TWI358650B - Systems and methods for fine grained access contro - Google Patents
Systems and methods for fine grained access contro Download PDFInfo
- Publication number
- TWI358650B TWI358650B TW093122601A TW93122601A TWI358650B TW I358650 B TWI358650 B TW I358650B TW 093122601 A TW093122601 A TW 093122601A TW 93122601 A TW93122601 A TW 93122601A TW I358650 B TWI358650 B TW I358650B
- Authority
- TW
- Taiwan
- Prior art keywords
- security
- query
- database
- user
- information
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/217—Database tuning
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99932—Access augmentation or optimizing
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99933—Query processing, i.e. searching
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99933—Query processing, i.e. searching
- Y10S707/99934—Query formulation, input preparation, or translation
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99939—Privileged access
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Mathematical Physics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Description
1358650 九、發明說明: 【發明所屬之技術領域】 本發明一般相關於電腦系統’特別是有關於電 ττ 庫的系統(一種或多種)及方法(一種或多種)。 【先前技術】 在電腦硬體、軟體及網路的科技上之進步p你理m 、少匕使件用電 子化的方式交換資料取代舊式技術例如紙張及電話通f的
需求曰漸成長,舉例而言,電子通訊可於基本上全世界的 任兩個地點間提供瞬時、可靠的資料傳輸。許多企業及消 費者藉由網路(例:線上)服務達成運用此技術來提升效率 及降低成本的目的。舉例而言’消費者可待在舒適的家中 點擊滑鼠來購買商品’檢閱帳戶清單,研究產品及公司, 獲得即時股市行情,下載文宣等等。 隨著可獲得的電子資料不斷成長’以一種提升易用性 及讲速的資料搜尋及檢索的可管理的方式來儲存這些資料
的更加重要。今日’ 一種普遍的做法是將電子資料儲存 A〆個或多個資料庫中。一般而言,一個典型的資料庫可 在 也/個有組織的資料收集及一個資料結構例如電腦程 視源 ,舉例而言,可快速的搜尋並選擇欲得的幾筆資料。傳 式, ,資料庫中的資料是藉由一個或多個表格來組織的, 統上 此表格各自包括一個紀錄集且一筆紀錄包括一個襴位 這良於 /筆筆紀錄在表格中通常是用行(r〇W)來當作索引,而 5 ^58650 之·攔位通常是用列(column)來當作索.引這樣的索引中 中^列對可指定出表格.中的—筆特^資料。儲存在資料庫 以及μ料通常包括個人的(例:銀行帳戶和社會安全號瑪) ^ ^ ^ 縻錄)並且不可以被藉由硬拷貝 備份。因此,資料座及 的愈形中之資料的相關保護變 壞的斑而’今曰許多資料庫的保護技術是可被破 喂的’舉例而言, 客。 猎由軟體的漏洞及/或是有不良意圖的駭 【發明内容】 態樣^:出一簡單的摘要說明用來提供對本發明之-、的基本認識。jtb i θ 0fl π 概觀對本發明的-個全面 ,. .,、、、確定本發明的關鍵/重要元件或是去扩 本發明的範圍。龙唯一 疋去描 本發明的概念作為下中 供 中更精確描述的-個5丨言。本發 &供 種系統及方法智日A &人·/· 万击幫助女全存取資料庫(一個或多 隨著電腦不斷的普及仆, ) 曰及化,越來越多的資料儲存在資 中舉例而σ目聯式資料庫。在關聯式資料庫中大 的資料是以行的方式储存在-個或多個表格中。此資二 可供-個或複數個實體進行存取。由於儲存在資料庫中 料的自然特性,授權特別的存取方式(例:不可存取,讀 可及/或讀/寫許可)給該資料是非常重要的。 s 1358650 關聯式資料庫普及化的核心關鍵是它可執行跨表格之 聯合查詢的能力。儲存於表格中的實體集可用集合處理語 言(例:SQL(结構化查詢語言))進行存取。這語言會指定一 個或多個表格當作資料的來源並輸出符合給定條件(若有 的話)的那些行。 此外,許多關聯式資料庫根據表格上不同的存取路徑 或目錄對這樣的查詢進行最佳化。因此,依據本發明的一 個態樣,這個系統提供一個創新的技術以不會使保存有今 日所使用的各種最佳化技術的表格混亂的方式定義安全的 存取行。 根據本發明的一個態樣,一個幫助安全的存取資料庫 的系統有一個存取資料庫的資料庫引擎,以及,一個安全 性描述元庫。選擇性的,此系統可包括一資料庫。 資料庫以一種結構化的格式儲存資料,舉例而言,此 資料庫可是一個關聯式資料庫,一個物件資料庫和/或一個 物件關聯式資料庫。關於關聯式資料庫,一個有相同結構 之實體的同質集合叫作表格而每一個實體叫作行。結構的 元件叫列。一個關聯式資料庫可有零個,一個或複數個表 格。 本發明的一個態樣提供至少一個與資料庫有關聯的表 格來包括儲存有安全性資訊的一列,舉例而言,一個安全 性描述元庫(例:一個有關於安全性的指標儲存在安全性描 7 1358650 述元庫中)。 安全性描述元庫儲存一個或複數個安全性描述元,每 一個安全性描述元各控制與其相關的一個或多個資源的特 殊存取方式。安全性描述元所含之安全性資訊可包括,舉 例而言一個清單列有(1)存取獲同意還是被拒絕(2)存取的 種類(例:許可,舉例而言,唯讀及/或可讀/寫),以及(3) 安全性資訊作用對象的要項。舉例而言,安全性描述元庫 可以是存取控制實體的一個有組織的集合。
安全性描述元(例:存取控制清單)可以很快地變的極 長,基於儲存於行中的資料其本質上對安全性的要求及存 取資料的應用程式之複雜度。此外,在大部分的情況下, 表格中行的存取控制清單其種類之數量遠小於行的實際數 量。舉例而言,當以表格的方式建立一個檔案系統的模型 時,其中每一行各指向一檔案或資料夾,這樣的表格可能 會有數十萬行,但是存取控制清單種類可能只有數百之 譜。換句話說,有許多行具有相同的安全原則。
資料庫引擎接受查詢資訊,舉例而言,來自使用者。 查詢資訊包括一個要在資料庫中被執行的查詢要求以及一 個有關於查詢提出者的使用者背景(例:使用者名稱,使用 者識別元及/或使用者的類型)。 在執行查詢時,資料庫引擎會使用在查詢處理中所存 取到資料庫中的行之安全性描述元以及與查詢相關的使用 者背景來決定是否使用者有所需的存取許可。如此一來, 8 1358650 查詢提出者只能得到資料庫中那些使用者具有存取 料。(例:檢視/修改)。 此外本發明的另一態樣被供作原則說明的一部 個SQL程式語言(例:TSQL)加上了一組新的述句可 全性描述元(一個或多個)之建立、修改及刪除(例: 制清單)。這些安全性描述元(一個或多個)(例:存 清單)可包括其他安全相關資訊。舉例而言,安全性 之提供可以無關於資料庫表格中的行,且可被共用 可以部署原則於被授予之許可和當與一行相關時可 原則於其上。 在傳統的關聯式資料庫之中,安全性原則是與 的行無關的。因此,依據本發明的一個態樣,為指 庫中一特定表格的行是由一安全性原則所保護,一 令用來建立與修改表格便被加入以達成需求。在這 定義中的一列是可被選擇性的擴充以一記號用以指 包括一安全性原則。此列的數值便是先前討論之安 述元的識別元(例:4位元碼)。舉個例,若此列之 值為零,此列便不受任何原則保護。否則,此行的 制原則便根據安全性描述元及存於安全性描述元庫 關資訊而定。 為完成以上所述以及一些相關的部分,這裡會 接下來的說明及附圖有關的一些本發明的說明性態 而,對於一些使用到本發明的原則及擴充本發明用 權的資 分,一 用於安 存取控 取控制 描述元 ,以及 以部署 表格中 出資料 SQL指 些表格 出此行 全性描 中的數 存取控 中的相 描述與 樣。然 以包括 9 1358650 所有態樣及其同等物的多變做法中,這些態樣僅是指示性 的。其他本發明的優點及新穎特色或許在閱讀以下詳細的 發明說明並參照附圖後會變的更加清楚。 【實施方式】
現在要參照附圖做本發明的詳細說明,全篇用數字來 表示元件。在以下敘述中,為了要說明,把數字代表意義 的詳述放在前面以提供一對本發明全面性的了解。然而, 或許很明顯的,本發明可在沒有這些特定細節的情況下實 現。在其他範例中,為方便本發明的敘述廣為人知的結構 及裝置會以方塊圖的形式表現出來。
