JP2005228312A - 行レベルのデータベースセキュリティを最適化するシステムおよび方法 - Google Patents
行レベルのデータベースセキュリティを最適化するシステムおよび方法 Download PDFInfo
- Publication number
- JP2005228312A JP2005228312A JP2005026874A JP2005026874A JP2005228312A JP 2005228312 A JP2005228312 A JP 2005228312A JP 2005026874 A JP2005026874 A JP 2005026874A JP 2005026874 A JP2005026874 A JP 2005026874A JP 2005228312 A JP2005228312 A JP 2005228312A
- Authority
- JP
- Japan
- Prior art keywords
- security
- expression
- query
- data
- row
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 44
- 230000014509 gene expression Effects 0.000 claims abstract description 295
- 230000003190 augmentative effect Effects 0.000 claims abstract description 36
- 238000004458 analytical method Methods 0.000 claims abstract description 23
- 230000003068 static effect Effects 0.000 claims abstract description 11
- 230000000295 complement effect Effects 0.000 claims description 9
- 238000005304 joining Methods 0.000 claims description 7
- 238000011156 evaluation Methods 0.000 claims description 5
- 230000002776 aggregation Effects 0.000 claims description 2
- 238000004220 aggregation Methods 0.000 claims description 2
- 206010000210 abortion Diseases 0.000 claims 1
- 239000003999 initiator Substances 0.000 abstract description 3
- 230000000116 mitigating effect Effects 0.000 abstract description 3
- 238000004891 communication Methods 0.000 description 13
- 238000012545 processing Methods 0.000 description 10
- 238000003860 storage Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 101100328884 Caenorhabditis elegans sqt-3 gene Proteins 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000005055 memory storage Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 235000008694 Humulus lupulus Nutrition 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013474 audit trail Methods 0.000 description 1
- 230000003416 augmentation Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000002040 relaxant effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16K—VALVES; TAPS; COCKS; ACTUATING-FLOATS; DEVICES FOR VENTING OR AERATING
- F16K15/00—Check valves
- F16K15/02—Check valves with guided rigid valve members
- F16K15/06—Check valves with guided rigid valve members with guided stems
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16K—VALVES; TAPS; COCKS; ACTUATING-FLOATS; DEVICES FOR VENTING OR AERATING
- F16K27/00—Construction of housing; Use of materials therefor
- F16K27/02—Construction of housing; Use of materials therefor of lift valves
- F16K27/0209—Check valves or pivoted valves
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
【解決手段】 式はブール式を含み、データがクエリ開始元からアクセス可能になるためには、式がそのデータ行によって満たされなければならない。クエリはセキュリティ式で増補され、セキュリティ式は集約されてデータ行の照会中に利用される。本発明はセキュリティ式をクエリ内で様々に配置して性能を最適化し情報漏洩を軽減する。これは、セキュリティ式を特別にタグ付けし、述語規則を利用して、静的および/または動的分析によって決定されるように非セキュリティ式が安全である可能性に応じて非セキュリティ式をセキュリティ式よりも上または下にすることによって達成される。
【選択図】 図1
Description
CREATE EXPRESSION<expression_name>ON<data_name>AS(<expression>)
上の構文で、<expression_name>は式の名前を指定し、<data_name>はソース(例えば1つまたは複数のテーブル名やそのサブセット)を指定し、<expression>は、行中のデータへのアクセスを得るためにその行によって満たされなければならないセキュリティ式である。前述のように、このような式を特定の要求元および/または要求元グループにリンクすることができる。例えば、SQLを利用するとき、データ管理者は、GRANT、REVOKE、DENYユーティリティを介して、特定のデータソースに対して作成されたセキュリティ式をユーザおよび/またはユーザグループにリンクすることができ、かつ/または、DROPユーティリティを介してセキュリティ式を削除することができる。これについては後で詳細に述べる。
Emp(id int,salary float)
CREATE EXPRESSION SalLimit ON Emp AS(salary<X)
