描述了一种用于在每一个用户的基础上的基于单元格的安全性的体系结构。用于该能力的安全模型不仅包括维度级表,而且被扩展成包括单元格级表。该安全模型可包括现有维度表加上单元格安全表,该单元格安全表包括单元格许可表、单元格限定符表以及包括单元格许可表、单元格限定符两者的表。与对给定用户应用于单元格的安全性相关联的元数据可被本地地存储在本地元数据存储中,以便针对通过认证和授权的用户正在查询的数据立方体进行检索和应用。在一特定实现中,在性能管理服务器应用程序中采用单元格级安全性,其中认证由认证服务远程执行,但授权功能对于性能管理服务器应用程序本地执行。
【技术实现步骤摘要】
【国外来华专利技术】用于数据访问的基于单元格的安全表示背景网络、数据和客户机的无处不在的性质不仅使得数据访问对于企业环境更高效,而且施加更强大的控制和管理要求以防止对网络和数据的非预期访问。给予任一用 户对企业数据的不受束缚的访问不再是一般惯例。数据库现在已经变成与人力资源、财 务、产品开发、项目计划等相关的所有种类的信息的巨大混合物。然而,雇员仍然需要 访问特定数据集以提供所请求的信息。为了更为有效,常规解决方案提供安全等级分层结构以限制对系统和数据的访 问。数据库系统提供基于例如用户许可来限制对表的访问的表安全性。然而,这些表可 包括大量行和列,应给予用户对某些信息的访问权且不应允许访问某些信息。用于限制 对表的访问的其他技术包括使用安全标签以及通过对表本身进行安全登录。这些和其他 常规技术中的每一种都不提供允许管理员选择性地限制对数据的访问但切出一数据集以 供用户访问和查看的解决方案。概述下面提供了简明的概述,以便提供对此处所描述的一些新颖实施例的基本理 解。本概述不是详尽的概述,并且它不旨在标识关键/重要元素或描绘本专利技术的范围。 其唯一的目的是以简化形式呈现一些概念,作为稍后呈现的更详细描述的序言。所公开的体系结构方便在每一个用户的基础上的基于单元格的安全性。用于该 能力的安全模型不仅包括维度级表,而且被扩展成包括单元格级表。一替换实现可采用 与数据库应用程序中的事实表类似的单元格级安全表。在一特定实现中,可以在性能管理服务器应用程序中采用单元格级安全性。认 证可由诸如提供与性能管理服务器应用程序兼容的能力和功能的服务器应用程序等另一 应用程序的认证服务来远程执行。然而,授权功能可对于性能管理服务器应用程序本地 执行。该安全模型可包括现有维度表加上单元格安全表,该单元格安全表包括单元格 许可表、单元格限定符表以及包括单元格许可表、单元格限定符两者的表。与对给定用 户应用于单元格的安全性相关联的元数据可被本地地存储在服务器应用程序元数据存储 中,以便针对通过认证和授权的用户正在查询的数据立方体进行检索和应用。然后向用 户呈现经过滤的结果。为了为实现上述及相关目的,本文结合下面的描述和附图来描述某些说明性方 面。这些方面指示了可以实施本文所公开的原理的各种方式,所有方面及其等效方面旨 在落入所要求保护的主题的范围内。结合附图阅读下面的详细描述,其他优点和新颖特 征将变得显而易见。附图简述附图说明图1示出了计算机实现的数据安全系统。图2示出了其中性能管理服务器应用程序包括图1的系统的系统。图3示出了数据表中的维度和单元格安全性。图4示出了可用于提供单元格级安全性的示例性安全表集。图5示出了用于性能管理服务器应用程序的认证和授权方案。图6示出了保护数据的计算机实现的方法。图7示出了对基于单元格的安全性进行认证和授权的方法。图8示出了通 过扩展安全模型来提供基于单元格的安全性的方法。图9示出了根据所公开的体系结构的可用于执行基于单元格的安全性的计算系 统的框图。图10示出了方便性能管理服务器应用程序中的基于单元格的安全性的示例性计 算环境的示意性框图。详细描述所公开的体系结构方便在每一个用户的基础上的基于单元格的安全性。用于该 能力的安全模型不仅包括维度级表,而且被扩展成包括单元格级表。该安全模型可包括 现有维度表加上单元格安全表,该单元格安全表包括单元格许可表、单元格限定符表以 及包括单元格许可表、单元格限定符两者的表。与对给定用户应用于单元格的安全性相 关联的元数据可被本地地存储在本地元数据存储中,以便针对通过认证和授权的用户正 在查询的数据立方体进行检索和应用。在一特定实现中,在性能管理服务器应用程序中 采用单元格级安全性,其中认证由认证服务远程执行,但授权功能对于性能管理服务器 应用程序本地执行。现在将参考附图,全部附图中相同的附图标记用于表示相同的元件。在下面的 描述中,为了进行说明,阐述了很多具体细节以便提供对本专利技术的全面理解。然而,显 而易见,可以没有这些具体细节的情况下实施各新颖实施例。在其他情况下,以框图形 式示出了公知的结构和设备以便于描述它们。本专利技术将涵盖落入所要求保护的主题的精 神和范围内的所有修改、等效方案和替换方案。图1示出了计算机实现的数据安全系统100。系统100包括用于为数据立方体 106的单元格定义安全属性的定义组件102。提供用于将属性104存储为安全元数据110 以基于用户查询来应用于数据立方体106的存储组件108。系统100还可包括安全组件 112,该安全组件112用于基于用户查询来对数据立方体106应用安全元数据110以生成 受保护的数据立方体114。安全属性104可以在每一个用户的基础上定义,并且可包括对单元格的读访 问、有条件读、读/写访问或无访问的许可。系统100还可包括用户可用来根据维度和 度量来为用户定义安全属性104的用户界面。定义组件102还便于定义维度属性,并将这些维度属性存储为安全元数据110的 一部分。定义组件102和存储组件108可以是用于在每一个用户的基础上保护数据立方 体单元格的性能管理应用程序的一部分。如将在下文中描述的,安全元数据110可被存储为安全表集,其中这些安全表 包括单元格许可表、单元格限定符表以及单元格许可和单元格限定符两者的表。图2示出了其中性能管理服务器应用程序202包括图1的系统100的系统200。 应用程序202可以是可由客户机204经由浏览器或类似浏览器的客户机应用程序来访问的 web应用程序。在操作中,用户可访问服务器应用程序202,访问定义组件102以将安全属性104分配给例如数据库中的数据单元格。这些分配然后经由存储组件108被存储为 安全元数据110。当接收到来自对其施加安全属性104的用户的查询时,检索安全元数据 并将其应用于数据立方体以便为该特定用户创建受保护的数据立方体。查询结果然后以 基于安全属性104的经过滤的状态被返回给用户。注意,用户可以是设法访问数据立方 体106的另一软件实体(例如,系统或方法)。由此,安全属性104也可基于特定系统或 其他软件模块来分配。换言之,性能管理服务器应用程序202的数据安全系统包括定义组件、存储组 件以及安全组件,该定义组件用于为数据立方体的维度和度量定义安全属性,该存储组 件用于将属性作为安全元数据存储在性能管理应用程序中,而安全组件用于基于用户来 对数据立方体的维度和度量应用安全元数据以生成受保护的数据立方体。 安全元数据被存储为表集,其中这些表包括单元格许可表、单元格限定符表、 以及单元格许可和单元格限定符两者的表。安全属性包括在每一个用户的基础上在受保 护的数据立方体中应用的对单元格的读访问、有条件读、读/写访问或无访问,并且被 存储为单元格级安全表。应用程序202还可包括用来针对特定用户将安全属性分配给维 度和度量的用户界面。由于度量是已知的,因此该用户界面可用于在度量上定义单元格安全性(例 如,读、有条件读、以及读/写、无访问)并在维度上定义限定符。限定符与维度安全 性类似。受保护的数据立方体的单元格的安全属性可以在用户与该单元格交互时经由用 户界面来展示。图3示出了数据表中的维度和单元格安全性300。表302示出了地理维度数据以 及销售和成本度量本文档来自技高网...
【技术保护点】
一种计算机实现的数据安全系统(100),包括: 用于为数据立方体的单元格定义安全属性的定义组件(102);以及 用于将所述属性存储为安全元数据以基于用户查询来应用于所述数据立方体的存储组件(108)。
【技术特征摘要】
【国外来华专利技术】US 2008-5-13 12/120,2281.一种计算机实现的数据安全系统(100),包括用于为数据立方体的单元格定义安全属性的定义组件(102);以及 用于将所述属性存储为安全元数据以基于用户查询来应用于所述数据立方体的存储 组件(108)。2.如权利要求1所述的系统,其特征在于,还包括用于基于所述用户查询来对所述数 据立方体应用所述安全元数据的安全组件。3.如权利要求1所述的系统,其特征在于,所述安全属性在每一个用户的基础上定义。4.如权利要求1所述的系统,其特征在于,所述安全属性包括对所述单元格的读访 问、有条件读、读/写访问或无访问。5.如权利要求1所述的系统,其特征在于,还包括可用来根据维度和度量来为用户定 义所述安全属性的用户界面。6.如权利要求1所述的系统,其特征在于,所述定义组件还方便定义维度属性并将所 述维度属性存储为所述安全元数据的一部分。7.如权利要求1所述的系统,其特征在于,所述安全元数据被存储为安全表集,所 述安全表包括单元格许可表、单元格限定符表、以及单元格许可和单元格限定符两者的 表。8.如权利要求1所述的系统,其特征在于,所述定义组件和所述存储组件是用于在每 一个用户的基础上保护数据立方体单元格的性能管理应用程序的一部分。9.一种计算机实现的数据安全系统(200),包括性能管理服务器应用程序的定义组件(102),所述定义组件用于为数据立方体的维度 和度量定义安全属性;所述性能管理服务器应用程序中的用于将所述属性存储为安全元数据的存储组件 (108);以及所述性能管理服务器应用程序的安全组件(112),所述安全组件用于基于用户来对所 述数据立方体的维度和度量应用所述安全元数据以生成受保护的数据立方体。10.如权利要求9所述的系统,其特征在于,所述安全元数据被存储为表集,所述表 包括单元格许可表、单元格限定符表、以及单元格许可和单元格限定符两者的表...
【专利技术属性】
技术研发人员:M杨,A阿米罗夫,J唐,
申请(专利权)人:微软公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。