数据库的访问控制(复习)ppt课件.ppt

《数据库的访问控制(复习)ppt课件.ppt》由会员分享，可在线阅读，更多相关《数据库的访问控制(复习)ppt课件.ppt（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、返回返回1 第 四 章数据库的访问控制返回返回2访问控制策略概述访问控制策略概述 自主访问控制自主访问控制 4.4 4.4 多级安全访问控制多级安全访问控制4.5 4.5 基于角色的访问控制基于角色的访问控制返回返回34.1 4.1 访问控制策略概述访问控制策略概述在数据库中，访问控制可以分为大类：在数据库中，访问控制可以分为大类：（1 1）基于能力的访问控制：以访问主体为判断对象）基于能力的访问控制：以访问主体为判断对象实现访问控制。访问主体能力列表中的一个元素实现访问控制。访问主体能力列表中的一个元素表示为一个二元组（表示为一个二元组（o,ao,a）, ,其中其中o o表示资源客体，表示资

2、源客体，a a表示一种访问控制方式。表示一种访问控制方式。（2 2）基于访问控制列表的访问控制：以资源客体为）基于访问控制列表的访问控制：以资源客体为判断对象实现访问控制。资源客体访问控制列表判断对象实现访问控制。资源客体访问控制列表中的一个元素表示为一个二元组（中的一个元素表示为一个二元组（s,as,a）, ,其中其中s s表表示访问主体，示访问主体，a a表示一种访问控制方式。表示一种访问控制方式。返回返回44.1 4.1 访问控制策略概述访问控制策略概述自主访问控制是一种最为普遍的访问控制手段，自主访问控制是一种最为普遍的访问控制手段，用户可以按自己的意愿对系统的参数做适当修用户可以按自

3、己的意愿对系统的参数做适当修改以决定哪些用户可以访问他们的资源，亦即改以决定哪些用户可以访问他们的资源，亦即一个用户可以有选择地与其它用户共享他的资一个用户可以有选择地与其它用户共享他的资源。用户有自主的决定权。源。用户有自主的决定权。 返回返回5强制访问控制是指主体与客体都有一个固定的强制访问控制是指主体与客体都有一个固定的安全属性。系统通过检查主体和客体的安全属安全属性。系统通过检查主体和客体的安全属性匹配与否来决定一个主体是否可以访问某个性匹配与否来决定一个主体是否可以访问某个客体资源。安全属性是强制性的规定，它是由客体资源。安全属性是强制性的规定，它是由安全管理员，或者是操作系统根据限

4、定的规则安全管理员，或者是操作系统根据限定的规则确定的，用户或用户的程序不能加以修改。确定的，用户或用户的程序不能加以修改。返回返回6如果系统认为具有某一个安全属性的如果系统认为具有某一个安全属性的主体不适于访问某个资源，那么任何人（包主体不适于访问某个资源，那么任何人（包括资源的拥有者）都无法使该主体具有访问括资源的拥有者）都无法使该主体具有访问该文件的权力。该文件的权力。 强制安全访问控制可以避免和防止大多强制安全访问控制可以避免和防止大多数数据库有意或无意的侵害，因此在数据库数数据库有意或无意的侵害，因此在数据库管理系统中有很大的应用价值。管理系统中有很大的应用价值。 返回返回7基于角色

5、访问控制（基于角色访问控制（RBACRBAC）模型是目前国际上流行的）模型是目前国际上流行的先进的安全访问控制方法。它通过分配和取消角色来先进的安全访问控制方法。它通过分配和取消角色来完成用户权限的授予和取消，并且提供角色分配规则。完成用户权限的授予和取消，并且提供角色分配规则。安全管理人员根据需要定义各种角色，并设置合适的安全管理人员根据需要定义各种角色，并设置合适的访问权限，而用户根据其责任和资历再被指派为不同访问权限，而用户根据其责任和资历再被指派为不同的角色。这样，整个访问控制过程就分成两个部分，的角色。这样，整个访问控制过程就分成两个部分，即访问权限与角色相关联，角色再与用户关联，从

6、而即访问权限与角色相关联，角色再与用户关联，从而实现了用户与访问权限的逻辑分离。实现了用户与访问权限的逻辑分离。 返回返回84.2 4.2 自主自主访问控制访问控制自主访问控制基于自主策略管理主体对数据的自主访问控制基于自主策略管理主体对数据的访问，主要机制包括基于主体的标识和授权规访问，主要机制包括基于主体的标识和授权规则。这些规则是自主的，即它们允许主体将数则。这些规则是自主的，即它们允许主体将数据权限授予其他主体。据权限授予其他主体。自主访问控制的一个重要方面是与授权管理策自主访问控制的一个重要方面是与授权管理策略密切相关。所谓授权管理，是指授权和撤消略密切相关。所谓授权管理，是指授权和