GRANT SELECT(where SalLimit)ON Emp TO User1
GRANT SELECT(where SalLimit,Col1)ON Emp TO User1
DENY SELECT(WHERE<expression_name>)ON<data_name>TO(<user_name>)
REVOKE SELECT(WHERE<expression_name>)ON<data_name>FROM(<user_name>)
行レベルのアクセス制御(例えばセキュリティ)を有効にするためにテーブルに適用される述語は、DDL CREATE EXPRESSIONを使用して作成することができる。このような述語は、名前を与えられることができ、式の名前を含む構文(例えばGDR)を利用してテーブルに適用される。
構文:
CREATE EXPRESSION<expression_name>ON<tablename>AS(<expression>)
CREATEユーティリティは、<expression>中に明記された式をテーブル<tablename>に対して作成することができ、それに<expression_name>と呼ばれる名前を割り当てることができる。
制限:
・通常はサブクエリを含めることはできない。
・式が関数への参照とそれらの関数に対する作成者参照許可とを含んでいる場合は、関数呼出しを含めることができる。
・式には名前を与えるべきである(expression_name)。
・expression_nameは固有であるべきである。
権限:
db_ddladmin、db_ownerロール、sysadminロールのメンバと、テーブル所有者と、データベース、スキーマ、および/またはテーブルレベルのFULL CONTROL権限を有するユーザとは、そのテーブルに対する式を作成する権限を有することができる。加えて、テーブルに対するALTER ANY TABLEおよび/またはALTERを有するユーザも、そのテーブルに対する式を作成する権限を有する。
例:
CREATE EXPRESSION My_Filter ON shipTable AS(ship_city='redmond'and order_num>35)
CREATE EXPRESSIONステートメントを使用して作成された述語は、後でDROP EXPRESSIONステートメントを使用して削除することができる。
構文:
DROP EXPRESSION<expression_name>ON<Tablename>
制限:
・指定されたexpression_nameは通常、すでに存在していなければならない。
・現ユーザは通常、db_ddladmin、db_owner、および/またはsysadminロールのメンバ、ならびに式が識別されるテーブルの所有者である必要があり、かつ/あるいは、式を削除するテーブルに対するFULL CONTROLおよび/またはALTER権限を有する必要がある。
・式は通常、テーブルに対する行レベルのセキュリティを確立するのに現在利用されていない場合にのみ削除することができる。
・いずれかの制限に違反した場合は、エラー(例えば「式が存在しないか使用中の可能性があります。あるいはこのステートメントを実行する権限がありません。」)を返すことができる。
構文:
制限:
・GRANTは通常、テーブルに対してでなければならない。
・権限は通常、テーブルレベルで適用される。
・WITH GRANT OPTIONは通常、行レベルの制限を指定するときに可能になる。それ以上の許可は一般に、この式の許可対象が行うことができる。
・<expression_name>は通常、CREATE EXPRESSIONステートメントを介してすでに指定された有効な式名でなければならない。
・GRANTを発行するユーザは通常、テーブルの所有者であるか、あるいはテーブル、db_owner、db_securityadmin、および/またはsysadminロールのメンバに対してFULL CONTROL権限を有する必要がある。
例:
GRANT SELECT WHERE(Myfilter)ON Table1 TO RedMgrs
GRANT BEFORE UPDATE WHERE(Filter2)ON Table2 TO public
構文:
制限:
・<expression_name>は通常、取り消される特定の権限に対してすでに前のGRANTまたはDENYを使用してテーブルに対して指定された有効な式名でなければならない。
・通常、列名または取り消す式を指定することができる。
・通常、GRANTまたはDENYに基づいて、CASCADEオプションがREVOKEの式に適用されることになる。これは通常、前のGRANTまたはDENY中で指定されたのと同じ式でなければならず、すでに許可された式によって定義される行のサブセットは取り消すことができない。
・REVOKEが成功するためには、ユーザは通常、テーブル所有者である必要があるか、あるいはテーブル、db_securityadmin、db_owner、および/またはsysadminロールのメンバに対してFULL CONTROL権限を有さなければならない。
例:
REVOKE SELECT WHERE(MyFilter)ON Table1 TO RedMgrs
構文:
制限:
・DENYは通常、テーブルに対してである。
・権限は通常、テーブルレベルで適用される。
・CASCADEオプションは通常、行レベルの制限を指定するときに可能であり、これは、許可された場合は全く同じ式を第1レベルで拒否してより低いレベルで取り消すことになるが、そのサブセットについてはそうしない。
・<expression_name>は通常、すでにCREATE EXPRESSIONステートメントを介して指定された有効な式名でなければならない。
・DENYを発行するユーザは通常、テーブルの所有者であるか、db_owner、db_securityadmin、および/またはsysadminロールのメンバである必要がある。
例:
DENY SELECT WHERE(MyFilter)ON Table1 TO BelvMgrs
これらの式は、sysobjectsオブジェクトに含めることができる。加えて、対応するカタログビューがsys.objects中にあってよい。テーブル所有者と、FULL CONTROLおよび/またはVIEW DEFINITION権限を有するユーザは、テーブルに適用される式を見ることができる。
GRANT ExemptRowSec ON T TO<user1>
このステートメントが発行されると、テーブルTに対するユーザ1のクエリにはどんな述語も増補されない。この権限はテーブルレベルでのみ許可することができ、列レベルでは許可されない。
構文:
構文:
元のクエリ
SELECT*FROM ORDERS
WHERE OrderDate>'1/1/02
増補済みクエリ
SELECT*FROM ORDERS
WHERE OrderDate>'1/1/02'
AND
(
(IS_MEMBER('Director')=1 AND 1=1)
OR
(IS MEMBER('SpainMgrs')=1 AND Orders.Shipcountry='Spain')
OR
(IS_MEMBER('FranceMgrs')=1 AND Orders.Shipcountry='France')
)
120 クエリマネージャ
130 出力コンポーネント
210 オプティマイザ
310 式バンク
910 入力コンポーネント
920 SQLクエリマネージャ
930 出力コンポーネント
1010 クライアント
1020 サーバ
1030 サーバデータストア
1040 通信フレームワーク
1050 クライアントデータストア
1114 処理ユニット
1116 システムメモリ
