本发明专利技术涉及向具有分层关系的数据库对象提供基于区域的安全性的系统和方法。在一个方面中,提供使数据库安全性和管理更容易的一个系统。该系统包括存储在对象之间具有分层关系的多个对象的数据库组件。区域组件为对象子集定义安全区,并将安全性数据映射到该子集,其中安全区独立于对象之间的分层关系、与其去耦、或分离。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般涉及计算机系统,尤其涉及为基于对象子集在该子集的区域描述 符上提供安全性的系统和方法,以便减少数据传播以及经典对象继承分层结构的存 储需求。
技术介绍
现代商业数据库设计包括涉及对如何存储、管理和操纵大量数据的众多复杂 数据的考虑。这样的数据通常包括诸如提供各个对象之间的继承属性的对象树中的 与其它数据的错综复杂的关系。这些类型的关系通常使对数据库以及管理这样的数 据的组件的有效设计变得复杂。例如,数据库设计过程的一个方面在于理解关系数 据库管理系统存储数据的方式。为了高效且准确地向用户提供信息,数据库程序需要访问关于存储在分开的表中的不同主题的事实(数据)。例如, 一个表可能仅存 储关于雇员的事实,而另一表可能仅存储关于销售的事实,而其它表用于某些其它 的公司事务。当使用数据时,这些事实然后被自动组合并按照众多不同的方式被呈 现。例如,用户可打印组合了关于雇员的事实和关于销售的事实的报告。一般而言,为设计数据库,按某种要求(诸如库中的单独主题)将信息分解, 然后数据库程序确定主题如何联系。这些程序通常包括使用诸如结构化查询语言(SQL)的常见数据库语言的关系数据库查询。在这样的语言可被应用于数据之前, 通常作出关于哪些类型的数据是重要的以及这样的数据应如何组织的若干决策。例 如,这些决策可包括确定数据库的范围,以决定其中存储哪些数据。然后确定将信 息分成单独主题所需的表,诸如"雇员"或"定单"。然后每一主题将是数据库中 的一个表。其它方面包括确定决定在每一表中存储何种信息所需的各个字段。表中 信息的每一目录被称为字段,且被显示为表中的一列。例如,雇员表中的一个字段 可以是姓;另一字段可以是雇佣日期。另一考虑是确定诸如决定一个表中的数据如 何与其它表中的数据联系的关系。设计者通常按需向表添加字段,或创建新表来说 明关系。当设计数据库时可能存在遇到的若干常见的陷阱。这些问题可引起数据更难以使用和维护。这些可包括使一个表具有不是全部都与同一主题有联系的大量字段。例如,一个表可包含关于顾客的字段以及包含销售信息的字段。而且,如果每一表仅包含关于一个主题的数据,这往往是更高效的。在其它情况中,当在众多记录中有意向字段留下空白时产生开支,因为它们并不适用于这些记录。这通常暗示,这些字段属于另一表。当存在其中众多表具有相同字段的大量表时,冗余是另一个问题。例如,当分开一月份销售和二月份销售的表,或本地顾客和远程顾客的表时,存在对同一类型的信息的冗余存储。因此,一种技术是在一个表中合并关于单个主题的所有信息。除如何设置和设计数据库的表和字段的复杂性以外,必须进行其它考虑。这些包括应如何向各个表和字段提供数据安全性(例如,诸如谁和什么可访问文件的安全性)。这包括如何向诸如分层对象等存储在数据库中的复杂结构提供安全性。传统地,在这样的对象的继承分层结构中,安全性考虑被传播,其中如果分层结构 中的项目之一被改变,则该结构中的每一项目需要被更新。然而,存在利用关系数据库的表的各行来存储分层对象的任何实现所面临的常见问题,就是如何设置关于每一对象的安全性信息或数据,并基于继承模型将安全性数据填充于其孩子对象。专利技术概述以下呈现了本专利技术的简化概述以便提供对本专利技术的某些方面的基本理解。该概述不是本专利技术的广泛的概观。它不旨在标识本专利技术的重要/关键的元素,也不旨在描绘本专利技术的范围。其唯一目的是以简化形式呈现本专利技术的某些概念作为稍后呈 现的更详细描述的序言。本专利技术涉及向在对象之间具有分层关系的多个数据库对象提供基于区域的安全性的系统和方法。提供将安全性信息映射到分层结构中存在的对象的子集以便创建独立于分层结构的一个或多个安全区的区域组件。