具有基于角色的访问控制的计算机关系数据库方法和系统技术方案

一种计算机方法、系统和装置，控制对多个数据库中的受保护数据的访问。贮存库耦合到数据库并且具有安全运行时子系统。贮存库截获多个数据库中的主题数据库(subject?database)的用户查询。安全运行时子系统根据截获的查询确定用户和对应的用户角色。基于用户角色，安全运行时子系统自动修改用户查询以滤除标识的用户未被授权访问、但是作为用户查询的部分的安全数据。

【技术实现步骤摘要】
【国外来华专利技术】
本公开内容具体描述用来实施基于角色的访问控制系统以保护关系数据模型中或者一个或者多个数据库中存储的数据的算法和结构。
技术介绍
一般在现有技术中，关系数据库系统仅在对象/操作级提供安全性。例如，有可能配置哪些用户可以读取或者修改表、视图或者存储过程。在更高级的数据库系统中，也有可能控制行级访问(使用视图以控制对数据的访问(使用由数据库系统提供的角色隶属函数)并且使用模型以存储数据标签到角色的关联(该关联可以用来过滤由视图呈现的数据))。那些机制带来以下问题(I)需要在数据库系统中配置访问数据库的用户或者组。(2)数据库系统必须具有对安全存储库(即LDAP)的物理访问权以便分析用户组隶属关系和账户的状态(启用/禁用)。(3)必须与数据库一起或者在连接到数据库时使用用户的标识。(4)在多层系统上认证用户需要委托并非普遍可用的证书。(5)在数据库服务器中认证每个用户防碍使用连接池并且因此降低性能。(6)迫使数据库分析用户、组和角色隶属关系降低性能。(7)对安全角色的改变需要修改数据库对象(即视图或者存储过程)。
技术实现思路
本专利技术解决现有技术的弊端。各实施例提供一种将对象和行级安全性从本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】2010.03.15 US 61/313,9511.一种控制对受保护数据的访问的方法，包括 将贮存库操作地耦合到存储安全数据的一个或者多个数据库； 运用所述贮存库截获所述数据库中的一个数据库的用户查询； 根据截获的查询自动确定生成所述用户查询的用户和向所述用户分配的用户角色； 基于确定的用户角色自动修改所述用户查询，以滤除所述用户无访问权的安全数据；以及 将经修改的查询应用于所述一个数据库。2.根据权利要求I所述的方法，还包括解析所述截获的查询并且标识所述一个数据库中的、将作为所述用户查询的部分而访问的对象。3.根据权利要求2所述的方法，其中所述用户查询包括所述用户的指示；并且 所述贮存库还被配置成在所述一个数据库的元模型中查找标识的对象的安全信息并且分析任何组隶属关系。4.根据权利要求2所述的方法，还包括在所述一个数据库的元模型中存储限制哪些数据对象可由某些用户角色访问的安全信息，并且 所述贮存库还被配置成在所述元模型中查找所标识的对象的安全信息并且确定滤除所述用户查询的哪些标识的对象。5.根据权利要求4所述的方法，还包括 使用所述贮存库以保护所述安全信息，并且使所述安全信息能够在运行时动态可调。6.根据权利要求I所述的方法，其中自动确定和自动修改的步骤包括将对象和行级安全性从所述数据库去耦合。7.根据权利要求I所述的方法，还包括处理对所述一个数据库的所述经修改的查询，并且向所述用户返回所述经修改的查询的结果。8.根据权利要求I所述的方法，其中所述一个数据库是关系数据库。9.根据权利要求8所述的方法，其中自动修改所述用户查询的步骤包括插入SQLWhere子句以滤除作为所述用户查询的部分的、所述数据库中的某些安全数据/对象。10.根据权利要求I所述的方法，其中所述一个或者多个数据库相互无关并且非集中管理。11.一种控制对受保护数据的访问的计算机系统，包括 贮存库，操作地耦合到存储安全数据的一个或者多个数据库，所述贮存库被配置成截获所述数据库中的一个数据库的用户查询；以及 所述贮存库的安全运行时子系统，(i)根据截获的查询自动确定生成所述用户查询的用户和向所述用户分配的用户角色，并且(ii)基于所确定的用户角色，自动修改所述用户查询以滤除所述用户无...

【专利技术属性】
技术研发人员：L·马勒，M·M·瓦塞尔，A·A·麦斯特罗，
申请(专利权)人：迪纳米科普斯公司，
类型：
国别省市：