TWI476614B

TWI476614B - Multi - tenant Cloud Warehouse Integrated Retrieval System and Its Method

Info

Publication number: TWI476614B
Application number: TW101150377A
Authority: TW
Original assignee: Chunghwa Telecom Co Ltd
Priority date: 2012-12-27
Filing date: 2012-12-27
Publication date: 2015-03-11
Also published as: TW201426354A

Description

多租戶雲端資料倉儲整合性檢索系統及其方法

本發明係關於一種應用於雲端資料倉儲資料擷取的系統與方法，特別是有關於整合異質多租戶(Multi-Tenancy)雲端資料倉儲檢索之系統與方法。在資料檢索的應用中，使用者透過整合平台，取得多租戶雲端資料倉儲存取權限，接著針對需求與條件，檢索多租戶雲端資料倉儲以得到所需的資訊，再加以分析運用。

傳統雲端資料倉儲系統，多半為企業於自家機房或租用專屬主機來架設，具有相當的封閉性，資安方面的問題較少。企業間的資料交換通常以匯出、匯入的方式來達成，各家雲端資料倉儲廠商並無提供直接跨雲端資料倉儲的增刪改查的功能。隨著近年來資訊科技的日新月異，雲端產業逐漸蓬勃發展，由於雲端運算處理大量資料的優勢，雲端資料倉儲可以發展出一種多租戶的架構，使雲端業者能以一套管理成本同時提供多家企業租用，各企業也能享有雲端資料倉儲「用多少付多少」、「隨時彈性調整資源」、「降低設置、管理與技術之門檻」等優點。除此之外，本發明洞見多租戶雲端資料倉儲尚能實現跨企業資料處理之功能。

基於多租戶雲端資料倉儲架構與傳統雲端資料倉儲架構之差異，資料儲存於共用的環境而非自家專屬機房，因此要如何提供方便的接取方法讓使用者存取資料，整合異質的雲端資料倉儲提供檢索，並且提供多租戶功能，加強保護資料的隱私安全，讓不同使用者的操作不會互相影響，皆為多租戶雲端資料倉儲重要的課題。目前欲發展檢索異質多租戶雲端資料倉儲資料之新技術，主要面對下列幾處限制：

1.於使用者操作端方面，習用雲端資料倉儲檢索方法，主要以使用者本地端軟體為主，使用者必須先安裝軟體，透過軟體輸入其個別權限及設定，載入特定資源，最後進行檢索後端雲端資料倉儲。雖然目前已有若干整合檢索工具正在發展中，但是都尚未提供多租戶整合介面的功能，亟需於權限認證上和多租戶各用戶權限獨立性提出一完善的安全控管機制，保障資料隱私安全，避免系統受到攻擊。

2.習用技術於雲端資料倉儲權限控管方面，資料提供單位必須於相異平台設定多租戶的權限。現今雲端資料倉儲平台，多租戶的功能主要以附加或修改雲端資料倉儲本體設定為主，例如增加特定的View或者是Bridge table，此舉往往會影響雲端資料倉儲本體效能或者是存放空間。當多租戶雲端資料倉儲運用於整合異質平台上時，必須遵循相異平台其特定的規則和操作方式，系統管理員難以限定使用者的權限範圍，使得安全考量上出現諸多疑慮。現今普遍使用的Hadoop Hive雲端資料倉儲，雖然於新版本CDH3中開始提出Kerberos安全性概念，讓不同使用者的權限分離，不同使用者有自己的MetaStore。但是當使用者需檢索或連接共用表格時，卻因此有了限制。而於遠端連線檢索中，Hadoop Hive提供管理者設定不同使用者可透過不同Port進行JDBC連線，依然無法解決使用者需檢索或連接共用表格的問題。因此於現有雲端資料倉儲安全機制下，檢索或連接共用表格需將共用資料，放置多份於不同使用者權限下的資料倉儲內，此舉造成了雲端空間的浪費，以及需維護資料同步和正確性的挑戰。要如何於安全的環境下，併考量使用者檢索方便性下，還有許多技術困難待克服。

3.當使用者需整合相異雲端資料倉儲，或傳統關聯式資料庫，進行具有結合(JOIN)概念的資料表檢索查詢時，需各別取得相異雲端資料倉儲多租戶權限，再將JOIN資料表存放至主要倉儲空間，再進行檢索作業，過程繁瑣複雜無法一氣呵成，且於此作業中，使用者需多次取得多租戶權限，並將暫存JOIN資料表人工上載至主要倉儲空間，此舉使用者需碰觸到雲端倉儲系統的檔案系統，可能造成倉儲系統的漏洞與安全性問題。

