具有基于角色的访问控制的计算机关系数据库方法和系统.pdf

(19)中华人民共和国国家知识产权局

(12)发明专利说明书

(10)申请公布号CN102844756A

(43)申请公布日2012.12.26

(21)申请号CN201180014182.2

(22)申请日2011.03.11

(71)申请人迪纳米科普斯公司

地址美国马萨诸塞州

(72)发明人L·马勒M·M·瓦塞尔A·A·麦斯特罗

(74)专利代理机构北京市金杜律师事务所

代理人酆迅

(51)Int.CI

G06F17/30

G06F15/16

G06F21/20

权利要求说明书说明书幅图

(54)发明名称

具有基于角色的访问控制的计算机

关系数据库方法和系统

(57)摘要

一种计算机方法、系统和装置，控

制对多个数据库中的受保护数据的访问。

贮存库耦合到数据库并且具有安全运行时

子系统。贮存库截获多个数据库中的主题

数据库(subjectdatabase)的用户查询。安全

运行时子系统根据截获的查询确定用户和

对应的用户角色。基于用户角色，安全运

行时子系统自动修改用户查询以滤除标识

的用户未被授权访问、但是作为用户查询

的部分的安全数据。

法律状态

法律状态公告日法律状态信息法律状态

权利要求说明书

1.一种控制对受保护数据的访问的方法，包括：

将贮存库操作地耦合到存储安全数据的一个或者多个数据库；

运用所述贮存库截获所述数据库中的一个数据库的用户查询；

根据截获的查询自动确定生成所述用户查询的用户和向所述用

户分配的用户角色；

基于确定的用户角色自动修改所述用户查询，以滤除所述用户

无访问权的安全数据；以及

将经修改的查询应用于所述一个数据库。

2.根据权利要求1所述的方法，还包括解析所述截获的查询并且标识

所述一个数据库中的、将作为所述用户查询的部分而访问的对象。

3.根据权利要求2所述的方法，其中所述用户查询包括所述用户的指

示；并且

所述贮存库还被配置成在所述一个数据库的元模型中查找标识

的对象的安全信息并且分析任何组隶属关系。

4.根据权利要求2所述的方法，还包括在所述一个数据库的元模型中

存储限制哪些数据对象可由某些用户角色访问的安全信息，并且

所述贮存库还被配置成在所述元模型中查找所标识的对象的安

全信息并且确定滤除所述用户查询的哪些标识的对象。

5.根据权利要求4所述的方法，还包括：

使用所述贮存库以保护所述安全信息，并且使所述安全信息能

够在运行时动态可调。

6.根据权利要求1所述的方法，其中自动确定和自动修改的步骤包括

将对象和行级安全性从所述数据库去耦合。

7.根据权利要求1所述的方法，还包括处理对所述一个数据库的所述

经修改的查询，并且向所述用户返回所述经修改的查询的结

果。

8.根据权利要求1所述的方法，其中所述一个数据库是关系数据库。

9.根据权利要求8所述的方法，其中自动修改所述用户查询的