JP2634117B2 - データベースオブジェクトのユーザアクセス特権を判定するための方法およびそのシステム - Google Patents
データベースオブジェクトのユーザアクセス特権を判定するための方法およびそのシステムInfo
- Publication number
- JP2634117B2 JP2634117B2 JP4017406A JP1740692A JP2634117B2 JP 2634117 B2 JP2634117 B2 JP 2634117B2 JP 4017406 A JP4017406 A JP 4017406A JP 1740692 A JP1740692 A JP 1740692A JP 2634117 B2 JP2634117 B2 JP 2634117B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- user
- determining
- privileges
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
【0001】
【産業上の利用分野】本発明は、データベースのオブジ
ェクトに関してデータベースユーザによって現在保持さ
れているアクセス特権を判定するための方法に関する。
より詳しくは、本発明は、そのような特権を自動的に判
定し、かつ、(1)ユーザがアクセス特権を有するオブ
ジェクトの名称、(2)ユーザがアクセス特権を有する
各オブジェクトへのアクセスの型の識別、(3)ユーザ
がそれを通じてアクセス特権を有する関係するアクセス
グループの識別、および、(4)そのような特権が他の
ユーザに拡張できるかどうかに関する識別を表示するた
めの、製品に依存しない方法に関する。
ェクトに関してデータベースユーザによって現在保持さ
れているアクセス特権を判定するための方法に関する。
より詳しくは、本発明は、そのような特権を自動的に判
定し、かつ、(1)ユーザがアクセス特権を有するオブ
ジェクトの名称、(2)ユーザがアクセス特権を有する
各オブジェクトへのアクセスの型の識別、(3)ユーザ
がそれを通じてアクセス特権を有する関係するアクセス
グループの識別、および、(4)そのような特権が他の
ユーザに拡張できるかどうかに関する識別を表示するた
めの、製品に依存しない方法に関する。
【0002】
【従来の技術およびその課題】現在、データベースユー
ザにとって、自己がアクセス特権を有するそのオブジェ
クトを判定することは極めて困難である。所与のユーザ
は、例えばデータベースオブジェクトを作成することに
よりデータベースオブジェクトに「直接アクセス」を、
または、当該オブジェクトにアクセスできるグループま
たはクラスの構成員となることによりデータベースオブ
ジェクトに対する「間接アクセス」を有することができ
る。この分類の特殊な例として、データベースユーザ
が、一般にアクセス可能であるようなデータベースオブ
ジェクトにいつでもアクセスできる場合がある。
ザにとって、自己がアクセス特権を有するそのオブジェ
クトを判定することは極めて困難である。所与のユーザ
は、例えばデータベースオブジェクトを作成することに
よりデータベースオブジェクトに「直接アクセス」を、
または、当該オブジェクトにアクセスできるグループま
たはクラスの構成員となることによりデータベースオブ
ジェクトに対する「間接アクセス」を有することができ
る。この分類の特殊な例として、データベースユーザ
が、一般にアクセス可能であるようなデータベースオブ
ジェクトにいつでもアクセスできる場合がある。
【0003】本明細書で使用する場合、「アクセス特
権」は、データベースオブジェクトに対するいずれかの
型のアクセスを意味するものとする。こうしたアクセス
は、例示であって限定するものではないが、オブジェク
トを見る、テーブルの数を変更するなどによりオブジェ
クトを修正する、オブジェクトの構造を変更するなどに
よりオブジェクトを変更する、オブジェクトの全部また
は一部を削除する、といった能力を含むとしてよい。ア
クセス特権の正式な型は、各種データベース管理システ
ムで標準化されており、当業者には公知である。
権」は、データベースオブジェクトに対するいずれかの
型のアクセスを意味するものとする。こうしたアクセス
は、例示であって限定するものではないが、オブジェク
トを見る、テーブルの数を変更するなどによりオブジェ
クトを修正する、オブジェクトの構造を変更するなどに
よりオブジェクトを変更する、オブジェクトの全部また
は一部を削除する、といった能力を含むとしてよい。ア
クセス特権の正式な型は、各種データベース管理システ
ムで標準化されており、当業者には公知である。
【0004】用語「直接アクセス」は、ユーザがグルー
プまたはクラスに関係せずに有する型のアクセス特権を
含むものとする。こうした特権は、通常、アクセスされ
るオブジェクトの所有者または特別に特権を付与された
管理者により、ユーザに対して直接許可される。
プまたはクラスに関係せずに有する型のアクセス特権を
含むものとする。こうした特権は、通常、アクセスされ
るオブジェクトの所有者または特別に特権を付与された
管理者により、ユーザに対して直接許可される。
【0005】用語「間接アクセス」は、直接ではないす
べての型のアクセスを含む。パブリックアクセスは、規
定されたグループまたはクラスの構成員によるアクセス
であるような「間接アクセス」である。例えば、企業の
人事課は、その企業の部外者がアクセスできない一定の
データベースオブジェクト(秘密の人事ファイルなど)
へのアクセスが許可されていよう。人事課に転入し、後
に転出するような企業雇用者は、その在職中このグルー
プの構成員であり、従ってその人事ファイルに一時的に
アクセスできる。
べての型のアクセスを含む。パブリックアクセスは、規
定されたグループまたはクラスの構成員によるアクセス
であるような「間接アクセス」である。例えば、企業の
人事課は、その企業の部外者がアクセスできない一定の
データベースオブジェクト(秘密の人事ファイルなど)
へのアクセスが許可されていよう。人事課に転入し、後
に転出するような企業雇用者は、その在職中このグルー
プの構成員であり、従ってその人事ファイルに一時的に
アクセスできる。
【0006】従って、グループは、一定のデータベース
オブジェクトに対する規定のアクセス特権を備えた「疑
似エンティティ」である。これらのグループは、あたか
も実際のユーザであるかのようにデータベースで扱われ
る。
オブジェクトに対する規定のアクセス特権を備えた「疑
似エンティティ」である。これらのグループは、あたか
も実際のユーザであるかのようにデータベースで扱われ
る。
【0007】所与のデータベースユーザは、1組織内の
複数のグループの構成員としてよい。例えば、人事取締
役は、その企業内の上位の経営陣グループの構成員と同
様、人事グループの構成員としてよい。従って、データ
ベースユーザが、データベース内のアクセスのために自
己が属するすべてのグループに気づかない、または、は
っきり知らないことは稀ではない。そのグルーピング自
体はデータベースの外部で通常に格納されるので、ユー
ザは、すべての想定されるグループに関する情報および
各グループのアクセス特権にアクセスしなくてもよい。
複数のグループの構成員としてよい。例えば、人事取締
役は、その企業内の上位の経営陣グループの構成員と同
様、人事グループの構成員としてよい。従って、データ
ベースユーザが、データベース内のアクセスのために自
己が属するすべてのグループに気づかない、または、は
っきり知らないことは稀ではない。そのグルーピング自
体はデータベースの外部で通常に格納されるので、ユー
ザは、すべての想定されるグループに関する情報および
各グループのアクセス特権にアクセスしなくてもよい。
【0008】従って、ユーザが自己がアクセス特権を有
するデータベースオブジェクトの全部を判定することは
極めて困難である。所与のユーザは、恐らく、自己が作
成し所有するデータベースオブジェクトは知っているで
あろうが、それらのオブジェクトが膨大になったり、相
当以前に作成された場合、たぶん知らないかもしれな
い。ユーザはまた、自己が1以上のグループの構成員で
あることは知っているであろうが、自己が属するグルー
プのすべては知らないであろうし、そうしたすべてのグ
ループのアクセス特権を述べることはできないであろ
う。
するデータベースオブジェクトの全部を判定することは
極めて困難である。所与のユーザは、恐らく、自己が作
成し所有するデータベースオブジェクトは知っているで
あろうが、それらのオブジェクトが膨大になったり、相
当以前に作成された場合、たぶん知らないかもしれな
い。ユーザはまた、自己が1以上のグループの構成員で
あることは知っているであろうが、自己が属するグルー
プのすべては知らないであろうし、そうしたすべてのグ
ループのアクセス特権を述べることはできないであろ
う。
【0009】従って、現在、ユーザは、自己がアクセス
特権を有するオブジェクトのすべてを、それらのオブジ
ェクトの特権の型とともに判定し、表示させることは、
それが不可能でない場合、困難であることを認めるであ
ろう。
特権を有するオブジェクトのすべてを、それらのオブジ
ェクトの特権の型とともに判定し、表示させることは、
それが不可能でない場合、困難であることを認めるであ
ろう。
【0010】実際には、自己のアクセス特権を判定する
ためにユーザによって要求される情報のすべては、シス
テムのいずれかにおいて入手可能である。しかし、この
情報を得るには、ユーザは、データベースそれ自体に対
してだけでなく、システムカタログに対しても多数の照
会を行わなければならない。セキュリティグループ構成
員の効力などの必要な情報の一部は、セキュリティコー
ドがなければ通常は入手できない。
ためにユーザによって要求される情報のすべては、シス
テムのいずれかにおいて入手可能である。しかし、この
情報を得るには、ユーザは、データベースそれ自体に対
してだけでなく、システムカタログに対しても多数の照
会を行わなければならない。セキュリティグループ構成
員の効力などの必要な情報の一部は、セキュリティコー
ドがなければ通常は入手できない。
【0011】本明細書では、定義を要する多数の付加的
な用語が使用される。これらの定義を以下に説明する。
な用語が使用される。これらの定義を以下に説明する。
【0012】データベース「オブジェクト」は、特定の
方法で構成されたデータベース内のデータの集合であ
る。例えば、このデータの集合は、「テーブル」または
「ビュー」とすることができる。
方法で構成されたデータベース内のデータの集合であ
る。例えば、このデータの集合は、「テーブル」または
「ビュー」とすることができる。
【0013】「テーブル」は、行および列で構成された
データの集合である。
データの集合である。
【0014】「ビュー」は、ユーザがアクセスできるオ
ブジェクトの論理的部分集合である。例えば、テーブル
のビューは、そのテーブルの1以外の全部の行を含むこ
とができる。
ブジェクトの論理的部分集合である。例えば、テーブル
のビューは、そのテーブルの1以外の全部の行を含むこ
とができる。
【0015】「コレクション」は、データベース内のオ
ブジェクトの集合である。これらのオブジェクトは、例
えば、共通の主題に関係することができる。
ブジェクトの集合である。これらのオブジェクトは、例
えば、共通の主題に関係することができる。
【0016】「パッケージ」は、データベースを背景に
して走行できる予備処理されたコマンドの集合である。
して走行できる予備処理されたコマンドの集合である。
【0017】「索引」は、オブジェクト内の基礎をなす
オブジェクトである。テーブルの索引はそのテーブルの
一部を形成する。
オブジェクトである。テーブルの索引はそのテーブルの
一部を形成する。
【0018】「スナップショット」は、時間的に特定の
時点のテーブルまたはビューの複写である。例えば、ス
ナップショットは、日に一度だけテーブルから行うこと
ができるが、現在テーブルは連続的に変化している。
時点のテーブルまたはビューの複写である。例えば、ス
ナップショットは、日に一度だけテーブルから行うこと
ができるが、現在テーブルは連続的に変化している。
【0019】「rdb」は、「関係型データベース」の
頭文字語である。
頭文字語である。
【0020】「別名」は、データベースのオブジェクト
の略称である。例えば、テーブルの公式名を「273
4.5」とすることができるが、これはユーザが覚える
のは困難である。従って、ユーザは「mytab」とい
った別名をそのテーブルに付けることができる。
の略称である。例えば、テーブルの公式名を「273
4.5」とすることができるが、これはユーザが覚える
のは困難である。従って、ユーザは「mytab」とい
った別名をそのテーブルに付けることができる。
【0021】現在、OS/2照会マネージャ(QM)
は、アクセス特権判定がASP−1の時間枠でテーブル
およびビューについて利用可能であることを要求する。
これを行うために、QMは、テーブルのメニューをデー
タベースユーザに提示し、ユーザはそこから選択でき
る。IBMの共通ユーザアクセス(CUA)仕様は、こ
れらのメニューがユーザがアクセス可能なテーブルだけ
を表示することを要する。このガイドラインは、業界お
よび国際規格から導き出されたものであり、最近の人間