这允许区域或区中存在的对象共享安全性属性,这将减少数据库处理需求(例如,较少的节点要更新安全性数据)。-般而言,经典数据库体系结构通常利用关系数据库表的各行来存储分层对象,这也使得要在每一对象上设置相关的安全性描述符,以及基于继承模型对各个孩子对象填充安全性描述符。这会导致用于每一对象更新的日益增长的处理时间量,而通过引入基于区域的考虑可减少处理时间。区域可以是共享相同或相似安全性描述符的对象的集合(不必位于一邻接树中)。当更新了对象上的安全性描述符时,对象所属的区域可分裂或折叠。例如, 如果从该改变得到任何孩子对象上的不同的安全性描述符,则区域可分裂;而如果 改变产生与其它区域相同的安全性描述符,则该区域可折叠入另一区域。与每一对 象直接拥有其自己的安全性描述符相反, 一区域拥有该安全性描述符;从而显著地 减少了当改变了一对象上的安全性描述符而可能影响其它对象上的安全性描述符 时,对象更新的次数。一般而言,传统上将区域定义为分层对象模型中的对象的子树。在本专利技术的 情况中,区域被定义为共享相同安全性描述符的一组对象,借此共享相同的安全性 描述符的那些对象不必位于同一子树下。这种间接性允许管理对象安全性描述符的 有效处理。因此,基于区域的安全性实质上将对象域变换到安全性描述符域,并在 安全性描述符域上直接地且独立于分层结构地执行安全性描述符操作,这减少了总 的数据库处理。为了完成前述和相关目的,本专利技术的某些说明性的方面在此处将结合以下描 述符和附图被描述。这些方面指示可实现本专利技术的各种方式,它们均旨在由本专利技术 覆盖。当结合附图考虑阅读本专利技术的以下详细描述时,本专利技术的其它优点和新颖的 特征将是显而易见的。附图简述附图说明图1是根据本专利技术的一方面示出对象安全性系统的示意框图。 图2是根据本专利技术的一方面示出示例安全性域变换的示意图。 图3根据本专利技术的一方面示出了替换安全性域变换。 图4根据本专利技术的一方面示出了示例安全性接口。 图5根据本专利技术的一方面示出了区域组件处理。 图6根据本专利技术的一方面示出了示例区域处理算法。图7根据本专利技术的一方面示出了安全区域处理。图8是根据本专利技术的一方面示出合适的操作环境的示意框图。图9是本专利技术可与之交互的示例计算环境的示意框图。专利技术的详细描述本专利技术涉及向具有分层关系的数据库对象提供基于区域的安全性的系统和方 法。与为每一对象更新单独的安全性描述符相反,本专利技术引入了区域的概念,借此从给定对象与区域而非分层结构的关联得到该给定对象的安全性。这与需要各个对 象描述并在继承分层结构之间置入安全性的经典体系结构相反。以此方式,数据库 处理和存储可被保存,因为众多对象可能共享可在各个区域的更全局的范围上定义 的类似的安全属性。在一个方面中,提供使数据库安全性和管理更容易的系统。该 系统包括存储在对象之间具有分层关系的多个对象的数据库组件。区域组件为对象 子集定义安全区,并将安全性数据映射到该子集,其中安全区独立于对象之间的分 层关系、并与其去耦、或分离。如本申请中所使用的,术语"组件"、"系统"、"对象"、"区"等意指 计算机-相关实体,或者是硬件、硬件和软件的组合、软件或执行中的软件。例如, 组件可以是,但不限于,运行在处理器上的进程、处理器、对象、可执行代码、执 行的线程、程序和/或计算机。作为说明,运行在服务器上的应用程序和该服务器 本身都可以是组件。 一个或多个组件可以驻留在进程和/或执行中的线程内,且组 件可以位于一台计算机上和/或分布在两台或多台计算机之本文档来自技高网...
【技术保护点】
一种使数据库安全性和管理更容易的系统,包括: 数据库组件,它存储在对象之间具有分层关系的多个对象;以及 区域组件,它为所述对象子集定义一个或多个安全区,并将安全性数据映射到所述子集,所述安全区独立于所述对象之间的所述分层关系。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:Z李,T杜塔,
申请(专利权)人:微软公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。