CN1701315A - 数据库访问控制方法、控制装置及代理处理服务器装置 - Google Patents
数据库访问控制方法、控制装置及代理处理服务器装置 Download PDFInfo
- Publication number
- CN1701315A CN1701315A CNA2004800007310A CN200480000731A CN1701315A CN 1701315 A CN1701315 A CN 1701315A CN A2004800007310 A CNA2004800007310 A CN A2004800007310A CN 200480000731 A CN200480000731 A CN 200480000731A CN 1701315 A CN1701315 A CN 1701315A
- Authority
- CN
- China
- Prior art keywords
- database
- user
- agent processes
- server unit
- processes server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 169
- 238000012545 processing Methods 0.000 title claims description 46
- 230000008569 process Effects 0.000 claims abstract description 150
- 238000003860 storage Methods 0.000 claims description 27
- 238000011282 treatment Methods 0.000 claims description 27
- 238000011835 investigation Methods 0.000 claims 3
- 235000014510 cooky Nutrition 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 238000012217 deletion Methods 0.000 description 5
- 230000037430 deletion Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 238000013479 data entry Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000007418 data mining Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000033228 biological regulation Effects 0.000 description 1
- 230000002153 concerted effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99939—Privileged access
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种数据库访问控制方法、控制装置及代理处理服务器装置。数据库访问控制装置根据用户装置的用户ID,生成访问密钥并将其存储起来。并且,数据库访问控制装置将该访问密钥与代理处理服务器装置的地址一起发送到用户装置。用户装置在提出数据库访问请求时,向代理处理服务器装置发送访问密钥,代理处理服务器装置在提出数据库处理请求时,向数据库访问控制装置发送访问密钥。数据库访问控制装置在接收到数据库处理请求时,判断数据库访问控制装置中是否存储有与从该代理处理服务器装置接收的访问密钥相同的访问密钥,只有在该访问密钥存在的情况下,才对数据库进行访问。
Description
技术领域
本发明涉及数据库访问控制技术,具体涉及通过数据库访问控制装置与作为用户的代理的代理处理服务器装置的协作,对数据库进行访问的数据库访问控制技术。
背景技术
一般来说,由于有多个用户在数据库中存储有数据,所以通过数据库的访问控制机构,对哪个用户能够登录、查询、更新、或者删除哪些数据进行控制。以下,把对数据库进行数据登录、查询、更新、或者删除统称为对数据库的访问。例如,数据库的访问控制机构进行如下控制,即用户B不能访问用户A的数据,用户A也不能访问用户B的数据。
作为该数据库的访问控制方法,迄今为止,使用下述方式,即通过将用户对数据库提供的用户ID和密码等组合起来的认证信息与预先登录在数据库访问控制机构中的认证信息相比较,确定想要访问数据库的用户,其次,对于已确定的用户,根据设定了可以访问哪些数据的访问控制表(Access Control List),决定其对各数据的访问是否被许可。
这就是被现有的许多数据库所采用的方法,SQL92作为用于对数据库进行访问的语言标准,规定通过使用grant语句和revoke语句,向访问控制表中增加或删除访问权限信息,以授予或取消用户对数据的访问权限。
上述访问控制模式只适用于将数据存储在数据库中的用户对数据库的访问。另一方面,作为与其不同的方式,有如下方法:不是由存储数据的用户,而是由对数据库进行访问的代理商(代理处理服务器)代替用户对数据库进行访问。这就是采用用户将对数据库的访问委托给代理商这一方法来进行。这种情况就是,例如,代理商提供对数据进行加工处理功能,用户将对存储在数据库中的数据的加工处理委托给代理商,而用户接收其处理结果。
作为用户的代理,在进行数据库访问时,代理商应当考虑的一点是,代理商必须以委托方的用户的访问权限来进行数据库访问。例如,当某个用户A委托代理商进行数据库访问时,代理商必须进行控制,使其自身只能对用户A被许可访问的数据进行访问。亦即,即使用户A进行了委托,代理商也不能访问用户A未被许可的用户B的数据并将该信息返回给用户A。把这种代理商根据委托方用户的访问权限对数据库进行访问称为用户对代理商的访问权限的转让。
作为满足上述条件的访问控制方法的最简单方法,有如下方法:用户将自己的用于访问数据库的用户ID和密码等认证信息交给代理商,代理商利用该认证信息访问数据库,取得该用户的数据。
此外,还有其它的方法,如利用数字签名技术或加密通信技术,利用数字证明书或数字签名、加密或单向函数,来确认用户对代理商的访问权限转让是否正确(例如,文献1:特开2001-101054号公报,文献2:特开2002-163235号公报)。
但是,在用户将自己的认证信息交给代理商,代理商利用该认证信息对数据库进行访问的方法中,存在下述问题:一般地,代理商是不同于用户的第三方,用户并不一定可以信任代理商。因此,例如,当用户A将用户ID和密码等认证信息交给代理商时,代理商将该认证信息保存在内部,代理商可能进行如下具有恶意的操作,即允许作为其它用户的用户B在访问时,使用其保存的认证信息来冒充用户A,去访问理应不允许用户B访问的用户A的数据。
