JP2843768B2 - データベースアクセス制御方式 - Google Patents

データベースアクセス制御方式

Info

Publication number
JP2843768B2
JP2843768B2 JP6219396A JP21939694A JP2843768B2 JP 2843768 B2 JP2843768 B2 JP 2843768B2 JP 6219396 A JP6219396 A JP 6219396A JP 21939694 A JP21939694 A JP 21939694A JP 2843768 B2 JP2843768 B2 JP 2843768B2
Authority
JP
Japan
Prior art keywords
database
user
access right
search
right table
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP6219396A
Other languages
English (en)
Other versions
JPH0863383A (ja
Inventor
茂 井上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
Nippon Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Electric Co Ltd filed Critical Nippon Electric Co Ltd
Priority to JP6219396A priority Critical patent/JP2843768B2/ja
Publication of JPH0863383A publication Critical patent/JPH0863383A/ja
Application granted granted Critical
Publication of JP2843768B2 publication Critical patent/JP2843768B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、クライアント/サーバ
型のデータベース検索処理システム(端末装置(クライ
アント)とデータベース処理装置(サーバ)とから構成
されるデータベース検索処理システムにおけるデータベ
ースアクセス(データベースの参照,書込みおよび削
除)の制御を行うデータベースアクセス制御方式に関す
る。
【0002】
【従来の技術】従来、この種のデータベースアクセス制
御方式では、一般的に、データベース処理装置上のデー
タベース管理システムによって定義されたデータ項目,
レコード,ファイルおよびデータベースの単位で、各ユ
ーザにアクセスが許されているか否かの検査(アクセス
権の検査)に関する制御が行われていた。また、そのデ
ータベースアクセスの制御は、データベース処理装置上
で、全ての端末装置に関して一元的に行われていた。
【0003】ところで、データ項目,レコード,ファイ
ルおよびデータベースの単位でのデータベースアクセス
の制御が行われたとしても、あるデータベース検索プロ
グラムがあるユーザによって起動された場合に、そのデ
ータベース検索プログラムに関するデータ項目群の中の
1つでも当該ユーザに関してアクセスが許されていない
場合には、そのデータベース検索プログラムによるデー
タベース検索処理の実行は不可となる。したがって、デ
ータベース検索処理システムにおける運用上の要請から
は、データベース検索プログラム単位でのデータベース
アクセスの制御を行うことが適切と考えられる。
【0004】このような運用上の要請に応じてデータベ
ース検索プログラム単位にデータベースアクセスの制御
を行おうとすると、従来であれば、データベース検索プ
ログラムを作成する際に各ユーザに対応したアクセス権
の検査機能(アクセス権に関する各種の情報を含むユー
ザ毎に異なる機能)を当該データベース検索プログラム
の中に組み込まなければならなかった。
【0005】
【発明が解決しようとする課題】上述した従来のデータ
ベースアクセス制御方式では、一般的に、データベース
処理装置上で一元的に各端末装置のユーザに関するデー
タベースアクセスの制御が行われているので、複数の端
末装置におけるユーザからのデータベース検索要求が多
くなると、データベース処理装置の負荷が過大になると
いう問題点があった。
【0006】また、データベース検索処理システムにお
ける運用上の要請から、データベース検索プログラム単
位にデータベースアクセスの制御(アクセス権の検査、
すなわちデータベース検索処理の実行の可否の判定)を
行う場合には、各ユーザに対応した複数のアクセス権の
検査機能を当該データベース検索プログラムの中に組み
込まなければならないので、データベース検索プログラ
ムの設計・製造のための工数が増大し、多大なプログラ
ム開発費用が必要になるという問題点があった。
【0007】本発明の目的は、上述の点に鑑み、端末装
