数据引擎的安全进出制造技术

本公开包括在数据引擎处接收查询。数据引擎包括存储在安全数据库中的受保护格式的数据和存储在安全数据库副本中的明文格式的数据的副本。从请求者接收查询。在安全数据库副本处处理查询以生成明文格式的查询响应。查询响应被转换成受保护格式。将受保护格式的经转换的查询响应提供给请求者。换的查询响应提供给请求者。换的查询响应提供给请求者。

【技术实现步骤摘要】
【国外来华专利技术】数据引擎的安全进出

技术介绍

[0001]本专利技术总体上涉及计算机处理，并且更具体地涉及用于数据引擎的安全进出。
[0002]企业环境通常包括公共云、私有云、和场所内(on premise)/私有管理信息技术(IT)环境的组合。当数据被移动到与源环境不同地表示数据的目的地环境中时，可使用提取、变换和加载(extraction,transformation,and loading，ETL)技术在这些环境之间移动数据。当应用ETL技术时，数据在被加载到源环境中之前被变换。数据还可使用提取、加载和变换(ELT)技术在环境之间移动，其中来自源环境的原始数据被加载到目标环境中并在目标环境处被变换。通常，每个不同的IT环境可以在它们各自的环境内提供高度安全的微管道，但是跨站点边界的数据交叉需要被仔细管理、检查和分析以验证数据的真实性和可信性。