此外,作为利用数字签名技术或加密通信技术来对访问权限的转让等进行确认的方法中,必须使用数字证明书、数字签名、加密或单向函数等复杂的处理,此外,在用户、代理商、数据库之间,也必须进行若干步骤的密钥信息或认证信息等的交换。此外,这些方法也只是在与用于转让访问权限的方式相关的地方才被使用,即使使用该方法,也不能保证能确实地把根据转让的访问权限来访问数据库所得的结果返回到原委托的用户。因而,该方法并不适用于受用户委托进行数据库访问的代理商。
发明内容
本发明就是为解决上述问题而提出的,其目的在于提供一种机制,以防止代理商(代理处理服务器)进行数据库或相当于数据库功能中未被许可的访问。
在本发明中,数据库访问控制装置根据来自用户装置的请求,将可利用的代理处理服务器装置的地址发送到该用户装置。用户装置连接到上述地址的代理处理服务器装置,提出数据库访问请求,代理处理服务器装置根据来自用户装置的数据库访问请求,向数据库访问控制装置提出数据库处理请求。数据库访问控制装置根据来自代理处理服务器装置的数据库处理请求,执行对数据库的处理,将该处理结果发送到上述代理处理服务器装置。代理处理服务器装置对上述数据库访问控制装置所发送的处理结果执行受委托的处理,并将该处理结果发送到上述用户装置。
而且,在本发明中,数据库访问控制装置根据用户装置的用户ID生成访问密钥(access key),将该访问密钥存储到上述数据库访问控制装置的存储单元中,并且,发送给上述用户装置。用户装置在向代理处理服务器装置提出数据库访问请求时,将访问密钥发送给代理处理服务器装置,代理处理服务器装置在向数据库访问控制装置提出数据库处理请求时,将访问密钥发送给上述数据库访问控制装置。数据库访问控制装置对在上述存储单元中是否存在和从代理处理服务器装置接收的访问密钥相同的访问密钥进行调查和判断,只有在该访问密钥存在的情况下,才在与该访问密钥对应的用户ID所被允许的限度内,执行对数据库中的数据的访问。
此外,在本发明中,数据库访问控制装置除了进行访问密钥的判断外,还要判断用户装置与该代理处理服务器装置是否处于连接状态中,只有在上述用户装置与该代理处理服务器装置处于连接的状态时,才执行对数据库中数据的访问。
并且,在上述结构中,所谓数据库处理请求是指对数据库的数据登录、变更、删除、或检索等处理请求。
根据本发明,未得到代理处理许可的代理处理服务器装置不能执行数据库访问处理,此外,即使已得到代理处理许可的代理处理服务器装置,也不能超越委托代理处理的用户ID的权限,对数据库执行数据登录、变更、删除、或检索等处理。
此外,若没有得到来自用户装置的检索代行处理委托,代理处理服务器装置独自对数据库执行检索处理也是被禁止的。因而,不必担心代理处理服务器装置的利用者进行不正当的行为,从而使得对实施数据库检索的处理、以及对该检索结果进行加工处理的代理处理服务器装置的利用成为可能。从而,用户可以利用第三方准备的进行各种有用处理的代理处理服务器装置。
附图说明
图1是表示应用本发明的系统的整体的结构图。
图2是表示数据库保存数据的一例的图。
图3是表示本发明的一个实施例的处理时序图。
图4是表示本发明的一个实施例的各装置间的关联图。
符号说明
100…数据库访问控制装置
101…中间处理部
102…访问处理部
200…数据库
210…用户数据部
220…用户系统数据部
230…存储数据部
300…代理处理服务器装置
400…用户装置
500…网络
具体实施方式
下面结合附图,对本发明的实施方式进行详细说明。
实施例1
图1是表示应用本发明的系统的整体的结构图。图1中,100是数据库访问控制装置,200是由多个用户共用的数据库,300是代理处理服务器装置,400是各用户的用户装置,500是因特网等网络。数据库访问控制装置100的结构包括:中间处理部101,其具有用户装置400与代理处理服务器装置300之间的中介功能;以及访问处理部102,其具有对数据库200存储的数据进行访问的功能。
数据库200存储预先注册的用户ID、认证信息等用户相关的信息、代理处理服务器装置300的信息、以及为本系统提供的存储数据。而且,数据库200内设有图1中被省略的访问控制机构。该数据库访问控制装置100与数据库200之间可以直接连接或通过网络进行连接。
以下,以经由代理处理服务器装置从数据库装置取得数据的检索结果为例进行说明,并且,除了下面所说明的数据检索之外,本发明也可以应用于数据登录、更新、删除、检索等各种处理。
数据库访问控制装置100、代理处理服务器装置300、以及用户装置400通过网络500相连接。数据库访问控制装置100和代理处理服务器装置300的实体是计算机,在CPU、存储器等硬件资源的环境下,通过程序执行各种处理。此处,作为用户的代理,通过数据库访问控制装置100和代理处理服务器装置300的协同动作,执行对数据库200的访问,对读出的存储数据施加需要的处理,将其结果发送到该用户的用户装置400。
图2是数据库200中保存数据的一例。数据库200由用户数据部210、用户系统数据部220、存储数据部230构成。用户数据部210存储与已注册用户相关的信息,对每个用户,保存用户ID 211、认证信息212、用户权限信息213、对话信息214、代理服务器列表215、以及连接中的代理处理服务器ID 216。用户系统数据部220存储对用户进行代理的系统信息,此处存储有代理处理服务器装置300的ID(代理处理服务器ID)221、以及其URL(代理处理服务器URL)222。存储数据部230存储有数据231和其可浏览权限信息232。
图3表示本实施例的整个处理时序示例。此外,图4是表示各装置间的关联图。参考图3和图4,下面对以HTTP作为连接用户装置400、数据库访问控制装置100、以及代理处理服务器装置300三者之间的协议的例子进行说明。
首先,用户利用事先保存在数据库200的用户数据部210中的用户ID 211,从用户装置400登录到数据库访问控制装置100(步骤1)。这时,数据库访问控制装置100的中间处理部101利用同样存储在数据库200的用户数据部210中的各用户ID 211进行认证处理。从而,数据库访问控制装置100的中间处理部101对想要登录的用户是否为事先注册过的正规用户进行确认,并将认证结果发送到用户装置400(步骤2)。
其次,用户装置400把请求该用户可利用的代理处理服务器装置300的列表的命令发送给数据库访问控制装置100(步骤3),接收到该命令的数据库访问控制装置100的中间处理部101从数据库200的用户数据部210读出该用户可利用的代理处理服务器装置300的列表215,并将其发送到用户装置400(步骤4)。用户装置400在画面上显示接收到的代理处理服务器列表。当由用户从所显示的可利用的代理处理服务器中选出想要利用的代理处理服务器装置300后,用户装置400将该结果发送到数据库访问控制装置100(步骤5)。用户装置400在步骤5中,根据来自用户的输入,也发送代理处理服务器装置300中的处理(数据库访问等)所需的信息。
当数据库访问控制装置100的中间处理部101从用户装置400接收到所选择的代理处理服务器装置300的信息时,对数据库200的用户数据部210内可被该用户利用的代理处理服务器装置300的列表215进行检索,确认该用户对所选择的代理处理服务器装置300的利用是被许可的。之后,中间处理部101根据该用户ID生成随机数(对话信息),从该生成的对话信息生成Cookie(访问密钥),将其发送到该用户的用户装置400(步骤6),并且从数据库200的用户系统数据部220取得所选择的代理处理服务器装置300的URL222,通过将URL222发送到用户装置400,通过HTTP重定向应答,对上述用户装置400发出重定向连接到该代理处理服务器装置300的指示(步骤7)。此外,中间处理部101将上述生成的对话信息214以及上述想要连接的代理处理服务器装置300的ID号码216存储到数据库200的用户数据部210中。