置上で当該端末装置に係るユーザに関するデータベース
へのアクセス権を検査し、データベースアクセスの制御
におけるデータベース処理装置の負荷を軽減し、データ
ベース検索プログラムの設計・製造工数を減少してプロ
グラム開発費用を削減することができるデータベースア
クセス制御方式を提供することにある。
【0008】なお、データベースアクセスの制御の効率
化に関する従来技術としては、「特開平3−6640号
公報(オブジェクト指向データベース・システム及びそ
の制御方法)」が公表されている。しかし、この従来技
術は、「オブジェクト指向データベースにおける柔軟な
アクセス制御リストの活用によってアクセス制御の効率
を高めること」(当該公報中の第365頁右上欄第14
〜16行参照)をその効果としており、本発明とは構成
等を異にするものである。
【0009】
【課題を解決するための手段】 本発明のデータベース
アクセス制御方式は、端末装置とデータベース処理装置
とから構成されるデータベース検索処理システムにおけ
るデータベースアクセス制御方式において、データベー
ス検索プログラムのソースコードプログラム中のデータ
ベース操作言語による少なくとも1つの検索文と、デー
タベースを検索する各ユーザがデータベースの各データ
項目をアクセス可能か否かを示すデータベースアクセス
権情報とに基づいて、前記各ユーザについて、前記少な
くとも1つの検索文によって検索されるデータ項目の全
てを該ユーザがアクセス可能な場合には該データベース
検索プログラムの該ユーザによる実行に対して可を、前
記少なくとも1つの検索文によって検索されるデータ項
目のうち1つでも該ユーザがアクセス不可なものがある
場合には該データベース検索プログラムの該ユーザによ
る実行に対して不可を設定したユーザアクセス権テーブ
ルを作成するユーザアクセス権テーブル作成部と、ユー
ザから投入されたデータベース検索要求に基づいて起動
され、当該データベース検索要求に対応するデータベー
ス検索プログラムの実行の可否をユーザから投入された
ユーザ識別子と前記ユーザアクセス権テーブル作成部に
よって生成されたユーザアクセス権テーブルとを使用し
て検査し、この検査で「実行可」と判断した場合にのみ
該データベース検索プログラムによるデータベース検索
処理を実行するデータベース検索手段とを有する。
【0010】
【作用】本発明のデータベースアクセス制御方式では、
データベース処理装置上のユーザアクセス権テーブル作
成部がデータベース検索プログラムのソースコードプロ
グラム中のデータベース操作言語による検索文とデータ
ベースアクセス権情報とに基づいてユーザアクセス権テ
ーブルを作成し、端末装置上のログイン処理部が端末装
置でのログイン時にデータベース処理装置からのダウン
ロードデータに基づいて当該ログインに係るユーザに対
応する端末用ユーザアクセス権テーブルを端末装置内の
メモリ上に生成し、データベース処理装置上のダウンロ
ード処理部がユーザアクセス権テーブル作成部により作
成されたユーザアクセス権テーブルに基づくダウンロー
ドデータを端末装置でのログイン時にデータベース処理
装置から端末装置に送信し、ユーザから投入されたデー
タベース検索要求に基づいて起動された端末装置上のデ
ータベース検索プログラムが当該データベース検索要求
に対応するデータベース検索処理の実行の可否をユーザ
から投入されたユーザ識別子とログイン処理部によって
生成された端末用ユーザアクセス権テーブルとを使用し
て検査しこの検査で「実行可」と判断した場合にのみデ
ータベース検索処理を実行する。
【0011】
【実施例】次に、本発明について図面を参照して詳細に
説明する。
【0012】図1は、本発明のデータベースアクセス制
御方式の一実施例の構成を示すブロック図である。
【0013】本実施例のデータベースアクセス制御方式
は、データベース処理装置10と、端末装置20と、ソ
ースコードプログラム100と、データベースアクセス
権情報110と、ユーザアクセス権テーブル120と、
データベース130とを含んで構成されている。
【0014】データベース処理装置10は、ユーザアク
セス権テーブル作成部11と、ダウンロード処理部12
と、データベース管理システム13とを含んで構成され
ている。
【0015】端末装置20は、ログイン処理部21と、
メモリ上の端末用ユーザアクセス権テーブル22と、複
数のデータベース検索プログラム23とを含んで構成さ
れている。
【0016】図2は、データベースアクセス権情報11
0内のデータの一例を示す図である。このデータは、デ
ータベース130を検索する各ユーザ(ユーザ名がUs
er,UserおよびUser等のユーザ)がデ
ータベース130の各データ項目(項目A,項目Bおよ
び項目C等)をアクセスすることが可能か否か(「可」
か「不可」か)を示す情報を有している。データベース
アクセス権情報110内のデータには、データ項目単位
のデータ以外にも、レコード単位,ファイル単位および
データベース単位のデータも存在し得る(以下では、デ