4.於使用記錄稽核控管方面，如同權限控管、權限認證於異質雲端資料倉儲平台的問題，各雲端資料倉儲平台有各自特定的記錄方式和操作方法，因此難以建立統一性的即時預警機制，來確保資料的安全。此外不同平台之間的記錄無法相通，也難以於稽核時查詢相同使用者的檢索記錄。

概括而論，使用者操作、權限控管和使用記錄控管沒有多租戶的整合平台來統一管理、新增或修改權限，都是相當不便利且耗費時間成本。由此可見，上述習用方式仍有諸多缺失，實非一良善之設計，而亟待加以改良。本案發明人鑑於上述習用方式所衍生的各項缺點，乃亟思加以改良創新，並經多年苦心孤詣潛心研究後，終於成功研發完成本件多租戶雲端資料倉儲整合性檢索系統及其方法。

本發明之目的在於提供一多租戶雲端資料倉儲(Data Warehouse)整合性檢索系統及其方法，解決使用者於檢索異質多租戶雲端資料倉儲之問題，讓末端使用者可於同一整合系統，透過安全的認證機制，於任何平台透過網路即可檢索異質多租戶雲端資料倉儲。以及讓多租戶雲端資料倉儲管理者，可以有效的控管使用者的檢索權限和使用記錄，以確保資料安全。

達成上述發明目的之多租戶雲端資料倉儲整合性檢索系統及其方法，係透過網路服務(Web Service)整合後端異質雲端資料倉儲，以及多租戶權限控管。使用者可以直接藉由一使用者介面端透過網路進行服務請求，系統具有憑證認證、使用者權限認證、多租戶認證、檢索連線記錄管理與預警系統，提高資料安全性。而於使用者介面端，提供了使用者便捷的網頁檢索介面，於同一介面下檢索異質多租戶雲端資料倉儲。

一種多租戶雲端資料倉儲整合性檢索系統，包括：至少一個使用者介面端，係為使用者控制之介面，並透過該使用者介面端發出檢索請求；一多租戶三維認證模組，係接收該使用者介面端之檢索請求，並與連線記錄及中繼資料相連，為驗證該使用者介面端之模組，確認使否為經授權之介面端；一該中繼資料，係取得該使用者之基本資料與多租戶之連線權限，並進行該使用者之權限認證與該多租戶之認證；一該連線記錄，係儲存連線登入與檢索之記錄；一通用性資料介面模組，係與該使用者介面端、該多租戶三維認證模組以及異質雲端資料倉儲相連，並為解釋該連線記錄之檢索請求；以及至少一個異質雲端資料倉儲，係接收該通用性資料介面模組之檢所請求連線進行資料處理，並將結果回傳至該使用者介面端展現或下載者。

其中該多租戶三維認證模組包括：憑證認證模組，係與該使用者介面端及該使用者權限認證模組相連，並驗證該使用者介面端為經授權之介面端；使用者權限認證模組，係由中繼資料取得使用者基本資料，確認已註冊的身分及使用權，並與該中繼資料及該多租戶認證模組相連；以及多租戶認證模組，係與該中繼資料及該通用性資料介面模組相連，並由該中繼資料取得該使用者多租戶連線權限，確認擁有欲查詢條件之權限。

其中該通用性資料介面模組包括：檢索請求解析模組，係將該使用者之檢索請求解譯為對應雲端資料倉儲檢索語法，再交由連接與查詢模組，並透過中介軟體向該異質雲端資料倉儲發出連線與資料處理請求，並與該多租戶三維認證模組及該連接與查詢模組相連；該連接與查詢模組，係與該異質雲端資料倉儲與結果轉譯模組相連，以及該結果轉譯模組，係與該使用者介面端相連，再將回傳的結果轉換為特定統一格式回傳至該使用者介面端展現或下載。

其中該使用者介面端與該多租戶三維認證模組間之連結係透過網路服務，其中該使用者介面端所發出之檢索請求係將網址編碼規則與多種超文本傳輸協議(Hypertext Transfer Protocol，HTTP或HTTPS)協定方法結合，建立對各種該異質性雲端資料倉儲適用之統一檢索語法，該使用者介面端與該多租戶三維認證模組及該通用性資料介面模組係採用超文件標示語言(HyperText Markup Language，HTML)、超文本預處理器(PHP Hypertext Preprocessor，PHP)、動態網頁技術標準(Java Server Pages，JSP)、或應用服務提供商(Application Service Provider，ASP)，該異質雲端資料倉儲係採用非關聯式雲端資料倉儲、關聯式雲端資料倉儲、Hive、HBase、BigTable、Cassandra或Amazon SimpleDB，該檢索請求解析模組之所解譯出該對應雲端資料倉儲檢索語法包括結構式查詢語言(Structural Query Language，SQL)語法與NoSQL(Not Only SQL)語法，使該解決差異性問題之範圍涵蓋SQL與NoSQL雲端資料倉儲，亦包括傳統關聯式資料庫，該通用性資料介面模組係藉由中介軟體與該異質雲端資料倉儲相連結，其中該中介軟體係為開放資料庫互連(Open Database Connectivity，ODBC)或Java資料庫連線(Java Database Connectivity，JDBC)。