当重定向连接到代理处理服务器装置300时,用户装置400把从数据库访问控制装置100接收的Cookie的值发送给代理处理服务器装置300(步骤8)。
代理处理服务器装置300取出包含在来自用户装置400的作为HTTP请求的连接请求命令中的Cookie的值。然后,代理处理服务器装置300将该Cookie的值、用于指定进行用户所指定的处理所必需的存储数据的表的值以及用于检索的值,作为HTTP请求的参数,将HTTP请求(数据库检索请求)发送到数据库访问控制装置100(步骤9)。此外,随同数据库检索请求,代理处理服务器装置300的ID也被发送到数据库访问控制装置100。
接收到来自代理处理服务器装置300的HTTP请求(数据库检索请求)的数据库访问控制装置100的中间处理部101,首先抽取出请求中所设定的参数。然后,从参数中的Cookie值取出对话信息,将该对话信息与数据库200的用户数据部210的对话信息214进行比较,从而确定对代理处理服务器装置300发出HTTP请求的用户装置400的用户ID(确定用户)。当用户ID存在时,取得从代理处理服务器装置300接收的代理处理服务器装置300的ID号,将数据库200的用户数据部210的与相关的用户ID对应的连接中的代理处理服务器装置300的ID号216与上述ID号进行比较,确认它们是否一致(确认代理处理服务器)。当一致时,确认在用户系统数据部220中是否存在代理处理服务器装置300的ID(代理处理服务器的冒名检查)。而且,也可以通过代理处理服务器列表215,进行该用户ID的用户是否有代理处理服务器装置300的利用许可的确认处理。
当不存在与对话信息相对应的用户ID时,或者当接收到的代理处理服务器装置300的ID号与作为连接中的代理处理服务器ID而存储的ID号不一致时,或者在用户系统数据部220中不存在代理处理服务器装置300的ID号时,数据库访问控制装置100的中间处理部101对代理处理服务器装置300进行出错应答,以后的处理将不执行。
当存在用户ID、并且代理处理服务器装置300的ID号一致、并且在用户系统数据部220中存在代理处理服务器装置300的ID号时,为了访问数据库200的存储数据部230,中间处理部101将HTTP请求中包含的剩下的参数信息交给访问处理部102。
数据库访问控制装置100的访问处理部102按照中间处理部101交给的参数,执行对数据库200的存储数据部230的检索。此时,在存储数据部230中设定了每个用户ID的浏览权限信息232的情况下,只有在数据库200的用户数据部210中对相关的用户ID所设定的用户权限信息213与存储数据部230的可浏览权限信息232一致时才能够执行检索(用户权限检查)。访问处理部102检索的结果被交给中间处理部101,中间处理部101将该结果以对来自代理处理服务器装置300的HTTP请求的HTTP应答的形式,发送到代理处理服务器装置300(步骤10)。
并且,代理处理服务器装置300与数据库访问控制装置100之间的HTTP请求和应答,可以与代理处理服务器装置300的处理所必要的存储数据检索的部分对应地执行多次。
代理处理服务器装置300对从数据库访问控制装置100的中间处理部101所接收的HTTP应答中所包含的存储数据执行必要的数据处理(进行数据挖掘(data mining)处理、与保存在代理处理服务器装置300自身具有的数据库中的关联数据进行组合的处理等),将其结果以HTTP应答的形式发送到用户装置400(步骤11)。
在上述动作中,用户装置400从接收自数据库访问控制装置100的代理处理服务器装置300的列表中选择一个,并将选择结果发送到数据库访问控制装置100。进而,数据库访问控制装置100的中间处理部101将上述被选择的代理处理服务器装置300的ID号作为连接中的代理处理服务器装置300的ID号216,存储到数据库200的用户数据部210中。之后,为了连接到其它代理处理服务器装置300,当用户装置400再次执行代理处理服务器装置300的列表显示,或进行数据库访问控制装置100提供的用于其它服务的操作时,早先保存在数据库200的用户数据部210中的代理处理服务器装置300的ID号(216)被删除或改写。此外,每次登录用户ID号时,所生成的对话信息的值都不同。
因此,即使代理处理服务器装置300保存了来自某次连接的用户装置400的Cookie值,并在没有接收到用户装置400发来的请求的情况下而独自进行对数据库访问控制装置100的连接时,由于数据库访问控制装置100的中间处理部101不能根据Cookie值中所包含的对话信息来确定用户,因此该代理处理服务器装置300所请求的检索处理不会被执行。而且,当代理处理服务器装置300未接收到用户装置400发来的请求,而独自地进行对数据库访问控制装置100的连接时,还由于该代理处理服务器装置300的ID号并没有被作为连接中的代理处理服务器装置300的ID号216而存储在数据库200的用户数据部210中,因此数据库访问控制装置100的中间处理部101也不会执行该代理处理服务器装置300所请求的检索处理。
此外,即使用户装置400直接指定从数据库访问控制装置100接收到的列表中所显示的代理处理服务器装置300以外的URL,使用供其它的代理处理服务器装置利用而作成的Cookie进行连接时,由于该代理处理服务器的ID号并没有被作为连接中的代理处理服务器的ID号216而存储在数据库访问控制装置100的用户数据部中,因此数据库访问控制装置100的中间处理部101不执行由该代理处理服务器装置300所请求的检索处理。从而,可以禁止用户装置400利用列表所显示的代理处理服务器装置300之外的代理处理服务器装置。
并且,可以用计算机程序来实现图1所示的数据库访问控制装置100中的一部分或全部处理功能,利用计算机来执行该程序,从而实现本发明。或者可以用计算机程序来实现图3所示的处理时序步骤,使计算机执行该程序。此外,可以将在计算机上实现该处理功能的程序、或使计算机执行该处理步骤的程序存储到该计算机可读取的存储介质,例如FD、MO、ROM、存储卡、CD、DVD或移动磁盘等上来保存或提供,并且还可以通过因特网等网络来分发该程序。
本发明不受上述各实施方式的限制,可以在权利要求的范围内进行各种变更和应用。
Claims (13)
1.一种数据库访问控制方法,根据来自用户装置的请求,使数据库访问控制装置与代理处理服务器装置进行协作,对数据库访问进行控制,其特征在于:
所述数据库访问控制装置根据来自用户装置的请求,将可利用的代理处理服务器装置的地址发送给该用户装置;
所述用户装置连接到所述地址的代理处理服务器装置,提出数据库访问请求;
所述代理处理服务器装置根据来自所述用户装置的数据库访问请求,向所述数据库访问控制装置提出数据库处理请求;
所述数据库访问控制装置根据来自所述代理处理服务器装置的数据库处理请求,进行对数据库的处理,将该处理结果发送到所述代理处理服务器装置;