在本應用中用到的那些名詞”元件處置器”模 型系統”,及其他類似字彙係指電腦相關的實體,可以 是硬體,軟硬體的結合,軟體,或執行中的軟體。舉例而 言,一個元件可以是,但不限定是,一個在電腦中運作的 程序,一個物件,一個可執行檔,一個執行緒,一個程式, 及/或一個電腦。依照此說法,一個在伺服器上運作的應用 程式及伺服器均可為一元件。一個程序及/或一個執行緒中 可能有一個或多個元件且元件可集中在單一電腦上或分布 在一個或多個電腦中。又,這些元件可執行儲存有各種資 料結構的各種電腦可讀取媒體。元件可藉由近端及/或遠端 如按照一個具有一個或多個資料封包的信號做通訊(例:在 區域系統,分散式系統,及/或藉由如網際網路相連之系統 10 1358650 中的元件之間互動的資料藉由信號傳遞)。電腦元件可健存 於,舉例而言,電腦可讀取媒體包括,但不限定包括一 個ASIC(特殊應用積體電路),CD(光碟),DVD(數位影音 光碟),ROM(唯讀記憶體),軟確,硬塔,EEpR〇M(電壓\ 除式可程式化唯讀記憶體)及隨身碟。 爹照弟 巧队傅|發明的一個態樣 助 安全存取-資料庳之系統1〇〇,這個系统1〇〇包括一個 可存取資料庫120的資料庫引擎 描述元庫130。可選擇地,系統 120 ° 11 0,以及,—個安全性 100可進一步包括資料庫
〜/ N只竹饨仔隹貢料庫 中’舉例而言,關聯式資料庫。在關聯式資料庫中大部 的資料是以行的方式儲存在一個或多個表格中。 可供一個或複數個實體進行存取。由於储存在資料庫中 料的自然特性,授權特別的存取方式(例:不可存取… 可及/或讀/寫許可)给該資料是非常重要的。 "
關聯式資料庫昝π I Μ 庫曰及化的核心關鍵,是它可執行跨表 之:合查詢的能力1存於表格中的實體集可用集合處 語“例.SQL(結構化查詢語言))做存取。這語言會指$ 個或多個表格當作資料的來源並輸出符合給 的話)的那些行。 此外,許多關庫根據表格上不同的存取路 此,依據本發明的— 1358650 態樣’這個系統提供一個創新的技術以不會使保存有今日 所使用的各種最佳化技術的表格混亂的方式定義安全的存 取行。 Η料庫120以結構化的格式储存資料。舉例而言,資 料庫120可以是一個關聯式資料庫,一個物件式資料庫及/ 或物件關聯式資料庫。關於關聯式資料庫,一個有相同結 構之實體的同質集合叫作表格而每一個實體叫作行。結構
的元件叫列。一個關聯式資料庫可有零個,一個或複數個 表格® 依據本發明的一個態樣,至少有一個與資料庫i 2〇有 關聯的表格包括儲存有安全性資訊的一列,舉例而言 一 個安全性描述元庫(例:一個有關於安全性的指標儲存在安 全性描述元庫130中,如以下所述)。 簡略地參照第2圖,繪有依據本發明的一個態樣的 個示範表格200。表格包括資料列2丨〇及行22〇。另外,表 格220包括一安全性描述元列23〇。舉例而言,安全性描
述元列230可以儲存,針對某一行,一個與該行相關的安 全性描述元。舉個例,安全性描述元是―個與安全性描述 元庫130有關的識別元。 回到第1圖,安全性描述元庫130儲存由—個或多個 安全性描述元合併而成的安全性資訊。安全性資訊可包 括’舉例而言一個清單列有⑴存取獲同意還是被拒絕(2) 存—取的種!匕許工,舉例而言,讀許可及/或獨/寫許可), 12 1358650 以及(3)安全性資訊作用對象的要項。舉例而言安全性描 述元庫130可以是存取控制實體的一個有组織的集合。 簡略的轉至第3圖,繪有依據本發明的—個態樣的一 個示範安全性描述元庫300,安全性描述元庫3〇〇包括一 個或多個安全性描述元310。 在此例中,一特定安全性描述元31〇包括存取資訊 32〇 ’舉例而言,存取獲准及/或存取獲拒。安全性描述元 31〇進—步包括許可33 0定義特定安全性描述元31〇的存 取方式,舉例而言,不可存取,讀許彳,及/或讀寫許可。 女全性描述元3 1 0進一步包括要項24〇說明安全性描述元 適用於何者(例:使用者名稱(一個或多個),使用者的 群組(一個或多個),使用者識別元(一個或多個)及/或使用 者(一個或多個)的類型(一個或多個))。 安全性描述元3 1 0 (例: 的極長,基於儲存於行中的 及存取資料的應用程式之複 下’表格中行的存取控制清 際數量。舉例而言,當以表 模型時,其中每一行各指向 可能會有數十萬行,但是存 之谱。換句話說,有許多行 舉個例,當資料庫中的行被 入快取記憶體申供快速 ' -—~ ____ 存取控制清單)可以很快地變 資料其本質上對安全性的要求 雜度。此外,在大部分的情況 單其種類之數量遠小於行的實 格的方式建立一個檔案系統的 一擋案或資料夾,這樣的表格 取控制清單種類可能只有數百 具有相同的安全原則。此外, 存取時所有的安全性敘述元可 查找之用。 13 1358650 回到第一圖,資料庫引擎11 0接受查詢資訊,舉例而 言,來自使用者。查詢資訊包括一個要在資料庫120中被 執行的查詢要求以及一個有關於查詢提出者的使用者背景 (例:使用者名稱,使用者識別元及/或使用者的類型)。
在執行查詢時,資料庫引擎110會使用在查詢處理中 所存取到的資料庫1 20中的行之安全性描述元以及與查詢 相關的使用者背景來決定是否使用者有所需的存取許可。 然後,資料庫引擎11 〇依據查詢以及,很重要的,使用者 背景資訊,提供對於查詢資料的回應。如此一來,查詢提 出者只能得到資料庫 1 2 0中那些使用者具有存取權的資 料。(例:檢視/修改)。 舉例而言,一個資料庫1 2 0有一單一表格記載有以下 項目:
名稱 州 薪資 安全性描述元 Jeff 俄亥俄 $5,000 1 Joe 華盛頓 $10,000 2 Sally 俄亥俄 $25,000 3 表格1 以及一個有關的安全性描述元庫1 3 0具有以下的安全 性描述元: 安全性描述元 存取控制清單(存取:許可:被授與人相關要項) 1 准許 唯讀 Jeff ;准許:讀/寫:管理員 2 拒絕 唯讀 Joe ;准許:讀/寫··管理員 3 拒絕 唯讀 Sally ;准許:讀/寫:管理員 14 1358650 表格2
在此例中,當Jeff用”所有項目”查詢資料庫120(表格 1)時,’’Jeff”是與查詢一起被提供給資料庫引擎11 0的使用 者背景。接著,資料庫引擎110查詢資料庫120,初步收 到全部三行。然而,資料庫引擎11 〇接著取得儲存於安全 性描述元庫130中與各行相關的安全性資訊且根據使用者 背景,只有第一行,被送回因為那是使用者’’Jeff”唯一被 授權讀取的。然而,若管理員做一樣的查詢(例:”所有項 目”),全部三項都會送回因為管理員被授權·可對全部三行 做讀及/或寫。
依據本發明的一個態樣,作為原則說明的一部分,一 個SQL程式語言(例:TSQL)被擴充以一組新的述句可做安 全性描述元庫(一個或多個)1 30,3 00(例:存取控制清單)之 建立,修改及刪除動作(例:存取控制清單)。這些安全性 描述元庫(一個或多個)1 3 0,3 0 0 (例:存取控制清單)可包括 其他安全相關資訊。舉例而言,安全性描述元可以無關於 表格中的行提供,可以被資料庫系統中的複數行或其他實 體共用,及可以部署原則於被授予和拒絕之許可,以及當 與一行相關時可以部署原則於其上。 在傳統的關聯式資料庫之t,安全性原則是與表格中 的行無關的。因此,依據本發明的一個態樣,為指出資料 庫中一特定表格的行是由一安全性原則所保護,一 S Q L指 15 1358650
令用來建立與修改表格便被加入以達成需求。在這些表格 定義中的一列是可被選擇性的擴充以一記號用以指出此行 包括一安全性原則。此列的數值便是先前討論之安全性描 述元的識別元(例:4位元碼)。舉個例,若此列之中的數 值為零,此列便不受任何原則保護。否則,此行的存取控 制原則便根據安全性描述元及存於安全性描述元庫中 1 30,300的相關資訊而定。再舉一例,列的預設值可被設 成包括有預設的安全性原則的安全性描述元之識別元。 值得慶幸的是系統100,資料庫引擎110,資料庫120 及/或安全性描述元庫 1 3 0可以是如本文所定義之名詞那 樣的電腦兀件。
接著參照第4圖,繪有依據本發明的一個態樣,一用 以幫助安全存取一資料庫之系統4 0 0。此系統4 0 0包括一 個資料庫引擎1 1 0,一個資料庫1 2 0,一個安全性描述元庫 1 3 0,以及,一個查詢元件4 1 0。查詢元件4 1 0可包括查詢 最佳化器420及一查詢執行器430。選擇性的,查詢元件 4 1 0及資料庫引擎11 0可以組成一個查詢資料庫引擎元件 440 ° 當一個查詢被提出至查詢元件4 1 0時,查詢最佳化器 420可決定一”最佳方法”來回覆查詢(“最佳化”)。舉例而 言,查詢元件4 1 0可利用一個以基於成本的最佳化策略以 選擇最低廉的方法來執行查詢。. 那些對此技術熟悉者將會認可最佳化程序是很複雜 16 1358650 的,查詢元件410可以利用當代的技術計算出可行方法並 刪去其他昂貴的方法。表格的索引在降低存取此表格的成 本上扮演一個重要的角色。值得慶幸的是任何形式適合實 現於本發明上的最佳化程序皆可被利用且所有這些各形式 的最佳化技術都將属於於此提出的申請專利範圍内。 很重要的是,當表格上的列,被以安全性描述元的形式 的安全性原則所保護著而被存取時,資料庫引擎丨丨〇,甚 至在考慮以行建立查詢結果之前,以核對查詢要求者是否 有根據與各行相關的安全性描述元所訂之原則之讀許可的 方法強制執行文全性原則。那些對此技術熟悉者將會慶幸 這裡敘述的防護措施的模型等同於以做該查詢之基本處理 以成功的評價與該行相關之安全性描述元的方式做對行之 識別的工作。 