[发明专利]一种联合数据库统一访问控制的系统、方法和设备

权利要求书

1.一种向联合数据库中存储的数据提供统一访问控制的访问控制系统，其特征在于，所述访问控制系统包括中央访问控制器，用于：

接收来自用户的联合查询；

解析所述接收到的联合查询以从所述联合查询中获取表关联信息，其中，所述表关联信息包括一个或多个表名和一个或多个相关联的列名；

基于从所述接收到的联合查询中获取的所述表关联信息生成查询计划；

通过使用所述一个或多个表名、所述一个或多个相关联的列名、以及预先存储在中央授权元数据表中的用户权限来检验所述生成的查询计划；

并且基于所述检验，

根据所述用户权限，若任意所述一个或多个表受所述用户访问的限制，则放弃所述查询；

根据所述用户权限，若对所述查询计划的所述列中的至少一个的访问受限制，则放弃所述查询；

更新所述生成的查询计划，其中所述更新包括：

对于所述查询计划中与所述一个或多个表相关联的每个列名：

若所述列名是星号，则根据所述用户权限使用不受限制的相关联表的列的所有列名替换所述星号；以及

在检查了所述查询计划中的所有列且没有放弃所述查询之后，根据所述用户权限，若在所述查询计划中存在与所述一个或多个表相关联的任何受限行，则添加过滤器将所述受限行从所述生成的查询计划中排除。

2.根据权利要求1所述的访问控制系统，其特征在于，所述中央访问控制器还用于：将所述用户权限存储在所述中央授权元数据表中，其中，所述中央授权元数据表通过访问所述数据库的至少一个用户保存与访问所述联合查询中接收的表关联信息相关联的信息。

3.根据权利要求1所述的访问控制系统，其特征在于，所述中央授权元数据表存储与位于所述数据库中的至少一个表相关联的至少一个表级别控制、列级别控制、行级别控制、记录级别控制、或者上述四种的任意组合。

4.根据权利要求1所述的访问控制系统，其特征在于，所述中央访问控制器还用于：将所述中央授权元数据表在逻辑上与所述数据库中的联合元数据相关联。

5.一种访问控制系统向联合数据库中存储的数据提供统一访问控制的方法，其特征在于，所述方法包括：

接收来自用户的联合查询；

解析所述接收到的联合查询以从所述联合查询中获取表关联信息，其中，所述表关联信息包括一个或多个表名和一个或多个相关联的列名；

基于从所述接收到的联合查询中获取的所述表关联信息生成查询计划；

通过使用所述一个或多个表名、所述一个或多个相关联的列名、以及预先存储在中央授权元数据表中的用户权限来检验所述生成的查询计划；

并且基于所述检验，

根据所述用户权限，若任意所述一个或多个表受所述用户访问的限制，则放弃所述查询；

根据所述用户权限，若对所述查询计划的所述列中的至少一个的访问受限制，则放弃所述查询；

更新所述生成的查询计划，其中所述更新包括：

对于所述查询计划中与所述一个或多个表相关联的每个列名：

若所述列名是星号，则根据所述用户权限使用不受限制的相关联表的列的所有列名替换所述星号；以及

在检查了所述查询计划中的所有列且没有放弃所述查询之后，根据所述用户权限，若在所述查询计划中存在与所述一个或多个表相关联的任何受限行，则添加过滤器将所述受限行从所述生成的查询计划中排除。

6.根据权利要求5所述的方法，其特征在于，进一步包括：将所述用户权限存储在所述中央授权元数据表中，其中，所述中央授权元数据表通过访问所述数据库的至少一个用户保存与访问所述联合查询中接收的表关联信息相关联的信息。

7.根据权利要求5所述的方法，其特征在于，所述中央授权元数据表存储与位于所述数据库中的至少一个表相关联的至少一个表级别控制、列级别控制、行级别控制、记录级别控制、或者上述四种的任意组合。

8.根据权利要求5所述的方法，其特征在于，进一步包括：在逻辑上将所述中央授权元数据表与所述数据库中的至少一个联合元数据相关联。