ータ項目単位のデータのみが存在するものとして説明す
る)。
【0017】図3は、データベース処理装置10側で生
成されるユーザアクセス権テーブル120の形式の一例
を示す図である。ユーザアクセス権テーブル120は、
データベース130を検索する各ユーザ(ユーザ名がU
ser,UserおよびUser等のユーザ)に
関して各データベース検索プログラム23(データベー
ス検索プログラム名がProg.,Prog.およ
びProg.等のデータベース検索プログラム23)
によるデータベース検索処理を実行することが可能か否
か(「可」か「不可」か)を示す情報を有するテーブル
である。
【0018】図4は、ユーザアクセス権テーブル作成部
11の処理を示す流れ図である。この処理は、ソースコ
ードプログラム読込みステップ401と、データベース
操作言語検索文解析ステップ402と、データベースア
クセス権情報読込みステップ403と、ユーザアクセス
権テーブル設定ステップ404とからなる。
【0019】図5は、ログイン処理部21およびダウン
ロード処理部12の処理を示す流れ図である。この処理
は、ユーザ識別子入力ステップ501と、ダウンロード
要求送信ステップ502と、ユーザアクセス権テーブル
読込みステップ503と、ダウンロードデータ送信ステ
ップ504と、端末用ユーザアクセス権テーブル生成ス
テップ505とからなる。
【0020】図6は、各データベース検索プログラム2
3の処理を示す流れ図である。この処理は、アクセス権
検査ステップ601と、実行可/不可判定ステップ60
2と、データベース検索処理ステップ603とからな
る。
【0021】次に、このように構成された本実施例のデ
ータベースアクセス制御方式の動作について説明する。
【0022】第1に、ユーザアクセス権テーブル作成部
11によって実現されるユーザアクセス権テーブル12
0の作成時の動作について説明する。
【0023】データベース処理装置10内のユーザアク
セス権テーブル作成部11は、以下に示すような処理を
行う(図4参照)。
【0024】まず、各データベース検索プログラム23
のソースコードプログラム100を読み込む(ステップ
401)。
【0025】ステップ401で読み込んだソースコード
プログラム100の中からデータベース操作言語による
検索文を判別(抽出)し、その検索文を基に当該データ
ベース検索プログラム23(当該ソースコードプログラ
ム100に対応するデータベース検索プログラム23)
の検索条件(検索対象のデータ項目を示すデータ項目名
を示す情報等)を解析(抽出)する(ステップ40
2)。
【0026】ステップ402で抽出した検索条件を基
に、該当するデータベースアクセス権情報110を読み
込む(ステップ403)。すなわち、検索条件に係るデ
ータ項目に対応する情報を有するデータベースアクセス
権情報110内のデータを読み込む。
【0027】ステップ403でのデータベースアクセス
権情報110の読込みに基づいて、各ユーザとの関係で
の当該データベース検索プログラム23の実行の可否
(アクセス権の有無)を解析し、その解析結果をユーザ
アクセス権テーブル120に設定する(ステップ40
4)。すなわち、当該データベース検索プログラム23
に関する検索条件に係る全てのデータ項目についてアク
セスが許可されているユーザに対しては当該データベー
ス検索プログラム23に対応する情報として「可(実行
可)」を設定し、いずれかのデータ項目についてアクセ
スが禁止されているユーザに対しては当該データベース
検索プログラム23に対応する情報として「不可(実行
不可)」を設定する。
【0028】ユーザアクセス権テーブル作成部11は、
以上のような処理(図4に示す処理)を、全てのデータ
ベース検索プログラム23(データベース検索プログラ
ム23に対応するソースコードプログラム100)につ
いて繰り返して、図3に示すようなユーザアクセス権テ
ーブル120を作成する。
【0029】第2に、ログイン処理部21およびダウン
ロード処理部12によって実現される端末用ユーザアク
セス権テーブル22の生成時の動作について説明する。
【0030】端末装置20内のログイン処理部21およ
びデータベース処理装置10内のダウンロード処理部1
2は、以下に示すような処理を行う(図5参照)。
【0031】端末装置20において、あるユーザによっ
てログインの入力操作(キーボード等からの入力操作)
が行われた時に、ログイン処理部21は、当該ユーザを
識別するためのユーザ識別子(ログインの入力操作時に
当該ユーザによって投入されるパスワード等)を入力す
る(ステップ501)。
【0032】ログイン処理部21は、ステップ501で
入力したユーザ識別子により識別したユーザ名をパラメ
ータとして、データベース処理装置10上のダウンロー
ド処理部12に対してユーザアクセス権テーブル120
に関するダウンロード要求を送信する(ステップ50
2)。
【0033】ダウンロード処理部12は、ログイン処理
部21から送信されてきたダウンロード要求に係るユー
ザ名を基に、ユーザアクセス権テーブル120から当該
