一种数据存储安全系统,其特征在于,包含: 与一个或多个数据项目相关联的至少一个分层数据结构;以及 一安全组件,它向从与数据存储相关联的全局位置向数据项目应用至少一个安全策略。(*该技术在2024年保护过期,可自由使用*)
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般地涉及计算机系统,尤其涉及依照分层排列的数据项目来使用增强的安全模型的系统与方法。
技术介绍
通过在服务于多种不同需求的同时提供一用于硬件和软件开发两者的平台,现代操作系统驱动着许多现今的基于技术的革新。这些系统已从较单纯的文件管理系统进化为以合理的成本提供高端性能的更复杂的工作站。此类系统常常包括例如多处理体系结构、高速存储器、高级外围设备、辅助软件开发的多种系统库与组件、以及复杂/交错的总线体系结构。这些系统的中心包括复杂的操作系统,它们不仅管理计算机相关硬件,还管理大量具有各种关系的软件组件。这些组件常按照具有多层关系的对象或类来描述,诸如在许多数据管理系统中可找到的文件与目录的分层树排列。新兴技术已产生用于在数据库内存储与管理对象的其他类型结构和模型。这些包括诸如启用各个项目或对象间的多重关系的包含性分层结构等分层结构。此类分层结构常被建模为有向非循环图(DAG),并支持从包含性分层结构的根节点到项目的多重路径关系。然而,无论涉及什么类型的数据结构,安全模型已应用于这些系统,以确定并帮助怎样允许实体(例如用户或其他组件)访问驻留于各个结构中的对象或项目。在许多方面,现有安全模型限制了操作系统安全并有效地管理数据的有效性。例如,一种安全模型通过将访问控制列表(ACL)与分层结构中的每个文件或目录相关联来实现安全性。一种继承模型随即提供为目录中新创建的项目指定默认ACL的支持,但接下来如果目录上的ACL改变了,则包含在该目录下的分层结构中的文件与文件夹不会自动更新。并且,例如,在任何目录中指定的ACL可用更高级的API来传播。因此,每个项目都能覆盖其上层的安全策略,且能在其级别上指定一ACL,该ACL或是明确地阻止从上层的进一步继承,或仅当一新创建的ACL沿该分层结构向下传播时重继承。不幸的是,在卷级上,由于没有追踪这些不同的安全策略的单个地方,(它们通常按每一项目来追踪),因此要确定在该级上所得的安全策略即使不是不可能,也是极其困难的。如上面所提及的,如果在目录处指定一新的ACL,则其可被沿该分层结构向下传播,但这通常必须在该分层结构中的每个文件与目录上执行操作。对于特别大的卷来说,这会占去过量的时间。注意,即使单实例化ACL也不能减轻此问题,因为单实例化是与包含性路径无关地发生的。因而,如果两个分层结构碰巧在其被包含的项目上有同一ACL,如果对其中一个的策略改变了,那么简单地更新单实例表将是不正确的,因为那也将改变对另一分层结构的策略。现有安全模型的其他问题涉及各项目之间硬链接的存在,当联合ACL继承考虑时,硬链接引入语义问题。例如,当在文件夹1下创建一个项目,它从文件夹1接收一默认ACL1。创建从文件夹2到该项目的后续链接不会改变该安全性。然而,如果文件夹2上的新ACL3被应用于其分层结构,则它也改变了该项目上的ACL。随后,如果新ACL被应用于文件夹1,它随即向下继承至该项目。因而,无论是谁或什么碰巧最后进行写操作将覆盖现存的继承的ACL。这类安全安排至少是混乱的,并且时常是不可预测的,这是很不合需要的。专利技术概述为了提供对本专利技术的某些方面的基本理解,下文给出本专利技术的简化概述。此概述不是本专利技术广泛综述。它并不试图标识本专利技术的关键/决定性元素,也不试图描绘本专利技术的范畴。它唯一的目的是以简单的形式提出本专利技术的一些概念,作为对稍后给出的更详尽描述的序言。本专利技术涉及为分层排列的数据项目提供一种可预测且全局化的安全模型的系统与方法。此类分层结构可包括实际上任何类型的分层排列的项目,诸如普通树状结构或诸如有向非循环图(DAG)等的更精致的数据结构。