工学研究に対する回答である。現在、QMは、OS/2
で作用する特殊関数呼出しからこの情報を取得する。
は、アクセス特権判定がASP−1の時間枠でテーブル
およびビューについて利用可能であることを要求する。
これを行うために、QMは、テーブルのメニューをデー
タベースユーザに提示し、ユーザはそこから選択でき
る。IBMの共通ユーザアクセス(CUA)仕様は、こ
れらのメニューがユーザがアクセス可能なテーブルだけ
を表示することを要する。このガイドラインは、業界お
よび国際規格から導き出されたものであり、最近の人間
工学研究に対する回答である。現在、QMは、OS/2
で作用する特殊関数呼出しからこの情報を取得する。
【0022】
【課題を解決するための手段】本発明の第1の目的は、
データベースのオブジェクトに関してデータベースユー
ザによって現在保持されているアクセス特権を判定する
ための方法を提供することである。
データベースのオブジェクトに関してデータベースユー
ザによって現在保持されているアクセス特権を判定する
ための方法を提供することである。
【0023】本発明の第2の目的は、「製品に依存しな
い」、すなわち、いずれのデータベース管理プログラム
製品にも移植できるような、上述の形式の方法を提供す
ることである。
い」、すなわち、いずれのデータベース管理プログラム
製品にも移植できるような、上述の形式の方法を提供す
ることである。
【0024】本発明の第3の目的は、ユーザがアクセス
特権を持たないそうしたテーブルの識別に対するユーザ
によるアクセスを防止する前述の形式の方法を提供する
ことである。
特権を持たないそうしたテーブルの識別に対するユーザ
によるアクセスを防止する前述の形式の方法を提供する
ことである。
【0025】本発明の第4の目的は、多数のデータベー
スプログラム製品とともに用いるための非手続き言語で
実施される前述の形式の方法を提供することである。
スプログラム製品とともに用いるための非手続き言語で
実施される前述の形式の方法を提供することである。
【0026】上述の目的および、後述の説明によって明
らかになるであろう他の目的は、本発明に従って、以下
の段階を含む方法によって達成される。
らかになるであろう他の目的は、本発明に従って、以下
の段階を含む方法によって達成される。
【0027】(a)所与のユーザがアクセス特権を有す
るオブジェクトの判定を要求する。
るオブジェクトの判定を要求する。
【0028】(b)ユーザが直接アクセス特権を有する
オブジェクトを自動的に判定する。
オブジェクトを自動的に判定する。
【0029】(c)ユーザが間接アクセス特権を有する
オブジェクトを、以下の段階によって自動的に判定す
る。
オブジェクトを、以下の段階によって自動的に判定す
る。
【0030】(1)ユーザが属する全部のアクセスグル
ープを自動的に判定する。
ープを自動的に判定する。
【0031】(2)段階(1)で判定されたアクセスグ
ループがアクセス特権を有するオブジェクトを自動的に
判定する。
ループがアクセス特権を有するオブジェクトを自動的に
判定する。
【0032】データベースの特定の単一オブジェクトに
関してアクセス特権を判定するために、類似の方法が利
用できる。この場合、その方法は以下の段階を含む。
関してアクセス特権を判定するために、類似の方法が利
用できる。この場合、その方法は以下の段階を含む。
【0033】(a)ユーザがその所与のオブジェクトに
対するアクセス特権を有するかどうかの判定を要求す
る。
対するアクセス特権を有するかどうかの判定を要求す
る。
【0034】(b)そのユーザがそのオブジェクトに対
する直接アクセスを有するかどうかを自動的に判定す
る。
する直接アクセスを有するかどうかを自動的に判定す
る。
【0035】(c)そのユーザがそのオブジェクトに対
する間接アクセスを有するかどうかを、以下の段階によ
って自動的に判定する。
する間接アクセスを有するかどうかを、以下の段階によ
って自動的に判定する。
【0036】(1)ユーザが属する全部のアクセスグル
ープを自動的に判定する。
ープを自動的に判定する。
【0037】(2)段階(1)で判定されたアクセスグ
ループの1以上がそのオブジェクトに対するアクセス特
権を有するかどうかを自動的に判定する。
ループの1以上がそのオブジェクトに対するアクセス特
権を有するかどうかを自動的に判定する。
【0038】こうして得られたアクセス特権情報は、
(例えばモニタまたは印刷のいずれかによって)ユーザ
に表示するか、または、他のいずれかの方法によって直
接使用することができる。例えば、アクセス特権を表示
するのではなく、これらの特権を認証機構として使用
し、ユーザに、自己が指定したオブジェクトへの直接ア
クセスを付与することが可能である。あるいはまた、そ
の情報を、そのユーザの特権の直接表示を必要としない
統計その他の目的のために使用することができる。
(例えばモニタまたは印刷のいずれかによって)ユーザ
に表示するか、または、他のいずれかの方法によって直
接使用することができる。例えば、アクセス特権を表示
するのではなく、これらの特権を認証機構として使用
し、ユーザに、自己が指定したオブジェクトへの直接ア
クセスを付与することが可能である。あるいはまた、そ
の情報を、そのユーザの特権の直接表示を必要としない
統計その他の目的のために使用することができる。
【0039】従来、同種のアクセス特権情報を取得する
には、ユーザは、自己が属するグループを判定してか
ら、それらのグループがどのオブジェクトにアクセスで
きるかを判定する必要があった。この第2の段階は、ア
クセスの型とともに、そのデータベースの各オブジェク
トに対してアクセスできるすべての人間およびグループ
のリストを含むカタログで照会する必要があった。そう
したカタログは、各グループの人間のリストは含まない
ので、グループ管理ユーティリティ(データベース外部
の)に対する照会によってこの事実を個別に判定しなけ
ればならなかった。
には、ユーザは、自己が属するグループを判定してか
ら、それらのグループがどのオブジェクトにアクセスで
きるかを判定する必要があった。この第2の段階は、ア
クセスの型とともに、そのデータベースの各オブジェク
トに対してアクセスできるすべての人間およびグループ
のリストを含むカタログで照会する必要があった。そう
したカタログは、各グループの人間のリストは含まない
ので、グループ管理ユーティリティ(データベース外部
の)に対する照会によってこの事実を個別に判定しなけ
ればならなかった。
【0040】本発明は、このプロセスを自動化し、ユー
ザがカタログを見ることによりデータベースの全オブジ
ェクトのリストを見させなくすることを保証する。
ザがカタログを見ることによりデータベースの全オブジ
ェクトのリストを見させなくすることを保証する。
【0041】本発明の一つの特長に従えば、この方法は
また、公衆がアクセス特権を有するオブジェクトを自動
的に判定し、それによりユーザが直接および間接アクセ
スを行えるオブジェクトのリスト中にそうしたオブジェ
クトを含めることができる。
また、公衆がアクセス特権を有するオブジェクトを自動
的に判定し、それによりユーザが直接および間接アクセ
スを行えるオブジェクトのリスト中にそうしたオブジェ
クトを含めることができる。
【0042】本発明の他の特長に従えば、ユーザのアク
セス特権の判定を要求する段階は、以下の段階を含むこ
とができる。
セス特権の判定を要求する段階は、以下の段階を含むこ
とができる。
【0043】(1)アクセス特権を記述するためにコマ
ンドを発行する (2)記述されるオブジェクトの型を述べる (3)記述されるオブジェクトの名称を述べる (4)アクセス特権情報を受け取る制御ブロックの名称
を述べる あるオブジェクトに対するアクセス特権があるアクセス
グループによって許可されると、その各アクセスグルー
プは好ましくはそのオブジェクトとともに表示される。
ンドを発行する (2)記述されるオブジェクトの型を述べる (3)記述されるオブジェクトの名称を述べる (4)アクセス特権情報を受け取る制御ブロックの名称
を述べる あるオブジェクトに対するアクセス特権があるアクセス
グループによって許可されると、その各アクセスグルー
プは好ましくはそのオブジェクトとともに表示される。
【0044】本発明の他の特長に従えば、ユーザがアク
セス特権を有する各オブジェクトへのアクセスの型は、
各オブジェクトとともに表示される。アクセスのそうし
た型は、例えば、「選択」、「挿入」、「更新」、「削
除」、「ドロップ」、「変更」、「索引」および「参
照」アクセスを含むことができる。これらのアクセスの
型は、当技術分野で十分に定義され認識されている。
セス特権を有する各オブジェクトへのアクセスの型は、
各オブジェクトとともに表示される。アクセスのそうし
た型は、例えば、「選択」、「挿入」、「更新」、「削
除」、「ドロップ」、「変更」、「索引」および「参
照」アクセスを含むことができる。これらのアクセスの
型は、当技術分野で十分に定義され認識されている。
【0045】本発明のさらに好ましい特長に従えば、ユ
ーザがアクセス特権を有する各オブジェクトについて、
そのアクセス特権が他のユーザに拡張できるかどうかを
判定する段階が含まれる。この情報は、ユーザの選択に
より、表示または他の方法でユーザによって使用するこ
とができる。
ーザがアクセス特権を有する各オブジェクトについて、
そのアクセス特権が他のユーザに拡張できるかどうかを
判定する段階が含まれる。この情報は、ユーザの選択に
より、表示または他の方法でユーザによって使用するこ
とができる。
【0046】本発明の他の特長に従えば、この方法は、
構造化照会言語(SQL)などの非手続き言語で実施さ
れる。あるいはまた、この方法は、アプリケーションプ
ログラミングインタフェース(API)で実施してもよ
い。SQLの使用は、この方法をいずれのデータベース
管理製品に移植させることが可能になる。
構造化照会言語(SQL)などの非手続き言語で実施さ
れる。あるいはまた、この方法は、アプリケーションプ
ログラミングインタフェース(API)で実施してもよ
い。SQLの使用は、この方法をいずれのデータベース
管理製品に移植させることが可能になる。
【0047】上述の方法および特長は、コンピュータシ
ステムで走行するように設計された適切なプログラムコ
ードによって実施される。このようなプログラムコード
およびコンピュータシステムは、本発明の範囲に含まれ
るものとする。
ステムで走行するように設計された適切なプログラムコ
ードによって実施される。このようなプログラムコード
およびコンピュータシステムは、本発明の範囲に含まれ
るものとする。
【0048】本発明の好ましい実施例を添付図面によっ
て以下に説明する。
て以下に説明する。
【0049】
【実施例】本発明の好ましい実施例を図1〜5によって
説明する。
説明する。
【0050】図1は、本発明の概略的なコンピュータハ
ードウエア環境を示す。本発明は、単一のパーソナルコ
ンピュータ、情報を交換するために一体に接続された2
以上のパーソナルコンピュータ、または、図1に示すよ
うに、IBM 370システムなどのホストコンピュー
タおよび相互に一体に接続された2以上のパーソナルコ
ンピュータで実施することができる。図1は、大型ディ
スク記憶ファイル12とともに動作するホストコンピュ
ータ10を例示する。ホストコンピュータ10には、そ
れぞれ、データおよび制御情報を搬送する多数の回線1
8および20によって第1のパーソナルコンピュータ1
4および第2のパーソナルコンピュータ16が接続され
ている。これらの2のパーソナルコンピュータもデータ
および制御情報回線22によって相互に接続されてい
る。
ードウエア環境を示す。本発明は、単一のパーソナルコ
ンピュータ、情報を交換するために一体に接続された2
以上のパーソナルコンピュータ、または、図1に示すよ
うに、IBM 370システムなどのホストコンピュー
タおよび相互に一体に接続された2以上のパーソナルコ
ンピュータで実施することができる。図1は、大型ディ
スク記憶ファイル12とともに動作するホストコンピュ
ータ10を例示する。ホストコンピュータ10には、そ
れぞれ、データおよび制御情報を搬送する多数の回線1
8および20によって第1のパーソナルコンピュータ1
4および第2のパーソナルコンピュータ16が接続され
ている。これらの2のパーソナルコンピュータもデータ
および制御情報回線22によって相互に接続されてい
る。
【0051】本発明のデータベース環境は、図2に例示
した形態をとることができる。この場合、PS/2(登
録商標)パーソナルコンピュータは、関係型テーブル構
造およびデータの交換を可能にする統合交換フォーマッ
ト(IXF)データ交換ソフトウエアのOS/2拡張版
(登録商標)データベースマネージャ適応機能とともに
動作する。文字データは、IBMのASCIIコードペ
ージ437などの特定のコードページ環境で1以上のデ
ータベースに格納される。数値および日付/時間データ
は、基本オペレーティングシステムおよび/またはハー
ドウエアが支援するフォーマットで内部的に格納され
る。
した形態をとることができる。この場合、PS/2(登
録商標)パーソナルコンピュータは、関係型テーブル構
造およびデータの交換を可能にする統合交換フォーマッ
ト(IXF)データ交換ソフトウエアのOS/2拡張版