所述代理处理服务器装置对从所述数据库访问控制装置发送的处理结果执行附加处理,并将该附加处理结果发送到所述用户装置。
2.根据权利要求1所述的数据库访问控制方法,其特征在于:
所述数据库访问控制装置根据所述用户装置的用户ID生成访问密钥,将该访问密钥储存到所述数据库访问控制装置的存储单元中,并且发送给所述用户装置;
所述用户装置在向所述代理处理服务器装置提出数据库访问请求时,将所述访问密钥发送给所述代理处理服务器装置;
所述代理处理服务器装置在向所述数据库访问控制装置提出数据库处理请求时,将所述访问密钥发送给所述数据库访问控制装置;
所述数据库访问控制装置调查在所述存储单元中是否存在与从所述代理处理服务器装置接收的访问密钥相同的访问密钥,只有在该访问密钥存在的情况下,在所述访问密钥对应的用户ID所被许可的限度内,对数据库中的数据进行访问。
3.根据权利要求2所述的数据库访问控制方法,其特征在于:
所述数据库访问控制装置在进行所述访问密钥的判定之外,对所述用户装置与该代理处理服务器装置是否处于连接状态中进行判定,只有当所述用户装置与该代理处理服务器装置处于连接的状态时,才执行对数据库中数据的访问。
4.一种数据库访问控制装置,根据来自用户装置的请求,与代理处理服务器装置协作,对数据库访问进行控制,其特征在于,包括:
根据来自所述用户装置的请求,通过将可利用的代理处理服务器装置的地址发送到该用户装置,指示所述用户装置对所述代理处理服务器装置进行连接的单元;以及
根据来自所述代理处理服务器装置的数据库处理请求,执行对数据库的处理,将处理结果发送到所述代理处理服务器装置的单元。
5.根据权利要求4所述的数据库访问控制装置,其特征在于,包括:
根据所述用户装置的用户ID生成访问密钥,将该访问密钥存储到所述数据库访问控制装置的存储单元中,并且,在将所述代理处理服务器装置的地址发送到所述用户装置时,还将该访问密钥一起发送到所述用户装置的单元;
接收来自所述代理处理服务器装置的访问密钥以及数据库处理请求,调查在所述存储单元中是否存在有与从所述代理处理服务器装置接收的访问密钥相同的访问密钥的单元;以及
仅限在所述访问密钥存在的时候,在所述访问密钥对应的用户ID所被许可的限度内,对数据库中的数据进行访问的单元。
6.根据权利要求5所述的数据库访问控制装置,其特征在于:
所述数据库访问控制装置在进行所述访问密钥的判定之外,对所述用户装置与该代理处理服务器装置是否处于连接状态中进行判定,只有当所述用户装置与该代理处理服务器装置处于连接的状态时,才执行对数据库中数据的访问。
7.一种代理处理服务器装置,根据来自用户装置的请求,通过数据库访问控制装置,进行对数据库的访问,其特征在于,包括:
从所述用户装置接收访问密钥和数据库访问请求的单元;
将数据库处理请求与所述访问密钥一起,发送到所述数据库访问控制装置的单元;以及
从所述数据库访问控制装置接收根据所述数据库处理请求得到的数据库的处理结果,对该处理结果执行附加处理,将该附加处理结果发送到所述用户装置的单元。
8.一种程序,使计算机执行以下数据库访问控制处理:根据来自用户装置的请求,与代理处理服务器装置协作,对数据库访问进行控制,其特征在于,包括下述过程:
根据来自所述用户装置的请求,通过将可利用的代理处理服务器装置的地址发送到该用户装置,指示所述用户装置对所述代理处理服务器装置进行连接;
根据来自所述代理处理服务器装置的数据库处理请求,执行对数据库的处理,将处理结果发送到所述代理处理服务器装置。
9.根据权利要求8所述的程序,其特征在于,使计算机执行下述过程:
根据所述用户装置的用户ID生成访问密钥,将该访问密钥存储到所述数据库访问控制装置的存储单元中,并且,在将所述代理处理服务器装置的地址发送到所述用户装置时,还将该访问密钥一起发送到所述用户装置;
接收来自所述代理处理服务器装置的访问密钥以及数据库处理请求,调查在所述存储单元中是否存在有与从所述代理处理服务器装置接收的访问密钥相同的访问密钥;
仅限在所述访问密钥存在的时候,在所述访问密钥对应的用户ID所被许可的限度内,对数据库中的数据进行访问。
10.根据权利要求9所述的程序,其特征在于,使计算机执行下述过程:
在进行所述访问密钥的判定之外,对所述用户装置与该代理处理服务器装置是否处于连接状态中进行判定,只有当所述用户装置与该代理处理服务器装置处于连接的状态时,才执行对数据库中数据的访问。
11.一种计算机可读取的存储介质,其特征在于:
存储有如权利要求8至10中任何一项所述的程序。
12.一种程序,使计算机执行以下代理处理:根据来自用户装置的请求,通过数据库访问控制装置,执行对数据库进行访问,其特征在于,包括下述过程:
从所述用户装置接收访问密钥和数据库访问请求;
将数据库处理请求与所述访问密钥一起,发送到所述数据库访问控制装置;
从所述数据库访问控制装置接收根据所述数据库处理请求得到的数据库处理结果,对该处理结果执行附加处理,将该附加处理结果发送到所述用户装置。
13.一种计算机可读取的存储介质,其特征在于:
存储有如权利要求12所述的程序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003273602 | 2003-07-11 | ||
| JP273602/2003 | 2003-07-11 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1701315A true CN1701315A (zh) | 2005-11-23 |
| CN100511203C CN100511203C (zh) | 2009-07-08 |
Family
ID=34056027
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004800007310A Expired - Lifetime CN100511203C (zh) | 2003-07-11 | 2004-07-09 | 数据库访问控制方法、控制装置及代理处理服务器装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7454421B2 (zh) |
| EP (1) | EP1645971B8 (zh) |
| JP (1) | JP4186987B2 (zh) |
| CN (1) | CN100511203C (zh) |
| WO (1) | WO2005006204A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009076811A1 (zh) * | 2007-12-14 | 2009-06-25 | Huawei Technologies Co., Ltd. | 密钥协商方法、用于密钥协商的系统、客户端及服务器 |
| CN1997005B (zh) * | 2006-01-06 | 2010-11-10 | 鸿富锦精密工业(深圳)有限公司 | 网络通信数据管控系统及方法 |
| CN101410837B (zh) * | 2006-06-05 | 2011-03-23 | 国际商业机器公司 | 用于进行实现信息控制的系统和方法 |
