TWI249111B

TWI249111B - Row-level security in a relational database management system

Info

Publication number: TWI249111B
Application number: TW092120824A
Authority: TW
Inventors: Curt Cotner; Roger Lee Miller
Original assignee: Ibm
Priority date: 2002-09-04
Filing date: 2003-07-30
Publication date: 2006-02-11
Also published as: AU2003260770A1; CN1729469A; WO2004023375A1; US20090030907A1; US20090043775A1; AU2003260770A8; CN100444180C; TW200412515A; US9514328B2; US7464080B2; US20040044655A1; US7240046B2; JP2006502472A; WO2004023375A8; US9870483B2; US20070244898A1; US8478713B2; JP4398371B2; US20170053133A1

Description

1249111 玖、發明說明：【發明所屬之技術領域】本發明相關於資訊處理系統，尤其相關於在資料庫管理系統中提供保全。【先前技術】隨著全球資訊網（web)及電子商務解決方案的成長，資料庫及隱私性更形重要，在一飼服器上作為一網站的主機、(稱為、’’罔站主機）係擴大資料庫保全重要性的另一趨勢，網站伺服器包括一關聯式資料庫，其將一用戶的資料儲存在許多相關表格中。網站主機公司受激發而將來自許多用戶的資料儲存於—單一資料庫管理系統巾’而將其費用減至最少，惟，用戶數增加則需要比適用於主機公司慣常使用的資料庫官理系統較高等級的保全（尤其當該資料庫管理系統用於作為多於一用戶網站及資料的主機時）。 ”有些用戶需要強制存取控制，其中對資料項目（諸如一資料庫列等）的存取皆受到控制，許多用戶亦需使用一階層式保全體系’其同時支援存取控制的多重層級。此等強制存耳&制及層式保全體系的概念為眾所熟知，例如在1 gw 年12月國防邯標準D〇D 5200.28-STD (國防部可信任電腦系統評估標準）中對其有所說明，該内容以引用方式併入本^ 以供參考。白用關^式資料庫（諸如Thomson等人的美國專利第 5,751，949號）根據複數個表格及該等表格的景象而提供保全，景象可用以在至少一資料庫表格内限制存取所選取的 86858.doc 1249111 複數列及複數櫚以結合資料表^ 在時人的4利中，景象用〃、卞衣與包括使用者授權資訊的保全表。惟，某些如系統管理者等）可繞過景象並直接存取表格，藉所提供的存取控制。同時，建構具有期望顆粒象對資料庫管理者及應用程式程式員亦常是累 ^雖然景象可有效用於唯讀存取，但景象較難以界定用 •插入及刪除。更新控制常需用到觸發、资料庫限制及儲存程序。 /、打厚I艮隹乂彳夕應用程式需I關聯式資料庫内的低層級保全，俾能將個別使用者限制至複數列的-特定組，㉟需要強制保制’使用強制存取控制，使用纟、應用程式程式員及貝料庫管理人皆無法迂迴繞過列層級保全機構。【發明内容】本文所述複數個系統及技術提供一關聯式資料庫内之強制低層級保全’它們提供許多優於今日可取得習用資料庫系統的特點，它們可提供強制性及自動化㈣全強化機構丄其可實作的複數個保全體系，難以在傳統結構式查詢語 a(SQL)景象或查詢中表示，達成的效能優化並將關聯於作出低層級保全檢查經常花費的處理需求及經過時間減至最小。本文所述複數個系統及技術所提供的保全強化機構亦不必仰賴特殊景象或資料庫交談層變數提供低層級保全控制0 本發明一實例相關於控制存取一關聯式資料庫的方法，忒方去包括從该貝料庫接收一使用者用於資料的請求，其 86858.doc 1249111 貝料庫運算的請求及一使用者保

中$亥明求包括用以執行全標籤，使用者保全資應該使用者請求，從滿尚包括根據該列的保全標籤判定各擷取列的列保全資訊，於各擴㈣中，I亥彳法根據該使用者保全資訊及該列保全貝A，判足疋否授權該使用者存取該列，並只送回判定授權該使用者存取的複數列。但在另一實例中，具有一資料管理器及一資料庫的裝置（用於一資料庫管理系統内）判定是否授權一使用者在該資料庫保持的一列資料上執行一請求運算，該使用者與一使用者保全標籤相關聯，該列並具有一列保全標籤。該裝置包括一使用者保全單元，其中記錄一階層保全標籤，該裝置亦包括一讀取保全單位，其連接至該使用者保全單元，並介於該資料管理器與該資料庫之間。該讀取保全單位配置成只於該使用者保全標籤於該階層中所在層級所具複數個特權’大於或等於該列保全標籤在該階層中所在層級之特權時’才將該列從該資料庫送回該資料管理器。為求限制使用者存取該資料庫，來自一使用者的請求不需包括一景象的查詢，亦不需結合包含存取控制資訊的表格。本發明在考慮其數個特定實例的以下說明及說明圖例，將使本發明的特徵及優點明朗化，雖然此等說明係討論本發明的特定細節，但應了解多種變化可以並確實存在，根 86858.doc 1249111 據本文說明’該等變化對熟諳此藝者將顯而易見。