據表的用戶、組、其他用戶的讀寫權限等信肩、O本專利技術是基于分布式順序表實現的，分布式順序表的基本特征是其數據按主鍵水平劃分為多個分片(Region)，每個分片存儲一段按主鍵排序的數據。同時將Region分配到多個數據節點(RegionServer)上。支持高速按主鍵的點查詢和區間查詢，支持高速數據隨機讀寫。所述用戶和數據表權限元信息僅允許服務端的主結點進行修改、刪除和添加。用戶和數據表權限元信息存儲在分布式順序表的底層文件系統上，服務端的多個服務器同時緩存該元信息，即各服務器均保持該元信息的一個副本，以便各服務器在對客戶端的請求進行鑒權時僅訪問本地緩存的數據即可，避免了遠程訪問的數據流量及時間消耗，提高了執行效率。另外，對于各服務器所保持的所述用戶和數據表權限元信息的多個副本，在對所述元信息進行修改時同時通知所述多個服務器以更新各自緩存的元信息副本，從而使得多個服務器上所緩存的元信息始終保持一致。通常將所述多個服務器分為主節點(Master)和數據節點(RegionServer)JfK述用戶和數據表權限元信息的修改全部由主節點完成，而對于數據內容的修改則由數據節 點來完成。S202、當服務端收到客戶端發起RPC請求時，提取用戶身份信息、請求的操作和請求的數據源。服務端收到所述RPC請求后從中提取用戶身份信息、請求的操作、以及請求的數據源，然后根據在服務端緩存的用戶和數據表權限元信息驗證所述用戶身份信息、請求的操作以及請求的數據源的合法性。其中，所述請求的操作包括請求讀取元信息、請求修改元信息、請求添加元信息、請求刪除元信息、請求讀取數據、請求修改數據、請求添加數據和請求刪除數據。其中，所述用戶和數據表權限元信息可以包括但不限于用戶，用戶組，用戶密碼，數據表，數據表所有用戶，數據表所有組，數據表的用戶、組、其他用戶的讀寫權限等信肩、O為了進一步增加網絡傳輸數據的安全性，所述步驟SlOl還可以進一步包括以下步驟在客戶端對用戶身份信息進行加密，并將加密后的用戶身份信息嵌入向服務端發起的RPC請求中；相應地，在服務端收到所述RPC請求后從中提取加密的用戶身份信息并進行解密，然后根據服務端緩存的用戶和數據表權限元信息驗證用戶身份的合法性。通過對所傳輸的數據進行加密處理有效地降低了非法竊取用戶身份信息的可能性。S203、判斷用戶身份、請求的操作和請求的數據源是否合法，若是則執行步驟S204,否則執行步驟S205。S204、響應請求。S205、不響應請求。如果服務端驗證用戶身份為非法，則中止當前的鑒權操作，并向客戶端返回請求失敗信息，指示當前發起請求的用戶本文檔來自技高網...

【技術保護點】
一種分布式順序表權限控制方法，其特征在于，包括：在服務端存儲用戶和數據表權限元信息；當客戶端向服務端發起RPC請求時，服務端接收所述RPC請求，從所述RPC請求中提取用戶身份信息、請求的操作和請求的數據源；根據所述用戶和數據表權限元信息對所述用戶身份信息、請求的操作以及請求的數據源進行合法性驗證。

【技術特征摘要】
1.一種分布式順序表權限控制方法,其特征在于,包括 在服務端存儲用戶和數據表權限元信息； 當客戶端向服務端發起RPC請求時，服務端接收所述RPC請求,從所述RPC請求中提取用戶身份信息、請求的操作和請求的數據源； 根據所述用戶和數據表權限元信息對所述用戶身份信息、請求的操作以及請求的數據源進行合法性驗證。2.如權利要求1所述的權限控制方法，其特征在于，所述請求的操作包括請求讀取元信息、請求修改元信息、請求添加元信息、請求刪除元信息、請求讀取數據、請求修改數據、請求添加數據和請求刪除數據。3.如權利要求1或2所述的權限控制方法，其特征在于 當客戶端向服務端發起RPC請求之前，對用戶身份信息進行加密，將加密后的用戶身份信息嵌入所述RPC請求； 當服務端收到所述RPC請求時，從所述RPC請求中提取所述加密后的用戶身份信息，對所述加密后的用戶身份信息進行解密提取用戶身份信息。4.如權利要求1所述的權限控制方法，其特征在于，所述在服務端存儲用戶和數據表權限元信息具體為 將所述用戶和數據表權限元信息存儲在所述分布式順序表的底層文件系統中，在服務端的各個服務器上分別緩存一份所述用戶和數據表權限元信息的副本，當對所述用戶和數據表權限元信息進行修改時，通知服務端的各個服務器對所述用戶和數據表權限元信息的副本進行更新。5.如權利要求1所述的權限控制方法，其特征在于，僅允許服務端的主結點對所述用戶和數據表權限元信息進行修改、刪除和添加。6.—種分布式順序表權限控制系統,其特征在于,包括 權限元信...

【專利技術屬性】
技術研發人員：劉佳，王銳堅，查禮，
申請(專利權)人：北京普澤天璣數據技術有限公司，
類型：發明
國別省市：