| CN104537313A (zh) * | 2014-12-04 | 2015-04-22 | 苏州阔地网络科技有限公司 | 一种数据保护方法、终端和服务器 |
| CN104821001A (zh) * | 2014-02-05 | 2015-08-05 | 富士胶片株式会社 | 内容管理系统、管理内容生成方法、管理内容再生方法、程序以及记录介质 |
| CN109120722A (zh) * | 2018-10-24 | 2019-01-01 | 北京计算机技术及应用研究所 | 一种基于反向代理模式的访问控制方法 |
| CN110457944A (zh) * | 2019-08-02 | 2019-11-15 | 爱友智信息科技(苏州)有限公司 | 一种数据分享方法及系统 |
| CN112632625A (zh) * | 2020-12-31 | 2021-04-09 | 深圳昂楷科技有限公司 | 数据库安全网关系统、数据处理方法、电子设备 |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1890942B (zh) * | 2003-12-10 | 2010-04-14 | 国际商业机器公司 | 重定向对万维网服务的客户端请求的方法 |
| JP3982520B2 (ja) * | 2004-06-02 | 2007-09-26 | コニカミノルタビジネステクノロジーズ株式会社 | アクセス管理システムおよび方法、画像形成装置、およびコンピュータプログラム |
| US20090094671A1 (en) * | 2004-08-13 | 2009-04-09 | Sipera Systems, Inc. | System, Method and Apparatus for Providing Security in an IP-Based End User Device |
| US7890634B2 (en) * | 2005-03-18 | 2011-02-15 | Microsoft Corporation | Scalable session management |
| JP4960685B2 (ja) * | 2005-11-22 | 2012-06-27 | 株式会社リコー | サービス処理システムおよびサービス処理制御方法 |
| US20090240700A1 (en) * | 2006-03-08 | 2009-09-24 | Akihito Hayashi | Distributed file management system |
| WO2007125942A1 (ja) * | 2006-04-26 | 2007-11-08 | Nippon Telegraph And Telephone Corporation | 負荷制御装置およびその方法 |
| WO2008008856A2 (en) * | 2006-07-12 | 2008-01-17 | Sipera Systems, Inc. | System, method and apparatus for securely exchanging security keys and monitoring links in an ip communications network |
| WO2008008863A2 (en) | 2006-07-12 | 2008-01-17 | Sipera Systems, Inc. | System, method and apparatus for troubleshooting an ip network |
| US20080216153A1 (en) * | 2007-03-02 | 2008-09-04 | Aaltonen Janne L | Systems and methods for facilitating authentication of network devices |
| US8544066B2 (en) | 2007-12-27 | 2013-09-24 | Nec Corporation | Access right management system, access right management method, and access right management program |
| JP4978537B2 (ja) * | 2008-03-31 | 2012-07-18 | 富士通株式会社 | アクセス要求転送システム、アクセス要求転送方法およびアクセス要求転送プログラム |
| JP2009289040A (ja) * | 2008-05-29 | 2009-12-10 | Seiko Epson Corp | Id発行システムおよびこれに用いられるid発行サーバ |
| US8631134B2 (en) * | 2008-07-30 | 2014-01-14 | Visa U.S.A. Inc. | Network architecture for secure data communications |
| JP5027097B2 (ja) * | 2008-11-18 | 2012-09-19 | ヤフー株式会社 | エージェントアクセス管理システム |
| WO2012017561A1 (ja) * | 2010-08-06 | 2012-02-09 | 富士通株式会社 | 仲介処理方法、仲介装置及びシステム |
| JP5617709B2 (ja) * | 2011-03-16 | 2014-11-05 | 富士通株式会社 | プログラム、制御装置および方法 |
| EP2523139A1 (en) * | 2011-05-10 | 2012-11-14 | Nagravision S.A. | Method for handling privacy data |
| JP5383768B2 (ja) * | 2011-10-11 | 2014-01-08 | ヤフー株式会社 | 情報管理装置、システム及び方法 |
| CN104166812B (zh) * | 2014-06-25 | 2017-05-24 | 中国航天科工集团第二研究院七〇六所 | 一种基于独立授权的数据库安全访问控制方法 |
| JP2016085641A (ja) * | 2014-10-27 | 2016-05-19 | キヤノン株式会社 | 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム |
| CN104462586A (zh) * | 2014-12-29 | 2015-03-25 | 芜湖乐锐思信息咨询有限公司 | 一种大数据管理系统 |
| JP6690346B2 (ja) * | 2016-03-25 | 2020-04-28 | 日本電気株式会社 | セキュリティリスク管理システム、サーバ、制御方法、プログラム |
| US10733179B2 (en) * | 2018-04-04 | 2020-08-04 | Schlage Lock Company Llc | Access control with multiple security ecosystems |
| CN116011013A (zh) * | 2019-06-29 | 2023-04-25 | 华为云计算技术有限公司 | 数据库访问方法和装置、计算设备和计算机程序产品 |
| WO2021040358A2 (ko) * | 2019-08-30 | 2021-03-04 | 주식회사 센스톤 | 인증용가상코드를 이용한 사용자 인증 방법 및 이를 위한 시스템 |
| US20230141952A1 (en) * | 2020-11-09 | 2023-05-11 | Medical Data Networks, LLC | System and method for third-party password-less access to a secure database |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2138302C (en) | 1994-12-15 | 1999-05-25 | Michael S. Fortinsky | Provision of secure access to external resources from a distributed computing environment |
| US5696898A (en) | 1995-06-06 | 1997-12-09 | Lucent Technologies Inc. | System and method for database access control |
| US5657390A (en) * | 1995-08-25 | 1997-08-12 | Netscape Communications Corporation | Secure socket layer application program apparatus and method |
| JP3354433B2 (ja) | 1997-04-25 | 2002-12-09 | 株式会社日立製作所 | ネットワーク通信システム |
| US6052785A (en) * | 1997-11-21 | 2000-04-18 | International Business Machines Corporation | Multiple remote data access security mechanism for multitiered internet computer networks |
| US6393472B1 (en) | 1997-12-10 | 2002-05-21 | At&T Corp. | Automatic aggregation of network management information in spatial, temporal and functional forms |
| JPH11212911A (ja) | 1998-01-28 | 1999-08-06 | Mitsubishi Electric Corp | 分散サービス連携装置 |
| US6199113B1 (en) * | 1998-04-15 | 2001-03-06 | Sun Microsystems, Inc. | Apparatus and method for providing trusted network security |
| US20020099691A1 (en) | 1998-06-24 | 2002-07-25 | Michael Dean Lore | Method and apparatus for aggregation of data in a database management system |
| US6536998B2 (en) | 1998-09-08 | 2003-03-25 | Makino, Inc. | Selectively biased tool and methods of using the same |
| JP2000181980A (ja) | 1998-12-15 | 2000-06-30 | Toshiba Corp | クライアント/サーバシステム、このシステムにおける連携方法および情報記憶媒体 |
| US6081900A (en) * | 1999-03-16 | 2000-06-27 | Novell, Inc. | Secure intranet access |
| US8375127B1 (en) | 1999-03-31 | 2013-02-12 | International Business Machines Corporation | Method and system for using virtual URLs for load balancing |
| US6385604B1 (en) | 1999-08-04 | 2002-05-07 | Hyperroll, Israel Limited | Relational database management system having integrated non-relational multi-dimensional data store of aggregated data elements |
| JP4359974B2 (ja) * | 1999-09-29 | 2009-11-11 | 富士ゼロックス株式会社 | アクセス権限委譲方法 |
| US6698021B1 (en) * | 1999-10-12 | 2004-02-24 | Vigilos, Inc. | System and method for remote control of surveillance devices |
| US20020029207A1 (en) | 2000-02-28 | 2002-03-07 | Hyperroll, Inc. | Data aggregation server for managing a multi-dimensional database and database management system having data aggregation server integrated therein |
| JP2001265747A (ja) | 2000-03-16 | 2001-09-28 | Hitachi Ltd | 分散オブジェクト連携装置 |
| JP2001273258A (ja) | 2000-03-23 | 2001-10-05 | Nippon Telegr & Teleph Corp <Ntt> | ユーザ認証システム |
| US6725218B1 (en) * | 2000-04-28 | 2004-04-20 | Cisco Technology, Inc. | Computerized database system and method |
| US6947992B1 (en) * | 2000-05-01 | 2005-09-20 | International Business Machines Corporation | Maintaining HTTP session affinity in a cluster environment |
| AU2001287013A1 (en) | 2000-09-01 | 2002-03-13 | Kinexus Corporation | Method and system for financial data aggregation, analysis and reporting |
| US7055028B2 (en) * | 2000-10-10 | 2006-05-30 | Juniper Networks, Inc. | HTTP multiplexor/demultiplexor system for use in secure transactions |
| JP2002163235A (ja) | 2000-11-28 | 2002-06-07 | Mitsubishi Electric Corp | アクセス権限譲渡装置、共有リソース管理システム及びアクセス権限設定方法 |
| JP3674772B2 (ja) | 2000-12-19 | 2005-07-20 | 日本電気株式会社 | 複数サーバ間ログイン連携システム、クライアント装置、ログイン管理装置、サーバ装置及び記憶媒体 |
| JP2002244898A (ja) | 2001-02-19 | 2002-08-30 | Hitachi Ltd | データベース管理プログラム及びデータベースシステム |
| US6606627B1 (en) * | 2001-05-08 | 2003-08-12 | Oracle Corporation | Techniques for managing resources for multiple exclusive groups |
| CN1291337C (zh) | 2001-05-22 | 2006-12-20 | 鸿富锦精密工业(深圳)有限公司 | 线上资料撷取分析的代理服务系统及方法 |
| US20020178366A1 (en) * | 2001-05-24 | 2002-11-28 | Amiran Ofir | Method for performing on behalf of a registered user an operation on data stored on a publicly accessible data access server |
| US7149892B2 (en) * | 2001-07-06 | 2006-12-12 | Juniper Networks, Inc. | Secure sockets layer proxy architecture |
| US7062547B2 (en) * | 2001-09-24 | 2006-06-13 | International Business Machines Corporation | Method and system for providing a central repository for client-specific accessibility |
| EP1315064A1 (en) * | 2001-11-21 | 2003-05-28 | Sun Microsystems, Inc. | Single authentication for a plurality of services |
| US7447731B2 (en) * | 2001-12-17 | 2008-11-04 | International Business Machines Corporation | Method and apparatus for distributed application execution |
| US20030159066A1 (en) * | 2002-02-15 | 2003-08-21 | Kdms International Llc | Method and apparatus for network user location verification |
| JP4112284B2 (ja) * | 2002-05-29 | 2008-07-02 | 富士通株式会社 | データベースアクセス制御方法およびデータベースアクセス制御プログラム |
| US20040133416A1 (en) * | 2002-07-18 | 2004-07-08 | Norio Fukuoka | Information terminal device, method of acquiring information corresponding to language identification information from server and program thereof, network system, additional function purchasing progam, and program function adding method |
-
2004
- 2004-07-09 EP EP04747315.2A patent/EP1645971B8/en not_active Expired - Lifetime
- 2004-07-09 JP JP2005511550A patent/JP4186987B2/ja not_active Expired - Lifetime
- 2004-07-09 CN CNB2004800007310A patent/CN100511203C/zh not_active Expired - Lifetime
- 2004-07-09 WO PCT/JP2004/009847 patent/WO2005006204A1/ja active Application Filing
- 2004-07-09 US US10/522,552 patent/US7454421B2/en not_active Expired - Lifetime
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1997005B (zh) * | 2006-01-06 | 2010-11-10 | 鸿富锦精密工业(深圳)有限公司 | 网络通信数据管控系统及方法 |
| CN101410837B (zh) * | 2006-06-05 | 2011-03-23 | 国际商业机器公司 | 用于进行实现信息控制的系统和方法 |
| WO2009076811A1 (zh) * | 2007-12-14 | 2009-06-25 | Huawei Technologies Co., Ltd. | 密钥协商方法、用于密钥协商的系统、客户端及服务器 |
| CN104821001A (zh) * | 2014-02-05 | 2015-08-05 | 富士胶片株式会社 | 内容管理系统、管理内容生成方法、管理内容再生方法、程序以及记录介质 |
| CN104821001B (zh) * | 2014-02-05 | 2018-07-27 | 富士胶片株式会社 | 内容管理系统、管理内容生成方法以及管理内容再生方法 |
| CN104537313A (zh) * | 2014-12-04 | 2015-04-22 | 苏州阔地网络科技有限公司 | 一种数据保护方法、终端和服务器 |
| CN104537313B (zh) * | 2014-12-04 | 2017-08-08 | 阔地教育科技有限公司 | 一种数据保护方法、终端和服务器 |
| CN109120722A (zh) * | 2018-10-24 | 2019-01-01 | 北京计算机技术及应用研究所 | 一种基于反向代理模式的访问控制方法 |
| CN109120722B (zh) * | 2018-10-24 | 2021-12-07 | 北京计算机技术及应用研究所 | 一种基于反向代理模式的访问控制方法 |
| CN110457944A (zh) * | 2019-08-02 | 2019-11-15 | 爱友智信息科技(苏州)有限公司 | 一种数据分享方法及系统 |
| CN110457944B (zh) * | 2019-08-02 | 2023-08-25 | 爱友智信息科技(苏州)有限公司 | 一种数据分享方法及系统 |
| CN112632625A (zh) * | 2020-12-31 | 2021-04-09 | 深圳昂楷科技有限公司 | 数据库安全网关系统、数据处理方法、电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1645971A1 (en) | 2006-04-12 |
| CN100511203C (zh) | 2009-07-08 |
| US7454421B2 (en) | 2008-11-18 |
| EP1645971A4 (en) | 2011-10-12 |
| JPWO2005006204A1 (ja) | 2006-08-24 |
| WO2005006204A1 (ja) | 2005-01-20 |
| EP1645971B8 (en) | 2016-03-30 |
| US20060143189A1 (en) | 2006-06-29 |
| EP1645971B1 (en) | 2015-08-19 |
| JP4186987B2 (ja) | 2008-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100511203C (zh) | 数据库访问控制方法、控制装置及代理处理服务器装置 | |
| US9047387B2 (en) | Secregating anonymous access to dynamic content on a web server, with cached logons | |
| US9558228B2 (en) | Client computer for querying a database stored on a server via a network | |
| EP0844767B1 (en) | User controlled browser | |
| US7653935B2 (en) | File server for translating user identifier | |
| US8667578B2 (en) | Web management authorization and delegation framework | |
| US8065285B2 (en) | Method and system for providing image rich web pages from a computer system over a network | |
| US20090320116A1 (en) | Federated realm discovery | |
| CN101034981A (zh) | 一种网络访问控制系统及其控制方法 | |
| KR20090006167A (ko) | 문서의 오디언스-적정 버전을 제공하는 방법, 문서 서버, 및 컴퓨터 판독 가능 매체 | |
| CN1930850A (zh) | 对自服务客户向服务提供者发送的服务请求进行认证和授权的设备、计算机可读存储器和方法 | |
| CN1450465A (zh) | 下载管理系统 | |
| US20180218133A1 (en) | Electronic document access validation | |
| US20180152434A1 (en) | Virtual content repository | |
| US20090158047A1 (en) | High performance secure caching in the mid-tier | |
| US20030088648A1 (en) | Supporting access control checks in a directory server using a chaining backend method | |
| US20050198494A1 (en) | Information-processing device, information-processing system, information-processing method, information-processing program, and recording medium | |
| WO2020077043A1 (en) | Method for securing a digital document | |
| EP3864560A1 (en) | Methods for securing and accessing a digital document | |
| US10614433B2 (en) | Hybrid digital rights management system and related document protection method | |
| CN115102782B (zh) | 客户端的认证方法及装置、存储介质、计算机设备 | |
| KR20020011621A (ko) | 인터넷으로 연결된 컴퓨터를 이용한 저장공간의 공유 및접근 시스템 | |
| WO2022175389A1 (en) | Handling access rights for access to a physical space | |
| US20140026230A1 (en) | Method, System, Login Device, and Application Software Unit for Logging in to Document Management System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20090708 |
|
| CX01 | Expiry of patent term |