7、撤消授权的功能。授权的功能。 返回返回9访问控制矩阵模型利用矩阵访问控制矩阵模型利用矩阵A A表示系统中主体、表示系统中主体、客体和每个主体对每个客体所拥有权限之间的客体和每个主体对每个客体所拥有权限之间的关系。任何访问控制策略最终均可被模型化为关系。任何访问控制策略最终均可被模型化为访问矩阵形式：一行表示一个主体的能力列表，访问矩阵形式：一行表示一个主体的能力列表，一列表示一个客体的访问控制列表。每个矩阵一列表示一个客体的访问控制列表。每个矩阵元素规定了相应的主体对应于相应的客体被准元素规定了相应的主体对应于相应的客体被准予的访问许可、实施行为。予的访问许可、实施行为。返回返回10表1 访问

8、控制矩阵 O1O2S1读读读、写读、写S2读、写读、写-A A S1 , , O1=“读读”，表示主体，表示主体S1对客体对客体O1有读权有读权限。其余类推。限。其余类推。返回返回114.3 4.3 强制强制访问控制访问控制为系统中每个主体和客体标出不同安全等级，这些为系统中每个主体和客体标出不同安全等级，这些安全等级由系统控制，不能随意更改。根据主体和客体安全等级由系统控制，不能随意更改。根据主体和客体的级别标记来决定访问模式。如绝密级，机密级，秘密的级别标记来决定访问模式。如绝密级，机密级，秘密级，无密级等。级，无密级等。考虑到偏序关系，主体对客体的访问主要有四种方考虑到偏序关系，主体对客

9、体的访问主要有四种方式式：（1）向下读（）向下读（rd，read down）：主体安全级别高）：主体安全级别高于客体信息资源的安全级别时允许的读操作；于客体信息资源的安全级别时允许的读操作；（2）向上读（）向上读（ru，read up）：主体安全级别低于）：主体安全级别低于客体信息资源的安全级别时允许的读操作；客体信息资源的安全级别时允许的读操作；返回返回12（3 3）向下写（）向下写（wdwd，write downwrite down）：主体安全级别）：主体安全级别高于客体信息资源的安全级别时允许执行的动高于客体信息资源的安全级别时允许执行的动作或是写操作；作或是写操作；（4 4）向上写（）

10、向上写（wuwu，write upwrite up）：主体安全级别低）：主体安全级别低于客体信息资源的安全级别时允许执行的动作于客体信息资源的安全级别时允许执行的动作或是写操作。或是写操作。其访问控制关系可分为：下读其访问控制关系可分为：下读/ /上写和上读上写和上读/ /下写，下写，分别进行机密性控制和完整性控制分别进行机密性控制和完整性控制通过安全标签实现单向信息流通模式。通过安全标签实现单向信息流通模式。返回返回134.4 4.4 多级安全多级安全访问控制模型访问控制模型在关系型数据库中应用在关系型数据库中应用MACMAC策略首先需要扩展关系模策略首先需要扩展关系模型自身的定义。因此提出

11、了多级关系模型（型自身的定义。因此提出了多级关系模型（Multilevel Multilevel Relational ModelRelational Model）。）。返回返回144.6 4.6 贾让第贾让第- -沙胡模型沙胡模型是一种用于关系数据库的多级安全数据模型。该模是一种用于关系数据库的多级安全数据模型。该模型采用与型采用与BLPBLP模型相同的安全等级。模型相同的安全等级。返回返回15姓名姓名C1部门部门C2工资工资C3TC鲍华鲍华S生产生产S1000SS安林安林S情报情报S2000TSTS赵明赵明TS情报情报TS3000TSTS表表3 职工的一个多级关系职工的一个多级关系返回返回

12、16姓名姓名C1部门部门C2工资工资C3TC鲍华鲍华S生产生产S1000SS安林安林S情报情报S-SS表表4 职工关系的职工关系的S级和级和TS级实例级实例姓名姓名C1部门部门C2工资工资C3TC鲍华鲍华S生产生产S1000SS安林安林S情报情报S2000TSTS赵明赵明TS情报情报TS3000TSTS职工关系的职工关系的S实例实例职工关系的职工关系的TS实例实例返回返回在银行环境中，用户角色可以定义为出纳员、分行管在银行环境中，用户角色可以定义为出纳员、分行管理者、顾客、系统管理员和审计员，访问控制策略的一个理者、顾客、系统管理员和审计员，访问控制策略的一个例子如下：例子如下：（1 1）允许