一種多租戶雲端資料倉儲整合性檢索方法，其步驟包括：傳遞使用者檢索請求，該使用者透過該使用者介面端之圖形使用者介面，輸入帳號及密碼、該檢索請求條件，該使用者介面端更於傳送的該檢索請求中加入認證金鑰，透過該網路服務連接至該多租戶三為認證模組進行檢索；憑證認證，該模組係以交握認證，檢查該認證金鑰以確認該使用者端為合法使用者端；使用者權限認證，該使用者權限認證係於該中繼資料中取得該使用者權限之相關資訊；多租戶認證，該多租戶認證模組於該中繼資料中取得該使用者檢索資料之權限及條件限制，使不同使用者於不同該雲端資料倉儲擁有相異的權限；解析檢索請求，該通用性資料介面模組收到該使用者所傳送的該檢索請求時，將其轉換為對應之該雲端資料倉儲查詢語言，且依該雲端資料倉儲不同規格自動編譯成異質來源端資料檢索語法；傳送檢索請求至雲端資料倉儲，係傳送檢索請求至雲端資料倉儲，該連接與查詢模組向該異質雲端資料倉儲進行連線與資料處理的動作，且傳送已解析好的雲端資料倉儲檢索語法；雲端資料倉儲回傳結果，當檢索結束，該結果轉譯模組接收該雲端資料倉儲回傳之檢索結果並轉換為標準格式；以及結果解析，該使用者介面端將回傳之結果係轉換為使用者較容易閱讀之方式。

其中該憑證認證係採用RSA、DES、3DES或AES，該檢索請求係結合一種網址編碼規則與多種協定中的方法，該網址編碼規則係包括請求解析主機位置、雲端資料倉儲類型、雲端資料倉儲名稱或代號、表格或檢視以及檢索條件，其中該編碼規則與多種協定中之方法包括POST、GET、PUT、DELETE，分別對應建立、查詢、異動、刪除之請求，以達到對多個異質性之雲端資料倉儲發出資料處理請求，該網址編碼規則更包括複數個資料目標及其關聯條件，形成結合語法，以成跨相異資料倉儲之資料處理，該解析檢索請求之步驟、該傳送檢索請求至雲端資料倉儲之步驟、以及該雲端資料倉儲回傳結果之步驟，係藉由通用性資料介面模組居中解析檢索請求與結果，自動判斷轉換該檢索請求為對應異質雲端資料倉儲的語法並透過中介軟體連接，以隔離保護該雲端資料倉儲及跨雲端資料倉儲資料處理。

本發明所提供之多租戶雲端資料倉儲整合性檢索系統及其方法，與其他習用技術相互比較時，更具備下列優點：

1.本發明提供使用者於一整合平台上，檢索異質的多租戶雲端資料倉儲系統，並整合認證、權限控管、使用記錄稽核、異常預警等，大幅縮短管理者控管多租戶權限和使用者檢索的時間成本。

2.本發明之方法透過整合憑證認證、使用者權限認證、多租戶認證，有助於增加資料安全控管的能力，保障租戶各用戶權限獨立性。

3.本發明藉由通用性資料介接模組達成跨雲端資料倉儲存取的功效，在多租戶雲端資料倉儲系統實現跨企業資料處理之功能。

4.使用者介面端為網頁版本，操作方便，亦無須進行軟體安裝，可於任何可上網的裝置使用。

請參考圖1所示，係為本發明多租戶雲端資料倉儲整合性檢索系統之示意圖，其中揭露本發明之較佳實施例之架構，至少一個使用者介面端1-1…1-n與一個多租戶三維認證模組2及一個通用性資料介面模組5相連，透過該通用性資料介面模組5，多租戶使用者可以利用網路介面進行檢索異質多租戶雲端資料倉儲，並且查看或下載檢索結果；該多租戶三維認證模組2負責驗證介面端是否擁有合法檢索授權，以及執行使用者權限認證和多租戶認證；一連線記錄3與該多租戶三維認證模組2相連，用來記錄使用者的登入記錄以及檢索記錄，以提供異常預警及稽核所用；一中繼資料4與該多租戶三維認證模組2相連，記錄了使用者的基本資料，以及多租戶的連線權限和帳號；一通用性資料介面模組5與該多租戶三維認證模組2相連，並與至少一個異質雲端資料倉儲6-1…6-n相連，負責解譯使用者透過網路服務傳來的檢索請求，轉換為該等異質雲端資料倉儲6-1…6-n之查詢語言，並將後端該等異質雲端資料倉儲6-1…6-n回傳的結果，轉換為標準規格以提供該使用者介面端1之使用者查看；其中該等異質雲端資料倉儲6-1…6-n為後端使用者欲查詢的雲端資料倉儲，可各為相異平台、不同廠牌、機房位置之雲端資料倉儲。

