JPH10198593A - オブジェクト指向データベースシステム - Google Patents
オブジェクト指向データベースシステムInfo
- Publication number
- JPH10198593A JPH10198593A JP9014563A JP1456397A JPH10198593A JP H10198593 A JPH10198593 A JP H10198593A JP 9014563 A JP9014563 A JP 9014563A JP 1456397 A JP1456397 A JP 1456397A JP H10198593 A JPH10198593 A JP H10198593A
- Authority
- JP
- Japan
- Prior art keywords
- access
- user
- identifier
- instance object
- instance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
(57)【要約】
【課題】 さらに細かい段階でのデータ保護とより高い
検索効率を実現するオブジェクト指向データベースを提
供する。 【解決手段】 オブジェクト指向データベース101の
インスタンスオブジェクト102毎に、当該インスタン
スオブジェクトに対するアクセス制限の有無とアクセス
制限を設ける場合にアクセスの許可の有無とインスタン
スオブジェクトを生成した利用者の識別子を示す情報を
保護情報104として設定し、インスタンスオブジェク
トを生成した利用者名と識別子毎に、インスタンスオブ
ジェクトのアクセスを許可する他の利用者の識別子を格
納した管理テーブル201を設定し、データベース管理
システム205が、インスタンスオブジェクトへのアク
セス要求に対して、保護情報104と管理テーブル20
1に基づいてアクセス制御を行なう。
検索効率を実現するオブジェクト指向データベースを提
供する。 【解決手段】 オブジェクト指向データベース101の
インスタンスオブジェクト102毎に、当該インスタン
スオブジェクトに対するアクセス制限の有無とアクセス
制限を設ける場合にアクセスの許可の有無とインスタン
スオブジェクトを生成した利用者の識別子を示す情報を
保護情報104として設定し、インスタンスオブジェク
トを生成した利用者名と識別子毎に、インスタンスオブ
ジェクトのアクセスを許可する他の利用者の識別子を格
納した管理テーブル201を設定し、データベース管理
システム205が、インスタンスオブジェクトへのアク
セス要求に対して、保護情報104と管理テーブル20
1に基づいてアクセス制御を行なう。
Description
【0001】
【発明が属する技術分野】本発明は、オブジェクト指向
データベースシステムに関し、特により細かな段階での
データ保護と高い検索効率を実現できるオブジェクト指
向データベースシステムに関する。
データベースシステムに関し、特により細かな段階での
データ保護と高い検索効率を実現できるオブジェクト指
向データベースシステムに関する。
【0002】
【従来の技術】従来、この種のオブジェクト指向データ
ベースデータの保護情報については、例えば特開平5−
35482号公報に示されるように、オブジェクト指向
における抽象データ型(クラス)内の各構成データに対
して保護情報(アクセス可否を示す情報)を付けること
が提案されている。
ベースデータの保護情報については、例えば特開平5−
35482号公報に示されるように、オブジェクト指向
における抽象データ型(クラス)内の各構成データに対
して保護情報(アクセス可否を示す情報)を付けること
が提案されている。
【0003】図7は、上述した特開平5−35482号
公報のオブジェクト指向データベースにおけるデータ保
護情報を示す。
公報のオブジェクト指向データベースにおけるデータ保
護情報を示す。
【0004】オブジェクト指向データベースでのデータ
格納構造は、下位が上位の性質を継承する関係を持つク
ラスの階層構造で決められ、それらクラスの実現値がイ
ンスタンスと呼ばれる。
格納構造は、下位が上位の性質を継承する関係を持つク
ラスの階層構造で決められ、それらクラスの実現値がイ
ンスタンスと呼ばれる。
【0005】抽象データ型に対応するフレーム(クラ
ス)701内の構成データ(スロット)702毎にアク
セスの可否を示す保護情報703を与えることにより、
符号704の関係で示される継承範囲内の構成データの
参照、変更に対するデータ保護を実現している。
ス)701内の構成データ(スロット)702毎にアク
セスの可否を示す保護情報703を与えることにより、
符号704の関係で示される継承範囲内の構成データの
参照、変更に対するデータ保護を実現している。
【0006】
【発明が解決しようとする課題】一般的に、インスタン
スは各クラスに対して複数存在する。しかし、上述した
従来の技術のように構成データ毎に保護情報を設定する
方法では、全インスタンスは同じ保護レベルになる。
スは各クラスに対して複数存在する。しかし、上述した
従来の技術のように構成データ毎に保護情報を設定する
方法では、全インスタンスは同じ保護レベルになる。
【0007】例えば、全社システムのような大規模なデ
ータベースを考えた場合、同一クラスのインスタンスで
あっても、ある部門においては必要であるが、その他の
部門にはまったく必要がない或いは見られてはいけない
という場合があり得る。従来の構成データ毎の保護情報
の設定方式では、全インスタンスは同じ保護レベルであ
るため、上述したような同一クラスのインスタンスに対
して、ある部門に対してアクセスを許可し、他の部門に
対してアクセスを禁止するといった設定ができないとい
う欠点があった。
ータベースを考えた場合、同一クラスのインスタンスで
あっても、ある部門においては必要であるが、その他の
部門にはまったく必要がない或いは見られてはいけない
という場合があり得る。従来の構成データ毎の保護情報
の設定方式では、全インスタンスは同じ保護レベルであ
るため、上述したような同一クラスのインスタンスに対
して、ある部門に対してアクセスを許可し、他の部門に
対してアクセスを禁止するといった設定ができないとい
う欠点があった。
【0008】また、このような問題を解決するために、
部門情報やアクセス情報を表す構成データを追加するこ
とが考えられる。しかし、ユーザレベルでの設定ではセ
キュリティの点で不安がある。また、検索時に複雑な条
件を記述することが必要となり、検索効率が低下する可
能性がある。
部門情報やアクセス情報を表す構成データを追加するこ
とが考えられる。しかし、ユーザレベルでの設定ではセ
キュリティの点で不安がある。また、検索時に複雑な条
件を記述することが必要となり、検索効率が低下する可
能性がある。
【0009】本発明の目的は、特定のグループに属する
ユーザがアクセスするデータは、同一クラスのインスタ
ンス中で比較的限られた部分である可能性が高いことに
着目して、さらに細かい段階でのデータ保護とより高い
検索効率を実現するオブジェクト指向データベースを提
供することにある。
ユーザがアクセスするデータは、同一クラスのインスタ
ンス中で比較的限られた部分である可能性が高いことに
着目して、さらに細かい段階でのデータ保護とより高い
検索効率を実現するオブジェクト指向データベースを提
供することにある。
【0010】
【課題を解決するための手段】上記の目的を達成する本
発明のオブジェクト指向データベースシステムは、オブ
ジェクト指向データベースと、該オブジェクト指向デー
タベースに対するインスタンスオブジェクトの生成及び
アクセスに対する制御を行なうデータベース管理手段を
備えるオブジェクト指向データベースシステムにおい
て、前記オブジェクト指向データベースの前記インスタ
ンスオブジェクト毎に、当該インスタンスオブジェクト
に対するアクセス制限の有無とアクセス制限を設ける場
合にアクセスの許可の有無とインスタンスオブジェクト
を生成した利用者の識別子を示す情報を保護情報として
設定する手段と、前記インスタンスオブジェクトを生成
した利用者名と識別子毎に、前記インスタンスオブジェ
クトのアクセスを許可する他の利用者の識別子を格納し
た管理テーブルを設定する手段とを備え、前記データベ
ース管理手段が、前記インスタンスオブジェクトへのア
クセス要求に対して、前記保護情報と前記管理テーブル
に基づいてアクセス制御を行なうことを特徴とする。
発明のオブジェクト指向データベースシステムは、オブ
ジェクト指向データベースと、該オブジェクト指向デー
タベースに対するインスタンスオブジェクトの生成及び
アクセスに対する制御を行なうデータベース管理手段を
備えるオブジェクト指向データベースシステムにおい
て、前記オブジェクト指向データベースの前記インスタ
ンスオブジェクト毎に、当該インスタンスオブジェクト
に対するアクセス制限の有無とアクセス制限を設ける場
合にアクセスの許可の有無とインスタンスオブジェクト
を生成した利用者の識別子を示す情報を保護情報として
設定する手段と、前記インスタンスオブジェクトを生成
した利用者名と識別子毎に、前記インスタンスオブジェ
クトのアクセスを許可する他の利用者の識別子を格納し
た管理テーブルを設定する手段とを備え、前記データベ
ース管理手段が、前記インスタンスオブジェクトへのア
クセス要求に対して、前記保護情報と前記管理テーブル
に基づいてアクセス制御を行なうことを特徴とする。
【0011】請求項2の本発明のオブジェクト指向デー
タベースシステムは、前記インスタンスオブジェクトの
生成に際し、前記データベース管理手段は、前記インス
タンスオブジェクトを生成する前記利用者名が前記管理
テーブルに登録済みが否かを判別し、登録済みであれば
前記管理テーブルから対応する利用者の識別子を取得
し、登録済みでなければ新規の識別子を発行して前記利
用者名と共に前記管理テーブルに登録し、前記インスタ
ンスオブジェクトに対するアクセス制限の有無とアクセ
ス制限を設ける場合にアクセスの許可の有無と前記利用
者の識別子を前記保護情報に付加することにより前記イ
ンスタンスオブジェクトを生成することを特徴とする。
タベースシステムは、前記インスタンスオブジェクトの
生成に際し、前記データベース管理手段は、前記インス
タンスオブジェクトを生成する前記利用者名が前記管理
テーブルに登録済みが否かを判別し、登録済みであれば
前記管理テーブルから対応する利用者の識別子を取得
し、登録済みでなければ新規の識別子を発行して前記利
用者名と共に前記管理テーブルに登録し、前記インスタ
ンスオブジェクトに対するアクセス制限の有無とアクセ
ス制限を設ける場合にアクセスの許可の有無と前記利用
者の識別子を前記保護情報に付加することにより前記イ
ンスタンスオブジェクトを生成することを特徴とする。
【0012】請求項3の本発明のオブジェクト指向デー
タベースシステムは、前記インスタンスオブジェクトへ
のアクセス要求に対し、前記データベース管理手段は、
アクセスを要求した利用者名が前記管理テーブルに登録
されている場合に、前記管理テーブルから利用者名に対
応する識別子を取得し、アクセス対象の前記インスタン
スオブジェクトの前記保護情報にアクセス制限がない場
合、またアクセス制限がある場合にアクセスを要求した
利用者の識別子と前記管理情報の識別子が一致する場合
に、前記アクセスを要求した利用者に対してアクセス対
象の前記インスタンスオブジェクトを返し、前記アクセ
スを要求した利用者の識別子と前記管理情報の識別子が
一致しない場合、前記保護情報に他の利用者へのアクセ
ス許可を示す情報が設定され、かつ前記アクセスを要求
した利用者の識別子が前記管理テーブルに登録されいる
場合に、前記アクセスを要求した利用者に対してアクセ
ス対象の前記インスタンスオブジェクトを返すKとを特
徴とする。
タベースシステムは、前記インスタンスオブジェクトへ
のアクセス要求に対し、前記データベース管理手段は、
アクセスを要求した利用者名が前記管理テーブルに登録
されている場合に、前記管理テーブルから利用者名に対
応する識別子を取得し、アクセス対象の前記インスタン
スオブジェクトの前記保護情報にアクセス制限がない場
合、またアクセス制限がある場合にアクセスを要求した
利用者の識別子と前記管理情報の識別子が一致する場合
に、前記アクセスを要求した利用者に対してアクセス対
象の前記インスタンスオブジェクトを返し、前記アクセ
スを要求した利用者の識別子と前記管理情報の識別子が
一致しない場合、前記保護情報に他の利用者へのアクセ
ス許可を示す情報が設定され、かつ前記アクセスを要求
した利用者の識別子が前記管理テーブルに登録されいる
場合に、前記アクセスを要求した利用者に対してアクセ
ス対象の前記インスタンスオブジェクトを返すKとを特
徴とする。
【0013】請求項4の本発明のオブジェクト指向デー
タベースシステムは、前記保護情報の前記利用者の識別
子として、識別子と区別される特定の値を設定すること
で、前記インスタンスオブジェクトに対するアクセス制
限の有無を示すことを特徴とする。
タベースシステムは、前記保護情報の前記利用者の識別
子として、識別子と区別される特定の値を設定すること
で、前記インスタンスオブジェクトに対するアクセス制
限の有無を示すことを特徴とする。
【0014】
【発明の実施の形態】以下、本発明の実施の形態につい
て図面を参照して詳細に説明する。図1は、本発明の第
1の実施の形態によるオブジェクト指向データベースシ
ステムの構成を示す。
て図面を参照して詳細に説明する。図1は、本発明の第
1の実施の形態によるオブジェクト指向データベースシ
ステムの構成を示す。
【0015】本発明の実施の形態によるオブジェクト指
向データベースシステムでは、図1に示されるように、
オブジェクト指向データベース101内に格納されてい
る各インスタンスオブジェクト102に固有のオブジェ
クト識別子103に、拡張保護情報104を持たせ、さ
らにデータアクセスを多様化するために拡張保護情報1
04内に信頼できる他グループからのアクセス可否を表
すアクセス可否フラグ105と、当該インスタンスオブ
ジェクトを生成したグループのグループ識別子106を
備えている。
向データベースシステムでは、図1に示されるように、
オブジェクト指向データベース101内に格納されてい
る各インスタンスオブジェクト102に固有のオブジェ
クト識別子103に、拡張保護情報104を持たせ、さ
らにデータアクセスを多様化するために拡張保護情報1
04内に信頼できる他グループからのアクセス可否を表
すアクセス可否フラグ105と、当該インスタンスオブ
ジェクトを生成したグループのグループ識別子106を
備えている。
【0016】また、データベース管理システム205
に、図2に示されるように、グループ識別子202とデ
ータベース使用者グループ名203との対応を表し、各
グループが信頼できる他グループ識別子列204を含む
構成の管理テーブル201を持たせている。
に、図2に示されるように、グループ識別子202とデ
ータベース使用者グループ名203との対応を表し、各
グループが信頼できる他グループ識別子列204を含む
構成の管理テーブル201を持たせている。
【0017】図2を参照すると、インスタンス作成時ま
たはアクセス時に必要なグループ識別子を得るために用
いる管理テーブル201は、データベース管理システム
205により決定,管理されるグループ識別子202
と、ユーザによって決定されデータベース管理システム
に通知される利用者グループ名203、このグループが
信頼できる他グループにアクセスを許可したインスタン
スオブジェクトが存在する場合に、その他グループを識
別する信頼グループ識別子列204を持つ。
たはアクセス時に必要なグループ識別子を得るために用
いる管理テーブル201は、データベース管理システム
205により決定,管理されるグループ識別子202
と、ユーザによって決定されデータベース管理システム
に通知される利用者グループ名203、このグループが
信頼できる他グループにアクセスを許可したインスタン
スオブジェクトが存在する場合に、その他グループを識
別する信頼グループ識別子列204を持つ。
【0018】次に、本実施の形態によるオブジェクト指
向データベースシステムにおける保機情報設定時の動作
について図3を参照して説明する。
向データベースシステムにおける保機情報設定時の動作
について図3を参照して説明する。
【0019】インスタンスオブジェクト102の生成時
にデータベース利用者210は、まず以下の2つの事柄
について決定し、情報として設定する。すなわち、生成
インスタンスオブジェクトにアクセス制限を設けるかど
うかと、アクセス制限を設ける場合、信頼できる他グル
ープへのアクセスを許可するかどうかである。この他グ
ループへのアクセス許可を有効に利用するためには、自
グループにとって信頼できる(アクセスを許可する)他
グループを予め設定しておく。
にデータベース利用者210は、まず以下の2つの事柄
について決定し、情報として設定する。すなわち、生成
インスタンスオブジェクトにアクセス制限を設けるかど
うかと、アクセス制限を設ける場合、信頼できる他グル
ープへのアクセスを許可するかどうかである。この他グ
ループへのアクセス許可を有効に利用するためには、自
グループにとって信頼できる(アクセスを許可する)他
グループを予め設定しておく。
【0020】インスタンス生成命令が実行されると、デ
ータベース管理システム205は、上記の2つの情報と
データベース利用者210のグループ名203を取得す
る(ステップ301)。
ータベース管理システム205は、上記の2つの情報と
データベース利用者210のグループ名203を取得す
る(ステップ301)。
【0021】データベース管理システム205は、イン
スタンス作成要求を出したグループ名203が、図2で
示される管理テーブル201に既に登録されているか否
かを調べる(ステップ302)。グループ名203が登
録済の場合は、対応するグループ識別子202を管理テ
ーブル201より取得し(ステップ303)、オブジェ
クト識別子103に、データベース利用者より受け取っ
た2つの情報(アクセス制限を設けるか否かと他グルー
プへのアクセスを許可するか否かを示す情報)とステッ
プ303で得たグループ識別子を拡張保護情報104と
して付加することによりインスタンス生成を行う(ステ
ップ304)。
スタンス作成要求を出したグループ名203が、図2で
示される管理テーブル201に既に登録されているか否
かを調べる(ステップ302)。グループ名203が登
録済の場合は、対応するグループ識別子202を管理テ
ーブル201より取得し(ステップ303)、オブジェ
クト識別子103に、データベース利用者より受け取っ
た2つの情報(アクセス制限を設けるか否かと他グルー
プへのアクセスを許可するか否かを示す情報)とステッ
プ303で得たグループ識別子を拡張保護情報104と
して付加することによりインスタンス生成を行う(ステ
ップ304)。
【0022】特例としてアクセス制限が無い場合は、フ
ラグを設定せずに、グループ識別子106を“0”で埋
めることでアクセス制限が無いことを表す。すなわち、
本実施の形態においては、拡張保護情報104のグルー
プ識別子106に、グループ名に対応するグループ識別
子の値を格納するか、或いは“0”(または、グループ
識別子と区別できる他の値)で埋めるかによって、アク
セス制限の有無を表している。このように、フラグを設
定せずに、グループ識別子106を“0”で埋めること
でアクセス制限が無いことを表す構成とすることで、拡
張保護情報104としてデータ量を小さくすることを可
能としている。
ラグを設定せずに、グループ識別子106を“0”で埋
めることでアクセス制限が無いことを表す。すなわち、
本実施の形態においては、拡張保護情報104のグルー
プ識別子106に、グループ名に対応するグループ識別
子の値を格納するか、或いは“0”(または、グループ
識別子と区別できる他の値)で埋めるかによって、アク
セス制限の有無を表している。このように、フラグを設
定せずに、グループ識別子106を“0”で埋めること
でアクセス制限が無いことを表す構成とすることで、拡
張保護情報104としてデータ量を小さくすることを可
能としている。
【0023】管理テーブル201にグループ名203が
未登録の場合は、グループ識別子202を新規に発行し
管理テーブル201に登録する(ステップ305)。そ
の後、ステップ303の動作を行う。
未登録の場合は、グループ識別子202を新規に発行し
管理テーブル201に登録する(ステップ305)。そ
の後、ステップ303の動作を行う。
【0024】次に、インスタンスオブジェクト102へ
のアクセス時の動作について図4を参照して説明する。
のアクセス時の動作について図4を参照して説明する。
【0025】データベース利用者210からインスタン
スアクセス要求があると、データベース管理システム2
05は、アクセス要求をしたデータベース利用者210
のグループ名203を取得し(ステップ401)、図2
で示される管理テーブル201より利用者のグループ名
203の登録の有無を調べる(ステップ402)。グル
ープ名203が未登録の場合は、アクセス可能データが
データベース内に存在しないことを示すので、データベ
ース利用者210に対してアクセス拒否を返す(ステッ
プ409)。グループ名203が登録されている場合
は、管理テーブル201から対応するグループ識別子2
02を取得する(ステップ403)。
スアクセス要求があると、データベース管理システム2
05は、アクセス要求をしたデータベース利用者210
のグループ名203を取得し(ステップ401)、図2
で示される管理テーブル201より利用者のグループ名
203の登録の有無を調べる(ステップ402)。グル
ープ名203が未登録の場合は、アクセス可能データが
データベース内に存在しないことを示すので、データベ
ース利用者210に対してアクセス拒否を返す(ステッ
プ409)。グループ名203が登録されている場合
は、管理テーブル201から対応するグループ識別子2
02を取得する(ステップ403)。
【0026】データベース管理システム205は、アク
セス対象となっているインスタンスオブジェクト102
のアクセス制限の有無を調べる(ステップ404)。こ
の場合、拡張保護情報104のグループ識別子106が
全て“0”であるかどうかによってアクセス制限の有無
を調べる。
セス対象となっているインスタンスオブジェクト102
のアクセス制限の有無を調べる(ステップ404)。こ
の場合、拡張保護情報104のグループ識別子106が
全て“0”であるかどうかによってアクセス制限の有無
を調べる。
【0027】制限がなければ(グループ識別子106が
全て“0”であれば)、データベース利用者210にイ
ンスタンスを返す(ステップ408)。制限がある場合
は、要求者であるデータベース利用者210のグループ
識別子202と対象インスタンスオブジェクト102の
拡張保護情報104のグループ識別子106が一致する
か否かを調べる(ステップ405)。グループ識別子1
06が一致すれば、データベース利用者210にインス
タンスを返す(ステップ408)。
全て“0”であれば)、データベース利用者210にイ
ンスタンスを返す(ステップ408)。制限がある場合
は、要求者であるデータベース利用者210のグループ
識別子202と対象インスタンスオブジェクト102の
拡張保護情報104のグループ識別子106が一致する
か否かを調べる(ステップ405)。グループ識別子1
06が一致すれば、データベース利用者210にインス
タンスを返す(ステップ408)。
【0028】グループ識別子が一致しなければ、拡張保
護情報104のアクセス許可フラグ105によって対象
インスタンスオブジェクト102が信頼できる他グルー
プへのアクセスを許可しているか否かを調べる(ステッ
プ406)。
護情報104のアクセス許可フラグ105によって対象
インスタンスオブジェクト102が信頼できる他グルー
プへのアクセスを許可しているか否かを調べる(ステッ
プ406)。
【0029】許可していない場合は、データベース利用
者210にアクセス拒否を返す(ステップ409)。許
可している場合は、対象インスタンスオブジェクト10
2のグループ識別子106と図2で示される管理テーブ
ル201に基づいて、データベース利用者210のグル
ープ識別子が信頼できる他グループ列204に登録され
ているか否かを調べる(ステップ407)。登録されて
いれば、データベース利用者210にインスタンスを返
す(ステップ408)。登録されていなければ、データ
ベース利用者210にアクセス拒否を返す(ステップ4
09)。
者210にアクセス拒否を返す(ステップ409)。許
可している場合は、対象インスタンスオブジェクト10
2のグループ識別子106と図2で示される管理テーブ
ル201に基づいて、データベース利用者210のグル
ープ識別子が信頼できる他グループ列204に登録され
ているか否かを調べる(ステップ407)。登録されて
いれば、データベース利用者210にインスタンスを返
す(ステップ408)。登録されていなければ、データ
ベース利用者210にアクセス拒否を返す(ステップ4
09)。
【0030】図5に、本発明の第2の実施の形態による
オブジェクト指向データベースシステムの構成を示す。
図1に示した実施の形態においては、拡張保護情報10
4に、他グループへのアクセス許可フラグ105とグル
ープ識別子106を備え、グループ識別子106に
“0”(または、グループ識別子と区別できる値)が格
納されているかどうかによってアクセス制限の有無を示
す構成としたが、この第2の実施の形態では、拡張保護
情報504に、上記アクセス許可フラグ105とグルー
プ識別子106に加えて、アクセス制限の有無を示すア
クセス制限フラグ505を設けた構成としている。
オブジェクト指向データベースシステムの構成を示す。
図1に示した実施の形態においては、拡張保護情報10
4に、他グループへのアクセス許可フラグ105とグル
ープ識別子106を備え、グループ識別子106に
“0”(または、グループ識別子と区別できる値)が格
納されているかどうかによってアクセス制限の有無を示
す構成としたが、この第2の実施の形態では、拡張保護
情報504に、上記アクセス許可フラグ105とグルー
プ識別子106に加えて、アクセス制限の有無を示すア
クセス制限フラグ505を設けた構成としている。
【0031】従って、図3のフローチャートに示すイン
スタンスオブジェクト102の生成において、データベ
ース管理システム205は、オブジェクト識別子103
に、データベース利用者より受け取った2つの情報(ア
クセス制限を設けるか否かと他グループへのアクセスを
許可するか否かを示す情報)とデータベース利用者のグ
ループ識別子を拡張保護情報504のアクセス制限フラ
グ505、アクセス許可フラグ105、とグループ識別
子106に設定することによりインスタンス生成を行
う。
スタンスオブジェクト102の生成において、データベ
ース管理システム205は、オブジェクト識別子103
に、データベース利用者より受け取った2つの情報(ア
クセス制限を設けるか否かと他グループへのアクセスを
許可するか否かを示す情報)とデータベース利用者のグ
ループ識別子を拡張保護情報504のアクセス制限フラ
グ505、アクセス許可フラグ105、とグループ識別
子106に設定することによりインスタンス生成を行
う。
【0032】また、図4のフローチャートに示すアクセ
ス処理において、データベース管理システム205は、
アクセス対象となっているインスタンスオブジェクト1
02のアクセス制限の有無を、拡張保護情報504のア
クセス制限フラグ505によって調べる。上記以外の動
作については、第1の実施の形態と同様である。
ス処理において、データベース管理システム205は、
アクセス対象となっているインスタンスオブジェクト1
02のアクセス制限の有無を、拡張保護情報504のア
クセス制限フラグ505によって調べる。上記以外の動
作については、第1の実施の形態と同様である。
【0033】
【実施例】次に、本発明によるインスタンスオブジェク
トへのアクセスの具体的な動作について実施例をあげて
説明する。図6は、アクセス制限あり、インスタンスオ
ブジェクト102を作成したグループ名「GRP3」の
グループ識別子が「0003」、信頼できる他グループ
へのアクセス可能」という拡張保護情報104を持つイ
ンスタンスオブジェクト102が生成された場合に、グ
ループGRP2(グループ識別子「0002」)に属す
るデータベース利用者が上記インスタンスオブジェクト
102をアクセスする場合の動作を図2と図4に対応さ
せて表したものである。
トへのアクセスの具体的な動作について実施例をあげて
説明する。図6は、アクセス制限あり、インスタンスオ
ブジェクト102を作成したグループ名「GRP3」の
グループ識別子が「0003」、信頼できる他グループ
へのアクセス可能」という拡張保護情報104を持つイ
ンスタンスオブジェクト102が生成された場合に、グ
ループGRP2(グループ識別子「0002」)に属す
るデータベース利用者が上記インスタンスオブジェクト
102をアクセスする場合の動作を図2と図4に対応さ
せて表したものである。
【0034】この場合、図2に示すように、インスタン
スオブジェクト102を生成したグループ名「GRP
3」とグループ識別子「0003」及びアクセスを許可
した他グループのグループ識別子「0002」が、管理
テーブル201に登録されている。
スオブジェクト102を生成したグループ名「GRP
3」とグループ識別子「0003」及びアクセスを許可
した他グループのグループ識別子「0002」が、管理
テーブル201に登録されている。
【0035】まずインスタンスアクセス要求があると、
ステップ401で要求者のグループ名GRP2を取得す
る。ステップ402で図2に示す管理テーブル201に
グループ名GRP2が登録済であることを確認する。ス
テップ403で図2の管理テーブル204よりグループ
名GRP2に対応するグループ識別子0002を取得す
る。
ステップ401で要求者のグループ名GRP2を取得す
る。ステップ402で図2に示す管理テーブル201に
グループ名GRP2が登録済であることを確認する。ス
テップ403で図2の管理テーブル204よりグループ
名GRP2に対応するグループ識別子0002を取得す
る。
【0036】ステップ404でアクセス対象インスタン
スオブジェクト102にアクセス制限があることを確認
する。ステップ405でアクセス対象インスタンスオブ
ジェクト102の作成者グループ識別子は「0003」
であるので、アクセス要求者のグループ識別子と一致し
ないことを確認する。
スオブジェクト102にアクセス制限があることを確認
する。ステップ405でアクセス対象インスタンスオブ
ジェクト102の作成者グループ識別子は「0003」
であるので、アクセス要求者のグループ識別子と一致し
ないことを確認する。
【0037】ステップ406でアクセス対象インスタン
スオブジェクト102は、信頼できる他グループへのア
クセスを許可していることを確認する。ステップ407
で図2の管理テーブル201よりアクセス要求者のグル
ープ識別子「0002」が、アクセス対象インスタンス
オブジェクト102の作成者グループ「GRP3」に対
応する信頼できる他グループ列204に登録されている
ことを確認する。よって、ステップ408でアクセス要
求者であるグループGRP2(グループ識別子「000
2」)に属するデータベース利用者はインスタンスオブ
ジェクト102を取得できる。
スオブジェクト102は、信頼できる他グループへのア
クセスを許可していることを確認する。ステップ407
で図2の管理テーブル201よりアクセス要求者のグル
ープ識別子「0002」が、アクセス対象インスタンス
オブジェクト102の作成者グループ「GRP3」に対
応する信頼できる他グループ列204に登録されている
ことを確認する。よって、ステップ408でアクセス要
求者であるグループGRP2(グループ識別子「000
2」)に属するデータベース利用者はインスタンスオブ
ジェクト102を取得できる。
【0038】以上好ましい実施の形態をあげて本発明を
説明したが、本発明は必ずしも上記実施の形態に限定さ
れるものではない。
説明したが、本発明は必ずしも上記実施の形態に限定さ
れるものではない。
【0039】
【発明の効果】以上説明したように本発明のオブジェク
ト指向データベースによれば、各インスタンスオブジェ
クト毎にアクセスに関する保護情報を設定し、かつアク
セス制御を行なう管理テーブルを設けた構成により、従
来より細かい単位で保護情報を設定可能にしたことによ
って、より一層のデータ保護を実現し、無駄なデータが
見えてしまうことによる検索時の冗長性を軽減すること
ができる。
ト指向データベースによれば、各インスタンスオブジェ
クト毎にアクセスに関する保護情報を設定し、かつアク
セス制御を行なう管理テーブルを設けた構成により、従
来より細かい単位で保護情報を設定可能にしたことによ
って、より一層のデータ保護を実現し、無駄なデータが
見えてしまうことによる検索時の冗長性を軽減すること
ができる。
【0040】例えば、全社システムのような大規模なデ
ータベースを考えた場合、同一クラスのインスタンスで
あっても、ある部門においては必要であるが、その他の
部門にはまったく必要がない或いは見られてはいけない
という場合、同一クラスのインスタンスに対して、ある
部門に対してアクセスを許可し、他の部門に対してアク
セスを禁止するといった設定ができるようになる。
ータベースを考えた場合、同一クラスのインスタンスで
あっても、ある部門においては必要であるが、その他の
部門にはまったく必要がない或いは見られてはいけない
という場合、同一クラスのインスタンスに対して、ある
部門に対してアクセスを許可し、他の部門に対してアク
セスを禁止するといった設定ができるようになる。
【0041】さらに、保護情報をクラスの構成データと
して持たずにインスタンスオブジェクトのオブジェクト
識別子に付加することにより、アクセス権限確認のため
にインスタンス内部アクセスの必要がないので、検索時
に複雑な条件を記述する必要がなく、検索コストも軽減
される。
して持たずにインスタンスオブジェクトのオブジェクト
識別子に付加することにより、アクセス権限確認のため
にインスタンス内部アクセスの必要がないので、検索時
に複雑な条件を記述する必要がなく、検索コストも軽減
される。
【図1】 本発明の第1の実施の形態によるオブジェク
ト指向データベースシステムの構成を示す図である。
ト指向データベースシステムの構成を示す図である。
【図2】 本発明の第1の実施の形態による管理テーブ
ルの構成を示す図である。
ルの構成を示す図である。
【図3】 本発明の第1の実施の形態によるインスタン
スオブジェクト生成における処理を説明するフローチャ
ートである。
スオブジェクト生成における処理を説明するフローチャ
ートである。
【図4】 本発明の第1の実施の形態によるインスタン
スオブジェクトへのアクセス制御の処理を説明するフロ
ーチャートである。
スオブジェクトへのアクセス制御の処理を説明するフロ
ーチャートである。
【図5】 本発明の第2の実施の形態によるオブジェク
ト指向データベースシステムの構成を示す図である。
ト指向データベースシステムの構成を示す図である。
【図6】 本発明によるインスタンスオブジェクトへの
アクセスの具体的な動作を示す実施例を説明する図であ
る。
アクセスの具体的な動作を示す実施例を説明する図であ
る。
【図7】 従来のオブジェクト指向データベースにおけ
るデータ保護情報の構成を示す図である。
るデータ保護情報の構成を示す図である。
101 オブジェクト指向データベース 102 インスタンスオブジェクト 103 オブジェクト識別子 104,504 拡張保護情報 105 アクセス許可フラグ 106 グループ識別子 201 管理テーブル 202 グループ識別子 203 グループ名 204 他グループ識別子列 505 アクセス制限フラグ
Claims (4)
- 【請求項1】 オブジェクト指向データベースと、該オ
ブジェクト指向データベースに対するインスタンスオブ
ジェクトの生成及びアクセスに対する制御を行なうデー
タベース管理手段を備えるオブジェクト指向データベー
スシステムにおいて、 前記オブジェクト指向データベースの前記インスタンス
オブジェクト毎に、当該インスタンスオブジェクトに対
するアクセス制限の有無とアクセス制限を設ける場合に
アクセスの許可の有無とインスタンスオブジェクトを生
成した利用者の識別子を示す情報を保護情報として設定
する手段と、 前記インスタンスオブジェクトを生成した利用者名と識
別子毎に、前記インスタンスオブジェクトのアクセスを
許可する他の利用者の識別子を格納した管理テーブルを
設定する手段とを備え、 前記データベース管理手段が、前記インスタンスオブジ
ェクトへのアクセス要求に対して、前記保護情報と前記
管理テーブルに基づいてアクセス制御を行なうことを特
徴とするオブジェクト指向データベースシステム。 - 【請求項2】 前記インスタンスオブジェクトの生成に
際し、前記データベース管理手段は、前記インスタンス
オブジェクトを生成する前記利用者名が前記管理テーブ
ルに登録済みが否かを判別し、登録済みであれば前記管
理テーブルから対応する利用者の識別子を取得し、登録
済みでなければ新規の識別子を発行して前記利用者名と
共に前記管理テーブルに登録し、前記インスタンスオブ
ジェクトに対するアクセス制限の有無とアクセス制限を
設ける場合にアクセスの許可の有無と前記利用者の識別
子を前記保護情報に付加することにより前記インスタン
スオブジェクトを生成することを特徴とする請求項1に
記載のオブジェクト指向データベースシステム。 - 【請求項3】 前記インスタンスオブジェクトへのアク
セス要求に対し、前記データベース管理手段は、アクセ
スを要求した利用者名が前記管理テーブルに登録されて
いる場合に、前記管理テーブルから利用者名に対応する
識別子を取得し、アクセス対象の前記インスタンスオブ
ジェクトの前記保護情報にアクセス制限がない場合、ま
たアクセス制限がある場合にアクセスを要求した利用者
の識別子と前記管理情報の識別子が一致する場合に、前
記アクセスを要求した利用者に対してアクセス対象の前
記インスタンスオブジェクトを返し、前記アクセスを要
求した利用者の識別子と前記管理情報の識別子が一致し
ない場合、前記保護情報に他の利用者へのアクセス許可
を示す情報が設定され、かつ前記アクセスを要求した利
用者の識別子が前記管理テーブルに登録されいる場合
に、前記アクセスを要求した利用者に対してアクセス対
象の前記インスタンスオブジェクトを返すKとを特徴と
する請求項1に記載のオブジェクト指向データベースシ
ステム。 - 【請求項4】 前記保護情報の前記利用者の識別子とし
て、識別子と区別される特定の値を設定することで、前
記インスタンスオブジェクトに対するアクセス制限の有
無を示すことを特徴とする請求項1に記載のオブジェク
ト指向データベースシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9014563A JPH10198593A (ja) | 1997-01-10 | 1997-01-10 | オブジェクト指向データベースシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9014563A JPH10198593A (ja) | 1997-01-10 | 1997-01-10 | オブジェクト指向データベースシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH10198593A true JPH10198593A (ja) | 1998-07-31 |
Family
ID=11864632
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP9014563A Pending JPH10198593A (ja) | 1997-01-10 | 1997-01-10 | オブジェクト指向データベースシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH10198593A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001014261A (ja) * | 1999-06-30 | 2001-01-19 | Nec Corp | ファイバチャネル接続磁気ディスク装置およびファイバチャネル接続磁気ディスク制御装置 |
| JP2001034529A (ja) * | 1999-07-16 | 2001-02-09 | Nippon Telegr & Teleph Corp <Ntt> | データベース管理方法及びシステム及びデータベース管理プログラムを格納した記憶媒体 |
| US6446069B1 (en) | 1999-09-17 | 2002-09-03 | International Business Machines Corporation | Access control system for a multimedia datastore |
| US6470353B1 (en) | 1999-09-17 | 2002-10-22 | International Business Machines Corporation | Object-oriented framework for managing access control in a multimedia database |
| JP2003515806A (ja) * | 1999-11-22 | 2003-05-07 | ネットスケープ コミュニケーションズ コーポレーション | 簡略化ldapアクセス制御言語システム |
| CN104166705A (zh) * | 2014-08-06 | 2014-11-26 | 广州华多网络科技有限公司 | 数据库的访问方法及装置 |
-
1997
- 1997-01-10 JP JP9014563A patent/JPH10198593A/ja active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001014261A (ja) * | 1999-06-30 | 2001-01-19 | Nec Corp | ファイバチャネル接続磁気ディスク装置およびファイバチャネル接続磁気ディスク制御装置 |
| JP2001034529A (ja) * | 1999-07-16 | 2001-02-09 | Nippon Telegr & Teleph Corp <Ntt> | データベース管理方法及びシステム及びデータベース管理プログラムを格納した記憶媒体 |
| US6446069B1 (en) | 1999-09-17 | 2002-09-03 | International Business Machines Corporation | Access control system for a multimedia datastore |
| US6470353B1 (en) | 1999-09-17 | 2002-10-22 | International Business Machines Corporation | Object-oriented framework for managing access control in a multimedia database |
| JP2003515806A (ja) * | 1999-11-22 | 2003-05-07 | ネットスケープ コミュニケーションズ コーポレーション | 簡略化ldapアクセス制御言語システム |
| CN104166705A (zh) * | 2014-08-06 | 2014-11-26 | 广州华多网络科技有限公司 | 数据库的访问方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8925035B2 (en) | System and method for document isolation | |
| JP2739029B2 (ja) | データ・オブジェクトへのアクセスを制御する方法 | |
| US6934758B2 (en) | Stack-based access control using code and executor identifiers | |
| US6687709B2 (en) | Apparatus for database record locking and method therefor | |
| US8689289B2 (en) | Global object access auditing | |
| EP3812921A1 (en) | Data structure reading method and device, data structure updating method and device, and electronic apparatus | |
| CN107203715B (zh) | 执行系统调用的方法及装置 | |
| US8250094B2 (en) | Relational lockdown for an item store | |
| EP3812943A1 (en) | Data reading and writing method and device, and electronic apparatus | |
| US20050132215A1 (en) | Dynamic delegation method and device using the same | |
| US20080141338A1 (en) | Secure policy description method and apparatus for secure operating system | |
| US7120698B2 (en) | Access control for an e-commerce application | |
| TW200412515A (en) | Row-level security in a relational database management system | |
| JP2007299431A (ja) | レプリケーション・ファシリティ | |
| US20200342008A1 (en) | System for lightweight objects | |
| US8132261B1 (en) | Distributed dynamic security capabilities with access controls | |
| JPH10198593A (ja) | オブジェクト指向データベースシステム | |
| CN112231733A (zh) | 对象代理特征数据库的mac防护增强系统 | |
| US9009731B2 (en) | Conversion of lightweight object to a heavyweight object | |
| JPH05181734A (ja) | データベースのアクセス権管理制御方式およびファイルシステムのアクセス権管理制御方式 | |
| CN113806726A (zh) | 一种访问控制方法、装置、电子设备及存储介质 | |
| Thuraisingharn | Security in_i () bject-Oriented Database Systems | |
| JPH04373040A (ja) | ファイル管理方式 | |
| CN117972791B (zh) | 一种操作系统中权能的撤销方法 | |
| Bell | Trusted Xenix Interpretation: Phase I |