具有基于角色的訪問(wèn)控制的計(jì)算機(jī)關(guān)系數(shù)據(jù)庫(kù)方法和系統(tǒng)技術(shù)方案

一種計(jì)算機(jī)方法、系統(tǒng)和裝置，控制對(duì)多個(gè)數(shù)據(jù)庫(kù)中的受保護(hù)數(shù)據(jù)的訪問(wèn)。貯存庫(kù)耦合到數(shù)據(jù)庫(kù)并且具有安全運(yùn)行時(shí)子系統(tǒng)。貯存庫(kù)截獲多個(gè)數(shù)據(jù)庫(kù)中的主題數(shù)據(jù)庫(kù)(subject?database)的用戶查詢。安全運(yùn)行時(shí)子系統(tǒng)根據(jù)截獲的查詢確定用戶和對(duì)應(yīng)的用戶角色。基于用戶角色，安全運(yùn)行時(shí)子系統(tǒng)自動(dòng)修改用戶查詢以濾除標(biāo)識(shí)的用戶未被授權(quán)訪問(wèn)、但是作為用戶查詢的部分的安全數(shù)據(jù)。

【技術(shù)實(shí)現(xiàn)步驟摘要】
【國(guó)外來(lái)華專(zhuān)利技術(shù)】
本公開(kāi)內(nèi)容具體描述用來(lái)實(shí)施基于角色的訪問(wèn)控制系統(tǒng)以保護(hù)關(guān)系數(shù)據(jù)模型中或者一個(gè)或者多個(gè)數(shù)據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)的算法和結(jié)構(gòu)。
技術(shù)介紹
一般在現(xiàn)有技術(shù)中，關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)僅在對(duì)象/操作級(jí)提供安全性。例如，有可能配置哪些用戶可以讀取或者修改表、視圖或者存儲(chǔ)過(guò)程。在更高級(jí)的數(shù)據(jù)庫(kù)系統(tǒng)中，也有可能控制行級(jí)訪問(wèn)(使用視圖以控制對(duì)數(shù)據(jù)的訪問(wèn)(使用由數(shù)據(jù)庫(kù)系統(tǒng)提供的角色隸屬函數(shù))并且使用模型以存儲(chǔ)數(shù)據(jù)標(biāo)簽到角色的關(guān)聯(lián)(該關(guān)聯(lián)可以用來(lái)過(guò)濾由視圖呈現(xiàn)的數(shù)據(jù)))。那些機(jī)制帶來(lái)以下問(wèn)題(I)需要在數(shù)據(jù)庫(kù)系統(tǒng)中配置訪問(wèn)數(shù)據(jù)庫(kù)的用戶或者組。(2)數(shù)據(jù)庫(kù)系統(tǒng)必須具有對(duì)安全存儲(chǔ)庫(kù)(即LDAP)的物理訪問(wèn)權(quán)以便分析用戶組隸屬關(guān)系和賬戶的狀態(tài)(啟用/禁用)。(3)必須與數(shù)據(jù)庫(kù)一起或者在連接到數(shù)據(jù)庫(kù)時(shí)使用用戶的標(biāo)識(shí)。(4)在多層系統(tǒng)上認(rèn)證用戶需要委托并非普遍可用的證書(shū)。(5)在數(shù)據(jù)庫(kù)服務(wù)器中認(rèn)證每個(gè)用戶防礙使用連接池并且因此降低性能。(6)迫使數(shù)據(jù)庫(kù)分析用戶、組和角色隸屬關(guān)系降低性能。(7)對(duì)安全角色的改變需要修改數(shù)據(jù)庫(kù)對(duì)象(即視圖或者存儲(chǔ)過(guò)程)。
技術(shù)實(shí)現(xiàn)思路