【實施方式】以下所述實例係參照至以下附圖所說明，其中相似參考數字表示相似元件。某些習用資料庫管理系統（DBMS)提供一些限制存取該貝料庫内複數列的功能，惟該等習用系統依賴資料庫管理人產生限制存取該期望列的景象，然後應用程式程式設計員必須使用該等特殊景象以強化該保全控制。常常應用程式程式設計員必須使複數個景象用以控制存取該等資料列的複數個值居於父談層變數中，雖然此類習用系統確實容許程式設計員控制存取該資料，但該等習用系統飽受多種不便。例如，習用DBMSs使用複數個景象以控制存取一資料庫，對資料庫管理人及應用程式設計員而言，使用複數個景象以控制存取該資料庫極不便於實作，例如，通常必須在保全體系中產生各保全層級的分開景象（例如，t〇p_secret VIEW、SECRET VIEW等）。由於容易不正確地實作該景象，並不利地允許存取錯誤資料列，因此使用複數個景象控制存取亦容易導致錯誤，同時，一些保全體系亦難以表達該景象或使用者查詢上的額外述m，需要自動強化存取資料，俾便不必改變使用者應用程式邏輯或景象。使用景象達成的保全策略只是隨意的，並非強制的，具有資料犀管理者權利的人無f使用f作該保全機構的特殊 86858.doc 1249111 景象，即能查看該資料庫中的資料，因此需要提供強制保全控制，以防止由終端使用者、應用程式設計員及資料庫管理者未經授權而存取。為求限制全世界使用者存取該資料庫中的資料，該系統保全管理者應是唯一不受拘束存取該資料的個人。圖1以系統層級圖說明一習用資料庫應用程式，相關於一網站伺服器10,以主機控制複數個網站（即網站12a、網站I2b 及網站12c)，該網站伺服器連接至一資料通信網路14(諸如網際網路等），其提供與複數個用戶（諸如用戶16a及16b)的連接 4網站伺服為包括服務各網站的單一 DBMS 1 8，該 DBMS官理複數個網站所用的資料，由於許多網站由網站伺服器以主機控制（雖然係由一單一 DBMS所服務），因此必須提供保全以防止個人使用網站伺服器1〇以主機所控制的另一網站，從一網站未授權存取資料。在習用網站伺服器中，該DBMS包括一查詢處理器2〇及一資料管理器22，dbms 18連接至一資料倉庫24，其保持該DBMS*管理的資料。查詢處理器20處理複數個包含複數個查詢的請求，該等查珣在一網站接收自一用戶，例如，一典型查詢可為在一網站收到的結構式查詢語言（SqL)查詢，將該SqL查詢傳遞至查詢處理器20，用於解析並由該DBMS執行。根據該查詢且為處理為20控制資料管理器22，而與資料倉庫24互相作用以處理滿足該查詢的適當資料。圖2A說明圖}所示DBMS内保持的習用使用者表格 (USER^TABLE) 26範例，該表格包括多種不同欄位的資料， 86858.doc 1249111 標示為圖2A所示的Coll、Col2及Col3。使用者表格亦包括一保全標籤（SECLABEL)欄位，各列與一特定保全標籤相關聯，本文中該等保全標籤例如係多種不同顏色（諸如紅、藍、黃、綠等）的名稱。各顏色名稱代表關聯於使用者表格列的特定保全特權組別，例如，“紅，，保全標籤可具有關聯於該標籤的一組存取特權，然而另一保全標籤（諸如保全標籤藍等）則關聯於另一組特權。在一習用DBMS中，由一資料庫景象控制存取 USER.TABLE，系統管理者產生該資料庫内相關表格的景象，以求根據一使用者保全標籤限制存取，。系統管理者例如藉由使用SQL敘述（如圖2B所示）而產生一表格，本文中一系統管理者產生稱為USER.VIEW 28a的景象，其中該景象選自三個攔位，即U.COL1、U.C0L2、 U.C0L3 (如圖2線28b所示），該等欄位選自圖2A所示的 USER.TABLE 〇 —保全表格（SECURITY.TABLE) 30以諸如保全標籤“紅”、“藍”或“綠”的一保全標籤（SECLABEL)與一使用者ID (USERID)產生關係，此圖示於圖2B的線28c。圖2B 的線28d要求該使用者保全標籤等於該保全表中所界定的保全標籤，及保全表中的使用者ID等於目前的使用者，此將存取只限制至圖2A的USER.TABLE中的該等列，其具有的保全標籤等於目前使用者的保全標籤。雖然此習用存取控制體系提供一存取控制等級，但其未支援一階層式保全體系。圖2C說明將圖2B的SQL敘述應用於USER.VIEW 32時，一 86858.doc -11 - 1249111 保全表30與最終景象間的關係，若圖2B的景象應用於使用者“SALLY”以存取USER.TABLE 26，則結果如圖2C所示。本文中，在圖2C中，當使用者SALLY請求存取USER.TABLE ，圖2B的景象將表格26的SALLY的景象限制至圖2C所示的 USER.VIEW 32。當該景象應用至表格26，USER.TABLE 26 結合 SECURITY.TABLE 30而產生 USER.VIEW 32。圖2D說明由使用者SALLY請求的示範查詢34，SALLY的查詢包括一選取SQL子句，其選取所有來自USER.VIEW的列，習用DBMS系統藉由將圖2B所示景象應用至圖2A所示 USER.TABLE 26而運算。士α 圖 2C的 SECURITY.TABLE 30所示，SALLY的保全標籤為“藍”，因此最終使用者景象32只包括USER.TABLE 26中所具保全標籤等於保全標蕺“藍”的該等列，依此，一習用DBMS將使用者存取限制至只某些列。惟，此習用存取控制技術未支援階層式保全體系，其需要使用景象以限制存取。此等相關習用資料庫管理系統的問題可使用以下數個用以提供低層級保全的概念加以克服。 1.資料庫管理系統的各終端使用者授予一 SECURITY_ LABLE，該標籤識別一保全層級用於一多層級保全體系内的使用者，並界定用於存取該資料庫中資料的某些特權。該保全標籤亦識別容許該使用者存取的保全層級内的保全類別，保全類別的一範例係授權該使用者可在其上工作的軟體開發專案。例如，可容許一已知使用者查看由某些保全層級（諸如 TOP SECRET ’ SECRET ’ 和 UNCLASSIFIED 等保全層級）指定的資料，亦容許該使用者存取屬於某些類別 86858.doc -12- 1249111 (例如諸如專案ABC、DEF及XYZ等）的資料。儲存於保全標籤中的值係依表達該保全系統的保全層級及類別資訊加以編碼，此一編碼的範例係標籤SECRETABC，其中“SECRET” 指出保全層級，而“ABC”指出保全類別A、B及C，其可為指定該使用者工作的專案上的識別符號。該使用者的保全標籤可使用不同技術加以判定，例如，可使用關聯式DBMS目錄以查閱；藉由保全呼叫外部保全管理器；或例如呼叫可信任安裝離開常式而判定該使用者的保全標籤。應了解亦可利用其他技術以判定該使用者的保全標籤。 2. —保全表内的各列與一保全標籤相關聯，該保全標籤可為該保全表内的一欄位，例如，該欄位可具有一預設名稱（如SECURITY—LABEL)，或在界定該表格時經由一 SQL 子句將其識別（例如在CREATE TABEL欄位定義上的AS SECURITY LABEL子句）。應了解可使用其他技術使一保全標籤與一列相關聯。該列中的SECURITY_LABEL欄位識別該列中所含資料的保全層級，以及該列應用的保全類別，例如，該列可包括具“SECRET”保全層級的資料，其屬於專案ABC及XYZ (保全類別）。儲存於SECURITY_LABEL中的值係依表達該保全系統的保全層級及類別資訊加以編碼。 3. —強制保全強化機構控制讀取存取該等保全資料列，當知道一關聯式資料庫表格包括一 SECURITY_LABEL欄位時，即自動激發該機構。此讀取保全強化機構比較該使用 86858.doc -13- 1249111 者的保全標籤與㈣的保全標籤，以判定是U允許存取 ’只於該使用者㈣全凌駕該列㈣全時，才允許讀取存取，其中以下兩條件皆為真： a·由“使用者的保全;^籤指明保全層級大於或等於由該列的保全標籤指明的保全類別。 b.關聯於該列保全標籤的複數個保全類別係關聯於該使用者保全標籤的保全類別。寫入存取係分開地受到控制，俾能強迫該等使用者遵守一般規則·不從高於該使用者的保全層級的複數列讀取，或寫入低於該使用者的保全層級的複數列。 Θ靖取及寫入存取保全機構可使用多種不同技術，以強化該存取體系，諸如使用具關聯式dbms目錄的查閱表，·保王乎叫外4保全管理器；或例如呼叫可信任安裝離開常式等。、/· 一強㈣全強化機構控制寫人存取該等保全資料列， ^關驷式貝料庫表格包括一特定欄名時，即自動激發此機構’該機構判定哪個保全標籤記錄於待寫人該資料 =中的複數個更新資料列，此寫人存取保全機構強迫各該等更新列包括下列可能值之一。同万、及使用者保全標籤的一保全標籤，用為該更新列的保全標籤。 =若特別授權-使料，則允許該使用者使用—列保全义籤更新Θ等列’孩列保全標籤所具層級低於該使用者目 '王層、、及所7F層級’該寫入存取保全機構證實該使用者 B6858.doc -14- 1249111 的保全高過該列的保全，俾便在允許更新該列之前，所有條件皆為真。入 ^ , π八貝行，孩列所具保 4 卜保全層級’其低於關聯於該使籤的保全層級。％、U)界定該列的保全標籤具有-保全層級，其小於或等於關聯於該使用者保全標籤的保全層級。 ii〇用於界定該列的保全標籤的保全類別係關聯於該使用者保全標籤的複數個保全類別的子集，即，關聯於該列標籤的所有保全類別亦關料該使用者的保全標鐵。/ 寫入存取保全機構使用多種不同技術以強化該存取體系一例如，其可執行具關聯式DBMS目錄的查閱；向外部保全里作出保王呼叫，或呼叫可信任安裝離開常式等。圖3說明在列層級支援強制存取控制的DBMS，本文中，除了查詢管理器2〇與資料管理器22之外，尚有D刪财 L括項取強制保全單元36及一窝入強制保全單元^。 MMS 18的一示範實例為_用於Z/0S⑤作業系、统的DB2@ ^制保全單兀_合至資料管理器U，並耦合至資料儲 ^ 兩&制保全單元皆根據一階層式保全體系而操作以控制由一使用者或應用程式40 (諸如一網站）對資料的存取。藉由舲β等&制保全單元置於資料管理器22與資料倉庫 24〈間’而達成強制存取控制，若資料管理器22嘗試從資、"諸存單元24續取一列資料，則將該請求導向經由讀取強 86858.doc -15- 1249111 制保全單元36，該保全單元比較該資料管理器傳遞的使用者保全標籤與資料儲存單元24中關聯於所請求資料列的保全標籤，若符合上述該等條件，則同意存取該列。意即，讀取強制保全單元36從言亥使用者保全標鐵判定該使用者的保全層級及保全類別，讀取強制保全單元36亦從該列的保全標藏判定該列保全層級及保全類別。若該使用者的保全層級大於或等於用於該列的保全層級’及若關聯於該列的保全類別係關聯於該使用者保全層級的複數個保全類別的適备子集，則允許該讀取存取。由於讀取該資料的每一嘗 4皆經過該讀取強制保全單元，因此達成強制存取控制。同理，將一更新列寫入該資料庫時’寫入強制保全單元 38攸貝料官理器22接收該請求，而將該列儲存於資料儲存單元24中，寫入強制保全單元38確i呆允許該列在資料儲存單元24中將予以更新之前，皆符合上述條件。即，該寫入強制保全單元確保指明使用者保全層級及保全類別的使用者保全標籤，對應待更新列的保全標籤所指的保全層級及類別。圖4中以概念說明一階層式保全體系，本文中，該保全體系說明使用顏色名稱標示的保全層級，例如，保全層級π 貼有標籤“紅，，’保全層級44貼有標籤“福”，及保全層級46 貼有標籤“黃”。同理，保全層級48貼有標籤“綠”，^級5〇藏“藍”，層級52貼有標藏“競藍，，，及層級54貼有標紫羅蘭’’。此等保全層級（即顏色名稱）類似圖2A所示用於習用資料庫中的保全標籤，惟圖4所示體系係一階層式保 86858.doc -16- 1249111 Π!二中複數個保全層級聚集成群而產生-多層級保保二居,夕F同的保全層級。例如，貼有標籤“晚霞，，的及：：級：包括用於其分支内較低層級保全標鐵(即紅、橘产及所有存取特權’因此，保全標籤晚霞比保全 ^財較同理，保全層級 =4淡彩，，)包括其分支中較低層級保全標鐵(即保全 ::::教藍！紫羅蘭)的所有特權，依此，淡彩保全標鐵 π 及紫羅蘭位於該階層式保全體系層級。保全層級60 (標示為彩虹）位於保全階層的最高層級，如圖靖示，該彩虹標籤包括圖4所示樹狀結構中每—保全標籤的所有特權，此階層幻呆全體系支援多層級存取控制。Τ 本文所述利用該強制保全存取控制的DBMS中，一使用者可直接查詢該DBMS表，並自動地執行該強制存取控制，不用如習用DBMS般利用一景象控制存取，此容許而能將一查詢應用至該DBMS。本文中，圖5A所示，一來自“B〇ss 2，，的且兩（圖5A所π )包括一 SELECT子句62，想以該SELECT 子句逑取所有來自使用者表格“User· table”的資料，若該 DBMS未包括任何存取控制，則不管該使用者的保全層級而送回整個表格的内容。惟，將此查詢應用至具有該強制存取控制的DBMS時（圖3所示），送回的僅有複數個資料列係授權該使用者存取的複數列。圖5B中說明此控制概念，本文中，使用者表格26包括各貼有一保全標藏（即保全標籤“紅，，、‘‘藍，，、‘‘黃，，等）的複數列 86858.doc -17- 1249111 ，當該DBMS收到源自_使用者或一應用程式4〇的查詢（圖 5A所示）時，查_處理器2〇處理該查詢，並將複數個請求送土貝料f理器22，以選取USER TABLE %的所有列，惟，讀取保全單元36運算以限制根據一保全機構料送回的複數歹J使用者表格。可使用各式各樣的保全機構（諸如圖π所示之表;^ )’其使一使用者ID相關用於該使用者的保全標籤，雖然如此，應了解亦可使用其他保全機構以判定關聯於一使用者的保全標籤。該保全標籤可能是圖4所示階層中在一葉狀節點的一保全層級，諸如保全標籤“紅，，，惟該保全標籤可能是較高層級標籤，諸如保全機構64的列64b所示保全層級“彩虹，，。例如使用者BOSS 1”具有表格64中由列64b的標籤“彩虹，，所界定的存取特權，藉此授予該使用者高等級存取。同理，另一使用者（如“BIG BOSS”）亦可使用如列64c所示相同虐層級標籤（諸如該彩虹保全層級）。另一階層式保全層級範例說明於使用者ID “b〇ss 列64d，B〇SS 2具有一保全標籤“晚霞，，，如圖4所示，具保全標籤“晚霞，，的BOSS 2具有的存取特權包括保全標籤2、福及黃的所有特權，因此，當B〇SS2如圖5續示提出該查詢時，該讀取強制保全單元比較料B〇ss 2的保全標= 用於uSER.TABLE 26中各列的複數個保全標鐵。#於;“晚霞”標籤包括紅、黃及橘保全標籤的所有特權，因此讀取強制保全單元36送回具保全標籤“紅，，的列26a、具保全標籤‘二: 的列26c，及具保全標籤“紅”的列26g。由於該等保全標^ 86858.doc -18- 1249111 在$亥(¾層中隸屬於“晚霞’’標籤（如圖4所示），因此因用於其他複數列（即列26b、26d、26e、26f及26h)的保全標籤未在圖4所示階層的，，晚霞，，分支内，因此並未送回該等其他列。依此，不用使用一景象以限制只存取具有比關聯於B〇ss 2 的保全標籤相同或較低保全層級的該等列，使用者2 即可提出圖5 A所示查詢62。圖6說明圖3所示DBMS系統的一替代實例，在此利用一快取記憶體改良效能，該快取記憶體操作以儲存該保全標籤資訊於備妥可用記憶體中，俾使每次存取一列，不管藉由呼叫-外部常式或執行一 i閱表以判定該{呆全層、級及相關聯特權及關聯於特定保全層級的類別與否，皆不需解釋該保全標籤。在此，該DBMS包括用以保持保全標籤資訊的快取記憶體66,將該保全標籤資訊用於各查詢而加以判定，各且為用於一特定使用者而加以處理。圖6所示實例中，一使用者將一 sql查詢“提交至該 DBMS ’查询處理器2〇以習用方式處理所收到的查詢，如圖 6所不’咸查珣藉由打開游標並執行一迴路而開始。如圖6 所示，該迴路包括取得次—列，其引起與資料管理器/強制保全單元70的互動，該資料管理器/強制保全單元7q可包括圖3所示資料管理器及讀取強制保全單元36及寫入強制保全單元38的功能(個別地或結合地)。