在一方面,提供了一种安全组件,它使安全策略能以诸如来自映射到数据库中的一个或多个安全区域等更全局的方式来应用。这些策略可包括明确地定义的策略及/或可从与所涉及的数据结构类型相关联的路径或区域的各个部分继承的更广义的策略(例如,以一种方式应用于树状结构,并以一随后的方式应用于包含性分层结构的安全策略)。由于各个安全策略是则数据库的区域或全局级应用的,而不是对分层结构中的每数据项目应用单独的安全文件,因此本专利技术显著地提高了数据库的性能。性能的提高是通过减轻与常规系统安全模型相关联的计算操作来实现的,这些常规系统安全模型创建/管理多个孤立的安全文件,随着数据项目被添加到数据库中,这些孤立的安全文件的数量还继续增长。在本专利技术的另一方面,提供了各种组件与过程来使安全策略能自动与数据库项目相关联。这些组件定义了一种安全模型,它根据所使用的数据结构类型,将安全策略映射到个别项目。例如,在一类数据库中,包含性分层结构可包括出现在该分层结构中的各项目间的各种持有关系。持有关系可用于为相应的项目传播安全策略,其中,该安全策略可包括显式部分(例如,由系统管理员定义),以及从父节点和/或与该项目相关联的其他组件获得的继承部分两者。因而,可对一规则进行建模,该规则使项目能依照该分层结构,沿从该分层结构的根节点到各个项目的路径的分支来继承安全策略。并且,如果遇到一更传统的树状排列,诸如在树的根节点到各数据项目之间有一条路径的情形下,那么可应用安全策略的替换映射。通过提供根据所遇到的分层结构类型来映射安全策略的各种方法,本专利技术提供一种健壮的安全模型,它通过减轻与常规安全技术相关联的不确定性来促进系统性能,并提升稳定性。为达成前述及相关目的,本文结合以下描述与附图描述了本专利技术的某些说明性方面。这些方面指示了可实施本专利技术的各种方法,所有这些方法都旨在被本专利技术所覆盖。当结合附图考虑时,本专利技术的其他优点与新颖的特征将从以下对本专利技术的具体描述中变得显而易见。附图简述附图说明图1是依照本专利技术的一个方面的数据库安全系统与模型的示意性框图。图2是依照本专利技术的一个方面的访问控制列表与排序组件的图示。图3是示出依照本专利技术的一个方面的安全策略分发的图示。图4是示出依照本专利技术的一个方面的示例访问掩码的图示。图5是示出依照本专利技术的一个方面,用于类似地保护的安全区域的示例数据结构的图示。图6是示出依照本专利技术的一个方面的安全区域创建的图示。图7是示出依照本专利技术的一个方面的安全过程的流程图。图8是示出依照本专利技术的一个方面的合适的操作环境的示意性框图。图9是示出可与本专利技术交互的示例计算环境的示意性框图。专利技术详细描述本专利技术涉及促进驻留于(或相关于)分层数据库或存储结构(例如,分支到各个节点的分层树)的数据项目的安全性的系统与方法。在一方面,提供了一种具有与一个或多个数据项目相关联的分层数据结构的数据库安全系统。该系统包括一安全组件,它将一安全策略应用于来自与数据库相关联的全局位置或区域的数据项目。使用各种组件与过程来使显式和/或继承的安全属性能由数据项目接收,及传播到数据项目,取决于所遇到的或处理的数据结构的类型。通过在数据库全局、卷、或区域级关联安全策略和/或属性-与项目级相反,比常规系统减轻了数据库处理操作,常规数据库通常将个别安全文件与驻留在数据库中的各数据项目链接。如同在本申请中所使用的,术语“组件”、“树”、“模型”、“系统”等等意指计算机相关的实体,或者是硬件、硬件与软件的组合、软件、或者是执行中的软件。例如,组件可以是,但不限于,运行于处理器上的进程、处理器、对象、可执行码、执行线本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】
【专利技术属性】
技术研发人员:S·H·阿加瓦尔,B·S·拉曼,S·阿楠德,P·J·利齐,R·B·沃德,
申请(专利权)人:微软公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。