使用者登入時，透過該等使用者介面端1-1…1-n之一連接該多租戶三維認證模組2，透過該中繼資料4確認使用者的權限，同時將連線請求記錄於該連線記錄3，接著該多租戶三維認證模組2於認證後，將使用者檢索請求轉送至該連接通用性資料介面模組5，該通用性資料介面模組5將使用者檢索請求轉換後轉送至該等異質雲端資料倉儲6-1…6-n，並等待該等異質雲端資料倉儲6-1…6-n回送檢索結果，最後該通用性資料介面模組5將該等異質雲端資料倉儲6-1…6-n所回送的檢索結果，轉換為使用者較方便閱讀的格式後回傳至該使用者介面端1，供使用者瀏覽和下載，完成整個檢索作業。

熟習該項技藝人士實施本發明時，該等使用者介面端1-1‥‥1-n與該多租戶三維認證模組2之間的連結，以及其與該通用性資料介面模組5之間的連結，可採用網路服務(Web Service)技術透過網路向遠端伺服器傳送服務請求，而網路服務可以採取如表徵狀態轉移(Representational State Transfer，REST)、簡單物件存取協定(Simple Object Access Protocol，SOAP)等架構，透過網路HTTP/HTTPS(Hypertext Transfer Protocol)協定傳送；該通用性資料介面模組5可藉由開放資料庫互連(Open DataBase Connectivity，ODBC)或Java資料庫連線(Java Database Connectivity，JDBC)等中介軟體(middleware)與該等異質雲端資料倉儲6-1…6-n連結，以解決於異質雲端資料倉儲間查詢的問題。

上述的該等使用者介面端1-1…1-n、該多租戶三維認證模組2和該通用性資料介面模組5可採用超文件標示語言(HyperText Markup Language，HTML)、超文本預處理器(PHP Hypertext Preprocessor，PHP)、動態網頁技術標準(Java Server Pages，JSP)、或應用服務提供商(Application Service Provider，ASP)等動態網頁語言來達成；該中繼資料4記錄可採用Key-Value、XML文字檔或開放原始碼的關聯式資料庫管理系統(MySQL)、Derby等資料庫來達成；而該等異質雲端資料倉儲6-1…6-n可採用Hive、HBase、BigTable、Cassandra、Amazon SimpleDB、Teradata、Microsoft SQL等等建立在平台上的雲端資料倉儲來存放海量資料，舉凡以上所述之實作方式皆應視為等效實施。

請參考圖2所示，係為本發明多租戶雲端資料倉儲整合性檢索系統之多租戶三維認證模組示意圖，其更進一步揭露該多租戶三維認證模組2之實施方式。

如前述，使用者係透過該等使用者介面端1連接到該系統進行檢索，為了解決安全性上疑慮，以及多租戶各用戶權限獨立性的問題，該多租戶三維認證模組2更利用Hand Shake的概念，進行了憑證認證、使用者權限認證、多租戶認證，而該多租戶三維認證模組2更包括一憑證認證模組201，一使用者權限認證模組202，以及一多租戶認證模組203。

該憑證認證模組200係用來確認該使用者介面端1為合法的介面端，由於網路服務採用HTTP/HTTPS接口來接收使用者的檢索請求，為更進一步加強安全性，該使用者介面端1於傳送的檢索請求中包含了一認證金鑰，而該憑證認證模組201亦檢查並認證使用者介面端所傳送來的檢索請求中是否包含合法的金鑰，避免非法介面端透過網路直接入侵該系統，此外針對不同的使用者介面端，給予不同的憑證，也能利用憑證對使用者介面端進行安全性控管，熟習該項技藝人士實施本發明時，可於使用者HTTP/HTTPS請求中加入32bits或更高位元碼金鑰，並令該憑證認證模組201檢查使用者介面端傳送來的是否為合法金鑰，假如為合法的金鑰，才會繼續處理使用者的請求，反之為非法金鑰，則忽略此請求或回傳錯誤訊息。

此外當該等使用者介面端1-1…1-n和該多租戶三維認證模組2進行連線期間，任何服務請求都會記錄於該連線記錄3，以供管理者於未來管理記錄，和系統的自動預警功能之用，例如當非法請求太多，會自動通知管理者處理，也統整了所有異質雲端資料倉儲的請求記錄，管理者不需於異質雲端資料倉儲之間切換查看，只需於此整合平台記錄端查看即可，以便節省其管理者的時間成本，並且可以產生統整性的請求記錄統計報表。

該憑證認證模組201與該使用者權限認證模組202相連，此使用者權限認證模組202之目的為確認使用者為已註冊的身分，使用者必須輸入向管理者申請的帳號及密碼，確認其身分後才能開始使用系統，該使用者權限認證模組202與後端該中繼資料4連接，以取得該使用者權限的相關資訊，熟習該項技藝人士實施本發明時，可採用動態網頁Session技術暫存使用者認證結果，使用者於特定時間內，只需要輸入一次帳號密碼即可。

該多租戶認證模組203與該使用者權限認證模組202相連，係為了於整合檢索工具上保障租戶各用戶權限獨立性，以及不影響雲端資料倉儲效能運作，而進行多租戶認證，伺服器端查看該中繼資料4中，目前使用者擁有哪一些雲端資料倉儲中表格的權限，以及於該等表格中是否有其他條件限制；舉一範例，假設中繼資料有關多租戶的欄位包括使用者帳號、雲端資料倉儲類別、雲端資料倉儲名稱、資料表名稱、條件限制，假設其可能出現的值分別如下：中繼資料4：

由上表中繼資料4可觀察到使用者User01僅擁有三個資料表的權限，分別是Teradata系統中資料倉儲MY_Store中的Store_Phone資料表、Hadoop Hive系統中的的Tainan_Store資料表和Hadoop HBase系統中的Hualien_Store資料表，因此User01欲瀏覽Teradata系統中資料倉儲MY_Store中的Store_Address資料表時，將會遭系統拒絕連線。中繼資料4 可設定其檢索條件限制，例如上例中Hadoop Hive系統中的的Tainan_Store資料表中，則限定使用者只能查詢有關Product是Cake的相關資訊。

因此當使用者檢索請求通過該使用者憑證認證模組201和該使用者權限認證模組202後，該多租戶認證模組203將檢查該使用者是否為檢索擁有權限之資料表，假如使用者非檢索其權限內之資料表，系統將拒絕其檢索，透過該中繼資料4來限定多租戶的獨立性，於每次處理檢索請求之前，比對使用者請求與該中繼資料4中的權限限制，加強系統的安全性。

系統為了確保雲端資料倉儲安全，確認多租戶認證之後，才建立使用者與該等雲端資料倉儲6-1…6-n中有關的連線，以避免建立沒必要的連線耗費系統資源，以及增加雲端資料倉儲安全性。

於管理方面，管理者可以於該中繼資料4設定不同使用者擁有不同雲端資料倉儲表格的權限，即可達到多租戶的設定，不受限於相異平台特定的規則和操作方式，解決系統管理員難以限定使用者的權限範圍的問題，多租戶可以限定使用者的權限，讓管理者更簡易的管理個人資料或敏感性資料。

因此透過該多租戶三維認證模組2與該中繼資料4的整合，即可提增加資料安全控管的能力，並且保障租戶各用戶權限獨立性，達成於整合性平台檢索異質多租戶雲端資料倉儲的功效。

使用者檢索請求於通過多租戶認證後，即可以透過該通用性資料介面模組5取得資料並傳回，該通用性資料介面模組5係將該使用者檢索請求解譯後，依照不同的雲端資料倉儲類型，產生其對應的語法，以解決異質雲端資料倉儲於檢索上差異性的問題。

請參考圖3所示，係為本發明多租戶雲端資料倉儲整合性檢索系統之通用性資料介面模組示意圖，該通用性資料介面模組5更由一檢索請求解析模組501，一連接與查詢模組502及一結果轉譯模組503組成，該檢索請求解析模組501與該多租戶三維認證模組2連結，該連接與查詢模組502與該檢索請求解析模組501相連結，並與前述該等異質雲端資料倉儲6質資料倉相連結，該結果轉譯模組503與該連接與查詢模組502相連，並與前述該等使用者介面端1相連。

該檢索請求解析模組501連接多租戶三維認證模組2所傳送的網路服務請求，進而轉換為雲端資料倉儲查詢語言，以便進行雲端資料倉儲檢索。較佳實施例中，網路服務採用REST架構，結合了HTTP/HTTPS協定與網址(Uniform Resource Locator，URL)編碼規則，其中REST架構充分利用了HTTP/HTTPS協定所定義了四種基本方法，即POST、GET、PUT、DELETE，將以上四種基本方法對應到四種資料處理動作，即Create、Read、Update、Delete，組合出雲端資料倉儲上的基本應用之檢索請求；URL編碼規則為http：//resource/{dbType}.{dbName}.{tableName}？{parameters}，其中resource代表該請求解析模組主機的IP位置或網域名稱，dbType為雲端資料倉儲的類型，而dbName和tableName分別代表了雲端資料倉儲名稱或代號以及資料表格或檢視(View)，而後面的parameters代表了使用者對於雲端資料倉儲表格或檢視所檢索的條件；當HTTP/HTTPS方法為POST時，代表請求為依上述條件建立(Create)資料；HTTP/HTTPS方法為GET則代表依上述條件查詢(Read)資料；HTTP/HTTPS方法為PUT則代表依上述條件異動(Update)資料；HTTP/HTTPS方法為DELETE則代表依上述條件刪除(Delete)資料。

於上述的模組運作下，請求解析模組201可依照不同的雲端資料倉儲類型產生其對應語法，由於異質性資料倉儲包括傳統資料倉儲以及雲端資料倉儲，對應檢索語法又有結構式查詢語言(Structural Query Language，SQL)與NoSQL(Not Only SQL)的分別；其中對應語法為SQL者，於不同資料倉儲又有其特定的語法和限制，例如Teradata有提供隨機取樣(Sample)的語法，但是Hadoop Hive並沒有提供相關語法，只有限定筆數(Limit)的語法；又如Teradata於查詢資料表時，需要於資料表前帶上資料庫名稱，為dbName.tableName，而其他雲端資料倉儲平台則因有預設資料庫而語法不同。而當檢索資料倉儲為NoSQL系統時，對應檢索語法與SQL系統有更明顯的差別，以下為舉例說明：

延續中繼資料4的例子，假設使用者User01即將對存放在Hadoop Hive資料表Tainan_Store進行檢索，欲查詢不同產品的每年總銷售量，檢索的範例資料表Tainan_Store如下：資料表Tainan Store：

延續上述假設，其中使用者只需於使用者介面端1挑選欲檢索資料表，並輸入檢索條件；假設使用者檢索的資料表為Hadoop Hive資料倉儲底下的Tainan_Store，並輸入Product其條件為Cake，最後的URL會由系統自行產生：HTTP方法為GET，URL為http：//192.168.0.2/Hadoop.Hive.Tainan_Store？Product=Cake。

當請求解析模組501收到URL之後即可解譯出使用者向IP位置為192.168.0.2的雲端資料倉儲送出請求，希望於 Hadoop Hive雲端資料倉儲中的資料表Tainan_Store進行檢索取得限定欄位Product值為Cake的資訊；延續中繼資料4的例子，使用者User01於Hadoop Hive雲端資料倉儲中的資料表Tainan_Store的限制條件為Product=‘Cake’，符合其限制條件，所以系統認定此為合法檢索；此例以Hadoop Hive為例，請求解析模組501會將此URL解譯為符合該雲端資料倉儲平台Hadoop Hive的SQL語法，所產生出的SQL語法為Select * from Tainan_Store where Product=’Cake’。

延續上述舉例，使用者於介面端1，透過圖形介面送出另一檢索請求，HTTP方法為GET，其URL為http：//192.168.0.2/Hadoop.HBase.Hualien_Store？Product=‘Cookie’，檢索的範例資料表Hualien_Store如下：資料表Hualien_Store：

與前一例子不同的是這次檢索的雲端資料倉儲系統為Hadoop HBase，HBase為一NoSQL系統。因此於相同條件下，請求解析模組501會將此URL解譯為符合該雲端資料倉儲平台的NoSQL語法，為get’Hualien_Store’，‘Cookie’；從以上兩個例子即可發現SQL與NoSQL系統檢索時，請求解析模組501所解譯的方式不盡相同，以便讓使用者可透過同一介面檢索SQL與NoSQL系統。

因此該請求解析模組501之設計係針對使用者檢索之不同雲端資料倉儲，自動判別和轉換其對應語法，讓使用者於切換雲端資料倉儲檢索時，可增加其操作便利性和避免語法錯誤；當檢索請求解析模組501將URL解譯為符合該雲端資料倉儲檢索語法後，即可透過中介軟體(middleware)如ODBC(Open Database Connectivity)或JDBC(Java Database Connectivity)等，向後端雲端資料倉儲進行檢索，並回傳結果給使用者。

然而雲端資料倉儲為近年來展新的技術，仍有許多使用者將部分資料留置於傳統關聯式資料庫內，例如歷年的顧客資訊等等…，因此當使用者需跨企業，或者跨雲端資料倉儲整合不同資料時，請求解析模組501也可協助使用者進行JOIN相異雲端資料倉儲，並且於中繼資料4的多租戶保護權限下進行檢索，以確保系統的安全性。

當同時檢索JOIN相異的資料倉儲時，系統須要先將資料放置於相同雲端資料倉儲空間，以便進行檢索作業，所以使用者需於使用者介面端1先決定主要的JOIN的資料倉儲表格，告知系統將資料放置於主要的雲端資料倉儲空間，以及資料倉儲表格相關的檢索條件，假設主要的JOIN的資料倉儲表格為DB_A，主機的IP位置為resource_A，其條件為parameters_A；附要資料倉儲表格為DB_B，主機的IP位置為resource_B，其條件為parameters_B，而A與B進行JOIN時的條件為parameters_JOIN，最終請求解析模組501所產生的URL格式為http：//resource_A/{DB_A}？{parameters_A}/JOIN/resource_B/{DB_B}？{parameters_B}/ON/parameters_JOIN。

延續上述舉例，使用者User01欲整合Teradata系統中資料倉儲MY_Store中的Store_Phone資料表、和HBase系統中的Hualien_Store資料表，共同製作Hualien有關Cookie的銷售總表，並附上販售店面的電話，其中檢索的範例資料表Store_Phone如下：資料表Store_Phone：

使用者介面端1收到使用者的檢索條件後，檢索的URL由系統產生：http：//192.168.0.1/Teradata.MY_Store.Store_Phone/Store_Name=Hualien_Store/JOIN/192.168.0.2/Hadoop.HBase.Hualien_Store？Product=‘Cookie’/ON/Teradata.MY_Store.Store_Phone.Store_Name=Hadoop.HBase.Hualien_Store.Store_Name；此URL會先與中繼資料4進行多租戶的權限驗證，再傳送至通用性資料介面模組5，進行解析與查詢。

通用性資料介面模組5接收到此URL時，可拆解為以下步驟：

1.從HBase系統中的Hualien_Store資料表檢索使用者所下的條件資料，語法為NoSQL語法為get’Hualien_Store’,‘Cookie’，再將資料載入至Teradata資料倉儲MY_Store中的暫存表格，此時需檢驗使用者是否擁有Teradata資料倉儲MY_Store載入之權限。載入過程透過前述方法HTTP方法POST的方式，由系統協助載入，避免使用者直接接觸資料倉儲之檔案系統，加強系統安全性。

2. Teradata系統中資料倉儲MY_Store中的Store_Phone資料表與前一步驟所載入的暫存表格進行JOIN匯整分析。匯整分析的SQL語法為：Select * from MY_Store.Store_Phone A JOIN(Select * from MY_Store.TempTable)B ON A.Store_Name=B.Store_Name。

3.產生出結果之後，即由系統自動刪除暫存表格，以保障資料隱私性安全。

基於上述設計，於該檢索請求URL中帶入跨雲端資料倉儲的多個不同資料目標及其關聯條件，發出上述POST、DELETE、PUT、GET等不同HTTP/HTTPS方法的請求，配合上述針對不同雲端資料倉儲的語法轉換與中介軟體，即可做到跨相異雲端資料倉儲的增刪改查等資料處理功能，在多租戶雲端資料倉儲系統則能跨企業處理資料。

此設計不僅巧妙配合該等使用者介面端1-1…1-n與該通用性資料介面模組5之間的連結架構特性，網址編碼的設計更形成一套統一且具一致性的檢索語法，使得各種異質性雲端資料倉儲皆可適用；此外由於結合了HTTP/HTTPS方法的請求，可對相同的資源做不同的資料處理動作，使用者可於使用者介面端1圖形化介面直接檢索，無須各自設計不同的語法，使得檢索資料表更為單純，使用起來亦更直覺且更方便。

於該檢索請求解析模組501解譯完使用者的檢索請求後，接著由該連接與查詢模組502向該等異質雲端資料倉儲6進行連線與檢索的動作，將解譯好的雲端資料倉儲語法，傳遞至對應雲端資料倉儲進行檢索，並等待雲端資料倉儲端回傳檢索結果；當收到該對應雲端資料倉儲回傳的結果之後，接著該結果轉譯模組503將該雲端資料倉儲回傳的結果轉換成方便傳遞的格式，例如可延伸標記式語言(Extensible Markup Language，XML)或資料交換語言(JavaScript Object Notation，JSON)等，再回傳至該使用者所使用之使用者介面端1；此設計有利與後端介接，增加伺服器端的彈性，讓未來可與更多使用者介面端連接，最重要的是能達成跨雲端資料倉儲的增刪改查的功效，在多租戶雲端資料倉儲系統則能實現跨企業資料處理之功能。

最後該使用者介面端1再進行解譯的步驟，將伺服器端所回傳的結果轉換為特定統一格式回傳至該使用者介面端1以使用者較容易閱讀的表格顯示方式，讓使用者可以方便的進行查詢與閱讀，或者讓使用者直接下載檢索結果。

請參考圖4所示，係為本發明多租戶雲端資料倉儲整合性檢索方法之流程圖，並揭露本方法之實施步驟，包括使用者傳遞檢索請求700、憑證認證701、使用者權限認證702、多租戶認證703、解析檢索請求704、傳送檢索請求至雲端資料倉儲705、雲端資料倉儲回傳結果706、結果解析707等步驟，依序執行。