技术实现思路

[0003]本专利技术的实施例涉及用于数据引擎的安全进出。一种非限制性示例计算机实现的方法，包括在数据引擎处接收查询。数据引擎包括存储在安全数据库中的受保护格式的数据和存储在安全数据库副本中的明文格式(clear format)的数据的副本。从请求者接收查询。在安全数据库副本处处理查询以生成清除格式的查询响应。查询响应被转换成受保护格式。将所转换的受保护格式的查询响应提供给请求者。
[0004]本专利技术的其他实施例在计算机系统和计算机程序产品中实现上述方法的特征。
[0005]通过本专利技术的技术实现了额外的技术特征和优点。在本文中详细描述了本专利技术的实施例和方面，并且这些实施例和方面被认为是所要求保护的主题的一部分。为了更好的理解，参考详细说明和附图。
附图说明
[0006]在说明书结尾处的权利要求中特别指出并明确要求保护本文所述的独占权利的细节。从以下结合附图进行的详细描述中，本专利技术的实施例的前述和其他特征和优点将变得显而易见，在附图中：
[0007]图1示出了根据本专利技术一个或多个实施例的用于数据引擎的安全进出的系统的框图；
[0008]图2示出了根据本专利技术的一个或多个实施例的用于在数据引擎处提供安全进入的方法的流程图；
[0009]图3示出了根据本专利技术的一个或多个实施例的用于在数据引擎处提供安全出口的方法的流程图；
[0010]图4示出了根据本专利技术的一个或多个实施例的云计算环境；
[0011]图5示出了根据本专利技术的一个或多个实施例的抽象模型层；以及
[0012]图6示出了根据本专利技术的一个或多个实施例的用于数据引擎的安全进出的系统。
[0013]此处所描绘的图是说明性的。在不偏离本专利技术的范围的情况下，可存在对附图或
其中描述的操作的许多变化。例如，可以以不同的顺序执行动作，或者可以添加、删除或修改动作。而且，术语“耦接”及其变形描述了在两个元件之间具有通信路径，并且并不暗示在它们之间没有中间元件/连接的元件之间的直接连接。所有这些变型被认为是说明书的一部分。
具体实施方式
[0014]本专利技术的一个或多个实施例为数据引擎提供安全的进出。为了提供数据的安全和隐私，在数据引擎中通常需要数据的受保护视图。通常基于以明文(或未保护)格式存储的数据值来优化数据查询。对以受保护格式存储的数据执行优化查询可导致查询不能利用优化。本专利技术的一个或多个实施例提供了用于利用特定数据引擎周围的保护来加速对受保护数据的视图的查询的有效机制。
[0015]如本文中所使用的，术语“数据引擎”是指可以包括以受保护格式存储的数据的数据基础设施、以明文格式存储的数据的副本、以及用于为数据提供安全并且用于在明文格式和受保护格式之间来回转换数据的数据安全系统。根据本专利技术的一个或多个实施例，数据引擎由数据库管理系统(DBMS)实现，诸如但不限于数据引擎的实施例不限于数据库基础设施，并且还可以包括例如文件基础设施，诸如由使用的那些文件基础设施。根据本专利技术的一个或多个实施例，数据可以本领域已知的任何方式存储，诸如但不限于数据库格式(例如，Db2)和文件格式(例如，数据源)。
[0016]本专利技术的一个或多个实施例可以用于将安全网关集成到数据引擎内和数据引擎外，该数据引擎包括数据库加速器基础设施，诸如但不限于IBM Db2分析加速器(IDAA)。当IDAA用于提供被组织用于优化特定类型的查询的数据的副本时，本专利技术的一个或多个实施例防止可选择的列/字段级表格空间数据在IDAA和自有应用之外(包括在Db2内)被明文地暴露。副本还可以是其他系统，诸如为只读查询设计的安全数据库系统(例如，IBM HyperProtect DBaaS)。
[0017]根据本专利技术的一个或多个实施例，到Db2(或任何其他数据库或文件系统)的直接连接从未以明文形式暴露敏感数据，并且具有访问敏感数据的许可的结构化查询语言(SQL)查询或语句仍然可以通过安全IDAA装置内的网关根据其SQL语义而被有效地处理。数据仅在安全装置内是明文的，并且被直接传送回请求应用。根据本专利技术的一个或多个实施例，当使用IDAA时，客户端应用中的网关与安全IDAA的输入和输出上的网关之间的数据密钥交换可以以现有方式处理，诸如但不限于索引查询、搜索和分类。
[0018]本专利技术的一个或多个实施例与同期的方法形成对比，同期的方法中安全数据库副本中的数据是明文格式的并且可由数据引擎外部的查询和应用访问，并且因此数据可能存在安全漏洞的风险。在其他模型中，数据在数据库引擎中保持加密，不允许查询的功能使用。
[0019]本专利技术的一个或多个实施例通过允许对DBMS中的受保护数据查询不受保护的字段来解决同期的方法的一个或多个缺点。此外，本专利技术的一个或多个实施例允许在安全装置中针对表中的所有字段进行优化的查询，而不管它们是否被保护。当利用诸如Linux数据源的数据文件时，这也可发生在文件级而不是DBMS处。如本文中所使用的，术语“优化的查询”指例如通过建立和利用数据中的特定索引、通过以特定方式组织数据和/或通过以特定
方式布置查询语句而被调整以尽可能快地运行的查询。优化的查询也可被调谐以节省资源使用或提供商定的服务质量(QOS)水平。
[0020]现在转到图1，根据本专利技术的一个或多个实施例，一般地示出用于数据引擎的安全进出的系统的框图100。图1中示出的组件包括安全数据库102、安全数据库副本104和数据安全系统106。参照图1描述的处理可以由在位于图6的计算机601上的处理器605上和/或位于图4的云计算节点10上的处理器上执行的计算机指令来执行。
[0021]在本专利技术的一个或多个实施例中，数据库102、安全数据库副本104和数据安全系统106一起执行数据引擎功能并且被统称为数据引擎。一个或多个其他实施例中的其他数据引擎可与图1所示的数据引擎不同地配置。例如，由图1所示的数据安全系统106执行的所有功能或功能的子集可由数据库102执行。此外，其他部件可包括在数据引擎的一个或多个实施例中。
[0022]根据本专利技术的一个或多个实施例，数据库102包括用于执行数据库管理功本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种方法，包括：在数据引擎处接收查询，所述数据引擎包括存储在安全数据库中的受保护格式的数据和存储在安全数据库副本中的明文格式的数据的副本，所述接收自请求者；在所述安全数据库副本处处理查询，以生成明文格式的查询响应；将所述查询响应转换成所述受保护格式；以及将所述受保护格式的转换的查询响应提供给所述请求者。2.根据权利要求1所述的方法，其中，所述查询被表征为第一类型的查询，并且所述安全数据库副本被调整以优化包括所述第一类型的查询的一个或多个类型的查询的性能。3.根据权利要求1所述的方法，还包括：在所述数据引擎处接收输入数据，所述输入数据采用所述受保护格式；以及将所述受保护格式的输入数据存储在所述安全数据库中。4.根据权利要求3所述的方法，还包括复制所述输入数据，所述复制包括：将存储在所述安全数据库中的所述输入数据转换成所述明文格式；以及将所述明文格式的输入数据存储在所述安全数据库副本中。5.根据权利要求3所述的方法，其中，明文格式的输入数据是从客户端应用程序接收的。6.根据权利要求3所述的方法，其中，所述数据引擎还包括数据安全系统，所述数据安全系统应用安全方案来执行：将所述查询响应转换为所述受保护格式；将所述输入数据转换成所述受保护格式；以及将存储在所述安全数据库中的所述输入数据转换成所述明文格式。7.根据权利要求1所述的方法，其中，所述安全数据库和所述安全数据库副本是关系数据库。8.根据权利要求7所述的方法，其中，所述安全数据库的行中仅列的子集的内容是所述受保护数据格式。9.根据权利要求1所述的方法，还包括，响应于接收所述查询，确定所述查询应当由所述安全数据库副本处理还是由所述安全数据库处理，其中，响应于确定所述查询应当由所述安全数据库副本处理而执行所述处理、转换和提供。10.一种系统，包括：一个或多个处理器，用于执行计算机可读指令，所述计算机可读指令控制所述一个或多个处理器执行操作，所述操作包括：在数据引擎处接收查询，所述数据引擎包括存储在安全数据库中的受保护格式的数据和存储在安全数据库副本中的明文格式的数据的副本，所述接收自请求者；在所述安全数据库副本处处理查询，以生成明文格式的查询响应；将所述查询响应转换成所述受保护格式；以及将所述受保护格式的转换的查询响应提供给所述请求者。11.根据权利要求10...

【专利技术属性】
技术研发人员：A，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：