一般的資料庫安全系統以利用結合一確認原查詢中的 行是在可存取狀態下的條件來執行安全性原則。在現代的 關聯式資料庫中,實際被執行的查詢方法往往與查詢要求 者實際上提出的查詢有很大的差異。為減低存取行的成本 會做表格存取的重置〃在重置的動作中,是有可能發生具 不良意圖的人士藉由給予具副作用的查詢來取得額外資訊 的情況》Λ部分一般的資料庫安全系統在使用了精細粒度 存取控制時極易受這種欺騙性攻擊的影響。 為跨越這問題同時不擾亂到最佳化程序,本發明提供 一新穎的方案可確保所有存取表格的路徑皆包括有具安全 17 1358650 性描述元的列》這些存取表格的路徑包括曰 表格本身存有—堆(未排序的收集)或成群或7限定包括, 引’以及可能定義於表格上的具體化觀點”成蟬的索 述凡列於所有存取路徑上的結果是做查詢^安全性描 實行精細粒度的安全措施相衝突。 佳化不再與 於是,不論查詢是如何的被重置(例:由杳1 420做最佳化),當行(例:表格中的資料元 句最佳化器 弓 | 體化觀點及其他任何存取路徑皆被視為,,行。籍由 具 存取路徑被提取時,便可獲得兩件相關的資 疋的 ,即,與行 相關的安全性原則及現在的使用者背景。結果 Ί疋一個不 犧牲最佳化查詢(例:重置)可得利益的完全不可 之安 全措施。 值得慶幸的是這樣的不可欺騙之體制是憑鞴著相關於 行的安全性敘述元實際上是與各行的部分或完全拷貝一起 儲存及安全措施是在任一行在要組成結果集的時候施行這 樣的實際優點才得以實現的。
本發明因此可在不需大大改變作業系統定義安全性原 則於持續性實體上之方法的情況下對持續性實體的集合做 集合導向操作-即’藉由安全性描述元》 值得慶幸的是系統4 0 0,查詢元件4 1 0,查詢最佳化器 420及/或查詢執行器430可以是如本文所定義之名詞那樣 的電腦元件。 接著回到第5圖,繪有依據本發明的一個態樣,一用 18 1358650 以幫助安全存取一資料庫之系統5 00。系統5 00包括一個 資料庫引擎110,一個資料庫120,一個安全性描述元庫 130,一個查詢元件410及一個使用者工作階段快取510。 系統5 00使用與使用者的工作階段相關的使用者工作 階段快取5 1 0。快取5 1 0
儲存有依安全性描述元所載現在的安全背景是否有許可的 計算結果。因此,一次查詢只做一次查詢者是否依物件的 安全性描述元而存取了該物件的評量。若表格中的兩行, 有相同的安全性原則,即擁有相同的安全性描述元,查詢 提出者是否存取了行的結果只在第一次做判斷且該結果會 被儲存至快取510中。儲存至快取的結果將會為處理第二 回而被使用。 當快取5 1 0在有許多行具有相同安全性原則的情況下 -可能是,舉例而言,在檔案系統及小型應用上會變的極為 有用。
值得慶幸的是系統5 0 0,及/或使用者工作階段快取可 以是如本文所定義之名詞那樣的電腦元件。 如先前所提的,系統(一過或多個)1〇〇,400及/或500 可以用來幫助安全的存取檔案(一個或多個),資料夾,通 訊錄,電子郵件訊息及其他資料庫中的持續性資料。舉例 於言,與檔案系統相關的資料庫可包括可儲存如檔案及/ 或資料夾般資訊的一個或多個表格。表格(一個或多個)可 被系統(一個或多個)100,400及/或500所使用所以資訊可 19 1358650
IsA 用標 jfe 2.JL· ea rriA. 。系统(— 區别性的 以集合為 统架構的 的關聯技術(.一個或多個)推論到並找到 個或夕個)1GG,400及/或500可用提出對有能做 存取原則之定義及實行於持續性實體上同時保留 基準的聯合查詢能力之*全架構的持帛性檔案系 需求之方式來強化檔案系統。 簡略的轉至第6-8圖,繪有可依照本發明來 &方法·上 Λ現的― 為了解說的方便性,此方法會以一系列的 來展現及敘述,可了解且慶幸的是本發明並不境圖
序所限疋’-些方塊可能,與本發明相符,以不同 人 I J 的;j^· 及/或與其他本文所展現及敘述的方塊並存的方式出現
者依照本發明來實現的方法並不一定需要所.U 疋%罟所有廷裡繪 的方塊。 ®
本發明可以用一般的電腦可執行指令來描述,例如被 一個或多個元件所處理的程式模組。一般來說程式模組 包括協力子程式’程式’物件,資料結構,等等。能執行 特定任務或實現特定的抽象資料形式。通常程式模組的功 能可能依所需合併或分佈至許多實施例中。 參照第6圖,繪有與本發明的一個態樣相符之安全的 存取資料庫600的一個方法。在610中,收到一個查詢及 使用者背景資訊。在620中’查詢被執行(例:由一查詢元 件410執行),在630中’每一個滿足查詢的行,唯有在使 用者背景資訊滿足與該行相關之安全性描述元時才會被用 作建構查詢結果時的輸入° 20 丄勾8650 接著參照第7圖,繪有凑本發明的一個 全的存取儲存於資料庫700中資料的一個^ 收到一個查詢及使用者背景資訊。在714中 查沟結果時所被考慮的行被提取。在720中 背景資訊是否滿足行之安全性描述元的判突 判定是為否’程序繼續至73〇。若72〇中的 7 4 0中’做出該行是否為查詢之結果的判定 判定為否,程序繼續至714。若74〇中的判 中’該行便被用於建構查詢結果。 在730中’做是否還有其他行(一個或 知730中的判定為是’程序繼續至714。若 為否,便不再做進一步處裡。 轉至第8圖,繪有與本發明的一個態相 全的存取資料庫800的一個方法。在81〇寸 性描述元列的表格被建立。在82〇中,一啦 安全性描述元庫被建立。在830中,表格初 中至少有一列有安全性描述元之識別元)。 在8 4 0中,收到一個查詢及使用者背, 中,此查詢用表格中的使用者背景及安全性 多個)做最佳化及執行。在860中,最佳化3 出作為對查詢的回應。 為提供對本發明之多種態樣額外的了库 下討論是為了提供對許多本發明的態樣可〇 態樣相符之安 7法。在7 1 0中, ,一個在建構 ,做出使用者 。若720中的 判定為是,在 。若740中的 定為是,在750
多個)的判定。 730中的判定 ^相符之幫助安 7,一個有安全 3與表格相關的 [填寫(例:表格
資訊。在850 描述元(一個或 :詢的結果被提 ,第9圖及以 被實現的一個 21 1358650 適合的操作環境910之簡單,一般性的描述。
本發明可以用一般的電腦可執行指令來描述,例如被一個 或多個電腦或其他裝置所處理的程式模组,那些對此技術 熟悉者將會認可本發明亦可與其他程式模組合併或是以軟 硬體合併的方式來實現。一般來說,然而,程式模組包括 協力子程式,程式,物件,資料結構,等等。能執行特定 任務或實現特定的資料形式。操作環境910僅只是適合之 工作環境的一例且無意去提出任何對本發明的功能之運用 範圍上的限制。其他廣為人知而適合使用本發明的電腦系 統,環境,及/或設定包括,但不限定包括,個人電腦,手 提式或膝上型裝置,多處理器系統,微處理器系統,可程 式化消費性電子產品,網路電腦,迷你電腦,大型電腦, 包括以上系統或裝置的分散式處理環境,及其他類似者。
參照第9圖,為一個為實現本發明之多種態樣的示範 環境910包括有一個電腦912。電腦912包括一個處理單 元9 1 4,一個系統記憶體9 1 6,及系統匯流排9 1 8。系統匯 流排91 8連結系統元件包括,但不限定包括,系統記憶體 916和處理單元914。處理單元914可以是多種可得處理器 中的任一種。雙微處理器及其他多處理器架構亦可被當作 處理單元914來用。 系統匯流排9 1 8可以是包括有記憶體匯流排或記憶體 控制器,一個週邊匯流排或外部匯流排,及/或一個區域匯 流排使用多種可得匯流排架構的任一種包括,但不限定包 22 1358650 括’ 8位元匯流排,工業標準架構匯流排(ISA),微通道架 構匯流排(MSA),延伸型工業標準架構匯流排(EISA),整 合電子裝置(IDE),VESA區域匯流排(VLB),週邊元件立 連(PCI),通用序列埠(USB),繪圖加速埠(AGP), 個人電腦記億卡國際協會匯流排(PCMCIA),及小型電腦系 統介面(SCSI)的多樣匯流排架構中的任一種。 系統記憶體9 1 6包括揮發性記憶體9 2 〇及非揮發性記 憶體922❶基本輸入/輸出系統(BI〇s),包括有做電腦912 ^ 中基本元素間之傳輸的基本程序,例如開機動作,是儲存 於非揮發性記憶體922中。如圖,且不限定,非揮發性記 憶體922可包括唯讀記憶體(r〇m),可程式r〇m(PR〇M), 電子可程式化ROM(EPROM),電壓消除式 ROM(EEPROM) ’或快閃記憶體。揮發性記憶體920包括 隨機存取記憶體(RAM),作為外部快取記憶體。如圖且不 限定,RAM可以是多種可得形式如同步ram(SRAM),動 態RAM(DRAM),同步DRAM(SDRAM),雙倍速資料傳輸 SDRAM(DDR SDRAM),強化型 SDRAM(ESDRAM), ·