ユーザ名に対応する部分のデータ(当該ユーザ名に対応
する図3中の1行分のデータ)のみを読み込み(ステッ
プ503)、その部分のデータをダウンロードデータと
して要求元の端末装置20(端末装置20内のログイン
処理部21)に送信する(ステップ504)。
【0034】ログイン処理部21は、ダウンロード処理
部12から送信されてきたダウンロードデータを有する
端末用ユーザアクセス権テーブル22を端末装置20内
のメモリ上に生成する(ステップ505)。
【0035】第3に、任意の1つのデータベース検索プ
ログラム23が端末装置20において起動された時の動
作について説明する。
【0036】端末装置20において、ユーザ(ログイン
したユーザ)によるデータベース検索要求の入力操作
(キーボード等からの入力操作)が行われると、当該デ
ータベース検索要求に対応したデータベース検索プログ
ラム23が起動される。当該データベース検索プログラ
ム23は、以下に示すような処理を行う(図6参照)。
【0037】まず、ログイン処理部21によって生成さ
れた端末用ユーザアクセス権テーブル22を参照して当
該ユーザに関する当該データベース検索プログラム23
に対するアクセス権の検査を行い(ステップ601)、
当該ユーザに関して当該データベース検索プログラム2
3によるデータベース検索処理を実行することが可能で
あるか否かを判定する(ステップ602)。
【0038】なお、この検査処理(検査機能)は、全て
のデータベース検索プログラム23に共通の処理(機
能)として組み込まれている。また、この検査処理の内
容は比較的簡易なプログラム記述によって実現される。
したがって、この検査処理の存在によって、データベー
ス検索プログラム23の設計・製造工数が過大になるこ
とはない。
【0039】ステップ602で「実行可」と判定した場
合(当該ユーザに関して当該データベース検索プログラ
ム23によるデータベース検索処理の実行が可能である
と判定した場合)には、データベース処理装置10内の
データベース管理システム13を介してデータベース1
30の検索処理(データベース検索処理)を実行する
(ステップ603)。
【0040】一方、ステップ602で「実行不可」と判
定した場合には、データベース130の検索処理を実行
せずに処理を終了させる。
【0041】なお、本実施例ではデータベース検索プロ
グラム23単位でデータベース130に対するアクセス
権の検査処理を行う場合について述べたが、データベー
ス検索プログラム23の集合である機能レベル単位で、
データベース130に対するアクセス権の検査処理を行
うことも可能である。この場合には、図3に示すユーザ
アクセス権テーブル120は、データベース検索プログ
ラム名の次元の代わりに機能レベル名の次元を有する構
成となる。
【0042】
【発明の効果】以上説明したように本発明は、一般的に
データベース処理装置(サーバ)上で一元的に行われて
いたデータベースアクセスの制御を端末装置(クライア
ント)側にも分散させることにより、データベース処理
装置の負荷を軽減することができるという効果を有す
る。
【0043】また、ユーザアクセス権テーブルを作成す
ること等により、データベースアクセスの制御をデータ
ベース検索プログラム単位または機能レベル単位で行う
ことができ、データベース検索処理システムの運用上の
要請に適合したデータベースアクセスの制御を実現する
ことができるという効果がある。この際に、各データベ
ース検索プログラムの設計・製造に関しては、全データ
ベース検索プログラムに共通な内容であって比較的簡易
な内容の検査機能を各データベース検索プログラムの中
に組み込むことだけですむので、従来技術で同様の効果
を得ようとする場合に比べて、データベース検索プログ
ラムの設計・製造工数が減少してプログラム開発費用を
削減することができるという効果がある。
【0044】なお、データベース検索プログラムのソー
スコードプログラムにおけるデータベース操作言語の標
準化は普及しているので、本発明の適用範囲は広いと考
えられる。
【図面の簡単な説明】
【図1】本発明のデータベースアクセス制御方式に係る
一実施例の構成を示すブロック図である。
【図2】図1中のデータベースアクセス権情報内のデー
タの一例を示す図である。
【図3】図1中のユーザアクセス権テーブルの形式の一
例を示す図である。
【図4】図1中のユーザアクセス権テーブル作成部の処
理を示す流れ図である。
【図5】図1中のログイン処理部およびダウンロード処
理部の処理を示す流れ図である。
【図6】図1中のデータベース検索プログラムの処理を
示す流れ図である。
【符号の説明】
10 データベース処理装置 11 ユーザアクセス権テーブル作成部 12 ダウンロード処理部 13 データベース管理システム 20 端末装置 21 ログイン処理部 22 端末用ユーザアクセス権テーブル 23 データベース検索プログラム 100 ソースコードプログラム 110 データベースアクセス権情報 120 ユーザアクセス権テーブル 130 データベース

Claims (3)

    (57)【特許請求の範囲】
  1. 【請求項1】 端末装置とデータベース処理装置とから
    構成されるデータベース検索処理システムにおけるデー
    タベースアクセス制御方式において、 データベース検索プログラムのソースコードプログラム
    中のデータベース操作言語による少なくとも1つの検索
    文と、データベースを検索する各ユーザがデータベース
    の各データ項目をアクセス可能か否かを示すデータベー
    スアクセス権情報とに基づいて、前記各ユーザについ
    て、前記少なくとも1つの検索文によって検索されるデ
    ータ項目の全てを該ユーザがアクセス可能な場合には該
    データベース検索プログラムの該ユーザによる実行に対
    して可を、前記少なくとも1つの検索文によって検索さ
    れるデータ項目のうち1つでも該ユーザがアクセス不可
    なものがある場合には該データベース検索プログラムの
    該ユーザによる実行に対して不可を設定したユーザアク
    セス権テーブルを作成するユーザアクセス権テーブル作
    成部と、 ユーザから投入されたデータベース検索要求に基づいて
    起動され、当該データベース検索要求に対応するデータ
    ベース検索プログラムの実行の可否をユーザから投入さ
    れたユーザ識別子と前記ユーザアクセス権テーブル作成
    部によって生成されたユーザアクセス権テーブルとを使
    用して検査し、この検査で「実行可」と判断した場合に
    のみ該データベース検索プログラムによるデータベース
    検索処理を実行するデータベース検索手段とを有するこ
    とを特徴とするデータベースアクセス制御方式。
  2. 【請求項2】 前記ユーザアクセス権テーブル作成部は
    データベース処理装置上に、前記データベース検索手段
    は端末装置上にそれぞれ設けられ、 端末装置でのログイン時にデータベース処理装置からの
    ダウンロードデータに基づいて当該ログインに係るユー
    ザに対応する端末用ユーザアクセス権テーブルを端末装
    置内のメモリ上に生成する端末装置上のログイン処理部
    と、 前記ユーザアクセス権テーブル作成部により作成された
    ユーザアクセス権テーブルに基づくダウンロードデータ
    を端末装置でのログイン時にデータベース処理装置から
    端末装置に送信するデータベース処理装置上のダウンロ
    ード処理部とを備えたことを特徴とする請求項1に記載
    のデータベースアクセス制御方式
  3. 【請求項3】 データベース検索プログラムによって、
    データベース検索プログラム単位での検査処理の代わり
    に機能レベル単位での検査処理を行うデータベース検索
    手段を有することを特徴とする請求項1記載のデータベ
    ースアクセス制御方式。
JP6219396A 1994-08-22 1994-08-22 データベースアクセス制御方式 Expired - Lifetime JP2843768B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP6219396A JP2843768B2 (ja) 1994-08-22 1994-08-22 データベースアクセス制御方式

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP6219396A JP2843768B2 (ja) 1994-08-22 1994-08-22 データベースアクセス制御方式

Publications (2)

Publication Number Publication Date
JPH0863383A JPH0863383A (ja) 1996-03-08
JP2843768B2 true JP2843768B2 (ja) 1999-01-06

Family

ID=16734765

Family Applications (1)

Application Number Title Priority Date Filing Date
JP6219396A Expired - Lifetime JP2843768B2 (ja) 1994-08-22 1994-08-22 データベースアクセス制御方式

Country Status (1)

Country Link
JP (1) JP2843768B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006085705A (ja) * 2005-09-13 2006-03-30 Casio Comput Co Ltd データ処理装置及び記憶媒体
US9009137B2 (en) 2010-03-12 2015-04-14 Microsoft Technology Licensing, Llc Query model over information as a networked service
KR101670496B1 (ko) * 2014-08-27 2016-10-28 주식회사 파수닷컴 데이터 관리 방법, 이를 위한 컴퓨터 프로그램, 그 기록매체, 데이터 관리 방법을 실행하는 사용자 클라이언트

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0792791B2 (ja) * 1981-04-01 1995-10-09 テラデータ・コーポレーション マルチプロセッサ・システムにおけるメッセージ通信制御システム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
発明協会公開技報 公技番号93−15552

Also Published As

Publication number Publication date
JPH0863383A (ja) 1996-03-08

Similar Documents

Publication Publication Date Title
US7146635B2 (en) Apparatus and method for using a directory service for authentication and authorization to access resources outside of the directory service
JP4738708B2 (ja) 証拠ベースのセキュリティポリシーマネージャ
RU2387003C2 (ru) Способ, система и устройство для обнаружения источников данных и соединения с источниками данных
US7251834B2 (en) Filtering a permission set using permission requests associated with a code assembly
RU2446456C2 (ru) Интегрирование учрежденческих поисковых систем со специальными интерфейсами прикладного программирования управления доступом
US8150897B2 (en) Computer file system driver control method, program thereof, and program recording medium
JP3546787B2 (ja) アクセス制御システム、アクセス制御方法、及び記憶媒体
US5572673A (en) Secure multi-level system for executing stored procedures
JP6948749B2 (ja) セキュリティポリシーアナライザサービス及び充足可能性エンジン
US20030110264A1 (en) Accessing remote stores of source and symbol data for use by computing tools
US7698441B2 (en) Intelligent use of user data to pre-emptively prevent execution of a query violating access controls
JP2006209756A (ja) 非リレーショナルクエリ言語のリレーショナルデータストアとの統合
US7743425B2 (en) Security restrictions on binary behaviors
US6795832B2 (en) Rule based compatibility module
JP2843768B2 (ja) データベースアクセス制御方式
US6957347B2 (en) Physical device placement assistant

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 19970722

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 19980922