[发明专利]在多租户环境中提供用于安全网络通信的集成防火墙的系统和方法

权利要求书

1.一种用于在多租户环境中的数据库服务器中提供网络安全性的方法，所述多租户环境具有基于连接的交换结构，所述基于连接的交换结构将提供多个数据库服务的多个数据库服务器与托管多个数据库服务消费者的多个应用服务器直接连接，所述多个数据库服务消费者中的每一个与不同数据库服务消费者身份相关联，所述方法包括：

在所述多个数据库服务器中的数据库服务器处接收访问控制列表，其中访问控制列表识别所述多个数据库服务，并且为所述多个数据库服务中的每一个识别与被允许访问所述多个数据库服务中的所述每一个的一个或多个数据库服务消费者相关联的一个或多个数据库服务消费者身份；

在数据库服务器处接收通过将所述多个数据库服务器与所述多个应用服务器直接连接的基于连接的交换结构传输的多个通信分组，其中每个通信分组包括硬件实行的通信分组报头；以及

在数据库服务器中对所述多个通信分组中的每个通信分组执行以下步骤：

如果通信分组报头不包括任何数据库服务消费者身份，则丢弃该通信分组，

如果通信分组报头确实包括数据库服务消费者身份，则使用包括在通信分组报头中的数据库服务消费者身份来识别发送通信分组的服务消费者，以及

结合包括在通信分组报头中的所述数据库服务消费者身份使用所述访问控制列表来防止由数据库服务消费者对所述多个数据库服务中的数据库服务的访问，除非所述访问控制列表将所述数据库服务消费者识别为被允许访问所述数据库服务。

2.如权利要求1所述的方法，其中所述通信分组是地址解析协议(ARP)请求，并且其中结合包括在通信分组报头中的所述数据库服务消费者身份使用所述访问控制列表来防止数据库服务消费者对所述多个数据库服务中的数据库服务的访问，除非所述访问控制列表将所述数据库服务消费者识别为被允许访问所述数据库服务，包括：

在数据库服务器中确定访问控制列表是否将所述数据库服务消费者识别为被授权访问由所述数据库服务器提供的所述多个数据库服务中的任何一个；以及

如果访问控制列表没有将所述数据库服务消费者识别为被授权访问由所述数据库服务器提供的所述多个数据库服务中的任何一个，则丢弃ARP请求而不传输ARP响应。

3.如权利要求1或2所述的方法，其中所述通信分组是连接建立请求，并且其中结合包括在通信分组中的所述数据库服务消费者身份使用所述访问控制列表来防止数据库服务消费者对所述多个数据库服务中的数据库服务的访问，除非所述访问控制列表将所述数据库服务消费者识别为被允许访问所述数据库服务，包括：

在数据库服务器中确定访问控制列表是否将所述数据库服务消费者识别为被授权访问由所述数据库服务器提供的所述多个数据库服务中的任何一个；以及

如果访问控制列表没有将所述数据库服务消费者识别为被授权访问由所述数据库服务器提供的所述多个数据库服务中的任何一个，则丢弃连接建立请求而不建立连接。

4.如权利要求1或2所述的方法，其中所述通信分组是连接建立请求，并且其中结合包括在通信分组中的所述数据库服务消费者身份使用所述访问控制列表来防止由数据库服务消费者对所述多个数据库服务中的数据库服务的访问，除非所述访问控制列表将所述数据库服务消费者识别为被允许访问所述数据库服务，包括：

在数据库服务器中确定连接建立请求正在请求对哪个数据库服务进行连接；以及

如果访问控制列表没有将所述数据库服务消费者识别为被授权访问所述数据库服务，则防止响应于所述连接建立请求而建立到数据库服务的连接。

5.如权利要求1所述的方法，其中所述通信分组是连接建立请求，并且其中结合包括在通信分组中的所述数据库服务消费者身份使用所述访问控制列表来防止由数据库服务消费者对所述多个数据库服务中的数据库服务的访问，除非所述访问控制列表将所述数据库服务消费者识别为被允许访问所述数据库服务，包括：

响应于所述连接建立请求创建连接；

通过所述连接接收旨在由数据库服务消费者通过所述连接访问的数据库服务的标识；以及

如果访问控制列表没有将所述数据库服务消费者识别为被授权访问所述数据库服务，则终止所述连接。