Synclink DRAM(SLDRAM),及 Direct Rambus RAM(DRRAM) » 電腦912也包括可移動/不可移動,揮發性/非揮發性 電腦儲存媒體。第9圖繪有,舉例而言一個磁碟儲存裝置 924。磁碟儲存設備924包括,但不限定包括,像是磁碟機, 軟碟機,磁帶機,Jaz磁碟機’ ZIP磁碟機,LS-100磁碟 23 1358650 磁碟儲存裝置924可 存媒體包括’但不限 機’快閃記憶卡,或隨身碟。此外,磁碟 包括與其他儲存媒體分離或結合的儲存媒 定包括,光學磁碟機像是光媒機(CD_R〇M),可寫燒錄機 (CD-R Drive),可複寫燒錄機(CD-RW Drive)或dvd光碟 機(DVD-ROM卜為幫助磁碟儲存裝置924與系統匯流排 918間的連結,通常會用一個可移除式介面像是介面gw。 值得慶幸的是第9圖描述了可於使用者與在適合操作 環境9 1 0中描述的基本電腦資源間扮演尹間者角色的軟 體。這樣的軟體包括一個作業系統928。作業系統928,可 被儲存於磁碟儲存裝置924中,用於控制及分配電腦系統 912中的資源。系統應用程式930可利用儲存在系統記憶 體916或是磁碟儲存裝置924中被作業系統928管理的資 源如程式模組932及程式資料934。值得慶幸的是本發明 可用多種作業系統或作業系統的組合來實現。 使用者藉由輸入裝置(一個或多個)936輪入指令或資 訊到電腦912。輸入裝置936包括,但不限定包括,一個 指向裝置像是滑鼠,轨跡球,指針,觸控板,鍵盤,麥克 風,搖桿,遊戲手把,衛星天線,掃描機,電視卡,數位 像機,數位攝影機,網路相機,及其他類似者。這些裝置 與其它輸入裝置藉由介面埠(一個或多個)938經系統匯流
^括’舉例而言, 文—個通用序列 —些與輸入裝置 24 1358650 (個或^個)936相同的埠。因此,舉例而言,_個uSb 蜂可用來提供給電腦912輪入,及輸出電腦912的資訊到 輸出裝置940 °輸出轉接器942用以說明在輸出裝置940 中有一些像是監視器,喇°八,及印表機等裝置需要特殊的 轉接器。 電驅912可操作在與其他一個或多個遠端電腦邏輯性 相連的網路環境令,像是遠端電腦(一個或多個)944。遠端 電腦944可以是一部個人電腦,一個伺服器,一個路由器’ 一個網路電腦,一個工作站,一個微處理器設備,—個端 裝置或疋其他常見網路節點以及其他類似者,而且通常包 括許多描述於電腦912中的元素。為求簡潔,遠端電腦 個或多個)9 4 4中只繪出記憶储存裝置9 4 6。遠端電腦(一個 或多個)944邏輯上藉由網路介面gw與電腦912相連而實 體上藉由通訊連結950連結。過網路介面948包括通訊網 路像是區域網路(LAN)及廣域網路(wan)。LAN技術包括 光纖分散式數據介面(FDDI) ’鋼纜分散式數據介面 (CDDI),乙太網路/IEEE802.3,記號環狀網路/IEEE8〇25 及其他類似者。WAN技術包括’但不限定包括,點對點速 線,電珞交換式網路像是整體服務數位網路(ISdn)及其他 變化運用’封包交換式網路,及數位用戶迴路(DSL)。 通訊連結(一個或多個)950使用硬/軟體連接網路介面 948及匯流排91 8。雖然通訊連結950為了繪圖的清晰繪於 電腦912中,其亦可於電腦9丨2之外部。連結網路介面 25 1358650 所需的硬/軟體包括,僅只是舉例,内部及外部技術像是, 數據機包括一般電話等級數據機,纜線數據機及DSL數據 機,ISDN轉接器,及乙太網路卡。
以上所描述包括了本發明之例子。當然,為了想說明 本發明而去描述每一個想的到元件的組合或是方法是不可 能的,但是此技術中一個普通的技術可令人認識到做本發 明更進一步的組合與排列是可能的。所以,本發明意欲囊 括屬於附加的申請專利範圍之精神及領域中之所有的改 造,修正及變化。再者,關於用於發明詳細描述或申請專 利範圍中的字”包括’’之意義,該字意欲去表達與在申請專 利範圍中用做連繫詞的”至少包含”一字相同的意義。 【圖式簡單說明】 第1圖係依據本發明的一個態樣,一用以幫助安全存 取一資料庫之系統的方塊圖。
第2圖係依據本發明的一個態樣,一示範性表格的方 塊圖。 第3圖係依據本發明的一個態樣,一示範性安全性描 述元庫的方塊圖。 第4圖係依據本發明的一個態樣,一用以幫助安全存 取一資料庫之系統的方塊圖。 第5圖係依據本發明的一個態樣,一用以幫助安全存 取一資料庫之系統的方塊圖。 26 1358650 第6圖係一個與本發明的一個態樣相符,安全存取儲 存於資料庫中資料之方法的流程圖。 第7圖係依據本發明的一個態樣,一安全存取儲存於 資料庫中資料之方法的流程圖。 第8圖係依據本發明的一個態樣,一幫助實現一安全 性資料庫之方法的流程圖。 第9圖說明一個本發明可運作的示範操作環境。
【主要元件符號說明】 11 0資料庫引擎 120資料庫 1 3 0安全性描述元庫 2 00示範表格 2 1 0列 220行 2 3 0安全性描述元列
3 1 0安全性描述元 320存取資訊 330許可 340要項(一個或多個) 4 1 0查詢元件 ’ 420查詢最佳化器 430查詢執行器 27 1358650 440查詢資料庫引擎元件 510使用者工作階段快取 9 1 2電腦 914處理單元 9 1 6系統記憶體 9 1 8系統匯流排 920揮發性
922非揮發性 924磁碟儲存裝置 926介面 928作業系統 930應用程式 932模組 934資料 936輸入裝置(一個或多個)
9 3 8介面埠(一個或多個) 940輸出裝置(一個或多個) 942輸出轉接器(一個或多個) 944遠端電腦(一個或多個) 946記憶儲存裝置 948網路介面 9 5 0通訊連結(一個或多個) 28
Claims (1)
1358650 _ 切车7j3日修正本 十、申請專利範圍: 1 · 一種幫助安全存取一資料庫的電腦實施之系統,至少包 含:
一安全性描述元庫元件,其儲存有包括與資料庫中 的至少一行相關之安全性資訊的安全性描述元,該資料 庫包含至少一表格,該表格具有至少一行及至少二列, 其中一列儲存與該行相關之一安全性描述元,該安全性 描述元識別儲存在與該行相關之該安全性描述元庫元 件中的安全性資訊,且其中該安全性描述元列係包括於 至該至少一表格之所有存取途徑中; 一資料庫引擎元件,其提供對該資料庫之一查詢的 一回應,該回應至少部分根據儲存於安全性描述元中的 安全性資訊,該安全性描述元之評斷係依據儲存於資料 庫中之資料及提出查詢者的使用者背景;及 一查詢元件,包含一查詢最佳化器,該查詢最佳化 器決定回答該查詢之一最佳方式。
2.如申請專利範圍第1項所述之系統,另包含該資料庫。 3 ·如申請專利範圍第1項所述之系統,該資料庫包含一關 聯式資料庫、一物件式資料庫、一物件關聯式資料庫三 者之至少一者。 29 1358650 4. 如申請專利範圍第1項所述之系統,該查詢至少部分根 據一結構化查詢語言(Structured Query Language)。 5. 如申請專利範圍第1項所述之系統,該查詢至少部分根 據一基於查詢的程式語言,該查詢的程式語言並以一組 允許建立、修改及刪除安全性描述元的述句來強化。
6.如申請專利範圍第1項所述之系統,儲存於該安全性描 述元中的資訊包含對何要項而言何種存取被准予或拒 絕0 7.如申請專利範圍第1項所述之系統,儲存於該安全性描 述元庫元件中的資訊包含一種存取。
8.如申請專利範圍第1項所述之系統’儲存於該安全性描 述元庫元件中的資訊包含一種要項,其為該安全性資訊 所應用者。 9.如申請專利範圍第8項所述之系統,該要項至少包括一 使用者名稱、一使用者辨識元及一使用者類型三者之至 少一者。 30 1358650 1 0.如申請專利範圍第1項所述之系統,該安全性描述元是 一有組織之存取控制實體的集合》 1 1.如申請專利範圍第1項所述之系統,該資料庫之提供係 無關於儲存於該安全性描述元中的該安全性資訊。 1 2.如申請專利範圍第1項所述之系統,該查詢最佳化器使 用一基於成本的最佳化策略。 1 3 ·如申請專利範圍第1項所述之系統,另包含一使用者工 作階段快取,其儲存有一計算結果,該計算結果決定是 否對於一特定安全性描述元而言,一給定的安全性背景 有一給定的許可。 1 4.如申請專利範圍第1項所述之系統,其係用以幫助安全 存取電腦檔案。 1 5.如申請專利範圍第1項所述之系統,其係用來幫助安全 存取資料夾、通訊錄及電子郵件信息三者之至少一者。 16.—種安全存取儲存於資料庫中之資料的方法,至少包 含: 31 1358650 建立一具有一安全性描述元列的表格,該安全性描 述元列係包括於至該表格之所有存取途徑中; 接收一查詢及使用者背景資訊; 提供對該查詢的一回應,該回應包含可滿足該查詢 的來自該表格之行,如果有任何行存在的話,且相關於 該行之安全性資訊係以該使用者背景資料加以滿足;以 及 透過使用一基於成本之最佳化策略的一查詢最佳 化器,來在提供該回應之前最佳化該查詢。 1 7 ·如申請專利範圍第1 6項所述之方法,提供對該查詢的 一回應的步驟至少包含: 對於該被存取表格的每一行,判斷與該行相關之一 安全性描述元是否被該使用者背景資訊所.滿足。 1 8. —種電腦可讀取媒體,其上儲存電腦可執行指令,用以 實施如申請專利範圍第1 6項所述之方法。 19. 一種促成一安全性資料庫之方法,至少包含以下步驟: 建立一具有一安全性描述元列的表格,該安全性描 述元列係包括於至該表格之所有存取途徑中; 建立與該表格相關的一安全性描述元庫; 用一安全性描述元之辨識元填入該表格中的至少 32 1358650 m 一列,該安全性描述元之識別元識別儲存在與該行相關 之該安全性描述元庫中的安全性資訊,該安全性資訊係 與該行之每一部分或完全冗餘副本實體地儲存; 接收一查詢及使用者背景資訊; 提供對該查詢的一回應,該回應包含可滿足該查詢 的行,如果有任何行存在的話,且相關於該行之安全性 資訊係以該使用者背景資料來加以滿足;及
透過使用一基於成本之最佳化策略的一查詢最佳 化器來最佳化該查詢。 20.如申請專利範圍第19項所述之方法,該查詢在該回應 被提供前被最佳化。 2 1. —種電腦可讀取媒體,其上儲存有用以實現如申請專利 範圍第19項所述之方法的電腦可執行指令。
33
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US55723904P | 2004-03-29 | 2004-03-29 | |