在此，在圖6中，示出它們在相同單元中，為便於說明，資料管理器/強制保全單元70將簡稱為資料管理器。資料管理器7G從資料儲存單元准取該次列，—旦從資 86858.doc -19- 1249111 料儲存單元24擷取一列，資料管理器7〇即執行強制保全功说’檢查送回的該列是否包括一保全標籤。若是如此，則搜寻快取記憶體66以判定是否在該快取記憶體中已出現關聯於琢保全標籤的資訊，若是如此，該快取記憶體中的保全資訊則用以比較該使用者保全層級與關聯於該擷取列的保全層級。若未在該快取記憶體中發現該保全標籤，則資料管理斋70判定關聯於該保全標籤的資訊，此可以多種不同万法執行，諸如圖6所示，藉由呼叫一保全層。然後將保全標籤資訊判定的結果置於快取記憶體66中，藉此快取該保全標籤呼叫的結果。一旦可取得該保全資訊，即比較關聯於該擷取列的標籤保全層級及類別與關聯於該使用者保全標籤的保全層級及類別，然後作出決定是否容許該使用者存取該列。若比較結果係同意該使用者存取，則將該列送回至查詢處理态20以送回至該使用者，查詢處理器2〇所示迴路然後繼續直到完成該查詢為止。 %成該查詢時，該查詢處理器通知該資料管理器，然後孩資料管理器清除該快取記憶體，依此，該快取記憶體資汛/、由單一使用者用於單一查詢。換言之，一使用者所作的各查詢中，快取記憶體中所保持的保全標籤資訊皆加以更新，俾使該快取記憶體中資訊只在處理一使用者的查詢期間出現。假設一使用者的保全層級及一列的保全層級在執行查峋期間皆保持不變，惟藉由各查詢之後即清除該快取記憶體，不用使該快取記憶體中保持資訊無效，即可 86858.doc -20- 1249111 發生更改該使用者的保全層級及更改該資料中複數列的保全層級。以下數個過程範例可用以提供具強制存取控制的低層級保全。當一資料庫管理者產生圖3所示DBMS中的表格時，該管理者包括該表格中的一 SECURIYT_LABEL欄位，該管理者亦可在待保護的表格加入一 SECURIYT_LABEL欄位，該 DBMS使用該SECURIYT_LABEL欄位的出現而自動地激發低層級保全。藉此，該低層級保全機構係藉由該 SECURIYT—LABEL欄位的出現及該資料列的内容而加以驅動。該SECURIYT—LABEL搁位致能保全控制使用於一資料庫中的複數列，俾未倚靠資料庫管理者產生複數個特殊景象，其識別各使用者獲准存取的複數列。無論何時出現該保全標籤，此類保全控制即令低層級保全強制用於該表格，藉由直接存取該表格（即使用或避開控制列存取的特殊景象）並無法迁迴繞過該等控制。儲存於各列的保全標藏具有一編碼值，其概括以下兩件特定資訊。 a. 包含於該列中的資料保全層級’此容許實作多層級，階層式保全體系（如TOP SECRET，SECRET， UNCLASSIFIED)。 b. 此列資料所應用的保全類別，例如，一列資料可能關聯於六個保全類別（如使用該列的專案A、B、C、D、E、 F)，可將該保全標籤編碼的方式中’容許該保全機構判定此列資料從屬的複數個可能保全類別的子集。 86858.doc -21 - 1249111 當該終端使用者登錄至該DBMS，該使用者將提供複數個鑑定記號（如使用者ID/密碼、KERBEROS標籤等），其向該 DBMS識別該使用者。一旦查明該使用者的身份，該DBMS 即判定關聯於該終端使用者的保全標籤，此可使用多種不同技術加以完成，諸如經由該DBMS的授權表中的表格查閱 ;經由向一外部保全產品進行保全檢查；或經由一可信任使用者離開常式等。如同用於該列的保全標籤，將該使用者的保全標籤加以編碼以概括以下資訊。 a. 授權該使用者存取資料的保全層級，此容許實作多層級，層式保全體系（噙口丁OP SECRET ， SECRET ， UNCLASSIFIED等）。 b. 關聯於並授權該使用者存取的保全類別，例如，一使用者可能關聯於三個不同專案（如專案A、B及C，可指定各專案為一保全類別）。圖7A說明一使用者用以查詢一資料庫的過程，其中出現強制存取控制，在運算72中，一使用者預備一查詢用以提交給一 DBMS，該DBMS具有包括一 SECURITY_LABEL欄位的表格。藉由登錄至該DBMS或藉由另一方法，向該DBMS 識別該使用者，在運算74中，使用上述技術判定該使用者的保全層級及保全類別。在運算76中，例如在一用戶/伺服器系統中，由一用戶準備具該使用者查詢的一請求，該請求在該查詢之外尚包括一使用者保全標籤，其以該使用者保全層級及保全類別加以編碼，在運算78中將該請求送至該DBMS。 86858.doc -22- 1249111 參照至圖7B，該DBMS在運算80中收到該使用者的請求，在運算82中，該DBMS經由該查詢處理器及資料管理器處理該查詢，並掃描所請求的表格以發現滿足該使用者查詢述語的複數列。將任何資料送回至該使用者應用程式之前，該DBMS引動該保全機構以判定是否授權該使用者查看該資料。在運算84中，第一決定將用以判定該資料庫表格是否具有一 SECURITY—LABEL欄位，若該表格未具有一 SECURITY—LABEL欄位，貝1J在運算86中以習用方式處理該查詢，並在運算88中將該查詢的結果送回至該使用者。若該表格具有一 SECURITY—LABEL欄位，則在運算90中引動該保全機構，其中藉由將該使用者的保全標籤解碼而判定該使用者的保全層級及保全類別，從該 SECURITY—LABEL欄位擷取該歹的保全標籤並加以解碼。