本專(zhuān)利技術(shù)解決現(xiàn)有技術(shù)的弊端。各實(shí)施例提供一種將對(duì)象和行級(jí)安全性從數(shù)據(jù)庫(kù)系統(tǒng)去耦合的解決方案。也就是說(shuō)，實(shí)施例在數(shù)據(jù)庫(kù)表的行級(jí)和列級(jí)二者控制對(duì)數(shù)據(jù)庫(kù)對(duì)象中的數(shù)據(jù)的訪問(wèn)?？梢钥刂朴脩羰欠窨梢钥匆?jiàn)(訪問(wèn))數(shù)據(jù)庫(kù)表并且繼而在行級(jí)以及列級(jí)(即表中的字段)控制用戶可以看見(jiàn)(訪問(wèn))來(lái)自表內(nèi)部的什么數(shù)據(jù)。重申的是，出于用戶訪問(wèn)和安全目的而有效限定表的子視圖。本專(zhuān)利技術(shù)的實(shí)施例的高級(jí)過(guò)程如下I.用戶經(jīng)由貯存庫(kù)向目標(biāo)關(guān)系模型提交查詢。2.貯存庫(kù)截獲查詢并且標(biāo)識(shí)用戶。3.可以提供用戶名作為附加信息以便支持委托。4.解析查詢以便標(biāo)識(shí)哪些數(shù)據(jù)庫(kù)對(duì)象將由查詢?cè)L問(wèn)。5.貯存庫(kù)查找將在元模型(MetaModel)中訪問(wèn)的實(shí)體(對(duì)象)的安全信息并且分析授權(quán)存儲(chǔ)庫(kù)(即LDAP)中存儲(chǔ)的任何組隸屬關(guān)系。6.貯存庫(kù)允許或者不允許在甚至到達(dá)目標(biāo)數(shù)據(jù)庫(kù)之前訪問(wèn)對(duì)象/實(shí)體。7.如果允許訪問(wèn)，則貯存庫(kù)在查詢被提交到關(guān)系模型(目標(biāo)數(shù)據(jù)庫(kù))之前修改它，從而使得例如使用SQL where子句來(lái)濾除拒絕用戶訪問(wèn)(即未授權(quán)或者無(wú)資格訪問(wèn))的信息。SQL where子句在數(shù)據(jù)庫(kù)表的行級(jí)過(guò)濾。因此，水平(按照數(shù)據(jù)庫(kù)表行)和豎直(按照數(shù)據(jù)庫(kù)表列)限定用于訪問(wèn)的安全規(guī)則，并且修改的查詢水平(按照數(shù)據(jù)庫(kù)表行)和豎直(按照數(shù)據(jù)庫(kù)表列)過(guò)濾數(shù)據(jù)請(qǐng)求。存儲(chǔ)安全配置信息作為如下數(shù)據(jù)，該數(shù)據(jù)使用豐富表達(dá)系統(tǒng)來(lái)限制(qualify)哪些數(shù)據(jù)可由某個(gè)角色/任務(wù)訪問(wèn)。這一信息也由貯存庫(kù)本身保護(hù)并且因此使安全系統(tǒng)在運(yùn)行時(shí)動(dòng)態(tài)可調(diào)。在一個(gè)實(shí)施例中，一種控制對(duì)數(shù)據(jù)庫(kù)中的受保護(hù)數(shù)據(jù)的訪問(wèn)的方法和/或系統(tǒng)包括 將貯存庫(kù)操作地耦合到存儲(chǔ)安全數(shù)據(jù)的一個(gè)或者多個(gè)數(shù)據(jù)庫(kù)；配置和運(yùn)用貯存庫(kù)以截獲數(shù)據(jù)庫(kù)中的一個(gè)數(shù)據(jù)庫(kù)的用戶查詢；貯存庫(kù)可由處理器執(zhí)行，并且處理器根據(jù)截獲的查詢自動(dòng)確定生成用戶查詢的用戶和向該用戶分配的用戶角色；基于確定的用戶角色，處理器自動(dòng)修改用戶查詢以濾除用戶無(wú)訪問(wèn)權(quán)(無(wú)資格或者未被允許訪問(wèn))的安全數(shù)據(jù)；并且將修改的查詢應(yīng)用于一個(gè)數(shù)據(jù)庫(kù)以取回(如由用戶角色授權(quán)的)合格數(shù)據(jù)。各實(shí)施例解析截獲的查詢并且標(biāo)識(shí)主題數(shù)據(jù)庫(kù)中的將作為用戶查詢的部分而訪問(wèn)的對(duì)象。