| US10/878,152 US7200595B2 (en) | 2004-03-29 | 2004-06-28 | Systems and methods for fine grained access control of data stored in relational databases |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW200532495A TW200532495A (en) | 2005-10-01 |
| TWI358650B true TWI358650B (en) | 2012-02-21 |
Family
ID=34991369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW093122601A TWI358650B (en) | 2004-03-29 | 2004-07-28 | Systems and methods for fine grained access contro |
Country Status (14)
| Country | Link |
|---|---|
| US (1) | US7200595B2 (zh) |
| EP (1) | EP1616252A4 (zh) |
| JP (1) | JP2007531154A (zh) |
| KR (1) | KR101153064B1 (zh) |
| AU (1) | AU2004288592B2 (zh) |
| BR (1) | BRPI0406536A (zh) |
| CA (1) | CA2507886C (zh) |
| IL (1) | IL169467A (zh) |
| MX (1) | MXPA05007142A (zh) |
| NO (1) | NO20053075L (zh) |
| NZ (1) | NZ540761A (zh) |
| RU (1) | RU2373571C2 (zh) |
| TW (1) | TWI358650B (zh) |
| WO (1) | WO2005103879A2 (zh) |
Families Citing this family (60)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060047826A1 (en) * | 2004-08-25 | 2006-03-02 | International Business Machines Corp. | Client computer self health check |
| US8326877B2 (en) * | 2005-05-04 | 2012-12-04 | Microsoft Corporation | Region-based security |
| US20070050237A1 (en) * | 2005-08-30 | 2007-03-01 | Microsoft Corporation | Visual designer for multi-dimensional business logic |
| US20070112607A1 (en) * | 2005-11-16 | 2007-05-17 | Microsoft Corporation | Score-based alerting in business logic |
| US8069153B2 (en) * | 2005-12-02 | 2011-11-29 | Salesforce.Com, Inc. | Systems and methods for securing customer data in a multi-tenant environment |
| US7783698B2 (en) * | 2005-12-16 | 2010-08-24 | Microsoft Corporation | Generalized web-service |
| US20070143175A1 (en) * | 2005-12-21 | 2007-06-21 | Microsoft Corporation | Centralized model for coordinating update of multiple reports |
| US20070143174A1 (en) * | 2005-12-21 | 2007-06-21 | Microsoft Corporation | Repeated inheritance of heterogeneous business metrics |
| US20070156680A1 (en) * | 2005-12-21 | 2007-07-05 | Microsoft Corporation | Disconnected authoring of business definitions |
| US7730032B2 (en) | 2006-01-12 | 2010-06-01 | Oracle International Corporation | Efficient queriability of version histories in a repository |
| US9229967B2 (en) * | 2006-02-22 | 2016-01-05 | Oracle International Corporation | Efficient processing of path related operations on data organized hierarchically in an RDBMS |
| US8707451B2 (en) | 2006-03-01 | 2014-04-22 | Oracle International Corporation | Search hit URL modification for secure application integration |
| US8433712B2 (en) * | 2006-03-01 | 2013-04-30 | Oracle International Corporation | Link analysis for enterprise environment |
| US8875249B2 (en) | 2006-03-01 | 2014-10-28 | Oracle International Corporation | Minimum lifespan credentials for crawling data repositories |
| US9177124B2 (en) | 2006-03-01 | 2015-11-03 | Oracle International Corporation | Flexible authentication framework |
| US8214394B2 (en) * | 2006-03-01 | 2012-07-03 | Oracle International Corporation | Propagating user identities in a secure federated search system |
| US8027982B2 (en) * | 2006-03-01 | 2011-09-27 | Oracle International Corporation | Self-service sources for secure search |
| US7941419B2 (en) | 2006-03-01 | 2011-05-10 | Oracle International Corporation | Suggested content with attribute parameterization |
| US8868540B2 (en) | 2006-03-01 | 2014-10-21 | Oracle International Corporation | Method for suggesting web links and alternate terms for matching search queries |
| US8332430B2 (en) | 2006-03-01 | 2012-12-11 | Oracle International Corporation | Secure search performance improvement |
| US8005816B2 (en) * | 2006-03-01 | 2011-08-23 | Oracle International Corporation | Auto generation of suggested links in a search system |
| US9075831B2 (en) * | 2006-03-28 | 2015-07-07 | Oracle International Corporation | Method and apparatus for modifying a row in a database table to include meta-data |
