[发明专利]多租户数据库系统中的安全数据共享

权利要求书

1.一种用于为多租户数据库中共享的数据提供安全视图的方法，所述方法包括：

在第一帐户中生成共享对象，所述共享对象包含共享角色；

将视图特权与所述共享对象的多个底层细节中的一个或更多个关联，使得所述共享对象的底层细节包括安全视图定义；

向第二帐户授予对在所述第一帐户中的所述共享角色或共享对象的跨帐户访问权限；

从所述第二帐户接收访问所述第一帐户的数据或服务的请求；

注释来自所述第二帐户的所述请求的查询块，以基于所述安全视图定义将所述查询块指定为来自安全视图；

基于被指定为来自所述安全视图的查询块，生成安全投影操作符，所述安全投影操作符的行为与标准投影作符相同，但是不能匹配用于所述查询块的查询计划树的优化操作的任何重写规则先决条件；

通过在所述查询计划树中视图计划的上方引入所述安全投影作符，重写所述请求的所述查询块的所述查询计划树，并防止包含在所述请求的所述查询块中的不源自所述安全视图的表达式通过所述安全投影作符被推过所述视图计划内；以及

基于所述第一帐户的访问数据或服务向所述第二帐户提供响应，其中，包括所述安全视图定义的所述共享对象的所述底层细节对所述第二帐户是隐藏的，并且对所述第一帐户是可见的。

2.根据权利要求1所述的方法，其中，所述共享对象的底层细节包括以下项中的一项或更多项：

所述共享对象的底层表的数据字段；

所述共享对象的底层表的结构元素；或者

所述共享对象的底层表中的大量数据。

3.根据权利要求1所述的方法，其中，所述安全视图定义对所述第二帐户是隐藏的，并且对所述第一帐户是可见的。

4.根据权利要求1所述的方法，其中，所述共享对象包括：

对于所述第一帐户唯一的对象名称；

对象角色；以及

引用列表，所述引用列表包括有资格访问所述共享对象的一个或更多个第二帐户的列表。

5.根据权利要求1所述的方法，其中，将视图特权与所述共享对象关联包括以下项中的一项或更多项：

改动所述共享对象的底层表的表数据永久性对象；或者

将安全标志附加到所述共享对象的底层数据字段，其中，所述安全标志指示所述共享对象的所述底层数据字段受安全视图保护。

6.根据权利要求1所述的方法，还包括用安全属性来注释来自所述第二帐户的请求的表达式，所述安全属性指示所述表达式是否是安全的。

7.根据权利要求6所述的方法，其中，所述表达式是安全的，如果：

已知所述表达式不产生错误；并且

所述表达式不包括用户自定义函数。

8.根据权利要求1所述的方法，其中，从所述第二帐户接收所述请求包括接收包括唯一名称的别名对象，其中，所述别名对象链接到共享对象层次结构中的最顶层对象。

9.根据权利要求8所述的方法，其中，向所述第二帐户提供所述响应包括向所述别名对象授予对所述共享对象内已激活的角色的使用特权。