1118 バス
1120 揮発性
1122 不揮発性
1124 ディスク記憶装置
1126 インタフェース
1128 オペレーティングシステム
1130 アプリケーション
1132 モジュール
1134 データ
1136 入力デバイス
1138 インタフェースポート
1140 出力デバイス
1142 出力アダプタ
1144 リモートコンピュータ
1146 メモリ記憶装置
1148 ネットワークインタフェース
1150 通信接続
Claims (28)
- データベースセキュリティを容易にするシステムであって、
クエリを受け取る入力コンポーネントと、
述語規則を利用して前記クエリを少なくとも行レベルのセキュリティ式で増補するクエリ管理コンポーネントとを備え、前記増補済みクエリを利用して、データを検索し、前記行レベルのセキュリティ式の集約を少なくとも満たすデータ行を返すことを特徴とするシステム。 - 前記クエリは、
満たされるときに行アクセスを許可するブール式の離接と、
満たされるときに行アクセスを拒否するブール式それぞれの補集合の合接との合接からなる式を挿入することによって増補されることを特徴とする請求項1に記載のシステム。 - 前記行レベルのセキュリティ式は、セキュリティ式と非セキュリティ式を区別するために特別にタグ付けされることを特徴とする請求項1に記載のシステム。
- 前記述語規則は、セキュリティ式および非セキュリティ式がクエリに挿入される順序を定義することによって情報漏洩を軽減し、前記順序は、データ行の評価中に各式が利用される順序を決定することを特徴とする請求項1に記載のシステム。
- 性能を高め情報漏洩を軽減するために、非セキュリティ式をセキュリティ式よりも上にするか、または非セキュリティ式をセキュリティ式よりも下にするオプティマイザをさらに備えることを特徴とする請求項1に記載のシステム。
- コンパイル時に静的分析を実施して、前記クエリ中の非セキュリティ式が安全かどうかを判定するコンポーネントをさらに備えることを特徴とする請求項1に記載のシステム。
- 安全な式は、セキュリティ違反による情報開示のリスクなしに実行される式であることを特徴とする請求項6に記載のシステム。
- 実行時に動的分析を実施して、非セキュリティ式が安全かどうかを判定するコンポーネントをさらに備えることを特徴とする請求項1に記載のシステム。
- 前記動的分析は、すべてのセキュリティ式がうまく実行された場合にデータを返すことを特徴とする請求項8に記載のシステム。
- 安全違反を検出し、前記クエリをアボートするか、または前記クエリをセーフモードで再開始するコンポーネントをさらに備えることを特徴とする請求項1に記載のシステム。
- 前記セーフモードは、非セキュリティ式が利用される前にセキュリティ式がデータ行の評価に利用されるようにすることを特徴とする請求項10に記載のシステム。
- 前記セキュリティ式はブール式であることを特徴とする請求項1に記載のシステム。
- データの行に対して1つまたは複数のセキュリティ式が前記データの管理者によってSQLステートメントを介して作成されることを特徴とする請求項1に記載のシステム。
- データの行のセットに対する1つまたは複数のセキュリティ式が前記データの管理者によって1つまたは複数のクエリ開始元に関連付けられることを特徴とする請求項1に記載のシステム。
- 行レベルのデータベースセキュリティを利用する方法であって、
クエリに対する1つまたは複数の行レベルのセキュリティ式を前記クエリのソースに基づいて得るステップと、
前記1つまたは複数の行レベルのセキュリティ式を前記クエリに挿入して、安全でない非セキュリティ式が実行される前に前記セキュリティ式がデータ行の評価に利用されるようにするステップとを含むことを特徴とする方法。 - 満たされるときに行アクセスを許可するブール式の離接と、満たされるときに行アクセスを拒否するブール式それぞれの補集合の合接との合接からなる式を接合し、前記接合した式を前記クエリに挿入するステップをさらに含むことを特徴とする請求項15に記載の方法。
- SQLステートメントを利用してセキュリティ式の作成、関連付け、および/または取消しを行うステップをさらに含むことを特徴とする請求項15に記載の方法。
- SQLステートメントを利用してデータ行への権限をユーザに対して許可または拒否するステップをさらに含むことを特徴とする請求項15に記載の方法。
- 安全でない非セキュリティ式を前記クエリが含まないとき、前記1つまたは複数の行レベルのセキュリティ式を前記クエリに挿入して性能を最適化するステップをさらに含むことを特徴とする請求項15に記載の方法。
- 述語移動規則を利用して、前記クエリ内における前記セキュリティ式の順序付けを容易にするステップをさらに含むことを特徴とする請求項15に記載の方法。
- 前記述語規則は、性能を高めデータ漏洩を軽減するために非セキュリティ式をセキュリティ式よりも上または下にすべきかどうかを定義することを特徴とする請求項20に記載の方法。
- 静的分析を実施して、非セキュリティ式が安全でないかどうかを判定するステップをさらに含むことを特徴とする請求項15に記載の方法。
- 動的分析を実施して、非セキュリティ式が安全でないかどうかを判定するステップをさらに含むことを特徴とする請求項15に記載の方法。
- 論理非セキュリティ式は安全な式として定義するステップをさらに含むことを特徴とする請求項15に記載の方法。
- 安全違反が検出されたときは前記クエリをセーフモードで再開始するステップをさらに含み、セーフモードは、セキュリティ式が非セキュリティ式よりも前に行データの評価に利用されるようにすることを特徴とする請求項15に記載の方法。
- 行レベルのデータベースセキュリティを容易にする複数のコンピュータコンポーネント間で伝送されるデータパケットであって、
SQLによって作成された1つまたは複数のセキュリティ式が述語規則に基づいて内部に配置されたクエリを含み、前記セキュリティ式は、前記セキュリティ式が満たされるときにデータ行へのアクセスを提供するためのデータ行評価に利用されることを特徴とするデータパケット。 - 行レベルのデータベースセキュリティを容易にするためのコンピュータ実行可能コンポーネントを記憶したコンピュータ可読媒体であって、
ユーザに対するセキュリティ式をステートメント中に接合するコンポーネントと、
ユーザによって開始されたクエリにステートメントを追加するコンポーネントと、
前記クエリ内における前記ステートメントの配置を最適化するコンポーネントと、
前記ステートメントに基づいてデータ行を照会して、前記ステートメントを満たすデータ行を返すコンポーネントとを備えることを特徴とするコンピュータ可読媒体。 - クエリに行レベルのセキュリティ式を増補する手段と、
性能を高めるかまたはデータ漏洩を軽減するように前記クエリ内で前記行レベルのセキュリティ式を配置する手段と、
前記行レベルのセキュリティ式でデータ行を評価する手段と、
前記行レベルのセキュリティ式を満たすデータ行へのアクセスをユーザに提供する手段とを備えることを特徴とするデータベースセキュリティシステム。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US54385504P | 2004-02-11 | 2004-02-11 | |
US60/543,855 | 2004-02-11 | ||
US10/885,815 | 2004-07-07 | ||
US10/885,815 US7661141B2 (en) | 2004-02-11 | 2004-07-07 | Systems and methods that optimize row level database security |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005228312A true JP2005228312A (ja) | 2005-08-25 |