| US8261181B2 (en) | 2006-03-30 | 2012-09-04 | Microsoft Corporation | Multidimensional metrics-based annotation |
| US8190992B2 (en) * | 2006-04-21 | 2012-05-29 | Microsoft Corporation | Grouping and display of logically defined reports |
| US8126750B2 (en) * | 2006-04-27 | 2012-02-28 | Microsoft Corporation | Consolidating data source queries for multidimensional scorecards |
| EP2026239A4 (en) * | 2006-05-22 | 2011-05-11 | Nec Corp | INFORMATION PROCESSING SYSTEM, METHOD FOR PROVIDING INFORMATION AND PROGRAM FOR PROVIDING INFORMATION |
| US10318752B2 (en) * | 2006-05-26 | 2019-06-11 | Oracle International Corporation | Techniques for efficient access control in a database system |
| US20080163332A1 (en) * | 2006-12-28 | 2008-07-03 | Richard Hanson | Selective secure database communications |
| US20080172414A1 (en) * | 2007-01-17 | 2008-07-17 | Microsoft Corporation | Business Objects as a Service |
| US20080172287A1 (en) * | 2007-01-17 | 2008-07-17 | Ian Tien | Automated Domain Determination in Business Logic Applications |
| US20080172629A1 (en) * | 2007-01-17 | 2008-07-17 | Microsoft Corporation | Geometric Performance Metric Data Rendering |
| US20080172348A1 (en) * | 2007-01-17 | 2008-07-17 | Microsoft Corporation | Statistical Determination of Multi-Dimensional Targets |
| US8407767B2 (en) | 2007-01-18 | 2013-03-26 | Microsoft Corporation | Provisioning of digital identity representations |
| US9058307B2 (en) * | 2007-01-26 | 2015-06-16 | Microsoft Technology Licensing, Llc | Presentation generation using scorecard elements |
| US8689296B2 (en) | 2007-01-26 | 2014-04-01 | Microsoft Corporation | Remote access of digital identities |
| US8321805B2 (en) * | 2007-01-30 | 2012-11-27 | Microsoft Corporation | Service architecture based metric views |
| US20080189632A1 (en) * | 2007-02-02 | 2008-08-07 | Microsoft Corporation | Severity Assessment For Performance Metrics Using Quantitative Model |
| US8495663B2 (en) | 2007-02-02 | 2013-07-23 | Microsoft Corporation | Real time collaboration using embedded data visualizations |
| US7996392B2 (en) | 2007-06-27 | 2011-08-09 | Oracle International Corporation | Changing ranking algorithms based on customer settings |
| US8316007B2 (en) * | 2007-06-28 | 2012-11-20 | Oracle International Corporation | Automatically finding acronyms and synonyms in a corpus |
| US8473915B2 (en) * | 2007-08-03 | 2013-06-25 | International Business Machines Corporation | Coverage analysis tool for testing database-aware software applications |
| US8276117B2 (en) * | 2007-08-03 | 2012-09-25 | International Business Machines Corporation | Displaying and refactoring programs that include database statements |
| US20090210422A1 (en) * | 2008-02-15 | 2009-08-20 | Microsoft Corporation | Secure Database Access |
| US20090271383A1 (en) * | 2008-04-23 | 2009-10-29 | International Business Machines Corporation | Method for deriving context for data disclosure enforcement |
| US7970790B2 (en) * | 2008-05-13 | 2011-06-28 | Microsoft Corporation | Cell-based security representation for data access |
| US8321326B2 (en) | 2009-09-15 | 2012-11-27 | Auerbach Group Llc | Method and system for enhancing the efficiency of a digitally communicated data exchange |
| US8706715B2 (en) * | 2009-10-05 | 2014-04-22 | Salesforce.Com, Inc. | Methods and systems for joining indexes for query optimization in a multi-tenant database |
| US9767136B2 (en) * | 2010-03-31 | 2017-09-19 | Salesforce.Com, Inc. | System, method and computer program product for maintaining data stored in a data structure |
| US9183407B2 (en) * | 2011-10-28 | 2015-11-10 | Microsoft Technology Licensing Llc | Permission based query processing |
| US20130117313A1 (en) * | 2011-11-08 | 2013-05-09 | Microsoft Corporation | Access control framework |
| US20130339846A1 (en) * | 2012-06-18 | 2013-12-19 | Gbl Systems Corporation | Multiparty document generation and management |
| US9569634B1 (en) | 2013-12-16 | 2017-02-14 | Amazon Technologies, Inc. | Fine-grained structured data store access using federated identity management |