用戶查詢可以包括用戶的指示。并且儲(chǔ)存器還被配置成在數(shù)據(jù)庫(kù)中的元模型中查找標(biāo)識(shí)的對(duì)象的安全信息并且分析任何組隸屬關(guān)系。根據(jù)本專(zhuān)利技術(shù)的原理，各實(shí)施例在數(shù)據(jù)庫(kù)的元模型中存儲(chǔ)限制哪些數(shù)據(jù)對(duì)象可由某些用戶角色訪問(wèn)的安全信息。貯存庫(kù)還被配置成在元模型中查找標(biāo)識(shí)的對(duì)象的安全信息并且確定濾除用戶查詢的哪些標(biāo)識(shí)的對(duì)象。例如，貯存器被配置成在如元模型中限定和相關(guān)的相關(guān)表、子表、列、行和元素中遍歷查找標(biāo)識(shí)的對(duì)象的安全信息。各實(shí)施例還使用貯存庫(kù)以保護(hù)安全信息。這使安全信息能夠在運(yùn)行時(shí)動(dòng)態(tài)可調(diào)在一些實(shí)施例中，自動(dòng)確定和自動(dòng)修改的步驟包括將對(duì)象和行級(jí)安全性從主題數(shù)據(jù)庫(kù)去耦合。數(shù)據(jù)庫(kù)中的至少一個(gè)數(shù)據(jù)庫(kù)在各實(shí)施例中是關(guān)系數(shù)據(jù)庫(kù)。自動(dòng)修改用戶查詢的步驟包括插入SQL where子句以濾除主題數(shù)據(jù)庫(kù)中的某些安全數(shù)據(jù)對(duì)象(表行)，這些安全數(shù)據(jù)對(duì)象是用戶查詢的部分。優(yōu)選地，數(shù)據(jù)庫(kù)相互無(wú)關(guān)、相異并且非集中管理。附圖說(shuō)明從如附圖中所示本專(zhuān)利技術(shù)的示例實(shí)施例的下文更具體描述中前述內(nèi)容將是顯而易見(jiàn)的，在附圖中，相似標(biāo)號(hào)貫穿不同視圖指代相同部分。附圖未必按比例，代之以強(qiáng)調(diào)圖示本專(zhuān)利技術(shù)的實(shí)施例。圖I是本專(zhuān)利技術(shù)的一個(gè)實(shí)施例的框圖。圖2是實(shí)施例中的關(guān)系數(shù)據(jù)模型和對(duì)應(yīng)的元數(shù)據(jù)(即元模型)的示意圖。圖3是實(shí)施例中的元模型的基于角色的安全信息的示意圖。圖4是將本專(zhuān)利技術(shù)具體化的計(jì)算機(jī)網(wǎng)絡(luò)的示意圖。圖5是圖4的網(wǎng)絡(luò)中的計(jì)算機(jī)節(jié)點(diǎn)的框圖。具體實(shí)施例方式本專(zhuān)利技術(shù)示例實(shí)施例的描述如下。圖I的示圖代表本專(zhuān)利技術(shù)一個(gè)實(shí)施例的部件。所示系統(tǒng)100將對(duì)象和行級(jí)安全性從數(shù)據(jù)庫(kù)系統(tǒng)去耦合。實(shí)施例系統(tǒng)100 —次對(duì)多個(gè)數(shù)據(jù)庫(kù)19操作或者應(yīng)用于多個(gè)數(shù)據(jù)庫(kù)19。多個(gè)數(shù)據(jù)庫(kù)中的數(shù)據(jù)庫(kù)相互無(wú)關(guān)并且非集中管理。專(zhuān)利技術(shù)系統(tǒng)100的部件在一個(gè)實(shí)施例中包括貯存庫(kù)15，其存儲(chǔ)數(shù)據(jù)庫(kù)19的模型23或者其部分；web服務(wù)接口 29，其向終端用戶呈現(xiàn)模型23的表示；元模型數(shù)據(jù)13 ;以及安全系統(tǒng)部件17。 貯存庫(kù)15包括(I)多個(gè)模型23和(2)模型管理器。多個(gè)模型23包括定制模型以及系統(tǒng)標(biāo)準(zhǔn)模型。每個(gè)模型23由代表目標(biāo)數(shù)據(jù)庫(kù)19、業(yè)務(wù)邏輯、事件觸發(fā)和函數(shù)、安全定義和分布配置的數(shù)據(jù)模型形成?？梢詣?chuàng)建、修改并且向模型管理器25/貯存庫(kù)15中注入作為模型23的部分的這些元素中的每個(gè)元素。模型管理器25按模型23管理這些元素并且將這些元素分組成模型23。對(duì)于給定模型23，它的數(shù)據(jù)模型限定實(shí)體、屬性和關(guān)系(比如目標(biāo)數(shù)據(jù)庫(kù)19的表和子表以及表/子表的組織)?？梢栽诿總€(gè)邏輯級(jí)(表元、子表元、表部分或者全部、子表部分或者全部)限定安全配置。限定、修改或者更新模型23的部分、向模型管理器25/貯存庫(kù)15中注入新模型23或者更新舊模型是系統(tǒng)100中的無(wú)需編碼或者編譯的簡(jiǎn)單配置任務(wù)并且可以在貯存庫(kù)15的實(shí)例運(yùn)行之時(shí)被執(zhí)行。對(duì)于每個(gè)模型23，系統(tǒng)100在模型管理器25/貯存庫(kù)15中限定模型的數(shù)據(jù)和業(yè)務(wù)邏輯并且在模型管理器25中指定模型的安全性、事件和分布配置。這使模型管理器25和貯存器15能夠支配誰(shuí)、何時(shí)和何處執(zhí)行業(yè)務(wù)邏輯以及訪問(wèn)數(shù)據(jù)。在一個(gè)實(shí)施例中，貯存器15的支配結(jié)構(gòu)可以設(shè)定和控制如何為具體用戶、組和組織提供和定制服務(wù)。申請(qǐng)人用服務(wù)指代虛擬機(jī)、桌面、物理服務(wù)器以及一般由專(zhuān)用或者公用云內(nèi)的系統(tǒng)100管理的任何基礎(chǔ)結(jié)構(gòu)、平臺(tái)或者軟件。貯存庫(kù)15的支配結(jié)構(gòu)控制與外部數(shù)據(jù)庫(kù)/關(guān)系模型19的系統(tǒng)集成的定制解決方案的方面。具體而言，貯存庫(kù)15的支配結(jié)構(gòu)控制在貯存庫(kù)15內(nèi)部或者使用外部數(shù)據(jù)庫(kù)或者系統(tǒng)創(chuàng)建、訪問(wèn)和修改現(xiàn)有的或者新數(shù)據(jù)；限定在分布式可縮放環(huán)境中執(zhí)行的定制業(yè)務(wù)邏輯；配置指定何時(shí)執(zhí)行業(yè)務(wù)邏輯的規(guī)則；以及配置指定何處執(zhí)行業(yè)務(wù)邏輯的規(guī)則?？梢杂脙煞N方式限定新數(shù)據(jù)模型(在23):(i)連接到現(xiàn)有外部數(shù)據(jù)庫(kù)19并且選擇整個(gè)數(shù)據(jù)庫(kù)19或者數(shù)據(jù)的子集。(ii)從暫存器創(chuàng)建指定新實(shí)體、屬性和關(guān)系的新數(shù)據(jù)。繼而，可以向模型管理器25和貯存器15中注入數(shù)據(jù)模型和對(duì)應(yīng)的模型23，并且模型管理器本文檔來(lái)自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】

【技術(shù)特征摘要】
【國(guó)外來(lái)華專(zhuān)利技術(shù)】2010.03.15 US 61/313,9511.一種控制對(duì)受保護(hù)數(shù)據(jù)的訪問(wèn)的方法，包括 將貯存庫(kù)操作地耦合到存儲(chǔ)安全數(shù)據(jù)的一個(gè)或者多個(gè)數(shù)據(jù)庫(kù)； 運(yùn)用所述貯存庫(kù)截獲所述數(shù)據(jù)庫(kù)中的一個(gè)數(shù)據(jù)庫(kù)的用戶查詢； 根據(jù)截獲的查詢自動(dòng)確定生成所述用戶查詢的用戶和向所述用戶分配的用戶角色； 基于確定的用戶角色自動(dòng)修改所述用戶查詢，以濾除所述用戶無(wú)訪問(wèn)權(quán)的安全數(shù)據(jù)；以及 將經(jīng)修改的查詢應(yīng)用于所述一個(gè)數(shù)據(jù)庫(kù)。2.根據(jù)權(quán)利要求I所述的方法，還包括解析所述截獲的查詢并且標(biāo)識(shí)所述一個(gè)數(shù)據(jù)庫(kù)中的、將作為所述用戶查詢的部分而訪問(wèn)的對(duì)象。3.根據(jù)權(quán)利要求2所述的方法，其中所述用戶查詢包括所述用戶的指示；并且 所述貯存庫(kù)還被配置成在所述一個(gè)數(shù)據(jù)庫(kù)的元模型中查找標(biāo)識(shí)的對(duì)象的安全信息并且分析任何組隸屬關(guān)系。4.根據(jù)權(quán)利要求2所述的方法，還包括在所述一個(gè)數(shù)據(jù)庫(kù)的元模型中存儲(chǔ)限制哪些數(shù)據(jù)對(duì)象可由某些用戶角色訪問(wèn)的安全信息，并且 所述貯存庫(kù)還被配置成在所述元模型中查找所標(biāo)識(shí)的對(duì)象的安全信息并且確定濾除所述用戶查詢的哪些標(biāo)識(shí)的對(duì)象。5.根據(jù)權(quán)利要求4所述的方法，還包括 使用所述貯存庫(kù)以保護(hù)所述安全信息，并且使所述安全信息能夠在運(yùn)行時(shí)動(dòng)態(tài)可調(diào)。6.根據(jù)權(quán)利要求I所述的方法，其中自動(dòng)確定和自動(dòng)修改的步驟包括將對(duì)象和行級(jí)安全性從所述數(shù)據(jù)庫(kù)去耦合。7.根據(jù)權(quán)利要求I所述的方法，還包括處理對(duì)所述一個(gè)數(shù)據(jù)庫(kù)的所述經(jīng)修改的查詢，并且向所述用戶返回所述經(jīng)修改的查詢的結(jié)果。8.根據(jù)權(quán)利要求I所述的方法，其中所述一個(gè)數(shù)據(jù)庫(kù)是關(guān)系數(shù)據(jù)庫(kù)。9.根據(jù)權(quán)利要求8所述的方法，其中自動(dòng)修改所述用戶查詢的步驟包括插入SQLWhere子句以濾除作為所述用戶查詢的部分的、所述數(shù)據(jù)庫(kù)中的某些安全數(shù)據(jù)/對(duì)象。10.根據(jù)權(quán)利要求I所述的方法，其中所述一個(gè)或者多個(gè)數(shù)據(jù)庫(kù)相互無(wú)關(guān)并且非集中管理。11.一種控制對(duì)受保護(hù)數(shù)據(jù)的訪問(wèn)的計(jì)算機(jī)系統(tǒng)，包括 貯存庫(kù)，操作地耦合到存儲(chǔ)安全數(shù)據(jù)的一個(gè)或者多個(gè)數(shù)據(jù)庫(kù)，所述貯存庫(kù)被配置成截獲所述數(shù)據(jù)庫(kù)中的一個(gè)數(shù)據(jù)庫(kù)的用戶查詢；以及 所述貯存庫(kù)的安全運(yùn)行時(shí)子系統(tǒng)，(i)根據(jù)截獲的查詢自動(dòng)確定生成所述用戶查詢的用戶和向所述用戶分配的用戶角色，并且(ii)基于所確定的用戶角色，自動(dòng)修改所述用戶查詢以濾除所述用戶無(wú)...

【專(zhuān)利技術(shù)屬性】
技術(shù)研發(fā)人員：L·馬勒，M·M·瓦塞爾，A·A·麥斯特羅，
申請(qǐng)(專(zhuān)利權(quán))人：迪納米科普斯公司，
類(lèi)型：
國(guó)別省市：