該保全機構可以許多方式加以實作，諸如經由該DBMS的授權表内的查閱表；經由呼叫一外部保全產品；或例如經由一安裝離開常式等。該保全機構負責檢查該列的保全標籤以判定是否授權該使用者擷取該特殊列，在運算92中，此可藉由比較該使用者的保全層級與該列的保全層級而完成，各列有兩種可能情形。 a.該列的保全標籤具有一值，其在該使用者可使用的一系列值範圍内，此為該使用者保全高過該列保全的情形，以下兩條件皆為真。 i)如運算94所判定，該使用者的保全標籤所指明的保全層級大於或等於該列的保全標籤所指明的保全層級，若 86858.doc -23- 1249111 非如此’則在運算96中拒絕該使用者存取該列；若是如此 ’則在運算98中測試次一條件。 ii)如運算98所判定，關聯於該列保全標籤的保全類別係關聯於該使用者保全標籤的複數個保全類別的子集，若是該情形，該DBMS則在運算1〇2中處理該列及擷取所請求的貝料值，並將該結果送回給該使用者；若非如此，則在運异10 0中拒絕該使用者存取該列。 b·關聯於該列的保全標籤係在對應至該使用者保全標籤的值範圍之外，在此情形中，該DBMS或是忽視該列，感或是依照使用於該資料庫管理系統的保全策略而宣布涉嫌達反保全，藉此，如運算96及100所示，拒絕該使用者存取該受保護列。為求將電腦處理器的使用及關聯於該低層級保全檢查的經過時間減至最小，在處理一使用者交易的進程期間，該 DBMS可快取執行該交易的進程期㈤（圖6所示快取⑽成功鐘定的該列保全標籤值。若後續列遭遇已存在於該使用者的快取⑦憶體的保全標籤值，由於該特殊保全標籤值已通過該保全檢查，因此可繞過該保全檢查。有效保全標藏值的快取在資料庫委託及滚回輕遭到心襄，俾使在次一工作單元中反射該保全策略中的後續更動。讓該保全機制時檢純全層級及保全類職該保全機構在支援多種不同保全策略中有極大的彈性，―些範例如下所述。配上容許存取（使用者 a· —安裝程式可能選擇只在確實匹 86858.doc -24- 1249111 保全標籤=“RED”及列保全標籤=”RED”）。 b. —安裝程式可能選擇只在該列的保全標籤係該使用者保全標籤的適當子集時容許存取（使用者保全標籤 ^“RAINBOW，，，表示 “RED，，，“ORANGE，，，“YELLOW，，’ “GREEN”，“INDIGO”及“VIOLET”皆為可用於此使用者列保全標籤的值）。 c. 一安裝程式可能選擇根據一階層而容許存取，例如，用於該使用者的一 “TOP SECRET”保全標籤將容許存取所有相同或以下的保全層級，即用於“TOP SECRET”， “SECRET”及“UNCLASSIFIED”列保全標籤值。 d. 亦可依照該應用程式使用上述多種體系的組合。參照至圖8A，在運算104中，當使用者請求在一資料庫表格的一列中更新資料時，或更改該列中的資料，或插入一列，在運算106中，識別該使用者並判定該使用者的保全層級及保全類別。在運算1 〇8中準備一請求，其包括該列更新，以及該使用者的保全層級及類別，然後在運算110中將該請求送至該DBMS。參照至圖8B，一旦該使用者發出一更新請求，諸如更新資料的SQL請求（INSERT，UPDATE等），該DBMS即在運算 112中接收該請求。該請求包括該列中資料的更新及指明該使用者保全層級及保全類別的使用者保全標籤，在運算114 中，該保全機構判定一關聯於該更新列的保全標籤。在此實例中，使用該使用者的保全標籤作為用於該更新列的保全標籤，或者，可根據適於該應用程式及作業環境的標準 86858.doc -25- 1249111 而選取一不同保全標籤。在運算丨16中，該保全機構判定待更新的該列是否包括一 SECURITY—LABEL欄位，若無，則在運算118中在習用方式中處理該更新。若該列包括一 SECURITY—LABEL欄位，則執行運算12〇 ’其判定该使用者的保全標籤是否等於用於該列的保全標籤。若是，則在運算122執行該更新，並將該列的保全標籤設定成等於該使用者的保全標籤。若該使用者的保全標籤不等於該列的保全標籤，則在運异124中判定是否特別授權該使用者以一不同於該使用者保全標籤的保全標籤記錄更新。若未特別授權該使用者，則在運算126拒絕用於更新該表格的存取，惟若特別授權該使用者，則比較判定自該使用者保全標籤的使用者保全層級與用於孩待更新列的保全層級。在此運算128中，將該使用者的保全標籤及該列的保全標籤加以解碼，以判定其中所編碼的保全資訊，此解碼運算可使用多種不同技術加以實作，諸如經由該DBMS授權表内的查閱；經由呼叫一外部保全產品；或例如經由一安裝離開常式等。在運算128中比車乂來自攻解碼保全標籤的資訊，諸如該保全層級資訊等。隨著連接符號“A”至圖8C，在運算13〇中，根據該比較判定該使用者的保全層級是否大於或等於用於該列的保全層、及右非如此，則在運算132拒絕該使用者存取該列而作出、更新淮若忒使用者的保全層級大於或等於用於該列的保全層級，則執行運算134以比較保全類別。在運^ 134中，若該待更新列的保全類別形成該使用者保 86858.doc -26- 1249111 全類別的適當子集，則在運算136中將該更新列記綠於該資料庫中。若所有該列的保全類別皆包含於用於該使用者的該組保全類別中，則用於該列的保全類別形成用於該使用者的保全類別的適當子集。惟若用於一列的保全類別未形成為使用者保全類别的適當子集，則在運算1 3 8中拒絕該使用者存取以更新該列。在更新一列中，該保全機構（諸如圖3所示寫入強制保全單元38)不僅具有該使用者的保全標籤，亦具有該列保全標籤的建議值，該建議值例如可由該使用者的SQL更新運算提供該建議值。該保全機構可選擇容許不加改變地記錄該列的保全標籤，或可選擇根據該安裝程式的保全策略將一不同值強迫至該列的保全標籤中，此容許安裝程式利用任何想要的保全策略。例如，可選擇一保全策略，強迫所有的更新將進行該更新的使用者的保全標籤記錄於修改列的保全標籤中；亦可選擇一替代保全策略，容許選取的使用者以異於該使用者保全標籤的列保全標籤值進行更新。此一保全標籤值的複數個範例係該使用者複數個保全標蕺值的適當子集的值’及小於或等於該使用者保全層級的值。 IBM公司的資源存取控制設備（racf@)係一產品範例，其可用以執行該複數個強制保全單元的複數種功能，根據一實例資料庫表袼可藉由加人—特殊命名欄作為該保全標籤，而活化列層級保全支援。一财轉出用以檢查一游標内存取的各保全標籤值，並判定是否容許提出-SQL 查詢的SQL查詢請求者存取該資料列，以仰⑧中的保全層將 86858.doc -27- 1249111 明白階層關係，諸如圖4中所示代表該彩虹顏色的階層。，用RAW中所建立的階層，該DB刪白複數㈣特權二:：資訊的使'者可存取關聯於藍、欷藍、紫羅藍或景象：列二以此等功能，不需要求應用程式使用特殊象或切以存取資料，亦可實作該類型保全體系。低㈣庫管理系統中的裝置'製造物品及提供 "_王万法加以說明後，咸信有鑑於本文提出的教讀向_此藝者建議其他修改、變動及改變 =斤有此類變動、修改及改變皆認為屬於本發明由後二了· ::利=所界定的範轉内，雖然本文中利用複數個特: 广非本文中有不同的界定說明，否則它們皆只是一般及慣常用法，並非用於限制用途。疋商標 IBM、DB2、Z/C^RACF 皆為國際事及其他國家中的公司的商標或註冊商標。在吴国【圖式簡單說明】圖1以万塊圖說明―網路主機，其具統，用以管理至少―網站的資料； …理系、二：別說明—資料庫表格、用以產生景象的•敘 :資：：表：：查詢’其用於習用方法中以限制使用者對以/、科庫表格中某些資料列的存取； :以:：圖說明一存取控制系統，其包括一資料庫管理 !二:：：—讀取強制保全實施單位及-寫入強制保全實犯早…支棱致能強制存取控制的列層級存取控制； 86858.doc -28· Ι249Π1 圖4說明由圖3所示存取控制系統支援的保全階層式體系範例； ' 圖5 A及B說明執行圖4所示保全階層的查詢、資料庫表格及保全機構，可使用該保全機構提供的強制列層級保全實施而將該查？句應用至該資料庫表格；圖6就明提供列層級強制存取控制時，使用圖3所示資料庫笞理系統中的一快取I己憶體以改良效能；圖7A及B以流程圖說明如何查詢提供強制列層級存取控制的資料庫管理系統；及圖8A-C以流程圖說明傳送列更新的要求，及在提供強制列層級存取控制的資料庫管理系統中更新該列。【圖式代表符號說明】 10 網站伺服器 12a，12b，12c 網站 14 網路 16a，16b 用戶 18 資料庫管理系統（DBMS) 20 查詢處理器 22 資料管理器 24 資料 36 讀取強制保全單元 38 寫入強制保全單元 40 應用程式 66 快取記憶體 70 資料管理器/強制保全單元 86858.doc -29-

Claims

1249111 拾、申請專利範圍： 1 · 一種控制存取至關聯式資料庫之方法，包括：從該資料庫接收使用者用於資料之請求，該請求包栝執行一資料庫運算之請求及一使用者保全標籤；從該使用者保全標籤判定使用者保全資訊；回應該使用者請求而從滿足該資料庫運算之資料庫中之表格擷取複數個資料列，該複數列各具有一保全標籤；根據該列之保全標籤，判定所擷取複數列各自之列保全資訊；根據使用者保全資訊及列保全資訊，判定各擷取列是否授權該使用者存取該列；及只送回判定該使用者具有存取授權之複數列。 2·如申請專利範圍第1項之方法，其中該請求未包括一景象之查詢。 3. 如申請專利範圍第1項之方法，其中該請求不需結合一表格，該表格包括用以限制使用者存取該資料庫之存取控制資訊。 4. 如申請專利範圍第1項之方法，其中該資料庫運算係一查詢。 5. 如申請專利範圍第1項之方法，其中該資料庫運算涉及一列更新。 6. 如申請專利範圍第1項之方法，其中該判定列保全資訊包括檢查一快取記憶體，該快取記憶體用於對應至該列保 86858.doc 1249111 全標籤之列保全資訊。 1 ^請專利範圍第巧之方法，其中該使用者保全標籤係又置〜保全層級階層中之複數個保全標籤之-。 ^申Μ專利範81第7項之方法，其中只於該使用者保全標應|全層級時’才判定授權該使用者存取該揭取 J邊保全層級具有之存取等級大於或等於該擷取列之保全標籤所指保全層級。一申’專利範圍第8項之方法，其中唯若該擷取列之保全· t鐵對應保全類別時，更判定授權該使用者存取該擷取 J涘保全類別係對應至使用者保全標籤之保全類別之適當子集。 !〇· 一種用以在資料庫管理系統内使用之裝置，該資料庫管理系統具有一資料管理器及一資料庫，用以判定是否授權一使用者在該資料庫内保持之列資料上執行所請求足運算，該使用者與一使用者保全標籤相關聯，該列並具有一列保全標籤，該裝置包括：讀一使用者保全單元，其中記錄一階層之保全標籤；一讀取保全單元，其連接至該使用者保全單元，並介於該資料管理器與該資料庫之間，並配置成只於該使用者保全標籤於該階層中所在層級所具複數個特權，大於或等於違列保全標籤在該階層中所在層級之特權時，才將該列從該資料庫送回該資料管理器。 11·如申請專利範圍第10項之裝置，其中該保全階層内之保全標籤指明與該保全標籤關聯之保全類別，及其中該讀 86858.doc 1249111 取保全單元配置成，只於該列保全標籤相關聯之複數個保全類別係该使用者保全標籤相關聯之複數個保全類別之適當子集時’才將該請求列從該資料庫送回該資料管理器。 12.如申請專利範圍第10項之裝置，尚包括一寫入保全單元 ’其連接至該資料保全單元，並介於該資料管理器與該資料庫之間，並配置成若該請求運算係一列更新運算時，將該列保全標籤設定成如該使用者保全標籤之相同值。 13 ·如申請專利範圍第12項之裝置，其中該寫入保全單元尚配置成若授權該使用者以較低層級保全標籤更新列，及若用於界定該較低層級保全標籤之複數個保全類別係使用者保全標籤相關聯之保全類別之適當子集，則將該列保全標籤以低於該使用者保全層級之層級加以設定。 14.如申請專利範圍第1〇項之裝置，其中從一使用者在一請求中提出之請求運算，未包括一景象運算。 15·如申請專利範圍第10項之裝置，其中該請求運算不需結合一表格，該表格包括用以限制使用者存取至該資料庫之存取控制資訊。 1 6 ·如申請專利範圍第1 〇項之裝置，尚包括一快取記憶體，其配置成儲存一快取保全標籤相關聯之保全資訊，其中若該列保全標籤匹配該快取保全標籤，該讀取存取控制單元即使用該快取記憶體中之保全資訊。 17· —種在電腦可讀媒體上實作之程式產品，用以控制存取一關聯式資料庫，該程式產品包括： 86858.doc 1249111 複數個程式指令用以從該資料庫接收一用於資料之使用者請求，該請求包括執行一資料庫運算之請求及/ 使用者保全標籤；複數個程式指令用以從該使用者保全標籤判定使用者保全資訊；複數個程式指令用以回應該使用者請求，而從滿足該 /貝料庫運算之資料庫中之一表格擷取複數列資料；複數個程式指令用以根據該列之保全標籤，判定各擷_ 取列之列保全資訊；複數個程式指令用以根據該使用者保全資訊及該列保全資訊’對各擷取列判定是否授權該使用者存取該列 ;及複數個程式指令用以只送回判定該使用者具有授權以存取之複數列。 18 19. 20. 21. 22. 如申請專利範圍第17項之程式產品，其中該請求未包括一景象之查詢。 g =請專利範園第17項之程式產品，其中該請求不需結合表格’该表格包括用以限制使用者存取該資料庫之存取控制資訊。如申請專利之程式產品，其中該資料庫運算係一查詢。如申請專利範園第17嚷之程式產品，其中該資料庫運算涉及一列更新。如申請專利範圍第n 不1 /貝 < 程式屋品，其中該用以判定列 86858.doc 1249111 包括用以檢查一快取記憶保全資訊之複數個程式指令體之複數個程式指令，該快取記憶體用於對應至該列保全標鉞之列保全資訊。 23. 如申請專利範圍第17項之程式產品，其中該使用者保全標籤係設置於保全層級階層中之複數個保全標籤之一。 24. 如申請專利範圍第23嚷之程式產品，其中唯若該使用者保全標籤對應-保全層級時，才判定授權該使用者存取該擴取列，該保全層級具有之存取等級大於或相等該擴取列之保全標籤所指保全層級。 25. 中請專利範園第24項之程式產品，其中尚唯若該擴取列之保全標⑽應保全_時，更判定授權該使用者存取該擴取列，該保全類別㈣應至使用者保全標籤之保全類別之適當子集。 26. -種於-資料庫之至少_列控制存取資料之方法，其中 Μ至少-列與列層級存取控制資訊相關聯，該方法包括·· k 一使用者接收一請求，用以在該資料庫執行運算；藉由在滿足孩請求之資料庫之各列中，將關聯於該使 ^者之保全層級與關聯於該列之保全層級相比較，而將強制存取制規則應用至滿足該請求之資料庫之複數列；及若該關聯於該列之s全層級係i少該使用者之保全層級之子集，則從該列送回資料。 27·々申^專利範圍第26項之方法，其中該請求並非用於該資料庫之預先界定景象，以限制存取該資料庫之至少一 86858.doc 1249111 列之請求。 28. 29. 30. 31. 32. 33. 如申請專利範圍第26項之方法，其中該方法未修改收到之請求’以限制存取該資料庫之至少一列。戈申μ專利範圍第26項之方法，其中該請求係一結構式查詢語言（SQL)查詢。 &申w專利範圍第26項之方法’其中該資料庫由複數個表秸所構成，收到之請求包括用以存取該複數個表格之至少一表格之請求。一種控制一使用者存取一資料庫之複數列中資料之方法，其中各列關聯於一存取層級階層内一第一存取層級，及该使用者關聯於該存取層級階層内一第二存取層級 /、中各存取層級關聯於至少一特權，該複數個存取層級並於一階層方式中相關聯，該方法包括： k该使用者接收一請求，用以在該資料庫上執行運算；藉由判足關聯於該第一存取層級之複數個特權是否包含於關聯於該第二存取層級之複數個特權，而判定是否授權該使用者在滿足該請求之資料庫之一列上運算 ;及唯若判定授權該使用者在該列運算時，才從該列送回資料。如申請專利範圍第31項之方法，其中該請求未包括用於一景象運算之請求。如申租專利範圍第3 1項之方法，其中該請求不需結合一表格，該表格包括用以限制使用者存取該資料庫之存取控制資訊。 86858.doc