JP4698243B2 JP4698243B2 (ja) | 2011-06-08 |
Family
ID=34704406
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005026874A Expired - Fee Related JP4698243B2 (ja) | 2004-02-11 | 2005-02-02 | 行レベルのデータベースセキュリティを最適化するシステムおよび方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US7661141B2 (ja) |
EP (1) | EP1564620A1 (ja) |
JP (1) | JP4698243B2 (ja) |
KR (1) | KR101120814B1 (ja) |
CN (1) | CN100492357C (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015535622A (ja) * | 2012-11-09 | 2015-12-14 | マイクロソフト コーポレーション | 予め定義されたクエリーによる表示のフィルタリング |
Families Citing this family (67)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7281003B2 (en) * | 1998-10-05 | 2007-10-09 | Oracle International Corporation | Database fine-grained access control |
US20040139043A1 (en) * | 2003-01-13 | 2004-07-15 | Oracle International Corporation | Attribute relevant access control policies |
US7873660B1 (en) | 2003-02-27 | 2011-01-18 | Oracle International Corporation | Enforcing data privacy aggregations |
US7249120B2 (en) * | 2003-06-27 | 2007-07-24 | Microsoft Corporation | Method and apparatus for selecting candidate statistics to estimate the selectivity value of the conditional selectivity expression in optimize queries based on a set of predicates that each reference a set of relational database tables |
US7310647B2 (en) * | 2003-12-24 | 2007-12-18 | Oracle International Corporation | Column masking of tables |
US20100299761A1 (en) * | 2004-01-22 | 2010-11-25 | Jpay, Inc. | System and method for sending electronic data to inmates |
US20130179949A1 (en) | 2004-01-22 | 2013-07-11 | Jpay, Inc. | Secure exchange of digital content |
US8825702B2 (en) * | 2004-02-24 | 2014-09-02 | Oracle International Corporation | Sending control information with database statement |
US7308411B2 (en) * | 2004-04-01 | 2007-12-11 | Leo Software, Inc. | Method of presenting leasing arrangements |
US8271463B2 (en) * | 2004-12-28 | 2012-09-18 | International Business Machines Corporation | System and method for providing access to data with user defined table functions |
US8438141B2 (en) * | 2005-01-27 | 2013-05-07 | International Business Machines Corporation | System and method for providing secure access to data with user defined table functions |
US7505985B2 (en) * | 2005-02-25 | 2009-03-17 | International Business Machines Corporation | System and method of generating string-based search expressions using templates |
US8326877B2 (en) * | 2005-05-04 | 2012-12-04 | Microsoft Corporation | Region-based security |
US7580958B2 (en) * | 2005-06-17 | 2009-08-25 | International Business Machines Corporation | Supporting multiple versions of a routine |
US7899817B2 (en) * | 2005-10-05 | 2011-03-01 | Microsoft Corporation | Safe mode for inverse query evaluations |
US8069153B2 (en) * | 2005-12-02 | 2011-11-29 | Salesforce.Com, Inc. | Systems and methods for securing customer data in a multi-tenant environment |
US10318752B2 (en) * | 2006-05-26 | 2019-06-11 | Oracle International Corporation | Techniques for efficient access control in a database system |
US8676845B2 (en) * | 2006-08-22 | 2014-03-18 | International Business Machines Corporation | Database entitlement |
US7685194B2 (en) * | 2006-08-31 | 2010-03-23 | Microsoft Corporation | Fine-grained access control in a database by preventing information leakage and removing redundancy |
KR100803357B1 (ko) * | 2006-09-28 | 2008-02-13 | 알투웨어 주식회사 | 데이터베이스 보안 장치 및 방법 |
US8402017B2 (en) * | 2006-12-08 | 2013-03-19 | International Business Machines Corporation | Method for altering database views dependent on rules |
US8027993B2 (en) | 2006-12-28 | 2011-09-27 | Teradota Us, Inc. | Techniques for establishing and enforcing row level database security |
US20090024570A1 (en) * | 2007-07-20 | 2009-01-22 | Oracle Internatonal Corporation | User defined query rewrite mechanism |
US8078595B2 (en) * | 2007-10-09 | 2011-12-13 | Oracle International Corporation | Secure normal forms |
US8819066B2 (en) | 2007-12-21 | 2014-08-26 | International Business Machines Corporation | Employing organizational context within a collaborative tagging system |
US8234299B2 (en) * | 2008-01-11 | 2012-07-31 | International Business Machines Corporation | Method and system for using fine-grained access control (FGAC) to control access to data in a database |
US8566909B2 (en) * | 2008-02-01 | 2013-10-22 | Oracle International Corporation | Row-level security with expression data type |
US7958105B2 (en) * | 2008-03-07 | 2011-06-07 | International Business Machines Corporation | System and method for filtering database results using dynamic composite queries |
US20090248631A1 (en) * | 2008-03-31 | 2009-10-01 | International Business Machines Corporation | System and Method for Balancing Workload of a Database Based Application by Partitioning Database Queries |
US7970790B2 (en) * | 2008-05-13 | 2011-06-28 | Microsoft Corporation | Cell-based security representation for data access |
US8224873B1 (en) | 2008-05-22 | 2012-07-17 | Informatica Corporation | System and method for flexible security access management in an enterprise |
US8166071B1 (en) | 2008-05-22 | 2012-04-24 | Informatica Corporation | System and method for efficiently securing enterprise data resources |
US20090300019A1 (en) * | 2008-05-30 | 2009-12-03 | Schumberger Technology Corporation | Hierarchical item level entitlement |
US8239396B2 (en) * | 2009-03-20 | 2012-08-07 | Oracle International Corporation | View mechanism for data security, privacy and utilization |
US9183407B2 (en) * | 2011-10-28 | 2015-11-10 | Microsoft Technology Licensing Llc | Permission based query processing |
US9043309B2 (en) * | 2012-06-05 | 2015-05-26 | Oracle International Corporation | SQL transformation-based optimization techniques for enforcement of data access control |
US9195841B2 (en) | 2013-03-15 | 2015-11-24 | Sap Se | Automated and delegated model-based row level security |
US10101889B2 (en) | 2014-10-10 | 2018-10-16 | Salesforce.Com, Inc. | Dashboard builder with live data updating without exiting an edit mode |
US9449188B2 (en) | 2014-10-10 | 2016-09-20 | Salesforce.Com, Inc. | Integration user for analytical access to read only data stores generated from transactional systems |
US9600548B2 (en) * | 2014-10-10 | 2017-03-21 | Salesforce.Com | Row level security integration of analytical data store with cloud architecture |
US9767145B2 (en) | 2014-10-10 | 2017-09-19 | Salesforce.Com, Inc. | Visual data analysis with animated informational morphing replay |
US10049141B2 (en) | 2014-10-10 | 2018-08-14 | salesforce.com,inc. | Declarative specification of visualization queries, display formats and bindings |
US9760591B2 (en) | 2015-05-14 | 2017-09-12 | Walleye Software, LLC | Dynamic code loading |
US10115213B2 (en) | 2015-09-15 | 2018-10-30 | Salesforce, Inc. | Recursive cell-based hierarchy for data visualizations |
US10089368B2 (en) | 2015-09-18 | 2018-10-02 | Salesforce, Inc. | Systems and methods for making visual data representations actionable |
US10205730B2 (en) | 2015-09-29 | 2019-02-12 | International Business Machines Corporation | Access control for database |
JP6547577B2 (ja) * | 2015-10-15 | 2019-07-24 | 富士通株式会社 | 検査装置、検査プログラムおよび検査方法 |
KR101905771B1 (ko) * | 2016-01-29 | 2018-10-11 | 주식회사 엔오디비즈웨어 | 시스템 환경 및 사용자 행동 분석 기반의 자기 방어 보안 서버와 이의 작동 방법 |
US10713376B2 (en) | 2016-04-14 | 2020-07-14 | Salesforce.Com, Inc. | Fine grain security for analytic data sets |
US10277561B2 (en) * | 2016-07-22 | 2019-04-30 | International Business Machines Corporation | Database management system shared ledger support |
US10303894B2 (en) | 2016-08-31 | 2019-05-28 | Oracle International Corporation | Fine-grained access control for data manipulation language (DML) operations on relational data |
US10311047B2 (en) | 2016-10-19 | 2019-06-04 | Salesforce.Com, Inc. | Streamlined creation and updating of OLAP analytic databases |
US10885134B2 (en) | 2017-05-12 | 2021-01-05 | International Business Machines Corporation | Controlling access to protected information |
US10198469B1 (en) | 2017-08-24 | 2019-02-05 | Deephaven Data Labs Llc | Computer data system data source refreshing using an update propagation graph having a merged join listener |
RU2676223C1 (ru) * | 2017-11-16 | 2018-12-26 | Общество с ограниченной ответственностью "Научно-технический центр РЕЛЭКС" | Способ проведения разделения объектов базы данных на основе меток конфиденциальности |
US11153172B2 (en) * | 2018-04-30 | 2021-10-19 | Oracle International Corporation | Network of nodes with delta processing |
US11048815B2 (en) * | 2018-08-06 | 2021-06-29 | Snowflake Inc. | Secure data sharing in a multi-tenant database system |
CN109446219B (zh) * | 2018-10-10 | 2021-06-29 | 新华三大数据技术有限公司 | 权限管理方法及装置 |
CN109410650B (zh) * | 2018-10-10 | 2020-05-19 | 中国电子科技集团公司第二十八研究所 | 面向全系统信息管理的基于情景与语义的信息聚合方法 |
CN109442265B (zh) * | 2018-10-24 | 2020-09-01 | 欧普照明股份有限公司 | 一种照明灯具 |
US11675920B2 (en) * | 2019-12-03 | 2023-06-13 | Sonicwall Inc. | Call location based access control of query to database |
CN111488360B (zh) * | 2020-04-14 | 2023-04-18 | 上海达梦数据库有限公司 | 一种行级安全的实现方法、装置、设备及存储介质 |
US11868349B2 (en) * | 2020-05-05 | 2024-01-09 | International Business Machines Corporation | Row secure table plan generation |
US11562052B2 (en) * | 2020-08-31 | 2023-01-24 | Procore Technologies, Inc. | Computing system and method for verification of access permissions |
US11397826B2 (en) * | 2020-10-29 | 2022-07-26 | Snowflake Inc. | Row-level security |
CN112817941A (zh) * | 2021-02-24 | 2021-05-18 | 紫光云技术有限公司 | 一种解决sqlserver自动修改恢复模式的方法 |
US20230169121A1 (en) * | 2021-12-01 | 2023-06-01 | Google Llc | Performance Optimizations for Row-Level Security Filters |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09508995A (ja) * | 1994-02-16 | 1997-09-09 | ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー | データベースへのアクセスを制御するための方法及び装置 |
US20020095405A1 (en) * | 2001-01-18 | 2002-07-18 | Hitachi America, Ltd. | View definition with mask for cell-level data access control |
JP2002312220A (ja) * | 2001-01-18 | 2002-10-25 | Hitachi Ltd | ユーザ定義機能を使用したセルレベルのデータアクセス制御 |
US20030014394A1 (en) * | 2001-03-22 | 2003-01-16 | Shinji Fujiwara | Cell-level data access control using user-defined functions |
JP2006502472A (ja) * | 2002-09-04 | 2006-01-19 | インターナショナル・ビジネス・マシーンズ・コーポレーション | リレーショナル・データベースへのアクセスを制御する方法 |
JP2006502494A (ja) * | 2002-10-03 | 2006-01-19 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アクセス制御に違反する問い合わせの実行を先取り式に(pre−emptively)妨げるユーザ・データのインテリジェントな使用 |
JP2006513499A (ja) * | 2003-01-13 | 2006-04-20 | オラクル・インターナショナル・コーポレイション | 属性に関連するアクセス制御ポリシー |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07104868B2 (ja) * | 1988-04-08 | 1995-11-13 | インターナシヨナル・ビジネス・マシーンズ・コーポレーシヨン | データ記憶検索システム |
US5261102A (en) * | 1991-03-28 | 1993-11-09 | International Business Machines Corporation | System for determining direct and indirect user access privileges to data base objects |
EP0697662B1 (en) * | 1994-08-15 | 2001-05-30 | International Business Machines Corporation | Method and system for advanced role-based access control in distributed and centralized computer systems |
US6381595B1 (en) * | 1994-09-29 | 2002-04-30 | International Business Machines Corporation | System and method for compensation of functional differences between heterogeneous database management systems |
US5956715A (en) * | 1994-12-13 | 1999-09-21 | Microsoft Corporation | Method and system for controlling user access to a resource in a networked computing environment |
US5941947A (en) * | 1995-08-18 | 1999-08-24 | Microsoft Corporation | System and method for controlling access to data entities in a computer network |
US5734887A (en) * | 1995-09-29 | 1998-03-31 | International Business Machines Corporation | Method and apparatus for logical data access to a physical relational database |
US6412070B1 (en) * | 1998-09-21 | 2002-06-25 | Microsoft Corporation | Extensible security system and method for controlling access to objects in a computing environment |
US6715081B1 (en) * | 1999-08-12 | 2004-03-30 | International Business Machines Corporation | Security rule database searching in a network security environment |
US6438542B1 (en) * | 1999-08-30 | 2002-08-20 | International Business Machines Corporation | Method of optimally determining lossless joins |
US6405212B1 (en) * | 1999-09-27 | 2002-06-11 | Oracle Corporation | Database system event triggers |
US6397206B1 (en) * | 1999-12-15 | 2002-05-28 | International Business Machines Corporation | Optimizing fixed, static query or service selection and execution based on working set hints and query signatures |
US6820082B1 (en) * | 2000-04-03 | 2004-11-16 | Allegis Corporation | Rule based database security system and method |
US6658407B1 (en) * | 2000-06-29 | 2003-12-02 | Microsoft Corporation | Clause-based relational queries |
WO2002059793A2 (en) * | 2000-10-31 | 2002-08-01 | Michael Philip Kaufman | System and method for generating automatic user interface for arbitrarily complex or large databases |
JP4006214B2 (ja) | 2001-01-26 | 2007-11-14 | 株式会社日立製作所 | データ検索システム、データ中継サーバ、データベースサーバおよびデータベースのアクセス方法 |
US6836770B2 (en) * | 2002-08-09 | 2004-12-28 | Joint Technology Corporation | Method for transforming SQL queries |
US7031958B2 (en) * | 2003-02-06 | 2006-04-18 | International Business Machines Corporation | Patterned based query optimization |
US8321137B2 (en) * | 2003-09-29 | 2012-11-27 | Pathwork Diagnostics, Inc. | Knowledge-based storage of diagnostic models |