13、一个出纳员修改顾客的帐号记录（包括存款和取款、）允许一个出纳员修改顾客的帐号记录（包括存款和取款、转帐等信息），并允许查询所有帐号的注册项转帐等信息），并允许查询所有帐号的注册项（2 2）允许一个分行管理者修改顾客的帐号记录（包括存款和取款，）允许一个分行管理者修改顾客的帐号记录（包括存款和取款，但不包括规定的资金数目的范围）并允许查询所有帐号的注册项，也但不包括规定的资金数目的范围）并允许查询所有帐号的注册项，也允许创建和终止帐号允许创建和终止帐号（3 3）允许一个顾客只询问他自己的帐号的注册项）允许一个顾客只询问他自己的帐号的注册项（4 4）允许系统管理员询问系统的注册项和开关系统，但不允

14、许读）允许系统管理员询问系统的注册项和开关系统，但不允许读或修改用户的帐号信息或修改用户的帐号信息（5 5）允许一个审计员读系统中的任何数据，但不允许修改任何事）允许一个审计员读系统中的任何数据，但不允许修改任何事情。情。返回返回181.定义角色定义角色 CREATE ROLE T1，G1 ，M1，S1, P1说明：说明：T1：出纳员：出纳员 G1：分行管理者：分行管理者 P1：顾客：顾客 M1：系统管理员：系统管理员 S1：审计员：审计员返回返回（1）GRANT update table 帐号帐号 ， select table 帐号（注册号）帐号（注册号）TO T1（2）GRANT upda

15、te table 帐号帐号 ， select table 帐号，帐号， insert table 帐号（注册号），帐号（注册号）， deleted 帐号（注册号）帐号（注册号） TO G1（3） GRANT select table 帐号帐号 set check 帐号帐号 to P1， （4）GRANT create table 帐号帐号 ， open database to M1 Deny select table 帐号帐号 TO M1（5）GRANT select table 帐号帐号 TO S1 DENY update table 帐号帐号 to S1192.授予权限授予权限 返回返回3

16、访问控制矩阵访问控制矩阵20readwritecreateT1帐号（注册号）帐号（注册号）-G1 -帐号-P1帐号 - -M1 - -allS1帐号- -返回返回21本章小结本章小结本章讨论了目前数据库领域所使用的访问控制模型。本章讨论了目前数据库领域所使用的访问控制模型。自主访问控制模型控制用户访问的机制是用户鉴别自主访问控制模型控制用户访问的机制是用户鉴别和用户自定义的访问规则。该模型的特点在于灵活性强、和用户自定义的访问规则。该模型的特点在于灵活性强、适用性广。但无法对主体的权限传播加以控制。因此，适用性广。但无法对主体的权限传播加以控制。因此，用户可能未经授权而得到不应得到的数据。用户

17、可能未经授权而得到不应得到的数据。强制访问控制模型提供了基于标签的安全认证，适强制访问控制模型提供了基于标签的安全认证，适用于用户和客体具有多种安全等级的应用环境。该模型用于用户和客体具有多种安全等级的应用环境。该模型基于安全标签的读写策略使得数据库管理系统能够跟踪基于安全标签的读写策略使得数据库管理系统能够跟踪数据的流动，因而可以为木马程序问题提供一定程度的数据的流动，因而可以为木马程序问题提供一定程度的保护，但缺点在于访问策略过于严格，只能用于极少数保护，但缺点在于访问策略过于严格，只能用于极少数的应用环境。的应用环境。返回返回22基于角色的访问控制模型是中性策略的访问模型，基于角色的访问

18、控制模型是中性策略的访问模型，其目的在于克服现有强制访问控制模型的缺点、管理复其目的在于克服现有强制访问控制模型的缺点、管理复杂性和代价。基于角色的访问控制模型将用和权限的直杂性和代价。基于角色的访问控制模型将用和权限的直接指派转变为用户角色、角色接指派转变为用户角色、角色- -权限两种指派，降低权限两种指派，降低了数据库安全管理员的管理复杂性，能通过定义约束正了数据库安全管理员的管理复杂性，能通过定义约束正确地实施访问策略。然而与自主访问控制模型和强制访确地实施访问策略。然而与自主访问控制模型和强制访问控制模型相比，基于角色的访问控制模型在角色层次问控制模型相比，基于角色的访问控制模型在角色层次和约束之间还存在不少的理论缺陷。和约束之间还存在不少的理论缺陷。