[发明专利]用于在多租户环境中保护客户数据的系统和方法

说明书

本专利文档公开的一部分包括受到版权保护的材料。任何人按照出现 在专利商标局的专利文件或记录中的形式对本专利文档或专利公开进行复 制，版权所有人没有异议，否则，无论如何都保留所有版权。

本申请要求以在2005年12月2日提交的、美国临时申请序号为No. 60/741995、题为“用于在多租户环境中保护客户数据的系统和方法”的申 请为优先权，该申请公开的内容在此以引用方式全部并入本文。

技术领域

本发明一般地涉及在数据库网络系统中保护数据，更具体，涉及在多 租户数据库网络系统中保护数据。

背景技术

在现代数据库系统中，一个或更多的客户可以共享数据库系统硬件和 软件的不同组分。与各客户如果必须购买用于自身的硬件和软件的情况相 比，这种共享硬件和软件的途径使得能以远为更低的成本提供与数据库相 关的服务。在这种系统中，高度期望保证：客户数据保持安全，而且在组 织中只有适当用户才能看见以及进行更新。

数据安全以物理安全开始，包括入侵检测和物理访问控制。在网络层， 除了适当通过HTTP协议之外，通常使用工业标准网络防火墙来阻塞对数 据中心内所有机器的访问。此外，也可以从数据中心外部对网络进行扫描， 以确信网络防火墙正在阻塞所有未经授权的访问。虽然如此，仍然有用的 是，提供另外的或者可选择的安全系统和方法，作为针对可能导致将错误 页面或数据返回给用户的应用软件、系统及网络软件、和/或系统及网络硬 件中的可能错误或缺陷的防御。

因此，期望提供系统和方法，以保证共享的硬件和软件基础结构中的 任何错误或缺陷都不会导致将极其重要的客户数据交付给错误的用户。

发明内容

本发明提供用于在多租户数据库网络环境中提高系统及网络安全的系 统和方法。这些系统和方法采用一种或多种技术，诸如：识别可疑查询计 划；比较包括在查询中的用户和组织信息与包括在来自应用服务器的响应 中的用户和组织信息，以验证响应确实发送给适当的用户；以及，通过比 较存储在客户机处的用户和组织ID信息与响应中的类似信息，验证来自应 用服务器的响应是否确实发送给适当的用户系统。采用这些技术中的一种 或多种，可以使实施方式能在多租户环境下保护客户数据。

如在此使用的那样，在说明书中，术语多租户数据库系统指那些系统， 其中数据库系统的硬件和软件的不同组分可以由一个或更多客户共享。例 如，给定的应用服务器可以同时为许多客户处理请求；以及，给定的数据 库表格可以为潜在的更大量的客户存储行。如在此使用的那样，在说明书 中，术语查询计划指用于在数据库系统中访问信息的一组步骤。

根据一种实施方式并作为示例，查询计划检测模块轮询数据库系统， 以判断任何查询计划是否为可疑查询计划，如果是则发出警报。可疑查询 计划包括在多租户数据库系统中应该从不出现的那些查询计划，以及应该 只在少数识别过的情况下出现的查询计划，举例来说，诸如读取多个分区 的结合(join)以及散列结合(hash join)。因为在多租户数据库中各组织的 数据可以被存储在单个物理数据库分区中，由用户发起的在多个分区中访 问数据的任何查询都可以被视为是可疑查询计划。类似地，在使用大表格 以跨越多个租户存储数据的情况下，读取表格中全部或大部分数据行的任 何查询计划也都可以被视为是可疑的。为了简洁在此未列举的其他可疑查 询计划也都在实施方式的设想之中。此外，取代或者除发出警报之外，实 施方式还可以执行其他动作，诸如不带限制地废除可疑查询计划、延迟查 询计划的执行、记录审核消息等。实施方式还可以判断特殊可疑查询计划 是否为查询计划例外类的成员，如果是则可以允许执行该查询计划而不发 出警报。

根据另一实施方式，服务器侧防火墙系统包括位于应用服务器与客户 机系统之间的一个或多个防火墙服务器的堆叠。防火墙服务器记录关于所 接收的各客户机请求的用户和组织信息，并比较该信息与包括在来自应用 服务器的响应中的用户和组织信息，以验证响应确实发送给适当的用户。 根据另一实施方式，客户机侧防火墙系统包括在客户机系统上执行的逻辑， 该逻辑通过比较存储在客户机处的用户和组织ID信息与响应中的类似信 息，验证来自应用服务器的响应是否确实发送给适当的用户系统。客户机 侧防火墙对检测网络硬件和/或软件消息传送中的错误是有用的。