首先於步驟700傳遞使用者檢索請求，使用者透過前述該使用者介面端之圖形使用者介面(Graphical User Interface，GUI)，輸入帳號及密碼、檢索請求條件，該使用者介面端更於傳送的檢索請求中加入認證金鑰，透過網路服務連接至前述該多租戶三為認證模組進行檢索。檢索請求係結合前述URL編碼規則與HTTP/HTTPS方法，URL編碼規則包括請求解析主機位置、雲端資料倉儲類型、雲端資料倉儲名稱或代號、表格或檢視以及檢索條件；而HTTP/HTTPS方法包括POST、GET、PUT、DELETE等分別對應建立、查詢、異動、刪除之請求，以達到對多個異質性之雲端資料倉儲發出檢索請求之目的。

接著於步驟701憑證認證，前述該憑證認證模組採取交握(Hand Shaking)認證，檢查該認證金鑰以確認使用者端為合法使用者端；熟習該項技藝人士實施本發明時，金鑰認證的方法可採用RSA、DES、3DES、AES等技術。

接著於步驟702使用者權限認證，前述該使用者權限認證模組於前述該中繼資料中取得該使用者權限的相關資訊，確認使用者為合法使用者，以保障系統安全。

接著於步驟703多租戶認證，前述該多租戶認證模組於前述該中繼資料中取得該使用者檢索資料的權限及條件限制，讓不同使用者於不同雲端資料倉儲擁有相異的權限，保護資料不被任意提取，並且設定使用者對資料的條件限制，以加強資料安全性與隱私性。

接著於步驟704解析檢索請求，前述該通用性資料介面模組收到使用者所傳送的檢索請求時，將其轉換為對應的雲端資料倉儲查詢語言，且依雲端資料倉儲不同規格(Schema)自動編譯成異質來源端資料檢索語法。

接著於步驟705傳送檢索請求至雲端資料倉儲，前述該連接與查詢模組向該等異質雲端資料倉儲進行連線與資料處理的動作，傳送已解析好的雲端資料倉儲檢索語法。由於前述該通用性資料介面模組居中解析檢索請求與結果，因此使用者並不清楚真正雲端資料倉儲的IP位置，可隔離保護避免雲端資料倉儲直接曝險於外；此外，該模組自動判斷轉換檢索請求為對應異質雲端資料倉儲的語法並透過中介軟體連接，能達成跨雲端資料倉儲的增刪改查的功效，在多租戶雲端資料倉儲系統則能實現跨企業資料處理之功能。

接著於步驟706雲端資料倉儲回傳結果，當檢索結束，前述該結果轉譯模組接收雲端資料倉儲回傳的檢索結果並轉換為標準格式，例如XML或JSON等，再回傳至該使用端介面端。

接著於步驟707結果解析，前述該使用者介面端將回傳的結果轉換為使用者較容易閱讀的方式，例如以HTML呈現出表格，或者是提供XLS、CSV檔案讓使用者可儲存至電腦中。

上列詳細說明乃針對本發明之一可行實施例進行具體說明，惟該實施例並非用以限制本發明之專利範圍，凡未脫離本發明技藝精神所為之等效實施或變更，均應包含於本案之專利範圍中。

綜上所述，本案不僅於技術思想上確屬創新，並具備習用之傳統方法所不及之上述多項功效，已充分符合新穎性及進步性之法定發明專利要件，爰依法提出申請，懇請貴局核准本件發明專利申請案，以勵發明，至感德便。

1‧‧‧使用者介面端

1-1^~ 1-n‧‧‧使用者介面端1^~ n

2‧‧‧多租戶三維認證模組

3‧‧‧連線記錄

4‧‧‧中繼資料

5‧‧‧通用性資料介面模組

6-1^~ 6-n‧‧‧異質雲端資料倉儲1^~ n

201‧‧‧憑證認證模組

202‧‧‧使用者權限認證模組

203‧‧‧多租戶認證模組

501‧‧‧檢索請求解析模組

502‧‧‧連接與查詢模組

503‧‧‧結果轉譯模組

700‧‧‧傳遞使用者檢索請求

701‧‧‧憑證認證

702‧‧‧使用者權限認證

703‧‧‧多租戶認證

704‧‧‧解析檢索請求

705‧‧‧傳送檢索請求至雲端資料倉儲

706‧‧‧雲端資料倉儲回傳結果

707‧‧‧結果解析

請參閱有關本發明之詳細說明及其附圖，將可進一步瞭解本發明之技術內容及其目的功效；有關附圖為：圖1為本發明多租戶雲端資料倉儲整合性檢索系統之示意圖；圖2為本發明多租戶雲端資料倉儲整合性檢索系統之多租戶三維認證模組示意圖；圖3為本發明多租戶雲端資料倉儲整合性檢索系統之通用性資料介面模組示意圖；以及圖4為本發明多租戶雲端資料倉儲整合性檢索方法之流程圖。