(登録商標)データベースマネージャ適応機能とともに
動作する。文字データは、IBMのASCIIコードペ
ージ437などの特定のコードページ環境で1以上のデ
ータベースに格納される。数値および日付/時間データ
は、基本オペレーティングシステムおよび/またはハー
ドウエアが支援するフォーマットで内部的に格納され
る。
【0052】詳しくは、このデータベースマネージャ
は、全部のデータがテーブルのコレクションとしてビュ
ーされる関係型データベースモデルを支援するデータベ
ース管理システム(ハードウエアおよびソフトウエア)
である。データベースマネージャは、「データベースサ
ービス」と称する関係型コマンドプロセッサ、データを
見つけるための汎用照会システム、他のコンピュータシ
ステムとのデータ交換のためのシステム、ならびに、個
々の関係型データベースのバックアップ、復元および保
守のためのシステムを付与する。
は、全部のデータがテーブルのコレクションとしてビュ
ーされる関係型データベースモデルを支援するデータベ
ース管理システム(ハードウエアおよびソフトウエア)
である。データベースマネージャは、「データベースサ
ービス」と称する関係型コマンドプロセッサ、データを
見つけるための汎用照会システム、他のコンピュータシ
ステムとのデータ交換のためのシステム、ならびに、個
々の関係型データベースのバックアップ、復元および保
守のためのシステムを付与する。
【0053】データベースサービスは、データベースマ
ネージャの関係型コマンドプロセッサである。これは、
記憶アクセス用システム、構造化照会言語(SQL)命
令文処理、データベース管理、ロック管理、並行性制
御、ライトアヘッドロギング、回復サービス、行レベル
ロッキング細分性、また、アプリケーション、システム
および記録媒体の障害事象におけるデータ回復、ならび
に、機密保護制御を含む多数の機能にサービスする。デ
ータベースマネージャおよびデータベースサービスの両
者ともPS/2コンピュータ用の公知のアプリケーショ
ンであり、詳述する必要はない。
ネージャの関係型コマンドプロセッサである。これは、
記憶アクセス用システム、構造化照会言語(SQL)命
令文処理、データベース管理、ロック管理、並行性制
御、ライトアヘッドロギング、回復サービス、行レベル
ロッキング細分性、また、アプリケーション、システム
および記録媒体の障害事象におけるデータ回復、ならび
に、機密保護制御を含む多数の機能にサービスする。デ
ータベースマネージャおよびデータベースサービスの両
者ともPS/2コンピュータ用の公知のアプリケーショ
ンであり、詳述する必要はない。
【0054】図3は、個別のオブジェクト23および2
4および、オブジェクトのグループまたはコレクション
25、26および27を含む通常のデータベースを示
す。例えば、オブジェクト23は索引28が付けられて
いるが、オブジェクト24は索引を持っていない。コレ
クション25〜27はそれぞれ、多数のオブジェクト2
9、30および31を含む。
4および、オブジェクトのグループまたはコレクション
25、26および27を含む通常のデータベースを示
す。例えば、オブジェクト23は索引28が付けられて
いるが、オブジェクト24は索引を持っていない。コレ
クション25〜27はそれぞれ、多数のオブジェクト2
9、30および31を含む。
【0055】所与のオブジェクトに対するアクセスの各
種の型は、図4に例示するユーザの全集合によって得ら
れる。データベースオブジェクトに対するアクセスは、
ユーザ32、33および34によって図示されたように
直接アクセス、または、グループ36および38ならび
にそれぞれの構成員ユーザ40および42によって図示
されたように間接アクセスとすることができる。あるい
はまた、オブジェクトに対するパブリックアクセスをパ
ブリックアクセス「グループ」46を通じて全ユーザ4
4に付与することができる。
種の型は、図4に例示するユーザの全集合によって得ら
れる。データベースオブジェクトに対するアクセスは、
ユーザ32、33および34によって図示されたように
直接アクセス、または、グループ36および38ならび
にそれぞれの構成員ユーザ40および42によって図示
されたように間接アクセスとすることができる。あるい
はまた、オブジェクトに対するパブリックアクセスをパ
ブリックアクセス「グループ」46を通じて全ユーザ4
4に付与することができる。
【0056】図5は、プログラミング命令「DESCR
IBE PRIVILEGES」をコンピュータ内で実
行できる方法を示す流れ図である。このアルゴリズムで
は、初期化時に、データベースが以下の情報にアクセス
することを前提とする。
IBE PRIVILEGES」をコンピュータ内で実
行できる方法を示す流れ図である。このアルゴリズムで
は、初期化時に、データベースが以下の情報にアクセス
することを前提とする。
【0057】(1)現アプリケーションを走行している
ユーザのログイン識別 (2)ユーザが属するグループG1,G2,..,G
j,..,GN(0<=N) データベースプロセッサは、<オブジェクトセット>に
関する命令「DESCRIBE PRIVILEGE
S」を受け取ると、<オブジェクトセット>をオブジェ
クトB1,B2,..,Bi,..,BM(0<M)の
リストにパーズする(ブロック51)。その後、プログ
ラムは、ヘッダを初期化し(ブロック52)、各オブジ
ェクトBiをうまく見つけるためにループに入る(ブロ
ック53)。ループでは、特権マスクが初期化され(ブ
ロック54)、現在オブジェクトBiに対してユーザに
よって保持されている特権に対応するフラグが設定され
る(ブロック55)。
ユーザのログイン識別 (2)ユーザが属するグループG1,G2,..,G
j,..,GN(0<=N) データベースプロセッサは、<オブジェクトセット>に
関する命令「DESCRIBE PRIVILEGE
S」を受け取ると、<オブジェクトセット>をオブジェ
クトB1,B2,..,Bi,..,BM(0<M)の
リストにパーズする(ブロック51)。その後、プログ
ラムは、ヘッダを初期化し(ブロック52)、各オブジ
ェクトBiをうまく見つけるためにループに入る(ブロ
ック53)。ループでは、特権マスクが初期化され(ブ
ロック54)、現在オブジェクトBiに対してユーザに
よって保持されている特権に対応するフラグが設定され
る(ブロック55)。
【0058】プログラムは次に、ユーザが属するグルー
プGjのそれぞれを検討するためにループに入る(ブロ
ック56)。各グループについて、現在オブジェクトB
iに対して特定のグループによって保持されている特権
に対応するフラグが設定される(ブロック57)。すべ
てのグループが検討されると(ブロック59)、現在オ
ブジェクトBiに対して公衆によって保持されている特
権に対応するフラグが設定される(ブロック60)。す
べてのオブジェクトが検討されると(ブロック60)、
設定されたフラグによって定義された情報がアプリケー
ションプログラムに送られる(ブロック61)。このデ
ータは、希望に応じて、アプリケーションプログラムに
よって表示させたり、または分析させたりすることがで
きる。SQLでの実施本発明の構造化照会言語(SQ
L)での特定の実施例を以下に説明する。SQLは、多
くのデータベース製品により使用できる公知の非手続き
言語である。
プGjのそれぞれを検討するためにループに入る(ブロ
ック56)。各グループについて、現在オブジェクトB
iに対して特定のグループによって保持されている特権
に対応するフラグが設定される(ブロック57)。すべ
てのグループが検討されると(ブロック59)、現在オ
ブジェクトBiに対して公衆によって保持されている特
権に対応するフラグが設定される(ブロック60)。す
べてのオブジェクトが検討されると(ブロック60)、
設定されたフラグによって定義された情報がアプリケー
ションプログラムに送られる(ブロック61)。このデ
ータは、希望に応じて、アプリケーションプログラムに
よって表示させたり、または分析させたりすることがで
きる。SQLでの実施本発明の構造化照会言語(SQ
L)での特定の実施例を以下に説明する。SQLは、多
くのデータベース製品により使用できる公知の非手続き
言語である。
【0059】SQLでのDESCRIBE PRIVI
LEGES命令文は、現在のデータベースの例(すなわ
ち、CURRENT SERVER特殊レジスタにリス
ト化されているデータベースの例)で、その命令文の実
行者によって現在保持されている特権に関する情報を入
手する。
LEGES命令文は、現在のデータベースの例(すなわ
ち、CURRENT SERVER特殊レジスタにリス
ト化されているデータベースの例)で、その命令文の実
行者によって現在保持されている特権に関する情報を入
手する。
【0060】以下使用される用語「一次許可識別」は、
特殊レジスタ「USER」の値を意味するものとする。
「二次許可識別」は、データ操作言語が実行される時に
特権を判定する際に一次許可識別に加えて使用される許
可識別である。「活性許可識別」は、命令文を実行する
ユーザの許可識別である。これは、SQLID特殊レジ
スタ(それを支援する製品の場合)の値またはUSER
の値のいずれかである。「命令文の許可識別」は、上述
のいずれにも当てはまらず、DESCRIBEPRIV
ILEGES命令文がそれに拘束されていた許可識別を
いう。最後に、「コレクション識別」は、3部分から成
るオブジェクト名の中央部分として使用される識別子で
ある。
特殊レジスタ「USER」の値を意味するものとする。
「二次許可識別」は、データ操作言語が実行される時に
特権を判定する際に一次許可識別に加えて使用される許
可識別である。「活性許可識別」は、命令文を実行する
ユーザの許可識別である。これは、SQLID特殊レジ
スタ(それを支援する製品の場合)の値またはUSER
の値のいずれかである。「命令文の許可識別」は、上述
のいずれにも当てはまらず、DESCRIBEPRIV
ILEGES命令文がそれに拘束されていた許可識別を
いう。最後に、「コレクション識別」は、3部分から成
るオブジェクト名の中央部分として使用される識別子で
ある。
【0061】DESCRIBE PRIVILEGES
命令文は、アプリケーションプログラムで埋め込まれる
だけである。これは動的に作成できない実行文である。
命令文の許可識別によって保持された特権は、管理権限
を含まなければならない。
命令文は、アプリケーションプログラムで埋め込まれる
だけである。これは動的に作成できない実行文である。
命令文の許可識別によって保持された特権は、管理権限
を含まなければならない。
【0062】DESCRIBE PRIVILEGES
命令文は、以下の形態をとる。
命令文は、以下の形態をとる。
【表1】 この命令文における「ON」は、記述されるオブジェク
トの型を識別する。オプションには、好ましくは、以下
を含む。
トの型を識別する。オプションには、好ましくは、以下
を含む。
【0063】(1)COLLECTION:コレクショ
ンに関する特権が記述される。
ンに関する特権が記述される。
【0064】(2)INDEX:索引に関する特権が記
述される。
述される。
【0065】(3)PACKAGE:パッケージに関す
る特権が記述される。
る特権が記述される。
【0066】(4)TABLE:テーブル、ビューおよ
びスナップショットに関する特権が記述される。
びスナップショットに関する特権が記述される。
【0067】DESCRIBE PRIVILEGES
命令文において、「ホスト変数」は、特権が記述される
オブジェクトを識別する。ホスト変数の値は、以下の表
1に示す形式を有し、ホスト変数内で左寄せされてお
り、区切り識別子内での空白を除き、空白をまったく含
まない文字列である。名称の長さが変数の長さより小さ
い場合、名称の最終文字の後に空白が続く。デフォール
ト値は「*」である。表の用語「rdb」は、「関係型
データベース」を意味する。
命令文において、「ホスト変数」は、特権が記述される
オブジェクトを識別する。ホスト変数の値は、以下の表
1に示す形式を有し、ホスト変数内で左寄せされてお
り、区切り識別子内での空白を除き、空白をまったく含
まない文字列である。名称の長さが変数の長さより小さ
い場合、名称の最終文字の後に空白が続く。デフォール
ト値は「*」である。表の用語「rdb」は、「関係型
データベース」を意味する。
【0068】ホスト変数は、文字列変数を宣言するため
の規則のもとでの呼出しプログラムで記述される。イン
ジケータ変数は指定する必要がない。
の規則のもとでの呼出しプログラムで記述される。イン
ジケータ変数は指定する必要がない。
【表2】 各形式において、rdb名が指定された場合、それは現
在のデータベース例の名称(すなわち、CURRENT
SERVERの値)である。rdb名が指定されない
場合、それは現在のデータベース例の名称としてみなさ
れる。
在のデータベース例の名称(すなわち、CURRENT
SERVERの値)である。rdb名が指定されない
場合、それは現在のデータベース例の名称としてみなさ
れる。
【0069】コレクション識別が指定されず、オブジェ
クトの型がCOLLECTIONではない場合、コレク
ション識別は、CURRENT COLLECTION
の実行時間値(支援されている場合)、または、他の場
合にはUSERの実行時間値としてみなされる。