| JP6755864B2 (ja) * | 2014-11-05 | 2020-09-16 | アビニシオ テクノロジー エルエルシー | データベースセキュリティ |
| US11294816B2 (en) * | 2015-10-15 | 2022-04-05 | Oracle International Corporation | Evaluating SQL expressions on dictionary encoded vectors |
| US10592471B2 (en) | 2015-11-23 | 2020-03-17 | International Business Machines Corporation | Processing database statements for a relational database |
| US10917400B1 (en) * | 2016-02-19 | 2021-02-09 | United Services Automobile Association (Usaa) | Online security center |
| US10185726B2 (en) * | 2016-08-26 | 2019-01-22 | BlueTalon, Inc. | Access control for nested data fields |
| US12118106B2 (en) * | 2019-02-27 | 2024-10-15 | K2 Software, Inc. | Methods and systems for extending row-level security policies |
| RU2709288C1 (ru) * | 2019-03-04 | 2019-12-17 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Способ защищенного доступа к базе данных |
| CN118277391B (zh) * | 2024-06-04 | 2024-08-16 | 浪潮云信息技术股份公司 | 一种目录权限控制方法、装置、设备及存储介质 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06348575A (ja) * | 1993-06-11 | 1994-12-22 | Pfu Ltd | データベース制御装置 |
| DE69427347T2 (de) * | 1994-08-15 | 2001-10-31 | International Business Machines Corp., Armonk | Verfahren und System zur verbesserten Zugriffssteuerung auf Basis der Rollen in verteilten und zentralisierten Rechnersystemen |
| US6381595B1 (en) * | 1994-09-29 | 2002-04-30 | International Business Machines Corporation | System and method for compensation of functional differences between heterogeneous database management systems |
| US5956715A (en) * | 1994-12-13 | 1999-09-21 | Microsoft Corporation | Method and system for controlling user access to a resource in a networked computing environment |
| US5751949A (en) * | 1995-05-23 | 1998-05-12 | Mci Corporation | Data security system and method |
| US5941947A (en) * | 1995-08-18 | 1999-08-24 | Microsoft Corporation | System and method for controlling access to data entities in a computer network |
| US5734887A (en) * | 1995-09-29 | 1998-03-31 | International Business Machines Corporation | Method and apparatus for logical data access to a physical relational database |
| US6754656B1 (en) * | 1996-10-22 | 2004-06-22 | International Business Machines Corporation | System and method for selective partition locking |
| US6275818B1 (en) * | 1997-11-06 | 2001-08-14 | International Business Machines Corporation | Cost based optimization of decision support queries using transient views |
| US6412070B1 (en) * | 1998-09-21 | 2002-06-25 | Microsoft Corporation | Extensible security system and method for controlling access to objects in a computing environment |
| US6289458B1 (en) * | 1998-09-21 | 2001-09-11 | Microsoft Corporation | Per property access control mechanism |
| US6625603B1 (en) * | 1998-09-21 | 2003-09-23 | Microsoft Corporation | Object type specific access control |
| CA2249096C (en) * | 1998-09-30 | 2001-12-04 | Ibm Canada Limited-Ibm Canada Limitee | Method for determining optimal database materializations using a query optimizer |
| US6334128B1 (en) * | 1998-12-28 | 2001-12-25 | Oracle Corporation | Method and apparatus for efficiently refreshing sets of summary tables and materialized views in a database management system |
| US6715081B1 (en) * | 1999-08-12 | 2004-03-30 | International Business Machines Corporation | Security rule database searching in a network security environment |
| JP2001075854A (ja) * | 1999-08-31 | 2001-03-23 | Hitachi Ltd | データ管理方法、およびデータ管理システム、ならびにデータ管理プログラムを格納した記憶媒体 |
| US20020063154A1 (en) * | 2000-05-26 | 2002-05-30 | Hector Hoyos | Security system database management |
| EP1322178B1 (en) | 2000-09-26 | 2006-05-03 | The Procter & Gamble Company | Improved emulsifier systems for use in making dehydrated starch ingredients |
| US6801903B2 (en) * | 2001-10-12 | 2004-10-05 | Ncr Corporation | Collecting statistics in a database system |
| US6823329B2 (en) * | 2002-04-02 | 2004-11-23 | Sybase, Inc. | Database system providing methodology for acceleration of queries involving functional expressions against columns having enumerated storage |
| US20030229625A1 (en) * | 2002-06-06 | 2003-12-11 | Melchior Timothy Allan | Structured query language processing integrated circuit and distributed database processor |
| US20040019587A1 (en) * | 2002-07-25 | 2004-01-29 | You-Chin Fuh | Method and device for processing a query in a database management system |
| US7240046B2 (en) * | 2002-09-04 | 2007-07-03 | International Business Machines Corporation | Row-level security in a relational database management system |
| US7478100B2 (en) * | 2003-09-05 | 2009-01-13 | Oracle International Corporation | Method and mechanism for efficient storage and query of XML documents based on paths |
-
2004
- 2004-06-28 US US10/878,152 patent/US7200595B2/en active Active
- 2004-07-26 JP JP2007506123A patent/JP2007531154A/ja active Pending
- 2004-07-26 KR KR1020057012328A patent/KR101153064B1/ko active IP Right Grant
- 2004-07-26 NZ NZ540761A patent/NZ540761A/en not_active IP Right Cessation
- 2004-07-26 CA CA2507886A patent/CA2507886C/en not_active Expired - Fee Related
- 2004-07-26 WO PCT/US2004/024161 patent/WO2005103879A2/en not_active Application Discontinuation
- 2004-07-26 RU RU2005120728/09A patent/RU2373571C2/ru not_active IP Right Cessation
- 2004-07-26 AU AU2004288592A patent/AU2004288592B2/en not_active Ceased
- 2004-07-26 MX MXPA05007142A patent/MXPA05007142A/es active IP Right Grant
- 2004-07-26 BR BRPI0406536-0A patent/BRPI0406536A/pt not_active IP Right Cessation
- 2004-07-26 EP EP04779289A patent/EP1616252A4/en not_active Ceased
- 2004-07-28 TW TW093122601A patent/TWI358650B/zh not_active IP Right Cessation
-
2005
- 2005-06-23 NO NO20053075A patent/NO20053075L/no unknown
- 2005-06-29 IL IL169467A patent/IL169467A/en active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| EP1616252A2 (en) | 2006-01-18 |
| MXPA05007142A (es) | 2005-12-15 |
| IL169467A (en) | 2010-12-30 |
| CA2507886C (en) | 2014-03-11 |
| KR101153064B1 (ko) | 2012-06-04 |
| AU2004288592A1 (en) | 2005-10-13 |
| NO20053075L (no) | 2005-11-29 |
| US20050216465A1 (en) | 2005-09-29 |
| US7200595B2 (en) | 2007-04-03 |
| NZ540761A (en) | 2009-02-28 |
| JP2007531154A (ja) | 2007-11-01 |
| RU2005120728A (ru) | 2006-04-10 |
| RU2373571C2 (ru) | 2009-11-20 |
| WO2005103879A2 (en) | 2005-11-03 |
| EP1616252A4 (en) | 2010-12-29 |
| WO2005103879A3 (en) | 2006-09-21 |
| IL169467A0 (en) | 2007-07-04 |
| TW200532495A (en) | 2005-10-01 |
| AU2004288592B2 (en) | 2010-03-04 |
| KR20070019519A (ko) | 2007-02-15 |
| CA2507886A1 (en) | 2005-09-29 |
| BRPI0406536A (pt) | 2006-05-09 |
| NO20053075D0 (no) | 2005-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI358650B (en) | Systems and methods for fine grained access contro | |
| US11023438B2 (en) | System and method for exposing internal search indices to internet search engines | |
| US9965644B2 (en) | Record level data security | |
| TWI706280B (zh) | 資料讀寫方法及裝置、電子設備 | |
| Nelson | We have the information you want, but getting it will cost you! held hostage by information overload. | |
| US20070174285A1 (en) | Systems and methods for fine grained access control of data stored in relational databases | |
| MXPA05005535A (es) | Anti-virus para un almacenamiento de articulo. | |
| JP4783407B2 (ja) | 情報資源の協同タギングシステム及び方法 | |
| US20030084026A1 (en) | Collection recognizer | |
| Inuiguchi et al. | Imprecise rules for data privacy | |
| James | Records management in the Cloud? Records management IS the Cloud! | |
| US9430527B2 (en) | Keyword-based content management | |
| CN101052944B (zh) | 用于关系数据库中存储数据的细化访问控制的系统和方法 | |
| CN116663066B (zh) | 数据访问方法、设备及存储介质 | |
| Soki et al. | Discovery of RESTful Web Services Based on the OpenAPI 3.0 Standard with Semantic Annotations | |
| Ahmed et al. | Voucher Types | |
| Singh et al. | Qualitative Approach to the Management of AWS Cloud Infrastructure | |
| Ahmed et al. | Voucher Types | |
| CN116796249A (zh) | 一种数据处理方法、装置和电子设备 | |
| Vecchio | RSC Satellite Meeting Subject Cataloguing-Quo vadis? | |
| JPH0736766A (ja) | ファイル管理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |