【技术实现步骤摘要】
【国外来华专利技术】多租户数据库管理系统中数据库加密的系统和方法
技术介绍
一些现有的多租户数据库系统可以提供租户数据的加密。但是,这种加密是由独立于数据库的应用执行的。也就是说,应用加密租户数据,并将加密的租户数据传输至数据库进行存储。对于这种排布,不能对加密的数据执行诸如筛选、排序、索引等典型的数据库功能。也就是说,在现有的多租户数据库系统中,对多租户数据库中特定数据的加密将对数据库的使用施加限制。在某些情况下,试图使用加密的数据执行典型的数据库功能会破坏正在使用的应用的功能。尽管传统的单租户数据库系统可能允许租户数据的加密,但它们不能为不同的租户处理不同的加密。一些数据库系统提供租户加密,但要求将租户数据逻辑上分离到不同的数据库、表空间等中。附图说明附图是为了提供对所公开主题的进一步理解而包含在本说明书中,并构成本说明书的一部分。附图还示出了所公开主题的实施方式,并且与详细说明一起用于说明所公开主题的实施方式的原理。除了对所公开主题的基本理解和可以实践它的各种方式所必需的之外,不会详细地示出结构细节。图1示出了根据所公开主题的实施方式的...
【技术保护点】
1.一种管理多租户数据库系统的第一租户的第一租户数据的至少一部分的安全性的计算机化方法,该多租户数据库系统至少存储所述第一租户的所述第一租户数据和第二租户的第二租户数据,所述第一租户的所述第一租户数据存储在与第一租户标识符相关联的所述多租户数据库系统的不可变存储器中,而所述第二租户的第二租户数据存储在与第二租户标识符相关联的所述多租户数据库系统的不可变存储器中,其中,所述第一租户数据和所述第二租户数据的任何部分逻辑上属于所述多租户数据库系统中的至少一个相同数据库对象,所述方法包括:/n基于所述第一租户标识符,在联接至所述多租户数据库系统的内存存储器上,将所述第一租户的所述第...
【技术特征摘要】
【国外来华专利技术】20190131 US 16/263,7511.一种管理多租户数据库系统的第一租户的第一租户数据的至少一部分的安全性的计算机化方法,该多租户数据库系统至少存储所述第一租户的所述第一租户数据和第二租户的第二租户数据,所述第一租户的所述第一租户数据存储在与第一租户标识符相关联的所述多租户数据库系统的不可变存储器中,而所述第二租户的第二租户数据存储在与第二租户标识符相关联的所述多租户数据库系统的不可变存储器中,其中,所述第一租户数据和所述第二租户数据的任何部分逻辑上属于所述多租户数据库系统中的至少一个相同数据库对象,所述方法包括:
基于所述第一租户标识符,在联接至所述多租户数据库系统的内存存储器上,将所述第一租户的所述第一租户数据至少与所述第二租户的所述第二租户数据分离;
基于所述第一租户标识符,从密钥缓存内存中检索与所述第一租户相关联的第一加密密钥,以加密所述第一租户数据的一个或多个片段,其中,所述第一加密密钥不同于与所述第二租户相关联的第二加密密钥;
基于所述检索的第一加密密钥,在所述多租户数据库系统上,加密所述第一租户数据的所述一个或多个片段中的至少一个片段;
在所述多租户数据库系统上,为所述加密的所述第一租户数据的一个或多个片段中的每一个片段生成非加密的报头信息,其中,所述报头信息具有包括所述第一租户标识符的元数据;以及
将所述加密的所述第一租户数据的一个或多个片段和所述对应的非加密的报头信息存储在所述不可变存储器中。
2.根据权利要求1所述的方法,其中,所述第一租户数据是针对已提交的事务的数据。
3.根据权利要求1所述的方法,还包括:
当认证请求者时,授予对与所述第一租户相关联的所述第一加密密钥的访问权限。
4.根据权利要求1所述的方法,还包括:
在所述多租户数据库系统上,接收对所述第一租户数据的所述一个或多个片段的请求;
在所述多租户数据库系统上,确定通信联接至所述多租户数据库系统的块缓存内存是否包括所述请求的所述第一租户数据的一个或多个片段;以及
当确定所述请求的所述第一租户数据的一个或多个片段在所述块缓存内存中时,将其提供给所述多租户数据库系统。
5.根据权利要求4所述的方法,还包括:
当确定所述请求的所述第一租户数据的一个或多个片段不存在于所述块缓存内存中时,通过使用所述第一租户数据的所述一个或多个片段的所述非加密的报头信息的所述元数据,来识别加密的所述请求的所述第一租户数据的一个或多个片段;
从所述密钥缓存内存或密钥管理系统(KMS)中检索所述第一加密密钥,以基于所述非加密的报头信息的所述元数据,来解密所述第一租户数据的所述一个或多个片段;
使用所述检索的第一加密密钥,来解密所述第一租户数据的所述一个或多个片段;以及
将所述解密的所述第一租户数据的一个或多个片段提供给所述块缓存内存。
6.根据权利要求5所述的方法,还包括:
当认证请求者时,在所述密钥缓存内存上,授予对与所述第一租户相关联的所述第一加密密钥的访问权限。
7.根据权利要求5所述的方法,其中,当所述第一加密密钥在所述密钥缓存内存中不可用时,从所述KMS中检索第一加密密钥。
8.根据权利要求4所述的方法,还包括:
在所述多租户数据库系统上,执行从以下各项组成的组中选择的至少一项操作:筛选、排序以及索引所述块缓存内存中的所述第一租户数据的所述一个或多个片段。
9.根据权利要求1所述的方法,还包括:
在所述多租户数据库系统上,使用独立于所述第一加密密钥和所述第二加密密钥并且不与所述第一租户和所述第二租户相关联的系统密钥,来加密来自以下各项组成的组中的至少一项:所述多租户数据库的索引和事务日志。
10.根据权利要求1所述的方法,还包括:
在多租户数据库系统上,在预定时间段内或当接收到密钥改变请求时,改变所述第一加密密钥;以及
基于所述改变的密钥,将所述第一租户数据作为新版本存储在所述多租户数据库系统的所述不可变存储器中。
11.根据权利要求1所述的方法,还包括:
在所述多租户数据库系统上,通过将沙箱租户标识符与所述第一租户数据的虚拟快照以及与在所述沙箱创建时间点之后由所述沙箱租户创建的沙箱租户数据相关联,来创建沙箱租户,
其中,所述沙箱租户数据用所述第一加密密钥进行加密。
12.根据权利要求11所述的方法,还包括:
在所述多租户数据库系统上,在创建所述沙箱租户之后,为所述沙箱租户选择新的密钥。
13.根据权利要求1所述的方法,还包括:
将要迁移的所述第一租户的元数据从源数据库实例传输至目标数据库实例,其中,所述目标数据库实例位于不同于所述源数据库实例的物理服务器或虚拟化服务器上;以及
在所述目标数据库实例上,修改所述第一租户的所述元数据,使得所述目标数据库实例具有指向存储器中的数据分组的信息,以便目标数据库访问所述第一租户数据。
14.一种管理多租户数据库系统的第一租户的第...
【专利技术属性】
技术研发人员:T·崇,J·B·马丁,T·方哈内尔,A·塔克,N·怀亚特,R·哈努曼塔鲁,A·本古尔,W·C·莫蒂默,
申请(专利权)人:易享信息技术有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。