クトの型がCOLLECTIONではない場合、コレク
ション識別は、CURRENT COLLECTION
の実行時間値(支援されている場合)、または、他の場
合にはUSERの実行時間値としてみなされる。
【0070】「INTO」は、SQL特権領域(SQL
PA)を名づける。DESCRIBE PRIVILE
GES命令文が実行される場合、後述の表2〜4に従っ
てSQLPAのフィールドに値が割り当てられる。
PA)を名づける。DESCRIBE PRIVILE
GES命令文が実行される場合、後述の表2〜4に従っ
てSQLPAのフィールドに値が割り当てられる。
【0071】テーブルのフィールドを識別するために使
用される名称は、これらのフィールドを指示するために
プログラムで使用される名称である必要はない。しか
し、それらは、プログラム言語「C」ではそれらの名称
が小文字となる点を除き、INCLUDE SQLPA
によって作成される構造で使用されている名称であろ
う。
用される名称は、これらのフィールドを指示するために
プログラムで使用される名称である必要はない。しか
し、それらは、プログラム言語「C」ではそれらの名称
が小文字となる点を除き、INCLUDE SQLPA
によって作成される構造で使用されている名称であろ
う。
【表3】
【表4】
【表5】 特権の判定は、活性許可識別に直接付与されたGRAN
TSにだけ依存するものではない。一次および二次許可
識別のGRANTS、GRANTS PUBLIC、活
性許可識別によって保持されている管理権限が考慮され
る。その決定は機能による。すなわち、ユーザ実行の場
合、DESCRIBE PRIVILEGES命令文は
その特権によって限定された機能を現在的に実行でき
る。すべての関連する特殊レジスタの値が与えられてい
れば、ユーザは特権を持っているとみなされる。例え
ば、活性許可識別がオブジェクトの所有者である場合、
全フラグは通常、「G」に設定される。
TSにだけ依存するものではない。一次および二次許可
識別のGRANTS、GRANTS PUBLIC、活
性許可識別によって保持されている管理権限が考慮され
る。その決定は機能による。すなわち、ユーザ実行の場
合、DESCRIBE PRIVILEGES命令文は
その特権によって限定された機能を現在的に実行でき
る。すべての関連する特殊レジスタの値が与えられてい
れば、ユーザは特権を持っているとみなされる。例え
ば、活性許可識別がオブジェクトの所有者である場合、
全フラグは通常、「G」に設定される。
【0072】GRANTオプションを持たないOS/2
においても、ユーザがオブジェクトの所有者である場
合、機能上、ユーザはそのオブジェクトに対する許可特
権を有する。
においても、ユーザがオブジェクトの所有者である場
合、機能上、ユーザはそのオブジェクトに対する許可特
権を有する。
【0073】DESCRIBE PRIVILEGES
のさらに別の使用例として、コレクションに対するCR
EATEおよびDROP_OBJECT特権を検討しよ
う。
のさらに別の使用例として、コレクションに対するCR
EATEおよびDROP_OBJECT特権を検討しよ
う。
【0074】(1)DB2およびSQL/DSにおい
て、これらの特権は両者とも、そのコレクションのコレ
クション識別が活性許可識別と同一でない限り、また
は、それらのバイトを「Y」に設定させることになるD
B2でのSYSADMまたはDBADM権限またはSQ
L/DSでのDBA権限をユーザが有していない限り、
「N」に設定される。
て、これらの特権は両者とも、そのコレクションのコレ
クション識別が活性許可識別と同一でない限り、また
は、それらのバイトを「Y」に設定させることになるD
B2でのSYSADMまたはDBADM権限またはSQ
L/DSでのDBA権限をユーザが有していない限り、
「N」に設定される。
【0075】(2)OS/2では、これらの特権は常に
「Y」である。
「Y」である。
【0076】(3)OS/400では、これらの特権
は、そのコレクションに対するユーザの特権に応じて変
化する。
は、そのコレクションに対するユーザの特権に応じて変
化する。
【0077】DESCRIBE PRIVILEGES
命令文を実行するユーザがオブジェクトに対していずれ
の特権も持たない場合、そのオブジェクトはSQLPA
にリスト化されない。単一オブジェクトだけが指定さ
れ、ユーザがこのオブジェクトに対する特権をまったく
持たない場合、エラーが返される。
命令文を実行するユーザがオブジェクトに対していずれ
の特権も持たない場合、そのオブジェクトはSQLPA
にリスト化されない。単一オブジェクトだけが指定さ
れ、ユーザがこのオブジェクトに対する特権をまったく
持たない場合、エラーが返される。
【0078】SQLPANによって示されたSQLPA
Rブロックの数だけが返される。しかし、SQLPAD
は常に、返されることができたはずのSQLPARブロ
ックの総数を示すように設定される。
Rブロックの数だけが返される。しかし、SQLPAD
は常に、返されることができたはずのSQLPARブロ
ックの総数を示すように設定される。
【0079】SQLPANがゼロに設定されている場
合、SQLPARブロックをまったく持たないSQLP
Aが返される。これは、SQLPADが設定されるの
で、SQLPAに必要な空間量を事前に決定するために
アプリケーションにより使用することができる。しか
し、特権の計算が2度行われる必要があるので、これは
高価なプロセスとなり、勧められない。アプリケーショ
ンプログラマは、代わりに、SQLPANについて合理
的な値を選択し、必要な場合にのみDESCRIBEP
RIVILEGESコマンドを再付託するように努める
べきである。
合、SQLPARブロックをまったく持たないSQLP
Aが返される。これは、SQLPADが設定されるの
で、SQLPAに必要な空間量を事前に決定するために
アプリケーションにより使用することができる。しか
し、特権の計算が2度行われる必要があるので、これは
高価なプロセスとなり、勧められない。アプリケーショ
ンプログラマは、代わりに、SQLPANについて合理
的な値を選択し、必要な場合にのみDESCRIBEP
RIVILEGESコマンドを再付託するように努める
べきである。
【0080】DESCRIBE PRIVILEGES
命令文には以下の例外が適用される。
命令文には以下の例外が適用される。
【0081】(1)ホスト変数の内容が有効形式のいず
れかに一致しない場合、SQLSTATE 35502
(「名称無効文字」)が返される。
れかに一致しない場合、SQLSTATE 35502
(「名称無効文字」)が返される。
【0082】(2)rdb名が局所データベース例の名
称に一致しない場合、SQLSTATE 56023
(「遠隔オブジェクトの無効参照」)が返される。
称に一致しない場合、SQLSTATE 56023
(「遠隔オブジェクトの無効参照」)が返される。
【0083】(3)SQLPANが負数を指定したかま
たは完全にアドレス指定できない場合、SQLSTAT
E 51001(「無効呼出しパラメータリスト/制御
ブロック」)が返される。
たは完全にアドレス指定できない場合、SQLSTAT
E 51001(「無効呼出しパラメータリスト/制御
ブロック」)が返される。
【0084】(4)単一のオブジェクトが指定され、そ
のオブジェクトが存在しない場合、または、特定のコレ
クション識別が指定され、そのコレクションが存在しな
い場合、SQLSTATE 52004(「未定義オブ
ジェクト/制約条件名」)が返される。
のオブジェクトが存在しない場合、または、特定のコレ
クション識別が指定され、そのコレクションが存在しな
い場合、SQLSTATE 52004(「未定義オブ
ジェクト/制約条件名」)が返される。
【0085】(5)単一のオブジェクトが指定され、D
ESCRIBE PRIVILEGES命令文を実行す
るユーザがそのオブジェクトに対する特権を持たない場
合、SQLSTATE 59001(「許可識別が指定
オブジェクトの指定動作を実行するための特権を持たな
い」)が返される。 実施例 例えば、遠隔のデータベースに、RABBITの識別子
のもとで3のテーブルが存在し、それぞれの名称をFL
OPSY,MOPSYおよびCOTTONTALLとす
る。また、VEGETABLE_GARDENと称する
ビューもある。
ESCRIBE PRIVILEGES命令文を実行す
るユーザがそのオブジェクトに対する特権を持たない場
合、SQLSTATE 59001(「許可識別が指定
オブジェクトの指定動作を実行するための特権を持たな
い」)が返される。 実施例 例えば、遠隔のデータベースに、RABBITの識別子
のもとで3のテーブルが存在し、それぞれの名称をFL
OPSY,MOPSYおよびCOTTONTALLとす
る。また、VEGETABLE_GARDENと称する
ビューもある。
【0086】ユーザPETERはFLOPSYの所有者
であり、PETERはMOPSYへのSELECTアク
セスを許可されている。PETERはVEGETABL
E_GARDENに直接アクセスすることはできない
が、VEGETABLE_GARDENにUPDATE
およびDELETEアクセスができるBAD_BUNN
IESと称するグループに属している。
であり、PETERはMOPSYへのSELECTアク
セスを許可されている。PETERはVEGETABL
E_GARDENに直接アクセスすることはできない
が、VEGETABLE_GARDENにUPDATE
およびDELETEアクセスができるBAD_BUNN
IESと称するグループに属している。
【0087】PETERは、BAD_BUNNIES全
体の選択言語であるC言語で以下のプログラムをコード
化した。
体の選択言語であるC言語で以下のプログラムをコード
化した。
【0088】本発明は上述したように、データベースの
オブジェクトに関してデータベースユーザによって現在
保持されているアクセス特権を判定するための方法であ
って、(a)所与のユーザがアクセス特権を有するオブ
ジェクトの判定を要求する段階と、(b)そのユーザが
直接アクセス特権を有するオブジェクトを自動的に判定
する段階と、(c)そのユーザが間接アクセス特権を有
するオブジェクトを、(1)そのユーザが属する全部の
アクセスグループを自動的に判定する段階と、(2)段
階(1)で判定された前記アクセスグループがアクセス
特権を有するオブジェクトを自動的に判定する段階によ
って、自動的に判定する段階とを含んでいる。ここで、
さらに、前記ユーザがアクセス特権を有するオブジェク
トを表示させる段階と、前記アクセスグループがアクセ
ス特権を有するオブジェクトとともにその関係アクセス
グループを表示する段階とを含んでいてもよい。本発明
は、アクセス特権を判定する方法であって、さらに
(d)前記ユーザがアクセス特権を有する各オブジェク
トへのアクセスの型を判定する段階と、(e)各自のオ
ブジェクトとともに前記アクセスの型を表示させる段階
とを含んでいてもよい。さらに、前記アクセスの型が、
選択、挿入、更新、削除、ドロップ、変更、索引および
参照のうちの1以上を含んでいてもよい。あるいは本発
明の方法は、さらに、(f)前記ユーザがアクセス特権
を有する各オブジェクトのアクセス特権が他のユーザに
拡張できるかどうかを判定する段階と、(g)前記ユー
ザがアクセス特権を有する各オブジェクトのアクセス特
権が他のユーザに拡張できるかどうかを表示させる段階
とを含んでいてもよい。ここで、前記方法が、多数のデ
ータベース製品によって使用するための非手続きコンピ
ュータ言語で実施される場合に、前記非手続き言語が構
造化照会言語(SQL)であってもよい。本発明のアク
セス特権を判定する方法であって、前記要求段階が、
(1)アクセス特権を記述するためにコマンドを発行す
る段階と、(2)記述されるオブジェクトの型を述べる
段階と、(3)記述されるオブジェクトの名称を述べる
段階と、(4)アクセス特権情報を受け取る制御ブロッ
クの名称を述べる段階とを含み、前記要求段階が、アク
セス特権が要求されるオブジェクトの型を指定する段階
を含んでいてもよい。また、本発明のデータベースの所
与のオブジェクトに関してデータベースユーザによって
現在保持されているアクセス特権を判定するための方法
は、(a)そのユーザがその所与のオブジェクトに対し
てアクセス特権を有するかの判定を要求する段階と、
(b)そのユーザがそのオブジェクトに対して直接アク
セス特権を有するかを自動的に判定する段階と、(c)
そのユーザがそのオブジェクトに対して間接アクセス特
権を有するかを、(1)そのユーザが属する全部のアク
セスグループを自動的に判定する段階と、(2)段階
(1)で判定されたアクセスグループの1以上がそのオ
ブジェクトに対してアクセス特権を有するかを自動的に
判定する段階によって、自動的に判定する段階とを含ん
でいてもよい。そして、そのアクセス特権を判定するた
めの方法は、さらに、(d)ユーザがそのオブジェクト
に対して有するアクセス特権の型を判定する段階と、
(e)前記アクセスの型を表示させる段階とを含み、前
記アクセスの型が、選択、挿入、更新、削除、ドロッ
プ、変更、索引および参照のうちの1以上を含む方法で
あってもよい。前記方法は、多数のデータベース製品に
よって使用するための非手続きコンピュータ言語で実施
される場合、前記非手続き言語が構造化照会言語(SQ
L)であってもよい。また本発明は、データベースのオ
ブジェクトに関してデータベースユーザによって現在保
持されているアクセス特権を判定するためのデータベー
スおよび装置を含むコンピュータシステムであって、
(a)所与のユーザがアクセス特権を有するオブジェク
トの判定を要求するための第1の手段と、(b)そのユ
ーザが直接アクセス特権を有するオブジェクトを自動的
に判定するための第2の手段と、(c)そのユーザが間
接アクセス特権を有するオブジェクトを、(1)そのユ
ーザが属する全部のアクセスグループを自動的に判定す
るための第4の手段と、(2)第4の手段により判定さ
れた前記アクセスグループがアクセス特権を有するオブ
ジェクトを自動的に判定する第5の手段とによって、自
動的に判定するための第3の手段との組合せを含むこと
を特徴とするコンピュータシステムであってもよい。こ
のシステムは、さらに、前記ユーザがアクセス特権を有
するオブジェクトを表示させるための手段と、前記アク
セスグループがアクセス特権を有するオブジェクトとと
もにその関係アクセスグループを表示するための手段を
含んでいてもよい。さらに、このシステムは、(d)前
記ユーザがアクセス特権を有する各オブジェクトへのア
クセスの型を判定するための手段と、(e)各自のオブ
ジェクトとともに前記アクセスの型を表示させるための
手段とを含んでいてもよい。また前記アクセスの型が、
選択、挿入、更新、削除、ドロップ、変更、索引および
参照のうちの1以上を含んだシステムであってもよい。
このシステムにおいて、前記第1、第2および第3の手
段が、多数のデータベース製品によって使用するための
非手続きコンピュータ言語を実行することを特徴とする
場合は、前記非手続き言語が構造化照会言語(SQL)
であってもよい。ここで、前記第1の手段が、(1)ア
クセス特権を記述するためにコマンドを発行するための
手段と、(2)記述されるオブジェクトの型を述べるた
めの手段と、(3)記述されるオブジェクトの名称を述
べるための手段と、(4)アクセス特権情報を受け取る
制御ブロックの名称を述べるための手段を含む場合、前
記第1の手段が、アクセス特権が要求されるオブジェク
トの型を指定するための手段を含むシステムであっても
よい。また、本発明はデータベースの所与のオブジェク
トに関してデータベースユーザによって現在保持されて
いるアクセス特権を判定するためのコンピュータシステ
ムであって、(a)そのユーザがその所与のオブジェク
トに対してアクセス特権を有するかの判定を要求するた
めの第1の手段と、(b)そのユーザがそのオブジェク
トに対して直接アクセス特権を有するかを自動的に判定
するための第2の手段と、(c)そのユーザがそのオブ
ジェクトに対して間接アクセス特権を有するかを、
(1)そのユーザが属する全部のアクセスグループを自
動的に判定するための第4の手段と、(2)前記第4の
手段によって判定されたアクセスグループの1以上がそ
のオブジェクトに対してアクセス特権を有するかを自動
的に判定するための第5の手段とによって、自動的に判
定するための第3の手段との組合せを含むことを特徴と
するシステムであってもよい。このシステムは、さら
に、(d)ユーザがそのオブジェクトに対して有するア
クセス特権の型を判定するための手段と、(e)前記ア
クセスの型を表示させるための手段とを含み、前記アク
セスの型が、選択、挿入、更新、削除、ドロップ、変
更、索引および参照のうちの1以上を含んでいてもよ
い。また、このような本発明のシステムは、前記第1、
第2および第3の手段が、多数のデータベース製品によ
って使用するための非手続きコンピュータ言語を実行す
る場合、前記非手続き言語が構造化照会言語(SQL)
であってもよい。また、本発明はデータベースの所与の
オブジェクトに関してデータベースユーザによって現在
保持されているアクセス特権を判定するための製品であ
って、(a)その所与のユーザがアクセス特権を有する
オブジェクトの判定を要求するための第1のプログラム
コード手段と、(b)そのユーザが直接アクセス特権を
有するオブジェクトを自動的に判定するための第2のプ
ログラムコード手段と、(c)そのユーザが間接アクセ
ス特権を有するオブジェクトを、(1)そのユーザが属
する全部のアクセスグループを自動的に判定するための
第4のプログラムコード手段と、(2)前記第4のプロ
グラムコード手段により判定された前記アクセスグルー
プがアクセス特権を有するオブジェクトを自動的に判定
するための第5のプログラムコード手段とによって、自
動的に判定するための第3のプログラムコード手段との
組合せを含むことを特徴とする製品であってもよい。本
発明の製品は、さらに、前記ユーザがアクセス特権を有
するオブジェクトを表示させるためのプログラムコード
手段と、前記アクセスグループがアクセス特権を有する
オブジェクトとともにその関係アクセスグループを表示
するためのプログラムコード手段とを含んでいてもよ
い。さらに、本発明の製品は、(d)前記ユーザがアク
セス特権を有する各オブジェクトに対するアクセスの型
を判定するためのプログラムコード手段と、(e)前記
アクセスの型を各自のオブジェクトとともに表示させる
ためのプログラムコード手段とを含んでいてもよく、さ
らに、前記アクセスの型が、選択、挿入、更新、削除、
ドロップ、変更、索引および参照のうちの1以上を含む
ものであってもよい。ここで、前記第1、第2および第
3のプログラムコード手段が、多数のデータベース製品
によって使用するための非手続きコンピュータ言語を形
成する場合は、前記非手続き言語が構造化照会言語(S
QL)であってもよい。また本発明の製品は、前記第1
のプログラムコード手段が、(1)アクセス特権を記述
するためにコマンドを発行するためのプログラムコード
手段と、(2)その所与のオブジェクトの型を述べるた
めのプログラムコード手段と、(3)そのオブジェクト
の名称を述べるためのプログラムコード手段と、(4)
アクセス特権情報を受け取る制御ブロックの名称を述べ
るためのプログラムコード手段とを含み、前記第1のプ
ログラムコード手段が、アクセス特権が要求されるオブ
ジェクトの型を指定するための手段を含んでいてもよ
い。また、本発明の製品は、データベースの所与のオブ
ジェクトに関してデータベースユーザによって現在保持
されているアクセス特権を判定するための製品であっ
て、(a)そのユーザがその所与のオブジェクトに対し
てアクセス特権を有するかの判定を要求するための第1
のプログラムコード手段と、(b)そのユーザがそのオ
ブジェクトに対して直接アクセス特権を有するかを自動
的に判定するための第2のプログラムコード手段と、
(c)そのユーザがそのオブジェクトに対して間接アク
セス特権を有するかを、(1)そのユーザが属する全部
のアクセスグループを自動的に判定するための第4のプ
ログラムコード手段と、(2)前記第4のプログラムコ
ード手段により判定されたアクセスグループの1異常が
そのオブジェクトに対してアクセス特権を有するかを自
動的に判定するための第3のプログラムコード手段と、
(d)ユーザがそのオブジェクトに対して有するアクセ
ス特権の型を判定するためのプログラムコード手段と、
(e)前記アクセスの型を表示させるためのプログラム
コード手段とを含み、前記アクセスの型が、選択、挿
入、更新、削除、ドロップ、変更、索引および参照のう
ちの1以上を含んでいてもよい。前記第1、第2および
第3のプログラムコード手段が、多数のデータベース製
品によって使用するための非手続きコンピュータ言語を
実行する場合は、前記非手続き言語が構造化照会言語
(SQL)であってもよい。
オブジェクトに関してデータベースユーザによって現在
保持されているアクセス特権を判定するための方法であ
って、(a)所与のユーザがアクセス特権を有するオブ
ジェクトの判定を要求する段階と、(b)そのユーザが
直接アクセス特権を有するオブジェクトを自動的に判定
する段階と、(c)そのユーザが間接アクセス特権を有
するオブジェクトを、(1)そのユーザが属する全部の
アクセスグループを自動的に判定する段階と、(2)段
階(1)で判定された前記アクセスグループがアクセス
特権を有するオブジェクトを自動的に判定する段階によ
って、自動的に判定する段階とを含んでいる。ここで、
さらに、前記ユーザがアクセス特権を有するオブジェク
トを表示させる段階と、前記アクセスグループがアクセ
ス特権を有するオブジェクトとともにその関係アクセス
グループを表示する段階とを含んでいてもよい。本発明
は、アクセス特権を判定する方法であって、さらに
(d)前記ユーザがアクセス特権を有する各オブジェク
トへのアクセスの型を判定する段階と、(e)各自のオ
ブジェクトとともに前記アクセスの型を表示させる段階
とを含んでいてもよい。さらに、前記アクセスの型が、
選択、挿入、更新、削除、ドロップ、変更、索引および
参照のうちの1以上を含んでいてもよい。あるいは本発
明の方法は、さらに、(f)前記ユーザがアクセス特権
を有する各オブジェクトのアクセス特権が他のユーザに
拡張できるかどうかを判定する段階と、(g)前記ユー
ザがアクセス特権を有する各オブジェクトのアクセス特
権が他のユーザに拡張できるかどうかを表示させる段階
とを含んでいてもよい。ここで、前記方法が、多数のデ
ータベース製品によって使用するための非手続きコンピ
ュータ言語で実施される場合に、前記非手続き言語が構
造化照会言語(SQL)であってもよい。本発明のアク
セス特権を判定する方法であって、前記要求段階が、
(1)アクセス特権を記述するためにコマンドを発行す
る段階と、(2)記述されるオブジェクトの型を述べる
段階と、(3)記述されるオブジェクトの名称を述べる
段階と、(4)アクセス特権情報を受け取る制御ブロッ
クの名称を述べる段階とを含み、前記要求段階が、アク
セス特権が要求されるオブジェクトの型を指定する段階
を含んでいてもよい。また、本発明のデータベースの所
与のオブジェクトに関してデータベースユーザによって
現在保持されているアクセス特権を判定するための方法
は、(a)そのユーザがその所与のオブジェクトに対し
てアクセス特権を有するかの判定を要求する段階と、
(b)そのユーザがそのオブジェクトに対して直接アク
セス特権を有するかを自動的に判定する段階と、(c)
そのユーザがそのオブジェクトに対して間接アクセス特
権を有するかを、(1)そのユーザが属する全部のアク
セスグループを自動的に判定する段階と、(2)段階
(1)で判定されたアクセスグループの1以上がそのオ
ブジェクトに対してアクセス特権を有するかを自動的に
判定する段階によって、自動的に判定する段階とを含ん
でいてもよい。そして、そのアクセス特権を判定するた
めの方法は、さらに、(d)ユーザがそのオブジェクト
に対して有するアクセス特権の型を判定する段階と、
(e)前記アクセスの型を表示させる段階とを含み、前
記アクセスの型が、選択、挿入、更新、削除、ドロッ
プ、変更、索引および参照のうちの1以上を含む方法で
あってもよい。前記方法は、多数のデータベース製品に
よって使用するための非手続きコンピュータ言語で実施
される場合、前記非手続き言語が構造化照会言語(SQ
L)であってもよい。また本発明は、データベースのオ
ブジェクトに関してデータベースユーザによって現在保
持されているアクセス特権を判定するためのデータベー
スおよび装置を含むコンピュータシステムであって、
(a)所与のユーザがアクセス特権を有するオブジェク
トの判定を要求するための第1の手段と、(b)そのユ
ーザが直接アクセス特権を有するオブジェクトを自動的
に判定するための第2の手段と、(c)そのユーザが間
接アクセス特権を有するオブジェクトを、(1)そのユ
ーザが属する全部のアクセスグループを自動的に判定す
るための第4の手段と、(2)第4の手段により判定さ
れた前記アクセスグループがアクセス特権を有するオブ
ジェクトを自動的に判定する第5の手段とによって、自
動的に判定するための第3の手段との組合せを含むこと
を特徴とするコンピュータシステムであってもよい。こ
のシステムは、さらに、前記ユーザがアクセス特権を有
するオブジェクトを表示させるための手段と、前記アク
セスグループがアクセス特権を有するオブジェクトとと
もにその関係アクセスグループを表示するための手段を
含んでいてもよい。さらに、このシステムは、(d)前
記ユーザがアクセス特権を有する各オブジェクトへのア
クセスの型を判定するための手段と、(e)各自のオブ
ジェクトとともに前記アクセスの型を表示させるための
手段とを含んでいてもよい。また前記アクセスの型が、
選択、挿入、更新、削除、ドロップ、変更、索引および
参照のうちの1以上を含んだシステムであってもよい。
このシステムにおいて、前記第1、第2および第3の手
段が、多数のデータベース製品によって使用するための
非手続きコンピュータ言語を実行することを特徴とする
場合は、前記非手続き言語が構造化照会言語(SQL)
であってもよい。ここで、前記第1の手段が、(1)ア
クセス特権を記述するためにコマンドを発行するための
手段と、(2)記述されるオブジェクトの型を述べるた
めの手段と、(3)記述されるオブジェクトの名称を述
べるための手段と、(4)アクセス特権情報を受け取る
制御ブロックの名称を述べるための手段を含む場合、前
記第1の手段が、アクセス特権が要求されるオブジェク
トの型を指定するための手段を含むシステムであっても
よい。また、本発明はデータベースの所与のオブジェク
トに関してデータベースユーザによって現在保持されて
いるアクセス特権を判定するためのコンピュータシステ
ムであって、(a)そのユーザがその所与のオブジェク
トに対してアクセス特権を有するかの判定を要求するた
めの第1の手段と、(b)そのユーザがそのオブジェク
トに対して直接アクセス特権を有するかを自動的に判定
するための第2の手段と、(c)そのユーザがそのオブ
ジェクトに対して間接アクセス特権を有するかを、
(1)そのユーザが属する全部のアクセスグループを自
動的に判定するための第4の手段と、(2)前記第4の
手段によって判定されたアクセスグループの1以上がそ
のオブジェクトに対してアクセス特権を有するかを自動
的に判定するための第5の手段とによって、自動的に判
定するための第3の手段との組合せを含むことを特徴と
するシステムであってもよい。このシステムは、さら
に、(d)ユーザがそのオブジェクトに対して有するア
クセス特権の型を判定するための手段と、(e)前記ア
クセスの型を表示させるための手段とを含み、前記アク
セスの型が、選択、挿入、更新、削除、ドロップ、変
更、索引および参照のうちの1以上を含んでいてもよ
い。また、このような本発明のシステムは、前記第1、
第2および第3の手段が、多数のデータベース製品によ
って使用するための非手続きコンピュータ言語を実行す
る場合、前記非手続き言語が構造化照会言語(SQL)
であってもよい。また、本発明はデータベースの所与の
オブジェクトに関してデータベースユーザによって現在
保持されているアクセス特権を判定するための製品であ
って、(a)その所与のユーザがアクセス特権を有する
オブジェクトの判定を要求するための第1のプログラム
コード手段と、(b)そのユーザが直接アクセス特権を
有するオブジェクトを自動的に判定するための第2のプ
ログラムコード手段と、(c)そのユーザが間接アクセ
ス特権を有するオブジェクトを、(1)そのユーザが属
する全部のアクセスグループを自動的に判定するための
第4のプログラムコード手段と、(2)前記第4のプロ
グラムコード手段により判定された前記アクセスグルー
プがアクセス特権を有するオブジェクトを自動的に判定
するための第5のプログラムコード手段とによって、自
動的に判定するための第3のプログラムコード手段との
組合せを含むことを特徴とする製品であってもよい。本
発明の製品は、さらに、前記ユーザがアクセス特権を有
するオブジェクトを表示させるためのプログラムコード
手段と、前記アクセスグループがアクセス特権を有する
オブジェクトとともにその関係アクセスグループを表示
するためのプログラムコード手段とを含んでいてもよ
い。さらに、本発明の製品は、(d)前記ユーザがアク
セス特権を有する各オブジェクトに対するアクセスの型
を判定するためのプログラムコード手段と、(e)前記
アクセスの型を各自のオブジェクトとともに表示させる
ためのプログラムコード手段とを含んでいてもよく、さ
らに、前記アクセスの型が、選択、挿入、更新、削除、
ドロップ、変更、索引および参照のうちの1以上を含む
ものであってもよい。ここで、前記第1、第2および第
3のプログラムコード手段が、多数のデータベース製品
によって使用するための非手続きコンピュータ言語を形
成する場合は、前記非手続き言語が構造化照会言語(S
QL)であってもよい。また本発明の製品は、前記第1
のプログラムコード手段が、(1)アクセス特権を記述
するためにコマンドを発行するためのプログラムコード
手段と、(2)その所与のオブジェクトの型を述べるた
めのプログラムコード手段と、(3)そのオブジェクト
の名称を述べるためのプログラムコード手段と、(4)
アクセス特権情報を受け取る制御ブロックの名称を述べ
るためのプログラムコード手段とを含み、前記第1のプ
ログラムコード手段が、アクセス特権が要求されるオブ
ジェクトの型を指定するための手段を含んでいてもよ
い。また、本発明の製品は、データベースの所与のオブ
ジェクトに関してデータベースユーザによって現在保持
されているアクセス特権を判定するための製品であっ
て、(a)そのユーザがその所与のオブジェクトに対し
てアクセス特権を有するかの判定を要求するための第1
のプログラムコード手段と、(b)そのユーザがそのオ
ブジェクトに対して直接アクセス特権を有するかを自動
的に判定するための第2のプログラムコード手段と、
(c)そのユーザがそのオブジェクトに対して間接アク
セス特権を有するかを、(1)そのユーザが属する全部
のアクセスグループを自動的に判定するための第4のプ
ログラムコード手段と、(2)前記第4のプログラムコ
ード手段により判定されたアクセスグループの1異常が
そのオブジェクトに対してアクセス特権を有するかを自
動的に判定するための第3のプログラムコード手段と、
(d)ユーザがそのオブジェクトに対して有するアクセ
ス特権の型を判定するためのプログラムコード手段と、
(e)前記アクセスの型を表示させるためのプログラム
コード手段とを含み、前記アクセスの型が、選択、挿
入、更新、削除、ドロップ、変更、索引および参照のう
ちの1以上を含んでいてもよい。前記第1、第2および
第3のプログラムコード手段が、多数のデータベース製
品によって使用するための非手続きコンピュータ言語を
実行する場合は、前記非手続き言語が構造化照会言語
(SQL)であってもよい。
【図1】ホストコンピュータおよび2つのパーソナルコ
ンピュータを含む小型コンピュータシステムを示すブロ
ック図。
ンピュータを含む小型コンピュータシステムを示すブロ
ック図。
【図2】データベースマネージャおよび2つの個別デー
タベースを支援するオペレーティングシステムを用いた
パーソナルコンピュータシステムのブロック図。
タベースを支援するオペレーティングシステムを用いた
パーソナルコンピュータシステムのブロック図。
【図3】データベースに含まれる多数のオブジェクトを
例示する説明図。
例示する説明図。
【図4】データベースへのユーザアクセスを例示する説
明図。
明図。
【図5】本発明に従った方法を実施するためのアルゴリ
ズムの流れ図。
ズムの流れ図。
10 ホストコンピュータ 12 ディスク記憶装置 14 第1のパーソナルコンピュータ 16 第2のパーソナルコンピュータ 18,20 回線 22 データおよび制御情報回線 23,24,29〜31 オブジェクト 25〜27 コレクション 28 索引 32〜34 ユーザ 36,38,46 グループ 40,42 構成員ユーザ 44 全ユーザ
Claims (9)
- 【請求項1】データベースのオブジェクトに関してデー
タベースユーザによって現在保持されているアクセス特
権を判定するための方法であって、 (a)当該ユーザがアクセス特権を有するオブジェクト
の判定を要求する段階と、 (b)ユーザがグループまたはクラスに関係せずに有す
るものである直接アクセス特権を当該ユーザが有するオ
ブジェクトを自動的に判定する段階と、 (c)アクセス特権のうち前記直接アクセス特権を除く
他の全てのものである間接アクセス特権を当該ユーザが
有するオブジェクトを、 (1)予め定められたアクセスグループのうち、当該ユ
ーザが属する全部のアクセスグループを自動的に判定す
る段階と、 (2)段階(1)で判定された前記アクセスグループが
アクセス特権を有するオブジェクトを自動的に判定する
段階によって、 自動的に判定する段階とを含むことを特徴とする方法。 - 【請求項2】データベースの所与のオブジェクトに関し
てデータベースユーザによって現在保持されているアク
セス特権を判定するための方法であって、 (a)当該ユーザが前記所与のオブジェクトに対してア
クセス特権を有するかの判定を要求する段階と、 (b)当該ユーザが前記所与のオブジェクトに対して直
接アクセス特権を有するかを自動的に判定する段階と、 (c)当該ユーザが前記所与のオブジェクトに対して間
接アクセス特権を有するかを、 (1)予め定められたアクセスグループのうち、当該ユ
ーザが属する全部のアクセスグループを自動的に判定す
る段階と、 (2)段階(1)で判定されたアクセスグループの1以
上が前記所与のオブジェクトに対してアクセス特権を有
するかを自動的に判定する段階によって、 自動的に判定する段階とを含むことを特徴とする方法。 - 【請求項3】データベースのオブジェクトに関してデー
タベースユーザによって現在保持されているアクセス特
権を判定するためのデータベースおよび装置を含むコン
ピュータシステムであって、 (a)当該ユーザがアクセス特権を有するオブジェクト
の判定を要求するための第1の手段と、 (b)ユーザがグループまたはクラスに関係せずに有す
るものである直接アクセス特権を当該ユーザが有するオ
ブジェクトを自動的に判定するための第2の手段と、 (c)アクセス特権のうち前記直接アクセス特権を除く
他の全てのものである間接アクセス特権を当該ユーザが
有するオブジェクトを、 (1)予め定められたアクセスグループのうち、当該ユ
ーザが属する全部のアクセスグループを自動的に判定す
るための第4の手段と、 (2)第4の手段により判定された前記アクセスグルー
プがアクセス特権を有するオブジェクトを自動的に判定
する第5の手段とによって、自動的に判定するための第
3の手段との組合せを含むことを特徴とするコンピュー
タシステム。 - 【請求項4】請求項3記載のシステムであって、前記第
1の手段が、 (1)アクセス特権を記述するためにコマンドを発行す
るための手段と、 (2)記述されるオブジェクトの型を述べるための手段
と、 (3)記述されるオブジェクトの名称を述べるための手
段と、 (4)アクセス特権情報を受け取る制御ブロックの名称
を述べるための手段を含むことを特徴とするシステム。 - 【請求項5】請求項3記載のシステムであって、さら
に、 (f)前記ユーザがアクセス特権を有する各オブジェク
トのアクセス特権が他のユーザに拡張できるかどうかを
判定するための手段と、 (g)前記ユーザがアクセス特権を有する各オブジェク
トのアクセス特権が他のユーザに拡張できるかどうかを
表示させるための手段とを含むことを特徴とするシステ
ム。 - 【請求項6】データベースの所与のオブジェクトに関し
てデータベースユーザによって現在保持されているアク
セス特権を判定するためのコンピュータシステムであっ
て、 (a)当該ユーザが前記所与のオブジェクトに対してア
クセス特権を有するかの判定を要求するための第1の手
段と、 (b)当該ユーザが前記所与のオブジェクトに対して直
接アクセス特権を有するかを自動的に判定するための第
2の手段と、 (c)当該ユーザが前記所与のオブジェクトに対して間
接アクセス特権を有するかを、 (1)予め定められたアクセスグループのうち、当該ユ
ーザが属する全部のアクセスグループを自動的に判定す
るための第4の手段と、 (2)前記第4の手段によって判定されたアクセスグル
ープの1以上がそのオブジェクトに対してアクセス特権
を有するかを自動的に判定するための第5の手段とによ
って、自動的に判定するための第3の手段との組合せを
含むことを特徴とするシステム。 - 【請求項7】請求項6記載のシステムであって、前記第
1の手段が、 (1)アクセス特権を記述するためにコマンドを発行す
るための手段と、 (2)前記所与のオブジェクトの型を述べるための手段
と、 (3)前記所与のオブジェクトの名称を述べるための手
段と、 (4)アクセス特権情報を受け取る制御ブロックの名称
を述べるための手段とを含むことを特徴とするシステ
ム。 - 【請求項8】請求項6記載のシステムであって、さら
に、 (d)当該ユーザが前記所与のオブジェクトに対して有
するアクセス特権の型を判定するための手段と、 (e)前記アクセスの型を表示させるための手段とを含
むことを特徴とするシステム。 - 【請求項9】請求項6記載のシステムであって、さら
に、 (f)前記所与のオブジェクトのアクセス特権が他のユ
ーザに拡張できるかどうかを判定するための手段と、 (g)前記所与のオブジェクトのアクセス特権が他のユ
ーザに拡張できるかどうかを表示させるための手段とを
含むことを特徴とするシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US678572 | 1991-03-28 | ||
| US07/678,572 US5261102A (en) | 1991-03-28 | 1991-03-28 | System for determining direct and indirect user access privileges to data base objects |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH04321143A JPH04321143A (ja) | 1992-11-11 |
| JP2634117B2 true JP2634117B2 (ja) | 1997-07-23 |
Family
ID=24723360
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP4017406A Expired - Lifetime JP2634117B2 (ja) | 1991-03-28 | 1992-02-03 | データベースオブジェクトのユーザアクセス特権を判定するための方法およびそのシステム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US5261102A (ja) |
| JP (1) | JP2634117B2 (ja) |
Families Citing this family (64)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5404518A (en) * | 1991-12-19 | 1995-04-04 | Answer Computer, Inc. | System for building a user-determined database of solution documents from queries that fail within it and from the search steps that do provide a solution |
| US5485605A (en) * | 1992-05-01 | 1996-01-16 | International Business Machines Corp. | Method of and apparatus for providing a group query |
| US5581749A (en) * | 1992-12-21 | 1996-12-03 | Thedow Chemical Company | System and method for maintaining codes among distributed databases using a global database |
| US5559883A (en) * | 1993-08-19 | 1996-09-24 | Chipcom Corporation | Method and apparatus for secure data packet bus communication |
| US5410693A (en) * | 1994-01-26 | 1995-04-25 | Wall Data Incorporated | Method and apparatus for accessing a database |
| US5604490A (en) * | 1994-09-09 | 1997-02-18 | International Business Machines Corporation | Method and system for providing a user access to multiple secured subsystems |
| US7478050B1 (en) * | 1995-02-23 | 2009-01-13 | Fujitsu Limited | System for managing resources used among groups |
| JPH08329138A (ja) * | 1995-06-02 | 1996-12-13 | Toshiba Corp | エンジニアリング支援システム |
| US5742759A (en) * | 1995-08-18 | 1998-04-21 | Sun Microsystems, Inc. | Method and system for facilitating access control to system resources in a distributed computer system |
| US5778367A (en) * | 1995-12-14 | 1998-07-07 | Network Engineering Software, Inc. | Automated on-line information service and directory, particularly for the world wide web |
| US5966715A (en) * | 1995-12-29 | 1999-10-12 | Csg Systems, Inc. | Application and database security and integrity system and method |
| WO1997024687A1 (en) * | 1995-12-29 | 1997-07-10 | Tele-Communications, Inc. | Method and apparatus for hierarchical control of a distributed processing network |
| US5819251A (en) * | 1996-02-06 | 1998-10-06 | Oracle Corporation | System and apparatus for storage retrieval and analysis of relational and non-relational data |
| US5784564A (en) * | 1996-05-03 | 1998-07-21 | High Technology Solutions, Inc. | Closed browser for computer and computer network |
| US5903720A (en) * | 1996-12-13 | 1999-05-11 | Novell, Inc. | Object system capable of using different object authorization systems |
| US5748890A (en) * | 1996-12-23 | 1998-05-05 | U S West, Inc. | Method and system for authenticating and auditing access by a user to non-natively secured applications |
| US5878415A (en) * | 1997-03-20 | 1999-03-02 | Novell, Inc. | Controlling access to objects in a hierarchical database |
| JPH117420A (ja) * | 1997-04-22 | 1999-01-12 | Sharp Corp | データ受信装置 |
| US6990458B2 (en) | 1997-08-28 | 2006-01-24 | Csg Systems, Inc. | System and method for computer-aided technician dispatch and communication |
| US6047377A (en) * | 1997-12-11 | 2000-04-04 | Sun Microsystems, Inc. | Typed, parameterized, and extensible access control permissions |
| US6792540B1 (en) * | 1998-05-28 | 2004-09-14 | Oracle International Corporation | Data replication security |
| US7162689B2 (en) | 1998-05-28 | 2007-01-09 | Oracle International Corporation | Schema evolution in replication |
| US6453353B1 (en) * | 1998-07-10 | 2002-09-17 | Entrust, Inc. | Role-based navigation of information resources |
| US6182142B1 (en) * | 1998-07-10 | 2001-01-30 | Encommerce, Inc. | Distributed access management of information resources |
| JP4410324B2 (ja) * | 1998-10-16 | 2010-02-03 | 富士通株式会社 | 資格管理方法および装置 |
| US6311205B1 (en) | 1998-10-19 | 2001-10-30 | International Business Machines Corporation | Persistent user groups on servers managed by central servers |
| US6269406B1 (en) | 1998-10-19 | 2001-07-31 | International Business Machines Corporation | User group synchronization to manage capabilities in heterogeneous networks |
| US6442695B1 (en) | 1998-12-03 | 2002-08-27 | International Business Machines Corporation | Establishment of user home directories in a heterogeneous network environment |
| US6615257B2 (en) * | 1998-12-18 | 2003-09-02 | Cisco Technology, Inc. | Secure multi-user cable modem configuration editor and viewer |
| US6415193B1 (en) * | 1999-07-08 | 2002-07-02 | Fabcentric, Inc. | Recipe editor for editing and creating process recipes with parameter-level semiconductor-manufacturing equipment |
| NL1015093C2 (nl) * | 2000-05-02 | 2001-11-05 | Blue Polar B V | Systeem voor het opslaan, verwerken en presenteren van gegevens. |
| US9038170B2 (en) * | 2000-07-10 | 2015-05-19 | Oracle International Corporation | Logging access system events |
| US8661539B2 (en) * | 2000-07-10 | 2014-02-25 | Oracle International Corporation | Intrusion threat detection |
| US7185364B2 (en) * | 2001-03-21 | 2007-02-27 | Oracle International Corporation | Access system interface |
| US7904454B2 (en) | 2001-07-16 | 2011-03-08 | International Business Machines Corporation | Database access security |
| US6928554B2 (en) * | 2002-10-31 | 2005-08-09 | International Business Machines Corporation | Method of query return data analysis for early warning indicators of possible security exposures |
| CA2425046C (en) * | 2003-04-08 | 2009-10-06 | Ibm Canada Limited - Ibm Canada Limitee | Method and system for caching database query statements |
| US20040250212A1 (en) * | 2003-05-20 | 2004-12-09 | Fish Edmund J. | User interface for presence and geographic location notification based on group identity |
| US7237119B2 (en) * | 2003-06-30 | 2007-06-26 | At&T Intellectual Property, Inc. | Method, system and computer program for managing user authorization levels |
| US8095511B2 (en) | 2003-06-30 | 2012-01-10 | Microsoft Corporation | Database data recovery system and method |
| US20050144299A1 (en) * | 2003-12-04 | 2005-06-30 | Blevins Delmar E. | System and method for supporting XA 2-phase commit protocols with a loosely coupled clustered database server |
| US7711750B1 (en) | 2004-02-11 | 2010-05-04 | Microsoft Corporation | Systems and methods that specify row level database security |
| US7661141B2 (en) * | 2004-02-11 | 2010-02-09 | Microsoft Corporation | Systems and methods that optimize row level database security |
| US7257580B2 (en) * | 2004-02-24 | 2007-08-14 | International Business Machines Corporation | Method, system, and program for restricting modifications to allocations of computational resources |
| US7644086B2 (en) * | 2005-03-29 | 2010-01-05 | Sas Institute Inc. | Computer-implemented authorization systems and methods using associations |
| US8326877B2 (en) * | 2005-05-04 | 2012-12-04 | Microsoft Corporation | Region-based security |
| US7627569B2 (en) * | 2005-06-30 | 2009-12-01 | Google Inc. | Document access control |
| US8321387B2 (en) * | 2005-07-28 | 2012-11-27 | International Business Machines Corporation | Restricting access to sensitive data |
| US7970788B2 (en) | 2005-08-02 | 2011-06-28 | International Business Machines Corporation | Selective local database access restriction |
| US8001019B2 (en) * | 2005-10-24 | 2011-08-16 | The Boeing Company | Managing access to and updating warehouse data |
| US7962513B1 (en) | 2005-10-31 | 2011-06-14 | Crossroads Systems, Inc. | System and method for defining and implementing policies in a database system |
| US7933923B2 (en) | 2005-11-04 | 2011-04-26 | International Business Machines Corporation | Tracking and reconciling database commands |
| US8045958B2 (en) | 2005-11-21 | 2011-10-25 | Research In Motion Limited | System and method for application program operation on a wireless device |
| EP1826944B1 (en) * | 2006-02-27 | 2009-05-13 | Research In Motion Limited | Method of customizing a standardized IT policy |
| US8931055B2 (en) * | 2006-08-31 | 2015-01-06 | Accenture Global Services Gmbh | Enterprise entitlement framework |
| US8141100B2 (en) | 2006-12-20 | 2012-03-20 | International Business Machines Corporation | Identifying attribute propagation for multi-tier processing |
| US8495367B2 (en) | 2007-02-22 | 2013-07-23 | International Business Machines Corporation | Nondestructive interception of secure data in transit |
| US7831621B1 (en) | 2007-09-27 | 2010-11-09 | Crossroads Systems, Inc. | System and method for summarizing and reporting impact of database statements |
| US8261326B2 (en) | 2008-04-25 | 2012-09-04 | International Business Machines Corporation | Network intrusion blocking security overlay |
| US8555378B2 (en) * | 2009-03-11 | 2013-10-08 | Sas Institute Inc. | Authorization caching in a multithreaded object server |
| US8321460B2 (en) * | 2009-06-11 | 2012-11-27 | Oracle International Corporation | Populating a cache system based on privileges |
| US8689324B2 (en) | 2012-04-04 | 2014-04-01 | Sas Institute, Inc. | Techniques to explain authorization origins for protected resource objects in a resource object domain |
| JP6376734B2 (ja) | 2013-08-12 | 2018-08-22 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | データベースを管理する装置、データベースの制御方法およびプログラム |
| US9558078B2 (en) | 2014-10-28 | 2017-01-31 | Microsoft Technology Licensing, Llc | Point in time database restore from storage snapshots |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4249241A (en) * | 1978-10-23 | 1981-02-03 | International Business Machines Corporation | Object access serialization apparatus for a data processing system |
| US4325120A (en) * | 1978-12-21 | 1982-04-13 | Intel Corporation | Data processing system |
| US4956769A (en) * | 1988-05-16 | 1990-09-11 | Sysmith, Inc. | Occurence and value based security system for computer databases |
-
1991
- 1991-03-28 US US07/678,572 patent/US5261102A/en not_active Expired - Lifetime
-
1992
- 1992-02-03 JP JP4017406A patent/JP2634117B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JPH04321143A (ja) | 1992-11-11 |
| US5261102A (en) | 1993-11-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2634117B2 (ja) | データベースオブジェクトのユーザアクセス特権を判定するための方法およびそのシステム | |
| US10108813B2 (en) | Query conditions-based security | |
| US6587854B1 (en) | Virtually partitioning user data in a database system | |
| JP4571746B2 (ja) | アプリケーション機能に対するアクセスを選択的に規定するためのシステムおよび方法 | |
| US5640555A (en) | Performance optimization in a heterogeneous, distributed database environment | |
| US7308704B2 (en) | Data structure for access control | |
| US8166070B2 (en) | Techniques for sharing persistently stored query results between multiple users | |
| US4774661A (en) | Database management system with active data dictionary | |
| US5995973A (en) | Storing relationship tables identifying object relationships | |
| US7350237B2 (en) | Managing access control information | |
| US6578037B1 (en) | Partitioned access control to a database | |
| US5564113A (en) | Computer program product for rendering relational database management system differences transparent | |
| US7650644B2 (en) | Object-based access control | |
| US6289344B1 (en) | Context-sensitive authorization in an RDBMS | |
| US6268850B1 (en) | User interface for the specification of lock groups | |
| US7346617B2 (en) | Multi-table access control | |
| EP0633538A2 (en) | Relational database management system | |
| US6289355B1 (en) | Fast log apply | |
| JP2003505766A (ja) | クエリー最適化プラン用インデックスに対する変化の効果を観察するためのデータベースシステム | |
| US6775676B1 (en) | Defer dataset creation to improve system manageability for a database system | |
| US6591275B1 (en) | Object-relational mapping for tables without primary keys | |
| US7047234B2 (en) | System and method for managing database access | |
| JP4495915B2 (ja) | データ管理方法、メモリ装置、およびサーバ | |
| EP1008068A1 (en) | User interface for the specification of index groups over classes | |
| Tseng | The implementation of group authorization in a relational database system: revoking |