US7346617B2 (en) * | 2004-01-23 | 2008-03-18 | Oracle International Corporation | Multi-table access control |
US7207065B2 (en) * | 2004-06-04 | 2007-04-17 | Fortify Software, Inc. | Apparatus and method for developing secure software |
-
2004
- 2004-07-07 US US10/885,815 patent/US7661141B2/en active Active
-
2005
- 2005-01-10 KR KR1020050002218A patent/KR101120814B1/ko active IP Right Grant
- 2005-01-11 EP EP05000405A patent/EP1564620A1/en not_active Ceased
- 2005-01-20 CN CNB2005100059326A patent/CN100492357C/zh not_active Expired - Fee Related
- 2005-02-02 JP JP2005026874A patent/JP4698243B2/ja not_active Expired - Fee Related
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09508995A (ja) * | 1994-02-16 | 1997-09-09 | ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー | データベースへのアクセスを制御するための方法及び装置 |
US20020095405A1 (en) * | 2001-01-18 | 2002-07-18 | Hitachi America, Ltd. | View definition with mask for cell-level data access control |
JP2002215440A (ja) * | 2001-01-18 | 2002-08-02 | Hitachi Ltd | セルレベルのデータアクセス制御のためのマスク付きビューの定義方法及びそのプログラム記録媒体 |
JP2002312220A (ja) * | 2001-01-18 | 2002-10-25 | Hitachi Ltd | ユーザ定義機能を使用したセルレベルのデータアクセス制御 |
US20030014394A1 (en) * | 2001-03-22 | 2003-01-16 | Shinji Fujiwara | Cell-level data access control using user-defined functions |
JP2006502472A (ja) * | 2002-09-04 | 2006-01-19 | インターナショナル・ビジネス・マシーンズ・コーポレーション | リレーショナル・データベースへのアクセスを制御する方法 |
JP2006502494A (ja) * | 2002-10-03 | 2006-01-19 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アクセス制御に違反する問い合わせの実行を先取り式に(pre−emptively)妨げるユーザ・データのインテリジェントな使用 |
JP2006513499A (ja) * | 2003-01-13 | 2006-04-20 | オラクル・インターナショナル・コーポレイション | 属性に関連するアクセス制御ポリシー |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015535622A (ja) * | 2012-11-09 | 2015-12-14 | マイクロソフト コーポレーション | 予め定義されたクエリーによる表示のフィルタリング |
Also Published As
Publication number | Publication date |
---|---|
KR101120814B1 (ko) | 2012-03-23 |
EP1564620A1 (en) | 2005-08-17 |
US7661141B2 (en) | 2010-02-09 |
JP4698243B2 (ja) | 2011-06-08 |
CN100492357C (zh) | 2009-05-27 |
KR20050081164A (ko) | 2005-08-18 |
CN1655145A (zh) | 2005-08-17 |
US20050177570A1 (en) | 2005-08-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4698243B2 (ja) | 行レベルのデータベースセキュリティを最適化するシステムおよび方法 | |
US11379605B2 (en) | Data sharing using secure views | |
US7711750B1 (en) | Systems and methods that specify row level database security | |
KR101153064B1 (ko) | 데이터베이스에 대한 안전한 액세스를 용이하게 하는 컴퓨터로 구현된 시스템, 데이터 액세스 방법, 안전한 액세스를 용이하게 하는 방법, 및 컴퓨터 판독가능 저장 매체 | |
US11461493B1 (en) | Data overlap count adjustment in a multiple tenant database system | |
US10438008B2 (en) | Row level security | |
US7599937B2 (en) | Systems and methods for fine grained access control of data stored in relational databases | |
US8214382B1 (en) | Database predicate constraints on structured query language statements | |
Ali et al. | A provenance-aware policy language (cprovl) and a data traceability model (cprov) for the cloud | |
JP2016201043A (ja) | アクセス制御装置、およびアクセス制御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080204 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101022 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110124 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110225 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110301 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4698243 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |