[发明专利]基于区域的安全性

权利要求书

1.一种使数据库安全性和管理更容易的系统，包括：

数据库组件，它存储在对象之间具有分层关系的多个对象；以及

区域组件，它为所述对象子集定义一个或多个安全区，并将安全性数据映射 到所述子集，所述安全区独立于所述对象之间的所述分层关系；

其中，所述安全区允许在所述安全区中存在的对象共享安全性属性，以减少 数据库处理需求；

其中，所述区域组件支持所述安全性域中的区域之间的继承安全性；

其中，所述区域组件通过在给定对象请求安全性改变时折叠或合并来自相似 或不相似对象树中的对象的安全性数据来创建区域子集以将对象域变换成安全性 域。

2.如权利要求1所述的系统，其特征在于，所述区域组件包括定义所述安全 区的至少其中之一的至少一个安全性描述符。

3.如权利要求1所述的系统，其特征在于，所述区域组件基于对安全性改变 的分析支持安全区的展开或安全区的折叠。

4.如权利要求3所述的系统，其特征在于，所述区域组件基于所检测的安全 性改变将安全性区域展开至少三个区域。

5.如权利要求4所述的系统，其特征在于，所述安全性改变由访问控制条目 (ACE)检测。

6.如权利要求5所述的系统，其特征在于，所述访问控制条目表示显式或隐 式的安全性改变。

7.如权利要求1所述的系统，其特征在于，所述数据库组件还存储了使对象 项与安全性描述符标识符关联的表。

8.如权利要求7所述的系统，其特征在于，所述数据库组件还存储了将所述 安全性描述符标识符映射到安全性描述符的内容的表。

9.如权利要求1所述的系统，其特征在于，所述安全性域包括根节点、孩子、 节点、容器项目、非容器项目的至少其中之一。

10.如权利要求1所述的系统，其特征在于，还包括在所述安全区之间传播 安全性改变的组件。

11.如权利要求1所述的系统，其特征在于，还包括与所述区域组件或所述 数据库交互的至少一个接口。

12.如权利要求11所述的系统，其特征在于，所述接口包括取安全性函数、 取描述符函数、设置安全性函数、添加保持链接函数、移除保持链接函数、以及取 有效安全性函数。

13.一种用于对象数据库安全性的方法，包括：

在对象域中定义数据库对象；

在安全性域中定义安全性组件；

提供所述对象域与所述安全性域之间的映射；

采用所述映射来为所述数据库对象定义安全性区域；以及

通过在给定对象请求安全性改变时折叠或合并来自相似或不相似对象树中的 对象的安全性数据来创建区域子集以将对象域变换成安全性域；

其中，所述安全性区域允许在所述安全性区域中存在的数据库对象共享安全 性属性，以减少数据库处理需求；

其中，所述方法还包括在所述安全性域内为所述安全性组件提供继承机制。

14.如权利要求13所述的方法，其特征在于，还包括在所述安全性域中检测 到改变之后生成至少三个安全性区域。

15.一种使数据库对象安全性更容易的系统，包括：

用于存储数据库对象的装置；

用于为所述对象设置安全性区域的装置；

用于将数据库对象与安全描述符相关联的装置；

用于将所述安全性区域映射到所述对象的装置；

用于至少部分基于所述安全性区域来访问所述对象的装置；以及

用于通过在给定对象请求安全性改变时折叠或合并来自相似或不相似对象树 中的对象的安全性数据来创建区域子集以将对象域变换成安全性域的装置；

其中，所述安全性区域允许在所述安全性区域中存在的对象共享安全性属性， 以减少数据库处理需求；

其中，在所述安全性区域中的区域之间提供继承安全性。